Что касается онлайн-платежей и обработки кредитных карт, ритейлерам ЕС была предоставлена отсрочка. Пересмотренная Директива Европейского Союза о платежных услугах, известная как PSD2, продлила период ее соблюдения до марта 2021 года, оставив ритейлерам и банкам возможность оставаться в безопасности, пока законодательство остается в подвешенном состоянии. И все же продление срока не означает, что компании могут почивать на лаврах. Потребители, правительства и девелоперы ожидают, что банки и другие службы будут готовы соответствовать требованиям, в идеале до крайнего срока в марте 2021 года.
Об авторе Субхо Хальдер — соучредитель и технический директор Appknox. Самое главное, хакеры знают об этой уязвимости. Правила PSD2 направлены на усиление конкуренции и предоставление потребителям большего выбора, а также на обеспечение дополнительной безопасности важных банковских данных. Оставлять эту информацию в небезопасности — рискованная затея для преступников. Давайте посмотрим, где мы находимся сегодня с этими стандартами и как компании, занимающиеся электронной коммерцией, могут внедрить лучшие практики SecDevOps для обеспечения соответствия PSD2.
1: статус API
По состоянию на март 2019 года 41% банков ЕС все еще не соответствуют будущим стандартам PSD2. Хотя это меньше половины, и точные проценты различаются в зависимости от страны, основная причина, по которой банки медлят, остается той же: тестирование API. Необходимость создания банками API для данных о транзакционных платежах в первую очередь включена в контрольный список соответствия PSD2. Эти API должны обеспечивать доступ в режиме реального времени, мониторинг мошенничества, многофакторную аутентификацию пользователей и анализ поведения пользователей, среди прочего. Учитывая все эти особенности, нетрудно понять, почему некоторые учреждения не спешат выполнять требования. Однако эти API станут основой цифровых финансовых транзакций в 2020-х годах и в последующий период. Предприятия и поставщики финансовых услуг будут использовать банковские API для создания собственных платежных систем, возможно, создавая свои собственные API для полного использования платежных и поведенческих данных. Фактически, сами банки также могут стать сторонними поставщиками (TPP), создавая и используя API других сторон. Ожидаемый эффект от этой возросшей конкуренции состоит в том, чтобы предоставить потребителям больший выбор и, следовательно, снизить цены, что является благородной целью для любого руководящего органа, ориентированного на граждан. На первый взгляд, стандарты PDS2 на самом деле могут повысить доверие и безопасность цифровых финансовых транзакций. Возникает вопрос о том, как банки создают свои API и кто в конечном итоге их использует. И как.
2. Защита от мошенничества: что нужно знать потребителям и учреждениям
В основе PDS2 лежат API, которые банки создадут для предоставления услуг ТЭС. Безопасность имеет первостепенное значение, когда банки создают API: они имеют огромный доступ к нашим самым важным финансовым данным. Все детали, попадающие в руки ненадежных персонажей, подвержены катастрофам. Как мы уже отмечали, большая часть обсуждений до сих пор была сосредоточена на банковских API. Меньше внимания уделяется тому, что PPT и другие учреждения могут в конечном итоге делать со своими собственными API. Другими словами, какие правила безопасности существуют для PPT? Правда в том, что очень мало. У TPP есть одно главное преимущество и один существенный недостаток по сравнению с PDS2, и это одно и то же. Во-первых, ТЭЦ не подчиняются таким же строгим правилам, как банки. Это один из основных драйверов PDS2: разрешение этим ТЭС предлагать варианты оплаты означает большую гибкость для потребителей. Они также не привязаны к той же устаревшей ИТ-инфраструктуре, что и многие банки. Однако за эту возросшую мобильность приходится платить. Если TPP не требует такой строгости для начала обработки транзакций, означает ли это, что его безопасность также менее строга? Как потребители узнают, обеспечивает ли их новый платежный провайдер безопасность их данных?
3: Определение лучших практик в PDS2
Во-первых, ГЧП должны осознавать риски, с которыми они сталкиваются. Мошеннические атаки, когда злоумышленники создают группы фальшивых учетных записей для использования различных преимуществ, увеличились на 26% в прошлом году, даже несмотря на то, что все больше и больше банков внедряют 2FA и другие решения для борьбы с этими преступлениями. В некоторой степени PPT могут повысить безопасность данных клиентов. Они могут обмениваться информацией друг с другом или с банками, чьи API они используют. ТЭС с более строгими протоколами безопасности имеют больше преимуществ для новых клиентов: считается, что PDS2 провоцирует именно тот тип конкуренции. В то же время, прежде чем произойдет нарушение, необходимо решить новые проблемы. С одной стороны, мониторинг используемых API имеет важное значение. API каждого банка будет постоянно проверяться, поскольку многие ТПП будут зависеть от него при предоставлении услуг своим клиентам. API, созданные этими сторонними поставщиками, будут тестироваться менее тщательно. Таким образом, SecDevOps становится посредником между финансовой безопасностью и хакерскими атаками. Существует ряд шагов, которые каждая сторона может предпринять сейчас, чтобы обеспечить безопасность PSD2 в будущем. Во-первых, важно провести инвентаризацию уже используемых API. Призрачные API, то есть API, к которым разработчики предоставили доступ, а затем забыли, упрощают взлом точек входа. Их удаление перед внедрением PSD2 прокладывает путь к повышению общей безопасности. На данный момент у ритейлеров, банков и будущих PPT есть больше года, чтобы соответствовать PSD2. Достижение этой цели не означает простое следование закону. Любое учреждение, стремящееся обеспечить наилучшее качество обслуживания в новой цифровой среде, должно сделать безопасность своей первоочередной задачей. К счастью для них, это имеет смысл для бизнеса. Потребители естественным образом тяготеют к той компании, которая для них наиболее важна. Когда дело доходит до безопасности финансовых данных, лучшие всегда одерживают верх.