PSD2 o provocare? Cum alege o bancă soluţia care să o asigure...

PSD2 o provocare? Cum alege o bancă soluţia care să o asigure că își va păstra locul în piaţă? Ghid de evaluare.

208

Payment Service Directive (PSD2) este o nouă directivă europeană ce va trebui implementată în mediile financiar-bancar europene de la începutul lui 2018. Această directivă va aduce schimbări fundamentale în mediul financiar-bancar european.

Principalele schimbări prevăzute se referă la nevoia de a furniza interfeţe de operare pentru așa-numiţii furnizori terţi și nevoia de întărire a autentificării clienţilor bancari și suport pentru autentificare prin două sau mai multe elemente (multi factor authentication), pentru cele mai multe tipuri de plăţi.

autor:
Mihai Scemtovici

Astfel, furnizorii de servicii și nu numai pot deveni furnizori de servicii de iniţiere plăţi sau furnizori de servicii de informaţii conturi, adică vor fi în măsură de a „revinde” servicii bancare, împachetate împreună cu serviciile pe care le oferă în mod tradiţional, oferind noi beneficii clienţilor existenţi. Imaginaţi-vă ce pachete atractive de servicii bancare combinate ar putea oferi un operator telecom sau un lanţ de hypermarket-uri.

Deși sunt opinii avizate care spun că băncile vor avea de suferit, trebuie totuși văzută și partea plină a paharului. Astfel, o bancă care a deschis interfeţe de calitate către un furnizor are automat acces la o bază de clienţi mult mai mare decât a reușit să abordeze până acum pe canalele clasice, având în vedere că penetrarea telecom în rândul populaţiei este de peste 100%, iar a bancarizării de maxim 60% (chiar și hypermarket-urile au o penetrare atractivă în mediile non-urbane, prin lanţurile de mini-market-uri din sate).

Din acest motiv băncile trebuie să fie în măsură să ofere interfeţe fiabile pe de o parte și sigure pe de altă parte, având în vedere sensibilitatea informaţiilor care urmează a fi tranzacţionate.

Băncile anunţă că va fi o competiţie, astfel, cele care vor oferi interfeţe ușor de folosit și extensive ca și funcţionalităţi vor fi mai atractive și vor fi deasemenea în poziţie mai bună de negociere a termenilor comerciali cu furnizorii de servicii.

Ce trebuie să facă o bancă? Aceasta ar trebui să dezvolte interfeţe către aplicaţiile interne și să le expună către terţi. Aceste interfeţe (API) trebuie dezvoltate, expuse securizat și întreţinute ulterior, deoarece industria bancară este una dinamică. Resursele umane implicate sunt deasemenea critice, atât în momentul dezvoltării interfeţelor și al efectuării conexiunii cu sistemele furnizorului de servicii, cât și în mod continuu, a managementului acestor interfeţe.

Există aplicaţii care pot rezolva complet aceste nevoi? Da, acestea există, sunt soluţiile din categoria API Management. În cele ce urmează vom încerca să propunem un ghid, pe care o bancă să îl poate utiliza în evaluarea unei astfel de soluţii. Care ar fi pașii și la ce funcţionalităţi cheie anume ar trebui să se uite o bancă pentru a se asigura că soluţia de API Management pe care o va achiziţiona va răspunde nevoilor prezente și viitoare și îi va asigura o poziţie confortabilă faţă de competiţie?

Primul pas ar fi alegerea unei soluţii care se află în categoria liderilor sau cel puţin a challenger-ilor, în rapoartele independente pe industrie (de ex. Gartner).

Fiindcă API-urile pe care urmează să le dezvoltăm nu vor servi unor aplicaţii de divertisment, ci este vorba despre o bancă, organizaţie aflată în top-ul ţintelor atacurilor cibernetice, primul lucru la care m-aș uita ar fi acela că aplicaţia să ofere funcţionalităţi solide în domeniul securităţii informatice. Va avea API-ul creat protecţie „by design” împotriva ameninţărilor, este în acord cu metodologiile comunităţii Open Web Application Security Project (OWASP)? Permite API-urilor nou create o ușoară integrare cu aplicaţii de tip Single Sign-On sau Identity Management oferind o securitate completă pe aplicaţii, mobile sau Cloud?

În al doilea rând, având în vedere faptul că vorbim despre o aplicaţie care trebuie să suporte sute de mii sau chiar milioane de tranzacţii, pe unitate de timp, al doilea lucru la care recomand unei bănci să se uite este scalabilitatea. Va menţine API-ul creat aceeași performanţă ridicată și în perioadele aglomerate, de Crăciun de exemplu? Are posibilitatea prioritizării, rutării inteligente, dinamice a cerinţelor venite de la aplicaţiile cu care se leagă.

Al treilea lucru important, având în vedere că acesta aplicaţie trebuie să susţină și competiţia, se referă la flexibilitatea aplicaţiei și la ușurinţa cu care această este folosită de către bancă, dar mai ales de către partenerii externi ai băncii. Imaginaţi-vă că un furnizor de servicii își leagă operaţiunile la două bănci. Una îi oferă API-uri ușor de folosit, flexibile, cu interfeţe de administrare prietenoase, cu o alta care are încontinuu probleme, clienţii ei întâmpină erori de utilizare, trebuie să apeleze des la suportul băncii. În aceste condiţii, furnizorul va recomanda cu precădere clienţilor serviciile primei bănci, chiar dacă acestea ar fi, să spunem, cu o idee mai scumpe. Nu vi se pare un scenariu cunoscut și în prezent?

Ultimele aspecte pe care le-aș lua în seamă, deși nu sunt deloc din categoria „în ultimul rând”, ar fi acelea referitoare la flexibilitatea de a realiza API-uri către aplicaţiile mobile (având în vedere că device-urile mobile au depășit deja ca număr device-urile fixe), deasemenea la posibilitatea băncii de a controla cu exactitate tipul de acces și a-l contabiliza în vederea facturării. Aș lua de asemenea în calcul posibilitatea oferirii accesului din cloud, către aplicaţia mea, având totodată în vedere că tranziţia către cloud are deja o anvergură care o face de neoprit, din punct de vedere al adopţiei și de ce nu, mi-ar plăcea să pot crea API-uri cu „drag and drop”, indiferent dacă trebuie să mă leg la o aplicaţie, fie ea și o aplicaţie care nu mai are suport (băncile mai au și astfel de aplicaţii), o bază de date sau altă sursă de date.

Ca să concluzionez, dacă aș fi bancher, mi-aș dori ca soluţia de API Management să fie foarte scalabilă, cu securitate solidă, să acopere tot ciclul de viaţă al unui API, să poată crea un API nou în minute, să ofere suport mobil de calitate și funcţionalităţi avansate de administrare de către bancă, de către partenerii care se vor lega la resursele băncii, oferind în același timp control total și clienţilor băncii cu privire la drepturile pe care le dau furnizorului de servicii TPP, având oricând posibilitatea să dezactiveze/activeze opţiuni, pentru a avea acces la noi funcţionalităţi ale aplicaţiilor.

Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.

ANSSI – Partener editorial permanent Cybersecurity Trends
Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) a fost înființată în anul 2012 ca un liant între sectorul public și mediul de afaceri, pentru promovarea practicilor de succes și facilitarea unei schimbări culturale în domeniul securității informației. Identificarea și sesizarea factorilor cu competențe administra- tive în cazul eventualelor deficiențe de pe piața IT, precum și pentru coagularea unor forme de parteneriat public-privat care să conducă la creșterea eficienței si operaționalității sistemelor informatice implementate în România au fost preocupări constante ale asociației. ANSSI este o organizație neguvernamentală, nonprofit, profesională și independentă. Ea reunește 40 de membri, companii cu aproximativ 20000 de angajați, reprezentând 25% din totalul salariaților din industria privată de IT și comunicații.
Membrii ANSSI, prin spectrul larg și diversitatea de capabilități tehnico-profesionale deținute, formează un grup reprezentativ la nivel sectorial, ale cărui teme de interes reflectă fidel preocupările generale ale domeniului.
ANSSI s-a implicat activ, organizând singur sau împreună cu alte autorități, instituții sau ambasade, conferințe și simpozioane naționale dar și internaționale, în domenii conexe, cum ar fi comunicațiile electronice, soluțiile și sistemele de e-guvernare și e-administrație, accesarea instru- mentelor structurale, dezvoltarea profesională sau standardele ocupaționale, în care componenta de securitate tehnologică și de infrastructură IT au constituit preocuparea centrală.