50 Największych Banków w Polsce 2017: PSD2 wymaga kompleksowego rozwiązania systemowego

BANK 2017/06

Regulacyjne Standardy Techniczne (RTS) narzucają na instytucje finansowe konieczność stworzenia dedykowanego interfejsu komunikacyjnego (API) oraz zastosowania mechanizmów silnego uwierzytelnienia, bezpiecznej komunikacji oraz monitorowania udostępnianych usług. O skutecznym wdrożeniu rozwiązań, które umożliwią przygotowanie się na te zmiany rozmawiamy z Pawłem Rotuskim – Prezesem Telsar i Dariuszem Piotrakiem – Dyrektorem Technicznym w Minto Software.

Rozporządzenie PSD2 RTS  określa między innymi standardy techniczne silnego uwierzytelnienia, które mają zapewnić weryfikację tożsamości klienta oraz bezpieczną komunikację. Jak duże zmiany są konieczne w celu wdrożenia tych standardów?

bank.2017.06.foto.086.a.200xDariusz Piotrak
Dyrektor Techniczny, Minto SoftwareOtwarcie dostępu do systemów bankowych oznacza także konieczność odpowiedniego zabezpieczenia API przed atakami hakerskimi. Z długiej listy zagrożeń należy wymienić ataki typu man-in-the-middle, próby wstrzyknięcia kodu, który może skutkować wyciekiem danych; ataki typu DoS, ataki charakterystyczne dla technologii XML czy kradzież tożsamości podmiotów trzecich oraz klientów banku.

Dariusz Piotrak (D.P.):  Większość banków oferujących usługę bankowości elektronicznej stosuje już mechanizmy silnego uwierzytelnienia. Użytkownik bankowości elektronicznej przechodzi proces uwierzytelnienia dwuczynnikowego: logowanie (tzw. czynnik  wiedzy) oraz autoryzacja transakcji przy użyciu jednorazowych kodów w formie sms, tokenów czy zdrapek (czyli czynnik posiadania). Mechanizmy te można wykorzystać w implementacji interfejsów API w podobny sposób, jak w obecnej bezpiecznej metodzie płatności pay-by-link. Czyli klient używający zewnętrznej  aplikacji zostałby przekierowany do strony banku, bez udostępniania danych logowania stronie trzeciej. Dodatkowym wymogiem transakcji płatniczych, jest konieczność zastosowania elementów autoryzacyjnych, które łączą daną transakcję z określoną kwotą i odbiorcą. Istnieje więc możliwość wykorzystania przez banki istniejącej infrastruktury  uwierzytelnienia, jednak pod warunkiem użycia odpowiedniej technologii do wdrożenia warstwy interfejsów API.

Paweł Rotuski (P.R.): Większość  dyskusji skupia się na silnym uwierzytelnieniu, ale niestety rzadko omawiane są pozostałe wymagania, które wpływają na pełną funkcjonalność niezbędną do wdrożeń  dedykowanych pod PSD2. Kompleksowa realizacja wymagań tej dyrektywy zbiega się  z implementacją założeń Otwartej Bankowości. Bank udostępnia swoje usługi oraz dane szerokiemu ekosystemowi, na który składają się zewnętrzni deweloperzy aplikacji, spółki FinTech, dostawcy płatności elektronicznych czy inne banki.

To całe spektrum zaangażowanych podmiotów…

D.P.: Istotnie. Instytucja finansowa udostępniająca swoje usługi musi mieć pełną kontrolę nad procesem rejestracji podmiotów trzecich, monitoringu oraz w przypadku nadużyć, wstrzymania lub anulowania dostępu. Dodatkowo, każdy z partnerów musi mieć dostęp do dokumentacji technicznej oraz tzw.  piaskownicy technologicznej – czyli środowiska testowego, w którym sprawdza się integrację z danym bankiem.

P.R.:  Właśnie z powodu dużej liczby podmiotów trzecich cały ten  proces powinien być realizowany  na zasadach ‘self-service’. Najlepszym rozwiązaniem byłby dedykowany portal, z dokumentacją  techniczną API. Umożliwiałby  on rejestrację danego podmiotu oraz generowanie odpowiednich  kodów dostępu i kluczy uwierzytelniających go w transakcjach i środowisku testowym.

Czy takie otwarcie dostępu nie – znanym podmiotom niesie dodatkowe ryzyko?

D.P.: Po stronie banku konieczna  jest kontrola tego procesu w postaci monitorowania usług API oraz  nakładania limitów na liczbę wywołań usługi. W innym przypadku, nieostrożny podmiot trzeci mógłby  nawet przypadkowo zalać infrastrukturę banku dużą liczbą wywołań usługi i doprowadzić do zatrzymania serwisów bankowych. Otwarcie dostępu do systemów bankowych oznacza także konieczność odpowiedniego  zabezpieczenia API przed atakami hakerskimi. Z długiej listy zagrożeń należy wymienić ataki  typu  man-in-the-middle, próby wstrzyknięcia kodu, który może  skutkować wyciekiem danych;  ataki typu DoS, ataki charakterystyczne dla technologii XML  czy kradzież tożsamości podmiotów trzecich oraz klientów banku.

Udostępnianie informacji po – przez API stawia przed instytucjami finansowymi poważne wyzwania…

bank.2017.06.foto.087.a.200xPaweł Rotuski
Prezes, TelsarJako zespół zapewniamy naszym klientom kompleksową pomoc. Mamy doświadczenie w projektowaniu  rozwiązań i prowadzeniu projektów międzynarodowych. Mamy również w portfolio referencyjne projekty wdrożenia API PSD2 w dużych firmach sektora finansowego, m.in. w największej grupie finansowej w Europie Środkowo-Wschodniej.

P.R.:  Dokładnie tak. Zapewnienie bezpieczeństwa danych i użytkowników, a przy tym zachowanie  odpowiedniej wydajności oraz transformacja i adaptacja modeli  danych w tak krótkim czasie, jaki  zostanie między przyjęciem przez  Komisję Europejską RTS a wdrożeniem PSD2 do krajowego porządku prawnego to spore wyzwanie. Wymaga to od organizacji finansowych działań przygotowujących, ułatwiających i przyspieszających implementacje wymogów dyrektywy PSD2 już teraz.

Co wyróżnia wdrażane przez  Was rozwiązanie?  

D.P.:  Platforma CA PSD2 API została zaprojektowana, aby sprostać  wszystkim wyzwaniom sektora  finansowego i zapewnić dodatkową warstwę nadzoru. Dostarcza  gotową warstwę usług API, które  są kompatybilne z wymogami regulacji PSD2. Po zintegrowaniu jej z istniejącymi systemami bankowymi zapewnia bezpieczeństwo, monitorowanie i rozliczanie udostępnianych usług.

P.R.:  Platforma CA PSD2 API zbudowana jest przy wykorzystaniu  nagradzanej i sprawdzonej technologii CA API Gateway firmy CA Technologies. To unikalne rozwiązanie  gwarantuje stabilność i najwyższą  jakość. Pozycję systemu CA API Gateway jako lidera w technologii API  Management potwierdzają najbardziej renomowane, niezależne firmy analityczno-doradcze takie jak  Gartner i Forrester Resarch.

Jakie są najważniejsze atrybuty  tego rozwiązania w kontekście  zapewnienia zgodności z dyrektywą PSD2?  

D.P.: Nasze rozwiązanie cechu – je uniwersalność, otwartość na  najnowsze standardy, gotowość  nałożenia na udostępniane interfejsy bankowe odpowiednich  warstw związanych z zabezpieczaniem, autoryzacją i uwierzytelnieniem zgodnie z regulacjami  zawartymi w dokumencie RTS.

P.R.: Jako zespół zapewnia- my naszym klientom kompleksową pomoc. Mamy doświadczenie w projektowaniu rozwiązań i prowadzeniu projektów międzynarodowych. Mamy również w portfolio referencyjne projekty wdrożenia API  PSD2 w dużych firmach sektora  finansowego, m.in. w największej grupie finansowej w Europie Środkowo-Wschodniej. Znajomość branży i doświadczenie  pozwalają nam działać szybko i profesjonalnie. Oferujemy pomoc w zakresie audytu, doradzamy, które usługi są konieczne i zalecane, optymalizujemy system tak, by działał szybko  i poprawnie.