A fintech cégek megjelenésével és sikerével egy új és bizakodásra okot adó ökoszisztéma kezdett kialakulni a pénzügyi szektorban, ami hozzájárult a régimódi és sokszor körülményes banki ügyviteli rendszerek lebontásához. Ráébresztette például az embereket, hogy a bankszámlakezelés, pénzváltás, beruházások, biztosítások menedzselése, vagy más pénzügyi szolgáltatások egyaránt jelentős és kényelmi szempontból előremutató változásokon mennek keresztül.

A "régi típusú" vállalatok érthetően megrémültek ettől, és megpróbálnak mindent megtenni annak érdekében, hogy lassítsák ezt a folyamatot, és legalább időt nyerjenek a bekapcsolódáshoz. Ehhez persze egy távoli elérést biztosító mobil alkalmazás már kevés lesz, hiszen ennél jóval többről, paradigmaváltásról van szó, például peer-to-peer fizetésről, közvetítő nélküli kölcsönzésről vagy chatbot-on keresztül történő biztosításkötésről.

Mindenesetre ezt a versenyhelyzetet még a hagyományosan nehézkesen mozgó, a technológiai trendeket gyakran lemaradással követő pénzügyi szektor szereplői sem odázhatják már el, hiszen a 2018-tól alkalmazandó PSD2 (második Payment Services Directive) néven ismert európai uniós szabályozás mindenkit versenyre kényszerít, akik relevánsak akarnak maradni a piacon. A szabályozás arra kötelez minden pénzintézetet, hogy hozzon létre szabványos nyílt hozzáférést biztosító API-t, amely segítségével különböző harmadik felek is hozzáférhetnek a banki ügyfelek egyes adataihoz.

Az adatok segítségével pedig ezek a szolgáltatók felépíthetik saját szolgáltatásaikat, melyek pénzügyi appok százaiban öltenek majd testet: banki alkalmazásokban, a személyes pénzügyek kezelésére szolgáló, ún. PFM (Personal Finance Management) szoftverekben, mobilfizetési, hitelezési és vagyonmenedzsment szolgáltatásokban és így tovább. Mindez persze egyik oldalról új szintre emeli az emberek felhasználói élményét a hétköznapokban, ugyanakkor nem feledkezhetünk meg a trend által előidézett új biztonsági kockázatokról sem.

A kockázatok is új szintre emelkednek

Ahogy minden technológiai újítást kényelmi funkciók fejlesztése indukál, a pénzügyi szektort érintő innovációk esetén is tetten érhető az a jelenség, aminek eredményeként számos frissen megjelenő, ám a biztonságtudatosságot korántsem szem előtt tartó megoldás jelenik meg a piacon, ezek bevezetése pedig komoly fejtörést okozhat a szervezetek számára. Elég, ha arra gondolunk, hogy rengeteg olyan startup vállalat lép be a pénzügyi szolgáltatások piacára, melyek kevés pénzügyi erőforrással és kapacitással rendelkeznek ahhoz, hogy megfelelő, biztonságos kódokat írjanak, hiszen a befektetői forrásokat elsősorban a funkciókra és a kereskedelmi csatornák fejlesztésére összpontosítják.

Az új szolgáltatások és szereplők tehát új biztonsági kockázatokat is maguk után vonnak. Egyszerűsödhet a felhasználók identitásának, biztonsági kulcsának megszerzése révén a pénztárcákhoz való hozzáférés, és számos új felület nyílik például DDoS (Distributed Denial-of-Service) támadások megvalósításra is. Az első tennivaló ezek elhárítása érdekében az API-k területén jelentkezik, hiszen a PSD2 2018-tól már elvárja ezek hozzáférhetővé tételét a külső fejlesztők számára.

A Forbes magazin szerint 2017 az API-k évévé vált. Az API (Application Programming Interface) ugyanis kvázi üzemanyag ahhoz, hogy az informatikai vezetők megfelelhessenek a feléjük támasztott elvárásoknak, és olyan új üzleti modelleket legyenek képesek a meglévő és a leendő informatikai platformok segítségével megalkotni és bevezetni, amelyek biztosítani tudják a vállalat versenyképességét a jövőben is. A különböző platformok, alkalmazások és rendszerek összekapcsolásának kulcsát, ezek egymással való kommunikációjának megteremtését pedig az API-k biztosítják. Ezáltal, ahogy gyakorlatilag minden iparágban létfontosságú szerepet játszanak majd, a fintech ökoszisztéma sarokkövét is az API-k jelentik.

Az API-k azonban jellemzően nem gondosan megtervezett szabványok alapján és rendkívül hektikus minőségben készülnek, miáltal számos sebezhetőséget hordoznak magukban. Mint köztudott, a nyitottság és a biztonság jellemzően teljesen eltérő prioritások. A kulcskérdés a pénzügyi szervezetek számára, hogy miként nyithatják meg az alkalmazásaikat és integrálódhatnak a külvilággal anélkül, hogy a biztonságot veszélyeztető támadási felületet hagynának.

Hozzuk közös nevezőre a nyitottságot a biztonsággal

A magyar alapítású Balasys több mint tizenöt éve foglalkozik határvédelmi és egyéb hálózatbiztonsági technológiák fejlesztésével, új API Gateway megoldásával pedig éppen erre a problémára kíván választ adni. A vállalat új fejlesztése egy olyan API-biztonsági megoldás, amely képes kikényszeríteni (kiterjeszthető definíció alapján), hogy csak a megfelelőnek ítélt forgalom juthasson el az API kiszolgálókig, validáljon, naplózzon és opcionálisan transzformálja az áthaladó forgalmat.

A Balasys megoldásának tervezésekor kifejezett cél volt, hogy elősegítse a bankokat, hogy gyorsan és egyszerűen implementálhassák a PSD2 által támasztott elvárásokat. Annak érdekében, hogy a bankok harmadik fél számára API-kon keresztül hozzáférést biztosíthassanak ügyfélszámla információkhoz, tranzakciós adatokhoz és fizetés kezdeményezéshez, erős authentikációra és biztonságos kommunikációs csatornákra van szükség.

Mindez pedig beruházást követel a bankoktól az alkalmazás-szolgáltatások irányításának és az API-k menedzsmentjének a területén. A Balasys ehhez olyan megoldást kínál, ami megkönnyíti a biztonságos hozzáférést a partnereknek és a fejlesztőknek, ugyanakkor erős biztonsági ellenőrzéseket is nyújtva képes megakadályozni a visszaéléseket. A magyar fejlesztő vállalat hamarosan hivatalosan is bemutatásra kerülő termékét az európai piacra szánja, hazai pénzintézetek számára pedig ún. product definition partner programot hirdet. A programról a Balasysnál kérhet bővebb információt.