สำหรับการชำระเงินออนไลน์และการประมวลผลบัตรเครดิต ผู้ค้าปลีกในสหภาพยุโรปได้รับการระงับ ข้อบังคับบริการการชำระเงินฉบับแก้ไขของสหภาพยุโรปหรือที่รู้จักในชื่อ PSD2 ได้ขยายระยะเวลาการปฏิบัติตามไปจนถึงมีนาคม 2021 ทำให้ผู้ค้าปลีกและธนาคารปลอดภัยในขณะที่กฎหมายยังคงอยู่ในบริเวณขอบรก และถึงกระนั้น การขยายกำหนดเวลาไม่ได้หมายความว่าบริษัทต่างๆ สามารถพักผ่อนได้อย่างเต็มที่ ผู้บริโภค รัฐบาล และนักพัฒนาต่างคาดหวังให้ธนาคารและบริการอื่นๆ พร้อมที่จะปฏิบัติตาม ก่อนกำหนดเส้นตายในเดือนมีนาคม 2021
เกี่ยวกับผู้เขียน Subho Halder เป็นผู้ร่วมก่อตั้งและ CTO ของ Appknox ที่สำคัญที่สุด แฮ็กเกอร์ตระหนักถึงช่องว่างของช่องโหว่นี้ กฎระเบียบ PSD2 มีเป้าหมายเพื่อเพิ่มการแข่งขันและให้ทางเลือกแก่ผู้บริโภคมากขึ้น แต่ยังให้ความปลอดภัยเพิ่มเติมสำหรับรายละเอียดธนาคารที่สำคัญ การปล่อยให้ข้อมูลนี้ไม่ปลอดภัยถือเป็นการจู่โจมที่เสี่ยงต่ออาชญากร มาดูกันว่าเรามาถึงจุดใดในปัจจุบันด้วยมาตรฐานเหล่านี้ และวิธีที่บริษัทที่เกี่ยวข้องกับอีคอมเมิร์ซสามารถนำแนวปฏิบัติที่ดีที่สุดของ SecDevOps ไปปฏิบัติในการปฏิบัติตามข้อกำหนด PSD2 ของตน
1: สถานะ API
ณ เดือนมีนาคม 2019 41% ของธนาคารในสหภาพยุโรปยังคงไม่ปฏิบัติตามมาตรฐาน PSD2 ในอนาคต แม้ว่าจะน้อยกว่าครึ่งหนึ่งและเปอร์เซ็นต์ที่แน่นอนจะแตกต่างกันไปในแต่ละประเทศ แต่เหตุผลหลักที่ธนาคารต่างๆ ยังคงไม่เปลี่ยนแปลง: การทดสอบ API ธนาคารจำเป็นต้องสร้าง API สำหรับข้อมูลธุรกรรมการชำระเงินเป็นหลักในรายการตรวจสอบการปฏิบัติตามข้อกำหนด PSD2 API เหล่านี้ต้องให้การเข้าถึงแบบเรียลไทม์ การตรวจสอบการฉ้อโกง การยืนยันตัวตนผู้ใช้แบบหลายปัจจัย และการวิเคราะห์พฤติกรรมผู้ใช้ และอื่นๆ ด้วยคุณสมบัติทั้งหมดเหล่านี้ ไม่ใช่เรื่องยากที่จะเข้าใจว่าทำไมบางสถาบันจึงปฏิบัติตามข้อกำหนดได้ช้า อย่างไรก็ตาม API เหล่านี้จะกลายเป็นรากฐานของการทำธุรกรรมทางการเงินแบบดิจิทัลตลอดช่วงปี 2020 และต่อๆ ไป ธุรกิจและผู้ให้บริการทางการเงินจะใช้ API ของธนาคารเพื่อจัดหาระบบการชำระเงินของตนเอง โดยอาจสร้าง API ของตนเองเพื่อใช้ข้อมูลการชำระเงินและพฤติกรรมอย่างเต็มที่ ในความเป็นจริง ธนาคารเองก็สามารถเป็นผู้ให้บริการบุคคลที่สาม (Third Party Provider - TPP) ได้เช่นกัน โดยการสร้างและใช้ API ของบุคคลอื่น ผลที่คาดว่าจะได้รับจากการแข่งขันที่เพิ่มขึ้นนี้คือการเพิ่มทางเลือกให้กับผู้บริโภคและทำให้ราคาลดลง ซึ่งเป็นเป้าหมายอันสูงส่งสำหรับหน่วยงานรัฐบาลที่คำนึงถึงพลเมือง บนพื้นผิว มาตรฐาน PDS2 สามารถปรับปรุงความน่าเชื่อถือและความปลอดภัยในการทำธุรกรรมทางการเงินแบบดิจิทัลได้ มันทำให้เกิดคำถามว่าธนาคารสร้าง API ของพวกเขาอย่างไร และใครเป็นคนใช้มัน แล้วยังไง.
2. ความปลอดภัยจากการฉ้อโกง: สิ่งที่ผู้บริโภคและสถาบันต้องรู้
หัวใจสำคัญของ PDS2 คือ API ที่ธนาคารจะสร้างเพื่อให้บริการแก่ TPP ความปลอดภัยเป็นสิ่งสำคัญยิ่งเมื่อธนาคารสร้าง API: พวกเขาสามารถเข้าถึงข้อมูลทางการเงินที่สำคัญที่สุดของเราได้อย่างมหาศาล รายละเอียดใด ๆ ที่ตกไปอยู่ในมือของตัวละครที่ไม่น่าเชื่อถือนั้นจะต้องพบกับหายนะ ดังที่เราได้กล่าวไปแล้ว การอภิปรายส่วนใหญ่มุ่งเน้นไปที่ API ด้านการธนาคารเหล่านี้ มีการให้ความสนใจน้อยลงกับสิ่งที่ PPT และสถาบันอื่น ๆ อาจทำกับ API ของตนเอง กล่าวอีกนัยหนึ่ง มีกฎความปลอดภัยใดบ้างสำหรับ PPT ความจริงมีน้อยมาก TPP มีข้อได้เปรียบหลักประการหนึ่งและข้อบกพร่องสำคัญประการหนึ่งเหนือ PDS2 ซึ่งเป็นข้อเดียวกัน ประการแรก TPP ไม่อยู่ภายใต้กฎระเบียบที่เข้มงวดเช่นเดียวกับธนาคาร นี่เป็นหนึ่งในตัวขับเคลื่อนหลักสำหรับ PDS2: การอนุญาตให้ TPP เหล่านี้เสนอตัวเลือกการชำระเงินหมายถึงความยืดหยุ่นที่มากขึ้นสำหรับผู้บริโภค พวกเขาไม่ได้เชื่อมโยงกับโครงสร้างพื้นฐานด้านไอทีแบบเดิมเช่นเดียวกับธนาคารหลายแห่ง อย่างไรก็ตาม ความคล่องตัวที่เพิ่มขึ้นนี้มาพร้อมกับค่าใช้จ่าย หาก TPP ไม่ต้องการความเข้มงวดมากนักในการเริ่มประมวลผลธุรกรรม นั่นหมายความว่าความปลอดภัยก็เข้มงวดน้อยกว่าด้วยใช่หรือไม่ ผู้บริโภคจะทราบได้อย่างไรว่าผู้ให้บริการชำระเงินรายใหม่จัดการความปลอดภัยของข้อมูลของตน
3: คำจำกัดความของแนวทางปฏิบัติที่ดีที่สุดใน PDS2
ประการแรก พรรคพลังประชาชนต้องตระหนักถึงความเสี่ยงที่พวกเขาเผชิญ การโจมตีด้วยการฉ้อโกงซึ่งผู้ใช้ที่เป็นอันตรายสร้างวงแหวนบัญชีปลอมเพื่อใช้ประโยชน์จากข้อได้เปรียบต่างๆ เพิ่มขึ้น 26% ในปีที่แล้ว แม้ว่าธนาคารจำนวนมากขึ้นเรื่อยๆ จะใช้ 2FA และโซลูชั่นอื่นๆ เพื่อต่อสู้กับอาชญากรรมเหล่านี้ ในระดับหนึ่ง PPT สามารถปรับปรุงความปลอดภัยของข้อมูลลูกค้าได้ พวกเขาอาจแบ่งปันข้อมูลระหว่างกันหรือกับธนาคารที่มี API ที่พวกเขาใช้ TPP ที่มีโปรโตคอลการรักษาความปลอดภัยที่แข็งแกร่งกว่ามีจุดขายที่ดีกว่าสำหรับลูกค้าใหม่: เชื่อว่าประเภทการแข่งขันที่แน่นอน PDS2 จะกระตุ้น ในขณะเดียวกัน ความท้าทายใหม่จะต้องเผชิญก่อนที่จะเกิดการรั่วไหล ในแง่หนึ่ง การตรวจสอบ API ที่ใช้เป็นสิ่งสำคัญ API ของธนาคารแต่ละแห่งจะได้รับการตรวจสอบอย่างต่อเนื่องเนื่องจาก TPP จำนวนมากจะใช้ API เพื่อให้บริการแก่ลูกค้าของตน API ที่สร้างโดยผู้ให้บริการบุคคลที่สามเหล่านี้จะได้รับการทดสอบอย่างเข้มงวดน้อยลง ด้วยเหตุนี้ SecDevOps จึงกลายเป็นผู้ควบคุมระหว่างความปลอดภัยทางการเงินและการละเมิดของแฮ็กเกอร์ มีหลายขั้นตอนที่แต่ละฝ่ายสามารถทำได้ในขณะนี้เพื่อรักษา PSD2 ให้ปลอดภัยในภายหลัง ก่อนอื่น จำเป็นอย่างยิ่งที่จะต้องใช้คลังของ API ที่ใช้งานอยู่แล้ว Ghost APIs ซึ่งก็คือ API ที่นักพัฒนาให้สิทธิ์เข้าถึงแล้วลืมไป ทำให้การแฮ็กจุดเข้าใช้งานทำได้ง่ายขึ้น การลบออกก่อนที่จะใช้ PSD2 จะเป็นการปูทางไปสู่ความปลอดภัยโดยรวมที่ดีขึ้น สำหรับตอนนี้ ผู้ค้าปลีก ธนาคาร และ PPTs ในอนาคตมีเวลามากกว่าหนึ่งปีในการปฏิบัติตาม PSD2 การบรรลุเป้าหมายนี้ไม่ได้หมายถึงการปฏิบัติตามกฎหมายเท่านั้น สถาบันใดก็ตามที่ต้องการให้บริการที่มีคุณภาพดีที่สุดในสภาพแวดล้อมดิจิทัลใหม่ต้องคำนึงถึงความปลอดภัยเป็นอันดับแรก โชคดีสำหรับพวกเขา มันสมเหตุสมผลในการทำธุรกิจ ผู้บริโภคมักมุ่งไปที่บริษัทที่สำคัญที่สุดสำหรับพวกเขา เมื่อพูดถึงความปลอดภัยของข้อมูลทางการเงิน สิ่งที่ดีที่สุดมักจะมาเป็นอันดับต้น ๆ เสมอ