PSD2 – co z tym bezpieczeństwem?

opublikowano: 26 listopada 2019
PSD2 – co z tym bezpieczeństwem? lupa lupa

Dyrektywa PSD2 wprowadziła wiele zmian na rynku usług finansowych, które stały się nie tylko wyzwaniem dotyczącym zgodności z przepisami i technologiami, ale też wymusiła nowe spojrzenie na strategię rozwoju biznesu.

W obliczu nowych wytycznych najwięcej mówiono o tym, co zmieniło się z punktu widzenia konsumentów jak np. podwójne uwierzytelnienie czy konieczność podawania kodu PIN przy większej liczbie transakcji kartowych. Znacznie mniejszą uwagę zwrócono na to, jakie rozwiązania muszą wewnętrznie wprowadzić banki i instytucje finansowe. To nie tylko open API, które nierozerwalnie wiąże się z otwartą bankowością, ale także konieczność wdrożenia i utrzymania odpowiednich mechanizmów awaryjnych czy choćby odgórnie narzucony obowiązek udostępniania środowiska testowego.

Będzie więcej ataków

Z badań przeprowadzonych przez Związek Banków Polskich oraz KPMG wynika, że aż 76 proc. przedstawicieli sektora bankowego spodziewa się wzrostu liczby cyberataków po wdrożeniu dyrektywy Payment Services Directive 2. Cyberprzestępcy poczynają sobie coraz śmielej, a przypadków naruszeń bezpieczeństwa przybywa z roku na rok. Raport CERT za 2018 r. pokazał, że liczba incydentów w sieci wzrosła o 17,5 proc. w stosunku do roku poprzedniego. Banki i instytucje współpracujące z nimi w ramach otwartego API muszą się spodziewać, że hakerzy będą próbować pokonać zabezpieczenia i zdobyć dostęp do wrażliwych danych.

Instytucje finansowe posiadają skuteczne zabezpieczenia i dobrze opracowane procedury chroniące ich systemy przed dostępem osób nieuprawnionych. Jednak próby złamania zabezpieczeń mogą doprowadzić do utraty ciągłości usług i utracenia danych. Niezbędnym jest zatem zadbanie o odpowiednie kopie bezpieczeństwa, a firma Veeam zaleca regułę 3-2-1, w której tworzone są trzy kopie najważniejszych plików, zapisywane są one na co najmniej dwóch różnych nośnikach, a jedna kopia jest zawsze przechowywana poza lokalem przedsiębiorstwa. Kopie najlepiej wykonywać w rozproszony sposób – z wykorzystaniem chmury lub środowiska wielochmurowego wspomaganego lokalną kopią. Przy wyborze dedykowanego rozwiązania jednym z kluczowych parametrów, które należy wziąć pod uwagę, jest czas, w jakim oprogramowanie jest w stanie przywrócić ciągłość świadczenia usług. Najlepsze z nich potrafią przywrócić funkcjonowanie systemów po ataku w zaledwie kilka minut – komentuje Andrzej Niziołek, Dyrektor Regionalny w Veeam Software, firmie zajmującej się zaawansowanymi rozwiązaniami z zakresu bezpieczeństwa i backupu.

Wymagane zabezpieczenia

Unijne rozporządzenie 2018/389 nakłada obowiązek posiadania odpowiednich mechanizmów awaryjnych w ramach specjalnego interfejsu dostępowego. Zamiarem ustawodawcy jest zapewnienie w ten sposób ciągłości usług świadczonych za pośrednictwem open API podmiotom trzecim. Co prawda rozporządzenie zakłada możliwość zwolnienia z obowiązku stosowania mechanizmów awaryjnych, jednak uzyskanie na to zgody KNF oraz Europejskiego Urzędu Nadzoru Bankowego będzie wyjątkowo trudne. Po pierwsze, kryteria które musi wypełnić podmiot są dość niejasne, po drugie – trudne do spełnienia. Należy sobie także odpowiedzieć na pytanie, czy jest sens rezygnowania z nich w obliczu ciągle rosnącej liczby ataków na infrastrukturę IT. Historia pokazuje, że utrata danych czy choćby brak możliwości ich przywrócenia, może mieć bardzo dotkliwe skutki finansowe, nie wspominając już o kwestiach wizerunkowych. W przypadku firm działających na masową skalę jak banki, ale też współpracujących z nimi podmiotami straty mogą być naprawdę potężne i to nie tylko te finansowe. W tym przypadku rozczarowani klienci i utrata dobrego wizerunku są nie do przecenienia.

Kopie bezpieczeństwa ważnym elementem

Odpowiedzią na zagadnienia bezpieczeństwa i zapewnienia ciągłości usług w dużej mierze jest chmura. Jej szybkość, skalowalność, możliwość dopasowania pod konkretne wymagania i zabezpieczenia sprawiają, że staje się ona naturalnym wyborem dla coraz większej liczby firm. Niepotrzebnie niektórzy martwią się właśnie o jej bezpieczeństwo, które obecnie stoi na najwyższym poziomie.

Rozwiązania pozwalające na wykonywanie kopii bezpieczeństwa i ich przywracania z chmury cechują się wyjątkowo wysokim poziomem bezpieczeństwa. O tym, że środowisko chmurowe jest dobrze zabezpieczone, świadczą choćby ruchy amerykańskich instytucji rządowych. Departament Obrony USA planuje przenieść swoją infrastrukturę IT właśnie do chmury, na co przeznaczy 10 mld USD1. Warto jednak pamiętać, że najczęściej dostawcy rozwiązań chmury publicznej stosują tzw. „shared responsibility model” – odpowiadają za tzw. uptime, czyli dostępność do działającej usługi, przerzucając odpowiedzialność za backup i zabezpieczenie danych na użytkownika. Warto na to zwrócić uwagę decydując się na migrację do chmury.

Dyrektywa PSD2 wniosła na rynek wiele szans i możliwości rozwoju zarówno dla banków, jak i podmiotów z nimi współpracujących. Niesie też pewne zagrożenia związane choćby z prognozowanym zwiększeniem liczby cyberzagrożeń. Warto, aby wszyscy użytkownicy open API pamiętali o odpowiednich mechanizmach zabezpieczeń i odzyskiwania danych. Dzięki temu zapewnią sobie bezpieczeństwo i spokój, a jednocześnie będą przygotowani na szybkie przywrócenie danych, a co za tym idzie usług w przypadku np. ataku hakerskiego.

Źródło: materiały prasowe Veeam Software

Komentarze (0)
Dodająć komentarz, akceptujesz regulamin forum.
dodaj komentarz
 
 

obecnie brak komentarzy, zapraszamy do komentowania.

 

Zaloguj się, by uzyskać dostęp do unikatowych treści oraz cotygodniowego newslettera z informacjami na temat najnowszego wydania

Zarejestruj się | Zapomniałem hasła

Szanowny Czytelniku

Chcielibyśmy poinformować Cię o przetwarzaniu Twoich danych osobowych oraz zasadach, na jakich będzie się to odbywało po dniu 25 maja 2018 r., zgodnie z instrukcjami, o których mowa poniżej.

Od 25 maja 2018 r. zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (określane w skrócie również jako „RODO”, „ORODO”, „GDPR” lub „Ogólne Rozporządzenie o Ochronie Danych”). RODO obowiązywać będzie w identycznym zakresie we wszystkich krajach Unii Europejskiej, w tym także w Polsce, i wprowadza wiele zmian w zasadach regulujących przetwarzanie danych osobowych, które będą miały wpływ na wiele dziedzin życia, w tym na korzystanie z usług internetowych. Przed przejściem do serwisu naszym celem jest zapoznanie Cię ze szczegółami stosowanych przez nas technologii oraz przepisami, które niebawem wejdą w życie, tak aby dać Ci szeroką wiedzę i bezpieczeństwo korzystania z naszych serwisów internetowych Prosimy Cię o zapoznanie się z podstawowymi informacjami.

Co to są dane osobowe?

Podczas korzystania z naszych usług internetowych Twoje dane osobowe mogą być zapisywane w plikach cookies lub podobnych technologiach, instalowanych przez nas lub naszych Zaufanych Partnerów na naszych stronach i urządzeniach do zbierania i przetwarzania danych osobowych w celu udostępniania personalizowanych treści i reklam, bezpieczeństwa oraz analizowania ruchu na naszych stronach.

Kto będzie administratorem Twoich danych osobowych?

Administratorami Twoich danych osobowych będzie Fratria sp. z o.o., a także nasi Zaufani Partnerzy, tj. firmy i inne podmioty, z którymi współpracujemy przede wszystkim w zakresie marketingowym. Listę Zaufanych Partnerów możesz sprawdzić w każdym momencie pod niniejszym linkiem „Zaufani Partnerzy”.

Po co są nam potrzebne Twoje dane?

Aby dostosować reklamy do Twoich potrzeb i zainteresowań, zapewnić Ci większe bezpieczeństwo usług oraz dokonywać pomiarów, które pozwalają nam ciągle udoskonalać oferowane przez nas usługi.

Twoje uprawnienia

Zgodnie z RODO przysługują Ci następujące uprawnienia wobec Twoich danych osobowych i ich przetwarzania przez nas i Zaufanych Partnerów. Jeśli udzieliłeś zgody na przetwarzanie danych, możesz ją w każdej chwili wycofać. Przysługuje Ci również prawo żądania dostępu do Twoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do przeniesienia danych, wyrażenia sprzeciwu wobec przetwarzania danych oraz prawo do wniesienia skargi do organu nadzorczego – GIODO. Uprawnienia powyższe przysługują także w przypadku prawidłowego przetwarzania danych przez administratora.

Zgoda

Wyrażenie przez Ciebie zgody jest dobrowolne. W każdym momencie możesz również edytować swoje preferencje w zakresie udzielonej zgody, w tym nawet wycofać ją całkowicie, klikając w ustawienia zaawansowane lub wyrażając zgodę i przechodząc na naszą stronę polityki prywatności. Każde przetwarzanie Twoich danych musi być oparte na właściwej, zgodnej z obowiązującymi przepisami, podstawie prawnej. Podstawą prawną przetwarzania Twoich danych osobowych w celu świadczenia usług, w tym dopasowywania ich do Twoich zainteresowań, analizowania ich i udoskonalania oraz zapewniania ich bezpieczeństwa, jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy lub podobne dokumenty dostępne w usługach, z których korzystasz na naszych stronach internetowych). Jeśli chcesz się zgodzić na przetwarzanie przez Fratrię sp. z o.o. i jej Zaufanych Partnerów Twoich danych osobowych zebranych w związku z korzystaniem przez Ciebie z naszych stron i aplikacji internetowych, w tym ich przetwarzanie w plikach cookies itp. instalowanych na Twoich urządzeniach i odczytywanych z tych plików danych, możesz w łatwy sposób wyrazić tę zgodę, klikając w przycisk „Zgadzam się i przechodzę do serwisu”. Jeśli nie chcesz wyrazić opisanej wyżej zgody lub ograniczyć jej zakres, prosimy o kliknięcie w „Ustawienia zaawansowane”. Wyrażenie zgody jest dobrowolne. Dodatkowe informacje dotyczące przetwarzania danych osobowych oraz przysługujących Ci uprawnień przeczytasz na „Polityce prywatności”.

×

Ustawienia zaawansowane

Aby dostosować reklamy i treści do Twoich potrzeb i zainteresowań, zapewnić Ci większe bezpieczeństwo usług oraz dokonywać pomiarów, które pozwalają nam ciągle udoskonalać oferowane przez nas usługi, podczas korzystania z naszych usług internetowych Twoje dane osobowe mogą być zapisywane w plikach cookies lub podobnych technologiach instalowanych przez nas lub naszych Zaufanych Partnerów na naszych stronach i urządzeniach do zbierania i przetwarzania danych osobowych.

Aktywna zgoda

Zgadzam się na przechowywanie w moim urządzeniu plików cookies, jak też na przetwarzanie w celach marketingowych, w tym profilowanie, moich danych osobowych pozostawianych w ramach korzystania oferowanych przez Wydawnictwo Fratria sp. z o.o. oraz zaufanych partnerów usług Wydawnictwa. Wyrażam zgodę na przetwarzanie danych w ramach korzystania z oferowanych przez Wydawnictwo Fratria zaufanych partnerów usług. Pamiętaj, że wyrażenie zgody jest dobrowolne.

Dodatkowe informacje dotyczące przetwarzania danych osobowych oraz przysługujących Ci uprawnień przeczytasz na Polityce prywatności.