PSD2 voor bedrijven een kans om te onderscheiden op security

PSD2 komt eraan. Door deze EU-richtlijn krijgen bedrijven die toestemming hebben van hun klant straks via API’s toegang tot iemands bankrekening. Om rekeninginformatie uit te lezen of bijvoorbeeld in opdracht een betaling uit te voeren. De richtlijn moet leiden tot meer innovatie in de financiële wereld. Hoe verloopt de implementatie en wat betekent de komst vanuit security-oogpunt?

In theorie moet over een klein jaar iedere bank klaar zijn voor PSD2 en beschikken over API’s. Derde partijen kunnen dan bijvoorbeeld na toestemming van de gebruiker bankdata inladen in een eigen digitale dienst. Net zoals gebruikers nu Google toegang geven om gegevens in te zien of beheren bij andere digitale diensten, zo geeft iemand straks een innovatieve betaaldienst of zelfs Facebook toegang tot zijn bank.

PSD2 leidt tot uitdagingen

Barclays, een van de grootste banken ter wereld, bereidt zich voor en laat alvast zien hoe zoiets kan werken. Bala Chandrasekaran is bij het bedrijf verantwoordelijk voor data-optimalisatie en vertelde er recent over op een conferentie. Zo wordt er een ‘snapshot’, een momentopname, gemaakt die is opgeslagen in een database tussen de bank en derde partijen in. In dit snapshot zijn bijvoorbeeld het saldo of de laatste bij- en afschrijvingen opgenomen. Door die data te bewaren op een tussenliggend station wordt de druk op de eigenlijke systemen niet zo hoog. Goed voor de veiligheid en een derde partij als Facebook kan sneller bij de gegevens. Hij legt uit: mensen loggen niet meer in om bij hun data te kunnen. Mensen loggen voortaan ergens anders in, dat systeem vraagt de data voor ze op.

De richtlijn zal ongetwijfeld leiden tot meer concurrentie en betere producten voor de klant. Maar hoe meer data iemand deelt, hoe groter het aantal plekken is waar een datalek kan ontstaan. Daar moeten bedrijven en hun klanten zich bijzonder goed bewust van zijn. PSD2 leidt dan ook tot uitdagingen. Er bestaat namelijk nog geen systeem dat banken met zekerheid vertelt dat de aanvrager van toegang tot de API daar ook recht op heeft. Het is dus wachten op een systeem dat de veiligheid van de verbinding garandeert.

PSD2 vooral een kans

Maar PSD2 is vooral een kans voor de bedrijven. De richtlijn zou namelijk moeten leiden tot innovatie van cybersecurity. De bedrijven die dat inzien zullen security omzetten in een bedrijfswaarde. Een onderscheidend vermogen – voor mensen een reden om voor een digitale dienst te kiezen.

Of gebruikers digitale producten ook op veiligheid gaan vergelijken, is natuurlijk van één ding afhankelijk: ze moeten (data)veiligheid überhaupt als iets belangrijks zien. Wil je dat bewustzijn als bedrijf creëren dan is het belangrijk te laten zien dat je de security zelf heel serieus neemt. Niet door het veiligheidsbeleid weg te moffelen op een pagina achteraf, maar door keuzes toe te lichten. Een aantal belangrijke stappen:

  • Encrypt werkelijk alles en doe het goed – Al eerder zijn er banken geweest die officiële apps lanceerden, maar verbindingen niet goed beveiligden. De grote Britse ISP TalkTalk liet na te encrypten omdat het niet zo belangrijk leek. Die houding leidde tot een lek. En hoewel TalkTalk slachtoffer was kreeg het zelf een fikse boete. De les: neem encryptie serieus.
  • Overweeg een bugbounty-programma – Beschikt een bedrijf over een app of website dan is een bugbounty-programma een slimme keuze. Zo’n programma beloont iedereen die een zwakte in de beveiliging vindt. Ook steeds meer Nederlandse bedrijven laten hiermee aan de buitenwereld zien security hoog op de agenda te hebben staan: van banken tot aan Gamma.
  • Wees duidelijk over het gebruik van data – Een artikel in dagblad Trouw zorgde recent voor de nodige ophef. Lezers dachten dat banken met de komst van PSD2 hun financiële data zouden verkopen. Onduidelijkheid over datagebruik leidt tot onrust en uiteindelijk wantrouwen. Vermijd het onderwerp daarom niet en communiceer met welk doel data worden gebruikt. Idealiter worden de data niet gedeeld met derden ook al is dat wettelijk misschien toegestaan. Neem verder nooit in de gebruiksvoorwaarden op dat diezelfde voorwaarden eenzijdig zijn te veranderen. Zoiets zorgt altijd voor onbegrip.
  • Opt-in als standaard –  Worden er aan het digitale product nieuwe functies toegevoegd die andere data verzamelen, zorg dan voor een opt-in in plaats van een automatische deelname. Is de functie werkelijk zo goed als wordt geclaimd dan zijn gebruikers altijd bereid zich hiervoor actief aan te melden. Het geeft ze de ruimte de dataverwerking en security opnieuw in overweging te nemen.

Het delen van financiële data leidt de komende jaren ongetwijfeld tot veel nieuwe (veiligheids)vraagstukken. Maar bovenal is het een kans om te onderscheiden. Hopelijk worden digitale diensten dan niet alleen meer op prijs en service vergeleken, maar ook op dataveiligheid.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond.

terug