بررسی Open API در استاندارد جدید PSD2 / چالش‌های امنیتی که بانک‌ها با آن مواجه خواهند شد

PSD۱ که در سال ۲۰۰۷ منتشر شد برای متناسب‌سازی بازار اروپا با خدمات پرداخت طراحی‌شده بود و نسخه جدید این استاندارد که با عنوان PSD2 از ژانویه ۲۰۱۸ به کار گرفته می‌شود، با حفظ مزایای نسخه پیشین و افزایش شفافیت و حمایت از مشتری و امنیت، بخصوص با توجه به پرداخت آنلاین و تلفن همراه و قیمت‌گذاری ایجادشده است. (+)
 
دیوید جونز از شرکت ایردِتو (Irdeto) می‌گوید که API هایِ در راه، بسترهای مناسبی برای آسیب‌های نوینی هستند که ممکن است توسط هکرها وارد شوند. درباره همین موضوع، دیوید جونز که در حال حاضر مدیر بخش پرداخت‌ها و بانکداری ایردتو است به پرسش‌هایی که در خصوص Open API ها و استاندارد PSD2 وجود دارد، پاسخ می‌دهد.
 
هنگامی‌که PSD2 توسط اعضای بین‌المللی به قانون ملی معرفی شود بانک‌های اروپایی باید دست‌به‌کار شده و دسترسی به تأمین‌کنندگان ثالث را برای حساب‌های مشتریان، فراهم آورند. حال این وضعیت، چه پیامدی برای امنیت آنلاین دارد؟
 
مشتریان با PSD2 می‌توانند از طریق وب‌سایت‌های تأمین‌کنندگان ثالث، حساب‌های بانکی خود را مشاهده کرده و عملیات بانکی انجام دهند.
 
علاوه بر این طبق قوانین و مقررات جدید، تأمین‌کنندگان ثالث می‌توانند اختیارات بازیابی داده‌های مالی از بانک صادرکننده را نیز داشته باشند. این بدان معناست که بانک‌ها امکان دسترسی به پشت سیستم‌ها را برای تأمین‌کنندگان ثالث فراهم می‌آورند تا بتوانند داده‌ها را بازیابی کنند.
 
این سطح دسترسی، شباهت بسیار زیادی به Open API دارد. مدل‌های کسب‌وکار جالبی در حال پیدایش در این فضا است اما ازنقطه‌نظر امنیتی، پیچیدگیِ امن نگاه داشتن داده‌ها نیز به‌طور چشمگیری افزایش خواهد یافت.
 
یکی از محرک‌های اساسی این است که مشتریان با نمونه‌های بسیار زیادی مشابه بانک‌های سنتی خود در ارتباط هستند و بدین ترتیب فضای حملهٔ هکرها چند برابر می‌شود.
 
ظهور Open API، بستر مناسبی برای آسیب‌رسانیِ هکرها است بنابراین بسیار حیاتی و حائز اهمیت است که تأمین‌کنندگان تا زمان پیاده‌سازی PSD2 یعنی تا ژانویه سال ۲۰۱۸، با دقت هرچه‌تمام‌تر مراقب این استانداردها باشند.
 
Open API مستلزم چه موارد امنیتی است و کدام نهاد، مسئولیت اصلی تأمین امنیت داده‌ها را بر عهده دارد؟
 
صنعت پرداخت و بانکداری در میانهٔ دگرگونیِ دیجیتالی قرار دارد. تأمین‌کنندگان سنتی خدمات مالی در همهٔ عرصه‌ها در حال مواجهه با وقایع نوین هستند.
 
هم‌زمان، جرائم اینترنتی نیز از یک هکر با یک لپ‌تاپ و یک آدرس آی‌پیِ جعلی فراتر رفته و تبدیل به سازمان‌های جهنده با مهارت‌های بالا شده که حملات اینترنتیِ جهانی را اجرا می‌کنند؛ بنابراین موارد بسیار زیاد دیگری علاوه بر هدایتِ موفقیت‌آمیز، وجود دارند که باید به آن‌ها اندیشید.
 
درنتیجه بانک‌ها و تأمین‌کنندگان خدمات پرداخت باید به این ادراک برسند که استانداردهای فعلیِ صنعت در عرصهٔ امنیت شبکه، رمزنگاری و تأمین توسعهٔ امن، کافی نیستند.
 
آن‌ها مسئول حفظ امنیت داده‌ها در برابر جرائم اینترنتی هستند که روزبه‌روز نیز پیچیده‌تر و سازمان‌دهی‌تر می‌شوند. این امر مستلزم حفظ امنیت «قابل‌اثبات در آینده» است چراکه این امکان را برای سازمان‌های مالی فراهم می‌آورد تا خدمات موجود را مستحکم‌تر و خدمات جدید خود را در برابر تهدیدهای پویای امروزی، مقاوم‌تر کنند.
 
هم‌اکنون بانک‌ها و تأمین‌کنندگانِ درگاه‌های API­، از چه معیارهای امنیتی استفاده می‌کنند؟
 
امروزه بانک‌ها از مجموعه‌ای از محصولات امنیت شبکه و API استفاده می‌کنند. اغلب این محصولات در قالب درگاه‌های API است که سندیت، اختیارات و پایش را به API می‌افزاید. به‌هرحال ازآنجایی‌که اپلیکیشن‌های وب و موبایل که به API متصل می‌شوند می‌توانند روزنه‌ای برای لو رفتن اطلاعات (بانکی) حساس باشند لذا این معیارها و استانداردها کافی نیستند.
 
این موضوع در عمل، بدان معناست که هر بار مشتری روی صفحه، کلیک می‌کند سِرورهای بانک از طریق اینترنت و از مجرای یک محیط کنترل نشده قابل‌دسترسی خواهند بود.
 
چنین فعل‌وانفعالات اینترنت-محور، داده‌های مشتریان را به یک هدفِ خوش و آب و رنگ‌تری برای جرائم اینترنتی تبدیل می‌کند. طبق گزارش سال ۲۰۱۶ شرکت وِریزون (Verizon) در بررسی نقض داده‌ها، حدود ۴۰ درصد از سرقت داده‌ها از طریق اپلیکیشن‌های وب انجام می‌شوند.
 
این موضوع صراحتاً بدان معناست که ملاحظات امنیتیِ فعلی، کافی نیستند به‌ویژه با وجود دگرگونی‌های دیجیتالی که پرداخت‌ها و بانکداری با آن‌ها مواجه هستند.
 
بانک‌ها و تأمین‌کنندگان ثالث در بازنگری رویکردهای امنیتی خود، چه ملاحظاتی را باید در نظر داشته باشند؟
 
بانک‌ها و تأمین‌کنندگان ثالث باید آخرین استانداردهای امنیتی را پیاده‌سازی کنند که فراتر از پروتکل‌های استاندارد صنعت، تحت عنوان HTTPS است.
 
به‌علاوه مهم است در برابر حمله‌هایی که بین کاربران اینترنتی و سِرور رخ می‌دهند (غالباً تحت عنوان حملاتِ مرد میانی (Man-in-the-Middle attacks) شناخته می‌شوند) نیز ایمن باشند.
 
به‌علاوه بانک‌ها و تأمین‌کنندگان ثالث از قدیم‌الایام روی امنیتِ محیطی، تمرکز کرده و جاوا اسکریپت و API ها را داخل دیوار آتش، محافظت کرده‌اند.
 
به‌هرحال حملات مرد میانی، جاوا اسکریپت‌ها و API هایی را که خارج از دیوار آتش و در قالب پرداخت هستند هدف قرار می‌دهند. بهترین روش برای محافظت در برابر حملات مرد میانی این است که جاوا اسکریپت‌هایی که در قالب پرداخت، اجرا می‌شوند مقاوم شوند. با این کار، بانک‌ها و تأمین‌کنندگان ثالث نه‌تنها کدها بلکه API هایی را که داده‌ها را از سطح به سمت سِرور می‌برند محافظت می‌کنند.
 
با وجود جرائم سایبری که پیچیدگیِ آن‌ها روزافزون است، چه چالش‌های امنیتیِ دیگری برای بانک‌ها پیش‌بینی می‌کنید؟
 
با پیاده‌سازیِ PSD2 در صنعت خدمات مالیِ اروپایی، طبیعی است که جاوا اسکریپت و API هایی که در خارج از دیوار آتش اجرا می‌شوند (Open API) بستری برای دسترسیِ تأمین‌کنندگان ثالث به داده‌های بی‌نهایت حساس باشند.
 
در حال حاضر اکثر تأمین‌کنندگانِ خدمات، به شکاف‌های خارج از دیوار آتش، توجه زیادی نشان نمی‌دهند. این شکاف‌ها ازنظر آن‌ها یا آن‌قدر کوچک است که ارزش زنگ خطر ندارند و یا «خطای انسانی» غیرقابل تشخیص است مانند خطای یک اپراتور بانک خُرد هنگام شمارش چندین ده پوندی.
 
به‌هرحال چندین «خطای انسانی»- ده دلار آمریکا، ده یوروی آمستردام یا ده پوند لندن- طیِ صدها روز و بین ده‌ها شهر می‌تواند به مقدار قابل‌توجهی از دزدیِ گردش مالی تبدیل شود بدون آنکه حتی بانک متوجه شود.
 
مسیرهای زیادی وجود دارند که ده دلار آمریکا، ده یوروی آمستردام یا ده پوند لندن به یک حساب اشتباه، واریز شوند. یکی از این مسیرها یک حملهٔ مرد میانی TLS/SSL است.
 
مرد میانی، نوعی از حملهٔ سایبری است که یک جاعل خود را میان تعاملات دو طرف می‌اندازد، هویت هر دو طرف را جعل می‌کند و به اطلاعاتی که آن‌ها قصد دارند برای یکدیگر بفرستند دسترسی می‌یابد. با توجه به آنکه هر دزدی، بسیار کوچک است حتی نمی‌توان گفت که رخ داده است.
 
تجزیه‌وتحلیل‌های زیادی پیرامون حجم یا تأثیرات این قبیل حملات انجام نشده و محافظت در برابر آن‌ها نیز خیلی حائز اهمیت نبوده است. این فقدانِ درک می‌تواند صنعت را در برابر موارد روزافزونِ تقلب‌های سایبری، بی‌پناه کند.
 
به‌هرحال واضح است برای تأمین‌کنندگانی که می‌خواهند هم‌زمان با ورود PSD2، همچنان امن باقی بمانند فناوری‌های گسترده‌ای که اپلیکیشن‌ها را فراتر از دیوار آتش، مقاوم می‌کنند اهمیت روزافزونی خواهند داشت.
 
کلوک‌وِیرِ شرکت ایردِتو برای پرداخت‌ها و بانکداری، در یک کنفرانس تراکنشی دربارهٔ توسعهٔ حرفه‌ای و پایدار در عرصهٔ پرداخت‌های شخصی تحت عنوان «اوج پرداخت‌های اروپایی» برندهٔ جایزهٔ فلورین در گروه «امنیت چندکانالهٔ پرداخت‌ها» شد. کلوک‌وِیرِ شرکت ایردِتو برای پرداخت‌ها و بانکداری، بانک‌ها و تأمین‌کنندگان خدمات پرداخت را قادر می‌سازد به کمک دانشِ امنیتِ نهفته در کلوک‌وِیرِ، خلاقیت سریع و به‌هنگام داشته باشند.
 
دربارهٔ دیوید جونز
دیوید در سال ۲۰۰۸ میلادی به ایردِتو پیوست. از آن زمان تاکنون مسئولیت‌های وی شامل استراتژی مشارکت جهانی، مدیریت بازرگانی و خدمات پشتیبانی فنی شرکاء بوده است.
 
دیوید در سال ۲۰۱۴، به پشتوانهٔ تجربهٔ گسترده‌اش در عرصهٔ بین‌المللی، به تیم توسعهٔ کسب‌وکار پیوست تا ورودی‌های ایردِتو را به سمت بازارها و بخش‌های نوین، هدایت کند.
 
در حال حاضر دیوید، مدیر بخش پرداخت‌ها و بانکداری است و فناوری‌ها و راهکارهای هسته‌ایِ ایردِتو را با استفاده از فروش و کانال‌های مستقیم به صنعت خدمات مالی معرفی می‌کند.
 
دربارهٔ ایردِتو (Irdeto)
ایردِتو با حدود ۵۰ سال سابقه در حوزهٔ امنیت، یکی از پیشگامان پلتفرمِ دیجیتال و اپلیکیشن امنیتی است. فناوریِ ایردِتو بیش از ۷۵۰ میلیون دلار آمریکا در پرداخت‌ها و بیش از ۵ میلیارد دستگاه و اپلیکیشنِ برخی از نام‌آشناترین برندهای دنیا را در برابر حملات سایبری حفظ می‌کند.
 
ایردِتو به اتکای این مهارت خود در عرصهٔ امنیت، بانک‌ها و تأمین‌کنندگان خدمات پرداخت را قادر می‌سازد یک خرید دیجیتالی به همراه تجارب بانکداریِ امن و راحت برای مشتریان به همراه آورند.

چگونه PSD2 چهره پرداخت جهان را تغییر می‌دهد؟

نوآوری‌های فناورانه، که رشدش را مدیون عطش نسل حاضر به فناوری است، به یک تسریع‌کننده بزرگ تغییرات در خدمات مالی تبدیل شده است. به‌طور حتم فضای پرداخت به‌طور قابل‌ملاحظه‌ای در سال‌های اخیر با حضور و ورود
 
نوآوری‌های فناورانه، که رشدش را مدیون عطش نسل حاضر به فناوری است، به یک تسریع‌کننده بزرگ تغییرات در خدمات مالی تبدیل‌شده است. به‌طور حتم فضای پرداخت به‌طور قابل‌ملاحظه‌ای در سال‌های اخیر با حضور و ورود بازیگرانی چون فین‌تک‌ها و بانک‌های به بازار تغییر کرده است و راهکارهای پیچیده دیجیتالی رو به افزایش هستند.
 
بسیار مهم است که مقررات مدام در حال تکامل باشند تا حالت‌های جدید بازار را پوشش دهند و متناسب باهدف بتوانند نیازهای محیط را برآورده کنند. برای به رسمیت شناختن تغییر، قانون‌گذاران اروپایی در حال تجدیدنظر و به‌روزرسانی رهنمودهای سرویس‌های پرداخت هستند.
 
PSD۱ که در سال ۲۰۰۷ منتشر شد برای متناسب‌سازی بازار اروپا با خدمات پرداخت طراحی‌شده بود و PSD۲، که در ژانویه ۲۰۱۸ به‌کار گرفته می‌شود، با حفظ مزایای نسخه پیشین و افزایش شفافیت و حمایت از مشتری و امنیت (بخصوص با توجه به پرداخت آنلاین و تلفن همراه) و قیمت‌گذاری ایجادشده است. دامنه این قانون در خصوص شفافیت موردنیاز اطلاعات قوانین و تعهدات به پرداخت‌های one leg out هم گسترش‌یافته است (تراکنش‌هایی که یک‌طرف آن خارج از منطقه اقتصادی اروپاست) درحالی‌که قبلاً در این قانون تنها معاملات درون منطقه اقتصادی اروپا گنجانده‌شده بود. البته این بدان معناست که این قانون شامل همه ارزها خواهد بود و به‌موجب آن تعداد بیشتری از پرداخت‌ها و فعالان صنعت را تحت تأثیر قرار می‌دهد.
زمینه‌سازی برای اجرای PSD2 مدتی است که در حال انجام است. ملاحظات کلیدی برای بانک‌ها شامل منابع سرمایه‌گذاری فناوری، بازخوانی فرآیندها روش‌ها و استراتژی کسب‌وکار شناسایی پتانسیل خدمات جدید ازاین‌دست بودند.
 
بدون شک PSD2 قرار است تغییرات قابل‌توجهی ایجاد کند؛ و جنبه دیگر این قانون جدید می‌تواند پیامدهای دور از ذهنی داشته باشد و می‌توان تعریف دوباره‌ای پرداخت را ارائه کرد.
 
پرورش رقابت، تحریک همکاری
 
یکی از اهداف اصلی PSD2 تحریک رقابت در بازار پرداخت اتحادیه اروپاست  که در پی آن است تازه‌واردان راحت‌تر بتوانند جای پای خود را در فضای پرداخت محکم کنند. در آینده، بانک‌ها، _در صورت درخواست مشتری _باید اطلاعات مشتریان را با ارائه‌دهندگان سرویس‌های پرداخت به اشتراک بگذارد تا بتواند از تازه‌واردان حمایت کند. این مسئله نه‌تنها به تسهیل کسب‌وکار TPPSها کمک می‌کند که زیر بنای سرویس‌های خود را بر مبنای اطلاعات حساب مشتریان بانک‌ها قرار ­دهند، بلکه دسترسی مستقیم به پایگاه داده مشتری پیدا می‌کنند. این شیوه از «بانکداری باز» می‌تواند به‌طور اساسی زنجیره ارزش پرداخت را تغییر داده و بانک‌ها را ملزم به ارزیابی مجدد روش‌های کسب‌وکار خود نماید.
 
هجوم فین‌تکی‌ها و سایر ارائه‌دهندگان خدمات به فضای پرداخت بسیار شگفت‌آور است و انتظار می‌رود PSD2 این روند را تسریع کند. علاوه بر این بررسی‌های اخیر نشان می‌دهد ۸۸ درصد مصرف‌کنندگان از ارائه‌دهندگان پرداخت‌های آنلاین استفاده می‌کنند که این مسئله نشان‌دهنده اشتیاق فراوان برای تحولات دیجیتالی و چشم‌انداز جدید تراکنش‌هاست که PSD2 قصد دارد به آن دست یابد.
 
مرحله‌ای برای رسیدن به حالت جدید ایفای نقش در بازار پرداخت تعیین‌شده و البته این موضوع قابل‌درک است و تردید زیادی با توجه به اینکه چگونه تغییر قوانین تمام بازیگران درگیر را تحت تأثیر قرار خواهد داد وجود دارد. بااین‌حال باوجود فضای پرداخت متغیر اطراف آن‌ها رویکرد «صبر کن و ببین» استراتژی بالقوه خطرناکی برای بانک‌هاست؛ بنابراین درحالی‌که PSD2 ممکن است چالش‌هایی برای صنعت بانکداری ایجاد کند با مزایا و امکانات فین‌تک که بیش از همیشه شاهد آن هستیم بسیاری از بانک‌ها با آغوش باز پذیرای فرصت‌های ایجادشده با تغییر محیط و تفکر استراتژیک دیجیتال با حرکت روبه‌جلو هستند.
 
بانک‌ها در حال آزمایش صحنه فین تک هستند و هم‌زمان با فین‌تک‌ها و مشتریان در ایده‌ها و مفاهیم نوآورانه و جدید که می‌توانند فرایند کسب‌وکار و تجربه تراکنش‌ها را غنی کند کار می‌کند؛ و درحالی‌که PSD2 برای تأثیرگذاری بر شیوه تعامل بانک‌ها و TPP ها با افزایش دسترسی به داده‌ها آماده می‌شود، می‌تواند به‌عنوان یک چهارچوب برای نوآوری و همکاری با ایجاد موج جدیدی از تعامل به‌حساب آید.
 
 
PSD2 و نوآوری
 
مقامات بانکی اروپا هنوز قواعد چگونگی به اشتراک گذاشتن اطلاعات بین بانک‌ها و TPPها را منتشر نکرده‌اند، اما به‌احتمال‌زیاد این مسئله از طریق رابط‌های برنامه‌نویسی کاربردی یا APIها صورت خواهد پذیرفت.API ها به تسهیل تأثیرگذاری و تبادل مؤثر اطلاعات کمک می‌کنند و وسیله‌ای قدرتمندی برای راهکارهای توسعه‌ای سریع، آسان و مقرون‌به‌صرفه هستند؛ و PSD2 راه را برای استفاده بیشتر از API ها هموار خواهد کرد.
 
APIها توانمندسازهای مهم پرداخت دیجیتال به‌حساب می آیند و مزایای آن به‌طور فزاینده‌ای شناخته و تقویت می‌شود. به‌عنوان‌مثال، BNY ملون که NEXEN را ایجاد کرده است، چهارچوبی مدرن است که راهکارها و اطلاعات را از BNY ملون و مشتریان جمع‌آوری کرده و همکارانی خارج از مجموعه شامل فین‌تک‌ها راهم انتخاب کرده است. در حال حاضر بیش از صد API در API store وجود دارد که بر اساس نیاز مشتری به‌روزرسانی و تکمیل می‌شود.
 
این انعطاف‌پذیری به‌خصوص در چشم‌اندازی که به‌سرعت در حال تحول است بسیار مهم است؛ به‌طوری‌که بانک‌ها بتوانند به‌سرعت خود را با آن وفق دهند و خدمات و راهکارهای موازی با توسعه بازار و تغییر مقررات ارائه کنند. قطعاً این سرعت تغییر بدان معناست که آزادی عمل برای به‌روزرسانی قوانین در آینده وجود دارد. علاوه بر این، API ها به مشتریان و بانک‌ها اجازه می‌دهند تا کار مشترک بیشتری برای ارائه راهکارهای جدید انجام دهند و این مسئله به بانک‌ها امکان ارائه تجربه تراکنش مشتری محور واقعی را می‌دهد.
 
مدل‌های مشتری محور برای ارائه‌کنندگان خدمات مالی بسیار کلیدی خواهد بود؛ اما با توجه به رفتارهای فرهنگی متفاوت، قدرت خرید و آمار جمعیتی در کشورهای مختلف منطقه اقتصادی اروپا دستیابی به این هدف کار کوچکی نیست. به‌عنوان‌مثال آلمان دارای جمعیتی پیر با تمایل بسیار کم به پرداخت‌های دیجیتال نسبت به سایر کشورهای منطقه اقتصادی اروپاست؛ و این شرایط گوناگون باید در طی روند دیجیتال‌سازی توسط بانک‌ها و قانون‌گذاران در نظر گرفته شود تا اطمینان حاصل شود که تمام مردم منطقه اقتصادی اروپا می‌توانند در آن شرکت جسته و از قوانین خدمات و محصولات جدید، با چهارچوب قانونی به‌روز که توازن بین نوآوری، رقابت و حمایت از مصرف‌کننده را برقرار می‌سازد، بهره‌مند شوند.
 
PSD2 به‌عنوان یک توانمند‌ساز نوآوری عمل می‌کند و درنتیجه آن فضای پرداخت در سال‌های آینده متفاوت خواهد بود؛ اما با اتخاذ استراتژی مشتری محور (با همکاری فین‌تک‌ها و خود مشتریان) و راهبرد استراتژیک برای سرمایه‌گذاری در فناوری، بانک‌ها نه‌تنها با فضای جدید پرداخت خود را وفق می‌دهند بلکه می‌توانند با ظرفیت‌های موجود تجربه‌های پرداخت دیجیتال بهینه‌سازی شده با ارزش‌افزوده ارائه کنند.
 
دیدگاه‌های مطرح‌شده نظر شخصی نویسندگان است و لزوماً نظر BNY ملون را مطرح نمی‌کند. همچنین این مطالعه بر خدمات مشاوره خزانه‌داری، یا هر کسب‌وکار یا مشاوره حقوقی دیگر متکی نیست.