2020.01.28.

Mennyire biztonságosak a nyílt banki API-k Magyarországon?

Szerző:

A HWSW hívta fel figyelmünket a Silent Signal magyar IT-biztonsági csapat minap publikált PSD2-es tapasztalataira. Megvizsgálták, hogyan teljesítenek, mennyire sérülékenyek a PSD2, a nyílt bankolás alapját jelentő banki API-k Magyarországon. Open banking tapasztalatok és jó gyakorlatok 2020.04.21-én a FinTechShow-n. Early bird jegyek a FinTechShow-ra 2020.01.31-ig!

Több mint 250-en várják a banki API-kat

Hosszas várakozás után 2019 végén elindult a nyílt bankolás, a digitális pénzügyek új korszaka az EU-ban. 2019. szeptember 14-től a PSD2-nek köszönhetően az Európai Unióban a bankok, pénzforgalmi szolgáltatók kötelesek banki API-kon keresztül hozzáférést adni az erre jogosult (AISP, PISP nyilvántartásba vételt/engedélyt szerzett) fintech startupoknak, harmadik feles szolgáltatóknak.

Eddig több mint 250 társaság lett nyilvántartásba véve Számlainformációs Szolgáltatóként (AISP), vagy engedélyezve Fizetéskezdeményezési Szolgáltatóként (PISP) az EU-ban, mint például a GoogleAMEXStripeRevolutCurveTransferWise.

A 250 társaságból 50 Magyarországon is tervez szolgáltatást nyújtani a (közel)jövőben a FinTechZone.hu felmérése alapján.

Ezek a társaságok mind arra számítanak, hogy a bankok API-jai már jól működnek és azokra alapozva elindíthatják digitális pénzügyi szolgáltatásaikat. Ugyanakkor a hazai piaci szereplőkkel folytatott háttérbeszélgetésekből az derült ki, hogy a magyar bankok többsége eddig csak papíron teljesítette az elvárásokat

Mitől fog működni a nyílt bankolás az EU-ban és Magyarországon?

Az EU-s piaci felmérések szerint (is) a nyílt bankolás lelkét jelentő banki API hozzáférések nem működnek megbízhatóan, aminek következménye, hogy alig láthatók nyílt bankolásra épülő szolgáltatások az EU-ban és Magyarországon.

  • Hol tart a nyílt bankolás fél évvel az indulás után?
  • Milyen jó gyakorlatokat, precedenseket látni?
  • Mire számíthatunk a következő 12-24 hónapban?

Többek között ezeket a kérdéseket járjuk körbe 2020.04.21-én a FinTechShow-n hazai és nemzetközi szakértőkkel. Emellett bemutatjuk, milyen új lehetőségeket nyithat meg a nyílt bankoláskönyvelők, a vállalati pénzügyesek, a mikrovállalkozások, a webshopok, vagy a bankok számára. A program részletei itt.

Összegyűjtötték a hazai banki API hozzáférésekkel kapcsolatos tapasztalatokat

A hazai Silent Signal IT-biztonsági csapat blogbejegyzésében foglalta össze, hogy milyen tapasztalatokat szereztek eddig a hazai nyílt banki API-k biztonsága kapcsán, illetve iránymutató kérdéseket is megfogalmaztak az illetékesek számára:

  • If you have some form of signing, do you have the technical and administrative background for managing trust and key distribution?
  • Are you aware how your parsers digest user input? What are the possible failure modes? How do you mitigate these risks?
  • Have you considered all the security implications of the chosen protocols?
  • Does your authentication layer fail open? If so, do you have any automated tests that will alert you and your team of the fact?

A Silent Signal blogbejegyzése: “WIDE OPEN BANKING: PSD2 AND US“, 2020.01.27.

Címkék: