Bezpieczeństwo zatopione w produkt

Sposób Revoluta na bezpieczeństwo? – Próbujemy je wbudować we wszystko, co robimy. Prosta metoda to oddać narzędzia cyberbezpieczeństwa w ręce klientów. To pokazuje, że traktujemy bezpieczeństwo poważnie. Druga rzecz dotyczy kultury organizacyjnej. Staramy się robić wszystko, aby mieć pewność, że nasi pracownicy i developerzy rozumieją swoją odpowiedzialność za cyberbezpieczeństwo – mówi Paul Heffernan, szef Revoluta ds. bezpieczeństwa informatycznego.

Revolut, powstały na Wyspach Brytyjskich fintech, w ciągu trzech lat istnienia zdobył 4 mln klientów, z tego ponad 350 tys. w Polsce. Przyciągnął ich kartami płatniczymi i aplikacją, którą można nimi zarządzać z komórki. A przekonał do siebie z jednej strony brakiem opłat, prowizji i stosowaniem przy wymianie walut kursów międzybankowych bez jakiejkolwiek marży, a z drugiej – wygodą korzystania połączoną z bardzo rozbudowanymi narzędziami do zabezpieczenia transakcji, jakie oddał w ręce użytkowników. Mogą oni sami z aplikacji w smartfonie natychmiastowo blokować i odblokowywać całe karty albo tylko wybrane typy transakcji, na przykład wypłaty z bankomatu, płatności zbliżeniowe, transakcje internetowe. Najbardziej nieufni, którzy zdecydują się na konto premium, mogą do zakupów internetowych wykorzystać jednorazowe wirtualne karty, z numerem ważnym do przeprowadzenia tylko jednej transakcji.

O tym, co wyróżnia Revoluta w podejściu do kwestii bezpieczeństwa, Paul Heffernan opowiadał w trakcie organizowanej przez Computerworld konferencji SEMAFOR. Już po swoim wystąpieniu Heffernan mówił nam o stosowanej przez Revoluta metodzie wbudowywania bezpieczeństwa w produkt.

Zobacz również:

– Wbudowanie bezpieczeństwa w produkt na etapie jego powstawania może być trudne, jeśli firmie brakuje developerów, którzy mają doświadczenia z cyberbezpieczeństwem – przyznaje Heffernan. – W Revolucie radzimy sobie z tym próbując budować wspólne komponenty bezpieczeństwa. Standaryzujemy wszystkie aspekty bezpieczeństwa, jeśli tylko da się to zrobić. Jeśli ktoś dodaje do aplikacji Revoluta nową funkcję, nie musi sprawdzać ośmiu różnych wersji rozwiązania pod względem bezpieczeństwa. Developer nie zastanawia się, jakie mechanizmy wprowadzania haseł czy szyfrowania danych powinien wybrać. Mamy na to sprawdzone metody do stosowania w całej firmie.

Heffernan jest świadomy przewagi, jaką daje fintechom mocne osadzenie w chmurze: – Fintechy w porównaniu z bankami istnieją od niedawna. To oznacza, że wiele banków w momencie swojego powstania nie miało żadnego wyboru i często musiało stosować jedyną dostępną na rynku technologię. Dziś zastanawiają się nad najlepszym sposobem migracji do chmury, co dla nas nie jest żadnym problemem, bo od początku byliśmy w chmurze. Z wielu korzyści technologicznych, jakie chmura przynosi w kwestii bezpieczeństwa, a więc nowych mechanizmów zabezpieczeń, szyfrowania, wysokiej dostępności, korzystamy od pierwszego dnia. Od tradycyjnych instytucji odróżnia nas też sposób rozwoju oprogramowania, mimo że często podlegamy tym samym regulacjom.

Heffernana pytaliśmy także, jak zapewnić sobie bezpieczeństwo w obliczu rosnących zagrożeń. – Porada numer jeden: używać naprawdę mocnych haseł. A skoro przeciętny człowiek korzysta z 30 różnych haseł, to trzeba korzystać z menedżera haseł, który przechowuje to, co inaczej musielibyśmy sami zapamiętać.


TOP 200