PSD2 ako inovácia na úkor bezpečnosti?

11. apríla 2018

V polovici marca bola uverejnená finálna verzia technických štandardov (RTS) pre smernicu PSD2. Jej text je kompromisom medzi požiadavkami finančno-technologických startupov (fintechov) a snahou bánk zachovať status quo. Hlavným konfliktom bola otázka bezpečnosti nového rozhrania. Kto dosiahol svoj cieľ?

Jablkom sváru pri finalizácii RTS bola možnosť využiť takzvaný screen scrapping, teda strojové čítanie obrazoviek existujúceho internet bankingu. Pri tomto spôsobe prístupu sa tretie strany nepripájajú na špeciálne rozhranie API, ale s pomocou rôznych techník simulujú klikanie v internet bankingu – systém vlastne predstiera, že je živým človekom. Túto metódu dnes používa mnoho fintechov po celom svete na získavanie dát, ktoré potrebujú pre svoje fungovanie.

Screen scrapping je všeobecne považovaný za málo bezpečný. Dôvodov je niekoľko – napríklad nemožnosť oddeliť informácie o účtoch od ostatných dát (napríklad osobných údajov). Ak tretia strana získa prístup do internet bankingu, dostane sa automaticky ku všetkému. To však nie je to najhoršie. Obrovským problémom je poskytnutie prihlasovacích údajov tretej strane.

Viac v článku v českom jazyku na tyinternety.cz

Autor: Peter Polák
Zdroj: tyinternety.cz, 28.3.2018 (Starupy, Technologie)