21 feb 2019

Zijn API's veilig?

Een API (Application Programming Interface) is een verzameling functies en procedures die twee toepassingen in staat stelt met elkaar te praten door verzoeken te verzenden en antwoorden te ontvangen.

API's in open bankieren

API's zijn relevant voor financiële en treasury professionals vanwege Open Bankieren en PSD2 (Richtlijn betalingsdiensten 2).

Open Bankieren vereist dat banken hun API's beschikbaar stellen voor particulieren en derden om op een veilige manier toegang te krijgen tot persoonlijke financiële gegevens. En volgens PSD2 zullen bijna alle banken in de EU de toegang tot klantgegevens via API's mogelijk moeten maken.

De echte vraag is dus: hoe veilig zijn API's voor transacties en het delen van uw financiële gegevens?

Tot voor kort creëerden banken financiële silo's, waardoor klanten op hun diensten moesten vertrouwen om op een veilige manier toegang te krijgen tot hun financiële gegevens. Maar API's en Open Banking brengen daar verandering in.

Met een rijke API kunnen financiële instellingen een concurrentievoordeel behalen en hun klanten controle geven over hun financiën door real-time, veilige gegevens te verstrekken.

Er zijn tal van voorbeelden van hoe bedrijven en consumenten API's al omarmen om het leven gemakkelijker te maken:

Bedrijven

Nu digitale transformatie bovenaan de agenda van bedrijven over de hele wereld staat, kunnen API's verschillende voordelen voor corporate treasurers. API's maken geavanceerde technologieën toegankelijk voor kleinere treasury-teams, die voorheen alleen beschikbaar waren voor grotere ondernemingen; ze maken real-time business, snellere besluitvorming en verbeterde klantervaringen mogelijk.

API's kunnen bedrijven directe bankverbindingen met banken bieden vanuit enterprise resource planning (ERP)-systemen of via live data-integraties met business intelligence tools.

Consumenten

Voor consumenten zorgen API's voor snelheid en eenvoud om betere financiële ervaringen te creëren.

Yolt is een perfect voorbeeld van consumentengebaseerd Open Banking in de praktijk, omdat het API's gebruikt om verschillende rekeningen te centraliseren en zo gebruikers te helpen hun uitgavengewoonten beter in de gaten te houden.

Wat zijn de risico's?

De invoering van open API's maakt banken afhankelijk van de beveiliging van de TPP's (third party providers) die deze API's gebruiken, hetgeen een aantal vragen - of zorgen - oproept bij banken en gebruikers van diensten:

  • Nu meer consumenten gebruikmaken van instrumenten van derden, neemt het aantal transacties dat wordt verricht via kanalen die eigendom zijn van banken af. Dit heeft een negatief effect op de hoeveelheid gegevens die banken kunnen verzamelen en die zij gebruiken om onderscheid te maken tussen legitieme en frauduleuze transacties.
  • Nieuwe open-bankinginstrumenten maken de weg vrij voor nieuwe soorten transacties, die zou het bestrijden van betalingsfraude nog moeilijker kunnen maken.
  • Fraudeurs kunnen zich richten op gegevens die via API's worden doorgegeven. Als dat lukt, kunnen ongeautoriseerde klantgegevens worden gebruikt bij een account takeover (ATO) of een andere vorm van cyberaanval.
  • Banken werken samen met TPP's zonder volledig inzicht te hebben in hun beveiligingsmaatregelen, wat een nieuw risico inhoudt met betrekking tot de plaats waar de gegevens uiteindelijk zullen worden bewaard. Als gevolg daarvan kunnen banken worden blootgesteld aan honderden nieuwe bedreigingen die buiten hun normale controlegebied vallen.
  • Als een TPP gecompromitteerd is, kunnen hackers verzoeken naar de banken sturen die ogenschijnlijk geautoriseerd zijn. En nu zwendel geraffineerder wordt dan ooit, zal het niet lang duren voordat iemand een manier vindt om de toestemming van de klant te vervalsen.

“APIs offer another way for cybercriminals to attack…if I can’t attack the banks’ front doors, maybe I can pose as a small developer and find an alternative side door that still gets me through to the bank, one way or another.”  Sumit Agarwal, Shape Security

Hoe worden API's beveiligd?

Ondanks deze bezwaren biedt een goed ontworpen API een veilige verbinding met toepassingen van derden.

Het is belangrijk te onthouden dat het de banken zelf zijn die hun API-endpoints bouwen en testen.

Banken kunnen dus zelf het risico op aanvallen verkleinen door een degelijke architectuur te implementeren die beveiligingseisen en -tools in de API zelf integreert. Uiteindelijk stelt dit banken in staat om proactief te zijn, in plaats van reactief, als het gaat om het beveiligen van API's.

TPP's zijn sterk gereguleerd

The first thing to remember is that APIs are permission based. So whether you’re a consumer or a business, you don’t have to share your data with a TPP if you don’t want to.

This is core to APIs in Open Banking. The rules say that banks must allow your data to be shared with TPPs, but ONLY if you permit them to do so. That means TPPs can’t just access accounts freely – they must get your consent, which can be withdrawn at any time.

TPP's zijn ook onderworpen aan gegevensbeschermingswetten zoals GDPR, alsook aan de technische reguleringsnormen PSD2, wat betekent dat zij verantwoordelijk zijn voor de bescherming van de persoonsgegevens die zij verwerken.

Wat zijn AISP's en PISP's?

Na de invoering van de EU-betaaldienstenrichtlijn (PSD2) vallen onlinediensten die gebruikmaken van API's om toegang te krijgen tot uw rekeninggegevens of namens u betalingen te verrichten, voortaan onder de regelgeving van de Financiële gedragsautoriteit.

Om via PSD2 volledig gemachtigd te zijn om Open Banking API's te gebruiken, moet een financiële dienstverlener geregistreerd zijn als AISP, PISP of beide.

Een geautoriseerde AISP (Account Information Service Provider) kan toestemming vragen om verbinding te maken met een bankrekening en die rekeninginformatie gebruiken om een dienst te verlenen. AISP's hebben een "read-only"-toegang tot bankrekeninginformatie, zij mogen dus wel kijken, maar niet aankomen.

Bekende voorbeelden van AISP's zijn prijsvergelijkingen, kredietchecks, geldbesparende apps zoals Yolt en boekhoudpakketten zoals Sage en QuickBooks voor bedrijven.

Geautoriseerde betalingsinitiatiedienstaanbieders (PISP's) kunnen toestemming vragen om verbinding te maken met een bankrekening en namens de cliënt betalingen te initiëren vanaf diens bankrekening.

Though PSD2 rules make it clear that PISPs will “not use, access or store any data for purposes other than for the provision of the payment initiation service as explicitly requested by the payer”.

Bekende voorbeelden van op de consument gebaseerde PISP's zijn onder meer de instant checkout-faciliteiten die vaak door kleinhandels- en e-commercewinkels worden gebruikt en die bedoeld zijn om de klantenervaring van regelmatige shoppers te verbeteren.

Hoe weet u of een TPP is toegestaan?

Het is altijd een goed idee om te controleren op de Register van financiële diensten dat een onderneming die rekeninginformatiediensten of betalingsinitiatiediensten verleent, eerst gemachtigd is.

You can check if a company’s authorised on the FCA Register or the Open Bank Directory.

Authorised TPPs will only ever be able to access the data required for the service you’ve signed up to. So if you’ve asked a registered TPP to look at your current account with one bank, it won’t have any visibility over any other services you hold with that bank.

And because all TPPs must comply with data protection laws, the provider should tell you which data it will use, how long for and what it’ll do with it before you sign up.

If you use a third-party provider that’s not regulated, you won’t get the same levels of fraud protection. Meaning if you lose money using an unregulated service, there’s a chance your bank may not pay out.

API's vs. Screen Scraping

API's zijn over het algemeen veel veiliger dan alternatieve oplossingen. Een voorbeeld hiervan is screen scraping.
Apps die screen scraping gebruiken, vragen u om uw bankinloggegevens te verstrekken en hebben uw toestemming nodig om uw gegevens te verzamelen of te "screen-scrapen".

Essentially, they pose as you, the customer, which can expose highly sensitive personal data and leave you open to fraud. The use of screen-scraping will continue for a transition period until around September 2019, when it will be banned due to fears it’s not as safe as APIs.

Dus, zijn API's veilig genoeg voor het verhandelen van financiële gegevens?

Bij het overwegen van de veiligheid van API's, moet openheid niet worden verward met slechte beveiliging. Door wat onderzoek te doen en de juiste TPP's te kiezen, kunnen bedrijven en consumenten de vruchten plukken van API's om het financieel beheer te vereenvoudigen.

Maar terwijl sommige TPP's ongereguleerd blijven en technieken zoals Screen Scraping nog steeds beschikbaar zijn voor consumenten, is het duidelijk dat de industrie nog een lange weg te gaan heeft om ervoor te zorgen dat API-gebruik zo veilig mogelijk is.