Fintech App Security Compliance: א פולשטענדיק גייד

קסנומקס סעפטעמבער קסנומקס

אינהאַלט פון אינהאַלט:

1) די טרעט לאַנדשאַפט פֿאַר פינטעטש אַפּפּס
2) וואָס טוט קאָמפּליאַנסע פֿאַר Fintech אַפּפּס?
3) בעסטער פּראַקטיסיז פֿאַר קאָמפּליאַנט פינטעטש אַפּפּס
4) עצות פֿאַר אַ גרינגער קאָמפּליאַנסע דזשאָורניי
5) סאָף

די פינטעטש אינדוסטריע איז עקספּלאָדעד אין די לעצטע יאָרן, מיט נייַע אַפּפּס און באַדינונגס ימערדזשינג צו צעשטערן טראדיציאנעלן פינאַנציעל באַדינונגס. אָבער, מיט דעם גיך וווּקס קומט געוואקסן טרעץ און די קריטיש נויט פֿאַר זיכערהייט העסקעם. ווי פינטעטש פּראַוויידערז שעפּן העכסט שפּירעוודיק באַניצער דאַטן ווי באַנק אַקאַונץ און טראַנזאַקשאַנז, געהעריק סייבערסעקוריטי קאָנטראָלס און אַדכירינג רעגיאַליישאַנז איז קריטיש.

צו ונטערשטרייַכן די וויכטיקייט פון דעם אַרויסגעבן, באַטראַכטן די אַמייזינג סטאַטיסטיק: אַרויף צו 98% פון גלאבאלע פינטעטש סטאַרטאַפּס זענען שפּירעוודיק צו סייבער-אַטאַקס. אין 2021 אַליין, מער ווי 92% פון וויקטימס פון סייבער טרעץ זענען געווען אין די פינטעטש אַפּלאַקיישאַנז אינדוסטריע. דאַטאַ זיכערהייט אין FinTech איז די הויפּט דייַגע פֿאַר 70% פון באַנקס. דאָס כיילייץ די דרינגלעך נויט פֿאַר געזונט זיכערהייט מיטלען און שטרענג העסקעם אין די פינטעטש סעקטאָר.

אין דעם פירער, מיר וועלן דעטאַל די ישוז, און איר צושטעלן אַ פולשטענדיק איבערבליק פון פינטעטש אַפּ זיכערהייט העסקעם. בלייבן טונד ווען מיר ויספאָרשן די לאַנדשאַפט פון טרעץ, צושטעלן אַן איבערבליק פון העסקעם רעקווירעמענץ, טיילן בעסטער פּראַקטיסיז און פאָרשלאָגן פּראַקטיש עצות צו ענשור אַז דיין פינטעטש אַפּ איז זיכער און געהאָרכיק.

די טרעט לאַנדשאַפט פֿאַר פינטעטש אַפּפּס

פינטעטש אַפּפּס האָבן אַ פּלאַץ פון סייבערסעקוריטי טרעץ וואָס שטעלן שפּירעוודיק באַניצער דאַטן אין ריזיקירן.

Data Breaches

איין באַטייטיק געפאַר איז דאַטן בריטשיז, ווו כאַקערז קענען גווורע וואַלנעראַביליטיז צו באַקומען אַנאָטערייזד אַקסעס צו סיסטעמען און גאַנווענען ווערטפול קונה אינפֿאָרמאַציע. אפילו באַוווסט פינטעטש קאָמפּאַניעס האָבן געליטן בריטשיז, מיט מיליאַנז פון אַקאַונץ קאַמפּראַמייזד. פֿאַר בייַשפּיל, די First American Financial Corp האָט געליטן אַ דאַטן בריטש אין די פינאַנציעל סעקטאָר אין מאי 2019, יקספּאָוזד מער ווי 885 מיליאָן פינאַנציעל און פערזענלעכע רעקאָרדס לינגקט צו גרונטייגנס טראַנזאַקשאַנז.

פישינג

פישינג אנפאלן אויך שטעלן אַ קעסיידערדיק סאַקאָנע, נאַרן ניצערס צו איבערגעבן לאָגין קראַדענטשאַלז וואָס קענען זיין גענוצט צו ינפילטרירן פינטעטש אַפּפּס. אין דער ערשטער העלפט פון 2021, פישינג אנפאלן אין די פינאַנציעל סעקטאָר געוואקסן מיט 22% קאַמפּערד צו די זעלבע צייט אין 2020.

ינסיידער טרעץ

ינסיידער טרעץ זאָל ניט זיין אָוווערלוקט אָדער - ומערלעך עמפּלוייז אָדער דריט-פּאַרטיי ווענדאָרס קענען מיסיוז פּריווילאַדזשאַז פֿאַר פינאַנציעל געווינען. די קענען זיין ינטענשאַנאַל (בייזע עמפּלוייז) אָדער אַקסאַדענטאַל (עמפּלוייז וואָס אַננאָוינגלי קאָמפּראָמיס זיכערהייט). ריפּאָרץ אָנווייַזן אַז ינסיידער טרעץ רעפּראַזענץ די ערשטיק סיבה פון 60% פון זיכערהייט בריטשיז.

ינסאַקיער אַפּיס

אַנסיקיורד אַפּיס זענען אן אנדער שוואַך פונט, אַלאַוינג אַטאַקערז צו עקסטראַקט אינפֿאָרמאַציע אָדער מאַניפּולירן דאַטן אויב געהעריק אַקסעס קאָנטראָלס זענען נישט ימפּלאַמענאַד. פאָרשונג פירמע גאַרטנער געפונען פילע אַפּי בריטשיז פארגעקומען ווייַל "די בריטשט אָרגאַניזאַציע האט נישט וויסן וועגן זייער אַנסיקיורד אַפּי ביז עס איז געווען צו שפּעט".

קונה דאַטן און קאָמוניקאַציע קענען זיין לייכט ינטערסעפּטאַד און לייענען אָן האַרט ענקריפּשאַן. די ימפּלאַקיישאַנז פון די טרעץ זענען גוואַלדיק פֿאַר פינטעטש קאָמפּאַניעס, פּאַטענטשאַלי לידינג צו מאַסיוו פינאַנציעל שווינדל, אידענטיטעט גנייווע, רעגולאַטאָרי ניט-העסקעם פינעס און שטענדיק רעפּיאַטיישאַנאַל שעדיקן. דערפאר מוז פארשטאנד און פארזיכערן קעגן די דאזיקע סכנות זיין א העכסטע בילכערקייט.

וואָס טוט קאָמפּליאַנסע פֿאַר Fintech אַפּפּס?

ווען עס קומט צו העסקעם, פינטעטש אַפּפּס מוזן אַדכיר צו שטרענג רעגיאַליישאַנז און סטאַנדאַרדס צו באַשיצן קונה דאַטן און ענשור בעסטער זיכערהייט פּראַקטיסיז. שליסל רעגיאַליישאַנז אַרייַננעמען די אי.יו. ס אַלגעמיינע דאַטאַ פּראַטעקשאַן רעגולירן (GDPR) און צאָלונג קאָרט ינדאַסטרי סטאַנדאַרדס ווי PCI DSS. גלאבאלע פראַמעוואָרקס אַזאַ ווי ISO 27001 אויך שפּילן אַ יקערדיק ראָלע. מיר וועלן ויספאָרשן די ספּעסיפיקס פון וואָס העסקעם ינטיילז אין מער דעטאַל שפּעטער. אָבער אין זיין האַרץ, העסקעם אַשורז קאַסטאַמערז אַז זייער שפּירעוודיק פערזענלעכע און פינאַנציעל דאַטן זענען פּראָטעקטעד צו די העכסטן סטאַנדאַרדס. אַדכירינג צו רעגיאַליישאַנז און פראַמעוואָרקס העלפּס פינטעטש אַפּפּס סיקיורלי כידעש, ויסמיידן פינעס און בויען צוטרוי.

אין זיין האַרץ, העסקעם קומט אַראָפּ צו אַדאַקוואַטלי סיקיורינג שפּירעוודיק באַניצער אינפֿאָרמאַציע:
• ענקריפּטינג פערזענלעכע דאַטן ווי חשבון נומערן, לאָגין קראַדענטשאַלז, און פינאַנציעל טראַנזאַקשאַנז איז יקערדיק צו פאַרמייַדן בריטשיז אָדער ינטערסעפּשאַנז.
• שטאַרק אַקסעס קאָנטראָלס מוזן אויך זיין ענפאָרסט, בלויז געבן סיסטעם און דאַטן אַקסעס צו אָטערייזד פּערסאַנעל. אַקסעס קאָנטראָלס באַגרענעצן די אַוויילאַבילאַטי פון דאַטן באזירט אויף די שייכות פון דער באַניצער צו דער אָרגאַניזאַציע.
• דעטאַילעד קאָנטראָלירן לאָגס זאָל שפּור אַלע סיסטעם טעטיקייט פֿאַר מאָניטאָרינג און פאָרענסיק צוועקן. קאָנטראָלירן לאָגס כאַפּן זאָגן וועגן קיין טעטיקייט אין דיין ווייכווארג לייזונג, בעכעסקעם רעקאָרדס וועגן וואָס האט געטאן און די ענטפער פון די סיסטעם.

ווען פינטעטש קאָמפּאַניעס נוצן דריט-פּאַרטיי פּראַוויידערז פֿאַר באַדינונגס ווי וואָלקן האָסטינג אָדער קונה שטיצן, אַ גרונטיק פאַרזע איז נייטיק צו ענשור אַז די ווענדאָרס בלייבן געהאָרכיק. פאָרמאַל סערטאַפאַקיישאַנז און אַדאַץ זאָל זיין אַטשיווד צו וואַלאַדייט קאָנטראָלס און רעגיאַליישאַנז.

פּראָואַקטיוולי פּריפּערינג פֿאַר סערטאַפאַקיישאַנז ווי SOC 2 דעמאַנסטרייץ אַ היסכייַוועס צו זיכערהייט און העסקעם. קריגן באַטייַטיק סערטיפיקאַץ און דורכגיין אַדאַץ זענען יקערדיק פֿאַר דעמאַנסטרייטינג העסקעם. סערטיפיקאַטיאָנס אַזאַ ווי SOC 2, ISO 27001, און PCI DSS ווייַזן אַז אַ פירמע האט באגעגנט ספּעציפיש סטאַנדאַרדס פֿאַר אָנפירונג קונה דאַטן און מיינטיינינג זיכערהייט. רעגולער אַדאַץ העלפֿן צו ידענטיפיצירן געביטן פון ניט-העסקעם און צושטעלן אַפּערטונאַטיז פֿאַר פֿאַרבעסערונג.

קאָמפּליאַנסע אַשורז קאַסטאַמערז אַז זייער שפּירעוודיק פּערזענלעך און פינאַנציעל דאַטן זענען פּראָטעקטעד צו די העכסטן סטאַנדאַרדס. אַדכירינג צו רעגיאַליישאַנז און פראַמעוואָרקס העלפּס פינטעטש אַפּפּס סיקיורלי כידעש, ויסמיידן פינעס און בויען צוטרוי.

בעסטער פּראַקטיסיז פֿאַר קאָמפּליאַנט פינטעטש אַפּפּס

פינטעטש פּראַוויידערז זאָל ינסטרומענט פאַרשידן בעסטער פּראַקטיסיז צו פאַרבעסערן זיכערהייט האַלטנ זיך און העסקעם גרייטקייַט.

זיכער קאָוד אַנטוויקלונג

איין קריטיש געגנט איז זיכער קאָד אַנטוויקלונג, מיט ברייט באריכטן און טעסטינג צו ידענטיפיצירן וואַלנעראַביליטיז איידער אַפּלאַקיישאַנז זענען דיפּלויד. דאָס פּריווענץ פלאָז אַז אַטאַקערז קען גווורע.

שטאַרק אַקסעס מאַנאַגעמענט

שטאַרק אַקסעס קאָנטראָלס זאָל אויך זיין ענפאָרסט דורך דעם פּרינציפּ פון מינדסטער פּריווילעגיע, ווו יוזערז זענען בלויז דערלויבט די מינימום סיסטעם און דאַטן אַקסעס נייטיק צו דורכפירן זייער דוטיז. דעם לימאַץ שעדיקן פון קאַמפּראַמייזד אַקאַונץ. מולטי-פאַקטאָר אָטענטאַקיישאַן מוסיף אן אנדער שיכטע פון שוץ, ריקוויירינג ניצערס צו באַשטעטיקן זייער אידענטיטעט מיט אַן נאָך קראַדענטשאַל ווי אַ ביאָמעטריק אָדער זיכערהייט קאָד.

ענדפּוינט מאַנאַגעמענט

אָנגאָינג מאָניטאָרינג פון נעטוואָרקס, ענדפּאָינץ און באַניצער טעטיקייט איז קריטיש צו פרי דיטעקט טרעץ און ינסאַדאַנץ. פולשטענדיק אינצידענט ענטפער פּלאַנז זאָל אויך זיין געגרינדעט צו פירן גיך ויספאָרשונג און קאַנטיינמאַנט פון ישוז צו מינאַמייז פּראַל.

עפעקטיוו שפּריכוואָרט פּאַלאַסיז

געגעבן אַז שוואַך אָדער סטאָלען פּאַסווערדז זענען אָפט דער וואָרצל גרונט פון בריטשיז, שטרענג פּאַראָל פּאַלאַסיז מוזן זיין ימפּלאַמענאַד אַריבער פינטעטש סיסטעמען און אַפּלאַקיישאַנז. דאָס כולל ענפאָרסינג קאָמפּלעקס רעקווירעמענץ, עקספּעריישאַן פּיריאַדז און לאַקאַוט נאָך ניט אַנדערש פרווון.

טראַינינג פֿאַר סייבערסעקוריטי וויסיקייַט

צום סוף, עמפּלוייז פאָרשטעלן אַ באַטייטיק זיכערהייט ריזיקירן אויב זיי זענען נישט אַדאַקוואַטלי טריינד אויף פּאַלאַסיז און טרעץ. מאַנדאַטאָרי סייבערסעקוריטי וויסיקייַט טריינינג איז קריטיש צו רידוסינג מענטש טעות און האַלטן שטעקן ווידזשאַלאַנט קעגן ריסקס ווי פישינג. דאָס קען אַרייַננעמען אינפֿאָרמאַציע וועגן דער אידענטיפיצירן פישינג ימיילז, קריייטינג שטאַרק פּאַסווערדז און סיקיורלי האַנדלינג שפּירעוודיק דאַטן. רעגולער סייבערסעקוריטי טריינינג קענען העלפֿן עמפּלוייז פֿאַרשטיין זייער ראָלע אין פּראַטעקטינג שפּירעוודיק פירמע אינפֿאָרמאַציע.

אַדאָפּטינג די בעסטער פּראַקטיסיז כאַרדאַנז די פינטעטש אַפּ זיכערהייט און ווייַזן רעגיאַלייטערז העסקעם ווידזשאַלאַנס.

עצות פֿאַר אַ גרינגער קאָמפּליאַנסע דזשאָורניי

נאַוויגאַציע אין די קאָמפּלעקס וועלט פון העסקעם טוט נישט האָבן צו זיין אַ אָוווערלי בערדאַנסאַם פּראָצעס, ספּעציעל אויב קאָמפּאַניעס ינסטרומענט בעסטער פּראַקטיסיז צו סטרימליין זייער מגילה.

באַקומען אַ קויפן פון פירערשאַפט איז יקערדיק פרי צו באַוואָרענען די יגזעקיאַטיוו שטיצן און רעסורסן נייטיק צו בויען עפעקטיוו העסקעם פּראַסעסאַז. דעדאַקייטאַד העסקעם עקספּערץ זענען אויך אַדווייזד צו לעווערידזש זייער ספּעשאַלייזד סקילז אין ינטערפּרעטינג רעגיאַליישאַנז, קאַנדאַקטינג ריזיקירן אַסעסמאַנץ און ריפּאָרטינג אויף קאָנטראָלס.

אַמאָל אַ העסקעם פּראָגראַם איז אין פּלאַץ, צו האַלטן פולשטענדיק דאַקיומענטיישאַן פון פּאַלאַסיז, פּראָוסידזשערז, קאָנטראָלס און טעסטינג רעזולטאַטן איז קריטיש צו באַווייַזן אַדכיראַנס צו אַדאַטערז.

אַוטאָמאַטיאָן קענען באטייטיק רעדוצירן די מאַנואַל מי ינוואַלווד אין העסקעם. קוק פֿאַר אַפּערטונאַטיז צו אָטאַמייט העסקעם וואָרקפלאָוז און מאָניטאָרינג, פריי דיין מאַנשאַפֿט ס צייט פֿאַר אנדערע יקערדיק טאַסקס.

די רעגולאַטאָרי סוויווע איז קעסיידער יוואַלווינג, ווי אויך די טרעץ אַז פינטעטש קאָמפּאַניעס האָבן. רעגולער באריכטן פון דיין קאָנטראָלס און ריזיקירן אַסעסמאַנץ העלפֿן צו ענשור אַז דיין העסקעם פּראָגראַם סטייז קראַנט.

פּלאַטפאָרמס דיזיינד ספּאַסיפיקלי פֿאַר אָנפירונג גאַווערנאַנס, ריזיקירן און העסקעם צושטעלן גוואַלדיק ווערט דורך פֿעיִקייטן ווי קאָנטראָל מאַפּינג, פאַקטיש-צייט ריזיקירן אַנאַליסיס, און קאָנטראָלירן צוגרייטונג מכשירים.

דורך די נוצן פון די עצות און בעסטער פּראַקטיסיז, פינטעטש קאָמפּאַניעס קענען יבערמאַכן העסקעם פון אַ דאָנטינג כערדאַל אין אַ סטראַטידזשיק פונקציע ינאַגרייטיד אַריבער די אָרגאַניזאַציע. כאָטש רעגולאַטאָרי אַדכיראַנס וועט שטענדיק אַרייַנציען מי און היסכייַוועס, עס טוט נישט האָבן צו שטערן כידעש אָדער פּראָגרעס.

סאָף

ווי FinTech האלט רעוואַלושאַנייזינג ווי מיר פירן אונדזער פינאַנציעל לעבן, עס איז קלאָר אַז די ינאָווויישאַנז אויך קומען מיט אַ ריזיק פֿאַראַנטוואָרטלעכקייט צו די זיכערהייט און פּריוואַטקייט פון ניצערס.

כאָטש העסקעם בלי ספק ריקווייערז באַטייַטיק ינוועסמאַנט, עס ינייבאַלז פינטעטש פּראַוויידערז צו צושטעלן ינאַווייטיוו באַדינונגס און סיקיורלי וואָג גלאָובאַלי מיט באַניצער צוטרוי אין דעם צענטער. דורך פּאַרטנערינג מיט רעגיאַלייטערז און דעמאַנסטרייטינג אַ היסכייַוועס צו דורכזעיקייַט און דאַטן שוץ, FinTech קענען טרייוו עטיקלי און ריספּאַנסאַבלי.

העסקעם איז ניט בלויז אַ רעגולאַטאָרי פאָדערונג - עס איז אַן ינייבאַלער פון זיכער כידעש אין די פינטעטש סעקטאָר. דורך אַדכירינג צו העסקעם סטאַנדאַרדס, פינטעטש קאָמפּאַניעס קענען ענשור די זיכערהייט פון זייער אַפּפּס און באַשיצן שפּירעוודיק באַניצער דאַטן. דאָס בויען צוטרוי מיט יוזערז און פאַסטער אַ קולטור פון זיכערהייט וואָס קענען פירן כידעש.

אָבער, ווי דיגיטאַל פאַרברעכן וואַקסן ינקריסינגלי סאַפיסטאַקייטיד, די וויכטיקייט פון ווידזשאַלאַנס קענען ניט זיין אָוווערסטייטיד. פינטעטש אַפּפּס מוזן קעסיידער ריאַסעס די סאַקאָנע לאַנדשאַפט און יוואַלוו דיפענסיז אַקאָרדינגלי. לעווערידזשינג ימערדזשינג טעקנאַלאַדזשיז ווי אַי פֿאַר ענכאַנסט מאָניטאָרינג, סאַקאָנע דיטעקשאַן און ינסידענט ענטפער וועט ווערן קריטיש.

כאָטש די נסיעה צו העסקעם קען ויסקומען דאָנטינג, עס איז אַ נייטיק און ווערטיק השתדלות. פינטעטש קאָמפּאַניעס קענען יפעקטיוולי נאַוויגירן דעם קאָמפּלעקס טעריין מיט די רעכט סטראַטעגיעס און רעסורסן. נאָך אַלע, אין דער וועלט פון פינטעטש, העסקעם איז ניט נאָר וועגן טיקטאַק באָקסעס - עס ס וועגן פּייווינג דעם וועג פֿאַר זיכער, ינאַווייטיוו סאַלושאַנז וואָס קענען רעוואַלושאַנייז די פינאַנציעל אינדוסטריע.

מחבר

רענע מילמאן

Rene Millman איז אַ ווערסאַטאַל פרילאַנס שרייַבער און בראָדקאַסטער וואָס ספּעשאַלייזיז אין סייבערסעקוריטי, אַי, IoT און וואָלקן טעקנאַלאַדזשיז. צוזאמען מיט זיין ראָלע ווי אַ קאַנטריביוטינג אַנאַליסט אין GigaOm, ער ברענגט ברייט דערפאַרונג ווי אַ געוועזענער גאַרטנער אַנאַליסט פאָוקיסינג אויף די ינפראַסטראַקטשער מאַרק. Rene Millman, באַרימט פֿאַר זיין עקספּערטיז, האט אָפט טעלעוויזיע אַפּיראַנסאַז, ייַנטיילונג ינסייץ און אַנאַליסיס פון טעכנאָלאָגיע טרענדס און ינפלוענטשאַל קאָמפּאַניעס וואָס פאָרעם אונדזער טעגלעך לעבן. בלייבן דערהייַנטיקט מיט Rene Millman ס ינסייץ דורך נאָכפאָלגן אים אויף טוויטטער.

זען אַלע אַרטיקלען דורך Rene Millman