Ландшафт фінансових послуг у ЄС швидко розвивається, причому нові норми впроваджують більш жорсткі вимоги до відповідності для мобільних додатків, що обробляють платежі, криптовалюти та цифрові фінансові послуги.
Для постачальників фінансових послуг, що працюють в ЄС або розширенні до ЄС, розуміння цих норм є важливим. Дотримання зараз безпосередньо пов'язане з Мобільна безпека додатківа не відповідати цим стандартам може обмежити доступ на ринку та зірвати довіру користувачів.
Цей блог розбиває три критичні правила, який повинен знати кожен розробник фінансових додатків, PSD3, MICA та DORA, і пояснює, чому Вбудована безпека мобільних додатків є важливим як для дотримання, так і для захисту.
PSD3: Модернізація платежів та зміцнення відкритого банкінгу
Що таке PSD3?
Директива про платіжні послуги 3 (PSD3) оновлює та покращує юридичну базу ЄС для цифрових платежів. Будівництво на PSD2, він зміцнює захист споживачів, стандартизує вимоги відкритого банкінгу та підвищує безпеку платежів через банківську діяльністьплатежі та програми для гаманців.
Хто впливає?
PSD3 застосовується до широкого спектру мобільних додатків, включаючи:
- Банківські програми, що пропонують доступ до облікового запису та функції відкритого банкінгу
- Програми платежів, що сприяють платежам однорангових, торговців та рахунків
- Цифрові гаманці, що підтримують цифрові транзакції
Ключові вимоги до безпеки в рамках PSD3
Для дотримання PSD3 мобільні додатки повинні реалізувати:
- Сильна автентифікація клієнтів (SCA) з багатофакторною перевіркою
- Моніторинг шахрайства в режимі реального часу для виявлення та блокування підозрілих транзакцій
- Забезпечити відкритий банкінг API з шифруванням кінця до кінця та сильною перевіркою ідентичності
- Процеси звітування про інциденти для швидкого повідомлення регуляторів про інциденти безпеки
- Регулярне тестування на експлуатацію, включаючи імітовані кібератаки
- Безпечні практики розробки програмного забезпечення, вбудовування безпеки та конфіденційності з першого рядка коду
MICA: регулювання екосистеми криптовалют
Що таке Міка?
Ринки регулювання криптовалют (MICA) вводить гармонізовану регуляторну базу для криптовалютних наборів по всій ЄС. Він охоплює як криптовалютні емітенти, так і постачальники послуг криптовалют (CASP), такі як біржі, торгові платформи та постачальники гаманців.
Хто впливає?
Мобільні програми, що пропонують криптовалютні послуги потрапляють безпосередньо під слюду, включаючи:
- Програми гаманця, які керують криптовалютами користувачів
- Crypto Trading Apps, що дозволяють купувати, продати та обмінювати активи
Ключові вимоги до безпеки в рамках MICA
Для дотримання MICA додатки повинні прийняти:
- Безпечний контроль над опікою, включаючи сильне шифрування приватних ключів та багатосторонньої перевірки
- Тестування на стійкість, наприклад, регулярні тренування кібербезпеки та моделювання нападу
- Знайте-ваш-клієнт (KYC) та проти відмивання грошей (AML) для перевірки ідентичностей користувачів та моніторингу транзакцій
- Автоматизоване виявлення зловживань на ринку для запобігання інсайдерській торгівлі та маніпуляції
- портативність DDATA, щоб дозволити користувачам експортувати дані транзакцій у структурованому форматі
- Вимоги щодо звітності про інциденти щодо розкриття інцидентів безпеки регуляторам
Дора: Забезпечення цифрової стійкості для фінансових послуг
Що таке Дора?
Закон про цифрову оперативну стійкість (DORA) створює стандартизовану рамку управління ризиками ІКТ для фінансових установ по всьому ЄС. Це гарантує, що фінансові фірми можуть протистояти, реагувати на кібератаки та оперативні перебої.
Хто впливає?
Дора застосовується до всіх фінансових установ ЄС, що використовують мобільні додатки, включаючи:
- Банківські програми, що надають рахунок та доступ до платежів
- Інвестиційні програми, що пропонують торговельну та портфельне управління
- Страхові програми, що обробляють поліси, претензії та взаємодії з клієнтами
- Програми платіжних програм, що обробляють транзакції між користувачами та торговцями
Ключові вимоги до безпеки в рамках Дори
За Dora фінансові послуги, що надаються мобільними додатками, повинні продемонструвати:
- Процеси безпечного розвитку та розгортання, включаючи безпечне кодування, тестування перед запуском та постійний моніторинг
- Комплексне управління ризиками ІКТ протягом усього життєвого циклу програми
- Виявлення загрози в режимі реального часу та реагування на інцидент з автоматизованими сповіщеннями щодо ненормальної активності
- Обов’язкова звітність про інциденти, з короткими термінами для повідомлень регуляторів
- Тестування на стійкість, включаючи тестування на проникнення та червоне об'єднання
- Стороннє управління ризиками з наглядом безпеки зовнішніх технологій постачальників технологій
- Цілісність даних та резервне копіювання, гарантуючи, що дані користувачів можна швидко відновити після інцидентів
- Безпечні зовнішні інтерфейси, використовуючи шифрування та моніторинг для всіх інтеграцій з банківськими системами, торговими платформами та платіжними шлюзами
Безпека мобільних додатків лежить в основі дотримання регуляторних норм
У той час як PSD3, MICA та DORA націлені на різні частини фінансової екосистеми, всі вони потребують одного спільного: надійного Фінансова безпека додатків. Фінансові програми без вбудованої безпеки піддаються ризику:
- Порушення відповідності, що призводять до штрафу або виключення ринку
- Порушення даних, що розкривають інформацію про клієнтів
- Порушення послуг, що шкодять репутацію та довіру
- Фінансове шахрайство, що забезпечується слабкою автентифікацією або моніторингом
Щоб узгодити з цими правилами, Фінансові додатки потребують багатошарового захистувключаючи:
У міру розвитку фінансових норм, дотримання та безпека стають невіддільними для мобільних додатків у фінансовому секторі. PSD3, MICA та Dora підкреслюють необхідність проактивних заходів безпеки для захисту даних користувачів, запобігання шахрайству та забезпечення оперативної стійкості. Інтегруючи надійні практики безпеки, такі як сильна автентифікація, безпечне кодування та моніторинг загроз у режимі реального часу, фінансові установи можуть відповідати регуляторним очікуванням, зміцнити довіру користувачів та захистити цифрові транзакції у все більш складному ландшафті загрози.
