Bài đăng Các quy định bảo mật ngân hàng và fintech hàng đầu năm 2021 xuất hiện đầu tiên trên Intertrust Technologies.

Vào năm 2020, các tổ chức tài chính buộc phải tương tác với khách hàng của mình gần như chỉ thông qua các kênh kỹ thuật số, cụ thể là ngân hàng điện tử và các ứng dụng di động tài chính. Các hạn chế của đại dịch đối với việc di chuyển và gặp gỡ trực tiếp cũng có nghĩa là họ phải tham gia một nhóm đáng kể gồm những khách hàng cũ hơn và kém hiểu biết hơn về kỹ thuật số.

Sự gia tăng lớn trong việc sử dụng các ứng dụng tài chính di động đã được chú ý bởi hai bên khác: tin tặc và cơ quan quản lý. Tin tặc gia tăng các cuộc tấn công nhằm đánh cắp thông tin cá nhân hoặc dữ liệu chủ thẻ, trong khi các cơ quan quản lý ngày càng quan tâm đến việc tuân thủ bảo mật dữ liệu tài chính. Các nhà phát triển ứng dụng dịch vụ tài chính cần đảm bảo tuân thủ bảo mật dữ liệu để hoạt động ở các thị trường khác nhau, trấn an khách hàng rằng họ đang xử lý dữ liệu của mình một cách cẩn thận và quan trọng là giảm thiểu rủi ro và rủi ro liên quan đến kiểm duyệt theo quy định.

Việc đưa ra các yêu cầu tuân thủ mới hoặc cập nhật các yêu cầu hiện có vào năm 2021 thể hiện mối quan tâm đáng kể về quản lý rủi ro đối với các nhà xuất bản ứng dụng fintech và ngân hàng. Dưới đây là các quy định tuân thủ bảo mật dữ liệu tài chính chính cần lưu ý vào năm 2021.

Trung tâm phân tích báo cáo và giao dịch tài chính của Canada (FINTRAC)


Luật chống rửa tiền của Canada sẽ đưa ra những thay đổi đáng kể vào tháng 6 năm 2021. Bộ quy tắc mở rộng sẽ thay đổi cách báo cáo những người tiếp xúc với chính trị và sẽ đưa tiền điện tử tuân theo nghĩa vụ báo cáo.

Một trong những thay đổi quan trọng nhất trong số những thay đổi này là các Doanh nghiệp Dịch vụ Tiền tệ nước ngoài (MSB), trước đây không có nghĩa vụ báo cáo theo luật FINTRAC, giờ sẽ phải làm như vậy. Điều này sẽ làm tăng đáng kể nghĩa vụ báo cáo và các rủi ro liên quan đối với các công ty fintech nước ngoài hoạt động tại thị trường Canada.

Chỉ thị dịch vụ thanh toán 2 (PSD2)


Đợt yêu cầu quy định mới nhất do PSD2 châu Âu bắt buộc có hiệu lực vào ngày 31 tháng 12 năm 2020, mặc dù một số quốc gia sẽ duy trì thời gian gia hạn đến hết quý 1 năm 2021. Các thay đổi của PSD2 tập trung vào việc giảm gian lận thông qua Xác thực khách hàng mạnh (SCA) bắt buộc , cũng như mở ra cánh cửa cho sự đổi mới và thu hút khách hàng nhiều hơn bằng cách đặt ra các nguyên tắc cho cái gọi là “siêu ví”.

Những thay đổi của SCA có nghĩa là khách hàng của các dịch vụ kỹ thuật số ngân hàng và tài chính phải sử dụng hai hình thức nhận dạng để có quyền truy cập. Chúng có thể là từ thứ mà họ sở hữu (chẳng hạn như điện thoại), thứ họ biết (chẳng hạn như mật khẩu) hoặc thứ họ có (thông tin sinh trắc học như vân tay, mống mắt, nhận dạng khuôn mặt hoặc bảng màu).

Đối với nhiều nhà phát triển ứng dụng, quy định về các ứng dụng của bên thứ ba có thể truy cập và tổng hợp tài khoản ngân hàng sẽ báo hiệu một cơ hội đáng kể cho sự cạnh tranh và đổi mới trong lĩnh vực dịch vụ ngân hàng. Với khuôn khổ của PSD2, các nhà phát triển đáp ứng tuân thủ bảo mật dữ liệu tài chính phải được phép truy cập vào tài khoản của khách hàng, có nghĩa là chất lượng sản phẩm, thay vì lòng trung thành của tài khoản kế thừa, sẽ đóng vai trò lớn hơn trong các quyết định của người tiêu dùng.

Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA)


Những thay đổi mới được áp dụng cho CCPA vào ngày 1 tháng 1 sẽ yêu cầu tuân thủ dữ liệu mạnh mẽ hơn nữa. Nó cũng sẽ mở rộng mạng lưới các công ty mà nó áp dụng. Các điều khoản cốt lõi của đạo luật đã cấp cho người tiêu dùng quyền truy cập thông tin có về họ, yêu cầu xóa thông tin đó và chọn không tham gia thu thập trong tương lai, mặc dù trước đây những điều khoản này chỉ áp dụng cho các doanh nghiệp “vì lợi nhuận”, chẳng hạn như những doanh nghiệp có doanh thu vượt quá 25 đô la triệu.

Tuy nhiên, từ đầu năm 2021, các nghĩa vụ tuân thủ cũng sẽ mở rộng đối với bất kỳ dữ liệu nào bị ảnh hưởng bởi HIPAA, Đạo luật bảo mật thông tin y tế hoặc Chính sách liên bang về bảo vệ đối tượng con người. Đối với các nhà phát triển tài chính và ngân hàng di động đang kinh doanh ở California, đó là một lớp tuân thủ bảo mật dữ liệu tài chính khác mà họ cần thực hiện.

Gramm-Leach-Bliley (GLB)


Đạo luật Gramm – Leach – Bliley, còn được gọi là Đạo luật hiện đại hóa dịch vụ tài chính, ảnh hưởng trực tiếp đến các tổ chức tài chính và cách họ chia sẻ dữ liệu tài chính, đưa ra lời khuyên và báo cáo sự cố. Năm mới và chính quyền mới của Biden có thể thấy những thay đổi đáng kể sẽ được thực hiện sẽ làm tăng gánh nặng tuân thủ bảo mật dữ liệu tài chính đối với các công ty hiện hành. Chúng có thể bao gồm:

  • Mở rộng định nghĩa về các sự kiện bảo mật để bao gồm mọi truy cập trái phép
  • Mở rộng nghĩa vụ theo dõi kiểm toán
  • Ủy quyền giám sát thời gian thực các dịch vụ tài chính kỹ thuật số để cải thiện khả năng phát hiện gian lận
  • Lưu giữ dữ liệu có giới hạn thời gian

Chỉ thị chống rửa tiền thứ 5 và thứ 6 của EU (AMLD5 & AMLD6)


Các điều khoản mới nhất của AMLD5 tập trung vào rửa tiền và những gì cấu thành tội phạm trong Liên minh Châu Âu và có hiệu lực vào tháng 1 năm 2021. Nó mở rộng danh sách các công ty sẽ phải báo cáo thông tin về quyền sở hữu và củng cố các tiêu chuẩn xác thực khách hàng. Nó sẽ ảnh hưởng trực tiếp đến các nhà cung cấp dịch vụ tài chính kỹ thuật số, chẳng hạn như trao đổi tiền điện tử.

Mặc dù AMLD5 tương đối mới, nhưng lần lặp lại tiếp theo của nó, AMLD6, sẽ bắt đầu có hiệu lực vào tháng 6 năm 2021. Chỉ thị mới sẽ cho thấy sự hài hòa trên toàn EU về những yếu tố cấu thành tội phạm, bao gồm thuế, môi trường và tội phạm mạng. Đây sẽ là lần đầu tiên tội phạm mạng được giải quyết trực tiếp trong bối cảnh này và sẽ gia tăng phạm vi những người có thể phải chịu trách nhiệm hình sự.

Hướng dẫn Quản lý Rủi ro Công nghệ của Cơ quan Tiền tệ Singapore


Để đáp lại những gì được mô tả là “dấu hiệu rõ ràng” về việc gia tăng các mối đe dọa mạng, Cơ quan Tiền tệ Singapore (MAS) đã ban hành Hướng dẫn Quản lý Rủi ro Công nghệ sửa đổi vào tháng 1 năm nay.

Sau một số cuộc tấn công mạng vào các yếu tố quan trọng của chuỗi cung ứng và các tổ chức tài chính (FI) vào năm 2020, các hướng dẫn chính sách mạnh mẽ hơn đòi hỏi sự giám sát chặt chẽ hơn đối với các nhà cung cấp dịch vụ bên thứ ba, cải thiện chiến lược giảm thiểu rủi ro và kiểm tra thâm nhập hiệu quả. Nó cũng sẽ yêu cầu FIs chỉ định “giám đốc thông tin và giám đốc an ninh thông tin, với kinh nghiệm và chuyên môn cần thiết, được bổ nhiệm và chịu trách nhiệm quản lý rủi ro công nghệ và mạng”.

Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI / DSS)


Những quy định khác nhau này và những nỗ lực của chính phủ cần phải tích hợp với những người gác cổng như hệ thống PCI và PCI / DSS để cho phép xử lý thanh toán. Tiêu chuẩn CPoC (Thanh toán không tiếp xúc trên COTS) hiện có đã được giới thiệu vào năm 2019 và mô tả các yêu cầu bảo mật cho các giải pháp SoftPOS (điểm bán phần mềm), cho phép chấp nhận thanh toán thông qua các thiết bị di động hoặc máy tính bảng bán sẵn mà không cần thêm phần cứng chuyên dụng . Tuy nhiên, các giao dịch này đã bị hạn chế vì chúng không thể chấp nhận mục nhập mã PIN trên thiết bị di động. Do đó, họ có các giới hạn tiền tệ cứng (ví dụ: € 50 ở hầu hết các nước EU).

PCI dự kiến ​​sẽ phát hành một tiêu chuẩn CPoC mới, cho phép nhập mã PIN trên một thiết bị di động tiêu chuẩn để mở rộng đáng kể các giao dịch có khả năng được xử lý.

Bảo vệ ứng dụng ảnh hưởng như thế nào đến việc tuân thủ bảo mật dữ liệu tài chính
Tuân thủ bảo mật dữ liệu tài chính là rất quan trọng đối với tất cả các nhà phát triển ứng dụng fintech và ngân hàng di động vì một số lý do, bao gồm:

  • Giảm chi phí do vi phạm dữ liệu
  • Tránh tiền phạt theo quy định
  • Duy trì lòng tin và lòng trung thành của khách hàng
  • Năng lực hoạt động ở nhiều khu vực pháp lý


Bảo vệ ứng dụng là chìa khóa để đảm bảo các nhà phát triển và nhà cung cấp duy trì tuân thủ bảo mật dữ liệu tài chính ở bất kỳ nơi nào họ đang kinh doanh. Ứng dụng phải được bảo vệ trước vô số vectơ tấn công mà tin tặc có thể sử dụng để truy cập. Các mối đe dọa phổ biến bao gồm:

  • Kỹ thuật đảo ngược
  • Giả mạo mã
  • Các cuộc tấn công trung lộ
  • Chạy ứng dụng trên thiết bị đã root / jailbreak
  • Các cuộc tấn công kênh bên
  • Đánh cắp khóa mã hóa


Ví dụ, các khóa mã hóa đã trở thành mục tiêu ưa thích của các tin tặc vì các tiêu chuẩn mã hóa cao hơn. Nếu họ có thể đánh cắp khóa mã hóa, thì độ mạnh của mã hóa được sử dụng để bảo vệ dữ liệu được lưu trữ hoặc truyền đi không quan trọng. Bên ngoài các mô-đun phần cứng, khó áp dụng và không có sẵn trên mọi thiết bị, chỉ một kỹ thuật như mật mã hộp trắng mới có thể giữ an toàn cho các khóa mã hóa. Trên thực tế, Tiêu chuẩn PCI CPoC bắt buộc sử dụng mật mã hộp trắng khi không có bảo vệ phần cứng được đảm bảo cho các khóa.

Tại Intertrust, chúng tôi có thể giúp bạn đảm bảo tuân thủ bảo mật dữ liệu tài chính bằng cách bảo vệ mã, dữ liệu và khóa của bạn. whiteCryption Code Protection giúp các ứng dụng chống lại sự xâm nhập với nhiều cơ chế chống giả mạo, giải mã nâng cao và tự bảo vệ ứng dụng trong thời gian chạy (RASP). whiteCryption Secure Key Box sử dụng mật mã hộp trắng tiên tiến nhất để giữ cho các khóa mã hóa luôn được bảo vệ, ngay cả khi bản thân thiết bị đã bị xâm phạm.

Thời gian đưa ra thị trường là mối quan tâm đáng kể trong quá trình phát triển ứng dụng. Nhóm của chúng tôi đã làm việc rộng rãi với các công ty trên khắp thế giới để ứng dụng của họ được thử nghiệm, chứng nhận và sẵn sàng đưa ra thị trường.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây