Безпека за проектом: ключ до розв'язання найскладнішої проблеми модернізації платежів

Індустрія платежів продовжує інновації, з новими взаємодоповнюючими системами, такими як Pix у Бразилії та UPI в Індії, що слугують зразками для країн у тому, як можна розбити традиційні ізоляційні системи, які зазвичай заважають платежам. Блокчейн-основні платежі та зростання стабільних монет додали ще один спосіб переказу грошей через кордони. Все це означає, що замість чекати дні для переказу та розрахунку, ми рухаємося до світу, де гроші рухаються миттєво.

Кожне з цих нововведень у платежах здебільшого зосереджене на швидкості та безперебійності досвіду, але захист від шахрайства не йде в ногу з цим. Як і з більшістю інновацій, продуктові команди спершу зосереджуються на функціональності — чи може технологія робити те, що від неї очікують? Безпека та приватність приходять пізніше, коли технологія вже створена, створюючи середовище, де компанії швидко розробляють продукти і виправляють проблеми пізніше. Це особливо актуально в ринкових умовах, таких як США, де інновації заохочуються.

Але в платежах цей порядок має наслідки, і інновації та безпека не обов’язково мають бути взаємовиключними. Використання принципів безпеки за дизайном, підтримуваних рамками цифрової ідентичності та поведінковою верифікацією, може швидко вивести продукти на ринок, забезпечуючи при цьому вбудовану приватність з самого початку, а не додану наприкінці.

Закладайте безпеку у фундамент платежів.

Продуктові команди проектують ідеальний користувацький досвід, але робота на цьому не закінчується. Команди безпеки з’являються пізніше і кажуть: «Нам потрібно додати запобігання шахрайству, перевірки відповідності та контролі приватності». Це означає, що безпека додається до вже існуючої швидкої функціональності платежів, що робить її швидше за все додатковим елементом, ніж захистом. Кращий підхід повністю змінює цей порядок, спершу закладаючи основу безпеки, а потім будуючи механізми передачі даних, здійснення транзакцій і надання бізнес-функцій на її базі. Це гарантує, що кожен платіжний процес починається на безпечній основі.

Коли безпека є фундаментальною, це допомагає швидше рухатися вперед з інноваціями у платежах. Наприклад, регуляторне схвалення отримується швидше, довіра клієнтів зростає швидше, оскільки продукт розроблений з урахуванням їх захисту, а витрати на шахрайство залишаються низькими завдяки запобіганню проблемам. Інженерні команди також можуть витрачати менше часу на виправлення вразливостей і більше — на створення функціональності платежів, що допомагає грошей рухатися швидше.

Глобальні регулятори також погоджуються з цим підходом. Європа має найрозвиненішу рамку з цифровими ідентифікаційними гаманцями, які регулюють рівень безпеки залежно від ризику транзакції, забезпечуючи низький рівень перешкод для низькоризикових взаємодій і посилене підтвердження за потреби. США йдуть схожим шляхом, застосовуючи традиційні банківські вимоги щодо відповідності, такі як Know Your Customer (KYC) та Anti-Money Laundering (AML), до платіжних провайдерів.

Ідентичність належить людині, а не провайдеру.

Коли хтось має доступ до свого банківського рахунку або платформи peer-to-peer, він надає логін і, за наявності, двофакторну автентифікацію через код, надісланий на електронну пошту або телефон. У кожної платформи свої вимоги, наприклад, електронна адреса, ім’я користувача та пароль. Це означає, що для кожної системи ідентичність підтверджується на основі облікового запису, а не справжньої особистості.

Це працювало, коли гроші переважно залишалися в межах однієї установи, але руйнується, коли гроші потрібно рухати вільно. Замість встановлення ідентичності для кожної установи, цифрова ідентичність пропонує новий підхід: виступає як цифровий гаманець, яким володіє кінцевий користувач і який може надавати доступ до будь-якої установи. У цій моделі користувач зберігає свою ідентичність, а не компанія або установа.

Європейський цифровий ідентифікаційний гаманець пропонує ранній приклад того, як це працює на практиці: ідентичність зберігається у користувача і вибірково надається банкам і фінтех-компаніям за потреби. США навряд чи прямо його копіюватимуть, але основні принципи вже формують дискусію навколо користувацьких облікових даних і багаторазового KYC. За цими рамками користувач може довести, наприклад, що йому понад 21 рік або що він мешкає у США, не передаючи повний документ, що засвідчує особу.

Коли людина носить із собою фізичний гаманець, вона, ймовірно, має водійські права, дебетову карту та страховий поліс, кожен з яких виконує свою функцію залежно від ситуації — цифрова ідентичність працює так само. У цифровому сценарії користувач надає відповідні документи залежно від контексту: базову автентифікацію для малих транзакцій, багаторівневу перевірку для великих ідентифікацій або юрисдикційно-залежну ідентичність для трансграничних операцій.

Щоб це працювало масштабно, потрібно, щоб воно функціонувало через різноманітні цифрові методи ідентифікації по всьому світу. Інфраструктура має робити все це, зберігаючи приватність у центрі уваги і розглядаючи KYC як багаторазовий обліковий запис, а не щось, що кожна установа робить з нуля.

Переходьте до динамічних перевірок ідентичності за поведінкою.

Традиційно запобігання шахрайству базувалося на статичній інформації, такій як імена, номери рахунків і документи. Але шахраї навчилися підробляти ці дані.

Крім того, цифрові платежі вводять нову вразливість — розрив у ланцюжку. Провайдер платежів, ймовірно, виконує KYC-перевірку при реєстрації користувача, а потім його логін і облікові дані підтверджують, що користувач — це він. Проблема в тому, що, коли гроші починають рухатися, ця видимість зникає. Провайдер надіслав гроші, але не має контролю над отримувачем.

Через це, коли трапляється шахрайство, важко ефективно розслідувати або визначити відповідальність. Крім того, коли клієнти не можуть отримати доступ до своїх грошей і не мають способу повернути кошти, довіра руйнується, і прийняття системи знижується.

Саме тут ідентичність може перейти від статичних документів до вивчення того, чи є особа легітимною. Поведінкова верифікація аналізує, як людина взаємодіє зі своїм пристроєм і платежами, наприклад, за допомогою патернів натискання клавіш, рухів миші та поведінки під час транзакцій. Спосіб використання пристрою кожною особою унікальний і може слугувати цифровим відбитком.

За допомогою поведінкової ідентифікації провайдери платежів можуть виявляти шахрайство без збору або зберігання чутливих особистих даних. Крім того, у разі виникнення претензій щодо шахрайства, слідчі можуть простежити повний шлях платежу від початку до кінця, визначаючи, де і як сталося шахрайство.

Більшість необхідних інструментів вже існує у традиційній системі запобігання шахрайству. Зараз виклик полягає у адаптації цих рамок до миттєвих і безмежних платежів. Для компаній, які правильно закладають основу, швидкість руху грошей стає природною.