PSD2 jako inovace na úkor bezpečnosti?

11. dubna 2018

V polovině března byla zveřejněna finální verze technických standardů (RTS) pro směrnici PSD2. Její text je kompromisem mezi požadavky finančně-technologických startupů (fintechů) a snahou bank zachovat status quo. Hlavním konfliktem byla otázka bezpečnosti nového rozhraní. Kdo dosáhl svého?

Jablkem sváru při finalizaci RTS byla možnost využít takzvaný screen scrapping, tedy strojové čtení obrazovek existujícího internet bankingu. Při tomto způsobu přístupu se třetí strany nepřipojují na speciální rozhraní API, ale s pomocí různých technik simulují klikání v internet bankingu – systém vlastně předstírá, že je živým člověkem. Tuto metodu dnes používá mnoho fintechů po celém světě na získávání dat, které potřebují pro svoje fungování.

Screen scrapping je všeobecně považován za málo bezpečný. Důvodů je několik – například nemožnost oddělit informace o účtech od ostatních dat (například osobních údajů). Pokud třetí strana získá přístup do internet bankingu, dostane se automaticky ke všemu. To však není to nejhorší. Obrovským problémem je poskytnutí přihlašovacích údajů třetí straně.

Více v článku na tyinternety.cz

Autor: Peter Polák
Zdroj: tyinternety.cz, 28.3.2018 (Starupy, Technologie)