Безпека банківських чат-ботів – це головний пріоритет 42flows.tech
У минулому банки боялися озброєних злочинців, які могли пограбувати каси відділень, сьогодні ж однією з головних проблем безпеки сучасних фінансових інституцій це кібер злочинці, які можуть зламати системи безпеки банків та завдати великих фінансових збитків. Крізь цю призму трансформації можна побачити, як еволюціонували банки і як змінився світ. У цьому ж контексті ми маємо розглядати і підходи до безпеки у фінтех сфері.
В даний час кіберзлочинність вважається однією з головних проблем банків у всьому світі. Статистика показує, що світові збитки від кіберзлочинів досягли 6 трильйонів доларів у 2021 році. Більше того, згідно з дослідженнями компанії Accenture та Інституту Понемон, вартість кібератак найвища в банківській сфері й досягає $18.3 мільйона для однієї компанії. Також, у цьому контексті цікаво зазначити, що в інтерв’ю для New York Times, керівники служби безпеки Mastercard повідомили, що вони стикаються з більш ніж 460 000 спробами злому на день, що на 70 відсотків більше ніж рік тому. Компанія 42flows.tech тримає руку на пульсі всіх потенційних загроз і бере їх до уваги при розробці чатботів для фінтех індустрії.
Існує два основних варіанти зберігання персональних та фінансових даних користувачів: на серверах клієнта (on premise) або у хмарній системі (cloud storage). Вони обоє вважаються досить надійними і кожен має свої плюси та мінуси. Наші клієнти віддавали перевагу on-premise варіанту, тому що вважали, що він краще підійде для контролю серверів і систем безпеки банку і не стане точкою можливої вразливості та втрати конфіденційності особистої та фінансової інформації. Ми в 42flows.tech готові використовувати той варіант зберігання даних, який буде комфортним і зручним для клієнта і який одночасно. забезпечить безпеку, яка така важлива у банківській сфері.
Безпека пересилання сенситивних даних – головна вимога всіх банківських установ, оскільки від нього залежить забезпечення конфіденційності персональної та фінансової інформації клієнтів. У банківській сфері традиційно використовується стандарт безпеки індустрії платіжних карток, PCI DSS, заснований міжнародними платіжними системами Visa, MasterCard, American Express, JCB та Discover. Стандарт являє собою сукупність 12 деталізованих вимог щодо забезпечення безпеки даних про власників платіжних карток, які передаються, зберігаються та обробляються в інформаційних інфраструктурах організацій. У той же час, сертифікація PCI DSS є дуже дорогим і складним процесом. Ми ж використовуємо не менш ефективний та не менш безпечний альтернативний метод. Наша компанія не дозволяє пересилання персональних та фінансових даних клієнтів у класичному вигляді, а замінює всю конфіденційну інформацію на анонімні ідентифікатори (наприклад, один довільний набір знаків замінює ім’я клієнта, а інший довільний набір знаків замінює номер рахунку). Наскрізне шифрування забезпечує безпечний зв’язок шляхом кодування повідомлень або іншої інформації, що переміщується каналом. Тільки відправник та одержувач можуть використовувати дані, і ніхто інший не може переглядати надіслану інформацію. Навіть якщо взломщик зможе якимось чином отримати доступ до комунікації, єдине, що він побачить – це набір знаків і цифр, який не несе ніякого смислового навантаження і яким він не зможе скористатися для отримання конфіденційної інформації.
Ми також використовуємо двоетапну автентифікацію користувача та його облікових даних для входу. На першому етапі перевіряються облікові дані (такі як ім’я користувача та пароль). На другому етапі ми використовуємо one-time password (OTP), безпечний токен автентифікації, який використовується протягом заданого періоду часу (це означає, що система має створити новий токен після закінчення заданого періоду часу). Цей пароль може бути надісланий клієнту як текстове повідомлення на зареєстрований номер телефону. Такий підхід простий і надійний для безпеки, щоб перевірити особистість користувача. Використання one-time password блокує зловмиснику можливість повторно використовувати перехоплений пароль у злочинних цілях та дозволяє запобігти крадіжці особистих даних.
Ми використовуємо додаткові паролі для доступу до тих частин системи, в яких зберігається персональна та фінансова інформація (repeated authN). Таким чином, навіть якщо людина втратила телефон і зловмисник отримав до нього доступ, то він не зможе вкрасти персональну чи фінансову інформацію людини і вона залишиться конфіденційною. Такий підхід дозволяє нам забезпечити додаткову безпеку даних.
Ми використовуємо цілу систему превентивних заходів, щоб уникнути ситуації злому облікового запису. Наприклад, коли на log in сторінці неправильно ввести логін, користувач побачить помилку, що він/вона не правильно ввела логін або пароль. Іншими словами, ми точно не вказуємо на помилку і не деталізуємо її, оскільки це може допомогти зломнику зламати обліковий запис користувача.
З розвитком нових технологій завжди виникають загрози безпеці. Досвід та експертиза нашої компанії дозволяють нам пропонувати прогресивні та надійні рішення, які повністю забезпечують конфіденційність персональної та фінансової інформації клієнтів. Серед головних інструментів забезпечення безпеки, які використовує 42flows.tech, важливо відзначити: шифрування баз даних, маскування інформації, використання унікальних UUID ідентифікаторів та специфіка входу в аккаунт. Жоден з наших проектів не був зламаний, тому що ми даємо нашим клієнтам гарантію якості безпеки.
Немає сенсу уникати чат-ботів через необґрунтовані побоювання щодо безпеки, оскільки саме вони можуть стати відмінним способом підвищення зручності та комфорту сервісів клієнтів завдяки автоматичним алгоритмам. Зрештою, кому не подобається миттєве вирішення рутинних проблем з обслуговуванням клієнтів замість довгого ланцюжка електронних листів чи днів телефонних дзвінків? Крім покращення загальної якості обслуговування клієнтів, а відповідно задоволеності клієнтів отриманим результатом, чат-боти заощаджують ресурси для бізнесу та дозволяють банкам обслуговувати більше клієнтів одночасно. Завдяки правильному тестуванню безпеки та інтерфейсу користувача, призначеному для м’якого інформування споживачів про безпеку в Інтернеті, чат-боти є безпечним способом ведення бізнесу. Компанії завжди повинні думати про нові загрози та вразливості, які можуть виникнути. Хоча чат-боти – це порівняно нова технологія, але методи забезпечення безпеки, які стоять за ними, існують уже давно і показують високу ефективність.
Компанія 42flows.tech гарантує клієнтам, що вони можуть довірити нам свій бізнес і бути впевненими, що конфіденційна інформація буде захищеною. Потрібен надійний банківський чат бот для вашого бізнесу? Напишіть нам на success@51.20.208.231
42flows.tech – це прогресивна сервісна ІТ компанія, в якій люди працюють з цікавими та перспективними проектами. Давай робити революцію у світі фінтеху разом!
Ми шукаємо таланти, приєднуйся до нашої команди!
В прошлом банки боялись вооруженных преступников, которые могли ограбить кассы отделений, сегодня же, одной из главных проблем безопасности современных финансовых институций это кибер преступники, которые могут взломать системы безопасности банков и нанести очень большой финансовый ущерб. Сквозь эту призму трансформации можно увидеть как эволюционировали банки и как изменился мир. В этом же контексте мы должны рассматривать и подходы к безопасности в финтех сфере.
В настоящее время киберпреступность считается одной из главных проблем банков по всему миру. Статистика показывает, что мировой ущерб от киберпреступлений достиг 6 триллионов долларов в 2021 году. Более того, согласно исследованию компании Accenture и Института Понемон, стоимость кибератак самая высокая в банковской сфере и достигает $18.3 миллиона в расчете на одну компанию. Также, в этом контексте интересно отметить, что в интервью для New York Times, руководители службы безопасности Mastercard сообщили, что они сталкиваются с более чем 460 000 попытками взлома в день, что на 70 процентов больше, чем год назад. Компания 42flows.tech держит руку на пульсе всех потенциальных угроз и берет их во внимание при разработке чатботов для финтех индустрии.
Существует два основных варианта хранения персональных и финансовых данных пользователей: на серверах клиента (on premise) или в облачной системе (cloud storage). Они оба считаются достаточно надежными и каждый имеет свои плюсы и минусы. Наши клиенты предпочитали on-premise вариант, так как считали что он лучше подойдет для контроля серверов и систем безопасности банка и не станет точкой возможной уязвимости и потери конфиденциальности личной и финансовой информации. Мы в 42flows.tech готовы использовать тот вариант хранения данных, который будет комфортным и удобным для клиента и одновременно обеспечит безопасность, которая так важна в банковской сфере.
Безопасность пересылки сенситивных данных – главное требование всех банковских учреждений, так как от него зависит обеспечение конфиденциальности персональной и финансовой информации клиентов. В банковской сфере традиционно используется стандарт безопасности индустрии платёжных карт, PCI DSS учреждённый международными платёжными системами Visa, MasterCard, American Express, JCB и Discover. Стандарт представляет собой совокупность 12 детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются в информационных инфраструктурах организаций. В то же время, сертификация PCI DSS очень дорогой и сложный процесс. Мы же используем не менее эффективный и не менее безопасный альтернативный метод. Наша компания не разрешает пересылку персональных и финансовых данных клиентов в классическом виде, а заменяет всю конфиденциальную информацию анонимными идентификаторами (например, один произвольный набор знаков заменяет имя клиента, а другой произвольный набор знаков заменяет номер счета). Сквозное шифрование обеспечивает безопасную связь путем кодирования сообщений или другой информации, которая перемещается по каналу. Только отправитель и получатель могут использовать данные, и никто другой не может просматривать отправленную информацию. Даже если взломщик сможет каким то образом получить доступ к коммуникации, единственное что он увидит – это набор знаков и цифр, какой не несет никакой смысловой нагрузки и каким он не сможет никак воспользоваться для получения конфиденциальной информации.
Мы также используем двухэтапную аутентификацию пользователя и его учетных данных для входа. На первом этапе проверяются учетные данные (такие, как имя пользователя и пароль). На втором этапе мы используем one-time password (OTP), безопасный токен аутентификации, который используется на протяжении заданного периода времени (это значит что система должна создать новый токен по истечении заданного периода времени). Этот пароль может быть отправлен клиенту в виде текстового сообщения на зарегистрированный номер телефона. Такой подход простой и надежный для безопасности, чтобы проверить личность пользователя. Использование one-time password блокирует злоумышленнику возможность повторно использовать перехваченный пароль в преступных целях и позволяет предотвратить кражу личных данных.
Мы используем дополнительные пароли для доступа в те части системы, в которых хранится персональная и финансовая информация (repeated authN). Таким образом, даже если человек потерял телефон и злоумышленник получил к нему доступ, то он не сможет украсть персональную или финансовую информацию человека и она останется конфиденциальной. Такой подход позволяет нам обеспечить дополнительную безопасность данных.
Мы используем целую систему превентивных мер, чтобы избежать ситуации взлома аккаунта. Например, когда на log in странице неправильно ввести логин, пользователь увидит ошибку, что он/она неправильно ввели логин или пароль. Другими словами, мы точно не указываем на ошибку и не детализируем ее, так как это может помочь взломщику взломать учетную запись пользователя.
С развитием новых технологий всегда возникают угрозы безопасности. Опыт и экспертиза нашей компании позволяют нам предлагать прогрессивные и надежные решения которые полностью обеспечивают конфиденциальность персональной и финансовой информации клиентов. Среди главных инструментов обеспечения безопасности, которые использует 42flows.tech важно отметить: шифрование баз данных, маскировку информации, использование уникальных UUID идентификаторов и специфика входа в аккаунт. Ни один из наших проектов не был взломан, так как мы даем нашим клиентам гарантию качества безопасности.
Нет смысла избегать банковских чат-ботов из-за необоснованных опасений по поводу безопасности, поскольку именно они могут стать отличным способом повышения удобства и комфорта сервисов клиентов благодаря автоматическим алгоритмам. В конце концов, кому не нравится мгновенное решение рутинных проблем с обслуживанием клиентов вместо длинной цепочки электронных писем или дней телефонных звонков? Помимо улучшения общего качества обслуживания клиентов, а соответственно удовлетворенности клиентов полученным результатом, чат-боты экономят ресурсы для бизнеса и позволяют банкам обслуживать больше клиентов одновременно. Благодаря правильному тестированию безопасности и пользовательскому интерфейсу, предназначенному для мягкого информирования потребителей о безопасности в Интернете, чат-боты являются безопасным способом ведения бизнеса. Компании всегда должны думать о новых угрозах и уязвимостях, которые могут возникнуть. Хоть, чат-боты − это сравнительно новая технология, но методы обеспечения безопасности, которые стоят за ними, существуют уже давно и показывают высокую эффективность.
Компания 42flows.tech гарантирует клиентам что они могут доверить нам свой бизнес и быть уверенными что конфиденциальная информация будет защищенной. Нужен надежный банковский чат бот для вашего бизнеса? Хотите узнать больше? Напишите нам на success@51.20.208.231
42flows.tech – это прогрессивная сервисная ІТ компания, в которой люди работают с интересными и перспективными проектами. Давай делать революцию в мире финтеха вместе!
Мы ищем таланты, присоединяйся к нашей команде!
Years ago, banks were afraid of the armed criminals who could rob their branches. Today, one of the biggest problems for modern financial institutions’ security is cybercriminals breaking the banking security systems and causing significant financial loss. Through this lens of transformation, you can see how banks have evolved and how the world has changed. Security issues in fintech should be also approached in the same context.
Currently, cybercrimes are considered to be one of the biggest problems for banks all around the world. According to statistics, in 2021 global cybercrime costs reached $6 trillion. Moreover, according to a report by Accenture and the Ponemon Institute, the cost of cybercrime reached its top in banking, with $18.3 million per company. Also, in this context, it’s worth noting that in an interview with The New York Times, the Mastercard’s security executives reported combating 460,000 intrusion attempts in a typical day, up 70% from a year ago.
At 42flows.tech, we keep abreast of all the potential threats and take them into account when building chatbots for the fintech industry.
There are two main approaches for storing the personal and financial data of users: on the customer’s servers (on-prem) or in the cloud (cloud storage). Both approaches have pros and cons, so the choice depends on security risks and local regulations. Typically, our customers, especially banks, prefer on-prem data storage as it allows integration with their already existing monitoring and security infrastructure.
From a security perspective, protecting data on-prem requires carefully securing each level – network, OS, applications, accesses, and data fields. Putting sensitive data in the cloud requires a different security approach, as a cloud already provides ready-to-use tools for authentication, monitoring, access control, and backups.
We rely on field-level encryption of sensitive data before storing it in the database. The important thing is that the database doesn’t have access to the data in plaintext. Field-level encryption could be done by using tools like Acra database security suite, or by building a security layer that encrypts data transparently before putting it into the database.
At 42flows.tech, we use the data storage option, convenient for the customer as we provide data storage security independently of the storage location, which is so important in the banking industry.
The banking sector traditionally uses the payment card data security standard, PCI DSS, designed by the international payment systems Visa, MasterCard, American Express, JCB, and Discover. The standard describes 12 detailed requirements for ensuring the security of cardholders’ data during storage, processing, and transmission. The PCI DSS certification process is quite long and extensive, but it’s one of the foundational standards for fintech, and we rely on PCI DSS requirements when working with sensitive data.
We use traditional transport security measures, like encrypting data with TLS 1.2 and 1.3 with mutual authentication to prevent unnoticed MitM attacks. Also, we use security features beyond the traditional set, like data tokenization or end-to-end encryption – depending on the use case, system architecture, and customer requirements.
Data tokenization allows substituting cardholders’ sensitive data with non-sensitive tokens. For example, we store PAN (primary account number) encrypted in secure storage but operate with a non-sensitive token to identify the account holder. Thus, for most actions, neither the applications, nor the databases “know” which account they operate. Tokens are anonymous and replace confidential information.
End-to-end encryption of transferred data means that only the sender and receiver have cryptographic keys to decrypt the data, while all applications and databases in between operate with ciphertext. End-to-end encryption is not a silver bullet, it requires careful architecture design, as applications (“ends”) should have access to the trusted cryptographic environment. In many cases, we combine tokenization with transport encryption instead to provide security during transmission.
We use multi-factor authentication (MFA) for ensuring security of user login. We rely on one-time password (OTP) as a second step after validating username and password. OTP codes are short authentication tokens that are valid for a short time (typically, 30 seconds). OTP codes can be delivered via email, SMS, push notification or using applications like Authenticator. SMS delivery is one of the most simple and popular ways, although SMS cost money and could be intercepted. We rely on NIST SP 800-63b and OWASP recommendations when advising customers how to solve security/usability tradeoffs.
Multi-factor authentication blocks attackers from using the intercepted password, and is one of the most reliable ways to protect user accounts.
However, the mobile phone could be stolen and criminals could gain access to the chat. We use a so-called “step up authentication” or “repeated authentication” approach to prevent this from happening. A chatbot asks for special pin codes when the user tries to get access to their personal or financial information. Thus, only knowing the account’s username and password, having access to OTP, and knowing a pin code, allows accessing the sensitive information.
The users have the ability to log out from all chatbot sessions if their device is lost. It means that all local data will be wiped, and the attackers won’t gain any confidential information.
Unfortunately, no one single security measure will protect against account hacking. Fortunately, we have implemented many of them! For example, account blocking – if the user has entered their password wrong several times in a row, an application introduces a delay before the next attempt. The delay protects from automated brute-forcing of the password. Also, the users can configure the security setting whether they want to “log out and clean all the data” after 10 incorrect inputs in a row.
Another example of protection measures is using a security-conscious error messaging: we don’t reveal details that would help attackers to break into users accounts.
Instead of a long chain of emails or phone calls, chatbots provide instant solutions, saving resources for both parties and allowing businesses to serve more customers simultaneously. Chatbots are a rather new technology, backed by strong and well-rounded security methods and technologies taking care of current and potential threats and vulnerabilities.
Developments in new technologies are always accompanied by security risks. Our company’s experience and expertise allow us to offer progressive and reliable solutions that fully ensure clients’ personal and financial information confidentiality.
It is important to note that for ensuring security, at 42flows.tech we use data encryption and tokenization, firewalling, access control, MFAs, security monitoring, and many more. None of our projects was leaked, we guarantee security to our customers.
We take security seriously. So, with proper threat modeling, secure development, vulnerabilities management, security testing, and a user interface designed to educate customers unobtrusively about online safety, chatbots are a safe and effective way to do business.
42flows.tech guarantees customers that confidential data is well-protected. You can trust us.
We use encryption and data protection solutions of our partner Cossack Labs to ensure the security of our customer and their data.
42flows.tech is ready to build a secure chatbot for your business! Do you want to know more? Drop a line to the following email: success@51.20.208.231
42flows.tech is a progressive IT service company where people work with challenging and promising projects. Let’s revolutionize the fintech world together!
We are looking for talents, come join our team!
42flows.tech is proud of:
We also have many other interesting articles to share? You are welcome to explore our blog.
Let’s talk. Just enter your details and we will reply within 24 hours.
