今天的创新者都承受着巨大的压力。投资资金、是否自筹资金、众包还是通过风险投资渠道融资等等途径都必须明智地运用,而且首先要关注产品或服务能否推向市场。所以,在开发好代码和部署好平台之前,这都可能无意中限制了创新者的安全研究。在这一层面上说,Fintech应用和服务往往很难加以安全控制,就算考虑到其中,它的有效性也是有限的。
设计即安全
作为个人财务数据的管理者,Fintech公司有义务尽一切所能维护平台安全。这就要求采取“设计即安全”的方法来从第一天起直接为其平台构筑安全的环境——将安全设计融入平台设计之中,而不是在平台之上搭建。“设计即安全”确保消费权益保护和经历在代码的早期阶段以及安保问题发生之前得到解决。
“设计即安全”也完美符合创新的要求,特别是对于今天的金融服务环境。传统上,消费者的金融数据都存储在静止的保管库——就像现金。而现在,金融数据——具有非常切实的安全和隐私隐患的数据是可移动的,由多个第三方共享和处理。这违反了公民和保护措施所需要遵循的确定谁才有访问的数据的原则,让任何一个环节都存在安全漏洞。
设计中构建安全最好的方法是定义应用程序或服务的需求时,从一开始就绘制好数据流。开发者需要对涉及系统资产和支付链条的数据的财产清册有一个整体的考虑格局。这样可以全面了解到固有的风险和威胁,适用的法规和标准以及必要的安全控制手段。
固有风险不仅仅是可以被黑客利用的代码或平台中的技术漏洞。客户体验也必须加以考虑,包括客户端设备(比如手机、浏览器和平板),他们的安全意识水平和对威胁的发现、预防和应对能力。第三方的参与也开始发挥作用,特别是对于那些集成到系统的体验,比如身份验证提供方、信息采集 和社交媒体连接器。
最后,至关重要的是要了解安全控制将如何影响用户的体验。举个例子,当使用一个移动金融应用程序来帮助用户做出一个冲动购买的决策时,他们会将多因素认证视作一个有用的功能还是一个麻烦呢?
功能和安全之间,平衡是关键。这不光是说说而已,对于价值定位和平台,Fintech创新者需要对数据流、风险相应地有一个360度安全防护的措施和视角。设计即安全能够帮助寻找到最佳的平衡点,因为所有这些因素都会在在构思和开发阶段就能够被识别出来,并进行讨论、审查和处理。一旦这个阶段过去,就基本没什么机会来完善安全层了。
通过在评估威胁和业务需求时,把安全因素加入到特性和功能中一起考虑,Fintech创业公司可以此降低安全问题的可能性。最重要的是,他们可以创建的Fintech应用程序和服务不仅能够改变我们管理财富的方式,而且可以保障我们最敏感、个人的信息不被侵害。
