154563 (1)
API

حاکمیت API و مدیریت ریسک چگونه با عمل می‌کنند؟

توسط . ارسال شده در

پس از همه‌گیری، هر روز یک شرکت فناوری جدید در حال ظهور است. در دوران قرنطینه، مشتریان دسترسی محدودی به خدمات بانکی داشتند و شروع به درخواست کانال‌های دیجیتال بیشتر کردند. از اینجا تغییر رفتار مشتری آغاز شد. تقاضا برای تجربه شخصی‌سازی‌شده نیز نسبت به خدمات مالی سنتی افزایش یافت. اینجا بود که بانکداری باز و APIهای باز وارد میدان شدند. این تغییرات با چالش‌ها و ریسک‌های خود همراه‌اند.

بانکداری باز به شخص ثالث اجازه می‌دهد به اطلاعات مشتریان و داده‌هایی که قبلاً در گاوصندوقی امن در بانکداری سنتی بودند دسترسی یابد. برای اشتراک‌گذاری این اطلاعات با شخص ثالث یا فین‌تک، رضایت مشتری لازم است. دسترسی باز چیزی نیست که بانک‌های سنتی به آن عادت داشته باشند. بانک‌ها سیستم‌های اصلی، داده‌ها و برنامه‌های کاربردی خود را دارند همراه با APIهای داخلی یا بسته. اما بانک‌ها برای همراهی با تغییرات شروع به همکاری با اشخاص ثالث کردند. برای فعال کردن دسترسی شرکای ثالث به داده‌های خود، بانک‌ها مجبور شدند با APIهای باز کار کنند تا سیستم‌های مختلف قادر به ارتباط با یکدیگر باشند. اینجاست که ابتکار بانکداری باز آغاز شد. برای بانکداری باز چارچوب‌های امنیتی و نظارتی موردنیاز است.

چالش‌ها و ریسک‌های بانکداری باز (Open Banking Challenges and Risks)

امنیت داده – نگرانی درباره اینکه داده کجا ذخیره می‌شود، چگونه انتقال می‌یابد و چه کسانی به آن دسترسی دارند و آن را به اشتراک می‌گذارند.
کلاهبرداری مالی – سرقت هویت نوعی کلاهبرداری مالی و یک ریسک بزرگ برای بانکداری باز است.
عدم انطباق با مقررات
اختلالات عملیاتی
سوءاستفاده از API

کاهش ریسک APIهای باز در بانکداری باز

  • باید یک چارچوب مشخص و یکنواخت برای حاکمیت API جهت مقابله با این چالش‌ها و ریسک‌ها ایجاد کنیم.
  • توسعه یک منشور حاکمیتی که اهداف، سیاست‌ها و رویه‌ها را برای حاکمیت API تشریح کند.
  • اختصاص نقش‌ها و مسئولیت‌ها برای حاکمیت API به ذینفعان مختلف شامل مؤسسات مالی، ارائه‌دهندگان شخص ثالث و نهادهای نظارتی.
  • ایجاد یک کمیته حاکمیتی که مسئول بازبینی، مدیریت و اجرای مستمر چارچوب حاکمیت API باشد.
  • اجرای فرآیندهای امنیتی و مدیریت ریسک قدرتمند و مؤثر.
  • اجرای احراز هویت چندعاملی برای دسترسی و استفاده از API.
  • رمزنگاری داده‌های حساس در حال انتقال و در حالت ذخیره.
  • توسعه یک طرح پاسخ‌گویی به حوادث امنیتی که نحوه رسیدگی به نقض امنیت و دسترسی غیرمجاز را مشخص کند.
  • پایش مستمر دسترسی و استفاده از API برای فعالیت‌های مشکوک و انجام ممیزی امنیتی.

اجرای فرآیندهای مؤثر تست و اعتبارسنجی

  • توسعه سناریوهای تست و اسکریپت‌های تست برای آزمون‌های عملکردی و غیرعملکردی.
  • انجام تست پذیرش کاربران با نمایندگان مشتریان برای اطمینان از اینکه APIها نیازهای آن‌ها را برآورده می‌کنند.
  • توسعه مستندات شفاف و یکپارچه برای APIها شامل راهنمای کاربر و اسناد مرجع.
  • به‌روزرسانی منظم سناریوهای تست و مستندات با تغییر APIها.

اجرای فرآیند مدیریت API شفاف و یکنواخت

  • توسعه فرآیند مدیریت و به‌روزرسانی APIها شامل فرآیند مدیریت تغییر.
  • بازبینی و به‌روزرسانی مستمر APIها برای اطمینان از ادامه تطابق آن‌ها با نیازهای مشتریان و مؤسسه مالی.
  • پایش استفاده و عملکرد API برای شناسایی مشکلات و ایجاد تغییرات لازم.

اجرای برنامه BCM و DR مؤثر

اجرای برنامه مدیریت تداوم کسب‌وکار برای تضمین تداوم فرآیندهای حیاتی تجاری در صورت قطعی API یا سایر اختلالات.
اجرای برنامه بازیابی از فاجعه که گام‌های بازیابی از اتفاقاتی که موجب قطعی می‌شوند را مشخص کند.
آزمون تاب‌آوری منظم APIها برای اطمینان از قابلیت مدیریت حجم موردانتظار تراکنش‌ها و شناسایی مشکلات بالقوه قبل از ایجاد اختلال.
اطمینان از اینکه ارائه‌دهندگان شخص ثالث در ارائه APIها دارای برنامه‌های BCM و DR بوده و این برنامه‌ها به‌طور منظم تست و بازبینی شوند.

توافق‌نامه سطح خدمت و مفاد قراردادی

قبل از همکاری با ارائه‌دهندگان شخص ثالث، باید SLAها و شرایط قراردادی را مشخص کرد. مواردی که باید بررسی شوند شامل:

  • دسترسی‌پذیری سرویس
  • زمان پاسخ
  • حریم خصوصی و امنیت داده
  • اعتبار سطح امنیت
  • الزامات انطباق و نظارتی
  • مقیاس‌پذیری و عملکرد
  • پشتیبانی مشتری و مدیریت رخداد
  • حاکمیت و مدیریت ریسک
  • مالکیت معنوی
  • BCM و DR
  • فسخ و تمدید قرارداد

مشارکت هیئت‌مدیره و مدیریت ارشد

هیئت‌مدیره و مدیریت ارشد باید ذینفعان این فرآیند باشند. آن‌ها باید:

  • تعیین استراتژی و جهت‌گیری
  • ایجاد چارچوب حاکمیت API
  • اطمینان از منابع و کنترل‌های مناسب
  • پایش عملکردها، ریسک‌ها و اثربخشی کنترل‌ها

همچنین واحدهای کنترل و تضمین باید مسئول مدیریت ریسک، امنیت سایبری، انطباق و حسابرسی داخلی باشند.

ما نمی‌توانیم درباره حاکمیت و مدیریت ریسک صحبت کنیم بدون اینکه از نهادهای نظارتی نام ببریم. نهادهای نظارتی بازیگران کلیدی در بانکداری باز و اکوسیستم‌ها هستند. نقش آن‌ها ایجاد مقررات و دستورالعمل‌ها است. نظارت و اعمال قوانین نیز اهمیت دارد.

در نهایت، باید از هوش مصنوعی و یادگیری ماشین برای تقویت تحلیل‌های API و ارتقاء امنیت استفاده کنیم.

قبلیامنیت لایه‌ای API به مدل پنیر سوئیسی چیست؟
بعدیافسانه‌های امنیتی API کدامند؟

دیدگاهتان را بنویسید

سبد خرید
علاقه‌مندی‌ها
مشاهدات اخیر
دسته بندی ها