DORA en het financiële ecosysteem
Bank, verzekeraar en fintech/insurtech moeten samenwerken om veilig en compliant te zijn
Om een voorsprong te creëren op de concurrentie, efficiëntie te verhogen of de klant beter te bedienen bieden benaderingen als Open Banking en Open Insurance volop mogelijkheden. Hierbij stellen financiële instellingen hun systemen en gegevens open via geautomatiseerde interfaces. Het financiële ecosysteem in optima forma zou je kunnen zeggen. Maar die openheid heeft een prijs: Hoe kun je optimaal gebruik maken van de mogelijkheden zonder alles dicht te timmeren? Hoe moeten banken en verzekeraars samenwerken met fintech en insurtech om compliant te zijn? En welke rol speelt een cloud service provider hierin?
Veilig samenwerken in het ecosysteem
In 2023 waren in Nederland 861 fintech bedrijven geregistreerd. Banken en verzekeraars kunnen straks niet meer zonder deze bedrijven. Net als grote autofabrikanten kopen zij straks “onderdelen” in bij toeleveranciers en “assembleren” alle componenten tot een complete dienst. Met “embedded finance” ontstaan nóg bredere digitale ecosystemen waar financiële instellingen samenwerken met bedrijven in andere sectoren, zoals retail, technologie en e-commerce.
Denk aan de integratie van betaaldiensten in mobiele apps voor het bestellen en betalen van maaltijden zoals Thuisbezorgd.nl. Of aan het invullen en indienen van een schadeformulier bij de verzekeraar. Fijn toch, als je alle handelingen van bestellen tot betalen of invullen en insturen snel en gemakkelijk binnen dezelfde app-interface kunt afhandelen?
Data uitwisselen en weerbaar blijven
Dat is mooi nieuws voor de consument zou je zeggen, maar met die openheid stijgt de noodzaak van beveiliging. Om de consument te beschermen, moeten banken en verzekeraars hun IT-weerbaarheid verhogen. De wet- en regelgeving zit hier dan ook bovenop met de aangekondigde DORA (Digital Operational Resilience Act) wetgeving. Deze is gericht op het versterken van de digitale weerbaarheid van financiële instellingen en dienstverleners door middel van risicobeheer, incidentrapportage en operationele maatregelen.
Deze verordening is per 17 januari 2023 in werking getreden en instellingen hebben tot 17 januari 2025 om hiermee compliant te zijn. Maar ook partners in de keten zoals de fintech/insurtech bedrijven en cloud service providers zoals Solvinity hebben verantwoordelijkheden. De gebruikelijke kanalen als de DNB, AFM, en natuurlijk de EU bieden hierover meer informatie. Maar de financiële sector doet er goed aan nu al inzicht te krijgen in de staat van beveiliging van de organisatie met bijvoorbeeld een gap-analyse.
DORA en samenwerking met derden
Als het delen van data een randvoorwaarde is voor innovatie, moeten in de sector goede afspraken gemaakt worden. Bank en verzekeraar moeten voor fintech, insurtech en andere toeleveranciers heldere richtlijnen neerzetten en sterke authenticatie- en autorisatiemechanismen implementeren om ongeautoriseerde toegang te voorkomen.
Een cruciaal aspect van het IT Risk Management Framework voor financiële instellingen is het hebben van een robuuste teststrategie. Deze strategie, gebaseerd op een grondige risicoanalyse, richt zich op het beschermen van de ‘kroonjuwelen’ van de organisatie en identificeert potentiële aanvallers en hun methoden. De teststrategie omvat verschillende pijlers, waaronder het testen van code (agile-methodologieën), applicatie- en infrastructuurtests (penetratietests) en organisatorische tests (Thread Led Penetration Test). Dit alles is essentieel om de veiligheid van het IT-landschap te waarborgen en de weerbaarheid tegen aanvallen te versterken.
Met het uitdijende applicatielandschap van banken en verzekeraars wordt de kwetsbaarheid groter en daarmee ook de noodzaak van security audits. Maar momentopnamen voldoen niet meer. Fintech en insurtech bedrijven brengen steeds vaker en sneller nieuwe toepassingen uit. Ook omdat bestaande applicaties vaker worden voorzien van nieuwe functionaliteit moeten pentesten regelmatiger worden uitgevoerd dan nu het geval is. Overigens wordt het uitvoeren van pentesten verplicht onder DORA en niet alleen voor banken en verzekeraars, maar ook voor fintech-bedrijven die betaaloplossingen ontwikkelen.
In hun rol als partner in dit ecosysteem kunnen fintech/insurtech bedrijven beveiliging in hun DevSecOps aanpak integreren in alle fasen van softwareontwikkeling. Dit helpt om vroegtijdig kwetsbaarheden op te sporen en te verhelpen. Van geautomatiseerde beveiligingstests in het CI/CD-pijplijnproces, het continu reviewen van code en het ontwerpen van API’s met sterke authenticatie- en autorisatiemechanismen. Al deze maatregelen in het development proces leveren een belangrijke bijdrage aan een betere beveiliging.
De rol van de cloud service provider
Als cloud service provider speelt Solvinity een cruciale rol in het waarborgen van de veiligheid en compliance van de IT-infrastructuur en systemen. Het public, private of hybrid cloudplatform verbindt alle partners in het ecosysteem en moet dus voldoen aan strenge veiligheidsnormen en wettelijke voorschriften in de financiële sector.
Maar “standaard” security en compliance is niet voldoende. Wanneer alle partijen in het ecosysteem data uitwisselen over een centrale infrastructuur, worden ook de operationele afspraken over applicatiebeheer, het plannen van updates en upgrades belangrijk. Hoe complexer en diverser het IT-landschap, hoe belangrijker service integratie en -coördinatie wordt. Hier komt het aan op processen en procedures en het naleven daarvan in de praktijk.
Zowel op private cloud omgevingen als op door Solvinity beheerde Azure omgeving tonen onze SOC 1 en SOC 2 assurances aan dat adequate controles en beveiligingsmaatregelen zijn geïmplementeerd. Met geavanceerde beveiligingsmaatregelen in de infrastructuur en aanvullende security services biedt Solvinity een goed beschermd en weerbaar cloudplatform voor bank, verzekeraar en softwareontwikkelaar.
Webinar: Het verhogen van de weerbaarheid dankzij DORA
Verhogen van je digitale weerbaarheid via DORA: hoe dan? Martin Maas, (Solvinity) Kees Stammes (Securify) en andere sprekers zullen dit beantwoorden in ons webinar op 6 juni. Meld je aan via de onderstaande knop!
Lees ook
Meer
Met vijf basismaatregelen een veilige public cloud security strategie
Lees in dit blog van Marc Guardiola welke vijf stappen elke organisatie zou moeten nemen om...
READ MORE
Alles automatiseren met je voeten op tafel!
Vroeger werd wel eens gezegd dat de beste engineers met hun armen over elkaar en hun...
READ MORE
Cloudoptimalisatie: van Server Huggers naar Waarde Wegers
Ontdek hoe de hype cycle van Gartner drie generatieconflicten in de cloudoptimalisatiereis bloot legt, waar we...
READ MORE