Objavljeno: 28.12.2016 | Avtor: Miran Varga | Monitor Januar 2017

V razvoju bančnih aplikacij ni univerzalnega recepta

Zanimalo nas je, kako na izzive, povezane z razvojem bančnih aplikacij, gledajo njihovi snovalci in razvojniki. Obzorja nam je razširil Zoran Bebić, vodilni razvijalec v podjetju Comtrade Digital Services, ki skupaj s sodelavci skrbi, da ima Slovenija odlične bančne rešitve na svetovnem trgu.

Comtrade je še iz časov, ko se je podjetje imenovalo Hermes Softlab, slovel kot izdelovalec bančnih rešitev in aplikacij. Kako je videti vaš portfelj rešitev in storitev za banke? Kje ste najuspešnejši?

Še vedno smo ponudnik rešitev digitalnega bančništva, ki pa je v tem času izdatno napredovalo in se dodatno dopolnilo z novimi rešitvami, kot je elektronska banka za platformo Viber, če omenim le najnovejšo. Za področje bančništva smo razvili tudi družino rešitev s področja varnosti, in sicer avtentikacijski strežnik, generator enkratnih gesel in sistem za zaznavanje prevar. Kot najuspešnejše bi izpostavil naslednje rešitve: v zadnjem času zelo aktualno rešitev Unified API, s katero banka izpolni pogoje direktive PSD2, in že omenjeno rešitev elektronskega bančništva za Viber, ki nagovarja populacijo uporabnikov bančnih rešitev.

Katere banke in druge finančne ustanove v Sloveniji in regiji Adriatik sodijo med vaše stranke?

Sodelujemo s številnimi finančnimi ustanovami v Sloveniji, regiji Adriatik in zahodni Evropi. Med najpomembnejšimi strankami so Addiko banka, NLB, Gorenjska banka, PBS, Skrill (Paysafecard), Raiffeizen Zentralbank, ESQ (Esquire Bank), Advent International Finančna uprava RS, Uprava RS za javna plačila, Porezna uprava Federacije BiH, Poreska uprava Crne Gore, Sarajevo osiguranje in druge, ki jih sicer ne moremo javno navajati kot referenco.

S katerimi izzivi se najpogosteje spoprijemate kot razvijalci bančnih aplikacij? Je te danes lažje »pisati« kot včasih?

Pisanje rešitev je danes vsekakor lažje, in sicer po zaslugi orodij, ki so zelo napredovala. Aplikacije same so precej bogatejše, saj ponujajo več in kompleksnejše funkcionalnosti kot v preteklosti. Med izzivi bi izpostavil fragmentiranost, vsaj kar zadeva platformo Android, saj je aplikacijo časovno zelo zahtevno testirati na nekaj sto napravah. Prav zato so po svetu že vzniknili namenski testni centri, a to za naročnika predstavlja dodaten strošek pri razvoju aplikacije. Drugi, še večji izziv pa je odločitev o izdelavi hibridne rešitve, npr. Xamarin ali PhoneGap, ter z njo povezana tveganja. Velik podvig je tudi sprejem odločitve za t. i. domoroden (ang. native) razvoj in izdelava specifične različice aplikacije za vsako platformo posebej. V vseh primerih se sicer najprej dotaknemo vprašanj, kot so hitrost izvedbe, cena, varnost in uporabniška izkušnja, ter na podlagi teh za najprimernejši pristop k izvedbi. Ne verjamem, da je v razvoju aplikacij univerzalen recept, vsaka rešitev zahteva individualen pristop in premislek pred odločitvijo.

Izziv je fragmentiranost platforme Android, saj je aplikacijo časovno zelo zahtevno testirati na nekaj sto napravah. Prav zato so po svetu že vzniknili namenski testni centri.

V bankah je še veliko zgodovine in starinskih, tudi zastarelih sistemov in aplikacij. Je povezovanje novih rešitev z nekoliko starejšimi zalednimi sistemi in rešitvami težava? Kako jo rešujete?

Drži, banke so verjetno ene najbolj konservativnih organizacij, vsaj s stališča sprejemanja novih tehnologij. Sama povezljivost rešitev ne predstavlja večje tehnične težave, saj imamo na voljo več možnosti, kako dva sistema pripraviti, da se pogovarjata drug z drugim. Večji izziv predstavlja dejstvo, da informacija morda ni dostopna v časovno sprejemljivem okviru. Največkrat gre za predpomnjenje oziroma omejevanje nabora podatkov, ki se vračajo k uporabniku z namenom zagotoviti hiter odgovor in zmanjšati obremenitev sistema ali komunikacijskega kanala. 

Banke so danes osvojile rešitve za e-bančništvo, a med njimi so, z vidika funkcionalnosti, še vedno precej velike razlike, posebej ko gre za kompleksnejše funkcije. Koliko svobode imate razvijalci pri razvoju e-bančnih rešitev?

Rešitve razvijamo pretežno po naročilu, po t. i. pristopu razvoja na ključ. Vsebinske svobode je zato zelo malo. Razvijalci smo zadolženi bolj za tehnično plat in rabo novejših tehnologij, poskrbeti moramo, da je celotna rešitev na dovolj visoki varnostni stopnji, saj to banke preprosto zahtevajo. 

Kdo si izmišlja nove funkcije in kako jih nato izvajate?

Večinoma gre za že izdelano naročilo. Sicer lahko na podlagi sprememb zakonov ali regulative ali drugih poslovnih odločitev pride do potrebe po spremembi funkcionalnosti ali dodajanju novih. Takšna zahteva prek skrbnika stranke pride v podjetje, tam se analizira in oceni, po potrditvi funkcionalne specifikacije in ocene dela pa preide v izvedbo. Sledijo akcije, kot so razdelitev na manjše sklope za implementacijo, pregled implementacije, testiranje in predaja v test stranki. Po uspešnem prevzemu stranka določi datum dostave v produkcijsko okolje. Seveda je to zgolj poenostavljena slika, v stvarnosti je praktično vsak korak razdeljen na številne podrobnosti.

Po e-bančništvu smo dobili še m-bančništvo. Sprva je šlo le za mobilne platforme prilagojene oblike e-bank, a danes vedno več m-bančnih plaftorm s pridom izkorišča prednosti mobilnih naprav in storitev. Kako je idealna m-banka videti skozi vaše oči?

Poskušal bom odgovoriti čim bolj objektivno. Mobilna banka v mojih očeh ni nadomestilo spletne rešitve ali t. i. debelega odjemalca, temveč podaljšana roka, saj ponuja funkcionalnosti, ki imajo smisel v okolju, v katerem so, torej na poti. Med te funkcionalnosti sodi sklop pregledovanja najrazličnejših informacij, bodisi stanj računov, kartic, lokacij bankomatov ali enot, ter seveda informacije s področja investicijskega bančništva in vrednostnih papirjev. Slednje pri nas še ni tako razvito kot v tujini, a ima ta vrsta informacij v primeru, ko so uporabniku dostopne v pravem trenutku, izjemno vrednost, še posebej, če uporabnik lahko na podlagi pravočasne informacije odreagira in prepreči nekaj, kar bi pozneje pomenilo izgubo sredstev.

V drugi sklop funkcionalnosti sodijo različna nakazila in plačila. Pri tem ne mislim plačila položnic, za katere resnično ne vem, zakaj bi jih moral uporabnik plačati prav takrat, ko nima dostopa do stacionarnega računalnika, temveč na razna plačila storitev, torej na vlogo aplikacije kot zamenjave plačilne kartice. Slednje je zares obsežna zgodba in bi zahtevala samostojen članek.

Seveda mora biti vsaka m-banka varna, idealna še toliko bolj. Ne smemo se zanašati na prav noben varnostni mehanizem mobilne naprave, temveč sami poskrbeti za varnost tako med izvedbo kot med uporabo in pri komunikaciji aplikacije z zaledjem.

Bančništvo se pospešeno seli tudi na druge platforme. Komunikacijska platforma Viber prinaša novo razsežnost bančništva, Viber pa je za bančno platformo izbral prav Comtradovo rešitev. Kako vam je to uspelo? Kako dolg in zahteven je bil razvoj bančnega klepetalnega robota in z njim povezane avtomatizacije?

Do sodelovanja je pravzaprav prišlo zelo spontano, saj so iskali rešitve za njihovo novo storitev Public Accounts, znotraj katere so odprli tudi svoje vmesnike do njihovih storitev. Mi smo to pograbili z obema rokama in na tem izvedli novo elektronsko banko, ki nagovarja čisto nov segment uporabnikov. Gre za najmlajše uporabnike bančnih storitev, ki so jim uveljavljeni kanali tuji.

Sam razvoj je bil dejansko hiter in agilen. Izdelali smo prototip in ga pokazali prvi banki, kjer je bil odziv zelo dober. Na podlagi tega odziva smo izdelali rešitev produkcijske kakovosti.

Imate razvite podobne rešitve tudi za Whatsapp, Facebook, oziroma kako hitro bi jih lahko razvili?

Bančno rešitev za Facebook smo razvili že pred časom, v zelo kratkem času pa lahko razvijemo tudi bančne rešitve za druge kanale družabnih omrežij, če si stranke/naši naročniki tega zaželijo.

Je danes Comtrade t. i. fintech podjetje?

Če fintech podjetje razumemo kot podjetje, ki razvija inovativne rešitve za končne uporabnike na področju bančništva, potem lahko zatrdim, da smo. Comtrade, oz. predhodnik HERMES SoftLab in prej še Zaslon, je veljal za pionirja na področju spletnega in mobilnega bančništva. Dokaz naše fintech usmerjenosti sta tudi dejstvi, da smo med prvimi razvili elektronsko banko za Facebook in sploh prvi na svetu razvili elektronsko banko za Viber.

Imate na risalni deski že kak načrt razvoja bančne rešitve naslednje generacije? Kaj bo ta omogočala, kar danes še ni na voljo?

Inovacija je nekaj, česar ni mogoče načrtovati, lahko samo zagotoviš okolje, ki je inovacijam naklonjeno in se zato v njem nove inovativne stvari tudi zgodijo. Zamisli je seveda že veliko, zaradi ekskluzivnosti jih ne bom omenjal. Je pa količina uresničenih idej seveda močno odvisna od prepoznane tržne zanimivosti zamisli, pripravljenosti investitorja na sprejemanje poslovnih tveganj in razpoložljivih ljudi.

Kako skrbite za varnost e- in m-bančnih rešitev? S tem namreč ni šale.

Za standardne, utečene rešitve so na voljo kontrolni seznami stvari, ki jih moramo preveriti. Nekaj takih kontrolnih seznamov je javno dostopnih. Najbolj znan je OWASP TOP 10, ki naslavlja ranljivosti spletnih aplikacij. Za določene specifične rešitve je treba pripraviti specifične kontrolne sezname in izvesti varnostne teste. Kadar pristopimo k načrtovanju nove rešitve, torej gre za povsem novo rešitev ali funkcijo na novi tehnologiji, sistematično analiziramo tveganja na aplikacijski ravni in izdelamo t. i. model groženj. V njem določimo varnostne cilje, dele aplikacije, ki utegnejo biti izpostavljeni napadom, in nabor možnih groženj. V nadaljevanju za relevantne in realne scenarije zlorab predlagamo varnostne ukrepe. Stranski produkt modela groženj je nov kontrolni seznam, ki ga lahko uporabljamo za te rešitve. Vsi naši razvijalci aplikacij elektronskega in mobilnega bančništva se tudi stalno izobražujejo glede informacijske varnosti. In učijo na zgledih pomanjkljivosti, ki smo jih v preteklosti našli in odpravili v lastnih aplikacijah. S psihološkega vidika razvijalci najlaže in najgloblje razumejo problem, kadar je prisoten na konkretnem projektu, kjer delajo, saj se s tem nekako poistovetijo, gre za »njihovega otroka«. K sreči varnostnih pomanjkljivosti ne najdemo pri vsakem projektu.

Ste soodgovorni, če pride do vdora v vašo aplikacijo ali če uspe hekerjem zaobiti vaše varnostne mehanizme?

Naša obveznost je, da z banko sodelujemo pri reševanju morebitnih incidentov in odpravimo ugotovljene očitne pomanjkljivosti, ki bi bile prisotne v aplikaciji. Če pride do bolj inovativnih ali specifičnih zlorab, z banko skupaj raziščemo možnosti izboljšav in napake odpravimo. Prav tako smo obvezani, da aplikacije interno preverimo glede prisotnosti znanih vrst ranljivosti. Nismo pa odškodninsko odgovorni za zlorabe morebitnih varnostnih vrzeli. Najpogostejši scenarij zlorabe e- in m-bančnih aplikacij še vedno temeljijo na izkoriščanju »vrzeli« na strani uporabnika.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji