Laatst toegevoegd

  • ITDS weer 'Social Agency of the Year'

     

    ITDS Business Consultants is voor het derde jaar op rij genomineerd voor ‘Social Agency of the Year’ met de Global Social Media Insurance Monitor en de bij haar klanten succesvolle Social Media Scan.

  • Bastiaan Krol benoemd directeur Allianz Nederland Corporate

     

    Bastiaan Krol is per 1 juli 2017 de nieuwe directeur van Allianz Nederland Corporate. Bastiaan Krol volgt hiermee Wilko Emmens op, die na zeven jaar als directeur van Allianz Nederland Corporate met pensioen gaat. Krol heeft ruime ervaring in de verzekeringsindustrie. De afgelopen twee jaar was hij verantwoordelijk voor property en liabilty underwriting bij Allianz Nederland Corporate. In zijn nieuwe functie richt Krol zich specifiek op de branches property/liability, marine/engineering en motorfleet. "Allereerst wil ik Wilko bedanken. Zijn bijdrage aan het succes van Allianz in de midcorporate markt is enorm geweest. Wij zijn verheugd dat Bastiaan, met zijn uitgebreide kennis vanuit de eigen organisatie, deze rol gaat vervullen. Met zijn ervaring en competenties vormt hij de drijvende kracht in het behalen van onze groeidoelstellingen in de midcorporate markt," vertelt Sjoerd Laarberg, CEO Allianz Nederland.

  • How are Europe’s PSD2 plans going?

     

    The clock is ticking for European Union member states to implement the European Banking Association’s Revised Payment Services Directive (PSD2) into their national laws, with the cut-off date of 13 January 2018 only nine months away. As we wrote here, these regulatory standards will give third-party providers (such as retailers and fintechs) access to the account information of banks’ customers, providing that these customers give their consent. The standards also dictate that two-factor authentication (2FA) must be in place when users access their accounts or make payments. What is the plan?The original Payment Services Directive (PSD), adopted in 2007, provided the legal foundation for creating a single EU market for payments. The objective was to make cross-border payments as easy, efficient and secure as national payments (i.e. payments within a member state). Then, in 2013, the European Commission realized that it would need to adjust these regulations in order to cater for the new payment mechanisms that were now possible as a result of advances in technology. Two months ago, on 23 February 2017, the final draft of the PSD2 Regulatory Technical Standards on strong customer authentication and secure communication was published. The revised regulations now have the following core objectives: To contribute to a more integrated and efficient European payments market To level the playing field for new and existing payment service providers To make payments safer and more secure To protect consumers To encourage lower prices for payments through stronger competitionIn a world where user experience is becoming more essential to success in digital services, banks that were not willing or able to pursue a frictionless e-commerce user experience now hope that partnering with merchants on risk-based authentication will be an answer. Time will tell. What will change?Currently, consumers holding multiple accounts need to log in to each account via that financial institution’s proprietary digital interface, whether via a mobile app or an online portal. Under PSD2, on the other hand, third-party data aggregators known as Account Information Service Providers (AISPs) can be granted access to this account information, which will enable them to give consumers a single view of multiple accounts. All account information, financial products and transactions can then be viewed on a single application dashboard.In revising the regulations, the European Commission also saw an opportunity to promote competition in the financial services industry. To this end, the Commission introduced a new category of Payment Service Provider (PSP) called “payment institutions”. This refers to providers of payment services that are unconnected to the taking of deposits or the issuing of electronic money (i.e. not a bank). Aside from opening up customers’ account information, PSD2 will require banks to give these new entrants to the market payment capabilities, in the hope that this will lead to cheaper and faster payments. But is it safe?Under PSD2, all PSPs will be required to apply 2FA. This entails that, apart from static credentials (a username and password), the user will also be asked to authorize a login event or transaction by using another method.This is nothing new for the financial services industry, and as such there is already an array of mechanisms available for implementing 2FA. Two of the more popular forms are SMS one-time passwords (OTPs), also known as mTANs, and hardware-generated OTPs. But as security possibilities expand, so does the sophistication of cybercrime syndicates. As a result, some of these 2FA approaches are now being circumvented, exposing consumers and organizations to fraud. So how is strong authentication to be achieved? The only way to stand up to the increasing complexity of fraud vectors in use today is to combine multiple security measures. In this kind of layered approach, the mobile device – if identified definitively through the use of a digital certificate – can act as a first factor of authentication (possession, i.e. something the user has). A second factor, such as a PIN, the user’s GPS location, or a biometric input, is used to augment security – especially for high-value transactions.For added security, banks and other financial service providers should implement authentication solutions that provide a separate, bi-directional channel between their servers and their users’ mobile devices. Encrypted push-based authentication requests and responses can then be exchanged over it without fear of interception and modification. This secure channel provides a second factor of authentication out of band, without the user even having to switch apps. Apart from the authentication of digital logins and financial transactions, this will also enable the authentication of card-not-present payments using the same interface, thus providing a consistent customer experience across multiple channels.

  • PSD-2: Dreiging of kans?

     

    De Europese PSD2-richtlijn die in januari 2018 van kracht wordt, vereist dat Europese banken betaalgegevens van klanten toegankelijk maken voor andere financiële dienstverleners, mits de klant daar toestemming voor geeft. Dit maakt geavanceerde identificatie- en authenticatietechnologie van levensbelang. De wet is bedoeld om innovatie te stimuleren en de concurrentie te verbreden. Tachtig procent van de banken in Europa blijkt echter nog niet voldoen aan de vereisten vanuit de Payment Service Directive 2 (PSD2) en de bijbehorende security- en privacy-maatregelen. Dat is verontrustend. Alleen met innovatieve digitale oplossingen en een hoog gebruiksgemak zullen traditionele banken hun klanten kunnen vasthouden. Het verlenen van toegang tot klant- en accountgegevens komt er voor banken op neer dat zij hun online front-end, dus wat zichtbaar is voor de online bezoeker, loskoppelen van de niet-zichtbare achterkant van een systeem, de back-end. Een voorbeeld hiervan op nationaal niveau is iDEAL waarin Nederlands banken hun betaaldiensten aanbieden aan iDEAL Payment Service Providers conform een uniforme (technische) interface. Als gevolg hebben banken oplossingen nodig om toch veilige koppelingen te kunnen maken tussen back-end functionaliteiten van een bank en externe applicaties van bijvoorbeeld een fintech-bedrijf. Websites en webapplicaties communiceren met elkaar via een application programming interface (API). We spreken in dit kader dan ook over API-security. Met geavanceerde authenticatiemethoden kunnen bijvoorbeeld klanten van een financiële dienstverlener of computerprogramma’s die een connectie willen maken, worden geïdentificeerd en geautoriseerd. Betaalmogelijkheden, zoals iDEAL en mobiel betalen, worden mogelijk gemaakt door betaalproviders (Third Party Providers of TPP’s). Dit zijn niet alleen traditionele banken, maar ook nieuwe online banken en fintech-startups. De nieuwe PSD2-wetgeving eist van de TPP’s dat zij strong customer authentication (SCA) toepassen. Hiermee kan men op een veilige manier gebruikmaken van (nieuwe) betaalmethoden. Om de klanttevredenheid te optimaliseren, is het bij SCA van belang dat er een balans is tussen het voldoen aan veiligheidseisen en het gebruiksgemak voor klanten. Denk aan twee-factor-authenticatie, dus naast gebruikersnaam en wachtwoord nog een extra beveiligingslaag. Klanten kunnen zich bijvoorbeeld biometrisch, via vingerafdruk of spraakherkenning, authentiseren via een app op hun telefoon. Binnen deze oplossingen kan de bank zelf verschillende zogenoemde ‘business rules’ instellen. Zo kan de klant het overschrijven van kleine bedragen bijvoorbeeld goedkeuren middels het simpelweg klikken op de akkoord-button binnen de app. Voor hogere bedragen is dan authenticatie met een vingerafdruk vereist of een extra verificatie, zoals een selfie die de bank kan matchen met je paspoortfoto. Ook los van PSD2 is er ruimte voor innovatie in de financiële sector. Denk bijvoorbeeld aan geld pinnen met een bank-app middels biometrische authenticatie in plaats van een bankpas met pincode. Hiervoor hebben we binnen PwC Everett een demo ontwikkeld. Een ander mooi voorbeeld is de koppeling van je mobiele telefoon aan een fysieke bankkantoor, waardoor je herkend wordt als je de bank binnenloopt. Hierdoor heeft een baliemedewerker of adviseur direct jouw financiële gegevens paraat. Op het moment dat de bank via de app vraagt om jouw gegevens te mogen inzien, weet je dat je met de bank communiceert en niet op een nep-website zit die een echte bank nabootst. Deze manier van toegang verlenen is in lijn met de nieuwe Europese richtlijn General Data Protection Regulation (GDPR) die van banken vereist dat ze toestemming moeten vragen om jouw persoonlijke (financiële) informatie te mogen inzien. Ook dan kun je bijvoorbeeld akkoord geven met je vingerafdruk. Natuurlijk, nieuwe digitale spelers in de financiële sector zijn in het voordeel; zij kunnen innovatieve digitale oplossingen direct in hun infrastructuur meenemen. Voor traditionele banken is dit moeilijker, omdat zij hun bestaande IT-systemen moeten integreren met technologieën op het gebied van bijvoorbeeld data-analyse en mobile. Echter, PSD2 ontziet niemand. Zowel nieuwkomers als traditionele banken zullen vanaf 2018 aan de regels moeten voldoen. Toch hoeven traditionele spelers niet bij de pakken neer te zitten. PSD2 kon nog wel eens als vooruitgangsmotor werken. Het kan concurrentie, transparantie, lagere kosten én gebruiksgemak bevorderen. En daar is iedereen bij gebaat.  Gerald Horst is bij PwC Everett expert op het gebied van Identity & Access Management (IAM)