Google Hangout mit unserem CEO Thomas - Hangout Link hier!

Liebe Community

Der Wunsch wurde geäussert, mehr zum Thema IT Sicherheit bei YAPEAL zu erfahren. Euer Wunsch ist uns Befehl:)
Hierfür bieten wir eine Videokonferenz via Google Hangout mit Thomas an. (Ev. wird auch noch Christian Meier - Leiter Informationstechnik teilnehmen)

Termin: 1. September 19.00 - 19.30Uhr

Der Link für die Session folgt noch.

Wäre super, wenn die Teilnehmer vorgängig ihre Fragen etwas konkret hier in den Thread erfassen, damit Thomas sich etwas vorbereiten kann.
#JoinTheMovement - wir stehen dazu!:slight_smile:

LG
Pascal

Ich bin dabei: Meine Frage dazu:
Wir wird bei euch fraud prevention betrieben?
Wie überwacht ihr eure systeme?
Wie sieht die Sicherheits und Ausfall Architektur aus in groben Zügen

Welche “Angst” bei mir immer im Hinterkopf umherschwirrt: Bei einen traditionellen Kreditkarte, wenn damit unerlaubte Ausgaben getätigt werden muss die Bank das Geld bei mir eintreiben, bei einer Debitkarte die direkt mit meinem Konto verbunden ist, muss ich im unglücklicklichsten Fall schauen das ich mein Geld zurückerhalte wenn mein Konto durch gestohlene Kreditkartendaten leergeräumt wurde…

1 Like
  • Was sind die Voraussetzung um in diesem Bereich arbeiten zu können / die verlangt sind (Bank IT Security)?

  • Geld ist ja immer wichtig in Firmen aber leider ist es noch zu oft, dass Firmen nicht genug in Sicherheit investieren.
    Für eine Bank wie Yapeal, was ist ~Prozentsatz von Kosten die in IT Sicherheit (oder generell in Sicherheit) ausgeben wird ?

  • Was würde ein Typischer Tag sein für ein IT Sicherheit Admin ?

2 Likes

Diese Frage ist ja generell aber total mit Sicherheit gelinkt denke ich.
Wenn nicht, dann bitte in die richtige Kategorie verschieben.

Wird man eine API haben, dass man nutzen kann ?
(Ja/Nein - warum)

Ich würde auch teilnehmen, hoffentlich finden sich noch einige Interessierte mehr.

  • Falls ihr das sagen wollt: habt ihr eine externe Firma beauftragt, ein Blackbox-Testing der Infrastruktur zu machen? Oder ist das für später noch geplant?
  • Ist euch dieser Vortrag vom CCC bekannt, was N26 früher so alles verbockt hatte?^^ https://www.youtube.com/watch?v=KopWe2ZpVQI Falls nicht, vielleicht lohnenswert kurz anzuschauen.

Einige Fragen, die mehr in Richtung Sicherheit für mich als Nutzer gehen (hoffe das geht in Ordnung :sweat_smile:)

  • Wie hilft die YAPEAL Shield App dem Benutzer, dass seine Daten und Transaktionen sicherer sind?
  • Ich bin kein Fan davon, alles auf dem Handy zu haben und keinen weiteren Faktor zu haben. Ist zwar extrem praktisch, aber ganz glücklich bin ich mit dieser Lösung nicht. Könnt ihr mir da irgendwie Sicherheit geben, dass ich mir keine Sorgen machen muss, wenn ich doch einmal das Handy verlieren sollte/es mir gestohlen wird und ich dann ohne Handy nicht schnell meine Karte/Konto sperren kann?
  • Gibt es Pläne, sich in Zukunft über ein frei wählbares Passwort zu authentifizieren? Ich muss dazu etwas ausholen, wieso ich das frage und mir das wichtig ist. Bei allen Challenger-/Neonbanken kann ich maximal einen sechsstelligen PIN wählen, per Fingerabdruck oder – wenn es das Handy erlaubt – Faceunlock authentifizieren. Wieso ist das so, dass ich nur einen max. sechsstelligen rein numerischen Code wählen kann? Einziger Grund der mir einfällt ist, dass die Benutzer häufiger ihren PIN vergessen und dann z. B. über den Support resetten müssen, was Aufwand bedeutet. 6 Stellen sind mir zu wenig, wobei ich nicht weiss was nach den 5 Fehlerversuchen passiert. Fingerabdruck finde ich auch nicht so toll und sicher genug und ich hätte immer noch gerne ein komplett frei setzbares Passwort. Wobei dann halt das UI nicht mehr so sexy und minimal aussieht.

Mir gehen die Neobanken zu weit mit der Convenience und ich hätte gerne etwas weniger Convenience und mehr Sicherheitsaspekte. Am besten per Option umschaltbar (wobei das dann auch wieder ein Angriffsvektor darstellt), da anderen bestimmt Convenience viel wichtiger ist :slight_smile:

Noch als Gute-Nacht-Video auch interessant https://www.youtube.com/watch?v=FByqA0Qry84 über die Promon SHIELD App, die einige Finanzinstitute fürs Hardening ihrer App benutzen. Braucht zwar ein gerootetes Handy, trotzdem interessant als möglicher Angriffsvektor (bei euch scheinbar nicht) :wink: Unterdessen hoffentlich auch nicht mehr so schlimm.

Auch mal meine Andere Frage, dass auch hier live antworten sein kann ^^ :

Da wäre ich gerne auch mit dabei. Hab ich den Link dazu irgendwo verpasst?

Link kommt dann noch.

1 Like

Hoi zäme

Hier der Link für das google Hangout heute um 19Uhr:

[meet.google.com/vmt-poqq-zkg]

Viel Spass!:slight_smile:

3 Likes

Danke!

Konnte leider nicht da sein.
Werden wir mal eine replay haben irgendwie ? :slight_smile:

Hatte auch die ersten 15min verpasst. Vergessen bzw. ich war noch am Arbeiten und so vertieft. Ich beantworte einmal, an was ich mich noch erinnern mag. Replay fände ich auch gut, damit ich den Anfang, wo unter anderem über die Shield App gesprochen wurde, nachschauen könnte. Vermute aber nicht, dass das existiert.

Ungefähr 20 %.

Hoffentlich ruhig, wenn er ständig etwas tun müsste, wäre das schlecht :slight_smile: Etwas Konkretes wurde dazu glaubs nicht gesagt.

Vielleicht (?). Erwähnt wurde hauptsächlich, dass es immer unsere Zustimmung als User/Kunde braucht, wenn andere Services über eine API angebunden werden würden und diese etwas mit unseren Daten machen würden (offensichtlich). Mag mich nicht an mehr der Antwort erinnern.

So generell noch: Die Auflagen der FINMA sind sehr fordernd, sonst hätten sie die Lizenz nie erhalten. Von VISA werden ebenfalls einige Sachen gefordert. Es gab bereits mehrere Blackboxtests und auch Hackingversuche (als Übung, ob das System penetrierbar ist). Es gibt einen separaten Raum wo mit Kundendaten gearbeitet wird. Es ist z. B. nicht (mehr?) so, dass die Entwickler Einsicht in die Kundendaten haben.

3 Likes

Vielen Dank für diese Antwort, sehr interessant :slight_smile:

Nochmals herzlichen Dank habt ihr euch gestern Zeit genommen und euren Feierabend geopfert!
Ich habe zur gestrigen Diskussion noch eine Folgefrage bzgl. (Zahlungs)Authentifizierung (bitte verzeiht meine Unwissenheit, ich bin nicht in der IT tätig). Die meisten von uns werden eine biometrische Authentifizierung nutzen. Als Fallback wird aber der App-Code verwendet. Dieser ist allerdings bei der Yapeal App und bei der Shield-App identisch. Meine Frage: wäre es nicht sinnvoll hier zwei unterschiedliche Codes zu setzen, da sonst, meinem Verständnis nach, der Sinn eines zweiten Faktors umgangen wird? Im schlimmsten Szenario wäre somit bereits die Kenntnis des App-Codes alleine ausreichend, um böswillige Überweisungen zu starten. Oder habe ich hier einen Überlegungsfehler?

1 Like