fintech şirketleri gizlilik yasaları

İleri seviye fintech şirketleri yeni yasalara sıfır-güven gizlilik kasaları inşa ederek hazırlanıyor…

PCI, HIPAA, GLBA, CCPA ve GDPR gibi yasaların yanı sıra fintech şirketlerinin gelecekte uyum göstermesi gereken yasalara SOFIPO (Meksika), Updated Data Privacy Act (Avustralya), PIPL (Çin), LGPD (Brezilya), Amended PDPA (Singapur) ve DCIA (Kanada) da ekleniyor. Söz konusu yasalara tek tek uyum sağlamaya çalışmak fintech şirketleri için belli ölçüde sıkıntı doğurabilir. Bu noktadaki uyum çabası, birbiriyle uyumsuz birçok aracın ortaya çıkmasına neden olacağı için şirketler “tasarımla gizlilik” (privacy by design) yöntemini tercih ediyor. Bu yöntem ile fintech şirketleri veri gizliliği, güvenliği ve veri yerleşimini tasarım mimarilerine ekleyebiliyor. Zira yeni düzenlemeler geldikçe, tasarımla gizlilik fintech şirketlerinin başarısında büyük rol oynayacak.

Tasarımla gizlilik yaklaşımı, gizliliği faaliyete geçilmesinden 90 gün önce değil, faaliyet günü itibarıyla geçerli kılıyor. Aynı zamanda tasarımla gizlilik mevcut veri gizliliği yasalarının ötesine geçilmesini sağlarken, şirketlerin ürünlerine veri gizliliğini yerleştirmesini mümkün hale getiriyor. Böylelikle müşterilere değer sunmayı hedefleyen hizmetlerin temelindeki o malum sorun aşılabiliyor.

Müşteriler fintech şirketlerinin sadece yasalarla uyumlu olmasını değil, kendi verilerinin güvenliği için ellerinden geleni yapmasını istiyor. Hatta bu kapsamdaki çarpıcı araştırmalar, bir güvenlik ihlali yaşandığı zaman müşterilerin siber korsanları değil şirketleri sorumlu gördüğünü gösteriyor.

Gizliliğe aşama aşama yaklaşmak şirketler açısından sadece etkisiz değil, aynı zamanda verimsiz. Uzmanlara göre siber korsanların güvenlik zafiyetleri keşfetmemesini sağlamak için ileriyi gören gerçekçi bir güvenlik stratejisi gerekli.

fintech şirketleri

Müşteri güveni verilerinin korunmasına dayanıyor

2020’de ABD merkezli fintech şirketi Dave’e düzenlenen ve 7,5 milyon kişiye ait bilgilerin ele geçirildiği sarsıcı saldırıyı hatırlayalım. Dave, müşterilerinin şifrelerini saklamadan önce bunları tek yönlü değiştiren hashing yöntemini kullandı, ancak yine de siber korsanların hash edilen şifrelere erişmesini engelleyemedi. Otoritelere göre Dave sadece gizlilik ve güvenlik regülasyonlarına uymakla yetinmeyip daha ileri adımlar atmış olsaydı, bu saldırı gerçekleşmeyebilirdi.

Fintech şirketleri için müşteri güveni verilerinin korunmasına dayanıyor. Kişisel kimlik bilgisi (PII) ve kişisel kredi bilgisi (PCI) verilerinin en iyi şekilde korunabilmesi için sıfır-güven veri gizlilik kasası adı verilen konsept en iyi cevap olarak öne çıkıyor.

Sıfır-güven gizlilik kasası sayesinde PII ve PCI verileri son derece güçlü güvenlik/gizlilik koruması altına alınıyor. Böylece şirketler kritik işlemlerini yerine getirirken müşteri verilerini koruyabiliyor. Bu özellik, Netflix’in neden bir sıfır-güven gizlilik kasası inşa ettiğini açıklıyor.

Şimdi de gizlilik kasaları konusunun detaylarına inelim…
Öncelikle fintech şirketleri sıfır-güven gizlilik kasalarını inşa edebilirler veya satın alabilirler.

veri güvenligi ve gizlilik

Gizlilik kasaları nasıl çalışıyor? 

Sıfır güven mimarisi, güvenliğin bir ağı korumaya yeterli olmayacağı fikrine dayanıyor. Ağ çevresini değerlendirmeye katmadan veri güvenliği inşa etmek kullanıcılara veya cihazlara güvenmediğiniz anlamına gelir. Bu durumda, yerel ağ cihazı ile uzaktaki bir müşteri aynı güvenlik tedbirleri ile karşı karşıya kalıyor.

İyi tasarlanmış bir veri gizliliği kasası erişim kontrolü ve etkin şifreleme gibi kullanılabilirliği/güvenliği temin eden özellikler içermek zorunda.

– Erişim kontrolü: Müşteri verilerinin iyi tasarımlı bir sıfır-güven gizlilik kasasında korunmasının ardından kimin nerede, nasıl, neden ve ne zaman bulunduğunu kontrol etmek kolaylaşıyor. Böylece, en hassas ve geniş tabanlı müşteri bilgileri, bu verilere ihtiyacı bulunmayan çalışanların erişiminden uzakta tutuluyor. Tabii ki siber saldırganlardan da.

– Polimorfik Veri Şifreleme: Şifreleme, yasalar ile gerekli kılınsa da, her zaman yeterli bir güvenlik önlemi olarak belirmiyor. Eğer kimlik numarası gibi kritik bilgiler sızdırılırsa gerçek güvenliğin ne gibi bir anlamı olabilir ki? İyi tasarlanmış bir sıfır-güven veri gizliliği kasası her türlü hassas veri parçası üzerinde farklı işlem uygular. Bir sosyal güvenlik numarasının birkaç hanesine ulaşan siber korsan, sayının geri kalanını göremez, dolayısıyla gerekli korunma sağlanır.

Yukarıdaki örnekler sıfır-güven gizlilik kasalarının yeteneklerinin ve fintech şirketlerine tasarımla gizlilik ile nasıl yardım edebileceklerinin çok küçük bir özeti. Yeni gizlilik erozyonu yaklaşırken ileri seviye fintech şirketleri de kendilerini yeni yasalara sıfır-güven gizlilik kasaları inşa ederek hazırlıyor.