Innovaties in de financiële sector | FinanceInnovation
advert
Security

Security en compliance; de achilleshiel van fintechbedrijven

Om concurrerend te zijn als (e-)financial is focus nodig. Het uit handen geven van niet-kerntaken als applicatiebeheer en hosting van bedrijfskritische processen draagt bij aan deze focus en biedt in het optimale scenario ook een concurrentievoordeel. Het is immers onverstandig en onvoordelig om alles zelf te doen. Zo zijn compliance en security doorgaans geen kerncompetenties van fintech-bedrijven.

Compliance is bij uitstek een gebied waar de kennis van fintech-bedrijven tekortschiet. Basefarm, dat voor klanten IT-systemen en bedrijfskritische (online) applicaties beheert, peilde onlangs onder e-commercebedrijven of zij al bezig waren met de laatste veiligheidsregels rond online betalen. Het betrof hier de veiligheidsstandaard voor creditcardbetalingen PCI-DSS, al in 2013 aangekondigd door een consortium van vijf van de grootste betaalbedrijven ter wereld. “Wij belden 150 e-commercebedrijven met de vraag in hoeverre zij hier al mee bezig waren”, vertelt Marcel Ravenshorst, Country Manager bij Basefarm. “De meeste hadden geen idee waar we het over hadden. Slechts vijf bedrijven hadden PCI-DSS geïmplementeerd. Vrij schokkend.”

Fintech-succes heeft een keerzijde
Het bovenstaande voorbeeld van compliance staat niet op zichzelf. Ook op het gebied van databeveiliging, technisch beheer van infrastructuur, applicatiemanagement en cloud computing heeft een fintech-onderneming de benodigde kennis doorgaans niet zelf in huis. Ravenshorst toont hier begrip voor. “Dit is allemaal best logisch. Fintech-bedrijven brengen in hoog tempo functionaliteiten op de markt waar op dit moment behoefte aan bestaat. Zij springen in gaten waar de traditionele banken omheen lopen. Door een focus op time-to-market en functionaliteit voor gebruikers zijn zij succesvol. Deze focus gaat echter wel ten koste van andere zaken, zoals het op peil houden van kennis over databeveiliging en compliance. Het ontbreekt hen aan de tijd en middelen om zich daar ook nog mee bezig te houden.”

Een bedrijf dat geacht wordt aan bepaalde zaken te voldoen, maar daarvoor de kennis (of middelen) niet in huis heeft, heeft grofweg twee keuzes: het inhuren van dure consultants, of het uitbesteden van een proces aan een specialist. Basefarm neemt niet alleen het applicatiebeheer en de onderliggende technische infrastructuur uit handen, maar is ook een strategische partner in onder meer compliance en databeveiliging. “Wij zorgen ervoor dat onze klanten goed functioneren, zodat zij zich kunnen richten op datgene waar zij goed in zijn”, zegt Ravenshorst. “De fintech-wereld ontwikkelt zich snel en een bedrijf kan lang niet alles zelf doen. Outsourcing is daarom een belangrijk instrument. Fintech-bedrijven zouden zichzelf moeten afvragen wat kernactiviteiten zijn en wat niet.”

Security-vraagstuk steeds complexer
Om zich als strategische partner op te kunnen stellen is het voor Basefarm noodzakelijk om in haar dienstverlening een stap verder te gaan dan alleen het functioneel ondersteunen van de klant. Sectorkennis speelt een belangrijke rol. In de fintech-wereld is databeveiliging bij uitstek een voorbeeld waar een gespecialiseerde leverancier waarde kan toevoegen. Geen sector is namelijk zo vaak doelwit van hackpogingen en DDoS-aanvallen als de financiële dienstverlening. “Wij zetten een brede set aan security-oplossingen in. Zo hebben wij ons Security Incident & Response Team, dat verdachte datastromen en netwerkbelastingen monitort en waar nodig actie onderneemt. De complexiteit van dit soort aanvallen neemt toe en daarom delen wij onze expertise in internationale kennisnetwerken zoals FIRST, waarbij ook organisaties als Apple, Google en NASA zijn aangesloten.”

Specifieke sector- en branchekennis uit zich niet alleen in technische antwoorden op compliance- en security-vraagstukken; ook de eigen werkmethoden dienen aan te sluiten op die van de klant. “In de snel bewegende markt van fintech-bedrijven moet de klant continu gevoed worden met nieuwe mogelijkheden. Time-to-market is voor onze klanten belangrijk, wat zich vertaalt in korte ontwikkelcycli en agile werken; in hoog tempo worden nieuwe functionaliteiten en content voor websites gelanceerd, tot soms wel acht changes op een dag. Als applicatiebeheerder kan het dan bijvoorbeeld niet zo zijn dat je net een onderhoud hebt gepland als er een update plaatsvindt.” Basefarm ziet het belang in van deze manier van werken en is daarin meegegaan met haar klanten, vertelt Ravenshorst. “Wij werken veel volgens kanban, met daarin onderdelen van scrum. Bij voorkeur maken we zelfs onderdeel uit van het ontwikkelteam van de klant, meer te vertalen naar het zogeheten devops, waarbij wij de brug vormen van het ontwikkelteam naar het operationele beheerplatform van de klant.”

Eisen door toezichthouders en marktpartijen
Het onderbrengen van het applicatiebeheer bij een leverancier brengt nog een belangrijk voordeel met zich mee: schaalbaarheid. En daarmee ook een kostenvoordeel. “In plaats van dat een bedrijf zelf Windows- en Linux-netwerkspecialisten in huis moet hebben die continu hun kennis op peil moeten houden, doen wij dat voor verschillende klanten tegelijk.” Wat daar nog bijkomt, zijn de beveiliging van data, de wetten en regels van toezichthouders en de eisen die marktpartijen stellen, zoals PCI-DSS. “Security en compliance raakt het primaire proces van fintech-bedrijven. Ondanks hun gebrek aan kennis zullen zij hier rekening mee moeten houden. Het onderbrengen van processen bij een leverancier die sectorspecifieke kennis en expertise heeft doordat het deze al voor meerdere klanten uitvoert, is een manier om het primaire proces te borgen en te voldoen aan de gestelde compliance-regels.”

Tagged with:

Over de schrijver

Avatar foto
Janneke Essen

28 jaar, informatie- en communicatiespecialist, Amsterdam

Related Articles