外媒報(bào)道稱，F(xiàn)intech近段時(shí)間的發(fā)展與其說(shuō)是興起，不如說(shuō)是一個(gè)爆炸年代——一夜之間，數(shù)以千計(jì)的新應(yīng)用程序突然出現(xiàn)在市場(chǎng)上，并從根本上改變了我們與托管的財(cái)富和金融機(jī)構(gòu)交互的方式。雖然到目前為止尚沒(méi)有對(duì)fintech是否需要一流的安全標(biāo)準(zhǔn)提出質(zhì)疑，但Fintech創(chuàng)新創(chuàng)業(yè)的爆發(fā)規(guī)模使其比過(guò)往任何新領(lǐng)域出現(xiàn)時(shí)都要獲得更多的關(guān)注。然而事實(shí)上，隨著Fintech在金融生態(tài)中不斷擴(kuò)張，并不斷推出新的應(yīng)用和平臺(tái)時(shí)，它們更多的是需要負(fù)責(zé)任的創(chuàng)新來(lái)保護(hù)消費(fèi)者和金融機(jī)構(gòu)。

今天的創(chuàng)新者都承受著巨大的壓力。投資資金、是否自籌資金、眾包還是通過(guò)風(fēng)險(xiǎn)投資渠道融資等等途徑都必須明智地運(yùn)用，而且首先要關(guān)注產(chǎn)品或服務(wù)能否推向市場(chǎng)。所以，在開(kāi)發(fā)好代碼和部署好平臺(tái)之前，這都可能無(wú)意中限制了創(chuàng)新者的安全研究。在這一層面上說(shuō)，F(xiàn)intech應(yīng)用和服務(wù)往往很難加以安全控制，就算考慮到其中，它的有效性也是有限的。

設(shè)計(jì)即安全

作為個(gè)人財(cái)務(wù)數(shù)據(jù)的管理者，F(xiàn)intech公司有義務(wù)盡一切所能維護(hù)平臺(tái)安全。這就要求采取“設(shè)計(jì)即安全”的方法來(lái)從第一天起直接為其平臺(tái)構(gòu)筑安全的環(huán)境——將安全設(shè)計(jì)融入平臺(tái)設(shè)計(jì)之中，而不是在平臺(tái)之上搭建。“設(shè)計(jì)即安全”確保消費(fèi)權(quán)益保護(hù)和經(jīng)歷在代碼的早期階段以及安保問(wèn)題發(fā)生之前得到解決。

“設(shè)計(jì)即安全”也完美符合創(chuàng)新的要求，特別是對(duì)于今天的金融服務(wù)環(huán)境。傳統(tǒng)上，消費(fèi)者的金融數(shù)據(jù)都存儲(chǔ)在靜止的保管庫(kù)——就像現(xiàn)金。而現(xiàn)在，金融數(shù)據(jù)——具有非常切實(shí)的安全和隱私隱患的數(shù)據(jù)是可移動(dòng)的，由多個(gè)第三方共享和處理。這違反了公民和保護(hù)措施所需要遵循的確定誰(shuí)才有訪問(wèn)的數(shù)據(jù)的原則，讓任何一個(gè)環(huán)節(jié)都存在安全漏洞。

設(shè)計(jì)中構(gòu)建安全最好的方法是定義應(yīng)用程序或服務(wù)的需求時(shí)，從一開(kāi)始就繪制好數(shù)據(jù)流。開(kāi)發(fā)者需要對(duì)涉及系統(tǒng)資產(chǎn)和支付鏈條的數(shù)據(jù)的財(cái)產(chǎn)清冊(cè)有一個(gè)整體的考慮格局。這樣可以全面了解到固有的風(fēng)險(xiǎn)和威脅，適用的法規(guī)和標(biāo)準(zhǔn)以及必要的安全控制手段。

固有風(fēng)險(xiǎn)不僅僅是可以被黑客利用的代碼或平臺(tái)中的技術(shù)漏洞?？蛻趔w驗(yàn)也必須加以考慮，包括客戶端設(shè)備（比如手機(jī)、瀏覽器和平板），他們的安全意識(shí)水平和對(duì)威脅的發(fā)現(xiàn)、預(yù)防和應(yīng)對(duì)能力。第三方的參與也開(kāi)始發(fā)揮作用，特別是對(duì)于那些集成到系統(tǒng)的體驗(yàn)，比如身份驗(yàn)證提供方、信息采集 和社交媒體連接器。

最后，至關(guān)重要的是要了解安全控制將如何影響用戶的體驗(yàn)。舉個(gè)例子，當(dāng)使用一個(gè)移動(dòng)金融應(yīng)用程序來(lái)幫助用戶做出一個(gè)沖動(dòng)購(gòu)買(mǎi)的決策時(shí)，他們會(huì)將多因素認(rèn)證視作一個(gè)有用的功能還是一個(gè)麻煩呢？

功能和安全之間，平衡是關(guān)鍵。這不光是說(shuō)說(shuō)而已，對(duì)于價(jià)值定位和平臺(tái)，F(xiàn)intech創(chuàng)新者需要對(duì)數(shù)據(jù)流、風(fēng)險(xiǎn)相應(yīng)地有一個(gè)360度安全防護(hù)的措施和視角。設(shè)計(jì)即安全能夠幫助尋找到最佳的平衡點(diǎn)，因?yàn)樗羞@些因素都會(huì)在在構(gòu)思和開(kāi)發(fā)階段就能夠被識(shí)別出來(lái)，并進(jìn)行討論、審查和處理。一旦這個(gè)階段過(guò)去，就基本沒(méi)什么機(jī)會(huì)來(lái)完善安全層了。

通過(guò)在評(píng)估威脅和業(yè)務(wù)需求時(shí)，把安全因素加入到特性和功能中一起考慮，F(xiàn)intech創(chuàng)業(yè)公司可以此降低安全問(wèn)題的可能性。最重要的是，他們可以創(chuàng)建的Fintech應(yīng)用程序和服務(wù)不僅能夠改變我們管理財(cái)富的方式，而且可以保障我們最敏感、個(gè)人的信息不被侵害。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。