Einführung in Bound & Security in FinTech
Hallo Dan! Kannst du uns ein bisschen mehr über dich und Bound erzählen?
Hallo, ich bin Dan Kindler und der CTO und Mitbegründer von Bound. Wir konzentrieren uns darauf, Währungsumrechnung und -absicherung billig, fair und vor allem einfach zu machen. Unsere Plattformen helfen Hunderten von Unternehmen auf der ganzen Welt, sich vor Währungsrisiken zu schützen. Derzeit besteht etwa die Hälfte unseres Teams aus Ingenieuren.
Wie ist Bound im FinTech-Sektor und im Vergleich zur Konkurrenz positioniert?
Bevor ich auf FinTech selbst eingehe, möchte ich zunächst darauf eingehen, wie wir im Vergleich zu traditionellen Finanzinstituten positioniert sind. Herkömmliche Banken oder Broker richten sich in der Regel an Kunden mit großen Treasury-Teams, die den Handel per Telefon und E-Mail schätzen. Ihre Online-Börsen bieten in der Regel nur Vor-Ort-Transaktionen an. Da unser Ziel darin besteht, die Absicherung einfach und problemlos zu gestalten, bieten wir sowohl Kassa- als auch Währungsabsicherungstools zur Verwaltung und zum Schutz Ihrer internationalen Cashflows an. Im Dezember 2022 erhielten wir die Zulassung der FCA, einer britischen Finanzaufsichtsbehörde, die es uns ermöglicht, regulierte Hedging-Produkte anzubieten.
Wenn es um FinTech geht, können wir mit Sicherheit sagen, dass wir mit der Einführung von Online-Devisenumrechnungen zur Selbstbedienung Grenzen überschreiten (yeah). Unternehmen wie Wise und Revolut haben hervorragende Arbeit geleistet, um Währungsumrechnungen online einfach zu machen - aber sie konzentrieren sich nur auf "Spot"- (oder sofortige) Umrechnungen. Bei Bound konzentrieren wir uns auf künftige Cashflows, auf die sie sich nicht so sehr konzentrieren.
Welchem Zweck sollte die Sicherheit im FinTech-Bereich dienen?
Sicherheit spielt in unserer Branche eine große Rolle. Schließlich haben wir es mit Finanztransaktionen zu tun, die Hunderttausende von Pfund/Dollar/Euro wert sein können - wenn nicht sogar mehr. Bei Bound hat unser Transaktionsvolumen bereits Hunderte von Millionen Dollar überschritten. Wenn sich ein Sicherheitsrisiko in unser Produkt - oder in jedes andere FinTech-Produkt - einschleicht, kann man mit Sicherheit sagen, dass die Kacke am Dampfen ist. Und nicht nur irgendein Ventilator. Abgesehen von den rechtlichen Konsequenzen könnten Hacker die Ersparnisse anderer Menschen stehlen und damit Unternehmen und Leben zerstören.
Erleichterung der Einhaltung von Vorschriften für FinTech-Unternehmen
Im Bereich FinTech können wir uns vorstellen, dass Regulierungsinstanzen oder staatliche Aufsichtsbehörden Unternehmen, die mit Kundendaten umgehen, stärker unter die Lupe nehmen. Wie hilft Ihnen Aikido, damit umzugehen?
Der Druck, die Vorschriften einzuhalten, ist enorm. Im Vereinigten Königreich müssen wir uns ständig mit strengen Vorschriften wie der GDPR und den FCA-Leitlinien für Datenschutz und Sicherheit auseinandersetzen. Die Aufsichtsbehörden erwarten von uns, dass wir proaktiv mit Schwachstellen umgehen, zumal wir mit sensiblen Kundendaten arbeiten.
Aikido hat für uns das Spiel verändert. Die 9-in-1-Plattform ermöglicht es uns, jeden Aspekt unserer Softwaresicherheit umfassend abzudecken. Dieser Ansatz macht es einfacher, die gesetzlichen Anforderungen zu erfüllen, ohne dass wir mehrere Tools zusammenstellen müssen. Ein großes Plus ist die Verringerung von False-Positives. In einem von Vorschriften geprägten Umfeld können wir uns nicht den Luxus leisten, Zeit mit der Suche nach nicht vorhandenen Schwachstellen zu verschwenden. Die Präzision von Aikido bedeutet, dass wir bei einem Alarm darauf vertrauen können, dass es sich um etwas handelt, das Maßnahmen erfordert, was bei Audits oder Compliance-Überprüfungen von unschätzbarem Wert ist. Außerdem ermöglicht die übersichtliche Benutzeroberfläche unserem Team ein schnelles Handeln und vermeidet die Komplexität, die normalerweise mit Sicherheitstools einhergeht. So ist sichergestellt, dass wir potenziellen Compliance-Problemen immer einen Schritt voraus sind, ohne unseren Entwicklungsfluss zu unterbrechen.
In einem von Vorschriften geprägten Umfeld können wir uns nicht den Luxus leisten, Zeit mit der Suche nach nicht existierenden Schwachstellen zu verschwenden.
Welche künftigen Vorschriften sehen Sie, die andere technische Leiter und Vizepräsidenten im Auge behalten sollten?
Künftige britische FinTech-Vorschriften werden sich wahrscheinlich auf die Ausweitung des Open Banking und die Verbesserung der Aufsicht über digitale Vermögenswerte konzentrieren. Mit Innovationen wie variablen wiederkehrenden Zahlungen und einer digitalen regulatorischen Sandbox sollten sich die Entwicklungsteams auf strengere Sicherheitsstandards und neue API-Integrationen vorbereiten.
Einführung in Aikido
Was hat Sie vor Aikido nachts in Bezug auf die Sicherheit wachgehalten? Wie sind Sie mit dem Thema Sicherheit umgegangen?
Ehrlich gesagt, war es ein Chaos, für jede Art von Sicherheitsprüfung verschiedene Tools zu verwalten. Wir waren ständig in Sorge, dass etwas übersehen werden könnte, und die Anzahl der Fehlalarme machte es noch schlimmer. Aikido hat alles an einem Ort vereint, so dass wir jetzt echte Probleme ohne den ganzen Lärm erkennen können, und das hat unser Leben viel einfacher gemacht.
Aikido hat alles an einem Ort zusammengeführt, so dass wir jetzt die wirklichen Probleme ohne den ganzen Lärm auffangen können.
Wir haben gesehen, dass Bound einer unserer wenigen Kunden ist, der so ziemlich jedes gemeldete offene Problem gelöst hat. Hat Aikido Ihnen in dieser Hinsicht geholfen?
Auf jeden Fall! Wir sind stolz darauf, dass wir die Sicherheit sehr ernst nehmen (wie die meisten Unternehmen - hoffentlich - auch). Für uns hat Aikido einen enormen Einfluss darauf, wie wir Schwachstellenmanagement und -behebung angehen. Wir betrachten Aikido als unsere einzige Quelle der Wahrheit, und die Funktionen der Plattform zur Deduplizierung und Vorfilterung von Fehlalarmen helfen uns wirklich, den Wald vor lauter Bäumen nicht zu sehen. Sobald eine echte Schwachstelle auftaucht, haben wir einen Auslöser in unserem Issue Tracker (Linear), um sicherzustellen, dass wir sie so schnell wie möglich beheben. Der Prozess ist ziemlich ordentlich und gut in unseren Entwicklungszyklus eingebettet, und wir verlassen uns sehr auf ihn.
Welche Erfahrungen haben Sie bei der Zusammenarbeit mit dem Aikido-Team gemacht?
Das Team war vom ersten Tag an sehr reaktionsschnell und hilfsbereit. Über unseren gemeinsamen Slack-Kanal können wir in Echtzeit Feedback austauschen, Anfragen stellen und relevante Produktaktualisierungen erhalten. Irgendwann habe ich das Aikido-Team gefragt, ob sie wissen, worauf sie sich da eingelassen haben. Wir haben ihr Produktteam nicht schlafen lassen, als wir merkten, dass wir alles fragen können!
Was ist Ihr Lieblingsmerkmal?
Abgesehen von der Falsch-Positiv-Reduzierung ist die Schaltfläche "Von GitHub importieren" sehr cool. Mir gefällt sehr, dass alle Repos automatisch einem Team zugewiesen werden. Wir können GitHub als die Quelle der Wahrheit beibehalten, während Aikido nahtlos alles entsprechend zuordnet.
Irgendwelche Schlussbemerkungen?
Wir hatten Anfang des Jahres unseren ersten Penetrationstest und ein Amazon AWS-Sicherheitsaudit, das sehr gut verlief. Wir haben nichts über eine mittlere Bewertung hinaus bekommen (und mit den meisten mittleren Bewertungen war ich sowieso nicht ganz einverstanden...). Wahrscheinlich hätten sie viel mehr Interessantes gefunden, wenn wir nicht ständig von Aikido angeschrien worden wären, also vielen Dank dafür!
.svg){kind=logo}
%201.svg)
