Einführung zu Bound & Security in FinTech

Hallo Dan! Kannst du uns etwas mehr über dich und Bound erzählen?

Hallo, ich bin Dan Kindler und ich bin der CTO und Mitbegründer von Bound. Wir konzentrieren uns darauf, Währungsumrechnung und Hedging günstig, fair und vor allem einfach zu gestalten. Unsere Plattformen helfen Hunderten von Unternehmen weltweit, sich vor Währungsrisiken zu schützen. Derzeit besteht etwa die Hälfte unseres Teams aus Ingenieuren.

Wie ist Bound im FinTech-Sektor positioniert und im Vergleich zum Wettbewerb?

Bevor wir uns mit FinTech selbst befassen, lassen Sie mich zunächst darlegen, wie wir uns gegenüber traditionellen Finanzinstituten positionieren. Traditionelle Banken oder Broker bedienen typischerweise Kunden mit großen Treasury-Teams, die den telefonischen und E-Mail-Kontakt schätzen. Ihre Online-Börsen bieten typischerweise nur Spot-Transaktionen an. Da unser Ziel ist, Hedging einfach und problemlos zu gestalten, bieten wir sowohl Spot- als auch Währungsabsicherungstools an, um Ihre internationalen Cashflows zu verwalten und zu schützen. Im Dezember 2022 erhielten wir unsere FCA-Autorisierung, eine britische Finanzaufsichtsbehörde, die es uns ermöglicht, regulierte Hedging-Produkte anzubieten.

Im Bereich FinTech können wir mit Fug und Recht behaupten, dass wir mit der Einführung von Self-Service-Devisenumrechnungen online Grenzen überschreiten (ja). Unternehmen wie Wise und Revolut haben hervorragende Arbeit geleistet, um Währungsumrechnungen online einfach zu machen – aber sie konzentrieren sich nur auf „Spot“- (oder Sofort-) Umrechnungen. Mit Bound konzentrieren wir uns auf zukünftige Cashflows, worauf sie sich weniger konzentrieren.

Welchen Zweck sollte Sicherheit im FinTech-Bereich erfüllen?

Sicherheit spielt eine enorme Rolle in unserer Branche. Letztendlich geht es um Finanztransaktionen, die Hunderttausende von Pfund/Dollar/Euro wert sein könnten – wenn nicht mehr. Bei Bound überstieg unser Transaktionsvolumen bereits Hunderte Millionen Dollar. Wenn sich ein Sicherheitsrisiko in unser Produkt – oder irgendein FinTech-Produkt – einschleicht, kann man mit Sicherheit sagen, dass die Hölle losbricht. Und nicht nur irgendeine Hölle. Abgesehen von rechtlichen Konsequenzen könnten Hacker die Ersparnisse anderer Leute stehlen und so Unternehmen und Leben zerstören.

Erleichterung der regulatorischen Compliance für FinTech

Im Bereich FinTech ist davon auszugehen, dass Aufsichtsbehörden oder staatliche Regulierungsbehörden Unternehmen, die mit Kundendaten umgehen, stärker kontrollieren werden. Wie Aikido Ihnen Aikido , damit umzugehen?

Der Druck, Compliance zu gewährleisten, ist enorm. Im Vereinigten Königreich navigieren wir ständig durch strenge Vorschriften wie die DSGVO und die Leitlinien der FCA zum Datenschutz und zur Sicherheit. Die Regulierungsbehörden erwarten von uns, dass wir proaktiv mit Schwachstellen umgehen, insbesondere da wir sensible Kundendaten verarbeiten.

Aikido für uns alles verändert. Mit der 9-in-1-Plattform können wir jeden Aspekt unserer Softwaresicherheit umfassend abdecken. Dieser Ansatz erleichtert es uns, regulatorische Anforderungen zu erfüllen, ohne mehrere Tools miteinander kombinieren zu müssen. Ein großer Vorteil ist die Reduzierung von Fehlalarmen. In einem regulatorischen Umfeld können wir es uns nicht leisten, Zeit mit der Suche nach nicht vorhandenen Schwachstellen zu verschwenden. Dank der Präzision Aikidokönnen wir uns darauf verlassen, dass eine Warnmeldung tatsächlich etwas ist, das Maßnahmen erfordert, was bei Audits oder compliance von unschätzbarem Wert ist. Darüber hinaus ermöglicht die übersichtliche Benutzeroberfläche unserem Team, schnell zu handeln und die Komplexität zu vermeiden, die normalerweise mit Sicherheitstools einhergeht. So können wir potenzielle compliance vermeiden, ohne unseren Entwicklungsablauf zu stören.

In einer Regulierungslandschaft haben wir nicht den Luxus, Zeit mit der Jagd nach nicht existierenden Schwachstellen zu verschwenden.

Welche zukünftige Regulierung sehen Sie für andere Engineering Leads und VPs, die sie im Auge behalten sollten?

Zukünftige britische FinTech-Regulierungen werden sich voraussichtlich auf die Ausweitung von Open Banking und die Verbesserung der Aufsicht über digitale Assets konzentrieren. Mit Innovationen wie variablen wiederkehrenden Zahlungen (Variable Recurring Payments) und einer digitalen Regulierungs-Sandbox sollten sich Engineering-Teams auf strengere Sicherheitsstandards und neue API-Integrationen vorbereiten.

Einführung in Aikido

Was hat Sie vor Aikido in Bezug auf Sicherheit nachts wach gehalten? Wie sind Sie mit Sicherheit umgegangen?

Ehrlich gesagt war es sehr chaotisch, für jede Art von Sicherheitsüberprüfung unterschiedliche Tools zu verwalten. Wir hatten ständig Angst, dass etwas übersehen werden könnte, und die Anzahl der Fehlalarme machte die Sache noch schlimmer. Aikido alles an einem Ort zusammengeführt, sodass wir jetzt echte Probleme ohne all den Lärm erkennen können, was unser Leben erheblich vereinfacht hat.

Aikido alles an einem Ort zusammengeführt, sodass wir jetzt echte Probleme erkennen können, ohne den ganzen Lärm.

Wir haben gesehen, dass Bound einer unserer wenigen Kunden ist, der so gut wie alle gemeldeten offenen Probleme gelöst hat. Hat Ihnen Aikido dabei Aikido ?

Auf jeden Fall! Wir sind stolz darauf, dass wir Sicherheit sehr ernst nehmen (wie es hoffentlich die meisten Unternehmen tun). Für uns Aikido einen enormen Einfluss darauf gehabt, wie wir Schwachstellenmanagement -behebung angehen. Wir betrachten es als unsere einzige Quelle der Wahrheit, und die Funktionen der Plattform zur Deduplizierung und Vorfilterung von Fehlalarmen helfen uns wirklich, den Wald vor lauter Bäumen zu sehen. Sobald eine echte Schwachstelle auftaucht, erscheint ein Trigger in unserem Issue Tracker (Linear), um sicherzustellen, dass wir sie so schnell wie möglich beheben. Der Prozess ist ziemlich übersichtlich und gut in unseren Entwicklungszyklus eingebettet, und wir verlassen uns sehr darauf.

Wie sind Ihre Erfahrungen in der Zusammenarbeit mit dem Aikido ?

Das Team war vom ersten Tag an äußerst reaktionsschnell und hilfsbereit. Über unseren gemeinsamen Slack-Kanal können wir in Echtzeit Feedback geben, Anfragen stellen und relevante Produkt-Updates erhalten. Irgendwann habe ich das Aikido gefragt, ob sie wissen, worauf sie sich da eingelassen haben. Als wir merkten, dass wir alles fragen konnten, was wir wollten, haben wir ihrem Produktteam keine Ruhe mehr gegönnt!

Was ist Ihr Lieblings-Feature?

Abgesehen von der Reduzierung der Fehlalarme ist die Schaltfläche „Aus GitHub importieren“ sehr cool. Mir gefällt besonders gut, dass alle Repositorys automatisch einem Team zugewiesen werden. Wir können GitHub als Quelle der Wahrheit beibehalten, während Aikido alles Aikido entsprechend abbildet.

Abschließende Bemerkungen?

Anfang dieses Jahres haben wir unseren ersten Penetrationstest und Amazon AWS-Sicherheitsaudit durchgeführt, der sehr gut verlief. Wir haben keine Bewertungen über „mittel“ erhalten (und mit den meisten „mittleren“ Bewertungen war ich ohnehin nicht ganz einverstanden…). Ohne Aikido uns ständig Aikido , hätten sie wahrscheinlich viel mehr interessante Dinge gefunden, also vielen Dank dafür!