Hallo Ega! Welche Rolle hast du, und was zeichnet Faspay im FinTech-Bereich aus?
Hallo Team Aikido! Als Leiter der Entwicklungsabteilung bei Faspay führe ich unsere Entwicklungsteams, um skalierbare, zuverlässige Systeme zu entwickeln, die das Wachstum des Unternehmens und die sich entwickelnden Geschäftsanforderungen unterstützen.
Was Faspay auszeichnet, ist unsere starke Präsenz sowohl im digitalen als auch im traditionellen Sektor. Wir erleichtern es Händlern (insbesondere solchen, die von veralteten Zahlungsmethoden umsteigen), digitale Zahlungssysteme durch stabile, sichere und einfach zu integrierende Lösungen einzuführen. Faspay ist eines der ältesten und etabliertesten Payment Gateways in Indonesien. Unsere Lösungen sind sicher, stabil und mühelos integrierbar, basierend auf jahrelanger bewährter Erfahrung und Marktvertrauen.
Welchen Zweck sollte Sicherheit im FinTech-Bereich erfüllen?
Während FinTech-spezifische Sicherheit Innovation und digitale finanzielle Inklusion unterstützen sollte, würde ich argumentieren, dass dies ebenfalls ein Muss ist:
- Benutzerdaten schützen: FinTech-Plattformen verwalten sensible persönliche und finanzielle Informationen. Starke Sicherheitsmaßnahmen stellen sicher, dass diese Daten nicht geleakt, gestohlen oder missbraucht werden.
- Transaktionen schützen: Jede Transaktion muss vor Betrug, Manipulation oder unbefugtem Zugriff geschützt sein, um die Integrität des Systems zu gewährleisten.
- Vertrauen aufbauen: Benutzer werden digitale Finanzdienstleistungen nur nutzen, wenn sie sich sicher fühlen, dass ihr Geld und ihre Informationen geschützt sind. Vertrauen führt zu Akzeptanz und Wachstum.
- Compliance sicherstellen: Indonesiens FinTech-Sektor wird von Behörden wie OJK und Bank Indonesia reguliert. Gute Sicherheit hilft Unternehmen, Datenschutz- und Cybersicherheitsgesetze einzuhalten und Strafen zu vermeiden.
- Verluste verhindern: Cyberangriffe können zu gestohlenen Geldern und Rufschädigung führen. Sicherheit dient als Verteidigungslinie, um solche Risiken zu mindern.
- Serviceverfügbarkeit aufrechterhalten: Ausfallzeiten oder Systemausfälle aufgrund von Angriffen können den Geschäftsbetrieb zum Erliegen bringen. Sicherheit stellt sicher, dass die Plattform zuverlässig und jederzeit zugänglich bleibt.
Wie hilft Aikido bei steigenden Anforderungen an Regulierung und Datenschutz?
Aikido spielt eine entscheidende Rolle dabei, uns bei der Sicherung von Kundendaten zu unterstützen. Es identifiziert Risiken frühzeitig im Entwicklungszyklus, wenn diese einfacher (und kostengünstiger) zu beheben sind. Aikido scannt Tausende von Open-Source-Bibliotheken und alarmiert uns sofort, wenn eine Abhängigkeit eine bekannte Schwachstelle enthält, die Benutzerdaten gefährden könnte. Es überwacht auch kontinuierlich bereitgestellten Code und markiert Änderungen, wenn zuvor sichere Komponenten aufgrund sich entwickelnder Bedrohungsaufklärung neu anfällig werden.
Gab es einen bestimmten Moment, der einen strategischeren Fokus auf Sicherheit ausgelöst hat?
In den letzten 3-4 Jahren wurde Indonesiens Finanzindustrie auf verschiedene Weisen zum Ziel für Hacker und Exploits. Seitdem haben wir einen viel strategischeren und proaktiveren Ansatz in Bezug auf Sicherheit gewählt, indem wir in bessere Prozesse investiert, das interne Bewusstsein geschärft und Tools wie Aikido eingeführt haben, um Schwachstellen frühzeitig zu identifizieren und Vorfälle zu verhindern.
Was waren vor der Einführung von Aikido Ihre größten Sicherheitsbedenken? Gab es spezifische Risiken oder Lücken, die Sie beheben wollten?
Angesichts des erhöhten Risikos auf dem Markt war es unsere unmittelbare Priorität, die Sicherheitslücken auf Infrastrukturebene zu schließen. Unsere Hauptanliegen umfassten ungepatchte Systeme, bekannte Schwachstellen und die allgemeine Härtung der Umgebung. Wir konzentrierten uns auf das regelmäßige Einspielen von Software-Patches, die Behebung bekannter Probleme sowie die Durchführung routinemäßiger Penetrationstests und Schwachstellenanalysen, um sicherzustellen, dass unsere Infrastruktur sicher und widerstandsfähig gegen zukünftige Angriffe ist.
Welche Herausforderungen hatten Sie bei der Aufrechterhaltung von Sicherheit und Compliance, als Ihre Plattform skalierte?
Als wir skalierten, ergaben sich zwei zentrale Herausforderungen:
- Unvorhersehbare Bedrohungen: Wir konnten neue Arten von Angriffen oder deren Komplexität nicht immer vorhersehen.
- Sich entwickelnde Compliance-Anforderungen: Regulatorische Erwartungen ändern sich schnell, und unsere Systeme mussten Schritt halten, ohne Entwicklungsengpässe zu verursachen.
Der größte Balanceakt bestand darin, eine starke Sicherheit aufrechtzuerhalten, ohne unsere Entwicklungsgeschwindigkeit zu verlangsamen.
„Sicherheit ist Teil unserer Entwicklungskultur geworden, nicht nur ein nachträglicher Gedanke.“
Haben Sie vor der Implementierung von Aikido andere Sicherheitstools oder -dienste genutzt?
Wir hatten vor Aikido mehrere Tools ausprobiert, darunter Checkmarx und Snyk. Jedes hatte Nachteile. Einige waren langsam, anderen fehlten umsetzbare Erkenntnisse, und einige kamen mit einem hohen Preis, der ihren Wert nicht widerspiegelte. Das veranlasste uns, nach etwas Entwickler-freundlicherem und Effizienterem zu suchen, was uns schließlich zu Aikido führte.
„Wir haben Checkmarx und Snyk ausprobiert, aber Aikido war schneller, umsetzbarer und einfacher zu handhaben.“
Was ist bei der Evaluierung von Aikido besonders aufgefallen?
Was uns bei unserer Evaluierung an Aikido besonders auffiel, war der starke Fokus auf die Developer Experience. Die AutoFix-Funktion war ein großer Gewinn, da sie unserem Team ermöglichte, Probleme schnell und ohne manuellen Aufwand zu lösen. Aikido bietet zudem klare, umsetzbare Berichte, die es erleichtern, Schwachstellen zu priorisieren und zu beheben. Darüber hinaus machte die nahtlose Integration mit Tools, die wir bereits nutzen (wie Jenkins, Slack und verschiedene Code-Editoren), die Einführung unkompliziert. Hinzu kam, dass die Scangeschwindigkeit merklich schnell war, was uns half, unsere Entwicklungsgeschwindigkeit beizubehalten, ohne die Sicherheit zu beeinträchtigen.
„Einige Probleme werden automatisch behoben, kein menschliches Eingreifen erforderlich. Wir überprüfen und mergen den Code einfach.“
Wie war Ihre Erfahrung bei der Zusammenarbeit mit dem Aikido-Team?
Die Zusammenarbeit mit dem Aikido-Team war eine herausragende Erfahrung. Sie sind nicht nur reaktionsschnell, sondern auch proaktiv, unterstützend und wirklich an unserem Erfolg interessiert. Jede Interaktion spiegelt ihre tiefgreifende Expertise im Bereich Sicherheit und ihr echtes Engagement wider, uns zu helfen, mit Zuversicht zu wachsen. Es ist selten, einen Partner zu finden, der sich so zuverlässig und mit unseren Werten übereinstimmend anfühlt.
Wie einfach oder schwierig war es, Aikido in Ihre bestehenden Workflows und Entwicklungsprozesse zu integrieren?
Sehr einfach. Die Dokumentation ist klar, und der Einrichtungsprozess war reibungslos, selbst für Entwickelnde, die neu mit dem Tool waren. Aikido ließ sich direkt in unsere Pipelines integrieren, ohne unsere Prozesse zu stören. Das war wichtig. Wir brauchten bessere Sicherheit, aber nicht auf Kosten der Produktivität.
Was ist Ihre Lieblingsfunktion oder -fähigkeit?
Meiner Meinung nach gibt es drei. Definitiv die API-Scanning-Funktion. Sie ist von unschätzbarem Wert, da die meisten unserer Dienste API-basiert sind. Sie hilft uns sicherzustellen, dass alle neuen APIs, die wir veröffentlichen, von Anfang an sicher sind. Zweitens ist die AutoFix-Funktion der wahre Zeitsparer. Sie hat uns eine erhebliche Menge Zeit gespart, indem sie viele gängige Schwachstellen automatisch behoben hat, wodurch sich unser Team mehr auf das Ausliefern von Code ohne Bedenken konzentrieren kann. In den schnellsten Fällen werden Fixes sofort durchgeführt, wir überprüfen die Änderung einfach und mergen sie.
„Mit dem IDE-Plugin können wir schlechten Code abfangen, noch bevor er auf GitHub gepusht wird.“
Und das IDE-Plugin hilft uns, fehlerhaften Code abzufangen, noch bevor er auf GitHub gepusht wird. Wir müssen nicht mehr jede Zeile manuell überprüfen, und das hat einen großen Einfluss auf die Effizienz der Entwickelnde gehabt.
Wie hat Aikido die Art und Weise verändert, wie Faspay Sicherheit und Schwachstellenmanagement angeht?
Aikido hat unseren Ansatz für Sicherheit und Schwachstellenmanagement bei Faspay erheblich verbessert. Wir sind uns der Sicherung unserer Codebasis bewusster, insbesondere wenn es um die Identifizierung und Eliminierung von hartkodierten sensiblen Daten geht. Es hat uns auch proaktiver gemacht, unsere Abhängigkeiten zu pflegen und sicherzustellen, dass diese aktuell und sicher sind. Dank Aikido ist Sicherheit Teil unserer Entwicklungs-Kultur geworden, nicht nur ein nachträglicher Gedanke.
Haben Sie messbare Ergebnisse erzielt?
Aikido half uns, viele Schwachstellen in unserer veralteten Codebasis aufzudecken, die unentdeckt geblieben waren. Allein das war den Wechsel wert. Wir haben zwar noch keine genauen Metriken, aber wir haben definitiv Zeit gespart.
Haben Sie Verbesserungen bei der Velocity oder Kosteneinsparungen festgestellt?
Noch nicht in Bezug auf die Entwicklungsgeschwindigkeit, wir konzentrieren uns immer noch auf die Bereinigung von Legacy-Code. Und obwohl wir die Kosteneinsparungen noch nicht quantifiziert haben, können wir bereits sagen, dass Aikido den Overhead der manuellen Sicherheitsverwaltung reduziert.
Wenn Sie die Auswirkungen von Aikido in einem einzigen Satz beschreiben müssten, wie würde dieser lauten?
Aikido hat die Sicherheit nahtlos in unseren Entwicklungsprozess integriert und hilft uns, Schwachstellen frühzeitig zu erkennen, während unser Team befähigt wird, sicherer und effizienter zu coden.
