Hallo Ega! Was ist deine Rolle und was zeichnet Faspay im FinTech-Bereich aus?
Hallo Team Aikido! Als Development Head Manager bei Faspay leite ich unsere Entwicklungsteams, um skalierbare, zuverlässige Systeme zu entwickeln, die das Wachstum des Unternehmens und die sich entwickelnden Geschäftsanforderungen unterstützen.
Was Faspay von anderen unterscheidet, ist unsere starke Präsenz sowohl im digitalen als auch im traditionellen Sektor. Wir erleichtern Händlern (insbesondere jenen, die von älteren Zahlungsmethoden umsteigen) die Einführung digitaler Zahlungssysteme durch Lösungen, die stabil, sicher und einfach zu integrieren sind. Faspay ist eines der ältesten und etabliertesten Zahlungsgateways in Indonesien. Unsere Lösungen sind sicher, stabil und mühelos integrierbar und basieren auf jahrelanger Erfahrung und Marktvertrauen.
Welchem Zweck sollte die Sicherheit im FinTech-Bereich dienen?
Während FinTech-spezifische Sicherheit die Innovation und die digitale finanzielle Eingliederung unterstützen sollte, würde ich behaupten, dass dies auch ein Muss ist:
- Schutz der Nutzerdaten: FinTech-Plattformen verwalten sensible persönliche und finanzielle Informationen. Starke Sicherheitsvorkehrungen gewährleisten, dass diese Daten nicht durchsickern, gestohlen oder missbraucht werden.
- Schutz von Transaktionen: Jede Transaktion muss vor Betrug, Manipulation oder unberechtigtem Zugriff geschützt sein, um die Integrität des Systems zu wahren.
- Vertrauen schaffen: Die Nutzer werden digitale Finanzdienstleistungen nur dann in Anspruch nehmen, wenn sie das Gefühl haben, dass ihr Geld und ihre Daten sicher sind. Vertrauen führt zu Akzeptanz und Wachstum.
- Sicherstellung der compliance: Der indonesische FinTech-Sektor wird von Behörden wie OJK und Bank Indonesia reguliert. Eine gute Sicherheit hilft Unternehmen, die Datenschutz- und Cybersicherheitsgesetze einzuhalten und Strafen zu vermeiden.
- Verhindern Sie Verluste: Cyberangriffe können zu gestohlenen Geldern und Rufschädigung führen. Sicherheit dient als Verteidigungslinie, um solche Risiken zu verringern.
- Aufrechterhaltung der Dienstverfügbarkeit: Ausfallzeiten oder Systemfehler aufgrund von Angriffen können den Geschäftsbetrieb zum Erliegen bringen. Die Sicherheit sorgt dafür, dass die Plattform zuverlässig und immer zugänglich bleibt.
Wie hilft Aikido bei der Bewältigung der zunehmenden Anforderungen von Gesetzgebung und Datenschutz?
Aikido spielt eine entscheidende Rolle bei der Sicherung von Kundendaten. Es identifiziert Risiken in einem frühen Stadium des Entwicklungszyklus, wenn sie leichter (und billiger) zu beheben sind. Aikido scannt Tausende von Open-Source-Bibliotheken und warnt uns sofort, wenn eine Abhängigkeit eine bekannte Schwachstelle enthält, die Benutzerdaten gefährden könnte. Außerdem wird der bereitgestellte Code kontinuierlich überwacht und es werden Änderungen angezeigt, wenn zuvor sichere Komponenten aufgrund neuer Erkenntnisse über Bedrohungen angreifbar werden.
Gab es ein bestimmtes Ereignis, das den Anstoß zu einer stärkeren strategischen Ausrichtung auf die Sicherheit gab?
In den letzten drei bis vier Jahren wurde der indonesische Finanzsektor auf verschiedene Weise zur Zielscheibe für Hacker und Angriffe. Seitdem verfolgen wir einen viel strategischeren und proaktiveren Sicherheitsansatz, indem wir in bessere Prozesse investieren, das interne Bewusstsein schärfen und Tools wie Aikido einsetzen, die uns helfen, Schwachstellen frühzeitig zu erkennen und Vorfälle zu verhindern.
Was waren Ihre größten Sicherheitsbedenken, bevor Sie Aikido eingeführt haben? Gab es bestimmte Risiken oder Lücken, die Sie beheben wollten?
Angesichts des erhöhten Risikos auf dem Markt bestand unsere unmittelbare Priorität darin, die Sicherheitslücken auf der Infrastrukturebene zu schließen. Zu unseren Hauptanliegen gehörten ungepatchte Systeme, bekannte Schwachstellen und die allgemeine Härtung der Umgebung. Wir konzentrierten uns darauf, regelmäßig Software-Patches aufzuspielen, bekannte Probleme zu beheben und routinemäßige Penetrationstests und Schwachstellenbewertungen durchzuführen, um sicherzustellen, dass unsere Infrastruktur sicher und widerstandsfähig gegen zukünftige Angriffe ist.
Vor welchen Herausforderungen standen Sie bei der Aufrechterhaltung von Sicherheit und compliance , als Ihre Plattform skalierte?
Bei der Skalierung haben sich zwei zentrale Herausforderungen herauskristallisiert:
- Unvorhersehbare Bedrohungen: Wir konnten nicht immer vorhersehen, welche neuen Arten von Angriffen es gibt und wie raffiniert sie sein würden.
- Sich entwickelnde compliance : Die Erwartungen der Behörden ändern sich schnell, und unsere Systeme mussten Schritt halten, ohne dass es zu Engpässen bei der Entwicklung kam.
Der größte Spagat bestand darin, die Sicherheit aufrechtzuerhalten, ohne unsere Entwicklungsgeschwindigkeit zu verlangsamen.
"Sicherheit ist Teil unserer Entwicklungskultur geworden, nicht ein nachträglicher Gedanke."
Haben Sie vor der Einführung von Aikido andere Sicherheitstools oder -dienste verwendet?
Vor Aikido hatten wir mehrere Tools ausprobiert, darunter Checkmarx und Snyk. Jedes hatte seine Nachteile. Einige waren langsam, anderen fehlte es an verwertbaren Erkenntnissen, und einige hatten einen hohen Preis, der ihren Wert nicht widerspiegelte. Deshalb suchten wir nach einer entwicklerfreundlicheren und effizienteren Lösung, die uns schließlich zu Aikido führte.
"Wir haben Checkmarx und Snyk ausprobiert, aber Aikido war schneller, praktikabler und einfacher zu handhaben."
Was ist Ihnen bei der Bewertung von Aikido aufgefallen?
Was uns bei der Evaluierung von Aikido besonders auffiel, war der starke Fokus auf die Erfahrung der Entwickler. Die AutoFix-Funktion war ein großer Gewinn, da sie es unserem Team ermöglichte, Probleme schnell und ohne manuellen Aufwand zu beheben. Aikido bietet außerdem klare, umsetzbare Berichte, die es einfacher machen, Schwachstellen zu priorisieren und zu beheben. Die nahtlose Integration in die von uns bereits genutzten Tools (wie Jenkins, Slack und verschiedene Code-Editoren) erleichterte uns zudem die Einführung. Darüber hinaus war die Scangeschwindigkeit bemerkenswert hoch, was dazu beitrug, unsere Entwicklungsgeschwindigkeit aufrechtzuerhalten, ohne Kompromisse bei der Sicherheit einzugehen.
"Einige Probleme werden automatisch behoben, ohne dass ein Mensch eingreifen muss. Wir überprüfen und fügen den Code einfach zusammen."
Welche Erfahrungen haben Sie bei der Zusammenarbeit mit dem Aikido-Team gemacht?
Die Zusammenarbeit mit dem Aikido-Team war eine hervorragende Erfahrung. Sie sind nicht nur reaktionsschnell, sondern auch proaktiv, unterstützend und wirklich an unserem Erfolg interessiert. Jede Interaktion spiegelt ihr tiefes Fachwissen im Bereich Sicherheit und ihr echtes Engagement wider, uns zu helfen, mit Vertrauen zu wachsen. Es ist selten, einen Partner zu finden, der so verlässlich ist und mit unseren Werten übereinstimmt.
Wie einfach oder schwierig war es, Aikido in Ihre bestehenden Arbeitsabläufe und Entwicklungsprozesse zu integrieren?
Sehr einfach. Die Dokumentation ist klar und der Einrichtungsprozess verlief reibungslos, selbst für Entwickler, die mit dem Tool nicht vertraut sind. Aikido konnte direkt in unsere Pipelines integriert werden, ohne unsere Prozesse zu stören. Das war sehr wichtig. Wir brauchten mehr Sicherheit, aber nicht auf Kosten der Produktivität.
Was ist Ihr Lieblingsmerkmal oder Ihre Lieblingsfunktion?
Meiner Meinung nach sind es drei. Auf jeden Fall die API-Scanfunktion. Sie ist von unschätzbarem Wert, da die meisten unserer Dienste API-basiert sind. Sie hilft uns sicherzustellen, dass alle neuen APIs, die wir veröffentlichen, von Anfang an sicher sind. Zweitens ist die AutoFix-Funktion eine echte Zeitersparnis. Sie hat uns viel Zeit gespart, da sie viele häufige Schwachstellen automatisch behebt und es unserem Team ermöglicht, sich mehr auf die Auslieferung von Code zu konzentrieren, ohne sich Sorgen zu machen. In den schnellsten Fällen sind die Korrekturen sofort erledigt, wir müssen die Änderungen nur noch überprüfen und zusammenführen.
"Mit dem IDE-Plugin können wir schlechten Code abfangen, bevor er überhaupt auf GitHub veröffentlicht wird."
Und das IDE-Plugin hilft uns, fehlerhaften Code zu erkennen, bevor er überhaupt auf GitHub veröffentlicht wird. Wir müssen nicht mehr jede Zeile manuell überprüfen, und das hat einen großen Einfluss auf die Effizienz der Entwickler.
Wie hat Aikido die Art und Weise verändert, wie Faspay an Sicherheit und Schwachstellenmanagement herangeht?
Aikido hat unseren Ansatz für Sicherheit und Schwachstellenmanagement bei Faspay erheblich verbessert. Wir sind uns der Sicherheit unserer Codebasis bewusster, insbesondere wenn es darum geht, hartkodierte sensible Daten zu identifizieren und zu eliminieren. Außerdem sind wir jetzt proaktiver bei der Pflege unserer Abhängigkeiten und stellen sicher, dass sie aktuell und sicher sind. Dank Aikido ist Sicherheit ein Teil unserer Entwicklungskultur geworden, kein nachträglicher Gedanke.
Konnten Sie schon messbare Ergebnisse feststellen?
Aikido hat uns geholfen, viele Schwachstellen in unserer alten Codebasis aufzudecken, die bisher unentdeckt geblieben waren. Allein das war den Wechsel wert. Wir haben noch keine genauen Kennzahlen, aber wir haben definitiv Zeit gespart.
Haben Sie Verbesserungen bei der Geschwindigkeit oder Kosteneinsparungen festgestellt?
Im Hinblick auf die Entwicklungsgeschwindigkeit noch nicht, wir konzentrieren uns noch auf die Bereinigung von Legacy-Code. Und obwohl wir die Kosteneinsparungen noch nicht quantifiziert haben, können wir bereits sagen, dass Aikido den Aufwand für die manuelle Sicherheitsverwaltung reduziert.
Wenn Sie die Wirkung des Aikido in einem einzigen Satz beschreiben müssten, wie würde dieser lauten?
Aikido hat die Sicherheit nahtlos in unseren Entwicklungsprozess integriert und hilft uns, Schwachstellen frühzeitig zu erkennen und unser Team in die Lage zu versetzen, sicherer und effizienter zu programmieren.
.webp){kind=logo}
.png)