Hallo Ega! Welche Rolle hast du, und was zeichnet Faspay im FinTech-Bereich aus? 

Hallo Team Aikido! Als Development Head Manager bei Faspay leite ich unsere Engineering-Teams bei der Entwicklung skalierbarer, zuverlässiger Systeme, die das Wachstum des Unternehmens und die sich wandelnden Geschäftsanforderungen unterstützen.

Was Faspay auszeichnet, ist unsere starke Präsenz sowohl im digitalen als auch im traditionellen Bereich. Wir erleichtern Händlern (insbesondere denen, die von herkömmlichen Zahlungsmethoden umsteigen) die Einführung digitaler Zahlungssysteme durch Lösungen, die stabil, sicher und einfach zu integrieren sind. Faspay ist eines der ältesten und etabliertesten Zahlungsgateways in Indonesien. Unsere Lösungen sind sicher, stabil und mühelos integrierbar und basieren auf langjähriger Erfahrung und Marktvertrauen.

Welchen Zweck sollte Sicherheit im FinTech-Bereich erfüllen?

Während FinTech-spezifische Sicherheit Innovation und digitale finanzielle Inklusion unterstützen sollte, würde ich argumentieren, dass dies ebenfalls ein Muss ist:

• Benutzerdaten schützen: FinTech-Plattformen verwalten sensible persönliche und finanzielle Informationen. Starke Sicherheitsmaßnahmen stellen sicher, dass diese Daten nicht geleakt, gestohlen oder missbraucht werden.
• Transaktionen schützen: Jede Transaktion muss vor Betrug, Manipulation oder unbefugtem Zugriff geschützt sein, um die Integrität des Systems zu gewährleisten.
• Vertrauen aufbauen: Nutzer werden digitale Finanzdienstleistungen nur nutzen, wenn sie sich sicher fühlen, dass ihr Geld und ihre Informationen geschützt sind. Vertrauen führt zu Akzeptanz und Wachstum.
• Compliance sicherstellen: Indonesiens FinTech-Sektor wird von Behörden wie OJK und Bank Indonesia reguliert. Gute Sicherheit hilft Unternehmen, Datenschutz- und Cybersicherheitsgesetze einzuhalten und Strafen zu vermeiden.
• Verluste verhindern: Cyberangriffe können zu gestohlenen Geldern und Rufschädigung führen. Sicherheit dient als Verteidigungslinie, um solche Risiken zu mindern.
• Serviceverfügbarkeit aufrechterhalten: Ausfallzeiten oder Systemausfälle aufgrund von Angriffen können den Geschäftsbetrieb zum Erliegen bringen. Sicherheit stellt sicher, dass die Plattform zuverlässig und jederzeit zugänglich bleibt.

Wie Aikido bei der Bewältigung steigender regulatorischer Anforderungen und Datenschutzauflagen?

Aikido eine entscheidende Rolle beim Schutz von Kundendaten. Es identifiziert Risiken frühzeitig im Entwicklungszyklus, wenn sie noch einfacher (und kostengünstiger) zu beheben sind. Aikido Tausende von Open-Source-Bibliotheken und warnt uns sofort, wenn eine Abhängigkeit eine bekannte Schwachstelle enthält, die Benutzerdaten gefährden könnte. Außerdem überwacht es kontinuierlich den bereitgestellten Code und meldet Änderungen, wenn zuvor sichere Komponenten aufgrund neuer Bedrohungsaufklärung plötzlich anfällig werden.

Gab es einen bestimmten Moment, der einen strategischeren Fokus auf Sicherheit ausgelöst hat?

In den letzten drei bis vier Jahren wurde die Finanzbranche Indonesiens auf vielfältige Weise zum Ziel von Hackern und Exploits. Seitdem verfolgen wir einen wesentlich strategischeren und proaktiveren Ansatz in Sachen Sicherheit, investieren in bessere Prozesse, schärfen das interne Bewusstsein und setzen Tools wie Aikido ein Aikido Schwachstellen frühzeitig zu erkennen und Vorfälle zu verhindern.

Was waren Ihre größten Sicherheitsbedenken, bevor Sie sich für Aikido entschieden haben? Gab es bestimmte Risiken oder Lücken, die Sie angehen wollten?

Angesichts des erhöhten Risikos auf dem Markt war es unsere unmittelbare Priorität, die Sicherheitslücken auf Infrastrukturebene zu schließen. Unsere Hauptanliegen umfassten ungepatchte Systeme, bekannte Schwachstellen und die allgemeine Härtung der Umgebung. Wir konzentrierten uns auf das regelmäßige Einspielen von Software-Patches, die Behebung bekannter Probleme sowie die Durchführung routinemäßiger Penetrationstests und Schwachstellenanalysen, um sicherzustellen, dass unsere Infrastruktur sicher und widerstandsfähig gegen zukünftige Angriffe ist.

Welche Herausforderungen hatten Sie bei der Aufrechterhaltung von Sicherheit und Compliance, als Ihre Plattform skalierte?

Als wir skalierten, ergaben sich zwei zentrale Herausforderungen:

1. Unvorhersehbare Bedrohungen: Wir konnten neue Arten von Angriffen oder deren Komplexität nicht immer vorhersehen.
   
2. Sich entwickelnde Compliance-Anforderungen: Regulatorische Erwartungen ändern sich schnell, und unsere Systeme mussten Schritt halten, ohne Entwicklungsengpässe zu verursachen.

Der größte Balanceakt bestand darin, eine starke Sicherheit aufrechtzuerhalten, ohne unsere Entwicklungsgeschwindigkeit zu verlangsamen. 

„Sicherheit ist Teil unserer Entwicklungskultur geworden, nicht nur ein nachträglicher Gedanke.“

Haben Sie vor der Implementierung von Aikido andere Sicherheitstools oder -dienste verwendet?

Vor Aikido hatten wir mehrere Tools ausprobiert, darunter Checkmarx Snyk. Jedes hatte seine Nachteile. Einige waren langsam, andere lieferten keine umsetzbaren Erkenntnisse, und wieder andere hatten einen hohen Preis, der ihrem Wert nicht gerecht wurde. Das veranlasste uns, nach einer entwicklerfreundlicheren und effizienteren Lösung zu suchen, was uns schließlich zu Aikido führte.

„Wir haben Checkmarx Snyk ausprobiert, aber Aikido schneller, praktischer und einfacher zu handhaben.“

Was ist Aikido der Bewertung besonders an Aikido aufgefallen?

Was uns Aikido unserer Bewertung an Aikido besonders aufgefallen ist, war der starke Fokus auf die Entwicklererfahrung. Die AutoFix-Funktion war ein großer Gewinn, da sie es unserem Team ermöglichte, Probleme schnell und ohne manuellen Aufwand zu beheben. Aikido bietet Aikido klare, umsetzbare Berichte, die es einfacher machen, Schwachstellen zu priorisieren und zu beheben. Darüber hinaus war die nahtlose Integration mit den von uns bereits verwendeten Tools (wie Jenkins, Slack und verschiedenen Code-Editoren) eine einfache Entscheidung. Hinzu kam, dass die Scan-Geschwindigkeit bemerkenswert hoch war, was dazu beitrug, unsere Entwicklungsgeschwindigkeit aufrechtzuerhalten, ohne Kompromisse bei der Sicherheit einzugehen.

„Einige Probleme werden automatisch behoben, kein menschliches Eingreifen erforderlich. Wir überprüfen und mergen den Code einfach.“

Wie waren Ihre Erfahrungen bei der Zusammenarbeit mit dem Aikido ?

Die Zusammenarbeit mit dem Aikido war eine hervorragende Erfahrung. Die Mitarbeiter sind nicht nur reaktionsschnell, sondern auch proaktiv, hilfsbereit und wirklich an unserem Erfolg interessiert. Jede Interaktion spiegelt ihre umfassende Fachkompetenz im Bereich Sicherheit und ihr echtes Engagement wider, uns dabei zu helfen, mit Zuversicht zu wachsen. Es ist selten, einen Partner zu finden, der so zuverlässig ist und so gut zu unseren Werten passt.

Wie einfach oder schwierig war es, Aikido Ihre bestehenden Arbeitsabläufe und Entwicklungsprozesse zu integrieren?

Sehr einfach. Die Dokumentation ist klar und der Einrichtungsprozess verlief reibungslos, selbst für Entwickler, die noch keine Erfahrung mit dem Tool hatten. Aikido nahtlos in unsere Pipelines Aikido , ohne unsere Prozesse zu stören. Das war wichtig. Wir brauchten mehr Sicherheit, aber nicht auf Kosten der Produktivität.

Was ist Ihre Lieblingsfunktion oder -fähigkeit?

Meiner Meinung nach gibt es drei. Definitiv die API-Scanning-Funktion. Sie ist von unschätzbarem Wert, da die meisten unserer Dienste API-basiert sind. Sie hilft uns sicherzustellen, dass alle neuen APIs, die wir veröffentlichen, von Anfang an sicher sind. Zweitens ist die AutoFix-Funktion der wahre Zeitsparer. Sie hat uns eine erhebliche Menge Zeit gespart, indem sie viele gängige Schwachstellen automatisch behoben hat, wodurch sich unser Team mehr auf das Ausliefern von Code ohne Bedenken konzentrieren kann. In den schnellsten Fällen werden Fixes sofort durchgeführt, wir überprüfen die Änderung einfach und mergen sie.

„Mit dem IDE-Plugin können wir schlechten Code abfangen, noch bevor er auf GitHub gepusht wird.“

Und das IDE-Plugin hilft uns, fehlerhaften Code abzufangen, noch bevor er auf GitHub gepusht wird. Wir müssen nicht mehr jede Zeile manuell überprüfen, und das hat einen großen Einfluss auf die Effizienz der Entwickelnde gehabt.

​

Wie hat Aikido die Herangehensweise von Faspay an Sicherheit und Schwachstellenmanagement Aikido ?

Aikido unseren Ansatz in Bezug auf Sicherheit und Schwachstellenmanagement Faspay erheblich verbessert. Wir achten nun stärker auf die Sicherheit unserer Codebasis, insbesondere wenn es darum geht, fest codierte sensible Daten zu identifizieren und zu beseitigen. Außerdem sind wir nun proaktiver bei der Pflege unserer Abhängigkeiten und stellen sicher, dass diese aktuell und sicher sind. Dank Aikido ist Sicherheit nun Teil unserer Entwicklerkultur und nicht mehr nur eine nachträgliche Überlegung.

Haben Sie messbare Ergebnisse erzielt?

Aikido uns dabei Aikido , viele Schwachstellen in unserem alten Code aufzudecken, die zuvor unentdeckt geblieben waren. Allein das war den Wechsel schon wert. Wir haben noch keine genauen Zahlen, aber wir haben definitiv Zeit gespart.

Haben Sie Verbesserungen bei der Velocity oder Kosteneinsparungen festgestellt?

Was die Entwicklungsgeschwindigkeit angeht, sind wir noch nicht so weit, da wir uns weiterhin auf die Bereinigung des Legacy-Codes konzentrieren. Und obwohl wir die Kosteneinsparungen noch nicht quantifiziert haben, können wir bereits sagen, Aikido den Aufwand für die manuelle Verwaltung der Sicherheit Aikido .

Wenn Sie die Wirkung Aikidoin einem einzigen Satz beschreiben müssten, wie würde dieser lauten?

Aikido Sicherheit nahtlos in unseren Entwicklungsprozess integriert und hilft uns dabei, Schwachstellen frühzeitig zu erkennen und unser Team zu befähigen, sicherer und effizienter zu programmieren.