O bezpečnosti mobilního bankovnictví se toho již řeklo mnoho. Je ale možné tyto poznatky přenést na multi-banking aplikace (aplikace, které umí spravovat více bank současně)? Na přednášce ukážu, jaké nové a dosud neřešené problémy multi-banking aplikace (a otevřená bankovní API) přináší například v oblasti autentizace či ochrany osobních dat, ale hlavně to, jak takové aplikace udělat bezpečně a současně pohodlně z pohledu koncového uživatele.
Webinář je k dispozici ke shlédnutí zde: https://www.youtube.com/watch?v=M4e34Zs6AKM
Jak by mělo vypadat ideální bankovní API? Zeptali jsme se vývojářů na základě zadání z bank a výsledky dotazníku pro vás zpracovali.
Záznam webináře: https://www.youtube.com/watch?v=Fh-cOjgpT3Q
U nás je otevřené bankovní API novinkou. Ale jak je to ve světě? Kde už otevřená bankovní API dávno fungují a jak vypadají? Dozvíte se v dalším bleskovém webináři...
Představení Zingly API Serveru a popis integracePetr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=u6c-fYGAMQc
PSD2 a veřejné bankovní API? Banka této legislativě může vyhovět během pár dní s téměř nulovými náklady pomocí open-source Zingly API Serveru. Jak Zingly API Server funguje a jak složité je ho nasadit? Dozvíte se v tomto webináři.
Bezpečnost Zingly a detaily protokolu PowerAuth 2.0Petr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=dwkjgkJBz6I
Proč je Zingly bezpečnější, než klasické mobilní či internetové bankovnictví? Co je to PowerAuth 2.0 a jak funguje pod pokličkou? Dozvíte se, včetně kryptografických detailů, které jste snad ani vědět nechtěli...
Prezentace QR Platby na setkání Communication Wednesday v rámci Tuesday Business Network: http://www.tuesday.cz/akce/e-komerce-v-mobilu/
Více informací o QR Platbě na http://qr-platba.cz
Webinář je k dispozici ke shlédnutí zde: https://www.youtube.com/watch?v=M4e34Zs6AKM
Jak by mělo vypadat ideální bankovní API? Zeptali jsme se vývojářů na základě zadání z bank a výsledky dotazníku pro vás zpracovali.
Záznam webináře: https://www.youtube.com/watch?v=Fh-cOjgpT3Q
U nás je otevřené bankovní API novinkou. Ale jak je to ve světě? Kde už otevřená bankovní API dávno fungují a jak vypadají? Dozvíte se v dalším bleskovém webináři...
Představení Zingly API Serveru a popis integracePetr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=u6c-fYGAMQc
PSD2 a veřejné bankovní API? Banka této legislativě může vyhovět během pár dní s téměř nulovými náklady pomocí open-source Zingly API Serveru. Jak Zingly API Server funguje a jak složité je ho nasadit? Dozvíte se v tomto webináři.
Bezpečnost Zingly a detaily protokolu PowerAuth 2.0Petr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=dwkjgkJBz6I
Proč je Zingly bezpečnější, než klasické mobilní či internetové bankovnictví? Co je to PowerAuth 2.0 a jak funguje pod pokličkou? Dozvíte se, včetně kryptografických detailů, které jste snad ani vědět nechtěli...
Prezentace QR Platby na setkání Communication Wednesday v rámci Tuesday Business Network: http://www.tuesday.cz/akce/e-komerce-v-mobilu/
Více informací o QR Platbě na http://qr-platba.cz
A talk that I recently gave to the incoming batch of Masters in Computer Science students at Columbia University about what worked and did not work for me during my internship search. I eventually ended up with 5 offers for the Summer and decided to join Spotify as a Software Engineering Intern.
A technical magazine that keeps up with the latest industry trends, communicates leading technologies and solutions, and shares stories of our customer success.
Monitoring the Cloud – Understanding the Dynamic Nature of Cloud Computing - ...Amazon Web Services
Applications running in a typical data center are static entities. The same is not true in the cloud. Dynamic scaling and resource allocation is the norm in AWS. Technologies such as EC2, Lambda, and AutoScaling make tracking resources and resource utilization a challenge. The days of static server monitoring are over.
In this session, we examine trends we've discovered in dynamic resource allocation and how AWS helps deliver those trends. We will discuss some of the best practices we've learned working with New Relic customers on how you can manage applications running in this environment and take advantage of the dynamic nature of the cloud to give you additional insights into your application performance.
Speaker: Lee Atchison, Principal Cloud Architect and Advocate, New Relic
How to use collected data in the multi-channel approach?Comarch
How to maximize the value of data gathered from loyalty programs and gamification? How to create a connected space for your customer with maximum benefits for your customer and yourself?
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?
A talk that I recently gave to the incoming batch of Masters in Computer Science students at Columbia University about what worked and did not work for me during my internship search. I eventually ended up with 5 offers for the Summer and decided to join Spotify as a Software Engineering Intern.
A technical magazine that keeps up with the latest industry trends, communicates leading technologies and solutions, and shares stories of our customer success.
Monitoring the Cloud – Understanding the Dynamic Nature of Cloud Computing - ...Amazon Web Services
Applications running in a typical data center are static entities. The same is not true in the cloud. Dynamic scaling and resource allocation is the norm in AWS. Technologies such as EC2, Lambda, and AutoScaling make tracking resources and resource utilization a challenge. The days of static server monitoring are over.
In this session, we examine trends we've discovered in dynamic resource allocation and how AWS helps deliver those trends. We will discuss some of the best practices we've learned working with New Relic customers on how you can manage applications running in this environment and take advantage of the dynamic nature of the cloud to give you additional insights into your application performance.
Speaker: Lee Atchison, Principal Cloud Architect and Advocate, New Relic
How to use collected data in the multi-channel approach?Comarch
How to maximize the value of data gathered from loyalty programs and gamification? How to create a connected space for your customer with maximum benefits for your customer and yourself?
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?
Na prvním meetup projektu hashtag#BusinessX jsme se lehce podívali na téma PSD2 bez PSD2. Mimo jiné jsme rozebírali to, jak na fázi, kdy potřebujete prototypovat, ale už byste rádi měli také reálná data. Je to možné? Co na to legislativa?
2020-12 BankID Lundegaard Digital Cafe - Filip Haering Bankovní identita a.s.Jakub Hamerník
Základní informace o spouštění bankovní identity v ČR. Co, kdy, jak. Bankovní identita má jako projekt největších českých bank s oporou v legislativě potenciál posunout digitalizaci v České republice o velký kus vpřed. Už v roce 2021. Prezentace pro webinář: Lundegaard Digital Café na téma bankovní identita, čtvrtek 3. prosince 2020.
Blockchain opportunity or threat for finance industryPetr Cermak
Short intro of Blockchain and a summary of the opportunities and possible threats of the incoming technology for the banking segment. Description of main platforms, common use cases and examples of real projects. Part of my performance at the World IT Conference on Finance in Prague 2018. In the original version in Czech
Mobilní aplikace SmartBanka, která se stala během jednoho roku o uvedení nejlepší a oceňovanou bankovní aplikací na českém trhu. Jak je postavený team,jak spolupracuje a na konkrétním příkladu ukážeme, proč je SmartBanka nejlepší... díky naslouchání klientům.
Zingly - Dopad multi-bankingu a otevřených bankovních API do obchodního fungo...Petr Dvorak
Videozáznam webináře je dostupný zde: https://www.youtube.com/watch?v=ASQl8fMYAP8
Proč banky nezkrachují poté, co vystaví otevřená bankovní API? Jaký bude mít dopad legislativa PSD2 na fungování současných bankovních kanálů? Jaký je obchodní model a kdo je cílová skupina aplikace Zingly? Proč by si měl uživatel instalovat multi-banking aplikaci?
mDevCamp 2015 - iBeacon aneb jak ochytřit vaše aplikace o kontext uživatelePetr Dvorak
Technologie iBeacon přináší zcela nové příležitosti tvůrcům aplikací pro iOS. Umožňuje totiž to, aby mobilní aplikace lépe rozumněly kontextu, ve kterém se nachází jejich uživatel. Aplikace tak mohou zobrazovat více relevantní obsah nebo urychlit akce, které v dané situaci dávají největší smysl. Na přednášce si ukážeme, jak se s technologií iBeacon programuje na platformě iOS, podíváme se na vychytávky v Estimote SDK pro iOS, a představíme si platformu Lime pro rychlou tvorbu context-aware aplikací.
Similar to Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací (20)
Czech Banks are Under Attack, Clients Lose Money.Petr Dvorak
On September 24, 2018, the clients of three major Czech banks received a major hit by a mobile malware and have money from their bank accounts stolen. What happened with the QRecorder malware? (updated version)
Innovations on Banking - Digital Banking Security in the Age of Open BankingPetr Dvorak
With PSD2, 3rd party providers are given an access to bank accounts and even have an ability to initiate payments. As a result, banks need to revise their approach to digital channel security and invest in new categories of security solutions. During the talk, we will present an overview of existing security components for digital banking that will help you harden your system security and comply with SCA under PSD2.
mDevCamp 2016 - Zingly, or how to design multi-banking appPetr Dvorak
What problems do you need to deal with when designing an app for multiple banks? How do you solve a security of such apps? And how about a user interface design and application structure? What technologies are under the hood? And what does Zingly bring to you?
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšítePetr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=RKgbUgIl6kE
PSD2 a otevřená bankovní API začala být žhavým tématem. Jaké jsou nejčastější informační šumy a které nesprávné interpretace toho, co se děje, ještě uslyšíte? Dozvíte se v tomto bleskovém webináři.
Lime - PowerAuth 2.0 and mobile QRToken introductionPetr Dvorak
PowerAuth 2.0 is an open-source solution for authentication, end-to-end encryption and secure storage for mobile banking. QRToken is a mobile token built on top of the PowerAuth 2.0 cryptography protocol.
Lime - Push notifications. The big way.Petr Dvorak
How to properly implement mobile push notifications and how to scale them big? What technologies and infrastructure is needed? Check out these slides from #mDevTalk by Avast, Etnetera and Ackee to find out.
Co musí banka udělat pro zapojení do Zingly?Petr Dvorak
Záznam webináře je k dispozici zde: https://www.youtube.com/watch?v=3v02Zd_W0PM
Co musí banka udělat pro to, aby se mohla zapojit do multi-bankingu Zingly? Ukážeme, že to není tak složité, a že náklady na nasazení potřebné infrastruktury nepřesahují několik jednotek dní práce.
Zingly is a multi-banking app for European banking - think of it as a Venmo for the Europe. An easy to use mobile app makes payments simpler than ever before, regardless of a bank you have.
Zingly uses a super secure open-source PowerAuth 2.0 protocol for authentication and transaction signing, so that user money is extra safe.
Fashiontech 2015 - iBeacon: Co to je a k čemu je to dobré?Petr Dvorak
Technologie iBeacon přináší zcela nové příležitosti tvůrcům aplikací pro chytrá zařízení. Umožňuje totiž, aby tyto aplikace lépe porozumněly situaci, ve které se nachází jejich uživatel, a podle toho jednaly. Aplikace tak mohou zobrazovat kontextově relevantní obsah a aktivně na něj uživatele upozornit jakmile se ocitne v místě, kde to dává největší smysl. Přímočaré využití tak iBeacon nachází například v “proximity marketingu” nebo při sběru cenných dat o pohybu zákazníků v rámci prodejny, či třeba jen v automatizaci a zrychlení činností, které si aplikace může dovodit z okolního kontextu.
Webinář: Co je to iBeacon a proč by vás to mělo zajímat?Petr Dvorak
Ukážu vám, co je to iBeacon a jak jej vaše společnost může využít pro různé účely, ať se jedná o propagaci značky nebo o zjednodušení života vašich klientů.
Dozvíte se například:
- Co je to iBeacon a jak funguje
- Jak je iBeacon podporován na straně mobilních zařízení
- Jaké existují alternativy k iBeacon
- Případové studie použití iBeacon ze zahraničí
- Jak můžete s iBeacon bez nutnosti vysokých nákladů začít vy
Podíl chytrých mobilních telefonů v ČR v první polovině roku 2015 byl necelých 45%, rozdělení platforem pro jednotlivé operátory vyznívá jasně - Android vede s drtivými 81,6% následovaný iOS s 11,2% a Windows Phone s 5,5%.
Virtual beacons are a budget friendly alternative to physical beacons, such as iBeacon or Eddystone beacons. They work using the location services on mobile or wearable devices - virtual beacon is tied to a GPS coordinate with given range, which is less accurate than with physical beacons (approx. 200m).
iCON DEV - iBeacon, aneb jak ochytřit vaše aplikace o kontext uživatelePetr Dvorak
Technologie iBeacon přináší zcela nové příležitosti tvůrcům aplikací pro iOS. Umožňuje totiž to, aby mobilní aplikace lépe rozumněly kontextu, ve kterém se nachází jejich uživatel.
Aplikace tak mohou zobrazovat kontextově relevantní obsah nebo urychlit akce, které v dané situaci dávají největší smysl. Na přednášce si ukážeme, jak se s technologií iBeacon programuje na platformě iOS, podíváme se na vychytávky v Estimote SDK pro iOS, a představíme si platformu Lime pro rychlou tvorbu context-aware aplikací.
Internet of Things as a Leading Trend for 2015 - Examples for Personal UsePetr Dvorak
Couple useful examples of the Internet of Things devices for a personal use. The brief introduction to the subject is followed by over 20 real world and already purchasable examples, from wearables to personal EEGs and DIY kits.
New Media Inspiration 2015 - Invisible technologies and context inside and ar...Petr Dvorak
Context-aware applications will change the way people interact with mobile devices. Technologies such as iBeacon or wearable devices will help mobile to improve user experience by delivering relevant content and actions in the best moment.
Internet už dávno není „to na stole“ a dokonce ani „to v kapse“, opravdu už je tady doba, kdy je internet všude kolem nás i na nás samotných. Co se událo v poslední době ve světě Internetu Věcí, jaké jsou trendy a co nás možná brzo čeká?
AIR BOND - Jednoduše lepší bezpečnost mobilního bankovnictví pro normální lidi.Petr Dvorak
Přívěšek na klíče AIR BOND je navržený tak, aby uživatelé mobilního bankovnictví téměř nevěděli, že jej mají u sebe. Komunikuje bezdrátově, je maličký v rozměrech, "ultra-lehký" a na baterii vydrží fungovat přibližně jeden rok. Díky moderní technologii pro bezdrátovou komunikaci navíc nevyčerpá ani baterii Vašeho telefonu.
As most people are aware, there has been an expansion in mobile banking applications in recent years. The Czech Republic is no exception to this, as nearly all banks have developed a mobile application for their modern mobile operating systems. Although different banks solve their security concepts in different ways, it is possible to discuss typical situations and problems that inevitably appear while designing mobile banking applications.
10. End-to-end šifrování
a bezpečné úložiště vznikly
jako side-efekt při návrhu
bezpečné autentizace.
“
Tyto dvě dodatečné vlastnosti,
které vznikly jako “side-efekt”
pak v případě multi-banking
aplikací hrají překvapivě zcela
zásadní roli.
14. Lze řešit různými způsoby.
Ne kompromis v bezpečnosti či UX.
Nové bezpečnostní problémy.
Nejspíš nechceme super-autoritu.
15. Problémy distribuovaného
multi-bankingu
Ideální stav je takový, že kdokoliv může
postavit aplikaci nad bankovními službami
a realizovat funkce typu “bezpečné platby”.
Multi-banking tak není koncentrovaný do
jedné centrální autority.
31. PowerAuth Server PowerAuth Server
Zingly API Server Zingly API Server
Zingly Multi-Banking Hub Server
Banka A Banka B
BankyUživatelé
PowerAuth Server
Zingly
Internetové
bankovnictví
Internetové
bankovnictví
Centrálně orchestrovaný autentizační prostředek drží
“master autentizační data”, která jsou použita pro autentizaci
a odemčení secure vaultu, který na zařízení udržuje
šifrovaná autentizační data do jednotlivých bank. Přihlášení
pak probíhá ve dvou krocích: 1) odemčení vaultu autentizací
vůči master aktivaci a odšifrování autentizačních dat
jednotlivých bank a 2) přihlášení k jednotlivým bankám.
32. Uživatelé PowerAuth 2.0 Client
PowerAuth Server PowerAuth Server
Zingly API Server Zingly API Server
Zingly Multi-Banking Hub Server
Banka A Banka B
BankyUživatelé
PowerAuth Server
Zingly
Internetové
bankovnictví
Internetové
bankovnictví
VAULT
knowledge
activation id
PIN(x)
activation id
PIN(x)
activation id
PIN(x)
knowledge knowledge
35. Data z bankovního API
jsou radioaktivní odpad
který nikdo nechce
skladovat.
“
36. S bankovními daty by měli nakládat pouze
lidé, kteří jsou na to dobře vybaveni, mají
adekvátní dress code a jsou za to dobře
placeni. Čili bankéři…
38. Replika - Startup A
Databáze - Banka
Cloud - Startup B
Záloha na Dropboxu
Startup C
Bankovní API
🔒
🔒
🔒
🔒
Pokud tato data
následně vystaví
pomocí API, očekává
se, že je zabezpečí i
všechny ostatní služby.
39. Replika - Startup A
Databáze - Banka
Cloud - Startup B
Záloha na Dropboxu
Startup C
Bankovní API
🔒
🔒
🔒
🔒
Tento náklad se
následně “nerozpočítá”
- celkové náklady se
sčítají, všichni musí
investovat do ochrany
dat.
40. Replika - Startup A
Databáze - Banka
Cloud - Startup B
Záloha na Dropboxu
Startup C
Bankovní API
🔒
🔒
💀
🔒
Pokud se následně
objeví jeden hříšník,
který data neuchrání, je
ochrana dat zmařena.
Historie plateb se nedá
revokovat…
41. Replika - Startup A
Databáze - Banka
Cloud - Startup B
Záloha na Dropboxu
Startup C
Bankovní API
💀
💀
💀
💀
V podstatě je to tak, že
dojde ke ztrátě dat,
která chrání všechny
replikujícíc služby.
42. Replika - Startup A
Databáze - Banka
Cloud - Startup B
Záloha na Dropboxu
Startup C
Bankovní API
💀
💀
💀
💀
A násobně investované
prostředky se
nenávratně ztratí…
43. Jeden “nešika” to kazí všem.
Náhodně umístěné repliky dat.
Drahé, neefektivní.
Nemožnost kontrolovat svá data.
45. Cena za 1 MB úložiště ($)
0
0,008
0,015
0,023
0,03
1998 2000 2002 2004 2006 2008 2010 2012 2014
$0.0000283
http://www.jcmit.com/disk2015.htm
Uložiště jsou velmi
levná, v čase cena
radikálně klesla.
47. Banka bude fungovat jako
bezpečná finanční databáze,
nebude nutné replikovat data
v jednotlivých službách.
— odvážná predikce
“
Banku si představte jako
“lokální tabulky” vaši databáze
zprostředkované přes API.
48. Služby, které dnes replikují
data budou umět fungovat
na vyžádání, v reálném čase
a za kontroly uživatele.
— odvážná predikce
“
Tato data si pak služby 3. stran
budou moci kdykoliv vyžádat, bez
nutnosti replikace dat. Ukládat pak
budou muset nejvýše autentizační
data, která jsou ale revokovatelná.
49. Banka A
BankyUživateléZingly
Příklad:
On-demand PFM
1. Aplikace si stáhne data z více bank,
data jsou chráněna E2E šifrováním.
2. Aplikace si odšifruje data,
uživatel označí data, která chce
odeslat k analýze.
3. Data se odešlou k real-time
analýze do cloudové služby, zpět je
vrácena analýza. Data se neukládají.
PFM Engine
🔒
Banka B
🔒
🔒
Zingly Multi-Banking Hub Server
🔒 🔒
PFM
=
personal finance
management