Temat: Automatyczny import z banku

Dostałem pytanie czy zamierzamy wprowadzić automatyczny import danych, czyli taki gdzie serwis sam łączy się z bankiem i ściąga dane z kont bankowych użytkownika.

Takie rozwiązanie wymagałoby podania w serwisie loginu i hasła do banku. Są to dane bardzo wrażliwe i wymagają gwarancji bezpieczeństwa: jeżeli ktoś je przechwyci, ma przecież dostęp do konta z pełnymi prawami (np. przelewy wychodzące)

Przed uruchomieniem benefi robiliśmy analizę, czy ludzie będą skłonni wprowadzać swoje hasła i loginy do banków w ramach innych serwisów (niż strona internetowa swojego banku). Wszyscy stukali się w czoło mówiąc że 'w życiu'.

Na razie nie chcemy w benefi takiego mechanizmu 'automatycznego importu' wdrażać, dlatego że spora większość użytkowników nie zgadza się podawać swoich haseł do banków. Tu chodzi nie tylko o kwestie techniczne bezpieczeństwa, ale również o 'poczucie bezpieczeństwa'.

W benefi użytkownik ma pełną kontrolę nad tym co 'wchodzi' do serwisu, dlatego że może obejrzeć plik importu transakcji z banku przed jego wczytaniem. może go również wyedytować jeżeli chce niektóre rzeczy usunąć.

Taki mechanizm spodobał się użytkownikom i taki wdrożyliśmy.

Grupa Omnigence uruchomiła serwis kontomierz_ który obrał rodzaj automatycznego importu danych z banku, wymagający wprowadzenia loginu i hasła bankowego do specjalnego apletu. Będę z uwagą obserwować rozwój serwisu i to czy ludziom podoba się takie rozwiązanie.

Jeżeli okaże się, że użytkownicy chcą automatycznego importu i są skłonni wprowadzać login i hasło, to oczywiście wdrożymy takie rozwiązanie.Tomasz Zienkiewicz edytował(a) ten post dnia 16.04.09 o godzinie 18:15

Temat: Automatyczny import z banku

Faktycznie, taka funkcjonalność jest bardzo ryzykowna.

W przypadku stwierdzonego włamania na konto bankowe, pierwszy trop i niesłuszne oskarżenie poprowadzi do benefi.pl - niezależnie od tego skąd potencjalny włamywacz weźmie login/pass do konta.

Nawet jeśli udowodnisz, że to nie był wyciek danych z benefi.pl to i tak "zły szum" pozostanie. Wg. mnie zysk nie warty ryzyka...

M/

Temat: Automatyczny import z banku

Polecam artykuł Michała Kisiela gdzie sygnalizuje problem prawny rozwiązania:

http://blog.finnovation.pl/2009/04/kontomierz-wystarto...

Zastanawiająca jest także sytuacja prawna osoby, która skorzysta z agregatora rachunków. Cytuję ustawę o elektronicznych instrumentach płatniczych, artykuł 32:

1. Posiadacz jest obowiązany do nieujawniania informacji o działaniu elektronicznego instrumentu płatniczego udostępnionego w ramach umowy o usługi bankowości elektronicznej, których ujawnienie może spowodować brak skuteczności mechanizmów zapewniających bezpieczeństwo zlecanych operacji.
2. Posiadacza obciążają operacje dokonane przez osoby, którym udostępnił informacje, o których mowa w ust. 1. Przepisy art. 28 stosuje się odpowiednio.

rozwiązanie przyjęte przez Benefi jest pod tym względem bezpieczne. Tu loginów i haseł użytkownik nigdy nie podaje. właściwie może pozostać anonimowo. do rejestracji wymagany jest jedynie działający mail, a taki można założyć na różnych darmowych serwisach.