Fermer

mars 17, 2021

Bâtir la confiance avec les fonctionnalités de sécurité Fintech11 minutes de lecture



Compte tenu de la fréquence à laquelle la fintech est ciblée par les pirates, il n'est pas surprenant que les consommateurs se méfient de leur utilisation. Mais si votre client a assuré la sécurité de son côté, vous pouvez concevoir l'application pour montrer aux utilisateurs à quel point elle est vraiment sécurisée. Voici neuf fonctionnalités de sécurité que vous devriez utiliser.

L'adoption de la Fintech pourrait croître plus rapidement que prévu grâce aux événements de 2020… Mais ce n'est pas parce qu'il y a une demande croissante pour les technologies de financement mobile que cela ne signifie pas que les utilisateurs de la Fintech doivent être mis de côté leurs préoccupations en matière de sécurité et de confidentialité.

Ces inquiétudes sont toujours là – et pour de bonnes raisons.

Rien qu'en 2020, Finastra a été frappée par une attaque dévastatrice de ransomware 2 000 comptes Robinhood ont été attaqués et La violation de données de Dave a touché 7,5 millions d'utilisateurs .

L'utilisation abusive des données est également une préoccupation valable. 90 consommateurs ont déposé une plainte contre Klarna pour avoir utilisé leurs données alors qu'ils ne leur avaient jamais donné la permission de le faire.

Désormais, même si votre client est très exigeant en matière de sécurité des applications, prétendre que l'application est sécurisée sur la page de destination du site Web ou sur la liste de l'App Store peut ne pas faire grand-chose pour susciter la confiance des utilisateurs.

Les consommateurs ne pourront peut-être pas inspecter votre code ou vos systèmes ou même savoir quoi chercher. Cependant, ils savent à quoi cela ressemble sur le frontend lorsqu'ils interagissent avec une application bien sécurisée. Et c'est pourquoi les applications Fintech doivent être conçues avec des fonctionnalités de sécurité.

Aujourd'hui, nous allons examiner neuf de ces fonctionnalités et quelques bons exemples de leur implémentation:

1. Utilisez HTTPS sur votre site Web

De nombreuses applications fintech sont promues en dehors des magasins d'applications. Si le vôtre possède son propre site Web, saisissez cette opportunité pour faire bonne impression en termes de sécurité avec un certificat SSL.

Voici à quoi il ressemble dans l'onglet du navigateur lorsque vous visitez le site Web de Kabbage :

 Le site Web Kabbage a un certificat SSL installé, de sorte qu'il fonctionne sur HTTPS.

Le symbole de verrouillage et HTTPS avant le nom de domaine nous indiquent que ce site Web est sécurisé. Les visiteurs peuvent même ouvrir les détails du domaine et consulter les informations du certificat SSL.

Désormais, si les visiteurs ne connaissent pas ou ne prennent pas la peine de regarder l'URL, c'est très bien. Le certificat SSL donne à votre site Web une longueur d'avance sur les concurrents qui n'en utilisent pas. C’est parce que la sécurité, en particulier le HTTPS, est l’un des signaux de classement de Google.

Cela en vaut donc la peine dans tous les cas.

2. Ajouter un avis GDPR

Ceci est quelque chose que vous devez inclure dans tous les sites Web ou applications qui collectent des informations auprès des utilisateurs, aussi mineure que cela puisse paraître. Ainsi, si le site Web génère des prospects ou permet aux utilisateurs de s'inscrire, il devrait y apparaître.

Il peut également accéder à votre application. Voici à quoi cela ressemble dans l'application Xoom (ainsi que dans toutes les autres applications PayPal):

 Xoom affiche une note collante au bas de son application. Il informe les utilisateurs sur la façon dont il utilise les cookies pour améliorer l'expérience et permet aux utilisateurs d'accepter les conditions en cliquant sur «Oui, accepter les cookies».

Si votre application utilise des cookies pour stocker les données des utilisateurs, pour personnaliser leur expérience ou pour restaurer leur session à l'avenir, alors vous devez obtenir leur consentement pour le faire.

Dans le cas de Xoom, il explique brièvement comment les cookies améliorent l'expérience dans l'application. Les utilisateurs peuvent soit accepter les cookies, soit cliquer sur «En savoir plus et gérer vos cookies» pour mettre à jour leurs paramètres de suivi.

Offrir des options de personnalisation des cookies est une bonne idée si vous souhaitez instaurer une plus grande confiance dans votre utilisateurs.

3. Gestion de la sécurité et de la confidentialité lors de l’intégration

L’un des problèmes de nombreuses applications fintech est qu’elles ne traitent ni de la sécurité ni de la confidentialité tant que les utilisateurs ne se sont pas déjà inscrits. Même dans ce cas, les informations sont généralement stockées dans un menu secondaire.

Plutôt que d'attendre jusqu'à après l'inscription, commencez à aborder la question de la sécurité pendant le processus d'intégration .

Zelle gère cela très bien:

 La première étape du processus d'intégration de Zelle demande aux utilisateurs d'entrer leur numéro de mobile. Les liens vers les conditions d'utilisation et la politique de confidentialité se trouvent en bas.

Pour tous ceux qui se demandent pourquoi leur numéro de téléphone est nécessaire et comment sortir des communications SMS, Zelle fournit une brève explication sous le champ Numéro de portable. [19659003] Il comprend également des liens vers sa politique de confidentialité et ses conditions d'utilisation au bas de la page au cas où les utilisateurs voudraient en savoir plus.

Même si les utilisateurs ignorent ces liens, Zelle ne laisse pas ces informations importantes sur la sécurité passer inaperçues . Voici l'écran suivant que les utilisateurs verront:

 Le processus d'intégration de Zelle comprend un écran dédié à la confidentialité et à la sécurité, répondant aux questions «Comment Zelle utilisera-t-il mes données?» Et «Comment puis-je protéger mon argent?» Les utilisateurs sont doivent consentir aux politiques avant de continuer.

Zelle aborde la question de la sécurité et de la confidentialité d'une manière concise et facile à lire. Il fournit également des liens utiles en cours de route au cas où les utilisateurs ne seraient toujours pas convaincus.

Avant d'entrer dans l'application, les utilisateurs doivent consentir aux politiques de sécurité, ce qui, à mon avis, est une décision judicieuse. Cela oblige les utilisateurs à réfléchir à quelque chose qui pourrait autrement être facilement écarté ou ignoré… C'est-à-dire jusqu'à ce que quelque chose arrive à leurs données qu'ils n'aiment pas.

4. Encouragez des mots de passe plus forts

Bien que vous ne puissiez pas forcer vos utilisateurs à créer un mot de passe unique pour votre application, vous pouvez vous assurer que celui qu'ils choisissent est difficile à déchiffrer.

Ce que j'aime dans la façon dont Truebill Gère cela, c'est que son indicateur de force de mot de passe utilise la couleur:

 Pendant le processus d'inscription à Truebill, les utilisateurs sont invités à créer un mot de passe. Lorsqu'ils entrent des caractères dans le champ caché par défaut, l'indicateur de force du mot de passe passe du rouge au jaune au vert.

Nous savons que les gens ont un lien émotionnel avec la couleur. Ainsi, quand ils commenceront à remplir le champ de mot de passe caché avec leurs caractères, ils regarderont la barre d'indicateur passer du rouge (faible) au jaune (d'accord) au vert (fort).

C'est un bon moyen de les encourager pour ajouter plus de caractères et les mélanger avec des chiffres, des majuscules et des symboles.

5. Incluez 2FA / MFA

Les mots de passe forts ne sont pas totalement à l'abri du piratage, même s'ils sont propres à votre application.

Pour renforcer la sécurité de vos utilisateurs, permettez-leur d'activer l'authentification à deux facteurs (2FA) ou l'authentification multifacteur (MFA) lors de l'inscription ainsi qu'à partir de leurs paramètres.

Il existe une variété d'options que vous pouvez leur donner:

Xoom en a deux. Le premier est un code à six caractères envoyé à l’appareil mobile de l’utilisateur:

 Il s’agit de l’écran de vérification de l’authentification à deux facteurs Xoom. Une fois qu'un utilisateur s'est connecté, il doit demander un code à six caractères, le récupérer de ses messages mobiles et le saisir dans le champ.

Il récupère le code de ses messages et dispose de 10 minutes pour le saisir dans

L'autre option 2FA est une connexion biométrique:

 Les utilisateurs de Xoom peuvent remplacer le processus de connexion traditionnel en activant la connexion biométrique à partir de leurs paramètres.

Cette option prend la connexion biométrique de l'utilisateur à partir de son téléphone, comme une empreinte digitale ou un identifiant de visage, et remplace le processus de connexion Xoom traditionnel par elle.

Une autre option MFA est le mot de passe. Mint offre celui-ci à ses utilisateurs:

 Mint permet aux utilisateurs de définir un mot de passe pour renforcer l'accès à l'application et à leurs données.

Les utilisateurs doivent toujours se connecter en tant que habituel. Cependant, avant de pouvoir accéder à l’application, ils doivent fournir un code à quatre ou six chiffres qu’ils ont eux-mêmes créé.

6. Activer le contrôle de la confidentialité

Chaque application mobile doit avoir une section dédiée aux questions de sécurité. C’est une évidence. Cependant, s'il existe un moyen de permettre à vos utilisateurs de contrôler certains des paramètres de sécurité et de confidentialité les plus flexibles, cela contribuerait certainement à renforcer leur confiance.

Mint, par exemple, inclut ce paramètre sous Confidentialité et sécurité:

 Mint permet aux utilisateurs de décider s'ils souhaitent voir des publicités tierces personnalisées dans l'application en fonction de leurs données.

Il n'est pas rare que les applications mobiles gagnent de l'argent en exécutant des tiers les publicités. Cependant, ce qui est rare, c'est que les applications mobiles donnent aux utilisateurs la possibilité de décider s'ils souhaitent partager leurs données afin que ces annonces puissent leur être personnalisées.

7. Avertir les utilisateurs de la sécurité tierce

Comme d'autres types de logiciels professionnels ou de productivité, les applications de technologie financière doivent parfois se connecter à d'autres plates-formes pour être utiles aux utilisateurs.

Prenons, par exemple, Truebill :

 Truebill utilise Plaid pour crypter la connexion entre son application et les institutions financières de ses utilisateurs.

Cette application de gestion de l'argent permet à ses utilisateurs de se connecter à leurs institutions financières, sociétés de cartes de crédit et autres services pertinents. Sans cette intégration, les utilisateurs devraient enregistrer manuellement leurs dossiers financiers.

Non seulement Truebill fournit des assurances sur la sécurité et la confidentialité de ce transfert de données, mais il ne nomme pas Plaid . De cette façon, les utilisateurs peuvent rechercher la société qui gère réellement la connexion.

Chaque fois que vous pouvez offrir ce niveau de transparence, prenez-le. Vos utilisateurs vous en seront reconnaissants.

8. Inclure les sceaux de confiance dans les zones clés de l'application

Le logo de Plaid est un type de marque ou de sceau de confiance. Mais il y en a d'autres que vous pourriez inclure dans votre application.

ItsDeductible —comme d'autres applications Intuit — inclut une marque de confiance TRUSTe dans la zone Paramètres de l'application:

 ItsDeductible comprend une section sous Paramètres dédiée à sa certification de confidentialité TRUSTe.

Les utilisateurs peuvent cliquer pour en savoir plus sur la certification de confidentialité et sur la manière dont elle contribue à protéger leurs données.

C'est, bien sûr, quelque chose à conserver esprit. Souvent, ce que nous voyons sur les sites Web, par exemple, sont des marques de confiance pour des produits comme McAfee, Norton et BBB. Mais ce ne sont que des logos. Si vous pouvez préciser ce que signifie exactement le sceau de confiance, cela aura un impact plus important sur la confiance de vos utilisateurs.

9. Envoyer des notifications fiables

Enfin, configurez votre application pour envoyer des notifications push et des e-mails liés à la sécurité. Mieux encore, permettez à vos utilisateurs de décider des types de questions de sécurité dont ils veulent être informés et de l'endroit où ils souhaitent les recevoir.

Lors de la configuration de la messagerie pour eux, assurez-vous que leur provenance et ce dont ils ont besoin faire avec le message.

Par exemple, doivent-ils vérifier qu'ils sont connectés? Cet e-mail PayPal me fait simplement savoir qu'un appareil non reconnu s'est connecté à mon compte:

 Le nouvel e-mail de connexion PayPal avertit les utilisateurs des connexions associées à des appareils non reconnus. Il fournit l'appareil, le navigateur et la version ainsi que la date de connexion pour aider à vérifier l'activité.

Je n'ai aucune action à effectuer tant que les détails fournis correspondent à ma propre activité. Sinon, PayPal m'aide à franchir les étapes suivantes.

Que diriez-vous d'envoyer des codes de sécurité? Pendant que je testais des applications pour cet article, j'en ai reçu un grand nombre:

 Notifications push de sécurité de Discover Bank, Bank of America, Wealthfront, PayPal et Stripe.

Vous pouvez voir la variation des notifications push que j'ai reçues de différentes applications:

  • La première est arrivée sans identification. Alors que je savais à quelle application il appartenait à l'époque, je n'ai aucune idée maintenant que j'y repense.
  • Discover Bank m'a envoyé un code à six caractères pour confirmer que c'était moi qui essayais d'entrer. [19659082] Bank of America a fait de même. Il a également fourni des conseils utiles sur ce qu'il faut faire avec le code et quand lui faire confiance.
  • Wealthfront m'a envoyé un SMS pour confirmer que j'avais activé 2FA lors de l'intégration.
  • PayPal m'a envoyé un code de sécurité à six caractères et m'a donné 10 minutes pour l'utiliser.
  • Stripe m'a également envoyé un code de sécurité et m'a rappelé de ne pas le partager.

Il existe clairement différentes manières de gérer les notifications 2FA. Mais je pense qu'inclure le code avec des rappels utiles mettra vos utilisateurs à l'aise lorsqu'ils l'utiliseront.

Conclusion

Dès la seconde où vos utilisateurs ouvrent votre application, la sécurité et la confidentialité de leurs données ne devraient jamais leur traverser l'esprit . Sauf peut-être pour penser à quel point ils se sentent plus sûrs de se connecter avec MFA que celui qu'ils utilisaient auparavant et qui ne l'avaient pas.

C'est le travail de l'entreprise de créer une application sécurisée pour ses utilisateurs. Cependant, vous allez également jouer un rôle important à cet égard. Si votre conception et ses fonctionnalités peuvent indiquer aux utilisateurs que leurs données sont en sécurité, ils se sentiront plus confiants et positifs quant à leur expérience au sein de l'application.




Source link

0 Partages