We were Gents and Wijs, but now you can call us Duke & Grace.

2Ghent

Foreestelaan 1
9000 Ghent

Brussels

Antwerpselaan 40
1000 Brussels

Deze post is gearchiveerd.

Ga naar onze recente blogposts


9 maart 2015 - Story

Security in de financiële sector

Onlangs verscheen er in het nieuws dat de beveiliging van websites bij banken niet helemaal optimaal is. Security is voor ons héél belangrijk en dat was ook zo voor de nieuwe website van Febelfin Academy, een speler in de financiële markt. Verder in dit artikel beschrijven we hoe we het project aangepakt hebben en gekomen zijn tot een goed beveiligde website waarbij performantie ook een must was.

Teamwork over bedrijfsgrenzen heen


Meerdere partijen

Voor dit project moesten we met meerdere partijen samenwerken. We hadden de klant, een extern systeem, hosting partner en onszelf. Voordat we aan het project begonnen, hebben we op regelmatige basis overleg gehad tussen alle partijen. Hierbij werkten we een aanpak uit voor het project en stelden we flows en afspraken op.

Na het vele overleg kregen we een goed beeld van hoe de structuur van het project er zou uitzien. Zo moesten we rekening houden met drie websites die data ophalen uit een algemene API die op zijn beurt gevoed wordt door het externe systeem. Dat systeem is waar alle data van de website beheerd wordt.

Van in het begin van het project werd over security gesproken en werd het meteen duidelijk dat iedere partij zijn inspanning zou moeten leveren om dit alles te verwezenlijken. Zo moest de API en het externe systeem volledig afgeschermd worden.

Datastructuur

Na de start van het project hebben we als eerste de datastructuur opgesteld en dit in gelijke lijn met het externe systeem. Dit heeft ons geholpen om een globaal beeld te krijgen over de hoge complexiteit van dit project.

Performantie is voor ons één van de belangrijkste musts van een project. Doordat we een goed beeld kregen van de complexiteit van dit project, wisten we waar we de nodige aanpassingen moesten doen om alles zo vlot mogelijk te laten werken. Zo implementeerden we Elasticsearch en varnish om de performantie van de website een serieuze boost te geven.

Ook de vele flows werden besproken en daar werd duidelijk hoe alle systemen binnen het project de data met elkaar kunnen uitwisselen.


Financiële sector = focus op security

Alles dient zo veilig en efficiënt mogelijk te verlopen. Daarom werkt onze API met gebruikers die zich bij iedere request moeten authenticeren. Vervolgens zorgden we ervoor dat de API enkel voor de nodige partijen beschikbaar was.

WSSE Security

Om de API te beveiligen werken we met verschillende gebruikers en hebben we geopteerd om gebruik te maken van WSSE security. Deze manier laat het toe dat de gebruiker zich iedere keer moet authenticeren voordat er data kan opgehaald of aangepast worden.

Dit type van security maakt gebruik van extra gecodeerde data die mee verstuurd wordt bij elke request naar de API. De API zal vervolgens op zijn manier deze data decoderen en de gebruiker al dan niet toegang verlenen om data op te halen of aan te passen.

IP restrictie

We kozen ervoor om nog een extra beveiliginsniveau toe te voegen aan de API en pasten IP-restrictie toe. Hierdoor is het enkel mogelijk om vanaf het extern systeem de API aan te spreken.

HTTPS

Aangezien we met persoonlijke gegevens werken, hebben we https over de hele website toegepast. Dat gaf wat complicaties met Varnish (caching). Dankzij de nauwe samenwerking die we hebben met onze hostingpartner zijn we er samen in geslaagd om toch de volledige website op HTTPS te laten draaien zonder in te boeten op performantie.

 

Monitoring en opvolging

We maken gebruik van veel systemen, dus we voegden extra logging toe die continu getoond wordt op een monitoring scherm.

Kort samengevat betekent dit dat alles geregistreerd wordt en dat we bijgevolg terug in de tijd kunnen om eventuele problemen uit te klaren. Zo kunnen we zien welke gebruiker welke actie uitvoert of merken we zelfs een poging tot inbraak op.

 

 

 

Tim Vermaercke

Tim Vermaercke

Software Engineer

Share this insight on

It's time to stop scrolling and start making.

Let's get in touch

Call us +32 9 335 22 80