OP vakuuttaa, ettei pankkisalaisuuden alaista tietoa päädy ulkopuolisille, vaikka se käyttääkin ulkomaista analytiikkapalvelua.

OP:n asiakas huomasi epäilyttävää toimintaa verkkopankin taustajärjestelmässä. Pankki itse vakuuttaa, etteivät tiedot joudu seurannan kautta vääriin käsiin. ANTTI NIKKANEN

OP-pankin verkkopalvelun käyttämistä seurantalinkeistä nousi keskustelua viikonloppuna verkkokehittäjien Stack Exchange -palvelussa. Käyttäjän kirjautuessa sisään palvelu ottaa yhteyttä kolmeen Adoben omistamaan, ulkopuoliseen verkko-osoitteeseen.

Voisiko ulkopuolinen taho kerätä näin verkkopankin käyttäjien yksityistietoja?

Tietohallintojohtaja Juho Malmberg kertoo Tiville, että OP:n näkemyksen mukaan syytä huoleen ei ole.

- Mitään tunnistettavia henkilötietoja tai pankkisalaisuuden alaista tietoa ei liiku palvelusta ulos, hän toteaa.

OP:lla on käytössään Adoben Analytics-analytiikkapalvelu sekä kohdennukseen tarkoitettu Adobe Target. Työkalujen avulla hankitaan käyttötietoja sekä pyritään kohdistamaan palveluita paremmin eri asiakasryhmille. Kaikki tieto on anonymisoitua, eli yksilöitävistä asioista riisuttua.

Asian suhteen paranoidi

Stack Exchangessa käydyssä kehittäjäkeskustelussa nousi esiin huolta siitä, että kolmannen osapuolen komentosarjojen ajaminen voisi aiheuttaa verkkopankissa jopa vakavan turvallisuusuhkan.

Malmberg toteaa, että pankin näkemyksen mukaan riskiä ei ole.

- Meillä kolmas osapuoli auditoi palveluita säännöllisesti, eikä riippumattomissa arvioinneissa ole noussut mitään huomautettavaa. Olen luottavainen, että asia on tietoturvan kannalta kunnossa, hän rauhoittelee ja toteaa, että analytiikkapalveluiden käyttö on tapana myös finanssialalla.

- Totta kai tietoturva pitää huomioida todella tarkkaan ja olla asian suhteen jopa paranoidi, hän kiittelee.

Iltalehdelle Malmberg vielä täydentää, että pankki on erittäin ylpeä asiakkailtaan tulevasta tietoturvapalautteesta.

- Tietoturva-ala elää niin nopeasti, että täytyy olla nöyränä siitä, kun ihmiset siitä meitä huomauttavat. Kaikki vinkit, mitä asiakkailta tulee, otetaan vakavasti.

Samankaltainen tapaus

OP:n tapaus muistuttaa vuonna 2015 esiin tullutta S-Pankin tapausta, jossa Google Analyticsin käyttö herätti samanlaisia huolia. Tuolloin pankki kiisti arvelut arkaluonteisten asiakastietojen valumisesta ulkopuolisille.

Tietoturva-asiantuntijat kuitenkin osoittivat, että todellisuudessa Analyticsille liikkui muun muassa käyttäjän tilinumero sekä maksujen arkistointitunnus, jotka kuuluvat pankkisalaisuuden piiriin. Tiedot olivat toki salatussa muodossa, eikä niitä pystynyt yksilöimään ilman yhdistämistä muihin tietoihin.

OP:n Malmberg vakuuttaa, ettei OP:n tapauksessa kolmannelle osapuolelle, eli Adoben analytiikkapalveluun, lähetetä mitään pankkisalaisuuden alaisuudessa olevia tietoja.

LÄHDE: TIVI