Tijdens de Money 20/20 beurs in de Amsterdam RAI spraken we met OneSpan, een bedrijf dat beter bekend staat als VASCO. Recent maakte het bedrijf deze naamswijziging bekend. Daarnaast werd er het bedrijf Silanis overgenomen. Hiermee kan OneSpan nu ook risicoprofielen leveren aan banken voordat iemand klant is. Verder presenteerde het bedrijf zijn nieuwe OneSpan Trusted Identity platform.
Onder het VASCO-label heeft het beveiligingsbedrijf zich opgewerkt tot een trouwe partner van menig bank. VASCO was in staat om zowel hardwarematige als softwarematige oplossingen te leveren waarmee banken risicoanalyses van de klant kunnen maken. VASCO kan ook de transacties bij banken authenticeren, bijvoorbeeld via een SMS-code of biometrische beveiliging.
Nieuwe strategie met OneSpan Trusted Identity
Met de naamswijziging en de meest recente overname slaat het bedrijf een nieuwe weg in. OneSpan gaat zich meer richten op SaaS-diensten, want ook in de beveiligingsmarkt ligt daar een grote toekomst. De naam OneSpan is gekozen omdat het bedrijf een totaaloplossing wil bieden via de OneSpan Trusted Identity (TID)-oplossing. OneSpan wil één zijn met de klant (One) en daarmee samen een brug bouwen (Span).
Verder tracht OneSpan beveiliging vooral te benaderen vanuit het positieve. Standaard wordt er vanuit gegaan dat een transactie of een klant goedaardig is. Tenzij er serieuze aanwijzingen zijn dat er een risico is. Met de OneSpan Trusted Identity (TID) levert het bedrijf een SaaS-oplossing die volledig in de cloud draait en gebruikmaakt van OneSpan-technologie gecombineerd met AWS-technologie zoals eSign. De oplossing wordt dan ook enkel en alleen aangeboden vanuit de AWS-cloud.
Binnen de TID-cloud zijn diverse toepassingen beschikbaar waar banken gebruik van kunnen maken. De basis is natuurlijk de riskmanager waarmee klanten in kaart worden gebracht en er een risicoprofiel kan worden gemaakt rondom een klant of een transactie. De uiteindelijke transactie kan iets simpels zijn als een betaling, maar ook het tekenen van een contract.
Zuivere ja of nee
Het systeem levert een zuivere ja of nee aan het systeem van de bank, zodra er informatie wordt opgevraagd over een klant of een transactie. Bij het verifiëren van een transactie kan het ook voorkomen dat het TID besluit dat er extra verificatie nodig is. Bijvoorbeeld bij een contactloze betaling kan alsnog om een pincode of een vingerafdruk worden gevraagd. Dit doet het systeem als het de transactie niet helemaal vertrouwt, om te verifiëren dat de juiste persoon de transactie doet. Het systeem is door de bank naar wens af te stellen. Het systeem werkt op basis van een risicoscore en de bank bepaalt vanaf welke score het een ja of nee is. Natuurlijk voorziet OneSpan in begeleiding en advies waar die grens ongeveer moet liggen. Dit is mede afhankelijk van de wensen en eisen die de bank stelt, of mogelijk zelfs op basis van kredietlimieten van de klant.
Het TID is een multi-tenant omgeving waar meerdere banken op aangesloten kunnen worden. Voor het maken van het risicoprofiel worden allerlei gegevens gebruikt, gecombineerd met machine learning en kunstmatige intelligentie. Wel is de data altijd in bezit van de klant, oftewel de bank. Na het maken van de risicoanalyse wordt de data direct weer gewist.
Risicoprofiel
OneSpan wil niet teveel zeggen over hoe het TID een risicoprofiel opbouwt en met welke factoren er allemaal rekening wordt gehouden. Wel is duidelijk dat dit profiel mede tot stand komt in samenwerking met de banken. Vragen om inzicht in de data en technologie levert een wat moeizaam gesprek op. Een van de zaken die we los hebben weten te krijgen is dat in mobiele apps van alles wordt gemeten. Hierbij kun je denken aan hoe hard iemand op het scherm drukt, hoe de gebruiker typt en in welke context de app het meest wordt gebruikt. Als er vervolgens een afwijking wordt gevonden in dit gedrag zal een mobiele bankapp vragen om extra verificatie.
Ondanks dat we maar beperkt inzicht konden krijgen in de techniek zijn we er wel van overtuigd dat OneSpan iets heeft ontwikkeld dat kennelijk goed werkt, want het bedrijf heeft genoeg klanten. We hebben begrepen dat OneSpan 10.000 klanten heeft waarvan 2000 banken. Het invoeren van een feature als SMS-verificatie stelt qua programmeerwerk niet heel veel voor. De risicoanalyses die OneSpan kan bieden geven waarschijnlijk de doorslag bij banken om met OneSpan in zee te gaan.
OneSpan Sign
De overname van Silanis met het e-SignLive platform vult een gat in waar OneSpan nog niet actief was. Silanis e-SignLive zal verder gaan onder de naam OneSpan Sign. Via dit product kan iemand klant worden van een bank of een lening of krediet aanvragen. Dit onboarden is waar Silanis in is gespecialiseerd. Op basis van de beschikbare gegevens, in combinatie met de juiste bronnen, ontstaat er een risicoanalyse waar de bank op kan vertrouwen. Hierbij dient de klant bij het invullen van zijn gegevens bijvoorbeeld ook nog een kopie van zijn identiteitsbewijs aan te leveren, om te verifiëren dat de klant is wie hij zegt dat hij is. Dit maakt onderdeel uit van het maken van een risicoprofiel. Ook werkt OneSpan Sign samen met partners voor het vergaren van data, bijvoorbeeld met Equifax. Zij houden kredietwaardigheidsprofielen bij van mensen.
Voor nu is het goed om te zien dat een beveiligingsbedrijf met een sterke vertegenwoordiging in Nederland en België het goed doet en ook de weg naar de cloud heeft gevonden.