VASCO wil groeien als identity aggregator
VASCO mag dan vooral bekend zijn als ontwikkelaar en leverancier van authenticatie-tools voor banken, het bedrijf ziet ook veel kansen in sectoren als eCommerce en gaming. Hierbij is een hoofdrol weggelegd voor MyDigipass.com, een set van tools waarmee bedrijven zelf kunnen bepalen hoe zij zekerheid willen verkrijgen over de identiteit van een online-klant.
VASCO is vooral bekend geworden dankzij de zogeheten ‘random readers’ die banken als Rabo in gebruik hebben. Deze banken stellen de apparaatjes aan klanten ter beschikking, zodat deze op een veilige manier financiële transacties kunnen doen. “We hebben inmiddels meer dan 200 miljoen van dit soort random readers uitgeleverd”, vertelt COO en president Jan Valcke van VASCO. “Hoewel vrijwel geen enkele concurrent van ons nog dit soort apparaatjes levert, produceren wij er nog altijd 100.000 per dag. Wij zien dan ook nog steeds een gezonde vraag naar hardwarematige Digipassen.”
Basis voor trust
Bij gebruik van een Digipass maakt de bank gebruik van het feit dat de identiteit van zijn klant reeds officieel geverifieerd is. “In sommige landen gebeurt dat via een DigiD-achtige methode van de overheid. In andere gevallen stelt een bank zelf bij het openen van een bankrekening de identiteit van een klant formeel vast. Daarmee weten we dus reeds wie de klant is, zodat we bij bijvoorbeeld een financiële transactie ons verder kunnen concentreren op de vraag of de betaler inderdaad de persoon is die hij of zij beweerd te zijn.”
In de goed gereguleerde wereld van overheden en financiële instellingen biedt deze met zekerheid vastgestelde identiteit een goede basis om de ‘trust’ te regelen die nodig is om bijvoorbeeld een online overboeking te kunnen doen. “Er bestaan echter ook veel situaties waar we niet met een dergelijke authenticatie kunnen werken”, vertelt Valcke. “Denk aan een webshop waar een bestaande of nieuwe klant een bestelling wil plaatsen. Of kijk naar een online game-site. In dat soort gevallen kunnen we geen gebruik maken van een vooraf officieel vastgestelde identiteit. Toch wil de eigenaar van die eCommerce- of gaming-site zekerheid hebben over de identiteit van zijn klant. Daar hebben we een andere methode voor moeten ontwikkelen, die we ook wel ‘identity aggregation’ noemen.”
Parametrisering
Bij deze manier van werken moet de juistheid van de identiteit die een klant of bezoeker opgeeft stap voor stap worden opgebouwd. Valcke spreekt in dit verband van ‘parametrisering’. “De exploitant van een webshop kan aan de hand van een hele lijst van parameters met een steeds grotere mate van zekerheid inschatten of de identiteit van een klant klopt. Die parameters hebben betrekking op tal van aspecten. Denk aan het land van waaruit de klant de webshop benadert. Heeft de klant al eerder een aankoop gedaan? Verliep die transactie zonder problemen? Gebeurde dat vanaf hetzelfde IP-adres en apparaat? Ook is het mogelijk om bijvoorbeeld vast te stellen in hoeverre de smartphone waarmee een klant een website benadert al of niet gecompromitteerd is. Zo hebben we een hele lijst met controles waarvan de eigenaar van de site zelf kan bepalen of hij die ‘aan’ of ‘uit’ wil zetten. Per parameter wordt voor iedere individuele bezoeker een score gemaakt. Een speciale ‘decision engine’ berekent vervolgens de identiteitsscore van deze klant. Daarmee beschikt de site-eigenaar per direct over een nauwkeurige inschatting van de vraag of de opgegeven identiteit ook inderdaad correct is en de transactie normaal zal kunnen worden afgerond.”
Terms & conditions
VASCO levert deze technologie als software die de eigenaar van een eCommerce- of gaming-site zelf in zijn eigen product inbouwt. Ook is een API (application programming interface) beschikbaar waardoor deze vorm van identity aggregation als een service aangeroepen kan worden. “Het aggregatie-mechanisme is voor de bezoeker van de website volledig transparant. Eventuele juridische of privacy-aspecten kan de eigenaar van de website opnemen in zijn ‘terms & conditions’ die hij een bezoeker eenmalig laat accorderen.”
Deze aanpak is nieuw voor VASCO. “We hebben de technologie die hiervoor nodig is inmiddels klaar. Voor de zomer verwacht ik dat we de eerste klanten kunnen noemen die op deze manier transacties via hun website gaan faciliteren.” Valcke spreekt van een grote markt die op deze manier aangesproken kan worden. “Het is een aanpak waarbij we steeds minder zullen leunen op de verkoop van hardware-matige tokens. App- en website-ontwikkelaars hebben een softwarematige aanpak nodig en liefst ook eentje die als een cloud service geleverd kan worden. Maar in andere gevallen zal men het wellicht liever in de eigen code integreren. Daarbij kunnen zij gebruikmaken van een afrekenmodel per click of transactie. Al deze delivery-modellen ondersteunen we.”
COO en president Jan Valcke van VASCO Data Security
Platform
Dat is een heel ander manier van werken dan waar VASCO met de hardwarematige Digipass-producten mee begonnen is. Zijn deze producten daarmee aan het einde van hun ‘lifecycle’ gekomen? “Nee, dat denk ik zeker niet. Zoals gezegd, leveren wij nog altijd grote aantallen random readers. Bovendien zie ik goede kansen om deze kastjes verder uit te bouwen tot een platform dat banken kunnen gebruiken om nieuwe diensten voor hun klanten te ontwikkelen.”
Valcke wijst in dat opzicht onder andere op de aanvraag voor een banklicentie die Facebook onlangs heeft gedaan bij de Centrale Bank in Ierland. Het bedrijf heeft kennelijk plannen om een eigen methode te introduceren voor het faciliteren van financiële transacties. Banken zal het ongetwijfeld zijn opgevallen dat Facebook met zijn één miljard gebruikers wel eens een geduchte concurrent op het gebied van ‘payments’ zou kunnen worden. “Als we de Digipass-readers kunnen ontwikkelen tot een platform waarmee banken extra diensten kunnen aanbieden aan hun klanten, vergroten zij de drempel voor toegang tot de markt voor financiële transacties aanzienlijk. Bovendien kan ik mij goed voorstellen dat er sowieso interessante diensten te bedenken zijn die banken additionele omzet vanuit hun bestaande klantenkring kunnen opleveren.”
Innovatie
Innovatie gaat bij VASCO echter nog wel wat verder, meent Valcke. Hij vertelt over de aanpak die zijn bedrijf heeft gekozen om nieuwe technologie te ontwikkelen en de kans te geven om als product op de markt te komen. Hiervoor is een incubator-model ontwikkeld waarbij bijvoorbeeld naar ‘wearable technology’ wordt gekeken. “Als ik zie waar sommige universiteiten en onderzoekers mee bezig zijn om een gebruiker van technologie te voorzien waarbij hij zichzelf automatisch identificeert zodra hij binnen een bepaalde afstand van een apparaat komt, dan zie ik daar zeer interessante kansen voor.”
“We gaan de komende jaren in de markt voor payments en financiële transacties veel nieuwe initiatieven zien. Maar ook voor overheden komen dankzij innovatieve technologie zeer interessante mogelijkheden beschikbaar om met zekerheid de identiteit van personen vast te stellen.”
Robbert Hoeffnagel