Dette svarer Vipps til kommentaren fra Robin Heggelund Hansen

Kenneth Wang Pedersen
Kenneth Wang Pedersen Kenneth Wang Pedersen Kenneth Wang Pedersen Developer, Tech Lead and Engineering Manager at Vipps MobilePay
Publisert

Dette er et svar til innlegget fra Robin Heggelund Hansen.

Jeg jobber for Vipps, og er en del av teamet som blant annet har utviklet integrasjonen mot Google Play Integrity. 

Personlig er jeg helt enig med dere her: det burde være mulig å kjøre Vipps på en telefon som ikke har Google Play Services.

For at Vipps skal kunne la deg betale og sende penger enkelt overalt, har vi en rekke avtaler med blant annet banker og kortselskaper. I disse avtalene er det en del krav som går på sikkerhet. 

Vi er ansvarlige for å ha tiltak som beskytter deg mot skadevare som du kan ha installert på din telefon, og vi må derfor ha et forhold til integritet både når det gjelder selve telefonen og Vipps-appen som er installert på telefonen. 

Vi står altså ikke fritt til å velge at dette kan være ditt eget ansvar, og som en del av løsningen her bruker vi Google Play Integrity på Android.

Det står ingenting i disse kravene at vi bruke Google Play Integrity, men løsningen dekker en stor del av det vi må ivareta rundt integritet av både enhet og app. Vi må jevnlig gå igjennom både sertifiseringer og revisjoner av sikkerheten i våre systemer, og det er derfor nødvendig for oss å ha solid dokumentasjon og et godt svar på hvordan vi tilfredsstiller sikkerhetskravene som vi er underlagt.

Jeg vil si at det som gjør det vanskelig å gjøre endringer her er vel så mye det rundt avtaler, dokumentasjonskrav og revisjoner, som det er den tekniske løsningen. 

Når det er sagt, så er vi veldig klar over at dette er et reelt problem for et mindretall av våre brukere, og vi skulle også gjerne vært foruten den "svarte boksen" som er Google. Når Google svarer "nei", så er det ikke mye vi kan gjøre for å hjelpe brukeren videre.Vi ser aktivt på alternativer. 

For eksempel undersøker vi om Android Hardware-Backed Key Attestation kan gi oss noe av det samme som vi i dag får med Google Play Integrity. Men i forhold til tidslinjen vil jeg bare ikke gi dere inntrykk av at dette er trivielt for oss å endre på, for det er det dessverre ikke.

artikkel
Powered by Labrador CMS