Het plan van aanpak voor verdere ontwikkeling van ETBD moest leiden tot een zogeheten definitiestudie. Dat is een overzicht van wat het erna komende project moet gaan opleveren. Dit had wel gelijk wat voeten in de aarde. De commerciële mannen/vrouwen binnen de Postgiro / Rijkspostspaarbank wilden eigenlijk dat de techniek al in dit stadium diepgaand werd besproken. Zij hadden een sterke voorkeur voor een variant op basis van viditel. Dit was software die al redelijk breed verspreid was en weinig beperkingen oplegde aan de apparatuur. De technische mannen/vrouwen, die gewend waren aan de grote, complexe giro-productiesystemen, hadden liever CICS-achtige toepassingen. (CICS staat voor Customer Information Control System, programmatuur die vooral op grote IBM systemen draait om – met een directe verbinding – interactie met een gebruiker mogelijk te maken. Binnen de financiële wereld is het het meest gebruikte systeem van interactie met externe systemen zoals geldautomaten)
CICS sloot immers beter aan bij de bestaande Postgiro-systemen. Na bezoek aan Duitsland waar al enige thuisbankiersystemen draaiden, is de knoop doorgehakt en als besluit videotex (zoals het Viditel-programma) in de definitiestudie opgenomen.

De volgende stap was het opstellen van productspecificaties. Aan welke eisen moest het toekomstige systeem voldoen? Ook hier dreigde een splitsing van geesten. Enkelen wilden daartoe klantenonderzoeken gaan houden. Anderen vonden dat nodeloos vertragend en vooral niet handig. Er bestond nog geen elektronisch thuisbankieren. Vragen aan de klanten hoe het er uit moest komen te zien, zou niet veel opleveren. Wamsteeker wachtte niet af, en stelde zelf de eisen aan het systeem op. Na wat overleg met de kleine projectgroep en wat bijschaven kwam men redelijk vlot tot een resultaat. Zaken als datering, overzicht periodieke betalingen, spaaropdrachten, girobus en dergelijke werden in dit stadium al bedacht.
Een vrij uitgebreide beschrijving van al de te leveren diensten maakte zo deel uit van de definitiestudie.

Nu nog een naam. Een brainstorm werd belegd en Herman Plug heeft de eer de uiteindelijke naam Girotel te hebben bedacht. De naam lag lekker in het gehoor en kwam goed uit toen de directie de vraag stelde: is jullie PIN dezelfde als die van de Giromaten? ‘Nee’, zeiden de deelnemers van de werkgroep, ‘het wordt een GIN: Girotel Identificatie Nummer, 6 karakters en wijzigbaar. Samen met de TAN wordt dit een onneembare hindernis voor hackers’.

De TAN
Maximale veiligheid met minimale rompslomp was het uitgangspunt bij de opzet van de beveiliging van Girotel. De Postgiro nam bestaande bankiersystemen in Groot-Brittannië, de VS, Frankrijk en Duitsland onder de loep. De sterke punten werden gekopieerd, zwakke zaken weggelaten. Het ontwerp met verschillende beveiligingslagen en cryptografische algorithmen (rekenmodules) werd verder uitgewerkt door Volmac en het Dr. Neherlaboratorium van de PTT.

Als laatste onderdeel werd aan twee teams studenten van de TH Delft onder leiding van de beveiliginsguru prof. Herzberg gevraagd om het systeem te kraken. Dit leidde nog tot een kleine publicitaire rel, omdat de studenten aangaven het systeem binnen te zijn geweest. Dat klopte, maar men vergat erbij te vermelden dat dit mogelijk was omdat de Postgiro tijdelijk ‘de kluis’ (het systeem) had opengezet om de studenten werkelijk alle ins en outs van het systeem te bekijken. Uiteindelijk leidde dit onderzoek tot een paar kleine aanpassingen, waarna Girotel uiterst simpel, maar zeer doeltreffend werd beveiligd. In twintig jaar druk gebruik, is er nooit sprake geweest van ernstige kraken.


Een TAN-code lijst. Deze is gebruikt bij de officiële opening van Girotel

De TAN (Transactie Acceptatie Nummer) is voor velen nog steeds het lachertje van de bancaire beveiligingstechnieken: de klant krijgt een beduimeld velletje met codes, waarbij die elke keer dat hij/zij Girotel gebruikt, een andere code moet gebruiken. De iets moderne variant is die waarbij de klant elke keer een TAN-code via SMS ontvangt.
Maar de weergaloze eenvoud voor de gebruiker, die geen aparte beveiliginscalculator hoeft te gebruiken, en die slechts één code van 6 cijfers hoeft in te toetsen, betekende niet dat de beveiliging onvoldoende was. Nu nog steeds, na honderden miljoenen transacties, wordt het TAN-systeem zonder problemen gebruikt door thuisbankiers via MijnPostbank.nl (sinds 2009: MijnING.nl).

Wordt vervolgd.

Een geschiedenis van Girotel is een miniserie gebaseerd op een weblog van Frans Wamsteeker.