Conforme a avaliação dos especialistas de mercado sobre quais tecnologias devem ser prioridade, para você, nas organizações, das dez previsões estratégicas citadas no último relatório do Gartner Group para os próximos anos, há uma preocupação principal em relação aos ciberataques.
O ecossistema de Open Finance acaba sendo um dos alvos dos hackers, não somente pela importância deste ambiente na questão da quantidade de dados de usuários do sistema financeiro brasileiro, mas principalmente por estarem diretamente ligados às instituições financeiras, objeto de desejo dos criminosos.
Contanto, você não precisa se preocupar tanto assim. Uma plataforma de Open Finance vale a pena por uma simples razão: ela não detém dados de usuários, principalmente informações consideradas pela LGPD (Lei Geral de Proteção de Dados) como sensíveis. Entretanto, ela é um meio de circulação, conectando as instituições tanto para consentimento quanto para consumo de informações.
Sendo assim, independente de deter ou não informações, a plataforma precisa estar em conformidade com as melhores práticas de mercado e, principalmente, com as leis vigentes. Afinal, você nunca sabe qual inteligência criminosa que está por trás de um ataque e quais as possibilidades de captura de informações ela é capaz.
Lembre-se: prevenir é o remédio!
Pensando assim, quais preocupações uma instituição financeira deve pensar ao desenvolver ou contratar uma plataforma de Open Finance que vale a pena como serviço?
Para responder essa pergunta, a TecBan desenvolveu uma lista de cinco pilares que devem ser levados em consideração para que a corporação esteja minimamente protegida e em conformidade com o Banco Central. São eles:
Partindo do princípio de que um ambiente de Open Finance é estruturado e organizado por pessoas, vale considerar estas pessoas como usuários que precisam ser identificados apropriadamente. Essa identificação se dá com base nos seus níveis de permissões de interação no ambiente, bem como gerenciados no quesito de acesso, ao qual podem ser facilmente monitorados e controlados, mantendo assim um gerenciamento de acesso e identidade apropriado em todo o ecossistema.
Isto te garantirá que apenas as pessoas certas e com as devidas permissões, irão interagir na estruturação, organização, controle e monitoramento do seu ambiente Open Finance, garantindo assim a integridade dos sistemas e tecnologias envolvidos.
Sendo o ecossistema Open Finance baseado em API’s que executam diversas funções, especialmente as de conexão aos ambientes financeiros para consentimento e exposição de dados, vale a pena adotar uma solução de proteção (firewall) que contemple a proteção de aplicações e API’s.
Conhecida como WAF (Web Application Firewall), esta solução permite um alto nível de segurança para um ambiente de API’s sob a gestão de um API Manager. Isto significa que todo o core de um ambiente de Open Finance, baseado em API’s, irá ser protegido contra-ataques de bots e explorações comuns da web.
Mas lembre-se: evite adotar uma solução qualquer de WAF. Para garantir o acompanhamento da evolução tecnológica que ocorre todos os dias, diante de nós, o firewall deve ser robusto, ter políticas de continuidade e, principalmente, um roadmap de evolução.
Baseada numa arquitetura que contemple um Firewall Manager capaz de gerenciar múltiplas entregas de ambientes, a solução deve proteger contra os eventos clássicos da web, criar políticas baseadas nas regras de negócios de um ambiente Open Finance e viabilizar filtro de tráfegos indesejados.
Os Padrões Federais de Processamento de Informações, conhecidos pela sigla FIPS, valem às melhores práticas de segurança para o armazenamento de chaves criptográficas em módulos de segurança de hardware, conhecidos como HSM (Hardware Security Modules).
Manter um ambiente físico de HSM é um custo altíssimo e gera a uma complexidade de cuidados que poucos conseguem manter num nível adequado. Assim, para você obter uma plataforma de Open Finance é preciso que haja esta preocupação, especialmente sobre como ela é mantida nos quesitos de chaves criptográficas (padrão ICP-Brasil), que são usadas para validar as conexões de API’s entre os ambientes do fornecedor do detentor da plataforma e as instituições financeiras
Em um ambiente de Open Finance são exigidas tecnologias de autenticação e autorização que seguem os padrões de mercado, tais como OAuth, OpenID Connect ou FAPI, sendo este último o que deve ser considerado, uma vez que vale para o sistema financeiro.
O padrão FAPI (Financial-grade API) combina as tecnologias OAuth e OPenID Connect e entrega um alto padrão de segurança exigido pelas instituições financeiras, permitindo que as requisições de chamadas de API’s sejam validadas, garantindo a gestão e a entrega das informações.
Se você pensar no ecossistema Open Finance, há uma ligação, de forma automática, com a necessidade de duas ou mais instituições se comunicarem via API’s, realizando a troca de informações necessárias que o ambiente exige.
Sendo assim, qualquer solução Open Finance de mercado, ou ainda uma desenvolvida num modelo On Premise, precisará se preocupar com a autenticação mútua na comunicação e compartilhamento de dados. Isto se dá através do protocolo mTLS (Mutual Transport Layer Security), que deve ser disponibilizado tanto no ambiente do provedor de serviços quanto no da instituição financeira.
Veja que, em apenas cinco pilares, todo um fluxo de gestão de segurança se faz presente, exigindo alto nível de comprometimento dos squads de segurança dedicados a um ambiente de Open Finance que vale a pena.
A TecBan oferece uma plataforma de Open Finance como serviço, em que toda esta preocupação fica ao encargo de nossos especialistas, garantindo que todo o ecossistema esteja devidamente protegido e em conformidade com o regulamento do Banco Central.
Veja como ter um ambiente seguro, com o mínimo esforço e o melhor custo x benefício:
O ambiente de Open Finance TecBan é gerenciado por profissionais especializados, habituados a gerenciar cenários críticos. Como ocorre no Banco24Horas, que está sob forte gerenciamento de identidade e acesso.
Os equipamentos de trabalho destes profissionais passam por três processos de login, sendo um de criptografia, de disco rígido e senha de acesso.
Além disso, todas as precauções possíveis de proteção de vazamento de dados são tomadas, como o bloqueio de portas USB, bloqueio de acesso Bluetooth e acesso somente em rede local em conexão via cliente de VPN. Ou seja, um ataque de cibersegurança será praticamente impossível num ambiente TecBan, já que a maioria desses ataques explora a vulnerabilidade de usuários do ambiente.
O ambiente da plataforma Open Finance TecBan encontra-se na gestão e na infraestrutura de alta disponibilidade da AWS Brasil, em território nacional, e está fortemente protegida pelas políticas de segurança do ambiente, incluindo pelas do AWS WAF (Web Application Firewall).
No quesito HSM para chaves criptográficas, o CloudHSM da AWS oferece um serviço de altíssima confiabilidade, em HA (Alta disponibilidade), redundante e confiável, entregando para você um ambiente seguro para que as instituições financeiras hospedam suas chaves dentro das melhores práticas de mercado, com todo o suporte dos especialistas TecBan.
A Plataforma Open Finance TecBan atende todas as diretrizes de segurança, adotando o padrão FAPI (Financial-grade API).
A TecBan é uma empresa de telecomunicações e te oferece conectividade para o mercado financeiro, dentro dos melhores padrões de exigência de qualidade e performance, inclusive utilizando o protocolo de autenticação mútua mTLS (Mututal Transport Layer Security) em todo o ambiente Open Finance.
Ao utilizar a plataforma de Open Finance da TecBan é garantido que todos os protocolos de segurança de mercado são adotados e são totalmente aderentes aos cinco pilares de segurança de uma plataforma de Open Finance, garantindo que sua instituição poderá usufruir do que há de melhor no mercado.
Vale a pena falar com um dos especialistas da empresa, conhecer a Plataforma de Open Finance e se convencer do quanto ela vai te trazer segurança.