Sobre o que estamos falando? O Open Banking inaugura um novo ecossistema de soluções para…
Segurança no Open Banking: os protocolos que garantem a proteção de todos
A segurança no Open Banking é um assunto cada vez mais levantado, uma vez que o sistema se apoia na transmissão de dados pessoais entre instituições. Assim, é natural a preocupação em garantir a segurança e proteger os dados das pessoas, especialmente com o mercado indo para uma direção de maior proteção digital.
Falar de segurança no Open Banking do Brasil é ainda mais importante, para garantir a perfeita implementação da tecnologia. Contudo, ainda é um país em que 84% da população desconhece o que é o Open Banking.
Aliás, esse assunto será ainda mais recorrente em 2022, quando irá acontecer a quarta e última fase de implementação do sistema. Nessa 4ª Fase haverá a expansão do escopo do sistema, para o chamado Open Finance, que incluirá operações de câmbio, seguros, investimentos, previdência, entre outros.
Como funciona o Open Banking
Antes de mais nada, em um país que menos de 20% conhece o Open Banking, é importante destacar como funciona, antes de avaliar a segurança no Open Banking.
O Open Banking nada mais é que um conjunto de regras e tecnologias com objetivo de permitir a transmissão de dados de clientes entre instituições financeiras. Essa transmissão é realizada através das APIs — tecnologia responsável pela integração dos sistemas.
No centro desse compartilhamento de dados está o consentimento. Isto é, para instituições compartilharem dados de consumidores entre si, os clientes devem solicitar e autorizar a transmissão.
Nesse sentido, é de responsabilidade da instituição, obrigatoriamente, garantir que qualquer transmissão de dados tenha consentimento, autenticação e autorização.
Qual é o papel da API
A palavra API é uma sigla em inglês que significa interface de programação de aplicações. Essa tecnologia permite que sistemas compartilhem informações entre si com rapidez.
De tal modo, a API em si é apenas a interface que permite a comunicação entre sistemas. Entretanto, para uso no mundo real, essas API precisam ter camadas de proteção, garantindo os três pilares:
- Consentimento: assegurar que o titular dos dados consente em fornecer as informações;
- Autenticação: verificar a identidade do usuário;
- Autorização: permitir que o sistema prossiga, após ter o consentimento e autenticação do pedido.
Os protocolos de segurança
A segurança no Open Banking é garantida por conta dos protocolos de segurança que são os protocolos FAPI e CIBA. Esses protocolos são um conjunto de regras e critérios que as APIs devem cumprir.
Com os protocolos FAPI e CIBA, o Open Banking é um sistema ultra seguro. Aliás, no Open Banking em UK, não existiu nenhum ataque com sucesso em 3 anos desde que foram implementados.
Ademais, dados e pagamentos possuem os mesmos critérios de segurança. Isto é, uma API de informações da conta é tão segura quanto uma API de pagamentos.
Toda interface de programação possui seus protocolos de autenticação. Entretanto, o mercado financeiro lida com dados muito mais sensíveis, como os dados pessoais e dinheiro das pessoas.
Assim, surgiu a necessidade de criar protocolos específicos, garantindo maior agilidade e segurança no Open Banking.
Protocolo FAPI
O FAPI, ou Financial API, é um padrão de API voltado para o mercado financeiro, devendo obedecer uma série de critérios de segurança e legislações, como a LGPD. Ou seja, é uma API com camadas extras para maior segurança no Open Banking.
O protocolo FAPI tem em sua base as tecnologias:
- OAuth 2.0: estrutura de autorização que permite às instituições acesso limitado dos dados do usuário;
- OpenID Connect: permite que desenvolvedores façam autenticação de usuários em diferentes dispositivos com um “login” simplificado.
Ralph Bragg, CTO da Raidiam, em entrevista ao Grupo FCamara salienta que os protocolos FAPI, quando bem implementados, mostraram ser invulneráveis.
Assim, todos os dados transmitidos por esse protocolo são 100% seguros. Isso é possível através de um processo robusto de certificação para garantir que todos os participantes do ecossistema estejam seguindo as regras e boas práticas.
Além disso, é estabelecida a necessidade de sempre executar validações recorrentes e mapear pontos de vulnerabilidades. Com isso, é assegurado a manutenção da segurança no Open Banking.
Protocolo CIBA
O protocolo CIBA, ou Client Initiated Backchannel Authentication, é uma especificação dentro do FAPI para fornecer um método seguro de autenticação e autorização. O uso do protocolo CIBA reduz drasticamente os riscos associados com engenharia social ou ameaça interna.
Nesse sentido, os protocolos FAPI e CIBA previnem, respectivamente, ameaças técnicas (como ataques hackers) e ameaças sociais (como estratégias de links falsos de roubo de dados, chamado de phishing).
Segundo Ralph Bragg, o protocolo CIBA é tão poderoso por permitir que clientes não digitais dos bancos possam participar da economia digital.
Isso porque o protocolo CIBA possibilita que bancos consigam autorização e autenticação dos clientes por qualquer meio disponível, como cartas, SMS, ligação, entre outros. Isso é importante para um país como o Brasil tão grande, diverso e que possui boa parte de sua população fora da economia digital.
Autorizar uma operação com o CIBA possibilita realizar pagamentos, por exemplo, através do comando de voz na Alexa ou Google Home. Assim, esse protocolo, além de maior segurança no Open Banking, cria um ambiente mais propício para inovações.
Com o protocolo CIBA, os processos de autenticação e autorização são:
- Cliente inicia uma operação, por exemplo, uma compra de produto;
- O sistema de compra se comunica com o sistema de backend;
- Sistema de backend solicita permissão para o servidor de autorização CIBA;
- Servidor CIBA realiza a autenticação, pedindo que o cliente dê permissão;
- Dado a permissão, o servidor CIBA fornece a autorização para o sistema de backend;
- Enfim, o sistema de backend se comunica com o servidor de API para finalizar o processo de compra.
Assim, a autenticação é realizada em múltiplas etapas. Por exemplo, ao tentar realizar um novo login pelo computador, o sistema envia um código para o celular do usuário para que ele faça a autenticação.
Entretanto, esse protocolo de segurança no Open Banking também permite, por exemplo, realizar a autorização por ligação. Dessa forma, pessoas que não estão acostumadas com o digital poderão autenticar e autorizar uma solicitação com maior facilidade.
Os desafios da segurança no Open Banking
Com todos esses protocolos e boas práticas já bem estabelecidos, a infraestrutura de segurança no Open Banking deixou de ser um desafio. Na realidade, o desafio está em encontrar parceiros apropriados para configurar corretamente os fornecedores e tecnologias.
O mesmo acontece com bancos, que podem ter partes da infraestrutura e não precisam jogar fora sistemas inteiros. Entretanto, qualquer empresa precisa contar com parceiros estratégicos.
A versão brasileira, segundo Ralph Bragg, é ainda mais segura que a usada, por exemplo, no Reino Unido. Isso porque a legislação brasileira requer que os clientes garantam as informações de autenticação do banco, ou seja, é necessário mais informações pessoais que podem ser passadas por uma potencial rede insegura. Por isso, bancos brasileiros precisarão ter uma camada extra de segurança no Open Banking.
Ao passo que as empresas precisam implementar uma boa gestão de consentimento e autenticador em conformidade com o diretório do Open Banking.
Com base em como a empresa tiver se preparado, o custo e tempo necessário serão maiores ou menores. Por ser um ecossistema, precisa estar bem implementado para se integrar nesse diretório.
Daí a importância de contar com parceiros estratégicos capacitados para realizar a análise da estrutura da empresa e, assim, descobrir o momento da instituição, definindo o melhor caminho para a implementação adequada.
A importância dos parceiros estratégicos para a segurança no Open Banking
A implementação e segurança no Open Banking requer a construção de capacidades de segurança que consome muito tempo, é bem caro e precisa de muitas habilidades, experiência e suporte contínuo.
Afinal, o Open Banking não é um pequeno programa de compliance. Mas, sim, uma revolução na dinâmica de relacionamento entre as instituições financeiras e clientes, visando um ecossistema mais digital, seguro e ágil.
Realizar toda a implementação por conta própria eleva os custos (tempo e dinheiro), além de aumentar as chances de falhas de segurança no Open Banking.
Com a LGPD, negligenciar a correta implementação é extremamente perigoso para uma instituição financeira, sendo mais prejudicial vazar os dados de clientes do que ter falhas nos pagamentos.
Aliás, pagamentos, em geral, são assegurados de um modo ou outro. Ao passo que a perda de dados de clientes trará consequências mais sérias:
- Alto custo de reparação dos danos;
- Sanções administrativas, como a empresa ficar impossibilitada de realizar novas operações até a adequação;
- Processos judiciais;
- Dano de imagem institucional.
Ao passo que os conjuntos de critérios, regras e protocolos de segurança no Open Banking são globais. Assim, para as empresas é mais importante focar em selecionar os parceiros adequados do que perder tempo e recursos buscando criar a estrutura internamente.
Além de ser mais caro e demorado, os riscos são maiores. Afinal, não é um pequeno projeto de compliance, uma vez que demanda expertise, habilidades e conhecimentos avançados e específicos que raramente as empresas possuem em seus times internos.
Em suma, a escolha do parceiro estratégico é a diferença entre uma implementação adequada e o completo desastre em termos de segurança no Open Banking.
Este post tem 0 Comentários