As empresas de serviços FinTech trabalham com informações confidenciais dos clientes, por isso a segurança dos serviços financeiros digitais é de extrema importância. Isto fica claro pelo fato de que, além do PCI DSS, praticamente todos os países têm seus próprios requisitos adicionais de conformidade de segurança em relação à identidade digital, proteção de dados e segurança cibernética.
Em 1º de abril de 2022, um regra final entrou em vigor nos EUA e obriga as organizações bancárias a notificar um regulador federal primário dentro de 36 horas em caso de qualquer ameaça à segurança cibernética. Os prestadores de serviços bancários também devem notificar os clientes o mais rápido possível em caso de qualquer incidente. A Dinamarca introduziu uma infra-estrutura de identidade digital nova e mais segura chamada MitID para substituir o seu antecessor, NetID. O MitID será usado para aprovar pagamentos de compras on-line, logins bancários on-line e logins para skat.dk para impostos. Esta solução será lançada no verão de 2022.
Também é importante lembrar que, em alguns casos, os bancos digitais e tradicionais podem estar sujeitos a requisitos diferentes. Portanto, é necessário sempre monitorar os requisitos de conformidade que aparecem em seus mercados para se manter atualizado e saber como você pode precisar modificar suas medidas de segurança. Mais adiante, discutiremos todos os critérios e aspectos comuns da segurança bancária digital.
Benefícios do protocolo OAuth 2.0 para serviços bancários digitais
OAuth 2.0 é um protocolo comum que garante um alto nível de segurança durante a autenticação e autorização. Este protocolo atua como um provedor de identidade, permitindo que desenvolvedores terceirizados criem aplicativos sobre ele. Um de seus princípios fundamentais é que as APIs redirecionarão os usuários apenas para uma URL que foi previamente registrada no serviço. Isto ajuda a evitar ataques de redirecionamento onde um código de autorização ou token de acesso pode ser interceptado por um invasor. Entre outros, o OAuth 2.0 é usado por empresas Fortune 500, incluindo Google, Microsoft, Facebook, Amazon e Twitter. Os benefícios que o OAuth 2.0 oferece aos desenvolvedores incluem:
- BankID, que vem como um serviço e permite que você use seu sistema bancário como forma de autenticação dos usuários em outros serviços. Isso abre grandes oportunidades para comercializar seu aplicativo.
- Um sistema único de autenticação de dois fatores (2FA) usado para todas as plataformas. Isso diminui os custos de suporte do sistema. Mais tarde, quando você decidir escalar, não precisará perder tempo desenvolvendo funcionalidades de autenticação para outras plataformas.
- Cada solicitação é criptografada e protegida pelos protocolos TLS mais recentes, o que permite mitigar ataques man-in-the-middle (MITM).
Garantindo criptografia segura e sistemas de armazenamento de dados
Para mitigar riscos e garantir que os dados dos seus usuários sejam transmitidos e armazenados com segurança, siga algoritmos criptográficos comprovados pelo setor e aprovados pelo governo (como o Advanced Encryption Standard com chaves de 256 bits), modos e bibliotecas. Siga as práticas recomendadas mais recentes da comunidade e use padrões de criptografia confiáveis para garantir que as configurações de criptografia e os modos de bloqueio sejam configurados com segurança. Por último, mas não menos importante, mantenha os dados privados confidenciais criptografados com uma chave gerenciada enquanto são transferidos e em repouso para garantir a integridade e a confidencialidade dos dados em todas as etapas. Na Yalantis, seguimos recomendações para gerenciamento de chaves criptográficas (incluindo NIST SP 800-57) para eliminar riscos de segurança comuns, incluindo reutilização de chaves, chaves fracas e não rotação.
Aproveitando ao máximo os princípios de conhecer seu cliente (KYC) e conhecer seu negócio (KYB)
KYC e KYB obrigam as organizações financeiras que lidam com dinheiro privado ou empresarial a verificar a identidade das contrapartes antes de realizar transações financeiras. Simplificando, KYC e KYB são sistemas que contêm uma cadeia de serviços de terceiros que analisam os dados dos usuários para detectar fraudes nos estágios iniciais. Os princípios KYC e KYB, juntamente com a verificação de identidade, decisões de crédito e monitoramento contínuo de transações, podem servir como um mecanismo de gerenciamento de risco no software bancário digital.
Estabelecer um departamento dedicado à prevenção de fraudes
Este é um passo vital para detectar e desarmar com sucesso os cibercriminosos antes que eles realmente cometam um crime. Por exemplo, um departamento antifraude pode detectar que um usuário está fazendo transações on-line com o mesmo valor a partir de endereços IP diferentes dentro de uma hora e bloquear a conta em questão como suspeita. Os funcionários do departamento de fraude usam tecnologias e serviços dedicados para garantir a segurança do seu software. Para serem proativos, eles precisam de ferramentas dedicadas e integrações com serviços de terceiros.
O desenvolvimento de ferramentas de segurança e a configuração de integrações ficam a cargo do seu parceiro de tecnologia (interno ou terceirizado). A longo prazo, a criação de um departamento de prevenção de fraudes contribui para minimizar o risco de crimes cibernéticos, o que é definitivamente um investimento na boa reputação e estabilidade do seu banco.
A escolha de tecnologias bancárias digitais é outra tarefa séria. Na próxima seção, discutiremos os fatores que devem influenciar sua escolha.
