João Paulo Lins, Managing Director da Allowme & CTO da Tempest
Confira a entrevista do Liga Insights com João Paulo Lins, Managing Director da Allowme & CTO da Tempest, sobre os desafios de segurança no universo do Open Banking
João Paulo Lins, Managing Director na Allowme & CTO da Tempest, foi um dos entrevistados para o estudo Liga Insights Open Banking, lançado em julho de 2019. Durante a entrevista, ele comentou sobre os desafios de segurança no contexto do Open Banking.
O estudo completo está disponível para download neste link.
Líder em segurança digital no Brasil, a Tempest conta com mais de 250 grandes clientes ao redor do mundo e quase vinte anos de experiência, oferecendo serviços como segurança de dados e controle de identidade digital.
Liga Insights (LI) – Por que o movimento de Open Banking é interessante para a Tempest?
João Paulo Lins (JL) – A maior parte dos nossos clientes são do segmento financeiro, então estamos em sintonia com alguns players e conduzindo trabalhos já pensando em Open Banking. Acho que o mais interessante neste movimento é a busca constante por novos caminhos para beneficiar o cliente final dos bancos.
Para a Tempest, como uma empresa de consultoria especializada em segurança da informação, vemos a oportunidade de ajudar tanto as instituições financeiras quanto outras empresas que farão parte deste ecossistema no cumprimento de diretrizes e regulamentações do Banco Central para a definição técnica, construção e avaliação dos protocolos e do modelo de compartilhamento de informações que vão trafegar nas APIs de Open Banking.
LI – Quais riscos você enxerga em relação à segurança de dados e privacidade?
JL – Existem muitos desafios de segurança, sobretudo quando tratamos do destino dos dados, da guarda e de sua utilização. O maior risco está no controle da informação que vai ser compartilhada pelas APIs de Open Banking. Além disso, empresas terceiras que tiverem acesso aos dados por meio das instituições financeiras deveriam ter um nível de segurança similar ao do banco que está compartilhando o dado “original”. Caso contrário a informação pode vazar e ficará mais complicado encontrar o responsável.
Considerando essa nova lógica em que o compartilhamento de dados ocupa um papel importante no negócio, é possível que organizações percam o controle sobre a informação caso não façam o dever de casa. Infelizmente não há protocolos prontos e definidos, perfeitos para qualquer situação nem do ponto de vista de segurança, nem do ponto de vista de negócios.
Até o momento, o Banco Central emitiu o comunicado 33.455 e a definição da parte normativa e de todos os aspectos ligados a risco, segurança e requisitos mínimos tende a ocorrer no segundo semestre de 2019, inclusive com as minutas sobre essas definições passando por consultas públicas. Ainda temos um caminho a percorrer antes de definirmos regras gerais para o tema.
LI – Qual é a melhor forma de tornar isso seguro?
JL – É um conjunto de ações. O banco precisa se proteger tendo o controle do que está passando, para quem, quando e como, avaliando constantemente se as conexões são legítimas ou não. Hoje um dos maiores desafios e preocupações dos bancos é tentar garantir a identidade digital do usuário. Quando se consegue ter certeza sobre a identidade de quem acessa ou transaciona, são mitigados muitos dos problemas de fraude e segurança.
As empresas precisam fazer uma avaliação sobre quem está consumindo os dados e estabelecer um processo mínimo de garantia de segurança, criar um modelo de ameaça para proteger o banco, o usuário e os aplicativos que devem ser criados em cima do Open Banking.
LI – A segurança dos sistemas utilizados pelos bancos é satisfatória?
JL – Percebo que os bancos têm investido cada vez mais em segurança, acho que estão preparados para se adaptar aos requisitos e normas que forem estabelecidas. Já existem mecanismos para se proteger e empresas maiores e mais maduras estão trabalhando nesse sentido.
Hoje toda essa segurança é feita em camadas, o que tende a mitigar os ataques. A preocupação é maior em relação às empresas menores, que não têm possuem tanto dinheiro para investir em segurança. As implementações já existem, o desafio é torná-las acessíveis a todos os players.
Confira o estudo completo Liga Insights com o tema Open Banking!