*Leonardo Santos
O que é Open Banking?
Acompanhando o contexto de transformação digital e desenvolvimento mobile, o Open Banking promete transformar o cenário financeiro, impactando e ao mesmo tempo criando infinitas oportunidades para bancos, fintechs e empresas orientadas a serviços.
O conceito do Open Banking permite que outras empresas, como por exemplo, portais de e-commerce, tenham acesso aos dados bancários dos clientes mediante uma autorização explicita e através de um canal seguro de troca de informações (famosas APIs). Em outras palavras, os dados bancários pertencem aos clientes e eles podem escolher com quais empresas querem compartilhar os dados, a fim de trazer mais comodidade ao seu dia a dia.
Em território nacional, um grande exemplo deste novo contexto seria a plataforma Conta Azul que, através de parceria com o Banco do Brasil, possui integração com as contas de pequenas e médias empresas, auxiliando na gestão financeira dos negócios, poupando até 85% do tempo de trabalho da contabilidade.
O Open Banking já foi regulamentado na Europa através da PSD2 (Payment Services Revised Directive 2) que determinou que os bancos devem abrir suas plataformas e permitir o acesso de terceiros via APIs, desde que seja categoricamente autorizado pelo cliente.
No cenário nacional, o Banco Central do Brasil lançou uma consulta pública (CP 73/2019) para ouvir opiniões acerca deste tema. Muitos concordam com a iniciativa e acreditam que o modelo trará benefícios e comodidade para toda a cadeia, e principalmente para o cliente final.
Desafios
Do ponto de vista de segurança da informação, existem dois grandes desafios a serem superados. A segurança das APIs, as quais permitem a troca dos dados entre sistemas, não sendo algo específico para o mercado financeiro, ou especificamente para Open Banking, e a proteção dos dados pessoais dos clientes, em atendimento as regulamentações de privacidade vigentes.
Segurança de APIs
O grande problema em APIs está relacionado a sua má elaboração e/ ou consequentemente, a falta de aplicação de controles de segurança, sendo responsáveis por violações de privacidade de dados.
A grande maioria das APIs modernas são as chamadas API REST e API SOAP, sendo as APIs REST as que utilizam a arquitetura de transferência de estado representacional. Com esta arquitetura, é utilizado o protocolo HTTP para comunicação web, sendo compatível com o protocolo TLS, que mantém por padrão as conexões privadas e verifica se os dados transferidos entre sistemas estão criptografados e inalterados. Outra vantagem das APIs REST é a utilização do JSON, que otimiza a transferência de dados entre navegadores. Por este conjunto de utilitários e protocolos, as APIs REST são muito mais rápidas do que as APIs SOAP.
As APIs SOAP utilizam os protocolos WS Security (Web Services Security). Estes protocolos estabelecem regras orientadas pela confidencialidade e autenticação. Elas utilizam uma combinação de criptografia XML, assinaturas XML e tokens SAML para verificar a autenticação e autorização do usuário, além de ser compatível com os padrões OASIS e W3C.
Por apresentarem uma maior abrangência nas medidas de segurança, as APIs SOAP são as mais recomendadas para empresas e negócios que lidam com dados confidenciais.
Boas práticas para segurança de APIs
As APIs, como qualquer aplicação, necessitam de medidas que prezem pela segurança de suas informações. Em conjunto as legislações de proteção de dados pessoais, a segurança dos dados serão um ponto crítico para os desenvolvedores. Algumas das medidas recomendadas são:
- Utilização de Tokens: Controlar os acessos aos serviços e recursos utilizando tokens atribuídos à validação das credenciais do usuário.
- Criptografia e certificados digitais: Utilizar a conexão criptografada e garantir que o usuário possua um certificado necessário para autenticação e transação de suas informações.
- Identificação de vulnerabilidades: A melhor maneira de antecipar incidentes e vazamentos de informação e conhecer e monitorar o seu ambiente. A utilização de Sniffers também é bem vinda neste cenário.
- Estabelecer um limite de requisições: Um número elevado de requisições de uma API pode ser proveniente de um atacante. Estabelecer limites para estes processos pode prevenir ataques sucessivos que possam interromper a continuidade das operações.
Para maiores informações recomendamos utilizar como referência em seu programa de segurança de APIs, como ponto de partida o documento OWASP API Security Top 10 2019.
Conclusão
Acompanhando o desenvolvimento das relações comerciais modernas, o Open Banking proporcionará aos clientes a conveniência e a liberdade de escolha de como, quando e onde utilizar seus dados financeiros e consumir aqueles serviços que melhor se adequarem a sua necessidade.
Literalmente, torna os clientes os únicos donos de seus dados. Porém, a integração com terceiros traz grandes preocupações com a segurança das transações. A segurança das APIs, é, sem dúvida, um dos pontos chaves para que o conceito seja implementado e plenamente utilizado pelos clientes.
Em um cenário de grande concorrência, a segurança será um fator determinante para estabelecer a confiança e cada vez mais será um diferencial competitivo para as empresas.
*Leonardo Santos – É consultor GRC and Information Security da [Safeway]
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
