A Open Finance News da Celcoin está inaugurando uma sala de debates sobre os bastidores do open finance no Brasil. Para a estreia, convidamos o CEO da Conviso, Wagner Elias.
Importante ator no desenvolvimento de soluções de segurança para empresas do sistema financeiro brasileiro, incluindo bancos digitais e fintechs, a Conviso, com sede em Curitiba, também é uma referência para clientes na Europa e nos Estados Unidos.
Confira o que Elias contou para Thiago Zaninotti, CTO da Celcoin, e entenda por que a segurança precisa estar no alicerce de cada solução, sobretudo no ecossistema do open finance.
Thiago Zaninotti: Quais são hoje os maiores desafios em termos de segurança?
Wagner Elias: A preocupação principal está no desenvolvimento de software. Há uma necessidade cada vez maior de cumprir entregas em prazos mais curtos, portanto, mais ágeis. Em contrapartida, verificamos uma enorme lacuna na oferta de profissionais especializados no mercado. O desenvolvimento de software com mais agilidade e qualidade demanda muita maturidade profissional e não há tantos profissionais com essa qualificação disponíveis.
Nesse cenário, em que o desenvolvimento de software requer agilidade e os ciclos são cada vez mais curtos, um desafio grande é desenvolver software com qualidade incluindo segurança. Diria que é um dos principais desafios.
Para as empresas que querem aproveitar as oportunidades do open finance, o melhor dos mundos é iniciar o desenvolvimento da solução com requisitos de segurança. Acompanhar o desenvolvimento desde o início com o foco em segurança, fazer análise de arquitetura e análise de risco.
Começar a revisar código-fonte desde o início e seguir revisando esse código para verificar possíveis vulnerabilidades. É um processo muito rico, que aumenta a maturidade do time, porque, durante o desenvolvimento, a equipe pode trabalhar em revisões com feedback constante.
Se não foi possível desenvolver dessa forma e não há como voltar atrás, o caminho é fazer testes exaustivos. Testar não só a questão de segurança, as brechas que podem levar a uma invasão, mas testar a resiliência. Uma situação de negação de serviço, como uma integração mal feita, pode indisponibilizar todo um ecossistema, como o do open finance. Por isso, pensar em segurança é fundamental.
Thiago Zaninotti: A maturidade das empresas em relação aos requisitos de segurança está aumentando?
Wagner Elias: O que temos visto, principalmente como prestador de serviço – atendendo muitas fintechs e grandes bancos – é que a maioria das soluções já têm nascido com mais segurança, porque a conscientização é cada vez maior. Se antes ainda havia aquele cenário em que se achava que o risco era associado a grandes bancos, portanto não impactaria uma empresa pequena, hoje isso não existe mais.
Temos visto muita maturidade nas empresas que estão nascendo agora, desde bancos digitais até empresas focadas em atender determinado segmento de pessoa jurídica.
A fintech está deixando de ser um segmento específico, porque praticamente todas as empresas vão ter uma fatia, algum serviço relacionado a instituição financeira. O open finance vai potencializar muito isso. Vemos aplicativos de delivery que possuem uma estrutura de banco, de fintech.
Essas soluções são bem mais maduras do que víamos no passado, quando as empresas não pensavam em segurança desde o início. Não havia noção do risco que é lidar com esse tipo de transação. Quem se propõe a entrar nesse meio hoje já sabe que é um ambiente hostil e tem que pensar em segurança desde o início.
Thiago Zaninotti: Qual o nível de segurança do open finance no Brasil?
Wagner Elias: Nosso sistema financeiro é muito robusto, é um dos mais modernos e interligados do mundo. Estamos muito à frente em volume de transações, em digitalização.
O nível de adoção do Pix também trouxe uma certa maturidade. Temos um número de incidentes muito alto, o que nos tornou mais resilientes. Cada vez mais temos expertise em segurança no Brasil.
É praticamente impossível um sistema não ter vulnerabilidade, por isso é preciso testar continuamente. Na Conviso, costumamos dizer que queremos entregar software e código todos os dias, portanto não dá para pensar em segurança eventualmente. É preciso pensar em segurança todos os dias também.
As fraudes, na maioria dos casos, não estão associadas à tecnologia em si, mas a alguma engenhosidade e à inocência de quem acaba se descuidando e entregando uma informação para o fraudador. Na maior parte dos casos, o fraudador explora uma característica do ser humano, de um determinado serviço, possibilitando que ele faça a fraude.
Estamos trabalhando, cada vez mais, tanto em processos tecnológicos quanto na conscientização. Não podemos baixar a guarda. Quanto mais expostos e mais digitais nós formos, quanto mais integrados forem os sistemas, maior será o nível de segurança demandado.
Thiago Zaninotti: Quando se fala em segurança, qual é o ponto crucial no processo do open finance?
Wagner Elias: A questão fundamental nesse processo do open banking, do open finance, está relacionada às APIs (do inglês Application Programming Interface), ou protocolo de interface de aplicativos. As APIs são o coração de todo o ecossistema, são elas que permitem o intercâmbio de dados entre as partes relacionadas.
Então, primeiro as APIs têm que estar muito bem definidas, claras e com todos os seus endpoints protegidos. Cada campo tem que ser muito bem validado. Outra questão importante é a arquitetura. A API é a comunicação entre as partes, mas é preciso verificar a arquitetura que compõe as soluções dos dois lados, tanto de um banco que está compartilhando os dados, como de uma terceira parte que vai integrar para consumir esses dados.
Se eu integro uma API que é segura, mas não protejo esse dado na base, tenho um risco de os dados serem comprometidos e afetarem não só a parte que integrou, mas todos os envolvidos no compartilhamento dos dados, via exposição das suas APIs.
Então todo o processo de desenvolvimento seguro, toda a construção da aplicação e da sua arquitetura, deve ser muito bem pensado e resiliente, porque qualquer uma das pontas que tiver seu dado comprometido pode comprometer todo o ecossistema.
Thiago Zaninotti: Qual o antídoto para evitar as falhas de segurança?
Wagner Elias: As empresas têm que se conscientizar sobre a importância de realizar testes. O open banking tem um sandbox, ou seja, um ambiente de testes para as instituições participantes. Esse ambiente permite que as empresas façam toda a homologação, realizem os testes e a validação antes de colocar essas APIs em produção.
Mas, independentemente disso, toda a arquitetura precisa ser muito bem pensada. Não adianta consumir esse dado num ambiente sandbox e fazer determinados testes se, quando colocar em produção, não levar em consideração uma arquitetura segura, sem verificar algum ponto ou componente vulnerável, capaz de comprometer o acesso aos dados.
Construir toda a solução de maneira segura, principalmente a arquitetura, é o segredo desse processo todo. É o que chamamos de secure by design, quando se consegue pensar na resiliência ao construir a aplicação, desde o início.
Então uma coisa é construir um micro serviço ou uma aplicação que vai consumir uma API do zero e já pensar em vários cenários, fazer uma modelagem de ameaça, para conseguir construir uma aplicação segura. Outra coisa é integrar um internet banking, por exemplo, que geralmente apresenta legados, sistemas construídos há bastante tempo e que não possuem, por concepção, toda uma arquitetura segura. Isso demanda bastante revisão.
Os maiores desafios estão nas integrações de sistemas legados. Na Conviso, realizamos esse trabalho: ajudamos a construir uma arquitetura segura mesmo integrando sistemas legados, mas principalmente atuamos na construção de sistemas novos, com a preocupação em construir uma solução segura.