Segurança

Open Banking: Quando a desconfiança e o risco são partes centrais do negócio

Hoje, os marketplaces do crime oferecem ao hacker sênior, ou mesmo aos “scriptkids”, ferramentas de automação de ataques...

Open Banking, o desafio de sincronizar a experiência do usuário com as exigências de segurança e formalidades de compliance já era um dado inadiável devido à nova magnitude digital, especialmente após a pandemia. Mas responder a este desafio se torna questão de vida ou morte para empresas médias e grandes na perspectiva de alguns meses, se levarmos em conta a eclosão mundial do Open Banking.

No caso específico do Brasil, o manual de segurança do Banco Central para o PIX, já em vigor, acompanha as determinações da diretiva europeia (PSD2), e acrescenta uma teia de mandamentos locais que são inerentes ao SPB (Sistema de Pagamentos Brasileiro). E ainda incorpora um vasto escopo regulatório dos direitos civis, penais e tributários, como as leis de lavagem de dinheiro, os direitos do consumidor imbricados no CPC, e mais recentemente, na LGPD.

Entre outros complicadores, o modelo especifica a implementação de um inicializador comum de transações compartilhando dados de terceiros. Sendo que cabe aos participantes institucionais garantir a privacidade e a soberania do cliente sobre estes conjuntos de dados. Estabelece também as normas de funcionamento do PSP (prestador de serviços de pagamento) e um emaranhado de regras de autenticação dos pagadores e recebedores (individuais ou PJ) e sua formas de interação com a instância comum de registro DICT (Diretório de Identidade de Contas Transacionais).

Para sorte de todos nós, a comunidade mundial de gerenciamento de identidade e acesso vem fortalecendo as metodologias de controle massivo e pervasivo de identidades em redes críticas (e agora todas as redes são críticas) através de instrumental da governança e da extensão das políticas de IAM para além dos limites da rede “interna”.

Com uma combinação de governança e abrangência de controles, o CIAM (Customer Identity and Access Management), integrado a uma rede com automação dos critérios de verdade, permite massificar a arquitetura de operação orientada para o risco. Ele traz para o atual legado estático das empresas a dinâmica de funcionamento exigida pelo ambiente multi-cloud e compatível com as imposições do PIX.

Uma das premissas desse esquema é que ele retira das costas do fragilíssimo usuário a responsabilidade pela parte substancial da segurança sistêmica, ao não mais entregar a ele a propriedade de uma senha decorada como fator quase soberano de autenticação. Ou a de simplesmente contar com a educação e confiabilidade do usuário para mitigar os riscos do Phishing e outras técnicas maliciosas.

Hoje, os marketplaces do crime oferecem ao hacker sênior, ou mesmo aos “scriptkids”, ferramentas de automação de ataques (o evilginX2 é só uma delas), permitindo a duplicação de URLs reais de bancos ou varejistas em uma camada Proxy. Não mais uma simulação, mas uma apropriação da interface com todos os indicadores de autenticidade e segurança para interagir com o usuário.

A partir daí, basta capturar a digitação/navegação do cliente, absorver sua identidade e coletar todos os requisitos de autenticação da credencial, incluindo-se aí as senhas, tokens de acesso e tokens de sessão.  Ao lado disto, estão sendo disseminadas novas estratégias personalizadas de Phishing baseadas em engenharia social (spear-phishing) e, mais recentemente, até com o uso de deepFake.

Além da implementação do CIAM, uma arquitetura “zero trust” e de baixo atrito para o Open Banking terá de contar com evoluções que vêm sendo adotadas por autoridades financeiras que já estão à frente do Brasil. Entre os requerimentos-chave não podem faltar as ferramentas de assinatura e acesso unificado (Autenticação, Federação, Single Sign On), cujo objetivo é facilitar ao máximo a abertura de uma sessão de acesso, gerando um nível de “confiança pontual monitorada” com base na combinação da senha única com a interpolação de múltiplos fatores físicos, lógicos, históricos e combinação com indicadores de contexto e autorização. 

Os processos de autenticação mais eficazes nas implementações open banking mundo afora são os que governam os processos de credenciamento/descredenciamento e autenticação “just in time” levando em conta a verificação online dos dispositivos de consumo e dos dispositivos de autorização da instituição financeira. Bem como fazendo a checagem da natureza desta interação financeira (em escala de segundos em regime 24/7) e ainda garantindo as regras de compliance dessa indústria e o arcabouço legal/regulatório.

É o que acontece hoje em dia com o emprego do modelo de autenticação CIBA (Connect Client Initiated Backchannel Authentication). Ele verifica a integridade e autenticidade das credenciais de todas as partes e solicita ao cliente da transação a formalização de suas permissões de uso de dados pessoais e aceite da transação, documentando todo o processo. Uma garantia fundamental para o usuário, para o negócio financeiro e para instituições, inclusive no âmbito jurídico.

Este modelo de fluxo vem, em geral, associado a uma camada de gerenciamento de API de grau financeiro (FAPI), reconhecida pela autoridade financeira e compreendendo os protocolos de segurança e privacidade para acesso dos aplicativos a dados de operações de pagamento ou transferência de fundos.

A organização e governança de bilhões de transações /dia envolvendo valores financeiros e diversas classes de agentes que o Open Banking introduz, necessita encontrar caminhos de evolução que possibilitem sua implementação sem apagar o legado e sem gerar atrasos de time to market. Suas exigências de mudanças terão de ser atendidas “a quente”, sem perturbar o dia a dia da economia global e tendo de trazer a reboque uma eficiência bancária que no Brasil e, provavelmente em todo o mundo, lastreia-se em tecnologias altamente fechadas e conservadoras.

Será emocionante assistir de que forma os bancos, o varejo, as autoridades financeiras e as cadeias de suprimento irão se comportar nesses próximos meses em que se avizinha o prazo final do Bacen para a plena operação do Open Banking.

Raphael Saraiva – Líder de Inovação da Netbr

Eder Oelinton

Jornalista, amante de tecnologia e curioso por natureza. Busco informações todos os dias para publicar para os leitores evoluírem cada dia mais. Além de muitas postagens sobre varias editorias!

Artigos relacionados

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Botão Voltar ao topo