Brasil,

Open Banking: Quando a desconfiança e o risco são partes centrais do negócio

  • Crédito de Imagens:Divulgação - Escrito ou enviado por  Fabiana Nogueira
  • SEGS.com.br - Categoria: Economia
  • Imprimir

Raphael Saraiva - Líder de Inovação da Netbr

O desafio de sincronizar a experiência do usuário com as exigências de segurança e formalidades de compliance já era um dado inadiável devido à nova magnitude digital, especialmente após a pandemia. Mas responder a este desafio se torna questão de vida ou morte para empresas médias e grandes na perspectiva de alguns meses, se levarmos em conta a eclosão mundial do Open Banking.

No caso específico do Brasil, o manual de segurança do Banco Central para o PIX, já em vigor, acompanha as determinações da diretiva europeia (PSD2), e acrescenta uma teia de mandamentos locais que são inerentes ao SPB (Sistema de Pagamentos Brasileiro). E ainda incorpora um vasto escopo regulatório dos direitos civis, penais e tributários, como as leis de lavagem de dinheiro, os direitos do consumidor imbricados no CPC, e mais recentemente, na LGPD.

Entre outros complicadores, o modelo especifica a implementação de um inicializador comum de transações compartilhando dados de terceiros. Sendo que cabe aos participantes institucionais garantir a privacidade e a soberania do cliente sobre estes conjuntos de dados. Estabelece também as normas de funcionamento do PSP (prestador de serviços de pagamento) e um emaranhado de regras de autenticação dos pagadores e recebedores (individuais ou PJ) e sua formas de interação com a instância comum de registro DICT (Diretório de Identidade de Contas Transacionais).

Para sorte de todos nós, a comunidade mundial de gerenciamento de identidade e acesso vem fortalecendo as metodologias de controle massivo e pervasivo de identidades em redes críticas (e agora todas as redes são críticas) através de instrumental da governança e da extensão das políticas de IAM para além dos limites da rede "interna".

Com uma combinação de governança e abrangência de controles, o CIAM (Customer Identity and Access Management), integrado a uma rede com automação dos critérios de verdade, permite massificar a arquitetura de operação orientada para o risco. Ele traz para o atual legado estático das empresas a dinâmica de funcionamento exigida pelo ambiente multi-cloud e compatível com as imposições do PIX.

Uma das premissas desse esquema é que ele retira das costas do fragilíssimo usuário a responsabilidade pela parte substancial da segurança sistêmica, ao não mais entregar a ele a propriedade de uma senha decorada como fator quase soberano de autenticação. Ou a de simplesmente contar com a educação e confiabilidade do usuário para mitigar os riscos do Phishing e outras técnicas maliciosas.

Hoje, os marketplaces do crime oferecem ao hacker sênior, ou mesmo aos "scriptkids", ferramentas de automação de ataques (o evilginX2 é só uma delas), permitindo a duplicação de URLs reais de bancos ou varejistas em uma camada Proxy. Não mais uma simulação, mas uma apropriação da interface com todos os indicadores de autenticidade e segurança para interagir com o usuário. A partir daí, basta capturar a digitação/navegação do cliente, absorver sua identidade e coletar todos os requisitos de autenticação da credencial, incluindo-se aí as senhas, tokens de acesso e tokens de sessão. Ao lado disto, estão sendo disseminadas novas estratégias personalizadas de Phishing baseadas em engenharia social (spear-phishing) e, mais recentemente, até com o uso de deepFake.

Além da implementação do CIAM, uma arquitetura "zero trust" e de baixo atrito para o Open Banking terá de contar com evoluções que vêm sendo adotadas por autoridades financeiras que já estão à frente do Brasil. Entre os requerimentos-chave não podem faltar as ferramentas de assinatura e acesso unificado (Autenticação, Federação, Single Sign On), cujo objetivo é facilitar ao máximo a abertura de uma sessão de acesso, gerando um nível de "confiança pontual monitorada" com base na combinação da senha única com a interpolação de múltiplos fatores físicos, lógicos, históricos e combinação com indicadores de contexto e autorização.

Os processos de autenticação mais eficazes nas implementações open banking mundo afora são os que governam os processos de credenciamento/descredenciamento e autenticação "just in time" levando em conta a verificação online dos dispositivos de consumo e dos dispositivos de autorização da instituição financeira. Bem como fazendo a checagem da natureza desta interação financeira (em escala de segundos em regime 24/7) e ainda garantindo as regras de compliance dessa indústria e o arcabouço legal/regulatório.

É o que acontece hoje em dia com o emprego do modelo de autenticação CIBA (Connect Client Initiated Backchannel Authentication). Ele verifica a integridade e autenticidade das credenciais de todas as partes e solicita ao cliente da transação a formalização de suas permissões de uso de dados pessoais e aceite da transação, documentando todo o processo. Uma garantia fundamental para o usuário, para o negócio financeiro e para instituições, inclusive no âmbito jurídico.

Este modelo de fluxo vem, em geral, associado a uma camada de gerenciamento de API de grau financeiro (FAPI), reconhecida pela autoridade financeira e compreendendo os protocolos de segurança e privacidade para acesso dos aplicativos a dados de operações de pagamento ou transferência de fundos.

A organização e governança de bilhões de transações /dia envolvendo valores financeiros e diversas classes de agentes que o Open Banking introduz, necessita encontrar caminhos de evolução que possibilitem sua implementação sem apagar o legado e sem gerar atrasos de time to market. Suas exigências de mudanças terão de ser atendidas "a quente", sem perturbar o dia a dia da economia global e tendo de trazer a reboque uma eficiência bancária que no Brasil e, provavelmente em todo o mundo, lastreia-se em tecnologias altamente fechadas e conservadoras.

Será emocionante assistir de que forma os bancos, o varejo, as autoridades financeiras e as cadeias de suprimento irão se comportar nesses próximos meses em que se avizinha o prazo final do Bacen para a plena operação do Open Banking.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

voltar ao topo

Adicionar comentário

Aja com responsabilidade aos SEUS COMENTÁRIOS, em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!

Security code Atualizar

Enviar