Open Banking: seus dados estarão seguros?

Em breve, o compartilhamento de dados entre instituições bancárias, autorizado pelo titular, será uma realidade usual para quem utiliza serviços financeiros. Especialista em Cibersegurança orienta sobre o que se deve fazer para proteger informações pessoais

São Paulo, outubro de 2021 - Falta pouco para o Open Banking - sistema de compartilhamento entre clientes e bancos que dá aos usuários o poder de administrar seus próprios dados financeiros - estar definitivamente incorporado na vida dos brasileiros. Se por um lado essa inovação proporciona a melhor experiência ao cliente, por outro inspira cuidados em relação à segurança das informações.

Em 11 de outubro, a plataforma passará a funcionar 24 horas por dia, sete dias por semana, e até dezembro deste ano todas as fases do Open Banking estarão concluídas, permitindo que se faça transações com a instituição financeira de interesse do usuário como e quando ele desejar. Para utilizar o sistema, o titular dos dados precisa autorizar o compartilhamento tanto para a empresa que detém as informações quanto para a que vai recebê-las.

Embora a Lei Geral de Proteção de Dados (LGPD) e as regras do Banco Central garantam a proteção de dados pessoais, é preciso atenção para não expor indevidamente as aplicações e informações. Nesse cenário, o cuidado deve existir nas duas pontas: a instituição e o usuário.

Do ponto de vista técnico, há gargalos críticos nas interfaces e aplicativos atrelados aos serviços bancários, chamadas APIs (Interface de Programação de Aplicações). Para facilitar a usabilidade, elas podem armazenar informações que ficariam expostas em eventuais ataques. Segundo o coordenador de Red Team da Cipher, Alexandre Armellini, uma medida de rotina necessária às instituições é a averiguação e limpeza periódica das APIs, com realização de testes de nível elevado.

Ele acrescenta que as instituições precisam estar preparadas e possuírem diversas camadas de controles de segurança, como criptografia e dupla autenticação, entre outros, mas não podem esquecer que o usuário é o elo mais fraco da cadeia cibernética e alvo das estratégias de engenharia social dos cibercriminosos. Com as inovações, inevitavelmente surgem novas modalidades de fraudes que vão desde o aperfeiçoamento dos já conhecidos phishings e vishings (páginas e links maliciosos) até os temidos ransomwares, que podem levar ao sequestro e potencial perda de dados.

O especialista da Cipher também alerta que os dispositivos de entrada, sejam eles telefones, computadores ou outros equipamentos conectados, precisam ser observados com cautela, pois costumam conter dados pessoais acessíveis a aplicações com baixos níveis de segurança.

Nesse sentido, Armellini aconselha as instituições a oferecerem informação aos seus clientes. Ele explica que o trabalho de conscientização precisa ser sistemático para criar uma cultura de prevenção junto ao grande público. “Educar as pessoas é tão importante quanto análises técnicas de vulnerabilidades. Não adianta trancar as portas se o usuário tem as chaves e pode abri-la, sem querer, a cibercriminosos”.

Sobre Alexandre Armellini

Formado em Análise de Sistemas, Alexandre Armellini é coordenador do Red Team LATAM da Cipher. Atuou em empresas como Pirelli, 3M, Coca-Cola Company e IBM, onde colaborou com a área de patenteamento de produtos. Está no segmento de Segurança Cibernética desde 2005, liderando equipes em diferentes projetos ao redor do mundo, exercendo funções de Hacker Ético, CSM (Scrum-Master), CSPO (Proprietário do Produto Scrum) e Consultor de Segurança e Risco em diferentes ambientes. Autor de artigos e com participação em livros especializados, Armellini é especialista em Testes de Penetração, Testes de Segurança Física e Lógica e Análises de Risco, entre outras, acumulando prêmios e certificações ao longo de sua carreira.

Sobre a CIPHER

Fundada em 2000, a CIPHER, uma empresa global do Grupo Prosegur, especializada em segurança cibernética, oferece uma ampla gama de produtos e serviços, suportadas pelo melhor laboratório em segurança da Informação: o Intelligence Lab. Com escritórios localizados na América do Norte, Europa e América Latina, possui seis centros de operação de segurança 24/7, complementados por parceiros estratégicos ao redor do mundo.

A CIPHER é altamente acreditada como provedora de Serviços Gerenciados de Segurança (MSS) por meio das certificações da empresa como ISO 20000 e ISO 27001, SOC I e SOC II, PCI QSA e PCI ASV.

A CIPHER também recebeu diversos prêmios, incluindo melhor MSSP da Frost & Sullivan nos últimos seis anos consecutivos. Os seus clientes são compostos por grandes empresas e agências de governo, com inúmeros cases de sucesso. A CIPHER provê às organizações, por meio de tecnologias avançadas e especializadas, serviços que os protegem contra ameaças, enquanto gerenciam riscos e asseguram a operação através de soluções inovadoras.