Segurança do open banking: o que você precisa saber

Treasury
Treasury

O Stripe Treasury é uma API de banco como serviço que permite integrar serviços financeiros ao seu marketplace ou plataforma.

Saiba mais 
  1. Introdução
  2. Para que serve o open banking?
  3. Como funciona o open banking?
  4. Quais são os desafios de segurança do open banking?
    1. Privacidade e consentimento de dados
    2. Acesso à API
    3. Riscos de terceiros
    4. Criptografia e integridade de dados
    5. Detecção de fraudes
    6. Conformidade regulatória
    7. Gerenciamento de identidades e acesso
    8. Resiliência e resposta a incidentes
  5. Como funcionam as APIs com o open banking?
  6. Segurança de APIs no open banking
    1. Autenticação e autorização
    2. Criptografia
    3. Gateways de API
    4. Práticas seguras de desenvolvimento de APIs
    5. Limitação de fluxo
    6. Auditorias de segurança e testes de penetração regulares
    7. Sistemas de detecção e resposta a anomalias
  7. Uso de uma estratégia de segurança baseada em risco
  8. Implementação de políticas de confiança zero
  9. Identificação e proteção contra vulnerabilidades
  10. Comece a usar a Stripe 

O open banking é a prática de permitir que provedores de serviços financeiros externos acessem dados de clientes de bancos e outras instituições financeiras. Os clientes têm controle sobre quem pode acessar seus dados e devem concordar com seu compartilhamento com terceiros. Esses dados compartilhados, acessados por meio de interfaces de programação de aplicativos (APIs), permitem maior inovação e concorrência no setor financeiro, possibilitando o surgimento de fintechs e novas ofertas no mercado de serviços financeiros. O valor total das transações de pagamentos globais com open banking deve aumentar de US$ 57 bilhões em 2023 para mais de US$ 330 bilhões até 2027.

O open banking, quando feito de forma segura e legal, é desenvolvido sobre uma base de segurança que protege os dados financeiros sigilosos compartilhados entre as entidades. A seguir, explicamos como o open banking funciona e quais medidas preservam a segurança dos dados do cliente, incluindo a segurança de APIs e as estratégias de identificação e proteção.

Neste artigo:

  • Para que serve o open banking?
  • Como funciona o open banking?
  • Quais são os desafios de segurança do open banking?
  • Como funcionam as APIs com o open banking?
  • Segurança de APIs no open banking
  • Como usar uma estratégia de segurança baseada em riscos
  • Implementação de políticas de confiança zero
  • Identificação e proteção contra vulnerabilidades

Para que serve o open banking?

O open banking facilitou o compartilhamento de dados para aprimorar os serviços financeiros oferecidos a clientes e empresas. Veja a seguir algumas ferramentas e recursos financeiros viabilizados pelo open banking:

  • Aplicativos de orçamento e poupança: o open banking possibilitou a criação de aplicativos de terceiros que agregam dados das contas bancárias dos usuários e oferecem recomendações de orçamento e poupança com base nessa visão abrangente.

  • Melhores decisões de crédito e empréstimos: por meio do open banking, os credores podem acessar e analisar rapidamente mais dados financeiros, o que pode melhorar as decisões de crédito e agilizar as aprovações de empréstimos.

  • Serviços bancários personalizados: as instituições financeiras podem usar os dados acessados pelo open banking para oferecer produtos e serviços personalizados, como taxas de juros ajustadas às necessidades de cada cliente.

  • Pagamentos diretos em conta: as APIs de open banking podem ser usadas para iniciar pagamentos diretamente de uma conta bancária, sem passar pelos sistemas de pagamento tradicionais, como cartões de crédito, o que pode reduzir as tarifas de transação.

  • Melhor detecção de fraudes: o acesso a dados em tempo real permite que instituições financeiras e provedores de serviços melhorem seus recursos de detecção de fraudes, reduzindo o risco de transações não autorizadas.

  • Gestão do fluxo de caixa: as empresas podem usar soluções de open banking para integrar dados de diferentes contas em uma plataforma e obter uma melhor compreensão do seu fluxo de caixa.

  • Insights de mercado: as empresas podem analisar os dados bancários disponibilizados pelo open banking para obter insights sobre comportamento do cliente, tendências de mercado e condições econômicas.

Como funciona o open banking?

O open banking usa APIs para compartilhar dados financeiros entre bancos e provedores externos autorizados. O compartilhamento de dados depende do consentimento do cliente e é regulamentado por diversas estruturas. Veja como o open banking funciona:

  • Desenvolvimento de APIs: os bancos desenvolvem ou adotam APIs padronizadas que permitem que provedores externos acessem os dados financeiros. Essas APIs atuam como gateways seguros para solicitações e respostas de dados.

  • Consentimento do cliente: o cliente consente explicitamente que um provedor externo acesse seus dados financeiros. Normalmente, o consentimento é gerenciado por meio de uma interface segura e a lei exige que seja informado e explícito.

  • Acesso aos dados: após o consentimento, o provedor externo usa as APIs para solicitar acesso aos dados financeiros do cliente junto ao banco. As APIs tratam essas solicitações de forma segura e padronizada.

  • Autenticação e autorização: o banco confirma a identidade do cliente e verifica se o provedor externo tem autorização para acessar os dados. Geralmente, o processo envolve etapas de autenticação, como login no portal do banco ou outras verificações de segurança.

  • Compartilhamento de dados: após a autenticação e autorização, o banco usa a API para compartilhar os dados solicitados com o provedor externo. Os dados podem incluir saldos de contas, históricos de transações, recursos de iniciação de pagamentos e outras informações.

  • Uso dos dados: o provedor externo usa esses dados para oferecer serviços ao cliente. Isso pode incluir gerenciamento financeiro, consultoria financeira personalizada, processos de empréstimo mais fáceis ou serviços de pagamento.

  • Consentimento e segurança contínuos: os clientes podem gerenciar ou retirar o consentimento a qualquer momento. Os bancos e provedores externos devem cumprir medidas rígidas de segurança para proteger os dados e garantir a privacidade.

  • Estrutura regulatória: O open banking é regulado por órgãos governamentais e por legislação nacional, que ditam os padrões de segurança, procedimentos de consentimento do cliente e tipos de dados que podem ser compartilhados no open banking. Os reguladores monitoram continuamente bancos e provedores externos para garantir o cumprimento das regulamentações de open banking.

Quais são os desafios de segurança do open banking?

O open banking aumenta a exposição de dados financeiros sigilosos e exige medidas avançadas de segurança para proteger esses dados contra acesso não autorizado. Os desafios de segurança apresentados pelo open banking devem ser enfrentados com uma combinação de tecnologia avançada, processos de segurança bem projetados e vigilância contínua. Veja a seguir os principais desafios de segurança no open banking:

Privacidade e consentimento de dados

Os dados financeiros pessoais só podem ser acessados com a clara concordância dos clientes, que devem poder revogar esse acesso a qualquer momento.

Soluções

  • Implemente sistemas de última geração para gerenciar o consentimento.
  • Ofereça aos clientes opções simples para controlar seus dados.
  • Mantenha a conformidade com leis de privacidade rigorosas, como o Regulamento Geral de Proteção de Dados (GDPR).

Acesso à API

As APIs abrem portas para os dados e devem ser bem protegidas contra acessos não autorizados e ataques.

Soluções

  • Usar métodos de autorização modernos, como o OAuth 2.0.
  • Garantir o fortalecimento das APIs com ferramentas como TLS (Transport Layer Security) para autenticação.
  • Monitorar o uso para prevenir e detectar atividades incomuns.

Riscos de terceiros

Os serviços de terceiros apresentam níveis variados de segurança.

Soluções

  • Avalie minuciosamente as medidas de segurança de todos os provedores externos.
  • Monitore continuamente os fornecedores externos.
  • Insista no cumprimento de altos padrões de segurança.

Criptografia e integridade de dados

Os dados devem ser criptografados para evitar que sejam adulterados ou lidos, se interceptados.

Soluções

  • Use técnicas de criptografia forte para dados em repouso e em trânsito.
  • Verifique regularmente a integridade dos dados usando técnicas como assinaturas digitais.

Detecção de fraudes

Um acesso ampliado aos dados pode levar a novos tipos de fraude.

Soluções

  • Use machine learning avançado para detectar fraudes assim que ocorrem.
  • Configure um sistema para observar e reagir rapidamente a ações suspeitas.

Conformidade regulatória

As regulamentações podem variar por região e mudar com o tempo, afetando a forma como os dados devem ser tratados.

Soluções

  • Construa uma estratégia de conformidade que possa se ajustar rapidamente às novas leis.
  • Mantenha sua equipe informada sobre os requisitos mais recentes.

Gerenciamento de identidades e acesso

Os usuários individuais devem ser verificados e seu acesso aos dados deve ser cuidadosamente gerenciado.

Soluções

  • Implemente sistemas sólidos de verificação de identidade e autenticação multifator (MFA).
  • Defina controles de acesso precisos.

Resiliência e resposta a incidentes

Os serviços devem funcionar sem problemas, mesmo quando ocorrem problemas. As violações de segurança devem ser resolvidas rapidamente para minimizar os danos.

Soluções

  • Preparar e atualizar regularmente planos de resposta a incidentes.
  • Assegurar que os sistemas de backup estejam disponíveis.
  • Executar exercícios de segurança regulares.

Como funcionam as APIs com o open banking?

As APIs são a espinha dorsal do open banking, oferecendo uma forma segura e padronizada de integração de aplicativos e serviços a bancos para acesso a dados financeiros. Veja como as APIs funcionam:

  • Atuam como um mensageiro seguro: as APIs enviam solicitações de dados (por exemplo, saldo da conta, histórico de transações) do aplicativo que você está usando (por exemplo, um aplicativo de orçamento) ao seu banco e trazem a resposta do banco para o aplicativo. Assim, você pode usar diversos serviços financeiros por meio de aplicativos de terceiros e manter seus dados bancários seguros.

  • Gerenciam permissões: quando você usa um serviço ou aplicativo financeiro pela primeira vez, a API pergunta se o aplicativo pode acessar seus dados. Se você disser que sim, a API garante que o aplicativo obtenha apenas os dados de que precisa. Isso mantém você no controle de quem vê seus dados financeiros e garante que os aplicativos não acessem mais dados do que o necessário.

  • Fornecem dados em tempo real: as APIs permitem que os aplicativos recuperem dados atualizados diretamente do seu banco, como as transações mais recentes ou a verificação da propriedade da conta. Isso facilita uma grande variedade de serviços de tecnologia financeira, incluindo aplicativos de orçamento e aprovações automatizadas de empréstimos.

  • Padronizam a comunicação: as APIs de open banking seguem padrões específicos, ou seja, falam uma "linguagem comum", apesar de serem usadas por diferentes bancos e aplicativos, o que garante que aplicativos e serviços funcionem corretamente com diferentes bancos e instituições financeiras.

  • Mantêm a segurança e a privacidade: durante as transferências de dados, as APIs impõem medidas de segurança, como criptografia. Além disso, garantem que apenas as solicitações autorizadas sejam processadas. Elas atuam como um controle de passagem, impedindo o acesso não autorizado, mantendo a privacidade e protegendo os dados financeiros contra ameaças cibernéticas.

Segurança de APIs no open banking

A melhoria da segurança das APIs no open banking exige um sistema de várias camadas para garantir que todas as interações entre bancos, provedores externos e clientes sejam seguras e a integridade dos dados seja mantida. Estes são os aspectos de segurança que precisam ser abordados com APIs:

Autenticação e autorização

Os protocolos de autenticação e autorização garantem que as APIs sejam acessadas apenas por usuários e serviços legítimos.

  • OAuth 2.0: o OAuth 2.0 é um método de autorização que usa tokens em vez de credenciais. Cada token concede acesso a um conjunto específico de recursos por um período limitado, reduzindo o risco de roubo de tokens.

  • OAuth: o OAuth fornece métodos de obtenção de tokens para diferentes cenários, como códigos de autorização para aplicativos e credenciais de cliente para interações entre servidores.

Criptografia

A criptografia é usada para proteger os dados quando eles se movem entre sistemas (em trânsito) e quando estão armazenados (em repouso). O uso de protocolos criptográficos fortes e atualizados evita a interceptação por invasores.

  • TLS: o TLS protege dados em trânsito, criptografando dados trocados entre clientes e servidores.

  • AES: padrões avançados de criptografia (AES) são aplicados a entradas de banco de dados e outros armazenamentos de dados para proteger os dados em repouso.

Gateways de API

Os gateways de API gerenciam e protegem o tráfego para as APIs. Um gateway de API atua como um proxy reverso para aceitar todas as chamadas da API, agregar os serviços necessários para atendê-las e retornar o resultado apropriado. Ele lida com limitação de taxa, lista de permissões de IP e controle de acesso. Os gateways podem fornecer insights sobre padrões de tráfego e alertar os administradores sobre possíveis ameaças à segurança.

Práticas seguras de desenvolvimento de APIs

As APIs são seguras por projeto. Os desenvolvedores devem adotar o Open Web Application Security Project (OWASP) API Security Top Ten, um documento de conscientização sobre a segurança de APIs.

  • Validação de entradas: a validação de entrada evita ataques de injeção de SQL e cross-site scripting (XSS).

  • Registro em log de transações de APIs: o registro em log detalhado de transações API garante a preparação para uma auditoria.

  • Revisões regulares de código: as revisões regulares de código identificam vulnerabilidades antes que resultem em violações de segurança.

Limitação de fluxo

A limitação de fluxo evita o abuso das APIs. O processo envolve limitar quantas solicitações um usuário ou serviço pode fazer em um determinado período. Se o número exceder o limite, solicitações adicionais serão atrasadas ou bloqueadas. A limitação ajuda a gerenciar a carga e garante que os serviços permaneçam disponíveis mesmo em cenários de alto volume de tráfego ou ataques.

Auditorias de segurança e testes de penetração regulares

As auditorias de segurança e os testes de penetração regulares avaliam continuamente a postura de segurança das infraestruturas de API. Essas práticas devem fazer parte de um protocolo de segurança regular e cumprir padrões e requisitos de conformidade do setor. Auditorias e testes de penetração rotineiros podem encontrar vulnerabilidades antes que elas sejam exploradas.

Sistemas de detecção e resposta a anomalias

Esses sistemas detectam e respondem a atividades incomuns que podem indicar uma violação de segurança. Usando machine learning e outras análises avançadas, eles monitoraram padrões de tráfego de APIs e sinalizam automaticamente atividades discrepantes. Muitas vezes, eles são integrados a mecanismos de resposta a incidentes para isolar e mitigar rapidamente possíveis ameaças.

Uso de uma estratégia de segurança baseada em risco

O uso de uma estratégia de segurança baseada em risco envolve a priorização de esforços e recursos de segurança de acordo com a probabilidade e o possível impacto de várias ameaças. Uma estratégia de segurança baseada em risco permite que uma organização permaneça mantenha a agilidade e a capacidade de resposta a novas ameaças e garanta que os recursos de segurança sejam usados de forma eficiente e concentrada nas áreas de maior necessidade. Isso é particularmente importante em ambientes com orçamentos de segurança limitados ou cenários de tecnologia em rápida evolução.

Veja como é o funcionamento normal de uma estratégia de segurança baseada em risco:

  • Avalie os riscos: identifique e avalie os riscos com base no seu possível impacto e na probabilidade de ocorrência. Mapeie os ativos da organização e determine as ameaças que cada ativo enfrenta, avaliando vulnerabilidades e os possíveis impactos dessas ameaças. Use técnicas como modelagem de ameaças e verificações de vulnerabilidades.

  • Priorize os riscos: determine quais riscos precisam de atenção imediata, quais podem ser monitorados e quais são aceitáveis. Classifique os riscos com base em sua gravidade e probabilidade, priorizando riscos de alto impacto e alta probabilidade para mitigação imediata.

  • Implemente controles: aplique os controles mais apropriados e econômicos para gerenciar e mitigar os riscos de maior prioridade. Implemente diferentes tipos de controles (por exemplo, preventivo, preditivo, corretivo) dependendo do risco. Os controles podem incluir soluções tecnológicas (como firewalls e criptografia), políticas e procedimentos, e programas de treinamento e conscientização.

  • Monitore os sistemas de segurança: monitore continuamente as medidas de gerenciamento de risco para garantir que elas sejam eficazes. Esse processo pode envolver auditorias de segurança regulares, o uso de sistemas de detecção de intrusão e o monitoramento de logs de acesso e outros eventos de segurança.

  • Aprenda e melhore: ajuste as medidas em resposta a novas ameaças, mudanças na organização ou lições aprendidas com o monitoramento contínuo. Use os comentários da fase de monitoramento e revisão para aprimorar as práticas de segurança e atualizar avaliações e controles de risco à medida que incidentes ocorrem e vulnerabilidades são identificadas.

Implementação de políticas de confiança zero

Enquanto os modelos de segurança tradicionais supõem que tudo o que está dentro da rede da organização é confiável, as políticas de confiança zero nunca supõem essa confiabilidade. A confiança zero exige verificação de identidade rigorosa para qualquer pessoa que tente acessar recursos da rede, dentro ou fora do perímetro da rede. Veja como as políticas de confiança zero costumam ser implementadas:

  • Verifique explicitamente: toda solicitação de acesso deve ser verificada antes da concessão, independentemente da origem da solicitação ou do recurso acessado. Use MFA, biometria e análise comportamental para verificar a identidade dos usuários e utilize uma autenticação baseada em contexto que considere variáveis como integridade, localização e horário de acesso do dispositivo.

  • Use o acesso com privilégio mínimo: minimize a exposição dos usuários a partes confidenciais da rede, concedendo a cada usuário e dispositivo o nível mínimo de acesso necessário para executar as tarefas. Gerencie esse acesso usando políticas e funções rígidas de controle de acesso, revisadas e atualizadas regularmente.

  • Segmentação: divida a rede em segmentos para reduzir o movimento lateral de invasores dentro da rede. Essa divisão cria microperímetros em torno de dados e sistemas confidenciais e dificulta a movimentação de um invasor pela rede, caso obtenha acesso.

  • Defesas em camadas: implemente várias camadas defensivas que um invasor precisa superar para acessar os recursos. Use uma combinação de firewalls, sistemas de detecção e prevenção de intrusões (IDS/IPS) e criptografia de dados em trânsito e em repouso.

  • Monitore e mantenha a segurança: monitore continuamente todo o tráfego de rede e atividades dos usuários para detectar e responder a ameaças em tempo real. Use sistemas de gerenciamento de eventos e dados de segurança (SIEM) para analisar e correlacionar logs a fim de detectar comportamentos anormais. O machine learning pode ajudar a reconhecer padrões discrepantes.

  • Segurança como processo integrado: garantir a segurança é uma consideração fundamental desde o início de qualquer projeto de TI e operação empresarial. Participe de treinamentos regulares de segurança para todos os funcionários e integre a segurança ao ciclo de vida de desenvolvimento de software (DevSecOps).

Identificação e proteção contra vulnerabilidades

A identificação e a proteção contra vulnerabilidades consistem na descoberta, categorização e abordagem sistemáticas de falhas de segurança ou debilidades de software e hardware que os invasores poderiam explorar. Normalmente, funciona assim:

  • Identificação de vulnerabilidades: realize verificações regulares de vulnerabilidades usando ferramentas automatizadas que comparam as configurações do sistema e o software instalado com bancos de dados de vulnerabilidades conhecidas. Os testes de penetração, em que hackers éticos tentam explorar vulnerabilidades, também fornecem insights sobre as debilidades do sistema.

  • Avaliação de vulnerabilidades: avalie as vulnerabilidades identificadas com base em fatores como a facilidade de exploração, o possível impacto da exploração e a extensão da exposição do sistema. Isso ajuda a priorizar os esforços de remediação de acordo com a natureza e a gravidade do risco apresentado.

  • Gerenciamento de correções: os fornecedores de software disponibilizam correções ou atualizações para eliminar vulnerabilidades. Implemente um processo sistemático para a aplicação oportuna de correções de segurança, atualizações e hotfixes para garantir que as vulnerabilidades sejam resolvidas assim que as correções estiverem disponíveis.

  • Gerenciamento de configuração: use ferramentas de gerenciamento de configuração para garantir que os sistemas sejam configurados de forma segura e mantidos em um estado consistente. Revise e proteja regularmente as configurações para minimizar superfícies de ataque e evitar vulnerabilidades devido a configurações incorretas ou configurações padrão.

  • Proteção contra ameaças do dia zero: utilize tecnologias avançadas de detecção de ameaças, como sistemas de detecção baseados em comportamento, que não dependem apenas de assinaturas de vulnerabilidade conhecidas. Elas identificam e mitigam atividades incomuns que podem indicar uma exploração em andamento e defendem contra vulnerabilidades ainda não conhecidas ou para as quais ainda não há uma correção.

  • Educação e conscientização: faça treinamentos contínuos de segurança cibernética para todos os funcionários com foco no reconhecimento de tentativas de phishing, gerenciamento seguro de senhas e compreensão da importância das atualizações regulares de software. Isso ajuda a minimizar erros humanos, que podem introduzir ou agravar vulnerabilidades.

  • Auditorias e verificações de conformidade periódicas: realize regularmente auditorias de segurança e verificações de conformidade para avaliar o grau de adesão às políticas de segurança e identificar lacunas na postura de segurança da organização. Isso garante que as práticas de segurança cumpram os padrões e regulamentos estabelecidos.

  • Planejamento de resposta a incidentes: desenvolva e teste regularmente um plano de resposta a incidentes que descreva as etapas a serem seguidas quando ocorrer uma violação de segurança. O plano deve incluir procedimentos de contenção, erradicação, recuperação e análise pós-incidentes.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Treasury

Treasury

O Stripe Treasury é uma API de Banking as a Service (BaaS ou "banco como serviço") que permite integrar serviços financeiros ao seu marketplace ou plataforma.

Documentação do Treasury

Conheça a API do Stripe Treasury.