Desafio para novas entrantes do setor de pagamentos e alcançar equilíbrio

Desafio para novas entrantes do setor de pagamentos e alcançar equilíbrio entre inovação e segurança, dizem especialistas

Para Armando Santos, Account Manager para Pagamentos da Kryptus, é importante para uma fintech, quando se pensa em inovação e segurança, buscar soluções escaláveis que permitam construir uma infraestrutura robusta

As inovações que estão sendo implementadas na área bancária pelo Banco Central, como o Pix, open banking e open finance, devem democratizar o sistema financeiro, tornando-o mais moderno, inclusivo e competitivo, mas, em contrapartida, tendem também a fomentar ataques cibernéticos. Especialistas em cibersegurança da Kryptus, Seven e Ecoscard avaliam que, do mesmo modo que a reformulação do setor removeu barreiras importantes para a entrada de novas instituições no mercado, espera-se um aumento de ameaças, fraudes e golpes virtuais, principalmente aos sistemas de crédito e de pagamentos.

“Nesse cenário de transformação digital dos meios de pagamento, sem dúvida nenhuma aumenta muito a preocupação das instituições financeiras e dos usuários com as fraudes”, salienta Armando Santos, Account Manager para Pagamentos, da Kryptus, empresa provedora de soluções de segurança cibernética e criptografia para aplicações empresariais, governamentais e militares. Ele cita como motivo dessa apreensão o fato de o Brasil ser o campeão mundial de vazamento de dados de cartões, com base no “Relatório de Atividade Criminosa Online” da Axur, empresa de monitoramento e reação a riscos digitais na internet.

O diretor de tecnologia da Seven Tech Group, Evandro Prieto, observa que, embora o objetivo do Banco Central com iniciativas como o open banking seja promover a democratização dos serviços financeiros através da tecnologia, só podem participar do novo sistema instituições autorizadas e supervisionadas pelo BC, ficando sujeitas a sanções administrativas por eventual quebra de sigilo bancário ou vazamento de dados.

Segundo ele, o BC quebrou a principal barreira de entrada de novas instituições no mercado com a exigência de compartilhamento de dados dos clientes pelos bancos tradicionais, porém manteve todo um arcabouço de requerimentos necessários, como, por exemplo, a certificação PCI PIN Security, exigida a todas as empresas que atuam no segmento de meios de pagamento por cartão eletrônico. “Nós entendemos que as barreiras de entrada são necessárias, principalmente quando se trafega dados sensíveis de cartão de crédito, para que se garanta a segurança nas transações de pagamentos através de procedimentos e processos rigorosos”, diz Prieto.

A mesma opinião tem Victor Viana, gerente de TI da Ecoscard, empresa de segurança da informação com foco em pagamentos, para quem os regulamentos estabelecidos pelo BC para novas instituições financeiras e de pagamento são importantes, uma vez que está havendo a migração das fraudes com o crescimento dos meios de pagamento digitais. “O crescimento das compras online, por exemplo, levou ao desenvolvimento do protocolo 3DS2 (ou 3D Secure 2.0), que permite aos bancos e instituições de pagamento autenticarem de forma mais segura e rápida o portador do cartão em transações de e-commerce. Com ele, é possível capturar quase dez vezes mais informações em relação à primeira versão do protocolo, o que possibilita inclusive meios de autenticação silenciosa e, consequentemente, uma experiência de compra mais fluida e intuitiva para o usuário.”

Este, aliás, é um dos principais desafios para os novos entrantes no segmento de meios de pagamento, apontado por Santos, da Kryptus. Ele observa que uma das questões mais difíceis de serem superadas na implementação de uma infraestrutura é equilibrar a segurança e inovação e os investimentos. Por isso, segundo ele, é importante para uma fintech de pagamentos, quando se pensa em inovação e segurança, buscar soluções que escalem conforme o crescimento do negócio e que permitam desde o início construir uma infraestrutura robusta, com a guarda segura das chaves criptográficas e em conformidade com o PCI PIN Security.

Para Prieto, da Seven, a nova entrante no mercado de pagamentos precisa ter claro em sua estratégia quais tecnologias serão internalizadas para proteger o core business da empresa e quais serão buscadas no mercado de empresas especializadas. “Não adianta procurar reinventar a roda e querer desenvolver toda a cadeia porque, além de altamente custoso, vai atrasar muito a entrada da empresa no mercado.” 

O executivo cita a própria Seven, que fornece consultoria e plataforma de software para o setor financeiro e decidiu apostar no processamento de cartões. A empresa criou a Onnipro, especializada em soluções de processamento, emissão e suporte para operações de cartão de crédito, pré e pós-pagos, bandeirado e private label, e fechou parceria com a Kryptus e Ecoscard. “Combinamos o hardware de segurança (HSM) da Kryptus, o kNET, com as APIs e a expertise da Ecoscard, para ser o alicerce de segurança da Onnipro”, salienta Prieto.

Viana, da Ecoscard, acrescenta que o fundamento de qualquer arranjo de meio de pagamento eletrônico é a segurança da informação, seguindo os princípios da  autenticidade, integridade e confidencialidade. Nesse sentido, ele observa que existem três perfis de empresas: O primeiro é da empresa que busca segurança para se adequar às normas, como o PCI PIN Security ou ao PCI-DSS. Normalmente, ela adquire um módulo de hardware de criptografia (HSM) já com as certificações necessárias e acopla uma segurança perimetral. 

Um segundo perfil de empresa, de acordo com ele, é aquela mais preocupada com ataques cibernéticos, cujo foco é na proteção contra ameaças e na resposta a incidentes. Por fim, há as que enxergam a segurança da informação como forma de agregar valor à empresa, como cita: “há a empresa que já tem a infraestrutura montada, com as chaves criptográficas protegidas e toda a segurança perimetral. “Esse perfil é de uma empresa mais visionária, que, por ter uma base mais sólida, consegue lançar produtos mais rapidamente no mercado, que facilmente irão escalar, porque ela já tem esse background”, detalha Viana.

PIX

Os equipamentos kNET da Kryptus são a melhor escolha custo benefício para seu projeto de Sistema de Pagamento Instantâneo


kNET para o novo Sistema de Pagamento Instantâneo