Por: Edilma Rodrigues

Pagamentos, transferências e outras transações financeiras vão acontecer praticamente em tempo real, 24 horas por dia e em todos os dias do ano, inclusive sábados, domingos e feriados, a partir de novembro. Lançado pelo Banco Central em fevereiro, o PIX, nome dado ao sistema de pagamento instantâneo brasileiro, demanda das instituições – bancos, fintechs, instituições de pagamento, cooperativas e provedores de serviço de iniciação de pagamento – a adequação a um conjunto comum de requisitos, regras e padrões definidos pelo regulador para a segurança nas transações.

Assim, a preocupação com a segurança e a proteção de dados se torna um dos principais desafios das instituições financeiras na implementação do pagamento instantâneo e a razão é um problema antigo: a fraude. Manter as transações seguras pode ser especialmente difícil quando são enviadas, recebidas e verificadas em apenas 10 ou 20 segundos.

Os principais requisitos técnicos quanto à segurança

O regulador estabeleceu requisitos técnicos de segurança do ecossistema de pagamentos instantâneos (PIX): como devem ser implementadas a criptografia da comunicação, a autenticação, os processos de assinatura digital e de gestão dos certificados digitais utilizados no ecossistema, bem como os aspectos de segurança associados à iniciação de pagamentos por QR Codes dinâmicos.

No manual de segurança desenvolvido pelo BC constam de forma minuciosa essas especificações. A criptografia e autenticação mútua na comunicação entre os participantes e o PIX e as mensagens transmitidas no âmbito do sistema, por exemplo, devem ser assinadas digitalmente. “Em ambos os casos são utilizados certificados digitais ICP-Brasil2 no padrão SPB. A iniciação de pagamentos, em especial quando ocorre por meio de QR Codes dinâmicos, também possui aspectos de segurança importantes que devem ser considerados,” descreve.

O BC determina que a comunicação entre cada PSP – Payment Service Provider ou Provedor de Serviços de Pagamento – e o PIX seja feita por meio da Rede do Sistema Financeiro Nacional (RSFN). A conexão do PSP com a RSFN deve observar as regras e padrões dispostos no Manual de Redes do SFN3.

“O PSP deve se conectar às APIs disponíveis no PIX exclusivamente por meio do protocolo HTTP versão 1.1 utilizando criptografia TLS versão 1.2 ou superior, com autenticação mútua obrigatória no estabelecimento da conexão. Deve ser suportada, no mínimo, a Cipher Suite ECDHE-RSA-AES-128-GCM-SHA256 (0xc02f). Tanto o servidor (Banco Central) como o cliente (PSP) devem utilizar certificados ICPBrasil no padrão SPB. Os clientes HTTP do PSP devem sempre respeitar o TTL (Time To Live) dos servidores DNS. A falha em respeitar o TTL pode causar indisponibilidade no acesso às APIs do PIX,” especifica o manual de segurança.

De maneira mais didática, os requisitos fundamentais de segurança estabelecidos pelo BC são:

  • O uso de Assinatura digital nas mensagens. O receptor deve validar a assinatura digital de cada mensagem para garantir sua autoria, integridade e o não-repúdio.
  • Aplicação e uso de certificados digitais nos processos de criptografia e autenticação: As instituições financeiras devem adotar certificados ICP-Brasil que suportem a utilização para autenticação e criptografia. Para a assinatura digital deverão ser utilizados certificados ICP-Brasil no padrão SPB.
  • Uso de HSM para gerenciamento de certificados digitais. As instituições financeiras devem ter processos adequados de gestão dos seus certificados digitais. A recomendação é utilizar dispositivos de criptografia baseados em hardware (HSMs) para armazenamento das chaves privadas dos certificados utilizados nas transações realizadas no pagamento instantâneo.

Especialistas avaliam que a incorporação destes e de outros requisitos estabelecidos pelo BC para pagamentos instantâneos terão que ser implementados em projetos estruturais mais amplos e de longo prazo. Isso porque as instituições terão que incorporar a seus sistemas diversas tecnologias tanto para garantir a segurança e a proteção de dados como para levar aos usuários uma experiência agradável, que torne seus aplicativos fáceis de usar para iniciar o pagamento, tenham velocidade, disponibilidade e estabilidade.

Fonte: Cantarino Brasileiro

VOCÊ PODE GOSTAR:
WhatsApp é seguro para enviar e receber dinheiro
WhatsApp é seguro para enviar e receber dinheiro

WhatsApp é seguro para enviar e receber dinheiro? Há risco de golpe? Com o lançamento Leia mais

Quem não aderir ao PIX estará morto no mercado
Quem não aderir ao PIX estará morto no mercado

A empresa de telefonia também está de olho no sistema de pagamentos instantâneos em desenvolvimento Leia mais