As transações financeiras instantâneas ou pagamentos instantâneos, como também são conhecidos, vão desempenhar um papel fundamental na aceleração da economia. Um dos motivos que impacta diretamente no desenvolvimento do comércio em geral é falta de agilidade nas transações.
Apesar dos avanços tecnológicos que ocorreram até hoje, ainda temos muito o que melhorar.
Com o novo método de pagamento, batizado pelo Banco Central do Brasil de PIX, a meta principal da transferência eletrônica é realizar movimentações financeiras, a exemplo de uma transferência entre contas, em menos de dez segundos, a qualquer momento, em todos os dias da semana.
No entanto, o imediatismo desse novo método de pagamento, apesar dos seus inúmeros benefícios, levanta um problema: se os pagamentos instantâneos são feitos em tempo real, em um curto espaço de tempo, ele não será também suscetível a manobras fraudulentas e ataques virtuais?
Para reduzir esses riscos o banco central brasileiro definiu requisitos fundamentais de segurança para garantir a proteção das transações e dados dos usuários.
E mais uma vez, o uso da tecnologia será fundamental para que possamos adotar transações financeiras instantâneas de forma segura e eficiente, promovendo a transformação dos meios de pagamento.
O grande desafio das transações financeiras instantâneas
Como parte do desenvolvimento de soluções de pagamento instantâneo, os bancos enfrentam uma complexidade crescente de combater transações fraudulentas financeiras.
A velocidade das transações requer um tratamento anti-fraude totalmente automatizado, sem opções de revisão manual. O desafio é a proteção, mantendo o ritmo dos requisitos de conformidade em evolução.
De acordo com o Banco Central, através das especificações técnicas e de negócio do PIX, o ecossistema de transações financeiras instantâneas deverá ser projetado e desenvolvido considerando boas práticas de segurança.
Para isso, será fundamental garantir a privacidade e a proteção dos dados dos usuários.
Com base nesse contexto, será necessário atender aos seguintes requisitos de segurança do ecossistema determinados pelo BC:
Criptografia e autenticação mútua na comunicação
Cada Prestador de Serviços de Pagamento (PSP) deve se conectar ao PIX exclusivamente por meio do protocolo HTTP utilizando criptografia TLS.
Devendo haver autenticação mútua no estabelecimento da conexão, isto é, tanto o cliente como o servidor deverá apresentar certificados digitais para se autenticar.
Assinatura digital das mensagens trocadas durante os pagamentos instantâneos
Todas as mensagens transmitidas no PIX deverão ser assinadas digitalmente pelo emissor. O receptor verificará a assinatura digital de cada mensagem para garantir sua integridade e o não-repúdio.
Além disso, assinatura deve constar no Business Application Header (BAH) das mensagens ISO 20022, e o padrão adotado é o XMLDSig, utilizando o algoritmo RSA-SHA256 para assinatura.
Uso e gerenciamento de Certificados digitais
Tanto para criptografia da comunicação como para assinatura digital, deverão ser utilizados certificados ICP-Brasil no padrão SPB.
A ativação de um novo certificado para uma instituição financeira que faz uso das transações financeiras instantâneas se dará por meio de envio de arquivo específico no Sistema de Transferência de Arquivos (STA).
Após a validação do certificado pelo BC, ele será ativado automaticamente.
|
Manutenção de logs de segurança
Todos os participantes do ecossistema do PIX devem manter os logs de segurança para registrar todas as mensagens enviadas e recebidas, permitindo a auditoria das mensagens trafegadas.
Os registros deverão conter referências temporais que identifiquem o momento em que as mensagens foram assinadas. Além disso, os certificados usados e identificação dos algoritmos utilizados para verificar a assinatura das mensagens também deverão ser registrados.
Embora a essência da proteção dos pagamentos instantâneos esteja na criptografia de dados, como solução para proteger informações relativas as transações do PIX, as empresas podem ser desafiadas pelo custo e pela complexidade da implantação de criptografia.
Isso inclui o gerenciamento de certificados e assinaturas digitais, além dos módulos de segurança de hardware para protegerem as operações criptográficas.
De fato, o agravamento do cenário de ameaças, combinado com a adoção agressiva da nuvem e a evolução das regulamentações de privacidade, novos desafios relacionados à criptografia, acesso privilegiado e transações financeiras têm surgido para as instituições financeiras que buscam a evolução do setor.
Além disso, muitas organizações gostariam de implantar a segurança de dados de forma mais ampla, mas são frequentemente cautelosas devido às preocupações com requisitos, complexidade, custo e pessoal, particularmente com relação à criptografia e gerenciamento de chaves.
A tecnologia HSM é projetada para práticas de segurança e requisitos regulatórios
Quando se trata de transações financeiras instantâneas, a segurança é uma das questões mais importantes. Bancos e instituições financeiras podem sofrer perdas financeiras consideráveis em caso de fraude.
São necessárias soluções de proteção confiáveis e flexíveis, integradas aos sistemas de pagamento.
Um módulo de segurança de hardware (HSM) é um dispositivo físico que fornece segurança extra para dados confidenciais.
Esse tipo de dispositivo é usado para provisionar chaves criptográficas para funções críticas, como criptografia, descriptografia e autenticação para o uso de aplicativos, identidades e bancos de dados.
Como exemplo, as empresas podem usar um HSM para proteger segredos comerciais com valor significativo. O que garante que apenas indivíduos autorizados possam acessar o HSM para concluir uma transação de chave de criptografia.
No contexto aplicado das transações financeiras instantâneas, o HSM é recomendado para as instituições financeiras para realizar o processo adequado de gestão (geração, guarda, ativação e revogação) dos seus certificados digitais utilizados no âmbito do PIX.
As soluções de HSM são úteis para as empresas que precisam executar o gerenciamento de direitos digitais ou uma infraestrutura de chave pública.
Esses sistemas podem ser usados para fornecer altos níveis de segurança aos produtos que precisam, principalmente para garantir a conformidade regulamentar.
Os benefícios diretos do HSM aplicado as transações financeiras instantâneas
Há muitos benefícios em usar um HSM, esses sistemas geralmente são projetados para atender a rigorosos padrões governamentais e regulatórios, a exemplo do PIX do Banco Central.
Geralmente eles possuem fortes controles de acesso e modelos de privilégios baseados em funções, hardware desenvolvido especificamente para operações criptográficas e resistência a violações físicas, além de opções de API flexíveis para acesso.
O uso de um HSM é a maneira mais segura de armazenar chaves criptográficas e gerenciar seu ciclo de vida. Sua aplicabilidade agora é uma prática padrão para qualquer organização altamente regulamentada que emprega, por exemplo, serviços em nuvem.
Os provedores de nuvem que não oferecem ferramentas e recursos provavelmente perderão negócios dos clientes governamentais, financeiros e de saúde, que exigem fortes controles de proteção para todos os principais materiais.
Para contribuir no processo de transformação e ajudar na implantação do sistemas de transações financeiras instantâneas, a Eval possui soluções de assinatura e certificados digitais, a exemplo do E-VALCryptoCOMPE.
Tecnologia desenvolvida para disponibilizar Assinatura Digital com alto desempenho, ou mesmo o EVALCryptoSPB que hoje atende a assinatura digital de mensagens trocadas pelo Sistema Financeiro Nacional. Para ajudar nesse desafio, sua empresa pode contar com a ajuda da Eval.
Por fim, é necessário escolher um HSM de qualidade e para isso a Eval comercializa o Luna da Thales, líder mundial em HSM.
Sobre a Eval
A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital, e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.