21 de Fevereiro de 2019

Os APIs são seguros?

Uma API (Application Programming Interface) é um conjunto de funções e procedimentos que permite que duas aplicações falem uma com a outra, enviando pedidos e recebendo respostas.

APIs no Open Banking

Os APIs são relevantes para os profissionais de finanças e tesouraria devido a Banca Aberta e PSD2 (Directiva de Serviços de Pagamento 2).

Banca Aberta requer que os bancos disponibilizem seus APIs para que indivíduos e terceiros tenham acesso aos dados financeiros pessoais com segurança. E de acordo com o PSD2, quase todos os bancos da UE terão de permitir o acesso aos dados dos clientes através de APIs.

Então a verdadeira questão aqui é: quão seguras são as APIs para transacionar e compartilhar seus dados financeiros?

Até recentemente, os bancos normalmente criavam silos financeiros, forçando os clientes a confiarem nos seus serviços para acederem aos seus dados financeiros de forma segura. Mas as APIs e o Open Banking estão mudando tudo isso.

Através de uma API rica, as instituições financeiras podem ganhar uma vantagem competitiva e colocar seus clientes no controle de suas finanças, fornecendo dados em tempo real e seguros.

Há muitos exemplos de como as empresas e os consumidores já estão abraçando APIs para facilitar a vida:

Empresas

Com a transformação digital no topo da agenda das empresas de todo o mundo, as APIs podem trazer vários benefícios a tesoureiros corporativos. As APIs abrem tecnologias avançadas para equipes de tesouraria menores, que anteriormente só estavam disponíveis para empresas maiores; permitindo negócios em tempo real, tomada de decisões mais rápidas e experiências aprimoradas dos clientes.

As APIs podem fornecer às empresas ligações bancárias directas a bancos a partir de sistemas de planeamento de recursos empresariais (ERP) ou através de integrações de dados em tempo real com ferramentas de business intelligence.

Consumidores

Para os consumidores, as APIs oferecem rapidez e simplicidade para criar melhores experiências financeiras.

Yolt é um exemplo perfeito de Open Banking baseado no consumidor na prática, pois usa APIs para centralizar contas díspares para ajudar os usuários a manterem um olhar mais atento sobre seus hábitos de gastos.

Quais são os riscos?

A introdução de APIs abertas torna os bancos dependentes da segurança dos TPPs (fornecedores terceiros) que utilizam estas APIs, o que coloca algumas questões - ou preocupações - aos bancos e utilizadores dos serviços:

  • Com mais consumidores usando ferramentas de terceiros, o número de transações realizadas através de canais próprios dos bancos é reduzido. Isto tem um impacto negativo no volume de dados que os bancos podem recolher, que eles utilizam para distinguir entre transacções legítimas e fraudulentas.
  • Novas ferramentas bancárias abertas abrem o caminho para novos tipos de transações, que pode dificultar ainda mais o combate à fraude nos pagamentos..
  • Há potencial para que os fraudadores visem os dados à medida que estes são transmitidos pelas APIs. Se os dados de clientes não autorizados forem bem sucedidos, podem ser usados em uma tomada de conta (ATO) ou outra forma de ataque cibernético.
  • Os bancos estão interagindo com os TPP's sem compreender completamente suas medidas de segurança, o que representa um novo risco de onde os dados acabarão sendo mantidos. Como resultado, os bancos podem estar expostos a centenas de novas ameaças fora das suas áreas normais de controle.
  • Se um TPP for comprometido, então os hackers podem enviar pedidos aos bancos que parecem estar autorizados. E com as fraudes se tornando mais sofisticadas do que nunca, não vai demorar muito até que alguém encontre uma maneira de falsificar o consentimento do cliente.

“APIs offer another way for cybercriminals to attack…if I can’t attack the banks’ front doors, maybe I can pose as a small developer and find an alternative side door that still gets me through to the bank, one way or another.”  Sumit Agarwal, Segurança da Forma

Como são assegurados os APIs?

Apesar destas preocupações, uma API bem projetada fornecerá uma conexão segura a aplicações de terceiros.

É importante lembrar que são os próprios bancos que constroem e testam seus pontos finais de API.

Assim, os próprios bancos podem mitigar o risco de ataques implementando uma arquitetura sólida que integre os requisitos e ferramentas de segurança ao próprio API. Em última análise, permitindo que os bancos sejam proativos, ao invés de reativos, quando se trata de proteger APIs.

As TPPs são altamente regulamentadas

The first thing to remember is that APIs are permission based. So whether you’re a consumer or a business, you don’t have to share your data with a TPP if you don’t want to.

This is core to APIs in Open Banking. The rules say that banks must allow your data to be shared with TPPs, but ONLY if you permit them to do so. That means TPPs can’t just access accounts freely – they must get your consent, which can be withdrawn at any time.

As TPPs estão também sujeitas a leis de protecção de dados como a GDPR, bem como a normas técnicas regulamentares PSD2, o que significa que são responsáveis pela protecção de quaisquer dados pessoais que processem.

O que são AISPs e PISPs?

Após a introdução da Directiva de Serviços de Pagamento da UE (PSD2), os serviços online que utilizam APIs para aceder aos dados da sua conta ou fazer pagamentos em seu nome são agora regulados pela Autoridade de Conduta Financeira.

Para que um provedor de serviços financeiros esteja totalmente autorizado através do PSD2 a usar as APIs do Open Banking, ele precisa estar registrado como uma AISP, uma PISP ou ambas.

Um Provedor de Serviços de Informação de Conta autorizado (AISP) pode pedir permissão para se conectar a uma conta bancária e usar essa informação de conta para fornecer um serviço. As AISP são autorizadas a aceder "somente leitura" das informações da conta bancária, para que possam olhar mas não tocar.

Exemplos comuns de AISPs incluem comparações de preços, verificações de crédito, aplicações que economizam dinheiro como Yolt e pacotes de contabilidade como Sage e QuickBooks para empresas.

Os Provedores de Serviços Autorizados de Iniciação de Pagamento (PISPs) podem pedir permissão para se conectar a uma conta bancária e iniciar pagamentos a partir da conta bancária do cliente em seu nome.

Though PSD2 rules make it clear that PISPs will “not use, access or store any data for purposes other than for the provision of the payment initiation service as explicitly requested by the payer”.

Exemplos comuns de PISPs baseadas no consumidor incluem instalações de checkout instantâneo frequentemente utilizadas por lojas de varejo e de comércio eletrônico, que existem para melhorar a experiência do cliente de compradores regulares.

Como você sabe se uma TPP é autorizada?

É sempre uma boa ideia verificar o Registro de Serviços Financeiros que uma empresa que presta Serviços de Informação de Conta ou Serviços de Iniciação de Pagamento é autorizada primeiro.

You can check if a company’s authorised on the FCA Register or the Directório Bancário Aberto.

Authorised TPPs will only ever be able to access the data required for the service you’ve signed up to. So if you’ve asked a registered TPP to look at your current account with one bank, it won’t have any visibility over any other services you hold with that bank.

And because all TPPs must comply with data protection laws, the provider should tell you which data it will use, how long for and what it’ll do with it before you sign up.

If you use a third-party provider that’s not regulated, you won’t get the same levels of fraud protection. Meaning if you lose money using an unregulated service, there’s a chance your bank may not pay out.

APIs vs Raspagem da tela

Os APIs são geralmente muito mais seguros do que as soluções alternativas. Um desses exemplos é a raspagem de tela.
Os aplicativos que usam o raspador de tela pedem que você entregue seus dados de login do banco e requerem sua permissão para coletar ou 'raspar' seus dados.

Essentially, they pose as you, the customer, which can expose highly sensitive personal data and leave you open to fraud. The use of screen-scraping will continue for a transition period until around September 2019, when it will be banned due to fears it’s not as safe as APIs.

Então, as APIs são suficientemente seguras para a transacção de dados financeiros?

Ao considerar a segurança dos APIs, a abertura não deve ser confundida com a falta de segurança. Ao fazer algumas pesquisas e escolher os AIPs certos, as empresas e os consumidores podem colher os benefícios dos AIPs para simplificar a gestão financeira.

Mas embora alguns TPPs continuem sem regulamentação e técnicas como o Screen Scraping ainda estejam disponíveis para os consumidores, é claro que a indústria ainda tem algum caminho a percorrer para garantir que o uso de API seja o mais seguro e protegido possível.