21 de Fevereiro de 2019

Os APIs são seguros?

Uma API (Application Programming Interface) é um conjunto de funções e procedimentos que permite que duas aplicações falem uma com a outra, enviando pedidos e recebendo respostas.

APIs no Open Banking

Os APIs são relevantes para os profissionais de finanças e tesouraria devido a Banca Aberta e PSD2 (Directiva de Serviços de Pagamento 2).

Banca Aberta requer que os bancos disponibilizem seus APIs para que indivíduos e terceiros tenham acesso aos dados financeiros pessoais com segurança. E de acordo com o PSD2, quase todos os bancos da UE terão de permitir o acesso aos dados dos clientes através de APIs.

Então a verdadeira questão aqui é: quão seguras são as APIs para transacionar e compartilhar seus dados financeiros?

Até recentemente, os bancos normalmente criavam silos financeiros, forçando os clientes a confiarem nos seus serviços para acederem aos seus dados financeiros de forma segura. Mas as APIs e o Open Banking estão mudando tudo isso.

Através de uma API rica, as instituições financeiras podem ganhar uma vantagem competitiva e colocar seus clientes no controle de suas finanças, fornecendo dados em tempo real e seguros.

Há muitos exemplos de como as empresas e os consumidores já estão abraçando APIs para facilitar a vida:

Empresas

Com a transformação digital no topo da agenda das empresas de todo o mundo, as APIs podem trazer vários benefícios a tesoureiros corporativos. As APIs abrem tecnologias avançadas para equipes de tesouraria menores, que anteriormente só estavam disponíveis para empresas maiores; permitindo negócios em tempo real, tomada de decisões mais rápidas e experiências aprimoradas dos clientes.

As APIs podem fornecer às empresas ligações bancárias directas a bancos a partir de sistemas de planeamento de recursos empresariais (ERP) ou através de integrações de dados em tempo real com ferramentas de business intelligence.

Consumidores

Para os consumidores, as APIs oferecem rapidez e simplicidade para criar melhores experiências financeiras.

Yolt é um exemplo perfeito de Open Banking baseado no consumidor na prática, pois usa APIs para centralizar contas díspares para ajudar os usuários a manterem um olhar mais atento sobre seus hábitos de gastos.

Quais são os riscos?

A introdução de APIs abertas torna os bancos dependentes da segurança dos TPPs (fornecedores terceiros) que utilizam estas APIs, o que coloca algumas questões - ou preocupações - aos bancos e utilizadores dos serviços:

  • Com mais consumidores usando ferramentas de terceiros, o número de transações realizadas através de canais próprios dos bancos é reduzido. Isto tem um impacto negativo no volume de dados que os bancos podem recolher, que eles utilizam para distinguir entre transacções legítimas e fraudulentas.
  • Novas ferramentas bancárias abertas abrem o caminho para novos tipos de transações, que pode dificultar ainda mais o combate à fraude nos pagamentos..
  • Há potencial para que os fraudadores visem os dados à medida que estes são transmitidos pelas APIs. Se os dados de clientes não autorizados forem bem sucedidos, podem ser usados em uma tomada de conta (ATO) ou outra forma de ataque cibernético.
  • Os bancos estão interagindo com os TPP's sem compreender completamente suas medidas de segurança, o que representa um novo risco de onde os dados acabarão sendo mantidos. Como resultado, os bancos podem estar expostos a centenas de novas ameaças fora das suas áreas normais de controle.
  • Se um TPP for comprometido, então os hackers podem enviar pedidos aos bancos que parecem estar autorizados. E com as fraudes se tornando mais sofisticadas do que nunca, não vai demorar muito até que alguém encontre uma maneira de falsificar o consentimento do cliente.

"Os APIs oferecem outra forma de os criminosos informáticos atacarem... se eu não puder atacar as portas da frente dos bancos, talvez possa posar como um pequeno desenvolvedor e encontrar uma porta lateral alternativa que ainda me leve até ao banco, de uma forma ou de outra."  Sumit Agarwal, Segurança da Forma

Como são assegurados os APIs?

Apesar destas preocupações, uma API bem projetada fornecerá uma conexão segura a aplicações de terceiros.

É importante lembrar que são os próprios bancos que constroem e testam seus pontos finais de API.

Assim, os próprios bancos podem mitigar o risco de ataques implementando uma arquitetura sólida que integre os requisitos e ferramentas de segurança ao próprio API. Em última análise, permitindo que os bancos sejam proativos, ao invés de reativos, quando se trata de proteger APIs.

As TPPs são altamente regulamentadas

A primeira coisa a lembrar é que as APIs são baseadas em permissões. Portanto, seja você um consumidor ou um negócio, você não precisa compartilhar seus dados com um TPP se você não quiser.

Isto é essencial para as APIs no Open Banking. As regras dizem que os bancos devem permitir que seus dados sejam compartilhados com TPPs, mas SOMENTE se você permitir que eles o façam. Isso significa que os TPPs não podem simplesmente acessar contas livremente - eles devem obter seu consentimento, que pode ser retirado a qualquer momento.

As TPPs estão também sujeitas a leis de protecção de dados como a GDPR, bem como a normas técnicas regulamentares PSD2, o que significa que são responsáveis pela protecção de quaisquer dados pessoais que processem.

O que são AISPs e PISPs?

Após a introdução da Directiva de Serviços de Pagamento da UE (PSD2), os serviços online que utilizam APIs para aceder aos dados da sua conta ou fazer pagamentos em seu nome são agora regulados pela Autoridade de Conduta Financeira.

Para que um provedor de serviços financeiros esteja totalmente autorizado através do PSD2 a usar as APIs do Open Banking, ele precisa estar registrado como uma AISP, uma PISP ou ambas.

Um Provedor de Serviços de Informação de Conta autorizado (AISP) pode pedir permissão para se conectar a uma conta bancária e usar essa informação de conta para fornecer um serviço. As AISP são autorizadas a aceder "somente leitura" das informações da conta bancária, para que possam olhar mas não tocar.

Exemplos comuns de AISPs incluem comparações de preços, verificações de crédito, aplicações que economizam dinheiro como Yolt e pacotes de contabilidade como Sage e QuickBooks para empresas.

Os Provedores de Serviços Autorizados de Iniciação de Pagamento (PISPs) podem pedir permissão para se conectar a uma conta bancária e iniciar pagamentos a partir da conta bancária do cliente em seu nome.

Embora as regras do PSD2 deixem claro que as PISPs "não utilizarão, acessarão ou armazenarão quaisquer dados para outros fins que não seja para a prestação do serviço de iniciação de pagamentos, conforme explicitamente solicitado pelo pagador".

Exemplos comuns de PISPs baseadas no consumidor incluem instalações de checkout instantâneo frequentemente utilizadas por lojas de varejo e de comércio eletrônico, que existem para melhorar a experiência do cliente de compradores regulares.

Como você sabe se uma TPP é autorizada?

É sempre uma boa ideia verificar o Registro de Serviços Financeiros que uma empresa que presta Serviços de Informação de Conta ou Serviços de Iniciação de Pagamento é autorizada primeiro.

Você pode verificar se uma empresa está autorizada no Registro FCA ou no Directório Bancário Aberto.

Os TPPs autorizados só poderão ter acesso aos dados necessários para o serviço que você assinou. Portanto, se você pediu a um TPP registrado para olhar sua conta corrente em um banco, ele não terá nenhuma visibilidade sobre qualquer outro serviço que você tenha com aquele banco.

E porque todas as TPPs devem cumprir as leis de protecção de dados, o fornecedor deve dizer-lhe quais os dados que irá utilizar, por quanto tempo e o que irá fazer com eles antes de se inscrever.

Se você usar um provedor terceirizado que não esteja regulamentado, você não terá os mesmos níveis de proteção contra fraude. Ou seja, se você perder dinheiro usando um serviço não regulamentado, há uma chance de que seu banco não pague.

APIs vs Raspagem da tela

Os APIs são geralmente muito mais seguros do que as soluções alternativas. Um desses exemplos é a raspagem de tela.
Os aplicativos que usam o raspador de tela pedem que você entregue seus dados de login do banco e requerem sua permissão para coletar ou 'raspar' seus dados.

Essencialmente, eles posam como você, o cliente, o que pode expor dados pessoais altamente sensíveis e deixá-lo aberto à fraude. O uso de screen-scraping continuará por um período de transição até por volta de Setembro de 2019, quando será banido devido a receios de não ser tão seguro como as APIs.

Então, as APIs são suficientemente seguras para a transacção de dados financeiros?

Ao considerar a segurança dos APIs, a abertura não deve ser confundida com a falta de segurança. Ao fazer algumas pesquisas e escolher os AIPs certos, as empresas e os consumidores podem colher os benefícios dos AIPs para simplificar a gestão financeira.

Mas embora alguns TPPs continuem sem regulamentação e técnicas como o Screen Scraping ainda estejam disponíveis para os consumidores, é claro que a indústria ainda tem algum caminho a percorrer para garantir que o uso de API seja o mais seguro e protegido possível.