APIs do Open Banking no PSD2: como mitigar riscos

Frederik Mennes, 14 de Maio de 2018

Nos últimos anos, o sistema bancário aberto recebeu muita atenção no setor de serviços financeiros. Banco aberto significa que os bancos abrem seus sistemas a prestadores de serviços financeiros terceirizados autorizados, para que essas empresas possam iniciar e processar pagamentos e transações financeiras a pedido dos clientes do banco.

O sistema bancário aberto promete desbloquear inovações que melhorarão profundamente a experiência bancária e introduzirão novos serviços financeiros. Por exemplo, Fornecedores de Terceiros (TPPs) podem fornecer aplicativos que permitem aos consumidores consultar várias contas bancárias a partir de um único aplicativo ou aplicativos que facilitam o compartilhamento de dados com seus contadores.

No PSD2, os bancos devem oferecer uma interface que permita que os TPPs se comuniquem com eles. Dessa forma, se o consumidor quiser usar outros prestadores de serviços financeiros que não o banco, eles poderão obter acesso aos sistemas do banco e atender os clientes do banco por meio da interface de comunicação aberta.

Isso não é isento de riscos. De acordo com McKinsey & Company , “A maioria dos bancos informa que não espera que a segurança se torne um problema no PSD2; no entanto, eles também reconhecem que precisam investir no gerenciamento de fraudes. Os bancos são responsáveis por mitigar o risco de fraude e precisarão implementar controles avançados, incluindo análises avançadas (por exemplo, para validar a origem de chamadas de entrada para a API) e ferramentas fortes para detectar ataques de fraude. Os participantes da pesquisa [McKinsey Global Payments Practice PSD2 2017] indicaram que o risco de fraude decorrente do acesso de terceiros às contas é uma preocupação séria e a prevenção de fraudes é uma prioridade. "

Riscos para os bancos

A introdução de APIs abertas torna os bancos dependentes da segurança dos TPPs usando essas APIs. Os possíveis cenários de ameaça incluem:

  • Uma violação de dados em uma TPP expõe os clientes do banco
    • Os TPPs armazenarão os dados financeiros dos consumidores. Se uma TPP for violada, isso poderá expor os dados do cliente do banco, o que, por sua vez, poderá afetar a reputação do banco. À luz da política europeia Regulamento Geral de Proteção de Dados (GDPR), os bancos precisam garantir que os TPPs implementem medidas técnicas e organizacionais apropriadas para proteger os dados dos clientes.
  • Solicitações fraudulentas de uma TPP comprometida
    • Se um TPP for invadido, isso poderá resultar em solicitações fraudulentas de informações sobre os clientes de um banco - ou em solicitações fraudulentas de pagamento do TPP ao banco. Esse incidente pode ocorrer através de vulnerabilidades no aplicativo móvel ou aplicativo da web da TPP. Como os bancos são os primeiros responsáveis por transações financeiras não autorizadas da conta bancária de um usuário, uma violação de segurança em uma TPP pode ter sérias conseqüências para os bancos.
  • Pedidos fraudulentos de funcionários da TPP
    • Um funcionário insatisfeito em uma TPP pode emitir solicitações fraudulentas de informações sobre os clientes de um banco ou iniciar pagamentos fraudulentos.
 APIs do Open Banking no PSD2: ameaças e soluções de segurança
WHITE PAPER

APIs do Open Banking no PSD2: ameaças e soluções de segurança

Faça o download deste documento para obter uma visão geral das ameaças e soluções de segurança para as APIs do Open Banking no PSD2.

Baixar Agora

Os bancos devem adotar várias medidas de segurança técnica e organizacional para lidar com essas e outras ameaças. No contexto da banca aberta, os bancos podem reduzir o risco de várias maneiras:

1 Usar análise de risco de transação
Os bancos podem usar a análise de risco de transação para:

  • Detecte transações fraudulentas e comportamento do usuário. As Normas Técnicas Regulatórias (RTS) do PSD2 exigem que os PSPs (provedores de serviços de pagamento), incluindo bancos, realizem uma análise de risco de todas as transações financeiras que processam. Dessa forma, os PSPs podem detectar fraudes no pagamento, como fraudes no cartão não presente.
  • Detecte incidentes de segurança nos TPPs. A análise de risco de transação pode ser usada para detectar comportamento anormal em solicitações originadas de TPPs, identificar transações suspeitas de TPPs, detectar sequências atípicas de chamadas de API e tudo isso em tempo real.
  • Detectar vulnerabilidades de implementação da API. Fraquezas na implementação de APIs podem causar transações fraudulentas e comportamento incomum do usuário, que podem ser detectados usando o monitoramento avançado de fraudes.

2) Escolha o modelo de autenticação certo
Forte autenticação do cliente é crítico, seja isso autenticação de dois fatores , autenticação multifator , autenticação biométrica , ou outro. Contudo, modelos de autenticação diferentes, cada um com suas próprias características e implicações de segurança. Para o banco, geralmente é melhor usar um modelo que coloque o processo de autenticação no próprio banco ou em um provedor de segurança externo. Isso significa que o banco continuará se comunicando diretamente com o usuário, e não através do TPP. Ao fazer isso, mais informações ficam disponíveis para o banco para análise de risco de transação, incluindo provas de eventos de autenticação, relevantes para o tratamento de disputas sobre a responsabilidade de uma transação fraudulenta.

3) Proteger o canal de comunicação com TPPs
Os bancos devem proteger a troca de dados com seus TPPs. Pense na autenticação mútua entre um banco e o TPP usando, por exemplo, protocolos SSL / TSL.

4) Solicitar relatórios de auditoria de segurança independentes de TPPs
A Comissão Europeia antecipou riscos de segurança sob o PSD2 e, portanto, exige que os PSPs e TPPs gerenciem os riscos operacionais e de segurança. Mais especificamente, o artigo 95 (1) do PSD2 exige que os PSPs estabeleçam uma estrutura com medidas de mitigação apropriadas para gerenciar os riscos operacionais e de segurança relacionados aos serviços financeiros que prestam. O estabelecimento, implementação e monitoramento de medidas de segurança devem abranger o seguinte:

  • Governança, incluindo a estrutura de gerenciamento de riscos operacionais e de segurança, os modelos de gerenciamento e controle de riscos e terceirização
  • Avaliação de risco, incluindo a identificação, classificação e avaliação de risco de funções, processos e ativos
  • Proteção da integridade de dados, sistemas e confidencialidade, segurança física e controle de ativos
  • Monitoramento, detecção e comunicação de incidentes de segurança
  • Gerenciamento de continuidade de negócios, incluindo teste de planos de continuidade de negócios, gerenciamento de incidentes e comunicação de crises
  • Teste independente de medidas de segurança

Os bancos devem solicitar que os TPPs forneçam relatórios de testes de segurança independentes para verificar a maturidade de suas práticas de segurança.

5) Evite vulnerabilidades de segurança na implementação da API
Para se proteger contra ataques de injeção, verifique se, independentemente do formato de dados usado pela API, o componente de software da API que analisa as estruturas de dados fica protegido contra ataques. Além disso, os bancos devem proteger a higienização das entradas para evitar a injeção de todas as formas. A análise e o teste de segurança devem abranger todas as APIs e ferramentas para que os bancos possam descobri-las e analisá-las efetivamente.

APIs do Open Banking e como protegê-las

As APIs abertas exigidas pelo PSD2 levarão, sem dúvida, a novos serviços e aplicativos bancários inovadores. Ao mesmo tempo, no entanto, os bancos devem impedir que criminosos acessem dados e transações de clientes. Bancos e TPPs devem, portanto, estar cientes dos riscos e oferecer proteção suficiente. Para saber mais, faça o download deste white paper:

APIs de Open Banking e a PSD2: ameaças à segurança e soluções

Este blog foi inspirado em um artigo de Frederik Mennes que apareceu pela primeira vez em Techzine .

Frederik lidera o Security Competence Center da OneSpan, onde é responsável pelos aspectos de segurança dos produtos e infraestrutura da OneSpan. Ele possui um conhecimento profundo de autenticação, gerenciamento de identidades, tecnologias regulatórias e de segurança para aplicativos móveis e em