NewB implementa segurança para serviços bancários digitais em semanas – Veja como fazer o mesmo

Jeannine Mulliner, 26 de Janeiro de 2022

O NewB é o primeiro banco novo na Bélgica em 40 anos. Um banco totalmente digital, ele atende aos membros exclusivamente por meio do seu portal de on-line banking e aplicativo móvel. O NewB defende os serviços bancários éticos e sustentáveis. Como uma cooperativa, todo membro é sócio, então, todos têm direito a dar opinião sobre a gestão do banco, independentemente de quanto investiram no banco.

Esta é a história dos meses que antecederam o lançamento dos serviços bancários digitais do NewB no mercado. O NewB tinha um prazo apertado para implementar a segurança digital. Era crucial que o banco tivesse a segurança cibernética adequada para proteger os membros e atender às exigências de conformidade de segurança. Afinal, os membros usariam os aplicativos digitais do NewB em suas atividades bancárias diárias: confiar suas poupanças ao NewB, solicitar empréstimos pessoais e usar o NewB para pagar contas e transferir fundos.

Para alcançar suas necessidades de segurança digital, a jornada do NewB consistiam em responder perguntas essenciais como: Qual é a tecnologia de autenticação adequada para proteger nossos membros e transações? E que com que provedor de segurança podemos fazer uma parceria para resolver esses problemas de segurança, fraudes e vulnerabilidades?

O desafio: Como implementar rapidamente uma segurança em conformidade com a PSD2 para serviços bancários digitais

Para começar, a conformidade com a PSD2 era indispensável. A PSD2 garante que conceitos de autenticação avançada, como os vínculos dinâmicos, se tornem ferramentas de segurança padrão nos serviços financeiros. Algumas das exigências mais importantes da PSD2 para Autenticação segura do cliente (SCA) incluem:

  • Autenticação de dois fatores (2FA): Para garantir que apenas os titulares legítimos da conta possam acessar contas bancárias e serviços on-line, a 2FA ou autenticação multifatores (MFA) é a primeira linha de defesa.
  • Vínculo dinâmico: Também conhecido como autorização de transação, o objetivo deste recurso é proteger os consumidores contra a engenharia social e outros ataques em que os criminosos cibernéticos interceptam pagamentos e transferências legítimas para redirecionar o dinheiro para a conta bancária do ladrão.
  • Independência dos elementos de autenticação: Quando o aplicativo móvel do banco é usado para autenticar um cliente ou transação, os provedores de serviços financeiros devem utilizar ambientes de execução seguros para os aplicativos móveis. Uma das melhores formas de fazer isso é com a tecnologia de proteção de aplicativos.

O NewB não tinha o luxo de um longo cronograma para preparar e implementar soluções de tecnologia para cumprir essas exigências. Quando obtiveram a licença bancária, em janeiro de 2020, eles precisavam correr para implementar a segurança.

“Na Bélgica, de acordo com a lei, quando você consegue uma licença bancária, tem um ano para iniciar suas atividades bancárias. Isso significava que tínhamos que lançar nossas atividades bancárias até o fim de janeiro de 2021”, explica Adrien Liénard, gerente de projetos do NewB.

Era essencial que tudo ocorresse no tempo certo. Não poderia haver nenhum atraso que afetasse a possibilidade de lançar o novo banco. Eles precisavam selecionar um provedor de serviços de segurança e lançar os serviços até o início de 2020, pois seria quando eles se conectariam ao sistema de pagamentos da Europa.

A partir de janeiro de 2020, começou a corrida para encontrar a tecnologia certa, de um provedor com histórico de implementação para instituições bancárias.

Identificando uma solução: Qual é a melhor tecnologia para alcançar nossos objetivos?

Além de encontrar as tecnologias certas para atender às exigências de SCA da PSD2, o NewB tinha que implementar tudo em até quatro meses. Esse cronograma exige soluções na nuvem. As soluções na nuvem são rápidas de se implementar, fáceis de gerenciar e são compatíveis com muitos métodos de autenticação. E se o NewB encontrasse uma solução com base em uma única REST API, sabiam que a configuração seria simples e seria possível lançar os serviços mais rápido.

A primeira solução que o NewB implementou foi a OneSpan Cloud Authentication. Para o NewB, uma das principais vantagens foi que ela pode ser implementada em semanas sem a necessidade de comprar, fornecer e implementar a infraestrutura de TI. Isso é importante em comparação com implementações locais que podem levar até um ano dependendo dos recursos, orçamento e outros fatores. Segundo, a OneSpan Cloud Authentication foi criada para cumprir as exigências de SCA da PSD2 por padrão, incluindo a autenticação multifatores, dynamic linking, o vínculo dinâmico, a segurança móvel e tecnologias biométricas como o Touch ID no iPhone Apple ou o leitor de digitais no Android.

A OneSpan Cloud Authentication oferece muitas opções de segurança para serviços bancários digitais. As tecnologias Cronto e Mobile Security Suite da OneSpan foram soluções que atendiam a todas as exigências, explica Adrien Liénard. Isso deu ao NewB a segurança para proteger os titulares das contas de ataques fraudulentos, com a experiência bancária moderna que os membros esperam de um banco digital.

1. Tecnologia Cronto

Ao planejar a experiência de autenticação do cliente, o NewB selecionou dois métodos de autenticação: a solução de autorização de transações Cronto® para dispositivos móveis, e o equivalente para hardware, o autenticador Digipass® 772.

Para um banco digital, a experiência do usuário no celular deve ser excepcional. Mas, do ponto de vista do usuário, uma das exigências de conformidade de segurança mais desafiadoras é o vínculo dinâmico. A questão é: como implementar o vínculo dinâmico de uma forma que obtenha a conformidade e seja fácil para os usuários do banco utilizarem?

Uma das formas mais amplamente aceitas de fazer isso é com o código colorido semelhante ao QR, conhecido como Cronto.

Cronto

Quando o banco envia uma transação financeira ou dados de pagamento para o cliente verificar e autorizar, esses dados são criptografados dentro do código Cronto. O cliente remove a criptografia dos dados lendo o criptograma com o celular ou dispositivo de hardware. Caso um malware Trojan esteja presente no computador da pessoa, ele não poderá alterar os dados dentro do código visual. Essa abordagem permite que instituições financeiras cumpram as exigências de vínculo dinâmico do PSD2.

A funcionalidade do Cronto está disponível em software e hardware. Isso dá aos membros opções de como preferem autenticar, mantendo a mesma experiência do usuário e segurança em toda a base de clientes. Como Adrien Liénard explicou, "o principal motivo para escolhermos o Cronto foi devido à facilidade de uso e para ter a mesma experiência do usuário para todos. Os fatores decisivos foram o custo, facilidade de uso e o fato de que nos permitira lançar o banco antes de disponibilizarmos os cartões de débito.”

2. Mobile Security Suite

O segundo componente da solução do NewB foi a Onespan Mobile Security Suite (MSS), que permite que os desenvolvedores móveis integrem recursos de segurança adicionais de forma nativa em seus aplicativos bancários móveis. Entre esses recursos de segurança móvel, o NewB utiliza a funcionalidade de proteção de aplicativos móveis para proteger o aplicativo bancário móvel desenvolvido.

A proteção de aplicativos móveis é uma tecnologia low-code que protege contra ameaças de segurança cibernética em serviços bancários móveis, como Trojans, técnicas de engenharia reversa e outros métodos que os criminosos usam para roubar credenciais bancárias, dados confidenciais ou dados pessoais e desviar transações bancárias. Ela também cria um ambiente de execução seguro, permitindo que os aplicativos móveis sejam executados de forma segura mesmo em dispositivos móveis não confiáveis, como os que foram adulterados.

Esta tecnologia aborda especificamente a conformidade com a PSD2. A PSD2 exige que aplicativos bancários móveis usados como parte dos fluxos de autenticação devem reduzir os riscos de um criminoso utilizar a engenharia reversa no aplicativo para descobrir e possivelmente reproduzir o segredo de token usado para gerar um código de autenticação. A proteção de aplicativos móveis da OneSpan protege o aplicativo bancário do NewB contra a clonagem. Outro benefício da proteção de aplicativos é que o aplicativo também fica protegido contra ataques cibernéticos de repackaging.

Seleção de provedor: De que provedor de segurança devemos comprar?

Após uma avaliação dos principais provedores de segurança, o NewB selecionou a OneSpan. "A experiência e reputação de um parceiro é tão importante quanto as funcionalidades da própria solução", disse Adrien Liénard, do NewB. "As autoridades vão analisar minuciosamente os novos bancos, faz parte de ser novo no mercado. Sabemos que elas estão avaliando o NewB, e elas ficam mais tranquilas ao nos ver trabalhando com parceiros confiáveis. A OneSpan trabalha com a maioria dos bancos na Bélgica, e isso nos deu credibilidade aos olhos do Banco Nacional.”

“A reputação da OneSpan no mercado, sua experiência em segurança e com a PSD2 fizeram uma grande diferença para nós. Por exemplo, recentemente tivemos que enviar um relatório da PSD2 para o Banco Nacional. Pedimos a ajuda da OneSpan e, em 24 horas, tínhamos as respostas. Isso agregou valor para nós, saber que podemos contar com a OneSpan.”

O NewB também selecionou a MAINSYS como a parceira de integração para este projeto. A MAINSYS fornece o sistema bancário central do NewB e é uma empresa belga de serviços de TI e software especializada em plataformas digitais para o setor financeiro.

“As limitações de tempo eram grandes, então, priorizamos a implementação da tecnologia Cronto da OneSpan e dos autenticadores Digipass para on-line banking. Depois disso ser concluído, começamos a fase dois, que foi o desenvolvimento móvel", explicou Mathieu Latour, gerente de projetos da MAINSYS.

“Era muito importante para o NewB que os membros sem celular conseguissem fazer a autenticação de forma segura com a mesma facilidade daqueles que tinham um dispositivo móvel. A OneSpan resolveu isso oferecendo a solução em formato de software e hardware, o que oferece a mesma experiência do usuário e processos de autenticação a todos os usuários. Isso fez a diferença e ajudou a reduzir o cronograma de implementação.”

Considerações finais

Conforme todos os setores buscam implementar processos e ambientes de TI modernos, a autenticação na nuvem apresenta uma oportunidade para que o setor bancário se torne mais eficaz rapidamente. A autenticação na nuvem fornece às instituições financeiras uma solução fácil de implementar, econômica e que traz todos os benefícios clássicos da implementação na nuvem. Em um momento em que as fraudes em canais digitais estão crescendo e a experiência do cliente é primordial, é preciso pensar seriamente em utilizar a nuvem. A autenticação na nuvem pode ajudar a proteger seus canais digitais contra hackers, phishing, vazamentos de dados, ransomware, roubo de identidade, roubo de contas e outros crimes cibernéticos.

Segundo David Vergara, diretor sênior de marketing de produto da OneSpan, "é a velocidade, flexibilidade e simplicidade que a nuvem permite ao fornecer um mecanismo para adicionar novas tecnologias para enfrentar fraudes e outros riscos de segurança. E é fato que as plataformas na nuvem são adequadas para integrar tecnologias de autenticação e segurança, e disponibilizar essas medidas de segurança cibernética rapidamente a bancos e fintechs."

Para saber mais sobre como o NewB implementou a tecnologia de nuvem da OneSpan em sua experiência do cliente e processos de autenticação para proteger as informações financeiras dos clientes, leia o estudo de caso completo (em inglês).

Social Engineering eBook
eBook

Social Engineering Attacks on Banking Transactions

Learn more about social engineering techniques and how transaction authorization with Cronto can help combat these attacks in this informative ebook.

Download Now

Por 20 anos, Jeannine tem escrito sobre tecnologia e como aplicá-la para resolver os desafios do dia a dia. Em sua função como Diretora de Conteúdo da OneSpan, Jeannine lidera uma equipe de redatores e desenvolvedores de conteúdo focados em ajudar instituições financeiras e outras organizações a obter valor de soluções de segurança e assinatura eletrônica. Jeannine é bacharel em Redação Profissional pela l'Université de Sherbrooke.