O que é Autenticação como Serviço (AaaS)?
A autenticação como serviço fornece recursos de autenticação na nuvem para que as instituições financeiras possam verificar com segurança seus clientes usando a autenticação multi-factor (MFA). As instituições financeiras estão mudando para a computação em nuvem, confiando menos na necessidade de manter, atualizar e substituir seus equipamentos e tecnologia de autenticação no local. Hoje, a evolução digital em curso foi acelerada pela pandemia da COVID-19 e os clientes esperam agora mais experiências digitais com o seu banco. A autenticação como serviço permite às instituições financeiras remover os custos de reparação e substituição da infra-estrutura de rede e mitigar as fraudes. Eles também podem escalar para cima ou para baixo para atender a demanda dos clientes. A autenticação como serviço fortalece e simplifica a autenticação entre aplicações e canais, suporta uma mistura de métodos de autenticação de hardware e software e pode ser atualizada para suportar soluções de autenticação mais abrangentes, como a autenticação adaptativa ou a autenticação baseada em risco.
Autenticação como Serviço: Métodos de Autenticação Multi-factor
A autenticação como serviço utiliza autenticação multi-factor (AMF) para segurança de login, onde dois ou mais factores de autenticação são combinados para verificação de identidade. Isto pode ser:
- Algo que você sabe, como um código de acesso único (OTP) ou a resposta a uma pergunta secreta
- Algo que você tem, como o seu dispositivo móvel
- Algo que você é, tal como uma impressão digital ou um exame facial
Para conseguir a autenticação multi-factor, pelo menos duas tecnologias diferentes de pelo menos dois grupos tecnológicos diferentes devem ser utilizadas no processo de autenticação. Como resultado, o uso de um PIN associado a uma senha não seria considerado AMF, enquanto o uso de um PIN com reconhecimento facial como um segundo fator seria. Também é aceitável o uso de mais de duas formas de autenticação. No entanto, a maioria das pessoas quer cada vez mais uma autenticação sem atritos (a capacidade de ser verificada sem a necessidade de executar passos excessivos de segurança).
A autenticação como serviço também suporta as mais recentes tecnologias como padrões abertos como FIDO, biometria (incluindo reconhecimento facial e digitalização de impressões digitais), autenticação fora da banda, como Cronto, códigos do tipo QR e hardware da próxima geração.
Future-Proof Authentication with a Modern Cloud-Based Platform
Experts discuss how the ability to leverage a modern security platform is central not only to supporting cloud-first strategies, but for driving down fraud, boosting the user experience and reducing total operating costs in the process.
View the WebinarVantagens de utilizar a Autenticação como um Serviço
Na última década, tem havido uma crescente adoção de implantações de nuvens e nuvens híbridas para serviços e aplicativos de TI. A pandemia da COVID-19 acelerou as iniciativas de transformação e modernização digital nos bancos. A pandemia também tem acelerado o comportamento digital dos clientes. As pessoas agora esperam mais interações digitais com suas instituições financeiras e esperam que elas sejam perfeitas. Estas iniciativas são difíceis de apoiar com infra-estruturas no local, especialmente durante a pandemia. Esta é uma razão que contribui para o interesse em soluções baseadas nas nuvens.
Um relatório do Aite Group, The Rise of Digital-First Banking, analisa como os consumidores se tornarão digital-first independentemente da geração e se as instituições financeiras estão prontas ou não, agora que a pandemia do coronavírus mudou a forma como os consumidores interagem em todas as áreas das suas vidas. "A crise da COVID-19 está empurrando a adoção digital e a trajetória de uso a todo vapor", afirma Tiffani Montez, analista sênior do Aite Group. "O digital-first banking é a nova norma, e agora, mais do que nunca, é importante para os IFs construir uma nova experiência digital e otimizar os processos digitais existentes para reduzir o atrito"
Aqui estão as vantagens da autenticação como um serviço:
- Não há necessidade de alojar equipamentos no local: Com a autenticação como serviço, as instituições financeiras podem reduzir as despesas operacionais dos departamentos de TI.
- Sem pessoal informático adicional: o equipamento informático requer manutenção e substituição. Com a autenticação como serviço, um provedor de serviços terceirizado é normalmente responsável pela manutenção do equipamento no qual um aplicativo é hospedado. Por exemplo, pessoal altamente qualificado, como engenheiros de infra-estrutura, pode ser reatribuído a outros projetos de TI em vez de gastar seu tempo em trabalhos de manutenção. Uma vez que a autenticação como serviço é sem senhas, ela remove a redefinição de senhas para equipes de TI ocupadas.
- Reduz os custos operacionais, aumenta a eficiência operacional: A autenticação como serviço permite às instituições financeiras reduzir os custos contínuos de substituição de equipamentos de servidor, infraestrutura de rede, manutenção de rede, hospedagem e procedimentos de segurança. Isto resulta em custos operacionais inferiores aos das implantações no local e mais consistentes, aumentando a eficiência operacional ao mesmo tempo em que proporciona acesso seguro.
- Capacidade de escala: A autenticação como serviço fornece aos bancos a capacidade de escalar para cima ou para baixo conforme necessário para atender à demanda atual. Isso torna o preço menos complicado e menos dispendioso comprar mais capacidade de serviço na nuvem do que seria implantar novos equipamentos de servidor no local.
- Implementação rápida e fácil: A autenticação como serviço pode ser implementada em questão de semanas sem a necessidade de comprar, fornecer e implementar qualquer infra-estrutura de TI. Por outro lado, os destacamentos no local podem levar meses ou mesmo até um ano, dependendo do orçamento, e outros factores.
- Opções flexíveis de autenticação: A autenticação como serviço suporta tecnologias híbridas de autenticação de software e hardware, monitoramento contínuo, perfil de dispositivos e canais multi-usuário. Ele pode ser perfeitamente atualizado para soluções mais abrangentes, como a autenticação baseada em risco que utiliza a aprendizagem da máquina e um mecanismo de risco para ajudar a reduzir a fraude.
Três estudos de caso de organizações que utilizam a Autenticação como Serviço
Estudo de caso #1: banco japonês passa para autenticação baseada em nuvem
O Desafio: Este banco japonês lançou seu aplicativo bancário móvel em novembro de 2019. Inicialmente, a funcionalidade do aplicativo era limitada e só permitia que os usuários verificassem seu saldo. Além disso, o processo de autenticação de legado utilizado no canal online não proporcionou uma experiência móvel satisfatória. Os clientes receberiam uma senha única (OTP) através de e-mail e introduziriam a senha no portal web. Esta experiência não se traduziu bem em mobilidade. O banco decidiu implementar uma autenticação baseada em nuvem e assinatura de dados de transação para permitir transferências de dinheiro de forma segura através do aplicativo. O cronograma para este projeto era muito apertado porque o banco precisava lançar a versão atualizada do aplicativo três meses após o início do projeto. Normalmente, integrar uma nova solução de autenticação em um aplicativo existente e implantar um servidor de autenticação no local para suportar o mesmo pode levar mais de um ano para ser concluído. Em vez disso, o banco decidiu mudar para um servidor de autenticação hospedado na nuvem.
O resultado: Agora os clientes podem autenticar recebendo seu OTP in-app, ou usar a biometria de impressão digital. O resultado é uma experiência confiável, segura e conveniente para o cliente enquanto expande a funcionalidade do aplicativo bancário móvel.
Estudo de Caso #2: FinTech entrega autenticação em nuvem a todos os bancos noruegueses
O desafio: Neste caso de uso, uma organização fintech norueguesa oferece aos bancos noruegueses uma solução de autenticação segura e econômica para identificação e assinaturas eletrônicas. Para autenticar, os usuários eram obrigados a usar autenticadores de hardware, que forneciam a segurança necessária para o usuário final. No entanto, o feedback dos clientes mostrou o desejo de uma solução de autenticação de software que lhes permitisse utilizar os seus dispositivos móveis. A organização decidiu lançar um novo aplicativo móvel para autenticar os usuários para melhorar a experiência do cliente e para implementar a biometria. A organização é parcialmente detida por todos os bancos na Noruega e todos eles fazem uso deste serviço. Como resultado, a organização não poderia considerar uma solução de autenticação no local, pois isso exigiria que cada banco norueguês implantasse um novo servidor de autenticação no local.
O resultado: Ao usar a autenticação baseada na nuvem, os bancos poderiam facilmente adotar o aplicativo de autenticação para autenticação do usuário. Com o aplicativo implantado, os usuários ganharam acesso à autenticação multi-factor (AMF) com biometria de impressão digital e notificações push. A nova experiência provou ser significativamente mais conveniente para os clientes e aqueles que baixaram o aplicativo de autenticação poderiam aposentar com segurança seus autenticadores de hardware.
Estudo de Caso #3: Organização de saúde introduz autenticação na nuvem para reduzir custos
O Desafio: Esta empresa de desenvolvimento de software de saúde modernizou recentemente a sua estratégia de segurança ao passar para a autenticação como um serviço. A empresa vende uma solução de Prescrição Eletrônica de Substâncias Controladas (EPCS) que ajuda médicos e profissionais de saúde a conectar seus pacientes com os medicamentos regulamentados de que necessitam. Devido aos dados sensíveis envolvidos, tanto as preocupações com a privacidade das informações médicas como o potencial de uso indevido do medicamento, autenticação e identidade do usuário são componentes extremamente importantes da solução.
O resultado: A empresa migrou de uma implementação no local para um provedor de serviços de autenticação baseado em nuvem para evitar os custos associados à compra, suporte e manutenção dos servidores para permitir a autenticação. A empresa também queria integrar um processo de autenticação no seu produto existente com uma solução que facilitasse a implementação, avaliação e verificação do cumprimento de todos os regulamentos.
Como a Autenticação como Serviço ajuda a mitigar a fraude
As instituições financeiras podem ajudar a proteger seus clientes contra ameaças de fraude com o AMF baseado em nuvem em uma infra-estrutura de segurança comprovada e confiável. Até agora, em 2020, houve violações de dados importantes no Twitter, Zoom e Marriott, que sofreram a sua segunda violação em tantos anos [JM2] . Com tantas pessoas ainda usando as mesmas senhas estáticas como único meio de autenticação em várias contas, qualquer violação de dados de senhas e endereços de e-mail pode ter sérias conseqüências para os consumidores.
Como resultado da pandemia da COVID-19, os cibercriminosos aumentaram seus esforços com o número de sites de phishing aumentando em 350% desde o início do ano, e £16,6 milhões ($20,8 milhões de dólares americanos) perdidos em perdas com fraudes em compras desde o início do lockdown. Phishing continua a ser o preferido
método para atacantes quando se trata de roubar credenciais, de acordo com o Relatório de Investigação de Violação de Dados de 2020 da Verizon. Além disso, com mais de 15 bilhões de credenciais circulando na Dark Web, os criminosos cibernéticos têm tudo o que precisam para cometer ataques de tomada de conta e outras formas de fraude.
A contínua evolução digital também levou ao aumento dos canais digitais móveis, à expansão dos canais digitais e ao aumento do número de aplicações e produtos. Isto resultou frequentemente numa abordagem de segurança de autenticação em silo, colocando a carga sobre o pessoal de TI para gerir diferentes soluções. A autenticação como serviço fornece segurança centralizada e garante que os bancos possam manter os clientes protegidos contra ataques de fraude, particularmente engenharia social e ataques de phishing.
Gaining the Upper Hand on Fraud with Modern SaaS Authentication
Learn how cloud authentication is a key stepping stone to modernizing security.
Read the BlogComo a Autenticação como Serviço melhora a experiência do cliente
Considerando o ameaçador cenário de ameaças, a autenticação como serviço (AaaS) ajuda os bancos a manter a segurança para a autenticação do usuário, aumentando a confiança de seus clientes do banco digital. Os clientes podem ser autenticados com opções de autenticação móvel de fácil utilização, tais como biometria e notificação de "inapp push" para uma experiência sem atritos para o utilizador. À medida que os clientes adotam um comportamento cada vez mais digital, eles obtêm uma autenticação segura através da nuvem.
Como cumpre a conformidade regulamentar
A autenticação como serviço foi concebida para satisfazer os requisitos de Autenticação Forte do Cliente (SCA) do PSD2 para pagamentos online seguros. Faz isto através de autenticação multi-factor, ligação dinâmica (para combater ataques Man-in-the-Middle), segurança móvel, e tecnologia biométrica. Os requisitos SCA ajudam a limitar a fraude e a aumentar a segurança dos pagamentos online porque os clientes devem ser autenticados por dois dos três elementos da autenticação:
- Algo que o cliente sabe (por exemplo, PIN, senha, pergunta de segurança)
- Algo que o cliente tem (por exemplo, um dispositivo)
- Algo que o cliente é (por exemplo, dados biométricos, tais como impressões digitais ou reconhecimento facial)
A ligação dinâmica também ajuda as instituições financeiras a alcançar o cumprimento, porque no momento da transação, o valor da transação e a identidade do destinatário devem ser exibidos e deve haver pelo menos dois elementos de posse utilizados. Esses elementos de posse devem ligar dinamicamente a transação a um montante e a um recebedor especificados pelo pagador, ao iniciar e verificar a transação.
Importância estratégica
A autenticação como um serviço utiliza autenticação multi-factor baseada na nuvem para fornecer segurança, conformidade regulamentar rigorosa e uma experiência ininterrupta do cliente que ajuda a impulsionar o crescimento. A autenticação como serviço é uma forma moderna de abordar o gerenciamento de identidade e acesso que aproveita os recursos da computação em nuvem e também oferece uma melhor experiência de usuário e gerenciamento de usuários. Proporciona eficiências imediatas para os bancos com uma solução que pode ser rapidamente implementada. A Autenticação como Serviço também suporta implementação rápida uma vez que a maioria dos provedores AaaS tem plugins e APIs (Serviços RESTful, etc.) para permitir fácil integração em aplicações empresariais.
AaaS adiciona camadas extras de segurança, não apenas fornecendo autenticação forte, mas também políticas de controle de acesso. A confidencialidade na nuvem é alcançada através da aplicação de diferentes algoritmos, juntamente com procedimentos de criptografia e decodificação, hashing, assinaturas digitais, certificados, bem como gerenciamento de troca de chaves. O AMF baseado na nuvem também suporta o comportamento cada vez mais digital dos clientes. Ao afastar-se da infra-estrutura local para um fornecedor de serviços na nuvem, as instituições financeiras e outras organizações estabelecem as bases para soluções de personalização e autenticação mais abrangentes, tais como autenticação baseada em risco ou autenticação adaptativa.