Cibersegurança para fintechs
(Tempo de Leitura: 6 min.)

Cibersegurança para fintechs é uma preocupação essencial. O surgimento das fintechs e a implementação dos novos meios de pagamento, como o Pagamento Instantâneo (PIX), além do open banking, significam novos desafios de segurança cibernética para o mercado de meios de pagamento no Brasil. 

Em vigor desde 2018, a resolução nº 4.658 do BACEN estabelece que as instituições financeiras autorizadas devem implementar a política de segurança cibernética e procedimentos para contratação provedores de computação em cloud. Adicionalmente, a circular 3.909 do BACEN também estabelece normas referentes à segurança da informação aplicadas especificamente às instituições de pagamentos.

Desta forma, bancos, cooperativas de crédito, instituições de pagamento, instituições de pagamento instantâneo e fintechs devem estabelecer uma política de segurança cibernética para que possam operar sem ter problemas regulatórios, de imagem, financeiros ou de reputação, por conta de um incidente cibernético

Para as fintechs, o desafio é maior se comparado com as grandes instituições financeiras, as quais já estão habituadas a investir em segurança da informação e possuem maturidade elevada de processos e tecnologia.

As fintechs estão quase sempre muito mais focadas em investir seus recursos no desenvolvimento do produto e ganhar mercado, sem necessariamente priorizar a segurança da informação e segurança cibernética. Como resultado, as fintechs podem correr um risco maior de fraudes, vazamentos de dados ​e outros incidentes cibernéticos. Isso pode ter graves consequências como perda financeira, de reputação, de clientes e, até mesmo, o colapso da empresa. 

Outro importante estímulo para que as fintechs invistam em proteção de dados são as leis de privacidade, como a GDPR e LGPD. Essas leis exigem medidas robustas de segurança cibernética contra ataques e vazamento de dados, além de outros controles de privacidade. Por conta do volume de dados pessoais e dados sensíveis de clientes, as fintechs precisam adotar os controles e mecanismos necessários para proteger a empresa e os dados, do contrário, poderão sofrer com grandes punições, dificultando a continuidade de negócios da empresa.

Continue a leitura e descubra como a segurança cibernética pode ser implementada nas fintechs em vista do cumprimento de aspectos regulatórios e baixe nosso checklist do BACEN 4.658/3.909.

Política de Segurança Cibernética para Fintechs

Como já mencionado, o BACEN determina que as instituições devem implementar e manter uma Política de Segurança Cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados. 

Para estabelecer uma Política de Segurança Cibernética exigida pelo BACEN, é necessário ter conhecimento do estado atual, definir políticas e procedimentos, fazer as adequações e implementações, monitorar e reportar para as partes interessadas. 

Estamos caminhando cada vez mais para um futuro onde a segurança cibernética é fundamental para novas relações de negócios, exigindo que todo o ecossistema adote requisitos de segurança cibernética por meio de um programa de segurança da informação alinhado com padrões de mercado, tais como ISO 27.001 e PCI-DSS.

Sabemos a dificuldade em estabelecer essas tarefas e construir uma cultura onde a segurança cibernética coexista com as demais responsabilidades. Mas é imprescindível o desenvolvimento de uma postura de cibersegurança proativa para a sobrevivência das fintechs.

Como uma fintech pode se adequar às regulamentações de cibersegurança

As fintechs são conhecidas por desburocratizar processos financeiros fazendo uso da tecnologia e transparência em seus produtos. Essas empresas estão mais acostumadas a lidar com os riscos cibernéticos que o meio digital oferece aos usuários, pois lidam diretamente com dinheiro e precisam estar em conformidade com vários regulamentos para operar seus serviços.

O modelo estabelecido pelas fintechs é baseado em processos rápidos apoiados pela tecnologia. Os processos de cibersegurança exigidos por regulamentações podem interferir nesse modelo, atrasando a entrega de novos produtos ou o atendimento aos clientes. 

Selecionamos 10 processos essenciais para o atendimento às regulamentações de cibersegurança para as fintechs. Leia mais sobre cada um deles a seguir.

1. Assessment de Risco Cibernético

Para uma avaliação de riscos cibernéticos, é necessário entender como dados valiosos estão organizados em sua infraestrutura. Para isso, as fintechs devem considerar os seguintes processos de cibersegurança.

  • Determinar o valor da informação.
  • Identificar e priorizar ativos críticos para a operação.
  • Identificar ameaças e vulnerabilidades.
  • Analisar controles existentes e implementar novos controles.
  • Calcular a probabilidade e o impacto de cenários que apresentam riscos.
  • Priorizar riscos com base no custo de prevenção x valor da informação.
  • Documentar os resultados no relatório de avaliação de riscos.

2. Política de Segurança Cibernética

Uma política de segurança cibernética funciona como um planejamento da forma como a empresa lida com seus ativos de informação, ou seja, aquilo que produz ou contém informações de valor. Uma política de segurança cibernética deve usar como base os pilares de segurança da informação. Além disso, para as fintechs recomendamos que os seguintes pontos sejam considerados na política:

  • Manipulação dos dados.
  • Uso de senhas de segurança.
  • Treinamento e conscientização sobre segurança cibernética.
  • Backups e atualizações contínuas.
  • Phishing Awareness.
  • BYOD.
  • Uso seguro de redes sociais.
  • Manuseio de dados pessoais. 

3. Plano de Ação e Respostas a Incidentes 

Uma plano de respostas a incidentes gerencia a reação da empresa após um ataque cibernético ou violação de segurança da informação. Um bom plano de ação é capaz de minimizar os danos, reduzir o tempo de recuperação de desastres e mitigar as despesas relacionadas às violações. Esse item é indispensável especialmente para as fintechs, pois é definido como requisito obrigatório do PCI-DSS.

4. Requisitos para avaliação de segurança de provedores

Com relação ao uso de computação em nuvem, o BACEN esclarece que as instituições devem assegurar políticas para o gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços.

O BACEN não limita apenas o uso de serviços chamados de Cloud ou Nuvem, mas sim a todos os tipos de terceirização de processamento, armazenamento ou computação de informações. 

Essa definição afeta diretamente as fintechs, pois seus produtos fazem uso de aplicações SaaS e ambientes IaaS ou PaaS em sua estrutura tecnológica. Muitos desses serviços são essenciais para o funcionamento das operações de uma fintech, assim é necessário estabelecer requisitos para avaliação da segurança cibernética desses provedores para a sua utilização.

5. Gestão de Vulnerabilidades

O desafio de lidar com vulnerabilidades, explorações e ameaças de cibersegurança é que elas estão sempre mudando. Todos os dias, novas vulnerabilidades e explorações são descobertas, o que leva os invasores a criar novas ameaças cibernéticas que se aproveitam delas. Os processos de gestão de vulnerabilidades, como testes de vulnerabilidade e gerenciamento de patches, são cruciais para atenuar as novas ameaças à segurança cibernética à medida que elas surgem.

6. Adequação da política de Riscos e do PCN

Planos de continuidade são uma parte importante para qualquer negócio. Ameaças, interrupções e desastres podem levar a uma perda de receita e a custos mais altos, que por sua vez podem afetar a lucratividade. As fintechs devem gerenciar os riscos cibernéticos e trabalhar cenários de risco para a continuidade de seus negócios.

7. Implementação de processos / controles

As fintechs enfrentam riscos de segurança cibernética devido a problemas de integração, como compatibilidade e tecnologias legadas. A integração da fintech com os sistemas bancários tradicionais pode suscitar preocupações em relação à privacidade dos dados. Listamos os principais pontos relacionados à cibersegurança das fintechs que precisam possuir processos e controles para garantir a segurança das informações:

  • Ataques de malwares.
  • Vazamento de dados.
  • Riscos de integridade dos dados.
  • Riscos de segurança em ambientes cloud.
  • Blockchain. 

8. Monitoramento e resposta à incidentes

Enquanto algumas empresas não têm conhecimento da integridade de seus sistemas, outras estão se afogando em um mar de notificações, aumentando a probabilidade de perder a causa raiz desses problemas. Para as fintechs, o resultado de qualquer cenário pode ser que os incidentes virem emergências graves e os clientes experimentem tempo de inatividade de serviços de pagamento essenciais. Uma estratégia de monitoramento aliada a cibersegurança pode ser definida desde que faça uso de itens básicos de monitoramento, combatendo os alertas falsos positivos e obtendo eficiência na resposta a incidentes.

9. Gerenciamento de riscos de fornecedores

Além das instituições financeiras, estão sujeitas à resolução nº 4.658 do BACEN as empresas prestadoras de serviços, que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição financeira. Esses prestadores de serviço devem apresentar recursos e competências necessários para a adequada gestão dos serviços a serem contratados e atenderem aos requisitos da legislação. Além disso, os riscos associados a fornecedores podem ter impacto direto nas finanças, operações e imagem das empresas.

10. Relatórios e dashboards com KPIs

Os líderes de segurança e suas equipes precisam gerar relatórios e visualizações para o público e partes interessadas em tempo real, de acordo com os contextos necessários. Para gerenciar a segurança cibernética, é preciso medir e acompanhar a sua segurança através de KPIs específicos de cibersegurança.

Gerencie o processo de conformidade com o GAT

Esse conteúdo abordou os principais controles necessários para a conformidade legal das fintechs e como alguns processos de segurança contribuem com a cibersegurança das fintechs. Como conclusão, recomendamos o uso de ferramentas maduras para a gestão do processo de conformidade e controle dos processos de cibersegurança.

A plataforma GAT (Get Ahead of Threats) permite a gestão do processo de conformidade com rastreabilidade, visibilidade e automação. Nossa plataforma possibilita a gestão de conformidade com a LGPD, ISO 27.001, PCI-DSS e as normativas 4.658 e 3.909 do BACEN.

Os controles e processos exigidos pelo BACEN estão dentro do GAT de forma automática. Sabemos que muitas vezes as fintechs possuem times reduzidos para desempenhar determinadas funções, assim o GAT contribui com a produtividade e gerenciamento de riscos cibernéticos de forma apropriada. 

Veja essa figura extraída da nossa plataforma referente a conformidade 4.658 do BACEN em comparação com os processos existentes de uma empresa. 

Com o uso da plataforma GAT, as fintechs entendem de forma objetiva as falhas existentes de cibersegurança e podem direcionar seus esforços para as correções necessárias de forma automática. Além disso, o GAT disponibiliza o acompanhamento das evoluções das correções e registro de atividades que podem ser usadas como evidências para auditorias. Agende uma demonstração hoje e transforme os processos regulatórios da sua fintech com agilidade.

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos