A First Tech, empresa de integração de soluções em TI, é a mais nova mantenedora da Associação Brasileira Online to Offline (ABO2O). Atenta às necessidades das empresas em busca de mais segurança para os seus stakeholders, a companhia oferece diversos serviços que visam reduzir os riscos cibernéticos à medida que as organizações avançam em seus planos de transformação digital.
“A prevenção à fraude demanda maturidade do negócio. Muitas empresas acabam se preocupando com a Segurança da Informação, infelizmente, de forma reativa, após a incidência do ataque e dano à organização. A First Tech chegou num momento em que tantas empresas estão sendo desafiadas pelos riscos cibernéticos, que têm colocado a continuidade dos negócios em xeque. A empresa firma o compromisso de incentivar uma agenda anual de fomento de discussões com o setor e compartilhar boas práticas que deixarão nosso ecossistema mais fortalecido contra as ameaças digitais”, afirmou Marcos Carvalho, diretor geral da associação.
Estima-se que até 2031, o ransomware, modalidade de malware que sequestra os sistemas de uma empresa e só os liberam após o pagamento de um resgate, deve gerar um prejuízo de aproximadamente US$ 265 bilhões, segundo previsões da consultoria Cybersecurity Ventures. Considerada uma das ameaças que mais colocam em risco a continuidade dos negócios atualmente, o ransomware precisa ser tratado sob duas óticas: defesa e resposta ao incidente.
“A primeira linha é a de prevenção contra a entrada do ransomware nos sistemas, utilizando soluções de perímetro, análise de tráfego norte sul e leste oeste, defesa de endpoints, firewalls de aplicação, análise e monitoramento de logs. Em seguida é preciso estar pronto caso a primeira linha seja rompida por meio de uma política de criptografia dos dados sensíveis. Assim, caso haja capturas de dados, estes não terão nenhuma relevância para o invasor, uma vez que ele não possui as chaves de descriptografia”, explica Luiz Gustavo Vidal Medina, diretor da First Tech, empresa de integração de soluções em TI.
Segundo Medina, a gestão efetiva das chaves criptográficas é um ponto crítico da segunda linha de defesa, que deve estar alinhado a políticas de backup e testes constantes de integridade do ambiente. Isso garante que, além de ser possível colocar o ambiente no ar após um sequestro, a organização esteja protegida contra vazamentos de informações.
Nos últimos anos, pode-se testemunhar o avanço do cibercrime em várias frentes. Na opinião de Medina, a complexidade do cenário de negócios e ameaças aumentou acima da capacidade de muitas companhias em absorver estes desafios técnicos, de processos e educação de força de trabalho. “Nas equipes de segurança da informação, é cada vez mais difícil manter os profissionais capacitados e munidos de todo o ferramental que necessitam”.
Democratização da Segurança
Para uma grande quantidade de companhias, os investimentos ligados a tecnologias de automatização, como aprendizado de máquina ou inteligência artificial, assim como a gestão de segurança, são inviáveis devido ao seu alto custo. No entanto, quando buscada externamente em empresas especializadas em monitoração e gestão de segurança da informação, os aportes se tornam mais acessíveis, já que o volume de investimentos é compartilhado entre diversos clientes.
“A utilização de serviços especializados permite escalar bases muito maiores de conhecimento e trazer uma camada de proteção para o negócio sem precisar arcar com os altíssimos custos de manter uma equipe especializada e ferramentas caras”
Segundo o executivo, a digitalização é inevitável e se acelerou durante a pandemia, mas trouxe novos problemas, desafios e brechas. “Algumas soluções de segurança fundamentais aos negócios demandam investimentos muito pesados. Por isso, temos como um de nossos principais objetivos democratizar o acesso a essas tecnologias, criando opções de serviço que não necessitem de aportes volumosos e sejam escaláveis de acordo com a necessidade de nossos clientes”.
Tokenização
O setor financeiro é um dos que mais avançou nos últimos anos, especialmente durante os momentos mais críticos da pandemia, afinal, cidadãos, consumidores e organizações só conseguiam comprar ou vender produtos e serviços através da internet. Ou seja, as transações tinham que estar protegidas, e a tokenização se tornou um dos processos mais importantes para isso.
O processo de tokenização substitui o dado original por um token, calculado por algoritmos e chaves de criptografia. Todas as transações financeiras passam, então, a utilizar este token substituindo, por exemplo, pelo seu número de cartão.
“Trazendo para nosso dia a dia, cadastramos nosso cartão em diversos sites, aplicativos mobile e carteiras digitais com a finalidade de adquirir algum bem ou serviço. Com o uso da tokenização, cada um destes provedores ou fornecedores irá gerar um token único com base no seu cartão e você terá um para pagar o canal de streaming, outro para realizar pagamento do aplicativo de delivery e assim por diante”, explica Edmar Siqueira, Head of Innovation da First Tech.
No entanto, segundo Siqueira, o uso da tokenização ainda é pequeno, pois existem diversas regras e um fluxo de mensagens que devem ser respeitados e implementados na comunicação com as bandeiras e com o banco emissor.
“É aí que a First Tech entra com a solução de DTS (Digital Token Service), que implementa todas as APIs estabelecidas pelas bandeiras, simplificando o processo para aqueles que necessitam ou querem adotar este processo”, afirma. Siqueira diz ainda que todos os novos métodos de pagamentos em uso e futuros, estabelecidos pelas bandeiras, irão se basear neste processo de tokenização, entre eles, os realizados por QRCode e WhatsApp.
HSM Como Serviço
Falar sobre o ecossistema de meios de pagamento exige compreender que este foi implantado de forma a seguir diversas exigências estabelecidas pelas bandeiras e pelo PCI, uma das principais certificações da indústria financeira. Siqueira explica que para uma entidade participante emitir um cartão ou processar uma transação em nome deles, precisa passar por certificações que irão auditar e verificar toda a segurança estabelecida.
“Cada tipo de negócio terá sua certificação a ser seguida conforme o PCI DSS e PIN Security. Todos que precisam passar por esta validação precisam implementar um módulo de segurança transacional chamado Host Security Module (HSM), que possui funcionalidades específicas para tornar o fluxo das transações seguras”.
Apesar de ter sido criado em 1985 e já estar em sua 5ª geração, o módulo HSM é de alto custo e oferece uma série de desafios para as empresas interessadas, como preparação da infraestrutura, treinamentos, pessoal capacitado para desenvolver, suportar e administrar, entre outros.
“É perceptível que muitas organizações têm dificuldades para adquirir e implantar esta tecnologia e principalmente em lançar produtos novos ao mercado. O custo e o tempo de implantação podem matar a ideia ou modelo de negócios”.
Pensando nisso, a First Tech criou a HoP (HSM off Premisess), uma plataforma de HSM como serviços em que o cliente tem disponível tudo o que é relacionado ao módulo, se preocupando apenas em desenvolver seu produto e lançá-lo no mercado. O serviço é baseado em cloud, tornando fácil a integração das aplicações e ambientes, além de fornecer escalabilidade para futuras demandas.
“Desta forma, conseguimos levar o acesso a esse tipo de tecnologia às empresas que estão iniciando e desenvolvendo suas aplicações para o mercado financeiro a custos mais acessíveis”.
A empresa já tem alguns cases de sucesso e um deles ganhou o Prêmio Relatório Bancário. “A fintech SWAP conseguiu certificar rapidamente com a Bandeira Mastercard e, na sequência, alavancou seu negócio ao conquistar mais clientes”, finalizou Siqueira. Para saber mais sobre a empresa, acesse aqui.
