A segurança da TI está pronta para o PIX?

No dia 19 de fevereiro de 2020, o Banco Central lançou o sistema PIX que irá digitalizar o dinheiro e com isso diminuir os custos de transações financeiras entre pessoas, empresas e, inclusive, o governo. Inclusive, para algumas companhias o serviço será obrigatório a partir do dia 16 de novembro, como as instituições financeiras com mais de 500 mil contas de clientes ativos – incluindo contas de depósito à vista, contas de depósito de poupanças e contas de pagamentos pré-pagas.

O PIX facilitará a conexão entre varejistas, pessoas, bancos convencionais, digitais e fintechs por meio de um único sistema para transferir fundos de maneira rápida e segura com custo muito inferiores aos praticados atualmente. O Banco Central manterá a estrutura capaz de catalogar os participantes e registrar cada transação de forma rápida, comparável a uma transação P2P (Peer-to-peer).

O volume de transações está crescendo dramaticamente, segundo a Pesquisa FEBRABAN de Tecnologia Bancária de 2019, o volume de transações de DOC e TED realizadas pelos smartphones cresceram 119% entre 2017 e 2018 chegando a 862 milhões de transações.

O sistema está projetado para operar com 99,9% de disponibilidade com 2.000 transações por segundo de forma escalável, rápida e segura. O tempo máximo de recuperação (RTO) esperado será de 15 minutos com perda de dados máxima admitida (RPO) de ZERO.

Uma das principais formas de realizar pagamentos e transferências será através de QR Code. O lojista terá um código para que o cliente escaneie com a câmera do seu celular e realize a operação rapidamente.

Onde o dinheiro vai, a fraude segue. Com isto, a grande questão é: A TI dessas instituições está preparada para o PIX? A segurança contra fraudes será provida pelos fornecedores dos serviços de carteira digital ou métodos de pagamento. Em outras palavras, as fraudes estão diretamente relacionadas ao zelo que essas companhias participantes aplicarem no desenvolvimento de suas soluções.

A mudança das transações padrão para as em tempo real adiciona outra camada de complexidade e cria mais oportunidades para os fraudadores. Tempos de transação mais rápidos aumentam as chances de transações fraudulentas não serem detectadas. Levando em conta que, o sistema só processará transações irrevogáveis, ou seja, sem possibilidade de “chargeback”. Isso significa que, uma vez realizada, a operação não pode ser desfeita, e caso ocorram erros ou fraudes, os envolvidos precisarão desenvolver alguma espécie de acordo ou sistema de reembolso.

É importante ressaltar que os criminosos sabem quais são os desafios enfrentados pelas instituições financeiras durante a transição e estão prontos para explorar quaisquer vulnerabilidades que encontrarem no caminho.

O que será preciso mudar? De que forma essas empresas precisarão se adequar ao Pix? Assim como seguem se adequando à LGPD, toda instituição que trabalha com dados privados, é preciso dar um “boost” na segurança da informação. Isso inclui criptografia de alta velocidade para dados em movimento independente da rede, seguro de chaves criptográficas resistente às violações, controle de políticas, gerenciamento de chaves na nuvem, tokenização e mascaramento dinâmico de dados, entre outras.

Como em qualquer nova iniciativa de pagamento, haverá problemas iniciais. Com isso, é preciso estar um passo a frente sempre. As instituições financeiras precisam avançar, ser proativas e proteger os dados com antecedência, em vez de simplesmente serem reativos e esperar que os fraudadores ataquem.

* José Ricardo Maia Moraes é Executivo de Desenvolvimento de Negócios da Neotel

Sobre a Neotel

Empresa brasileira focada em Segurança Digital com alianças tecnológicas com os principais provedores globais de tecnologia. De forma inovadora integra diversas soluções e serviços oferecendo uma plataforma que se diferencia pelo alinhamento aos objetivos de negócios, risco, exposição e Compliance dos Clientes. Entrega soluções sob medida para cada vertical, negócio e situação.

A empresa foca no relacionamento para conhecer profundamente os clientes e assim oferecer serviços e soluções de forma totalmente agnóstica, escalável, elástica, transparente e simplificada.

Protege o negócio de seus Cliente sob vários aspectos diferentes – disponibilidade, desempenho, integridade, confidencialidade, risco, exposição, controle e visibilidade. Seu portfólio inclui soluções específicas para atender as regulações de mercado (PCI, SOX, etc.) e legislação específica (LGPD, GDPR, BACEN, CVM, etc.).