LGPD e fintechs: como a segurança de dados é garantida no setor financeiro

A Lei Geral de Proteção de Dados (LGPD) regula as atividades de tratamento de dados pessoais e estabelece princípios para seu bom uso. Para garantir a privacidade e a segurança dos dados de seus clientes, fintechs ou startups que prestam qualquer tipo de serviço financeiro precisam implementar requisitos técnicos, processuais e políticos. “Isso vai desde como avaliar os fornecedores e parceiros que serão utilizados, implementar ferramentas para monitorar e garantir a segurança das aplicações, como antivírus nos computadores dos colaboradores, até ferramentas para monitoramento de ataques nas aplicações web desenvolvida”, comenta Lucas Carvalho, mentor da venture capital especializada em fintechs Honey Island Capital e líder de cloud engineering no EBANX.

Ele ainda conta que, para esses negócios, é necessário ter cuidado redobrado na hora de coletar dados dos clientes, entendendo exatamente qual a necessidade e finalidade, garantindo a segurança em todas as etapas. “É preciso ter atenção à segurança no armazenamento e transmissão desses dados, pois como essas empresas geralmente são mais jovens, ainda não possuem processos de segurança da informação maduros e testados. Usar criptografia e não armazenar quaisquer códigos são os dois principais fatores para estar adequado às regras de proteção de dados”, explica.

Certificações PCI padronizam segurança de dados de cartão

- Além de dados comuns em transações financeiras, há startups do setor que trabalham com informações ainda mais sensíveis — como a face. Esse é o caso da Payface, fintech que desenvolve tecnologia de reconhecimento facial para pagamentos e é focada em varejos físicos, como supermercados e farmácias. Com dois anos de atuação, a empresa foi certificada pelo padrão de segurança PCI DSS 3.2.1 (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento — PCI DSS), uma das certificações do PCI Security Standards Council, fórum global de elaboração de normas de manipulação de dados sensíveis fora do ambiente de compra.
- Desenvolvido para incentivar e aprimorar a segurança dos dados do titular do cartão e promover a ampla adoção de medidas de segurança consistentes no mundo todo, o PCI DSS oferece a base de requisitos técnicos e operacionais elaborados para proteger as contas, aplicando-se a todas as entidades envolvidas nos processos de pagamento do cartão — inclusive comerciantes, processadores, adquirentes, emissores e prestadores de serviço —, protegendo dados que todo consumidor repassa no momento do checkout, como nome, números, documentos vinculados ao cartão de crédito e, no caso da Payface, informações biométricas.
- “Esses dados são armazenados na nossa estrutura, em que somente servidores privados e colaboradores específicos podem ter contato direto para fins de manutenção. Se o usuário fornecer informações de cartão de crédito, essas são criptografadas usando tecnologia secure socket layer (SSL) e armazenada com criptografia”, explica Eládio Isoppo, CEO e cofundador da startup. Isoppo comenta que o PCI DSS exige uma estrutura interna e um grau de maturidade que muitas vezes uma startup mais jovem não possui, já que demanda investimento robusto e adequação de sistemas, assim como monitoramento constante de possíveis riscos. “Ter uma entidade externa atestando que seguimos as regras de segurança necessárias no que tange a dados de cartão mostra que estamos no mesmo patamar dos principais players do mercado, mesmo com poucos anos de atuação”, completa.

Resolução do Banco Central regula instituições

Para a CashWay, startup de soluções end-to-end focada em atender demandas de instituições financeiras, oferecer o core bancário dentro de todas as normas do Banco Central permite que a empresa reúna seus esforços na tecnologia que desenvolve, sem se preocupar com adequações regulatórias. “A solução está 100% adequada à resolução 4.893 do Banco Central do Brasil, que regula todos os aspectos ligados à segurança cibernética das instituições financeiras. A infraestrutura robusta, baseada na nuvem Amazon Web Services (AWS), com acesso por VPN (rede privada virtual), autenticação de dois fatores e política de backup redundante, permite o crescimento da fintech sem que ela precise focar nisso”, explica Felipe Santiago, CEO da empresa.

Para cumprir a LGPD para os usuários do sistema, a CashWay criou um aviso de privacidade. Nele, é possível entender que o objetivo principal da utilização das informações é viabilizar a prestação de serviços e aprimorar a experiência de uso. Os dados fazem parte do ecossistema de comunicação, seja para informar novos produtos, comunicados específicos regulatórios, ofertas e promoções de soluções, bem como pesquisas de satisfação. Eles são armazenados somente pelo período necessário para o atendimento da finalidade para a qual foram coletados. “Sempre realizamos uma análise técnica para determinar o período de retenção adequado para cada tipo de dado, considerando sua natureza, necessidade e finalidade, bem como eventuais retenções para o cumprimento de obrigações ou o resguardo de direitos”, diz o documento.

Via de mão dupla: segurança de dados também é problema do usuário

Em casos de aplicativos, os dados também são armazenados dentro do próprio dispositivo do usuário. Por isso, é preciso que cada cliente mantenha as informações de seus dispositivos pessoais seguras. De acordo com o fundador da Payface, há algumas formas para isso, como:

- Ativar a autenticação por código, reconhecimento biométrico digital ou facial para o dispositivo — o que encripta automaticamente os dados de acesso e impede que qualquer pessoa o utilize sem permissão;

- Configurar uma funcionalidade que permita apagar todos os dados do dispositivo em caso de perda ou roubo:

* Para dispositivos iOS, ativar esta funcionalidade é um processo em duas etapas: primeiro, é preciso ativar o “Buscar meu Iphone” através do iCloud, e depois ativar “Apagar dispositivo”;

* Para dispositivos Android, é preciso fazer o download e configurar o “Encontre meu Dispositivo” a partir da Google Play Store. Se necessário, é possível utilizar a interface web ligada para bloquear ou limpar o telefone remotamente.

Mais instruções ficam disponíveis nas páginas de suporte de cada marca.