Você está ficando para trás no movimento de open banking em rápida evolução? As empresas de FinTech estão acelerando o tempo de colocação no mercado e impulsionando a inovação que seus clientes desejam.
O uso de APIs de terceiros está revolucionando a maneira como os clientes interagem com instituições financeiras.
Mas os grandes volumes de chamadas de API geradas podem causar problemas de segurança, além de aumentar os custos em ambientes legados. Além disso, garantir a conformidade com regulamentações rigorosas — como a diretiva europeia PSD2 (Payment Services Directive 2) para serviços de pagamento eletrônico — se torna cada vez mais desafiador.
Aceitação da oportunidade de crescimento global do open banking
O open banking está pronto para a inovação de APIs. Aprenda os 8 principais imperativos para o sucesso.
Não há dúvidas de que você não pode ter open banking sem alta eficácia de segurança, mas muitos bancos e organizações de serviços financeiros estão se perguntando se suas soluções de segurança atuais estão prontas para os riscos crescentes associados ao open banking. Essa preocupação foi destacada em uma pesquisa de 2020 com funcionários de empresas BFSI. Quando solicitados a classificar os “quatro fatores mais importantes a serem considerados antes da integração com uma API”, a segurança (71,0%) ficou perto do topo.2
A ascensão dos ataques de API e seu impacto na segurança do open banking
Dados de serviços financeiros estão entre os tipos de dados mais procurados por invasores cibernéticos. A Gartner previu que, até 2022, os abusos de API serão o vetor de ataque mais frequente contra aplicativos da web corporativos, resultando em violações de dados. É por isso que é mais crítico do que nunca proteger APIs e salvaguardar seus aplicativos e os dados contidos neles, sem sufocar a inovação.
Como proteger APIs adequadamente?
Uma pesquisa conduzida pelo F5 Labs mostra que as APIs são altamente suscetíveis a ataques cibernéticos. O OWASP tem até uma lista das 10 principais vulnerabilidades para APIs porque, em suas palavras, “Sem APIs seguras, a inovação rápida seria impossível”. O problema mais frequente é a completa falta de autenticação na frente dos endpoints da API, seguido por autenticação quebrada e autorização quebrada.
O’Reilly Media Segurança de Aplicativos Web eBook
Disponível como cortesia da F5, este eBook da O'Reilly Media apresenta dicas práticas de segurança que podem economizar milhões para sua empresa em violações de dados e conselhos que suas equipes de desenvolvimento e segurança podem usar imediatamente.
Desafios regulatórios do Open Banking enraizados na segurança
Embora os Estados Unidos ainda não tenham experimentado intervenção regulatória na área de open banking, outras partes do mundo já implementaram tais iniciativas. Na Europa, a UE promulgou a Segunda Diretiva de Serviços de Pagamento (PSD2), que exige que os bancos criem mecanismos — mais comumente APIs — para fornecer dados de forma rápida, segura e confiável a provedores terceirizados com o consentimento de seus clientes. Outros países, como Reino Unido, Canadá, Hong Kong, Japão, México e Austrália, também estão progredindo com padrões de open banking. A conformidade com os desafios regulatórios exige um investimento para mitigar o risco de conformidade, o que pode resultar em multas caras.
A Matriz de Maturidade do Open Banking da Twimbit mapeia a posição relativa de 22 grandes países em dois critérios distintos: iniciativas regulatórias e iniciativas de mercado.
Série de infográficos do open banking global pela Twimbit
A Twimbit, com a ajuda da F5, deu uma olhada no mundo do open banking: como ele funciona, as oportunidades disponíveis, os principais participantes globais, os desafios regulatórios e muito mais.
Outros vetores de ataque que aumentam o estresse no open banking — OFX e screen scraping
APIs padrão não são a única superfície de ameaça que requer atenção urgente no open banking. Tradicionalmente, terceiros e agregadores financeiros que exigem acesso aos dados do consumidor aproveitam dois mecanismos:
- OFX (Open Financial eXchange), que foi inicialmente criado para conectar aplicativos financeiros de consumo (por exemplo, MS Money, Intuit QuickBooks) às instituições financeiras de um usuário.
- Screen scraping, onde os consumidores fornecem suas credenciais bancárias a terceiros, e o terceiro efetua login e coleta essas informações do canal da web de serviços financeiros.
O OFX pode ser utilizado como um canal para adversários realizarem roubo de credenciais/validação de contas em larga escala e aquisição de controle, tanto diretamente quanto por meio de agregadores financeiros.
As organizações de serviços financeiros experimentaram a maior proporção de incidentes de segurança de login de senha, 46%. Analisando esses dados, 5% foram reportados contra APIs para aplicativos móveis e 4% atingiram interfaces do Open Financial Exchange (OFX) .3
Os agregadores de dados FinTech fazem parte de uma nova e empolgante fronteira em serviços financeiros. Elas levam a melhores experiências gerais para os consumidores e até mesmo fortalecem propostas de valor por meio de sinergias para organizações tradicionais e FinTechs.
Mas eles também introduzem vulnerabilidades de segurança à medida que o uso da API aumenta no FinServ, o que pode impactar negativamente o desempenho do aplicativo.
Fornecer credenciais para captura de tela a terceiros expõe essas credenciais à postura de segurança desse terceiro. Esses mecanismos não fornecem ao consumidor consentimento preciso e controle sobre as informações às quais terceiros têm acesso, deixando bilhões de transações em risco e com o potencial aumentado de levar a violações de segurança extremamente dispendiosas.
Proteja a API FDX para defender dados em open banking
Principais maneiras pelas quais os agregadores de dados de fintech estão afetando os serviços financeiros em 2022
Este e-book explora o valor crescente que os agregadores de dados FinTech oferecem aos serviços financeiros e como mitigar os desafios associados que eles trazem.
APIs abertas permitem que bancos façam parcerias com fintechs para criar experiências digitais novas e melhores.
Essa prática também gera problemas de segurança. Nesta lição de lightboard, você aprenderá como as soluções certas podem fornecer segurança e eficiência para iniciativas de open banking.
Assista ao vídeo
Explicando Open Banking e Segurança de API
As melhores soluções de segurança de open banking com as quais você pode contar
A segurança do gateway de API por si só é amplamente inadequada para APIs expostas. As soluções de segurança holísticas centradas em API da F5, que incluem um gateway de API de alto desempenho, oferecem eficácia de segurança de API que os gateways de API simplesmente não conseguem fornecer sozinhos. Como nossa solução WAF que oferece suporte à ingestão de arquivos OpenAPI/Swagger para permitir os controles de segurança de API mais precisos. Além disso, as soluções de segurança da F5 autenticam o tráfego de provedores terceirizados, um requisito de conformidade da PSD2 da UE, e estão mitigando fraudes e abusos de API e outros tráfegos de bots ilegítimos, frequentemente associados a OFX e captura de tela.
O que torna a segurança do open banking do F5 única?
Colocando a segurança do open banking em primeiro lugar, independentemente da infraestrutura
As soluções de segurança de open banking da F5 podem proteger efetivamente APIs e a infraestrutura usada para hospedá-las, independentemente das preferências de arquitetura. Você nunca fica preso às restrições de um único ambiente, seja ele hospedado na nuvem ou infraestrutura local. Nossas soluções de open banking são escaláveis para o futuro e oferecem suporte a serviços de API seguros e escaláveis para todas as suas necessidades financeiras.
Abordagem de Open Banking agrega valor ao cliente em um ambiente seguro
Ao procurar maneiras de criar novas oportunidades para seus correntistas, o African Bank buscou serviços bancários abertos, mas enfrentou desafios relacionados à segurança e à disponibilidade constante de interfaces. Com foco na construção de arquiteturas do tipo microsserviços, isso permitiu que eles entregassem melhor o que seus clientes queriam. Sua abordagem de open banking orientada por API gerou receita adicional e valor agregado para seus clientes.
Saiba mais sobre o
História de cliente do African Bank
Organização aborda desafios regulatórios de open banking com F5
Como muitas na Europa, uma organização na Grécia enfrentou novos requisitos da PSD2 que custariam multas pesadas se fossem descobertos em desacordo. Eles recorreram à F5 para encontrar uma solução. Com o F5 BIG-IP APM (Access Policy Manager), sua organização pode autenticar o TPP (Third Party Provider) antes de acessar sua API do OpenBank e pode encaminhar o QWAC (Qualified website authentication certificate) para seu aplicativo para processamento posterior, sem alterações em seu aplicativo.
Pylones Hellas, utilizando a solução APM da F5, responde à nova diretiva PSD2
Quer ver como funciona?
Descubra como o NGINX App Protect é usado para proteger APIs de Open Banking e prevenir ataques L7DoS.
[1] Allied Market Research, “ Mercado global de Open Banking deve atingir US$ 43.152 milhões até 2026 ”
[2] Postman, “ Relatório sobre o estado da API de 2020 ”
[3] F5 Labs, “ Relatório de Proteção de Aplicativos de 2021: De Resgate e Redenção "
Experimente de graça
Proteja seus aplicativos e APIs onde quer que eles sejam executados com segurança líder de mercado que abrange data centers, nuvens e arquiteturas. Entre em contato conosco para saber mais sobre como iniciar seu teste gratuito.
OBRIGADO
Recebemos sua solicitação. Entraremos em contato em breve.
Segurança de serviços financeiros
Segurança robusta para serviços financeiros é essencial. É por isso que 15 dos 15 maiores bancos dos EUA usam soluções F5.
Open Banking
O open banking está revolucionando a maneira como as pessoas no mundo todo interagem com seus bancos. Mas também está expondo os serviços financeiros a novas ameaças de segurança e problemas de desempenho.
TRANSFORMAÇÃO DIGITAL
A transformação digital é a chave para superar as antigas restrições de escalabilidade e desempenho e oferecer aos clientes as experiências digitais excepcionais que eles esperam.
GRC e gerenciamento de fraude
Proteger seus aplicativos e permanecer em conformidade são essenciais para ter uma presença online confiável. Um desafio é que as instituições financeiras são um dos alvos mais lucrativos para redes sofisticadas de crime organizado.