O modelo open banking possibilitou que fossem desenvolvidas maneiras diversas de realizar pagamentos para fornecedores e usuários, tornando as rotinas financeiras mais rápidas e eficientes. Isso se deve principalmente pelas APIs, disponibilizadas pelas fintechs do setor, que permitem que serviços inovadores sejam integrados aos sistemas das empresas. No entanto, é preciso observar alguns pontos relacionados à segurança de APIs antes de incorporar tais serviços.
A proteção e a confiabilidade de informações sensíveis que trafegam por meio das APIs devem estar entre os principais cuidados. Além disso, este é um aspecto importante, já que é preciso estar atento às questões de cyber security e as exigências feitas pela Lei Geral de Proteção de dados (LGPD) aos meios de pagamento.
Este artigo é justamente para apontar o que você precisa observar em relação a segurança de APIs, antes de integrar novas ferramentas ao seu sistema financeiro.
Conteúdos Relacionados:
5 pontos para observar e garantir a segurança de APIs
1. Ambiente de homologação para testes do fluxo de integração
O primeiro ponto a ser observado para segurança de APIs é se a fintech oferece um ambiente de homologação para testes do fluxo de integração. Esse é um processo que tem o objetivo de validar os fluxos operacionais para que você não tenha problemas ao integrar seu sistema nem surpresas no momento de rodar as transações no ambiente de produção.
Ou seja, a fintech e a sua empresa devem validar o cenário de integração ao ambiente de homologação antes de iniciar o serviço.
2. Garantia de identidade do usuário na integração
Para manter a segurança de APIs, é preciso que a fintech tenha controles rígidos que garanta a identidade do usuário que está acessando, para ter a maior garantia possível de que ele realmente tem acesso aos dados requisitados.
Para a implementação de controles rígidos na autenticação é importante considerar padrões no mercado como:
– OAuth2: é um padrão de autenticação e autorização que permite o usuário conceder acesso limitado a seus recursos para terceiros, sem precisar expor suas credenciais, ou seja, o cliente não precisa compartilhar seu login e senha com ninguém.
– OpenID Connect: é um camada de identidade construída em cima do OAuth 2.0 e que permite a fácil verificação da identidade do usuário, bem como a capacidade de obter informações básicas de perfil do provedor de identidade.
3. Transparência na disponibilidade dos serviços
Outro cuidado importante para garantir a entrega e o correto funcionamento da integração é ter conhecimento do SLA de disponibilidade dos serviços ofertados pela fintech. Algumas operações são integralmente dependentes de APIs. Por isso, é fundamental que a sua empresa tenha acesso ao monitor de disponibilidade dos serviços integrados.
A Transfeera, por exemplo, mantém uma página em que apresenta um histórico dos status dos serviços ofertados para que os clientes que tenham soluções integradas em seus sistemas via API tenham acesso à disponibilidade deles. A página pode ser acessada aqui .
4. Credenciais de acesso salvas em cofre (vault)
Outra maneira de garantir a segurança de APIs é proteger as credenciais de acesso, salvando-as em cofre (vault). Trata-se de um serviço gerenciado para armazenar segredos e chaves de criptografia com segurança.
Para acessar um cofre de chaves, você deve usar a identidade gerenciada e, então, recuperar os segredos autorizados e as chaves de criptografia do cofre de chaves.
5. Web Application Firewall (WAF)
Como a superfície de ataque das APIs evolui rapidamente, mudando cada vez que a empresa implanta novos serviços, atualizando os recursos existentes ou expondo novas APIs, é preciso contar com uma solução que acompanhe essas mudanças.
O Web Application Firewall (WAF) é importante nesse quesito para garantir a segurança de APIs. Ele inspeciona automaticamente todos os conteúdos para verificar riscos e protege o sistema contra ataques direcionados a vulnerabilidades, tanto conhecidas quanto desconhecidas.
Esses foram os pontos que selecionamos para que você observe antes de integrar serviços via APIs em seu sistema de processos financeiros. Investir em segurança de APIs é importante não apenas para proteger dados, mas também para garantir o avanço de processos mais inovadores e eficientes na sua empresa.
Saiba mais sobre a segurança nos pagamentos online no artigo Pagamento de fornecedores: como ter segurança em operações online e sobre APIs neste outro material completo:
