O que você precisa saber sobre segurança, pentest e PCI-DSS para fintechs

Picture of Kaique Bonato

Kaique Bonato

Pentest para Fintech

O que é fintech? 

A palavra “fintech” surge da junção de dois termos: financial e technology, e é utilizada para representar as startups ou empresas que usam a tecnologia para criar soluções financeiras totalmente digitais, como o Nubank e o PicPay. 

De forma geral, o setor financeiro já é considerado um grande alvo para ação de criminosos. Para as fintechs, porém, a ameaça é ainda maior, já que a operação é totalmente online, deixando-as mais vulneráveis a fraudes, vazamentos de dados e roubo no caso de ciberataques. 

Por isso, existem algumas exigências de segurança para esse setor, tanto para que a empresa garanta sua própria segurança quanto para objetivos de compliance ou merge & acquisition. 

As principais ameaças 

Um relatório da Kaspersky revelou que o ramo financeiro foi o 5º maior alvo de ataques em 2020. Ainda segundo a pesquisa, esses ataques foram realizados através da apropriação de contas (54%), fraudes de novas contas (18%), lavagem de dinheiro (16%), ferramentas legítimas usadas em fraudes (12%) e transações de dispositivos infectados (4%). 

Quando uma fintech possui vulnerabilidades de segurança das quais não está ciente, ela se torna suscetível tanto a invasões realizadas por pessoas de fora, que nunca tiveram acesso ao sistema da empresa, quanto aquelas realizadas por clientes ou funcionários, que possuem certo grau de acesso. 

Algumas das áreas mais vulneráveis são as de: 

  • Segurança das soluções de pagamento; 
  • Controle de identidade; 
  • Fraude e evasão de lógica de negócio; 
  • Soluções terceirizadas. 

Como se prevenir 

Uma das principais formas de se prevenir a ciberataques e garantir a segurança de uma fintech é através do pentest – ou teste de intrusão. Através dele, serão realizadas uma série de testes de segurança, com o objetivo de encontrar as brechas de segurança existentes no sistema da instituição, de forma que possam ser corrigidas pela equipe. 

Através do pentest, a fintech terá acesso a um relatório detalhado, que traz todas as vulnerabilidades encontradas, qual o grau de criticidade de cada uma e sugestões para sua correção. Por conta disso, as exigências desse segmento pedem que o pentest seja realizado pelo menos uma vez ao ano ou sempre que for lançada uma nova atualização e funcionalidade. 

PCI DSS 

A sigla PCI DSS vem do inglês Payment Card Industry Data Security Standard, em português traduzido como Padrão de Segurança de Dados da Indústria de Pagamento com Cartão. Ela representa um conjunto de procedimentos de segurança que têm o objetivo de reduzir os riscos de roubo de dados, desvio de dinheiro ou fraudes contra titulares de cartão. 

Essa certificação é muito exigida para compliance e para processos de fusão e aquisição, como mencionamos acima. Além disso, ela é essencial para que a empresa tenha a comprovação de que seu sistema é seguro para os clientes que o utilizam. 

São 12 exigências: 

  1. Utilizar um firewall suficientemente forte para ser efetivo, mas sem provocar excessivos inconvenientes para os vendedores e titulares de cartões.
  2. Não utilizar senhas e configurações padrão fornecidas pelos vendedores.
  3. Proteger a informação guardada do titular do cartão (data de nascimento, número de documento e telefone e endereço de e-mail)
  4. Usar criptografia na transmissão de dados dos titulares quando realizada através de redes públicas.
  5. Utilizar software de proteção antivírus, antispyware e malware e que eles estejam frequentemente atualizados.
  6. Desenvolver e manter sistemas e aplicações seguras.
  7. Restringir acesso aos dados de cartões de crédito segundo o cargo de cada empregado da empresa.
  8. Designar dados de login únicos e confidenciais para cada usuário da rede e sistema.
  9. Restringir o acesso físico e eletrônico aos dados do cartão.
  10. Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito.
  11. Testar a segurança de sistemas e processos regularmente.
  12. Definir uma política de segurança que seja seguida e mantida por todos.

O pentest é a melhor forma de garantir que a fintech esteja de acordo com elas de forma mais ágil, descomplicada e com melhor custo-benefício. 

Aqui na Vantico, por exemplo, nós entregamos o resultado dos testes de intrusão através de uma plataforma detalhada, de fácil utilização e atualizada em tempo real. Além disso, por conta do nosso modelo de trabalho (Pentest as a Service), conseguimos oferecer os melhores profissionais do mercado. 

Se você tem uma fintech que deseja estar de acordo com as normas de segurança e, ainda, garantir proteção aos seus clientes e investidores, fale com a Vantico e saiba mais sobre nossos serviços. 

veja também

Outros conteúdos sobre Segurança Cibernética