Por Diego Oliveira*, especial para a Finsiders
O sistema de pagamentos instantâneos Pix está no ar e, como era esperado, o seu sucesso foi concretizado em múltiplos aspectos, a começar pelo volume transacionado. No primeiro mês de operação, o novo sistema de pagamentos instantâneos do Banco Central (BC) movimentou R$ 83,4 bilhões.
Outro ponto extremamente relevante foi a quantidade de chaves registradas. De acordo com o BC, até dia 16 de dezembro, o número total somava 116 milhões. Esse resultado se deve ao planejamento realizado pelo Banco Central, que desde fevereiro de 2020 orquestrou o lançamento de forma impecável junto a 734 instituições financeiras, sejam elas participantes diretas ou indiretas.
Mas entre idealizar o projeto e lançar um serviço digital disruptivo na dimensão do Pix para um país inteiro, existe uma extensa área de desafios, que não seria superada se não fosse pelo comprometimento de todas as instituições e pelo grande investimento aplicado em tecnologia para o lançamento da plataforma.
Algumas instituições decidiram desenvolver a própria plataforma de processamento de dados do Pix e hospedá-la em seus data centers, outras preferiram disponibilizar o serviço em parceria com empresas de nuvem pública como AWS e Azure, que já dispõem de todos os componentes necessários para processar as transações, preservando assim seu investimento em Capex.
Para a plataforma de processamento citada, o BC disponibilizou uma série de documentos definindo as especificações técnicas que devem ser seguidas pelas instituições durante seu padrão de funcionamento.
Manual de segurança do Pix
Um dos documentos disponibilizados em 6 de outubro de 2020 foi o Manual de Segurança do Pix, que deixa evidente a preocupação do Banco Central em disponibilizar um serviço seguro à população. O documento é composto por cinco principais capítulos que detalham a estratégia de segurança fundamentada em uma comunicação segura entre as instituições e o Banco Central.
Contudo, o Manual de Segurança do Pix não faz qualquer tipo de recomendação ou exigência quanto à interface de comunicação entre o cliente e a instituição detentora da chave cadastrada, que é realizada 100% via internet. Consequentemente, nem todas as instituições conseguiram lançar o Pix em 16 de novembro seguindo todas as melhores práticas de segurança.
Qualquer tipo de serviço na internet que não possua os devidos cuidados está suscetível a ser alvo de algum tipo de ataque cibernético. Segundo dados da Fortinet, entre janeiro e setembro de 2020, houve mais de 3,4 bilhões de tentativas de ataques de cibercriminosos no Brasil, que tentam, a todo custo, indisponibilizar ou fraudar sistemas online utilizando técnicas avançadas e de forma muito estruturada.
Pontos importantes para ecossistema Pix seguro
Por essa razão, seguem alguns pontos fundamentais que devem ser considerados pelas instituições financeiras, sejam elas diretas ou indiretas, durante a rotina de revisão de melhorias do ambiente e que desejam fazer do ecossistema Pix um ambiente seguro e duradouro:
- Mecanismo de conformidade da estrutura das mensagens trocadas entre aplicativo do cliente e infraestrutura da instituição: garantir que todas as mensagens sigam o padrão definido e assinado digitalmente;
- Controle de caracteres: campos de informações sensíveis devem ser protegidos e deve ser definido o tamanho das mensagens permitidas na comunicação;
- Gestão detalhada no comportamento de ações nas transações: mitigar violação de arquivos por inserção de instruções maliciosas, solicitações falsificadas, negações de serviços e disrupção computacional;
- Controle e avaliação de conteúdo nas mensagens: garantir mecanismos capazes de ler, interpretar e reconhecer ameaças codificadas nas mensagens de texto. Malwares e ransomwares são os maiores riscos e prevalência neste modelo de transmissão;
- Inteligência artificial: possuir soluções capazes de aprender automaticamente o modelo do negócio, sendo ágil e preciso na detecção e regulagem do modelo de maneira proativa.
Ao aplicar essas recomendações de segurança na primeira camada de comunicação do Pix que é feito via internet, as instituições não só aumentam o nível de segurança frente ao engenhoso trabalho dos cibercriminosos, mas também fortalecem o novo ecossistema de pagamentos.
O Pix é um grande avanço para o mercado financeiro, cabe agora às instituições manter de forma contínua o monitoramento da plataforma e responder de forma ágil a qualquer tentativa de interrupção provocada por cibercriminosos, garantindo, assim, que seus clientes efetivem pagamentos instantâneos de forma tranquila e segura.
*Diego Oliveira é engenheiro de arquitetura de sistemas da Fortinet, multinacional de segurança cibernética