fbpx

Dados financeiros: como garantir segurança no Open Finance?

Roberta Guedes, Head de Compliance, Risco e DPO da klavi

segurança dos dados financeiros


O Open Finance abriu caminho para o compartilhamento de um alto volume de dados financeiros dos usuários, o que traz uma preocupação com privacidade e segurança das informações.  
 

Para viabilizar a ampla transformação digital, as questões regulatórias também precisam evoluir a passos rápidos e acompanhar as novas necessidades do mercado.  

Ambiente seguro e normas rígidas 

Primeiro, é importante entender que o usuário é o dono dos seus dados pessoais, que incluem os dados financeiros, portanto, ele é quem decide com quais instituições e por quanto tempo compartilhar as informações. É necessária a autorização prévia e consentimento do consumidor para o compartilhamento regulado pelo Banco Central do Brasil (BC).  

O BC também definiu normas rígidas para as empresas participantes. O ambiente do Open Finance tem múltiplas camadas de segurança e o compartilhamento dos dados financeiros é feito de forma criptografada. A integração entre os sistemas ocorre por meio de Application Programming Interface (API) padronizado.  

Caso haja descumprimento de alguma norma, a instituição pode sofrer penalidades. Além disso, a troca de informações está protegida pela Lei do Sigilo Bancário e pela Lei Geral de Proteção de Dados Pessoais (LGPD). Ou seja, há um conjunto de regras e fiscalização do BC e da Autoridade Nacional de Proteção de Dados (ANPD) para garantir segurança com o Open Finance e evitar possíveis incidentes de dados.  

Os critérios definidos pela LGPD (Lei Geral de Proteção de Dados Pessoais) tornaram-se obrigatórios na implantação do Open Finance no Brasil. Aprovada em 2018, a lei foi um importante marco no país e estabeleceu direitos e deveres quanto ao tratamento de dados pessoais.  

Premissas de segurança: benchmarking do exterior 

Há países que estão avançados no que diz respeito ao trabalho feito para garantir a segurança dos dados financeiros. De acordo com o relatório semestral do Open Finance, de agosto deste ano, o Brasil utiliza como base alguns protocolos internacionais, adotados por ecossistemas como Reino Unido, e segue algumas premissas: 

  • O cliente escolhe quais dados deseja compartilhar e para quais instituições. 
  • Chamadas entre as instituições utilizam certificados SSL da ICP-Brasil para garantir que os dados sejam criptografados e para validar a identidade de cada instituição. 
  • Chamadas seguem o perfil de segurança FAPI Brasil e padrões web internacionais (RFCs – Request For Comments).  
  • Antes de iniciar a operação de transmissão de dados, as instituições precisam ser aprovadas em testes funcionais de segurança e obter certificações na área da OIDF (OpenIDFoundation). 
  • Profissionais focados em Privacidade e Segurança da Informação (DPO e CISO respectivamente) lideram as normas, regulatórios que devem ser atendidos e o monitoramento contínuo da segurança do ecossistema, inclusive com testes de intrusão.  
  • Ferramenta de Validação em Produção verifica continuamente a adequação de cada instituição às certificações.  

Investimentos em tecnologia e segurança da informação 

Os desembolsos no Open Finance feitos desde o início da implantação do novo sistema até junho de 2022 já totalizaram R$ 91 milhões. Desse montante, mais de 75% foram direcionados ao desenvolvimento da infraestrutura tecnológica e segurança cibernética. 

Os investimentos em segurança da informação são fundamentais para que as empresas garantam todos os protocolos e estejam adequadas às regulações.  

Capacitação de profissionais  

Porém, as empresas não devem olhar apenas para tecnologia, mas também para as pessoas. É preciso criar uma cultura interna de privacidade, fazendo com que os colaboradores tenham conhecimento sobre os controles e mecanismos de privacidade e segurança. 

Afinal, um dos maiores índices de incidentes de dados ocorrem por falhas cometidas pelos próprios funcionários. As empresas precisam adotar mais investimentos em segurança da informação, regulatório de privacidade e treinamento interno para acompanhar a velocidade do Open Finance.  

Neste processo, é importante o envolvimento de diversas áreas dentro da companhia, a partir de um trabalho totalmente integrado, já que é um assunto multidisciplinar e com atuação “cross-funcionais” nas organizações.  

Já os profissionais que estarão à frente do compliance, segurança da informação, privacidade e proteção de dados e o DPO (Data Protection Officer) passam a ser ainda mais valorizados e reconhecidos no mercado de trabalho. Capacitação e atualização constante são pré-requisitos para lidar com o sistema Open Finance. 

Os padrões de segurança da klavi 

A klavi provê soluções de Open Finance para as empresas e opera com efetividade, atendendo as regras da LGPD. Para isso, trabalhamos com ferramentas de tecnologia de ponta, tratamento dos dados pessoais, comunicação e armazenamento seguro dos dados. Entenda: 

  • Compliance first – seguimos todas as normas da LGPD e Lei do Sigilo Bancário. Atualizamos constantemente nossas políticas e normas para se adequar a novas regulamentações. 
  • Criptografia avançada – usamos RSA forte para criptografar todos os dados sensíveis. Toda comunicação é feita via API usando mTLS e outros protocolos seguros. 
  • Infraestrutura e segurança – nossos servidores são hospedados na AWS Brasil com todos os mecanismos de segurança implantados e exigidos globalmente. Atuamos em múltiplas zonas no Brasil e fazemos back-up de todo sistema. 

A responsabilidade pelos dados pessoais, que incluem os dados financeiros, é prioridade para a klavi. Se quiser saber mais sobre as nossas soluções para potencializar negócios, entre em contato 

Últimos posts