Quais tecnologias podem garantir mais segurança aos meios de pagamento? Tanto o impacto da pandemia, quanto a agenda do Banco Central forçaram instituições financeiras e de pagamentos a se adaptarem rapidamente ao digital nos últimos anos. Só que esta transformação exigiu a utilização de tecnologias que proporcionassem mais segurança e que estivessem preparadas para o compartilhamento de dados e integração de serviços.
Para debater este tema, a RTM realizou, ontem (21/10), a live “Tecnologias para segurança em meios de pagamento” no YouTube. Os especialistas Rafael Cividanes, head de cibersegurança da Kryptus, Carlos Caetano, diretor associado do PCI Security Standards Council, e Victor Viana, especialista em tecnologia EMV da Ecoscard, foram os convidados. Confira a seguir como foi.
Infraestrutura básica em novas empresas
Viana começou a live falando sobre o que seria uma infraestrutura básica para garantir a segurança das transações em novas empresas do mercado de pagamentos. “O ideal é sempre pensar nos princípios da segurança da informação, que são confidenciabilidade, integridade, disponibilidade e autenticidade. Ou seja, você precisa de um ambiente seguro, com performance e disponível. E em termos de estrutura, eu diria um servidor, aplicações seguras e hardware de criptografia, como um HSM, por exemplo”, explicou.
Ele ainda ressaltou que a nuvem pode ser um bom aliado neste início. “As empresas estão começando a perceber que manter uma infra própria é custoso e a nuvem pode ser satisfatória nesse sentido”, disse.
Criptografia e HSM em nuvem
Cividanes destacou a criptografia como uma das principais estratégias para evitar um data breach (violação de dados), um dos ataques mais comuns no setor financeiro. “Quando falamos de Open Banking, estamos falando de compartilhamento de dados. E em uma época em que isso está se tornando tão importante, a melhor maneira de evitar um data breach é tendo uma estratégia de criptografia bem implementada, desde o nível de governança até em relação a própria tecnologia. Assim, ter um equipamento de hardware dedicado neste tipo de operação de segurança, como um HSM (Hardware Security Module), faz a diferença”.
Ele também comentou sobre como o uso do HSM em nuvem é uma forma de democratizar o acesso a este recurso para empresas menores. “Quando falamos de HSM, escutamos bastante que é uma tecnologia cara, mas o HSM em nuvem democratizou o seu uso. A vantagem de usar um serviço na nuvem é poder fazer o compartilhamento deste recurso”.
Importância da certificação PCI para segurança
Caetano explicou o objetivo da certificação PCI DSS e de que forma ela é capaz de reforçar a segurança para empresas de pagamento. “O PCI DSS busca proteger os dados de cartões de pagamento, seja em qualquer lugar em que for processado ou transmitido. Essa certificação conseguiu criar um padrão global bem completo, que traz muitos benefícios às organizações”, disse.
Em seguida, reforçou as orientações em casos de uso do HSM na nuvem. “Já quando falamos de HSM, estamos nos referindo ao PCI Pin Security, e muita gente acha que não é possível cumprir com esta certificação usando HSM em nuvem, mas é. É preciso atender a regras bem importantes, como ter controle de acesso lógico, monitoramento por câmeras e envio de imagens para servidor apartado, entre outras”, ressaltou.
Em seguida, Viana completou a fala comentando sobre a dificuldade para atender todos os requisitos das certificações e porque terceirizar pode ser a melhor saída para quem não tem experiência com o assunto. “Não é trivial tirar uma certificação PCI. É mais fácil você deixar para uma empresa cuidar disso e ter mais tempo para focar no seu core business. Existem muitos processos a serem seguidos”.
