Protegendo o Open Finance em 2025: Insights Essenciais para Instituições Financeiras

As APIs estão no centro das finanças abertas. Eles facilitam o compartilhamento de dados financeiros entre bancos, FinTechs e aplicativos de terceiros, permitindo que os consumidores acessem serviços inovadores com facilidade. No entanto, como funcionam como "porta de entrada" para sistemas sensíveis, as APIs também são alvos principais de invasores.

Principais ameaças:

• APIs insuficientemente protegidas podem permitir que invasores interceptem ou roubem dados confidenciais.
• Explorações como ataques de injeção, autorização quebrada em nível de objeto (BOLA) ou autenticação imprópria podem conceder a terceiros não autorizados acesso a contas de clientes ou sistemas financeiros.

Em um blog de tecnologia publicado recentemente no site do JPMorganChase, intitulado Uma carta aberta a fornecedores terceirizados , o CISO da empresa declarou: “Estamos em um momento crítico. Os provedores devem urgentemente repriorizar a segurança, colocando-a em pé de igualdade ou acima do lançamento de novos produtos.” Essas redes de provedores terceirizados (TPP) das quais o CISO fala são o que as finanças abertas dependem. Embora essas colaborações e parcerias entre TPPs e instituições financeiras impulsionem a inovação, elas também criam pontos de entrada adicionais para invasores. Uma vulnerabilidade de segurança no sistema de um único parceiro — não importa quão pequena — pode comprometer todo o ecossistema.

Muitas instituições financeiras agora incluem declarações de advertência em seus sites aconselhando os consumidores a terem cuidado com relação aos TPPs, como agregadores, devido aos potenciais riscos associados. Esses avisos lembram aos consumidores que o compartilhamento de suas credenciais é contrário aos termos de seus contratos e que as instituições financeiras não serão responsáveis por quaisquer danos resultantes do compartilhamento de credenciais.

Principais ameaças:

• Fornecedores que não são adequadamente avaliados ou não atendem aos padrões de conformidade podem introduzir vulnerabilidades que tornam os usuários suscetíveis à exploração dentro do sistema.
• O acesso excessivamente autorizado concedido a desenvolvedores terceirizados pode expor dados financeiros ou funcionalidades confidenciais.

Compartilhar informações confidenciais do consumidor — como históricos de transações financeiras e saldos de contas — em diversas plataformas é um requisito fundamental das finanças abertas. Embora esse compartilhamento de dados sustente novos serviços, ele também aumenta a exposição a ameaças como violações e uso indevido. Além disso, os consumidores esperam maior privacidade de dados e conformidade com regulamentações como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, a Diretiva de Serviços de Pagamento 2 (PSD2) e fortes padrões de API relacionados a finanças abertas, como o Financial Data Exchange (FDX) .

Principais ameaças:

• Violações de dados resultantes de criptografia insuficiente ou práticas de compartilhamento impróprias.
• Danos legais e de reputação por falha em proteger a privacidade do consumidor.

Como as APIs são essenciais para as finanças abertas, protegê-las deve ser uma prioridade máxima. A proteção de APIs garante a integridade das conexões entre instituições de serviços financeiros, terceiros e usuários finais.

As etapas práticas para fortalecer a segurança da API incluem:

• Políticas de autenticação rigorosas: Use padrões do setor para autenticação aberta, como OAuth2.0, TLS mútuo ou outros protocolos fortes para autenticar usuários de API e impedir acesso não autorizado.
• Monitoramento em tempo real: Use soluções para identificar atividades irregulares de API ou possíveis abusos antes que eles aumentem. Considere soluções com descoberta e inspeção baseadas em código e tráfego, e avaliação de superfície de ataque externa (varredura de domínio).
• Simplifique a governança: Empregue soluções que possam ajudar no gerenciamento de inventário de APIs, como adicionar facilmente APIs recém-descobertas ao inventário. Além disso, incorpore a análise de conformidade da API e acompanhe melhor as mudanças na postura de conformidade por meio de alertas automáticos.
• Padrões de criptografia: Todo o tráfego de API deve ser criptografado usando protocolos como TLS 1.3 para garantir que os dados estejam seguros em trânsito.
• Testes regulares: Execute testes de penetração de rotina para identificar e corrigir vulnerabilidades na arquitetura da sua API. Considere soluções que ofereçam testes de API antes do tempo de execução.

Entendimento: As APIs podem facilitar a inovação por trás das finanças abertas, mas também apresentam a maior oportunidade de exploração. Trate as APIs como faria com qualquer produto digital crítico: monitore, proteja e otimize-as continuamente. Considere soluções que incorporem proteção abrangente de tempo de execução, como WAF, regras de proteção de API, limitação de taxa e proteções de dados.

A natureza de terceiros do financiamento aberto exige que as instituições financeiras colaborem com os fornecedores e desenvolvedores que interagem com seus sistemas e dados. Garantir que essas parcerias sejam seguras é essencial para reduzir o risco geral.

As medidas práticas para garantir relacionamentos com terceiros incluem:

• Verificação rigorosa: Realize uma due diligence abrangente antes de integrar parceiros FinTech ou fornecedores terceirizados. Avalie seus protocolos de segurança, histórico de conformidade e certificações técnicas.
• Monitoramento em tempo real: Adote ferramentas que monitorem atividades de terceiros em seu ecossistema de API, sinalizando ações não autorizadas ou comportamento incomum.
• Controles de acesso granulares: Limite terceiros aos dados "mínimos necessários" e aos níveis de acesso exigidos para sua função, reduzindo o risco de excesso de permissões.
• Cláusulas de segurança contratual: Reforce as parcerias com acordos contratuais claros que exijam auditorias regulares, responsabilização por violações e adesão aos seus padrões de segurança.

Entendimento: Seu ecossistema de finanças abertas é tão seguro quanto seu elo mais fraco — que, em muitos casos, será um parceiro terceirizado. Aplique uma estrutura de "confiar, mas verificar" a todos os relacionamentos com fornecedores.