Nuevo

El sector bancario se blinda: La importancia de una correcta protección de los datos

En estas líneas descubrirás cuáles son las mejores prácticas en seguridad de la información y, más concretamente, cuáles son los protocolos que aplica una FinTech como Coinscrap Finance en su día a día.

Tabla de Contenidos

Nos preocupa garantizar, tanto a la industria financiera como al consumidor final, la mejor experiencia de usuario posible mientras blindamos sus datos.

Óscar Barba

Cofundador y CTO de Coinscrap Finance

Aenor UNE-EN ISO/IEC 27001 certificación

Esta norma para la seguridad de la información fue aprobada y publicada como estándar internacional en octubre de 2005. Los ciberataques, robos de información o fraude están entre los cinco riesgos más importantes para las organizaciones según el World Economic Forum. Por ese motivo, resulta cada vez más importante protegerse ante posibles amenazas.

Conozcamos un poco más acerca de esta certificación: el Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de procesos que permiten establecer, implementar, mantener y mejorar de manera continua la seguridad de la información, tomando como base para ello los riesgos a los que se enfrentan las organizaciones.

Las certificaciones Aenor de ISO/IEC 27001 y el Esquema Nacional de Seguridad son el binomio perfecto para que entidades y compañías puedan mejorar la gestión de su ciberseguridad. Más de quinientas organizaciones públicas y privadas de todo el mundo han confiado en Aenor para certificar su sistema de gestión de ciberseguridad de acuerdo a este estándar internacional.

Gracias a esta certificación, en Coinscrap Finance podemos implantar la ciberseguridad orientada a procesos y objetivos de negocio considerando el análisis de riesgos y los controles para minimizar las ciberamenazas. El Esquema Nacional de Seguridad nos ayuda a garantizar la seguridad de los sistemas de información, datos, comunicaciones y servicios electrónicos que proveemos a la industria financiera.

New call-to-action

Nuestra protección de datos: Seguridad en la instalación de nuestros servicios

Nuestros módulos se montan en clústers de EKS y los entornos productivos son separados de los no productivos. Cada entorno tiene su propia base de datos, lo cual dificulta que un único ataque pueda comprometer a más de un entorno. Estos clústeres constan de dos componentes principales:

  • El plano de control de EKS.

  • Los nodos de EKS registrados en el plano de control.

El plano de control de EKS dispone de nodos que ejecutan el software de Kubernetes, como etcd y el servidor de la API de Kubernetes. Cada plano de control del clúster de EKS es de inquilino único y particular, y se ejecuta en su propio conjunto de instancias EC2. Todos los datos almacenados por etcd los nodos de etcd y los volúmenes asociados de EBS se cifran mediante KMS.

A mayores, se realizan copias de seguridad diarias de todas las bases de datos, Los accesos y las acciones llevadas a cabo en los entornos se registran de forma nominal y existe un esquema de permisos, que se revisan periódicamente. Si existen otros datos sensibles, se almacenarán cifrados en la nube. Para completar el protocolo, todo el código pasa por un análisis de vulnerabilidades en producción.

La importancia de la protección de datos personales en banca

KYC: Verificación de identidad para la protección de datos

Nuestra alianza con Alice Biometrics, expertos en verificación biométrica de la identidad, nos permite ofrecer una experiencia de onboarding inmejorable a los clientes de banca y seguros. Gracias a su motor de inteligencia artificial, es posible recibir la conformidad de las nuevas altas en menos de 1 segundo. Se trata de un proceso 100% automatizado, sin revisiones manuales, ¡tan solo se necesita un selfie y un documento de identidad para dar de alta a los clientes al instante!

Las siglas KYC (Know Your Customer , en inglés) hacen referencia a las medidas antifraude que las entidades están obligadas a observar para abrir y mantener la cuenta de cualquier usuario. Los controles empleados en el protocolo “Conoce a tu cliente” se centran en evitar el blanqueo de capitales, la corrupción y la financiación del terrorismo, o entre otros.

Para demostrar que el cliente es quien dice ser, deberá ofrecer al banco o aseguradora una serie de pruebas legales y vinculantes, que ahora pueden ser cotejadas en línea y de manera totalmente automática gracias a la IA. En Europa, el KYC está regulado por el AML 5 y el GDPR, vinculantes en toda la UE.

Estas directivas europeas se han incorporado también en el ordenamiento español, el cual amplía su regulación en el Real Decreto Ley 7/2021 de 27 de abril -modificación de la Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo de 2010-. Si quieres saber más, no te pierdas este artículo.

Nuestros protocolos de seguridad operativa

La seguridad operativa es el conjunto de medidas y procedimientos que implementamos para garantizar la protección de nuestros clientes, activos y procesos. Con ellos garantizamos el funcionamiento correcto y seguro de la tecnología de la información y comunicación, así como la creación de copias de seguridad de acuerdo a intervalos definidos y verificaciones periódicamente. Todo ello a fin de garantizar la seguridad de la información y los mecanismos de restauración necesarios.

Gestión de las capacidades

La planificación de la capacidad de los servidores se lleva a cabo mediante labores de monitorización realizada por el Departamento IT. Nuestra herramienta vigila en tiempo real el comportamiento de los sistemas principales, además de evaluar, resolver y proyectar las necesidades de los sistemas a fin de evitar que la información pueda dejar de estar disponible en un momento dado.

Nuestros criterios, a la hora de determinar las necesidades de incremento de capacidad de alguno de los sistemas, deben estar basados en todo momento en datos objetivos para poder ser aprobados por Dirección.

Protección contra el código malicioso

Todos los sistemas están protegidos por recursos actualizados permanentemente que realizan las siguientes labores de seguridad:

1. Detección y reparación de código malicioso.


2. Detección y bloqueo de amenazas de red.


3. Detección de vulnerabilidades.

En todos los equipos se instala una herramienta antivirus. El sistema operativo de los puestos de usuario está configurado para que las actualizaciones de seguridad se descarguen automáticamente y se instalen de manera manual por iniciativa e indicaciones del Departamento IT. Cuando se detecta alguna vulnerabilidad se actualizan inmediatamente los sistemas con los parches de seguridad correspondientes.

Gestión de vulnerabilidades

En Coinscrap Finance instalamos los parches de las aplicaciones de gestión con regularidad, previamente probados, así como las actualizaciones de los sistemas operativos, que son automáticas, con el objeto de evitar las posibles amenazas asociadas a la vulnerabilidad técnica de los equipos y sistemas operativos. Las vulnerabilidades son controladas mediante las herramientas de detección de software malicioso y actualizaciones semanales.

auto-savings product sheet

Registro de auditoría

Para poder detectar posibles amenazas, nuestros procedimientos de auditoría permiten la correcta identificación del usuario que accede al sistema de información, su ubicación, fecha y hora, así como si el sistema ha concedido o denegado el acceso y qué transacción ha sido realizada.

El acceso a todos los recursos corporativos se audita mediante un Controlador de dirección IP con VPN de contraseña y usuario nominativo.

Gestión de copias de seguridad

Se programan y realizan, de forma periódica, las copias de respaldo de la información objeto de garantizar en todo momento la reconstrucción de los datos en el estado en que se encontraban en el momento que fueron volcados en ellas, o bien de hacer cumplir a los proveedores externos lo establecido en este procedimiento y revisarlo de forma constante, cuando se trata de servicios contratados a un tercero.

Se realizan copias de seguridad, en soportes diferenciados, de la información afectada por el alcance de este sistema, y completa del software de realización de backups, además de los registros de eventos y pistas de auditoría que los administradores de sistemas consideren necesario conservar, así como toda la documentación requerida para poder llevar a efecto una recuperación exitosa, en caso de que sea necesario.

Almacenamiento

Las copias de seguridad almacenadas en ubicaciones externas de la empresa, son protegidos, etiquetados y transportados cumpliendo con los requisitos establecidos en el procedimiento de inventario de activos y clasificación de la información, así como en el de gestión, distribución y reutilización de soportes. Además, su conservación debe ser conforme con la legislación vigente en todo momento.

El registro de haber realizado estas copias de seguridad se genera en el historial de copias de seguridad del servidor mediante la herramienta de copias de seguridad y solo afecta a este servidor. Las copias de seguridad de los servidores alojados en nube, se realizan con diferentes periodicidades y quedan registradas en el aplicativo, también registra la previsión de la próxima copia. Todos nuestros servidores están alojados en territorio EU.

Sobre el autor

Óscar Barba es cofundador y CTO de Coinscrap Finance. liderando proyectos tecnológicos e integraciones en el sector bancario y de seguros a nivel internacional. Posee años de experiencia en la aplicación de IA en el sector financiero, dentro del ámbito de procesado de lenguaje natural de datos, algoritmos de Machine Learning de clasificación de movimientos bancarios, aprendizaje profundo aplicado a los sistemas de análisis de sentimiento del mercado de valores y a la medición de la huella de carbono asociada al transaccional bancario. 

Está finalizando su Doctorado en Tecnologías de la Información en este momento en el ámbito de la Inteligencia Artificial. Es Ingeniero y Máster en Ingeniería Informática por la Universidad de Vigo, Máster en Comercio Electrónico por la Universidad de Salamanca, Certificado Scrum Manager y Project Management por el CNTG, Certificado en Arquitectura SOA y Servicios Web por la Universidad de Salamanca y más.

Apúntate a nuestra newsletter y recibe nuestras últimas noticias directamente en tu bandeja de entrada