Nos preocupamos em garantir, tanto para a indústria financeira quanto para o consumidor final, a melhor experiência do usuário possível enquanto protegemos seus dados.
Óscar Barba
Cofundador e CTO da Coinscrap Finance
Aenor UNE-EN ISO/IEC 27001 certificação
Esta norma para segurança da informação foi aprovada e publicada como padrão internacional em outubro de 2005. Os ciberataques, roubos de informações ou fraudes estão entre os cinco riscos mais importantes para as organizações, segundo o Fórum Econômico Mundial. Por esse motivo, é cada vez mais importante se proteger contra possíveis ameaças.
Vamos conhecer um pouco mais sobre essa certificação: o Information Security Management System Sistema de Gerenciamento de Segurança da Informação (SGSI) é um conjunto de processos que permitem estabelecer, implementar, manter e melhorar continuamente a segurança da informação, tomando como base os riscos enfrentados pelas organizações.
As certificações Aenor de ISO/IEC 27001 e o Esquema Nacional de Segurança são a combinação perfeita para que entidades e empresas possam melhorar a gestão de sua cibersegurança. Mais de quinhentas organizações públicas e privadas em todo o mundo confiaram na Aenor para certificar seu sistema de gestão de cibersegurança de acordo com este padrão internacional.
Graças a esta certificação, na Coinscrap Finance, podemos implantar a cibersegurança orientada para processos e objetivos de negócio considerando a análise de riscos e os controles para minimizar as ciberameaças. O Esquema Nacional de Segurança nos ajuda a garantir a segurança dos sistemas de informação, dados, comunicações e serviços eletrônicos que oferecemos à indústria financeira.
Nossa proteção de dados: Segurança na instalação de nossos serviços
Nossos módulos são montados em clusters de EKS e os ambientes produtivos são separados dos não produtivos. Cada ambiente tem seu próprio banco de dados, o que dificulta que um único ataque comprometa mais de um ambiente. Esses clusters consistem em dois componentes principais:
- O plano de controle do EKS.
- Os nós do EKS registrados no plano de controle.
O plano de controle do EKS possui nós que executam o software Kubernetes, como etcd e o servidor de API do Kubernetes. Cada plano de controle do cluster do EKS é de inquilino único e particular, e é executado em seu próprio conjunto de instâncias EC2. Todos os dados armazenados pelos etcd nós etcd e os volumes associados de EBS são criptografados pelo KMS.
Além disso, são realizados backups diários de todos os bancos de dados. Os acessos e as ações realizadas nos ambientes são registrados de forma nominal e existe um esquema de permissões, que é revisado periodicamente. Se houver outros dados sensíveis, eles serão armazenados criptografados na nuvem. Para completar o protocolo, todo o código passa por uma análise de vulnerabilidades em produção.
KYC: Verificação de identidade para proteção de dados
Nossa parceria com a Alice Biometricsespecialistas na verificação biométrica da identidade, permite-nos oferecer uma experiência de integração imbatível aos clientes do sector bancário e dos seguros. Graças ao seu motor de inteligência artificialé possível receber aprovação para novos registos em menos de 1 segundo. É um processo 100% automatizado, sem inspecções manuais, tudo o que precisa é de uma selfie e de um BI para registar clientes instantaneamente!
As siglas KYC (Know Your Customer , em inglês) referem-se às medidas antifraude que as entidades são obrigadas a seguir para abrir e manter a conta de qualquer usuário. Os controles empregados no protocolo "Conheça o seu cliente" focam em evitar a lavagem de dinheiro, corrupção, financiamento do terrorismo, entre outros.
Para demonstrar que o cliente é quem diz ser, ele deve oferecer ao banco ou seguradora uma série de provas legais e vinculativas, que agora podem ser verificadas online e totalmente automaticamente graças à IA. Na Europa, , o KYC é regulamentado pelo AML 5 e pelo GDPR, vinculativos em toda a UE.
Essas diretrizes europeias também foram incorporadas ao ordenamento jurídico espanhol, ampliando sua regulamentação no Real Decreto-Lei 7/2021 de 27 de abril - modificação da Lei de Prevenção de Lavagem de Dinheiro e Financiamento do Terrorismo de 2010. Se você quiser saber mais, não perca este artigo.
Nossos protocolos de segurança operacional
Segurança operacional é o conjunto de medidas e procedimentos que implementamos para garantir a proteção de nossos clientes, ativos e processos. Com eles, garantimos o funcionamento correto e seguro da tecnologia da informação e comunicação, além da criação de backups de acordo com intervalos definidos e verificações periódicas. Tudo isso para garantir a segurança da informação e os mecanismos de restauração necessários.
Gestão de capacidades
O planejamento da capacidade dos servidores é feito por meio de monitoramento realizado pelo Departamento de TI. Nossa ferramenta monitora em tempo real o comportamento dos sistemas principais, além de avaliar, resolver e projetar as necessidades dos sistemas para evitar que as informações possam ficar indisponíveis em algum momento.
Nossos critérios, ao determinar as necessidades de aumento de capacidade de algum dos sistemas, devem estar sempre baseados em dados objetivos para serem aprovados pela Direção.
Proteção contra códigos maliciosos
Todos os sistemas são protegidos por recursos permanentemente atualizados que realizam as seguintes tarefas de segurança:
1. Detecção e remoção de códigos maliciosos.
2. Detecção e bloqueio de ameaças de rede.
3. Detecção de vulnerabilidades.
Em todos os equipamentos, é instalada uma ferramenta antivírus. O sistema operacional dos postos de usuário é configurado para que as atualizações de segurança sejam baixadas automaticamente e instaladas manualmente, por iniciativa e orientação do Departamento de TI. Quando alguma vulnerabilidade é detectada, os sistemas são imediatamente atualizados com os patches de segurança correspondentes.
Gestão de vulnerabilidades
Na Coinscrap Finance, instalamos regularmente patches para os aplicativos de gerenciamento, previamente testados, bem como atualizações dos sistemas operacionais, que são automáticas, para evitar possíveis ameaças associadas à vulnerabilidade técnica dos equipamentos e sistemas operacionais. As vulnerabilidades são controladas por meio de ferramentas de detecção de software malicioso e atualizações semanais.
Registro de auditoría
Nossos procedimentos de auditoria são projetados para detectar possíveis ameaças, permitindo a identificação correta do usuário que acessa o sistema de informação, sua localização, data e hora, bem como se o sistema concede ou nega acesso e qual transação foi realizada.
O acesso a todos os recursos corporativos é auditado por meio de um Controlador de Endereço IP com VPN de senha e usuário nominativo.
Gestão de cópias de segurança
Programamos e realizamos periodicamente cópias de segurança das informações para garantir a reconstrução dos dados no estado em que estavam no momento em que foram salvos nelas, ou para fazer cumprir o estabelecido neste procedimento aos provedores externos e revisá-lo constantemente, quando se trata de serviços contratados de terceiros.
Realizamos cópias de segurança em mídias diferenciadas das informações afetadas pelo escopo deste sistema, bem como do software completo de realização de backups, além dos registros de eventos e trilhas de auditoria que os administradores de sistemas considerarem necessários para manter, juntamente com toda a documentação requerida para realizar uma recuperação bem-sucedida, se necessário.
Armazenamento
As cópias de segurança armazenadas em locais externos à empresa são protegidas, etiquetadas e transportadas de acordo com os requisitos estabelecidos no procedimento de inventário de ativos e classificação de informações, bem como no de gestão, distribuição e reutilização de mídias. Além disso, sua conservação deve estar em conformidade com a legislação aplicável em todos os momentos.
O registro da realização dessas cópias de segurança é gerado no histórico de cópias de segurança do servidor por meio da ferramenta de backup e afeta apenas este servidor. As cópias de segurança dos servidores hospedados na nuvem são realizadas com diferentes frequências e são registradas no aplicativo, que também registra a previsão da próxima cópia. Todos os nossos servidores estão hospedados no território da UE.
Sobre o autor
Óscar Barba é cofundador e CTO da Coinscrap Finance. Ele é um especialista Scrum Manager com mais de 6 anos de experiência na coleta e análise semântica de dados no setor financeiro, classificação de transações bancárias, deep learning aplicado em sistemas de análise de sentimento do mercado de ações e medição da pegada de carbono associada aos dados transacionais.
Com vasta experiência no setor bancário e de seguros, Óscar está finalizando seu Doutorado em Tecnologia da Informação agora mesmo. É Engenheiro e Mestre em Engenharia Informática pela Universidade de Vigo e Mestre em Comércio Eletrónico pela Universidade de Salamanca. Além disso, possui um certificado de Scrum Manager e Gestão de Projectos do CNTG, um certificado de Arquitetura SOA e Serviços Web da Universidade de Salamanca, entre outros.