Novidades

Pagamentos instantâneos: Saiba como o HSM garante a segurança das movimentações financeiras

Os pagamentos instantâneos vão desempenhar um papel fundamental na aceleração da economia. Um dos motivos que impacta diretamente no desenvolvimento do comércio em geral é falta de agilidade nas transações. Apesar dos avanços tecnológicos que ocorreram até hoje, ainda temos muito o que melhorar.

Com o novo método de pagamento, batizado pelo Banco Central do Brasil de PIX, a meta principal da transferência eletrônica é realizar movimentações financeiras, a exemplo de uma transferência entre contas,  em menos de dez segundos, a qualquer momento, em todos os dias da semana. 

No entanto, o imediatismo desse novo método de pagamento, apesar dos seus inúmeros benefícios, levanta um problema: se os pagamentos instantâneos são feitos em tempo real, em um curto espaço de tempo, ele não será também suscetível a manobras fraudulentas e ataques virtuais?

Para reduzir esses riscos o banco central brasileiro definiu requisitos fundamentais de segurança para garantir a proteção das transações e dados dos usuários. E mais uma vez, o uso da tecnologia será fundamental para que possamos adotar os pagamentos instantâneos de forma segura e eficiente, promovendo a transformação dos meios de pagamento.

O grande desafio dos pagamentos instantâneos

Como parte do desenvolvimento de soluções de pagamento instantâneo, os bancos enfrentam uma complexidade crescente de combater transações fraudulentas financeiras.

A velocidade das transações requer um tratamento anti-fraude totalmente automatizado, sem opções de revisão manual. O desafio é a proteção, mantendo o ritmo dos requisitos de conformidade em evolução.

De acordo com o Banco Central, através das especificações técnicas e de negócio do PIX, o ecossistema de pagamentos instantâneos deverá ser projetado e desenvolvido considerando boas práticas de segurança. Para isso, será fundamental garantir a privacidade e a proteção dos dados dos usuários.

Com base nesse contexto, será necessário atender aos seguintes requisitos de segurança do ecossistema determinados pelo BC:

Criptografia e autenticação mútua na comunicação

Cada Prestador de Serviços de Pagamento (PSP) deve se conectar ao PIX exclusivamente por meio do protocolo HTTP utilizando criptografia TLS. Devendo haver autenticação mútua no estabelecimento da conexão, isto é, tanto o cliente como o servidor deverá apresentar certificados digitais para se autenticar.

Assinatura digital das mensagens trocadas durante os pagamentos instantâneos

Todas as mensagens transmitidas no PIX deverão ser assinadas digitalmente pelo emissor. O receptor verificará a assinatura digital de cada mensagem para garantir sua integridade e o não-repúdio.

Além disso, assinatura deve constar no Business Application Header (BAH) das mensagens ISO 20022, e o padrão adotado é o XMLDSig, utilizando o algoritmo RSA-SHA256 para assinatura.

Uso e gerenciamento de Certificados digitais

Tanto para criptografia da comunicação como para assinatura digital, deverão ser utilizados certificados ICP-Brasil no padrão SPB. A ativação de um novo certificado para uma instituição financeira que faz uso dos pagamentos instantâneos se dará por meio

de envio de arquivo específico no Sistema de Transferência de Arquivos (STA). Após a validação do certificado pelo BC, ele será ativado automaticamente. 

Manutenção de logs de segurança

Todos os participantes do ecossistema do PIX devem manter os logs de segurança para registrar todas as mensagens enviadas e recebidas, permitindo a auditoria das mensagens trafegadas. Os registros deverão conter referências temporais que

identifiquem o momento em que as mensagens foram assinadas. Além disso, os certificados usados e identificação dos algoritmos utilizados para verificar a assinatura das mensagens também deverão ser registrados. 

Embora a essência da proteção dos pagamentos instantâneos esteja na criptografia de dados, como solução para proteger informações relativas as transações do PIX, as empresas podem ser desafiadas pelo custo e pela complexidade da implantação de criptografia. Isso inclui o gerenciamento de certificados e assinaturas digitais, além dos módulos de segurança de hardware para protegerem as operações criptográficas. 

De fato, o agravamento do cenário de ameaças, combinado com a adoção agressiva da nuvem e a evolução das regulamentações de privacidade, novos desafios relacionados à criptografia, acesso privilegiado e transações financeiras têm surgido para as instituições financeiras que buscam a evolução do setor.

Além disso, muitas organizações gostariam de implantar a segurança de dados de forma mais ampla, mas são frequentemente cautelosas devido às preocupações com requisitos, complexidade, custo e pessoal, particularmente com relação à criptografia e gerenciamento de chaves.

A tecnologia HSM é projetada para o gerenciamento de chaves, práticas de segurança e atendimento a requisitos regulatórios

Quando se trata de transações de pagamento, a segurança é uma das questões mais importantes. Bancos e instituições financeiras podem sofrer perdas financeiras consideráveis em caso de fraude. São necessárias soluções de proteção confiáveis e flexíveis, integradas aos sistemas de pagamento.

Um módulo de segurança de hardware (HSM) é um dispositivo físico que fornece segurança extra para dados confidenciais.

Esse tipo de dispositivo é usado para provisionar chaves criptográficas para funções críticas, como criptografia, descriptografia e autenticação para o uso de aplicativos, identidades e bancos de dados. 

Como exemplo, as empresas podem usar um HSM para proteger segredos comerciais com valor significativo. O que garante que apenas indivíduos autorizados possam acessar o HSM para concluir uma transação de chave de criptografia.

No contexto aplicado dos pagamentos instantâneos, o HSM é recomendado para as instituições financeiras para realizar o processo adequado de gestão (geração, guarda, ativação e revogação) dos seus certificados digitais utilizados no âmbito do PIX.

As soluções de HSM são úteis para as empresas que precisam executar o gerenciamento de direitos digitais ou uma infraestrutura de chave pública. Esses sistemas podem ser usados ​​para fornecer altos níveis de segurança aos produtos que precisam, principalmente para garantir a conformidade regulamentar.

Os benefícios diretos do HSM aplicado aos pagamentos instantâneos

Há muitos benefícios em usar um HSM, esses sistemas geralmente são projetados para atender a rigorosos padrões governamentais e regulatórios, a exemplo do PIX do Banco Central.

Geralmente eles possuem fortes controles de acesso e modelos de privilégios baseados em funções, hardware desenvolvido especificamente para operações criptográficas e resistência a violações físicas, além de opções de API flexíveis para acesso.

O uso de um HSM é a maneira mais segura de armazenar chaves criptográficas e gerenciar seu ciclo de vida. Sua aplicabilidade agora é uma prática padrão para qualquer organização altamente regulamentada que emprega, por exemplo, serviços em nuvem.

Os provedores de nuvem que não oferecem ferramentas e recursos provavelmente perderão negócios dos clientes governamentais, financeiros e de saúde, que exigem fortes controles de proteção para todos os principais materiais.

Para contribuir no processo de transformação e ajudar na  implantação do sistemas de pagamentos instantâneo, a E-VAL possui soluções de assinatura e certificados digitais, a exemplo do E-VALCryptoCOMPE. Tecnologia desenvolvida para disponibilizar Assinatura Digital com alto desempenho, ou mesmo o EVALCryptoSPB que hoje atende a assinatura digital de mensagens trocadas pelo Sistema Financeiro Nacional. Para ajudar nesse desafio, sua empresa pode contar com a ajuda da E-VAL. 

Por fim, é necessário escolher um HSM de qualidade e para isso a E-VAL comercializa o Luna da Thales, líder mundial em HSM.

Sobre a E-VAL Tecnologia

A E-VAL Tecnologia atua há mais de 15 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como, SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os segmentos de instituições financeiras, educação e indústria.Fale conosco, os especialistas da E-VAL Tecnologia terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança da informação para a sua instituição.

Siga-nos nas redes sociais:
error

Gostou do blog? Compartilhe já :D