O que é um banco digital?

Cada dia mais comum e difundido entre os brasileiros, os bancos digitais online são
instituições financeiras que executam suas atividades de forma 100% online. Ou seja,
praticamente tudo que o cliente precisa é feito por um celular com acesso à internet.

Dentre esses serviços online estão:

 Abertura da conta em banco

 Tomada de crédito
 Solicitação de cartão de crédito
 Pagamento de contas
 Pagamento de boletos
 Atendimento ao cliente
 Envio e recebimento de transferências
 entre outros
Com todas essas atividades sendo executadas de forma online, essas instituições
financeiras deixam de ter a necessidade de espaços dedicados a atender seus clientes.
Sendo assim, toda estrutura física tradicional de bancos, como agências e postos de
atendimento, por exemplo, deixam de existir.

Isso diminui bastante o custo operacional, que é comum em bancos tradicionais e que
muitas vezes é repassado ao cliente por meio de taxas bancárias.

É exatamente por conta dessa redução de custos que os bancos digitais conseguem
oferecer serviços mais baratos ou até mesmo gratuitos aos seus clientes.

As fintechs são seguras?

As fintechs são confiáveis e seguras tanto quanto os bancos tradicionais, ou até mais, já
que utilizam os melhores e mais inovadores recursos tecnológicos que existem.
Mesmo assim, é importante tomar alguns cuidados, o que vale também para quem
pensa em se tornar cliente de qualquer banco ou instituição financeira tradicional.
Alguns fatores que você deve avaliar:
 Investigue qual a origem e regulamentação da fintech;

 Descubra qual a política da empresa em relação à segurança da

informação e proteção aos dados e se ela segue medidas de combate a

fraudes;

 Observe se a fintech tem queixas em órgãos de defesa do consumidor. Se

tiver, qual é a sua postura diante das reclamações?

Especificamente quanto à proteção dos dados, temos que lembrar a recente Lei Geral
de Proteção de Dados Pessoais (LGPD), que traz novos compromissos em relação à
transparência, compliance e segurança no uso dos dados pessoais dos usuários.
Embora a legislação tenha avançado nesse sentido, é sempre bom se certificar do que a
empresa faz proativamente, além das obrigações legais, para proteger seus dados
pessoais

A cibersegurança no contexto das fintechs

As fintechs são conhecidas por desburocratizar processos financeiros fazendo uso da

tecnologia e transparência em seus produtos. Essas empresas estão mais acostumadas
a lidar com os riscos cibernéticos que o meio digital oferece aos usuários, pois lidam
diretamente com dinheiro e precisam estar em conformidade com vários
regulamentos para operar seus serviços.

O modelo estabelecido pelas fintechs é baseado em processos rápidos apoiados pela

tecnologia. Os processos de cibersegurança exigidos por regulamentações podem
interferir nesse modelo, atrasando a entrega de novos produtos ou o atendimento aos
clientes.

Selecionamos 10 processos essenciais para o atendimento às regulamentações

de cibersegurança para as fintechs. Leia mais sobre cada um deles a seguir.

1. Assessment de Risco Cibernético

Para uma avaliação de riscos cibernéticos, é necessário entender como dados valiosos
estão organizados em sua infraestrutura. Para isso, as fintechs devem considerar os
seguintes processos de cibersegurança.

 Determinar o valor da informação.

 Identificar e priorizar ativos críticos para a operação.
 Identificar ameaças e vulnerabilidades.
 Analisar controles existentes e implementar novos controles.
 Calcular a probabilidade e o impacto de cenários que apresentam riscos.
 Priorizar riscos com base no custo de prevenção x valor da informação.
 Documentar os resultados no relatório de avaliação de riscos.

2. Política de Segurança Cibernética

Uma política de segurança cibernética funciona como um planejamento da forma

como a empresa lida com seus ativos de informação, ou seja, aquilo que produz ou
contém informações de valor. Uma política de segurança cibernética deve usar como
base os pilares de segurança da informação. Além disso, para
as fintechs recomendamos que os seguintes pontos sejam considerados na política:

 Manipulação dos dados.

 Uso de senhas de segurança.
 Treinamento e conscientização sobre segurança cibernética.
 Backups e atualizações contínuas.
 Phishing Awareness.
 BYOD.
 Uso seguro de redes sociais.
 Manuseio de dados pessoais.

3. Plano de Ação e Respostas a Incidentes

Uma plano de respostas a incidentes gerencia a reação da empresa após um ataque

cibernético ou violação de segurança da informação. Um bom plano de ação é capaz
de minimizar os danos, reduzir o tempo de recuperação de desastres e mitigar as
despesas relacionadas às violações. Esse item é indispensável especialmente para as
fintechs, pois é definido como requisito obrigatório do PCI-DSS.

4. Requisitos para avaliação de segurança de provedores

Com relação ao uso de computação em nuvem, o BACEN esclarece que as instituições

devem assegurar políticas para o gerenciamento de riscos previstas na
regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto
à terceirização de serviços.

O BACEN não limita apenas o uso de serviços chamados de Cloud ou Nuvem, mas sim a
todos os tipos de terceirização de processamento, armazenamento ou computação de
informações.

Essa definição afeta diretamente as fintechs, pois seus produtos fazem uso de
aplicações SaaS e ambientes IaaS ou PaaS em sua estrutura tecnológica. Muitos desses
serviços são essenciais para o funcionamento das operações de uma fintech, assim é
necessário estabelecer requisitos para avaliação da segurança cibernética desses
provedores para a sua utilização.

5. Gestão de Vulnerabilidades

O desafio de lidar com vulnerabilidades, explorações e ameaças de cibersegurança é

que elas estão sempre mudando. Todos os dias, novas vulnerabilidades e explorações
são descobertas, o que leva os invasores a criar novas ameaças cibernéticas que se
aproveitam delas. Os processos de gestão de vulnerabilidades, como testes de
vulnerabilidade e gerenciamento de patches, são cruciais para atenuar as novas
ameaças à segurança cibernética à medida que elas surgem.

6. Adequação da política de Riscos e do PCN

Planos de continuidade são uma parte importante para qualquer negócio. Ameaças,
interrupções e desastres podem levar a uma perda de receita e a custos mais altos,
que por sua vez podem afetar a lucratividade. As fintechs devem gerenciar os riscos
cibernéticos e trabalhar cenários de risco para a continuidade de seus negócios.

7. Implementação de processos / controles

As fintechs enfrentam riscos de segurança cibernética devido a problemas de

integração, como compatibilidade e tecnologias legadas. A integração da fintech com
os sistemas bancários tradicionais pode suscitar preocupações em relação à
privacidade dos dados. Listamos os principais pontos relacionados à cibersegurança
das fintechs que precisam possuir processos e controles para garantir a segurança das
informações:

 Ataques de malwares.
 Vazamento de dados.
 Riscos de integridade dos dados.
 Riscos de segurança em ambientes cloud.
 Blockchain.

8. Monitoramento e resposta à incidentes

Enquanto algumas empresas não têm conhecimento da integridade de seus sistemas,

outras estão se afogando em um mar de notificações, aumentando a probabilidade de
perder a causa raiz desses problemas. Para as fintechs, o resultado de qualquer
cenário pode ser que os incidentes virem emergências graves e os clientes
experimentem tempo de inatividade de serviços de pagamento essenciais. Uma
estratégia de monitoramento aliada a cibersegurança pode ser definida desde que
faça uso de itens básicos de monitoramento, combatendo os alertas falsos positivos e
obtendo eficiência na resposta a incidentes.
9. Gerenciamento de riscos de fornecedores

Além das instituições financeiras, estão sujeitas à resolução nº 4.658 do BACEN as

empresas prestadoras de serviços, que manuseiem dados ou informações sensíveis ou
que sejam relevantes para a condução das atividades operacionais da instituição
financeira. Esses prestadores de serviço devem apresentar recursos e competências
necessários para a adequada gestão dos serviços a serem contratados e atenderem
aos requisitos da legislação. Além disso, os riscos associados a fornecedores podem ter
impacto direto nas finanças, operações e imagem das empresas.

10. Relatórios e dashboards com KPIs

Os líderes de segurança e suas equipes precisam gerar relatórios e visualizações para o

público e partes interessadas em tempo real, de acordo com os contextos necessários.
Para gerenciar a segurança cibernética, é preciso medir e acompanhar a sua segurança
através de KPIs específicos de cibersegurança.