Olá, Dan! Podes falar-nos um pouco mais sobre ti e a Bound?
Olá, chamo-me Dan Kindler e sou o CTO e cofundador da Bound. O nosso objetivo é tornar a conversão e a cobertura de divisas baratas, justas e, acima de tudo, fáceis. As nossas plataformas ajudam centenas de empresas a protegerem-se do risco cambial em todo o mundo. Atualmente, cerca de metade da nossa equipa é composta por engenheiros.
Como é que a Bound se posiciona no sector FinTech e em comparação com a concorrência?
Antes de me debruçar sobre a FinTech propriamente dita, permitam-me que comece por abordar a forma como estamos posicionados face às instituições financeiras tradicionais. Os bancos ou corretores tradicionais destinam-se normalmente a clientes com grandes equipas de tesouraria que valorizam as transacções por telefone e por correio eletrónico. As suas bolsas em linha só oferecem, normalmente, transacções no local. Uma vez que o nosso objetivo é tornar a cobertura fácil e sem complicações, oferecemos ferramentas de cobertura à vista e de moeda para gerir e proteger os seus fluxos de caixa internacionais. Em dezembro de 2022, recebemos a nossa autorização da FCA, uma autoridade reguladora financeira do Reino Unido, que nos permite fornecer produtos de cobertura regulamentados.
No que diz respeito à FinTech, é seguro dizer que estamos a quebrar fronteiras (sim) com a introdução de conversões de divisas online em regime de self-service. Empresas como a Wise e a Revolut fizeram um excelente trabalho ao facilitar as conversões de moeda online - mas apenas se concentram em conversões "à vista" (ou instantâneas). Com a Bound, concentramo-nos nos fluxos de caixa futuros, que não são tão importantes para eles.
Para que serve a segurança nas FinTech?
A segurança desempenha um papel muito importante no nosso sector. No final do dia, estamos a lidar com transacções financeiras que podem valer centenas de milhares de libras/dólares/euros - se não mais. Na Bound, o nosso volume de transacções já ultrapassou as centenas de milhões de dólares. Se um risco de segurança entrar sorrateiramente no nosso produto - ou em qualquer produto FinTech - é seguro dizer que a merda vai parar à ventoinha. E não é qualquer fã. Para além das consequências legais, os hackers podem roubar as poupanças de outras pessoas, destruindo empresas e vidas.
No âmbito da FinTech, podemos imaginar que as instâncias reguladoras ou os organismos reguladores governamentais estão a exercer um maior controlo sobre as empresas que lidam com os dados dos clientes. Como é que o Aikido o ajuda a lidar com esta situação?
A pressão para manter a conformidade é enorme. No Reino Unido, estamos constantemente a navegar por regulamentos rigorosos como o RGPD e as orientações da FCA sobre proteção e segurança de dados. Os reguladores esperam que sejamos proactivos na gestão das vulnerabilidades, especialmente porque lidamos com dados sensíveis dos clientes.
O Aikido tem sido um divisor de águas para nós. A plataforma 9 em 1 permite-nos cobrir de forma abrangente todos os aspectos da segurança do nosso software. Esta abordagem facilita o cumprimento dos requisitos regulamentares sem ter de juntar várias ferramentas. Uma grande vantagem tem sido a redução de falsos positivos. Num cenário regulamentar, não nos podemos dar ao luxo de perder tempo a procurar vulnerabilidades inexistentes. A precisão do Aikido significa que, quando surge um alerta, podemos confiar que se trata de algo que requer ação, o que é inestimável durante auditorias ou análises de conformidade. Além disso, a experiência de utilizador clara permite à nossa equipa agir rapidamente, evitando a complexidade que normalmente acompanha as ferramentas de segurança. Garante que nos mantemos à frente de quaisquer potenciais problemas de conformidade sem perturbar o nosso fluxo de desenvolvimento.
Que regulamentação futura prevê que outros chefes e diretores de engenharia devam ter em atenção?
É provável que a futura regulamentação da FinTech no Reino Unido se concentre na expansão do Open Banking e no reforço da supervisão dos activos digitais. Com inovações como os pagamentos recorrentes variáveis e uma caixa de areia regulamentar digital, as equipas de engenharia devem preparar-se para normas de segurança mais rigorosas e novas integrações de API.
Antes do Aikido, o que é que o preocupava em termos de segurança? Como é que lidava com a segurança?
Honestamente, era uma confusão tentar gerir diferentes ferramentas para cada tipo de verificação de segurança. Estávamos constantemente preocupados com a possibilidade de algo passar despercebido, e o número de falsos positivos tornava tudo ainda pior. O Aikido juntou tudo num só lugar, por isso agora estamos a detetar problemas reais sem todo o ruído, o que facilitou muito a nossa vida.
Vimos que o Bound é um dos nossos poucos clientes que resolveu praticamente todos os problemas abertos comunicados. O Aikido ajudou-o com isto?
Sem dúvida! Orgulhamo-nos de levar a segurança muito a sério (como a maioria das empresas - esperamos - faz). Para nós, o Aikido teve um enorme impacto na forma como abordamos a gestão e a correção de vulnerabilidades. Consideramos que é a nossa única fonte de verdade e as funcionalidades de desduplicação e pré-filtragem de falsos positivos da plataforma ajudam-nos realmente a ver a floresta através das árvores. Assim que uma vulnerabilidade real aparece, temos um gatilho que aparece no nosso rastreador de problemas (Linear) para garantir que a corrigimos o mais rapidamente possível. O processo é bastante simples e está bem integrado no nosso ciclo de desenvolvimento, e confiamos muito nele.
Qual é a sua experiência de trabalho em conjunto com a equipa de Aikido?
A equipa tem sido muito recetiva e solidária desde o primeiro dia. Podemos partilhar feedback em tempo real, fazer pedidos e receber actualizações de produtos relevantes através do nosso canal Slack conjunto. A dada altura, perguntei à equipa do Aikido se sabiam no que se tinham metido. Não deixámos a equipa de produto deles dormir quando percebemos que podíamos perguntar tudo!
Qual é a sua caraterística favorita?
Para além da redução de falsos positivos, o botão "Importar do GitHub" é muito fixe. Gosto muito do facto de todos os repositórios serem automaticamente atribuídos a uma equipa. Podemos manter o GitHub como a fonte da verdade, enquanto o Aikido mapeia tudo em conformidade.
Alguma observação final?
No início deste ano, realizámos o nosso primeiro teste de penetração e a auditoria de segurança do Amazon AWS, que correu muito bem. Não obtivemos nada acima de um nível médio (e a maioria dos níveis médios com os quais não concordei inteiramente...). Provavelmente teriam encontrado muito mais coisas interessantes se não tivéssemos o Aikido a gritar connosco constantemente, por isso obrigado por isso!
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.png)