Olá, Dan! Você pode nos contar um pouco mais sobre você e a Bound?
Olá, sou Dan Kindler e sou CTO e co-fundador da Bound. Nosso foco é tornar a conversão e a proteção cambial baratas, justas e, acima de tudo, fáceis. Nossas plataformas ajudam centenas de empresas a se protegerem do risco cambial em todo o mundo. Atualmente, cerca de metade da nossa equipe é composta por engenheiros.
Como a Bound está posicionada no setor FinTech e em comparação com a concorrência?
Antes de mergulhar no FinTech em si, deixe-me abordar como estamos posicionados em relação às instituições financeiras tradicionais. Bancos ou corretoras tradicionais geralmente atendem a clientes com grandes equipes de tesouraria que valorizam o contato por telefone e e-mail. Suas plataformas online normalmente oferecem apenas transações spot. Como nosso objetivo é tornar o hedge fácil e descomplicado, oferecemos ferramentas de hedge spot e cambial para gerenciar e proteger seus fluxos de caixa internacionais. Em dezembro de 2022, recebemos nossa autorização da FCA, uma autoridade reguladora financeira do Reino Unido, permitindo-nos fornecer produtos de hedge regulamentados.
Quando se trata de FinTech, podemos dizer que estamos quebrando barreiras (sim) ao introduzir conversões de câmbio self-service online. Empresas como Wise e Revolut fizeram um trabalho tremendo ao facilitar as conversões de moeda online – mas elas se concentram apenas em conversões “spot” (ou instantâneas). Com a Bound, nós nos concentramos nos fluxos de caixa futuros, algo em que elas não se concentram tanto.
Qual propósito a segurança em FinTech deve servir?
A segurança desempenha um papel enorme em nossa indústria. No fim das contas, estamos lidando com transações financeiras que podem valer centenas de milhares de libras/dólares/euros – se não mais. Na Bound, nosso volume de transações já ultrapassou centenas de milhões de dólares. Se um risco de segurança se infiltrar em nosso produto – ou em qualquer produto FinTech, para ser mais exato – é seguro dizer que a coisa desanda. E não é qualquer desastre. Além das consequências legais, hackers poderiam roubar as economias de outras pessoas, destruindo negócios e vidas.
No setor de FinTech, podemos imaginar que instâncias regulatórias ou órgãos reguladores governamentais estão aplicando um escrutínio maior sobre empresas que lidam com dados de clientes. Como o Aikido ajuda você a lidar com isso?
A pressão para se manter em conformidade é enorme. No Reino Unido, estamos constantemente navegando por regulamentações rigorosas como a GDPR e as diretrizes da FCA sobre proteção e segurança de dados. Os reguladores esperam que sejamos proativos no gerenciamento de vulnerabilidades, especialmente porque lidamos com dados sensíveis de clientes.
O Aikido tem sido um divisor de águas para nós. A plataforma 9 em 1 nos permite cobrir de forma abrangente todos os aspectos da segurança do nosso software. Essa abordagem facilita o cumprimento dos requisitos regulatórios sem a necessidade de juntar várias ferramentas. Uma grande vantagem tem sido a redução de falsos positivos. Em um cenário regulatório, não temos o luxo de perder tempo perseguindo vulnerabilidades inexistentes. A precisão do Aikido significa que, quando um alerta chega, podemos confiar que é algo que exige ação, o que é inestimável durante auditorias ou revisões de conformidade. Além disso, a UX clara permite que nossa equipe aja rapidamente, evitando a complexidade que geralmente acompanha as ferramentas de segurança. Isso garante que nos mantenhamos à frente de quaisquer problemas potenciais de conformidade sem interromper nosso fluxo de desenvolvimento.
Que futuras regulamentações você vê surgindo para outros líderes de engenharia e VPs ficarem de olho?
As futuras regulamentações FinTech do Reino Unido provavelmente se concentrarão na expansão do Open Banking e no aprimoramento da supervisão de ativos digitais. Com inovações como Pagamentos Recorrentes Variáveis e um sandbox regulatório digital, as equipes de engenharia devem se preparar para padrões de segurança mais rigorosos e novas integrações de API.
Antes do Aikido, o que tirava seu sono em termos de segurança? Como você estava abordando a segurança?
Honestamente, era uma bagunça tentar gerenciar diferentes ferramentas para cada tipo de verificação de segurança. Estávamos constantemente preocupados que algo pudesse passar despercebido, e o número de falsos positivos tornava tudo ainda pior. O Aikido reuniu tudo em um só lugar, então agora estamos detectando problemas reais sem todo o ruído, e isso tornou nossas vidas muito mais fáceis.
Vimos que a Bound é um dos nossos poucos clientes que praticamente resolveu todos os problemas abertos relatados. O Aikido ajudou você com isso?
Com certeza! Orgulhamo-nos de levar a segurança muito a sério (como a maioria das empresas – esperamos – faz). Para nós, Aikido um impacto tremendo na forma como abordamos gerenciamento de vulnerabilidades a correção. Consideramo-lo a nossa única fonte de verdade, e os recursos de deduplicação e pré-filtragem de falsos positivos da plataforma realmente nos ajudam a ver a floresta através das árvores. Quando uma vulnerabilidade real aparece, temos um gatilho que aparece no nosso rastreador de problemas (Linear) para garantir que a corrigimos o mais rápido possível. O processo é bastante organizado e bem integrado ao nosso ciclo de desenvolvimento, e confiamos muito nele.
Qual a sua experiência em trabalhar com a equipe do Aikido?
A equipe tem sido super responsiva e prestativa desde o primeiro dia. Conseguimos compartilhar feedback em tempo real, fazer solicitações e receber atualizações relevantes do produto através do nosso canal conjunto no Slack. Em certo momento, perguntei à equipe do Aikido se eles sabiam onde tinham se metido. Não deixamos a equipe de produto deles dormir depois que percebemos que podíamos pedir de tudo!
Qual é a sua funcionalidade favorita?
Deixando de lado a redução de falsos positivos, o botão 'Importar do GitHub' é muito legal. Gosto muito que todos os repositórios sejam automaticamente atribuídos a uma equipe. Podemos manter o GitHub como a fonte da verdade, enquanto o Aikido mapeia tudo perfeitamente de acordo.
Alguma consideração final?
Realizamos nosso primeiro teste de penetração e auditoria de segurança da Amazon AWS no início deste ano, e tudo correu muito bem. Não obtivemos nada acima de um nível médio (e com a maioria dos médios eu nem concordava totalmente...). Eles provavelmente teriam encontrado muito mais coisas de interesse se o Aikido não estivesse nos alertando constantemente, então, obrigado por isso!
Proteja seu software agora
.avif)
