Aikido
Comece de graça
Não é necessário CC
História
7 min. de leitura

Segurança em FinTech: Perguntas e respostas com Dan Kindler, cofundador e CTO da Bound

"O Aikido teve um impacto tremendo na forma como abordamos a gestão e a correção de vulnerabilidades."

Dan Kindler
Cofundador e CTO
Índice
Item do COT
Sítio Web
https://bound.co
Fundada
2020
Indústria
FinTech
Financiamento obtido
$6.5M
Sede social
Londres, Reino Unido
Dimensão da equipa de desenvolvimento
5-10

Introdução ao tema "Bound & Security in FinTech

Olá, Dan! Podes falar-nos um pouco mais sobre ti e a Bound?

Olá, chamo-me Dan Kindler e sou o CTO e cofundador da Bound. O nosso objetivo é tornar a conversão e a cobertura de divisas baratas, justas e, acima de tudo, fáceis. As nossas plataformas ajudam centenas de empresas a protegerem-se do risco cambial em todo o mundo. Atualmente, cerca de metade da nossa equipa é composta por engenheiros.

Como é que a Bound se posiciona no sector FinTech e em comparação com a concorrência?

Antes de me debruçar sobre a FinTech propriamente dita, permitam-me que comece por abordar a forma como estamos posicionados face às instituições financeiras tradicionais. Os bancos ou corretores tradicionais destinam-se normalmente a clientes com grandes equipas de tesouraria que valorizam as transacções por telefone e por correio eletrónico. As suas bolsas em linha só oferecem, normalmente, transacções no local. Uma vez que o nosso objetivo é tornar a cobertura fácil e sem complicações, oferecemos ferramentas de cobertura à vista e de moeda para gerir e proteger os seus fluxos de caixa internacionais. Em dezembro de 2022, recebemos a nossa autorização da FCA, uma autoridade reguladora financeira do Reino Unido, que nos permite fornecer produtos de cobertura regulamentados.

No que diz respeito à FinTech, é seguro dizer que estamos a quebrar fronteiras (sim) com a introdução de conversões de divisas online em regime de self-service. Empresas como a Wise e a Revolut fizeram um excelente trabalho ao facilitar as conversões de moeda online - mas apenas se concentram em conversões "à vista" (ou instantâneas). Com a Bound, concentramo-nos nos fluxos de caixa futuros, que não são tão importantes para eles.

Para que serve a segurança nas FinTech?

A segurança desempenha um papel muito importante no nosso sector. No final do dia, estamos a lidar com transacções financeiras que podem valer centenas de milhares de libras/dólares/euros - se não mais. Na Bound, o nosso volume de transacções já ultrapassou as centenas de milhões de dólares. Se um risco de segurança entrar sorrateiramente no nosso produto - ou em qualquer produto FinTech - é seguro dizer que a merda vai parar à ventoinha. E não é qualquer fã. Para além das consequências legais, os hackers podem roubar as poupanças de outras pessoas, destruindo empresas e vidas.

Facilitar a conformidade regulamentar da FinTech

No âmbito da FinTech, podemos imaginar que as instâncias reguladoras ou os organismos reguladores governamentais estão a exercer um maior controlo sobre as empresas que lidam com os dados dos clientes. Como é que o Aikido o ajuda a lidar com esta situação?

A pressão para manter a conformidade é enorme. No Reino Unido, estamos constantemente a navegar por regulamentos rigorosos como o RGPD e as orientações da FCA sobre proteção e segurança de dados. Os reguladores esperam que sejamos proactivos na gestão das vulnerabilidades, especialmente porque lidamos com dados sensíveis dos clientes.

O Aikido tem sido um divisor de águas para nós. A plataforma 9 em 1 permite-nos cobrir de forma abrangente todos os aspectos da segurança do nosso software. Esta abordagem facilita o cumprimento dos requisitos regulamentares sem ter de juntar várias ferramentas. Uma grande vantagem tem sido a redução de falsos positivos. Num cenário regulamentar, não nos podemos dar ao luxo de perder tempo a procurar vulnerabilidades inexistentes. A precisão do Aikido significa que, quando surge um alerta, podemos confiar que se trata de algo que requer ação, o que é inestimável durante auditorias ou análises de conformidade. Além disso, a experiência de utilizador clara permite à nossa equipa agir rapidamente, evitando a complexidade que normalmente acompanha as ferramentas de segurança. Garante que nos mantemos à frente de quaisquer potenciais problemas de conformidade sem perturbar o nosso fluxo de desenvolvimento.

Num cenário regulamentar, não nos podemos dar ao luxo de perder tempo a procurar vulnerabilidades inexistentes.

Que regulamentação futura prevê que outros chefes e diretores de engenharia devam ter em atenção?

É provável que a futura regulamentação da FinTech no Reino Unido se concentre na expansão do Open Banking e no reforço da supervisão dos activos digitais. Com inovações como os pagamentos recorrentes variáveis e uma caixa de areia regulamentar digital, as equipas de engenharia devem preparar-se para normas de segurança mais rigorosas e novas integrações de API.

Apresentação do Aikido

Antes do Aikido, o que é que o preocupava em termos de segurança? Como é que lidava com a segurança?

Honestamente, era uma confusão tentar gerir diferentes ferramentas para cada tipo de verificação de segurança. Estávamos constantemente preocupados com a possibilidade de algo passar despercebido, e o número de falsos positivos tornava tudo ainda pior. O Aikido juntou tudo num só lugar, por isso agora estamos a detetar problemas reais sem todo o ruído, o que facilitou muito a nossa vida.

O Aikido juntou tudo num só lugar, por isso agora estamos a apanhar os problemas reais sem todo o barulho

Vimos que o Bound é um dos nossos poucos clientes que resolveu praticamente todos os problemas abertos comunicados. O Aikido ajudou-o com isto?

Sem dúvida! Orgulhamo-nos de levar a segurança muito a sério (como a maioria das empresas - esperamos - faz). Para nós, o Aikido teve um enorme impacto na forma como abordamos a gestão e a correção de vulnerabilidades. Consideramos que é a nossa única fonte de verdade e as funcionalidades de desduplicação e pré-filtragem de falsos positivos da plataforma ajudam-nos realmente a ver a floresta através das árvores. Assim que uma vulnerabilidade real aparece, temos um gatilho que aparece no nosso rastreador de problemas (Linear) para garantir que a corrigimos o mais rapidamente possível. O processo é bastante simples e está bem integrado no nosso ciclo de desenvolvimento, e confiamos muito nele.

Qual é a sua experiência de trabalho em conjunto com a equipa de Aikido?

A equipa tem sido muito recetiva e solidária desde o primeiro dia. Podemos partilhar feedback em tempo real, fazer pedidos e receber actualizações de produtos relevantes através do nosso canal Slack conjunto. A dada altura, perguntei à equipa do Aikido se sabiam no que se tinham metido. Não deixámos a equipa de produto deles dormir quando percebemos que podíamos perguntar tudo!

Qual é a sua caraterística favorita?

Para além da redução de falsos positivos, o botão "Importar do GitHub" é muito fixe. Gosto muito do facto de todos os repositórios serem automaticamente atribuídos a uma equipa. Podemos manter o GitHub como a fonte da verdade, enquanto o Aikido mapeia tudo em conformidade.

Alguma observação final?

No início deste ano, realizámos o nosso primeiro teste de penetração e a auditoria de segurança do Amazon AWS, que correu muito bem. Não obtivemos nada acima de um nível médio (e a maioria dos níveis médios com os quais não concordei inteiramente...). Provavelmente teriam encontrado muito mais coisas interessantes se não tivéssemos o Aikido a gritar connosco constantemente, por isso obrigado por isso!

Descarregar o caso como pDF

Outras histórias fantásticas contadas pelos nossos clientes

Outros
Segurança pronta para o varejo com insights em tempo real e menos falsos positivos.
Ver história
Coniq
Outros
Execução de um roteiro de segurança a longo prazo
Ver história
SecWise
Desenvolvimento de software
De uma manta de retalhos de ferramentas de código aberto a uma postura de segurança centralizada.
Ver história
Kunlabora
Agências
Desde a velocidade de arranque até à escala empresarial, a Gravity une UX e AppSec com Aikido.
Ver história
Gravidade
Outros
Assegurar facilmente o crescimento da InviteDesk através de aquisições.
Ver história
InviteDesk
Outros
Desde a preparação da auditoria SOC 2 até à conformidade contínua.
Ver história
OutboundSync
Agências
Proteger mais de 100 repositórios em clientes e projectos.
Ver história
NÚCLEO
B2CTech
A pequena equipa da Runna protege o código em rápida evolução com a ajuda de um modelo de autosserviço.
Ver história
Runna
Agências
Simplificando a segurança em mais de 1.500 repositórios sem gastar muito.
Ver história
Cinco de novembro
HRTech
Replaced noisy tools with <1 min fixes and dev-first workflows.
Ver história
Empregador
FinTech
A solução anterior da CertifID permitia-lhes perseguir demasiados falsos positivos.
Ver história
CertifID
Empresas PE & Grupo
Fornecimento de SCA e muito mais a mais de 6000 programadores.
Ver história
Visma
FinTech
Minimizar os falsos positivos, mantendo o GitHub como a única fonte de verdade.
Ver história
Ligado
Tecnologia da saúde
O tempo mais rápido do Birdie para a resolução? 30 segundos.
Ver história
Passarinho
Desenvolvimento de software
A Marvelution integra a segurança no seu plano de negócios de uma palavra: "diversão".
Ver história
Marvelution
Tecnologia da saúde
Obtenção de ganhos de eficiência, desde uma interface intuitiva até pentests por detrás da parede de login.
Ver história
Mediquest