Introdução sobre Bound & Segurança em FinTech
Olá, Dan! Você pode nos contar um pouco mais sobre você e a Bound?
Olá, sou Dan Kindler e sou CTO e co-fundador da Bound. Nosso foco é tornar a conversão e a proteção cambial baratas, justas e, acima de tudo, fáceis. Nossas plataformas ajudam centenas de empresas a se protegerem do risco cambial em todo o mundo. Atualmente, cerca de metade da nossa equipe é composta por engenheiros.
Como a Bound está posicionada no setor FinTech e em comparação com a concorrência?
Antes de mergulhar no FinTech em si, deixe-me abordar como estamos posicionados em relação às instituições financeiras tradicionais. Bancos ou corretoras tradicionais geralmente atendem a clientes com grandes equipes de tesouraria que valorizam o contato por telefone e e-mail. Suas plataformas online normalmente oferecem apenas transações spot. Como nosso objetivo é tornar o hedge fácil e descomplicado, oferecemos ferramentas de hedge spot e cambial para gerenciar e proteger seus fluxos de caixa internacionais. Em dezembro de 2022, recebemos nossa autorização da FCA, uma autoridade reguladora financeira do Reino Unido, permitindo-nos fornecer produtos de hedge regulamentados.
Quando se trata de FinTech, podemos dizer que estamos quebrando barreiras (sim) ao introduzir conversões de câmbio self-service online. Empresas como Wise e Revolut fizeram um trabalho tremendo ao facilitar as conversões de moeda online – mas elas se concentram apenas em conversões “spot” (ou instantâneas). Com a Bound, nós nos concentramos nos fluxos de caixa futuros, algo em que elas não se concentram tanto.
Qual propósito a segurança em FinTech deve servir?
A segurança desempenha um papel enorme em nossa indústria. No fim das contas, estamos lidando com transações financeiras que podem valer centenas de milhares de libras/dólares/euros – se não mais. Na Bound, nosso volume de transações já ultrapassou centenas de milhões de dólares. Se um risco de segurança se infiltrar em nosso produto – ou em qualquer produto FinTech, para ser mais exato – é seguro dizer que a coisa desanda. E não é qualquer desastre. Além das consequências legais, hackers poderiam roubar as economias de outras pessoas, destruindo negócios e vidas.
Facilitando a conformidade regulatória de FinTechs
No setor de FinTech, podemos imaginar que instâncias regulatórias ou órgãos reguladores governamentais estão aplicando um escrutínio maior sobre empresas que lidam com dados de clientes. Como o Aikido ajuda você a lidar com isso?
A pressão para se manter em conformidade é enorme. No Reino Unido, estamos constantemente navegando por regulamentações rigorosas como a GDPR e as diretrizes da FCA sobre proteção e segurança de dados. Os reguladores esperam que sejamos proativos no gerenciamento de vulnerabilidades, especialmente porque lidamos com dados sensíveis de clientes.
O Aikido tem sido um divisor de águas para nós. A plataforma 9 em 1 nos permite cobrir de forma abrangente todos os aspectos da segurança do nosso software. Essa abordagem facilita o cumprimento dos requisitos regulatórios sem a necessidade de juntar várias ferramentas. Uma grande vantagem tem sido a redução de falsos positivos. Em um cenário regulatório, não temos o luxo de perder tempo perseguindo vulnerabilidades inexistentes. A precisão do Aikido significa que, quando um alerta chega, podemos confiar que é algo que exige ação, o que é inestimável durante auditorias ou revisões de conformidade. Além disso, a UX clara permite que nossa equipe aja rapidamente, evitando a complexidade que geralmente acompanha as ferramentas de segurança. Isso garante que nos mantenhamos à frente de quaisquer problemas potenciais de conformidade sem interromper nosso fluxo de desenvolvimento.
Em um cenário regulatório, não temos o luxo de perder tempo perseguindo vulnerabilidades inexistentes.
Que futuras regulamentações você vê surgindo para outros líderes de engenharia e VPs ficarem de olho?
As futuras regulamentações FinTech do Reino Unido provavelmente se concentrarão na expansão do Open Banking e no aprimoramento da supervisão de ativos digitais. Com inovações como Pagamentos Recorrentes Variáveis e um sandbox regulatório digital, as equipes de engenharia devem se preparar para padrões de segurança mais rigorosos e novas integrações de API.
Apresentando o Aikido
Antes do Aikido, o que tirava seu sono em termos de segurança? Como você estava abordando a segurança?
Honestamente, era uma bagunça tentar gerenciar diferentes ferramentas para cada tipo de verificação de segurança. Estávamos constantemente preocupados que algo pudesse passar despercebido, e o número de falsos positivos tornava tudo ainda pior. O Aikido reuniu tudo em um só lugar, então agora estamos detectando problemas reais sem todo o ruído, e isso tornou nossas vidas muito mais fáceis.
O Aikido reuniu tudo em um só lugar, então agora estamos detectando problemas reais sem todo o ruído
Vimos que a Bound é um dos nossos poucos clientes que praticamente resolveu todos os problemas abertos relatados. O Aikido ajudou você com isso?
Com certeza! Orgulhamo-nos de levar a segurança muito a sério (como a maioria das empresas – esperamos – faz). Para nós, Aikido um impacto tremendo na forma como abordamos gerenciamento de vulnerabilidades a correção. Consideramo-lo a nossa única fonte de verdade, e os recursos de deduplicação e pré-filtragem de falsos positivos da plataforma realmente nos ajudam a ver a floresta através das árvores. Quando uma vulnerabilidade real aparece, temos um gatilho que aparece no nosso rastreador de problemas (Linear) para garantir que a corrigimos o mais rápido possível. O processo é bastante organizado e bem integrado ao nosso ciclo de desenvolvimento, e confiamos muito nele.
Qual a sua experiência em trabalhar com a equipe do Aikido?
A equipe tem sido super responsiva e prestativa desde o primeiro dia. Conseguimos compartilhar feedback em tempo real, fazer solicitações e receber atualizações relevantes do produto através do nosso canal conjunto no Slack. Em certo momento, perguntei à equipe do Aikido se eles sabiam onde tinham se metido. Não deixamos a equipe de produto deles dormir depois que percebemos que podíamos pedir de tudo!
Qual é a sua funcionalidade favorita?
Deixando de lado a redução de falsos positivos, o botão 'Importar do GitHub' é muito legal. Gosto muito que todos os repositórios sejam automaticamente atribuídos a uma equipe. Podemos manter o GitHub como a fonte da verdade, enquanto o Aikido mapeia tudo perfeitamente de acordo.
Alguma consideração final?
Realizamos nosso primeiro teste de penetração e auditoria de segurança da Amazon AWS no início deste ano, e tudo correu muito bem. Não obtivemos nada acima de um nível médio (e com a maioria dos médios eu nem concordava totalmente...). Eles provavelmente teriam encontrado muito mais coisas de interesse se o Aikido não estivesse nos alertando constantemente, então, obrigado por isso!
Título 1
Título 2
Título 3
Título 4
Título 5
Título 6
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Citação em bloco
Lista ordenada
- Item 1
- Item 2
- Item 3
Lista não ordenada
- Item A
- Item B
- Item C
Texto em negrito
Ênfase
Sobrescrito
Subscrito
.avif)
