Introdução ao tema "Bound & Security in FinTech
Olá, Dan! Podes falar-nos um pouco mais sobre ti e a Bound?
Olá, chamo-me Dan Kindler e sou o CTO e cofundador da Bound. O nosso objetivo é tornar a conversão e a cobertura de divisas baratas, justas e, acima de tudo, fáceis. As nossas plataformas ajudam centenas de empresas a protegerem-se do risco cambial em todo o mundo. Atualmente, cerca de metade da nossa equipa é composta por engenheiros.
Como é que a Bound se posiciona no sector FinTech e em comparação com a concorrência?
Antes de me debruçar sobre a FinTech propriamente dita, permitam-me que comece por abordar a forma como estamos posicionados face às instituições financeiras tradicionais. Os bancos ou corretores tradicionais destinam-se normalmente a clientes com grandes equipas de tesouraria que valorizam as transacções por telefone e por correio eletrónico. As suas bolsas em linha só oferecem, normalmente, transacções no local. Uma vez que o nosso objetivo é tornar a cobertura fácil e sem complicações, oferecemos ferramentas de cobertura à vista e de moeda para gerir e proteger os seus fluxos de caixa internacionais. Em dezembro de 2022, recebemos a nossa autorização da FCA, uma autoridade reguladora financeira do Reino Unido, que nos permite fornecer produtos de cobertura regulamentados.
No que diz respeito à FinTech, é seguro dizer que estamos a quebrar fronteiras (sim) com a introdução de conversões de divisas online em regime de self-service. Empresas como a Wise e a Revolut fizeram um excelente trabalho ao facilitar as conversões de moeda online - mas apenas se concentram em conversões "à vista" (ou instantâneas). Com a Bound, concentramo-nos nos fluxos de caixa futuros, que não são tão importantes para eles.
Para que serve a segurança nas FinTech?
A segurança desempenha um papel muito importante no nosso sector. No final do dia, estamos a lidar com transacções financeiras que podem valer centenas de milhares de libras/dólares/euros - se não mais. Na Bound, o nosso volume de transacções já ultrapassou as centenas de milhões de dólares. Se um risco de segurança entrar sorrateiramente no nosso produto - ou em qualquer produto FinTech - é seguro dizer que a merda vai parar à ventoinha. E não é qualquer fã. Para além das consequências legais, os hackers podem roubar as poupanças de outras pessoas, destruindo empresas e vidas.
Facilitar a conformidade regulamentar da FinTech
No âmbito da FinTech, podemos imaginar que as instâncias reguladoras ou os organismos reguladores governamentais estão a exercer um maior controlo sobre as empresas que lidam com os dados dos clientes. Como é que o Aikido o ajuda a lidar com esta situação?
A pressão para manter a conformidade é enorme. No Reino Unido, estamos constantemente a navegar por regulamentos rigorosos como o RGPD e as orientações da FCA sobre proteção e segurança de dados. Os reguladores esperam que sejamos proactivos na gestão das vulnerabilidades, especialmente porque lidamos com dados sensíveis dos clientes.
O Aikido tem sido um divisor de águas para nós. A plataforma 9 em 1 permite-nos cobrir de forma abrangente todos os aspectos da segurança do nosso software. Esta abordagem facilita o cumprimento dos requisitos regulamentares sem ter de juntar várias ferramentas. Uma grande vantagem tem sido a redução de falsos positivos. Num cenário regulamentar, não nos podemos dar ao luxo de perder tempo a procurar vulnerabilidades inexistentes. A precisão do Aikido significa que, quando surge um alerta, podemos confiar que se trata de algo que requer ação, o que é inestimável durante auditorias ou análises de conformidade. Além disso, a experiência de utilizador clara permite à nossa equipa agir rapidamente, evitando a complexidade que normalmente acompanha as ferramentas de segurança. Garante que nos mantemos à frente de quaisquer potenciais problemas de conformidade sem perturbar o nosso fluxo de desenvolvimento.
Num cenário regulamentar, não nos podemos dar ao luxo de perder tempo a procurar vulnerabilidades inexistentes.
Que regulamentação futura prevê que outros chefes e diretores de engenharia devam ter em atenção?
É provável que a futura regulamentação da FinTech no Reino Unido se concentre na expansão do Open Banking e no reforço da supervisão dos activos digitais. Com inovações como os pagamentos recorrentes variáveis e uma caixa de areia regulamentar digital, as equipas de engenharia devem preparar-se para normas de segurança mais rigorosas e novas integrações de API.
Apresentação do Aikido
Antes do Aikido, o que é que o preocupava em termos de segurança? Como é que lidava com a segurança?
Honestamente, era uma confusão tentar gerir diferentes ferramentas para cada tipo de verificação de segurança. Estávamos constantemente preocupados com a possibilidade de algo passar despercebido, e o número de falsos positivos tornava tudo ainda pior. O Aikido juntou tudo num só lugar, por isso agora estamos a detetar problemas reais sem todo o ruído, o que facilitou muito a nossa vida.
O Aikido juntou tudo num só lugar, por isso agora estamos a apanhar os problemas reais sem todo o barulho
Vimos que o Bound é um dos nossos poucos clientes que resolveu praticamente todos os problemas abertos comunicados. O Aikido ajudou-o com isto?
Sem dúvida! Orgulhamo-nos de levar a segurança muito a sério (como a maioria das empresas - esperamos - faz). Para nós, o Aikido teve um enorme impacto na forma como abordamos a gestão e a correção de vulnerabilidades. Consideramos que é a nossa única fonte de verdade e as funcionalidades de desduplicação e pré-filtragem de falsos positivos da plataforma ajudam-nos realmente a ver a floresta através das árvores. Assim que uma vulnerabilidade real aparece, temos um gatilho que aparece no nosso rastreador de problemas (Linear) para garantir que a corrigimos o mais rapidamente possível. O processo é bastante simples e está bem integrado no nosso ciclo de desenvolvimento, e confiamos muito nele.
Qual é a sua experiência de trabalho em conjunto com a equipa de Aikido?
A equipa tem sido muito recetiva e solidária desde o primeiro dia. Podemos partilhar feedback em tempo real, fazer pedidos e receber actualizações de produtos relevantes através do nosso canal Slack conjunto. A dada altura, perguntei à equipa do Aikido se sabiam no que se tinham metido. Não deixámos a equipa de produto deles dormir quando percebemos que podíamos perguntar tudo!
Qual é a sua caraterística favorita?
Para além da redução de falsos positivos, o botão "Importar do GitHub" é muito fixe. Gosto muito do facto de todos os repositórios serem automaticamente atribuídos a uma equipa. Podemos manter o GitHub como a fonte da verdade, enquanto o Aikido mapeia tudo em conformidade.
Alguma observação final?
No início deste ano, realizámos o nosso primeiro teste de penetração e a auditoria de segurança do Amazon AWS, que correu muito bem. Não obtivemos nada acima de um nível médio (e a maioria dos níveis médios com os quais não concordei inteiramente...). Provavelmente teriam encontrado muito mais coisas interessantes se não tivéssemos o Aikido a gritar connosco constantemente, por isso obrigado por isso!
Rubrica 1
Rubrica 2
Rubrica 3
Rubrica 4
Rubrica 5
Rubrica 6
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Citação em bloco
Lista ordenada
- Item 1
- Número 2
- Número 3
Lista não ordenada
- Item A
- Artigo B
- Item C
Texto em negrito
Ênfase
Sobrescrito
Subscrito
.avif)
