Olá, Peter! Você pode me falar um pouco sobre você e a CertifID?

Com prazer! Sou Peter Marsh, Head de Segurança, Conformidade e TI na CertifID. A CertifID tem a missão de eliminar fraudes por transferência bancária em transações imobiliárias. Nascida de uma experiência em primeira mão com fraude (nosso co-fundador foi vítima de um incidente de fraude), a CertifID é a única empresa dedicada a proteger a indústria imobiliária através de uma plataforma SaaS de verificação de identidade, cobertura de seguro e serviços de recuperação comprovados. Ao garantir transferências bancárias seguras e seguradas, a CertifID ajudou a prevenir fraudes no valor de 80 milhões de dólares apenas no ano passado.

Sendo um dos primeiros clientes Aikido, como nos encontrou?

Estávamos prestes a renovar o nosso contrato com a nossa solução anterior, mas já não gostávamos muito da oferta deles (era muito cara e apresentava muitos falsos positivos). Aikido muito mais fácil de lidar, apresentava muito menos falsos positivos e incluía muitas informações sobre como corrigi-los.

Sinceramente, descobrimos Aikido acaso. Estávamos prestes a renovar o contrato com a nossa solução anterior, mas já não gostávamos muito dela (era muito cara e apresentava muitos falsos positivos). Então, pensei se haveria alguma alternativa boa disponível e pesquisei concorrentes para a nossa solução anterior. Foi assim que descobrimos Aikido que estava listado como uma das alternativas.

Fiz uma demonstração rápida usando um repositório GitHub e notei que o produto era muito mais fácil de lidar, apresentava muito menos falsos positivos e incluía bastante contexto sobre como corrigi-los.

«Antes do Aikido, a segurança era um fardo. A nossa solução anterior obrigava-nos a perseguir demasiados falsos positivos e era difícil de navegar.»

Recentemente, a CertifID adquiriu a Paymints.io para facilitar transações imobiliárias. Isso aumentou o escrutínio sobre sua postura de segurança?

Absolutamente. A aquisição da Paymints.io trouxe preocupações adicionais de segurança, porque quando uma empresa sediada nos EUA lida com transações financeiras, é preciso atender a requisitos rigorosos de conformidade, incluindo combate à lavagem de dinheiro (AML) e GDPR ou HIPAA. É claro que muitos outros países também exigem isso. É seguro dizer que os EUA e a Europa operam de maneira semelhante: nos EUA, existem leis nacionais, mas também diferenças estaduais (por exemplo, Nova York vs. Califórnia). O equivalente europeu seriam as regras europeias versus as regulamentações por Estado-Membro europeu.

Como empresa, nosso principal produto é a incorporação da verificação de identidade em sistemas de transferência eletrônica e o seguro de transações até determinados valores. Historicamente, os pagamentos por transferência eletrônica são processos antigos e arcaicos, onde normalmente você precisaria apenas de um número de conta e um número de roteamento para efetuar um pagamento – o que é muito propenso a fraudes. Em um dia ruim, qualquer pessoa pode simplesmente entrar em um banco com esses dois números e realizar saques em dinheiro sem necessidade de autorização adicional.

Resumindo, como é que soluções de segurança como Aikido podem Aikido mitigar o risco de fraude (virtual)? 

Em um ambiente virtual, a fraude pode acontecer de várias maneiras. As formas mais comuns são por meio de comprometimentos de e-mail, domain squatting... Estes são facilitados por atores criminosos (geralmente grupos organizados de várias pessoas com recursos adequados) para cometer fraude. Eles tentam ganhar controle do sistema ou modificá-lo a seu favor.

Aikido um papel central para garantir que as transações realizadas através do nosso sistema sejam processadas com segurança. Quando vejo vulnerabilidades, sei que vale a pena investigá-las e posso trabalhar em conjunto com a minha equipa para resolvê-las rapidamente. Felizmente, toda a equipa está preocupada com a segurança, dado o setor em que atuamos. E a boa notícia? No ano passado, a CertifID impediu que 80 milhões de dólares fossem enviados para contactos fraudulentos!

Como você geralmente decide adicionar novas tecnologias ao seu stack?

Uma das coisas que procuro em novas ferramentas: ela pode ser integrada ao meu dia a dia atual? Foi ótimo ver como Aikido perfeitamente, sem necessidade de modificações. 

Foi ótimo ver como Aikido perfeitamente no Github, no Jira e no nosso sistema de conformidade, sem necessidade de modificações. O painelAikido ajuda-nos a gerar relatórios sobre SLAs e a executar correções em tempo hábil.

Para explicar melhor: Aikidoperfeitamente integrado ao nosso fluxo de trabalho, combinando com o Github (para verificação de código), o Jira (tanto para revisões de PR quanto para tickets, caso não haja sugestões de correções automáticas) e o nosso sistema de conformidade (fornecendo evidências SOC2). Antes do Aikido, não tínhamos dados bons para relatar (ainda). Agora, o painel ajuda-nos a reportar sobre SLAs e a capacidade de executar correções em tempo útil.

Como Aikido ao seu antigo software de segurança?

• Aikido diferentes opções de deteção e correção de vulnerabilidades (verificação de terceiros, código próprio, container, configuração na nuvem...) numa solução intuitiva. Em comparação, a nossa solução anterior tinha pacotes diferentes, cada um com um preço diferente.
• Falsos positivos drasticamente reduzidos
• Visualização clara dos dados através do Aikido
• A integração com Secure Code Warrior, fornecendo contexto e orientação para a resolução de problemas

«Uma das principais razões pelas quais escolhemos a Aikido a estreita colaboração e parceria desde o primeiro dia. É ótimo ver uma empresa em rápido crescimento sempre a melhorar o produto e a manter as linhas de comunicação abertas.»

Qual sua funcionalidade favorita? 

O AI Autofix (que, aliás, ficou ainda mais interessante com o código original).