Olá, Peter! Você pode me falar um pouco sobre você e a CertifID?
Com prazer! Sou Peter Marsh, Head de Segurança, Conformidade e TI na CertifID. A CertifID tem a missão de eliminar fraudes por transferência bancária em transações imobiliárias. Nascida de uma experiência em primeira mão com fraude (nosso co-fundador foi vítima de um incidente de fraude), a CertifID é a única empresa dedicada a proteger a indústria imobiliária através de uma plataforma SaaS de verificação de identidade, cobertura de seguro e serviços de recuperação comprovados. Ao garantir transferências bancárias seguras e seguradas, a CertifID ajudou a prevenir fraudes no valor de 80 milhões de dólares apenas no ano passado.
Sendo um dos primeiros clientes do Aikido, como vocês nos encontraram?
Estávamos prestes a renovar nosso contrato com a solução anterior, mas não éramos mais fãs da oferta deles (sendo muito cara e apresentando muitos falsos positivos). O Aikido foi muito mais fácil de lidar, apresentou muito menos falsos positivos e incluiu bastante contexto sobre como corrigi-los.
Sinceramente, encontramos o Aikido por acaso. Estávamos prestes a renovar nosso contrato com nossa solução anterior, mas não éramos mais fãs da oferta deles (sendo muito cara e gerando muitos falsos positivos). Então, me perguntei se havia boas alternativas disponíveis e pesquisei concorrentes da nossa solução anterior. Foi assim que encontramos o Aikido – ele estava listado como uma das alternativas.
Fiz uma demonstração rápida usando um repositório GitHub e notei que o produto era muito mais fácil de lidar, apresentava muito menos falsos positivos e incluía bastante contexto sobre como corrigi-los.
"Antes do Aikido, a segurança era um grande fardo. Nossa ferramenta anterior, Snyk, nos fazia perseguir muitos falsos positivos e era difícil de navegar."
Recentemente, a CertifID adquiriu a Paymints.io para facilitar transações imobiliárias. Isso aumentou o escrutínio sobre sua postura de segurança?
Absolutamente. A aquisição da Paymints.io trouxe preocupações adicionais de segurança, porque quando uma empresa sediada nos EUA lida com transações financeiras, é preciso atender a requisitos rigorosos de conformidade, incluindo combate à lavagem de dinheiro (AML) e GDPR ou HIPAA. É claro que muitos outros países também exigem isso. É seguro dizer que os EUA e a Europa operam de maneira semelhante: nos EUA, existem leis nacionais, mas também diferenças estaduais (por exemplo, Nova York vs. Califórnia). O equivalente europeu seriam as regras europeias versus as regulamentações por Estado-Membro europeu.
Como empresa, nosso principal produto é a incorporação da verificação de identidade em sistemas de transferência eletrônica e o seguro de transações até determinados valores. Historicamente, os pagamentos por transferência eletrônica são processos antigos e arcaicos, onde normalmente você precisaria apenas de um número de conta e um número de roteamento para efetuar um pagamento – o que é muito propenso a fraudes. Em um dia ruim, qualquer pessoa pode simplesmente entrar em um banco com esses dois números e realizar saques em dinheiro sem necessidade de autorização adicional.
Em conjunto, como soluções de segurança como o Aikido podem ajudar a mitigar o risco de fraude (virtual)?
Em um ambiente virtual, a fraude pode acontecer de várias maneiras. As formas mais comuns são por meio de comprometimentos de e-mail, domain squatting... Estes são facilitados por atores criminosos (geralmente grupos organizados de várias pessoas com recursos adequados) para cometer fraude. Eles tentam ganhar controle do sistema ou modificá-lo a seu favor.
O Aikido desempenha um papel central para garantir que as transações que passam pelo nosso sistema sejam tratadas com segurança. Quando vejo vulnerabilidades surgirem, sei que vale a pena investigá-las e posso trabalhar com minha equipe para resolvê-las rapidamente. Felizmente, toda a equipe tem uma mentalidade de segurança, dada a indústria em que estamos. E a boa notícia? No ano passado, a CertifID impediu que 80 milhões de dólares fossem enviados para contatos fraudulentos!
Como você geralmente decide adicionar novas tecnologias ao seu stack?
Uma das coisas que procuro em novas ferramentas: ela pode se integrar ao dia a dia atual? Foi ótimo ver como o Aikido se encaixou perfeitamente, sem a necessidade de modificações.
Foi ótimo ver como o Aikido se encaixou perfeitamente no Github, Jira e em nosso sistema de conformidade, sem a necessidade de modificações. O dashboard do Aikido nos ajuda a relatar sobre SLAs e a executar correções em tempo hábil.
Para elaborar: O Aikido está perfeitamente integrado ao nosso fluxo de trabalho integrando-se com o Github (para varredura de código), Jira (tanto para revisões de PR quanto para tickets, caso nenhuma correção automática seja sugerida) e nosso sistema de conformidade (fornecendo evidências SOC2). Antes do Aikido, não tínhamos bons dados para relatar (ainda). Agora, o dashboard nos ajuda a relatar sobre SLAs e a capacidade de executar correções em tempo hábil.
Como o Aikido se compara ao seu antigo software de segurança?
- O Aikido agrupa diferentes opções de detecção e remediação de vulnerabilidades (varredura de terceiros, código próprio, Container, configuração de Cloud…) em uma solução intuitiva. Nossa solução anterior, em comparação, tinha pacotes diferentes, cada um com um preço distinto.
- Falsos positivos drasticamente reduzidos
- Visualização clara de dados através do dashboard do Aikido
- A integração com Secure Code Warrior, fornecendo contexto e orientação para a resolução de problemas
"Uma das grandes razões pelas quais escolhemos o Aikido é a estreita colaboração e parceria desde o primeiro dia. É ótimo ver uma empresa em rápido crescimento sempre aprimorando o produto e mantendo as linhas de comunicação abertas."
Qual sua funcionalidade favorita?
A funcionalidade AI Autofix (que, aliás, ficou ainda mais interessante com o código próprio).
