Olá Ega! Qual é o seu papel e o que faz com que a Faspay se destaque na FinTech?
Olá, equipa Aikido! Como Diretor de Desenvolvimento na Faspay, lidero as nossas equipas de engenharia para construir sistemas escaláveis e fiáveis que apoiem o crescimento da empresa e a evolução das necessidades comerciais.
O que distingue a Faspay é a nossa forte presença nos sectores digital e tradicional. Facilitamos a adoção de sistemas de pagamento digital pelos comerciantes (especialmente os que estão a transitar de métodos de pagamento antigos) através de soluções que são estáveis, seguras e fáceis de integrar. A Faspay é um dos gateways de pagamento mais antigos e estabelecidos na Indonésia. As nossas soluções são seguras, estáveis e facilmente integráveis, construídas com base em anos de experiência comprovada e confiança do mercado.
Para que serve a segurança nas FinTech?
Embora a segurança específica das FinTech deva apoiar a inovação e a inclusão financeira digital, eu diria que esta é também uma obrigação:
- Proteger os dados dos utilizadores: As plataformas FinTech gerem informações pessoais e financeiras sensíveis. Uma segurança sólida garante que estes dados não são divulgados, roubados ou utilizados indevidamente.
- Proteger as transacções: Todas as transacções devem estar protegidas contra fraude, manipulação ou acesso não autorizado para manter a integridade do sistema.
- Criar confiança: Os utilizadores só utilizarão serviços financeiros digitais se tiverem a certeza de que o seu dinheiro e as suas informações estão seguros. A confiança leva à adoção e ao crescimento.
- Garantir a conformidade: O sector FinTech da Indonésia é regulado por autoridades como o OJK e o Bank Indonesia. Uma boa segurança ajuda as empresas a cumprir as leis de proteção de dados e cibersegurança, evitando penalidades.
- Evitar perdas: Os ciberataques podem conduzir ao roubo de fundos e a danos na reputação. A segurança actua como uma linha de defesa para reduzir esses riscos.
- Manter a disponibilidade do serviço: O tempo de inatividade ou a falha do sistema devido a ataques podem interromper as operações comerciais. A segurança garante que a plataforma se mantém fiável e sempre acessível.
Como é que o Aikido ajuda com as crescentes exigências regulamentares e de proteção de dados?
O Aikido desempenha um papel fundamental para nos ajudar a proteger os dados dos clientes. Ele identifica os riscos no início do ciclo de vida do desenvolvimento, quando é mais fácil (e mais barato) corrigi-los. O Aikido analisa milhares de bibliotecas de código aberto, alertando-nos instantaneamente quando uma dependência contém uma vulnerabilidade conhecida que pode colocar em risco os dados do utilizador. Também monitoriza continuamente o código implementado e assinala as alterações quando componentes anteriormente seguros se tornam vulneráveis devido à evolução da informação sobre ameaças.
Houve algum momento em particular que tenha desencadeado uma maior concentração estratégica na segurança?
Nos últimos 3-4 anos, o sector financeiro da Indonésia tornou-se um alvo para os piratas informáticos e para as explorações de várias formas. Desde então, adoptámos uma abordagem muito mais estratégica e proactiva em matéria de segurança, investindo em melhores processos, aumentando a sensibilização interna e adoptando ferramentas como o Aikido para nos ajudar a identificar vulnerabilidades precocemente e evitar a ocorrência de incidentes.
Antes de adotar o Aikido, quais eram as suas principais preocupações de segurança? Existiam riscos ou lacunas específicas que pretendia resolver?
Dado o aumento do risco no mercado, a nossa prioridade imediata foi resolver as lacunas de segurança ao nível das infra-estruturas. As nossas principais preocupações incluíam sistemas não corrigidos, vulnerabilidades conhecidas e reforço geral do ambiente. Concentrámo-nos na aplicação regular de patches de software, na correção de problemas conhecidos e na realização de testes de penetração de rotina e avaliações de vulnerabilidade para garantir que a nossa infraestrutura era segura e resistente a futuros ataques.
Que desafios teve de enfrentar para manter a segurança e a conformidade à medida que a sua plataforma se expandia?
À medida que aumentámos a escala, surgiram dois desafios fundamentais:
- Ameaças imprevisíveis: Nem sempre conseguimos antecipar novos tipos de ataques ou a sua sofisticação.
- Evolução dos requisitos de conformidade: As expectativas regulamentares mudam rapidamente e os nossos sistemas precisavam de acompanhar o ritmo sem introduzir estrangulamentos de desenvolvimento.
O maior equilíbrio foi manter uma segurança forte sem abrandar a nossa velocidade de desenvolvimento.
"A segurança tornou-se parte da nossa cultura de desenvolvimento e não uma reflexão tardia."
Estava a utilizar quaisquer outras ferramentas ou serviços de segurança antes de implementar o Aikido?
Já tínhamos experimentado várias ferramentas antes do Aikido, incluindo o Checkmarx e o Snyk. Todas tinham desvantagens. Algumas eram lentas, outras não tinham conhecimentos práticos e outras tinham um preço elevado que não reflectia o seu valor. Isto levou-nos a procurar algo mais fácil e eficiente para os programadores, o que acabou por nos levar ao Aikido.
"Tentámos o Checkmarx e o Snyk, mas o Aikido foi mais rápido, mais prático e mais fácil de trabalhar."
O que é que se destacou no Aikido durante a avaliação?
O que se destacou no Aikido durante a nossa avaliação foi o seu forte enfoque na experiência do programador. A funcionalidade AutoFix foi uma grande vitória, permitindo à nossa equipa resolver rapidamente os problemas sem esforço manual. O Aikido também fornece relatórios claros e acionáveis, facilitando a priorização e o tratamento de vulnerabilidades. Além disso, sua integração perfeita com ferramentas que já usamos (como Jenkins, Slack e vários editores de código) tornou a adoção simples. Além disso, a velocidade de verificação foi visivelmente rápida, o que ajudou a manter nossa velocidade de desenvolvimento sem comprometer a segurança.
"Alguns problemas são resolvidos automaticamente, sem necessidade de intervenção humana. Limitamo-nos a rever e a fundir o código."
Como tem sido a sua experiência de trabalho com a equipa de Aikido?
Trabalhar com a equipa do Aikido tem sido uma experiência extraordinária. Não se limitam a responder, são proactivos, apoiam-nos e investem verdadeiramente no nosso sucesso. Cada interação reflecte a sua profunda experiência em segurança e um compromisso genuíno em ajudar-nos a crescer com confiança. É raro encontrar um parceiro que se sinta tão fiável e alinhado com os nossos valores.
Quão fácil ou difícil foi integrar o Aikido nos seus fluxos de trabalho e processos de desenvolvimento existentes?
Muito fácil. A documentação é clara e o processo de configuração foi fácil, mesmo para os programadores que não conheciam a ferramenta. O Aikido ligou-se diretamente aos nossos pipelines sem perturbar os nossos processos. Isso foi importante. Precisávamos de mais segurança, mas não à custa da produtividade.
Qual é a sua caraterística ou capacidade favorita?
Na minha opinião, há três. Sem dúvida, a funcionalidade de verificação de API. É inestimável, uma vez que a maioria dos nossos serviços se baseia em API. Ajuda-nos a garantir que todas as novas APIs que lançamos são seguras desde o início. Em segundo lugar, a funcionalidade AutoFix é a verdadeira poupança de tempo. Poupou-nos uma quantidade significativa de tempo ao resolver automaticamente muitas vulnerabilidades comuns, permitindo que a nossa equipa se concentre mais no envio de código sem preocupações. Nos casos mais rápidos, as correcções são feitas instantaneamente, apenas temos de rever a alteração e fundi-la.
"Com o plug-in IDE, podemos detetar código incorreto antes mesmo de ser enviado para o GitHub."
E o plug-in IDE ajuda-nos a detetar código incorreto antes mesmo de ser enviado para o GitHub. Já não temos de verificar manualmente cada linha, o que teve um grande impacto na eficiência dos programadores.
Como é que o Aikido mudou a forma como a Faspay aborda a segurança e a gestão de vulnerabilidades?
O Aikido melhorou significativamente a nossa abordagem à segurança e à gestão de vulnerabilidades na Faspay. Estamos mais conscientes da segurança da nossa base de código, especialmente quando se trata de identificar e eliminar dados sensíveis codificados. Também nos tornou mais proactivos na manutenção das nossas dependências e na garantia de que estão actualizadas e seguras. Graças ao Aikido, a segurança tornou-se parte da nossa cultura de desenvolvimento, e não uma reflexão tardia.
Já viu algum resultado mensurável?
O Aikido ajudou-nos a descobrir muitas vulnerabilidades na nossa base de código antiga que não tinham sido detectadas. Só isso já valeu a pena a mudança. Ainda não temos métricas exactas, mas poupámos tempo, sem dúvida.
Verificou melhorias na velocidade ou poupanças de custos?
Ainda não em termos de velocidade de desenvolvimento, ainda estamos focados em limpar o código legado. E embora não tenhamos quantificado as poupanças de custos, já podemos dizer que o Aikido está a reduzir as despesas gerais da gestão manual da segurança.
Se tivesse de descrever o impacto do Aikido numa única frase, qual seria?
O Aikido integrou perfeitamente a segurança no nosso processo de desenvolvimento, ajudando-nos a detetar vulnerabilidades precocemente e capacitando a nossa equipa para codificar de forma mais segura e eficiente.
.webp){kind=logo}
.png)