Al igual que los tenistas top, los datos viajan permanentemente de un lugar a otro. Es por eso que se deben implementar medidas para que transiten seguros en todo momento.
Cuando hablamos de datos bancarios, la protección se eleva al cuadrado. Y si nos referimos al Open Banking, donde se promueve la apertura de datos y el acceso de terceros, la seguridad debe ser aún mayor.
Por esto, los bancos y las entidades financieras deben saber muy bien cómo reconocer a una Fintech segura.
Ethical Hacking
Cuando escuchamos la palabra “hackers”, inmediatamente nos ponemos a la defensiva porque en términos de ciberseguridad pueden explotar las vulnerabilidades de las empresas.
Sin embargo, también existen los hackers que ayudan a las instituciones financieras a realizar los análisis de seguridad preventivos y reactivos para resguardar sus datos. A estos especialistas informáticos se les denomina “hackers éticos”.
También conocidos como “white hats” o sombreros blancos, estos expertos reciben la autorización de una Fintech, bancos u otra organización para acceder a sus sistemas como si fueran un atacante cibernético real. Algunas de las pruebas que realizan son las siguientes:
- Búsqueda de código malicioso.
- Testeos de puertos abiertos y redes wifi.
- Pruebas de ataque HTTP.
- Errores de codificación y validación.
- Infraestructura cloud.
- Análisis de APIs.
Las ventajas de llevar a cabo este procedimiento tecnológico son variadas. Por ejemplo, se pueden detectar gaps en software, mejorar los firewalls y honeypots, rastrear datos sensibles, capacitar a los equipos sobre mejores prácticas y, en definitiva, optimizar los procesos para convertirse en un partner financiero de confianza.
Como vemos, esta revisión de tipo Ethical Hacking es fundamental para velar por la integridad, confidencialidad y disponibilidad de los aplicativos de una Fintech. Cuando busques a un proveedor seguro en el ecosistema de Open Banking, averigua si ha realizado análisis preventivos recientes de “hackeo ético” para que tu equipo de control de riesgos no pase por sobresaltos. Por lo general se pide como mínimo cada tres meses.
Certificación ISO
Otro aspecto a considerar son las certificaciones de seguridad de las instituciones financieras. En específico, la certificación ISO 27001, que es una norma internacional emitida por la Organización Internacional de Normalización (ISO).
En un mundo cada vez más globalizado y digital, resulta clave que las empresas se comprometan a gestionar la información con los más altos estándares de seguridad. En este sentido, la norma ISO 27001 vela por los siguientes pilares básicos:
- Que la información sea accesible y modificable únicamente por usuarios autorizados.
- Que se establezca un conjunto de procesos, personas y tecnologías para analizar eventuales riesgos.
- Que se garantice un ciclo de mejora continua y un sistema de control de los estándares de seguridad de la información.
- Que se renueve la certificación para desarrollar un sistema virtuoso con más y mejores controles.
En Floid trabajamos con Hackmetrix en la certificación ISO 27001 para garantizar que nuestros mecanismos y procesos sean responsables, un aspecto muy importante en el contexto de Open Banking y Open Finance donde se comparten datos de clientes y empresas financieras.
En definitiva, para reconocer a una Fintech segura, averigua el estado de la implementación y cumplimiento de la norma ISO 27001 para la protección efectiva de tus activos de información.
Acuerdos oficiales
En Europa, donde existe una normativa más robusta de Open Banking y Open Finance, las instituciones pueden disponibilizar APIs oficiales para que empresas y personas compartan sus datos con terceros.
En Chile, la ley Fintech que está en tramitación en el Congreso debería apuntar hacia esa dirección, mientras que en Colombia se está avanzando en las regulaciones para el funcionamiento del Open Banking.
En la actualidad, una de las formas de hacer Open Banking en Latinoamérica es a través de acuerdos oficiales con las entidades. Por ejemplo, que el BancoEstado de Chile autorice a una Fintech el acceso a su sistema para obtener datos y compartirlos, lo que trae beneficios para todas las partes involucradas. Desde el punto de vista del banco, disponer del historial financiero de clientes de otras instituciones para ofrecer un crédito hipotecario, por citar un caso.
Si una Fintech materializa acuerdos oficiales con organismos del ecosistema financiero, se posiciona como un proveedor seguro para los bancos.
Tecnologías de encriptación
Si hablamos de políticas de seguridad, la encriptación de mensajes es sinónimo de confianza, ya que facilita la protección adicional de los datos en tránsito para evitar que los ciberdelincuentes accedan a información confidencial.
El cifrado de extremo a extremo es un sistema de blindaje básico para las Fintech. Si no cuentan con esta tecnología, equivaldría a algo así como enviar una carta sin sobre donde cualquiera puede leer el contenido y actuar en forma maliciosa. En el ecosistema bancario, esto redunda en posibles fraudes, malware y otras vulneraciones a los sistemas.
En el caso de Floid, la información que comparte un usuario es encriptada bajo un algoritmo, permitiendo que esté segura durante todo el proceso. En específico, utilizamos encriptación AES-256 que es la usada por gobiernos y bancos en todo el mundo.
Leyes de protección de datos
Es importante mencionar que en Chile desde 1999 existe la ley N° 19.628 de protección de datos personales, mientras que en Perú se garantiza este derecho fundamental a través de la ley N° 29.733 y en Colombia pasa lo mismo gracias a la ley N° 1581 que reconoce y protege este derecho.
Si bien este marco normativo puede ser insuficiente en un entorno de digitalización que avanza hacia el Open Banking y Open Finance, las leyes Fintech vendrían a robustecer estas regulaciones.
Para reconocer a una Fintech segura, verifica si actúa siempre de acuerdo a las leyes de protección de datos y del consumidor, para que puedas dar la tranquilidad a tus usuarios de compartir su información contigo.
¿Cómo lo hacemos en Floid?
Estamos convencidos y convencidas de que la inclusión financiera en América Latina avanzará progresivamente. Para eso nos estamos preparando con la implementación de una serie de políticas que permiten adelantarnos a los estándares legislativos que se proponen en el desarrollo de las leyes Fintech en Chile, Colombia, Perú y México.
Hemos tomado como ejemplo las normativas europeas, que nos dan luces de cómo debemos avanzar en ciberseguridad. Es por eso que realizamos pruebas constantes de Ethical Hacking (tal como lo exigen los grandes bancos), trabajamos en el cumplimiento de la certificación ISO 27001 y establecemos acuerdos oficiales con los bancos para asegurar que las conexiones sean oficiales.
Con nuestra tecnología de Open Banking, tus clientes podrán compartir su información financiera, sabiendo que sus datos están seguros y resguardados.