Baixa latência e segurança são cruciais para aplicativos financeiros. Infelizmente, algumas das medidas destinadas a proteger as aplicações podem impactar negativamente o desempenho, resultando em um tradeoff – isto é, ter que abrir mão de uma das opções –, algo que as empresas financeiras certamente não querem que aconteça nesse caso. Com base nisso, a Plataforma de Edge da Azion foi desenvolvida para não apenas maximizar o desempenho, mas também oferecer uma proteção muito mais robusta às aplicações que são implementadas no edge.
Empresas financeiras, como o Agibank e a Provu, ao utilizarem nossa plataforma, obtiveram melhorias substanciais em compliance e observability, no reforço da segurança e na redução significativa da latência em suas aplicações. Então, se você quer descobrir como entregar velocidade com segurança, neste post nós apresentamos quais são as necessidades de segurança dos aplicativos financeiros, o custo da latência em transações e serviços bancários, além de alguns dos principais casos de uso e histórias de sucesso proporcionados por nossa plataforma.
Os desafios de segurança em aplicativos financeiros
Compliance e Regulamentação
Embora um número crescente de consumidores esteja usando aplicativos móveis e sites para realizar atividades bancárias ou financeiras, como acessar suas informações, solicitar empréstimos e executar transações, eles estão cada vez mais preocupados com ataques cibernéticos que comprometem sua identidade e suas informações financeiras. Essa preocupação se justifica devido à frequência e à escala de ataques a grandes instituições e a intermediários financeiros. Clientes e consumidores não confiarão seus dados confidenciais e informações de pagamento a uma empresa que não possua as proteções necessárias para proteger seus dados pessoais.
Diante disso, a fim de construir confiança com o público e com o consumidor, as empresas financeiras devem adotar rigorosas práticas regulatórias e de compliance para garantir a segurança e a privacidade dos dados de seus clientes. O cumprimento dessas regulamentações exige tanto capacidade de proteger os dados dos clientes, quanto visibilidade para monitorar e auditar a forma como esses dados estão sendo acessados.
Criando segurança zero trust
Com o amplo uso de microsserviços, APIs e dispositivos móveis, as estratégias de segurança legada que se concentram em manter os invasores fora de um perímetro corporativo seguro tornaram-se, na maioria das vezes, irrelevantes. Já o modelo de segurança zero trust, por sua vez, surgiu para enfrentar os desafios da segurança moderna e fornecer proteção para aplicações distribuídas, ameaças complexas, funcionários remotos e usuários móveis. Zero trust é um conceito que adota a filosofia de segurança “nunca confiar, sempre verificar”, caracterizada pela autenticação rigorosa, por permissões de acesso restritas e pelo monitoramento contínuo para mitigar as ameaças de segurança vindas de usuários, workloads, redes e dispositivos comprometidos.
Partindo dessa perspectiva, o modelo zero trust tornou-se uma necessidade para as empresas financeiras protegerem uma base de usuários móveis cada vez maior, além de uma gama de APIs que são usadas para integrar dados de vários sistemas, atender às exigências regulatórias de compliance e adicionar serviços multidimensionais a seus clientes. Sendo assim, os usuários móveis devem conseguir acessar com segurança as informações financeiras de uma variedade de locais ou dispositivos e as APIs devem ser seguras para evitar a exposição de dados sensíveis a terceiros e limitar o risco para as aplicações financeiras caso as APIs fiquem comprometidas.
O custo da latência
O velho ditado “tempo é dinheiro” revelou-se especialmente verdadeiro quando se trata do setor financeiro, cujas exigências sobre latência são tão rigorosas que muitas vezes são medidas em microssegundos ou até mesmo nanossegundos. Umartigo de 2015 do periódico Journal of Finance and Data Science observou que uma “negociação de alta frequência significa negociar rapidamente grandes volumes de títulos através de ferramentas financeiras automatizadas. Uma diminuição de um milissegundo em um atraso comercial pode aumentar os ganhos de uma empresa de alta velocidade em cerca de 100 milhões por ano”. Desde então, novas tecnologias como edge computing e 5G têm permitido uma latência cada vez mais baixa, porque qualquer atraso torna o processamento ainda mais caro.
Além do alto custo que gera nas negociações financeiras, a latência também impacta negativamente a utilidade da prevenção a fraudes. Por exemplo, os programas tradicionais de prevenção a fraudes, que são desenvolvidos para evitar maiores danos após a ocorrência de uma fraude, representam um custo enorme tanto para os bancos quanto para os usuários. Na verdade, umestudo realizado em outubro de 2020 pela LexisNexis Risk Solutions revelou os altos custos das fraudes, que aumentaram no mundo pós-Covid. Esses custos, que de acordo com o artigo “incluem o valor nominal da transação pela qual as empresas são responsabilizadas, mais taxas e juros incorridos, multas e taxas legais, custos trabalhistas e de investigação e despesas externas de recuperação”, agora resultam em uma média de US$ 3,64 em custos para cada dólar perdido por empresas financeiras.
Diante dessa situação, a fim de evitar essas perdas, os sistemas de prevenção a fraudes mais modernos aproveitam a análise em tempo real e a arquitetura orientada a eventos para detectar fraudes à medida que elas acontecem. Dessa forma, esses sistemas podem tomar as ações adequadas, como notificar a polícia, trancar portas ou rejeitar requisições de transações em caixas eletrônicos, por exemplo. Assim, ao impedir a ocorrência de fraudes, as instituições financeiras podem reduzir significativamente as perdas envolvidas.
Velocidade vs. Segurança: um tradeoff desnecessário
WAF
Web application firewalls, ou WAFs, são necessários para proteger as aplicações das OWASP Top 10 ameaças, tais como exposição de dados sensíveis, configuração de segurança incorreta ou quebra de autenticação. Os WAFs tradicionais baseados em assinatura, entretanto, podem aumentar significativamente a latência de uma aplicação. Eles fornecem proteção ao bloquear requisições que contenham padrões de ataque conhecidos. Cada vez que ocorre um novo ataque, os vendors de WAF criam uma assinatura com base nos componentes desse ataque e a adicionam ao WAF. Já que novos ataques ocorrem o tempo todo, os WAFs podem incluir milhares de assinaturas, exigindo imensos recursos computacionais e maior latência para processar novas requisições.
Esse tradeoff, no entanto, não é necessário com WAFs mais recentes, como o Web Application Firewall da Azion. Em vez de manter um banco de dados com milhares de assinaturas, o WAF da Azion usa algoritmos que analisam a sintaxe dos padrões de ataque e os condensam em um conjunto de regras simples e eficientes. Como resultado, nosso WAF protege não apenas contra ataques anteriores, mas também contra ameaças zero day e emergentes – tudo isso ao mesmo tempo que evita os problemas de desempenho e de uso inerentes aos WAFs baseados em assinatura.
Criptografia
Para empresas que lidam com cartão de crédito e informações bancárias, a criptografia é uma ferramenta necessária para prevenir fraudes e roubo de identidade. No entanto, conforme observado em umpost do TechBeacon, os protocolos de criptografia podem ter um custo sobre o desempenho da aplicação. Embora o tempo necessário para realizar operações de criptografia simples seja insignificante, a conexão a uma rede para realizar essas operações leva muito mais tempo. Como resultado, o post adverte os leitores que os desenvolvedores que desejam minimizar o custo do desempenho da criptografia deveriam primeiro “minimizar o número de conexões de rede que sua aplicação faz para implementar a criptografia. São muito caras e seu uso deveria ser evitado e, se possível, minimizado em todas as outras situações”.
Ao reduzir a distância que os dados precisam percorrer, edge computing reduz significativamente o número de saltos (hops) de rede, o que resulta no menor número possível de conexões – e, consequentemente, na menor latência possível para processos criptográficos.
Contêineres e VMs
O isolamento de recursos virtualizados em contêineres e VMs evita vazamentos de dados e garante que os problemas de segurança com uma aplicação ou um microsserviço não afetem outra. Ao fazer isso, no entanto, gera-se um custo de desempenho à medida que as aplicações escalam – uma necessidade para as instituições financeiras que adotam processos de computação intensiva, como análises em tempo real ou tecnologia Blockchain. Tendo em vista que os contêineres e as VMs exigem que os desenvolvedores provisionem recursos antecipadamente, é necessário escolher entre o provisionamento excessivo e o desperdício de recursos ou o provisionamento insuficiente e o risco de interrupções e congestionamento.
Em razão disso, para garantir a segurança e ao mesmo tempo permitir serviços de alto desempenho, a Azion protege funções serverless em um ambiente multi-tenant ao usar o V8 JavaScript Engine. O V8 tem um mecanismo de sandboxing que permite a criação de um ambiente de execução JavaScript separado para cada função serverless. Isso proporciona segurança e isolamento para cada função durante sua execução em um ambiente multi-tenant, onde recursos como I/O de disco, memória e CPU podem ser compartilhados com mais eficiência, eliminando a necessidade de alocá-los individualmente para cada microsserviço. Com esses recursos de segurança integrados no run-time, as funções podem escalar automaticamente, executando com alto desempenho quando e onde forem necessárias, mesmo durante os picos de uso e outros períodos de alta demanda.
O futuro das finanças: casos de uso e histórias de sucesso
Casos de uso
A Plataforma de Edge da Azion leva serverless computing para o edge, maximizando a escalabilidade, a disponibilidade e a economia de edge computing. Além dessas qualidades, também proporciona baixa latência e segurança, características indispensáveis para empresas financeiras, que podem usar nossos serviços para melhorar a experiência do cliente e obter uma vantagem competitiva.
Além disso, a Plataforma de Edge da Azion pode ser usada para viabilizar novos e estimulantes casos de uso na indústria financeira, como:
- sinalização digital personalizada e campanhas direcionadas;
- agências bancárias portáteis com caixas remotos;
- análise em tempo real e detecção de fraudes;
- suporte para pagamentos de criptomoedas;
- reconhecimento facial e comunicações por campo de proximidade;
- pagamento sem esforço com relógios inteligentes e outras IoTs.
Histórias de sucesso
Os benefícios da Azion para aplicativos financeiros são comprovados através do nosso sucesso com clientes como a Provu, uma importante fintech de crédito pessoal, e o Agibank, umdos bancos mais seguros e inovadores do Brasil.
Com o Edge Application da Azion, a Provu foi capaz de melhorar o desempenho de suas aplicações e APIs ao criar regras específicas de requisição e resposta para armazenar conteúdo em cache e otimizar os protocolos de entrega. Como resultado, essas mudanças trouxeram uma melhoria de 80% no desempenho na região Nordeste do Brasil, onde um alto percentual de clientes da Provu está concentrado e as taxas de latência são as mais altas. Além disso, o uso do Network Layer Protection, um módulo do Edge Firewall para gerenciar endereços IP de forma segura e automática, permitiu que a Provu reduzisse drasticamente os custos de gerenciamento para proteger suas aplicações.
A história de sucesso do Agibank também demonstra seu sucesso com os produtos da Azion, incluindo os produtos Data Stream e Edge Firewall, que o Agibank usou para reforçar as práticas de compliance e observability e, assim, aumentar a segurança e a disponibilidade de suas aplicações. O Edge Firewall permitiu ao Agibank manter a disponibilidade ao detectar automaticamente dezenas de milhares de ameaças e proteger sua infraestrutura de origem ao responder 100% das requisições no edge.
Para saber mais sobre o que a Azion pode fazer pelo seu aplicativo financeiro, leia as histórias de sucesso na íntegra ou contate o setor de vendas para discutir suas necessidades com um de nossos representantes.
