Segurança em Mobile

Banrisul


Clique na foto e veja a legenda

Banrisul elimina fraudes com roubo de identidade em dispositivos móveis

Plataforma com criptografia, tokenização, identificação e autenticação forte iguala a segurança dos cartões virtuais à dos físicos com chip.

Edilma Rodrigues

O Banco do Estado do Rio Grande do Sul – Banrisul – desenvolveu plataforma de transações seguras para a autenticação de clientes e colaboradores em aplicações de dispositivos móveis, que funciona como se o cartão estivesse sempre acoplado ao celular. Com a novidade, a instituição faturou o Prêmio efinance 2017, na categoria Segurança em Mobile.

“Conseguimos manter a posição de vanguarda tecnológica previamente alcançada pelo uso de smartcard multiaplicação, reduzimos ao máximo as barreiras de adoção destes dispositivos e conseguimos acabar efetivamente com as ocorrências de fraudes com roubo de identidade”, comemora o diretor executivo de TI do Banrisul, Jorge Krug.

A instituição precisava atender à crescente demanda dos clientes de se conectar ao banco em qualquer lugar e a qualquer momento, o que requeria níveis de proteção equivalentes ao já alcançados pelo cartão físico com chip. Outra demanda foi provocada pela ausência de uma solução padrão que permitisse o uso de smartcards nos diversos modelos de dispositivos. “Decidimos iniciar um projeto próprio para virtualização do cartão de identidade e fornecer infraestrutura de segurança a ser utilizada por um conjunto de produtos digitais em ambiente mobile”, explica Krug.

A equipe multidisciplinar do banco desenvolveu, então, a plataforma de virtualização com funções de identificação e autenticação em dispositivos móveis por meio da captura das características individuais do aparelho (DNA – Device Fingerprinting) e autenticação forte com criptografia RSA. Anteriormente, o processo de autenticação era a partir de informações digitadas pelo cliente. Já o transporte de dados entre aplicativos móveis e sistemas centralizados do Banrisul é protegido por criptografia “E2EE” (encriptação ponto-a-ponto), via tunelamento seguro de informações e com assinatura digital para garantir a autenticidade.

O banco também projetou e implementou uma espécie de cofre de tokens seguros: o Token Service Provider – TSP, que gerencia o ciclo de vida de cartões e dispositivos e controla processos de cadastro e solicitação, provisionamento dinâmico, ativação, bloqueio, desbloqueio, vencimento e encerramento. “Diferentemente de outros produtos do mercado que utilizam o termo ‘cartão virtual’ para se referir à virtualização do número, a plataforma implementa a virtualização completa de um elemento seguro”, distingue Krug.

A solução também suporta múltiplos cartões no mesmo aparelho (conta corrente, crédito, voucher refeição, cartões de identidade funcional etc.) e pertencentes a clientes distintos. O mesmo cliente pode ter cartões em vários dispositivos. A utilização é intuitiva, basta selecionar um dos cartões da lista, digitar a senha e a autenticação forte de múltiplos fatores é feita automaticamente. “O nível de segurança, que já era alto, elevou-se a um patamar ainda melhor”, avalia o executivo.

Para os clientes, além do benefício da mobilidade com segurança em transações bancárias, a solução permite a virtualização de cartões ainda não emitidos fisicamente. Desta forma, é possível fazer transações com o cartão virtual logo após a abertura da conta, sem a necessidade de aguardar a chegada do cartão físico. Outra vantagem é a eliminação de barreiras geográficas e, consequentemente, a expansão do território de atuação do Banrisul.

Mitigação do risco operacional

Um dos retornos financeiros imediatos, segundo o executivo, advém da mitigação do risco operacional, o que reduz o montante de capital alocado (patrimônio de referência, ou PR) relacionado a este risco, de acordo com as regras do Bacen. O aumento de segurança traz também economia indireta, ao evitar prejuízos financeiros como coibir e apurar fraudes de forma efetiva.

No médio prazo, o Banrisul projeta a redução da emissão de cartões físicos, o que deve gerar economia nos custos atuais de confecção e personalização destes. Além disso, a plataforma viabiliza a implementação de novos produtos de forma rápida. “A redução no tempo de desenvolvimento e disponibilização de um aplicativo móvel convencional e de outro desenvolvido com a infraestrutura do cartão virtual é de 60% a 70%”, mensura Krug.

E, por ter sido desenvolvido internamente, não depende de terceiros, nem de operadoras (SIM Card) e de fabricantes (SE). O projeto também deve agilizar o desenvolvimento de novos produtos. Desde a fase de concepção até a implantação da primeira aplicação de negócio – o BanriSaque (permite saques em ATMs sem o uso de cartão físico) foi lançado em novembro de 2016 – foram necessários 18 meses.

Para futuros desenvolvimentos, a arquitetura da plataforma assegura a inclusão de novas funcionalidades e aplicações, de forma ágil e integrada. Essa base segura viabiliza a implementação de pagamentos pela interface NFC; carteiras virtuais com cartões tokenizados; geração de códigos de autenticação (OTP) para outros canais; transferência de fundos entre dois dispositivos (Peer-to-Peer) e funcionalidades de m-Commerce e e-Commerce.

As novidades não vão parar por aí. O executivo informa que estão previstas a inclusão de novas funcionalidades como identificação biométrica (Touch ID), assinatura digital de documentos e “termos de uso” com o cartão virtual, pagamentos NFC usando EMV, envio seguro de notificações (push) aos dispositivos do cliente para autenticações ou mensagens informativas, entre outras implementações.