CONVERTIRME EN MIEMBRO

¿Es la nube de AWS el lugar adecuado para una Fintech?

by

Análisis de la Seguridad de los datos 

Por definición “Fintech” es una palabra compuesta de las iniciales en inglés de “Financial” y “Technology” y sirve para describir a todos aquellos emprendimientos que hacen uso de las últimas tecnologías disponibles para ofrecer servicios innovadores alrededor del ecosistema financiero. 

Por dicha razón al momento de concebir una idea de negocios “Fintech”, uno de los primeros y más importantes desafíos que esta deberá afrontar es la infraestructura tecnológica que utilizara para desarrollar, probar y desplegar sus servicios.  

En este ámbito con total seguridad podemos decir que esta decisión impactara el negocio durante todo su ciclo de vida en términos económicos, de seguridad y de velocidad de llegada al mercado. 

En este articulo vamos a abordar la seguridad de los datos y dejaremos para próximas entregas el tema de desarrollo y entrega continuo de software CI/CD y el tema de costo de infraestructura ya que ambos requieren también un análisis profundo. 

Una de las primeras preguntas que una Fintech debe resolver es ¿Como proteger la información?, y si esta protección es compatible con las regulaciones de privacidad de los datos y los estándares del ecosistema financiero.  

Esta pregunta es especialmente clave ya que con la entrada del Open Banking , el manejo de datos sensibles como información personal del cliente, informe de transacciones financieras, etc. las empresas deben estar preparadas para emular el mismo nivel de protección que un banco maneja. 

Para entrar en materia y analizar si la nube de Amazon Web Services (AWS) cumple los requisitos primero debemos entender cuáles son los principales estándares asociados a la industria y cuáles son las exigencias de los mismos.  Los dos más básicos e importantes son la normativa de estándar ISO 27001 y el estándar PCI-DSS.  

No quiere decir que estos sean los únicos que deban cumplirse, pero probablemente son los que generan un mayor impacto en el manejo de la información en el día a día de una Fintech. 

Lo organización internacional de estándares (ISO) define en su sitio web (https://www.iso.org/standard/54534.html)  a la ISO / IEC 27001: 2013  como la normativa que especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información dentro del contexto de la organización. También incluye requisitos para la evaluación y el tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la organización. Los requisitos establecidos en ISO / IEC 27001: 2013 son genéricos y están destinados a ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza. 

No entraremos en los detalles de la implementación de este estándar ya que esto puede ser abordado en una discusión posterior. 

En este contexto debemos validar si AWS es una proveedor de infraestructura que cumple con esta certificación y que tiene el nivel de experiencia necesario para cumplir los requisitos solicitados y para tal fin basta con consultar el sitio https://aws.amazon.com/compliance/iso-27001-faqs/ para poder encontrar la información relativa que nos permite conocer el estado del cumplimento  de la misma. 

Con respecto a la normativa PCI-DSS  (Payment Card Industry Data Security Estándar ) está en manos del diseño de la infraestructura y la implementación que se haga de la misma sobre la nube de AWS y los servicios que esta nube disponga para el cumplimento de la misma.   

El estándar de seguridad PCI DSS fue desarrollado por un comité conformado por las compañías de tarjetas de crédito y débito más importantes del mundo ( PCI Security Standards Council https://www.pcisecuritystandards.org/ ) y es una guía práctica que ayuda a las organizaciones que procesan , almacenan y/o transmiten datos de tarjetahabientes a asegurar dichos datos con el fin de evitar los fraudes. 

Las compañías que procesan , guardan o transmiten datos de tarjetas deben cumplir con el estándar o arriesgan la perdida de sus permisos y franquicias además de enfrentar rigurosas auditorias o pagos de multas. La validación de esta normativa es efectuada por auditores autorizados sin embargo las compañías que procesan menos de 80,000 transacciones por año se les permite realizar una autoevaluación utilizando un cuestionanario provisto por el consejo de PCI. 

El último conjunto de normas de seguridad, PCI DSS versión 3.2.1, incluye 12 requisitos principales con más de 300 sub requisitos que reflejan las mejores prácticas de seguridad. 

CREAR Y MANTENER SISTEMAS Y UNA RED SEGUROS 

  1. Instalar y mantener un cortafuego configurado para proteger los datos de los titulares de tarjeta 

  1. No uses los valores predeterminados suministrados por el proveedor para las contraseñas de los sistemas y otros parámetros de seguridad. 

PROTEGER LOS DATOS DE LOS TITULARES DE TARJETA 

  1. Proteger los datos del titular almacenados 

  1. Cifrar la transmisión de los datos de titulares de tarjeta en las redes abiertas o públicas 

MANTENER UN PROGRAMA DE GESTIÓN DE VULNERABILIDADES 

  1. Proteger todos los sistemas contra software maliciosos y actualizar periódicamente el software antivirus 

  1. Desarrollar y mantener sistemas y aplicaciones seguros 

APLICAR MEDIDAS SÓLIDAS DE CONTROL DE ACCESO 

  1. Restringir el acceso a los datos conforme a la necesidad de saber que tenga la empresa 

  1. Identificar y autenticar el acceso a los componentes del sistema 

  1. Restringir el acceso físico a los datos de titulares de tarjeta 

VIGILAR Y VERIFICAR PERIÓDICAMENTE LAS REDES 

  1. Rastrear y monitorizar todo acceso a los recursos de la red y los datos de titulares de tarjeta 

  1. Verificar periódicamente los sistemas y procesos de seguridad 

TENER UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 

  1. Tener una política que contemple la seguridad de la información para todo el personal 

Para que a las empresas nuevas les resulte “más fácil” el proceso de validación del cumplimiento de la normativa PCI, el Consejo PCI creó nueve formularios diferentes o cuestionarios de autoevaluación (SAQ) que subdividen los requisitos de la normativa PCI.  

Ahora debemos responder si los servicios de AWS nos permiten desplegar una infraestructura que pueda cumplir con la normativa PCI DSS . La respuesta a esta tema es que SI , sin embargo está en función de la arquitectura que se diseñe y de los servicios que se utilicen para este fin. Para este fin AWS ha publicado el ultimo white paper relativo al tema con fecha Mayo del 2019 y está disponible en el siguiente enlace: 

https://d1.awsstatic.com/whitepapers/pci-dss-scoping-on-aws.pdf

https://docs.aws.amazon.com/quickstart/latest/compliance-pci/overview.html

Como conclusión a la pregunta ¿Es la nube de AWS el lugar adecuado para una Fintech? Puedo afirmar que AWS no solamente es el lugar adecuado si no que probablemente sea uno de los mejor preparados para este fin en todo el mundo y es esta una de las razones por la cual empresas como Airbnb, Stripe , Netflix, grandes bancos y gobiernos del mundo la utilizan. 

Amazon Web Services adicionalmente cuenta con un sito de información dedicada para las Fintech el cual puede ser consultado en el siguiente enlace: 

https://aws.amazon.com/campaigns/aws-for-fintech

Leave a Comment

» Contáctanos

Inscríbete para recibir en tu correo las últimas novedades del ecosistema Fintech en El Salvador:

[email protected]

Calle 1 No. 5, Lomas de San Francisco. Centro de Negocios Manhattan, Antiguo Cuscatlán, La Libertad.

Nota: ASAFINTECH es una asociación gremial de empresas. NO damos asesorías a ideas de negocio, proyectos de emprendimiento o inversiones, ni proveemos servicios financieros.

© Copyright 2022 – ASAFINTECH, Asociación Salvadoreña de Tecnología Financiera.