Para entendermos os riscos e o mais importante foco de atuação de qualidade de software, vamos entender primeiro, em poucas linhas, o que vem a ser o Open Banking.
Atualmente, os Bancos são detentores dos dados de seus clientes e, para que estes mesmos clientes tenham outra opção, precisam construir esse relacionamento novamente, fornecendo mais uma vez todos os dados e documentos à Instituição Financeira, adquirindo credibilidade paulatinamente, conforme esse relacionamento vai amadurecendo através do tempo.
O que o Open Banking traz de novo? Pode-se afirmar que as maiores vantagens serão observadas pelos clientes bancários com perfis de investidores ou com bons ratings de crédito, pois estarão sempre sendo disputados pelas instituições e a concorrência, como bem explica a lei da oferta e da procura, lhes trará a melhor oferta.
O que muda é que, com o compartilhamento de dados entre as instituições, quem vai escolher onde aplicar ou tomar crédito será o cliente. O cliente tem o controle sobre suas informações e pode permitir que aplicações terceiras tenham acesso a consulta e manipulação de seus dados.
Dito isto, olhando de forma crítica, que pontos podemos considerar como possibilidades de risco e necessidade de um olhar mais acurado da qualidade de software?
Se pensarmos em testes não funcionais, a recomendação é de realização do teste de invasão, fundamental se observarmos as legislações e o funcionamento do Open Banking. É realizada uma revisão na segurança, com foco em possibilidades de invasão da aplicação/sistema, que aponta as vulnerabilidades e fecha portas que possibilitariam ataques por algum agente externo. O objetivo final é identificar a exposição da aplicação aos riscos de segurança, vulnerabilidades específicas que afetem essa aplicação, validação e verificação dos controles de segurança, políticas e procedimentos existentes, por um especialista externo e imparcial.
Dado que o Open Banking operará através de APIs (Interface de Programação de Aplicativos), para os testes funcionais recomendamos principalmente que a autenticação e a autorização sejam rigorosamente testadas, considerando os fluxos positivos, fluxos negativos e fluxos alternativos, sempre que possível, testando:
- Se o consentimento está funcionando corretamente, lembrando que os dados somente poderão ser compartilhados com outras instituições se a instituição detentora dos dados receber um consentimento do cliente/usuário proprietário desses dados. O consentimento é dado de forma eletrônica, conforme diretrizes do BACEN;
- Exaustivamente e com muitos critérios, podendo até mesmo se utilizar de automação de testes, os mecanismos de identificação
- Cautelosamente os mecanismos de ação, com testes manuais e automatizados, uma vez que o usuário passou pela etapa acima e está devidamente identificado. As ações tomadas precisam ser validadas em sua permissão, solicitação, comunicação e efetivação;
- E validando o registro do que foi feito pelo usuário, AAA (Autenticação, Autorização e Auditoria);
- Se os dados estão protegidos por alguma diretriz da Segurança da Informação ou Política de Privacidade de Dados, para atender à LGPD;
E lembre-se, se precisar de um parceiro para garantir a qualidade e o funcionamento do Open Banking em sua instituição financeira, fintech (IP, SCD, SEP), pode contar com a SVLabs!
Fonte:
https://einvestidor.estadao.com.br/mercado/entenda-open-banking
