O que é Open Finance?

Open Finance é um conjunto de procedimentos e tecnologias que possibilita a abertura e integração dos sistemas financeiros de instituições, visando o compartilhamento padronizado de dados sobre produtos, serviços e informações cadastrais e transacionais dos usuários. Através do consentimento dos usuários, suas informações podem ser compartilhadas com terceiros com o objetivo de acessar novos produtos, serviços ou melhores condições de contratação.

No Brasil, o Open Finance foi regulamentado pelo Banco Central do Brasil (BCB) e pelo Conselho Monetário Nacional (CMN), sendo implementado em quatro fases entre 2021 e 2022. Esse projeto envolveu um grande número de instituições financeiras, com o BCB identificando 1.065 participantes obrigatórios do Open Finance em um comunicado divulgado em 2020. Até maio de 2022, já haviam ocorrido mais de 233 milhões de interações entre as instituições participantes.

Um dos principais objetivos do Open Finance é garantir o compartilhamento de dados bancários, visto que o mercado de serviços bancários é altamente concentrado e o acesso a esses dados representa uma barreira à entrada de concorrentes. Portanto, as instituições financeiras de maior porte são obrigadas a participar do Open Finance para compartilhar seus dados, enquanto outras instituições podem participar voluntariamente. Além disso, o projeto busca incentivar a inovação, aumentar a eficiência do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro, promover a concorrência e a cidadania financeira.

A concretização do Open Finance depende do compartilhamento de dados relacionados a produtos e serviços nos mercados de pagamentos, crédito, seguros, câmbio e investimentos. Por meio de altos investimentos em tecnologia e inovação por parte das instituições financeiras, juntamente com o envolvimento das fintechs, o Open Finance tem o potencial de aumentar a competitividade e a transparência no mercado financeiro. Isso beneficia e capacita os consumidores, permitindo que eles tenham controle sobre seus próprios dados. Além disso, a redução das barreiras de acesso aos dados facilita a entrada de novos agentes no mercado, como provedores de transações de pagamentos, agregadores de dados e intermediários digitais para propostas de crédito.

Open Finance e LGPD em Incidentes de Segurança:

Tanto a LGPD (Lei Geral de Proteção de Dados) quanto às normas setoriais do BCB (Banco Central do Brasil) estabelecem requisitos relacionados à segurança da informação. É importante destacar que um incidente de segurança pode ser caracterizado pela violação de um ou mais dos seguintes atributos da informação:

  • Confidencialidade: quando uma informação é acessada ou divulgada a pessoas não autorizadas;
  • Integridade: quando uma informação é alterada de maneira não autorizada;
  • Availability: quando uma informação não pode ser utilizada quando necessária.

Quando se trata das obrigações normativas de segurança, elas podem ser divididas em duas categorias principais: a primeira envolve a adoção de medidas adequadas de segurança da informação como um dever geral. A segunda categoria abrange as obrigações de notificação aos afetados e às autoridades competentes após a ocorrência de um incidente.

Quais as obrigações de segurança da informação?

A LGPD (Lei Geral de Proteção de Dados) estabelece como obrigação dos agentes de tratamento, controladores e operadores, adotar medidas de segurança técnicas e administrativas adequadas para proteger os dados pessoais (artigo 46). Isso significa que os agentes devem implementar tanto medidas técnicas (como o uso de antivírus, testes de sistemas e testes de penetração) quanto medidas administrativas, por meio da implementação de estruturas de governança (como a definição de políticas de segurança da informação e a atribuição de responsabilidades aos colaboradores).

A LGPD não impõe padrões de segurança específicos, mas esclarece que a ANPD (Autoridade Nacional de Proteção de Dados) pode regulamentar o assunto (artigo 46, parágrafo 1º). Além disso, a LGPD estabelece que os agentes de tratamento devem adotar medidas de segurança desde a fase de desenvolvimento do produto/serviço até sua execução/lançamento no mercado (artigo 46, parágrafo 2º).

Em relação às regras setoriais do Open Finance, é importante destacar duas normativas. A Resolução Conjunta do BCB (Banco Central do Brasil) e CMN (Conselho Monetário Nacional) nº 1/2020 estabelece, de forma resumida, a obrigação geral de garantir a segurança da informação no compartilhamento de dados do Open Finance (artigos 4, 31, 39, 40 e 48), a adoção de mecanismos de autenticação para o compartilhamento de dados (artigos 16 e 17) e a necessidade de incluir cláusulas de segurança da informação em contratos de parceria com entidades não autorizadas pelo BCB, incluindo a obrigação do parceiro contratado de informar sobre incidentes (artigo 38).

A Resolução nº 32 do BCB estabelece a criação de um “Manual de Segurança do Open Finance”, com o objetivo de detalhar os padrões de segurança e os requisitos técnicos (artigo 16). Diferentemente da LGPD, que estabelece apenas obrigações gerais de segurança, esse Manual será elaborado pelo BCB e implementado por meio de uma instrução normativa.

Para garantir a segurança e a autenticidade das transações e comunicações realizadas no âmbito do Open Banking, o uso do mTLS (Mutual Transport Layer Security) é exigido.

Links para resoluções:

Como a GoCache pode ajudar?

A GoCache oferece suporte ao mTLS, além de contar com diversas soluções de segurança web que podem desempenhar um papel importante na segurança dos clientes que utilizam o Open Banking. Caso queira entender como a GoCache pode ajudar, entre em contato.

Fontes do artigo:

https://baptistaluz.com.br/wp-content/uploads/2022/05/Bluz_PD_AYIP_OpenFinance.pdf
https://aws-amazon-com.translate.goog/pt/blogs/aws-brasil/suportando-mutual-tls-mtls-utilizando-certificados-do-icp-brasil-para-o-open-banking-no-brasil-utilizando-o-amazon-api-gateway/?_x_tr_sl=pt&_x_tr_tl=en&_x_tr_hl=en&_x_tr_pto=sc