Webinar Gratuito

PIX na AWS: Criando uma arquitetura para implementação rápida e segura

Acesse Já

DETALHES DO EVENTO

O PIX é o novo sistema de pagamento instantâneo brasileiro criado pelo Banco Central que irá revolucionar a maneira de fazer pagamentos. O sistema entrará em vigor em novembro e será capaz de permitir transferências diretamente da conta de um usuário ao recebedor.

Atualmente, as operações financeiras tradicionais possuem uma série de limitações, podendo levar horas ou dias, além de serem executadas apenas em dias úteis e terem um alto custo, como é o caso de DOCs e TEDs.

Com a novidade, porém, esses problemas serão mitigados e os usuários poderão desfrutar de benefícios como, disponibilidade todos os dias do ano, agilidade nas transações, conveniência, transferência em ambiente aberto, e tudo isso sem abrir mão da alta segurança.

O Arquiteto de Soluções Especialista na Indústria Financeira na AWS, João Aragão, e o Enterprise Solutions Architect  na AWS, Lucas Lins, esclareceram algumas dúvidas sobre o novo sistema e explicaram como criar uma arquitetura para implementação rápida e segura de PIX na AWS. Confira:

Para quem?

O Sistema de Pagamento Instantâneo (SPI/PIX) estará disponível para pessoas físicas, jurídicas, instituições financeiras e governo,  permitindo que esses atores façam operações entre si e se conectem em um ambiente aberto.

Qual escopo?

O PIX viabilizará transações de variadas formas e em qualquer horário do dia. Basicamente, as operações serão realizadas por meio de chaves, que poderão ser número de celular, e-mail, CPF ou CNPJ. As compensações também serão possíveis via tecnologias de aproximação, criptografia e QR Code.

Como ajudar os clientes nesse desafio?

Antes de entender como é possível ajudar clientes a chegarem no PIX por meio de uma arquitetura integrada, é preciso considerar três aspectos muito importantes para o equilíbrio e bom uso do sistema, que são segurança, privacidade e regulação.

O BACEN requererá protocolos e requisitos de segurança que, muitas vezes, podem ser críticos para algumas empresas, exigindo assim um forte apoio nessa jornada. Pensando nisso, a AWS criou alguns objetivos capazes de atender obrigações e as demandas de clientes em diferentes cenários.

A lista de objetivos compõe troca de mensagens assinadas digitalmente, XML ISO 20.022 ou Não, Autenticação TLS Mútua (MTLS), registro do log de requisições, gestão das chaves, comunicação com a Rede do Sistema Financeiro Nacional (RSFN) e autenticação das transações com biometria.

Esse conjunto de objetivos/soluções estão enquadrados no que a AWS chama de Modelo de Gestão Compartilhada, onde basicamente o cliente é responsável apenas pelos dados na nuvem, enquanto a provedora é responsável por toda a parte de infraestrutura. Esse modelo funciona como grande aliado, especialmente em relação ao PIX, pois abstrai grande parte da carga operacional do cliente.

Integrando uma aplicação ao PIX

Em primeiro lugar, as arquiteturas recomendadas pela AWS são menos intrusivas na solução completa do cliente e seguem um modelo proxy. Logo, quando o cliente faz uma transação, esses dados passam primeiro pela arquitetura proxy, que executa partes dos objetivos informados, como assinatura digital, de MTLS, registro de log, entre outros.

Para executar alguns desses objetivos, como assinatura digital e MTLS, portanto, são necessários serviços capazes de fazer operações com chaves criptográficas. Um dos principais serviços é o Cloud HSM,  que é um Hardware Security Mobile baseado na nuvem AWS e sobre o qual veremos a seguir:

Arquitetura referência com Amazon Cloud HSM

O Cloud HSM é um serviço gerenciado da AWS por meio do qual o cliente consegue criar e gerenciar suas chaves de maneira facilitada. Na linha serverless, essa solução também diminui a carga operacional do cliente, liberando-o para outras atividades estratégicas de negócio.

Apesar de não ser obrigatório pelo BACEN, O HSM é recomendado e, inclusive, já é uma aposta de grandes instituições financeiras. O serviço, na verdade, é um Cluster de HSM, onde cada HSM que é posto nesse cluster suporta até 1100 transações por segundo. Outra vantagem é que o HSM já possui formas de integrações padrões de mercado, como com Microsoft CNG, Java Cryptography Extension e TKCS11.

Arquitetura referência com Amazon Key Management Service (KMS):

O KMS também é um serviço gerenciado para operação com chaves criptográficas, no entanto, possui algumas particularidades. Um exemplo, é a impossibilidade de exportar chave privada, o que, por outro lado, é ótimo para questões de segurança. O serviço permite executar operações de assinatura digital usando partes de chaves assimétricas para garantir a integridade dos dados.

O serviço é um API amigável (chaves simétricas e assimétricas) e é integrado ao AWS Encryption SDK (somente chaves simétricas). Uma outra característica é que o KMS é excelente para criptografia de envelope, ou seja, ele usa a chave para criptografar a própria chave que vai criptografar o dado, criando uma cadeia.

Arquitetura referência com Amazon Rekognition

O reconhecimento facial será mais uma das formas de operação com o PIX. Ao mesmo tempo que agrega conveniência, no entanto, essa tecnologia possui alguns desafios que precisam ser superados. Pensando nisso, a AWS desenvolveu uma arquitetura baseada no Amazon Recognition, serviço da AWS que identifica e analisa imagens de pessoas, objetos e cenas.

Esse serviço facilita o processo de reconhecimento facial e adiciona a ele a prova de vida, pois consegue capturar pontos da face e fazer um cálculo rapidamente para confirmar a identidade de um usuário. O Recognition consegue identificar expressões, poses, sentimentos, entre outras informações e, com um simples movimento da pessoa, faz a mimetização de um sistema 3D.

Vantagem das arquiteturas propostas

  • Comunicação criptografada;
  • Dados criptografados em repouso;
  • Gerenciamento das chaves;
  • Assinatura digital de mensagens (XML);
  • Prova de Vida;
  • Escalabilidade e elasticidade;
  • Alta disponibilidade;
  • Velocidade (TPS);
  • Integração com Ecossistema AWS;
  • Auditoria de todas as requisições;

Sugestões de leitura

O webinar está disponível acessando o endereço https://materiais.brlink.com.br/webinar_pix_na_aws

Olá!

Gostaria de receber uma ligação?

NÓS TE LIGAMOS
Informe seu telefone que entraremos em contato o mais rápido possível.
Gostaria de agendar e receber uma chamada em outro horário?
Deixe sua mensagem! Entraremos em contato o mais rápido possível.