Aikido
Empezar gratis
No se requiere CC
Historia
7 min leer

Seguridad en FinTech: Entrevista con Dan Kindler, cofundador y Director Técnico de Bound

"Aikido ha tenido un impacto tremendo en cómo enfocamos la gestión de vulnerabilidades y su corrección".

Dan Kindler
Cofundador y Director Técnico
Índice
Elemento TOC
Página web
https://bound.co
Fundada
2020
Industria
FinTech
Financiación obtenida
$6.5M
Sede central
Londres, Reino Unido
Tamaño del equipo de desarrollo
5-10

Introducción sobre límites y seguridad en FinTech

Hola, Dan. ¿Puedes hablarnos un poco más de ti y de Bound?

Hola, soy Dan Kindler, director técnico y cofundador de Bound. Nos centramos en hacer que la conversión de divisas y la cobertura sean baratas, justas y, sobre todo, fáciles. Nuestras plataformas ayudan a cientos de empresas de todo el mundo a protegerse del riesgo cambiario. En la actualidad, aproximadamente la mitad de nuestro equipo está formado por ingenieros.

¿Cómo se sitúa Bound dentro del sector FinTech y en comparación con la competencia?

Antes de entrar en la tecnología financiera propiamente dicha, permítanme explicar cómo nos posicionamos frente a las instituciones financieras tradicionales. Los bancos o brokers tradicionales suelen atender a clientes con grandes equipos de tesorería que valoran las transacciones por teléfono y correo electrónico. Sus intercambios en línea suelen ofrecer únicamente transacciones in situ. Como nuestro objetivo es que la cobertura sea fácil y sin complicaciones, ofrecemos herramientas de cobertura de divisas al contado y al contado para gestionar y proteger sus flujos de efectivo internacionales. En diciembre de 2022, recibimos la autorización de la FCA, una autoridad reguladora financiera del Reino Unido, que nos permite ofrecer productos de cobertura regulados.

Cuando se trata de FinTech, se puede decir que estamos rompiendo fronteras (sí) con la introducción del autoservicio de conversión de divisas online. Empresas como Wise y Revolut han hecho un gran trabajo facilitando las conversiones de divisas online, pero solo se centran en las conversiones "al contado" (o instantáneas). Con Bound, nos centramos en los flujos de caja futuros, en los que ellos no se fijan tanto.

¿Qué finalidad debe tener la seguridad en FinTech?

La seguridad desempeña un papel fundamental en nuestro sector. Al fin y al cabo, tratamos con transacciones financieras que pueden valer cientos de miles de libras/dólares/euros, si no más. En Bound, nuestro volumen de transacciones supera ya los cientos de millones de dólares. Si un riesgo para la seguridad se cuela en nuestro producto -o en cualquier producto FinTech-, es seguro que la c*'t llega al ventilador. Y no cualquier cosa. Dejando a un lado las consecuencias legales, los piratas informáticos podrían robar los ahorros de otras personas, destruyendo empresas y vidas.

Facilitar el cumplimiento normativo de las FinTech

Dentro de FinTech, podemos imaginar que las instancias reguladoras o los organismos reguladores gubernamentales están sometiendo a un mayor escrutinio a las empresas que manejan datos de clientes. Cómo ayuda Aikido a hacer frente a esta situación?

La presión para cumplir la normativa es enorme. En el Reino Unido, navegamos constantemente por normativas estrictas como el GDPR y las directrices de la FCA sobre protección de datos y seguridad. Los reguladores esperan que seamos proactivos en la gestión de las vulnerabilidades, sobre todo porque manejamos datos sensibles de los clientes.

Aikido nos ha cambiado las reglas del juego. La plataforma 9 en 1 nos permite cubrir exhaustivamente todos los aspectos de la seguridad de nuestro software. Este enfoque facilita el cumplimiento de los requisitos normativos sin tener que combinar varias herramientas. Una gran ventaja ha sido la reducción de falsos positivos. En un entorno normativo, no podemos permitirnos el lujo de perder el tiempo persiguiendo vulnerabilidades inexistentes. La precisión de Aikido significa que cuando llega una alerta, podemos confiar en que se trata de algo que requiere una acción, lo que es muy valioso durante las auditorías o revisiones de cumplimiento. Además, la claridad de la interfaz de usuario permite a nuestro equipo actuar con rapidez, evitando la complejidad que suele acompañar a las herramientas de seguridad. Garantiza que nos adelantamos a cualquier posible problema de cumplimiento sin interrumpir nuestro flujo de desarrollo".

En un panorama normativo, no podemos permitirnos el lujo de perder el tiempo persiguiendo vulnerabilidades inexistentes.

¿Qué futuras normativas cree que deberían tener en cuenta otros directores de ingeniería y vicepresidentes?

Es probable que la futura normativa británica sobre tecnología financiera se centre en ampliar la banca abierta y mejorar la supervisión de los activos digitales. Con innovaciones como los pagos periódicos variables y un sandbox regulatorio digital, los equipos de ingeniería deben prepararse para normas de seguridad más estrictas y nuevas integraciones de API.

Introducción al Aikido

Antes del Aikido, ¿qué le quitaba el sueño en términos de seguridad? ¿Cómo abordabas la seguridad?

Sinceramente, era un lío intentar gestionar diferentes herramientas para cada tipo de comprobación de seguridad. Nos preocupaba constantemente que se nos escapara algo, y el número de falsos positivos lo hacía aún peor. Aikido lo reunió todo en un solo lugar, así que ahora detectamos los problemas reales sin todo el ruido, y nos ha facilitado mucho la vida.

Aikido reunió todo en un solo lugar, por lo que ahora estamos captando problemas reales sin todo el ruido

Hemos visto que Bound es uno de nuestros pocos clientes que ha resuelto prácticamente todos los problemas abiertos de los que ha informado. ¿Te ha ayudado Aikido con esto?

Por supuesto. Nos enorgullecemos de tomarnos la seguridad muy en serio (como la mayoría de las empresas, esperemos). Para nosotros, Aikido ha tenido un tremendo impacto en la forma en que abordamos la gestión y corrección de vulnerabilidades. Consideramos que es nuestra única fuente de verdad, y las funciones de deduplicación y prefiltrado de falsos positivos de la plataforma realmente nos ayudan a ver el bosque a través de los árboles. Una vez que aparece una vulnerabilidad real, hacemos que aparezca un desencadenante en nuestro gestor de incidencias (Linear) para asegurarnos de que la solucionamos lo antes posible. El proceso es bastante limpio y está bien integrado en nuestro ciclo de desarrollo, y confiamos mucho en él.

¿Cuál es su experiencia de colaboración con el equipo de Aikido?

El equipo ha sido muy receptivo y nos ha apoyado desde el primer día. Podemos compartir comentarios en tiempo real, hacer peticiones y recibir actualizaciones relevantes del producto a través de nuestro canal conjunto de Slack. En algún momento, pregunté al equipo de Aikido si sabían en qué se habían metido. ¡No dejamos dormir a su equipo de producto en cuanto nos dimos cuenta de que podíamos preguntar todas las cosas!

¿Cuál es su característica favorita?

Dejando a un lado la reducción de falsos positivos, el botón "Importar desde GitHub" está muy bien. Me gusta mucho que todos los repos automáticamente se asignan a un equipo. Podemos mantener GitHub como la fuente de la verdad, mientras que Aikido sin problemas asigna todo en consecuencia.

¿Algún comentario final?

Tuvimos nuestra primera prueba de penetración y auditoría de seguridad de Amazon AWS a principios de este año, que fue muy bien. No obtuvimos nada por encima de un medio (y la mayoría de los medios con los que no estaba del todo de acuerdo de todos modos...). Probablemente habrían encontrado mucho más de interés si no hubiéramos tenido a Aikido gritándonos constantemente, ¡así que gracias por eso!

Descargar el caso en PDF

Otras grandes historias contadas por nuestros clientes

Otros
Seguridad preparada para el comercio minorista con información en tiempo real y menos falsos positivos.
Ver artículo
Coniq
Otros
Ejecución de una hoja de ruta de seguridad a largo plazo
Ver artículo
SecWise
Desarrollo de software
De un mosaico de herramientas de código abierto a una postura de seguridad centralizada.
Ver artículo
Kunlabora
Agencias
Desde la velocidad de las startups hasta la escala empresarial, Gravity une UX y AppSec con Aikido.
Ver artículo
Gravedad
Otros
Asegurar fácilmente el crecimiento de InviteDesk mediante adquisiciones.
Ver artículo
InviteDesk
Otros
Desde la preparación de la auditoría SOC 2 hasta el cumplimiento continuo.
Ver artículo
OutboundSync
Agencias
Protección de más de 100 repositorios de clientes y proyectos.
Ver artículo
CORE
B2CTech
El pequeño equipo de Runna asegura el código en rápido movimiento con la ayuda de un modelo de autoservicio.
Ver artículo
Runna
Agencias
Racionalizar la seguridad en más de 1.500 repositorios sin arruinarse.
Ver artículo
Cinco de noviembre
HRTech
Replaced noisy tools with <1 min fixes and dev-first workflows.
Ver artículo
Simployer
FinTech
La solución anterior de CertifID les permitía perseguir demasiados falsos positivos.
Ver artículo
CertifID
PE y empresas del grupo
SCA y más allá para más de 6.000 desarrolladores.
Ver artículo
Visma
FinTech
Minimizar los falsos positivos, manteniendo GitHub como única fuente de verdad.
Ver artículo
Encuadernado
HealthTech
¿El tiempo más rápido de Birdie para resolver? 30 segundos.
Ver artículo
Birdie
Desarrollo de software
Marvelution entreteje la seguridad en su plan de negocio de una sola palabra: "diversión".
Ver artículo
Marvelution
HealthTech
Aumentar la eficacia, desde una interfaz intuitiva hasta pentests detrás del muro de acceso.
Ver artículo
Mediquest