Introducción a Bound y seguridad en FinTech
¡Hola, Dan! ¿Puedes contarnos un poco más sobre ti y Bound?
Hola, soy Dan Kindler y soy el CTO y cofundador de Bound. Nos centramos en hacer que la conversión de divisas y la cobertura sean baratas, justas y, sobre todo, fáciles. Nuestras plataformas ayudan a cientos de empresas a protegerse del riesgo cambiario en todo el mundo. Actualmente, aproximadamente la mitad de nuestro equipo está compuesto por ingenieros.
¿Cómo se posiciona Bound en el sector FinTech y en comparación con la competencia?
Antes de adentrarnos en el propio FinTech, permítame explicar primero cómo nos posicionamos frente a las instituciones financieras tradicionales. Los bancos o brókeres tradicionales suelen atender a clientes con grandes equipos de tesorería que valoran las transacciones por teléfono y correo electrónico. Sus plataformas de intercambio en línea suelen ofrecer únicamente transacciones al contado. Dado que nuestro objetivo es hacer que la cobertura sea fácil y sin complicaciones, ofrecemos herramientas de cobertura al contado y de divisas para gestionar y proteger sus flujos de caja internacionales. En diciembre de 2022, recibimos nuestra autorización de la FCA, una autoridad reguladora financiera del Reino Unido, lo que nos permite ofrecer productos de cobertura regulados.
En el ámbito FinTech, podemos decir que estamos rompiendo Bound-aries (sí) al introducir conversiones de divisas de autoservicio en línea. Empresas como Wise y Revolut han hecho un trabajo tremendo al facilitar las conversiones de divisas en línea, pero solo se centran en conversiones "spot" (o instantáneas). Con Bound, nos centramos en los flujos de caja futuros, en los que ellos no se centran tanto.
¿Qué propósito debería tener la seguridad en FinTech?
La seguridad desempeña un papel fundamental en nuestra industria. Al fin y al cabo, estamos tratando con transacciones financieras que podrían valer cientos de miles de libras/dólares/euros, o incluso más. En Bound, nuestro volumen de transacciones ya superó los cientos de millones de dólares. Si un riesgo de seguridad se cuela en nuestro producto —o en cualquier producto FinTech, para el caso—, es seguro decir que la situación se descontrola. Y no de cualquier manera. Dejando a un lado las consecuencias legales, los hackers podrían robar los ahorros de otras personas, destruyendo negocios y vidas.
Facilitando el cumplimiento normativo de FinTech
En el sector FinTech, podemos imaginar que las instancias reguladoras o los organismos reguladores gubernamentales están ejerciendo un mayor escrutinio sobre las empresas que manejan datos de clientes. ¿Cómo te ayuda Aikido a lidiar con esto?
La presión para mantener el cumplimiento es enorme. En el Reino Unido, navegamos constantemente por regulaciones estrictas como el GDPR y las directrices de la FCA sobre protección y seguridad de datos. Los reguladores esperan que seamos proactivos en la gestión de vulnerabilidades, especialmente porque manejamos datos sensibles de clientes.
Aikido ha sido un punto de inflexión para nosotros. La plataforma 9 en 1 nos permite cubrir de forma integral todos los aspectos de la seguridad de nuestro software. Este enfoque facilita el cumplimiento de los requisitos normativos sin tener que unir múltiples herramientas. Una gran ventaja ha sido la reducción de falsos positivos. En un entorno regulatorio, no podemos permitirnos el lujo de perder el tiempo persiguiendo vulnerabilidades inexistentes. La precisión de Aikido significa que cuando llega una alerta, podemos confiar en que es algo que requiere acción, lo cual es inestimable durante las auditorías o revisiones de cumplimiento. Además, la clara UX permite a nuestro equipo actuar rápidamente, evitando la complejidad que suelen tener las herramientas de seguridad. Esto asegura que nos mantengamos a la vanguardia de cualquier posible problema de cumplimiento sin interrumpir nuestro flujo de desarrollo.
En un entorno regulatorio, no podemos permitirnos el lujo de perder el tiempo persiguiendo vulnerabilidades inexistentes.
¿Qué futura regulación crees que se avecina para que otros directores de ingeniería y vicepresidentes deban vigilar?
Las futuras regulaciones FinTech del Reino Unido probablemente se centrarán en expandir la Banca Abierta (Open Banking) y mejorar la supervisión de los activos digitales. Con innovaciones como los Pagos Recurrentes Variables y un sandbox regulatorio digital, los equipos de ingeniería deberían prepararse para estándares de seguridad más estrictos y nuevas integraciones de API.
Presentamos Aikido
Antes de Aikido, ¿qué le quitaba el sueño en términos de seguridad? ¿Cómo abordaba la seguridad?
Sinceramente, era un caos intentar gestionar diferentes herramientas para cada tipo de comprobación de seguridad. Nos preocupaba constantemente que algo se pasara por alto, y el número de falsos positivos lo empeoraba aún más. Aikido lo unificó todo en un solo lugar, así que ahora detectamos problemas reales sin todo el ruido, y nos ha facilitado mucho la vida.
Aikido unificó todo en un solo lugar, así que ahora estamos detectando problemas reales sin todo el ruido
Vimos que Bound es uno de nuestros pocos clientes que prácticamente ha resuelto todos los problemas abiertos reportados. ¿Aikido les ha ayudado con esto?
¡Por supuesto! Nos enorgullecemos de tomarnos muy en serio la seguridad (como, esperamos, hacen la mayoría de las empresas). Para nosotros, el aikido ha tenido un impacto tremendo en nuestra forma de abordar gestión de vulnerabilidades la corrección. Lo consideramos nuestra única fuente de verdad, y las funciones de deduplicación y prefiltrado de falsos positivos de la plataforma nos ayudan realmente a ver el bosque a través de los árboles. Cuando aparece una vulnerabilidad real, se activa una alarma en nuestro gestor de incidencias (Linear) para garantizar que la solucionemos lo antes posible. El proceso es muy sencillo y está bien integrado en nuestro ciclo de desarrollo, por lo que confiamos mucho en él.
¿Cuál es tu experiencia trabajando con el equipo de Aikido?
El equipo ha sido extremadamente receptivo y solidario desde el primer día. Podemos compartir comentarios en tiempo real, hacer solicitudes y recibir actualizaciones de productos relevantes a través de nuestro canal conjunto de Slack. En un momento dado, le pregunté al equipo de Aikido si sabían en lo que se habían metido. ¡No dejamos dormir a su equipo de producto una vez que nos dimos cuenta de que podíamos preguntar de todo!
¿Cuál es tu característica favorita?
Dejando a un lado la reducción de falsos positivos, el botón 'Importar desde GitHub' es muy bueno. Me gusta mucho que todos los repositorios se asignen automáticamente a un equipo. Podemos mantener GitHub como la fuente de verdad, mientras que Aikido mapea todo sin problemas de forma acorde.
¿Algún comentario final?
Realizamos nuestra primera prueba de penetración y auditoría de seguridad de Amazon AWS a principios de este año, y todo salió muy bien. No obtuvimos nada por encima de un nivel medio (y con la mayoría de los niveles medios no estaba del todo de acuerdo, de todos modos...). Probablemente habrían encontrado mucho más de interés si Aikido no nos hubiera estado alertando constantemente, ¡así que gracias por eso!
Encabezado 1
Encabezado 2
Encabezado 3
Encabezado 4
Encabezado 5
Encabezado 6
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Cita en bloque
Lista ordenada
- Elemento 1
- Elemento 2
- Elemento 3
Lista no ordenada
- Elemento A
- Elemento B
- Elemento C
Texto en negrita
Énfasis
Superíndice
Subíndice
.avif)
