¡Hola Ega! ¿Cuál es tu rol y qué hace que Faspay destaque en FinTech? 

¡Hola, equipo Aikido! Como Gerente de Desarrollo en Faspay, dirijo a nuestros equipos de ingeniería para construir sistemas escalables y fiables que apoyen el crecimiento de la empresa y sus necesidades de negocio en evolución.

Lo que distingue a Faspay es nuestra fuerte presencia tanto en el sector digital como en el tradicional. Facilitamos a los comerciantes (especialmente a aquellos que están haciendo la transición desde métodos de pago heredados) la adopción de sistemas de pago digitales a través de soluciones estables, seguras y fáciles de integrar. Faspay es una de las pasarelas de pago más antiguas y consolidadas de Indonesia. Nuestras soluciones son seguras, estables y fácilmente integrables, construidas sobre años de experiencia probada y confianza en el mercado.

¿Qué propósito debería tener la seguridad en FinTech?

Aunque la seguridad específica de FinTech debería apoyar la innovación y la inclusión financiera digital, yo diría que esto también es una necesidad:

• Proteger los datos del usuario: Las plataformas FinTech gestionan información personal y financiera sensible. Una seguridad robusta garantiza que estos datos no se filtren, roben o utilicen indebidamente.
• Proteger las transacciones: Cada transacción debe estar a salvo de fraudes, manipulaciones o accesos no autorizados para mantener la integridad del sistema.
• Generar confianza: Los usuarios solo utilizarán servicios financieros digitales si se sienten seguros de que su dinero e información están protegidos. La confianza conduce a la adopción y al crecimiento.
• Garantizar el cumplimiento: El sector FinTech de Indonesia está regulado por autoridades como OJK y Bank Indonesia. Una buena seguridad ayuda a las empresas a cumplir con las leyes de protección de datos y ciberseguridad, evitando sanciones.
• Prevenir pérdidas: Los ciberataques pueden provocar el robo de fondos y daños a la reputación. La seguridad actúa como una línea de defensa para reducir dichos riesgos.
• Mantener la disponibilidad del servicio: El tiempo de inactividad o los fallos del sistema debido a ataques pueden detener las operaciones comerciales. La seguridad garantiza que la plataforma siga siendo fiable y siempre accesible.

Cómo ayuda Aikido con las crecientes exigencias regulatorias y de protección de datos?

Aikido desempeña un papel fundamental a la hora de ayudarnos a proteger los datos de los clientes. Identifica los riesgos en una fase temprana del ciclo de desarrollo, cuando son más fáciles (y económicos) de solucionar. Aikido analiza miles de bibliotecas de código abierto y nos avisa al instante cuando una dependencia contiene una vulnerabilidad conocida que podría poner en riesgo los datos de los usuarios. También supervisa continuamente el código implementado y señala los cambios cuando componentes que antes eran seguros se vuelven vulnerables debido a la evolución inteligencia de amenazas.

¿Hubo algún momento en particular que desencadenara un enfoque más estratégico en la seguridad?

En los últimos 3-4 años, la industria financiera de Indonesia se convirtió en objetivo de hackers y exploits de diversas maneras. Desde entonces, hemos adoptado un enfoque mucho más estratégico y proactivo en seguridad, invirtiendo en mejores procesos, aumentando la concienciación interna y adoptando herramientas como Aikido para ayudarnos a identificar vulnerabilidades tempranamente y prevenir que ocurran incidentes.

¿Cuáles eran sus principales preocupaciones de seguridad antes de adoptar Aikido? ¿Había riesgos o brechas específicos que buscaban abordar?

Dado el aumento del riesgo en el mercado, nuestra prioridad inmediata fue abordar las brechas de seguridad a nivel de infraestructura. Nuestras principales preocupaciones incluían sistemas sin parches, vulnerabilidades conocidas y el endurecimiento general del entorno. Nos centramos en aplicar regularmente parches de software, remediar problemas conocidos y realizar pruebas de penetración y evaluaciones de vulnerabilidad rutinarias para garantizar que nuestra infraestructura fuera segura y resistente a futuros ataques.

¿Qué desafíos experimentabas para mantener la seguridad y el cumplimiento a medida que tu plataforma escalaba?

A medida que escalábamos, surgieron dos desafíos clave:

1. Amenazas impredecibles: No siempre podíamos anticipar nuevos tipos de ataques o cuán sofisticados serían.
   
2. Requisitos de cumplimiento en evolución: Las expectativas regulatorias cambian rápidamente, y nuestros sistemas necesitaban seguir el ritmo sin introducir cuellos de botella en el desarrollo.

El mayor desafío de equilibrio fue mantener una seguridad robusta sin ralentizar nuestra velocidad de desarrollo. 

“La seguridad se ha convertido en parte de nuestra cultura de desarrollo, no en una ocurrencia tardía.”

¿Utilizaban otras herramientas o servicios de seguridad antes de implementar Aikido?

Habíamos probado varias herramientas antes de Aikido, entre ellas Checkmarx Snyk. Todas tenían inconvenientes. Algunas eran lentas, otras carecían de información útil y otras tenían un precio elevado que no se correspondía con su valor. Eso nos llevó a buscar algo más eficiente y fácil de usar para los desarrolladores, lo que finalmente nos llevó a Aikido.

«Probamos Checkmarx Snyk, pero Aikido era más rápido, más práctico y más fácil de usar».

¿Qué destacó de Aikido durante la evaluación?

Lo que destacó de Aikido durante nuestra evaluación fue su fuerte enfoque en la experiencia del desarrollador. La función AutoFix fue una gran ventaja, permitiendo a nuestro equipo resolver rápidamente los problemas sin esfuerzo manual. Aikido también proporciona informes claros y accionables, lo que facilita la priorización y el abordaje de las vulnerabilidades. Además, su integración fluida con herramientas que ya utilizamos (como Jenkins, Slack y varios editores de código) hizo que la adopción fuera sencilla. Aparte de eso, la velocidad de escaneo fue notablemente rápida, lo que ayudó a mantener nuestra velocidad de desarrollo sin comprometer la seguridad.

“Algunos problemas se solucionan automáticamente, sin necesidad de intervención humana. Nosotros solo revisamos y fusionamos el código.”

¿Cómo ha sido tu experiencia trabajando con el equipo de Aikido?

Trabajar con el equipo de Aikido ha sido una experiencia excepcional. No solo son receptivos, sino que también son proactivos, brindan apoyo y están verdaderamente comprometidos con nuestro éxito. Cada interacción refleja su profunda experiencia en seguridad y un compromiso genuino para ayudarnos a crecer con confianza. Es raro encontrar un socio tan fiable y alineado con nuestros valores.

¿Qué tan fácil o difícil fue integrar Aikido en sus flujos de trabajo y procesos de desarrollo existentes?

Muy fácil. La documentación es clara y el proceso de configuración fue fluido, incluso para desarrolladores nuevos en la herramienta. Aikido se integró directamente en nuestras pipelines sin interrumpir nuestros procesos. Eso era importante. Necesitábamos una mejor seguridad, pero no a costa de la productividad.

¿Cuál es tu característica o capacidad favorita?

En mi opinión, hay tres. Sin duda, la función de escaneo de API. Es inestimable, ya que la mayoría de nuestros servicios se basan en API. Nos ayuda a garantizar que cualquier nueva API que lancemos sea segura desde el principio. En segundo lugar, la capacidad AutoFix es el verdadero ahorro de tiempo. Nos ha ahorrado una cantidad considerable de tiempo al resolver automáticamente muchas vulnerabilidades comunes, lo que permite a nuestro equipo centrarse más en la entrega de código sin preocupaciones. En los casos más rápidos, las correcciones se realizan al instante; solo revisamos el cambio y lo fusionamos.

“Con el plugin del IDE, podemos detectar código defectuoso incluso antes de que se suba a GitHub.”

Y el plugin del IDE nos ayuda a detectar código defectuoso incluso antes de que se suba a GitHub. Ya no tenemos que revisar manualmente cada línea, y eso ha tenido un gran impacto en la eficiencia de los desarrolladores.

‍

¿Cómo ha cambiado el Aikido la forma en que Faspay aborda la seguridad y gestión de vulnerabilidades?

Aikido ha mejorado significativamente nuestro enfoque de la seguridad y gestión de vulnerabilidades Faspay. Ahora somos más conscientes de la importancia de proteger nuestro código base, especialmente en lo que se refiere a identificar y eliminar datos confidenciales codificados. También nos ha hecho más proactivos a la hora de mantener nuestras dependencias y garantizar que estén actualizadas y sean seguras. Gracias a Aikido, la seguridad se ha convertido en parte de nuestra cultura de desarrollo, y ya no es algo secundario.

¿Ha observado resultados medibles?

Aikido nos ayudó a descubrir muchas vulnerabilidades en nuestra base de código heredada que habían pasado desapercibidas. Solo eso ya justificó el cambio. Todavía no tenemos métricas exactas, pero definitivamente hemos ahorrado tiempo.

¿Ha observado mejoras en la velocidad o ahorro de costes?

Todavía no en términos de velocidad de desarrollo, todavía estamos centrados en limpiar código heredado. Y aunque no hemos cuantificado los ahorros de costes, ya podemos decir que Aikido está reduciendo la sobrecarga de gestionar la seguridad manualmente.

Si tuvieras que describir el impacto de Aikido en una sola frase, ¿cuál sería?

Aikido ha integrado la seguridad de forma fluida en nuestro proceso de desarrollo, ayudándonos a detectar vulnerabilidades tempranamente al tiempo que capacita a nuestro equipo para codificar de forma más segura y eficiente.