¡Hola Ega! ¿Cuál es tu papel y qué hace que Faspay destaque en FinTech?
¡Hola equipo Aikido! Como Responsable de Desarrollo en Faspay, dirijo nuestros equipos de ingeniería para crear sistemas escalables y fiables que respalden el crecimiento de la empresa y la evolución de sus necesidades empresariales.
Lo que diferencia a Faspay es nuestra fuerte presencia tanto en el sector digital como en el tradicional. Facilitamos a los comerciantes (especialmente a los que están en transición desde métodos de pago tradicionales) la adopción de sistemas de pago digitales mediante soluciones estables, seguras y fáciles de integrar. Faspay es una de las pasarelas de pago más antiguas y consolidadas de Indonesia. Nuestras soluciones son seguras, estables y fáciles de integrar, y se basan en años de experiencia demostrada y en la confianza del mercado.
¿Qué finalidad debe tener la seguridad en FinTech?
Aunque la seguridad específica de FinTech debe apoyar la innovación y la inclusión financiera digital, yo diría que también es una obligación:
- Salvaguardar los datos de los usuarios: Las plataformas FinTech gestionan información personal y financiera sensible. Una seguridad sólida garantiza que estos datos no se filtren, roben o utilicen indebidamente.
- Proteger las transacciones: Cada transacción debe estar a salvo de fraudes, manipulaciones o accesos no autorizados para mantener la integridad del sistema.
- Generar confianza: Los usuarios sólo utilizarán los servicios financieros digitales si confían en que su dinero y su información están seguros. La confianza conduce a la adopción y el crecimiento.
- Garantizar el cumplimiento: El sector FinTech de Indonesia está regulado por autoridades como OJK y Bank Indonesia. Una buena seguridad ayuda a las empresas a cumplir las leyes de protección de datos y ciberseguridad, evitando sanciones.
- Prevenir pérdidas: Los ciberataques pueden provocar el robo de fondos y dañar la reputación. La seguridad actúa como línea de defensa para reducir esos riesgos.
- Mantener la disponibilidad del servicio: Los tiempos de inactividad o los fallos del sistema debidos a ataques pueden detener las operaciones empresariales. La seguridad garantiza que la plataforma siga siendo fiable y siempre accesible.
¿Cómo ayuda Aikido con las crecientes exigencias normativas y de protección de datos?
Aikido desempeña un papel fundamental para ayudarnos a proteger los datos de los clientes. Identifica los riesgos en una fase temprana del ciclo de desarrollo, cuando es más fácil (y barato) solucionarlos. Aikido analiza miles de bibliotecas de código abierto y nos alerta al instante cuando una dependencia contiene una vulnerabilidad conocida que podría poner en peligro los datos de los usuarios. También supervisa continuamente el código desplegado y señala los cambios cuando componentes anteriormente seguros se vuelven vulnerables debido a la evolución de la información sobre amenazas.
¿Hubo algún momento en particular que desencadenara un enfoque más estratégico de la seguridad?
En los últimos tres o cuatro años, el sector financiero indonesio se ha convertido en objetivo de hackers y exploits de diversas formas. Desde entonces, hemos adoptado un enfoque mucho más estratégico y proactivo en materia de seguridad, invirtiendo en mejores procesos, aumentando la concienciación interna y adoptando herramientas como Aikido para ayudarnos a identificar las vulnerabilidades en una fase temprana y evitar que se produzcan incidentes.
Antes de adoptar Aikido, ¿cuáles eran sus principales preocupaciones en materia de seguridad? ¿Existían riesgos o lagunas específicos que deseaba abordar?
Dado el aumento del riesgo en el mercado, nuestra prioridad inmediata era abordar las lagunas de seguridad a nivel de infraestructura. Nuestras principales preocupaciones eran los sistemas sin parches, las vulnerabilidades conocidas y el refuerzo general del entorno. Nos centramos en la aplicación periódica de parches de software, la corrección de problemas conocidos y la realización de pruebas de penetración y evaluaciones de vulnerabilidad rutinarias para garantizar que nuestra infraestructura fuera segura y resistente frente a futuros ataques.
¿Qué dificultades encontraron para mantener la seguridad y la conformidad a medida que se ampliaba la plataforma?
A medida que nos ampliábamos, surgieron dos retos fundamentales:
- Amenazas imprevisibles: No siempre podíamos prever los nuevos tipos de ataques ni lo sofisticados que serían.
- Evolución de los requisitos de cumplimiento: Las expectativas normativas cambian con rapidez, y nuestros sistemas tenían que seguir el ritmo sin introducir cuellos de botella.
El mayor equilibrio era mantener una seguridad sólida sin ralentizar nuestra velocidad de desarrollo.
"La seguridad se ha convertido en parte de nuestra cultura de desarrollo, no en una idea de última hora".
¿Utilizaba otras herramientas o servicios de seguridad antes de implantar Aikido?
Antes de Aikido habíamos probado varias herramientas, como Checkmarx y Snyk. Todas tenían inconvenientes. Algunas eran lentas, otras carecían de información práctica y algunas tenían un precio elevado que no reflejaba su valor. Eso nos llevó a buscar algo más fácil de usar y eficiente para los desarrolladores, lo que finalmente nos llevó a Aikido.
"Probamos Checkmarx y Snyk, pero Aikido era más rápido, más procesable y más fácil de trabajar".
¿Qué destacó del Aikido durante la evaluación?
Lo que más destacó de Aikido durante nuestra evaluación fue su fuerte enfoque en la experiencia del desarrollador. La función AutoFix fue una gran victoria, permitiendo a nuestro equipo resolver rápidamente los problemas sin esfuerzo manual. Aikido también proporciona informes claros y procesables, por lo que es más fácil priorizar y abordar las vulnerabilidades. Además, su perfecta integración con las herramientas que ya utilizamos (como Jenkins, Slack, y varios editores de código) hizo la adopción sencilla. Además de eso, la velocidad de escaneo fue notablemente rápida, lo que ayudó a mantener nuestra velocidad de desarrollo sin comprometer la seguridad.
"Algunos problemas se solucionan automáticamente, sin necesidad de intervención humana. Solo revisamos y fusionamos el código".
¿Cómo ha sido su experiencia trabajando con el equipo de Aikido?
Trabajar con el equipo de Aikido ha sido una experiencia extraordinaria. No sólo responden, sino que son proactivos, nos apoyan y están realmente implicados en nuestro éxito. Cada interacción refleja su profunda experiencia en seguridad y un compromiso genuino para ayudarnos a crecer con confianza. Es raro encontrar un socio que se sienta tan fiable y alineado con nuestros valores.
¿Fue fácil o difícil integrar Aikido en los flujos de trabajo y procesos de desarrollo existentes?
Muy fácil. La documentación es clara y el proceso de configuración fue sencillo, incluso para los desarrolladores que no conocían la herramienta. Aikido se integró perfectamente en nuestros procesos sin interrumpirlos. Eso era importante. Necesitábamos más seguridad, pero no a costa de la productividad.
¿Cuál es su función o capacidad favorita?
En mi opinión, hay tres. Sin duda, la función de exploración de API. Tiene un valor incalculable, ya que la mayoría de nuestros servicios se basan en API. Nos ayuda a garantizar que cualquier API nueva que lancemos sea segura desde el principio. En segundo lugar, la función AutoFix nos ahorra mucho tiempo. Nos ha ahorrado una cantidad significativa de tiempo al resolver automáticamente muchas vulnerabilidades comunes, lo que permite a nuestro equipo centrarse más en enviar código sin preocupaciones. En los casos más rápidos, las correcciones se realizan al instante, sólo tenemos que revisar el cambio y fusionarlo.
"Con el complemento IDE, podemos detectar código defectuoso incluso antes de que se publique en GitHub".
Y el complemento IDE nos ayuda a detectar código defectuoso incluso antes de que se publique en GitHub. Ya no tenemos que comprobar manualmente cada línea, y eso ha tenido un gran impacto en la eficiencia de los desarrolladores.
¿Cómo ha cambiado Aikido la forma en que Faspay aborda la seguridad y la gestión de vulnerabilidades?
Aikido ha mejorado significativamente nuestro enfoque de la seguridad y la gestión de vulnerabilidades en Faspay. Somos más conscientes de la seguridad de nuestro código base, especialmente cuando se trata de identificar y eliminar datos sensibles codificados. También nos ha hecho más proactivos a la hora de mantener nuestras dependencias y asegurarnos de que están actualizadas y son seguras. Gracias a Aikido, la seguridad se ha convertido en parte de nuestra cultura de desarrollo, no en una ocurrencia tardía.
¿Ha visto algún resultado mensurable?
Aikido nos ayudó a descubrir muchas vulnerabilidades en nuestra base de código heredada que habían pasado desapercibidas. Sólo por eso mereció la pena el cambio. Todavía no tenemos una medición exacta, pero sin duda hemos ahorrado tiempo.
¿Ha observado mejoras en la velocidad o ahorro de costes?
Todavía no en términos de velocidad de desarrollo, seguimos centrados en limpiar el código heredado. Y aunque no hemos cuantificado el ahorro de costes, ya podemos decir que Aikido está reduciendo la sobrecarga de gestionar la seguridad manualmente.
Si tuviera que describir el impacto del Aikido en una sola frase, ¿cuál sería?
Aikido ha integrado perfectamente la seguridad en nuestro proceso de desarrollo, ayudándonos a detectar las vulnerabilidades en una fase temprana y permitiendo a nuestro equipo codificar de forma más segura y eficaz.
.webp){kind=logo}
.png)