Um relatório da Juniper Research mostra que o uso do reconhecimento facial, seja baseado em hardware ou software, está ganhando terreno na autenticação de pagamentos baseada em biometria.
De acordo com o relatório, a autenticação biométrica será usada para garantir US$ 2,5 trilhões em transações de pagamento móvel até 2024, um aumento de quase 1.000% em relação aos US$ 228 bilhões que deverão ser transacionados através do método até o final de 2019.
Biometria de hardware genérica que gera consciência, não uso
A nova pesquisa, “Mobile Payment Authentication & Data Security: Encryption, Tokenisation, Biometrics 2019-2024“, mostra que a disponibilidade de hardware biométrico dedicado não será um obstáculo ao uso biométrico, uma vez que estará presente em cerca de 90% dos smartphones até 2024. No entanto, acreditam que menos de 30% desses telefones sejam usados para autenticar pagamentos sem contato, devido à presença de cartões sem contato.
O relatório também mostra que o uso do reconhecimento facial, seja baseado em hardware ou software, está ganhando terreno na autenticação de pagamento baseada em impressões digitais. A Juniper Research acredita que, devido à onipresença das câmeras de smartphones e à capacidade de utilizar plataformas de biometria como serviço com base em software, elas atingirão um nível de uso semelhante ao da biometria de hardware dedicada nos próximos 5 anos.
Padrões para levar a biometria para navegadores móveis
O relatório observa que existem vários padrões e protocolos de pagamento entrando em vigor no futuro que aumentarão o uso da biometria móvel. Mais particularmente, o requisito do 3D Secure 2.0 para autenticação de dois fatores levará os comerciantes a adotar biometria para tornar a experiência de pagamento mais suave (sem atrito) em uma variedade de plataformas.
“A biometria tem sido tradicionalmente usada para pagamentos pessoais sem contato”, observou o autor da pesquisa James Moar. “No entanto, com um aumento na necessidade de autenticação sem atrito em todos os canais de mCommerce, prevemos que mais de 60% dos pagamentos biometricamente verificados serão feitos remotamente até 2024”.
No entanto, o relatório mostra que isso se limitará principalmente a dispositivos Android, pois o iOS atualmente não suporta autenticação WebAuthn.
A Samsung, Visa e a Fiserv / First Data se uniram para tornar o mPOS uma coisa do passado, substituindo-o por um sistema baseado em software que permite que os comerciantes aceitem pagamentos sem contato de qualquer quantia em seus aparelhos, sem a necessidade de hardware adicional.
O sistema SoftPOS usa a funcionalidade NFC no smartphone ou tablet de um comerciante para permitir que eles aceitem pagamentos de cartões sem contato, além de aparelhos e wearables habilitados para NFC.
A Visa contribui com a tecnologia sem contato sem contato, enquanto a Fiserv oferece liquidação de transações por meio de um aplicativo móvel e a Samsung fornece protocolos de segurança em hardware e software, bem como em dispositivos móveis.
O SoftPOS está sendo exibido na feira de tecnologia da IFA em Berlim, antes do início de um piloto na Polônia no final deste ano, para depois um lançamento mais amplo da Emea e Apac.
“Estamos adotando uma nova era em pagamentos – a era da mobilidade. À medida que os pagamentos sem contato crescem em popularidade, é importante que os comerciantes possam habilitá-los em dispositivos móveis. O SoftPOS foi projetado para atender às necessidades atuais e futuras de consumidores e empreendedores e mudará a maneira como as pessoas fazem pagamentos diários, facilitando o processamento conveniente, rápido e seguro de transações sem contato ”, disse John Gibbons, vice-presidente executivo e chefe de EMEA, Fiserv.
“Esse projeto só poderia ser lançado em um país onde os pagamentos sem contato são muito populares, e a Polônia está entre os líderes globais nesse método de pagamento. Graças ao SoftPOS, um número maior de pontos de venda domésticos poderá aceitar pagamentos sem contato, fornecendo aos consumidores pagamentos sem contato rápidos, convenientes e seguros com um cartão, smartphone ou relógio. Com essa tecnologia, podemos expandir rapidamente o acesso de cartões e pagamentos digitais na Polônia, mesmo para o microempresário que ainda está em muitos lugares aceitando apenas dinheiro hoje em dia ”, disse Katarzyna Zubrzycka, chefe de vendas e aquisições de comerciantes da Europa Central e Oriental. , Visa.
“Com o SoftPOS, abordamos nossa visão de nos tornarmos inovadores de novas experiências móveis, por meio de tecnologia e produtos avançados. Hoje, permitimos o acesso a uma nova solução que torna a vida dos empreendedores muito mais fácil e mais conveniente. Graças à Samsung Knox Security Platform, os clientes podem ter certeza de que seus pagamentos serão seguros ”, disse HS Myung, vice-presidente da equipe Global Mobile B2B B2B, chefe de UE / CEI da América do Norte / América Latina, vendas de canais globais da Samsung Electronics.
Matéria de Felipe Matos, publicada no Estadão de 15/07/19.
Na última terça-feira (10), o presidente da república sancionou a lei que cria a Autoridade Nacional de Proteção de Dados (ANPD), um órgão voltado para proteger as informações pessoais tratadas em território brasileiro, que vinha sendo bastante aguardado por startups e empresas do setor de tecnologia – em continuidade à implementação da Lei Geral de Proteção de Dados (LGPD). Nesse artigo, que contou com a contribuição da advogada especializada no tema Raíssa Moura, trazemos uma análise dos principais pontos que afetam startups.
A criação do órgão havia sido prevista inicialmente LGPD, mas foi vetada pelo presidente, que sinalizou que o criaria futuramente através de um decreto. Posteriormente, a presidência propôs uma Medida Provisória (869/2018) com alguns pontos de regulamentação da lei, mas que, por sua natureza provisória, trazia inseguranças sobre a sua efetiva validade. Finalmente, desde semana passada, foi publicado um decreto no Diário Oficial da União, dando uma versão definitiva à regulamentação, com 14 vetos ao texto original, e determinação da criação da autoridade reguladora, além de mais algumas mudanças, com impacto significativo para as empresas.
O que muda para as startups?
O ambiente das startups de tecnologia e inovação é movido por enxergar oportunidades e criar soluções para problemas conhecidos e mesmo alguns que sequer haviam sido imaginado. Cada vez mais, essas empresas utilizam a ciência de dados em seus produtos e serviços como parte de suas soluções. A aprovação da LGPD, de fato, mudará bastante o modelo de operação dessas startups ao implicar umas série de processos de proteção dos dados, inclusive regulando quando será necessário o pedido de consentimento dos consumidores para coleta e tratamento desses dados.
Por isso mesmo, a complexidade da tarefa também é uma oportunidade valiosa para quem quer inovar na área. Agora, existe espaço para que novas soluções surjam implementando políticas de gestão e segurança de dados e consentimentos, colocando a questão da privacidade presente desde a concepção das soluções, o chamado privacy by design.
Ainda assim, muitos empreendedores estão com o medo do custo da implementação da LGPD, afinal, startups possuem poucos recursos no início e desenvolvem seus negócios. O desafio aqui será equilibrar a proteção dos dados pessoais e o direito fundamental à privacidade com o desenvolvimento econômico e a inovação, permitindo que as startups brasileiras mantenham seu crescimento exponencial em condições de competir com as gigantes da tecnologia do mercado digital internacional.
Neste sentido, é importante analisarmos as mudanças estabelecidas pela Lei 13.853, sancionada esta semana, e identificar quais os principais impactos para as startups, conforme veremos a seguir.
Principais benefícios da ANPD:
1. A instituição reguladora:
O Brasil contará com uma Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD. Este é o passo fundamental para que o país finalmente tenha o mesmo nível de proteção de dados de países que saíram na frente e já implementaram suas leis. Esse ponto é importante, pois numa nua economia digital sem fronteiras, ocorre um grande fluxo internacional de dados. Por isso é preciso harmonizar regras sobre a gestão desses dados entre países – em especial com a GDPR (General Data Protection Regulation), que é a legislação européia que trata o tema.
Além do mais, a ANPD será responsável por auxiliar as empresas em seus processos de adequação ao instituir diretrizes claras sobre o tratamento de dados pessoais, promover o conhecimento das normas e políticas públicas sobre proteção de dados, elaborar estudos sobre práticas nacionais e internacionais de proteção de dados e auxiliar o entendimento sobre os procedimentos adequados para a elaboração dos relatórios de impacto à proteção de dados, dentre outras atividades que facilitarão a interpretação da lei.
2. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:
A Autoridade Nacional de Proteção de Dados terá um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade formado por 23 membros, dentre eles representantes de instituições científicas, tecnológicas, de inovação e entidades empresariais relacionadas à área de tratamento de dados pessoais, que não terão poder decisório, mas poderão, entre outras atribuições, propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade, bem como recomendar ações para a ANPD, além de elaborar estudos e realizar debates públicos sobre o tema.
Portanto, as startups poderão ter representação no Conselho Nacional de Proteção de Dados Pessoais e Privacidade, garantindo que a ANPD cumpra com o disposto no art. 2º da LGPD, que institui como um dos fundamentos da lei o desenvolvimento econômico, tecnológico e a inovação.
3. Os termos de compromisso:
A ANDP poderá celebrar termos de compromisso com as empresas. Isto significa que há a possibilidade da ANPD fazer recomendações para que as startups se adequem à lei, firmando um termo de compromisso, que deverá ter seu cumprimento fiscalizado pela própria autoridade, sem que as punições previstas na LGPD inviabilizem negócios que estão em estágio inicial de desenvolvimento. Esta é a melhor forma da ANPD educar o mercado e alcançar o fim máximo da lei que é garantir a proteção dos indivíduos diante do tratamento dos seus dados pessoais identificados ou identificáveis.
4. Normas específicas e procedimentos simplificados para startups
Essa é uma das principais novidades do decreto para startups. O decreto prevê que ANPD poderá editar normas, orientações e procedimentos simplificados e diferenciados – inclusive quanto aos prazos – para que microempresas e empresas de pequeno porte, bem como “iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação”, possam adequar-se a Lei.
Como a maioria dos modelos de negócio disruptivos utilizam dados pessoais em seus produtos e serviços, a sobrevivência das startups de tecnologia estava ameaçada pelo curto tempo de adequação e pelo alto custo de implementação das obrigações instituídas pela LGPD. Obrigações tais como contratar de um(a) profissional encarregado de dados (denominado DPO – Data Protection Officer pela GDPR) para comunicação entre o titular dos dados e a ANPD; assegurar o exercício dos direitos dos usuários, ou seja, das pessoas que são titulares dos dados pessoais; utilizar de tecnologia de ponta em segurança da informação; além de implementar um programa de processos de governança que permita comprovar que todas as medidas foram tomadas para proteger os dados pessoais coletados. Tudo isso implica em custos, muitas vezes demandando até mesmo consultorias especializadas, nem sempre acessíveis por empresas menores.
O mercado deve ficar atento aos próximos passos da ANPD e como serão implementados os procedimentos simplificados para startups.
5. Decisões Automatizadas
No texto original da LGPD os titulares dos dados teriam o direito de solicitar a revisão, por uma pessoa natural, de decisões tomadas unicamente com base no tratamento automatizado de dados pessoais que afetassem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito, ou aspectos de sua personalidade. Isso significa o direito de pedir que um ser humano revise uma decisão tomada por um algoritmo para decidir questões como o limite do cartão de crédito ou sobre a exclusão de um perfil por ter ferido a política de uma rede social.
A necessidade dessa revisão ser realizada por agente humano foi retirada pela Medida Provisória 869/2018, mas reintroduzida no texto final da lei 13.853/19 que seguiu para a sanção presidencial. No entanto, o Presidente vetou o referido texto sob o argumento de que a proposta contraria o interesse público, pois inviabilizaria modelos de negócio atuais de muitas empresas, inclusive startups. Alegou ainda que haveria impacto na análise de risco de crédito e de novos modelos de negócios de instituições financeiras, com efeito negativo na oferta de crédito aos consumidores, com reflexos nos índices de inflação e na política monetária.
Este tem sido um dos pontos mais criticados pelos especialistas, que acreditam que a utilização de algoritmos nesses processos decisórios são pouco transparentes e podem ocasionar prejuízos discriminatórios aos titulares dos dados, que não terão mais o direito de solicitar a revisão da decisão por uma pessoa humana.
Embora os titulares dos dados continuem com o direito de solicitar a revisão das decisões automatizadas, estas revisões não precisarão necessariamente ser realizadas por agentes humanos, até porque no cenário de big data muitas vezes torna-se impossível reconstituir todos os passos das decisões algorítmicas.
Como os princípios que norteiam a LGPD são o espírito da lei, cabe às empresas, atendendo ao princípio da transparência, garantir aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de seus dados pessoais, observados os segredos comercial e industrial.
Ou seja, ao se deparar com uma solicitação de revisão, além de atendê-la, a empresa deverá também esclarecer as informações que lastrearam a decisão, quais as categorias dos dados utilizadas, como a informação foi utilizada para a tomada de decisão que afetou o titular e tudo o mais que for possível esclarecer, respeitando o segredo comercial e industrial.
Principais desafios:
1. O grau de autonomia e independência da ANPD
A ANPD foi instituída como parte da administração pública federal, integrante da Presidência da República. Isto quer dizer que o órgão não será independente e estará subordinado aos interesses do governo federal. A lei afirma que esta natureza da ANPD é transitória, pois em 2 anos o Poder Executivo poderá transformá-la em uma Autarquia da administração pública indireta, mas não há garantias uma vez que esta decisão será tomada a critério do Poder Executivo.
O grau de autonomia da ANPD é um ponto crucial na aceitação do Brasil como país adequado para o recebimento de dados oriundos do território europeu. Caso o Brasil não seja considerado um país com o mesmo nível de proteção de dados da UE, por conta da falta de independência de nossa autoridade de proteção de dados, as startups brasileiras que atuarem em território europeu terão que enfrentar todos os requisitos burocráticos previstos na GDPR para transferência internacional de dados, dificultando a inserção de soluções de startups brasileiras em mercados externos.
2. A obrigação de nomear um encarregado
A nova redação do art. 5º, VIII, da LGPD diz que tanto o controlador (responsável por determinar o tratamento dos dados) como o operador (responsável por tratar o dado em nome do controlador) deverão indicar um encarregado para atuar como canal de comunicação entre estes, os titulares dos dados e a ANPD.
Ter um profissional encarregado – o(a) DPO – seria, inicialmente, obrigação apenas da empresa controladora dos dados. No entanto, a redação atual ficou confusa ao incluir o operador como responsável por tal indicação, recaindo assim mais uma custosa obrigação sobre as startups que atuam tratando dados em nome de outras empresas, ainda que seja difícil determinar quando uma empresa atua exclusivamente como operadora de um dado pessoal.
Conclusão
Proteção de dados não é diferencial. Proteção de dados é um direito e é lei. Nunca se falou tanto sobre esse tema. Não por menos, após diversos escândalos de vazamento de dados por grandes empresas como Google, Facebook, e até mesmo seu uso com a finalidade de influenciar importantes processos democráticos, o mundo passou a estabelecer normas para proteção dos dados pessoais. A privacidade deixou de ser um tema de nicho e está nas discussões nas mais diversas áreas.
Entendemos que a LGPD não vai matar a inovação e nem é inimiga das startups. Pelo contrário, traz vantagens, como dar clareza sobre as regras do jogo, ao criar uma regulamentação comum que deve ser seguida por todas as empresas durante a coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Ela torna o Brasil apto a processar dados oriundos de países que exigem um nível de proteção de dados mais elevado e institui novas autorizações para o tratamento de dados pessoais, além do consentimento já previsto no Marco Civil da Internet.
O texto final da LGPD contemplou muitos dos pleitos levantados pelas entidades representativas de startups durante o processo legislativo, tornando sua aplicação mais flexível para estas empresas que fomentam boa parte do desenvolvimento econômico atual do país e permitem que o Brasil seja um celeiro de inovação para o mundo.
Além disso, obriga que todos criem soluções inovadoras para sobreviver. O novo panorama é promissor para aqueles que saírem na frente e investirem em segurança de dados e privacidade. Quem insistir em se manter agarrado a paradigmas ultrapassados, ficará para trás. No fim, é para toda a sociedade que a lei será aplicada, seja você pessoa física ou jurídica, a segurança dos seus dados e dos dados pessoais que você utiliza para fins econômicos são também sua responsabilidade.
*Com colaboração de Raíssa Moura, advogada corporativa, head of legal & privacy counsel da In Loco, membro da IAPP – International Association of Privacy Professionals, co-fundadora do Recife Legal Hackers. Formada em Legal Law Master em Direito Corporativo pelo IBMEC e especialização em Gestão de Departamentos Jurídicos pelo Insper. Certificada pela EXIN através do exame PDPE – Privacy and Data Protection Essentials.
“podemos assumir que todos os usuários foram comprometidos”,
“se você tem um cartão, os dados dele provavelmente já foram roubados” e
“agora que os criminosos desenvolveram maneiras de efetivamente clonar os cartões, isso se tornou um sério risco”.
Esse post é uma tentativa de explicar um pouco melhor a abrangência desse ataque e refutar essas alegações extraordinárias que, parafraseando Carl Sagan, deveriam ser acompanhadas de evidências extraordinárias.
Comprometimento total de terminais é coisa séria e pode permitir ataques mais elaborados no futuro, mas tudo indica que o ataque se trata de uma interceptação de dados, uma variação do “clássico” ataque de homem do meio, com proteções conhecidas.
Infelizmente, alguns emissores de cartão ainda não implementam essas proteções e estão sujeitos a fraudes. Mas afirmar que cartões com chip não são mais seguros já que alguns terminais foram comprometidos e alguns emissores não implementam medidas de segurança é quase o mesmo que dizer que carros não são seguros porque há lugares onde pessoas dirigem sem cinto de segurança.
Problema antigo, solução antiga
Como quase todos os protocolos e especificações de segurança, EMV, a tecnologia por trás dos cartões de pagamento com chip, tem problemas. Um deles, uma falha de design originalmente descoberta por pesquisadores da Universidade de Cambridge em 2010 e batizada de “PIN wedge”, é uma variação do clássico ataque de “homem do meio”, onde um oponente fica entre dois ambientes (no caso, entre o cartão e a maquininha) e engana, simultaneamente, os dois. Até aí, absolutamente nada de novo. O ataque de “PIN wedge” é conhecido há anos e tem uma série de contramedidas, também conhecidas.
O ataque em 2018
Parece ser, literalmente, mais do mesmo, com um toque de automatização para “facilitar a vida dos fraudadores”: um pacote de “fraude como serviço” para permitir que mais fraudadores menos experientes tenham acesso à essa tecnologia. Mas é importante frisar que o cartão é um cartão parecido com original — com alguns dados do cartão original — e não um cloneperfeito, como o artigo induz o leitor desavisado a acreditar.
Um terminal comprometido é um problema porque ele pode ser utilizado para manipular dados da transação, capturar dados do cartão e coordenar outros ataques. Dados públicos, por exemplo, combinados com o código de segurança (impresso no verso) e dados pessoais que o fraudador pode obter por outros meios (como engenharia social), podem ser utilizados em outros ataques, como compras pela Internet. Mas dizer que “cartões estão sendo clonados” é um salto lógico, para dizer o mínimo.
Em determinado momento o artigo faz alusão à utilização do cartão para saque em caixas eletrônicos (“jackpotting ATMs and beyond”), o que é estranho pelo fato de que em transações de saque, a senha é sempre validada on-line — e um “yescard”, que aceite qualquer senha off-line, não poderia ser utilizado com tanta facilidade.
O artigo não deixa claro se os criminosos estão armazenando transações nos cartões e depois enviando essas transações duplicadas (“replay”). Mas se estão fazendo “replay”, a afirmação de que “utilizar Android Pay e Apple Pay” resolveria é estranha.
O artigo tem um tom panfletário, mas a boa notícia é que existem proteções razoavelmente simples contra esses ataques e a maioria dos emissores de cartões no Brasil, já as utilizam.
Representante do Ministério da Tecnologia Max Martinhão considera que o consentimento contínuo sobre o uso de dados pessoais pode travar a inovação
Matéria de PAULA SOPRANA, publicada na revista Época no dia 03/10/2017.
Governo pretende capturar um investimento de US$ 200 bilhões em IoT até 2025.
A tão aguardada Lei Geral de Proteção de Dados Pessoais, debatida desde 2011 por governo, empresariado e sociedade civil, é uma prioridade do Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC) diante do Plano de Internet das Coisas (IoT), a ser anunciado até o fim do ano. “Ela é a fundação. Sem isso não conseguimos levantar a casa”, disse Maximiliano Martinhão, o secretário de Política de Informática (Sepin) do MCTIC e recém-nomeado presidente da Telebras. Ele ressalta que a questão relativa ao consentimento dos cidadãos sobre a coleta e o tratamento de dados pessoais ainda “precisa ser ajustada” e, nesse quesito, também volta a defender uma alteração no Marco Civil da Internet. “Se você tiver de consentir [o uso de dados] a cada inovação de Internet das Coisas, pode paralisar o segmento”, disse a ÉPOCA durante o FutureCom, evento de telecomunicações e internet que acontece nesta semana em São Paulo.
O Marco Civil determina que o fornecimento de dados pessoais a terceiros só ocorra mediante consentimento livre, expresso e informado do usuário. Isso significa que o cidadão, além de permitir o uso de seus dados em uma cláusula separada de um termo de uso, deve ter total ciência sobre o tratamento e o processamento desses dados pelo operador que os coletou. O receio empresarial – que reverbera no governo, pois depende desse investimento na economia – é que cada consentimento diante de uma atualização de software, por exemplo, interrompa o fluxo de informações entre objetos conectados à internet. A depender dos termos usados em ambas as leis, cada atualização tecnológica demandará (ou não) uma nova autorização dos usuários em diferentes aparelhos, seja uma geladeira, um fogão ou uma câmera. No ambiente de IoT, os dispositivos já vêm de fábrica com chips e sensores a ser conectados à internet e a dispositivos de outras marcas, o que demanda um fluxo ininterrupto de dados.
O plano
O governo pretende capturar um investimento de US$ 200 bilhões em IoT até 2025. Um documento que subsidiará a elaboração do Plano Nacional de IoT foi lançado nesta terça-feira (3) pelo MCTIC e pelo Banco Nacional de Desenvolvimento Econômico e Social (BNDES). O estudo reúne mais de 70 proposições para guiar as políticas públicas no setor entre 2018 e 2022 e foi conduzido pelo consórcio McKinsey/Fundação CPqD/Pereira Neto Macedo.
Para fornecer as melhores experiências, usamos tecnologias como cookies para armazenar e/ou acessar informações do dispositivo. O consentimento para essas tecnologias nos permitirá processar dados como comportamento de navegação ou IDs exclusivos neste site. Não consentir ou retirar o consentimento pode afetar negativamente certos recursos e funções.
Funcional
Sempre ativo
O armazenamento ou acesso técnico é estritamente necessário para a finalidade legítima de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador, ou com a finalidade exclusiva de efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas.
Preferências
O armazenamento ou acesso técnico é necessário para o propósito legítimo de armazenar preferências que não são solicitadas pelo assinante ou usuário.
Estatísticas
O armazenamento ou acesso técnico que é usado exclusivamente para fins estatísticos.O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos anônimos. Sem uma intimação, conformidade voluntária por parte de seu provedor de serviços de Internet ou registros adicionais de terceiros, as informações armazenadas ou recuperadas apenas para esse fim geralmente não podem ser usadas para identificá-lo.
Marketing
O armazenamento ou acesso técnico é necessário para criar perfis de usuário para enviar publicidade ou para rastrear o usuário em um site ou em vários sites para fins de marketing semelhantes.
