Segurança para BaaS (Banking as a Service): protegendo a stack que liquida em nome de dezenas de fintechs
Uma plataforma BaaS concentra onboarding, KYC, liquidação e arranjo de pagamento de múltiplas fintechs parceiras em uma única stack multi-tenant. Um único IDOR num endpoint compartilhado pode vazar saldos entre concorrentes. Veja como a Decripte responde a incidentes e estrutura a segurança de autorização por parceiro.
Resposta direta
Para proteger uma plataforma BaaS você precisa, antes de tudo, garantir que a autorização seja validada por tenant em cada chamada de API — não basta autenticar o token, é preciso provar que aquele parceiro tem direito àquele recurso (defesa contra BOLA e BFLA). Em seguida: segregar logicamente os dados de cada fintech parceira, instrumentar onboarding e KYC contra criação de contas-laranja em escala, monitorar liquidação e arranjo de pagamento Pix em tempo real com correlação cross-tenant, e manter conformidade com as normas do Banco Central aplicáveis a instituições de pagamento e arranjos. A Decripte faz isso combinando pentest de API multi-tenant, SOC 24x7 com regras de segregação por parceiro, gestão de vulnerabilidades contínua e estruturação de governança de API por tenant. Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free.
24/7
SOC monitorando liquidação e onboarding
<=1h
SLA de contenção em incidentes
BCB
Conformidade com arranjo de pagamento e IP
PCI-DSS
Exigência para dados de cartão na stack
Em resumo
- ›O risco número um de BaaS não é o malware, é a falha de autorização: BOLA/BFLA em endpoints multi-tenant permite que uma fintech parceira leia ou movimente recursos de outra na mesma stack.
- ›Onboarding e KYC são vetor de fraude em escala: provedores BaaS concentram a criação de contas de dezenas de clientes, virando alvo preferencial de redes de contas-laranja.
- ›Account takeover propagado é específico de BaaS: SSO ou tokens compartilhados entre parceiros transformam um comprometimento isolado em incidente sistêmico.
- ›Conformidade não é opcional: instituições de pagamento e provedores de arranjo respondem a normas do Banco Central, à LGPD e, quando há cartão, ao PCI-DSS.
- ›A defesa eficaz combina pentest de autorização multi-tenant, SOC com correlação cross-tenant e governança de API por parceiro — todas capacidades da Decripte.
- ›O ponto de partida é gratuito: o diagnóstico de Gestão de Ameaças em decripte.io/free mapeia a superfície exposta antes de qualquer contratação.
Cibersegurança para BaaS (Banking as a Service)
Uma plataforma BaaS concentra onboarding, KYC, liquidação e arranjo de pagamento de múltiplas fintechs parceiras em uma única stack multi-tenant. Um único IDOR num endpoint compartilhado pode vazar saldos entre concorrentes. Veja como a Decripte responde a incidentes e estrutura a segurança de autorização por parceiro.
Por que BaaS concentra risco que nenhum outro modelo financeiro concentra
Banking as a Service é, na essência, a desverticalização do banco. Uma instituição licenciada — tipicamente uma instituição de pagamento ou um banco — expõe suas capacidades regulatórias (abertura de contas, emissão de cartões, liquidação, arranjo de pagamento Pix, KYC) como APIs consumíveis por terceiros. Dezenas de fintechs, varejistas, marketplaces e até empresas não-financeiras constroem produtos bancários sobre essa plataforma sem nunca tocar diretamente no Banco Central. O provedor BaaS é a camada que faz a ponte regulatória e técnica.
Esse modelo é brilhante para o negócio e perigoso para a segurança, porque ele inverte a topologia de risco tradicional. Num banco clássico, cada cliente final é uma conta. Numa plataforma BaaS, cada cliente é uma fintech inteira — com seu próprio universo de usuários, contas, saldos e fluxos de liquidação. A stack do provedor passa a ser um multi-tenant onde os tenants não são pessoas, são empresas concorrentes entre si, todas confiando que a plataforma vai impedir que uma enxergue a outra.
O conceito central: o tenant é uma empresa, não um usuário
Em SaaS comum, vazar dados entre tenants é grave. Em BaaS, vazar dados entre tenants significa que a Fintech A pode ler os saldos, os clientes e os fluxos de liquidação da Fintech B — que pode ser sua concorrente direta. O isolamento de tenant deixa de ser higiene e vira o produto.
Some a isso a concentração regulatória. O provedor BaaS é quem responde — perante o Banco Central, perante a ANPD, perante as bandeiras de cartão — pela higidez de operações que ele não originou diretamente. Quando uma rede de contas-laranja é aberta através de uma fintech parceira mal-instrumentada, o reflexo recai sobre o arranjo de pagamento do provedor. Quando um IDOR vaza saldos, o titular dos dados é cliente da fintech, mas o controlador de fato dos dados na infraestrutura é o provedor.
A superfície de ataque se multiplica por parceiro
Cada nova fintech integrada adiciona credenciais de API, webhooks, escopos de autorização, fluxos de onboarding e padrões de tráfego próprios. Uma plataforma com 40 parceiros não tem uma API exposta — tem 40 contextos de autorização que precisam permanecer estanques sob carga, sob abuso e sob comprometimento de credencial de qualquer um deles.
As quatro ameaças que definem o setor BaaS
BOLA, BFLA e o abuso de onboarding
Broken Object Level Authorization (BOLA) e Broken Function Level Authorization (BFLA) ocupam, respectivamente, o primeiro e o quinto lugar do OWASP API Security Top 10. Em BaaS, são a ameaça soberana. BOLA acontece quando um endpoint recebe um identificador de objeto — um número de conta, um id de transação, um id de cliente — e devolve o recurso sem verificar se o tenant autenticado tem direito àquele objeto específico. Um endpoint como GET /v1/accounts/{id}/balance que confia apenas no token de acesso, sem amarrar o {id} ao tenant dono do token, permite que a Fintech A incremente o {id} e leia o saldo de uma conta da Fintech B. BFLA é o irmão funcional: o atacante invoca uma função privilegiada — estorno, ajuste de limite — que não deveria poder invocar, mas que aceita a chamada de qualquer parceiro autenticado. A terceira ameaça vive no onboarding: o provedor BaaS centraliza a esteira de Conheça Seu Cliente de todos os parceiros, e quando essa esteira é fraca — validação documental superável, prova de vida burlável, ausência de device fingerprint, falta de rate limit — ela vira fábrica de contas-laranja movimentadas via Pix.
Por que scanners automáticos não pegam BOLA
Falhas de autorização são lógicas, não sintáticas. Um scanner vê uma resposta HTTP 200 e a considera saudável. Só um teste que possua dois contextos de tenant legítimos e tente cruzá-los — exatamente o pentest de autorização multi-tenant — consegue provar que o endpoint vaza entre parceiros. É por isso que essas falhas sobrevivem a auditorias automatizadas e chegam à produção.
Account takeover propagado e fraude de liquidação
Para simplificar a integração, muitas plataformas BaaS adotam SSO entre o portal do provedor e os portais das fintechs, ou emitem tokens com escopo amplo demais. Um único token comprometido — vazado num log, capturado num parceiro mal-protegido, exposto num repositório público — pode dar acesso transversal. Se o modelo de identidade não isola rigorosamente cada parceiro, o comprometimento de uma fintech vira o comprometimento de toda a plataforma: é o account takeover propagado, característico da topologia BaaS. A quarta ameaça ataca o coração econômico do modelo, a liquidação: manipular janelas de liquidação, explorar condições de corrida em estorno e captura, forjar webhooks de confirmação de pagamento ou desviar arranjo Pix são vetores que atacam diretamente o dinheiro em trânsito. Diferente de um vazamento de dados, aqui o impacto é imediato e financeiro, e a janela de detecção precisa ser medida em segundos, não em horas.
Sinais de que sua superfície BaaS está exposta
- ✓Endpoints que aceitam ids de objeto sem amarrar ao tenant do token
- ✓Tokens de API com escopo único e amplo para todos os parceiros
- ✓Onboarding sem rate limit, sem device fingerprint e sem correlação de fraude
- ✓Ausência de logs correlacionáveis entre tenants no SOC
- ✓Webhooks de liquidação sem assinatura validada e sem proteção contra replay
- ✓Nenhum teste de autorização cruzada entre dois tenants legítimos no ciclo de release
Os dados de baas (banking as a service) já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Anatomia técnica de um IDOR multi-tenant em BaaS
Vale dissecar o vetor central deste setor porque ele é sutil e quase sempre invisível em revisão de código superficial. Considere um endpoint de extrato: GET /v1/accounts/{account_id}/statement. A aplicação recebe um JWT válido no header Authorization. O backend decodifica o token, confirma a assinatura, identifica que pertence à Fintech A, e — aqui está a falha — busca o extrato da account_id pedida sem verificar se aquela conta pertence ao conjunto de contas da Fintech A.
O atacante, operando como parceiro legítimo da Fintech A, observa que suas próprias contas têm ids sequenciais ou previsíveis. Ele itera o account_id e começa a receber extratos de contas que não são suas — incluindo de clientes da Fintech B. O endpoint responde 200 em todos os casos. Não há erro nos logs de aplicação. Não há alerta. O vazamento é silencioso e contínuo, e pode persistir por meses até que alguém note dados estranhos.
A correção certa: autorização por tenant em cada acesso a objeto
A defesa não é tornar os ids imprevisíveis (UUIDs ajudam, mas são paliativo). A defesa correta é que toda consulta a objeto inclua, na própria query ou numa camada de policy, a cláusula que amarra o objeto ao tenant do requisitante: 'esta conta pertence a esta fintech?'. Idealmente isso é imposto numa camada central de autorização, não espalhado por cada controller, onde inevitavelmente alguém esquece.
Por que isso é específico de BaaS e não de um banco comum
Num banco tradicional, o usuário final só vê suas próprias contas pela interface — o risco de cruzamento é entre pessoas. Em BaaS, o consumidor da API é uma empresa com acesso programático legítimo a milhares de contas. O atacante não precisa furar a autenticação: ele já está autenticado como parceiro. Toda a defesa repousa sobre a autorização granular por tenant. Se ela falha em um endpoint, ela falha para todos os objetos que aquele endpoint serve.
Como a Decripte trata a autorização multi-tenant como disciplina
A maioria dos testes de segurança de API olha um tenant de cada vez. Isso é estruturalmente cego ao risco de BaaS. A abordagem da Decripte parte de dois ou mais contextos de tenant legítimos operando simultaneamente, e modela explicitamente o atacante como um parceiro autenticado tentando atravessar a fronteira lógica para outro parceiro.
O que o pentest de API multi-tenant da Decripte cobre
- ✓BOLA: iteração e cruzamento de ids de objeto entre tenants em todos os endpoints de leitura e escrita
- ✓BFLA: tentativa de invocar funções privilegiadas e administrativas a partir de contexto de parceiro comum
- ✓Mass assignment e excessive data exposure: campos sensíveis que vazam por sobre-serialização
- ✓Falhas de escopo de token: tokens que carregam mais autorização do que o parceiro deveria ter
- ✓Abuso de fluxo de negócio: onboarding, estorno, liquidação e webhooks tratados como vetores, não só CRUD
- ✓Validação de segregação de dados em repouso e em trânsito entre tenants
O resultado não é uma lista genérica de vulnerabilidades. É um mapa de onde a fronteira entre parceiros é permeável, com prova de conceito reproduzível para cada cruzamento — o tipo de evidência que destrava decisão executiva e priorização real de correção. A gestão de vulnerabilidades contínua mantém esse mapa atualizado à medida que novos endpoints e novos parceiros entram na plataforma, porque cada release é uma nova chance de reabrir a fronteira.
Continuidade vence o teste anual
Uma plataforma BaaS muda toda semana: novo parceiro, novo endpoint, novo campo no payload. Um pentest anual fotografa um instante que já não existe na semana seguinte. Por isso a Decripte combina o pentest profundo com gestão de vulnerabilidades contínua e SOC 24x7 — a fronteira é vigiada, não fotografada.
SOC 24x7 com correlação cross-tenant: ver o ataque que atravessa parceiros
Um SOC comum monitora um ambiente. O SOC para BaaS precisa monitorar muitos ambientes lógicos dentro de uma stack e — crucialmente — detectar o que acontece na costura entre eles. Um atacante que enumera contas de múltiplos tenants gera, em cada tenant isolado, um padrão que parece benigno; só correlacionando entre tenants é que o padrão de varredura aparece.
Regras de detecção específicas de BaaS
O SOC da Decripte implanta detecções de segregação: pico de acessos de um tenant a objetos fora do seu universo, criação de contas em rajada num único parceiro (sinal de onboarding abusado), tokens usados a partir de geografias ou device fingerprints incompatíveis com o histórico do parceiro, e anomalias de liquidação como estornos em série ou webhooks de confirmação sem o pagamento correspondente.
A correlação cross-tenant é a inteligência que diferencia evento isolado de campanha coordenada. Quando o mesmo ASN, o mesmo padrão de fingerprint ou a mesma rede de contas-laranja toca múltiplos parceiros, deixa de ser um incidente do parceiro X e vira uma investigação de plataforma — com resposta proporcional e comunicação adequada ao Banco Central quando aplicável.
Fraude de liquidação exige detecção em segundos
Diferente de um vazamento, fraude no fluxo de pagamento move dinheiro imediatamente. O SOC monitora o arranjo de pagamento e os webhooks de liquidação em tempo real, com gatilhos de contenção automatizados para padrões de desvio, porque aqui a janela entre detecção e perda irreversível é estreita.
Quanto custaria um incidente em baas (banking as a service)? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Conformidade: as normas que recaem sobre o provedor BaaS
Provedores BaaS operam tipicamente como instituições de pagamento ou em parceria com instituição licenciada, e estão sujeitos ao arcabouço regulatório do Banco Central para instituições de pagamento, arranjos de pagamento e ao arranjo do Pix. As normas do Banco Central estabelecem requisitos de gestão de riscos, segurança cibernética e continuidade que se aplicam à operação. A Decripte estrutura a governança de segurança para que ela seja auditável perante esse arcabouço — sem inventar números de norma, mas mapeando os requisitos reais de gestão de risco operacional e cibernético às práticas técnicas implantadas.
Camadas de conformidade que a Decripte estrutura para BaaS
- ✓Requisitos do Banco Central para instituições de pagamento e arranjos de pagamento: política de segurança cibernética, gestão de riscos e plano de continuidade
- ✓LGPD e diretrizes da ANPD: o provedor é controlador ou operador dos dados pessoais de clientes de múltiplas fintechs, com responsabilidade sobre segregação e tratamento
- ✓PCI-DSS: obrigatório quando dados de cartão (PAN) transitam ou são armazenados na stack
- ✓ISO 27001: sistema de gestão de segurança da informação como espinha dorsal da governança
- ✓SOC 2: relatório de controles para dar conforto aos parceiros que consomem a plataforma
A questão da LGPD em BaaS é particularmente delicada: o provedor frequentemente trata dados pessoais de titulares que são clientes das fintechs parceiras. A definição de papéis — quem é controlador, quem é operador — precisa estar contratualmente clara, e a segregação técnica precisa sustentar essa separação na prática. Um vazamento cross-tenant não é só uma falha técnica; é um incidente de dados pessoais com obrigações de comunicação à ANPD e aos titulares.
Conformidade que nasce da arquitetura
A Decripte não trata conformidade como papelada após o fato. A segregação por tenant, a autorização granular, a trilha de auditoria e o monitoramento contínuo são, ao mesmo tempo, controles de segurança e evidências de conformidade. Construir certo é provar fácil.
Estruturando a segurança por parceiro: governança de API multi-tenant
Responder a incidentes é necessário, mas insuficiente. A Decripte estrutura a plataforma para que a próxima falha de autorização seja arquiteturalmente difícil de cometer. O eixo dessa estruturação é a governança de API por parceiro: cada tenant tem credenciais com escopo mínimo, política de autorização explícita e centralizada, rate limits e cotas próprias, telemetria isolada e correlacionável, e um ciclo de vida de credencial com rotação.
Camada central de autorização (policy engine)
Em vez de espalhar checagens de 'este objeto é deste tenant?' por centenas de controllers — onde uma única omissão abre um IDOR — a Decripte estrutura uma camada de autorização central que toda requisição atravessa. A fronteira entre parceiros passa a ser imposta em um lugar, testável em um lugar, auditável em um lugar.
Sobre essa base, a estruturação adiciona segregação de dados verificável, contratos de API versionados por parceiro, e a integração da segurança no ciclo de release: nenhum endpoint novo vai para produção sem o teste de autorização cruzada entre tenants no pipeline. É a transformação de segurança de evento para segurança de processo. Quem começa o caminho pelo diagnóstico gratuito em decripte.io/free já recebe o mapa inicial dessa superfície.
Cenário ilustrativo: vazamento de saldos entre fintechs por IDOR em endpoint compartilhado
Cenário ilustrativo
Este é um cenário ilustrativo, não um cliente real, construído a partir de padrões observados no setor. Um provedor BaaS atende cerca de 40 fintechs parceiras sobre uma stack de APIs compartilhada. A operação de uma das fintechs reporta, por canal de suporte, que um de seus analistas conseguiu visualizar dados de conta que não pareciam pertencer a clientes da própria fintech. O endpoint de extrato — GET /v1/accounts/{account_id}/statement — autenticava o token corretamente, mas não amarrava o account_id ao tenant dono do token. Qualquer parceiro autenticado podia iterar ids e ler extratos de contas de outras fintechs. O vazamento era silencioso: todas as respostas retornavam HTTP 200, sem erro em log de aplicação.
Detecção
O SOC, ao receber o report, correlaciona logs de acesso e identifica um padrão de varredura: um mesmo token acessando account_ids em faixa contínua, muitos deles pertencentes a tenants distintos. A correlação cross-tenant transforma um suporte anedótico em evidência técnica de IDOR ativo em endpoint compartilhado, classificado como incidente de dados pessoais sob a LGPD.
Contenção (<=1h)
Dentro do SLA de contenção, a Decripte isola o tenant cuja credencial estava sendo usada para a varredura, revoga o token comprometido e aplica uma regra de borda que bloqueia o acesso ao endpoint vulnerável fora do contexto de tenant legítimo, estancando o vazamento sem derrubar a plataforma inteira para os demais 39 parceiros.
Erradicação
O pentest de autorização multi-tenant é acionado para varrer toda a superfície de API em busca de outros endpoints com a mesma classe de falha. São identificados mais endpoints que confiavam no token sem checar a posse do objeto. A correção implanta a checagem de pertencimento objeto-tenant numa camada central de autorização, eliminando a falha na raiz em vez de remendar controller por controller.
Recuperação
Os endpoints corrigidos retornam à produção com o teste de autorização cruzada integrado ao pipeline de release. A segregação de dados é validada entre tenants. As credenciais de API de todos os parceiros passam por rotação e os escopos são reduzidos ao mínimo necessário.
Monitoramento contínuo
O SOC 24x7 passa a operar com regras de segregação permanentes: alerta de acesso de tenant a objetos fora do seu universo, detecção de varredura de ids e anomalias de liquidação. A gestão de vulnerabilidades contínua mantém a vigilância sobre cada novo endpoint e cada novo parceiro integrado.
Conformidade e comunicação
A Decripte apoia a estruturação da comunicação do incidente conforme as obrigações da LGPD perante a ANPD e os titulares afetados, e organiza a documentação de gestão de risco cibernético alinhada às exigências do Banco Central para a operação de pagamento.
Lições aprendidas
O incidente expõe que o isolamento de tenant não pode depender de checagens dispersas. Fica estruturada a governança de API por parceiro, com autorização central, escopo mínimo de token e teste de autorização cruzada obrigatório em cada release — convertendo a falha em maturidade arquitetural.
Desfecho com a Decripte
O vazamento foi contido dentro de uma hora da detecção e erradicado na raiz com uma camada de autorização central, em vez de remendos pontuais. A plataforma saiu do incidente com governança de API por parceiro, SOC com regras de segregação cross-tenant e o teste de autorização multi-tenant incorporado ao ciclo de desenvolvimento. O que começou como um IDOR silencioso terminou como um salto de maturidade de segurança que torna a próxima falha de fronteira arquiteturalmente difícil de cometer.
Não espere o incidente acontecer. Comece a blindar baas (banking as a service) hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente em plataforma BaaS
A resposta a incidentes em BaaS exige velocidade na contenção e cirurgia na erradicação: é preciso estancar o vazamento ou a fraude sem derrubar a plataforma para os demais parceiros saudáveis. O processo da Decripte segue passos disciplinados, com SLA de contenção de até uma hora.
- Detecção e triagem com correlação cross-tenant: o SOC 24x7 confirma o incidente, identifica se a falha atravessa parceiros e classifica o evento, inclusive quanto à possível natureza de incidente de dados pessoais sob a LGPD.
- Contenção cirúrgica em até 1h: isolamento do tenant ou credencial comprometida, revogação de tokens e bloqueio de borda do vetor explorado, preservando a disponibilidade para os demais parceiros.
- Análise forense e determinação do alcance: reconstrução da linha do tempo, identificação de quais objetos e quais tenants foram efetivamente acessados, e preservação de evidências para cadeia de custódia.
- Erradicação na raiz: varredura de toda a superfície de API pela mesma classe de falha via pentest de autorização e correção centralizada, em vez de remendos por controller.
- Recuperação validada: retorno controlado dos endpoints com teste de autorização cruzada no pipeline, rotação de credenciais e revisão de escopos de token de todos os parceiros.
- Monitoramento reforçado pós-incidente: implantação de regras de detecção de segregação permanentes no SOC e vigilância contínua sobre o vetor explorado.
- Conformidade e comunicação: apoio à notificação à ANPD e aos titulares quando há dados pessoais envolvidos, e organização da documentação de gestão de risco cibernético perante o Banco Central.
- Relatório executivo e lições aprendidas: entrega de causa-raiz, impacto e plano de estruturação para que a fronteira entre parceiros deixe de ser permeável.
Como a Decripte estrutura a segurança de uma plataforma BaaS
Para além de responder, a Decripte estrutura a plataforma de modo que a próxima falha de autorização seja arquiteturalmente difícil. A estruturação repousa sobre pilares que tornam a segregação entre parceiros uma propriedade do sistema, não uma promessa.
Autorização central por tenant
Uma camada de policy única que toda requisição atravessa, impondo em um só lugar a checagem de que cada objeto e cada função pertencem ao tenant requisitante — eliminando o terreno fértil de IDOR/BOLA disperso por controllers.
Governança de API por parceiro
Credenciais com escopo mínimo, cotas e rate limits próprios, contratos versionados e ciclo de vida de credencial com rotação, de forma que o comprometimento de um parceiro não se propague aos demais.
Segregação de dados verificável
Isolamento lógico dos dados de cada fintech, validado em repouso e em trânsito, com testes que provam que a fronteira se mantém estanque sob carga e sob abuso.
SOC com regras de segregação cross-tenant
Detecção contínua de varredura de objetos, onboarding abusado, anomalias de liquidação e tokens usados fora do perfil do parceiro, com correlação que distingue evento isolado de campanha coordenada.
Segurança no ciclo de release
Teste de autorização cruzada entre tenants integrado ao pipeline e gestão de vulnerabilidades contínua, para que nenhum novo endpoint ou novo parceiro reabra a fronteira sem detecção.
Conformidade desenhada na arquitetura
Controles que servem simultaneamente como defesa e como evidência perante o Banco Central, a LGPD/ANPD, o PCI-DSS e frameworks como ISO 27001 e SOC 2.
Planos recomendados para BaaS (Banking as a Service)
Pentest
Pentest de API multi-tenant focado em BOLA/BFLA e falhas de autorização entre fintechs parceiras — a única forma de provar se a fronteira entre tenants é permeável, com prova de conceito reproduzível por cruzamento.
Ver plano →SOC 24x7
Monitoramento contínuo com correlação cross-tenant para detectar varredura de objetos, onboarding abusado e fraude de liquidação Pix em tempo real, transformando eventos isolados em investigações de plataforma.
Ver plano →Gestão de Vulnerabilidades
A plataforma muda toda semana com novos endpoints e parceiros; a gestão contínua mantém o mapa da superfície atualizado e impede que cada release reabra a fronteira entre tenants.
Ver plano →Conformidade
Estruturação da governança alinhada às normas do Banco Central para instituições e arranjos de pagamento, à LGPD/ANPD, ao PCI-DSS quando há cartão, e a frameworks ISO 27001 e SOC 2 que dão conforto aos parceiros.
Ver plano →Perguntas frequentes
Qual é o maior risco de segurança específico de uma plataforma BaaS?
Falha de autorização multi-tenant — BOLA e BFLA. Como o consumidor da API é uma fintech inteira com acesso programático legítimo a milhares de contas, basta um endpoint que confie no token sem amarrar o objeto ao tenant para que uma fintech leia ou movimente recursos de outra na mesma stack. O ponto de partida para mapear esse risco é o diagnóstico gratuito em decripte.io/free.
Por que um pentest comum não encontra essas falhas?
Falhas de autorização são lógicas, não sintáticas. Scanners automáticos veem uma resposta HTTP 200 e a consideram saudável. Só um pentest que opere com dois ou mais contextos de tenant legítimos e tente cruzá-los consegue provar que o endpoint vaza entre parceiros. É exatamente o pentest de API multi-tenant da Decripte.
Como impedir que o onboarding vire fábrica de contas-laranja?
Tratando o onboarding como superfície técnica de ataque, não só como tema de compliance: rate limits no cadastro, device fingerprint, correlação de fraude, validação documental robusta e telemetria correlacionável no SOC para detectar criação de contas em rajada num parceiro específico.
Quais normas regulatórias se aplicam a um provedor BaaS no Brasil?
O arcabouço do Banco Central para instituições de pagamento, arranjos de pagamento e o arranjo do Pix, que exigem política de segurança cibernética, gestão de riscos e continuidade. Somam-se a LGPD e as diretrizes da ANPD sobre dados pessoais, o PCI-DSS quando há dados de cartão, e frameworks como ISO 27001 e SOC 2 que dão conforto aos parceiros.
O que significa SLA de contenção de até 1 hora num incidente BaaS?
Significa que, a partir da detecção, a Decripte isola o tenant ou credencial comprometida, revoga tokens e bloqueia o vetor explorado em até uma hora — de forma cirúrgica, preservando a disponibilidade para os demais parceiros saudáveis da plataforma.
Como o SOC distingue um incidente de um parceiro de uma campanha contra a plataforma?
Pela correlação cross-tenant. Quando o mesmo ASN, padrão de device fingerprint ou rede de contas-laranja toca múltiplos parceiros, o evento deixa de ser do parceiro X e vira uma investigação de plataforma, com resposta proporcional e comunicação regulatória quando aplicável.
Já tenho uma equipe de tecnologia. Por que preciso da Decripte?
Porque a segregação entre tenants exige uma disciplina específica que raramente está no fluxo de uma equipe focada em entregar features: autorização central, teste de autorização cruzada no pipeline, SOC com regras de segregação e gestão de vulnerabilidades contínua. A Decripte estrutura essa disciplina e a mantém viva a cada novo parceiro e endpoint.
Como começo sem compromisso financeiro?
Pelo plano gratuito de Gestão de Ameaças em decripte.io/free, que mapeia a superfície exposta da sua plataforma. A partir do diagnóstico, os planos pagos adequados — Pentest, SOC 24x7, Gestão de Vulnerabilidades e Conformidade — estão disponíveis de forma self-service em /planos.
Termos do setor
- BaaS (Banking as a Service)
- Modelo em que uma instituição licenciada expõe capacidades bancárias e de pagamento como APIs consumíveis por fintechs e empresas parceiras, que constroem produtos financeiros sem licença própria. O provedor concentra liquidação, KYC e responsabilidade regulatória de múltiplos clientes numa única stack.
- BOLA (Broken Object Level Authorization)
- Falha número um do OWASP API Security Top 10: o endpoint devolve um objeto referenciado por id sem verificar se o requisitante tem direito àquele objeto específico. Em BaaS, permite que uma fintech parceira acesse contas e dados de outra na mesma plataforma.
- BFLA (Broken Function Level Authorization)
- Falha do OWASP API Security Top 10 em que um usuário ou tenant consegue invocar funções privilegiadas ou administrativas para as quais não tem permissão, como endpoints de estorno, ajuste de limite ou operações internas.
- Multi-tenant
- Arquitetura em que uma única instância de software serve múltiplos clientes (tenants) com isolamento lógico. Em BaaS, cada tenant é uma fintech inteira, o que torna o isolamento entre tenants o núcleo do produto e da segurança.
- Conta-laranja
- Conta aberta com dados de terceiros, sintéticos ou de intermediários recrutados, usada para movimentar produto de crime e dificultar o rastreamento. Provedores BaaS são alvo por concentrarem o onboarding de muitas fintechs numa única esteira de KYC.
- Arranjo de pagamento
- Conjunto de regras e procedimentos que disciplinam um serviço de pagamento, como o Pix, sob supervisão do Banco Central. O provedor BaaS responde pela higidez das operações que liquida através desse arranjo.
A Decripte protege e responde a incidentes no setor de baas (banking as a service).
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.