A morte do fundador da QuadrigaCx, Gerald Cotten em fevereiro de 2019, acendeu um sinal amarelo no mercado de criptomoedas relacionado a segurança dos ativos e wallets. Cotten era o único que detinha as chaves privadas dos clientes, então, a corretora ficou devendo cerca de US$ 190 milhões.
Existe uma série de medidas de segurança que uma firma cripto pode adotar para evitar esse erro. O primeiro é oferecer total transparência na gestão dos recursos e acessos. “No caso da Transfero, por exemplo, todos os sócios executivos (cinco) possuem acesso às chaves das cold e hot wallets da empresa. Além disso, não é permitido que dois diretores e/ou sócios internacionais peguem um mesmo voo”, afirma o CEO Márlyson Silva.
Márlyson Silva
CIO Transfero Swiss AG
Márlyson Silva
CIO Transfero Swiss AG
Internamente nossos sistemas possuem rígidos controles de autenticação e autorização para garantir que somente os funcionários adequados possam ter o grau de acesso e visibilidade das informações estritamente necessárias para o escopo das suas atividades
Gestão de dinheiro e cripto
O executivo conta ainda que a Transfero não faz gestão e guarda do dinheiro para os clientes. Ou seja, para os que desejam apenas comprar criptos, a firma valida as informações do cliente, confirma o pedido de compra e envia os ativos para a carteira dele.
Da mesma forma, investidores que desejam comprar cripto para investirem em algum portfólio, a empresa adota as mesmas medidas (validação, confirmação e fechamento) e envia as criptomoedas para a wallet do usuário.
Quando os clientes fazem a transferência de recursos próprios em criptomoedas para a wallet da empresa, são utilizadas carteiras multi-assinadas. Ou seja, carteiras de criptomoedas nas quais pelo menos três pessoas precisam validar a operação. Caso a transação faça parte de alguma operação diária, a firma suíça utiliza uma carteira operacional onde os recursos dos clientes ficam concentrados. Para os casos de portfólios (gestão), dependendo do tamanho do investimento, a gestão dos recursos do cliente é feita em uma carteira separada mas também multi-assinada.
Backup e nuvem
“A proteção das informações é garantida dentro dos padrões de segurança garantidos pelos provedores de serviços que utilizamos na nuvem de provedores como Amazon e Microsoft, desde que configurados adequadamente seguindo as melhores práticas e processos para a sua utilização”, afirma Márlyson.
“Internamente nossos sistemas possuem rígidos controles de autenticação e autorização para garantir que somente os funcionários adequados possam ter o grau de acesso e visibilidade das informações estritamente necessárias para o escopo das suas atividades. Cada ação de acesso (leitura), edição, ou criação de um novo registro, seja uma transação ou um cadastro de um novo cliente, geram informações de log que chamamos de auditoria. Ou seja, mesmo um acesso que não altere informação na nossa base de dados, como uma consulta, gera um registro de auditoria que identifica o funcionário que fez esse acesso. Dessa forma temos o histórico para uma eventual investigação sobre o acesso das nossas informações”, reforça Márlyson Silva.
