© 2026 Akamai Technologies
Inovação segura no setor de digital banking
Uma das maiores instituições financeiras da Europa com forte presença internacional, o Commerzbank gera valor para os clientes com serviços digitais inovadores, baseados em APIs. Desde o início, o banco enfatizou a criação de soluções altamente reutilizáveis, começando por suas operações CRUD (Create, Read, Update, Delete). Essa abordagem serviu de base para escalabilidade e extensibilidade excepcionais, facilitando a integração de APIs internas e externas ao seu ecossistema com o passar do tempo.
Mas em uma era acelerada pela IA, o Commerzbank entendeu que as medidas tradicionais de segurança não eram suficientes para manter a confiança dos clientes e atender à expectativa crescente por um acesso seguro e contínuo. O banco implementou uma ampla gama de mecanismos robustos, incluindo a adesão aos princípios OWASP, definições de interface bem definidas e limpas, políticas rigorosas, conceitos de token seguro e testes de penetração regulares. No entanto, à medida que as ameaças e a complexidade aumentavam, o Commerzbank precisava de uma solução capaz de se adaptar em tempo real.
Para isso, o banco fez uma parceria com a Akamai e a Deloitte, implantando uma camada dedicada de segurança de APIs que fortaleceu e ampliou a plataforma de gerenciamento de APIs que já usava. A iniciativa ajudou o banco a detectar anomalias, descobrir APIs sombra não gerenciadas e fortalecer a governança entre os departamentos, sem perder a agilidade, a conformidade e a capacidade de escalonar com segurança, conforme o ecossistema de APIs se expande.
Maior visibilidade para além do gateway de APIs
O Commerzbank processa mais de 6 bilhões de chamadas de API por mês, oferecendo suporte a um vasto ecossistema digital de aplicações internas, de clientes e de parceiros. Desde 2017, a empresa conta com a Axway Amplify API Management Platform para gerenciar APIs internas e expostas à Internet. No entanto, à medida que as ameaças se tornaram mais sofisticadas, Volker Sulzbach, engenheiro de software e arquiteto de soluções sênior, percebeu que era necessário implantar uma proteção robusta para APIs.
"Nossa plataforma de gerenciamento de APIs cumpre bem seu papel", disse Sulzbach. "Mas queríamos encontrar uma forma de identificar comportamentos anormais de APIs e possíveis ataques antes de causarem problemas."
Enquanto a central de operações de segurança (SOC) do banco cuidava da proteção de rede mais ampla, como firewalls, a equipe de Sulzbach queria supervisionar diretamente todas as APIs relacionadas ao negócio para detectar anomalias e APIs sombra antecipadamente, sem comprometer a inovação.
Apresentando o Akamai API Security
Depois de avaliar vários fornecedores, o Commerzbank escolheu a solução API Security da Akamai, que descobre, classifica e protege as APIs constantemente em todos os ambientes. "A detecção de anomalias era nossa maior prioridade", disse Sulzbach.
"Precisávamos de uma avaliação baseada em comportamento, não só de inspeções de chamadas individuais. Com a Akamai, isso é possível", continuou ele. Usando a detecção de anomalias baseada em aprendizado de máquina, o API Security identifica comportamento anormais de APIs, possíveis usos indevidos e APIs sombra, oferecendo visibilidade total dos pontos de extremidade gerenciados e não gerenciados.
"Foi impressionante ver como o API Security ajuda a identificar APIs não autorizadas e a incorporar a segurança durante a fase de desenvolvimento", explicou Sulzbach.
Escalonamento da proteção para milhares de APIs
A primeira fase de implementação começou com o gateway de sandbox do Commerzbank, usado para simular e testar APIs antes de entrarem em operação. Após a equipe confirmar a precisão e responsividade do API Security, cerca de 25 APIs de produção foram protegidas de início.
"Primeiro, queríamos definir as regras, reduzir os falsos-positivos e garantir que nossas equipes conseguissem responder aos alertas. Na próxima fase, vamos ampliar o uso do API Security", explicou Sulzbach.
Com isso, milhares de APIs e pontos de extremidade serão cobertos, fornecendo visibilidade e segurança contínuas de todo o tráfego interno e externo.
Alinhamento das metas de governança e conformidade
A solução fortaleceu não só a segurança, mas também a estratégia de governança de APIs do Commerzbank. O banco impõe padrões rigorosos para a nomenclatura e formatação de APIs com o objetivo de manter a consistência e a transparência. No entanto, para acelerar os lançamentos, alguns proprietários de APIs burlavam regras, como evitar abreviações e termos em alemão.
Com o API Security, isso não acontece mais. "Agora temos visibilidade de todas as APIs relacionadas ao negócio e, assim, temos certeza de que elas seguem nossas regras de governança", disse Sulzbach. "Isso nos dá respaldo junto à gestão e facilita a comprovação para as autoridades reguladoras, como o Banco Central Europeu, de que estamos protegendo nossas APIs proativamente."
Prioridade para a implantação no local, com a flexibilidade de SaaS
Embora a Akamai ofereça o API Security como SaaS, o Commerzbank optou por começar com uma implantação no local para ter maior controle e agilizar a integração. Essa adoção em etapas ajuda a equipe a ganhar confiança, refinar políticas e, aos poucos, integrar a solução aos fluxos de trabalho nativos da nuvem à medida que a estrutura de segurança amadurece.
"Não se trata de deixar a nuvem de lado. Queríamos começar rapidamente, validar a solução e manter nossos dados de segurança dentro do banco, aproveitando todos os benefícios da detecção", explicou Sulzbach.
Parceria com a Deloitte para implantação rápida
Para simplificar a implantação e a configuração, o Commerzbank fez uma parceria com a Deloitte, que ofereceu suporte técnico e estratégico. Isso ajudou a acelerar a configuração, ajustar as regras e preparar a equipe interna do banco para gerenciar a plataforma no longo prazo.
"A Deloitte tem um conhecimento profundo do nosso ambiente e da tecnologia da Akamai, oferecendo orientações claras e expertise especializada que simplificaram a implantação", disse Sulzbach.
Proteção contínua de APIs em nível global
Ao adotar o Akamai API Security, o Commerzbank se posicionou para reduzir riscos, fortalecer a conformidade e inovar com segurança em um ecossistema financeiro cada vez mais conectado. O banco pretende integrar o API Security a todas as APIs do negócio, viabilizando a proteção contínua do design à execução. Na prática, a solução irá alertar os proprietários de APIs sobre possível uso indevido, capacitar as equipes a corrigir vulnerabilidades logo no início e até bloquear ameaças automaticamente.
"Queremos proteger nosso vasto ambiente de APIs da melhor maneira possível. O API Security nos permite fazer justamente isso ao catalogar, verificar e proteger as APIs que importam para o negócio", concluiu Sulzbach.
Sobre o Commerzbank
Com dois segmentos de negócios (clientes corporativos e pessoas físicas/pequenas empresas), o Commerzbank é um banco completo, com um portfólio abrangente de serviços financeiros. Referência no atendimento a clientes corporativos na Alemanha e às empresas familiares do Mittelstand alemão, ele é um forte parceiro de quase 24.000 grupos de clientes corporativos. Com mais de € 400 bilhões em ativos sob custódia, o Commerzbank também é um dos principais bancos para pessoas físicas e pequenas empresas no país. Ele oferece uma grande variedade de produtos e serviços com uma abordagem omnicanal, com atendimento on-line e móvel, por telefone ou vídeo, na central de consultoria remota, além do atendimento presencial em cerca de 400 agências.
Sobre a Akamai
A Akamai é a empresa de cibersegurança e computação em nuvem que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, inteligência avançada contra ameaças e equipe de operações globais oferecem defesa em profundidade para garantir a segurança de dados e aplicações empresariais em todos os lugares. As abrangentes soluções de computação em nuvem da Akamai oferecem desempenho e acessibilidade na plataforma mais distribuída do mundo. Empresas globais confiam na Akamai para obter a confiabilidade, a escala e a experiência necessárias para expandir seus negócios com confiança. Saiba mais em akamai.com/pt e akamai.com/pt/blog ou siga a Akamai Technologies no X e no LinkedIn.