O Grupo Bio Ritmo, rede de academias presente na América Latina, já está adequado ao PCI DSS. O Payment Card Industry – Data Security Standard (PCI-DSS) é um padrão de mercado envolvendo a segurança no uso de cartões de crédito. Os requisitos de segurança especificados no PCI-DSS se aplicam a todos os elementos dos sistemas que participam do processamento de dados de cartão de crédito. Entre eles, os componentes de rede, servidores, aplicativos e os gerenciadores de bancos de dados envolvidos quando um número de cartão de crédito é transmitido, processado ou armazenado durante o fluxo de uma transação comercial.
Renne Augusto Cardoso, Head de Segurança da informação do grupo, sentiu a necessidade de adequação frente à PCI DSS, para que todas as unidades se mostrassem aderentes às normas do mercado de meios de pagamentos por cartões, e obtivesse a Certificação de Segurança do mais alto nível de qualidade. “Procuramos a Cipher, que além de ser especialista em segurança cibernética possui um corpo técnico capacitado e certificado em PCI-DSS, para nos ajudar nesta árdua tarefa”, explica Cardoso. Ele acrescenta que “tudo está interligado. Trabalhar com tantos dados se faz necessário estar dentro das normas do PCI DSS, bem como a LGDP”.
Isso também se mostrou necessário devido ao grande número de transações realizadas pelo Grupo. As adquirentes estabelecem níveis, e de acordo com esses níveis, as empresas são obrigadas a reportar diferentes tipos de relatórios de aderência, para que possa ser realizada uma gestão de risco em que ela (adquirente) está sendo submetida. Isso é feito com base volumetria, que no caso em questão, deve estar em torno, ou mais, de 6 milhões por ano.
O projeto teve início em 2018, quando a Cipher preparou um relatório de avaliação para que fosse enviado às adquirentes (companhias que efetuam as transações financeiras, ou seja, são instituições que aceitam o pagamento realizado durante uma compra), chamado de SAQ-D. Ao final desta etapa e com os resultados em mãos, o grupo foi orientado sobre uma série de ações que seriam necessárias para que tivesse um esforço melhor direcionado para adequação de todo o ambiente PCI DSS.
Desafios
Um dos principais problemas e desafios apontados durante a avaliação foi sobre a uniformidade dos métodos de captura de dados do cartão. “Como o mercado da Smart Fit é muito amplo, e atendem quase toda a América Latina, e cada país tem uma forma diferente de tabular dados isso obrigou a fazer uma adaptação interna nos sistemas para fornecer um jeito único de “encarcerar” os dados do cartão, que será utilizado em toda a América Latina”, explica Eduardo Justo, Latam GRC Manager da Cipher.
Outro fator de grande dificuldade e atenção foi verificar os pontos que não estavam em conformidade ao padrão exigido. “A aplicação das melhores práticas de segurança em mercados não tão maduros, como é o caso do mercado brasileiro, foi um grande desafio superado pela equipe da Cipher”, completa.
Adequações
Já em 2019, a Cipher juntamente com a SmartFit, definiu uma estratégia de execução do projeto de adequação do PCI DSS, envolvendo toda a atuação do grupo na América Latina, onde foram avaliadas as estruturas de processamento de dados de cartão em mais de 10 países, traduzido análise de gaps com auxílio na criação de planos para adequação da companhia e a avaliação do PCI DSS em si.
“A adequação do projeto na LATAM foi um dos principais desafios. Isso porque cada país tem um modo diferente de levantar dados. Fazer com que o sistema ofereça um jeito único de assegurar esses dados do cartão precisou de uma adaptação interna. Mas com ajuda da Cipher ficou muito mais fácil”, ressalta Cardoso.
“O projeto seguiu um cronograma bastante audacioso para conseguir cobrir todos os países envolvidos, onde tivemos muita ajuda dos recursos da SmartFit envolvidos neste projeto, desde a área de segurança da informação até os pontos focais que fizeram o acompanhamento on-site”, explica Eduardo. “Na matriz em São Paulo, nós realizamos uma validação centralizada de toda estrutura de gestão de Segurança da Informação. Depois destas atividades, muitas tarefas foram executadas para que a companhia estivesse mais próxima da aderência”, completa.
“Na percepção da Cipher os maiores problemas estão relacionados ao conhecimento do escopo do PCI e tradução dos requisitos como parte integral do negócio, que, por meio de muito alinhamento entre consultoria e cliente, felizmente foi possível tornar o PCI algo mais simples e factível à realidade da empresa”, comemora Eduardo.
Benefícios e lições aprendidas
Para Cardoso, o projeto tornou o uso do PCI DSS algo mais simples e factível à realidade do Grupo Bio Ritmo. “Antes era complicado tabular dados, visto que, cada País tem uma forma diferente de fazer isso. Sendo assim, foi necessária a ajuda da Cipher para organizar no sistema os dados do cartão de maneira mais segura”.
Como lições aprendidas, Cardoso reforça que segurança de fato é muito importante, afinal ninguém quer ter seus dados veiculados. “Após perceber isso, devido ao grande número de transações, foi necessária a adequação às normas de mercado de meios de pagamento por cartões”.