Segurança de dados: a Superlógica se preocupa com isso

Recentemente, o Facebook virou notícia no mundo todo após a revelação de que dados de 50 milhões de usuários da plataforma haviam sido empregados de forma ilícita para fomentar a eleição americana de 2016 – que alçou Donald Trump à presidência dos Estados Unidos – e, também, na campanha pró-Brexit – que decidiu a saída do Reino Unido da União Europeia.

O escândalo expôs a fragilidade da mais relevante rede social da atualidade, que reúne nada menos que 2,13 bilhões de pessoas nos quatro cantos do planeta. O caso, que colocou sob o holofote a questão da segurança de informação, teve início em 2014, quando um pesquisador da Universidade de Cambridge, no Reino Unido, lançou o quiz “This Is Your Digital Life” ou, na versão em português, “Esta é a sua vida digital”. Para participar do jogo, o interessado permitia a conexão ao aplicativo através de sua conta no Facebook.

Sem poder avaliar as implicações futuras, cerca de 300 mil pessoas compartilharam assim suas informações pessoais e de sua rede de amigos. Posteriormente, o pesquisador e idealizador do aplicativo vendeu as informações obtidas para outra empresa, a Cambridge Analytica, responsável, por sua vez, pelo uso dos dados nas campanhas americana e inglesa.

Desde então, o tema privacidade vem ganhando fôlego em discussões globais. O próprio Facebook, que possui ações listadas na bolsa de valores dos Estados Unidos, amargou prejuízos bilionários e se viu obrigado a se justificar publicamente sobre as medidas que seriam adotadas para a proteção dos dados de seus usuários.

A plataforma admitiu que teve de suspender até agora algo em torno de 200 aplicativos terceiros, que agiam de forma semelhante ao que deu origem ao escândalo da Cambridge Analytica.

 

Por que a segurança de dados é importante para sua empresa?

O caso envolvendo o Facebook revelou a ocorrência de uma grave violação dos dados de seus usuários. E incidentes como esse expõe a vulnerabilidade com que informações privadas são tratadas, dando condições para que a visualização, roubo ou até o uso por pessoas não autorizadas se tornem possíveis.

Dentro de uma rede social, por exemplo, os usuários lidam o tempo todo com demandas de compartilhamento de dados sem que possam necessariamente compreender a extensão de suas decisões.

Especialistas em segurança de informação analisam que, nesse caso, o Facebook tem poucas condições de auditar o uso de tudo o que é coletado por terceiros em sua plataforma. Isso ocorre mesmo que esteja proibida em sua política a venda ou repasse de qualquer informação obtida dentro dessa rede social.

Esse escândalo recente ilustra uma preocupação que tem crescido no que concerne a exposição e vulnerabilidade dos sistemas.

Por isso, quando o assunto é segurança de informação, uma empresa precisa compreender a importância da preservação e integridade de dados. No momento de contratar um parceiro tecnológico, é necessário entender todas as ameaças – acidentais ou intencionais – que podem incorrer sobre dados de cartões de crédito, informações de identificação pessoal, segredos comerciais, entre outros.

Situações de vulnerabilidade de dados, acarretam danos de dimensões catastróficas aos negócios de uma empresa. A perda da confiança por parte dos clientes gera o cancelamento de contratos, além de prejuízos financeiros com possíveis ações judiciais.

O que é o PCI-DSS?

Já que falamos em proteção de cartões de crédito, existe um padrão de segurança global para o uso dos dados, manuseio e armazenagem, que reúne requisitos e normas que devem ser adotados por empresas da indústria de pagamentos, o PCI-DSS (Payment Card Industry – Data Security Standard).
Formado há mais de 10 anos por operadoras de cartão, o objetivo da entidade é atuar na detecção de ameaças e na otimização das práticas, formando profissionais de segurança e certificando empresas que atuam diretamente ou oferecem ao mercado soluções em pagamento.

Para receber o certificado de PCI Compliance, as empresas precisam realizar esforços e investimentos para adequarem seus sistemas, além de terem de monitorar constantemente os riscos, por meio de auditorias que devem ser conduzidas por empresas que também estejam em conformidade com os padrões PCI.

Os requerimentos básicos do PCI-DSS envolvem:

– Manutenção da segurança da rede de dados;
– Proteção das informações dos portadores dos cartões;
– Manutenção de um programa de gerenciamento de vulnerabilidades;
– Controle de acessos;
– Manutenção de uma política de segurança de informações.

Como contratar um fornecedor certificado pelo PCI-DSS?

De acordo com o PCI Council, a melhor forma de contratar um parceiro tecnológico é se certificando de que ele esteja em conformidade com os padrões globais de segurança.
A entidade recomenda que o contratante solicite o atestado de conformidade do PCI-DSS do prestador de serviços para verificar se a avaliação inclui o serviço que será utilizado.

A empresa pode também fazer questionamentos pontuais para compreender como funcionam os processos do fornecedor, entre os quais estão:

– A captura e transmissão seguras dos dados do portador do cartão;
– As garantias de que o fornecedor se manterá em conformidade e/ou que será validado de acordo com o PCI-DSS;
– A necessidade de armazenagem de informações do cartão;
– A proteção das informações de pagamento com criptografia forte;
– A definição de como será prestado o suporte e a proteção em caso de violação de dados;
– A manutenção do monitoramento para evitar violações de dados e atividades suspeitas.
O PCI Council orienta ainda que a melhor maneira de se proteger contra violações é não armazenar dados de cartões de nenhuma forma. Para isso, a entidade recomenda a terceirização do processamento de cartões para um prestador de serviços em conformidade com o PCI DSS.

PJBank: é certificado pelo PCI-DSS

Como vimos, toda empresa que opere dados de cartões de crédito, precisa estar devidamente credenciada junto ao PCI.
Por isso, o PJBank – um serviço de meio de pagamento integrado ao sistema Superlógica – oferece o máximo desempenho nos pagamentos recorrentes e avulsos, simplificando a comunicação entre as administradoras de condomínios e os adquirentes, com a segurança do cofre PCI.

O serviço adota medidas rigorosas de controle de dados de cartões e transações, usando criptografia para garantir a segurança e a proteção do titular do cartão, dessa forma, nem mesmo o PJBank tem acesso a essas informações.

O ambiente segue o padrão de segurança PCI-DSS, sendo monitorado constantemente para identificar e gerenciar vulnerabilidades.

“Além da auditoria de segurança que deve acontecer anualmente, existe também uma auditoria bimestral. Implementamos essa frequência em virtude do desenvolvimento ágil de nossos produtos e serviços”, explica Matheus Fidelis, desenvolvedor responsável pela área de segurança de dados da Superlógica.

O cliente que utiliza o PJBank tem a garantia de que os dados de seus clientes estão trafegando em um sistema seguro, que ainda oferece a vantagem de fazer re-tentativas de cobrança.

 

Como funciona a segurança de dados na Superlógica?

Dentro da Superlógica os temas segurança e performance são prioridades. Com um sistema robusto e dinâmico, a Superlógica garante todos os procedimentos de segurança alinhados ao PCI-DSS.
Itens como confidencialidade, integridade e disponibilidade de dados estão garantidos no sistema, que usa tecnologia de armazenagem de dados nas nuvens (ou cloud, como é conhecido o termo em inglês). Tudo para prover um ambiente totalmente online e seguro, com acesso garantido em qualquer dispositivo, 24 horas por dia, 7 dias por semana.

“Usamos as melhores práticas para oferecer segurança ao nosso cloud. Seguimos as recomendações e procedimentos do PCI. Somos escaneados e avaliados mensalmente pela Qualys Inc, uma empresa americana contratada para ampliar nossa segurança”, comenta Matheus.

A Superlógica usa o Amazon AWS, fornecedor certificado pelo PCI compliance, para hospedar seu cloud. São mais de duas dezenas de servidores de alto desempenho alocados no maior e melhor data center do mundo. E esta capacidade computacional é automaticamente ampliada quando há aumento de demanda.

“Acompanhamos todas as requisições, erros, tentativas de invasão ou problemas de performance de perto usando o NewRelic, uma ferramenta que auxilia no diagnóstico de possíveis problemas de performance. Assim qualquer situação não prevista, pode ser contornada rapidamente”, completa Matheus.

O sistema da Superlógica utiliza backup de dados redundante, ou seja, há sempre um processador sendo executado, com disponibilidade de 99,9% durante o ano, mesmo em caso de qualquer tipo de falha operacional. Isso garante a recuperação e restauração de dados em segundos.

Além de facilitar o uso simultâneo e colaborativo, o sistema cloud permite a inserção gradual de melhorias, o que exclui o risco do uso de versões desatualizadas ou vulneráveis em termos de segurança.

Superlógica: soluções seguras

A Superlógica oferece um sistema robusto e eficaz, alinhado às boas práticas do mercado. Com ele, os clientes não precisam se preocupar com acessibilidade, integridade e disponibilidade de dados.

O resultado é a garantia de funcionamento em 99,9% do tempo, com garantia de recuperação e proteção de dados diante de qualquer tipo de falha operacional.

As demandas de pagamentos também estão seguras com o PJBank, que presta serviço certificado dentro dos padrões internacionais PCI-DSS.

Clique aqui para saber mais sobre os outros recursos do Superlógica Condomínios.