A Catho, site líder em classificados de emprego online no país, simplificou e acelerou o processo para atingir a conformidade com o padrão PCI-DSS 3.2 e obteve controles mais precisos dos dados de cartões de crédito que armazenavam de seus usuários.

Pioneira em seu segmento, a Catho conta com mais de 7 milhões de currículos cadastrados, sendo 3 mil novos currículos por dia, e oferece uma série de ferramentas que ajudam seus clientes na carreira e a buscar novas colocações no mercado de trabalho.

De acordo com Eber Duarte, head de infraestrutura de TI da Catho, um dos maiores desafios da empresa era atingir a conformidade com o padrão PCI-DSS 3.2, que passa a valer em fevereiro de 2018, e inclui uma série de novos requisitos, como maior documentação, novas regras de criptografia e testes de segurança e múltiplo fator de autenticação.

Com o auxílio do serviço de consultoria em segurança da iBLISS Digital Security, especializada em segurança digital, a Catho simplificou o processo de atingimento da conformidade com o padrão PCI-DSS 3.2 e obteve mais agilidade na documentação, na implementação de controles e na execução de testes de segurança.

Desafios

Segundo Duarte, a implementação das exigências do padrão PCI-DSS  era um dos maiores obstáculos. “A complexidade do PCI é um grande desafio. São muitos elementos para atender, mais de 300 controles para poder garantir a segurança dos sistemas. Ou seja, são muitos detalhes difíceis de elencar. Quando não se tem um conhecimento prévio nesse tipo de adequação, é difícil entender como alguma solução pode simplificar o atingimento desses controles e a garantia da adequação ao protocolo”, explica Duarte.

Para lidar com isso, os profissionais da Catho precisariam de orientação sobre os tipos de ações e controles que deveriam implementar e, especialmente, sobre os tipos de soluções e ferramentas que poderiam simplificar esse trabalho.

Na área de gestão de vulnerabilidades, Duarte acrescenta que a empresa contava apenas com uma solução de análise de vulnerabilidades que não servia aos propósitos do PCI-DSS, pois apenas atendia às demandas de proteção do perímetro.

“A gestão de vulnerabilidades para o PCI é mais difícil de gerir, pois as ferramentas de varredura são diferentes. Por isso, tínhamos de implementar uma série de novas soluções que rodassem no escopo do PCI. Foi nessa hora que fomos atrás de um parceiro”, afirma Duarte.

Solução do problema

Ao buscar os serviços da iBLISS Digital Security, os profissionais da empresa sugeriram o serviço de consultoria, que inclui a documentação de processos e a proposição de soluções e testes de segurança, incluindo toda a parte de análise de vulnerabilidades.

Um dos maiores desafios do PCI-DSS é reduzir ao mínimo necessário o escopo dos dados sensíveis para adotar os controles no menor ambiente possível e, assim, dar mais simplicidade e agilidade aos processos.

A iBLISS ajudou a definir políticas de segurança, os controles e os testes de segurança mais adequados ao ambiente de TI da Catho, bem como reduzir o escopo do PCI-DSS, além de ter auxiliado na implementação de uma solução de gestão e correlacionador de logs e eventos (SIEM).

Com o auxílio do serviço de consultoria em segurança, a Catho atingiu seu objetivo de adequar-se ao PCI-DSS e ganhou, ainda, mais agilidade e simplicidade ao implementar as ações necessárias.

“Demos um primeiro passo e construímos uma infraestrutura sólida de proteção dos dados de cartões de crédito que também nos deu um controle muito maior dessas informações. Agora estamos na última etapa para obter o processo de certificação”, explica Duarte.

“A iBLISS faz um trabalho bastante direcionado e focado na área de testes de invasão, com uma apresentação de resultados que nos ajudou a atuar, no sentido de resolver o que estava exposto. A empresa conta com profissionais bastante gabaritados. São pessoas que realmente entendem o que estão fazendo. Por isso, foi um trabalho interessante e com resultado bastante produtivo.”

Eber Duarte, head de infraestrutura de TI da Catho