Desde a sua fundação em 2016, a Pismo ganhou rapidamente reconhecimento global por impulsionar a inovação e melhorar a capacidade de operação de alguns dos maiores bancos e instituições financeiras, mantendo altos padrões de segurança e disponibilidade na vanguarda das soluções de banco digital e pagamento que disponibiliza no mercado.
A empresa de tecnologia com sede no Brasil, e também com escritórios nos Estados Unidos e no Reino Unido, oferece uma plataforma completa e nativa na nuvem para processamento bancário e de pagamentos via a AWS, plataforma de nuvem da Amazon. Sua solução fornece APIs para aplicativos da web ou móveis dos clientes para que eles possam aproveitar a infraestrutura da Pismo como seu back-end de operações. Usando o Pismo, bancos e empresas de tecnologia financeira podem lançar rapidamente no mercado soluções de pagamento seguras.
Como os aplicativos de pagamento hospedam uma grande quantidade de informações pessoais, eles precisam ser comprovadamente seguros, e as empresas escolhem repetidamente o Pismo porque eles levam a segurança muito a sério.
Em um esforço recente para garantir ainda mais a segurança de seu software, a Pismo trouxe Ubirajara Aguiar Jr. para construir e liderar a equipe de DevSecOps. Aguiar imediatamente assumiu o controle com uma visão do desenvolvimento de sistemas bastante completa, avaliando o status da segurança do aplicativo (AppSec) em sua organização e identificando potenciais áreas de melhoria.
Suas recomendações incluíam o conceito de ‘mover mais segurança para a esquerda’ – considerar segurança desde o início do ciclo de vida de desenvolvimento de software (SDLC) – e buscar um fornecedor de AppSec com um conjunto mais abrangente e escalável de tipos de teste para este ambiente.
“Avaliamos os fornecedores de AppSec com as mais altas classificações, e como líder no Quadrante Mágico do Gartner, a Checkmarx era uma forte concorrente nesta área”, disse Aguiar.
Para restringir a lista de fornecedores em potencial, a equipe de DevSecOps da Pismo apresentou uma lista de recursos ‘obrigatórios’. Já para começar, a solução escolhida precisava oferecer suporte a várias linguagens de desenvolvimento, oferecer integração bidirecional com ferramentas de rastreamento de bugs, criar e fechar tíquetes automaticamente e identificar falsos positivos recorrentes. A solução também precisava ser amigável ao desenvolvedor, com a capacidade de integrar e automatizar as ferramentas e processos existentes dos desenvolvedores.
“Sempre pensamos em nossos desenvolvedores ao buscar novas ferramentas”, explicou Aguiar. “Queríamos que a transição fosse suave e transparente e não queríamos que eles se preocupassem em lidar com tíquetes ou controlar cartões. Procuramos especificamente ferramentas que tornassem o trabalho de nossos desenvolvedores mais fácil e produtivo.”
Por último, mas igualmente importante, a ferramenta precisava possibilitar políticas flexíveis para interromper a compilação caso vulnerabilidades de alto ou médio risco fossem identificadas.
A Checkmarx atendeu esta lista de requisitos e mais vários outros, tornando-se o vencedor claro no comparativo. A primeira solução da Checkmarx na qual a Pismo investiu foi o Static Application Security Testing (SAST).
O SAST é uma solução de teste de segurança de aplicativos de nível empresarial que fornece análise de código fonte de alta velocidade, totalmente automatizada, flexível e precisa para identificar erros de segurança que podem levar a vulnerabilidades no código. Com a flexibilidade de executar varreduras completas e incrementais sempre que necessário, o Checkmarx SAST fornece à equipe da Pismo relatórios abrangentes e altamente precisos que priorizam as vulnerabilidades de acordo com sua gravidade, orientando os desenvolvedores sobre o que precisam corrigir primeiro. O SAST Checkmarx também oferece suporte a uma lista completa de linguagens de programação e frameworks.
A Pismo também investiu no Checkmarx Software Composition Analysis (SCA), que se integra ao SAST. Eles usam o SCA na nuvem para fornecer ampla cobertura de segurança para código-fonte aberto e personalizado. Com o Checkmarx SCA, a Pismo é capaz de descobrir vulnerabilidades não apenas no código de terceiros que seus desenvolvedores usam diretamente, mas também vulnerabilidades em quaisquer dependências que o código de terceiros venha a chamar.
Desde a implementação das ferramentas, houve uma grande mudança na cultura de segurança da Pismo. “Os desenvolvedores têm usado ativamente Checkmarx SAST e SCA.” Como destaca Aguiar, certamente é uma grande ajuda que “as ferramentas estejam tão bem integradas em nossos processos”.
A Pismo já possui políticas em vigor para o Checkmarx SAST. “As equipes corrigem apenas problemas considerados de baixo risco, e o Checkmarx bloqueia que novos problemas de alto ou médio risco sejam incorporados ao código. É uma sensação ótima ver isto acontecendo.”
A equipe também está trabalhando duro na estratégia de SCA usando Checkmarx. “Agora estamos focados em avaliar as vulnerabilidades e atribuir a elas uma das quatro classificações: uma sendo a mais crítica e vulnerável; dois sendo potencialmente vulneráveis, mas sem informações suficientes; três usando pacotes com vulnerabilidades relatadas, mas não em condições vulneráveis, e quatro usando pacotes desatualizados sem vulnerabilidades”, disse Aguiar.
A redução do risco foi tão impressionante que Aguiar e sua equipe de DevSecOps puderam mostrar ao Information Security Head/CISO da Pismo, Leonardo Carmona, e aos executivos de negócios da empresa, as métricas críticas e os KPIs que apontam o progresso desde a implantação do Checkmarx.
“Fizemos um gráfico traçando riscos e vulnerabilidades e, a princípio, havia um grande número de questões com alto risco. Agora, cada um deles está na marca zero, já que todos foram corrigidos”, finalizou Aguiar. Em suma, “o dinheiro que investimos na Checkmarx foi muito bem gasto”.
A Pismo está entusiasmada para continuar trabalhando com a Checkmarx e manter seus aplicativos e clientes sempre seguros.
Para saber mais sobre os desafios e soluções que levaram ao sucesso da Pismo, baixe o estudo de caso completo clicando aqui.
