book_icon

Grupo Bio Ritmo escolhe Cipher para fazer adequação às regras e normas de compliance

Cipher atuou na análise minuciosa dos requisitos de segurança especificados pelo PCI-DSS que se aplicam a todos os elementos envolvidos no processamento de dados de pagamentos de cartões
Grupo Bio Ritmo escolhe Cipher para fazer adequação às regras e normas de compliance

A Cipher, empresa do Grupo Prosegur especializada em cibersegurança, foi escolhida pelo Grupo Bio Ritmo, a maior rede de academias da América Latina, para fazer a adequação ao PCI DSS. O Payment Card Industry – Data Security Standard (PCI-DSS) é um padrão de mercado envolvendo a segurança no uso de cartões de crédito. Os requisitos de segurança especificados no PCI-DSS se aplicam a todos os elementos dos sistemas que participam do processamento de dados de cartão de crédito. Entre eles, os componentes de rede, servidores, aplicativos e os gerenciadores de bancos de dados envolvidos quando um número de cartão de crédito é transmitido, processado ou armazenado durante o fluxo de uma transação comercial.
Bio Ritmo fundada em 1996, conta com 29 unidades pelo Brasil, e tem como finalidade garantir serviços de qualidade e alto valor agregado a seus clientes. Em 2009 inaugurou a Smart Fit, que atualmente é a maior rede de academias esportivas da América Latina e a 3ª maior do mundo, com mais de 500 unidades em 24 estados brasileiros, além de operações no México, Chile, Argentina, Equador, Guatemala, Panamá, República Dominicana, Peru e Colômbia, somando mais de 2 milhões de clientes. Juntas elas formam o Grupo Bio Ritmo, o maior do setor de academias da América Latina e 11º maior no mundo – Fonte: IHRSA (International Health, Racquet & Sportsclub Association).

“O projeto seguiu um cronograma bastante audacioso para conseguir cobrir todos os países envolvidos, onde tivemos muita ajuda dos recursos da SmartFit envolvidos neste projeto, desde a área de segurança da informação até os pontos focais que fizeram o acompanhamento on-site”  

Renne Augusto Cardoso, Head de Segurança da informação do grupo, sentiu a necessidade de adequação frente a PCI DSS, para que todas as unidades se mostrassem aderentes às normas do mercado de meios de pagamentos por cartões, e obtivesse a Certificação de Segurança do mais alto nível de qualidade. “Procuramos a Cipher, que além de ser especialista em segurança cibernética possui um corpo técnico capacitado e certificado em PCI-DSS, para nos ajudar nesta árdua tarefa”, explica Cardoso.
Isso também se mostrou necessário, devido ao grande número de transações realizadas pelo Grupo. As adquirentes estabelecem níveis, e de acordo com esses níveis, as empresas são obrigadas a reportar diferentes tipos de relatórios de aderência, para que possam ser realizados uma gestão de risco em que ela (adquirente) está sendo submetida. Isso é feito com base volumetria, que no caso em questão, deve estar em torno, ou mais, de 6 milhões por ano.
O projeto teve início em 2018, quando a Cipher preparou um relatório de avaliação para que fosse enviado às adquirentes (companhias que efetuam as transações financeiras, ou seja, são instituições que aceitam o pagamento realizados durante uma compra), chamado de SAQ-D. Ao final desta etapa e com os resultados em mãos, o grupo foi orientado sobre uma série de ações que seriam necessárias para que tivessem um esforço melhor direcionado para adequação de todo o ambiente PCI DSS.
Um dos principais problemas e desafios apontados durante a avaliação foi sobre a uniformidade dos métodos de captura de dados do cartão. “Como o mercado da Smart Fit é muito amplo, e atendem quase toda a América Latina, e cada país tem uma forma diferente de tabular dados isso obrigou a fazer uma adaptação interna nos sistemas para fornecer um jeito único de “encarcerar” os dados do cartão, que será utilizado em toda a América Latina”, explica Eduardo Justo, Latam GRC Manager da Cipher.
Outro fator de grande dificuldade e atenção foi verificar os pontos que não estavam em conformidade ao padrão exigido. “A aplicação das melhores práticas de segurança em mercados não tão maduros, como é o caso do mercado brasileiro, foi um grande desafio superado pela equipe da Cipher”, completa.
Já em 2019, a Cipher juntamente com a SmartFit, definiu uma estratégia de execução do projeto de adequação do PCI DSS, envolvendo toda a atuação do grupo na América Latina, onde foram avaliadas as estruturas de processamento de dados de cartão em mais de 10 países, traduzido análise de gaps com auxílio na criação de planos para adequação da companhia e a avaliação do PCI DSS em si.
“O projeto seguiu um cronograma bastante audacioso para conseguir cobrir todos os países envolvidos, onde tivemos muita ajuda dos recursos da SmartFit envolvidos neste projeto, desde a área de segurança da informação até os pontos focais que fizeram o acompanhamento on-site”, explica Eduardo. “Na matriz em São Paulo, nós realizamos uma validação centralizada de toda estrutura de gestão de Segurança da Informação. Depois destas atividades, muitas tarefas foram executadas para que a companhia estivesse mais próxima da aderência”, completa.
“Na percepção da Cipher os maiores problemas estão relacionados ao conhecimento do escopo do PCI e tradução dos requisitos como parte integral do negócio, que, por meio de muito alinhamento entre consultoria e cliente, felizmente foi possível tornar o PCI algo mais simples e factível à realidade da empresa”, comemora Eduardo.

CIPHER

Eduardo Justo

Grupo Bio Ritmo

Payment Card Industry – Data Security Standard

PCI-DSS

Renne Augusto Cardoso

Smartfit

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital

Agenda & Eventos

Cadastre seu Evento