Prévia do material em texto
UNIVERSIDADE DE SANTO AMARO – UNISA Curso de Tecnologia em Gestão de Segurança Privada PROJETO INTEGRADOR DE SEGURANÇA EM SISTEMAS DE INFORMAÇÃO – 8º MÓDULO Edson José Dos Santos - 4491246 CONDUCTOR TECNOLOGIA São Paulo 2021 UNIVERSIDADE DE SANTO AMARO – UNISA Edson José Dos Santos - 4491246 Trabalho de Projeto Integrador como conclusão do curso de Graduação em Gestão de Segurança Privada. Orientadores: Profª. Cristiane Bessas Juscelino Coordenadora do Curso Superior de Tecnologia em Gestão da Segurança privada-UNISA São Paulo 2021 RESUMO A Conductor Tecnologia é uma empresa especializada na prestação de serviços de alta tecnologia para o mercado de cartões de crédito e de soluções em meios eletrônicos de pagamentos para empresas de todos os tamanhos e áreas de atuação, tanto no varejo como no setor financeiro. Tem como missão simplificar e desburocratizar as trocas financeiras através da tecnologia, com agilidade, foco no cliente, uma visão ampla do negócio e práticas inovadoras com o objetivo maior de sempre garantir sempre a segurança das informações. Falando sobre seus valores a empresa é movida e existe em torno de um questionamento: dos pagamentos simples do dia a dia às transações mais complexas, são todas essas trocas financeiras que movimentam a economia de um país, com base nessas informações essas interações, tão essenciais, deveriam oferecer mais liberdade de escolha e serem feitas para todo mundo. Apesar dos avanços, o acesso ao uso do crédito e aos meios de pagamento ainda é sinônimo de pouca flexibilidade e muitas restrições, e em pleno desenvolvimento. Isso quando, na verdade, a tecnologia deveria acelerar a circulação de bens e serviços para alavancar empresas e empoderar pessoas. O desafio diário é impulsionar trocas, democratizar o crédito e simplificar transações priorizando a confiança dos clientes e a máxima segurança, porque, quando a economia se movimenta, o país cresce e todo mundo sai ganhando. Palavras-chave: Tecnologia; Segurança; Dados; Transações. Sumário 1. 1.INTRODUÇÃO 5 2. DESENVOLVIMENTO 6 3.Histórico da Empresa 6 4. METODOLOGIA DE PESQUISA 7 5. Diagnóstico da Área de tecnologia da Informação na Organização 7 5.1Área de Redes de Computadores 8 5.2 Área de Sistemas de Informação 9 5.3 Pessoas Envolvidas da Área de TI 10 6.ANÁLISE DA SITUAÇÃO DE TECNOLOGIA DA INFORMAÇÃO DA 10 ORGANIZAÇÃO 10 6.1Análise do setor de Prevenção a Fraudes 11 7.CRONOGRAMA DE ATIVIDADES 12 8.REFERÊNCIAS BIBLIOGRÁFICAS 14 5 1.INTRODUÇÃO No mundo as novas tecnologias em várias áreas se desenvolvem de forma cada vez mais rápida, o Brasil passa por grandes mudanças em mercados da economia nacional, como por exemplo, o mercado financeiro e o mercado de capitais, e no setor de bens de consumo. Tais mudanças andam lado a lado com o desenvolvimento tecnológico, para facilitar as trocas e transações financeiras, os pagamentos de bens e serviços consumidos, de forma a garantir cada vez mais segurança, eficiência, simplificação e democratização para todos os setores e classes da Sociedade. A Conductor Tecnologia é uma empresa que busca garantir a segurança das trocas e transações financeiras, deixá-las mais fluídas, simples e eficientes, buscando sempre cada vez melhorar e melhorar seus serviços. Tem uma gama de serviços customizados em larga escala para os clientes trabalhando com todos os meios de pagamentos e contas digitais para gigantes do varejo, grandes bancos e as principais instituições financeiras do país. Para os seus clientes oferece serviços de processamento de meios de pagamentos gerais de forma eletrônica e digital, de proteção e segurança a nível mundial com serviços de prevenção e solução a fraudes, com soluções baseadas em inteligência artificial e Machine Learning, para os consumidores de seus clientes oferece uma área especializada em experiência para negócios dos consumidores etc. Para qualquer empresa ligada a ramos tecnológicos ter sucesso é preciso priorizar a segurança dos seus sistemas de informação. "A segurança da informação de uma empresa garante, em muitos casos, a continuidade de negócio, incrementa a estabilidade e permite que as pessoas e os bens estejam seguros de ameaças e perigos." [BLUEPHOENIX, 2008]. O sucesso da Conductor deriva do foco nessa área, a empresa tem uma política de segurança das informações e dos dados e de prevenção e solução a fraudes excelente, sendo pioneira no Brasil no ramo, e tendo diversos clientes no varejo, instituições bancárias e financeiras relevantes em todo o país. O presente trabalho busca explorar vários conhecimentos sobre a empresa, desde sua história, seu sucesso, sua infraestrutura de tecnologia da informação e as várias ferramentas disponibilizadas para os clientes, hardwares e softwares utilizados, e a análise dos possíveis problemas de segurança e atividades desenvolvidas para resolvê-las. 6 2. DESENVOLVIMENTO 3.Histórico da Empresa Iniciou sua atuação há mais de 20 anos como uma processadora de cartões de crédito private label e bandeirados e, hoje, possui um ecossistema completo que atende diversas frentes da cadeia de pagamentos e compras – como varejo, bancos, instituições financeiras, fintechs e setor de convênios e benefícios. Desenvolveu um modelo de negócios inovador, com soluções, serviços e produtos sinérgicos, e uma plataforma própria conhecida no mercado pela sua flexibilidade e agilidade. É a atual líder nacional em processamento de pagamentos eletrônicos, com crescimento de cerca de 50% ao ano desde 2012. Com o passar dos anos desenvolveu um modelo único e inovador de atuação, com soluções arrojadas e uma plataforma conhecida pela sua robustez e flexibilidade. Além disso, a empresa está 100% em norma com todos os requisitos da legislação brasileira. Atuando de forma pioneira, a Conductor faz parte de um dos maiores grupos de investimento, a Riverwood Capital, empresa de capital privado com foco global que investe em negócios de alto potencial no setor de tecnologia e no mercado de serviços. Hoje a empresa tem 24 milhões de usuários ativos, tem em média 1,2 de bilhões de transações por ano, 100 bilhões de reais processados anualmente, e 75 milhões de cartões emitidos, possuindo a certificação PCI-DSS. Desenvolvida pelo PCI Security Standards Council (PCI SSC), ela fornece padrões para apoiar o pagamento e segurança de dados, sendo um padrão mundial de segurança da informação idealizado pelas operadoras de cartões de crédito e débito. A Conductor encontra-se certificada para a versão mais atualizada do PCI, a versão 3.1. Possui a certificação ISO 27001 – DATA CENTER, a ISO/IEC 27001 é a norma internacional de gestão de segurança da informação. Ela descreve como colocar em prática um sistema de gestão de segurança da informação avaliado e certificado de forma independente. Isso permite que você proteja todos os dados financeiros e confidenciais de maneira mais eficiente, minimizando a probabilidade de serem acessados ilegalmente ou sem permissão e ganhou prêmios de qualidade de serviço VISA para reconhecer o desempenho excepcional das operações de cartões pelos emissores, adquirentes e processadores. A empresa possui vários serviços, funções e cargos específicos, dentre várias áreas, como recursos humanos, psicologia e principalmente áreas ligadas a tecnologia da informação, programação e análise e desenvolvimento de sistemas. Alguns exemplos de funções: Analista de Prevenção a Fraudes, Analista Desenvolvedor Pleno, 7 Programadores, Gerentes, Coordenadores, Supervisores etc. todos posicionados dentro de uma hierarquia. 4. METODOLOGIA DE PESQUISA A metodologia de pesquisa utilizada foi uma pesquisa de caráter exploratória edescritiva em cima das informações da empresa com natureza aplicada e conduzida de maneira livre a buscar informações nas plataformas digitais da empresa. Houve a busca de informações mais específicas através de uma visita à empresa e com uma entrevista com um Analista Desenvolvedor. Quanto à tecnicidade, com a compreensão dos conceitos das plataformas digitais e a experiência prática dentro da empresa, houve formulação de argumentos teóricos que levaram a raciocínios conclusivos lógicos. A metodologia de análise de dados foi bastante específica sem dar abertura para informações que não condissessem com a realidade. O fator principal da pesquisa foi à observação, objetivando a geração de conhecimentos e informações com a meta de analisar na prática a infraestrutura de TI e proteção dos sistemas de informação. 5. Diagnóstico da Área de tecnologia da Informação na Organização Pode-se dizer que na Empresa Conductor Tecnologia a área de Tecnologia da informação é predominante em toda a organização, e representa em torno de 90% dos serviços prestados aos clientes, pois ela é como se fosse o “motor” na engrenagem principal movedora da empresa, e todos os processos são ligados a ela levando o serviço de especialização em segurança de meios de pagamentos e transações de varejistas, instituições bancárias e financeiras com ampla segurança e buscando cada vez mais o aperfeiçoamento. A empresa possui o lema de que em tecnologia, os fins determinam os meios, pois para mover a sociedade, é preciso haver agentes de mudança. A Conductor entende que seu papel é empoderar esses agentes: os clientes. E estimular a evolução do setor como um todo, a fim de que desempenhem seu papel sempre melhor. Esse fim tão nobre pressupõe que se construam os melhores meios para o desenvolvimento industrial da empresa. Nesse contexto, tecnologia é crucial. Mas não qualquer tecnologia. Confiabilidade, escalabilidade, robustez, disponibilidade, segurança e evolução constante são algumas características importantes, mas que já não trazem diferenciais competitivos. O que 8 pode realmente alterar as regras do jogo é dar liberdade para que a inovação aconteça. É por isso que a Conductor desenvolveu uma plataforma totalmente aberta com biblioteca de APIs documentadas, prontas para utilização em ambiente de homologação e produção, que permite o desenvolvimento de novos produtos e soluções customizadas a partir da criatividade e necessidade de cada cliente. Vem evoluindo constantemente sua gama de tecnologia para que seja poliglota, distribuída, escalável e resiliente, referenciada por grandes empresas do setor e respeitada pela comunidade de software. Mesmo seguindo rigorosos padrões de governança em desenvolvimento, busca imprimir a máxima velocidade ao processo, adotando metodologias ágeis, implantação contínua e a divisão das equipes por squads. Programou e segue evoluindo, em parceria com universidades, laboratórios de pesquisa, inovação e desenvolvimento de talentos (Em João Pessoa possui parcerias com a UFPB, IESP e UNIPÊ para desenvolvimento de tecnologias na área da informação). 5.1Área de Redes de Computadores No que diz respeito à rede de computadores da Conductor, eles compartilham dos mesmos recursos, e dependendo de cada setor as informações são trocadas entre si dentro do mesmo setor. Utiliza três possibilidades de redes computadores, LAN, MAN E WAN, e em alguns casos as versões wireless. A área de redes de computadores da Conductor está localizada em 100% de todas as unidades da empresa, pois ela é de ligada a computação e tecnologia de informação. Tem Sede na Cidade de São Paulo, onde são repassadas todas as decisões para as outras unidades, cada funcionário opera no mínimo um computador e cada setor depende de hardwares e softwares para desenvolvimento dos seus serviços, operam com os sistemas operacionais Windows e Linux. Toda manutenção da empresa é feita por setores próprios com cientistas e engenheiros da computação e analistas desenvolvedores de sistemas que são contratados especificamente para resolverem os problemas de Hardware e Software. Quanto a essa área a empresa não tem grandes problemas internamente, já que é especializada nesses serviços gerais de Computação e TI, e vagas na empresa são bem disputadas, atraindo excelentes profissionais. 9 5.2 Área de Sistemas de Informação A Conductor trabalha com vários ramos e softwares ligados ao processamento de meios de pagamentos com ferramentas próprias e de outras empresas pioneiras no ramo a nível mundial. No ramo Interprise, processa em larga escala com serviços customizáveis e modulares, tendo regras específicas para cada negócio de cada cliente e equipes especializadas. Pronta para qualquer meio de pagamento e conta digital, desenvolvida para grandes emissores que já tem grande estrutura e expertise em operações financeiras. As características são de operações customizadas, full service desde a avaliação de crédito até o envio da fatura, infraestrutura em nuvem ou no servidor etc. No ramo Connect, exerce o plug e play como deve ser, tem sua plataforma própria chamada SaaS focada em processamento de meios de pagamentos. Seja bandeirado ou private label, a solução foi construída para colocar em prática com rapidez e segurança, as operações de meios de pagamentos para o cliente. É ideal para operações de todos os tamanhos, do varejo e instituições financeiras. A plataforma conta ainda com um ecossistema completo de parceiros certificados já integrados, abrangendo todos os serviços e componentes complementares à sua operação, prontos para serem acionados (Prevenção a fraudes, conta digital, comunicação com o cliente, motor de crédito, cobrança, produtos e serviços financeiros, envio de fatura multicanal etc.). Seus canais de interface possuem sites portadores responsivos com aplicativos etc. Tudo Isso com a maior segurança para os clientes. No ramo Protect possui proteção de nível mundial para os clientes, unidade especializada em serviços e soluções de prevenção a fraudes, com base nas melhores ferramentas do mercado, com parcerias com o Falcon e o CCS da FICO, líder mundial no mercado de prevenção a fraudes a FICO protege mais de 2,5 bilhões de cartões em todo mercado de prevenção - e o Cronos, solução proprietária e própria, baseada em inteligência artificial e machine learning. Tudo disponível para qualquer emissor ou instituição financeira, de pequeno ou grande porte, cliente ou não cliente de outras áreas da Conductor. Oferece soluções como o Falcon cartões bandeirados, Falcon Banking para boletos, transferências etc. e oferece o acesso a essa ferramenta para os clientes de maneira exclusiva e customizada para cada cliente, quanto ao CCS Fico, tem comunicação automatizada com consumidores finais do cliente via SMS, push, voice bot, email etc. Possui uma equipe de Analistas de prevenção a fraudes fazendo o serviço de Call Center direto com os consumidores finais para verificação de compras, 10 transferências bancárias, transparências, soluções de possíveis fraudes etc. 5.3 Pessoas Envolvidas da Área de TI 90% dos funcionários são envolvidos na Área de TI, pois a empresa é especializada em de serviços de TI. A empresa conta com diversas funções ligadas a informática, gestão de TI, análise e desenvolvimento de sistemas, ciência e engenharia da computação, análise de dados e inteligência artificial. Quanto aos cargos não foi possível o levantamento de todos, mas possui analistas de prevenção a fraudes, analistas desenvolvedores, cientistas e engenheiros da informação etc. dentro de uma hierarquia administrativa organizada como em qualquer empresa de grande porte, comfuncionários exercendo funções de gerentes, coordenadores, supervisores etc. A empresa funciona 24 horas por dia, tanto em regime de troca de plantão, escalas e horário corrido, pois a mesma lida com serviços em que os consumidores de seus clientes fazem 24 horas, como transações financeiras e compras por serviços digitais, logo é preciso está 24 horas atento a problemas que podem surgir. 6.ANÁLISE DA SITUAÇÃO DE TECNOLOGIA DA INFORMAÇÃO DA ORGANIZAÇÃO A situação de TI da empresa é excelente e inspiradora para outras empresas, sendo uma das pioneiras no ramo no Brasil. Para se ter noção, a empresa conta com clientes como o banco BMG, banco BARI, Agibank, Lojas Nalin, Unicred, Lojas Pernambucanas, VOX Soluções de Pagamentos, VUONCARD, Bem Visa Vale etc. e está homologada para processar cartões das bandeiras Mastercard, Visa, Good Card etc. Fazendo análise com um enfoque mais para a segurança de sistemas de informações que é o tema do trabalho, em visita e entrevista com um Analista Desenvolver de sistemas foi relatado as seguintes informações, com perguntas enfocadas o surgimento de problemas (Observação: de um setor, pois a empresa contém vários setores ligados a diversas atividades.): A segurança de informação é um assunto crucial para o negócio da Conductor. Com o decorrer do tempo, e com a LGPD, por exemplo, estão nos últimos meses reforçando e intensificando a segurança interna para acesso a algumas informações. O Analista trabalha na solução de problemas e erros que ocorrem em sistemas que rodam em produção, usa diariamente base de dados que rodam é que contém informações 11 dos clientes. As bases são divididas em bases de Desenvolvimento, Homologação e AlwaysOn. Todo o esforço começa pelas bases, como elas restauram diariamente com o objetivo de serem sempre atualizadas, para se precaver a um possível incidente de segurança, foi inserido um processo de mascaramento das bases de dados, dessa forma, todo dado sigiloso (Nome, CPF etc.), os desenvolvedores não têm mais acesso, pois são mascarados e, portanto, fictícios. Um dos problemas com esse mascaramento é que o analista preciso de dados reais para encontrar os clientes e poder prosseguir com a análise do chamado que foi aberto. Dessa forma, disponibilizaram a AlwaysOn, que é uma base de dados espelho da base de produção onde o analista tem permissão apenas de leitura para consulta, tornando possível localizar os clientes e ter os dados necessários para prosseguir com a análise. Um dos pontos a deixar claro é que, por esse tipo de Base que permiti acesso completo, sem restrições ou mascaramento, todo acesso é monitorado e antes de ser liberado é necessário aprovação do supervisor e do gestor da área responsável por administrar o Banco de Dados. No caso específico do setor do analista, é utilizado na infraestrutura de trabalho Windows um Proxy adquirido pela empresa, além de ferramentas de Antivírus, e de bloqueamento a diversos sites, próprias e de pioneiras no ramo da segurança da informação mundiais como a FICO, evitando que pessoas entrem em links suspeitos e possam infectar toda a rede das empresas clientes, no qual seria um prejuízo muito alto, pois além de sujar a reputação da Conductor, sujaria também a dos clientes que são grandes emissoras de cartões, além de instituições bancárias e financeiras gigantes no mercado brasileiro. 6.1Análise do setor de Prevenção a Fraudes O setor de prevenção a fraudes trabalha com ferramentas próprias como o Cronos, solução proprietária, baseada em inteligência artificial e machine learning, e com as melhores do mercado como o Falcon e o CCS, ambos da FICO – a maior e mais recomendada empresa do mercado de prevenção a fraudes que protege mais de 2,5 bilhões de cartões em todo mundo só com o Falcon. O CCS é a Solução da FICO para comunicação automatizada com o cliente e o consumidor final do cliente via SMS, push, voice bot, email etc. O Falcon é uma ferramenta que lista as transações, transferências, pagamentos por cartões em meios digitais e presenciais em supermercados, por exemplo, suspeitas de fraudes. Junto a ela trabalha a equipe de Analistas de Prevenção a Fraudes que enxerga a operação suspeita e faz a comunicação imediata com o cliente através de serviço de Call Center, mais especificamente ligações, para confirmar se foi realmente o cliente que fez a operação, e em casos para informar o bloqueio do cartão ou cancelamento da compra (ativo de fraude), por 12 exemplo, não tendo sido o cliente, e também as orientações e transparência para tranquilizar os clientes em caso de possíveis fraudes, possuindo ainda outras funções, mas sendo essa a principal. 7.CRONOGRAMA DE ATIVIDADES Crono grama de Ativida des M ê s 1 M ê s 2 M ê s 3 T o t a l C H Orient ação do Projet o Integr ador – UNIS A 5 h 5 h 1 0 h Webc onferê ncia 1 2 h 2 h Webc onferê ncia 2 2 h 2 h 4 h Pesqu isa de organi zaçõe s 5 h 5 h 1 0 h 13 Abord agem na organi zação 5 h 5 h Coleta de Dados e Inform ações 1 0 h 1 0 h Anális e de Dados e Inform ações 1 0 h 1 0 h Conso lidaçã o dos Result ados 5 h 5 h Forma tação do Trabal ho 3 h 4 h Prepar ação para Entreg a 2 h 2 h Entreg a do Projet o Integr ador X - Total de Horas Destin adas ao 1 9 h 4 2 h 5 h 6 1 h 14 Projet o 8.REFERÊNCIAS BIBLIOGRÁFICAS BLUE PHOENIX. “Boas práticas de segurança”. Disponível em: www.bluephoenix.pt. Acessado em: 31 de outubro de 2021. Conductor tecnologia. Disponível em: https://www.conductor.com.br/. Acesso em: 31de outubro de 2021. Projeto Integrador: Segurança em Sistemas de Informação. Disponível em: http://digital.unisa.br/course/view.php?id=10419. Acesso em: 31 de outubro de 2021. Manual do Projeto Integrador 2. Disponível em: http://digital.unisa.br/pluginfile.php/736815/mod_resource/content/2/1.07.COC.Manual %20d o%20Projeto%20Integrador%20- %20Seguran%C3%A7a%20em%20Sistemas%20de%20Informa %C3%A7%C3%A3o.pdf. Acesso em: 31 de outubro de 2021. Coleta de dados com funcionário na Empresa. Coletado em: 31 de outubro de 2021. 15