Case de sucesso: Certificação PCI DSS: B23 Parcelamentos

Case de sucesso: Certificação PCI DSS: B23 Parcelamentos

Sobre a B23 Parcelamentos 

A B23 é uma empresa de meios de pagamento idealizada por três irmãos inspirados no modelo de negócios do pai, um empreendedor no setor de tecnologia bancária há mais de 30 anos. 

Fonte de grande inspiração em decorrência das conquistas acumuladas ao longo dos anos, os irmãos se uniram para homenagear o pai com o objetivo de expandir a atuação da família no mercado e beneficiar a população brasileira através dos seus serviços. 

Assim, a B23 representa para os sócios a perpetuação das conquistas do pai, que hoje atua como mentor, e busca consolidar a reputação da empresa no mercado como exemplo de ética, modernidade, agilidade e excelência.

Hoje, a B23 é uma subadquirente que atua no mercado financeiro brasileiro desde 2022, facilitando o processo de liquidação de dívidas, permitindo o parcelamento de débitos veiculares (como IPVA), licenciamento e multas, bem como de débitos imobiliários, guias e boletos de qualquer natureza.

Seu objetivo é promover saúde financeira para a população brasileira, transformando grandes dívidas em pequenas parcelas.

Por que se certificar em PCI?

PCI Compliance, PCI DSS ou Padrão de Segurança de Dados da Indústria de Pagamento com Cartão é um grupo de requisitos e procedimentos de segurança que visam a proteção dos dados do titular do cartão que são compartilhados a cada compra. 

O objetivo da adoção do PCI DSS é afastar a possibilidade de fraudes ou roubo de dados. Em outras palavras: adotar uma solução de pagamento em conformidade com PCI DSS significa oferecer uma experiência de compra segura ao consumidor.

Seja no Brasil ou em qualquer outra parte do mundo, o certificado PCI compreende os requisitos mínimos para garantir a segurança da informação. 

Esse conjunto de boas práticas pode ser aperfeiçoado para diminuir ainda mais as chances de vazamentos. Se necessário, facilita até o compliance para obedecer leis locais ou normas específicas de um setor do comércio.

A lista de exigências para obter uma certificação PCI compreende 12 itens, que podem ser agrupados em seis grandes objetivos:

  • Construir e manter a segurança de uma rede de sistemas: utilizar firewall atualizado e criar senhas fortes para proteger o sistema e outros parâmetros de segurança;

  • Proteger os dados do titular do cartão: preservar os dados do titular (como nome, endereço, telefone e e-mail) e utilizar criptografia ao transmiti-los em redes abertas e públicas;

  • Manter um programa de gerenciamento de vulnerabilidades: usar e atualizar sistemas antivírus, antispyware e antimalware, além de desenvolver e manter sistemas e aplicativos seguros contra hackers;

  • Implementar medidas rigorosas de controle de acesso: internamente, designar permissão para acesso aos dados do cartão de acordo com a necessidade, restringindo ao máximo o número de pessoas que entram em contato com eles, seja física ou digitalmente. Garantir, também, que o acesso aos componentes do sistema seja sempre autenticado e identificado;

  • Monitorar e testar as redes regularmente: fazer testes periódicos em sistemas e processos de segurança, além de monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão;

  • Manter uma política de segurança de informações: definir e garantir a eficiência de uma política de segurança válida para todas as equipes.

Os benefícios do PCI Compliance para o cliente

Além de ser um requisito obrigatório para todos que participam do processamento de dados de cartões, escolher parceiros que preenchem os requisitos de segurança do PCI DSS ainda conta pontos a favor da reputação que sua empresa vai construir online. 

Estamos falando de plataformas de e-commerce, servidores e dos já citados processadores de pagamento e o gateway de pagamento online. 

Veja a seguir o que sua empresa ganha quando trabalha em parceria com empresas com PCI Compliance:

  • Responsabilidade legal: caso haja um vazamento de dados ou outro tipo de crime cibernético, o processo de pagamento vai ser investigado em busca de pontos de fragilidade. Situações assim podem desencadear ações jurídicas e muita dor de cabeça se não forem acompanhadas de maneira adequada.

  • Proteção contra fraudes: quanto ocorre uma fraude, seu estabelecimento perde duas vezes: ao enviar o produto ao remetente que se apropriou dos dados do cartão de terceiros e também ao restituir o valor pago ao consumidor lesado (que provavelmente vai solicitar o cancelamento da compra junto ao provedor do cartão), procedimento conhecido como chargeback. 

  • Confiança do consumidor: cada vez mais educado, o consumidor digital busca estar sempre a par da reputação dos e-commerces com que compartilha seus dados.

Desafio

A B23 nos procurou com objetivo de obter a Certificação PCI-DSS 3.2.1, pois, sem ela, não estariam autorizados a trabalhar com bandeiras de cartão de crédito e adquirentes.

Além disso, para que a B23 pudesse se credenciar aos órgãos públicos e realizar consultas em sua base de dados, a segurança representada pela certificação PCI é exigida. 

O padrão PCI transmite credibilidade para os clientes, que sabem que estão realizando uma transação financeira com segurança por meio dos serviços de uma empresa confiável e aprovada pelo sistema financeiro de cartões de crédito. 

Para conquistar o PCI, seria necessário o cumprimento de uma série de requisitos, inclusive a contratação de um serviço em nuvem que estivesse em compliance com o PCI. 

Assim, fomos escolhidos pela B23 para gerenciar a infraestrutura através do ambiente de nuvem da AWS.

Para tanto, nosso diretor comercial, Wanderson Oliveira, juntamente com o analista de negócios Lucas Hespanha,  elaboraram uma proposta onde nos comprometemos a migrar e desenvolver toda a estrutura no ambiente AWS e estar em compliance com o PCI dentro de 6 meses. Foram diversas reuniões de alinhamento até entrarmos na fase de estruturação e implementação. Um longo caminho até chegarmos ao resultado final.

Solução

Arquitetura AWS baseada em PCI

Projetamos do zero uma arquitetura de referência totalmente baseada nas boas práticas e seguindo os requisitos do compliance PCI.

Tecnologias para monitoramento e evidências

Para atendermos a demanda, utilizamos serviços da AWS como CloudWatch, Cognito, CloudTrail, WAF, IDS, SNS, dentre outros de forma integrada e segura de acordo com as necessidades do projeto.

Resultado

A conquista da Certificação PCI-DSS 3.2.1 permitiu o credenciamento da B23 Parcelamentos aos órgãos fundamentais para o faturamento e credibilidade da empresa, como SEEC-DF, Detran DF, Detran SP, dentre outros. 

Pelo fato da B23 Parcelamentos processar dados com cartões de crédito, estar em conformidade com o padrão PCI significa proporcionar aos clientes uma experiência segura em todas as transações com cartões de crédito. Essa adequação também ajuda a evitar aplicação de sanções como multas e penalidades pelas bandeiras de cartões, que exigem que seus credenciados estejam em conformidade com o padrão PCI.

Depoimento da B23

"Trabalhar com a Mytec permitiu que a B23 atingisse a conquista do PCI. Passamos por um processo de aprendizagem juntos, pois havia muita novidade por parte da B23 e a Mytec também estava se adequando aos requisitos do PCI. Porém, o que mais nos marcou nesta relação foi a dedicação e interesse da equipe de infraestrutura para encontrar soluções dentro da nossa exigência de excelência e agilidade. Ao longo do período de atendimento, foram inúmeras descobertas, mudanças, exigências novas, e a boa vontade da MyTec trouxe conforto na nossa relação, permitindo que nosso foco estivesse na busca da melhor solução. Agradecemos muito pela parceria e pelo aprendizado em conjunto. Sabemos que estamos prontos para todos os desafios que surgirem, pois sabemos pensar juntos e encontrar soluções de excelência. Obrigada!"

Beatriz Cançado, Diretora da B23 Parcelamentos

Profissionais envolvidos no projeto

Grupo Mytec 

Wanderson Oliveira - Diretor Comercial

Lucas de Hespanha - Consultor  de Negócios

Railander Marques - Arquiteto de Soluções AWS

Henrique Santos - Arquiteto de Soluções AWS

AWS 

Wallysson Santos - Gerente de Contas

Bruna Honório de Almeida - Representante de Vendas

Compartilhar: