Fiserv

Os administradores de sistema da Fiserv gastavam horas configurando servidores para cumprir com as normas de segurança PCI, SOX-Cobit e CIS; para recuperar dados de conformidade, eles tinham que fazer login nos servidores individualmente.

A Fiserv está adotando o IBM PowerSC Standard Edition (PowerSC) em toda a sua gama do IBM Power Systems, simplificando a configuração do servidor e liberando recursos de conformidade e relatórios em tempo real.

A missão da Fiserv é ajudar os clientes a migrar dinheiro e informações de uma maneira que mova o mundo. A empresa é especializada em tecnologia de serviços financeiros, fornecendo soluções para pagamentos, serviços de processamento, gerenciamento de clientes e canais, risco e conformidade, além de insights e otimização.

Gerenciar transações financeiras necessariamente envolve trocar, armazenar e processar dados sensíveis. A Fiserv deve constantemente provar aos clientes e auditores que gerenciará esses dados de maneira responsável—e ganhar a confiança dos clientes é uma de suas principais prioridades.

Como resultado, a equipe de TI da empresa leva a segurança extremamente a sério. Seus sistemas de TI são submetidos a múltiplas auditorias internas e externas complexas todos os anos, e espera-se que atendam a inúmeros padrões da indústria e regulamentações. No entanto, auditorias regulares não são suficientes para garantir conformidade contínua: a empresa também deve monitorar seus sistemas 24 horas por dia, 7 dias por semana para garantir que cada servidor mantenha a configuração correta em todos os momentos.

Como base para configurar seus sistemas, a Fiserv utiliza um framework de segurança de melhores práticas conhecido como benchmark do Center for Internet Security (CIS). Espera-se que cada um de seus servidores atenda tanto às configurações obrigatórias quanto a um limite de pontuação geral mínimo com os padrões definidos no benchmark.

Zach Floen, engenheiro de sistemas do IBM Power na Fiserv, explica: "Do ponto de vista da segurança, a configuração ideal para um servidor seria bloqueá-lo completamente, de modo que não possa trocar dados com nenhum outro sistema. Mas se um servidor não pode se comunicar, ele não pode fazer nada útil."

Enquanto a Fiserv já monitorava a configuração de segurança de seus servidores, eles buscavam um gerenciamento integrado de ponta a ponta da conformidade em todo o seu parque de servidores. Por exemplo, se os engenheiros da empresa precisassem instalar um novo servidor, eles tinham que passar quatro ou cinco horas trabalhando manualmente em uma lista de verificação para "fortalecer" a configuração de modo que ela passasse no limiar de conformidade.

Da mesma forma, a equipe muitas vezes precisava fazer mudanças temporárias na configuração do servidor enquanto realizava manutenção e atualizações. Os engenheiros tinham que implementar essas mudanças manualmente e, em seguida, restaurar os servidores para as configurações originais assim que as tarefas de manutenção fossem concluídas. Embora a Fiserv tivesse estratégias em vigor para mitigar os riscos de esquecer de restaurar as configurações adequadamente, a empresa queria encontrar uma maneira de eliminar a possibilidade de erro humano controlando as mudanças de configuração de forma centralizada e automática.

Por fim, a equipe queria otimizar seus processos de relatórios de conformidade e remover a tarefa demorada que os administradores tinham que realizar, como ter que recuperar manualmente relatórios de conformidade em um grande parque de servidores.

Uma proporção significativa da arquitetura de servidores da Fiserv consiste em servidores IBM Power Systems executando o sistema operacional IBM AIX para suportar sistemas financeiros centrais e bancos de dados. Quando a empresa começou a revisar suas opções para uma nova plataforma de gerenciamento de conformidade, descobriu que a IBM oferece uma solução sob medida: IBM PowerSC. "O IBM PowerSC está evoluindo rapidamente em uma ferramenta muito poderosa e capaz para gerenciamento de conformidade," diz Zach Floen. "Ele oferece recursos que nossas ferramentas existentes não têm, e está incluído como parte de nossa licença Enterprise AIX existente, então não temos que nos preocupar com custos adicionais." Naquele momento, a Fiserv estava se preparando para racionalizar seu cenário AIX da IBM, reunindo grupos díspares de servidores em um único ambiente de nuvem privada. Essa iniciativa apresentou uma oportunidade perfeita para fazer a transição da ferramenta de conformidade existente da empresa para o PowerSC.

À medida que a Fiserv implementa o software PowerSC em seu parque AIX, a equipe está ansiosa para aproveitar os recursos de automação de conformidade da solução.

Por exemplo, o PowerSC monitora uma lista de programas que são permitidos para rodar em cada servidor e notifica os administradores se algum programa não autorizado for executado. Durante sessões de manutenção, esse recurso pode ser desativado para grupos de servidores e configurado para ser reativado automaticamente após um determinado período de tempo. Como resultado, os engenheiros não precisam mais mudar configurações manualmente durante a manutenção, reduzindo significativamente o risco de deixar acidentalmente um sistema exposto.

O PowerSC também fornece perfis de segurança pré-construídos que suportam padrões setoriais e regulatórios como PCI-DSS, HIPAA e GDPR. Os administradores podem aplicar um perfil a um servidor com um único clique, em vez de passar horas trabalhando em uma lista de verificação de segurança para cada nova máquina.

"Estamos trabalhando com a IBM para criar um perfil de segurança que esteja totalmente em conformidade com o benchmark de CIS pronto para uso", diz Zach Floen. "Uma vez que tivermos o perfil configurado, seremos capazes de eliminar horas de configuração manual quando estivermos configurando máquinas em nossa mais nova plataforma AIX virtualizada."

Os perfis também ajudam a remediar rapidamente problemas de configuração, como Zach Floen explica: "Tínhamos a capacidade de monitorar nossos servidores e identificar quando havia um problema com as configurações de um servidor—mas para corrigir esses problemas, ainda tínhamos que fazer login nas máquinas individuais. Com o PowerSC, basta clicar em um botão na interface de administração e ele redefinirá imediatamente o perfil para o estado correto.”

A Fiserv observou economias significativas de tempo em seus processos de supervisão de conformidade de servidor e espera ter economias ainda maiores no futuro. Atualmente, recuperar informações de conformidade de cada servidor é um processo manual e que consome muito tempo. Com o PowerSC, a equipe pode simplesmente gerar um relatório automaticamente em alguns segundos.

Zach Floen conclui: "Para a Fiserv, trata-se de mais do que conformidade—é sobre ganhar a confiança de nossos clientes—e isso requer um ambiente seguro."

A Fiserv é uma das principais empresas de tecnologia de serviços financeiros do mundo, com cerca de 24.000 funcionários e receitas anuais de USD 5,7 bilhões em 2017. As soluções da empresa empoderam mais de 12.000 clientes em mais de 80 países em todo o mundo e ajudam milhões de consumidores e empresas a migrar e gerenciar dinheiro de forma rápida e conveniente.