Desde su fundación en 2016, Pismo ha ganado rápidamente reconocimiento global por impulsar la innovación y mejorar la capacidad de operación de algunos de los bancos e instituciones financieras más grandes, manteniendo altos estándares de seguridad y disponibilidad a la vanguardia de las soluciones de banca digital y pagos que ofrece en el mercado.
La empresa de tecnología con sede en Brasil, y también con oficinas en Estados Unidos y Reino Unido, ofrece una plataforma completa y nativa en la nube para el procesamiento bancario y de pagos a través de AWS, la plataforma en la nube de Amazon. Su solución proporciona APIs para aplicaciones web o móviles de los clientes para que puedan aprovechar la infraestructura de Pismo como su backend de operaciones. Usando Pismo, los bancos y empresas de tecnología financiera pueden lanzar rápidamente en el mercado soluciones de pago seguras.
Como las aplicaciones de pago alojan una gran cantidad de información personal, deben ser demostrablemente seguras, y las empresas eligen repetidamente Pismo porque se toman la seguridad muy en serio.
En un esfuerzo reciente por garantizar aún más la seguridad de su software, Pismo trajo a Ubirajara Aguiar Jr. para construir y liderar el equipo de DevSecOps. Aguiar asumió inmediatamente el control con una visión del desarrollo de sistemas bastante completa, evaluando el estado de la seguridad de la aplicación (AppSec) en su organización e identificando áreas potenciales de mejora.
Sus recomendaciones incluyeron el concepto de ‘movilizar más la seguridad hacia la izquierda’ – considerar la seguridad desde el inicio del ciclo de vida de desarrollo de software (SDLC) – y buscar un proveedor de AppSec con un conjunto más completo y escalable de tipos de prueba para este entorno.
“Evaluamos a los proveedores de AppSec con las calificaciones más altas, y como líder en el Cuadrante Mágico de Gartner, Checkmarx era un fuerte contendiente en esta área”, dijo Aguiar.
Para restringir la lista de proveedores potenciales, el equipo de DevSecOps de Pismo presentó una lista de características ‘obligatorias’. Ya para comenzar, la solución elegida necesitaba ofrecer soporte para varios lenguajes de desarrollo, ofrecer integración bidireccional con herramientas de seguimiento de errores, crear y cerrar tickets automáticamente e identificar falsos positivos recurrentes. La solución también tenía que ser amigable para el desarrollador, con la capacidad de integrar y automatizar las herramientas y procesos existentes de los desarrolladores.
“Siempre pensamos en nuestros desarrolladores al buscar nuevas herramientas”, explicó Aguiar. “Queríamos que la transición fuera suave y transparente y no queríamos que se preocuparan por manejar tickets o controlar tarjetas. Buscamos específicamente herramientas que hicieran el trabajo de nuestros desarrolladores más fácil y productivo.”
Por último, pero igualmente importante, la herramienta necesitaba posibilitar políticas flexibles para interrumpir la compilación en caso de que se identificaran vulnerabilidades de alto o medio riesgo.
Checkmarx cumplió con esta lista de requisitos y muchos otros más, convirtiéndose en el claro ganador en la comparación. La primera solución de Checkmarx en la que Pismo invirtió fue el Static Application Security Testing (SAST).
SAST es una solución de pruebas de seguridad de aplicaciones de nivel empresarial que proporciona análisis de código fuente de alta velocidad, totalmente automatizado, flexible y preciso para identificar errores de seguridad que pueden llevar a vulnerabilidades en el código. Con la flexibilidad de ejecutar escaneos completos e incrementales siempre que sea necesario, Checkmarx SAST proporciona al equipo de Pismo informes completos y altamente precisos que priorizan las vulnerabilidades de acuerdo con su gravedad, orientando a los desarrolladores sobre qué necesitan corregir primero. Checkmarx SAST también ofrece soporte para una lista completa de lenguajes de programación y frameworks.
Pismo también invirtió en el Checkmarx Software Composition Analysis (SCA), que se integra con SAST. Usan el SCA en la nube para proporcionar una amplia cobertura de seguridad para el código fuente abierto y personalizado. Con Checkmarx SCA, Pismo es capaz de descubrir vulnerabilidades no solo en el código de terceros que sus desarrolladores usan directamente, sino también vulnerabilidades en cualquier dependencia que el código de terceros pueda llamar.
Desde la implementación de las herramientas, ha habido un gran cambio en la cultura de seguridad de Pismo. “Los desarrolladores han estado usando activamente Checkmarx SAST y SCA.” Como destaca Aguiar, ciertamente es una gran ayuda que “las herramientas estén tan bien integradas en nuestros procesos”.
Pismo ya tiene políticas en vigor para Checkmarx SAST. “Los equipos corrigen solo problemas considerados de bajo riesgo, y Checkmarx bloquea que nuevos problemas de alto o medio riesgo se incorporen al código. Es una gran sensación ver que esto está ocurriendo.”
El equipo también está trabajando duro en la estrategia de SCA usando Checkmarx. “Ahora estamos enfocados en evaluar las vulnerabilidades y asignarles una de las cuatro clasificaciones: una siendo la más crítica y vulnerable; dos siendo potencialmente vulnerable, pero sin información suficiente; tres usando paquetes con vulnerabilidades reportadas, pero no en condiciones vulnerables, y cuatro usando paquetes desactualizados sin vulnerabilidades”, dijo Aguiar.
La reducción del riesgo fue tan impresionante que Aguiar y su equipo de DevSecOps pudieron mostrar al Information Security Head/CISO de Pismo, Leonardo Carmona, y a los ejecutivos de negocios de la empresa, las métricas críticas y los KPIs que muestran el progreso desde la implementación de Checkmarx.
“Hicimos un gráfico trazando riesgos y vulnerabilidades y, al principio, había una gran cantidad de problemas con alto riesgo. Ahora, cada uno de ellos está en la marca cero, ya que todos fueron corregidos”, finalizó Aguiar. En resumen, “el dinero que invertimos en Checkmarx fue muy bien gastado”.
Pismo está entusiasmada por continuar trabajando con Checkmarx y mantener sus aplicaciones y clientes siempre seguros.
Para saber más sobre los desafíos y soluciones que llevaron al éxito de Pismo, descargue el estudio de caso completo haciendo clic aquí.
