Un proveedor de servicios de pago protege los intereses de millones de titulares de tarjetas de crédito

Perfil de la empresa

Este proveedor de servicios de pago es uno de los más grandes de la región y presta servicios a instituciones como bancos, organizaciones financieras y procesadores de pagos con tarjeta de crédito. Anualmente procesa más de 30.000 millones de dólares para más de 140.000 comerciantes y gestiona más de 700 millones de transacciones de emisores en más de 15 millones de tarjetas de crédito.

• Ingresos anuales: +250 millones USD
• Empleados: 2.500

Desafíos

CyberArk protege los datos y las transacciones de millones de titulares de tarjetas de crédito

Cuando el primer banco exclusivamente digital del país eligió al proveedor de servicios de pago como su socio tecnológico, fue otro hito en el camino hacia el éxito del proveedor. También indicaba una tendencia de las instituciones financieras a cambiar sus operaciones a un entorno digital, y a experimentar los desafíos de ciberseguridad que esta transición provoca en el sector de los servicios financieros.

En la actualidad, más de 200 organizaciones financieras, 140.000 comerciantes y más de 15 millones de tarjetas de crédito confían en los servicios de pago con tarjeta y procesamiento de transacciones que ofrece la empresa. La necesidad resultante de acceder a sistemas y datos altamente confidenciales hace que la Seguridad de la Identidad sea primordial para este negocio digital.

Proteger la cadena de suministro de software es fundamental en el mundo de las finanzas digitales. La adopción de controles PAM en los endpoints, los recursos locales y en la nube ayuda al proveedor a defender sus servicios y, por lo tanto, a sus usuarios de los ataques.

Además de generar confianza en los clientes, el proveedor también debe cumplir con las normativas de ciberseguridad financiera que son más estrictas que la mayoría de los demás sectores. El CISO del grupo afirmó: «Atendemos a más de 200 bancos. Si alguien pudiera introducirse en nuestro entorno y, por ejemplo, acceder a la información de tarjeta de crédito —una de las cosas más fáciles de vender en la web oscura— sería un gran problema. Por eso nos tomamos la seguridad muy en serio y nos asociamos con los mejores proveedores del mercado para proteger nuestro entorno».

Sofisticación de amenazas en aumento

El proveedor cuenta con una infraestructura de seguridad completa y de varias capas. Uno de los pilares de defensa clave de la empresa que atrajo la atención del CISO fue la necesidad de garantizar que el acceso del personal de TI y de los desarrolladores a los datos de los clientes y a los entornos de producción estuviera debidamente protegido y supervisado.

Aunque la empresa ya contaba con un producto de gestión del acceso con privilegios, sus capacidades se habían quedado obsoletas y no podían ofrecer los niveles de protección requeridos. La creciente dependencia de las operaciones bancarias digitalizadas y la sofisticación cada vez mayor de las amenazas exigían un nuevo enfoque.

«Creo que todos tenemos que reconocer que los principales delincuentes son probablemente más inteligentes que nosotros», dijo el CISO. «Por lo tanto, nuestro deber es hacer que las cosas sean lo más difíciles y complejas posible, con el fin de aumentar los esfuerzos necesarios para eludir nuestra seguridad y, por lo tanto, disminuir la rentabilidad de un ciberdelincuente que intente un ataque».

Soluciones

CyberArk es el núcleo de la seguridad

La empresa ha implementado una solución de CyberArk que incluye CyberArk Privileged Access Manager y CyberArk Endpoint Privilege Manager. La fase inicial abarca a 600 usuarios en tres ubicaciones. La empresa también utiliza PAM para proteger el acceso a su infraestructura en la nube alojada en Azure, AWS, Google y Oracle Cloud. Ha puesto en marcha operaciones en un país vecino y también implementará CyberArk allí. «Ahora, cada vez que entramos en un nuevo mercado o ubicación, CyberArk es una parte fundamental de nuestra pila de TI y seguridad», afirmó el CISO.

La implementación fue un esfuerzo conjunto entre la empresa, CyberArk Security Services y un socio local de CyberArk, y tardó aproximadamente cuatro meses en completarse. Tras la implementación, el proveedor pidió al personal de CyberArk que realizara una revisión y una comprobación del estado para garantizar que todo siguiera en consonancia con las prácticas recomendadas de CyberArk. El CISO afirmó: «Aprobamos la prueba y el equipo de CyberArk señaló que era una de las mejores implementaciones de la región. Para mí, fue una de las implementaciones más eficientes y fluidas que he visto en mi carrera».

Hubo poco o ningún tiempo de inactividad durante la implementación, y ningún comentario adverso por parte de la empresa. La empresa llevó a cabo una encuesta interna tres meses después de la implementación sobre los servicios y la asistencia, y recibió una respuesta casi 100% positiva.

Resultados

CyberArk: comodidad para el cliente

CyberArk permite al proveedor obtener cuatro beneficios clave de ciberseguridad: defenderse de los ataques, impulsar la eficiencia operativa, permitir la transformación digital y satisfacer rigurosamente las normativas de conformidad y auditoría del sector financiero. Uno de los aspectos más importantes de la seguridad, especialmente en los servicios financieros, es la conformidad normativa. En este caso, CyberArk obtiene una puntuación extremadamente alta y contribuye a que el proveedor cumpla y supere todas las normas clave de cumplimiento de seguridad financiera, incluida la norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS), que supervisa la seguridad cibernética de los servicios de pago con tarjeta. Otro estándar que CyberArk contribuye a cumplir es la norma ISO 27000, SOC 2 Tipo 2.

«Además de la protección que recibimos, CyberArk hace que demostrar la conformidad normativa sea mucho más fácil porque podemos acceder a los informes que necesitamos para las auditorías muy rápidamente».

Director de Seguridad de la Información (CISO).

CyberArk ofrece otras ventajas, como garantizar que el acceso de TI y de los desarrolladores a los entornos de producción de los clientes sea muy seguro, pero también rápido y fluido para los usuarios. CyberArk no solo ha conseguido que el acceso sea más rápido, sino que la implementación también ha dado como resultado un control de seguridad estandarizado en toda la diversa cartera de aplicaciones y plataformas del proveedor. Además, la empresa se beneficia del modelo de análisis de amenazas de CyberArk que proporciona alertas basadas en posibles indicadores de abuso de privilegios.

«CyberArk es increíble y una solución clave para nosotros. Nuestros usuarios nos auditan periódicamente y, cuando ven la solución de gestión del acceso con privilegios de primera clase que tenemos, les da mucha tranquilidad. Cuando los clientes se dan cuenta de que tenemos CyberArk, dejan de hacer preguntas», concluye el CISO.

Principales ventajas

• Ofreció una solución de gestión del acceso con privilegios (PAM) altamente segura y fácil de usar
• Posicionó a la empresa para superar la rigurosa conformidad normativa del sector de los servicios financieros
• Garantizó la seguridad de los clientes de las instituciones financieras
• Obtuvo una respuesta casi 100% positiva de los usuarios
• Implementó controles de seguridad estandarizados en toda la infraestructura local y multinube (AWS, Google y Oracle Cloud)
• Implementó controles de gestión del acceso con privilegios para más de 600 usuarios en solo cuatro meses