As transações feitas com cartões de crédito movimentam bilhões de reais todos os anos. Por meio do “dinheiro de plástico”, nossas vidas tornaram-se mais práticas e seguras. E foi para garantir que a troca de dados entre os sistemas que armazenam, processam e verificam dados bancários tenham o máximo de segurança que o padrão PCI-DSS foi criado. Ele envolve uma série de rotinas e configurações que aumentam a confiabilidade de sistemas e empresas. Entre as diversas medidas a serem tomadas, o code review está presente na documentação do padrão PCI-DSS desde a sua primeira versão. Entenda melhor o assunto!
Como implementar o code review em seus sistemas
Desenvolvedores de sistemas devem analisar todas as linhas de um algoritmo para verificarem a estrutura do programa, a sua documentação interna, a manutenção de padrões de desenvolvimento e vulnerabilidades em potencial.
Programas de análise automatizada de código são importantes para a produção de um sistema seguro. Elas facilitam o teste sistemático de linhas de código em busca de problemas em potencial, como falhas de buffer, vazamentos de memória e vulnerabilidades de segurança. Mas é importante ressaltar que as ferramentas são parte do processo, é importante que revisões manuais por especialistas sejam realizadas. As revisões manuais irão verificar vulnerabilidades que as ferramentas automatizadas não conseguem identificar.
Em todos os casos, a análise pode ser feita por profissionais terceirizados ou internos, desde que não estejam envolvidos diretamente na produção do software. Grandes organizações, por exemplo, podem optar pela criação de um time de segurança da informação que trabalha separado da equipe de desenvolvimento. Por outro lado, pequenas empresas podem determinar um único desenvolvedor para a tarefa.
Independente do tamanho de sua organização, frequentemente a contratação de uma empresa terceirizada de segurança digital é uma escolha a ser considerada pelos gestores de TI. Essa é uma opção mais barata e que dá acesso a profissionais bem treinados e capacitados para fazer análises de risco de qualidade.
Mais segurança e confiabilidade
O code review pode ser feito manualmente ou por meio de ferramentas de automação. Entretanto, o uso de várias soluções digitais simultaneamente não livra a companhia da necessidade de catalogar manualmente quais vulnerabilidades foram encontradas e quais são críticas. Assim, a resolução de brechas de segurança é feita antes que os sistemas sejam colocados em produção.
Pesquisas indicam que sistemas web e redes de transmissão de dados costumam ser os pontos iniciais de ataques mais frequentes. Eles podem ser feitos explorando falhas de SQL, protocolos de segurança ou captura de dados do tipo “man in the middle”. Ao proteger os seus sistemas das ameaças de segurança mais comuns, uma organização passa a ter métodos de proteção multi-camada que aumentam a confiança de parceiros comerciais e clientes em seus produtos.
Manter-se dentro do padrão PCI-DSS é fundamental para empresas que queiram armazenar, estocar ou analisar dados bancários. E você, o que tem feito para aumentar a segurança dos seus parceiros comerciais? Compartilhe conosco!
Veja também:
Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+
