O impacto da segurança da informação nas empresas de prestação de serviços bancários: um estudo em uma empresa personalizadora de cartões de pagamento bandeirados

Abstract

Esta dissertação analisou os impactos causados pela adoção e implementação das políticas de segurança da informação em uma empresa produtora e personalizadora de cartões de pagamento bandeirados. Devido à grande utilização e disseminação dos cartões de pagamento ocorrida em 2014, o mercado de cartões movimentou um faturamento de aproximadamente R$ 963 bilhões na economia brasileira. Para atender a essa demanda de fabricação de cartões de plástico, surgiram as personalizadoras de cartões de pagamento e, paralelamente, houve a necessidade de se criar um órgão responsável pelo desenvolvimento, gerenciamento e conscientização sobre os padrões mínimos de segurança lógica adotados mundialmente pela indústria de produção de cartões de pagamento, denominado Payment Card Industry (PCI). Com foco nesses padrões de segurança, este trabalho tem o objetivo de identificar os impactos que a segurança da informação pode causar em uma empresa personalizadora de cartões de pagamento bandeirados, identificando e analisando as adequações necessárias na estrutura tecnológica interna, nos aspectos relativos a produtividade e nos reflexos sobre a imagem da empresa no mercado e junto às bandeiras. Foi adotada uma metodologia de estudo de caso com viés qualitativo e, por ser tratar de uma pesquisa exploratória, foi utilizada uma técnica de levantamento bibliográfico e documental. Para refinar a pesquisa e identificar as lacunas sobre o objeto de pesquisa, foi realizada uma entrevista por meio de um roteiro semiestruturado com oito funcionários da empresa, no qual foi possível perceber algumas disparidades entre as informações prestadas pela equipe interna e os principais gestores da empresa. Os impactos da segurança da informação na estrutura tecnológica da empresa são, em sua maior parte, consideráveis e a falta de uma política de segurança da informação ou a sua inconsistência refletem diretamente no processo de homologação junto às bandeiras. Em uma empresa que lida diariamente com informações secretas, o controle de acesso à informação é um fator preponderante. Procedimentos para tratativa de informações, aquisição de servidores e contratação de profissionais qualificados é essencial para a manutenção dos níveis mínimos de segurança lógica. É explícito que em uma personalizadora de cartões de pagamento bandeirados, a segurança da informação tem um importante papel no planejamento estratégico da empresa, impactando diretamente na produtividade, na estrutura tecnológica e, principalmente, nos processo de homologação junto às bandeiras.

This dissertation has analyzed the impacts caused by adoption and implementation of policies of information safety in a company that produces and personalizes flagged payment cards. Due to the great use and spread of payment cards in 2014, the cards market moved an asset of around R$ 963 billion in the Brazilian economy. To cover this request for plastic cards production, the personalizers of payment cards appeared and, in parallel, there was a necessity to create a department responsible for the development, management and awareness about the minimal standards of logic safety adopted worldwide by the Payment Card Industry (PCI). Focusing on these safety standards, this work aims to identify the impacts that information safety may cause in a flagged payment cards personalizing company, identifying and analyzing the necessary adjustments on the internal technologic structure, on the aspects related to the productivity and on the reflections over the image of the company in the market and within the flags. A methodology of study of cases with qualitative bias was adopted and, being an exploratory research, a technic of documents and bibliography gathering was used. In order to refine the research and identify the gaps over the research project, an interview was conducted through a semi-structured questionnaire with eight company employees, in which it was possible to see some disparities among the information offered by the internal team and the main managers of the company. The impacts of the information safety on the technologic structure of the company are, mostly, considerable and the lack of an information safety policy or its inconsistence reflect directly on the process of homologation within the flags. In a company that deals with secret information daily, the control of access to the information is a preponderant factor. Procedures for the treatment of information, acquisition of servers, and hiring of qualified professionals are essential for the maintenance of the minimum level of logic safety. It is explicit that in a flagged payment cards personalizer, the information safety has an important role in the strategic planning of the company, impacting directly the productivity, the technologic structure, and, mainly, the homologation process within the flags.