Paysafe ayuda a convertir las transacciones financieras en una experiencia basada en la confianza. Además, sabemos que para ofrecer una plataforma segura y fluida que procesa más de 15 200 millones de dólares al año en transacciones, es necesario algo más que cumplir con las normas básicas de cumplimiento normativo. Durante los últimos cuatro años, Paysafe ha impulsado de forma continua un enfoque integral de la gestión de riesgos de los desarrolladores a través de su asociación con Secure Code Warrior, y el programa de seguridad de las aplicaciones ha tenido un impacto positivo en las necesidades generales del negocio, incluyendo:
Principales conclusiones
- Una reducción significativa de las vulnerabilidades identificadas con el primer escaneado SAST durante los primeros ciclos de desarrollo del código.
- Hasta un 45% de mejora de la productividad de los desarrolladores, gracias a la reducción del tiempo dedicado a modificar el código.
- El SCW Trust Score® ocupa el cuarto lugar en la clasificación vertical de servicios financieros.
- Mayor conectividad y alineación entre AppSec y los equipos de desarrollo
Tarea: Fortalecimiento de los estándares de códigos de seguridad en todo Paysafe.
Paysafe, proveedor multinacional de pagos en línea, siempre ha considerado la codificación segura como una prioridad estratégica que va más allá del simple cumplimiento de los requisitos de la normativa PCI DSS.El objetivo de Paysafe era ampliar continuamente el alcance y la escala de la iniciativa de codificación segura para garantizar un enfoque de primera clase en materia de seguridad de las aplicaciones y que los ingenieros escribieran código seguro desde el principio, aunque las sesiones de formación presenciales dirigidas por expertos y las evaluaciones técnicas formaban parte de los esfuerzos iniciales.
«Para nosotros, marcar las casillas de la formación que ofrecemos no es tarea fácil. Nuestro objetivo es que los empleados estén al tanto de su situación de desarrollo. Siempre nos esforzamos por ser mejores y hacer más cosas. Esperamos que los equipos de ingeniería y seguridad colaboren. Los equipos que pueden desarrollarse por sí mismos obtienen más información y pueden diseñar un código mejor», afirma Boyan Hristov, socio de desarrollo de personal de Paysafe.
La visión de Paysafe era formar ingenieros con conciencia de seguridad que frustraran la seguridad y aplicaran prácticas de codificación segura en todas las etapas del ciclo de vida del desarrollo de software. Para respaldar esto, se necesitaba un programa escalable, participativo y continuo que no solo proporcionara pruebas de auditoría para el cumplimiento de la normativa PCI, sino que también impulsara un cambio cultural profundo y duradero.Esto incluía experiencias de aprendizaje gamificadas, torneos periódicos y formación continua para fomentar la participación de los desarrolladores y situarlos a la vanguardia de las tendencias de seguridad del sector.
Solución: enfoque de vanguardia utilizando Security Code Warrior.
Paysafe adoptó la plataforma de gestión de riesgos para desarrolladores Secure Code Warrior para ampliar las prácticas de codificación segura, involucrar a los ingenieros e incluir la seguridad en las primeras fases del ciclo de vida del desarrollo. El programa Security Champion ha ido creciendo con el tiempo, y Secure Code Warrior ha desempeñado un papel fundamental en la consecución de los objetivos de prevención de riesgos cibernéticos.
Paysafe permitió a los desarrolladores participar de forma orgánica en la plataforma y fomentó actividades gamificadas, como torneos, ofreciendo premios atractivos para despertar el interés y la participación de los desarrolladores. Cuando se lanzó este programa por primera vez, se exigieron algunas evaluaciones para ayudar a cumplir los requisitos de conformidad con la normativa PCI y se ofrecieron otros contenidos y actividades de forma opcional.
A medida que el programa fue ganando popularidad, la dirección proporcionó apoyo adicional y coordinó aún más los objetivos de los equipos de desarrollo y seguridad de la información. Esto permitió al equipo de Paysafe dar un paso más allá e introducir un programa de certificación más formal que incluía KPI específicos e incentivos por resultados.
En la siguiente fase del programa, se centró en los temas estándar del sector OWASP Top 10, y los desarrolladores pueden alcanzar diversos niveles de rendimiento a través de la fase de certificación. Ahora, este programa ha alcanzado un nuevo nivel de escala y madurez, y se han elevado los estándares generales para los desarrolladores, desde los trabajadores a tiempo completo hasta los trabajadores temporales.
«Valoramos enormemente la colaboración que hemos mantenido con SCW durante los últimos cuatro años», afirma Alan Osborne, director de seguridad de la información de Paysafe. «Gracias a ello, hemos podido ofrecer formación personalizada en seguridad de aplicaciones y reforzar la relación entre los equipos de seguridad y de ingeniería, basándonos en nuestro compromiso común de desarrollar código seguro lo antes posible en el ciclo de vida del desarrollo de software (SDLC)».
Gracias al apoyo y la coordinación continuos del CISO, el CTO y la dirección en todos los ámbitos de la ingeniería, Paysafe ha seguido desarrollando el programa en colaboración con Secure Code Warrior. En la actualidad, este programa está estrechamente vinculado a las necesidades empresariales, ofrece resultados visibles y es muy relevante y participativo para los equipos internos.
Resultado: nuevas normas para el código de seguridad en toda la organización.
La iniciativa de seguridad de aplicaciones de Paysafe ha mejorado desde que comenzó su andadura hace cuatro años. A través de su asociación con Secure Code Warrior, Paysafe ha demostrado el enorme impacto que un enfoque integral de la gestión de riesgos de los desarrolladores puede tener en toda la organización.
El análisis de los datos de escaneo SAST de Paysafe reveló que las aplicaciones desarrolladas por equipos formados con Secure Code Warrior mostraban una reducción notable de las vulnerabilidades detectadas en los escaneos iniciales de desarrollo. Los equipos cuyos desarrolladores utilizaban la plataforma SCW de forma más activa registraron una mayor reducción en el número de vulnerabilidades detectadas en la primera inspección.
El equipo con mayor actividad y participación en Secure Code Warrior redujo considerablemente las vulnerabilidades detectadas en las primeras fases de desarrollo año tras año. Esto pone de relieve el valor añadido de la formación continua basada en la tecnología para reforzar los hábitos de codificación segura. Al crear código seguro desde el principio, el equipo y otros equipos pudieron ahorrar una cantidad considerable de tiempo en el uso del SDLC.Al prevenir las vulnerabilidades del código en las primeras fases del desarrollo, se ahorraron miles de horas de desarrollo, ya que no fue necesario identificar, registrar y reelaborar las vulnerabilidades del código. Como resultado, la productividad de los desarrolladores mejoró en un 45 %, lo que demostró las ventajas de mejorar las habilidades de código seguro y ayudó a mejorar el proceso de desarrollo diario. Se trata de una oportunidad beneficiosa tanto para el equipo de ingeniería como para el equipo de AppSec.
Paysafe se ha destacado por su compromiso con el código seguro y ha obtenido la cuarta posición en la clasificación SCW Trust Score®. Aunque Paysafe se enorgullece de este logro en el índice de referencia de serviciosbancarios y financieros, sus esfuerzos en favor de la iniciativa del código seguro no terminan aquí. Gracias a los resultados obtenidos gracias a su colaboración con Secure Code Warrior, Paysafe desea seguir desarrollando el programa.
Alan Osborne, director de seguridad de la información de Paysafe, afirma: «Secure Code Warrior nos ha ayudado a aumentar la productividad de los desarrolladores, acelerar la capacidad de lanzar productos y mejoras al mercado y reducir significativamente los costes y riesgos a lo largo del tiempo». «Hemos demostrado que la codificación segura basada en una mejor formación de los desarrolladores no es simplemente algo que «estaría bien tener», sino que es una inversión probada que mejora las habilidades, la experiencia y las capacidades de los desarrolladores, al tiempo que ofrece un retorno de la inversión tangible».
A continuación, Paysafe tiene como objetivo reforzar aún más los estándares de seguridad mediante la integración de medidas adicionales de gobernanza y gestión de riesgos en el proceso, consolidando así la larga colaboración de SCW Trust Agent con Secure Code Warrior y demostrando su compromiso con la excelencia en ciberseguridad.
%20(1).avif)