Sebagai penyedia layanan untuk institusi keuangan, Fiserv memprioritaskan keamanan TI. Sebagai bagian dari komitmennya untuk melindungi data klien, Fiserv memutuskan untuk menyederhanakan dan mengotomatisasi manajemen keamanan TI untuk lingkungan IBM AIX, dengan mengadopsi platform pemantauan kepatuhan baru: IBM PowerSC™.
Para administrator sistem Fiserv menghabiskan waktu berjam-jam untuk mengonfigurasi server agar sesuai dengan tolok ukur keamanan PCI, SOX-Cobit, dan CIS; untuk mengambil data kepatuhan, mereka harus masuk ke server satu per satu.
Fiserv mengadopsi IBM PowerSC Standard Edition (PowerSC) di seluruh kawasan IBM Power Systems, merampingkan konfigurasi server dan membuka kemampuan kepatuhan dan pelaporan secara real-time.
Misi Fiserv adalah membantu klien memindahkan uang dan informasi dengan cara yang menggerakkan dunia. Perusahaan ini berspesialisasi dalam teknologi layanan keuangan, menyediakan solusi untuk pembayaran, layanan pemrosesan, manajemen pelanggan dan saluran, risiko dan kepatuhan, serta wawasan dan optimalisasi.
Mengelola transaksi keuangan selalu melibatkan pertukaran, penyimpanan, dan pemrosesan data sensitif. Fiserv harus selalu membuktikan kepada klien dan auditor bahwa Fiserv akan mengelola data ini secara bertanggung jawab—dan mendapatkan kepercayaan klien adalah salah satu prioritas utamanya.
Sebagai hasilnya, tim TI perusahaan menangani keamanan dengan sangat serius. Sistem TI-nya menjalani berbagai audit internal dan eksternal yang kompleks setiap tahun, dan sistem ini diharapkan memenuhi berbagai standar industri dan peraturan. Namun, audit rutin tidak cukup untuk memastikan kepatuhan yang berkelanjutan: perusahaan juga harus memantau sistemnya 24/7 untuk memastikan bahwa setiap server mempertahankan konfigurasi yang benar setiap saat.
Sebagai dasar untuk mengonfigurasi sistemnya, Fiserv menggunakan kerangka kerja keamanan praktik terbaik yang dikenal sebagai tolok ukur Center for Internet Security (CIS). Setiap servernya diharapkan memenuhi pengaturan wajib dan ambang batas skor keseluruhan minimum dengan standar yang ditentukan dalam tolok ukur tersebut.
Zach Floen, Insinyur Sistem Tenaga IBM di Fiserv, menjelaskan: "Dari perspektif keamanan, konfigurasi ideal untuk server adalah dengan menguncinya sepenuhnya, sehingga server tidak dapat bertukar data dengan sistem lain sama sekali. Tetapi jika server tidak dapat berkomunikasi, itu tidak dapat melakukan sesuatu yang berguna.”
Sementara Fiserv sudah memantau konfigurasi keamanan servernya, mereka mencari manajemen kepatuhan menyeluruh yang lebih terintegrasi di seluruh wilayah servernya. Misalnya, jika insinyur perusahaan perlu menginstal server baru, mereka harus menghabiskan empat atau lima jam secara manual bekerja melalui daftar periksa untuk “mengeras” konfigurasi sehingga akan melewati ambang kepatuhan.
Demikian pula, tim sering kali perlu melakukan perubahan sementara pada konfigurasi server saat melakukan pemeliharaan dan peningkatan. Para teknisi harus mengimplementasikan perubahan ini secara manual, dan kemudian mengembalikan server ke pengaturan semula setelah tugas pemeliharaan selesai. Meskipun Fiserv memiliki strategi untuk mengurangi risiko lupa mengembalikan pengaturan dengan benar, perusahaan ini ingin mencari cara untuk menghilangkan kemungkinan kesalahan manusia dengan mengendalikan perubahan konfigurasi secara terpusat dan otomatis.
Akhirnya, tim ingin merampingkan proses pelaporan kepatuhannya dan menghapus tugas yang memakan waktu yang harus dilakukan administrator, seperti harus mengambil laporan kepatuhan di sejumlah besar server secara manual.
Sebagian besar arsitektur server Fiserv terdiri dari server IBM Power Systems™ yang menjalankan sistem operasi IBM AIX untuk mendukung sistem keuangan dan basis data inti. Ketika perusahaan mulai meninjau opsi-opsi untuk platform manajemen kepatuhan yang baru, mereka menemukan bahwa IBM menawarkan solusi yang dibuat khusus: IBM PowerSC. "IBM PowerSC dengan cepat berkembang menjadi alat yang sangat kuat dan mumpuni untuk manajemen kepatuhan," ujar Zach Floen. "Produk ini menawarkan kemampuan yang tidak dimiliki oleh perangkat kami yang sudah ada, dan sudah termasuk dalam lisensi AIX Enterprise, jadi kami tidak perlu khawatir tentang biaya tambahan." Pada saat itu, Fiserv sedang bersiap-siap untuk merasionalisasi lanskap IBM AIX-nya dengan menyatukan kelompok server yang berbeda ke dalam satu lingkungan cloud pribadi. Inisiatif ini memberikan kesempatan yang sempurna untuk beralih dari alat kepatuhan perusahaan yang ada ke PowerSC.
Saat Fiserv meluncurkan peranti lunak PowerSC di seluruh area AIX-nya, tim ini sangat ingin memanfaatkan fitur-fitur otomatisasi kepatuhan dari solusi ini.
Sebagai contoh, PowerSC memonitor daftar program yang diizinkan untuk berjalan di setiap server dan memberi tahu administrator jika ada program yang tidak sah dijalankan. Selama sesi pemeliharaan, fitur ini dapat dinonaktifkan untuk kelompok server dan diatur untuk aktif kembali secara otomatis setelah jangka waktu tertentu. Hasilnya, teknisi tidak perlu lagi mengubah konfigurasi secara manual selama pemeliharaan, sehingga secara signifikan mengurangi risiko tidak sengaja membiarkan sistem terbuka.
PowerSC juga menyediakan profil keamanan yang dibangun sebelumnya yang mendukung standar industri dan peraturan seperti PCI-DSS, HIPAA, dan GDPR. Administrator dapat menerapkan profil ke server dengan satu klik, alih-alih menghabiskan waktu berjam-jam mengerjakan daftar periksa keamanan untuk setiap mesin baru.
"Kami bekerja sama dengan IBM untuk membangun profil keamanan yang sepenuhnya sesuai dengan tolok ukur CIS," ujar Zach Floen. "Setelah kami memiliki profil, kami akan dapat menghilangkan berjam-jam konfigurasi manual saat kami menyiapkan mesin di platform AIX tervirtualisasi terbaru kami."
Profil ini juga membantu mengatasi masalah konfigurasi dengan cepat, seperti yang dijelaskan oleh Zach Floen: "Kami memiliki kemampuan untuk memantau server kami dan mengidentifikasi ketika ada masalah dengan pengaturan server—tetapi untuk memperbaiki masalah tersebut, kami masih harus masuk ke masing-masing mesin. Dengan PowerSC, kita tinggal mengklik sebuah tombol di antarmuka admin, dan itu akan segera mengatur ulang profil ke kondisi yang benar."
Fiserv telah melihat penghematan waktu yang signifikan dalam proses pengawasan kepatuhan servernya dan mengharapkan untuk melihat penghematan yang lebih besar di masa depan. Saat ini, mengambil informasi kepatuhan dari setiap server merupakan proses yang manual dan memakan waktu. Dengan PowerSC, tim dapat dengan mudah menghasilkan laporan secara otomatis dalam beberapa detik.
Zach Floen menyimpulkan: "Bagi Fiserv, ini lebih dari sekadar kepatuhan—ini tentang mendapatkan kepercayaan klien kami—dan hal ini membutuhkan lingkungan yang aman."
Fiserv adalah salah satu perusahaan teknologi layanan keuangan terkemuka di dunia, dengan sekitar 24.000 karyawan dan pendapatan tahunan sebesar USD 5,7 miliar pada tahun 2017. Solusi perusahaan memberdayakan lebih dari 12.000 klien di lebih dari 80 negara di seluruh dunia dan membantu jutaan konsumen dan bisnis untuk memindahkan dan mengelola uang dengan cepat dan nyaman.
Catatan kaki
© Hak Cipta IBM Corporation 2018. 1 New Orchard Road, Armonk, New York 10504-1722 Amerika Serikat. Diproduksi di Amerika Serikat, Maret 2019.
IBM, logo IBM, ibm.com, AIX, Power, dan PowerSC merupakan merek dagang dari International Business Machines Corp, yang terdaftar di banyak yurisdiksi di seluruh dunia. Nama produk dan layanan lain mungkin merupakan merek dagang milik IBM atau perusahaan lain. Daftar merek dagang IBM saat ini tersedia di web di "Informasi hak cipta dan merek dagang" di ibm.com/legal/copytrade.shtml.
Tidak semua penawaran tersedia di setiap negara tempat IBM beroperasi.
Data kinerja dan contoh klien yang dikutip disajikan hanya untuk tujuan ilustrasi. Hasil kinerja aktual dapat bervariasi, tergantung pada konfigurasi dan kondisi pengoperasian tertentu.
Semua contoh klien yang dikutip atau dijelaskan disajikan sebagai ilustrasi tentang cara beberapa klien menggunakan produk IBM dan hasil yang mungkin telah mereka capai. Biaya lingkungan dan karakteristik kinerja yang sebenarnya akan bervariasi, tergantung pada konfigurasi dan kondisi tiap-tiap klien. Hubungi IBM untuk melihat apa yang bisa kami lakukan untuk Anda.
Klien bertanggung jawab untuk memastikan kepatuhan terhadap hukum dan peraturan yang berlaku. IBM tidak memberikan nasihat hukum atau menyatakan atau menjamin bahwa layanan atau produknya akan memastikan bahwa klien mematuhi hukum atau peraturan apa pun.
Pernyataan-pernyataan mengenai arah dan maksud IBM di masa depan dapat berubah atau ditarik tanpa pemberitahuan, dan hanya mewakili tujuan dan sasaran.