Aikido
Comece Gratuitamente
Não é necessário cc
Casos de sucesso

Como a Smartendr obteve uma visão clara e priorizada do risco real de pagamentos com pentest de IA

Migrado de -

€10M
Transações Mensais
1M
Usuários finais atendidos
54
Descobertas de pentest validadas
Publicado em:
24 de dezembro de 2025
Última atualização em:
24 de dezembro de 2025

Em resumo

  • O pentest com IA simulou o comportamento real de um atacante em toda a aplicação e suas integrações
  • Passe de verificações fragmentadas e periódicas para uma visão clara e priorizada do risco real de pagamentos.
  • 54 descobertas validadas agrupadas por severidade com caminhos de ataque reproduzíveis
  • Orientações claras de remediação usadas diretamente pelos engenheiros
  • Reteste automático verificou que as correções realmente removeram as vulnerabilidades.
  • Relatório de pentest estruturado usado em conversas com parceiros, auditorias e due diligence

A Smartendr, agora parte da orderBilly, é uma plataforma de pedidos para bares e restaurantes. A plataforma processa cerca de €10 milhões em transações a cada mês e atende aproximadamente um milhão de usuários finais. Pagamentos, integrações de ponto de venda e dados de clientes são centrais para o produto, tornando a segurança de aplicações um requisito essencial para o negócio.

“Sou o principal responsável pela parte técnica da empresa”, diz Robin Praet, cofundador e CTO da Smartendr. “Isso inclui arquitetura de plataforma, integrações e segurança.”

À medida que a Smartendr escalava, a equipe enfrentou um desafio comum para plataformas de rápido crescimento: agilizar as operações enquanto mantinha a confiança na identificação do risco real.

Desafio: agilidade sem visibilidade total sobre os riscos reais

À medida que a Smartendr cresceu em volume de transações e base de usuários, seu perfil de risco mudou significativamente.

“Agora temos cerca de um milhão de usuários finais por mês. Nessa escala, basta um único agente malicioso para explorar uma fraqueza.”

As expectativas de segurança de restaurantes e parceiros eram elevadas. Os pedidos que apareciam nos sistemas de ponto de venda precisavam ser pagos corretamente e protegidos contra adulteração. Simultaneamente, funcionalidades como programas de fidelidade implicavam que a plataforma tratava dados pessoais de clientes.

Antes de adotar pentest de IAAikido, a Smartendr já seguia as melhores práticas de segurança. A equipa contava com uma combinação de controlos preventivos, revisões manuais e verificações periódicas. Embora isso proporcionasse uma cobertura básica, não oferecia uma visão completa ou atualizada de como a plataforma poderia ser atacada na prática.

“O maior problema era a fragmentação”, diz Robin. “Não havia uma visão única da nossa postura de segurança, o que facilitava a perda de casos de borda, especialmente em relação a APIs e integrações.”

Com lançamentos contínuos e múltiplas integrações, as lacunas entre as verificações de segurança tornaram-se mais difíceis de justificar. A equipe precisava de uma maneira de entender onde estavam mais vulneráveis no momento, e não apenas onde os problemas poderiam existir em teoria.

“Ficou claro que a segurança não poderia depender apenas de verificações periódicas,” diz Robin. “Ela precisava se encaixar em como construímos e entregamos software.”

Solução: pentest de IA mostra caminhos de ataque reais e prioridades claras

Ao avaliar soluções, a Smartendr procurou por testes de segurança que refletissem o comportamento de ataques do mundo real sem atrasar o desenvolvimento.

“O Aikido se encaixou na nossa forma de trabalhar. Ele se integra ao nosso fluxo de desenvolvimento, fornece feedback contínuo e foca em riscos reais e acionáveis, em vez de ruído.”

A Smartendr já utilizava o Aikido para controles de segurança preventivos. O pentest de IA não revelou conceitos básicos esquecidos, mas sim caminhos de ataque realistas que só surgem quando APIs, pagamentos e integrações de ponto de venda interagem em condições do mundo real.

Começar exigiu configuração mínima. Como a base de código da Smartendr já estava conectada ao Aikido, o lançamento do pentest de IA levou apenas alguns cliques.

“Não foi necessária nenhuma configuração ou preparação pesada”, explica Robin. “A segurança deve ser fácil de ativar, não um projeto separado.”

O pentest de IA foi executado contra o aplicativo da Smartendr e revelou 54 descobertas validadas. Embora desafiador no início, os resultados proporcionaram clareza em vez de confusão.

“No início, foi confrontador ver quão completos eram os resultados”, diz Robin. “Ao mesmo tempo, nos deu uma imagem clara do que precisávamos melhorar.”

Ao contrário dos pentests tradicionais baseados em checklist, os agentes de IA se comportaram como um invasor real explorando o sistema. Cada descoberta foi validada, agrupada por gravidade e acompanhada de passos reproduzíveis mostrando como o problema poderia ser explorado na prática.

“Os agentes se comportaram mais como um atacante real explorando o sistema. Isso tornou os resultados mais relevantes do que um pentest estilo checklist.”

Isso permitiu que os engenheiros da Smartendr distinguissem imediatamente o que precisava ser corrigido com urgência do que poderia ser priorizado ao longo do tempo.

“As etapas de validação tornaram muito mais fácil confiar nos resultados e evitar a busca por falsos positivos”, explica Robin.

Algumas das descobertas mais valiosas foram problemas não óbvios que só apareceram quando múltiplos sistemas interagiram, exatamente o tipo de risco mais difícil de analisar apenas por meio de revisões manuais.

De suposições à redução de risco verificada

Assim que a remediação começou, a orientação fornecida ajudou os engenheiros a avançar rapidamente da compreensão dos problemas à sua correção.

“As recomendações eram concretas e acionáveis”, diz Robin. “Os engenheiros podiam ir direto do entendimento de um problema para a sua correção.”

Reteste automático desempenhou um papel crítico no fechamento do ciclo. Em vez de presumir que as correções funcionaram, a equipe pôde verificar se as vulnerabilidades foram realmente removidas.

“Assim que uma correção é implementada, você recebe confirmação imediata”, diz Robin. “Isso elimina a incerteza e economiza tempo.”

O relatório final do pentest também fortaleceu as conversas além da engenharia. Em vez de depender de garantias de alto nível, a Smartendr pôde apontar para uma avaliação estruturada e recente, com descobertas claras e acompanhamentos.

“Em vez de declarações vagas sobre segurança, pudemos apresentar uma avaliação estruturada e recente. Isso tornou as conversas com parceiros, auditores ou potenciais compradores mais concretas.”

Resultado: clareza, priorização e segurança contínua

Após abordar as descobertas, a Smartendr ganhou confiança em sua postura de segurança, não porque todos os riscos foram eliminados, mas porque os riscos mais importantes foram claramente identificados, priorizados e verificados.

“Temos uma compreensão mais clara dos nossos pontos mais fracos”, explica Robin. “Não porque tudo está perfeito, mas porque os maiores riscos são identificados e tratados.”

A segurança não é mais tratada como um ponto de verificação ocasional. Tornou-se uma prática contínua e verificada constantemente, que se encaixa diretamente no fluxo de trabalho de desenvolvimento.

“Com a ajuda do Aikido Attack, podemos pensar de forma mais proativa sobre superfícies de ataque e casos de borda ao construir novos recursos,” diz Robin.

Resumo

“Nos deu uma visão muito mais clara e realista do nosso risco real, sem desacelerar a forma como construímos e entregamos software”, conclui Robin.

Título 1

Título 2

Título 3

Título 4

Título 5
Título 6

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.

Citação em bloco

Lista ordenada

  1. Item 1
  2. Item 2
  3. Item 3

Lista não ordenada

  • Item A
  • Item B
  • Item C

Link de texto

Texto em negrito

Ênfase

Sobrescrito

Subscrito

Ir para:
Link de Texto
Compartilhar:

https://www.aikido.dev/customer-story/smartendr

Site
https://www.smartendr.com/
Fundada em
2020
Indústria
Tecnologia para Hospitalidade
Sede
Gante, Bélgica
Tamanho da Equipe de Desenvolvimento
Parceiro

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Iniciar Análise
Não é necessário cc
Agendar uma demonstração
Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.