Não teríamos fraude no e-commerce se não houvessem milhares de números de cartão nas mãos dos criminosos. Ao retirar a oferta de dados veríamos uma queda brutal no número de chargebacks. Mas de onde vêm os cartões clonados? Como os fraudadores obtêm estas informações sigilosas?
Leia também
As principais causas de fraude no e-commerce – Parte 1: Autenticação do cliente
A principal fonte, infelizmente, são os próprios lojistas. A responsabilidade é de quem captura e manipula os dados, ou seja, quem os recebe em primeira mão do comprador e os usa no processamento do pagamento. São raros os casos nos quais alguma instituição da cadeia de pagamentos – adquirentes, bancos ou bandeiras – é atacada. Mas já aconteceu antes, e mais de uma vez. Porém, a grande maioria dos vazamentos acontece quando o comprador oferece o cartão ao lojista.
Só nos últimos anos, empresas como Sony, Target, Home Depot, e inúmeras outras sobre as quais nós nunca ouvimos falar, foram invadidas. São milhões de cartões, endereços e identidades que agora estão à venda em fóruns na internet e até no Facebook. Apesar de pouco divulgados no Brasil, estes ataques são frequentes por aqui. Já vimos diversos casos de e-commerces que vazaram números de cartões de seus clientes.
Por que guardar isso mesmo?
Em um e-commerce padrão não existe nenhuma razão para armazenar o cartão de crédito completo, mesmo que criptografado. Você não precisa dele para estornos ou para conciliação. É uma impressão errônea da parte de muitos donos e desenvolvedores de e-commerces de que, para que um sistema na web aceite pagamentos com cartão de crédito, este, necessariamente, precisa manter seus números guardados em algum lugar.
Faz pagamentos recorrentes ou 1-click? Além de soluções específicas para recorrências, como os nossos parceiros da Vindi, todos os grandes gateways possuem tokenização, inclusive as próprias adquirentes. Se você não quiser ficar preso a um parceiro só, há soluções de “cofres” cuja única função é armazenar o cartão fora da sua base, para ser usado quando você precisar.
Mas eu não guardo o cartão, eu passo pra frente!
Mesmo que você não armazene os cartões , só o fato de fazê-los passar pelo seu sistema já abre brechas para ataques. Eles podem, por exemplo, estar gravados em um arquivo de log. Um hacker pode instalar um programa que lê a memória do seu sistema e coleta os dados, como foi o caso da Target. Todo cuidado, infelizmente, é pouco.
Existe uma instituição internacional, criada pelas bandeiras Visa e Mastercard, que funciona como uma agência autorreguladora para segurança de cartōes de crédito. Chamado de PCI, este conselho dita regras e melhores práticas sobre como manusear estes dados sensíveis e designa auditores para validar se uma loja ou instituição segue tais práticas.
Ainda assim, um certificado não garante total segurança. Afinal, a Target havia passado por auditoria dois meses antes do ataque! Mas é sinal de que ao menos aquela loja se preocupa o suficiente para ser auditada.
O que eu posso fazer para evitar problemas?
Avalie se você realmente precisa coletar o número de cartão de crédito no seu site ou armazená-lo no seu banco de dados. É bem provável que você não precise. Faça o possível para não ficar com esta responsabilidade.
Você pode usar um gateway com uma página de pagamento customizada, que fica sob responsabilidade dele, mas com a cara da sua loja. Há soluções de checkout transparente via JavaScript ou iFrame capazes de evitar que o seu sistema recolha o número de cartão. Vai usar o número de cartão de novo em compras recorrentes? Ache um gateway com tokenização. E sempre tenha um certificado de segurança – o HTTPS do endereço do site.
Se o seu negócio não consegue rodar sem capturar ou armazenar o número do cartão – e há muitos casos assim -, então está na hora de se familiarizar com os padrões de segurança do PCI. Comece clicando aqui e aqui.
Sobre a Konduto
Somos a primeira empresa do mundo a considerar o comportamento de navegação e compra do usuário em um site de e-commerce para calcular o risco de fraude em uma transação. Nosso sistema, que combina também todas as técnicas tradicionais da análise de risco (validação de dados cadastrais, revisão manual, fingerprint, geolocalização) ainda conta com filtros de inteligência artificial, que aumentam a precisão do antifraude e beneficiam a operação do lojista.
Nossos cases de sucesso mostram que a Konduto tem a mais moderna e eficiente tecnologia para barrar fraudes on-line. Temos clientes de todos os segmentos do e-commerce e somos reconhecidos pela imprensa e pelo mercado de tecnologia como uma das empresas mais inovadoras do ramo de tecnologia criadas no Brasil nos últimos anos.
Entre em contato conosco no e-mail oi@konduto.com e nos diga como a Konduto pode ajudar o seu e-commerce!