Por
Tom Canabarro
5 minComments

As principais causas de fraude no e-commerce - Parte 2: Vazamento de dados

Nesta segunda parte vamos falar sobre segurança e vazamento de dados sensíveis

Não teríamos fraude no e-commerce se não houvessem milhares de números de cartão nas mãos dos criminosos. Ao retirar a oferta de dados veríamos uma queda brutal no número de chargebacks. Mas de onde vêm os cartōes clonados? Como os fraudadores obtêm estas informaçōes sigilosas?

Leia também
Saiba as principais causas de fraude no e-commerce - Parte 1: Autenticação do cliente Recebi meu primeiro chargeback! O que fazer?
5 coisas que você não sabia sobre cartões de crédito

A principal fonte, infelizmente, são os próprios lojistas. A responsabilidade é de quem captura e manipula os dados, ou seja, quem os recebe em primeira mão do comprador e os usa no processamento do pagamento. São raros os casos nos quais alguma instituição da cadeia de pagamentos - adquirentes, bancos ou bandeiras - é atacada. Mas já aconteceu antes. Porém, a grande maioria dos vazamentos acontece quando o comprador oferece o cartão ao lojista.

Só nos últimos anos, empresas como Sony, Target, Equifax, Home Depot, e inúmeras outras sobre as quais nós nunca ouvimos falar, foram invadidas. São milhōes de cartōes, endereços e identidades que agora estão à venda em fóruns na internet e até no Facebook. Apesar de pouco divulgados no Brasil, estes ataques são frequentes por aqui. Já vimos diversos casos de e-commerces que vazaram números de cartões de seus clientes.

Por que guardar isso mesmo?

Em um e-commerce padrão não existe nenhuma razão para armazenar o cartão de crédito completo, mesmo que criptografado. Você não precisa dele para estornos ou para conciliação. É uma impressão errônea da parte de muitos donos e desenvolvedores de e-commerces de que, para que um sistema na web aceite pagamentos com cartão de crédito, este, necessariamente, precisa manter seus números guardados em algum lugar.

Faz pagamentos recorrentes ou 1-click? Além de soluçōes específicas para recorrências, como os nossos parceiros da Vindi, todos os grandes gateways possuem tokenização, inclusive as próprias adquirentes. Se você não quiser ficar preso a um parceiro só, há soluçōes de “cofres” cuja única função é armazenar o cartão fora da sua base, para ser usado quando você precisar.

Mas eu não guardo o cartão, eu passo pra frente!

Mesmo que você não armazene os cartōes, só o fato de fazê-los passar pelo seu sistema já abre brechas para ataques. Eles podem, por exemplo, estar gravados em um arquivo de log. Um hacker pode instalar um programa que lê a memória do seu sistema e coleta os dados, como foi o caso da Target. Todo cuidado, infelizmente, é pouco.

Existe uma instituição internacional, criada pelas bandeiras Visa e Mastercard, que funciona como uma agência autorreguladora para segurança de cartōes de crédito. Chamado de PCI, este conselho dita regras e melhores práticas sobre como manusear estes dados sensíveis e designa auditores para validar se uma loja ou instituição segue tais práticas.

Ainda assim, um certificado não garante total segurança. Afinal, a Target havia passado por auditoria dois meses antes do ataque!. Mas é sinal de que ao menos aquela loja se preocupa o suficiente para ser auditada.

O que eu posso fazer para evitar problemas?

Avalie se você realmente precisa coletar o número de cartão de crédito no seu site ou armazená-lo no seu banco de dados. É bem provável que você não precise. Faça o possível para não ficar com esta responsabilidade.

Você pode usar um gateway com uma página de pagamento customizada, que fica sob responsabilidade dele, mas com a cara da sua loja. Há soluções de checkout transparente via JavaScript ou iFrame capazes de evitar que o seu sistema recolha o número de cartão. Vai usar o número de cartão de novo em compras recorrentes? Ache um gateway com tokenização. E sempre tenha um certificado de segurança - o HTTPS do endereço do site.

Se o seu negócio não consegue rodar sem capturar ou armazenar o número do cartão - e há muitos casos assim -, então está na hora de se familiarizar com os padrões de segurança do PCI. Comece clicando aqui e aqui.

Quer saber mais?

Mande uma mensagem para a gente no e-mail oi@konduto.com, teremos o prazer em ajudar!

Conecte-se com a Konduto também nas redes sociais: Linkedin, Facebook e Twitter