Blog da KondutoProteja sua loja

Armazenamento de dados: talvez você esteja fazendo isso errado

Por 12 de dezembro de 2018 fevereiro 14th, 2019 Nenhum comentário

(Este texto também poderia ser uma confissão e ter o título: “Quando eu contribuí para que meus dados de cartão vazassem e eu sofresse uma fraude – várias vezes”)

Estamos invadindo o ano de 2019, e eu tenho certeza de que você, diante de tantos avanços maravilhosos da ciência, da medicina e da tecnologia nos últimos tempos, já comentou com alguém: “Olha… acho que depois dessa já não têm mais o que inventar…” Pois é, eu também penso isso quase todos os dias – desde que entrei no ICQ pela primeira vez, há quase 20 anos (e veja só QUANTA coisa já foi inventada e melhorada desde então).

Mas estava aqui imaginando algo legal que poderíamos melhorar para o próximo ano e pensei que há algo ainda muito básico que o nosso mercado (de e-commerce, serviços, meios de pagamento etc) ainda faz de modo super precário em vários casos: o armazenamento de dados de cartão de crédito. E nós, como “pessoas físicas”, achamos normal ou então não falamos nada. Bom, eu mesmo não falei – e me dei mal.

Este texto é também uma mea-culpa de como eu, Felipe, há três anos no marketing da Konduto, mesmo conhecendo super o mercado de antifraude, colaborei para sofrer algumas fraudes nos meus cartões de crédito recentemente – a última delas, inclusive, no mês passado. (Ah, nenhuma das compras fraudulentas mencionadas a seguir passaram em clientes da Konduto, ok?)

Bom… veja os meus três maiores pecados de 2018 contra a segurança do meu próprio cartão de crédito e veja se você já não cometeu algo parecido…

Pecado 1: A academia que cobra com caderninho

Encontrei uma academia que era super conveniente para mim: perto de casa, dentro de um shopping, com horários estendidos, que funcionava aos fins de semana e que se encaixava legal no meu orçamento. Quando fui me matricular, fiquei ainda mais maravilhado que eles tinham um plano que era cobrado mês a mês e não exigia carência. Era o “plano recorrente” (amigos da Vindi, continuem a leitura!).

Preenchi a papelada e o rapaz pediu meu cartão de crédito para finalizar o cadastro.

– Posso colocar na maquininha?
– Não, eu anoto aqui neste caderno e todo mês o nosso financeiro lança uma cobrança no seu cartão.


– Oi???
– Pode ficar tranquilo, é tudo profissional.

Não sei por que, talvez por aquela sensação de “ah, não vai acontecer comigo”, aceitei.

Preciso falar que depois de um mês meu cartão de crédito foi clonado? Pois é… e foi utilizado para uma compra de mais de 1.000 dólares em uma e-wallet…

Claro que não demorou para que eu trocasse de academia. Coincidentemente, me matriculei em uma com um sistema de cobrança muito mais profissional (cliente Vindi, que detém a certificação PCI) e onde eu posso resolver qualquer pendência financeira pela internet, sem caderninhos. Nunca mais tive problemas de cobranças com academia. Porém…

Pecado 2: A reserva por telefone

Surgiu uma viagem de última hora e precisei fazer uma reserva de hotel no dia do check-in. Não consegui concluir o pedido pela internet e, para não perder a oferta, tive que ligar na central de atendimento da rede hoteleira para concluir o procedimento.

– Senhor, vou precisar apenas que me passe o número do seu cartão de crédito para concluir a reserva.
– Mas moça, você sabe que isso é um problemão, né?
– Por que, o senhor não trabalha com cartão de crédito?
– Não, não por isso. Mas tipo… a gente não pode passar o número do cartão assim, por telefone, sabe?.
– É que sem essa informação infelizmente eu não consigo concluir a reserva pelo preço promocional do site, então o senhor teria que pagar o preço de balcão e…
– *Suspiro*. Sim, sim, tudo bem. É cinco, um…

Pecado 3: O check-in no MESMO hotel

Chegando ao hotel naquela mesma noite para fazer o check-in, preenchi no balcão a papelada necessária e a pessoa da recepção informou:

– Agora preciso fazer uma pré-autorização no cartão do senhor, o mesmo usado no momento da reserva. No momento do check-out este valor é estornado, ok?
– Tá ok (e inseri o plástico na máquina)
– Não, a pré-autorização é feita nesta ficha cadastral aqui. Com licença.

A pessoa pegou o cartão da minha mão e escreveu os 16 dígitos, o prazo de validade, o CVV em uma ficha de papel e guardou-a em uma gaveta com mais algumas dezenas de fichas.

– Pronto, daqui alguns instantes lançaremos a pré-autorização e o senhor será notificado no SMS.

Fui para o quarto contrariado e ligeiramente arrependido do que havia feito. Errar uma vez tudo bem, mas reincidir no erro foi uma burrice bem grande da minha parte.

Alguns meses depois, adivinha só? Sete compras de 100 dólares aprovadas num intervalo de uma hora, no e-commerce de uma das maiores marcas do mundo (mas que, cá entre nós, usava um antifraude bem dos chinfrins para aprovar tantos pagamentos seguidos assim, vai).

Eu poderia ter evitado estas situações?

Provavelmente não. Quer dizer… Nestes três casos, se eu não tivesse colaborado com a violação de segurança da informação tanto da academia como do hotel, provavelmente o máximo que teria acontecido seria a não realização do negócio – a assinatura do plano ou a reserva do quarto. Outros clientes certamente incidiram no mesmo erro que eu, e eu fui apenas mais um número na estatística.

Infelizmente, aqueles profissionais foram instruídos a realizar o procedimento de cobrança daquela maneira. O problema é justamente em outros setores da empresa – setores estes com profissionais que lidam diretamente com meios de pagamento e que instauraram esse processo super inseguro, antiquado e – sorry for my bad english – muito, mas muito tosco.

Acontece que todas essas informações foram armazenadas de maneira precária. E não estamos falando de um arquivo na nuvem, protegido sob senha, criptografado e disponível apenas para determinadas pessoas da empresa. Meus dados de cartão de crédito ficaram expostos em papéis, dentro de uma gaveta, à mercê de alguma pessoa mal intencionada que soubesse como utilizar aquela mina de informações para um fim fraudulento – como, de fato, aconteceu.

Havia outras alternativas mais interessantes e “modernas” de resolver estes impasses. Hoje em dia temos tantos sistemas simples, de fácil usabilidade e preços acessíveis que fariam essa intermediação, nos três casos citados! Sistemas estes produzidos por empresas dos mais variados tamanhos, sejam startups, fintechs ou gigantes do mercado!

Só que algo eu poderia ter feito

Sim, eu também tenho muita responsabilidade por não ter dado um feedback negativo a essas empresas depois desses acontecimentos que eu contei aqui. Como? Enviando uma reclamação formal pelos canais de atendimento/Reclame Aqui contra essas instituições, ou procurando colegas no Linkedin recomendando um procedimento mais seguro para realizar este tipo de cobrança.

Talvez uma reclamação isolada não seria o suficiente. Mas se mais pessoas como você, eu e a colega ao seu lado na mesa do trabalho pensarmos desse jeito… talvez três reclamações parecidas façam algum barulho. Cinco, dez… quem sabe?

Bom, fica o aprendizado para 2019… E, no ano que vem, eu prometo ser mais ativo para manter o mercado de pagamentos mais seguro e alertar esses tipos de brecha de segurança.

Bônus: O banco que ignorou o PCI DSS

Recebi a seguinte ligação em uma manhã dessas:

– Bom dia, senhor. Aqui quem fala é Fulano de Tal, do Banco XPTO, e gostaria de confirmar o número do seu cartão de crédito.
– Oi?
– É para a atualização do cadastro no nosso banco.
– Olha, você vai me desculpar, eu não vou te falar.
– Senhor, então será necessário realizar o cancelamento do seu cartão.
– Tudo bem.

Desliguei o telefone e retornei a ligação para a agência. Falei com a minha gerente.

– Sim, Felipe, nós realizamos este procedimento. Pode confirmar os números do seu cartão por telefone, não tem problema.


– Mas é sério? Desculpa, isso é absurdo e vocês nunca, em hipótese alguma, deveriam orientar os correntistas desta forma.

Por este e outros motivos cancelei pouco depois minha conta nesse banco em questão.

Mas me diga: se até um grande banco desconhece padrões de segurança básicos como “não passar dados de cartão por telefone”, acho que não somos apenas você e eu que devemos melhorar nossos processos de segurança da informação. Este é um assunto que deve ser chave para 2019, não acha?

Você já assina a newsletter da Konduto?

Felipe Held

Autor Felipe Held

Maratonista, palmeirense, beatlemaníaco e enciclopédia de piadas do Chaves, Felipe também é Head de Comunicação e Marketing da Konduto. Jornalista pela Cásper Líbero e pós-graduado em marketing pela ESPM, trabalhou em redações esportivas de Gazeta, UOL e Terra antes de entrar para o time do melhor antifraude do e-commerce em 2015. Já entrevistou Pelé, Maria Esther Bueno, Guga, Guardiola e Bernardinho, mas o dia mais incrível da carreira foi quando apresentou o Fraud Day.

Mais posts de Felipe Held