11 práticas recomendadas para o processamento seguro de pagamentos on-line

Alguém pode se perguntar por que as empresas são tão vulneráveis à fraude on-line. A resposta é dupla. Muitos comerciantes não protegem o processamento de pagamentos on-line da maneira correta, mas os fraudadores também merecem algum crédito, pois seus esquemas estão se tornando cada vez mais difíceis de combater. Neste artigo, revelaremos onze práticas recomendadas sobre como proteger os pagamentos on-line e os dados confidenciais dos clientes.

As fraudes no comércio eletrônico variam desde o clássico sequestro de contas até o roubo de cartões de crédito e os esquemas de triangulação mais sofisticados, em que os fraudadores atuam como intermediários secretos nas compras on-line. Uma abordagem holística para a detecção e prevenção de fraudes mantém sua loja on-line longe das artimanhas dos hackers. Siga nossas práticas para obter a melhor proteção de pagamento de comércio eletrônico.

---

Como proteger o processamento de pagamentos on-line?

O que diferencia um fornecedor ou serviço on-line confiável de um questionável são as transações e os pagamentos on-line seguros. Os insights e as estratégias abaixo o ajudarão a implementar medidas de segurança robustas.

1. Criptografar dados de pagamento do cliente

A segurança de seu site começa com um certificado SSL (Secure Sockets Layer). Esse pequeno arquivo digital usa o protocolo TLS (Transport Layer Security) para criptografar dados em trânsito entre os navegadores dos usuários e os servidores da Web. A criptografia SSL/TLS tem sido a espinha dorsal do desenvolvimento do comércio eletrônico desde os primórdios da Internet, e agora é obrigatória para todos os sites.

Para plataformas de comércio eletrônico, a criptografia SSL faz parte da conformidade com o PCI DDS (Payment Card Industry Data Security Standard), um padrão de segurança universal para organizações que lidam com dados de titulares de cartões.

Com tantos tipos de certificados SSL disponíveis, a melhor opção para a maioria dos sites de comércio eletrônico é um certificado SSL Business Validation (BV). O BV SSL é um certificado de alta garantia que valida uma empresa oficial. O processo de verificação requer documentação de sua parte, mas você pode acelerar o processo obtendo um código LEI para sua organização.

---

2. Colete e armazene o mínimo possível de dados

Quanto mais dados você coletar de seus clientes, maiores serão os riscos no caso de uma violação. A legislação recente, incluindo o Regulamento Geral de Proteção de Dados (GDPR), impõe requisitos rigorosos sobre como os dados são coletados, armazenados e acessados.

Não colete e armazene dados apenas porque você pode, especialmente quando se trata de dados pessoais. Reúna as informações básicas, como nome e sobrenome do cliente, endereço ou detalhes de pagamento com cartão de crédito, e armazene-as em sistemas de nuvem seguros e criptografados.

---

3. Tornar-se compatível com a PCI

A conformidade com a PCI se baseia em três aspectos essenciais: proteção dos dados do cartão de crédito, segurança dos dados armazenados e validação anual. Se você usar um processador de pagamentos terceirizado, boa parte do gerenciamento da conformidade com a PCI será de responsabilidade dele. No entanto, é essencial conhecer e entender suas obrigações.

Os 12 requisitos de conformidade com a PCI estão resumidos abaixo:

• Manter um firewall para proteger os dados do titular do cartão dentro da rede corporativa
• Proteja os dados armazenados em sistemas físicos e virtuais
• Não use senhas padrão. Troque-os periodicamente.
• Use um certificado SSL para criptografar os dados do titular do cartão em trânsito nas redes públicas
• Restringir o acesso aos dados do titular do cartão
• Restringir o acesso aos componentes do sistema
• Restringir o acesso físico aos dados do titular do cartão
• Rastrear e monitorar o acesso aos recursos da rede e aos dados do titular do cartão
• Desenvolver e manter sistemas e aplicativos seguros
• Examine todos os sistemas que armazenam dados confidenciais em busca de possíveis vulnerabilidades
• Testar regularmente os sistemas e processos de segurança
• Manter uma política de segurança padrão em seus sistemas e pessoal

---

4. Implementar o 3D Secure

3D Secure significa 3 Domain Server (Servidor de 3 Domínios), um protocolo de segurança que envolve três partes, que são as principais figuras no processo do 3D Secure:

• O comerciante que está vendendo o item
• O banco da empresa – o banco adquirente
• O emissor do cartão – geralmente VISA ou MasterCard.

O método de autenticação segura 3D impede o uso não autorizado de cartões. Ele também protege os comerciantes contra estornos no caso de transações fraudulentas. Com essa nova tecnologia, o uso indevido de cartões e a perda de pagamentos são significativamente reduzidos.

---

5. Exigir senhas fortes

Nunca subestime o poder de uma senha forte. De acordo com a Verizon, as credenciais comprometidas são a causa mais comum de ataques cibernéticos, sendo responsáveis por 61% das violações. Há um motivo pelo qual os sites não permitem que os usuários criem senhas fracas – é um desastre que está prestes a acontecer.

Ao aumentar uma senha em apenas alguns caracteres, você dá aos hackers trilhões de combinações adicionais para quebrar. Veja como tornar uma senha quase inviolável:

• Em qualquer circunstância, evite qualquer informação pessoal
• Se a palavra puder ser encontrada em um dicionário, não a use.
• Incluir uma combinação de caracteres especiais (números, letras maiúsculas, símbolos)
• Use geradores de senhas fornecidos por gerenciadores de senhas confiáveis, como o Dashline ou o Lastpass.

---

6. Use autenticação forte do cliente

A autenticação forte do cliente (SCA) adiciona uma camada de segurança quando os usuários fazem login no seu sistema. Ele protege contra o acesso não controlado ao software e é extremamente eficaz contra ataques automatizados de bots (taxa de prevenção de 99,9%, de acordo com a Microsoft). A SCA exige que os usuários apresentem pelo menos dois fatores de identidade possíveis dentre os três disponíveis: PIN, escaneamento de impressão facial/digital ou telefone celular.

Outro método eficiente para validar transações on-line é o CVV (Card Verification Value, valor de verificação do cartão), o número de 3 a 4 dígitos no verso dos cartões de crédito VISA, MasterCard, Discover e American Express.

O CVV protege os cartões de crédito contra roubo, fraude e transações não autorizadas. Ele garante que somente o proprietário do cartão o utilize. Mesmo que alguém obtenha o número do cartão, não poderá fazer transações sem o CVV.

---

7. Use métodos e provedores de pagamento on-line seguros

Os processadores de pagamento de terceiros, como o Stripe, ou as plataformas de comércio eletrônico únicas, como o Shopify, simplificam seus negócios a ponto de você não precisar se preocupar com o armazenamento e a segurança dos dados. O melhor de tudo é que você está imune à responsabilidade e aos riscos associados à fraude on-line.

As lojas on-line alimentadas por plataformas confiáveis de terceiros são compatíveis com o PCI por padrão e apresentam infraestrutura de segurança avançada, proporcionando a você a tranquilidade necessária para se concentrar no crescimento de seus negócios.

---

8. Use o serviço de verificação de endereço

Um serviço de verificação de endereço (AVS) é usado em pagamentos de comércio eletrônico para aumentar a segurança e reduzir o risco de transações fraudulentas. O AVS verifica o endereço de cobrança do titular do cartão fornecido durante a transação em relação ao endereço registrado no emissor do cartão.

O AVS ajuda a detectar atividades potencialmente fraudulentas. Isso levantará uma bandeira vermelha se uma transação for originada de um país diferente do endereço de cobrança registrado. Os comerciantes podem configurar seus sistemas de pagamento para sinalizar ou revisar automaticamente as transações com base nos códigos de resposta AVS recebidos.

Como em qualquer sistema, o AWS tem suas limitações. Ele pode não considerar variações nos formatos de endereço ou discrepâncias menores, como erros de ortografia ou diferenças nas abreviações de ruas. Além disso, o AVS não verifica a identidade do titular do cartão ou a disponibilidade de fundos na conta.

---

9. Monitorar fraudes 24 horas por dia, 7 dias por semana

É sempre melhor ser proativo do que reativo, especialmente quando a privacidade dos clientes está em jogo. Felizmente, muitas ferramentas e sistemas de gerenciamento de fraudes podem proteger sua empresa. E, se você adicionar a IA à equação, os hackers não terão poder para violar sua segurança. Veja como você pode monitorar e evitar fraudes:

• Instale um software antivírus em todos os dispositivos conectados aos seus terminais de pagamento. Atualize seu site e software regularmente e use os patches de segurança mais recentes.
• Faça uma varredura em seu sistema em busca de vulnerabilidades para detectar possíveis brechas que os criminosos cibernéticos possam explorar, pois o principal objetivo deles é infectar os servidores dos provedores de pagamento com malware que extrai dados de pagamento em tempo real dos usuários. A varredura de vulnerabilidades é necessária para a conformidade com a PCI, portanto, use um fornecedor de varredura aprovado pela PCI, comumente conhecido como ASV.
• Permita que a IA e o aprendizado de máquina analisem atividades suspeitas rastreando o comportamento do cliente. A Inteligência Artificial está rapidamente se tornando essencial para a segurança cibernética e pode economizar muito dinheiro para a sua empresa a longo prazo.

---

10. Treinar funcionários

A conscientização sobre a segurança cibernética deve estar na agenda de todas as empresas on-line. Uma cultura de segurança é a melhor defesa “suave” contra ameaças contínuas, especialmente quando 36% de todas as violações de dados são provenientes de agentes internos. Para evitar a sabotagem de funcionários desonestos, restrinja o acesso ao sistema e compartimentalize as cargas de trabalho essenciais à segurança.

A equipe deve conhecer seus protocolos de segurança e saber o que fazer após uma violação de dados. De acordo com a Associação de Sistemas de Computação Avançada (USENIX), as empresas devem realizar treinamentos de segurança cibernética a cada quatro ou seis meses. Seu estudo sobre conscientização sobre phishing constatou que os funcionários tendem a esquecer o que aprenderam, portanto, ao lembrá-los constantemente sobre os perigos do crime cibernético, você protege sua empresa e seus clientes.

---

11. Atualizar e corrigir regularmente os sistemas

Manter todos os softwares e sistemas com os patches de segurança mais recentes é fundamental para manter um ambiente seguro de processamento de pagamentos on-line. Os criminosos cibernéticos geralmente exploram vulnerabilidades em softwares desatualizados para obter acesso não autorizado ou lançar ataques.

Várias violações de segurança de alto nível ocorreram devido a sistemas sem patches. Por exemplo, a violação da Equifax em 2017, que expôs as informações pessoais confidenciais de milhões de pessoas, foi resultado da falha da empresa em corrigir uma vulnerabilidade conhecida. Da mesma forma, o ransomware WannaCry de 2017 teve como alvo sistemas sem patches, causando interrupções significativas e perdas financeiras.

Os especialistas em segurança enfatizam constantemente a importância do gerenciamento de patches. As práticas recomendadas, como as delineadas pelo Center for Internet Security (CIS), enfatizam a necessidade de uma abordagem proativa para a aplicação de patches, incluindo o estabelecimento de ciclos regulares de aplicação de patches, a utilização de ferramentas automatizadas de gerenciamento de patches e a realização de avaliações de vulnerabilidade para identificar e solucionar os pontos fracos.

---

Considerações finais

O comércio eletrônico está se tornando a opção de compra padrão em nosso mundo digital. No entanto, com a conveniência de comprar itens no conforto de sua casa, vêm os riscos de fraude. É responsabilidade de todas as empresas proteger os dados confidenciais dos compradores e promover a conscientização sobre a segurança cibernética no local de trabalho. Mostramos a você como garantir a segurança dos pagamentos on-line. Agora é a sua vez de ser proativo e proteger sua empresa on-line contra perdas financeiras e de reputação.