Segurança de pagamentos em comércio eletrônico: uma perspectiva do Brasil

Já se passou mais de um ano desde o início da pandemia global de COVID-19, que teve um impacto significativo na saúde, no estilo de vida e na forma como os negócios são feitos. No mundo dos pagamentos, muitas empresas tiveram que se reinventar e se adaptar a transações remotas e ao mundo do e-commerce (em muitos casos na nuvem). Neste blog, discutimos os desafios do e-commerce na segurança de pagamentos no Brasil com Carlos Caetano, Diretor Regional Associado para o Brasil do PCI Security Standards Council (PCI SSC) e Gerson Rolim, Coordenador dos Comitês de Gestão de Pagamentos na Internet e Antifraude da Camara-e.net. A Camara-e.net é membro do Conselho Consultivo Regional do Brasil (REB), um conselho que representa as perspectivas das organizações participantes do PCI e constituintes do PCI no Brasil, aconselhando e fornecendo feedback e orientação ao PCI SSC sobre o desenvolvimento de padrões e programas e adoção no Brasil.

Como a pandemia global do COVID-19 afetou os pagamentos no Brasil?

Gerson Rolim: O comércio eletrônico se expandiu rapidamente durante a pandemia e forçou muitas empresas a reformular completamente seus sistemas de pagamento. De acordo com a Associação Brasileira das Empresas de Cartões de Crédito (ABECS), as transações remotas (principalmente e-commerce) aumentaram 30% em 2020 e estão impulsionando as vendas no varejo. Em outro estudo realizado pela Ebit|Nielsen em parceria com a ELO, as vendas do e-commerce foram 47% maiores no primeiro semestre de 2020, em relação ao mesmo período de 2019, totalizando mais de R$38,8 bilhões.

Essa expansão vertiginosa e a demanda urgente do mercado levaram muitos adquirentes e facilitadores de pagamento a se apressar em desenvolver soluções de pagamento remoto para apoiar os clientes existentes, bem como um novo conjunto de empreendedores que precisaram mudar suas necessidades de pagamento devido aos impactos da pandemia de COVID-19 na economia. A demanda do mercado geralmente se concentrava na necessidade de novas plataformas de e-commerce que fossem rápidas de integrar e implantar.

Espera-se que o comércio eletrônico continue a crescer em 2021, à medida que a pandemia continua a se arrastar e a reabertura da economia permanece imprevisível.

Quais são alguns dos principais desafios que os comerciantes enfrentam neste ambiente de pagamento em constante mudança?

Gerson Rolim: O crescimento dramático do comércio eletrônico em todo o Brasil chamou a atenção de criminosos cibernéticos que entendem que o crescimento das transações e da receita também resulta no crescimento dos dados de cartão de crédito e outros dados financeiros e pessoais que podem ser potencialmente comprometidos para serem vendidos na dark web.

Muitos comerciantes, especialmente os pequenos comerciantes que tiveram que mudar para o e-commerce, não têm uma equipe de segurança da informação qualificada para apoiá-los, nem entendem as ameaças que enfrentam atualmente. É importante que eles entendam as ameaças e desenvolvam um plano para se protegerem delas.

Mais do que nunca, pensamos que a colaboração e o compartilhamento de informações para prevenir fraudes entre concorrentes é a forma de evoluir neste campo de batalha. Para enfrentar esse desafio, nosso comitê de antifraude desenvolveu o Observatore.org - um hub de blockchain colaborativo que conecta o ecossistema de comércio eletrônico para validação de informações para evitar fraudes online.

Quais são algumas das ameaças que as empresas enfrentam quando se trata de pagamentos?

Carlos Caetano: As empresas enfrentam uma infinidade de ataques de criminosos cibernéticos todos os dias. O PCI SSC tem uma página da web dedicada para comerciantes que explica muitos dos ataques e vulnerabilidades mais comuns, como malware, phishing, acesso remoto inseguro, senhas fracas, patching desatualizado e muito mais. Eu encorajaria os comerciantes a se familiarizarem com esses ataques e vulnerabilidades comuns e a tomarem precauções para se protegerem deles.

Alguns dos ataques atuais que estão na frente e no centro no Brasil hoje incluem ataques de skimming online. Esses ataques, conhecidos como ataques MAGECART, infectam sites de comércio eletrônico com códigos maliciosos conhecidos como sniffers ou JavaScript (JS) sniffers e são muito difíceis de detectar. Depois que um site é infectado, as informações do cartão de pagamento são “copiadas” durante uma transação, sem que o comerciante ou consumidor saiba que as informações foram comprometidas. Magecart é um termo abrangente usado por alguns pesquisadores de segurança para descrever vários grupos de hackers criminosos responsáveis por vários ataques de skimming online. O termo também tem sido usado para identificar de maneira geral o tipo de ataque utilizado pelos grupos. Esses ataques estão ativos desde 2015 e representam a ameaça cibernética em constante evolução por trás de vários ataques de alto perfil contra organizações internacionais. O PCI SSC divulgou um boletim sobre esse tipo de ataque que pode servir como um recurso útil para melhor entendê-los.

Outra ameaça proeminente é o risco de terceiros ou ataques à cadeia de suprimentos. A indústria de pagamentos adotou inovações modernas para aceitar pagamentos, incluindo o uso de serviços em nuvem para aceitação de e-commerce e desenvolvedores terceirizados para o desenvolvimento de aplicativos de pagamento móvel. Também tem havido adoção geral de funções e arquiteturas de software mais complexas do que as arquiteturas de pagamento mais simplistas do passado. Nesse ambiente, é fundamental para as organizações que atuam no e-commerce entender que as atualizações para a grande maioria dos aplicativos de pagamento estão acontecendo com muito mais frequência. Esses são alvos focalizados por gangues criminosas, já que, na maioria dos casos, existe um software disponível ao público para explorar os pontos fracos e fornecer acesso a ambientes de comércio eletrônico.

Por último, é importante destacar que, em relação às ameaças, muitos problemas antigos ainda são grandes problemas. Por exemplo, vulnerabilidades antigas relacionadas a aplicativos da web ainda estão entre os principais problemas vistos por especialistas. De acordo com o DBIR da Verizon de 2020, os aplicativos da web estiveram envolvidos em 43% das violações. Vulnerabilidades de injeção (SQL e PHP) são as mais comumente exploradas, com números importantes também relacionados a vulnerabilidades de cross-site scripting (XSS). Falhas de injeção e XSS têm sido problemas por mais de 14 anos no OWASP Top 10. Essas vulnerabilidades foram abordadas no Padrão de Segurança de Dados PCI (PCI DSS) desde a versão 1.1 do padrão, mas ainda estão acontecendo e sendo exploradas em aplicativos da web em 2021.

Quais são algumas soluções e orientações para organizações que desejam proteger os pagamentos em suas plataformas de e-commerce?

Carlos Caetano: Infelizmente não existe uma solução mágica para proteger contra todos os ataques de e-commerce. A segurança é alcançada com um conjunto de ações que envolvem pessoas, processos e tecnologia, mas, felizmente, existem padrões e melhores práticas que as empresas podem adotar para enfrentar essas ameaças e minimizar o risco de serem comprometidas.

O PCI DSS fornece uma linha de base de requisitos técnicos e operacionais projetados para proteger os dados de cartão. Os 12 requisitos do PCI DSS e os procedimentos de teste correspondentes podem ser usados para avaliar a segurança do e-commerce em relação a um conjunto de requisitos maduros e fornecer um conjunto mínimo de requisitos para proteger os dados de cartão e enfrentar ameaças.

O Software Security Framework (SSF) é um novo conjunto de padrões, que oferece programas de validação suportados e listagens de certificação para o design e desenvolvimento seguro do software de pagamento moderno. O software de pagamento elegível pode ser validado com o Secure Software Standard. Os fornecedores de software também podem validar seu ciclo de vida de desenvolvimento de software, avaliando-o em relação ao Secure Software Lifecycle Standard e educando seus desenvolvedores sobre como proteger os dados de pagamento de maneira adequada durante o desenvolvimento e o teste. O PCI Security Standards Council (PCI SSC) publicou recentemente a versão 1.1 do PCI Secure Software Standard e sua documentação de suporte ao programa.

Pequenos comerciantes que desejam compreender melhor a segurança devem considerar a revisão dos recursos do PCI SSC Data Security Essentials, que fornecem orientações simples sobre por que e como manter os dados de pagamento do cliente protegidos. O Guia de Pagamentos Seguros fornece doze práticas básicas de segurança que o e-commerce pode adotar para começar a proteger seus negócios hoje.

O Guia para Pagamentos Seguros inclui dicas úteis para comerciantes que operam em um ambiente de comércio eletrônico. Essas dicas incluem:

Use senhas fortes e altere as padrão
Proteja os dados do cartão e armazene apenas o que você precisa
Instale patches de seus fornecedores
Peça ajuda aos seus parceiros fornecedores, se precisar
Proteja o acesso interno aos dados do seu cartão
Limite o acesso remoto para seus parceiros e fornecedores - não dê aos hackers acesso fácil
Use software antivírus
Obtenha verificação de vulnerabilidades regular
Use sistemas de pagamento seguros
Proteja sua empresa da Internet
Para obter a melhor proteção, torne os dados inúteis para criminosos

Onde as pessoas podem obter mais informações sobre segurança de pagamentos de comércio eletrônico?

Gerson Rolim: Eu encorajaria os leitores interessados a visitar nosso hub de blockchain colaborativo que conecta o ecossistema de e-commerce para validação de informações para evitar fraudes online:

Carlos Caetano: O PCI SSC produz muitos recursos que podem servir para ajudar a entender melhor a segurança dos pagamentos. Eu encorajaria as pessoas que desejam obter mais informações sobre nossos padrões, programas e informações gerais sobre segurança de pagamento a visitar:

Fique atualizado com o PCI Security Standards Council! Siga-nos hoje.