Com o aumento das vendas pela internet e dos pagamentos realizados via web, cada vez mais as movimentações financeiras se tornam alvos de vários tipos de ameaças digitais. As ameaças buscam o roubo de dados, execução de fraudes e simulação de pagamentos falsos, por exemplo.
Para prevenir ataques e eliminar as vulnerabilidades, existe uma série de medidas que devem ser adotadas, com diferentes níveis de complexidade, a fim de garantir o máximo de privacidade e confiabilidade para os negócios.
Uma segurança adicional contra as ameaças digitais e que cada vez mais está sendo adotada por empresas que realizam transações de cartão de crédito é a implementação do padrão PCI-DSS, sigla para Payment Card Industry – Security Standard, que em português pode ser traduzido como Padrão de Segurança de Dados da Indústria de Pagamentos via Cartão. Esse modelo foi criado por empresas administradoras de cartão de crédito para impedir fraudes em pagamentos por meios digitais. É mantido por requerimentos que buscam manter as redes de dados confiáveis; garantir a privacidade dos portadores de cartão de crédito; implementar um programa de gestão de vulnerabilidades; adotar um forte controle de acesso à infraestrutura; e manter uma política de segurança de dados.
O procedimento é baseado em uma série de requisitos básicos de segurança, como usar um firewall para impedir acessos não autorizados; não utilizar senhas padronizadas, repetidas ou com baixo nível de complexidade; personalizar as regras de segurança de acordo com o perfil interno do negócio; proteger as informações de cartões de crédito armazenadas localmente; implementar a criptografia no envio e recebimento de dados; fazer manutenção de um programa de gestão de vulnerabilidades; entre outros.
O PCI-DSS é obrigatório para qualquer empreendimento que coleta, processa, armazena ou transmite dados de cartão de crédito em seus sistemas internos. Mas pode ser utilizado por qualquer empresa que queira ampliar o controle sobre a infraestrutura e a confiabilidade das informações internas.
O negócio deve manter uma política de backup abrangente, para garantir que elementos perdidos após falhas sejam recuperados facilmente. Junto a isso, usuários precisam ser treinados para adotar boas práticas no dia a dia, aumentando o impacto das regras de segurança e tornando a infraestrutura interna mais robusta.
As invasões a sistemas de transações comerciais podem causar uma série de prejuízos ao negócio. O primeiro deles é a imagem: sem conseguir garantir a privacidade de clientes e parceiros comerciais, cai a confiabilidade, abrindo espaço para a concorrência.
Além disso, na mão de hackers, dados de terceiros são vendidos no mercado negro e utilizados para fraudes comerciais. De acordo com a Federação Brasileira de Bancos (Febraban), os prejuízos em 2015 atingiram a cifra de R$ 1,8 bilhão.
A empresa que sofre esse tipo de ataque também tem que lidar com a perda de dados cruciais para a sua rotina. Em muitos casos, os registros internos são removidos após a invasão da infraestrutura de TI. Há também uma série de prejuízos financeiros causados direta ou indiretamente pela violação. Com o sistema de transação comercial comprometido, a perda de clientes e parceiros pode ser irreparável, além do risco de sofrer processos judiciais por quebra de contrato.
Justamente por isso, empresas de qualquer porte devem investir em padrões e técnicas para tornar a sua infraestrutura e os seus serviços digitais mais confiáveis. Dessa forma, pode-se garantir que os dados dos clientes não sejam capturados por terceiros.
*Alexandre Glikas é diretor geral da Locaweb Corp
