Práticas de segurança indispensáveis para quem vende online

Estou mais uma vez aqui para falar sobre segurança da informação, que é um dos temas que mais preocupa os compradores durante uma transação online e... não é para menos, pois eles estão confiando à empresa por trás do comércio eletrônico dados muito sensíveis.

Se houver um vazamento dos dados de cartões de crédito na sua loja online e você não tiver garantias de que proveu todos os cuidados e recursos necessários para manter estas informações seguras, sua empresa poderá ter sérios problemas em ações judiciais.

De maneira muito direta, o que o cliente esta fazendo ao comprar através de seu comércio eletrônico é: acreditar que você investiu tempo e dinheiro necessários para garantir que os dados do cartão dele não sejam roubados e usados por pessoas mal intencionadas.

E quando digo pessoas mal intencionadas não estou falando apenas de hackers que invadem sistemas e roubam bases de dados, estou falando também dos colaboradores da sua empresa.

Sei que parece meio assustador quando falamos que pessoas que trabalham conosco podem ser mal intencionadas, mas existem diversas pesquisas que mostram isso e, infelizmente, a frase “a oportunidade é quem faz o ladrão” é verdadeira. Obviamente você deve estar se perguntando como irá manter sua empresa rodando se não pode confiar no próprio time.

Este cenário pode parecer novo para você, mas para os profissionais da área segurança da informação é um assunto antigo e amplamente discutido, por isso são elaborados uma série de processos e ferramentas que mitiguem os riscos que as “oportunidades de fazer ladrões” trazem.

Uma empresa em conformidade com o PCI-DSS traz segurança aos seus consumidores quando demonstra que, apesar da complexidade e dos diversos desafios para adequar-se ao PCI, não poupou tempo e recursos para manter os dados dos clientes em segurança.

Como não dá para falar sobre todos os controles neste post, eu deixo uma visão geral dos requisitos em 6 grandes disciplinas que devem ser seguidas para atingir o Compliance e trazer esta tranquilidade para seus clientes

Disciplina 1: Construir e manter a segurança de rede e sistemas

  • Requisito 1- Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão;
  • Requisito 2- Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança;

Disciplina 2: Proteger os dados do titular do cartão

  • Requisito 3- Proteger os dados armazenados do titular do cartão;
  • Requisito 4- Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas;

Disciplina 3: Manter um programa de gerenciamento de vulnerabilidades

  • Requisito 5- Proteger todos os sistemas contra malware e atualizar regularmente programas ou software antivírus;
  • Requisito 6- Desenvolver e manter sistemas e aplicativos seguros;

Disciplina 4: Implementar medidas rigorosas de controle de acesso

  • Requisito 7- Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio;
  • Requisito 8- Identificar e autenticar o acesso aos componentes do sistema;
  • Requisito 9- Restringir o acesso físico aos dados do titular do cartão;

Disciplina 5: Monitorar e testar as redes regularmente

  • Requisito 10- Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão;
  • Requisito 11- Testar regularmente os sistemas e processos de segurança;

Disciplina 6: Manter uma política de segurança de informações

  • Requisito 12- Manter uma política que aborde a segurança da informação para todas as equipes;

Essas ( práticas foram desenvolvidas pelas grandes bandeiras de cartão de crédito, em um padrão global de segurança, com o objetivo prover tranquilidade aos portadores de cartões de crédito.

Por isso, elas devem ser implementadas por todas as empresas que manipulam dados de cartões. Se você (ou a empresa responsável pela transação e guarda de informações e dados do seu cliente contratada por você) não está em conformidade com essas práticas, seu e-commerce corre sérios riscos. Se eu posso te dar uma dica, ela seria: adeque-se!

Neste texto, eu falo sobre como entender se o sistema de transação que você usa é seguro, ele vai te ajudar a entender o que precisa ser feito.

Até mais!

Profissional especialista em segurança da informação e continuidade de negócio. Atua na área de segurança da informação há mais de 16 anos, com experiência internacional. Atualmente responsável pelo time de segurança da informação da Vindi e leciona os temas de segurança da informação e forense computacional em cursos de pós-graduação.