As principais causas da fraude no e-commerce: vazamento de dados

Não teríamos fraude no e-commerce se não houvessem milhares de números de cartão nas mãos dos criminosos. Ao retirar a oferta de dados veríamos uma queda brutal no número de chargebacks. Mas de onde vêm os cartōes clonados? Como os fraudadores obtêm estas informaçōes sigilosas?

A principal fonte, infelizmente, são os próprios lojistas. A responsabilidade é de quem captura e manipula os dados, ou seja, quem os recebe em primeira mão do comprador e os usa no processamento do pagamento. São raros os casos nos quais alguma instituição da cadeia de pagamentos – adquirentes, bancos ou bandeiras – é atacada. Mas já aconteceu antes. Porém, a grande maioria dos vazamentos acontece quando o comprador oferece o cartão ao lojista.

Só nos últimos anos empresas como Sony, Target, Equifax, Home Depot, e inúmeras outras que nós nunca ouvimos falar foram invadidas. São milhōes de cartōes, endereços e identidades que agora estão à venda em fóruns na internet, e até no Facebook. Apesar de pouco divulgados no Brasil, estes ataques são frequentes por aqui. Já vimos diversos casos de e-commerces que vazaram números de cartões de seus clientes.

Por que guardar isto mesmo?

Em um e-commerce padrão não existe nenhuma razão para armazenar o cartão de crédito completo, mesmo que criptografado. Você não precisa dele para estornos ou para conciliação. É uma impressão errônea da parte de muitos donos e desenvolvedores de e-commerces de que para que um sistema na web aceite pagamentos com cartão de crédito, este, necessariamente precisa manter seus números guardados em algum lugar.

Faz pagamentos recorrentes ou 1-click? Além de soluçōes específicas para recorrências, como os nossos parceiros da Vindi, todos os grandes gateways possuem tokenização, inclusive as próprias adquirentes. Se você não quiser ficar preso a um parceiro só, há soluçōes de “cofres” cuja única função é armazenar o cartão fora da sua base, para ser usado quando você precisar.

Mas eu não guardo o cartão, eu passo pra frente!

Mesmo que você não armazene os cartōes, só o fato de fazê-los passar pelo seu sistema já abre brechas para ataques. Eles podem, por exemplo, estar gravados em um arquivo de log. Um hacker pode instalar um programa que lê a memória do seu sistema e coleta os dados, como foi o caso da Target. Todo cuidado, infelizmente, é pouco.

Existe uma instituição internacional, criada pelas bandeiras Visa e Mastercard, que funciona como uma agência auto-reguladora para segurança de cartōes de crédito. Chamado de PCI, este conselho dita regras e melhores práticas sobre como manusear estes dados sensíveis e designa auditores para validar se uma loja ou instituição segue tais práticas.

Ainda assim, um certificado não garante total segurança. Afinal, a Target havia passado por auditoria dois meses antes do ataque!. Mas é sinal de que ao menos aquela loja se preocupa o suficiente para ser auditada.

O que eu posso fazer para evitar problemas?

Avalie se você realmente precisa coletar o número de cartão de crédito no seu site ou armazená-lo no seu banco de dados. É bem provável que você não precise. Faça o possível para não ficar com esta responsabilidade.

Você pode usar um gateway com uma página de pagamento customizada, que fica sob responsabilidade dele, mas com a cara da sua loja. Há soluções de checkout transparente via JavaScript ou iFrame capazes de evitar que o seu sistema recolha o número de cartão. Vai usar o número de cartão de novo em compras recorrentes? Ache um gateway com tokenização. E sempre tenha um certificado de segurança – o HTTPS do endereço do site.

Se o seu negócio não consegue rodar sem capturar ou armazenar o número do cartão – e há muitos casos assim – então está na hora de se familiarizar com os padrões de segurança do PCI. Comece clicando aqui e aqui.