Crescimento dos portais de compras coletivas impulsionou preocupação com segurança aos internautas.
O exponencial crescimento do mercado de compras coletivas favoreceu o cenário atual da Site Blindado S/A, empresa que audita segurança para lojas virtuais. Atualmente, a empresa já atende a cerca de 50 sites do segmento, que aderiram ao Selo Site Blindado.
A certificação de segurança atesta diariamente a confiabilidade do portal, uma vez que realiza testes que buscam encontrar brechas de segurança e que poderiam ser exploradas por criminosos virtuais, além de mostrar aos consumidores que o ambiente de compras protege os dados cadastrais e de cartão de crédito dos clientes.
Atualmente, entre os portais que fazem parte da carteira de clientes da Site Blindado, estão empresas como: Imperdível, OfertaX, Palito de Dente, Promoo, Expresso Urbano, LiveGO, Bendita Oferta, Curitibando, entre outros.
Para Bernardo Carneiro, Diretor Executivo da Site Blindado S/A, os sites de compras coletivas estão passando por uma fase de transição. “Sites que começaram suas operações no início do ano passado, até mesmo de forma experimental, tiveram um retorno muito expressivo em sua demanda e passaram a se preocupar com a segurança de forma mais efetiva, principalmente no segundo semestre de 2010, contratando serviços de criptografia de dados e blindagem de sites mais conceituados e eficientes”. Avalia Carneiro.
O executivo ressalta que os pioneiros e líderes do segmento, inclusive players com presença internacional estão em fase de homologação e negociação para adesão ao serviço de blindagem de sites.
A expectativa da empresa até o segundo semestre de 2011 é que cerca de 50% dos mais de mil sites de compras coletivas existentes hoje no Brasil utilizem o Selo Site Blindado. “Estamos trabalhando de forma muito flexível com esse segmento, pelo fato de o sistema de trabalho de um site de compra coletiva ser algo totalmente diferenciado de um e-commerce tradicional. Nosso Departamento Comercial criou uma forma bem mais viável para atendê-los e isso está atraindo cada vez mais clientes do segmento”, avalia Carneiro.
Atualmente 70% da receita da empresa é proveniente da área de e-commerce. A meta é chegar a 90% em 2011.
Fonte: inteligemcia.com.br
Já escrevi no post Ladrões de cartão de crédito: Como proteger você e seus clientes algumas dicas de segurança para sua loja virtual com relação aos cartões de crédito.
Por outro lado, há mais coisas a serem ditas aos clientes de lojas virtuais e por isso achei importante dar mais ênfase a este assunto.
Relatórios de falhas de segurança nos sistemas de empresas de comércio eletrônico poderiam
convencer até a pessoa mais racional de que ladrões estão em todo canto da Internet, esperando para roubar números de cartões de crédito, dados pessoais e outras informações de consumidores.
Mas, como qualquer especialista em segurança na Internet irá dizer-lhe, o comércio eletrônico normalmente é muito mais seguro que os comércios do mundo real.
Por exemplo, quando você entrega seu cartão de crédito em um restaurante ou posto de gasolina, você está aceitando o risco de que coisas que você não comprou apareçam no próximo mês da sua fatura.
No entanto, quando você digita um número de cartão de crédito em um site respeitável de comércio eletrônico, você está enviando-o através de uma transação segura que está acessível apenas ao pessoal autorizado e protegido até mesmo contra os intrusos mais determinados.
As pequenas empresas muitas vezes terceirizam seus sistemas de loja virtual e muitos pequenos empresários não sabem, nem se preocupam, com a tecnologia de segurança de sua loja virtual.
Quando os clientes começam a fazer perguntas, no entanto, é melhor saber as respostas antes que eles decidam comprar em outro lugar.
Aqui estão algumas das mais freqüentes questões de segurança em lojas virtuais:
Um sistema corretamente configurado torna quase impossível de roubar um número de cartão de crédito do cliente. O navegador do cliente utiliza uma conexão segura para camuflar seu número de cartão de crédito e outras informações antes destes dados serem enviados à loja. Somente depois de chegar ao seu destino que esses dados são descamuflados.
Assim, mesmo que hackers interceptem a messagem no meio do caminho, eles não tem como ler.
Esses são problemas reais, às vezes grave o suficiente para comprometer um sistema de e-commerce. Quase todas essas falhas, no entanto, exigem conhecimento extremamente avançado.
A maioria delas, na verdade, são descobertas por pesquisadores que relatam os problemas para as empresas de software antes de aparecer na imprensa.
Bons fornecedores de solução para loja virtual monitoram cuidadosamente os últimos bugs e falhas de segurança, e corrigem eventuais problemas antes que um intruso tenha a chance de explorá-los.
Isso pode ser verdade – a segurança de computadores e sistemas online exigem uma vigilância constante e os administradores devem saber sobre os problemas potenciais e as formas de corrigi-los.
Por isso é importante para uma empresa utilizar um bem conceituado e experiente provedor de hospedagem e desenvolvedor de loja virtual.
As pequenas empresas não têm a perícia e ‘know-how’ para lidar com esses problemas por conta própria, e fazendo isto por conta própria estão correndo sérios riscos de terem prejuízos em seu bolso e no de seus clientes.
Todas as grandes empresas de cartões de crédito prevêem a mesma proteção dos consumidores que elas oferecem operações normais do cotidiano.
Na maioria dos casos, isso significa que o consumidor não é responsabilizado por ter seu número roubado, desde que seja constatada a utilização não autorizada de seu cartão.
As consequências na verdade podem ser muito piores para os negócios de onde o número foi roubado – tais incidentes além de arruinar a reputação da empresa, eventualmente pode expô-lo à responsabilidade legal.
Esta é mais uma razão por que você deve contratar apenas empresas de comércio eletrônico / loja virtual de confiança.
1) A empresa possui uma área exclusiva para desenvolvimento das aplicações ou quem desenvolve a loja também trabalha com a parte visual?
2) A empresa tem conhecimento sobre segurança na Internet e trata isso como prioridade em sua política de implantação?
3) Como são processadas as transações? Por SSL (informações codificadas) ou sem a proteção de conexões seguras?
Ter o número de cartão de crédito de algum cliente roubado por meio de seu site pode machar por anos a reputação de sua loja virtual.
A violação dos dados do titular do cartão de crédito pode resultar em processos caros e muitos esforços para reparação dos danos causados e evidentemente que qualquer lojista quer evitar esse tipo de dor de cabeça a qualquer custo.
O fato é que este tipo de problema acabou por incentivar o surgimento de processadoras terceirizadas de pagamento. Os chamados “Gateways de pagamento”.
Com eles, toda a transação de pagamento é intermediada por eles, fazendo com que toda a parte de tecnologia saia das mãos do empresário dono de loja virtual. Para muitos sites de comércio eletrônico esta acabou sendo a maneira mais simples de lidar com essas situações.
Por outro lado, essas empresas cobram taxas que algumas vezes espremem as margens de lucro ou obrigam o aumento de preços do produtos.
Abaixo listo alguns dos fatos que esclarecem um pouco o motivo dos problemas de roubo de dados de clientes:
Vários sites mantém armazenado em seus banco de dados informações do cartão de crédito do cliente por tempo além do necessário.
Mesmo tendo sistemas anti-hacker que mantém o site seguro, esses dados podem ser roubados por qualquer pessoa (funcionários, contratados, de limpeza e construção de apoiar as pessoas, por exemplo) que tenha acesso ao seu servidor.
A informação do cartão é necessária apenas para se concretizar o pagamento junto às operadoras, logo, após a transação estar completa, é preciso excluir esses dados da loja. Durante todo o tempo que o dado permanecer na loja, é preciso mantê-lo criptografado.
Sem protocolo SSL, os dados transmitidos entre seu site e o cliente são enviados em texto aberto, que é facilmente legíveis por ladrões.
As informações como números de cartões de crédito, código de verificação, data de vencimento, endereços e nomes podem ser interceptados por um ladrão.
Essas informações são especialmente fáceis de serem interceptadas locais com acesso sem fio, tais como cafés e aeroportos.
Usando o SSL, as transações do seu site serão codificadas de modo a serem incompreensíveis para os ladrões.
Ao adicionar ou modificar as URLs que são usadas em várias páginas de sua loja virtual, um usuário mal-intencionado tentará obter informações de cartão de crédito (ou outras informações pessoais) diretamente de seu banco de dados.
Para proteger contra este tipo de ataque, é preciso trabalhar estreitamente com o fornecedor do sistema de loja virtual para obter atualizações de segurança.
Existem ferramentas para teste de sistema, tais como Wikto ou com a SQLMap (ferramentas gratuitas) que ajudam a detectar se o seu banco de dados está vulnerável.
Geralmente, todas as instruções SQL no código devem ser escritas de tal forma a ignorar uma entrada inesperada.
Ocultar variáveis utilizadas para acessar o banco de dados e utilizando mod-rewrite para reescrever seus URLs é sempre uma boa prática.
Tal como em qualquer outro tipo de software, o programador de software de loja virtual está sujeito a erros.
Esses erros podem permitir a um ladrão ter acesso a números de cartão de crédito falsos ao inserir as informações em formulários, por exemplo.
Manter seu software de loja virtual atualizado é fundamental.
Também existem ferramentas gratuitas para detectar vulnerabilidades. Essas ferramentas incluem Wikto e Nessus, e eles podem ajudar a identificar uma série de vulnerabilidades.
Um phishing por email pode ser parecido com um e-mail verdadeiro da sua empresa instruindo as pessoas a clicar em um link para atualizar suas informações pessoais.
O link na verdade leva a uma página falsa que permite aos ladrões coletarem números de cartões de crédito e outras informações.
Muitos desses e-mails parecem tão reais que até mesmo usuários experientes de Internet acabam sendo enganados por eles.
Este é um problema difícil de resolver, mas certifique-se de seus clientes saibam que você nunca irá solicitar suas informações via e-mail.
Para obter segurança adicional, certificados SSL permitem que os clientes confirmem que estão visitando o site correto e não um falso.
Servidores que não sejam monitorados de forma regular e atualizada podem ser sujeitos à violações de segurança.
Ladrões executam varreduras automatizadas no mundo inteiro à procura de servidores de Internet que podem ser violados.
Certifique-se que seu servidor de hospedagem tem boas políticas administrativas e acordos de nível de serviço para garantir a segurança do serviço.
Se você está hospedando o seu próprio sistema, certifique-se de quem está no comando do servidor está atento aos alertas de segurança e de lançamentos para o sistema operacional e todos os aplicativos.
Backups são garantias contra falhas nos servidores, mas muitas vezes se esquece o que todos os dados que estão armazenados no seu site também estão no seus backups.
Às vezes backups são mantidos no mesmo servidor que seu site.
Se um ladrão tem acesso ao seu servidor, eles podem roubar números de cartão de crédito de backup ao invés de procurá-los no seu site.
Proteja os dados dos clientes através de criptografia e armazenamento em local separado.
Estar consciente dos potenciais problemas de segurança é a sua melhor defesa.
Se você não tem tempo para acompanhar, considere ter um consultor de segurança para verificar constantemente seu site.