Ter o número de cartão de crédito de algum cliente roubado por meio de seu site pode machar por anos a reputação de sua loja virtual.
A violação dos dados do titular do cartão de crédito pode resultar em processos caros e muitos esforços para reparação dos danos causados e evidentemente que qualquer lojista quer evitar esse tipo de dor de cabeça a qualquer custo.
O fato é que este tipo de problema acabou por incentivar o surgimento de processadoras terceirizadas de pagamento. Os chamados “Gateways de pagamento”.
Com eles, toda a transação de pagamento é intermediada por eles, fazendo com que toda a parte de tecnologia saia das mãos do empresário dono de loja virtual. Para muitos sites de comércio eletrônico esta acabou sendo a maneira mais simples de lidar com essas situações.
Por outro lado, essas empresas cobram taxas que algumas vezes espremem as margens de lucro ou obrigam o aumento de preços do produtos.
Abaixo listo alguns dos fatos que esclarecem um pouco o motivo dos problemas de roubo de dados de clientes:
Vários sites mantém armazenado em seus banco de dados informações do cartão de crédito do cliente por tempo além do necessário.
Mesmo tendo sistemas anti-hacker que mantém o site seguro, esses dados podem ser roubados por qualquer pessoa (funcionários, contratados, de limpeza e construção de apoiar as pessoas, por exemplo) que tenha acesso ao seu servidor.
A informação do cartão é necessária apenas para se concretizar o pagamento junto às operadoras, logo, após a transação estar completa, é preciso excluir esses dados da loja. Durante todo o tempo que o dado permanecer na loja, é preciso mantê-lo criptografado.
Sem protocolo SSL, os dados transmitidos entre seu site e o cliente são enviados em texto aberto, que é facilmente legíveis por ladrões.
As informações como números de cartões de crédito, código de verificação, data de vencimento, endereços e nomes podem ser interceptados por um ladrão.
Essas informações são especialmente fáceis de serem interceptadas locais com acesso sem fio, tais como cafés e aeroportos.
Usando o SSL, as transações do seu site serão codificadas de modo a serem incompreensíveis para os ladrões.
Ao adicionar ou modificar as URLs que são usadas em várias páginas de sua loja virtual, um usuário mal-intencionado tentará obter informações de cartão de crédito (ou outras informações pessoais) diretamente de seu banco de dados.
Para proteger contra este tipo de ataque, é preciso trabalhar estreitamente com o fornecedor do sistema de loja virtual para obter atualizações de segurança.
Existem ferramentas para teste de sistema, tais como Wikto ou com a SQLMap (ferramentas gratuitas) que ajudam a detectar se o seu banco de dados está vulnerável.
Geralmente, todas as instruções SQL no código devem ser escritas de tal forma a ignorar uma entrada inesperada.
Ocultar variáveis utilizadas para acessar o banco de dados e utilizando mod-rewrite para reescrever seus URLs é sempre uma boa prática.
Tal como em qualquer outro tipo de software, o programador de software de loja virtual está sujeito a erros.
Esses erros podem permitir a um ladrão ter acesso a números de cartão de crédito falsos ao inserir as informações em formulários, por exemplo.
Manter seu software de loja virtual atualizado é fundamental.
Também existem ferramentas gratuitas para detectar vulnerabilidades. Essas ferramentas incluem Wikto e Nessus, e eles podem ajudar a identificar uma série de vulnerabilidades.
Um phishing por email pode ser parecido com um e-mail verdadeiro da sua empresa instruindo as pessoas a clicar em um link para atualizar suas informações pessoais.
O link na verdade leva a uma página falsa que permite aos ladrões coletarem números de cartões de crédito e outras informações.
Muitos desses e-mails parecem tão reais que até mesmo usuários experientes de Internet acabam sendo enganados por eles.
Este é um problema difícil de resolver, mas certifique-se de seus clientes saibam que você nunca irá solicitar suas informações via e-mail.
Para obter segurança adicional, certificados SSL permitem que os clientes confirmem que estão visitando o site correto e não um falso.
Servidores que não sejam monitorados de forma regular e atualizada podem ser sujeitos à violações de segurança.
Ladrões executam varreduras automatizadas no mundo inteiro à procura de servidores de Internet que podem ser violados.
Certifique-se que seu servidor de hospedagem tem boas políticas administrativas e acordos de nível de serviço para garantir a segurança do serviço.
Se você está hospedando o seu próprio sistema, certifique-se de quem está no comando do servidor está atento aos alertas de segurança e de lançamentos para o sistema operacional e todos os aplicativos.
Backups são garantias contra falhas nos servidores, mas muitas vezes se esquece o que todos os dados que estão armazenados no seu site também estão no seus backups.
Às vezes backups são mantidos no mesmo servidor que seu site.
Se um ladrão tem acesso ao seu servidor, eles podem roubar números de cartão de crédito de backup ao invés de procurá-los no seu site.
Proteja os dados dos clientes através de criptografia e armazenamento em local separado.
Estar consciente dos potenciais problemas de segurança é a sua melhor defesa.
Se você não tem tempo para acompanhar, considere ter um consultor de segurança para verificar constantemente seu site.