Os meios de pagamento eletrônico vêm se consolidando cada vez mais no mercado como recurso utilizado pelos consumidores devido aos atributos segurança, agilidade, praticidade e exigência do comércio. Um estudo da Associação Brasileira de Empresas de Cartões de Crédito e Serviços (Abecs) mostra a preferência por essa forma de pagamento. A projeção é que este ano o número de transações deve chegar a 9,7 bilhões, gerando uma movimentação financeira de R$ 812,8 bilhões, com crescimento de 21% em relação a 2011. A entidade afirma ainda que a estimativa de quantidade de cartões é de 746 milhões em 2012, 9% a mais que o registrado no ano passado.
Esse meio de pagamento também é muito utilizado para fechar negócios nos sites de comércio eletrônico. Segundo relatório divulgado pela e-bit, empresa especializada em informações sobre comércio virtual, o setor tem apresentado um crescimento substancial e a perspectiva é de um aumento de 25% este ano. O estudo mostra ainda que, em 2011, 32 milhões de consumidores realizaram compras nos sites de comércio eletrônico cadastrados no ambiente e-bit, sendo que, em 2010, foram 23 milhões.
No entanto, os varejistas e as empresas processadoras de pagamento têm uma preocupação permanente com fraude e violações de dados. As máquinas de cartões e outros sistemas de pagamento podem se tornar vulneráveis quando se instala um software ou hardware, que podem danificar os sistemas e, até mesmo, fornecer informações importantes para os cibercriminosos.
Dessa forma, um dos principais cuidados a serem tomados é com os ataques de insider (pessoas internas na empresa), uma vez que a alta rotatividade de pessoas e funcionários no varejo pode apresentar uma situação de risco, já que, caso alguém tenha acesso privilegiado ao sistema, pode se aproveitar dessa situação para roubar dados e sabotar os sistemas de transações.
Os sites de varejo também podem ser alvo de ataques, principalmente se o portal não estiver protegido com soluções de segurança robustas e eficazes, apresentando redes fracas que podem ser atacadas por meio de pontos de acesso sem fio, sistemas de manutenção deficientes e segurança negligente por ativos de informação. Uma loja online também é alvo de tentativa de phishing e esquemas de cibercriminosos que colocam códigos maliciosos como Keyloggers e drive-by downloads em seu site. E essa é uma característica que influencia diretamente os negócios desse segmento, já que os consumidores precisam ter a certeza de que os sites são verdadeiros e que suas informações pessoais estão seguras para então efetuarem suas compras.
Para tornar as transações com cartão de crédito mais seguras para os consumidores e estabelecimentos comerciais (físicos e virtuais), a McAfee oferece uma solução para Gestão de Informações e Eventos de Segurança (SIEM) que proporciona suporte ao cumprimento de normas (compliance) especialmente em relação à PCI-DSS, norma criada em setembro de 2006 pelo PCI Council, conselho internacional formado pelas principais bandeiras de cartão de crédito que estabelece normas rígidas de segurança em ambientes que detêm as informações dos portadores de cartão.
Essa regra contempla 12 requerimentos básicos para garantir uma rede de dados segura e proteção aos usuários de cartão de crédito, manter um programa de gerenciamento de vulnerabilidades, implementar um forte controle de acessos e manter uma política de segurança e informações.
Vários programas ajudam a organização a tornar-se compatível com os requisitos do PCI-DSS, incluindo varreduras PCI trimestrais, revisão de código de fonte, aplicação e avaliação de rede. Com Qualified Security Assessor (QSA), Approved Scanning Vendor (ASV) e Payment Application Data Security Standard (PA-DSS) QSA, os serviços de PCI Foundstone são credenciados e ajudam os comerciantes a atingirem e demonstrarem as conformidades com os requisitos do PCI. Já o McAfee Secure testa os sites de varejo online diariamente em busca de vulnerabilidades, garantindo assim mais segurança aos clientes desses portais.
Essas tecnologias, combinadas com um sistema de reputação em nuvem do centro de coleta global de ameaças McAfee Global Threat Intelligence, são capazes de fornecer informações sobre endereços de protocolos de Internet (os IPs), de aplicações e domínios, em tempo real, constituindo um conceito avançado de defesa contra ameaças que beneficia empresas de todos os portes e segmentos.
12 requerimentos do PCI:
1. Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão.
2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança.
3. Proteger os dados armazenados do portador do cartão.
4. Criptografar a transmissão dos dados do portador do cartão em redes abertas e públicas.
5. Usar e atualizar regularmente o software ou programas antivírus.
6. Desenvolver e manter sistemas e aplicativos seguros.
7. Restringir o acesso aos dados do portador do cartão de acordo com a necessidade de divulgação dos negócios.
8. Atribuir um ID (identificação de usuário e senha) exclusivo para cada pessoa que tenha acesso a um computador.
9. Restringir o acesso físico aos dados do portador do cartão.
10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do portador do cartão.
11. Testar regularmente os sistemas e processos de segurança.
12. Manter uma política que aborde a segurança das informações para funcionários e prestadores de serviços.
