Segurança de site e e-commerce
O combate à fraude deve ser uma bandeira conduzida por diferentes setores dentro do mercado online.
Embora existam excelentes opções de sistemas antifraude no mercado, essa é uma luta na qual empresas de segurança e meios de pagamento também devem entrar, além do próprio e-commerce.
E, para entender essa necessidade, precisamos analisar o tamanho do problema. Segundo a Clearsale, em 2015, a cada minuto R$ 3.610,20 foram registrados em tentativas de fraude.
Estamos falando de um potencial prejuízo, por minuto, de R$ 3.610,20, R$216.612,00 por hora ainda ou quase R$ 6,5 milhões mensais.
Os e-commerces são os principais prejudicados nesses casos, por isso, precisam buscar por soluções cada vez mais qualificadas para o combate ao crime. O mais comum – e fundamental – é a contratação de uma empresa de prevenção à fraude, ou seja, um serviço antifraude.Ela vai indicar comportamentos suspeitos e barrar compras que podem ser prejudiciais ao seu negócio.
Além disso, outro ponto muitas vezes deixado de lado é a questão das auditorias de segurança do site, principalmente a realização de testes específicos para encontrar vulnerabilidades no sistema, como o Pentest.
O Pentest, ou teste de invasão, é um serviço que consiste em buscar, identificar e analisar vulnerabilidades em um site. Seu diferencial é que ele é feito de forma manual, por isso consegue explorar peculiaridades além das identificadas por outros serviços de segurança, como o próprio scan automatizado.
O profissional que realiza esse teste precisa ter experiência e seguir recomendações internacionais, como a tabela OWASP, órgão que estuda e busca por vulnerabilidades na web.
O Pentest é dividido em diferentes níveis de análise. Por exemplo, existem os testes BlackBox, que são realizados em ambientes não logados. No seu escopo estão testes de invasão, falhas de fluxos lógicos e uma série de análises.
Também existe o GreyBox. Essa versão de teste de invasão é realizada em ambiente logado, ou seja, o analista de segurança possui um acesso com usuário e senha e consegue fazer testes mais profundos. Esse tipo de análise permite identificar se os dados dos clientes estão sendo expostos para pessoas mal-intencionadas.
Vale sempre lembrar que um SSL (Secure Socket Layer), que criptografa informações pessoais e bancárias inseridas pelos usuários nos sites e no e-commerce, será fundamental. Além disso é necessário identificar outras vulnerabilidades que possam permitir, dentre outras coisas, alterações no boleto ou mesmo de preço e informações dos produtos. E é isso que o Pentest irá analisar.
É fácil compreender que no dia a dia é preciso que se invista em um sistema antifraude, mas outros cuidados, como o Pentest, farão com que seu e-commerce reduza, ainda mais, as chances de ser vítima ou expor dados que podem ser usadas em compras fraudulentas.
Leia também:
Como o Pentest pode evitar fraudes no e-commerce?
segurança da informação, segurança para e-commerce