Logo E-Commerce Brasil

// Este canal tem o patrocínio de:

BaseLinker
Bradesco
ClearSale
Coretava
CRMBonus
Empreender
Fiserv
Globalfy
Infracommerce
Kangu
Kobe
Loja Integrada
Nuvemshop
Pagaleve
PagBank
PagBrasil
Signifyd
Uappi
Upstream
Vindi
Wake
WEBJUMP
Worldpay
Yampi
8 min

Checklist de segurança para lojas virtuais

Foto Anderson Cruz
Por: Anderson Cruz

Webwriter na maior empresa de segurança para e-commerce da América Latina, a Site Blindado.

Antes de abrir um e-commerce é necessário saber e entender todos os riscos que ele pode correr e como garantir a segurança das informações da empresa e de clientes.

Para que você não fique louco, preparamos um material introdutório sobre alguns itens a serem checados com relação a segurança de seu e-commerce. O objetivo desse material não é sanar todas as dúvidas, afinal, não existe uma única regra e cada caso deve ser analisado de uma forma ímpar; mas sim ajudar você nos primeiros passos para tornar seu e-commerce mais seguro. Elencamos apenas alguns pontos comuns que devem ser verificados.

Quais os riscos que corro no meu E-commerce com relação à segurança?

É preciso entender que o seu negócio online tem como função facilitar a vida do consumidor, que por comodidade, não quer se deslocar a uma loja física. Portanto é necessário lhe oferecer um ambiente seguro. Mas isso não é fácil, afinal existem os mais diversos riscos, dentre eles:

  • Acesso a informações pessoais: para efetuar pagamentos, seja por cartão ou boleto, o cliente insere seus dados no site e essas informações podem ser utilizadas por pessoas mal intencionadas, portanto informações de cunho pessoal devem ser preservadas.
  • Malwares: esses softwares maliciosos se infiltram no servidor e podem acessar banco de dados da empresa e roubar dados de clientes da base do servidor. Também pode agir para a alteração de layout ou informações no site, como alterações de preços ou descrições de produtos.

Blacklist de provedores e buscadores:

Para que seu site apareça sem restrições nas páginas de busca, você deve se atentar para segurança. Sites que podem afetar o usuário, com malware, por exemplo, tendem a entrar na “blacklist” de provedores e buscadores, fazendo com que todas as vezes que alguém tente acessar sua página receba a mensagem de que aquela página não é segura. Naturalmente o número de acessos irá cair muito.

Escolha da melhor plataforma:

Esse também é um momento importante e de segurança para a empresa, pois o fornecedor que for escolhido deve apresentar ferramentas que permitam atividades antifraudes e segurança para sua empresa. É preciso analisar se possui compatibilidade com certificados SSL e outras certificações que garantam a integridade da transferência de dados entre clientes e empresa. A escolha de uma plataforma pode ser comparada a escolha de um ponto para a loja física, você não vai instalar a sua loja onde pode correr mais riscos ou em um local onde não poderá expandir no futuro.

Definição da forma de recebimento:

Existem três opções para esse tópico. A primeira é receber diretamente com as operadoras de cartões, como Cielo/Rede. Nessa opção você fica responsável por desenvolver o ambiente de pagamento para a inserção de cartões.

A segunda, também envolve as operadoras de cartão, mas por meio de uma ponte entre servidores, chamada de gateway de pagamentos.

Existe também a opção de utilizar um intermediador de pagamento como o Moip. A vantagem desse sistema é que não é necessário possuir CNPJ nem afiliação com as operadoras de cartões.

As duas primeiras opções exigem que o ambiente de pagamento seja desenvolvido por você, aumentando sua responsabilidade para com as informações dos seus clientes. Já a terceira opção transfere essa responsabilidade para o parceiro (por exemplo, o Moip), que se torna responsável pela segurança dos dados.

Elementos técnicos:

Além de procedimentos padrões, é preciso uma análise mais técnica quanto à implementação de ações de segurança para o E-commerce.

Listamos alguns deles para facilitar o seu trabalho.

Programadores com conhecimento em programação segura:                           

A escolha de profissionais especializados será o primeiro passo para garantir a segurança de seu E-commerce. Eles garantirão o bom andamento dos processos de segurança que devem ser adotados. Não será fácil encontrar esses programadores com conhecimento em segurança, mas eles são fundamentais.

Metodologia OWASP, SDLC:

Para garantir a segurança é necessário seguir procedimentos adotados em todo o mundo, por isso seus programadores devem estar alinhados a metodologias como as da OWASP e SDLC

OWASP é uma entidade sem fins lucrativos que realiza pesquisas com o objetivo de avaliar os riscos recorrentes na internet e a forma de evita-los.

SDLC é um protocolo binário-síncrono que opera em modo half duplex. Ele auxilia desenvolvedores a criarem softwares mais seguros.

Os programadores escolhidos devem ser capazes de utilizar essas metodologias.

Scanner de vulnerabilidades recorrente:

O Scanner de vulnerabilidade é feito para verificar em quais pontos do E-commerce existem falhas de segurança que deixam seu site suscetível à ataques. Esse scan deve ser realizado em três frentes: Infraestrutura, Network e Web Application.

É ideal que esse scan seja executado pelo menos uma vez por semana, para garantir a segurança da sua loja virtual. E recomendamos que a primeira execução ocorra ainda na fase de homologação (antes do lançamento), para que sua loja virtual esteja livre de vulnerabilidades no lançamento.

Aderência ao PCI-DSS

Ao iniciar um E-commerce naturalmente você utilizara meios de pagamento com cartão de crédito e/ou débito, portanto a aderência ao PCI-DDS é fundamental.

O Payment Card Industry (PCI) – Data Security standard (DSS) foi desenvolvido por bancos e operadoras de cartões com o intuito de reduzir as más práticas quanto ao uso e armazenamento de dados do cartão de cada cliente. O padrão apresenta normas para armazenamento dos dados do cartão de crédito por parte dos empresários.

O PCI-DSS é norteado por 12 requisitos:

  • Instalar e manter uma configuração de firewall para proteger dados do titular do cartão.
  • Não utilizar senhas padrões, disponibilizadas pelo fornecedor, ou qualquer outros parâmetros de segurança.
  • Proteger dados armazenados referente ao titular do cartão
  • Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas (usando Certificado Digital SSL).
  • Utilizar e atualizar regularmente o software ou programas antivírus.
  • Desenvolver e manter sistemas e aplicativos seguros
  • Restringir acesso ao dados do cartão do cliente apenas para necessidades do negócio.
  • Atribuir um único ID para cada usuário que tenha acesso ao computador.
  • Restringir acesso aos dados do titular do cartão.
  • Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão.
  • Testar regularmente os sistemas e processos de segurança.
  • Manter uma política que aborde a segurança das informações para todas as equipes.

Certificado Digital (SSL)

Todas as empresas que de alguma maneira recolhem dados de cunho pessoal de seus clientes, devem usar esse certificado. Na prática, o SSL criptografa a mensagem enviada da empresa-cliente e cliente-empresa e só ocorre a descriptografia da mensagem quando ela é recebida pelo seu destinatário.

Isso faz com que mesmo a mensagem sendo interceptada por pessoas mal intencionadas, não será possível acessar o seu conteúdo. Assim, proporciona segurança ao empresário e ao cliente. Geralmente a certificação é realizada em páginas onde ocorre a efetivação de compra ou inserção de dados, como o “carrinho” de algumas. Além disso, a página passa a ser exibida com protocolo HTTPS, o S se referindo ao certificado. Existem alguns outros modelos de certificação: EV e Wild Card são exemplos deles.

A certificação SSL EV é uma versão mais abrangente do SSL, o EV significa Extended Validation. Conforme o próprio nome diz, realiza uma validação estendida, verificando a validade dos dados da empresa (como Razão Social e CNPJ) e se a empresa é realmente dona do domínio que está sendo certificado.

Já o SSL Wild Card é utilizado em páginas que possuem mais de um subdomínio, como por exemplo os descritos abaixo:

  • carrinho.loja.com.br
  • webmail.loja.com.br
  • sac.loja.com.br

Assim o empresário emite apenas um certificado, não sendo necessário pagar uma licença para cada um deles.

Conclusão:

Além dos itens citados nesse artigo, outras situações devem ser analisadas, e como indicado no início do texto, cada caso deve analisado de forma ímpar. Os dados aqui apresentados são apenas um “START” para que você garanta uma ambiente seguro de seu E-commerce, seja no Front-End ou no Back End.

*Co-autor: Leonardo Vergani Analista de Marketing Digital, integrante da Célula Digital da Site Blindado S.A.