Logo E-Commerce Brasil

O que é PCI e quais são as normas dos cartões de crédito na internet?

Por: Jean Christian Mies

é vice-presidente sênior da Adyen para a América Latina. Jean trabalha na indústria de internet e pagamentos há mais de 12 anos, e juntou vasta experiência internacional em desenvolvimento de negócios e operações.

Muito se fala da certificação ISO, criada em 1947, em Genebra, para atestar a qualidade de produtos e serviços ofertados pelas empresas ao consumidor. Ela, por si só, cunhou-se ao longo dos anos como o atestado de um padrão específico para que as pessoas decidam sobre adquirir ou não um bem.

Porém, em um contexto de compras online na casa dos US$ 62 bilhões na América Latina até o final deste ano, sendo o Brasil um grande responsável por este resultado, de acordo com pesquisa recente do eMarketer, como atestar a eficiência das plataformas e garantir segurança ao consumidor do comércio eletrônico, por exemplo, na hora de pagar?

Como evitar fraudes e perdas monetárias por parte da loja online? Foi pensando em resolver essas questões que players do setor de cartões de crédito se uniram em 2006 em um esforço para criar a certificação PCI-DSS (Payment Card Industry – Data Security Standard), trazendo benefícios tanto aos merchants quanto ao cliente final e fornecendo a ambos tranquilidade similar àquela proporcionada pela certificação ISO.

Como acontecem as fraudes com pagamentos eletrônicos

As fraudes acontecem quando os dados do cartão de crédito (número, validade e código de segurança) de uma pessoa ou empresa são roubados e usados indevidamente para a realização de compras em uma loja online.

Os estabelecimentos, por sua vez, entregam o produto e não recebem o valor referente à compra, já que o proprietário do cartão não identifica a despesa e solicita o cancelamento junto à administradora do cartão. A loja, então, assume o prejuízo da fraude. Do lado do consumidor, resta a desconfiança com a reputação daquele estabelecimento e uma maior cautela na próxima vez que for comprar pela internet.

No Brasil, as fraudes com cartões de crédito usados nas transações do comércio eletrônico somam R$ 900 milhões ao ano. Ao perceber ou suspeitar que a fraude aconteceu, o proprietário do cartão pode notificá-la por meio do próprio site do banco (no caso de um cartão extraviado ou roubado). Isso é possível, uma vez que a confirmação do crédito é instantânea e há tempo hábil de reportar a ocorrência à instituição financeira.

PCI: segurança na hora de comprar online

O PCI Security Standards Council, conselho formado pelas empresas American Express, Discover Financial Services, JCB International, MasterCard e Visa estabeleceu em 2006 as regras e normas que garantem a segurança durante o manuseio dos dados de cartões de crédito em transações eletrônicas.

Este conjunto de regras visa proteger estabelecimentos e consumidores de fraudes relacionadas ao compartilhamento de dados de cartão com terceiros, expondo o consumidor ao risco de uma fraude. Estabelecimentos que não estão em conformidade com as normas, estão sujeitos a multas e até ao descredenciamento por parte das operadoras de cartões de crédito.

A adesão às regras e normas de PCI compliance exige dos estabelecimentos um investimento considerável na adequação dos seus sistemas, assim como um monitoramento constante de todos os possíveis focos de risco através de auditorias de empresas especializadas.

Somente através deste esforço e investimento os estabelecimentos recebem o certificado de PCI compliance, indispensável para empresas de e-commerce operarem. Ao consumidor, ele não precisará ter desconfianças, pois esta certificação não faz com que na hora de efetuar seu pagamento, ele seja enviado para outro ambiente para comprar. “Ele começa e termina sua compra no site que escolheu”, frisa Jean Christian Mies, vice presidente sênior da Adyen para a América Latina, player global em soluções de pagamentos multicanal.

O custo de implantação do PCI versus a necessidade de vender mais

Para evitar o altíssimo custo de adequação, assim como o fardo da responsabilidade do cumprimento das regras de PCI, muitas empresas optam por trabalhar com provedores de soluções, como gateways de pagamento, por sua vez, adequados aos requisitos do PCI Council.

No entanto, aquilo que a princípio parece ser uma solução ideal para as empresas de e-commerce, também acarreta outra preocupação para os estabelecimentos. O processamento de transações em conformidade com as regras de PCI, geralmente, pressupõe um redirecionamento do comprador para um ambiente seguro.

“Neste passo crítico do processo de compra, que é o momento do pagamento da mercadoria ou do serviço, muitos compradores desistem ao serem levados a um ambiente fora do checkout da loja, com aparência insegura. E isso pode afetar seriamente o nível de conversão das vendas do estabelecimento”, explica o executivo da Adyen.

Ou seja, a utilização de um ambiente seguro por si só não basta. Para assegurar uma alta eficiência e se destacar como um e-commerce no Brasil, um dos maiores mercados do mundo, altas taxas de conversão são cruciais. “Soluções como a Easy Encyption permitem que estabelecimentos, mesmo sem certificação PCI possam manter os compradores no ambiente da loja, sem necessidade de redirecionamento a outro ambiente. Isso é possível por meio da criptografia de dados críticos no próprio ambiente da loja, uma vez que o estabelecimento ou mesmo possíveis fraudadores não obtêm acesso aos dados confidenciais do comprador. Isso acontece porque somente a intermediadora possui a chave de criptografia e armazena todo e qualquer dado crítico nos seus servidores 100% seguros, conforme certificação PCI”, finaliza Jean.