A segurança da informação vem sendo fortemente testada com o aumento dos ataques cibernéticos, gerando grandes prejuízos às organizações. De acordo com estudos sobre o setor apenas 30% das empresas têm planos para incidentes de vazamento de dados e violações. Com o consumidor não é diferente.
O último levantamento da Serasa apontou que, a cada 14 segundos, um brasileiro é alvo de golpes, um recorde de 183 mil tentativas de fraudes somente no mês de março.
Diante da necessidade de rever estratégias para conter o avanço das ciberameaças, a 7ª edição do Thales Hardware Security Module Fórum, que aconteceu, dia 13, em São Paulo, reuniu especialistas que alertaram sobre os novos riscos e apresentaram soluções para garantir a segurança de pagamentos e dados pessoais.
O primeiro grande incidente de violação de dados no varejo divulgado, causado pela instalação de um malware nos pontos de venda da Target, nos EUA, resultou em mais de US$ 250 milhões em multas, pelos danos a clientes, bandeiras e emissores de cartão.
De acordo com José Diaz, vice-presidente da Thales e-Security e autor da apresentação “Tendências do mercado de pagamentos”, durante o evento, embora já exista tecnologia de defesa, esses problemas continuam a ocorrer.
No caso da Target, Diaz explicou que tudo começa com um malware nos computadores aos quais são conectados os leitores de cartão (POS). “O terminal de pagamentos não criptografava os dados, que eram passados de forma aberta ao computador. Se houvesse criptografia de ponta a ponta, desde o leitor de cartão até a transação chegar à processadora, resolveria”, resumiu.
Em relação a pagamentos móveis, Diaz distinguiu duas situações: uma em que o celular é usado para captura do pagamento (por exemplo, em táxis ou vendas a domicílio), ou como meio de pagamento. “Com a conexão wireless, é ainda mais importante a criptografia no ponto de captura”, enfatizou.
Quando o celular é utilizado como forma de pagamento ou como alternativa ao cartão de plástico, surgem outros riscos, que implicam abordagens mais inovadoras de segurança. “Antes, lidávamos com um grupo fechado de adquirentes – que captura a transação no POS, dos emissores – que colocam o chip no cartão, e das bandeiras – que certificam esse ambiente. Agora coloca-se o aplicativo de pagamentos em um dispositivo sem segurança”, comparou Diaz.
No ano passado, marcado pelo lançamento do ApplePay e outros serviços de pagamentos móveis, o mercado consolidou a abordagem de “tokenização” para mitigar riscos em pagamentos móveis. Na prática, o token é um código criado a partir de operações matemáticas com o número real do cartão e, devido à complexidade do algoritmo, só a bandeira consegue identificar a correlação.
Diaz explica que “o token é associado ao dispositivo e só pode ser usado por determinado aparelho. Portanto, se um hacker intercepta o token, não consegue utilizar em outro contexto. Caso o portador perca o celular, é só comunicar, que se invalida o token, sem a necessidade de substituir o cartão”.
Alessandro Rabelo, diretor de produtos da Visa, observou durante o evento promovido pela First Tech que a técnica de tokenização e restrição de domínio, que amarra o pagamento a determinado contexto, não se limita aos serviços móveis. “Se o número do meu cartão for comprometido, mas tenho uma viagem marcada e não posso aguardar para receber outro plástico, o emissor pode restringir o uso a transações presenciais, com leitura do chip, de forma que o fraudador não consiga utilizar o número em compras online”, exemplificou.
Na palestra “Contribuições da Visa no mercado de pagamentos, ApplePay e SamsungPay”, Rabelo explicou como a bandeira trabalhou com os provedores de plataformas móveis, como Apple, Google e Samsung, e descreveu como os emissores podem se beneficiar da plataforma de tokenização para habilitar meios alternativos de pagamentos.
O executivo ressaltou que a Visa já trabalha há mais de 10 anos nessa linha de desenvolvimento. “Em 2005, o Google abriu o emulador de NFC (pagamento por aproximação) no smartphone. Nos últimos dois anos vimos vários lançamentos, como o ApplePay e, mais recentemente, o SamsungPay”, lembrou.
Para os provedores de meios de pagamento, a tokenização viabiliza a oferta de “carteira digital”, em que, além de suportar múltiplos instrumentos, como cartão de débito, crédito e pré-pagos, em um só dispositivo, usa o conceito de “restrição de domínio” para implementação de políticas de controle de risco e segurança. “No Google Wallet o mesmo cartão de crédito pode ter dois tokens: um para NFC e outro para compras online”, explicou Rabelo.
Além de restringir os riscos de fraude, a plataforma Visa Token Services permite que os emissores definam regras para cada tipo de transação, como por exemplo, limites de valores para pagamentos com NFC.
Em 2014 a EMV, grupo de bandeiras que define as normas de segurança, padronizou a solução de tokenização. Algumas versões do iPhone e de smartphones da Samsung contam com um “elemento” seguro, uma implementação semelhante à do chip no cartão. No entanto, a tokenização é uma alternativa para mitigar riscos, mesmo que o meio de pagamento não tenha funcionalidades embarcadas de segurança.
A tokenização não se aplica apenas a m-Commerce ou e-Commerce. Um estabelecimento que tenha que armazenar dados de pagamento, como uma editora que salva o número de cartão para renovação automática de assinaturas de revista, não precisaria gravar informações de alto risco. “Se um fraudador invade a base de dados, basta bloquear os tokens. Os consumidores não são atingidos e o emissor não tem custo para substituir os cartões”, esclareceu Rabelo.
O executivo da Visa afirmou que o Brasil tem hoje uma das maiores bases de POSs habilitados para NFC. “Ainda há pouca emissão de cartões contactless. Temos muitos cartões com chip que levarão um tempo para serem substituídos e o custo do contactless é maior. Mas o celular com NFC embutido vai ajudar muito a disseminação”, avaliou.