A segurança de transações, também conhecida como segurança de pagamentos, refere-se a uma categoria de práticas, protocolos, ferramentas e outras medidas de segurança usadas durante e após transações comerciais para proteger informações confidenciais e garantir a transferência segura dos dados dos clientes.
Embora as transações online representem desafios únicos para a segurança de transações, elas são críticas para as empresas online e offline no aumento da confiança do consumidor, na mitigação de fraudes e na manutenção da conformidade regulatória.
Concomitantemente ao aumento acelerado do comércio eletrônico e das transações online, a segurança de transações tornou-se uma grande preocupação para as empresas que lidam com pagamentos e transferências de ativos valiosos, como instituições financeiras, exchanges de criptomoedas e varejistas. Outros casos de uso incluem mercados de jogos online, métodos de pagamento alternativos como ApplePay e Venmo e qualquer serviço responsável pelo processamento de documentos jurídicos confidenciais (como os serviços de declaração de impostos online ou vários departamentos governamentais oficiais).
Para evitar perdas financeiras resultantes de transações fraudulentas e proporcionar uma experiência do usuário confiável aos clientes que compartilham seus dados pessoais, as medidas comuns de segurança das transações incluem uma criptografia de dados avançada e moderna, autenticação multifator (MFA) e assinaturas digitais. Esses protocolos de segurança mitigam o risco de fraudes de pagamentos e roubo de dados de clientes como resultado de uma violação de segurança, pelas quais muitas empresas podem ser juridicamente responsáveis, dependendo de sua jurisdição.
Embora a maioria das medidas de segurança de transações seja implementada durante a transação em si, a segurança de transações também inclui as políticas de negócios internas que regem o tratamento de todos os dados confidenciais de transações armazenados por uma organização ou empresa, como números de cartões de crédito e números de contas. Para os profissionais de cibersegurança com responsabilidades de segurança de bancos de dados, a segurança de transações significa não apenas monitorar transações online em tempo real em busca de atividades suspeitas e transações não autorizadas, mas também identificar e mitigar proativamente todas as vulnerabilidades de segurança interna. Os provedores de serviços modernos de sistemas de segurança de transações geralmente incorporam uma funcionalidade de notificações personalizáveis e outras automações para facilitar transações seguras em escala.
As ameaças à segurança de transações geralmente estão interconectadas com ameaças mais amplas à cibersegurança ou contribuem para elas. Veja a seguir uma breve lista de algumas das ameaças de segurança de transações mais frequentes.
Os golpes de phishing, nos quais cibercriminosos usam mensagens fraudulentas para manipular seus alvos para que revelem informações confidenciais, representam uma ameaça tanto para clientes quanto para empresas. Os golpes de phishing geralmente têm como alvo os consumidores, na tentativa de roubar diretamente as informações de seus cartões de crédito para uso em transações fraudulentas. Eles também podem ter como alvo empresas, na tentativa de roubo em massa das informações de pagamentos dos clientes.
Embora as transações presenciais normalmente exijam um cartão de crédito físico, as transações feitas online ou por telefone geralmente exigem apenas um número de cartão de crédito. Essa brecha pode abrir margem para fraudes nas transações online ou telefônicas sem necessidade de cartões físicos, nas quais os fraudadores usam números roubados para fazer transações fraudulentas. Embora o cliente ainda possa ter em mãos seu cartão de crédito físico, essa pessoa pode não estar totalmente ciente de que os dados de seu cartão foram roubados.
Outro risco representado pelo phishing é a fraude de invasão de conta. Os fraudadores podem usar phishing ou outros meios para obter acesso não autorizado à conta bancária de um consumidor ou suas contas em lojas virtuais, para depois fazer compras não autorizadas.
Os golpes de BEC também são uma consequência comum de esquemas de phishing bem-sucedidos. Quando um cibercriminoso obtém acesso a uma conta de e-mail comercial comprometida, ele pode se passar por um funcionário ou fornecedor autorizado e tentar solicitar uma transferência eletrônica fraudulenta.
O SIF, um outro risco adicional resultante de ataques de phishing bem-sucedidos, é um tipo de fraude em que os golpistas usam uma combinação de informação de identificação pessoal (PII) real roubada para criar identidades fabricadas para várias atividades fraudulentas, como esquemas padrão de pagamentos em que um golpista compra um produto a crédito ou em parcelas sem intenção de fazer pagamentos futuros.
Durante um ataque MITM, uma forma bem conhecida de ataque cibernético, o hacker se posiciona sem ser detectado entre duas partes que acreditam ter uma conexão privada. O invasor pode tentar manipular os dados transferidos ou simplesmente espionar para roubar qualquer informação de pagamento privada que possa ser compartilhada.
Com o avanço contínuo de novas tecnologias, bem como as estratégias de ataque em constante evolução dos cibercriminosos, os especialistas estão trabalhando constantemente para melhorar a segurança de transações por meio de todos os vetores disponíveis. Veja a seguir alguns dos métodos mais comuns para aumentar a segurança de transações:
As empresas e clientes dependem da criptografia, a espinha dorsal da privacidade de dados, para proteger informações confidenciais durante e após transações. Padrões de criptografia comumente usados, como Secure Sockets Layer (SSL) e Transport Layer Security (TLS), são frequentemente usados durante transações online para evitar acesso não autorizado, adulteração e roubo.
A tokenização é um processo que substitui dados confidenciais de clientes, como números de cartões de crédito, por tokens exclusivos que não podem ser usados para fazer transações fraudulentas nem fazer engenharia reversa das informações de pagamento originais. Esses tokens são usados para fazer referência às informações de pagamento originais, que são armazenadas em um cofre de tokens seguro. A tokenização reduz o risco associado a violações de dados e simplifica a conformidade regulatória, pois os tokens em si são inúteis, mesmo que caiam em mãos erradas.
As práticas de autenticação, uma forma fundamental de segurança das transações, são muito anteriores à era da internet. Embora no passado o comerciante pudesse solicitar uma forma de identificação com foto antes de aceitar um cheque de uma pessoa física, as medidas modernas de autenticação digital se tornaram mais sofisticadas. A autenticação de fator único (SFA) exige uma forma de identificação, como uma senha ou um PIN; a autenticação de dois fatores (2FA) exige formas adicionais de identificação, como uma senha de uso único enviada para um dispositivo ou e-mail registrado. Outros métodos de autenticação padrão incluem a exigência de um valor de verificação de cartão (CVV) para pagamentos com cartão de crédito e autenticação biométrica (como reconhecimento facial ou de impressões digitais).
Os gateways de pagamentos seguros são uma parte essencial do estabelecimento de uma forte segurança de transações e da criação e manutenção da confiança do cliente. Esses gateways permitem o processamento de transações entre o cliente, a empresa e o processador de pagamentos ou o banco adquirente. Os gateways de pagamentos seguros geralmente combinam várias técnicas de segurança de transações, incluindo criptografia, tokenização e autenticação, para garantir a segurança de dados.
O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de normas de segurança de transações desenvolvido pelo Payment Card Industry Security Standard Council (PCI SSC), um fórum global de stakeholders do setor de pagamentos.
Desenvolvido para aumentar a adoção de normas e recursos de segurança de dados para pagamentos seguros em todo o mundo, a conformidade com o PCI DSS ajuda as empresas a atender aos requisitos de regulamentação, mantendo os dados dos clientes seguros.
Para atender à conformidade com o PCI DSS, as empresas devem tomar as seguintes medidas: