DevSecOps

9 mai, 2013

Controles de segurança para um diferencial no comércio eletrônico

Publicidade

A legislação, com a publicação em março deste ano do Decreto 7.963, que institui o Plano Nacional de Consumo e Cidadania e do Decreto 7.962 que dispõe sobre a Contratação no Comércio Eletrônico, já exige uma série de requisitos de segurança da informação para as organizações que vão utilizar o mundo virtual para realização de negócios.

Entendo que antes de exigências legais, a segurança da informação profissionalmente implementada é um diferencial competitivo para a realização do Comércio Eletrônico. Senão, vejamos alguns controles básicos de segurança e sua aplicabilidade no mundo virtual.

Confidencialidade

As informações dos clientes precisam ser protegidas e precisam ter a garantia do seu sigilo. Quem compra em um site de comércio eletrônico não quer ter problemas de vazamento de suas informações pelo site e posteriormente sofrer ações fraudulentas com os seus dados. Se isto acontecer e o cliente identificar que foi via um site de comércio eletrônico, tenha certeza que será noticiado nas redes sociais e o site sofrerá impactos.

Outra questão relacionada à confidencialidade é como os funcionários e prestadores de serviço da organização acessam às informações internamente. Cada usuário (funcionário ou fornecedor) só deve acessar as informações que necessita para o desempenho das suas funções. E obrigatoriamente cada pessoa deve ser identificada individualmente e deve perder o acesso assim que sair da organização. Não se pode ter uma identificação para mais de um usuário.

A organização precisa respeitar os dados dos clientes e deve assumir um compromisso formal, explícito e público sobre isto. Se for tratar o comportamento de compras do cliente, deve ter o compromisso de tratar estas informações no conjunto de clientes e não individualmente. Se for realmente tratar individualmente, é conveniente uma autorização do cliente específica para tal.

Disponibilidade

O serviço de comércio eletrônico deve ter um padrão de disponibilidade e mantê-lo. Qual a alternativa, caso o ambiente de tecnologia sofra uma pane? Indisponibilidade de site de comércio eletrônico é diretamente proporcional ao impacto financeiro e de imagem.

É necessário que sejam realizados testes simulando situações de indisponibilidade e a área de negócio da organização tem a responsabilidade de definir o padrão desejado de disponibilidade.

Auditabilidade

As ações que acontecem no ambiente do site de comércio eletrônico devem ser registradas permitindo uma verificação do que aconteceu. Este controle permite identificar ações de usuários (funcionários e prestadores de serviço) e de clientes. Esta possibilidade de auditoria permite este estudo interno e também é uma proteção para a identificação de fraudes e ações de má fé, bem como facilita responder a algum questionamento da justiça.

Autenticidade

Este controle é um dos mais difíceis para garantir, principalmente quando se relaciona aos clientes. A realização da transação de pagamento com cartão de crédito é razoavelmente segura. Isto é, a tramitação dos dados do site com as operadoras do cartão. A questão maior é a garantia de que o cliente que está passando os dados do cartão é realmente o dono do cartão. Como a transação acontece apenas com informações que podem ser acessadas com quem tiver acesso, ou quem teve acesso ao cartão de crédito, temos uma falta de garantia de autenticidade. Vários controles periféricos podem ser implantados para minimizar este risco, como por exemplo o cadastro do usuário e seu histórico de uso. Mas, em algumas aplicações do comércio eletrônico este tipo de controle é mais difícil de implantar.

A questão é: qual o padrão de garantia de autenticação que a organização vai desejar para utilizar com os seus clientes?

Para este controle, não esquecer de garantir a autenticação interna dos funcionários e prestadores de serviço. Neste caso, a autenticação pode ser de garantia total, se bem implementada.

Um site de comércio eletrônico que busque atender estes controles, pode informar aos seus clientes que executa a segurança da informação, respeita as informações dos seus clientes, que as informações de cada cliente é apenas utilizada para a realização da compra do serviço ou produto pelo site. Enfim, dar mais confiança para o cliente.

Confiança

Uma razão fundamental para que o cliente compre em um site de comércio eletrônico é a confiança. Porém, o que acontece inicialmente é que o cliente tem uma confiança emocional com o site. Ele não tem evidências concretas de que o site é seguro, porém, acha que é seguro porque o site é da empresa de renome, ou é um site bem organizado, ou qualquer outra abordagem, mas que não é garantia de segurança. A organização precisa transformar esta confiança emocional em confiança real. O cliente precisa saber e usar na prática os controles de segurança da informação. E confiança real gera cliente fiel, cliente que retorna.

Conclusão

Algumas organizações pensam que não realizam comércio eletrônico e por isso não precisam ser rígidas nestes controles. Entendo que ao ir a uma loja física e ao ser cadastrado no ambiente virtual da loja para “receber promoções”, conforme o(a) vendedor(a) informa, já existe um padrão básico de comércio eletrônico. A organização tem meus dados e precisa proteger estes dados profissionalmente.

Ter controles de segurança da informação gera confiança nos clientes. Gera cliente fiel e cliente que retorna.

Boas vendas! Com segurança, é claro!