Somente 30% das empresas têm planos para incidentes de vazamento de dados e violações

EmpresasNegóciosSegurança

Informação foi divulgada por especialistas em segurança virtual, que apontaram principais ciberameaças e soluções em segurança de pagamentos e dados pessoais durante debate no Thales Hardware Security Module Fórum, evento sobre meios de pagamento realizado pela First Tech, em São Paulo. Além do número de quase um terço das empresas despreparadas no País, os profissionais

Informação foi divulgada por especialistas em segurança virtual, que apontaram principais ciberameaças e soluções em segurança de pagamentos e dados pessoais durante debate no Thales Hardware Security Module Fórum, evento sobre meios de pagamento realizado pela First Tech, em São Paulo.

apple-pay-1024x617

Além do número de quase um terço das empresas despreparadas no País, os profissionais indicaram também que a proteção dos dados precisa ser bastante cuidadosa, principalmente quando os dados transitam dinheiro, em sistemas que se popularização como o Apple Pay e Samsung Pay, plataformas que já começam a ser utilizadas pelo e-commerce e que também devem ser adotadas no comécio físico.

Há uma unanimidade quando o assunto é a gestão da segurança da informação, que é testada com o aumento dos ataques cibernéticos. Quando não combatidas, as invasões geram cada vez maiores prejuízos às organizações. Além das violações de dados institucionais, com o consumidor não é diferente. O último levantamento da Serasa Experian apontou que, a cada 14 segundos, um brasileiro foi alvo de golpes, um recorde de 183 mil tentativas de fraudes, tudo computado no mês de março.

O primeiro grande incidente de violação de dados no varejo divulgado, causado pela instalação de um malware nos pontos de venda da Target, nos EUA, resultou em mais de US$ 250 milhões em multas, por danos a clientes, bandeiras e emissores de cartão. De acordo com o vice-presidente da Thales e-Security, José Diaz, “embora já exista tecnologia de defesa, esses problemas continuam a ocorrer”.

No caso da Target, Diaz explica que tudo começa com um malware nos computadores aos quais são conectados os leitores de cartão (POS). “O terminal de pagamentos não criptografava os dados, que eram passados de forma aberta ao computador. Se houvesse criptografia de ponta a ponta, desde o leitor de cartão até a transação chegar à processadora, resolveria”, explica.

Sobre os pagamentos móveis, o executivo distingui duas situações: uma na qual o celular é usado para captura do pagamento (por exemplo, em táxis ou vendas a domicílio), ou como meio de pagamento. “Com a conexão wireless, é ainda mais importante a criptografia no ponto de captura”.

Quando o celular é utilizado como forma de pagamento ou como alternativa ao cartão de plástico, surgem outros riscos, que implicam abordagens mais inovadoras de segurança. “Antes, lidávamos com um grupo fechado de adquirentes – que captura a transação no POS, dos emissores – que colocam o chip no cartão, e das bandeiras – que certificam esse ambiente. Agora coloca-se o aplicativo de pagamentos em um dispositivo sem segurança”, comparou.

No último ano, marcado pelo lançamento de sistemas como Apple Pay e Samsung Pay, esse mercado consolidou a abordagem de “tokenização” para mitigar riscos em pagamentos móveis. Na prática, o token é um código criado a partir de operações matemáticas com o número real do cartão e, devido à complexidade do algoritmo, só a bandeira consegue identificar a correlação. Diaz explica que “o token é associado ao dispositivo e só pode ser usado por determinado aparelho. Portanto, se um hacker intercepta o token, não consegue utilizar em outro contexto. Caso o portador perca o celular, é só comunicar, que se invalida o token, sem a necessidade de substituir o cartão”.

Para o diretor de produtos da Visa, Alessandro Rabelo, a técnica de tokenização e restrição de domínio, que amarra o pagamento a determinado contexto, não se limita aos serviços móveis. “Se o número do meu cartão for comprometido, mas tenho uma viagem marcada e não posso aguardar para receber outro plástico, o emissor pode restringir o uso a transações presenciais, com leitura do chip, de forma que o fraudador não consiga utilizar o número em compras online”, exemplificou.

Rabelo explicou como a Visa trabalha em parceria com os provedores de plataformas móveis como Apple, Google e Samsung e descreveu como os emissores podem se beneficiar da plataforma de tokenização para habilitar meios alternativos de pagamentos. O executivo ressaltou que a Visa já trabalha há mais de 10 anos nessa linha de desenvolvimento. “Em 2005, o Google abriu o emulador de NFC (pagamento por aproximação) no smartphone. Nos últimos dois anos vimos vários lançamentos, como o Apple Pay e, mais recentemente, o Samsung Pay”, ressalta.

Em 2014 a EMV, grupo de bandeiras que define as normas de segurança, padronizou a solução de tokenização. Algumas versões do iPhone e de smartphones da Samsung contam com um “elemento” seguro, uma implementação semelhante à do chip no cartão. No entanto, a tokenização é uma alternativa para mitigar riscos, mesmo que o meio de pagamento não tenha funcionalidades embarcadas de segurança.

A tokenização não se aplica apenas a m-Commerce ou e-Commerce. Um estabelecimento que tenha que armazenar dados de pagamento, como uma editora que salva o número de cartão para renovação automática de assinaturas de revista, não precisaria gravar informações de alto risco. “Se um fraudador invade a base de dados, basta bloquear os tokens. Os consumidores não são atingidos e o emissor não tem custo para substituir os cartões”, esclareceu Rabelo.

O executivo da Visa afirmou que o Brasil tem hoje uma das maiores bases de POSs habilitados para NFC. “Ainda há pouca emissão de cartões contactless. Temos muitos cartões com chip que levarão um tempo para serem substituídos e o custo do contactless é maior. Mas o celular com NFC embutido vai ajudar muito a disseminação”, avaliou.


Clique para ler a bio do autor  Clique para fechar a bio do autor