Marketing

PCI compliance: o que é e porque seu negócio precisa dela

Certificação PCI-DSS no e-commerce é garantia de mais vendas e maior credibilidade no mercado.

Amanda Pofahl

Latin American Market Expert
24/11/2017

O avanço e popularidade das vendas pela internet tem trazido uma série de benefícios para os comerciantes eletrônicos, porém, também prejuízos.

Segundo relatório da Javelin Strategy & Research, o número de transações on-line fraudulentas cresceu 40% de 2015 para 2016, assim como o uso de dados roubados na internet aumentou 31%. Ao todo, os fraudadores roubaram 16 bilhões de dólares em 2016, um impacto enorme nas finanças e também na reputação dos e-commerces em todo o mundo.

Você pode estar se perguntando se esse prejuízo é mesmo dos lojistas ou dos consumidores, que têm os dados roubados. O que nós temos a dizer é que o reflexo negativo recai em ambos.

Se por um lado o consumidor tem os dados violados, por outro, houve uma plataforma on-line - quem sabe um e-commerce - que não cuidou direito da segurança virtual.

Hackers lançam vírus, spywares e outras ameaças virtuais diariamente para corromper sistemas e ter acesso a dados restritos para se valerem de tais informações em transações criminosas.

Seu dever como empresário digital é promover a segurança dos seus visitantes, implementando estratégias de compliance na sua loja virtual e aplicando os melhores recursos de segurança on-line disponíveis, como a certificação PCI DSS.

Mas como fazer isso no seu e-commerce?

O que é compliance, afinal?

O termo compliance significa “em conformidade” e nasceu da preocupação das instituições financeiras com a segurança das transações on-line, que crescem a cada dia.

Para você ter uma ideia, só nos Estados Unidos são gastos mais de 4 trilhões de dólares em cartões de crédito por ano, sendo que as principais bandeiras que comercializam a solução são Visa, Mastercard, American Express e Discover.

EBANX-Compliance.jpgCom o número de fraudes aumentando gradativamente, não é de se estranhar que essas empresas estejam preocupadas em garantir cada vez mais segurança nas transações on-line, a fim de evitar prejuízos financeiros e de imagem, além de fidelizar clientes.

É a partir desse contexto que surgiu o PCI Security Standards Council, uma entidade formada por ninguém menos do que as empresas Visa, Mastercard, American Express, Discover e JCB International.

Reunidas, essas empresas desenvolveram um conjunto de melhores práticas para garantir a segurança das transações eletrônicas, ou seja, implementaram regras de compliance para todos os lojistas - on e off-line - que queiram utilizar recursos de pagamentos eletrônicos em seus estabelecimentos. O conjunto dessas melhores práticas deu início à Certificação PCI-DSS.

O que é PCI-DSS?

PCI-DSS significa Payment Card Industry Data Security Standards ou, em bom português, Padrões de Segurança de Dados da Indústria de Cartões de Pagamentos.

Quem deseja efetuar transações eletrônicas com segurança deve seguir as recomendações do PCI-DSS a fim de evitar roubo de dados e fraudes com cartões de crédito e débito.

Mais do que isso, os comerciantes que se preocupam em manter padrões de alta qualidade em segurança de dados evitam o pagamento de multas aplicadas pelos adquirentes, assim como fortalecem suas marcas junto ao público consumidor, o que se reflete em mais vendas.

Como tirar certificação PCI?

Para estar em compliance com o PCI-DSS você deve atender a 12 requisitos principais:

  1. Instalar e manter uma rede de firewall segura;
  2. Alterar as senhas padrão dadas por fornecedores, visando reduzir os riscos de invasão;
  3. Usar criptografia de dados;
  4. Codificar a transmissão de dados do usuário e informações confidenciais em redes públicas;
  5. Usar e atualizar frequentemente o antivírus;
  6. Desenvolver e manter aplicativos seguros;
  7. Restringir acesso aos dados por parte das empresas;
  8. Atribuir uma identificação única para cada usuário;
  9. Limitar o acesso físico aos dados de cada usuário;
  10. Monitorar os dados dos usuários com regularidade;
  11. Aplicar testes de segurança aos recursos tecnológicos;
  12. Desenvolver e manter uma política de segurança da informação.

E quais as razões para investir em um sistema de segurança para o seu e-commerce que esteja alinhado com o PCI-DSS?

Por que você deve estar em compliance com o PCI-DSS?

Agora que você já sabe o que é compliance e o que é PCI-DSS, já deve ter feito a conexão principal: garantir a segurança dos dados dos seus consumidores é essencial, e a melhor forma de fazer isso é seguindo as práticas recomendadas pelas empresas que mais entendem do assunto.

Mas temos ainda outros motivos que vão te convencer de que essa certificação é importante para a sua loja virtual:

Redução do chargeback

O chargeback acontece quando você efetiva uma venda mas ela não é concretizada pela operadora de cartão, ou então quando a cobrança é questionada pelo consumidor.

Essa situação é bem mais comum do que aparenta e gera enormes prejuízos para qualquer lojista, pois você pode ser obrigado a estornar o valor para o cliente e ainda ficar sem a mercadoria.

Uma situação hipotética pode servir para exemplificar: digamos que um hacker tenha roubado os dados de um consumidor e faça compras no seu e-commerce. Você envia o produto para o fraudador e cobra do consumidor. Quando este identifica a cobrança no cartão, faz a suspensão do pagamento.

Você fica sem o produto e sem o valor correspondente pela venda. Além disso, caso seu índice de chargeback seja alto, os adquirentes de cartão de crédito elevam as taxas cobradas pelas transações, visando cobrir os riscos do negócio. Os efeitos são sentidos por um longo tempo.

Aumento da confiança

Não são apenas as empresas que estão atentas às exigências de segurança da informação em transações eletrônicas.

Empresas certificadas com PCI-DSS têm maior credibilidade, atraindo mais consumidores e, consequentemente, mais vendas.

Os consumidores atuais prestam atenção aos esforços do seu e-commerce em oferecer uma plataforma de vendas segura e observam detalhes como conexões seguras (https), criptografia de dados e selos de segurança.

Redução de custos legais

Muitos e-commerces confiam que o consumidor jamais vai acioná-los judicialmente pelo vazamento de dados sigilosos, o que é um equívoco. Uma vez comprovada a fonte das informações, você pode ser responsabilizado civil e criminalmente pela falha.

Os custos de um processo decorrente de falhas de segurança em transações eletrônicas podem significar o fechamento do seu empreendimento. Tanto é que as instituições bancárias e financeiras investem largamente em métodos que protejam os dados de seus clientes.

Diante disso, o custo de deixar seu e-commerce em conformidade com o PCI-DSS é muito menor do que qualquer reação negativa à sua falta de sensibilidade quanto à proteção de dados dos seus consumidores.

Maior rentabilidade para o negócio

A implementação de melhores práticas de segurança da informação no e-commerce em conformidade com o PCI-DSS também pode trazer maior rentabilidade ao seu empreendimento, uma vez que você paga taxas reduzidas aos adquirentes de cartões por demonstrar preocupação com o sigilo das transações.

Além disso, a confiança desenvolvida pelos consumidores faz com que eles comprem mais e com maior frequência de você, elevando seu faturamento.

Melhores práticas de segurança a implementar no seu e-commerce

A segurança em transações eletrônicas requer uma série de camadas de proteção, desde as mais simples até as mais complexas. Veja algumas melhores práticas que você pode (e deve) adotar:

Conexões seguras

O famoso código https que precede a URL do seu e-commerce é um detalhe mínimo, mas que pode fazer toda a diferença na confiança da sua loja virtual, começando pelo fato de que o Google privilegia sites com conexões seguras.

Alguns antivírus, como o Kaspersky, indicam na SERP quais são os sites seguros para o usuário, o que também pode ser um filtro seletivo para a entrada de novos clientes na sua loja virtual.

Basicamente, o “s” do https significa que no momento em que o usuário acessa seu site, qualquer informação trocada entre ele e sua plataforma de e-commerce será criptografada, impedindo o acesso de terceiros.

Double opt in

Outra forma de tornar seu e-commerce mais seguro e estar em conformidade com o PCI-DSS é adotar o double opt in. Ao fazer o cadastro no seu e-commerce, o consumidor deve receber um e-mail ou SMS, com um link ou uma senha, para validar o registro. Esse tipo de medida é fácil de ser implementado e evita fraudes.

Token

Este recurso é bastante utilizado por instituições bancárias para validar compras no cartão de crédito. Para confirmar a transação, o usuário deve acessar um token virtual (dispositivo que gera uma nova senha a cada minuto) e digitar a senha atual para concluir a transação.

A mudança contínua de código impede que hackers ou vírus tenham tempo de descobrir a senha do consumidor e fazer uso indevido de seus dados.

Intermediadores de pagamento

Se você considera o custo da certificação PCI alto, pode optar por um intermediador de pagamentos.

Intermediadores de pagamentos são plataformas especializadas em oferecer soluções de pagamento e investem tanto no processo de certificação PCI-DSS quanto com outros recursos de segurança virtual para impedir que os dados de seus clientes sejam acessados por terceiros.

Dessa forma, você se preocupa com seu core business e deixa a parte de segurança nas transações com quem entende do assunto.

Gostou de saber mais sobre PCI-DSS e como ele afeta os resultados do seu e-commerce? Continue acompanhando as notícias do Ebanx. Assine nossa newsletter!