Por Verena Stukart*
O mercado brasileiro de e-commerce amadurece gradualmente e as exigências em relação à segurança de dados e sofisticação de softwares para prevenir fraudes se tornam cada vez maiores. Nos últimos anos, houve um grande crescimento nas transações realizadas via internet, aumentando, também, o uso de cartões de crédito para compras online. Para se ter uma ideia de quanto esse mercado cresceu, o faturamento do setor passou de R$ 18,7 bilhões, em 2011, para R$ 35,8 bilhões, em 2014, de acordo com a E-bit.
Frente a um mercado que cresce em média 25% ao ano e que ganha cada vez mais espaço entre os consumidores, garantir a segurança no processamento e armazenamento de dados dos portadores de cartão é vital para o setor. Além de todos os transtornos de cunho financeiro e jurídico que o vazamento de informações pode causar para as pessoas que têm seus dados expostos, um incidente desses implicaria na perda de confiança por parte dos consumidores em realizar compras online, consequência grave para o todo o setor.
Recentemente, grandes empresas, como Sony e Apple, sofreram ataques de hackers e tiveram informações confidenciais divulgadas inapropriadamente. O que prova que, mesmo as grandes companhias, não estão imunes e a preocupação no armazenamento de dados deve ser uma constante.
Pensando na proteção das informações sensíveis, necessárias para efetuar uma transação, em 2006, as principais administradoras de cartões, como MasterCard e Visa, criaram o PCI DSS (Payment Card Industry Data Security Standard), um comitê independente que desenvolve padrões mundiais de segurança, certificações e requisitos para empresas que utilizam cartões de crédito como meio de pagamento. O PCI DSS possibilita um forte desenvolvimento dos processos de prevenção, detecção e reação adequada a incidentes de segurança, além de ser um requerimento obrigatório das bandeiras de cartões internacionais. Um estudo da Imperva e do Ponemon Institute mostrou que 64% das organizações aprovadas pelos padrões do PCI DSS não sofreram nenhuma violação de dados de cartão de crédito nos últimos dois anos.
Essa certificação precisa ser adquirida por qualquer organização que armazene, processe ou transmita os dados do portador de cartão, além de ser o primeiro passo para a proteção dos consumidores. Os controles são rigorosos e devem passar pela avaliação de uma empresa cadastrada e apta pelo conselho do PCI a avaliar os requisitos, os chamados QSA (Qualified Security Assessors). Não há restrições, porém, quanto ao porte da empresa. Todos podem e devem se adequar aos controles.
A aderência ao PCI DSS é uma escolha excelente se a loja não tem um padrão de segurança existente e precisa proteger seu ambiente online de fraudes e vazamento de dados. No Brasil, ainda há muito a ser feito em relação a esse assunto, considerando que um número muito grande de empresas não segue nenhum protocolo. A preocupação é real e as providências são urgentes. Precisamos pensar em segurança!
* Verena Stukart é fundadora da MundiPagg, empresa de soluções para pagamento online
