10 Motivos para não armazenar dados dos cartões de crédito em seu ecommerce

Enfim, agora trataremos de um assunto que pode se tornar um pesadelo na vida de um comerciante, independente do porte do seu e-commerce. O armazenamento de dados do cartão de crédito, em banco de dados.

Muitos lojistas preferem esta solução, ao invés de adquirir um sistema de pagamento, seja com integração direta, seja via gateways (como Braspag, Cobredireto, etc) ou ainda via facilitadores, como PagSeguro ou Paypal.

A principal alegação que vejo nestes casos, é o alto custo de um sistema com integração direta ou via gateway, pois os módulos para o Magento no Brasil saem muito caro.

Mais o quão caro é isso? Bem, podemos analisar esses fatores de inúmeros pontos de vista. Podemos olhar do ponto de vista do comerciante, que como todo mundo, quer ter o máximo de lucro, gastando o mínimo, e a solução de armazenamento em banco é uma coisa que custa pouco, já que vi alguns módulos que estão sendo distribuídos por ai gratuitamente, e que faz isso.

Além disso, há muitos comerciantes pequenos que desejam entrar no mercado online, mais possuem um orçamento pequeno, o que leva muita gente a usar este tipo de sistema.

Mais se olharmos do ponto de vista das consequências, tanto jurídicas, como comercial, do vazamento de alguma informação, mesmo que seja, “em pequena” escala, podemos repensar esta historia.

Então vamos analisar mais de perto esse caso, no fluxo ideal, dentro do comercio eletrônico, e dentro dos padrões de segurança recomendados pelo Payment Card Industry Data Security Standard – PCI DSS, nenhum dado do cliente pode ser armazenado, em banco de dados, ou fisicamente (em arquivos, como .doc ou .txt).

A exceção fica com a bandeira do cartão (Visa, Master, Diners, etc.) e alguns dígitos do cartão (normalmente os 4 últimos dígitos).

Ou seja, não pode armazenar:

– Número completo do cartão
– Código de segurança (aquele 3 ou 4 números que vão atrás do cartão)
– Data de validade
– Nome do Cliente(igual ao escrito no cartão)

Mais porque isso? Ora bolas, simples, com isso pode se comprar em qualquer loja virtual no mundo.

Entretanto, ainda sim temos a solução onde se armazena os dados do cartão de credito do Magento, que normalmente é uma versão adaptada do módulo nativo de cartão de crédito do Magento, entretanto agora com a possibilidade de ver os dados do cartão na administração, além da adição do parcelamento.

Mais qual o risco, já que o Magento é uma das plataformas mais robustas e seguras do mundo?

Simples e vários:

1. A sua loja pode estar usando uma versão desatualizada do Magento, que possuem falhas ou brechas de segurança que podem permitir o acesso a estes dados via administração do Magento;

2. Mesmo uma instalação atualizada não garante segurança, pois como qualquer sistema, o Magento está sujeito a falhas, e consequentemente a ataques;

3. A instalação do Magento pode ter sido feita incorretamente, permitindo o acesso ao arquivo local.xml, e consequentemente acesso ao banco de dados e ao dados dos cartões de cliente;

4. Falhas de segurança também podem estar presentes em sua hospedagem, que poderá permitir o acesso aos arquivos físicos, e consequentemente aos dados das credenciais do banco de dados, ou ainda sim, saber qual a sua versão do Magento e instalar scripts maliciosos a fim de roubar estes dados;

5. Além dos riscos acima, que basicamente envolvem falhas do servidor e do próprio Magento, ainda há o fator humano. Muitos vazamentos acontecem por causa de ex-funcionários e/ou sócios, que após serem mandados embora, ainda sim tem acesso à administração, e pelos motivos mais fúteis, resolvem pegar os dados dos clientes e fazem compras ou pior, vender no mercado negro os dados dos clientes;

6. Não bastasse isso, há gerentes e funcionários que acessam o Magento de computadores ou redes publicas que é um prato feito para os crackers (ou hackers, como preferir) de plantão, que através de keyloggers e outras táticas, podem obter as credenciais de acesso ao seu e-commerce;

7. Outro fator a se considerar, principalmente quando se “adquire” uma solução desta, será que estes dados estão sendo realmente armazenados apenas em meu banco de dados? Será que não é enviado para outro lugar? Nunca se sabe quem é a pessoal do outro lado, num setor tão critico e sensível, não se pode arriscar;

8. E por ultimo, será que a sua tranquilidade, e todo o esforço para montar a sua loja, vale cerca 2 a 3 mil reais/anos para se ter um sistema de pagamento descente que integre seu ecommerce diretamente com as operadoras, sem armazenar nenhum dado em seus sistema? Lembre-se que, além disso, sua empresa pode perder o credenciamento junto à operadora de cartão de credito, sofrer um processo em âmbito jurídico e com certeza, ira arcar com custas processuais, custos de marketing e com custos dos produtos perdidos. E ai, ainda quer tentar?

Dica: não tem dinheiro para bancar um sistema de integração direta, use um facilitador, antes usar eles e ter certeza que está fazendo tudo dentro da lei, e poder dormir tranquilamente, do que procurar problemas para a cabeça, palavras de quem já trabalhou desse jeito

[toggle title=”Fonte”]
http://www.brascommerce.com.br/blog/
[/toggle]

2014-08-29T14:29:07+00:00

RECEBA DICAS VALIOSAS NO SEU EMAIL

x