Empresas precisam implementar tecnologias avançadas de segurança, como criptografia e autenticação multifatorial, para impedir acessos não autorizados e proteger dados sensíveis.

No Brasil, onde o cartão de crédito é uma das principais formas de pagamento e os dados digitais possuem um valor comparável ao do dinheiro em espécie, os riscos de fraudes online tornam-se cada vez mais presentes, exigindo atenção redobrada dos consumidores e das empresas.

Para se ter uma ideia da dimensão do problema, quatro a cada dez brasileiros já foram vítimas de golpes e fraudes financeiras no país, o que representa 42% dos brasileiros. Os dados são do “Relatório de Identidade Digital e Fraude 2024”, um levantamento feito pelo Serasa Experian.

Outro estudo, agora da Confederação Nacional de Dirigentes Lojistas (CNDL) e do Serviço de Proteção ao Crédito (SPC Brasil), em parceria com o Sebrae, mostra que cerca de 8,4 milhões de consumidores relataram fraudes em instituições financeiras nos últimos 12 meses. Entre os golpes, a clonagem de cartões de crédito e débito figura como o principal tipo de fraude.

Embora aproximadamente 70% dos brasileiros possuam três ou mais cartões, conforme aponta a Serasa, a percepção de risco ainda é baixa. Cerca de 69% dos brasileiros continuam subestimando o perigo de cadastrar dados financeiros em sites e aplicativos, o que deixa uma enorme parcela da população exposta a golpes digitais e ataques cibernéticos.

Em meio ao crescente alerta sobre segurança digital, boas notícias surgem: novas iniciativas e avanços tecnológicos estão tornando o ambiente online mais seguro a cada dia.

Recentemente, a PCI Security Standards Council (PCI SSC) propôs novas diretrizes para o desenvolvimento contínuo e aprimoramento dos padrões de segurança, aplicáveis a empresas que armazenam, processam ou transmitem dados de pagamento, bem como a desenvolvedores e fabricantes de software e dispositivos usados nas transações. A PCI é uma organização global, que reúne os principais atores da indústria de pagamentos para impulsionar o uso de recursos para transações seguras.

“À medida que as ameaças e a tecnologia evoluem, os padrões PCI DSS também se atualizam. Assim, é preciso ficar atento, agora, às novas exigências e realizar as adequações necessárias”, alerta Wagner Elias, CEO da Conviso, desenvolvedora de solução para segurança de aplicações.

Entre as atualizações estão as do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), criado para proteger toda a cadeia de valor dos pagamentos com cartão. Seus requisitos de conformidade abrangem desde o armazenamento de dados dos titulares de cartão até a segurança no acesso a informações sensíveis de pagamento.

“Resumidamente, é preciso reforçar a proteção dos dados dos clientes, implementando medidas adicionais para prevenir acessos não autorizados”, diz o especialista.

Assim, as empresas precisarão se adaptar e investir em novas tecnologias. Para se ter uma ideia, algumas dessas soluções são capazes de fornecer uma visão completa dos riscos relacionados a cada aplicativo. “Essas ferramentas integram diferentes sistemas, centralizando informações e auxiliando na priorização das ações, tudo de forma contínua”, explica o CEO da Conviso, sobre sua plataforma Conviso Platform Application Security Posture Management (ASPM), lançada em 2010.

Contudo, o especialista destaca que muitas empresas ainda adotam uma postura reativa em relação à segurança de seus sistemas, só priorizando o tema após sofrerem um ataque. Esse comportamento, segundo ele, é preocupante, pois falhas de segurança podem acarretar prejuízos financeiros expressivos e danos irreparáveis à reputação da organização, que poderiam ser evitados com medidas preventivas.

Para ele, ao considerar a criação de um novo software, é essencial que a empresa incorpore a segurança em cada fase do ciclo de criação, indo desde o levantamento de requisitos (primeira fase que analisa o que o app irá realizar) até o deploy (produção e entrega final).

“Para evitar esses riscos, o grande diferencial é adotar práticas de Application Security (Segurança de Aplicações) desde o início do desenvolvimento do novo aplicativo. Isso garante a inserção de medidas de proteção em todas as fases do ciclo de vida do software. Além de ser significativamente mais econômico do que remediar os danos após um incidente, investir em segurança preventiva é muito mais eficaz. Isso permite prevenir ataques, proteger dados sensíveis, assegurar conformidade com legislações e diretrizes, e garantir que a aplicação seja segura e confiável para os usuários desde o começo”, diz o especialista.

Wagner explica que a empresa desenvolve soluções que integram segurança ao DevOps, permitindo que cada linha de código seja desenvolvida com práticas de proteção, além de serviços como testes de invasão e mitigação de vulnerabilidades. “Realizar análises contínuas de segurança e automação de testes permite que as empresas atendam às normas sem comprometer a eficiência”, destaca Wagner.

Além da implementação de tecnologias robustas, o CEO da Conviso enfatiza a importância das consultorias especializadas, que auxiliam as empresas a se adaptarem às exigências do PCI DSS 4.0 e outras regulamentações. Serviços ofensivos como Penetration Testing, Red Team e avaliações de segurança de terceiros promovem uma abordagem de segurança proativa e abrangente, identificando e corrigindo vulnerabilidades antes que elas possam ser exploradas.

Investimentos devem acelerar

Essa transformação na segurança digital não só reforça a confiança dos consumidores em um ambiente online seguro, como também acompanha o crescimento acelerado do mercado de segurança de aplicações, que deve expandir de US$ 11,62 bilhões em 2024 para US$ 25,92 bilhões até 2029, segundo a Mordor Intelligence. “Implementar tecnologia de ponta marca uma virada na proteção digital e reforça a confiança em um mercado que depende, mais do que nunca, de segurança para prosperar”, conclui Wagner.

Confira a lista dos 12 requisitos do PCI DSS que a verificação de conformidade 4.0 deve atender:

1. Instalar e manter um firewall
2. Eliminar a configuração padrão do fornecedor
3. Proteger os dados armazenados do titular do cartão
4. Criptografar a transmissão de dados de pagamento
5. Atualizar regularmente o software antivírus
6. Implantar sistemas e aplicativos seguros
7. Restringir o acesso aos dados do titular do cartão conforme necessário
8. Atribuir identificação de acesso do usuário
9. Restringir o acesso físico aos dados
10. Rastrear e monitorar o acesso à rede
11. Testar processos e sistemas continuamente em busca de vulnerabilidades
12. Criar e manter uma política de infosec

A implementação das diretrizes do PCI DSS 4.0 está sendo feita em duas fases: 

• A primeira fase, com 13 novos requisitos, teve como prazo final 31 de março de 2024.
• A segunda fase, com 51 requisitos adicionais, deve ser implementada até 31 de março de 2025.

por Engenharia de Comunicação