Controles de Segurança para um diferencial no Comércio Eletrônico

9 de setembro de 2013
Compartilhe

A legislação – com a publicação em março/2013 do Decreto 7.963 que institui o Plano Nacional de Consumo e Cidadania e do Decreto 7.962 que dispõe sobre a Contratação no Comércio Eletrônico –, já exige uma série de requisitos de segurança da informação para as Organizações que vão utilizar o mundo virtual para realização de negócios. Entendo que antes de exigências legais, a Segurança da Informação profissionalmente implementada é um diferencial competitivo para a realização do Comércio Eletrônico. Senão, vejamos alguns controles básicos de segurança e sua aplicabilidade no mundo virtual.

 

a) Confidencialidade

As informações dos clientes precisam ser protegidas e precisam ter a garantia do seu sigilo. Quem compra em um site de Comércio Eletrônico não quer ter problemas de vazamento de suas informações pelo site e posteriormente sofrer ações fraudulentas com os seus dados. Se isto acontecer e o cliente identificar que foi via um site de Comércio Eletrônico, tenha certeza que será noticiado nas redes sociais e o site sofrerá impactos. Outra questão relacionada à Confidencialidade é como os funcionários e prestadores de serviço da Organização acessam as informações internamente. Cada usuário (funcionário ou fornecedor) só deve acessar as informações necessárias para o desempenho das suas funções; e, obrigatoriamente, cada pessoa deve ser identificada individualmente e deve perder o acesso assim que sair da Organização. Não se pode ter uma identificação para mais de um usuário. A Organização precisa respeitar os dados dos clientes e deve assumir um compromisso formal, explícito e público sobre isto. Se for tratar o comportamento de compras do cliente, deve ter o compromisso de tratar estas informações no conjunto de clientes e não individualmente. Se, realmente, tratar individualmente, é conveniente uma autorização do cliente específica para tal.

 

b) Disponibilidade

O serviço de Comércio Eletrônico deve ter um padrão de disponibilidade e manter este padrão. Qual a alternativa caso o ambiente de tecnologia sofra uma pane? A indisponibilidade de um site de Comércio Eletrônico é diretamente proporcional a um impacto financeiro e de imagem. É necessário que sejam realizados testes simulando situações de indisponibilidade; e a área de Negócio da Organização tem a responsabilidade de definir o padrão desejado de disponibilidade.

 

c) Auditabilidade

As ações que acontecem no ambiente do site de Comércio Eletrônico devem ser registradas permitindo uma verificação do que aconteceu. Este controle permite identificar ações de usuários (funcionários e prestadores de serviço) e de clientes. Esta possibilidade de auditoria permite este estudo interno e também é uma proteção para a identificação de fraudes e ações de má-fé, bem como facilita responder a algum questionamento da justiça.

 

d) Autenticidade

Este controle é um dos mais difíceis para garantir, principalmente quando se relaciona aos clientes. A realização da transação de pagamento com cartão de crédito é razoavelmente segura. Isto é, a tramitação dos dados do site com as operadoras do cartão. A questão maior é a garantia de que o cliente que está passando os dados do cartão é realmente o dono do cartão. Como a transação acontece apenas com informações que podem ser acessadas com quem tiver acesso, ou quem teve acesso ao cartão de crédito, temos uma falta de garantia de autenticidade. Vários controles periféricos podem ser implantados para minimizar este risco, como, por exemplo, o cadastro do usuário e seu histórico de uso. Mas, em algumas aplicações do Comércio Eletrônico, este tipo de controle é mais difícil de implantar. A questão é: qual o padrão de garantia de autenticação que a Organização vai desejar para utilizar com os seus clientes? Para este controle, não esquecer de garantir a autenticação interna dos funcionários e prestadores de serviço. Neste caso, a autenticação pode ser de garantia total, se bem implementada. Um site de Comércio Eletrônico que busca atender estes controles pode informar aos seus clientes que executa a Segurança da Informação, respeita as informações dos seus clientes, que as informações de cada cliente são apenas utilizadas para a realização da compra do serviço ou produto pelo site. Enfim, dar mais confiança para o cliente.

 

e) Confiança

Uma razão fundamental para o cliente comprar em um site de Comércio Eletrônico é a confiança. Porém, o que acontece inicialmente é que o cliente tem uma confiança emocional com o site. Ele não tem evidências concretas de que o site é seguro, porém, acha que é seguro porque o site é de uma empresa renomada, ou é um site bem organizado, ou qualquer outra abordagem, mas que não é garantia de segurança. A Organização precisa transformar esta confiança emocional em confiança real. O cliente precisa saber e usar na prática os controles de segurança da informação. E confiança real gera cliente fiel, cliente que retorna.

 

Conclusão

Algumas Organizações pensam que não realizam Comércio Eletrônico e por isso não precisam ser rígidas nestes controles. Entendo que ao ir a uma loja física e ao ser cadastrado no ambiente virtual da loja para “receber promoções”, conforme ovendedor informa, já existe um padrão básico de Comércio Eletrônico. A Organização tem seus dados e precisa protegê-los profissionalmente. Ter controles de Segurança da Informação gera confiança nos clientes. Gera cliente fiel e cliente que retorna. Boas vendas! Com Segurança, é claro!

*Edison Fontes. Mestre em Tecnologia. Possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.

Últimas Notícias
FIAP MARCA PRESENÇA NO WEBSUMMIT RIO 2024 Leia mais
STARTUP ONE MBA 2024 – 1° SEMESTRE: CONHEÇA O TOP 10 Leia mais
PROFESSORES DA FIAP PARTICIPAM DA III BUSINESS WEEK DA MUST UNIVERSITY Leia mais
MBA em Product Management é opção para transição de carreira Leia mais

Nosso site armazena cookies para coletar informações e melhorar sua experiência. Gerencie seus cookies ou consulte nossa política.

Prosseguir

Configure seus cookies

Pensando em nossos alunos, fazemos o uso de cookies para melhorar a experiência de navegação em nosso site e otimizar constantemente os nossos serviços. Os cookies armazenam temporariamente algumas informações básicas da sua interação com as nossas páginas.

Cookies indispensáveis

Estes cookies não podem ser desativados pois são necessários para que o site funcione corretamente ou para melhorar o desempenho funcionalidades diversas. Eles estão relacionados com a realização de login no Portal do Aluno, o preenchimento de formulários, contagem de visitas para a medição de performance de páginas, entre outros. Todos armazenados sem a possibilidade de identificação pessoal. Ao configurar seu navegador para bloquear esses cookies, algumas partes do site podem não funcionar.

Cookies de publicidade

Habilitado

Estes cookies são estabelecidos por nossos parceiros de publicidade e podem ser usados para compor um perfil sobre seus interesses e, a partir disso, mostrar anúncios relevantes para você em outros sites. As informações armazenadas são baseadas na identificação exclusiva do seu navegador e dispositivo de internet, sem armazenar diretamente informações pessoais. Ao configurar seu navegador para bloquear esses cookies, você terá menos publicidade direcionada.