Adquirentes: Qual é o historial de segurança do seu parceiro de tecnologia de pagamento?
Ninguém quer ser associado a uma violação de dados, muito menos um banco adquirente ou um processador de pagamentos. Ainda assim, o sector financeiro é cada vez mais um alvo. Por exemplo, o estudo State of Ransomware in Financial Services 2023 da Sophos concluiu que a taxa de ransomware no sector financeiro era de 64%, o que representa um aumento em relação aos 55% registados no ano passado. Além disso, a taxa quase dobrou desde 2021. A pesquisa da Sophos também confirmou que as instituições financeiras estão reagindo com soluções de segurança de pagamento, fazendo investimentos substanciais em proteção de endpoint, soluções de confiança zero, deteção de ameaças 24 horas por dia, 7 dias por semana e outras tecnologias. Ainda assim, os agentes de ameaças continuam a encontrar o seu caminho com esquemas de phishing e e-mail e a explorar vulnerabilidades.
Onde é que os agentes de ameaças encontram as vulnerabilidades?
Embora as empresas adquirentes trabalhem arduamente para criar uma cibersegurança sólida no seu ecossistema de TI, têm de fazer mais. É também fundamental ter em conta a tecnologia de pagamento dos seus parceiros. Os invasores têm tido sucesso em obter acesso aos sistemas e roubar dados explorando vulnerabilidades em dispositivos de pagamento. Em 2022, o The Register noticiou que os autores de ameaças utilizaram dois tipos de malware de ponto de venda para infetar terminais de pagamento e roubar dados de mais de 167 000 contas de cartões de crédito. Alguns anos antes, os piratas informáticos instalaram malware nos terminais de pagamento de uma loja de conveniência nos balcões e nas bombas de combustível para roubar dados de cartões de crédito, afectando cerca de 34 milhões de contas de consumidores.
Ataques desta natureza sublinham a importância de estabelecer parcerias com empresas de tecnologia de pagamento que adoptam uma abordagem de segurança na conceção de dispositivos e no desenvolvimento de plataformas. Os adquirentes que se associam a empresas que comercializam dispositivos com vulnerabilidades podem ser um convite a ciberataques e violações de dados. Depois, se estas ocorrerem, os dispositivos listados no seu sítio Web serão um risco para a reputação da sua empresa.
Como avaliar a postura de segurança da tecnologia de pagamento de um parceiro?
Trabalhar com um parceiro de tecnologia de pagamento que tenha certificação PCI (Payment Card Industry) é um dado adquirido. A norma de segurança de dados PCI (PCI DSS) inclui requisitos técnicos para dispositivos, infra-estruturas e sistemas envolvidos no processamento de transacções de pagamento. Para começar a examinar um parceiro, é necessário garantir que a empresa e os seus produtos específicos estão incluídos na lista de dispositivos de segurança de transacções com PIN (PTS) aprovados pela PCI.
No entanto, os adquirentes devem fazer mais para garantir que os dispositivos de pagamento que estão a permitir que os comerciantes utilizem oferecem o mais elevado grau de segurança. Os adquirentes devem investigar a abordagem da empresa de tecnologia de pagamento e obter as respostas necessárias para garantir que os seus parceiros têm uma estratégia eficaz.
A Ingenico, por exemplo, adopta uma abordagem equilibrada à segurança. A nossa estratégia consiste em limitar a área de cobertura dos dados numa rede, mantendo a superfície de ataque reduzida. Depois, concentramo-nos na criação de várias camadas para proteger os dados do titular do cartão, incluindo a encriptação ponto-a-ponto (P2PE), que protege os dados em trânsito do terminal de pagamento para o seu sistema e para as marcas de cartões. Substitui os dados do cartão legíveis por humanos por um criptograma, que só pode ser desencriptado com uma chave. A tokenização também ajuda a proteger os dados do titular do cartão. Substitui as informações legíveis do titular do cartão por um código gerado aleatoriamente que os comerciantes podem utilizar para "recordar" as informações da conta dos clientes para sua conveniência quando efectuam compras futuras. Mas não coloca os dados em risco se um cibercriminoso obtiver acesso ao ambiente de TI de um comerciante. Uma abordagem em camadas ajuda a proteger os dados porque, se os agentes da ameaça obtiverem acesso a um sistema, não encontrarão nada que possa ser rentabilizado para roubar ou pedir um resgate.
Outra forma de garantir que o seu parceiro de tecnologia de pagamento tem um bom historial em termos de segurança é fazer a devida diligência e investigar a empresa. Pesquise na Internet, leia as manchetes e familiarize-se com as violações de dados e investigações anteriores. Se encontrar sinais de alerta, aprofunde-se para tomar as melhores decisões para os comerciantes que serve e para a sua empresa.
Saiba mais
Uma empresa de tecnologia de pagamento comercializada de forma eficaz não é garantia de que seja um parceiro que o ajudará a manter os dados do titular do cartão seguros. Aborde as parcerias com prudência.
Para saber mais sobre a abordagem da Ingenico à segurança dos pagamentos, a nossa abordagem equilibrada para manter os dados dos titulares de cartões seguros e a nossa estratégia de segurança em primeiro lugar para o desenvolvimento de produtos, contacte-nos.