Publicado: 15 de abril de 2024
Com a contribuição de: Josh Schneider, Ian Smalley
A segurança de transações, também conhecida como segurança de pagamentos, refere-se a uma categoria de práticas, protocolos, ferramentas e outras medidas de segurança usadas durante e após transações comerciais para proteger informações confidenciais e garantir a transferência segura dos dados dos clientes.
Embora as transações on-line representem desafios únicos para a segurança das transações, elas são essenciais para as empresas on-line e off-line no aumento da confiança do consumidor, na mitigação de fraudes e na manutenção da conformidade regulatória.
Concomitantemente ao aumento acelerado do comércio eletrônico e das transações on-line, a segurança das transações se tornou uma grande preocupação para as empresas que lidam com pagamentos e transferências de ativos valiosos, como instituições financeiras, bolsas de criptomoedas e varejistas. Outros casos de uso incluem mercados de jogos online, métodos de pagamento alternativos como ApplePay e Venmo e qualquer serviço responsável pelo processamento de documentos jurídicos confidenciais (como os serviços de declaração de impostos online ou vários escritórios governamentais oficiais).
Para evitar perdas financeiras resultantes de transações fraudulentas e proporcionar uma experiência de uso confiável aos clientes que compartilham seus dados pessoais, as medidas comuns de segurança das transações incluem uma criptografia avançada de dados avançada e moderna, autenticação multifatorial (MFA) e assinaturas digitais. Esses protocolos de segurança mitigam o risco de fraudes de pagamento e roubo de dados de clientes como resultado de violações de segurança, pelas quais muitas empresas podem ser juridicamente responsáveis, dependendo de sua jurisdição.
Embora a maioria das medidas de segurança das transações seja implementada durante a transação em si, a segurança das transações também inclui as políticas comerciais internas que regem o tratamento de todos os dados confidenciais de transações armazenados por uma organização ou empresa, como números de cartão de crédito e números de conta. Para os profissionais de segurança cibernética que investem em segurança de banco de dados, a segurança de transações significa não apenas monitorar transações on-line em tempo real em busca de atividades suspeitas e transações não autorizadas, mas também identificar e mitigar proativamente todas as vulnerabilidades de segurança interna. Os provedores de serviços modernos de sistemas de segurança de transações geralmente incorporam uma funcionalidade de notificações personalizáveis e outras automações para facilitar transações seguras em escala.
A evolução da IA está mudando a forma como definimos e executamos o trabalho, bem como a forma como apoiamos as pessoas que o realizam. Descubra como os líderes de RH de vanguarda estão aplicando a IA para revolucionar a transformação de RH e talentos.
Assine a newsletter da IBM
As ameaças à segurança das transações geralmente estão interconectadas com as ameaças mais amplas à segurança cibernética ou contribuem para elas. Veja a seguir uma breve lista de algumas das ameaças de segurança de transações mais frequentes.
Os golpes de phishing, nos quais os criminosos cibernéticos usam mensagens fraudulentas para manipular seus alvos para que revelem informações confidenciais, representam uma ameaça tanto para clientes quanto para empresas. Os golpes de phishing geralmente têm como alvo os consumidores, na tentativa de roubar diretamente as informações de seus cartões de crédito para uso em transações fraudulentas. Eles também podem ter como alvo empresas, na tentativa de roubo em massa das informações de pagamento dos clientes.
Embora as transações presenciais normalmente exijam um cartão de crédito físico, as transações feitas online ou por telefone geralmente exigem apenas um número de cartão de crédito. Essa brecha pode abrir margem para fraudes nas transações on-line ou telefônicas sem necessidade de cartões físicos, nas quais os fraudadores usam números roubados para fazer transações fraudulentas. Embora o cliente ainda possa ter em mãos seu cartão de crédito físico, essa pessoa pode não estar totalmente ciente de que os dados de seu cartão foram roubados.
Outro risco representado pelo phishing é a fraude de invasão de conta. Os fraudadores podem usar phishing ou outros meios para obter acesso não autorizado à conta bancária de um consumidor ou suas contas em lojas virtuais, para depois fazer compras não autorizadas.
Os golpes de BEC também são uma consequência comum de esquemas de phishing bem-sucedidos. Quando um criminoso cibernético obtém acesso a uma conta de e-mail comercial comprometida, ele pode se passar por um funcionário ou fornecedor autorizado e tentar solicitar uma transferência eletrônica fraudulenta.
O SIF, um outro risco adicional resultante de ataques de phishing bem-sucedidos, é um tipo de fraude em que os golpistas usam uma combinação de informações de identificação pessoal (PII) reais e roubadas para criar identidades fabricadas para várias atividades fraudulentas, como esquemas padrão de pagamento em que um golpista compra um produto a crédito ou em parcelas sem intenção de fazer pagamentos futuros.
Durante um ataque MITM, uma forma bem conhecida de ataque cibernético, o hacker se posiciona sem ser detectado entre duas partes que acreditam ter uma conexão privada. O invasor pode tentar manipular os dados transferidos ou simplesmente espionar para roubar qualquer informação de pagamento privada que possa ser compartilhada.
Com o avanço contínuo das novas tecnologias, bem como as estratégias de ataque em constante evolução dos cibercriminosos, os especialistas estão trabalhando constantemente para melhorar a segurança das transações por meio de todos os vetores disponíveis. Veja a seguir alguns dos métodos mais comuns para aumentar a segurança das transações:
As empresas e clientes dependem da criptografia, a base da privacidade dos dados, para proteger informações confidenciais durante e após transações. Padrões de criptografia comumente usados, como Secure Sockets Layer (SSL) e Transport Layer Security (TLS), são frequentemente usados durante transações on-line para evitar acessos não autorizados, adulterações e roubos.
A tokenização é um processo que substitui dados confidenciais de clientes, como números de cartão de crédito, por tokens exclusivos que não podem ser usados para fazer transações fraudulentas nem fazer engenharia reversa das informações de pagamento originais. Esses tokens são usados para fazer referência às informações de pagamento originais, que são armazenadas em um cofre de token seguro. A tokenização reduz o risco associado a violações de dados e simplifica a conformidade regulatória, pois os próprios tokens são inúteis, mesmo que caiam nas mãos erradas.
As práticas de autenticação, uma forma fundamental de segurança das transações, são muito anteriores à era da internet. Embora no passado o comerciante pudesse solicitar uma forma de identificação com foto antes de aceitar um cheque de uma pessoa física, as medidas modernas de autenticação digital se tornaram mais sofisticadas. A autenticação de fator único (SFA) exige uma forma de identificação, como uma senha ou um PIN; a autenticação de dois fatores (2FA) exige formas adicionais de identificação, como uma senha de uso único enviada para um dispositivo ou e-mail registrado. Outros métodos de autenticação padrão incluem a exigência de um valor de verificação de cartão (CVV) para pagamentos com cartão de crédito e autenticação biométrica (como reconhecimento facial ou de impressões digitais).
Os gateways de pagamento seguros são uma parte essencial do estabelecimento de uma forte segurança nas transações e da criação e manutenção da confiança do cliente. Esses gateways permitem o processamento de transações entre o cliente, a empresa e o processador de pagamentos ou o banco adquirente. Os gateways de pagamento seguro geralmente combinam várias técnicas de segurança de transações, incluindo criptografia, tokenização e autenticação, para garantir a segurança dos dados.
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) (link externo à ibm.com) é um conjunto de padrões de segurança de transações desenvolvidos pelo Conselho de Normas de Segurança da Indústria de Cartões de Pagamento (PCI SSC), um fórum global de stakeholders do setor de pagamentos.
Desenvolvido para aumentar a adoção de normas e recursos de segurança de dados para pagamentos seguros em todo o mundo, a conformidade com o PCI DSS ajuda as empresas a atender aos requisitos de regulamentação, mantendo os dados dos clientes seguros.
Para atender à conformidade com o PCI DSS, as empresas devem tomar as seguintes medidas:
- Criar e manter redes e sistemas seguros: instalar e manter uma configuração de firewall para proteger os dados dos titulares de cartões. Evitar usar padrões fornecidos por fornecedores para senhas de sistema e outros parâmetros de segurança.
- Proteger os dados dos titulares de cartões: Criptografar a transmissão de dados dos titulares de cartões em redes públicas abertas.
- Manter programas de gerenciamento de vulnerabilidades: desenvolver e manter aplicações e sistemas seguros e proteger todos os sistemas contra malwares com softwares ou programas antivírus atualizados regularmente.
- Implementar fortes medidas de controle de acesso: Identificar e autenticar o acesso aos componentes do sistema. Restringir o acesso físico aos dados dos titulares de cartões e restringir o acesso interno a esses dados por meio de requisitos comerciais de controle de acesso
- Monitorar e testar regularmente suas redes: rastrear e monitorar todo o acesso aos recursos da rede e aos dados dos titulares de cartões, com testes regulares dos sistemas e processos de segurança.
- Manter políticas de segurança das informações: manter políticas que abordem a segurança dos dados em relação a todos os funcionários.
O IBM CICS Transaction Server, também conhecido como CICS, é uma plataforma de servidor de aplicações poderosa e de última geração, de mais de uma linguagem, usada para hospedar suas aplicações corporativas transacionais em uma arquitetura híbrida.
Use um sistema operacional altamente seguro e escalável para executar aplicações de missão crítica. O IBM® z/OS é um sistema operacional (SO) para mainframes IBM Z®, adequado para operações contínuas e de alto volume com alta segurança e estabilidade. Com o IBM z/OS, é possível impulsionar a transformação dos negócios e acelerar a inovação.
Acelere e alcance as metas de negócio com a IBM® Consulting. Ajudamos a realizar a modernização de aplicativos desenvolvida especificamente para simplificar o gerenciamento da tecnologia e reduzir custos, incorporando e operacionalizando tecnologias emergentes em seus principais processos de negócios e estratégias de plataformas.
Garanta a proteção de seus usuários, ativos e dados ao gerenciar e prevenir fraudes antes mesmo que elas ocorram. O IBM® Security ajuda a simplificar seus esforços de prevenção de fraudes e estabelece a confiança na identidade digital, proporcionando autenticação contínua e sem atrito durante toda a jornada de uso, criando uma experiência positiva para o usuário.
O gerenciamento de transações é um processo integral dos sistemas de gerenciamento de banco de dados (DBMS) durante o qual os softwares de gerenciamento de transações supervisionam, coordenam e executam todas as tentativas de transações.
Um sistema de processamento de transações (TPS) é um tipo de software de processamento de informações de gerenciamento de dados usado durante as transações comerciais para gerenciar a coleta e recuperação de dados de clientes e de empresas.
A autenticação multifator (MFA) é um método de verificação de identidade no qual o usuário deve fornecer pelo menos duas comprovações, como por exemplo sua senha e uma senha temporária, para provar sua identidade.
A segurança do banco de dados refere-se à gama de ferramentas, controles e medidas destinadas a estabelecer e preservar a confidencialidade, integridade e disponibilidade do banco de dados. A confidencialidade é o elemento comprometido na maioria das violações de dados.
Uma violação de dados é qualquer incidente de segurança no qual entes não autorizados obtêm acesso a dados sigilosos ou confidenciais, incluindo dados pessoais (números de seguro social, números de contas bancárias, dados de saúde) ou dados corporativos (registros de dados de clientes, propriedade intelectual, informações financeiras).
A cibersegurança refere-se a qualquer tecnologia, medida ou prática para prevenir ataques cibernéticos ou mitigar seu impacto.