A segurança dos pagamentos online tem tudo a ver com confiança. Sem confiança, ninguém utilizaria o ecossistema financeiro. Imagine um cliente que só se depara com fraudes generalizadas sempre que usa seu cartão de crédito. Se não há segurança, não há mercado.  

Então, como conseguimos proteger o setor de pagamentos? Bem, tem sido uma tarefa ininterrupta desde o primeiro dia (uma tarefa que a Chargeflow tem orgulho de continuar). Sempre que surge uma nova ameaça, as equipes de segurança adotam uma nova estratégia de defesa. Desde as primeiras transferências eletrônicas, temos enfrentado fraudadores e criminosos, desenvolvendo novas medidas para proteger nossos usuários.

Vamos percorrer a história da segurança nos pagamentos para compreender melhor as medidas de proteção adotadas nesse âmbito.  

Os primórdios dos pagamentos online

Os pagamentos online surgiram com o advento do comércio eletrônico. Pense no eBay ou na Amazon. Essas plataformas de comércio online ofereceram uma nova forma de vender produtos.

Mas as vendas digitais também exigem formas digitais de aceitar pagamentos. Isso gerou uma demanda por terminais de pagamento virtuais. E assim surgiram os provedores de serviços de pagamento (PSPs) com soluções digitais, sendo uma das mais populares o PayPal ou o processo de estorno por meio das operadoras de cartão de crédito.

Os provedores de pagamentos permitiam que os usuários vinculassem suas contas bancárias e cartões de crédito para efetuar pagamentos. É claro que esses serviços levantaram questões de segurança. Como verificar se o usuário correto havia iniciado um pagamento? E se alguém invadisse uma conta ou obtivesse uma senha? E como proteger as informações financeiras enquanto elas estavam em trânsito?

Em resposta, a segurança dos pagamentos se adaptou. Por exemplo, a verificação por e-mail ajudou a confirmar a identidade do usuário. Senhas robustas protegeram contra golpes de login. E, mais notavelmente, as empresas de segurança passaram a adotar a criptografia. Desenvolvido inicialmente em 1995, o Netscape criou o Secure Socket Layer (SSL) para criptografar dados na web e autenticar os usuários. Isso serviu de base para a criptografia Transport Layer Security (TLS), que ainda usamos hoje.

A Ascensão do Comércio Eletrônico e dos Gateways de Pagamento

O comércio eletrônico continuou a prosperar no final da década de 1990 e início dos anos 2000. O que, na verdade, é bastante notável, já que grande parte do entusiasmo em torno da internet se dissipou com o estouro da bolha das empresas ponto.com. Quando a bolha estourou, muitos consideraram o comércio eletrônico um fracasso desde o início.

No entanto, algumas plataformas sobreviveram, desta vez com algumas mudanças muito necessárias. Marcas como Amazon, Shopify, Netflix e Zappos começaram a integrar todas as partes distintas do mercado digital em um todo funcional. Aspectos como o estoque precisavam estar sincronizados com o atendimento de pedidos, e ambos precisavam estar conectados a sistemas globais de aceitação de pagamentos. Começamos a construir a infraestrutura de comércio eletrônico necessária.  

É claro que os fraudadores perceberam essas novas frentes de ataque no mundo digital. Os sistemas de gestão de clientes são vulneráveis a ataques. O mesmo vale para carrinhos de compras e novos processos de finalização de compra. A fraude com cartões de pagamento passou a representar um problema significativo, juntamente com golpes na internet e phishing. Um dos casos mais famosos foi um ataque de negação de serviço ocorrido em fevereiro de 2000 contra o Yahoo!, o CNN.com, o eBay e a Amazon.

Avanços em criptografia e autenticação

Mais uma vez, a segurança dos pagamentos teve que se adaptar. Precisávamos reforçar a segurança dos pagamentos online diante dessas novas ameaças. Como resultado, o setor criou várias ferramentas e técnicas, tais como:

• 3D Secure: A Visa e a Mastercard implementaram um protocolo de segurança secundário conhecido como 3D Secure. Em certas situações de pagamento de risco, os emissores dos cartões podem solicitar uma segunda prova, como uma senha ou um PIN. Trata-se de uma medida adicional inteligente que permite confirmar se o usuário do cartão é quem afirma ser.
• Tokenização: as equipes de segurança substituíram os dados confidenciais por tokens aleatórios. Um conjunto de tokens embaralhados é inútil para os hackers. Isso ajuda a reduzir o risco e as consequências financeiras de violações de dados ou ataques cibernéticos.
• Recursos dos cartões de pagamento: Os gateways de pagamento passaram a comparar os dados dos usuários para verificar os pagamentos online. Eles utilizavam sistemas como a Verificação de Endereço (AVS) e os códigos de segurança do cartão (CVV) como verificações de segurança adicionais quando alguém utilizava um cartão de crédito para uma compra online.
• Autenticação multifatorial (MFA): Quando as contas continham dados financeiros confidenciais, as empresas passaram a exigir pelo menos dois elementos de comprovação. Cada usuário deve apresentar dados de pelo menos duas das três categorias: algo que você sabe, algo que você possui e algo que você é. A MFA continua sendo uma tática de defesa importante até hoje.  
• Biometria: Com o avanço da tecnologia, as equipes de segurança passaram a identificar os usuários por meio de características físicas (dedos, rosto etc.). Essas características únicas são muito mais difíceis de copiar ou hackear do que uma senha.  

Regulamentos e normas de conformidade

Nessa altura, a segurança dos pagamentos começou a tornar-se difícil de gerir. Pense em como é complicado harmonizar as práticas de segurança entre diferentes países e governos. Ou considere as diferentes abordagens que um banco, uma operadora de cartões ou um gateway de pagamentos pode adotar em relação à proteção de dados. Alguns participantes podem ter padrões de segurança mais ou menos rigorosos do que outros. Outros podem dispor de mais recursos e ter acesso a tecnologia mais avançada.

Essa combinação carece de consistência. E isso torna o setor vulnerável. Os fraudadores poderiam se aproveitar da nossa falta de comunicação. Precisávamos de estratégias unificadas (ou, para usar o termo mais oficial: interoperabilidade segura).

Isso levou vários governos e organizações a promulgar regulamentações como:

• Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) - Regras para o gerenciamento de dados de cartões
• Diretiva relativa aos serviços de pagamento (PSD): Proteção ao consumidor em pagamentos eletrônicos em toda a União Europeia
• Lei de Transações de Crédito Justas e Precisas (FACTA): Disposições sobre o uso de informações financeiras e medidas para combater fraudes
• Lei de Modernização Financeira (Lei Gramm-Leach-Bliley – GLBA): Normas que garantem a confidencialidade dos dados dos consumidores

Essas diretrizes continuam a orientar o setor de pagamentos até hoje.

Melhores práticas atuais e futuras em segurança de pagamentos online

Mesmo com a padronização, a segurança dos pagamentos online continua evoluindo. Hoje em dia, os fraudadores estão mais sofisticados — mas nós também. O setor utiliza várias tecnologias inovadoras que protegem os consumidores tanto no presente quanto no futuro:

• Inteligência Artificial (IA) e Aprendizado de Máquina (AM): Os sistemas cognitivos representam uma melhoria fundamental em nossas estratégias de defesa. Isso porque a IA é capaz de se aperfeiçoar. Sistemas adaptativos podem utilizar regras estáticas e desenvolver melhorias a partir dos dados inseridos. Como as máquinas podem processar volumes de dados em níveis muito superiores aos humanos, as ferramentas de IA oferecem uma abordagem dinâmica à segurança. É por isso que a Chargeflow utiliza ferramentas baseadas em IA, como análises preditivas, modelos de risco personalizados e resolução rápida de disputas.
• Blockchain e Tecnologia de Registro Distribuído (DLT): A tecnologia blockchain permite transações descentralizadas e irreversíveis. E, como a validade é determinada pelo consenso público, ela limita o risco e a exposição dos intermediários. Isso torna a blockchain uma forma robusta de segurança (e há muitos casos de uso possíveis para essa tecnologia no setor de pagamentos).
• Autenticadores FIDO2: A criptografia de chave pública (e o futuro da criptografia quântica) oferece formas de autenticação sem senha. Trata-se, mais uma vez, de uma melhoria em relação à segurança de login tradicional.
• Biometria comportamental: A biometria comportamental utiliza os aspectos mais singulares de um usuário: sua personalidade. Emoções, movimentos faciais, velocidade de digitação e hábitos de navegação são todos parâmetros considerados. Esses fatores proporcionam uma verificação mais precisa.  
• Soluções dinâmicas contra fraudes: é melhor atacar do que defender. É por isso que as soluções contra fraudes agora se concentram em táticas de prevenção proativas. Itens como monitoramento em tempo real, verificações de velocidade e inteligência contra ameaças são excelentes exemplos disso. Como essas ferramentas são tão eficazes, a Chargeflow utiliza IA para prevenir estornos e fraudes antes que qualquer problema ocorra. Sinalizamos atividades suspeitas com base em pontuações de risco que acionam alertas de fraude. Antecipar as ações dos criminosos melhora drasticamente os resultados em termos de segurança.  

Conclusão

A história da segurança nos pagamentos é uma prova da capacidade de adaptação do setor. Percorremos um longo caminho. Inicialmente impulsionados pelas necessidades das primeiras plataformas de comércio eletrônico, hoje utilizamos ferramentas de defesa avançadas para proteger nosso mercado global.

Ainda assim, a tarefa de garantir a segurança continua. Precisamos de medidas inovadoras capazes de acompanhar a evolução dos ataques dos fraudadores. E é por isso que a chargeflow continua se adaptando ao ritmo dessas mudanças. Sabemos da importância da confiança do cliente, por isso utilizamos as ferramentas mais avançadas (IA, aprendizado de máquina, etc.) para nos mantermos à frente da economia da fraude.

Quer saber como o Chargeflow pode proteger você e seus clientes? Agende uma demonstração hoje mesmo. ‍