jornal DCI 16/02/2012 - Marcelle Gutierrez
Em 2011, foram realizados 8,317 bilhões de transações com
meios eletrônicos de pagamento, que incluem os cartão de débito, de crédito e
de loja (private label), com faturamento total de R$ 668,449 bilhões. Os dados
são da Associação Brasileira das Empresas de Cartões de Crédito e Serviços
(Abecs), que para 2012 prevê como desafio a segurança das informações
vinculadas, principalmente no segmento de vendas on-line e de pequenas
empresas.
Segundo dados da Federação Brasileira dos Bancos (Febraban),
as perdas com fraudes bancárias realizadas por meios eletrônicos somaram R$ 685
milhões no primeiro semestre de 2011, o que representa um aumento de 36% em
relação ao mesmo período do ano passado, de R$ 504 milhões.
O coordenador do comitê de segurança e prevenção de fraudes
da Abecs, Henrique Takaki, explica que o Brasil avança na segurança, mas há
pontos ainda a serem explorados, como as compras on-line. "87% das transações
são realizadas por cartões com chip, mas as fraudes saem do mundo presente para
o não-presente [virtual]."
Para exemplificar as formas de ataque, Takaki cita o
fishing, que são sites, e-mails ou telefonemas falsos para pegar dados por meio
de atualização ou sorteios. "Fizemos um teste com um e-mail e 50 pessoas
clicaram no link em uma hora. Não é difícil de caírem, porque são enviados
milhares."
Outro ponto destacado é a falta de cultura da proteção da
informação entre as pequenas empresas. "É difícil dizer para um
comerciante que precisa se preocupar com segurança da informação. O foco é
criar informações não complexas para as empresas e terceirizadas. Além disso,
os adquirentes subordinados a Abecs poderão exigir a adequação das
normas", explica o coordenador.
Ao ser questionado sobre o impacto das fraudes ao
estabelecimento comercial, Takaki diz que há, pois o comerciante é o
responsável pela perda financeira. "Quando é identificada a fraude, o
banco passa para a adquirente que desconta do estabelecimento comercial. Nisso
reside a importância de identificar a fraude."
O Brasil já adota as normas mundiais do PCI (Payment Cards
Industry) Security Standard Council, lançado em 2006 por bandeiras
internacionais de cartão (American Express, Discover Financial Services, JCB,
MasterCard e Visa), e que define e dissemina normas e boas práticas de
segurança para a cadeia de fornecedores e estabelecimentos que manipulam dados
de meios eletrônicos de pagamento.
O gerente-geral do PCI, Bob Russo, em passagem pelo Brasil,
diz que o País tem evoluído de forma significativa na segurança das
informações. "De cinco anos para cá notei uma enorme diferença."
Russo explica que há diferentes padrões de inclusão das
empresas nas normas do PCI, no qual o nível 1 é composto por companhias que
realizam mais de 6 milhões de transações, o nível 2 entre 1 milhão e 6 milhões,
o nível 3 são as empresas de e-commerce, e o nível 4 as demais, sendo de um
jardineiro a uma filial do McDonald's. "Nos níveis 1 e 2 as empresas aderiram
a esse tipo de classificação e são supervisionadas nesses padrões. Por isso,
não há tantos furos. Mas as fraudes migraram para o nível 3 e 4, no qual é mais
difícil explicar a importância da segurança das informações. O nosso desafio é
chegar nesses níveis para que os comerciantes protejam seus dados." Russo
diz que para atingir o objetivo é importante realizar parcerias com bandeiras e
adquirentes.
O coordenador do comitê de segurança e prevenção de fraudes
da Abecs, Henrique Takaki, ressalta que as normas do PCI são direcionadas
somente para os estabelecimentos que armazenam dados, sendo liberados àqueles
que possuem a máquina POS com ligação direta ao adquirente.
Takaki revela que 50% das 35 empresas brasileiras no nível 1
estão de acordo com o PCI. No nível 2 há 280 companhias, no qual 10% seguem as
normas.
Entre as normas do PCI há o DSS, que estipula um padrão de
segurança para manuseio, tráfego de dados, e regras de segurança para redes; o
PA-DSS, que garante a qualidade do software usado nas transações com cartões; e
o PED, para a qualidade do hardware utilizado, como os equipamentos de captura,
o POS.
Nenhum comentário:
Postar um comentário