Imagine você administrando uma loja física num shopping.
Qual seria o nível básico de segurança em que você pensaria?
Portas com chaves e cadeados, câmeras de segurança, sistema de alarme - e outras coisas desse tipo, certo? Nesse caso, a maioria das medidas de segurança adotadas é visível.
Mas e se você fosse um varejista virtual? Você não estaria mais lidando com ladrões de loja tradicionais; ao contrário, estaria enfrentando hackers sofisticados, que provavelmente teriam muitas vantagens quando se trata de conhecer as fraquezas de lojas virtuais. Ou seja, você estaria lidando com pessoas que estão constantemente em busca de áreas para explorar.
Vale destacar que não estamos falando de ladrões que buscam roubar alguns itens e vendê-los no mercado ilegal local; eles estão atrás de algo mais valioso - informação. Sejam detalhes do cartão de crédito ou a identidade de um consumidor, as informações compartilhadas em seu e-commerce estão em risco a menos que você tome as medidas necessárias para protegê-las.
Veja a seguir algumas dicas simples que podem contribuir para proteger o seu e-commerce e a sua empresa.
Escolha uma Empresa de Hospedagem para o seu E-commerce
Provavelmente, você já fez um investimento alto para criar o seu website. Desenhar, construir, otimizar e promover um website custa dinheiro. Será que você está colocando tudo em risco ao escolher uma opção de hospedagem de baixo custo?
O fato é que atualmente estamos mal acostumados com a quantidade de provedores de hospedagem que existe no mercado. Porém, não se deixe levar pelas promessas de um hospedagem super barata. Isto costuma ser uma economia falsa. É como construir um carro de corrida, usando rodas de bicicleta.
Se você estiver em um serviço de hospedagem compartilhado com centenas de milhares de usuários, pode acabar colocando seu website em uma “vizinhança barulhenta”. E não há nada como vizinhos barulhentos; eles são rudes, antissociais e costumam baixar o nível da vizinhança.
Se você faz parte de um desses servidores “pague um real e coma à vontade”, como ter certeza de que seu provedor de hospedagem está investindo em segurança? Duvido que esteja. Existe a chance do endereço de IP do servidor estar constantemente em listas negras.
Provavelmente, a melhor opção para e-commerce sérios é um Servidor Virtual Privado. Isso equilibra o desempenho excepcional e escalonável com custos razoáveis e excelentes opções de personalização de segurança.
Configurar o seu servidor adequadamente é um procedimento simples, mas caso você não consiga gerenciar isso sozinho, geralmente um provedor de hospedagem renomado oferecerá um serviço de servidor gerenciado para você.
Adote o HTTPS
Até pouco tempo atrás, usar uma hospedagem HTTPS segura com um Certificado SSL costumava ser restrito à área de pagamento de seu site. Obviamente, isso ainda acontece, mas os proprietários de websites estão gradativamente passando a proteger todas as páginas de seus websites.
Um dos primeiros grandes propulsores disto foi o fato do Google ter afirmado, em 2014, que eles estariam redobrando a segurança e incluindo o HTTPS como um fator de classificação. Além disso, as divulgações de que os navegadores começariam a exibir mensagens de alerta para os sites HTTP também contribuíram para a mudança. O Google afirmou recentemente que eles têm planos de longo prazo para marcar todos os sites HTTP como não seguros e o Mozilla declarou algo similar em 2015.
Se você quiser mudar para HTTPS, precisará primeiro escolher um Certificado SSL adequado para o seu caso, através de sua empresa de hospedagem ou de um fornecedor de SSL respeitável.
Normalmente, eles ajudarão você a instalar o Certificado SSL, mas depois você precisará realizar outras etapas para trocar o seu site para HTTPS, como atualizar links internos no site, configurar um redirecionamento 301, atualizar links em e-mails transacionais, etc.
De maneira geral, usar um Certificado SSL é um dos requerimentos básicos quando se trata de segurança online hoje em dia. Porém, infelizmente parece que isto só começará a ficar, de fato, importante quando os navegadores começarem a agir contra os sites HTTP.
Escolha uma Plataforma Segura & Mantenha-a Protegida
Atualmente, há uma infinidade de plataformas de e-commerce para você escolher. Você precisa ter certeza de que a sua opção não só possui o desempenho que deseja, mas que também tem uma ótima reputação em segurança e é atualizada regularmente.
Ferramentas como Magento, WooCommerce e PrestaShop são plataformas de e-commerce muito populares, mas a popularidade tem seu preço. Os hackers estão sempre procurando vulnerabilidades nessas ferramentas, por isso os patches e atualizações de segurança são realizados constantemente.
O ponto principal aqui é que não basta assumir que uma vez no ar, o site não precisará ser mantido nem atualizado, ou que isso estará sob responsabilidade do desenvolvedor, designer ou empresa de hospedagem na web.
No final das contas, você é responsável pela segurança e mesmo que você não seja técnico no assunto, você precisa ter certeza de que alguém de sua equipe, interna ou através de um fornecedor ou parceiro, lhe dará o suporte necessário.
Preste atenção no site do provedor de software para verificar se há atualizações e peça ao especialista em segurança para que estas atualizações sejam aplicadas ao seu site.
Pode-se dizer que a melhor opção é usar um aplicativo de segurança de E-commerce que não só protegerá contra as vulnerabilidades mais comuns, como também verificará o site do fornecedor para garantir que você esteja usando a versão mais atualizada.
Proteja a sua Área Administrativa
Uma das maneiras mais simples e baratas de aumentar a segurança de seu site é proteger a sua área administrativa.
Se você usa uma plataforma comum de e-commerce, como Magento ou WooCommerce (baseada em WordPress), elas terão uma área administrativa padrão. Mude esse pequeno detalhe e você já conseguirá impedir ataques daqueles hackers mais preguiçosos que buscam alvos fáceis.
Um ponto muito importante é trocar o nome de usuário do administrador padrão. Os hackers estão buscando alvos fáceis - se você estiver usando o nome de usuário padrão como “admin”, você é uma presa fácil. Por isso, defina credenciais criativas e mais difíceis de serem decifradas.
Você também pode restringir o acesso à área administrativa, configurando uma “lista branca” de endereços de IP controlados pelo administrador do servidor, para que o acesso à essa área seja permitida apenas para endereços de IP conhecidos.
Por fim, configure a sua área administrativa para notificar o administrador quando um determinado limite tiver sido ultrapassado, como falhas na tentativa de login ou tentativas de login feitas a partir de endereços de IP desconhecidos.
Essas são medidas surpreendentemente simples e baratas, contudo eficientes.
Faça o Backup de sua Informação Regularmente
Imagine se você acordasse e descobrisse que seu site foi hackeado!
Que péssima forma de começar o dia. Mas você consegue imaginar como se sentiria nessa situação e sem nenhum backup de suas informações?! A sensação seria ainda pior.
E não se esqueça de que a perda de dados pode facilmente acontecer (e de fato acontece) por falha de hardware ou um simples erro humano.
O fato é que o excesso de cuidado nunca é demais quando se trata de fazer backup de dados. Lembre-se: a responsabilidade é SUA.
Não considere que a responsabilidade é de sua empresa de hospedagem ou do web designer. Seus dados são propriedade sua, portanto, sua responsabilidade.
É possível fazer backup de seus dados manualmente, mas o perigo é esquecer de fazê-lo ou perder o hábito de fazê-lo regularmente. Um backup desatualizado ou a ausência dele não seria útil para ninguém.
A melhor solução é um serviço de backup automático e completo. Ou seja, você pode dormir tranquilo, sabendo que o backup de seus dados está sendo feito e de que a sua informação está segura e atualizada.
Nunca Guarde Dados de Cartão de Crédito de Clientes
Algumas plataformas de e-commerce virão com a capacidade de receber e armazenar os detalhes do cartão de seu cliente. Isto é algo que você não deve fazer NUNCA.
Além de insegura, essa prática pode acarretar em uma multa pesada para sua empresa, caso seus sistemas sejam comprometidos.
O ideal é que você use um provedor de portal de pagamentos que lhe forneça esse serviço e mantenha os pagamentos fora de seu site. Eles possuem os níveis mais elevados de segurança para gerenciar esses tipos de dados sensíveis e confidenciais.
Se estiver apenas começando e tiver um orçamento limitado, serviços como PayPal permitirão que você comece bem. Alguns clientes simplesmente preferem usar o PayPal, então oferecer esta opção é ótimo.
Obviamente, é uma boa prática obter a certificação "Payment Card Industry Data Security Standard" (PCI DSS). Para isso, seu website precisa garantir a integridade dos dados financeiros de seus clientes e você precisa implementar um forte controle de acesso.
Use um Software de Geolocalização para Combater Fraudes
Hacking não é um problema local, mas sim global.
Tentativas de roubo de detalhes de cartão de crédito podem envolver cartões roubados em outra parte do mundo, que depois são enviados eletronicamente para o outro lado do planeta e usados para cometer fraude online.
Além da possibilidade de perder receita enviando produtos para pedidos falsos e começar a ter estornos, a ÚLTIMA coisa que você quer é ser reconhecido como um terreno fértil para fraudadores.
Uma maneira de lidar com essa questão é usar uma ferramenta de geolocalização para combater fraudes. Ferramentas como essa oferecem pontuação de fraude em tempo real, para que o comerciante determine o nível de risco de uma determinada transação.
O algoritmo analisa uma quantidade de critérios em torno do Endereço de IP do pedido e leva em conta um método popular de cloaking, como usar proxies e compará-las com um banco de dados de bilhões de transações para criar uma Classificação de Risco de Fraude unificada.
Crie Políticas & Procedimentos de Segurança Manuais
Nunca subestime a eficácia dos procedimentos manuais sólidos.
Vamos analisar o exemplo acima, onde você recebe um pedido que possui uma Pontuação de Risco alta, mas para você ele parece OK. O que você ou sua equipe fazem? Bem, você pode simplesmente a) seguir seus instintos, ou b) fazer uma investigação extra.
Eu recomendaria a opção b). E é aí que suas Políticas e Procedimentos de Segurança entram em cena.
Mesmo que o simples fato de pensar sobre processos e procedimentos o deixe entediado, leve em conta que isto pode ser algo tão simples como telefonar para o cliente usando o número fornecido. Se eles não estiverem disponíveis, envie um e-mail pedindo um ou dois tipos de identificação.
Você só precisa encontrar a solução adequada para cada caso.
Mas você também pode ampliá-las para políticas de senha e segurança física, como itens roubados ou perdidos (por exemplo, laptops que são usados para acessar seu sistema).
Implemente uma Camada Múltipla de Proteção
Não há nenhum santo remédio para proteger o seu site; contudo, o ideal é que você analise diversas camadas diferentes de segurança.
Você pode começar com um firewall. Pode usar um firewall físico ou de aplicação web dependendo da sua verba. No mínimo, eles oferecem uma primeira linha de defesa contra os hacks mais populares, como uma injeção de SQL ou um cross-site scripting.
Você também pode aprimorar seu site, usando uma Rede de Entrega de Conteúdo (CDN - Content Delivery Network), que é um conjunto de servidores geograficamente dispersos que armazenam cópias das páginas de seu website.
As vantagens de uma CDN é que, além dela “aprender” a reconhecer o tráfego malicioso para impedir que ele prejudique seu site, ela impede Ataques Distribuídos de Negação de Serviço (DDoS - Distributed Denial of Service Attacks).
Você também pode prevenir um DDoS ao seu servidor usando um Software OpenSource gratuito.
Conclusão
Segurança não é algo gratuito, mas custa menos do que ser hackeado.
Não existe uma solução unificada para deixar um site de e-commerce são e salvo. A solução ideal é aquela que leva em conta a escolha certa do software e da plataforma de hospedagem, e que seja constantemente atualizada e protegida.
Contudo, esteja preparado também para notícias ruins. Assegure-se de que o backup do seu site seja feito regular e automaticamente.
Analise uma abordagem em camadas, usando ferramentas diferentes, mas também não se esqueça de que os bons e velhos procedimentos por escrito desempenham um papel importante para manter seu site protegido e seguro.
