Evento em SP reuniu especialistas para debater segurança
Novos riscos e apresentaram soluções para garantir a segurança de pagamentos e dados pessoais.
A segurança da informação vem sendo fortemente testada com o aumento dos ataques cibernéticos, gerando grandes prejuízos às organizações. O último levantamento da Serasa apontou que, a cada 14 segundos, um brasileiro é alvo de golpes, um recorde de 183 mil tentativas de fraudes somente no mês de março. Diante da necessidade de rever estratégias para conter o avanço das ciberameaças, a 7ª edição do Thales Hardware Security Module Fórum, que aconteceu, dia 13, em São Paulo, reuniu especialistas que alertaram sobre os novos riscos e apresentaram soluções para garantir a segurança de pagamentos e dados pessoais.
O primeiro grande incidente de violação de dados no varejo divulgado, causado pela instalação de um malware nos pontos de venda da Target, nos EUA, resultou em mais de US$ 250 milhões em multas, pelos danos a clientes, bandeiras e emissores de cartão. De acordo com José Diaz, vice-presidente da Thales e-Security e autor da apresentação “Tendências do mercado de pagamentos”, durante o evento, embora já exista tecnologia de defesa, esses problemas continuam a ocorrer.
No caso da Target, Diaz explicou que tudo começa com um malware nos computadores aos quais são conectados os leitores de cartão (POS). “O terminal de pagamentos não criptografava os dados, que eram passados de forma aberta ao computador. Se houvesse criptografia de ponta a ponta, desde o leitor de cartão até a transação chegar à processadora, resolveria”, resumiu.
Em relação a pagamentos móveis, Diaz distinguiu duas situações: em que o celular é usado para captura do pagamento (por exemplo, em táxis ou vendas a domicílio), ou como meio de pagamento. “Com a conexão wireless, é ainda mais importante a criptografia no ponto de captura”, enfatizou.
Quando o celular é utilizado como forma de pagamento ou como alternativa ao cartão de plástico, surgem outros riscos, que implicam abordagens mais inovadoras de segurança. “Antes, lidávamos com um grupo fechado de adquirentes - que captura a transação no POS, dos emissores - que colocam o chip no cartão, e das bandeiras - que certificam esse ambiente. Agora coloca-se o aplicativo de pagamentos em um dispositivo sem segurança”, comparou Diaz.
No ano passado, marcado pelo lançamento do ApplePay e outros serviços de pagamentos móveis, o mercado consolidou a abordagem de “tokenização” para mitigar riscos em pagamentos móveis. Na prática, o token é um código criado a partir de operações matemáticas com o número real do cartão e, devido à complexidade do algoritmo, só a bandeira consegue identificar a correlação. Diaz explica que “o token é associado ao dispositivo e só pode ser usado por determinado aparelho. Portanto, se um hacker intercepta o token, não consegue utilizar em outro contexto. Caso o portador perca o celular, é só comunicar, que se invalida o token, sem a necessidade de substituir o cartão”.
Alessandro Rabelo, diretor de produtos da Visa, observou durante o evento promovido pela First Tech que a técnica de tokenização e restrição de domínio, que amarra o pagamento a determinado contexto, não se limita aos serviços móveis. “Se o número do meu cartão for comprometido, mas tenho uma viagem marcada e não posso aguardar para receber outro plástico, o emissor pode restringir o uso a transações presenciais, com leitura do chip, de forma que o fraudador não consiga utilizar o número em compras online”, exemplificou.
Solução de análise na nuvem promove conexões em tempo real para BD
Na palestra “Contribuições da Visa no mercado de pagamentos, ApplePay e SamsungPay”, Rabelo explicou como a bandeira trabalhou com os provedores de plataformas móveis, como Apple, Google e Samsung, e descreveu como os emissores podem se beneficiar da plataforma de tokenização para habilitar meios alternativos de pagamentos. O executivo ressaltou que a Visa já trabalha há mais de 10 anos nessa linha de desenvolvimento. “Em 2005, o Google abriu o emulador de NFC (pagamento por aproximação) no smartphone. Nos últimos dois anos vimos vários lançamentos, como o ApplePay e, mais recentemente, oSamsungPay”, lembrou.
Fonte:Ipnews