8 maneiras de proteger clientes e sites de comércio eletrônico neste período de festas de fim de ano

This post is also available in: Inglês Francês Alemão Italiano Espanhol Russo

Eventos de venda online, como Black Friday, Cyber Monday, Amazon Prime Day etc., são normalmente muito esperados pelos compradores que querem aproveitar descontos e ofertas lucrativas. No entanto, com a pandemia, as compras agora são feitas online. Em anos anteriores, era comum ver clientes fazendo fila em grandes lojas bem antes delas abrirem para as vendas da temporada. Hoje, grande parte dessas multidões se mudou para a internet para buscar produtos com disponibilidade limitada, ou em promoção, com descontos atraentes oferecidos por portais de comércio eletrônico.

Os varejistas agora precisam estar preparados não apenas para lidar com os picos de tráfego durante a temporada de vendas, mas também para proteger seus clientes de cibercriminosos que estão sempre à espreita de oportunidades como esta para fraudar consumidores desavisados.

Como os comerciantes de comércio eletrônico podem proteger a si mesmos e a seus clientes contra fraudes online e garantir a experiência de compra online mais segura? Veja aqui algumas recomendações essenciais:

Os principais ataques de bots são esperados em sites e aplicativos de comércio eletrônico neste período de festas de fim de ano.

1. Políticas de cibersegurança – A falta de conscientização em relação às melhores práticas de cibersegurança costuma ser a causa raiz de violações e ataques à segurança. Comece instruindo seus funcionários sobre como eles podem ser explorados por phishing ou táticas de engenharia social semelhantes, concebidas para apelar para o psicológico deles. Faça com que seu site e aplicativo móvel sejam totalmente auditados por equipes de segurança que podem realizar testes de penetração e recomendar medidas de segurança ideais.
2. Arquitetura Zero Trust – Nesta época de trabalho remoto em instalações como residências, espaços de trabalho compartilhados e até mesmo cafés, mecanismos simples de “permitir ou bloquear” podem ser burlados por invasores. Com uma arquitetura Zero Trust, você pode adotar uma abordagem de “não confiar em nada, verificar tudo” para conceder e controlar o acesso de funcionários e seus afiliados.
3. Conscientização do cliente – Pela a seus clientes que usem senhas mais fortes e adicione a autenticação multifator (Multi-Factor Authentication, MFA) que exige que eles digitem um código adicional ao fazer login em seu site de comércio eletrônico. Instrua seus clientes para que suspeitem de campanhas de phishing que são veiculadas usando a sua marca, que tenham cuidado ao fornecer seus dados pessoais ou de pagamento e que verifiquem se estão acessando o seu site e não um similar com pequenas variações na grafia da marca (por exemplo, “0nline.com” escrito com um zero e não com a letra “O”, ou mesmo outros domínios de nível superior que parecem ser o seu site, mas são operados por fraudadores (como online.biz em vez do seu site em online.com).
4. Auditoria de atualização de software – Embora possa parecer uma etapa básica e lógica, ainda é um fator crucial para se proteger contra ameaças cibernéticas. Use certificados SSL atualizados, conexões criptografadas (indicadas por “https” antes do endereço do seu site) e verifique se todas as suas aplicações corporativas e seus sistemas operacionais foram atualizados para as versões mais recentes. Realize também uma auditoria de segurança nas APIs usadas por sua infraestrutura digital para ter certeza de que elas exigem autenticação e estão totalmente atualizadas e protegidas contra vulnerabilidades. A realização regular de auditorias de risco de todos os softwares de terceiros que funcionam com seu site ajuda a garantir que eles não se tornem uma porta de entrada para os hackers entrarem na sua rede.
5. Armazenamento limitado de PII – As plataformas de comércio eletrônico são atraentes para os fraudadores por causa das informações que elas têm sobre seus clientes. Proteja seus clientes coletando e armazenando o mínimo de informações de identificação pessoal (Personally Identifiable Information, PII) e sempre use armazenamento criptografado para dados confidenciais, como informações de cartão de crédito dos clientes, para impedir que invasores roubem os dados
6. Integre soluções especializadas para mitigar ameaças sofisticadas – A maioria dos sites de comércio eletrônico usa uma solução de segurança para lidar com qualquer violação. No entanto, com a evolução da natureza dos ataques fraudulentos, os proprietários de sites podem fazer uso de soluções especializadas, como o Bot Manager, para manter os bots sofisticados afastados das suas redes.
7. Intenção do visitante – Soluções de gerenciamento de bots dedicadas, como o Gerenciador de bots da Radware, estudam a intenção de cada visitante de modo a permitir somente visitantes genuínos em seu site e aplicativo, evitando que os bots os ataquem para realizar ataques prejudiciais de controle de conta (account takeover, ATO) e negação de serviço distribuído (distributed denial of service, DDoS), assim como spam, scalping, rastreamento, abandono de carrinho, negação de inventário, fraude de anúncio e outras ameaças que podem prejudicar seus clientes e sua marca.
8. Conformidade com o PCI-DSS – A conformidade com o padrão de segurança de dados do setor de cartões de pagamento (Payment Card Industry Data Security Standard, PCI-DSS) é exigida pelas principais redes emissoras de cartão de crédito para organizações que aceitam e processam pagamentos com cartões de crédito e dados dos titulares dos cartões. Desde seu início, o PCI-DSS fornece um atestado de conformidade anual como parte da sua estrutura de segurança. As empresas devem cumprir proativamente a conformidade com o PCI para garantir que elas e seus clientes estejam adequadamente protegidos.

[Gostou desta publicação? Inscreva-se agora para receber o conteúdo mais recente da Radware na sua caixa de entrada toda semana, além de acesso exclusivo ao conteúdo Premium da Radware.]