por Guilherme Longanezi*
De acordo com o Banco Central, em maio de 2023, o Brasil contava com 190,8 milhões de cartões de crédito. Isso representa quase o dobro da população economicamente ativa do país (107,4 milhões de pessoas, segundo o IBGE). Em todo o mundo prevê-se que, até 2030, o volume gerado por todos os cartões de pagamento atinja 79 trilhões de dólares. As cifras de perdas causadas por fraudes em cartões de crédito também são igualmente: 49 bilhões de dólares, segundo a edição de 2022 do Nilson Report.
Somente nos EUA, até 2033, espera-se que o volume dos cartões de pagamento atinja quase 19 trilhões de dólares e as perdas por fraudes, 17 bilhões. Segundo a edição 2023 do Data Breach Investigations Report da Verizon, dados de cartões de pagamento foram comprometidos em 37% das violações ocorridas em 2022 no mercado norte-americano.
Dark Web: venda de dados
A venda de informações pessoalmente identificáveis na dark web é uma grande dor de cabeça para os emissores de cartões. Frequentemente, esses dados são usados para abrir novas contas de crédito com a intenção de fraudar.
O Payment Card Industry Data Security Standard (padrão de segurança de dados da indústria de cartões de pagamento) foi criado para enfrentar esse quadro. Trata-se de um conjunto de requisitos de segurança desenvolvido pelas principais empresas de cartão de créditopara proteger as informações dos titulares de cartões. A base do padrão é uma série de medidas de segurança de dados.
A versão 3.2.1 do PCI DSS existe desde 2018. Muito se passou desde então – mais notavelmente a pandemia, que acelerou a economia digital. Por mais que o mercado global de cartões tenha evoluído nos últimos anos, os criminosos digitais também estão se desenvolvendo, amadurecendo continuamente as suas táticas.
Para enfrentar essa realidade, em março de 2022 foi divulgado o PCI DSS 4.0, que delineia as novas exigências mínimas de segurança a serem atingidas pelas organizações ao armazenarem, processarem e transmitirem dados de portadores de cartões. A entrada em conformidade com o PCI DSS 4.0 é fortemente incentivada, com data limite de 31 de março de 2024.
A partir desta data, o PCI DSS 3.2.1 expirará.
Salto de maturidade em cybersecurity
Os 12 requisitos do PCI DSS 4.0 representam um salto de maturidade em cybersecurity para todos os segmentos que dependem de cartões de crédito para fazer negócios. Esse grupo de empresas vai muito além do tradicional mercado bancário – cada vez mais, por exemplo, gigantes do varejo também têm seus braços financeiros.
Os requisitos são construir e manter uma rede segura, proteger os dados do titular do cartão e gerenciar a vulnerabilidade do sistema. Entram em cena, também, requisitos como implementar fortes medidas de controle de acesso, proteger as redes de segurança e monitorar e testar regularmente as redes.
Manter uma política de segurança da informação, atribuir um ID exclusivo a cada pessoa com acesso ao computador e restringir o acesso físico aos dados do titular do cartão também fazem parte da v4.0. E, finalmente, torna-se essencial monitorar e acompanhar todos os acessos aos dados do titular do cartão, testar regularmente os processos de segurança e manter uma política de segurança da informação.
Principais desafios
Para as organizações que buscam atingir o novo patamar estabelecido com esses requisitos, o que está em jogo é a integridade de seus negócios. É uma jornada árdua, que exige que os líderes das empresas atuem em várias frentes simultaneamente.
Dentre os desafios, os principais são: no PCI DSS 4.0, os requisitos de autenticação de usuário/consumidor passam a incluir novas tecnologias emergentes, como biometria e autenticação de vários fatores. Torna-se premente, ainda, a proteção dos processos de autenticação baseados em senha, a manipulação de credenciais e a remoção segura de hardware antigo.
Ademais, a jornada em direção ao PCI DSS 4.0 exige a necessidade de adoção de tecnologias emergentes, como inteligência artificial (IA), machine learning (Ml) e blockchain. A meta é melhorar a segurança dos dados do titular do cartão e estabelecer a necessidade de revisão regular das políticas de segurança da informação, enquanto o PCI DSS 3.2.1 exige revisão apenas anual. O mínimo recomendável seriam revisões por trimestre dessas políticas.
Além disso, o sistema PCI DSS 4.0 inclui novos requisitos técnicos, como a necessidade de implementar a detecção automatizada de anomalias e atualizar regularmente os dispositivos de segurança para proteger as redes e oferece mais opções de testes de conformidade, como testes de segurança contínuos e avaliações de segurança baseadas em risco. O padrão estabelecido em 2018, ao contrário, previa um foco em testes pontuais.
Modelos de aplicativos
Como em todos os segmentos, aplicações de missão crítica estão no centro dos processos das operadoras de cartões de crédito. Nos últimos cinco anos, no entanto, o perfil das aplicações financeiras mudou muito. Em vez de serem códigos monolíticos, os Apps atuais são construídos usando-se um acervo de bibliotecas JavaScript – em sua maioria, de terceiros.
Agora, boa parte do processamento dos Apps ocorre no navegador. Além dos dados da própria empresa, entram no processamento informações de propaganda como Google Ads e Facebook, além de botões de canais de redes sociais como Twitter, Linkedin, Instagram.
Com isso, a operadora de cartão de crédito depende de código de entidades externas para suportar o negócio. Essa realidade faz com que empresas não tenham visibilidade ou controle do código sobre o que está, de fato, sendo executado em seus websites.
Trata-se de uma porta aberta aos atacantes. Muitas gangues digitais são capazes de extrair dados pessoais e informações sobre pagamentos, assumir o controle e desfigurar websites, apresentar conteúdo falso, criar formulários ou alterar formulários legítimos. A meta é a fraude e a apropriação de contas por parte de criminosos.
Inteligência Artificial e Machine Learning
Consciente desses desafios, a entidade PCI DSSenfatiza, na versão 4.0 de seu padrão, a necessidade de adoção de tecnologias como Inteligência Artificial (IA) e Machine Learning (ML) para tratar a massa de dados das operadoras de cartão de crédito. Isso é essencial para automatizar o monitoramento de páginas Web em busca de código suspeito, gerando alertas para ação e cessando a extração de dados imediatamente, com a mitigação acontecendo em escala mundial, em ambiente multinuvem.
Essa estratégia colabora para a proteção dos dados do titular do cartão durante a transmissão em redes abertas e públicas. Ameaças como Magecart, Formjacking e ataques à cadeia de suprimentos de dados do lado do cliente (Web Browser) são identificadas e bloqueadas em milissegundos com inovações como estas.
Como tudo que diz respeito aos negócios digitais, essa operação tem de ser, ao mesmo tempo, segura, ágil e não impactar a experiência do usuário. A empresa que busca a conformidade ao PCI DSS 4.0 usando tecnologias de gerações anteriores pode cair em armadilhas. O resultado será ou a vulnerabilidade aos atacantes, ou a perda de clientes diante do atrito causado pelas tecnologias de segurança digital.
Porém, apenas a tecnologia não basta para a operadora de cartão de crédito que trabalha para se alinhar ao PCI 4.0 antes de março de 2024. Sem uma equipe devidamente treinada nos novos requisitos deste padrão, metas de conformidade poderão ser frustradas. E, finalmente, é essencial usar a chegada da v4.0 como uma oportunidade para rever processos, reinventando a organização.
*Guilherme Longanezi é Solutions Engineer da F5 Brasil
