O guia para iniciantes de segurança cibernética para comércio eletrônico

Última atualização - 8 de julho de 2021

Hoje em dia, todo mundo quer vender algo online. Tornou-se relativamente simples, rápido e barato criar um site de comércio eletrônico, e muitos correm para o negócio de comércio eletrônico sem entender os aspectos de segurança do negócio.

Neste artigo, você aprenderá o que realmente é a segurança cibernética, por que é vital para a sobrevivência de um negócio de comércio eletrônico e a importância dos conceitos de Confidencialidade, Integridade e Disponibilidade (a tríade da CIA) e DevSecOps para a segurança do comércio eletrônico.

O que é segurança cibernética?

A segurança cibernética é a aplicação de práticas de segurança e ferramentas tecnológicas, dentro do perímetro de segurança de seus ativos digitais. O objetivo é proteger sistemas, aplicativos, dispositivos e redes contra ataques cibernéticos.

O que é um ataque cibernético?

Um ataque cibernético é instigado por agentes de ameaças – também conhecidos como hackers ou criminosos cibernéticos – com o objetivo de “invadir” ou “invadir” o perímetro de segurança.

Uma vez que um agente de ameaça violar o perímetro de segurança, ele ganhará um certo nível de recursos no ciberespaço. O nível de acesso que eles obtêm determinará os danos que poderão criar, incluindo expor, alterar, destruir e roubar ativos e dados digitais.

As implicações dos ataques cibernéticos no comércio eletrônico

Vejamos algumas das implicações dos ataques cibernéticos em uma loja online.

Os consumidores esperam um comércio eletrônico seguro

Proprietários, gerentes e administradores de comércio eletrônico firmam um contrato com seus clientes. No nível externo, estão as promessas de uma marca, que exige que as empresas de comércio eletrônico equilibrem as demandas e expectativas dos clientes com a realidade de operar um negócio.

Cada empresa de comércio eletrônico tem sua própria maneira de cumprir sua promessa ao cliente e isso é um aspecto significativo do que torna cada empresa única. No entanto, há uma promessa que não deve ser menosprezada: a segurança dos dados dos clientes.

Os clientes de e-commerce esperam que sua plataforma de compras seja segura. Caso contrário, os clientes irão para outro lugar. No mundo centrado no consumidor de hoje, há uma enorme variedade de plataformas de comércio eletrônico para escolher. Se uma plataforma de comércio eletrônico não entregar, uma plataforma segura está a apenas um clique de distância. Você sempre pode contar com ferramentas como o Jetpack para garantir a segurança do seu site.

Atendendo aos Padrões de Conformidade de Dados Privados (GDPR)

O Regulamento Geral de Proteção de Dados da UE (GDPR) é um ato regulatório regido pela lei europeia. O GDPR protege os dados privados e confidenciais dos cidadãos europeus. O GDPR se aplica a você mesmo que um europeu visite seu site de comércio eletrônico. Eles não precisam fazer uma compra, mas se você armazenar, rastrear e analisar os dados do usuário, precisará cumprir ou esperar uma multa . Você sempre pode garantir que está usando plug-ins compatíveis com GDPR em sua loja.

Leia mais sobre o WooCommerce GDPR aqui.

Atendendo aos Padrões de Conformidade de Dados Financeiros (PCI DSS)

O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é um padrão de Segurança da Informação (InfoSec) criado e mantido pelas principais empresas de cartão de crédito. O PCI DSS protege as informações financeiras dos titulares de cartões de crédito. O PCI DSS se aplica a qualquer site que processe informações de cartão de crédito. O não cumprimento do PCI DSS pode resultar em multas.

Processos de violação de dados

Se você não proteger seu site de comércio eletrônico e a violação for descoberta, você enfrentará implicações legais. Como comerciante digital, você recebe as informações de seus clientes. Isso inclui informações confidenciais — nome, identidade, informações residenciais, senhas etc. — e informações financeiras — número do cartão de crédito, código de autenticação e código de segurança do cartão de crédito.

Deixar de proteger as informações de seus clientes pode resultar não apenas em multas de conformidade, mas também em ações judiciais. Empresas como Equifax e Capital One , que tiveram uma grande violação, foram atingidas por ações coletivas. A Equifax recentemente resolveu seu processo por US$ 650 milhões, e o destino da Capital One ainda não foi determinado.

Nos bastidores da segurança cibernética — de quem é a responsabilidade?

No ciberespaço caótico de hoje – e muitas vezes sem lei – se você não for responsável pela segurança cibernética de seu reino digital, outra pessoa se encarregará disso. Em 99,99% dos casos, esse alguém seria um agente de ameaça, aproveitando alegremente a marca fácil que encontrou em sua eShop.

O lado negro do ciberespaço — quando atores de ameaças lutam pelo controle

Se ou quando um agente de ameaça se tornar responsável por sua segurança cibernética, você será hackeado. Isso não significa necessariamente que tudo está perdido. Se você pegar o hack a tempo, você pode sobreviver. O primeiro passo para a remediação é a conscientização. Aqui estão alguns níveis de perigos cibernéticos que você deve ficar de olho:

• Vulnerabilidades — falhas no perímetro de segurança, incluindo software (partes de código), hardware (componentes físicos) e componentes de rede (a arquitetura que conecta pontos dentro da rede). As vulnerabilidades podem ser resultado de erro humano ou sabotagem intencional.

Esta é a resposta para a pergunta “por que você foi hackeado”.

• Exploits — métodos de uso de vulnerabilidades para hackear perímetros de segurança. Os atores de ameaças criam, usam e implantam exploits à medida que atacam. Existem exploits para qualquer tipo de vulnerabilidade, incluindo trechos de código (injeções que alteram o código) e malware e ransomware (software malicioso que pode corromper seus dados ou bloquear seu acesso).

Esta é a resposta para a pergunta “como você foi hackeado”.

• Ameaças — qualquer coisa que tenha o potencial de colocar em risco o perímetro de segurança. Vulnerabilidades desconhecidas ou não corrigidas (conhecidas, mas não corrigidas) ameaçam o perímetro de segurança. Potencialmente, um agente de ameaça pode explorar a vulnerabilidade e violar sua segurança.

Esta é a resposta para a pergunta “qual a probabilidade de você ser hackeado”.

Seu lado do ciberespaço — como proteger seu site de comércio eletrônico

Se você tem uma equipe de especialistas em segurança cibernética protegendo seu site ou apenas você protegendo seu forte digital, sempre há algo que você pode fazer para proteger seu pedaço de terra digital. Aqui estão as três práticas que qualquer operação de segurança cibernética deve implementar:

• Confidencialidade — crie, mantenha e guarde regras e procedimentos que garantam a proteção de informações confidenciais. No nível mais básico, isso significa impor medidas de acesso e autorização que concedem acesso apenas a partes autorizadas e restringem o acesso de partes não autorizadas.
• Integridade — mantenha a precisão, confiabilidade e consistência de seus dados e sistemas por meio da aplicação de práticas recomendadas de segurança e dados. Isso significa bloquear tentativas de agentes de ameaças de corromper, excluir ou roubar dados. As práticas e soluções de prevenção contra perda de dados (DLP) podem ajudá-lo a atingir esse objetivo.
• Disponibilidade — garanta que os usuários autorizados sempre tenham acesso aos componentes de rede necessários, como sistemas, plataformas, sites e páginas da web. Isso significa impedir que os agentes de ameaças iniciem ataques que possam causar falhas no sistema ou na energia. Isso resultará em tempos de inatividade e impedirá o acesso ao seu site.

Juntas, essas três práticas compõem a tríade da CIA, considerada a base da segurança cibernética. Você pode desenvolver sua tríade da CIA, adicionando quantas ferramentas de práticas de segurança cibernética forem necessárias.

Abordagem DevSecOps

Hoje, muitas organizações adotam a abordagem DevSecOps, que trata a segurança cibernética como um processo contínuo. Idealmente, a adoção do DevSecOps deve ajudá-lo a manter seu site de comércio eletrônico sempre seguro. Você aplicará uma mudança cultural que promova uma abordagem holística à segurança.

Depois de adotar o DevSecOps, todos, desde funcionários não técnicos, desenvolvedores de software e especialistas em segurança, estarão unidos sob o objetivo comum de proteger sua plataforma de comércio eletrônico. Assim, você terá uma operação de segurança cibernética em toda a nuvem que mantém sua rede segura e seus clientes satisfeitos.

É um embrulho!

A segurança cibernética é fundamental para garantir a sobrevivência do seu negócio de comércio eletrônico. Ao manter seu site seguro, você garante que:

• Seus clientes se sentem seguros para gastar dinheiro em seus produtos
• As entidades reguladoras ficam felizes em permitir que você processe e/ou armazene dados privados e financeiros
• Você reduzirá o risco de violações de dados e as ações judiciais que podem ocorrer.

Há muitas maneiras de praticar a segurança cibernética, portanto, certifique-se de construir um sistema que funcione para você. Comece com a tríade da CIA e avance até o DevSecOps. E lembre-se: os agentes de ameaças explorarão qualquer falha em seu perímetro de segurança. Assuma a responsabilidade sobre as operações de segurança cibernética do seu ciberespaço e você ganhará o poder de proteger o que é seu.