Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

03/02/2009 - Decision Report Escrever Comentário Enviar Notícia por e-mail Feed RSS

Política de Segurança em Lojas Virtuais

Por: Patricia Peck Pinheiro


O varejo virtual continua com altos índices de crescimento. Quer seja pela falta de tempo, pela comodidade, pela oferta de melhores preços, comprar pela internet está se tornando rotina dos brasileiros. Assim como crescem os consumidores online, também crescem os riscos relacionados a questões de segurança. Como ficam os limites jurídicos de responsabilidades e obrigações quando se trata de uma loja virtual?

Afinal, a questão da segurança é considerada como um risco do próprio negócio (art. 927 do Código Civil), ou uma parcela disso deve ser assumida pelo cliente (art. 14 do Código de Defesa do Consumidor)? E quando a questão envolve espionagem eletrônica, concorrência desleal, furto de bases de dados de clientes, como fazer? Nosso varejo virtual já está amadurecido com base nas melhores práticas de mercado e para atender ao Código de Defesa do Consumidor em vigor? Já podemos lançar vôos mais altos com mobilidade total, ou vamos repetir os mesmos erros da Internet no celular?

Não podem mais, as empresas de varejo, continuar a circular informação de cliente por planilha de Excel, ou ter um Call Center sem mínimos padrões de segurança. O site precisa ter um padrão aceitável de criptografia, bem como evitar que haja uma programação que facilite ataques do tipo SQL Injection. Tem sido comum lojas virtuais possuírem vulnerabilidades bem básicas, que podem ser exploradas por qualquer adolescente mal intencionado ou mesmo por uma quadrilha interessada em pegar dados de cartão de crédito.

Segurança da Informação em loja virtual é uma necessidade de conformidade legal. Aplica-se tanto o Código de Defesa do Consumidor como o Código Civil, especialmente devido a grande quantidade de parcerias operacionais que são estabelecidas com terceiros (fornecedores), sem os quais a loja virtual não funciona. Estão nesta categoria desde a empresa de hospedagem, de banco de dados, de entregas, para formalizar a transação com cartão de crédito, muitos vezes ainda uma financeira, pois há lojas que possuem cartão de crédito de marca própria, entre outros.

Periodicamente a loja deve fazer testes de vulnerabilidade, para medir seu grau de segurança. Mas não adianta estar seguro para fora, e dentro da loja, junto aos funcionários, ser comum um colaborador ou chefe passar a senha para outro. A senha é como a chave que abre uma porta para o patrimônio mais importante que está em dados. Estes dados, nas lojas, representam tanto operações, ou seja, seu uso indevido pode provocar uma fraude, com impactos financeiros e de reputação, como também representam o comportamento de seus clientes. Já acompanhamos um caso em que um ex-funcionário de uma loja virtual assediou um cliente da mesma em uma comunidade do Orkut, alegando, de forma ameaçadora, que sabia o que ele estava comprando na internet, sabia o endereço dele, o nome da esposa e dos filhos.

Toda loja virtual deve ter um termo de uso adequado, que trate inclusive de política de troca e devolução. É recomendável, ainda, o uso de um carimbo do tempo, para determinar a hora legal da operação, a exposição de um relógio de com data, hora, minuto e segundo no site, bem como uma política clara de privacidade. Além disso, os contratos de TI e Telecom, e seus respectivos Acordos de Nível de Serviço (SLAs) devem ser diferenciados para as Lojas Virtuais, já que a questão da indisponibilidade de serviços tem impacto diferente se tiver ocorrido em um dia qualquer ou às vésperas de um dia das mães, por exemplo, quando há um pico de venda, e a loja não pode ficar fora do ar em hipótese alguma. Não pode uma Loja Virtual ter um contrato padrão aplicável a outro tipo de negócio que o fornecedor de TI e Telecom atende, há necessidades, riscos e responsabilidades específicos.

A guarda das provas eletrônicas é essencial, ter um servidor de logs, e guardar os dados completos de acessos, inclusive números de IP, podem fazer toda diferença se houver uma demanda judicial. Deve ser feita uma Política de Gestão Documental com uma tabela de temporalidade, onde os dados que vêm do site devem ser guardados no mínimo por 12 meses. Principalmente, porque é comum haver inversão de ônus da prova em situações que envolvem consumidor final. Segurança Técnica e Jurídica da Informação para uma Loja Virtual não é só uma questão de atender ou não as melhores práticas da ISO 27002, representa, na verdade, proteção do próprio negócio.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 192 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal