Os comerciantes precisam se informar sobre onde os fraudadores e os autores de ameaças cibernéticas podem atacar em seguida e manter-se atualizados com medidas de segurança destinadas a proteger os dados dos titulares de cartões.
O cibercrime e a fraude nos pagamentos tornaram-se um grande negócio. Os agentes mais produtivos procuram alvos que lhes proporcionem informações sobre contas de pagamento, dados que possam monetizar na dark web, empresas que possam chantagear ou controlar para obter mercadorias gratuitas ou desviar fundos diretamente. Portanto, não é surpresa que a segurança dos pagamentos continue a ser uma prioridade para os retalhistas e outros comerciantes.
No entanto, a segurança dos pagamentos é um jogo de gato e rato. À medida que o comportamento dos consumidores muda e as novas tecnologias evoluem, as soluções devem fazer o mesmo, protegendo todas as etapas do fluxo de pagamentos para oferecer suporte a soluções de pagamento seguras.
Onde está o alvo agora?
Os agentes de ameaças continuam a visar os dispositivos de pagamento nas lojas, explorando pontos fracos na transmissão de dados. Isso torna essencial que os comerciantes invistam em tecnologias de criptografia e infraestruturas de pagamento seguras que evitem violações de dados em todas as etapas.
Mas os comerciantes precisam de olhar para além do terminal de pagamento para garantir a segurança dos pagamentos. Por exemplo, com mais pagamentos a serem efetuados através de dispositivos móveis, há uma ênfase na segurança das aplicações. A segurança de pagamento fornecida pela plataforma de hardware não desapareceu, mas com tecnologias emergentes, como o tap-to-phone, os comerciantes não têm a vantagem de uma plataforma de segurança reforçada para proteger as transações. A expectativa é que os programadores de software estejam a fazer mais para garantir que as suas aplicações protejam adequadamente os dados dos titulares de cartões.
Além disso, o maior alvo dos fraudadores – US$ 5,7 biliões globalmente – é o comércio eletrónico, e o custo da fraude no comércio eletrónico deve totalizar US$ 206,8 biliões em 2023. Estabelecer práticas recomendadas e proteger os canais digitais é vital, especialmente para empresas que estão apenas a expandir seus negócios online.
A fraude por inteligência artificial (IA) também está no radar do setor de pagamentos. Com a ampla disponibilidade de plataformas de IA generativa atualmente, comerciantes e organizações em toda a cadeia de pagamentos estão se posicionando para se defender contra ataques que os agentes que utilizam IA podem iniciar nos próximos anos. Em resposta, o Accredited Standards Committee X9 (ASC X9) para Padrões do Setor Financeiro está a iniciar um grupo de estudo para investigar as ofertas atuais de IA e os riscos que elas podem representar para o setor financeiro (para obter mais informações ou participar, aceda a https://x9.org/aistudygroup/).
O que há de novo em segurança de pagamentos?
A tecnologia continua a evoluir para manter os terminais seguros e proteger os dados dos titulares de cartões. Isso inclui a implementação de atualizações criptográficas, a adoção de padrões PCI e soluções emergentes como criptografia resistente a quantum — todos fundamentais para o futuro dos pagamentos seguros.
Os líderes do setor de pagamentos estão a mapear como será a transição para os novos padrões de criptografia. Certamente é possível atualizar o software para que ele tenha acesso aos métodos criptográficos mais recentes, mas o maior desafio a ser superado é que não existem métodos seguros ou chaves criptográficas mais fortes para substituir as existentes em campo; para fazer isso, os comerciantes teriam que enviar os terminais de volta aos seus fornecedores de tecnologia de pagamento para reprogramá-los.
Outra mudança significativa no horizonte é a implementação de blocos de chaves. Os blocos de chaves são uma técnica de encapsulamento criptográfico que vincula o uso de uma chave ao valor da chave criptografada, garantindo que os agentes de ameaças não possam usar indevidamente as chaves criptográficas. A partir de 1 de janeiro de 2025, o Payment Card Industry Security Standards Council (PCI SSC) exigirá o uso de blocos de chaves quando uma tecnologia de pagamento inserir novas chaves em terminais, seja localmente ou remotamente.
Outra mudança na segurança da tecnologia de pagamentos é a transição para a versão mais recente da norma PCI PIN Transaction Security (PTS) para validação. A PCI introduz gradualmente novas versões das suas normas PTS que abordam técnicas de ataque em evolução e práticas de segurança mais recentes que se tornaram normas da indústria. Esta adoção faseada dá tempo aos comerciantes para fazer a transição. A PCI está atualmente a eliminar a versão 4 da PCI PTS. Por esse motivo, a Ingenico não venderá dispositivos validados pela PCI v.4 a partir de abril de 2024. Em vez disso, iremos concentrar-nos nos dispositivos PTS v5 e v6 que suportam novos algoritmos criptográficos.
O espaço de segurança de pagamentos em constante evolução deve ser um foco para os comerciantes e fornecedores de tecnologia e soluções de pagamento que os equipam com dispositivos e sistemas para aceitar pagamentos. Se quiser saber mais sobre como a Ingenico está a enfrentar este desafio, contacte-nos.
