Com a chegada do final do ano é esperado um grande crescimento das vendas online, seja pela facilidade de compras, melhores ofertas ou comodidade oferecida por esta modalidade.

O e-commerce no Brasil vem amadurecendo gradualmente e o que antes era cercado por desconfianças, ganha credibilidade ano a ano e já se tornou um hábito de muitos brasileiros.

Do outro lado, as empresas que atuam no segmento de comércio eletrônico demonstram maior preocupação em transmitir segurança aos compradores, pois sabem que isto é um dos fatores decisivos para a concretização das vendas.

Mas como de fato é possível proteger os consumidores e os dados das empresas de fraudes e roubo de informações? Quais são os pontos críticos que devem ser observados?

Sabemos que a parte técnica de um e-commerce é complexa e envolve diversos fatores e estruturas tecnológicas e que estes, estão sujeitos a falhas, indisponibilidades e vulnerabilidades.

Visão simplificada da arquitetura de servidores de um e-commerce.

Como podemos ver, a estrutura do e-commerce pode conter:

• Certificado SSL

• Servidor de proxy reverso/Firewall de aplicação

• Servidor de aplicação

• A aplicação (magento, woo commerce, loja própria, etc.)

• Servidor de banco de dados

• Estrutura do datacenter / cloud

Toda essa estrutura deve ser verificada e auditada frequentemente com a finalidade de detectar possíveis problemas e antecipar riscos.

Os principais riscos são:

Falhas de segurança na aplicação – A aplicação está sujeita a diversos tipos de ataques, SQL injection e XSS (Cross-Site Scripting) são os mais utilizados por permitir o acesso a informações importantes como senhas, dados de cartão de crédito e de negação de serviço (DoS) responsável por indisponibilizar o acesso ao site causando grandes prejuízos financeiros e prejudicando a imagem da empresa.

Falhas de segurança em servidores – sistema operacionais obsoletos , falta de aplicação de patches, configurações erradas, permissões indevidas, etc.

A prevenção contra os riscos apresentados acima pode variar de acordo com cada caso,mas de forma geral, podemos dizer que a gestão continuada de vulnerabilidades, pentest, aplicação de recomendações técnicas, adoção de práticas de desenvolvimento seguro e principalmente ter acompanhamento técnico especializado, seja através de serviços gerenciados ou consultoria, pode-se conseguir um ambiente seguro para a empresa e garantir tranquilidade para os consumidores.

Essas ações visam tanto a proteção do cliente quanto do próprio datacenter evitando incidentes, desgastes internos, horas extras e que o time passe as festas de Natal e Ano Novo resolvendo problemas causados pela falta de prevenção.