Como criar um gateway de pagamento seguro
Publicados: 2021-10-07É melhor ficar seguro do que arrepender-se. E essa afirmação é ainda mais verdadeira para lojas online. Proteger seu processo de pagamento é fundamental para manter a confiança do cliente e manter seu fluxo de negócios e receita.
O seu sistema de pagamento está fechado a sete chaves? Saiba mais sobre ataques e certifique-se de estar protegido com nossa lista de verificação de segurança.
Como são os ataques de gateway de pagamento?
Quando um cibercriminoso ataca seu gateway de pagamento, seu objetivo é descobrir ou roubar informações de cartão de crédito que possam ser vendidas online.
Os ataques de gateway de pagamento podem assumir a forma de:
- Ataques de enumeração, que testam a validade das combinações de cartões de crédito para encontrar aquelas que funcionam. Em seu site, isso pode parecer várias tentativas fracassadas de fazer o check-out com um pedido pequeno.
- Credenciais de administrador roubadas. Os criminosos usam técnicas de phishing ou outros métodos para acessar sua conta de administrador e gateway de pagamento com o objetivo de roubar informações de cartão de crédito do cliente.
- Dispositivos POS clonados. Os maus atores copiam seus dispositivos de ponto de venda (que usam suas credenciais de gateway de pagamento) para gerar pedidos falsos.
Por que se preocupar com a segurança do gateway de pagamento?
Uma vez que sua loja esteja funcionando, você pode ficar tentado a pensar que está seguro o suficiente – especialmente se você ainda não foi o foco de hackers. Mas quando os criminosos atacam seu gateway de pagamento, você pode enfrentar consequências como:
- Tempo necessário para resolver e lidar com violações, evitando que você gaste tempo em partes geradoras de receita do seu negócio.
- Problemas com o desempenho do site, devido ao tráfego de ataques de força bruta.
- Confiança corroída com seu provedor de gateway de pagamento, possivelmente resultando em taxas mais altas ou cancelamento de serviço.
Como bloquear seu site
Felizmente, você nunca terá que se preocupar com ataques reais. Mas erre no lado seguro e pense um pouco, tempo e investimento em cada um desses problemas para garantir que seu site esteja bloqueado.
Use CAPTCHA para contas de usuário e o processo de checkout
Certifique-se de que os bots não possam entrar no seu sistema adicionando um CAPTCHA às suas páginas de registro e checkout. Embora seja uma etapa extra para os clientes, vale a pena pela maneira simples e eficaz de impedir que os bots ataquem seu site.
Há uma variedade de métodos que você pode usar para simplificar o processo para seus clientes legítimos, ao mesmo tempo em que adiciona segurança. Considere os recursos avançados da extensão ReCaptcha for WooCommerce para encontrar o equilíbrio certo entre facilidade e segurança.
Invista em hospedagem de qualidade
Seu host é seu parceiro em desempenho e segurança. Um provedor de qualidade incluirá recursos críticos de segurança como:
- Um certificado SSL, que criptografa as informações do cliente, como dados e endereços de cartão de crédito.
- Servidores compatíveis com PCI que seguem todas as diretrizes da empresa de cartão de crédito.
- Verificações regulares do site, backups e monitoramento de ataques de força bruta.
Mas não confie apenas no seu host. Considere adicionar um firewall ao seu site, que atua como uma barreira entre sua loja e os hackers, impedindo-os de entrar.
E ferramentas como o Jetpack Security fornecem varreduras de malware, alertas de tempo de inatividade e backups externos.
Use um plugin antifraude
Proteja seu gateway de pagamento diretamente com um software antifraude que monitora seus pedidos e observa qualquer atividade suspeita.
Extensões como o WooCommerce Anti-Fraud procuram transações que se enquadram em padrões de ataque típicos e colocam pedidos suspeitos e usuários questionáveis no bloqueio.
Você pode bloquear atividades como:
- Muitos pedidos pequenos feitos em rápida sucessão
- Um influxo repentino de pedidos de uma localização geográfica fora de sua zona de pedidos típica
- Pedidos feitos a partir de uma lista de bloqueio de endereços de e-mail e endereços IP
- Diferenças suspeitas entre endereços de cobrança e de entrega
- Pagamentos feitos por contas novas e não verificadas do PayPal
- Uso de servidores proxy e outras atividades de mascaramento
Você pode definir o nível de sensibilidade dos pedidos a serem sinalizados para encontrar o nível certo de risco para sua loja.
Verifique se as senhas são seguras
Todos nós sabemos o básico quando se trata de segurança de senha: use uma variedade de caracteres, não use um nome ou data pessoal e não reutilize senhas em sites. Mas você pode adicionar segurança adicional:
- Tornando suas senhas de administrador ainda mais complicadas com caracteres especiais, etc.
- Adicionando software de bloqueio de senha, que limitará o número de tentativas de login com falha
- Garantir que os usuários tenham apenas as permissões mínimas necessárias para realizar seu trabalho ou tarefas
- Estar ciente dos golpes de phishing e nunca compartilhar suas informações de senha com empresas ou indivíduos suspeitos
As senhas também podem ser usadas para proteger certas partes do seu site. Use a extensão de categorias protegidas por senha para limitar o acesso a áreas comumente exploradas. Os compradores precisarão ter uma conta para verificar sua identidade ou terão que acessar a senha diretamente de você por meio de canais seguros.
Limitar o armazenamento de informações do cartão de pagamento
Um ótimo recurso do WooCommerce é que você não precisa armazenar informações de cartão de crédito - seu gateway de pagamento lidará com as informações de segurança mais vulneráveis e importantes.
Dica importante: certifique-se de que o gateway de pagamento selecionado use tokenização para passar as informações do cartão de crédito para frente e para trás. Para segurança máxima, considere o WooCommerce Payments .
Mas se você deseja permitir que seus clientes configurem assinaturas ou se registrem para pré-encomendas, seu sistema pode armazenar algumas informações sobre opções de pagamento, seja em seu site ou por meio de seu gateway de pagamento. Limite o número de vezes que os clientes podem atualizar suas informações de cartão de crédito. Várias atualizações por dia são uma bandeira vermelha de ataques de força bruta.
Desative os dispositivos POS com segurança
Quando os dispositivos POS tiverem perdido sua utilidade, certifique-se de descomissioná-los com segurança. Isso significa limpar toda a memória e configurações para garantir que quaisquer códigos de acesso ou senhas armazenadas sejam removidos e não possam ser clonados ou copiados. Também significa devolver esses dispositivos à empresa de origem para que possam ser descartados com segurança; não os deixe acumular poeira na parte de trás de sua loja.
Com todas as partes do sistema de pagamento totalmente protegidas, você saberá que fez todo o possível para manter seu ativo comercial mais importante seguro e protegido. Mantenha os invasores afastados e certifique-se de que está gastando sua energia na geração de receita e no crescimento, em vez de lidar com violações de segurança.