Segurança B2C – Os meios de pagamento

Como característica de segurança adicional, o cliente espera que as informações de pagamento, passadas no instante da compra, só sejam utilizadas nessa operação, apenas quando forem por ele autorizadas. E embora esses itens sejam apenas uma parte da segurança da compra, tem forte impacto econômico e institucional. Assim sendo, muito se tem investido no seu aprimoramento.

Vários mecanismos têm sido propostos. Um meio de pagamento seguro deve proporcionar as seguintes características: autoria garantida, integridade, sigilo e não repúdio, onde uma transação não pode, posteriormente, ser negada pelas partes. Os atores principais de um processo de compra são cliente, lojista e instituição financeira. Tendo em mente esses elementos e as premissas de segurança, são três os mecanismos básicos para meios de pagamentos:

1.Utilização de formulários e protocolo SSL para envio dos dados.

Trata-se da forma mais comum para os meios de pagamento. Aqui, o cliente informa ao lojista, via formulário submetido através do protocolo SSL, os dados de seu cartão. Esse mecanismo tem como grande atrativo a sua simplicidade. Levando-se em conta a confiança do cliente no lojista, podemos afirmar que o método apresenta bom nível de integridade e sigilo na transmissão dos dados.

A parte de autoria garantida está baseada em processo de autenticação positiva e, portanto, sua eficiência é discutível. O não repúdio também pode ser criticado, principalmente pelo fato de não se ter um mecanismo forte da autoria garantida. O principal ponto negativo, contudo, está no fato de que esse mecanismo possibilita que lojistas mantenham grandes bases de dados com informações de pagamentos de seus clientes – quando o cliente submete as informações de pagamento, os dados são decodificados no site do lojista.

Esse fato gera um risco relativamente grande ao sistema. Não se trata de duvidar da integridade do lojista, mas sim de perceber que a capacidade de auditoria do sistema fica prejudicada ao se ter várias bases de dados colocadas em diferentes localidades, com tecnologias e políticas de segurança diferenciadas.

2.Uso de carteiras eletrônicas com protocolos tipo SET.

Criado pelas principais administradoras de cartão, o protocolo tem como premissa básica a sentença: “Cada parte da informação do processo deve estar disponível apenas para a parte destinatária da mesma”. As partes da informação são: dados da compra e de pagamento.

O SET utiliza certificação digital e criptografia com chave pública e privada. As informações de pagamento, apesar de passarem pelo lojista, não estão acessíveis ao mesmo, criptografadas com a chave pública da instituição financeira. O lojista as repassa à instituição que autoriza ou não o pagamento. O protocolo SET garante assim, as quatro premissas básicas de segurança de forma efetiva e minimiza muito o risco das instituições financeiras.

Mas o principal problema desse mecanismo está na sua complexidade. O cliente necessita instalar programas de carteira eletrônica e passar por um processo de certificação digital. Essa complexidade limita muito a implantação do sistema e faz com que o SET seja visto pelos lojistas como um inibidor de vendas.

3.Utilização de “servidores de carteiras”, sob o protocolo SSL para acesso à servidores.

Existe uma série de variações para esse mecanismo, mas os princípios básicos são os mesmos. Trata-se de um híbrido entre os mecanismos anteriores. Nessa visão existem elementos na rede que atuam como mediadores entre o cliente e o lojista. Tais elementos manipulam as informações de pagamento que são transmitidas via SSL e enviam ao lojista as informações de autorização.

O que ocorre, em linhas gerais, é o seguinte. O cliente, ao finalizar sua compra, escolhe o meio de pagamento. O site do lojista redireciona o cliente ao site de pagamentos, que, por sua vez, se identifica, confirma e autoriza os dados de pagamento. Em seguida, o site de pagamentos direciona o cliente para o do lojista com a confirmação da compra e, em paralelo, informa ao lojista o resultado da operação.

Já o lojista, ao receber a informação sobre os pagamentos, libera o produto para entrega. Esse mecanismo é bastante simples, mantendo um nível de segurança próximo ao SET. Essa segurança está relacionada ao fato de que as informações de pagamento ficam concentradas em alguns poucos pontos e não na rede como um todo.

Concluindo, muito se tem investido nas tecnologias para meios de pagamentos. O passado recente mostra que existe um componente fundamental no processo, o cliente. Um sistema extremamente seguro e que não seja simples de utilizar terá pouca chance de ser implantado com êxito. Por outro lado, algumas premissas básicas de segurança devem ser atendidas.

Um outro aspecto importante que começa a ser endereçado é o custo das transações. O mecanismo não pode ser de tal forma complicado, que custe mais para receber o dinheiro do que a própria mercadoria que se esteja vendendo.