A coluna Segurança Digital conversou com Jeremy King, diretor internacional do PCI Security Standards Council, o Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento, em tradução livre. A missão do executivo é disseminar o DSS (padrão de segurança de dados) para que lojas on-line e outras empresas que lidam com cartões de crédito protejam as informações dos consumidores.

Na entrevista, King destacou as medidas que o Conselho está tomando para se aproximar das pequenas empresas, que normalmente não têm um departamento de segurança ou de tecnologia, e revelou que alguns dos maiores desafios estão nas coisas mais simples, tais como ensinar as pessoas a usarem senhas e orientar empresas a configurarem corretamente as soluções que adquirem. Ele disse ainda que o Brasil é um país importante para o órgão, que atualmente procura um brasileiro para integrar sua equipe.

King está no Brasil e participará do evento Ciab, da Federação Brasileira de Bancos (Febraban), que ocorre desta terça-feira (21) até a quinta-feira (23), em São Paulo. A entrevista foi realizada na quinta-feira (16).

Você já esteve no Brasil antes?
Não, ainda não tive o prazer, mas estou realmente animado com isso.

Mas você fala com pessoas daqui o tempo todo, imagino.
Sem dúvida. Um dos nossos conselheiros é da Cielo, então podemos conversar com a região. E estamos no processo de contratar um membro permanente para a equipe que ficará no Brasil, então estamos animados com isso também.

Então vocês consideram o Brasil um local relevante hoje?
Sem dúvida, é sim. Embora a gente ouça falar de algumas dificuldades, o comércio em si está crescendo, especialmente nas compras pela internet – 58% dos brasileiros estão conectados e as pessoas querem comprar pela internet. O desafio é que isso ocorra de um modo seguro, que os vendedores estejam adotando as medidas de segurança corretas para impedir que criminosos obtenham detalhes dos usuários dos cartões.

Qual é o objetivo principal do Conselho hoje e como se pretende chegar lá?
Com o mundo mais conectado, os criminosos podem estar em qualquer lugar no mundo. E eles não estão atrás de uma loja específica, eles estão atrás de vulnerabilidades – vulnerabilidades que podem ver em um endereço IP ou tendo acesso à rede de uma empresa. Uma vez lá dentro, eles buscam os dados de cartões de crédito. E eles sabem que podem usar esses dados para cometer fraudes, com o cartão não presente, ou, onde ainda se usa tarjas magnéticas, eles podem às vezes clonar esses cartões e assim monetizar sua atividade criminosa. É isso que está acontecendo.

Estamos vendo o cibercrime disparar globalmente e cabe a cada um de nós analisar como está trabalhando e recebendo pagamentos para então garantir que se está fazendo o melhor que pode para proteger os dados daquele cliente. E o melhor jeito de se fazer isso é com os padrões de segurança do PCI e os padrões do PCI de modo geral.

Qual você diria que é o maior erro, dos consumidores e das empresas ao tratar com as informações de pagamentos e cartões?
Acho que é não entender os riscos e o que pode dar errado. Penso que os maiores desafios estão nas pequenas coisas, acredite se quiser. Somos péssimos em escolher senhas. Tentamos manter os criminosos longe dos nossos sistemas com senhas simples de serem adivinhadas e, quando eles estão lá dentro, eles podem instalar malware e extrair informações dos cartões.

Muitos administradores provavelmente terão um usuário chamado “Administrador” e uma senha “admin123”. E quando o criminoso ganha acesso administrativo, então eles podem pegar tudo o que querem. Com o lançamento do normal 3.2 este ano nós introduzimos a exigência de autenticação de dois fatores para administradores.

No caso das empresas, o problema são soluções mal instaladas. Uma prestadora configura um sistema de pagamento e deixa portas abertas e senhas padrão, não configura o nível adequado de segurança, não instala as atualizações. O lojista acha que a solução nova vai ser boa e não percebe que está aberto a ataques.

Há um ano começamos um programa para qualificar integradores e revendedores especialmente focado nessas organizações para garantir que essas soluções sejam instaladas de uma maneira segura.

Costumava ser o caso que usuários eram o alvo mais fácil dos hackers. Mas acabamos de ver milhões de dados vazados na internet, incluindo de nomes conhecidos como MySpace e o LinkedIn. Então hoje, além dos usuários, as empresas estão sendo invadidas. Como pensar em segurança de pagamentos em um cenário assim?
Este talvez seja o problema número um que estamos enfrentando na sociedade moderna. O que estamos vendo são governos na América Latina, na América do Norte, na Europa, na Ásia, todos descontentes com o nível de cibercrime e tentando aumentar a segurança dos dados dos consumidores.

O desafio é que os criminosos são bem espertos e eles aprenderam a juntar dados de vários lugares para realizar uma fraude. Então temos que fazer os lojistas perceberem que não fazer nada a respeito da segurança não mais uma opção. Esse tempo acabou.

Vemos hoje uma grande variedade de ataques, além do phishing [páginas clonadas] temos agora o “wailing”, em que e-mails chegam direto para os diretores financeiros e executivos das empresas para convencê-los a transferir dinheiro para algum lugar.

Tem três coisas básicas que precisamos acertar: pessoas, processos e tecnologia. Queremos que as pessoas sejam treinadas em segurança de dados para entenderem como as coisas funcionam corretamente para daí poderem saber quando algo está errado. Porque quando algo não parece certo, provavelmente não está certo.

Temos que ter bons processos, todos os requerimentos de segurança detalhados, planos para reagir a incidentes. E temos que usar a tecnologia mais recente sempre que possível para ter a melhor proteção, mas quando se tem essa tecnologia é preciso mantê-la atualizado e estar ciente dos desafios.

Essas são as áreas principais. Mas, quando você acha que está quase lá, uma nova tecnologia vai aparecer trazendo ótimas oportunidades, como também novas ameaças e opções para os criminosos. É um processo interminável. A segurança de informação é algo que se faz 24 horas por dia, 365 dias por ano.

Algumas críticas dizem que a conformidade a padrões de segurança não faz nada por si, que é preciso uma mudança de cultura. Essa ideia de “cultura” é um “modismo” ou seria um passo seguinte?
Não é um modismo. A mudança de cultura é essencial e precisa ocorrer também lá em cima. Muitas companhias pensam que a segurança de dados é um problema de TI, mas não é um problema de TI. Envolve bastante a TI, mas é uma questão para todos da organização. No Conselho sempre dizemos que queremos as pessoas focadas em segurança, e uma vez que a segurança for o foco tem-se a conformidade.

E isso é a cultura. As pessoas precisam pensar na segurança de tudo que fazem. Se quando sair um produto as pessoas pensarem em como aquilo pode ser seguro, essa é a mudança na cultura, um hábito. Com isso, de incômodo a segurança passa a ser um facilitador para o progresso.

Os padrões do PCI podem ser aplicados para empresas de todos os tamanhos? Ou quando uma empresa deve começar a pensar neles?
Oss padrões do PCI foram escritos do ponto de vista de que seriam destinados a companhias com um departamento de TI capaz de entender a linguagem que usamos. No caso de pequenas empresas, simplesmente não estamos falando a língua que eles entendem.

Então temos realizado uma força-tarefa no Conselho no último ano, apoiada por associações de pequenos comerciantes e bancos adquirentes de muitos países diferentes, com o objetivo de simplificar nossos padrões em um documento para orientar pequenos lojistas – um guia prático e simples que eles podem olhar e dizer “isso eu posso fazer”. Vamos divulgar esse guia no fim de junho.

Para nós, apoiar os pequenos lojistas é tão importante quanto os grandes, porque um criminoso pode controlar vários pequenos lojistas rapidamente e obter os mesmos dados que conseguiria em um grande lojista.

Como você enxerga o estado da segurança atual? Estamos à altura dos desafios?
Acho que acordamos para o desafio. Estamos um nível em que tantas organizações são invadidas que as pessoas estão dizendo: “precisamos fazer algo”. Penso que agora cabe a nós, como o órgão normativo, garantir as orientações, os padrões, os processos, o treinamento, o apoio e a estrutura que ajude organizações que querem melhorar sua segurança a fazer isso de um jeito que será bem-sucedido para elas.

Também estamos trabalhando com as bandeiras, para criar tecnologias para desvalorizar os dados que estão disponíveis. Tecnologias como o uso de “tokens” e criptografia. Então estamos trabalhando em duas frentes.
Qual é a mensagem mais importante que você quer transmitir em relação à segurança e quem precisa ouvi-la?
A segurança é uma responsabilidade de todos e todos devem levar a segurança a sério. E essa é uma mensagem para todos – não importa se é um lojista pequeno ou grande, é preciso compreender que uma vez que se está aceitando pagamentos, você será um alvo e terá de adotar boas medidas para impedir esses ataques e nós, o conselho de padrões de segurança do PCI, somos o melhor lugar para começar.