Essenciais da segurança do comércio eletrônico

Quando você começa a fazer negócios na Web, encontra três tipos específicos de pessoas:

• Aqueles que querem comprar de você
• Aqueles que querem roubar de você
• Aqueles que querem roubar daqueles que compram de você

O paradoxo que todo dono de site enfrenta é que você deseja receber o primeiro tipo de pessoa de braços abertos, mas os outros que você vai querer tentar excluir. Em uma loja off-line tradicional, geralmente é fácil perceber de onde os problemas vão sair. Fazer negócios on-line, no entanto, significa que você perde toda essa intuição importante.

A segurança deve sempre ser sua maior prioridade se você estiver vendendo on-line através de seu próprio site. Também é o caso de você não poder resolver sua segurança on-line por meio de tentativa e erro. Você precisa acertar na primeira vez, porque recuperar-se dos erros é difícil para as grandes empresas e praticamente impossível para uma pequena empresa. Se você conseguir estragar a segurança e se tornar conhecido, espere ter que reconstruir seu negócio e sua reputação do zero. No restante deste artigo, daremos algumas dicas sobre como evitar esse destino.

1. Não armazene mais informações do que você realmente precisa

Muitos sites têm formulários complicados para serem preenchidos antes que um cliente possa fazer até mesmo as compras mais básicas. Muitas vezes, esses formulários estão solicitando todos os tipos de informações que não são relevantes para a venda. Isso geralmente é culpa do departamento de marketing tentando obter dados demográficos ou Informações do CRM. O problema é que a pré-venda não costuma ser o local correto para solicitar esse tipo de dados.

Legalmente, você tem a responsabilidade de proteger os dados que você armazena sobre seus clientes. Existem até certos tipos de dados que você não tem permissão legal para armazenar (números de CVS, por exemplo). Mesmo assim, muitos sites armazenam informações que não deveriam ser armazenadas.

É muito melhor você não fazer isso. Na fase de pré-venda, você pode perder clientes solicitando informações demais. Eles vão a algum lugar onde a compra é mais simples e não sentem que estão enfrentando a Grande Inquisição.

As pessoas estão cada vez mais preocupadas com as informações que compartilham on-line, portanto, seu objetivo deve ser sempre coletar o mínimo possível de informações, pois isso ajuda a criar confiança. Se você estiver usando o PayPal ou um serviço semelhante para processar seus pagamentos, provavelmente não precisará coletar nenhuma informação do seu cliente, porque o PayPal fornece a você tudo o que você precisa saber para concluir o pedido.

Quanto mais informações você armazenar, mais haverá potencialmente disponível para alguém roubar e explorar. Se o roubo deles for descoberto e rastreado até você, haverá muito mais problemas decorrentes disso mais tarde.

2. Se você está coletando informações confidenciais, precisa de SSL

Idealmente, todo site deveria ter SSL por padrãoMas, infelizmente, é um incômodo resolver o SSL, e até mesmo as principais empresas de internet estão erradas (pelo bem delas, não vamos nomeá-las).

O SSL oferece criptografia que dificulta (mas não impossibilita) a invasão ou interferência da transação. Também protege, até certo ponto, a informação que é retransmitida.

O recurso mais importante do SSL - talvez ainda mais importante do que a criptografia - é que ele identifica seu site de maneira positiva. Mesmo isso não é perfeito, mas é melhor do que nada.

3. Tome uma decisão consciente sobre se você está processando suas próprias transações

Processar transações internamente pode economizar um pouco de dinheiro em cada uma delas. Se você fizer transações de alto valor de baixo volume, a economia poderá ser significativa. No pior caso, por exemplo, o PayPal cobrará pelo menos 4.5% do valor de uma transação (o valor diminui com volumes de transação maiores).

Ainda assim, há muitas vantagens em usar sistemas de pagamento como o PayPal, Skrille WorldPay. A principal vantagem é que você não está mais diretamente coletando informações financeiras de seu cliente e, idealmente, não está coletando nenhuma informação. Isso significa que todo o ônus da conformidade com PCI e da proteção de dados do consumidor recai sobre os ombros do serviço de pagamento e não sobre seus ombros. Para o SME, isso é um enorme fardo levantado, reduz seriamente sua responsabilidade potencial e simplifica o fluxo de suas transações.

Por outro lado, houve histórias de horror para alguns comerciantes. O principal culpado quando se trata de intrometer-se nos negócios de outras pessoas é o PayPal. Tendo o dever de proteger o mundo do branqueamento de capitais extremamente a sério, o PayPal congelará uma conta ao menor sinal de que há algo estranho acontecendo, e conseguir que o congelamento seja suspenso pode ser um incômodo.

Uma grande parte do problema do PayPal é que é muito difícil contatá-los. Outra coisa irritante que não se limita inteiramente ao PayPal é o excesso de zelo na mão, onde eles tentam protegê-lo demais e sem o seu pedido para fazê-lo. Isso significa que, se você tentar fazer login em sua conta em um dispositivo que o PayPal não reconheça ou se tiver cometido o erro de registrar um número de celular com você, poderá se desconectar de sua conta apenas viajando para outro país ou alterar o serviço telefônico. Em um mundo onde os negócios estão se tornando cada vez mais globais e as pessoas viajam internacionalmente com muito mais frequência, isso é inaceitável.

Esse problema pode afetar outras coisas nas quais sua empresa também confia. Facebook, Twitter, Yahoo, GMail e vários outros serviços podem causar grandes dores de cabeça quando você viaja para fora da sua área habitual e não tem o roaming global ativado em seu telefone. Fazer o login a partir de um dispositivo desconhecido (ou um dispositivo familiar com um cartão SIM desconhecido) de um local fora de seu país de origem pode realmente estragar tudo para você, mas pelo menos nenhum desses serviços tem controle direto sobre seu fluxo de caixa. Serviços de pagamento, portanto, se eles bloqueiam você, as conseqüências são mais graves.

O maior motivo para deixar alguém fazer as transações por você? Os clientes são notórios por não preencher formulários corretamente. Quando você não conseguir enviar seu produto por causa disso, eles o culparão. Isso pode resultar em coisas desagradáveis, como cobranças, e com o tempo isso pode afetar seus negócios e possivelmente também sua reputação. Entregue toda a coleta de informações a terceiros, e tecnicamente você está fora do gancho.

4. Antes de enviar produtos, verifique todos os detalhes da transação

Para algumas empresas, isso pode ser um pouco complexo. Se você vende produtos digitais, como eBooks, por exemplo, os clientes geralmente esperam receber seus produtos quase instantaneamente. Se você está vendendo mercadorias físicas, você tem um pouco mais de tempo para verificar tudo, e você deve usá-lo.

Certifique-se de que as quantidades, os preços e as descrições dos produtos correspondam ao que devem corresponder. Verifique também se os códigos de descontos ou cupons são válidos.

Como você pode ver, manter-se seguro não requer muito esforço ou despesa. Isso basicamente significa abandonar os hábitos das grandes corporações. Em outras palavras:
• Não espione seus clientes
• Não colete informações que você não precisa estritamente
• Proteja as informações coletadas
• Delegar a responsabilidade de conformidade, se possível, usando o processamento de transações de terceiros
• Revise os pedidos antes de enviar produtos

A outra coisa que você deve sempre fazer é verificar se as solicitações de reembolso correspondem ao valor da transação original. Sabe-se que as pessoas compram a preço de venda e reembolsam o preço total, e a equipe nem sempre percebe.

Curva de imagem de recurso de Estúdio Fireart

Catalin Zorzini

Eu sou um blogueiro de web design e comecei este projeto depois de passar algumas semanas lutando para descobrir o que é a melhor plataforma de comércio eletrônico para mim. Confira minha corrente top 10 construtores de sites de comércio eletrônico.