Cibersegurança & Proteção de I.P.

4.2.1 Como pode uma empresa garantir a segurança durante as transações internacionais?

A segurança é fundamental para qualquer atividade online e o comércio eletrónico é um ambiente específico, onde uma enorme quantidade de dados é partilhada e armazenada. Contudo, não se trata apenas de proteger dados comerciais, mas também de proteger dados sensíveis dos clientes, permitindo uma navegação e pagamentos seguros, que são apenas alguns exemplos. Ao considerar a internacionalização, poderão ser necessárias mais medidas, as quais estarão também ligadas às regras e condições dos mercados que uma empresa visará.

Para qualquer empresa que pretenda começar a vender online, as medidas de segurança são fundamentais. Qualquer informação que entre online é passível de ciberataque. Embora uma empresa possa introduzir novas medidas quando um sistema é atacado, que se tornarão efetivas a partir desse momento, os dados anteriormente armazenados continuarão a estar expostos a um risco. É por isso que a implementação de medidas de segurança é uma necessidade, que deve também envolver medidas de controlo regulares e precisas, incluindo atualizações regulares de software e browsers, a fim de se poder detetar quaisquer ciberataques antes que estes causem qualquer dano.

A segurança online está frequentemente associada a pagamentos online, o que é, de facto, o caso. A este respeito, a transmissão encriptada (codificada) de dados entre o consumidor e o vendedor, especialmente os detalhes do cartão de crédito, é um pré-requisito. Isto deve também incluir a capacidade de confirmar tanto quem é o vendedor como o comprador. No entanto, antes de fornecer pagamentos online aos clientes, há outras medidas que é necessário implementar. Estas começam por proteger a(s) própria(s) rede(s) da empresa, especialmente proteger o servidor de ataques de terceiros, tanto de fora (a Internet) como de dentro (as LAN’s), e proteger o servidor de pessoas não autorizadas a aceder aos dados do cliente sem o seu consentimento. Outras medidas básicas de segurança incluem certificados SSL e selos de segurança.

Um Certificado SSL liga o nome de domínio, nome do servidor ou nome de anfitrião com a identidade organizacional (isto é, nome da empresa) e a sua localização. É o primeiro passo para documentar que um site de comércio eletrónico está protegido. O objetivo da sua implementação é assegurar ligações de um servidor web a um browser, especificamente para proteger transações de cartões de crédito, transferência de dados, logins e navegação nas redes sociais. Um site de comércio eletrónico que tenha um certificado SSL terá um cadeado ou barra verde junto ao protocolo HTTPS na barra de endereços, anteriormente http (‘s’ em https significa “seguro”).

Os selos de segurança (também conhecidos como selos de confiança) documentam a adesão de uma loja virtual a uma política de privacidade, quando foi realizada a última verificação de segurança (ou seja, para malware ou vírus) e se o website é seguro. Existem dois tipos de selos de segurança, verificação do servidor e verificação do site. O primeiro verificará o servidor de alojamento para a eliminação de qualquer perigo potencial. O segundo protegerá os utilizadores da inserção de scripts indesejados em páginas visualizadas (cross-site scripting) e da adulteração de dados do utilizador, o que pode anular transações ou a destruição de dados (injeção SQL). Um site de comércio eletrónico que tenha um selo de confiança terá um crachá ou mensagem ‘seguro’ / ‘verificado’ (por exemplo, Norton Secured) na sua página, mas também, em muitos casos, na barra de endereços, e a sua legitimidade pode ser verificada clicando neste ícone para ir para a página que verifica a autenticidade desse selo. Outra indicação de que o site está protegido é o nome verde do “protetor” na barra de endereço do navegador.

Os pagamentos online são especialmente vulneráveis a ciberataques e fraudes e o problema continuará a aumentar devido à crescente popularidade das compras online e móveis. Os cibercriminosos roubam informação sensível e as transações com cartões não presentes (CNP) são um alvo enorme para eles. Os consumidores preferem utilizar cartões de crédito (ou cartões em geral) para transações online. O Banco Central Europeu estima que as transações de CNP representam mais de 60% das fraudes com cartões. Outros exemplos comuns de fraude online no comércio eletrónico incluem:

Fraude de Identidade de Comerciante: quando um cibercriminoso cria uma conta de comerciante semelhante à de um negócio legítimo, seguido de levantamentos/pagamentos com cartões de crédito roubados antes que o verdadeiro titular do cartão se aperceba do que aconteceu.

Roubo de cartões: quando um fraudador obtém informações de cartão de crédito que podem ser utilizadas para fazer uma compra, tais como número do cartão, data de validade e CVV/CVC.

Roubo de identidade do cliente: quando um cibercriminoso obtém detalhes-chave de informações pessoalmente identificáveis que são depois utilizadas para fazer uma compra.

Teste de cartões: quando um fraudador utiliza cartões roubados para fazer compras frequentes de baixo valor.

Interceção de embalagens: when a fraudster uses a stolen card to buy physical items and then intercept or reroute the package during delivery.

Phishing: quando um cibercriminoso tenta adquirir dados sensíveis, tais como um nome de utilizador, palavra-passe, detalhes de cartão de crédito, etc., relacionados com e-mails ou websites.

Falsos pedidos de Reembolso: quando um titular de um cartão (falso) apresenta um ressarcimento em vez de tentar obter um reembolso, portanto, um cliente (falso) quer recuperar o dinheiro para uma compra legítima.

Reencaminhamento malicioso: quando um cibercriminoso se redireciona para um site infetado.

Pagejacking: quando os cibercriminosos atacam websites e redirecionam os clientes para páginas não confiáveis.

Outros ciberataques que podem ser mais fáceis de detetar e eliminar incluem o seguinte:

Malvertising: quando campanhas publicitárias falsas (caracterizadas por erros ortográficos, produtos incorretos, etc.) são difundidas, infetando páginas web.

Pop ups suspeitos: quando mensagens falsas aparecem no ecrã, descarregando malware para o computador depois de clicadas.

Desfavorecimento: quando um cibercriminoso substitui o conteúdo de um site pelo seu nome, logótipo e/ou imagens ideológicas.

Algumas medidas adicionais que é necessário implementar a fim de proteger contra os tipos de fraude acima mencionados e garantir a segurança das transações, incluem a Certificação PCI DSS (Payment Card Industry Data Security Standard), uma medida de segurança que foi criada para aumentar o nível de segurança para os utilizadores de cartões e diminuir a fraude com cartões de crédito; o Serviço de Verificação de Endereço (AVS) para verificar se o comprador é o proprietário do cartão, através da verificação do endereço de faturação do titular do cartão, e o Valor de Verificação do Cartão (CVV), também conhecido como Código de Segurança do Cartão (CSC) para verificar se o comprador tem o cartão na sua posse – os dois últimos aplicam-se apenas às transações com cartão de crédito e o AVS não se aplica a todos os países. 3D Secure é uma camada de segurança adicional para transcções de cartão de crédito e débito online, que acrescenta um passo de autenticação para os clientes que fazem compras online.

Além disso, a localização de endereços IP, números de cartões, e outros elementos que podem ser associados a transações que parecem ser fraudulentas, são medidas de segurança importantes. Os e-businesses devem também certificar-se que fornecem informação sobre as taxas de câmbio internacionais e que toda a informação é fornecida na língua falada pelo mercado-alvo. Dependendo do país visado, podem ser necessárias diferentes medidas de segurança, e a decisão se uma empresa opta por implementá-las ou não, terá também impacto na capacidade de a empresa alcançar um novo mercado.

Para além das soluções básicas de proteção contra a fraude anteriormente mencionadas, existem também ferramentas mais avançadas no mercado, cada uma delas fornecendo um conjunto de controlos de prevenção e deteção da fraude totalmente integrados antes de uma transação ou pedido de verificação ser processado. Devem ser escolhidos com base no tipo de site de comércio eletrónico, dimensão do negócio, número de clientes e potencial para alcançar novos mercados.

4.2.2 Proteção I.P. e RGPD

A Propriedade Intelectual (PI) refere-se a vários aspetos da criatividade na mente de indivíduos e grupos e é protegida por lei.  É também a propriedade de um determinado produto ou serviço, o que o torna uma componente importante do comércio eletrónico, onde as descrições de produtos/serviços, imagens, vídeos ou outros dados são partilhados. Como o comércio através da Internet deve ser protegido, a utilização de sistemas de segurança tecnológica e leis de PI deve ser igualmente abordada, ou então a PI pode ser roubada. Exemplos de PI são patentes, marcas registadas, direitos de autor, e segredos comerciais. O comércio eletrónico e as empresas online baseiam-se no licenciamento de produtos ou patentes, também marcas registadas, que, se não forem protegidas, podem causar danos ao negócio. Por conseguinte, a PI está intimamente ligada a quaisquer dados sensíveis e de segurança e, por sua vez, está relacionado com o RGPD.

RGPD refere-se ao Regulamento Geral de Proteção de Dados ao abrigo do qual a recolha de dados pessoais é regida pelo consentimento do consumidor de que este concorda que os seus dados sejam recolhidos e armazenados. Isto significa que não é possível recolher, armazenar e utilizar dados sem a autorização de um cliente. O Regulamento Geral de Proteção de Dados (RGPD), de 14 de abril de 2016, adotado em 25 de maio de 2018, foi concebido para proteger os cidadãos da UE. O regulamento introduz limitações tanto à recolha como à utilização dos dados, explica a proteção e privacidade dos dados e limita a utilização dos dados sem alienação do cliente.

A proteção de dados pessoais e sensíveis é obrigatória, bem como a distinção entre eles, uma vez que podem ser necessários diferentes níveis de proteção. Os dados pessoais, para além de nomes, endereços ou detalhes de contas bancárias, são cookies e endereços IP e os dados biométricos serão classificados como dados sensíveis. Um site de comércio eletrónico entrará em contacto com uma enorme quantidade de dados pessoais e sensíveis, pelo que devem ser introduzidas medidas de segurança a partir do momento em que uma empresa tem um visitante na página web (especialmente se o site utilizar cookies, se já tiver recolhido dados do visitante, ou quando este se inscrever num boletim informativo eletrónico) e durante a sua conversão para se tornar cliente (criação de uma conta, realização de uma compra, introdução de dados). Em qualquer caso, as empresas são obrigadas a explicar aos clientes por que razão pedem os seus dados e que são responsáveis pela proteção dos dados dos clientes. Esta informação deve também estar disponível para os clientes poderem consultar em qualquer altura (por exemplo, na política de privacidade ou em qualquer outro local do website que seja fácil de encontrar).

A digitalização facilita a recolha de dados, mas, com a introdução do RGODm, a quantidade de dados recolhidos diminui significativamente, uma vez que os clientes são mais cuidadosos com a informação que partilham online. As empresas começam também a compreender que não precisam de recolher tantos dados dos clientes, além de que aumentam a confiança dos clientes que pensam que as empresas estão a tirar partido dos seus dados e não necessariamente a protegê-los. No comércio eletrónico, a recolha e armazenamento de dados não são necessários para completar uma encomenda, mas pode ser vital para efeitos de outras atividades, por exemplo, analisar o comportamento online do consumidor ou a sua subscrição de um boletim informativo eletrónico. Seja qual for o caso, o consumidor deve sempre confirmar que concorda que o website / fornecedor de comércio eletrónico recolha os seus dados, o que se aplica no âmbito do RGPD.

Apoiar a segurança do comércio eletrónico e garantir a segurança online dos consumidores e, por conseguinte, a proteção dos seus direitos online é A Estratégia do Mercado Único Digital da UE (lançada em maio de 2015). As principais propostas desta estratégia incluem serviços de pagamento e a proibição do geoblocking, entre outros. Em termos de pagamento, a Diretiva dos Serviços de Pagamento (Regulamento (UE) 2015/2366) foi criada para aumentar os direitos dos consumidores, garantir pagamentos seguros e mais rápidos, descrever os direitos de reembolso, dar informações claras sobre os métodos de pagamento e promover os pagamentos móveis. Em resposta ao geoblocking, o Regulamento 2018/302 de 28 de fevereiro de 2018, adotado em 3 de dezembro de 2018, põe fim ao geoblocking, facilitando a comodidade das atividades de comércio eletrónico (venda e compra fora do país de residência) e aumentando as vendas dentro da UE. O geoblocking impôs limitações não só aos consumidores e às empresas, mas também às economias. Além disso, os consumidores receberam proteção adicional em abril de 2018, através das propostas de um New Deal for Consumers, que obriga os mercados online a informar os consumidores se estão a comprar a um comerciante ou a um indivíduo, se o seu resultado de pesquisa é pré-pago por um comerciante e em que condições, bem como a permitir que os consumidores cancelem um contrato de compra de serviços digitais no prazo de 14 dias. Espera-se que em janeiro de 2021 entrem em vigor novas regras de IVA para as vendas de bens e serviços online, que simplificarão as regras de IVA para as vendas de bens online e combaterão também a fraude fiscal. A UE está a introduzir regularmente novas regras para a proteção dos direitos dos consumidores online e para a melhoria do desempenho do comércio eletrónico. Mais informações a este respeito podem ser encontradas na página European Commission Shaping Europe’s digital future policies pages (Comissão Europeia, 2020).