Por Paulo Kulikovsky – vice-presidente da Certisign, vice-presidente de Finanças da Camara-e.net e membro titular da Comissão Técnica Executiva do Comitê Gestor da ICP-Brasil.
A Internet se desenvolveu e amadureceu. Agora é hora de conquistar e manter a confiança dos seus usuários.
Um sentimento de anarquia permeia a web, principalmente depois dessa onda sequencial de acontecimentos envolvendo Wikileaks, ComodoHacker’s, Anonymous, Stop Online Piracy Act (SOPA), Megauploud etc. Recentemente, sites de grandes organizações privadas e governamentais, como o do FBI, foram derrubados num movimento orquestrado. Guerras cibernéticas foram declaradas, mapeadas e apresentadas online. Surgiram novos personagens e fatos com instantânea repercussão mundial.
Indivíduos e consumidores online estão ainda mais confusos nesse novo mundo do ciberespaço. Acompanham essa movimentação na rede de suas “janelas” e se perguntam: o que nos beneficia e o que nos prejudica? Hacker: bandido ou uma espécie de Robin Hood? É hora de surgirem novos padrões comerciais e de direitos autorais para conteúdo eletrônico ou precisamos preservar as convenções já estabelecidas? Quando isso tudo vai nos envolver diretamente?
Fato é que estão acontecendo vários movimentos na web, e a maioria dos usuários não consegue distinguir muito bem de que lado ficar. Mas, independentemente dessa escolha, involuntariamente, sentem-se mais ameaçados do que antes. Nesse sentido é que precisamos preservar a recente confiança que conquistamos desses consumidores, que ficam agora mais atentos aos riscos a que estão expostos ao se envolverem em transações online.
Qualquer site para ser percebido como confiável tem que apresentar alguns requisitos que lhe agreguem esse atributo. São códigos próprios do ciberespaço, necessários para que uma empresa estabeleça o vínculo de confiança com seu público: reconhecimento da marca, boa navegabilidade, apresentação amigável, credenciais confiáveis de sua identidade, tecnologia atualizada, selos de aprovação e garantia de sigilo das informações pessoais de seus consumidores.
Esse conjunto constitui as características formais e essenciais para deixar os consumidores confortáveis para concluírem, com tranquilidade, o que os levou a visitar um determinado site.
O comércio eletrônico oferece diversas facilidades aos consumidores virtuais. No entanto, aspectos como segurança e falta de confiança ainda são obstáculos enfrentados por alguns. Marcas mais jovens ou recém-chegadas ao mundo eletrônico, para competir com marcas mais conhecidas, precisam observar com atenção essa sinalização de confiabilidade.
A segurança no comércio eletrônico brasileiro, segundo estudo WebShoppers
O e-bit, com o apoio da Camara-e.net, realizou a 24ª edição do estudo WebShoppers, que tem como objetivo entender a percepção dos usuários quando o assunto é segurança no e-commerce. A pesquisa aconteceu entre os dias 27 e 29 de setembro de 2011 e contou com a resposta de 2.043 e-consumidores de todo o Brasil.
Entre os respondentes, 69% relataram terem feito mais de quatro compras online nós últimos 6 meses. Ao mesmo tempo, apenas 3% disseram não ter efetuado nenhuma compra nesse mesmo período.
Apesar de ainda sofrer com a desconfiança de uma fatia da população, a pesquisa comprovou que a Internet é um canal de vendas importante e bastante procurado hoje em dia. O estudo apontou que 81% dos usuários acessam a Internet com a finalidade de fazer uma compra online, seja em uma loja virtual, em um clube de compras ou em um site de compras coletivas.
A reputação das lojas virtuais e a segurança que elas transmitem para seus clientes são algo relevante a ser levado em conta. Os selos de certificações dados aos varejistas pela qualidade dos serviços prestados e produtos oferecidos durante a venda são os itens de segurança mais importantes a serem observados, de acordo com 70% dos entrevistados.
Ainda de acordo com números revelados pela pesquisa, também 70% dos respondentes se sentem mais seguros com as compras na Internet atualmente do que há dois anos, comprovando que a confiança no comércio eletrônico é crescente.
No entanto, os consumidores ainda se preocupam bastante com o sigilo e com o destino de suas de suas informações pessoais. O possível acesso de terceiros não autorizados à combinação de nome, CPF, cartão de crédito e endereço, com o intuito de serem utilizados para algum tipo de operação fraudulenta, é o motivo para que os consumidores deixem de continuar o processo e não concluam sua intenção de compra.
As regras de negócios do ciberespaço
Empresas que querem participar do ciberespaço precisam observar as regras de negócios desse novo mundo, que está em constante transformação. Nele, nada é estático. Nele, o que está pronto já está velho. Existe uma codificação própria na rede. Com a compilação de vários fatores, sociais e tecnológicos, surgiram os protocolos próprios que ordenam, democraticamente, o comportamento tanto dos usuários como das empresas e instituições públicas e privadas proprietárias dos sites que apresentam conteúdo, ofertam serviços ou são 100% e-commerce.
Muitos dos princípios que regem o ciberespaço já são regulados por organizações específicas, criadas exclusivamente para esse mundo eletrônico, virtual e cibernético. Outros princípios, no entanto, se baseiam no mix das leis estabelecidas, normas de comportamentos ou simplesmente convenções.
A apresentação das credenciais de uma loja virtual, de forma inequívoca, e a observação das boas práticas em relação à política de privacidade e à segurança das informações dos consumidores, são os primeiros passos para se ingressar e permanecer no ciberespaço.
SSL: o valor da confiança ou o elo mais fraco?
Os protocolos SSL (Secure Socket Layer) e TLS (Transport Layer Security) garantem aos sites a identificação conferida por uma Autoridade Certificadora e o sigilo na comunicação entre seus usuários e os servidores de sua organização. São protocolos de internet para criptografia e autenticação baseada em sessão, fornecendo um canal seguro entre o cliente e o servidor.
O SSL foi desenvolvido pela Netscape em 1994. Em 1996, a Netscape cedeu a especificação de SSL para o IETF (Internet Engineering Task Force), que através de seu grupo de trabalho tornou o protocolo SSLv3 no padrão TLS. O TLSv1 é semelhante ao SSLv3, apenas com algumas modificações menores de protocolo.
A primeira versão oficial de TLS foi distribuída em 1999. Desde então, esse protocolo é distribuído e suportado em todos os navegadores e servidores mais importantes da web, bem como em diferentes produtos de software e hardware.
Muitas das discussões dos últimos meses no mundo da tecnologia versam sobre as vulnerabilidades do protocolo SSL/TLS. Porém, os problemas atribuídos ao SSL não estão relacionados à tecnologia, e sim às más práticas. Recentes artigos publicados sobre o tema na mídia mundial mostram que técnicos e cientistas que comandam as grandes organizações que desenvolvem ou utilizam esse protocolo em seus ambientes, produtos ou serviços, compartilham desse mesmo testemunho.
A emissão de um SSL atrelado a uma organização é precedida por processos descritos detalhadamente na Declaração de Práticas de Certificação Digital (DPC) de cada Autoridade Certificadora. O DPC é o principal documento que rege as atividades das Autoridades Certificadoras na adesão à RFC 3647 (Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework). Pode ser lida na íntegra neste link.
Um desses procedimentos é a validação das informações de propriedade do uso do domínio que será atrelado ao certificado SSL. Essa validação é realizada por pessoas, não por máquinas. Além disso, nas tradicionais ACs de grande porte e reconhecidas por sua especialização há ainda a segregação de função entre os profissionais nas várias etapas dessa atividade. Por outro lado, Autoridades Certificadoras criadas recentemente, espalhadas mundo afora, emitem os certificados sem verificação de propriedade do uso de domínio, como uma forma de baratear o preço dos certificados SSL e ganhar mercado.
Aí é que está o ‘xis’da questão: não é possível automatizar o passo crítico, que é a de verificação do titular do certificado. Pagar profissionais para realizar essa tarefa seguindo rigorosos processos é caro, mas não há outra maneira de fazer de forma segura e confiável.
Portanto, o elo fraco não está na tecnologia aplicada aos protocolos SSL, e sim nas más condutas de Autoridades Certificadoras que emitem certificados sem valor e de forma fraudulenta, pois vendem a credibilidade que não entregam. Essas “Autoridades Certificadoras” entregam SSLs instantaneamente, a custos muito baixos, por razões óbvias: não contratam auditorias especializadas.
Muito importante: as ACs também são atestadas por “terceiros de boa fé”, que são as empresas de auditoria como a Webtrust, a mais conceituada para auditar Autoridades Certificadoras. E, esses terceiros, por sua vez, também seguem normas de outras organizações reguladoras, e assim por diante.
Combater essa vulnerabilidade do ecossistema que o SSL contempla é responsabilidade das ACs e dos proprietários dos sites, a partir do momento em que elegem a Autoridade Certificadora que atestará a identidade do seu site aos seus consumidores.
É uma cadeia de confiança até chegar a seu consumidor. E confiança é o elemento fundamental para o comércio eletrônico, porque compromete uma série de fatores essenciais às transações online. Pense e faça a sua parte.
***
Artigo publicado na Revista E-Commerce Brasil, edição 08.
Todos os direitos reservados. Não é permitida a publicação parcial ou total.