O e-commerce no Brasil é uma das poucas atividades que mesmo diante da crise econômica e política que o país vive, vai bem obrigado. O recente relatório da Conversion aponta que o faturamento deste segmento no ano de 2016 é estimado em R$69,76 bilhões, com um crescimento de cerca de 25% em relação ao ano anterior.
E o que deveria ser melhorado para alavancar mais as vendas por meio da Internet? Segundo a 33ª edição do relatório Webshoppers do E-Bit/Buscapé, em atenção a pesquisa Omnichannel, 68% dos entrevistados responderam que a segurança dos dados é determinante na decisão da compra pela Internet ou não, ou seja, não ter os dados do cartão clonado poderia aumentar a frequência com que as pessoas compram pela Internet, portanto, fica claro que a segurança digital continua sendo um fator determinante para aumentar as compras pela Internet.
Um item de segurança bastante importante, e que deve receber uma atenção maior na forma correta de sua implementação, é o certificado SSL/TLS. Mas, quais benefícios que uma implementação correta de certificados SSL/TLS pode trazer para um e-commerce?
1) Usuários protegidos de espionagem e adulteração, evitando interceptação de dados sensíveis de usuários e fraudes durante as transações.
2) Aumento da sensação de segurança, pois os usuários podem facilmente verificar a confiança do website no browser, por meio da visualização do cadeado verde na URL.
3) Uma das métricas que o Google utiliza para classificar os melhores websites nos resultados em suas buscas é a presença do certificado SSL/TLS.
4) Instituições financeiras e e-commerce que trafegam dados de cartão de crédito dos usuários devem realizar a implementação, afim de estar em conformidade com normatizações externas como a PCI, por exemplo.
Na pesquisa foram avaliadas as 10 maiores empresas de e-commerce do Brasil, segundo o ranking de 2015 da Sociedade Brasileira de Varejo e Consumo (SBVC). As análises foram realizadas nos websites controlados por cada marca conforme lista a seguir:
Empresa | Website |
B2W Digital | americanas.com |
submarino.com.br | |
shoptime.com.br | |
soubarato.com.br | |
Cnova | casasbahia.com.br |
pontofrio.com.br | |
cdiscount.com.br | |
barateiro.com.br | |
extra.com.br | |
Magazine Luiza | magazineluiza.com.br |
Máquina de Vendas | ricardoeletro.com.br |
insinuante.com.br | |
citylar.com.br | |
salfer.com.br | |
eletroshopping.com.br | |
Privallia | privallia.com |
Netshoes | netshoes.com.br |
GFG | dafiti.com.br |
kanui.com.br | |
tricae.com.br | |
Saraiva | saraiva.com.br |
Walmart Brasil | walmart.com.br |
Fast Shop | fastshop.com.br |
a2you.com.br |
Da lista referida acima, apenas oito websites possuem implementação de certificado SSL/TLS no domínio primário, dez websites possuem uma implementação de certificado SSL/TLS apenas em subdomínio, e seis websites não possuem certificado SSL/TLS implementado, como pode ser observado na figura a seguir:
Entendendo os riscos de cada implementação:
Riscos na implementação de SSL/TLS | SSL/TLS Domínio Primário | SSL/TLS Apenas Subdomínio | SSL/TLS Sem Certificado |
Interceptação de dados de pagamento (cartão) | X | ||
Fraude nos dados de pagamento (boleto) | X | ||
Interceptação de dados/preferências do usuário | X | X | |
Interceptação de dados da autenticação do usuário | X | ||
Redirecionar o usuário para um site malicioso | X | X | |
Roubo de sessão do usuário | X | X | |
Outros |
Na segunda parte deste estudo, foi avaliada a qualidade das implementações SSL/TLS dos e-commerce que possuem “SSL/TLS no domínio primário do website”.
Empresa | Website |
Magazine Luiza | magazineluiza.com.br |
GFG | dafiti.com.br |
kanui.com.br | |
tricae.com.br | |
Saraiva | saraiva.com.br |
Walmart Brasil | walmart.com.br |
Fast Shop | fastshop.com.br |
a2you.com.br |
Resultados da Pesquisa:
A maior nota entre os principais websites de ecommerce no Brasil ficou para uma empresa gringa. A walmart.com.br tirou grade A+ com implementação SSL/TLS em todo o website e ainda com política HSTS (HTTP Strict Transport Security) que possibilita aos navegadores web negociar apenas via protocolo seguro https e nunca via http evitando assim ataques de protocol downgrade e cookie hijacking. Para mais informações sobre a política HSTS consulte a RFC 6797.
Referências:
Qualys SSL LABS: https://www.ssllabs.com/
Pesquisa Webshoppers:http://img.ebit.com.br/webshoppers/pdf/33_webshoppers.pdf
Relatório Conversion: http://www.conversion.com.br/blog/e-commerce-deve-movimentar-r-6976-bilhoes-em-2016/
Pesquisa SBVC: http://sbvc.com.br/ranking-sbvc-50-maiores-empresas-de-e-commerce-brasileiro/ranking-sbvc-50-maiores-empresas-de-e-commerce-brasileiro/
* Marcos Vinicius M. da Silva Junior é consultor em segurança da informação
Fonte: http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=43115&sid=15