Compartilhar
A plataforma global de pagamentos da Adyen fornece vários dispositivos de segurança. Mas cabe a cada empresa utilizá-los, a fim de prevenir invasões, ataques e comprometimento de dados.
Conversamos com Leandro Quibem Magnabosco, especialista em segurança da Adyen, que deu dicas preciosas para utilizar a plataforma de pagamentos com o máximo de segurança possível.
“Há também ações, treinamentos e cuidados que as empresas podem adotar em seu próprio ambiente de trabalho”, afirma. Treinamentos anti-phishing aos funcionários, por exemplo, são eficazes no combate ao vazamento de dados. Além disso, os estabelecimentos precisam realizar a integração de seus próprios websites e aplicativos com cuidado - a Adyen não é capaz de monitorar a movimentação fora de sua plataforma.
Confira, abaixo, oito dicas importantes para utilizar a plataforma global da Adyen com muito mais segurança.
1. Cuidado com chaves API
Ao contratar a plataforma da Adyen, o cliente passa pelo processo de onboarding, quando seus acessos são configurados. O primeiro passo é entrar na Área do Cliente e criar um usuário web.
Munido de login e senha, esse usuário pode criar chaves API (ou API keys): são sequências, complexas e longas, compostas por caracteres aleatórios. Essas chaves dão acesso à plataforma, sem exigir nome de usuário e senha.
Ou seja: qualquer pessoa que possua a chave API pode acessar o sistema e fazer alterações, que serão registradas como se tivessem sido realizadas pelo usuário web. A recomendação aqui é não compartilhar esta chave com ninguém e utilizá-la somente na plataforma do cliente para acessar as funcionalidades da plataforma da Adyen.
2. Utilize a AllowList
A AllowList (ou lista de permissões) é a ferramenta que pode bloquear acessos indesejados - inclusive de pessoas que tenham conseguido a chave API.
Na Área do Cliente, é possível listar IPs que podem acessar a plataforma através da chave API criada pelo cliente. Assim, por exemplo, equipamentos que não estão conectados à rede da empresa terão acesso negado.
3. Crie usuários diferentes
A mesma empresa pode ter vários usuários web diferentes - basta criá-los na Área do Cliente.
É recomendada a criação de usuário (e senha) para cada funcionário. Assim, há um maior controle dentro da plataforma: os serviços realizados, as ações e acesso de cada usuário ficam registradas. Além disso, com os próprios logins, cada usuário pode criar chaves API, gerenciar AllowLists e mais.
Não compartilhe o mesmo usuário com várias pessoas. Muitas empresas cometem o erro de utilizar um único usuário compartilhado entre os funcionários. Isso impossibilita a distinção de ações na plataforma entre os diferentes usuários, pois todas as ações têm a mesma conta como origem. Isso dificulta a detecção de ações maliciosas e a atribuição de alterações aos usuários da conta.
4. Crie senhas seguras
Essa é uma dica básica, mas não custa reforçar: não use senhas muito simples, que tenham poucos caracteres. As senhas com 8 caracteres ou menos requerem apenas 30 segundos para quebrá-las, mesmo que misturem números, letras e caracteres especiais.
Prefira criar senhas com mais de 12 caracteres, que apresentam maior dificuldade para serem desvendadas e fornecem muito mais segurança. Além disso, lembre-se de trocá-las uma vez por ano.
5. Autenticação de múltiplos fatores, uma aliada poderosa
Mesmo que a senha do usuário seja forte, ela pode não ser suficiente para garantir a segurança. Que tal, então, ativar a autenticação de múltiplos fatores?
Se a sua conta é do tipo Merchant Admin, você pode habilitar a autenticação por múltiplos fatores da sua empresa, que possui dois modos de configuração:
- Opt-in, ou Opcional – Cada usuário da sua companhia com conta na Adyen podem escolher se habilitam ou não a autenticação de múltiplos fatores. É possível verificar se um usuário possui esta configuração dentro da seção Users através da geração de um Company Report.
- Forced, ou Forçado – Todos os usuários da sua companhia que tem conta na Adyen irão receber uma mensagem para configurar outros fatores de autenticação ao realizar seu próximo login na área do Cliente. Utilizar este método aumenta muito a segurança das suas contas na Área do Cliente.
Dispositivos diversos podem ser utilizados para habilitar outros fatores de autenticação. Certos dispositivos disponibilizam a opção de biometria (quando liberamos o acesso com nossa impressão digital ou reconhecimento facial) e o OTP Token: um aplicativo no smartphone do usuário gera uma sequência numérica, como uma chave de acesso, que é válida por pouco tempo.
Dessa forma, mesmo que a senha tenha sido comprometida, o invasor não conseguirá realizar o acesso apenas com ela.
6. Verifique os equipamentos ao recebê-los
Ao receber os equipamentos para pagamentos enviados pela Adyen, verifique se eles foram entregues em perfeitas condições: a embalagem deve estar intacta, os selos de segurança não podem ter sido removidos, o número de série e o número do selo de segurança devem ser os mesmos que estão na sua Área do Cliente.
7. Escolha um bom lugar para os terminais de pagamento
O pagamento deve ficar em um local seguro do estabelecimento, de preferência monitorado por câmeras de segurança. Mas é preciso tomar outros cuidados. A câmera, por exemplo, precisa registrar o local, mas não deve ser capaz de gravar a senha que os clientes digitam na hora do pagamento.
8. Fique de olho nos equipamentos
Dentro dos equipamentos, há chaves que os conectam à rede da Adyen.
Em caso de extravio ou de roubo, avise a equipe da Adyen imediatamente, para que a chave possa ser desativada. Além disso, é importante manter um inventário com o registro de máquinas ativas e inativas - assim, a fiscalização fica mais fácil.
Habilite a atualização automática das máquinas, para garantir que os equipamentos estejam sempre seguros.
Quer saber mais sobre segurança na plataforma da Adyen? Acesse oGuia de Segurança de Integração (em inglês)ou fale com um de nossos atendentes.
Inscreva-se para receber nossa newsletter
Mande sua solicitação
Eu confirmo ter lido a Política de Privacidade da Adyen e concordo que meus dados sejam utilizados como descreve o documento.