8 dicas para usar a plataforma da Adyen com mais segurança

A plataforma global de pagamentos da Adyen fornece vários dispositivos de segurança. Mas cabe a cada empresa utilizá-los, a fim de prevenir invasões, ataques e comprometimento de dados.

Conversamos com Leandro Quibem Magnabosco, especialista em segurança da Adyen, que deu dicas preciosas para utilizar a plataforma de pagamentos com o máximo de segurança possível.

“Há também ações, treinamentos e cuidados que as empresas podem adotar em seu próprio ambiente de trabalho”, afirma. Treinamentos anti-phishing aos funcionários, por exemplo, são eficazes no combate ao vazamento de dados. Além disso, os estabelecimentos precisam realizar a integração de seus próprios websites e aplicativos com cuidado - a Adyen não é capaz de monitorar a movimentação fora de sua plataforma.

Confira, abaixo, oito dicas importantes para utilizar a plataforma global da Adyen com muito mais segurança.

Ao contratar a plataforma da Adyen, o cliente passa pelo processo de onboarding, quando seus acessos são configurados. O primeiro passo é entrar na Área do Cliente e criar um usuário web.

Munido de login e senha, esse usuário pode criar chaves API (ou API keys): são sequências, complexas e longas, compostas por caracteres aleatórios. Essas chaves dão acesso à plataforma, sem exigir nome de usuário e senha.

Ou seja: qualquer pessoa que possua a chave API pode acessar o sistema e fazer alterações, que serão registradas como se tivessem sido realizadas pelo usuário web. A recomendação aqui é não compartilhar esta chave com ninguém e utilizá-la somente na plataforma do cliente para acessar as funcionalidades da plataforma da Adyen.

A AllowList (ou lista de permissões) é a ferramenta que pode bloquear acessos indesejados - inclusive de pessoas que tenham conseguido a chave API.

Na Área do Cliente, é possível listar IPs que podem acessar a plataforma através da chave API criada pelo cliente. Assim, por exemplo, equipamentos que não estão conectados à rede da empresa terão acesso negado.

A mesma empresa pode ter vários usuários web diferentes - basta criá-los na Área do Cliente.

É recomendada a criação de usuário (e senha) para cada funcionário. Assim, há um maior controle dentro da plataforma: os serviços realizados, as ações e acesso de cada usuário ficam registradas. Além disso, com os próprios logins, cada usuário pode criar chaves API, gerenciar AllowLists e mais.

Não compartilhe o mesmo usuário com várias pessoas. Muitas empresas cometem o erro de utilizar um único usuário compartilhado entre os funcionários. Isso impossibilita a distinção de ações na plataforma entre os diferentes usuários, pois todas as ações têm a mesma conta como origem. Isso dificulta a detecção de ações maliciosas e a atribuição de alterações aos usuários da conta.

Essa é uma dica básica, mas não custa reforçar: não use senhas muito simples, que tenham poucos caracteres. As senhas com 8 caracteres ou menos requerem apenas 30 segundos para quebrá-las, mesmo que misturem números, letras e caracteres especiais.

Mesmo que a senha do usuário seja forte, ela pode não ser suficiente para garantir a segurança. Que tal, então, ativar a autenticação de múltiplos fatores?

Se a sua conta é do tipo Merchant Admin, você pode habilitar a autenticação por múltiplos fatores da sua empresa, que possui dois modos de configuração:

Dispositivos diversos podem ser utilizados para habilitar outros fatores de autenticação. Certos dispositivos disponibilizam a opção de biometria (quando liberamos o acesso com nossa impressão digital ou reconhecimento facial) e o OTP Token: um aplicativo no smartphone do usuário gera uma sequência numérica, como uma chave de acesso, que é válida por pouco tempo.

Dessa forma, mesmo que a senha tenha sido comprometida, o invasor não conseguirá realizar o acesso apenas com ela.

Ao receber os equipamentos para pagamentos enviados pela Adyen, verifique se eles foram entregues em perfeitas condições: a embalagem deve estar intacta, os selos de segurança não podem ter sido removidos, o número de série e o número do selo de segurança devem ser os mesmos que estão na sua Área do Cliente.

O pagamento deve ficar em um local seguro do estabelecimento, de preferência monitorado por câmeras de segurança. Mas é preciso tomar outros cuidados. A câmera, por exemplo, precisa registrar o local, mas não deve ser capaz de gravar a senha que os clientes digitam na hora do pagamento.

Dentro dos equipamentos, há chaves que os conectam à rede da Adyen.

Em caso de extravio ou de roubo, avise a equipe da Adyen imediatamente, para que a chave possa ser desativada. Além disso, é importante manter um inventário com o registro de máquinas ativas e inativas - assim, a fiscalização fica mais fácil.

Habilite a atualização automática das máquinas, para garantir que os equipamentos estejam sempre seguros.

Quer saber mais sobre segurança na plataforma da Adyen? Acesse o Guia de Segurança de Integração (em inglês) ou fale com um de nossos atendentes.