O uso do SSL/TLS nos 10 maiores e-commerce do Brasil

Autor: Marcos Vinicius M. da Silva Junior (Consultor em segurança da informação)

O e-commerce no Brasil é uma das poucas atividades que mesmo diante da crise econômica e política que o país vive, vai bem obrigado. O recente relatório da Conversion aponta que o faturamento deste segmento no ano de 2016 é estimado em R$69,76 bilhões, com um crescimento de cerca de 25% em relação ao ano anterior.

E o que deveria ser melhorado para alavancar mais as vendas por meio da Internet? Segundo a 33ª edição do relatório Webshoppers do E-Bit/Buscapé, em atenção a pesquisa Omnichannel, 68% dos entrevistados responderam que a segurança dos dados é determinante na decisão da compra pela Internet ou não, ou seja, não ter os dados do cartão clonado poderia aumentar a frequência com que as pessoas compram pela Internet, portanto, fica claro que a segurança digital continua sendo um fator determinante para aumentar as compras pela Internet.

Um item de segurança bastante importante, e que deve receber uma atenção maior na forma correta de sua implementação, é o certificado SSL/TLS. Mas, quais benefícios que uma implementação correta de certificados SSL/TLS pode trazer para um e-commerce?

1) Usuários protegidos de espionagem e adulteração, evitando interceptação de dados sensíveis de usuários e fraudes durante as transações.

2) Aumento da sensação de segurança, pois os usuários podem facilmente verificar a confiança do website no browser, por meio  da visualização do cadeado verde na URL.

3) Uma das métricas que o Google utiliza para classificar os melhores websites nos resultados em suas buscas é a presença do certificado SSL/TLS.

4) Instituições financeiras e e-commerce que trafegam dados de cartão de crédito dos usuários devem realizar a implementação, afim de estar em conformidade com normatizações externas como a PCI, por exemplo.

Na pesquisa foram avaliadas as 10 maiores empresas de e-commerce do Brasil, segundo o ranking de 2015 da Sociedade Brasileira de Varejo e Consumo (SBVC). As análises foram realizadas nos websites controlados por cada marca conforme lista a seguir:

Empresa Website
B2W Digital americanas.com
submarino.com.br
shoptime.com.br
soubarato.com.br
Cnova casasbahia.com.br
pontofrio.com.br
cdiscount.com.br
barateiro.com.br
extra.com.br
Magazine Luiza magazineluiza.com.br
Máquina de Vendas ricardoeletro.com.br
insinuante.com.br
citylar.com.br
salfer.com.br
eletroshopping.com.br
Privallia privallia.com
Netshoes netshoes.com.br
GFG dafiti.com.br
kanui.com.br
tricae.com.br
Saraiva saraiva.com.br
Walmart Brasil walmart.com.br
Fast Shop fastshop.com.br
a2you.com.br

Da lista referida acima, apenas oito websites possuem implementação de certificado SSL/TLS no domínio primário, dez websites possuem uma implementação de certificado SSL/TLS apenas em subdomínio, e seis websites não possuem certificado SSL/TLS implementado, como pode ser observado na figura a seguir:

Entendendo os riscos de cada implementação:

Riscos na implementação de SSL/TLS SSL/TLS Domínio Primário SSL/TLS Apenas Subdomínio SSL/TLS
Sem Certificado
Interceptação de dados de pagamento (cartão) X
Fraude nos dados de pagamento (boleto) X
Interceptação de dados/preferências do usuário X X
Interceptação de dados da autenticação do usuário X
Redirecionar o usuário para um site malicioso X X
Roubo de sessão do usuário X X
Outros

Na segunda parte deste estudo, foi avaliada a qualidade das implementações SSL/TLS dos e-commerce que possuem “SSL/TLS no domínio primário do website”.

Empresa Website
Magazine Luiza magazineluiza.com.br
GFG dafiti.com.br
kanui.com.br
tricae.com.br
Saraiva saraiva.com.br
Walmart Brasil walmart.com.br
Fast Shop fastshop.com.br
a2you.com.br

Resultados da Pesquisa:

A maior nota entre os principais websites de ecommerce no Brasil ficou para uma empresa gringa. A walmart.com.br tirou grade A+ com implementação SSL/TLS em todo o website e ainda com política HSTS (HTTP Strict Transport Security) que possibilita aos navegadores web negociar apenas via protocolo seguro https e nunca via http evitando assim ataques de protocol downgrade e cookie hijacking. Para mais informações sobre a política HSTS consulte a RFC 6797.

Referências:

Qualys SSL LABS: https://www.ssllabs.com/
Pesquisa Webshoppers:http://img.ebit.com.br/webshoppers/pdf/33_webshoppers.pdf
Relatório Conversion: http://www.conversion.com.br/blog/e-commerce-deve-movimentar-r-6976-bilhoes-em-2016/
Pesquisa SBVC: http://sbvc.com.br/ranking-sbvc-50-maiores-empresas-de-e-commerce-brasileiro/ranking-sbvc-50-maiores-empresas-de-e-commerce-brasileiro/

Fonte: Convergencia Digital

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s