Fraude em e-commerce é um problema real. O Brasil é um dos países com maior taxa de fraude em transações online. Entender como funciona a proteção, o que é responsabilidade sua e o que é do gateway é essencial para qualquer loja virtual.

Quem é responsável pela segurança do pagamento

A responsabilidade é compartilhada em camadas:

Gateway de pagamento: responsável pela transmissão segura dos dados do cartão, conformidade com PCI DSS, antifraude nas transações.

Plataforma de e-commerce: responsável pela segurança do software, atualizações, acesso ao painel.

Lojista: responsável pela autenticação de acesso ao painel, configuração correta do gateway, não armazenar dados de cartão, backup dos dados.

Hospedagem: responsável pela infraestrutura do servidor, SSL, atualizações de sistema operacional.

A boa notícia: quando você usa um gateway certificado (Mercado Pago, PagSeguro, Pagar.me, Cielo), a parte mais crítica da segurança de pagamento fica com eles.

Nunca armazene dados de cartão

A regra mais importante: nunca armazene, transmita ou processe dados de cartão de crédito nos seus sistemas. Essa é a responsabilidade do gateway.

Quando você usa um gateway certificado PCI DSS, os dados do cartão do cliente nunca passam pelo seu servidor. O token ou a tokenização do cartão fica no sistema do gateway.

Armazenar dados de cartão sem certificação PCI DSS é ilegal e gera responsabilidade civil e criminal.

SSL - Certificado de segurança

SSL (Secure Sockets Layer) criptografa a comunicação entre o navegador do cliente e o servidor. É identificado pelo cadeado verde e pelo “https://” na URL.

Todo site de e-commerce deve ter SSL ativo. É condição mínima de segurança e obrigatório para processar pagamentos com todos os gateways.

Certificados SSL gratuitos (Let’s Encrypt) são suficientes para a maioria das lojas. Certificados Extended Validation (EV) mostram o nome da empresa na barra de endereço - mais comum em bancos e grandes e-commerces.

Antifraude: o que é e como funciona

Antifraude é um sistema que analisa cada transação em tempo real e atribui um score de risco. Transações com alto risco são bloqueadas ou enviadas para revisão manual.

Fatores analisados:

  • Localização do IP vs. endereço de entrega
  • Velocidade de digitação (muito rápido pode ser bot)
  • Histórico do CPF em compras anteriores
  • Correspondência entre dados do cartão e do titular
  • Valor da compra vs. padrão histórico

A maioria dos gateways principais inclui antifraude. Gateways como Pagar.me permitem configurar a sensibilidade do antifraude (mais restritivo = menos fraudes, mas também mais recusas legítimas).

Chargebacks: o principal risco para o lojista

Chargeback é quando o titular do cartão contesta a transação com o banco. O banco retorna o valor ao titular e debita do lojista.

Causas de chargeback:

  • Fraude genuína (cartão clonado ou roubado)
  • “Fraude amigável” (cliente recebeu mas alega que não)
  • Produto não entregue ou diferente do descrito
  • Cobrança duplicada

Como reduzir chargebacks:

  • Use antifraude do gateway
  • Envie rastreamento de entrega para o cliente
  • Mantenha confirmação de compra com todos os detalhes
  • Tenha política de devolução clara e fácil de acionar (reduz “fraude amigável”)
  • Para produtos de alto valor, exija assinatura digital na entrega

PIX não tem chargeback - pagamento confirmado é definitivo. Isso reduz risco para o lojista.

Configurações de segurança no painel da loja

  • Autenticação em dois fatores (2FA) para acesso ao painel
  • Senha forte e única (não reutilize senhas)
  • Acesso restrito por IP (se você só acessa de locais fixos)
  • Monitoramento de acessos suspeitos
  • Backup diário dos dados da loja
Segurança em E-commerce

Quer uma loja virtual segura desde o início?

Desenvolvemos lojas com SSL, gateway certificado, antifraude configurado e boas práticas de segurança implementadas.

Criar loja virtual segura

FAQ

Preciso de certificação PCI DSS para ter loja virtual?

Se você usa um gateway certificado e não armazena dados de cartão nos seus sistemas, não precisa obter a certificação PCI DSS individualmente. O gateway é o responsável pela conformidade PCI na parte de processamento. Você precisa garantir que o ambiente (site, servidor) é seguro, mas a certificação completa fica com o gateway.

O que fazer se minha loja foi hackeada?

  1. Tire a loja do ar imediatamente para evitar mais danos
  2. Notifique o gateway e a hospedagem
  3. Restaure a partir de backup limpo (anterior ao comprometimento)
  4. Atualize todas as senhas
  5. Identifique como a invasão aconteceu (plugin vulnerável, senha fraca)
  6. Avalie se dados de clientes foram acessados - se sim, a LGPD exige notificação
  7. Recoloque no ar somente após resolver a vulnerabilidade

Clientes devem confiar em pagar em loja desconhecida?

Esta é uma objeção real. Para aumentar confiança: use gateway reconhecido (Mercado Pago, PagSeguro), exiba selos de segurança, tenha política de devolução clara, mostre CNPJ e dados de contato reais, ative avaliações de clientes. Checkout transparente (não redirecionar para outra página) também aumenta confiança.

SSL gratuito (Let’s Encrypt) é seguro o suficiente?

Sim, para segurança técnica. Let’s Encrypt oferece o mesmo nível de criptografia TLS que certificados pagos. A diferença dos certificados pagos é o nível de validação da identidade (quem é você) e o prazo de renovação (Let’s Encrypt renova a cada 90 dias, geralmente de forma automática). Para e-commerces, Let’s Encrypt é amplamente aceito e seguro.