Segurança no comércio eletrônico

A segurança no processo de vendas no comércio eletrônico é, ainda, a grande barreira a ser transposta para o crescimento e disseminação desse tipo de atividade comercial, principalmente nos países de economia fraca e em vias de desenvolvimento. As alterações imprevisíveis dessas economias se tornam barreiras complicadas para o desenvolvimento do sistema de comércio eletrônico em larga escala. As alterações em câmbios, mudanças bruscas de moedas e o avanço do processo inflacionário impedem que o ato de compra e venda de informações, antes de se tornarem em compra e venda de produtos ou serviços, sejam operações de difícil assimilação e confiabilidade para os atores participantes do processo.

A confiabilidade na rede tende a se emparelhar ao estabelecimento de um regime de economia estável, que passou a ser a grande investida dos órgãos internacionais de integração econômica, principalmente nos países em desenvolvimento. Esses países contemplam hordas maciças de consumidores ávidos em alcançar o sentimento de pertencimento como cidadãos à medida que participam do mercado de bens e serviços, dos mais básicos aos mais supérfluos. Para tanto, os investimentos em programas que garantam a confiabilidade no sistema são largamente utilizados e aplicados em todas as nações desenvolvidas e, nas demais, para que recebam esses programas e possam se integrar de forma adequada.

Até mesmo no desenvolvimento desses programas são utilizadas técnicas de comércio eletrônico, já que a venda de artigos de informática representam a maior parcela de negócios na rede, conforme a Tabela 2, apresentada no Tópico 3.4, (p. 69).

A chave para a solução da maior parte dos problemas de segurança na rede foi, sem dúvida, a utilização da criptografia nas transações eletrônicas que envolvam a troca de informações confidenciais entre dois ou mais usuários. O funcionamento da criptografia é

simples: um código é utilizado para cifrar a mensagem, no processo conhecido como encriptação, e torná-la incompreensível para qualquer pessoa que a intercepte. Quando a mesma é recebida pelo usuário de destino, o mesmo sistema decodifica o conteúdo da mensagem, no processo de decriptação, e ela poderá ser lida de forma inteligível por esse usuário em seu formato original.

O que garante a tramitação do processo de encriptação e decriptação é a utilização de chaves públicas e privadas que codificam e decodificam o sistema de forma automática. Os processos de encriptação e decriptação são definidos por algorítmos, criando códigos difíceis de serem quebrados, porquanto envolvem possibilidades múltiplas de ordenação de seus elementos. “As técnicas de encriptação baseadas em chaves classificam-se em dois grupos: a criptografia de chaves simétrica (ou secreta) e a criptografia de chave assimétrica (ou pública)” (PINHO, 2000, p. 254). No primeiro modelo, a mesma chave serve ao mesmo tempo para encriptar e decriptar, enquanto no segundo modelo são usadas duas chaves para cada uma das operações, sendo que uma não pode ser inferida a partir da outra. O processamento em chaves públicas depende de regulamentação governamental nos diversos países onde são empregados. “Infra-estrutura de chaves públicas é o dispositivo que governa os certificados. Essencialmente, é um mecanismo para o armazenamento de chaves públicas juntamente com um certificado que identifica o proprietário” (SMITH, 2000, p. 206). Esse sistema, regido por leis claras e que, no Brasil, ainda se encontra em fase de discussão da legislatura, permite que a criptografia seja largamente utilizada no campo da certificação digital. A certificação digital é o documento eletrônico que reconhece se o remetente e o destinatário de uma mensagem são realmente quem dizem ser. Basicamente, o sistema funciona da seguinte forma: uma empresa certificadora, que corresponde ao que seriam os cartórios, emite um par de chaves criptográficas. Uma delas, a chave pública, fica localizada no computador do cliente, usuário final do sistema. A outra, chamada de chave privada, é armazenada no site da empresa. Assim, o destinatário pode entrar na empresa certificadora e conferir quem é o remetente. Esse processo, em comércio eletrônico, se dá em questão de segundos, sem que o usuário se dê conta de que toda essa certificação está acontecendo.

Quando um usuário fornece seus dados pessoais a uma empresa, na rede, ele preenche um formulário padrão que é enviado eletronicamente para a empresa, criptografado automaticamente quando ele dá o comando de envio da página da empresa. Esse formulário é acessado pela empresa certificadora que irá conferir a autenticidade do remetente, que teve sua mensagem encriptada por uma chave particular que estava disponível no site da empresa.

Claro que essa empresa deverá antes ter contratado os serviços da empresa certificadora e, certamente, divulgará a utilização desse serviço em sua página de vendas, para dar garantias ao usuário da segurança obtida no recebimento de seus dados cadastrais. Automaticamente, a certificadora dá um comando para a empresa vendedora que receberá essa mensagem decriptada através de uma chave pública que permita a formatação da mensagem em sua forma original. Usualmente, a empresa vendedora dá um retorno automático para o usuário em sua própria página de vendas, confirmando a operação. Para esse retorno, o caminho percorrido é o inverso, ou seja, a mensagem de confirmação da venda é enviada encriptada por uma chave particular que se encontra no computador da empresa vendedora. Essa mensagem chega até a certificadora que analisa a autenticidade dos dados contidos na mesma e dá um comando para o usuário decodificá-la a partir de uma chave pública, tornando-a inteligível para o usuário. O tempo médio para que toda essa operação descrita seja executado varia em torno de 3 a 4 segundos. Somente essa velocidade na operação é capaz de conferir ao sistema o caráter necessário para se constituir em uma operação de comércio eletrônico, pois concede ao usuário a sensação de uma venda rápida, objetiva e segura.

Para se criar um padrão de utilização da criptografia e segurança nas transações de comércio eletrônico, as duas maiores administradoras de cartões de crédito do mundo, Master Card International e Visa International, criaram o Secure Eletronic Transactions (SET). O sistema utiliza trancas e chaves em conjunto com certificados de identificação por comerciantes e consumidores, através do cumprimento das seguintes etapas de operação:

a) o comprador inicia a transação preenchendo um formulário de compra e uma assinatura de autorização criptografada. O vendedor não pode ler os dados do cartão diretamente, por causa dessa criptografia;

b) o vendedor envia uma autorização para o Banco de Aquisições (Acquiring Bank). O banco lê os dados do cartão de crédito e verifica se a autorização de compra procede;

c) o banco entra em contato com a operadora de cartões de crédito para verificar se a compra pode ser feita (o cartão pode estar bloqueado, ou sem crédito suficiente, por exemplo);

d) a operadora autoriza a compra e assina a transação; e) o banco autoriza a compra e assina a transação;

f) com a operação autorizada, o vendedor pode enviar os bens adquiridos para o comprador;

g) o vendedor requisita, do Banco de Aquisições, o pagamento da operação; h) o banco envia o pagamento de acordo com o contrato entre ele e o vendedor; e i) a operadora de cartões de crédito envia um extrato mensal ao comprador com a operação realizada. (PINHO, 2000, p. 255).

operações de comércio eletrônico é o protocolo Secure Socket Layer (SSL), criado em 1994 pela empresa Netscape e desenvolvido para permitir transações comerciais na Internet. O SSL oferece três serviços básicos de segurança, quais sejam: criptografia, autenticação e integridade. Na maioria das transações utilizando-se esse sistema, os clientes permanecem anônimos. Os usuários conseguem identificar a utilização do sistema SSL por duas convenções visualizáveis: qualquer página que o utilize começa com https: em vez da usual http:; a outra identificação se dá através do browser de navegação que apresenta a figura de um cadeado no canto inferior esquerdo das páginas, no Netscape ou no Internet Explorer.