Tal como qualquer ambiente digital, lojas e-commerce são sempre um alvo potencial de ataques realizados por agentes maliciosos e a VTEX está sempre trabalhando para proteger nossos clientes de tais ações. Porém, apesar de implementarmos iniciativas como bloqueio de IPs e e-mails suspeitos e garantirmos a criptografia e segurança de dados transacionais (via certificado SSL) e dados internos de nossa plataforma (via proteções de nossos servidores) ainda existem ataques que podem driblar tentativas de segurança.
Um destes ataques é o de tentativas de pedidos em massa, utilizado para validar cartões cujos dados foram vazados. Tal tipo de ataque é facilmente reconhecível por seu comportamento rápido e automatizado, em que múltiplos pedidos são criados em um curto espaço de tempo com os mesmos produtos e endereço de entrega. Ainda que a VTEX tenha iniciativas proativas para lidar com tais ataques, compartilho abaixo algumas configurações que disponibilizamos para garantir a segurança máxima em sua loja:
Ativação do Modo de Proteção contra Ataques
O Modo de Proteção contra Ataques é uma configuração disponível para todas as lojas VTEX, feita para lidar com tentativas de fraude. Você pode verificar nossa documentação sobre ele no admin da loja, seguindo as instruções encontradas aqui.
ReCAPTCHA V3
A VTEX recomenda a utilização de reCAPTCHA sempre que possível, mas uma ferramenta específica que recomendamos é o reCAPTCHA v3, que utiliza um score de qualidade ao invés de uma validação via pop-up e, portanto, é mais difícil de ser burlado em tais cenários.
Nosso time técnico disponibiliza uma documentação completa, dentro de nosso Developer Portal, para a implementação do reCAPTCHA V3 em uma loja VTEX, disponível aqui, e recomendo também a documentação do Google sobre esta mesma ferramenta, acessível aqui.
Configurações de OrderForm
Além disso, temos algumas configurações de segurança disponíveis para o Checkout que podem ser habilitadas via nosso API de Update orderForm configuration e que listo abaixo mas também podem ser encontradas no artigo do help aqui:
1) Configuração de exigir login para fechar compra ( requiresLoginToPlaceOrder )
Esta configuração impede que uma compra seja feita por um shopper não autenticado.
O shopper deve estar logado com o mesmo email declarado no carrinho ou possuir permissões elevadas.
Isso irá efetivamente desabilitar o smartcheckout (compra sem login) tanto para novos usuários quanto para os existentes, forçando todos os shoppers a estarem devidamente identificados, então é a solução mais extrema dentre estas disponíveis.
2) Configuração de tempo mínimo entre dois pedidos ( minimumPurchaseDowntimeSeconds )
Esta configuração determina o tempo mínimo (em segundos) que deve ser aguardado por um cliente para realizar uma nova compra, impedindo que clientes criem múltiplos pedidos em um pequeno período de tempo. A recomendação geral é que o tempo seja definido como de 90 segundos. É importante ressaltar que esta configuração pode ser burlada através da utilização de e-mails diferentes, então seu uso é recomendado em conjunto com a primeira configuração.
3) Configuração de tempo mínimo de vida de um carrinho para usar um novo cartão de crédito ( cartAgeToUseNewCardSeconds )
Esta configuração determina por quanto tempo (em segundos) um novo carrinho precisa existir para que possa ser utilizado um cartão de crédito novo.
Isso impede que atacantes criem diversos carrinhos e insiram cartões de crédito diferentes. Compras feitas com cartões que já estão salvos não são afetadas de maneira alguma. Neste caso, a recomendação geral é que o tempo seja configurado como 30 segundos. Esta solução é a menos abrasiva na navegação de clientes reais, visto que o preenchimento de tal informação por um ser humano tende a levar mais tempo do que o período sugerido.
Além de todas as informações disponibilizadas acima, conforme nosso artigo no help de Boas Práticas contra ataques virtuais, também recomendamos sempre a utilização de sistemas de Anti-Fraude nas cofigurações de pagamento, com uma lista de sistemas recomendados disponível aqui.