Ellen Richey, chefe de riscos e políticas públicas da Visa, fala sobre as estratégias de segurança da empresa
São Paulo – Cada vez que você usar seu cartão Visa para uma compra, lembre com carinho de Ellen Richey. Ela é vice-presidente do conselho da Visa e responsável pelas áreas de risco e políticas públicas da empresa. Em poucas linhas, o trabalho de Richey e sua equipe envolve garantir que o futuro (e o presente) dos pagamentos seja o mais seguro possível.
“Se você quiser dizer que meu trabalho é deixar o futuro seguro, eu vou adorar. Mas temos problemas do passado com os quais ainda temos que lidar”, disse Richey em entrevista. A referência ao passado é por conta da transição entre cartões de fita magnética para aqueles com chip que vem acontecendo nos EUA–um movimento bastante tardio, aliás.
O trabalho da executiva envolve pensar maneiras de definir a segurança dos dados de forma que isso seja eficaz em mercados desenvolvidos como europeu e norte-americano e também para países em desenvolvimento. Negócios: Cinco ações para proteger os dados de sua empresa
Veja abaixo os melhores momentos da conversa que EXAME.com teve com a executiva em uma passagem recente pelo Brasil.
EXAME.com: A cadeia de pagamentos hoje está mais preocupada com segurança?
Ellen Richey: Globalmente existe uma preocupação maior, mas ainda varia de acordo com o país. Recentemente, tivemos vazamentos de dados nos Estados Unidos. Isso traz maior atenção aos membros da cadeia de pagamentos e para o que pode ser feito para prevenir problemas no futuro.
Ainda temos as novas tecnologias. O mundo está mudando rápido e as pessoas querem acompanhar essas mudanças, mas querem permanecer seguras. Consumidores sabem que cartões são seguros. Mas quando usam um telefone, por exemplo, querem saber se aquele método de pagamento é seguro—e, na verdade, um telefone pode ser ainda mais seguro do que os cartões.
Como esse aumento da atenção sobre a segurança e o aumento do interesse por novas tecnologias afeta seu trabalho na Visa?
Nós recebemos muita atenção (risos).
E isso é bom?
É bom porque conseguimos mobilizar as pessoas. Também podemos trabalhar com novas tecnologias e deixar o futuro seguro, em vez de apenas reparar brechas deixadas no passado. É mais animador e recompensador.
Então seu trabalho é fazer do futuro um lugar seguro?
Bem, cartões magnéticos são extremamente vulneráveis, mas foram um grande negócio quando lançados. Graças a eles, bancos puderam acompanhar transações em tempo real. Isso derrubou as fraudes em nível global. A era do hacking fez essa tecnologia virar vulnerabilidade, então temos de corrigir isso agora. Os EUA passaram a usar chip, que resolve esse problema, nos últimos dois anos. Então ainda não cuidamos disso de forma integral. Se você quiser dizer que meu trabalho é deixar o futuro seguro, eu vou adorar. Mas temos problemas do passado com os quais ainda temos que lidar.
E como dizer para consumidores que essas mudanças são importantes?
Por aqui isso não é um problema, já que é uma história antiga [a adoção de cartões com chip]. Mas nos EUA a transição para cartões com chip tem sido algo enorme. A Visa tem um website, bastante simples, ensinando como usar. Mas mesmo assim… Bom, no final não é tão intuitivo para algumas pessoas.
Eu pergunto até em um sentido mais amplo. Acho que o consumidor médio não quer detalhes sobre a segurança.
Eu acredito que esse é exatamente nosso trabalho: cuidar da segurança para que o consumidor não tenha que se preocupar com isso. Qual o problema principal na transição para chips? Você tem que dizer ao consumidor que ele terá uma experiência diferente. E você também quer comunicar que existe um benefício de segurança. Então queríamos mostrar que estávamos agindo contra brechas de segurança, como a que ocorreu em 2013. Nós tivemos um material grande: site, campanhas, folhetos, entre outras coisas.
Esse exemplo mostra apenas uma diferença entre o Brasil e os EUA. No mundo, isso acontece em uma escala ainda maior. Como pensar a segurança quando se lida com mercados tão diferentes?
Nós tentamos manter um norte e organizamos nosso pensamento em pilares de segurança. O primeiro é proteger, junto a outros membros da cadeira de pagamento, os dados. O segundo é tirar o valor das informações. Isso garante que não seja possível, por exemplo, comprar algo pessoalmente sem o seu cartão de chip [que funciona somente com a autenticação do chip]. Mesmo com os dados, é impossível fazer uma transação, então os dados são inúteis sozinhos. O problema é que sabemos fazer isso para compras pessoais, mas você poderia usar os dados para uma compra online. Esta é uma grande prioridade neste momento para nós.
O terceiro pilar é trocar dados entre participantes da cadeia para prevenir fraudes. Informações como geolocalização podem ajudar a identificar uma fraude. Temos algoritmos capazes de aprender, por machine learning, a encontrar fraudes. O quarto pilar é trazer o consumidor à equação. Não queremos o consumidor preocupado com isso, mas ele se sente bem ao ser parte. Então temos o alerta de uso do cartão. Se eu perceber que estou sem meu cartão, posso ficar tranquila ao saber que, caso ele seja usado, eu receberei um alerta. Posso regular limites e falar que o cartão pode ser usado em um local e não em outro.
Esses pilares permanecem intocados com novidades como a internet das coisas? Como pensar em um cenário com bilhões de objetos conectados com informações sensíveis?
Bem, isso é um pouco assustador. Para que um objeto se conecte à rede da Visa, temos uma porção de obrigações que devem ser obedecidas pelo fabricante ou desenvolvedor. Com isso, temos uma segurança do mesmo nível, ou ainda mais sofisticada, do que um cartão com chip. Se você parar para pensar em geladeiras conectadas ou uma máquina de lavar conectada, temos soluções de hardware e de software para a proteção. Mas os pilares permanecem intocados e servem para este cenário também.
Qual é a importância de que governos ou a indústria criem padrões de segurança para novas tecnologias?
A indústria já está andando nesse sentido.Com a chegada do Apple Pay, por exemplo, nós, MasterCard e American Express criamos um padrão rapidamente. Se esperarmos pela chegada de padrões governamentais, o cenário fica mais nebuloso. Não sei no Brasil, mas nos EUA demoraria muito. Por lá, esse tipo de padrão da indústria acaba sendo acatado pelo banco central e outros órgãos do governo.
Como a proliferação de fintechs mudou a Visa? Vocês pensam diferente hoje?
Esse movimento todo incentiva uma mudança em toda a forma como o comércio funciona. Estamos apenas no começo dessa evolução, na minha opinião. Social, mobile, o consumidor no centro de tudo… Quando pensamos nisso, vemos novas oportunidades para nossos parceiros. Nossa ideia é fazer parcerias com esse pessoal e traze-los ao nosso sistema. Vamos combinar, eles não estão interessados em criar uma cadeia global de pagamentos, pensando em escala mundial e segurança.
A Visa tem iniciativas de centros para desenvolvedores onde eles podem criar apps com novas experiências [o escritório de São Paulo conta com um centro como esse]. Nós queremos expandir o sistema de pagamentos. Mas mesmo assim, temos que ter cuidado. Nós tentamos acelerar o crescimento desses novos personagens, mas temos que manter padrões de segurança e não permitir acesso livre às nossas APIs, o que acaba desacelerando um pouco esse processo.
Como o foco em tecnologia que a Visa tem adotado afeta o modo como vocês pensam em segurança?
Nós temos novas partes do time que não existiam antes. Mas não mudou em nada a forma como pensamos na segurança. Sempre olhamos para o futuro e tentamos deixa-lo seguro. Se você olhar, em 2011 tínhamos os mesmos pilares de segurança. Eles não mudaram.
Em termos do que mudou, eu acho que hoje temos muito mais no que prestar atenção. As novas tecnologias trazem novas oportunidades para deixar tudo seguro—telefones trazem informações que nos ajudam nessa tarefa, para dar somente um exemplo.
Mas essas novas tecnologias são também oportunidade para ataques?
Sim. O elemento humano sempre vai trazer oportunidades de ataques. Hoje você pode coletar informações pessoais de alguém em redes sociais e usar em um ataque de phishing por e-mail. No final das contas, o ataque é ao elemento humano, que será sempre uma brecha de segurança. Por dentro do assunto: 51% das empresas no Brasil já sofreram sequestro de sistemas
Então temos mais chances de ataque, mas também de combate aos ataques. As coisas parecem se equilibrar. Hoje estamos em um cenário melhor ou pior do que quando você começou a trabalhar na Visa [em 2007]?
Definitivamente é melhor. Quando comecei, tínhamos cartões com tarjas magnéticas como maioria. O tempo nos trouxe outras ferramentas, como big data, que é essencial na identificação de fraudes. Estamos caminhando para chegar ao machine learning para valer. Tudo isso andou muito desde que cheguei.
Ao mesmo tempo, essa indústria de crime também evolui. Então tentamos combater com nossa divisão de cyber inteligência, que aprende o que hackers estão usando e como estão trabalhando. Mas sendo direta: se você olhar os números, as fraudes globais estão mais baixas e estáveis. A balança pende para o nosso lado.
Fonte EXAME