Os e-commerces são ambientes com alto volume de transações financeiras e de circulação de dados pessoais sensíveis. Por conta disso, essas plataformas se tornam alvos dos criminosos cibernéticos.
Nesse contexto, o Pentest para e-commerces é uma ferramenta essencial para identificar falhas de segurança, simulando ataques reais para avaliar o nível de proteção daquele ambiente.
No contexto dos e-commerces, o Pentest contribui para:
- Proteção contra ciberataques
- Identificação de riscos e vulnerabilidades
- Conformidade com normas e regulamentações, como PCI DSS e LGPD
Foi o que aconteceu com a Galax Commerce, que movimenta milhões por ano e procurou a Vantico para reforçar o nível de proteção dos seus ativos. Neste artigo, iremos detalhar como a Vantico fez isso.
Resumo Executivo
A Galax Commerce é uma empresa de e-commerces que movimenta milhões de reais por ano, e procurou a Vantico para testar a segurança de suas plataformas.
Ao longo do teste, identificamos vulnerabilidades de alto impacto, que poderiam trazer graves consequências para o negócio, mas foram corrigidas com as recomendações da Vantico.
Sobre o cliente
A Galax Commerce é uma empresa que atua com a gestão e desenvolvimento de e-commerces, trazendo soluções tecnológicas e inovadoras que impulsionam as vendas de milhares de lojas virtuais em todo o Brasil.
Com mais de 10 anos de mercado, a Galax já criou mais de 5 mil lojas e movimenta, em média, R$10 milhões em vendas por ano.
Pentest para e-commerce: desafios e soluções
A Galax Commerce e, consequentemente, seus clientes dependem totalmente do bom funcionamento dos seus ativos digitais para vender.
A empresa entendeu a necessidade dos testes de intrusão (Pentest), visando identificar e mitigar possíveis vulnerabilidades de segurança que poderiam prejudicar suas operações e de seus clientes.
Afinal, plataformas de e-commerce estão sujeitas a ameaças como:
- Política de senhas fraca
- Ataques de força bruta
- Erros de lógica de negócio
- Cross-Site Scripting
- Injeção de SQL
- Insecure direct object references (IDOR)
- Escalonamento de privilégios
- E vários outros.
Com base nisso, a Galax partiu para a escolha do melhor fornecedor. Após uma pesquisa detalhada, encontraram e escolheram a Vantico, que se destacou por sua postura proativa, ágil, descomplicada e contínua.
Dessa forma, então, executamos um Pentest nas Aplicações Web da empresa, avaliando as plataformas de e-commerce e seus desdobramentos.
O teste baseou-se em frameworks validados, como o OWASP Web Security Testing Guide e PTES.
Além disso, por lidar com pagamentos por cartão de crédito, as exigências e recomendações do PCI DSS também orientaram o escopo do Pentest.
Resultados obtidos
Ao longo do teste, todas as vulnerabilidades críticas encontradas foram notificadas em tempo real à Galax, por meio da plataforma da Vantico. E, ao final, nossos especialistas enviaram recomendações para todas as correções.
Como resultado, a Galax Commerce:
- Mapeou vulnerabilidades críticas e altas
- Recebeu recomendações personalizadas sobre a mitigação
- Realizou ações importantes para adequação à PCI DSS
- Identificou pontos de melhoria na resposta a incidentes
- Reduziu as chances de ataques e vazamentos
- Aumentou os níveis de segurança para seus clientes
Para Márcio Silva, CEO da Galax Commerce, “a parceria com a Vantico nos trouxe muita clareza sobre as falhas existentes em nossos sistemas. Agora a Galax tem muito mais segurança e estabilidade para crescer!”
A plataforma
Todos esses benefícios foram possíveis porque a Vantico conta com uma plataforma própria, onde os clientes podem:
- Solicitar Pentests a qualquer momento
- Visualizar os resultados de todos os testes (incluindo Threat Intel, Simulação de Phishing, Code Review, etc.)
- Receber informações em tempo real sobre vulnerabilidades críticas
- Conversar com os responsáveis pelo teste para esclarecer dúvidas
- Gerar relatórios técnicos e executivos
- E muito mais.
Tudo em um só lugar, com autonomia e praticidade. A Vantico é o Centro de Segurança Ofensiva da sua empresa.
Quer aplicar o Pentest da Vantico também? Clique aqui para falar com nossa equipe.
Siga a Vantico nas redes sociais e fique informado sobre cibersegurança, tecnologia e insights.
