Privacidade e segurança de dados são questões cada vez mais importantes no dia a dia do varejo. Entretanto, os casos relatados de vazamento de dados em 2018 envolveram nomes bastante conhecidos, como Under Armour, Best Buy, Adidas, Kmart, Lord & Taylor, Netshoes, Panera Bread, Saks 5th Avenue, C&A e Sears. Segundo dados do Ponemon Institute, em média cada vazamento de dados ocorrido em 2018 gerou um custo de US$ 3,86 milhões, 6,4% mais que no ano anterior. De acordo com um estudo da KPMG, 19% dos consumidores parariam completamente de comprar em uma empresa que sofresse um vazamento e 33% deixariam de ir a essa loja por algum tempo. A falta de segurança da informação pode trazer consequências danosas para empresas de todos os setores, especialmente para o varejo: perda de confiança dos clientes, redução das vendas, custos de reemissão de cartões, perdas com fraudes, custos de adequação às normas e custos com processos judiciais, entre outros. Existem muitas informações disponíveis a respeito de como identificar a probabilidade de sua empresa sofrer uma invasão e como corrigir esses problemas, mas, para o varejo, existem dois principais conjuntos de regras que trazem segurança ao tratamento de dados e à privacidade dos consumidores:
O PCI DSS (Payment Card Industry Data Security Standard), criado em 2004, é resultado da colaboração entre as principais empresas mundiais de cartões de crédito. O PCI foi desenvolvido para reforçar a segurança de dados dos portadores de cartões e facilitar uma ampla adoção de medidas consistentes de proteção. Como regra geral, todo lojista ou provedor de serviços que armazena, processa ou transmite dados de cartões de crédito tem que aderir ao padrão PCI. Empresas sem o padrão PCI costumam obter condições comerciais menos favoráveis (ou nem mesmo conseguir fechar acordos com os adquirentes). Apesar disso, boa parte do varejo ainda não aderiu ao PCI, especialmente no caso de varejistas independentes ou PMEs. As causas para isso incluem falta de conhecimento ou interesse e dificuldade de resolver as complexidades técnicas do padrão. Dessa forma, contar com parceiros tecnológicos cujas plataformas já estejam adaptadas aos parâmetros do PCI é uma forma de reduzir custos, diminuir riscos e evitar as complexidades técnicas advindas da adequação a uma norma mundial de segurança.
A General Data Protection Regulation (GDPR) é uma norma europeia de segurança, em efeito desde maio de 2018, que regulamenta a forma como as empresas usam os dados pessoais que os usuários forneceram em algum momento do relacionamento online com as marcas. Toda empresa que atua na Europa e solicitou algum tipo de informação pessoal dos clientes (nome, email, endereço, dados financeiros) deve se enquadrar à norma, sob pena de multa que pode chegar a 4% do faturamento anual global da empresa. Assim, empresas que não sejam europeias, mas tenham algum tipo de relacionamento com clientes da região, precisam respeitar a regulamentação. A GDPR dá aos consumidores o direito de saber quais dados uma empresa tem a respeito deles, para que esses dados são usados, de ser informado se os dados são compartilhados com terceiros, a possibilidade de acessar essas informações e levá-las para outro lugar e o direito de ter seus dados apagados. A GDPR também exige que toda empresa tenha um diretor de proteção de dados. Em muitos casos, estar 100% aderente à GDPR é um processo que pode levar mais de um ano. por isso, é importante analisar quais áreas podem ficar expostas se sua empresa não tomar nenhuma atitude a respeito. A partir daí, construa o framework e implemente as mudanças necessárias. É importante ressaltar que a Lei Geral de Proteção de Dados (LGPD), sancionada em 2018 pelo governo brasileiro, foi baseada na GDPR. Assim, os mesmos padrões de segurança precisarão ser adotados por qualquer empresa que atue no Brasil.
Tanto no caso do PCI quanto da GDPR e da LGPD, estar 100% aderente às normas é uma garantia, para os clientes, de que as regras mais atuais de segurança e privacidade dos dados estão sendo cumpridas, o que ajuda a construir a reputação e a confiança na marca. Em alguns casos, isso significa estar à frente da concorrência. Normalmente, estar aderente minimiza os riscos de vazamentos de dados e dos problemas financeiros e de imagem que costumam estar associados a eles. A VTEX é 100% aderente ao PCI e já está aplicando as diretrizes da GDPR (e, por consequência, da LGPD). Desde o lançamento do SmartCheckout, em 2014, a empresa tem como princípio coletar o mínimo de dados necessários para processar os pedidos recebidos, armazenar esses dados somente pelo tempo necessário para o processamento dos serviços e utilizar as informações somente para o propósito para o qual elas foram coletadas. Dessa forma, o alinhamento à GDPR foi natural.