O Gerenciamento de identidade e acesso do cliente, Customer Identity and Access Management (CIAM), é a forma como as empresas fornecem aos usuários finais acesso às suas propriedades digitais, bem como administram, coletam, analisam e armazenam com segurança os dados desses usuários.
O CIAM fica na interseção de segurança, experiência do cliente e análise. Fornecer uma maneira fácil e sem atrito para os usuários integrarem e fazerem login é fundamental para gerar conversões e construir a fidelidade do cliente. Muitas pessoas e empresas pensam que experiência do usuário (UX) e segurança não conseguem andar juntas. Isso está longe da verdade. Proteger dados confidenciais contra intrusões maliciosas e tomar medidas para evitar violações de dados é fundamental para uma política de segurança sólida e conformidade com as leis de privacidade de dados, como a LGPD. E compilar os dados do usuário em uma única fonte de informações é essencial para entender seus clientes.
Dada a complexidade e o dinamismo do CIAM, muitas organizações optam por contratar um provedor terceirizado de identidade como serviço, Identity-as-a-Service (IDaaS), em vez de construir uma solução internamente.
A seguir, discutiremos os elementos de uma solução CIAM moderna e como a abordagem de sua empresa para a identidade do cliente pode impactar a receita e mediar o risco de segurança.
Elementos essenciais do CIAM
As organizações precisam de soluções de gerenciamento de identidades e acesso (IAM) para várias classes de usuários finais: funcionários, clientes corporativos e clientes. Mas cada tipo de usuário requer um equilíbrio diferente entre segurança e experiência do usuário (UX). É por isso que as soluções CIAM fornecem um conjunto exclusivo de recursos distintos de soluções B2B ou de identidade da força de trabalho.
Aqui estão quatro recursos que constituem a base das soluções CIAM modernas. Não existem duas soluções CIAM que oferecem exatamente os recursos da mesma maneira, mas se você estiver adquirindo uma plataforma CIAM, ela deve incluir o seguinte:
Escalabilidade
Ao contrário das soluções de identidade da força de trabalho que oferecem suporte a milhares de funcionários e fornecedores que exigem acesso razoavelmente estático a uma lista pré-atribuída de aplicativos, o CIAM precisa escalar para milhões e até bilhões de usuários – muitas vezes em resposta a eventos de curto prazo como períodos de pico de feriados ou grandes eventos esportivos.
Embora não seja tradicionalmente descrito como um “recurso” de software, a escalabilidade é um elemento exclusivo do CIAM que requer estabilidade em escala de nuvem de terceiros.
Login único
O Single Sign-On (SSO) permite que os usuários façam login em um aplicativo e sejam automaticamente registrados em um conjunto de outros aplicativos. O exemplo de SSO mais conhecido é o Google G Suite, em que fazer login no Gmail significa que você está automaticamente conectado ao YouTube, Google Drive e outras plataformas do Google.
O SSO é um elemento básico da identidade federada e há opções de SSO para soluções de IAM B2B e de força de trabalho. O tipo de SSO projetado especificamente para usuários finais é o login social , que permite aos usuários verificar sua identidade com suas credenciais de um provedor separado, como Facebook, Google ou Apple.
Os logins sociais simplificam muito o processo de registro dos usuários, o que pode levar a um aumento nas conversões e a menos clientes abandonando seus carrinhos de compras porque se cansaram de preencher um formulário.
Autenticação multifator
A autenticação multifator (MFA) é um meio mais seguro de autenticar a identidade do usuário do que a combinação tradicional de nome de usuário / senha. As senhas são extremamente fáceis para os hackers roubarem ou adivinharem, então o MFA exige uma credencial extra para os usuários provarem sua identidade. Isso pode assumir a forma de um PIN enviado uma única vez ao dispositivo móvel do usuário, um e-mail ou uma credencial biométrica como uma impressão digital ou reconhecimento facial.
A MFA é cada vez mais considerada um requisito básico de segurança, e as leis de privacidade de dados estão começando a exigi-la explicitamente. No entanto, é fundamental implementar MFA para usuários finais de uma forma que não introduza atritos desnecessários. O MFA só deve ser acionado com base no risco avaliado, como quando um cliente faz login com um novo dispositivo ou faz uma transação suspeita. Esse é outro motivo pelo qual é fundamental ter uma visão profunda de seus clientes que o CIAM oferece. Portanto, você pode avaliar no contexto quando uma transação requer um nível mais alto de autenticação.
Gerenciamento centralizado de usuários
Seus insights sobre seus usuários podem ser uma grande vantagem competitiva, mas apenas se seus dados forem organizados, acessíveis e precisos. Uma solução CIAM ajuda a atingir o objetivo de perfis de clientes centralizados e ricos em dados que funcionam como uma única fonte de verdade sobre os usuários. Isso porque uma solução CIAM é essencialmente uma API que faz a mediação entre diferentes aplicativos e componentes, compilando dados heterogêneos em um só lugar.
O gerenciamento centralizado de usuários elimina silos de dados e dados duplicados. Tudo o que você sabe sobre um usuário está reunido em um lugar onde os administradores podem conceder e revogar permissões rapidamente. Essa visão única dos clientes é uma vantagem óbvia para análises, mas também ajuda as empresas a atender aos requisitos de relatórios das leis de privacidade de dados, porque todos os dados do perfil são acessíveis e portáteis. O conhecimento sobre o usuário também é fundamental para a construção de experiências mais personalizadas, o que gera taxas de retenção mais altas.
CIAM afeta os negócios?
Agora que examinamos os elementos fundamentais do CIAM, vamos falar sobre como esses elementos afetam as operações diárias da sua empresa e seus resultados financeiros importantíssimos.
O CIAM é fundamental para a segurança de dados
Os dados do cliente podem ser o maior ativo da sua empresa – a menos que caiam nas mãos erradas. Uma solução CIAM robusta tem recursos de segurança para proteger contra fraudes, hacks e uso indevido de dados em várias frentes.
Nos últimos anos, a caixa de login tornou-se a linha de frente para afastar intrusos. Os hackers usam ataques de autenticação quebrada para roubar ou adivinhar as credenciais do usuário e se passar por usuários legítimos na caixa de login. Uma das formas mais prejudiciais de ataques de autenticação quebrada é o enchimento de credenciais, no qual os hackers usam senhas roubadas em uma violação para invadir outros sites. Esse método funciona devido à tendência das pessoas de reutilizar senhas. Atualmente, há bilhões de senhas roubadas sendo passadas pela dark web. Só os ataques de enchimento de credenciais custam às empresas uma média de US$ 4 milhões por ano, de acordo com um estudo de 2019 do Ponemon Institute. Veja o caso da Antheu Tecnologia.
A melhor defesa contra o enchimento de credenciais e outros ataques baseados em autenticação é uma solução CIAM com MFA e proteção de força bruta. A proteção de força bruta impede que hackers inundem seu aplicativo com tentativas de login e travem seu site. Enquanto isso, o MFA garante que uma credencial roubada não dará aos hackers acesso automático às contas de seus usuários.
É importante observar que a quantidade de danos que os hackers podem fazer com as credenciais do cliente é limitada, uma vez que eles não têm acesso aos sistemas de back-end. Mas esses ataques ainda podem prejudicar o relacionamento com o cliente e levar a manchetes negativas.
Os sistemas CIAM também ajudam a proteger os dados do cliente contra danos de back-end em caso de violação de dados ou hack. As soluções CIAM controlam como você criptografa e torna anônimos os dados pessoais, portanto, são inúteis para ladrões de dados. É essencial escolher um sistema CIAM que use os protocolos de criptografia mais recentes, no entanto, ou seus bancos de dados com dados confidenciais também podem ser escritos em texto simples. Por fim, os sistemas CIAM rastreiam quem na sua organização está acessando os dados do cliente e alerta os administradores sobre atividades suspeitas. Dessa forma, nem um funcionário nem um ator ruim podem sair com seu ativo mais valioso e sensível: os dados do cliente.
Como isso afeta seus resultados financeiros? Custo das violações de dados. Um estudo Ponemon de 2019 descobriu que a violação de dados média custa às empresas US $ 3,92 milhões. As empresas que não desejam fazer um orçamento para isso devem fazer um orçamento para uma solução CIAM moderna.
CIAM ajuda a gerenciar a LGPD
Uma nova safra de leis de privacidade de dados, como a LGPD, está reescrevendo fundamentalmente as regras de como as organizações coletam, armazenam e compartilham dados pessoais (PD). Atender a essas obrigações legais significa gerenciar sua abordagem ao CIAM.
Para começar, o gerenciamento centralizado de usuários é essencial para cumprir os requisitos de relatório e exclusão das leis de privacidade de dados. De acordo com a LGPD, as organizações devem fornecer aos usuários, mediante solicitação, cópias de seus dados junto com um registro de como esses dados estão sendo usados.
Depois, há a questão do MFA. A LGPD não exige explicitamente o MFA. Ainda assim, eles exigem medidas de segurança “razoáveis” ou “apropriadas”, e especialistas jurídicos e de segurança concordam que isso significa MFA.
As leis de privacidade de dados tratam de controlar quem pode acessar o PD, portanto, criptografar os dados do cliente e controlar o acesso a eles são requisitos básicos. Uma solução CIAM precisa fornecer todos esses elementos, bem como adaptar a coleta de dados e as práticas de gerenciamento de consentimento às leis relevantes.
Como isso afeta seus resultados financeiros? Custo das multas regulatórias. Em maio de 2020, os estados da União Européia haviam emitido mais de € 153 milhões em multas para grandes e pequenas organizações por não conformidade com o GDPR. Em novembro, os californianos votarão no California Privacy Rights and Enforcement Act (CPREA), o chamado “CCPA 2.0”. Como o nome sugere, a nova versão contará com maior ênfase na aplicação. Com novas leis sendo aprovadas o tempo todo, o custo da não conformidade pode aumentar rapidamente. Em 2021 a LGPD começará a ser fiscalizada e as multas podem chegar a R$50.000.000 por infração.
CIAM é um facilitador de negócios por meio da experiência do cliente
Uma boa solução CIAM é a diferença entre aparecer em um restaurante lotado e ouvir que há uma espera de 20 minutos e ser escoltado direto para a mesa enquanto o barman prepara sua bebida favorita. Com a abordagem certa para CIAM, você pode dar a seus clientes um login fácil e oferecer serviços com base em uma compreensão diferenciada de suas necessidades.
As empresas vivem e morrem por suas taxas de conversão, e é difícil lá fora. Em 2019, a taxa média global de conversão de sites era de 2,58%, que na verdade é inferior aos 3,42% de 2014. Claramente, os clientes de hoje não têm paciência para preencher formulários de registro frustrantes. Se você usar o login social, seus usuários terão uma experiência de registro sem problemas, sem precisar se lembrar de outra senha.
Enquanto isso, sua empresa obtém o benefício do conhecimento compartilhado com esse provedor de mídia social, para que você saiba automaticamente a localização, o fuso horário, o idioma e outros detalhes do cliente para orientar as recomendações de vendas.
Como isso afeta seu financeiro? Maiores conversões e retenção, menos frustração. Estudos demonstraram que reduzir o número de campos de formulário aumenta as taxas de conversão. Com logins sociais, você pode eliminar o formulário por completo e habilitar a inscrição com um clique. Além disso, quando os usuários não têm uma senha exclusiva para o seu negócio, você economiza tempo de suporte técnico. A pesquisa do Gartner diz que entre metade e um quarto das chamadas ao help desk são para redefinições de senha. Uma organização de saúde norte-americana nos disse que gasta aproximadamente US $ 160 a US $ 170 por funcionário por ano apenas em questões relacionadas a senhas.
Como mostramos, o CIAM desempenha um papel cada vez mais central na maneira como as empresas criam suas identidades digitais e gerenciam seus relacionamentos com os clientes. Diante disso, as empresas estão alocando mais recursos para suas soluções de gerenciamento de acesso, seja desde o primeiro dia ou como parte de uma transformação digital maior. Veja algumas dicas básicas de segurança.