Usabilidade nas etapas de segurança: aderindo a LGPD!

O login é parte de todas as jornadas online. Mas será que falamos o suficiente sobre a usabilidade dessa etapa tão importante?

Se você contar quantas vezes faz logins, autenticações e verificações online, por dia, iria se surpreender com a quantidade. 

Nós acessamos diariamente diversas plataformas, em contas pessoais ou corporativas e o atrito que esses acessos geram para o usuário são frequentemente negligenciados e até mesmo ignorados, já que são etapas obrigatórias na maioria das jornadas. 

Na prática, a segurança tem uma usabilidade seletiva, ou seja, você terá que passar pelas etapas de segurança de um sistema independentemente de a experiência ser boa ou não. Mas a necessidade de uma etapa ser obrigatória não deveria amarrá-la a uma experiência ruim.

Por que a etapa de segurança precisa proporcionar uma boa experiência?

A demanda por segurança ganhou destaque após a implementação da LGPD, mas sempre foi uma necessidade proteger os usuários e empresas de violações e fraudes e o mercado já oferece diversas ferramentas para incrementar a segurança do usuário no ambiente digital.

Para mergulhar nesse assunto, é necessário saber que existem três etapas importantes para acessar um sistema:

  • Identificação: Quem é você
  • Autenticação: Você é quem diz ser?
  • Autorização: Você tem permissão para acessar?

São três etapas diferentes e independentes. No design projetado com intenção, essas etapas aparecem separadas, ao longo da jornada, em momentos-chave. Em um design pouco elaborado, elas ficam amontoadas.

Mas afinal de contas, o que usabilidade tem a ver com Segurança da Informação?

Independentemente do tipo de segurança implementada em um produto digital, a etapa de login é a porta de entrada para o seu usuário.

A etapa de login, pode ser algo simples ou uma imensa dor de cabeça e a experiência com essa primeira barreira é que definirá se o usuário sentirá afinidade com sua solução ou aversão, podendo levá-lo para uma solução concorrente que ofereça menos atrito nessa etapa (ruim para a empresa) ou menos segurança (ruim para o usuário).

Então, pensar em como será o fluxo de autenticação, e elaborar uma rotina que estimule comportamentos seguros por parte do usuário é o primeiro passo de qualquer projeto digital.

Estudo de caso: e-commerce

Jared Spool, no encontro BostonCHI (jan/2017), traz um exemplo interessante de como consertar uma falha de segurança e usabilidade em um sistema. Ele, que é um especialista em usabilidade, software e design, conta que atendeu uma empresa de e-commerce para fazer uma análise sobre a loja virtual deles.

Durante os testes de usabilidade, J. Spool notou que diversas vezes os usuários não conseguiam finalizar a jornada de compras por causa de um problema de autenticação.

Ao apertarem o botão de “finalizar compra”, os usuários eram direcionados para a tela de login e, como acontece com diversos usuários, eles não se recordavam exatamente de qual senha tinham cadastrado.

Acontece que esse e-commerce usava um cookie de autenticação, que fica salvo computador pessoal de cada usuário, mas eles estavam usando computadores do laboratório de J. Spool, e não conseguiram se autenticar automaticamente. É importante ressaltar que que a autenticação feita com cookies não é, por si só, uma forma ruim de autenticação, mas nessa jornada específica acabou ferindo o negócio.

Ao utilizar uma máquina diferente que não possuía esse dado de autenticação salvo, não conseguiam lembrar qual era a senha, porque não usavam com frequência. Então eles faziam a compra, fechavam o carrinho e depois eram direcionados pro login para finalizar, mas não conseguiam acessar.

Após notarem isso, configuraram para contabilizar a página de “Recadastrar Senha” no Analytics e confirmaram que ela era uma das páginas mais acessada do site. Ao cruzar esse dado com o de “compras finalizadas” perceberam que estavam perdendo muito mais dinheiro do que haviam suspeitado no início, quando resolveram contratar J.Spool.

Nesse caso específico, a solução encontrada foi simples. Adicionaram a opção “continuar como visitante”, pois o objetivo da empresa era finalizar a venda. Como visitante, o usuário poderia inserir uma breve identificação, e selecionar a forma de pagamento, sem se angustiar recadastrando uma senha sem se lembrar da original e, assim, perdendo totalmente a motivação para a compra.

Considerando que um ambiente virtual concorre com vários fatores, muita coisa pode acontecer no meio do caminho, já que o cérebro humano tem grande tendência a dispersar sua atenção a qualquer instante, por quaisquer motivos. Portanto se os atritos com o sistema impedem o usuário de completar uma ação, acabamos perdendo um cliente.

Um exemplo real de “Continuar comprando como visitante” que podemos ver hoje é o do site da NIKE. Nele você pode percorrer toda a loja virtual adicionando itens no seu carrinho e, ao finalizar a compra você é direcionado para uma tela que oferece a opção de login, mas também oferece a opção de “continuar como visitante”, o que ajuda a empresa a não perder a venda, objetivo principal de uma loja virtual.

Para continuar uma compra como visitante no site da NIKE você ainda deve preencher algumas informações tais como:

  •  CPF e data de nascimento, para identificação;
  •  informações NÃO OBRIGATÓRIAS de perfil;
  •  informações de endereço da entrega;
  • E por fim, informações de pagamento. 

Então, ao analisar esse exemplo da loja virtual da NIKE podemos destacar 3 pontos importantes

  • Essa solução considerou utilizar apenas as informações estritamente necessárias para a operação, não sendo necessário pensar em autenticações ou autorizações.
  • Mesmo para usuários logados, as vezes é necessário preencher informações de pagamento e endereço porque o próprio usuário optou por não salvar esses dados no sistema, logo esses passos são parte já esperada em uma jornada de compra online;
  • Todas as informações pedidas nessa jornada de comprar como visitante são informações básicas, que os usuários têm memorizadas na maioria das vezes, gerando uma carga mental menor durante o processo. Nesse fluxo, o usuário não precisa sair da loja e recorrer a outras plataformas para buscar informações ou redefinir senhas, diminuindo drasticamente a chance de ele desistir da compra.

Além de proporcionar uma experiência boa para o usuário, as empresas também precisam adequar seus fluxos para atender todos os requisitos da Lei Geral de Proteção de Dados (LGPD), portanto é interessante para a empresa coletar dados que sejam estritamente necessários para realizar uma ação. Levar o cliente para o ambiente virtual e fazê-lo concluir uma ação, portanto, envolve um esforço coletivo da empresa para inserir os passos de segurança na jornada do usuário de forma a esclarecer a necessidade daquela etapa e estimular comportamentos seguros no usuário, associando esses passos a uma boa experiência.

Como tornar uma jornada segura

Para obter um processo de design intencional e estruturado, precisamos ter a cultura de UX suficientemente incorporada à empresa. Isso evita que, durante o desenvolvimento, as camadas de segurança sejam simplesmente adicionadas nos sistemas existentes ou legados, como uma camada extra, criando fluxos complexos e adicionando mais carga para o usuário.

Os produtos digitais agora precisam capacitar os usuários, ajudando-os a tomar decisões informadas sobre sua privacidade e fornecer maneiras mais fáceis e acessíveis de controlar seus dados. O atual cenário da Segurança da Informação exige que as abordagens entreguem uma usabilidade boa e segura simultaneamente.

Ao definir o perfil e comportamento do seu usuário, você consegue descobrir quais são as ameaças mais comuns para o usuário daquele produto. Quais ferramentas existem no mercado para solucionar esse problema (e se vale a pena adquiri-las) ou quais processos podem ser incluídos sem aumentar custos.

Essa definição pode (e deve) ser feita pelos designers em conjunto com os desenvolvedores e profissionais de segurança da informação para definir ferramentas do mercado, e/ou processos de segurança internos.

Diferentes sistemas terão diferentes usuários, que por sua vez terão diferentes rotinas, focos e backgrounds. É muito importante conhecer bem o seu usuário para calcular quais os riscos ao incluir (ou não incluir) etapas de segurança, como amenizar esses riscos e o que pode ser oferecido como recompensa pelo esforço extra durante a jornada.

Importante lembrar

O objetivo de um ambiente digital deve ser sempre dar acesso fácil e seguro ao usuário, enquanto explicamos e conscientizamos os usuários a respeito das etapas de segurança, contextualizando cada coleta e estimulando um comportamento seguro por parte dele.

Autora: Bárbara Chambon.

Deixe seu comentário

CANAL DE ÉTICA E CONDUTA

O Código de Ética e Conduta da AMcom expressa a forma de atuação da empresa em todos os seus negócios, orientando o modo pelo qual seus colaboradores e terceiros devem se comportar e agir em relação aos temas nele abordados.

Ele reúne as principais diretrizes éticas, normas internas e o dever de conformidade com leis e normas externas, especialmente aquelas voltadas ao combate à corrupção, suborno e lavagem de dinheiro, ao assédio e a toda e qualquer prática irregular.

Ele dispõe, ainda, de regras relacionadas aos comportamentos desejados na empresa e que devem ser adotadas por todos, e estimula que seja utilizado o Canal de Denúncia imediatamente caso haja qualquer violação ao código.