Selo de Certificação provado da N-Stalker para avaliar a eficiência de melhores práticas de segurança baseadas no Gerenciamento de Vulnerabilidades em suas aplicações web.
Website Protegido: mais do que percepção, segurança de fato
1. Slide Show nº 3
O Selo “Website Protegido”
Uma serviço da N-Stalker auditando a
Segurança das Aplicações Web
Autor: Eduardo Lanna rev. 11/jan/11
2. Selos de “percepção” de Segurança
Pesquisa: Comportamento do Consumidor na Internet
A maioria dos consumidores preocupa-se com fraudes pela
internet (+ou- 80%):
O site é confiável? Quem é a empresa responsável pelo site?
Meus dados pessoais estarão seguros se usados neste site?
A tecnologia usada neste site de e-Commerce é segura?
70% dos visitantes só realizam compras em um website se
identificarem nele informações sobre segurança!!!
Selos de Certificados Digitais (SSL) não garantem segurança:
SSL só informa sobre a seção cliente/servidor, e faz criptografia dos
dados: Sim, pode haver vulnerabilidades nas páginas “https”!
O volume de casos de fraudes pela internet criou o cenário ideal
para um novo Selo que aumentaria a confiança do consumidor...
Slide 2/12
3. Selos de “percepção” de Segurança
Exemplo de exibição de Selos em sites de e-Commerce
O novo Selo sugere não haver vulnerabilidades exploráveis por hackers...
Mas os testes ocorrem apenas na camada da aplicação web!
Selos de “percepção” de segurança tem maior impacto nas vendas
da PME, que no caso das Grandes Marcas... (fator confiança!)
A estratégia de adotar este Selo deve vir apenas depois de garantir a
segurança da aplicação web... (fator de risco!)
Slide 3/12
4. Selos de “percepção” de Segurança
Percebendo melhor a segurança no e-Commerce...
Mas este Selo exibido na aplicação web pode
garantir a segurança do site de e-Commerce?
Bem, nenhum Selo poderia garantir, apenas por
sí, a segurança de um website de e-Commerce...
Somente ações de melhores práticas de segurança
sobre cada componente e cada etapa do processo de
negócios poderia oferecer maiores garantias...
Slide 4/12
5. Selos de “percepção” de Segurança
Percebendo melhor a segurança no e-Commerce...
Mas este Selo exibido na aplicação web pode
garantir a segurança do site de e-Commerce?
A questão é: Quais destas melhores práticas de
segurança sua empresa adota de forma integrada
aos fornecedores de tecnologia do seu e-Commerce?
Slide 4/12
6. Ecossistema do e-Commerce
As recomendações de Práticas de Segurança do PCI
São dirigidas a todas as empresas envolvidas na rede de pagamento
eletrônico, e que de algum modo coletam, transportam, processam, ou
armazenam os dados do portador do cartão de crédito:
para o website
de e-Commerce
Slide 5/12
7. Uso do Sistema redesegura
Segurança de fato requer ir além do que avalia um Selo...
O uso do Sistema redesegura para avaliar a segurança de uma
aplicação web atende aos requisitos 6, 11 e 12 do PCI-DSS.
Certificação PCI-DSS é um processo de auditoria formal “on-site”
realizado anualmente por Empresas Certificadoras do PCI (QSA)
A Segurança requer ações de melhores práticas em todos os
componentes do processo de negócio:
O Selo só aparece nas páginas do site se não forem identificadas
vulnerabilidades exploráveis pela aplicação web;
A aplicação web é apenas um dos elementos do processo!!!
Não há como um Selo testar remotamente vulnerabilidades em outros
componentes ou etapas do processo de negócio...
O Selo avalia a segurança do componente mais exposto: a aplicação!
Slide 6/12
8. Uso do Sistema redesegura
Segurança de fato requer ir além do que avalia um Selo...
O uso do Sistema redesegura para avaliar a segurança de uma
aplicação web atende aos requisitos 6, 11 e 12 do PCI-DSS.
Certificação PCI-DSS é um processo de auditoria formal “on-site”
realizado anualmente por Empresas Certificadoras do PCI (QSA)
A Segurança requer ações de melhores práticas em todos os
componentes do processo de negócio:
O Selo só aparece nas páginas do site se não forem identificadas
vulnerabilidades exploráveis pela aplicação web;
A aplicação web é apenas um dos elementos do processo!!!
Não há como um Selo testar remotamente vulnerabilidades em outros
componentes ou etapas do processo de negócio...
O Selo avalia a segurança do componente mais exposto: a aplicação!
Slide 6/12
9. Uso do Sistema redesegura
Gerenciamento de Vulnerabilidades em Aplicações Web
Recomendações de Segurança
Vulnerabilty
Database
Home Banking
Home Broker
Desenvolvedores
e-Commerce
SSL
Conteúdo
V-Test
Scan Engine Corporativo:
Security Officer Web Server CRM, ERP, RH...
“SSG”
Metodologias: Apoio a Decisão
SAST/DAST
Processo de Gestão
Suporte Téc. Especializado
ao Desenvolvedor (CSSLP)
Slide 7/12
10. Uso do Sistema redesegura
Gerenciamento de Vulnerabilidades em Aplicações Web
Recomendações de Segurança
Vulnerabilty
Database
Plan... Home Banking
Do ! Home Broker
Desenvolvedores
e-Commerce
Ciclo
SSL
PDCA V-Test
Conteúdo
Scan Engine Corporativo:
Security Officer Act ! Web Server CRM, ERP, RH...
“SSG”
Check... . Apoio a Decisão
Metodologias:
SAST/DAST
Processo de Gestão
Suporte Téc. Especializado
ao Desenvolvedor (CSSLP)
Slide 7/12
11. Selos de “percepção” de Segurança
O que está por trás da exibição de um destes selos?
Como saber se um Selo
está de fato associado a
práticas de segurança?
Como dissemos, isso depende da estratégia da
empresa de e-Commerce, e se ela investe na
segurança de sua aplicação web...
Vamos comparar duas abordagens distintas, e
você “perceberá” a grande diferença:
Slide 8/12
12. O Selo para um “Site Selado”
Uso da “percepção” de Segurança apenas para vender...
Criando “percepção” de segurança sem ações de segurança:
O uso de um selo cria a “percepção” de segurança que influencia a
?
decisão do comprador (dado estatístico)
Mas se o Selo não está associado ao uso de melhores práticas
de segurança, e nem a um ciclo de melhorias:
O teste do selo é superficial, e com critérios pouco rigorosos!
Não se faz gerenciamento de vulnerabilidades, só se faz testes;
A capacidade do desenvolvedor em mitigar os riscos é limitada;
O risco de ataques web é aumentado pela exibição deste Selo...
A “percepção” de segurança não é sustentada
por processos de segurança! Há altos riscos!
Slide 9/12
13. O Selo “Website Protegido”
A “percepção” de segurança apoiada em ações práticas
Criando uma “percepção” sustentada por práticas de segurança:
O uso de um selo cria a “percepção” de segurança que influencia a
decisão do comprador (dado estatístico)
O Selo é associado à práticas de segurança efetivas, certificando
o gerenciamento de vulnerabilidades da aplicação web:
Os testes são rigorosos e em todas as páginas da aplicação;
O uso do redesegura avalia a segurança em todo o ciclo de vida da
aplicação web, desde o desenvolvimento;
A capacidade de prevenir riscos reais é potencialmente maior:
Havendo vulnerabilidades, elas são corrigidas rapidamente;
A “percepção” de segurança é sustentada por
um processo de segurança! Há mais proteção!
Slide 10/12
14. O Selo “Website Protegido”
O que significa a exibição do Selo “Website Protegido”
O selo publicado na página web é uma certificação da N-Stalker
sobre a eficiência do processo baseado no uso do redesegura
O provedor da tecnologia adota, entre outras melhores práticas, um
processo de Gerenciamento de Vulnerabilidades;
O nível de risco de transações pela aplicação web é mantido baixo
durante todo o seu ciclo de vida:
QA de Segurança nas etapas de Desenvolvimento;
Nível de Risco monitorado durante o uso em Produção.
Testes regulares para identificar falhas na aplicação web são feitos a
partir de 39.000 formas diferentes de ataque, em 100% das páginas;
Quando são identificadas vulnerabilidades, o desenvolvedor inicia
imediatas ações de correção sobre a aplicação web;
Slide 11/12
15. Departamento Comercial
Tel: +55 (11) 3044-1819
e-mail: contato@redesegura.com.br
visite: www.redesegura.com.br
Consulte-nos, e saiba mais sobre
como manter a segurança de suas
aplicações web.
Autor: Eduardo Lanna