ASPECTOS TÉCNICOS DESEGURANÇA PARA ECOMMERCE                           VEJA O CALENDÁRIO ONLINE EMEXCELÊNCIA EM E-COMMERCE...
MANTENEDORES
Workshop: Aspectos Técnicos de                                                          Segurança para eCommerceApresentaç...
Workshop: Aspectos Técnicos de                                                                       Segurança para eComme...
Workshop: Aspectos Técnicos de                                                                          Segurança para eCo...
Workshop: Aspectos Técnicos de                                                                     Segurança para eCommerc...
Workshop: Aspectos Técnicos de                                                                    Segurança para eCommerce...
Workshop: Aspectos Técnicos de                                                   Segurança para eCommerceA maquina de crip...
Workshop: Aspectos Técnicos de                                                                              Segurança para...
Workshop: Aspectos Técnicos de                                             Segurança para eCommerce                       ...
Workshop: Aspectos Técnicos de                                                             Segurança para eCommerce     Co...
Workshop: Aspectos Técnicos de                                                             Segurança para eCommerce     Co...
Workshop: Aspectos Técnicos de                                                                                            ...
Workshop: Aspectos Técnicos de                                                                                            ...
Workshop: Aspectos Técnicos de                                                                   Segurança para eCommerce ...
Workshop: Aspectos Técnicos de                                                                                            ...
Workshop: Aspectos Técnicos de                                                                                            ...
Workshop: Aspectos Técnicos de                                                                                            ...
Workshop: Aspectos Técnicos de                                       Segurança para eCommerceMarcas de confiança no navega...
Workshop: Aspectos Técnicos de                               Segurança para eCommerce       Obrigado!      Maria Teresa Aa...
Próximos SlideShares
Carregando em…5
×

Apostila - Aspectos Técnicos de Segurança para eCommerce

1.463 visualizações

Publicada em

O objetivo de nossa apresentação é apontar as ameaças para esta passagem e as formas de proteção que a gestão de riscos e de processos aliados aos produtos de segurança pode oferecer. Maria Teresa Aarão é Gerente de Desenvolvimento de Novos Produtos da Certisign Certificadora Digital.

Publicada em: Negócios

Apostila - Aspectos Técnicos de Segurança para eCommerce

  1. 1. ASPECTOS TÉCNICOS DESEGURANÇA PARA ECOMMERCE VEJA O CALENDÁRIO ONLINE EMEXCELÊNCIA EM E-COMMERCE www.ecommercebrasil.com.br/calendario
  2. 2. MANTENEDORES
  3. 3. Workshop: Aspectos Técnicos de Segurança para eCommerceApresentaçãosobre Segurançano
E-CommerceBrasil Agenda!   Segurança em geral!   Segurança para e-Commerce!   Identidade e Confidencialidade na Internet!   Endereços e Domínios!   Sinais, Selos e Marcas de Confiança!   Requisitos para escolher sua marca de confiança O mantra da Segurança!   Identificação Quem esta falando ?!   Autenticação Como provou que é quem diz ser ?!   Autorização O que este interlocutor pode fazer ? 1  
  4. 4. Workshop: Aspectos Técnicos de Segurança para eCommerce O mantra da segurança!   Confidencialidade Como garantir o sigilo ?!   Integridade Tem proteção contra modificação indevida ?!  Não repúdio É impossível forjar a ação do usuário ? O mantra da segurança!   Disponibilidade Tem uma estratégia de recuperação ?!   Auditoria / Responsabilidade É passível de verificação por terceiros ? Todas as ações tem autoria identificável ? Payment Card Industry Security Standards Council!   Criado em 2006 por 6 grandes bandeiras: –  American Express, Discover, JCB, International, MasterCard Worldwide e Visa Inc!   Três níveis de padronização –  Para os comerciantes e processadores de pagamentos (PCI-DSS) –  Para os desenvolvedores de software (PCI-PA-DSS) –  Para os fabricantes de dispositivos (PCI-PTS)!   O objetivo principal é proteger os dados do cartão de crédito do cliente 2  
  5. 5. Workshop: Aspectos Técnicos de Segurança para eCommerce Do total dos comerciantes americanos ....!  37% armazenam os dados de cartão!  24% armazenam dados pessoais (SSN)!  28% guarda os números de conta bancária!  52% guarda pelo menos um destes dados sensíveis!  57% não vê necessidade de planejar formalmente a segurança dos dados do cliente!   61% não teve acesso a informação sobre como armazenar e manipular adequadamente dados de clientesSegundo a National Federation of Independent Business (NFIB) - 2006 Os seis objetivos e os 12 requsitos do PCI DSS!   Construir em manter uma rede segura –  Firewall para proteger os dados do cliente –  Não usar as configurações e senhas padrão dos fabricantes!   Proteção dos dados do cliente –  Proteger dados de cliente armazenados em seus bancos de dados –  Criptografar dados de cliente para transmissão em rede aberta!   Manter um programa de gerenciamento de vulnerabilidades –  Usar e atualizar regularmente programas anti-virus –  Desenvolver e manter sistemas e aplicações seguras Os seis objetivos e 12 requisitos do PCI-DSS!   Implantar medidas de controle de acesso forte –  Restringir o acesso aos dados de clientes pela necessidade de saber do negocio –  Designar uma identidade única para cada pessoa com acesso ao computador que guarda os dados –  Restringir o acesso físico aos dados dos clientes!   Monitorar e testar sua rede regularmente –  Rastreie e monitore todos os acessos a dados de clientes –  Testar regularmente a segurança de sistemas e processos!   Manter uma política de segurança de informação –  Construa uma política de segurança da informação que aponte ações para todos os funcionários 3  
  6. 6. Workshop: Aspectos Técnicos de Segurança para eCommerce Como garantir a conformidade PCI!   Cada bandeira criou seu programa de verificação de conformidade PCI – verifique com seu fornecedor!   Assessores Qualificados –  Qualified Security Assessor (QSA) –  Approved Scanning Vendor (ASV)!   Questionário de Auto Avaliação –  Tipo de questionário de acordo com tipo de comércio E onde entra o certificado digital ? Identidade !   Em 1994 quando a Internet se tornou um novo canal de vendas surgiu um problema: Como os consumidores poderiam identificar as empresas que faziam negócios na rede ? 4  
  7. 7. Workshop: Aspectos Técnicos de Segurança para eCommerce Confidencialidade Como proteger a informação trocada entre o servidor e o browser ? Identidade = Nome = Endereço de Rede!   TLD – Top Level Domain –  .com .net .org .gov .edu !   A coleção de redes que –  generic se tornou a Internet – ARPANET, Bitnet, ... estabeleceu as primeiras!   CC – Country Code regras para a criação de –  .br .us .ar .it .ca .uk nomes que são então traduzidos para! ccTLD endereços numéricos. –  .com.br .net.br .org.br !   Nomes diferentes podem levar a um mesmo endereço numérico. Confidencialidade na Internet = Criptografia Civil!   Criptografia na Segunda Guerra Mundial!   Criptografia durante a Guerra Fria –  COCOM (1945), ITAR USA (1992), Wasenaar (1996)!   Desenvolvimento nos anos 70 e 80 em conjunto com a criação da Internet!   Criptografia nos anos 90 –  PGP, RSA DataSecurity, Verisign, SSLeay, OpenSSL 5  
  8. 8. Workshop: Aspectos Técnicos de Segurança para eCommerceA maquina de criptografia ENIGMA Criptografia de Chave Secreta sinfic.pt Criptografia de Chave Pública sinfic.pt 6  
  9. 9. Workshop: Aspectos Técnicos de Segurança para eCommerce A conversa entre o Browser e o Servidor!   Browser –  Senhor Servidor me mande a pagina https://x.com.br!   Servidor –  Tome primeiro meu certificado digital!   Browser –  Verifica se o certificado esta correto para o endereço solicitado –  Verifica se o certificado é valido – não expirado, não revogado –  Verifica se a cadeia de confiança do certificado é confiável –  Calcula um segredo que será usado para a comunicação –  Com a chave publica do servidor criptografa o segredo calculado!   Servidor –  Com sua chave privada decifra o segredo calculado pelo Browser –  Passa a se comunicar com o browser usando o segredo calculado como chave simétrica Hierarquias Confiáveis no repositório do Windows Confiança é importante para o seu negócio 7  
  10. 10. Workshop: Aspectos Técnicos de Segurança para eCommerce Sua loja Sua loja 73%dos usuários brasileiros da Web não identificam sites de phishing 8  
  11. 11. Workshop: Aspectos Técnicos de Segurança para eCommerce Conhecimento é essencial para combater o phishing1.  https:// o “s” no https:// significa que o site é criptografado, portanto as informações inseridas no site estão seguras.  Apesar de alguns sites de phishing possuírem um endereço de Web seguro, muitos não têm. Portanto, os visitantes do site devem estar atentos para a falta de segurança em sites que deveriam tê-la.  
 Conhecimento é essencial para combater o phishingO ícone do cadeado: para ser significativo,este ícone deve aparecer na interface realdo  navegador e não dentro do conteúdo daprópria página.  Clique e verifique no cadeado:•  informações do certificado digital•  da empresa•  validade  
 Conhecimento é essencial para combater o phishingMarcas de confiança: pistas visuais simplessob a forma de logotipos populares podemmostrar que um Web site é autenticado eseguro e que a empresa é respeitável.     
 9  
  12. 12. Workshop: Aspectos Técnicos de Segurança para eCommerce Conhecimento é essencial para combater o phishingVerifique o endereço Web: suspeite dequalquer site com um domíniodesconhecido e que  contenha o nome deum site conhecido na última parte do seuendereço Web.  
 Conhecimento é essencial para combater o phishing5.Barra de endereços verde e cadeado: isso significa que este site sofreu uma autenticação de identidade  ampla, de modo que você pode ter certeza que é o site que afirma ser.
 225 milhões de domínios no mundo 10  
  13. 13. Workshop: Aspectos Técnicos de Segurança para eCommerce 225 milhões de domínios no mundo!   O terceiro trimestre de 2011 foi encerrado com uma base de quase 220 milhões de registros de nomes de domínios em todos os Domínios de Primeiro Nível (TLDs)!   Os registros aumentaram mais de 18 milhões, ou 8,9% desde o terceiro trimestre de 2010. Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios Mensais da ICANN 225 milhões de domínios no mundo!   O total de registros de ccTLD foi de aproximadamente 86,9 milhões no terceiro trimestre de 2011 com a inclusão de 2,3 milhões de nomes de domínio, ou um aumento de 2,7% comparado com o segundo trimestre.!   Aumento de aproximadamente 7,8 milhões de nomes de domínio, ou 9,8%, sobre o ano Anterior. Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios Mensais da ICANN 225 milhões de domínios no mundo!   Novos registros .com e .net atingiram um total de 7,9 milhões no trimestre. Isto indica um aumento ano a ano de 5,9% de novos registros, e uma queda de 2,3% sobre o segundo trimestre. Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios Mensais da ICANN 11  
  14. 14. Workshop: Aspectos Técnicos de Segurança para eCommerce 225 milhões de domínios no mundo!   Dentre os 20 maiores ccTLDs, Brasil, Austrália, Tokelau e Federação Russa ultrapassaram um crescimento trimestre a trimestre de 4%.!   No último trimestre, três dos 20 principais ultrapassaram o mesmo limite.São mais de 240 extensões ccTLD em todo o mundo, com os 10 principais ccTLDs representando 60% de todos os registros. Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios Mensais da ICANN 225 milhões de domínios no mundo!    A taxa de renovação de .com e .net no terceiro trimestre de 2011 foi de 73,3%, um aumento sobre 73,1 % do segundo trimestre. A taxa de renovação varia no trimestre de acordo com a composição da base de nomes para expirar e a contribuição de registradores específicos. Fonte: Verisign, outubro de 2011 225 milhões de domínios no mundo!   Novos registros de .com e .net alcançaram um total de 7,9 milhões durante o trimestre. Isto representa um aumento ano a ano de novos registros de  4% Fonte: Verisign, outubro de 2011 12  
  15. 15. Workshop: Aspectos Técnicos de Segurança para eCommerce Importância de um certificado SSL Importância de um certificado SSL!   A autenticação de seus servidores: os usuários do site da sua organização passam a navegar com total tranquilidade, com a garantia de que realmente estão conectados ao site "original" e não a uma cópia operada por fraudadores.!   Um canal criptográfico seguro: que mantêm o sigilo e a integridade das informações confidenciais durante todo o caminho entre o navegador web do usuário e o servidor do seu site. Canal de criptografia, nos padrões do protocolo SSL/TLS; Importância de um certificado SSL1 – Força da Criptografia!   Quanto maior a força criptográfica, mais os dados sensíveis em uma conexão estarão protegidos.!   40, 128, 192, 256 bits 13  
  16. 16. Workshop: Aspectos Técnicos de Segurança para eCommerce Importância de um certificado SSL2 – Interoperabilidade !  A Certisign oferece Certificados com interoperabilidade com 99% dos!  Para garantir o reconhecimento e acesso navegadores usados no mercado. ao HTTPS pelos usuários de um site seguro, faz-se necessário que o certificado seja reconhecido pelos navegadores utilizados pelos clientes (Internet Explorer ®, Netscape ®, Mozilla ®, Firefox ®, Opera ® e outros).!  A raiz do certificado da Autoridade Certificadora precisa estar instalada nos navegadores, mas a questão da interoperabilidade não pára por aí. O certificado de servidor precisa ter interoperabilidade com softwares utilizados dentro de sua organização, principalmente as aplicações de serviços web, como o Java da Microsystems ®, por exemplo. Importância de um certificado SSL3 - Autenticação do Negócio!   O rigor da validação impede que terceiros tenham acesso a certificados emitidos para sua empresa. No ambiente atual, onde práticas como “phishing” põem em risco a boa fé do consumidor, somente a autenticação do negócio pode aumentar a confiança nos serviços web.!   A Certisign adota os mais rigorosos processos de validação auditados por órgãos internacionais competentes para garantir a confiabilidade que seu negócio precisa e merece. Importância de um certificado SSL4 – Suporte!   Suporte efetivo é ter técnicos treinados e experientes, e não uma equipe de telemarketing lendo scripts. A Certisign conta, há quase uma década, com uma equipe experiente de suporte capaz de conduzir os clientes por todo o processo do ciclo de vida dos certificados de maneira simples, fácil e rápida. 14  
  17. 17. Workshop: Aspectos Técnicos de Segurança para eCommerce Importância de um certificado SSL5 - Autoridade Certificadora!   Uma Autoridade Certificadora não é apenas uma emissora de certificados digitais. Seu papel na sociedade atual vai muito além: ela proporciona confiança entre as parte que utilizam o meio eletrônico para realizar transações, trocar informações, assinar contratos, etc. Importância de um certificado SSL6 - Confiança na Marca!   Importante o Selo do Site Seguro conhecida no mercado!   Se as empresas querem que seus visitantes entendam que é seguro compartilhar seu número de cartão de crédito, sua conta bancária, endereço ou outras informações confidenciais através do seu site, é preciso mostrar o Selo do Site Seguro na página e ensinar aos usuários sobre a importância de conferir o endereço https que aparece no certificado com o que aparece no navegador. Importância de um certificado SSL Embora URLs pareçam corretos em um email, sites de Clique e verifique no cadeado phishing geralmente usam URLs falsos 15  
  18. 18. Workshop: Aspectos Técnicos de Segurança para eCommerce Importância de um certificado SSL A Certisign é a responsável porcertificar mais de 80% dos sites no Brasil Nome do domínio certificado Validade do certificado de SSL do site Nome da empresa que foi certificada para utilizar o Certificado Site Seguro Os sites certificados pela Certisign Possuem a Identificação do proprietário do site E os dados são criptografados com os certificados SSL. Clique e verifique!   Um site validado pela Certisign indica que nossa empresa concluiu satisfatoriamente todos os procedimentos para determinar que o domínio do web site é de propriedade ou se encontra registrado por uma empresa ou organização autorizada a negociar ou exercer qualquer outra atividade lícita. Certificado EV 16  
  19. 19. Workshop: Aspectos Técnicos de Segurança para eCommerceMarcas de confiança no navegador Nova Marca Nova Marca 17  
  20. 20. Workshop: Aspectos Técnicos de Segurança para eCommerce Obrigado! Maria Teresa Aarãomtaarao@certisign.com.br www.certisign.com.br 18  

×