SlideShare uma empresa Scribd logo

10 problemas seguranca_ecommerce

Transferir como PPT, PDF
Site Blindado S.A.
Site Blindado S.A.

O documento lista os 10 erros mais comuns de segurança em ecommerces e fornece recomendações para corrigi-los. Os erros incluem armazenar dados de clientes sem criptografia, não testar frequentemente a segurança da aplicação, e não utilizar autenticação forte. As recomendações envolvem criptografar dados, realizar testes de vulnerabilidade, implantar selos de credibilidade e autenticação de dois fatores.

Tecnologia
1 de 14
Os 10 erros mais comuns de segurança na operação de um ecommerce Gustavo F. de Souza Diretor
O Histórico do Ecommerce 1979: Criação do primeiro shopping Online; 1984: Eletronic Mall foi criado pela CompuServe; 1994: O primeiro banco online foi inaugurado; 1995: Lançamento da Amazon.com; 2000: Bolha .com; 2011: O Ecommerce no Brasil movimentou mais de R$18 Bilhões de reais. Nos EUA passou de US$197 Bilhões.
Dados relacionados a Segurança no Ecommerce – SiteBlindado Problemas na 1a. Certificação de Segurança Falhas Segurança 8% Aplicação 16% Sem SSL 51% Problemas de DNS 25% Infectados Malware
Problemas de Segurança mais comuns Software desatualizados; Vulnerabilidade de Cross Script Injection; Serviços Desnecessários disponíveis; SQL Injection; Página de administração disponível para qualquer pessoa acessar; Página de login sem criptografia.
Entidades relacionadas ao ecommerce Usuário: Comprador Website B2C: Vendedor; Hacker: entidade que tenta explorar fragilidades no sistema; Software Ecommerce Hacker Software Ecommerce: Plataforma ou software desenvolvido para negócios online. Usuários Webite B2C
Vetores de ataques ao ecommerce Malwares Programas Infectados Software Ecommerce Hacker Ataque Phishing Malware para estação Ataque de Aplicação Problemas conhecidos DDoS Usuários Interceptação dos dados da transação Website - Usuário Website B2C
Conceito do que Proteger
Gestão de Riscos - Matriz
Os Erros mais comuns 1- Armazenar dados de clientes e cartão de crédito em claro. Recomendação: Armazenar dados de clientes criptografados. Não armazenar dados de cartão de crédito de clientes (utilizar gateways). 2- Não avaliar recorrentemente a segurança da aplicação. Recomendação: Realizar análise automatizada / Testes de invasão de vulnerabilidades sob a ótica do usuário.
Os Erros mais comuns 3- Não ter criptografia em páginas críticas e selo de credibilidade. Recomendação: Implantar criptografia forte em páginas críticas. Implantar métodos de troca de chaves seguros. Ter selo de credibilidade em todas as URLs. 4- Não utilizar autenticação forte para usuários do sistema. Recomendação: Garantir que o usuário é o autorizado para transação. Restringir e implantar autenticação de 2 fatores admins.
Os Erros mais comuns 5- Não estar protegido contra ataques de Negação de Serviços (Dos e DDos). Recomendação: Implantar mecanismo de proteção de ataques de DDos no DNS e Portal (Interface). 6- Não utilizar Web application Firewalls, Firewalls, Proxies e IPSs. Recomendação: Implantar mecanismos externos de proteção de aplicação – WAF. Implantar mecanismos de proteção de perímetros.
Os Erros mais comuns 7- Usar softwares desatualizados. Recomendação: Implantar mecanismo de verificação de versão de software. Atualizar periodicamente os softwares/plataformas. 8- Não ter um controle de disponibilidade / plano de continuidade / backup. Recomendação: Implantar monitoração de performance e rotinas de contingência dos serviços críticos. Preservar backups atualizados e testes regulares.
Os Erros mais comuns 9- Arquitetura Segregada e proteção de dados. Recomendação: Implantar segregação de ambientes como: Proxy ou WAF de entrada, banco de dados apenas para leitura de dados, banco de dados restrito para escrita. Implantar software de controle de vírus, navegação e malware para colaboradores do portal (funcionários). 10 – Não analisar logs da aplicação, banco de dados e perímetros. Recomendação: Analisar diariamente logs dos servidores Web, aplicação e banco. Analisar mecanismos de defesa no mínimo diariamente.
O b r ig a d o ! o G us ta vo S o uza gustavo@siteblindado.com.br (11) 3165-4000

Recomendados

Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
THE WebSec
THE WebSecTHE WebSec
THE WebSecKelvin Campelo
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Kleitor Franklint Correa Araujo
 
OWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoOWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoLuciano Monteiro da Silva
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 

Recomendados

Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
THE WebSec
THE WebSecTHE WebSec
THE WebSecKelvin Campelo
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Kleitor Franklint Correa Araujo
 
OWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoOWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoLuciano Monteiro da Silva
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site BlindadoSite Blindado S.A.
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisMauro Risonho de Paula Assumpcao
 
Soluções Site Blindado
Soluções Site BlindadoSoluções Site Blindado
Soluções Site BlindadoSite Blindado S.A.
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBAlcyon Ferreira de Souza Junior, MSc
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemExplorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemAlcyon Ferreira de Souza Junior, MSc
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
OWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationOWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationFernando Galves
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Alcyon Ferreira de Souza Junior, MSc
 
Segurança na web
Segurança na webSegurança na web
Segurança na webKaito Queiroz
 
Segurança a favor do seu E-commerce
Segurança a favor do seu E-commerceSegurança a favor do seu E-commerce
Segurança a favor do seu E-commerceSite Blindado S.A.
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Crimes EletrôNicos Em Ambientes Corporativos
Crimes EletrôNicos Em Ambientes CorporativosCrimes EletrôNicos Em Ambientes Corporativos
Crimes EletrôNicos Em Ambientes CorporativosMarcio Costa
 
Importância, os mecanismos e a segurança dos sistemas operativos.
Importância, os mecanismos e a segurança dos sistemas operativos.Importância, os mecanismos e a segurança dos sistemas operativos.
Importância, os mecanismos e a segurança dos sistemas operativos.JoaoMartinsSO12
 
Importância, os mecanismos e a segurança dos sistemas operativos.
Importância, os mecanismos e a segurança dos sistemas operativos.Importância, os mecanismos e a segurança dos sistemas operativos.
Importância, os mecanismos e a segurança dos sistemas operativos.Diogo Rosa
 

Mais conteúdo relacionado

Mais procurados

Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site BlindadoSite Blindado S.A.
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisMauro Risonho de Paula Assumpcao
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBAlcyon Ferreira de Souza Junior, MSc
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemExplorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemAlcyon Ferreira de Souza Junior, MSc
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
OWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationOWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationFernando Galves
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Segurança a favor do seu E-commerce
Segurança a favor do seu E-commerceSegurança a favor do seu E-commerce
Segurança a favor do seu E-commerceSite Blindado S.A.
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 

Mais procurados (19)

Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site Blindado
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender mais
 
Soluções Site Blindado
Soluções Site BlindadoSoluções Site Blindado
Soluções Site Blindado
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometemExplorando 5 falhas graves de segurança que os programadores sempre cometem
Explorando 5 falhas graves de segurança que os programadores sempre cometem
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
OWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationOWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken Authentication
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 
Segurança a favor do seu E-commerce
Segurança a favor do seu E-commerceSegurança a favor do seu E-commerce
Segurança a favor do seu E-commerce
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 

Destaque

Crimes EletrôNicos Em Ambientes Corporativos
Crimes EletrôNicos Em Ambientes CorporativosCrimes EletrôNicos Em Ambientes Corporativos
Crimes EletrôNicos Em Ambientes CorporativosMarcio Costa
 
Importância, os mecanismos e a segurança dos sistemas operativos.
Importância, os mecanismos e a segurança dos sistemas operativos.Importância, os mecanismos e a segurança dos sistemas operativos.
Importância, os mecanismos e a segurança dos sistemas operativos.JoaoMartinsSO12
 
Importância, os mecanismos e a segurança dos sistemas operativos.
Importância, os mecanismos e a segurança dos sistemas operativos.Importância, os mecanismos e a segurança dos sistemas operativos.
Importância, os mecanismos e a segurança dos sistemas operativos.Diogo Rosa
 
Autenticação e controlo de acessos
Autenticação e controlo de acessosAutenticação e controlo de acessos
Autenticação e controlo de acessosLuis Batista
 
Cristina 1º Semana Da Informtica Est SetúBal
Cristina 1º Semana Da Informtica Est SetúBalCristina 1º Semana Da Informtica Est SetúBal
Cristina 1º Semana Da Informtica Est SetúBalCristinaFreitas
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
4 - segurança - mecanismos
4 - segurança - mecanismos4 - segurança - mecanismos
4 - segurança - mecanismosAndre Peres
 
Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Paulo Sousa
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Apresentação de slides pronto
Apresentação de slides prontoApresentação de slides pronto
Apresentação de slides prontocandidacbertao
 

Destaque (10)

Crimes EletrôNicos Em Ambientes Corporativos
Crimes EletrôNicos Em Ambientes CorporativosCrimes EletrôNicos Em Ambientes Corporativos
Crimes EletrôNicos Em Ambientes Corporativos
 
Importância, os mecanismos e a segurança dos sistemas operativos.
Importância, os mecanismos e a segurança dos sistemas operativos.Importância, os mecanismos e a segurança dos sistemas operativos.
Importância, os mecanismos e a segurança dos sistemas operativos.
 
Importância, os mecanismos e a segurança dos sistemas operativos.
Importância, os mecanismos e a segurança dos sistemas operativos.Importância, os mecanismos e a segurança dos sistemas operativos.
Importância, os mecanismos e a segurança dos sistemas operativos.
 
Autenticação e controlo de acessos
Autenticação e controlo de acessosAutenticação e controlo de acessos
Autenticação e controlo de acessos
 
Cristina 1º Semana Da Informtica Est SetúBal
Cristina 1º Semana Da Informtica Est SetúBalCristina 1º Semana Da Informtica Est SetúBal
Cristina 1º Semana Da Informtica Est SetúBal
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
4 - segurança - mecanismos
4 - segurança - mecanismos4 - segurança - mecanismos
4 - segurança - mecanismos
 
Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusos
 
Apresentação de slides pronto
Apresentação de slides prontoApresentação de slides pronto
Apresentação de slides pronto
 

Semelhante a 10 problemas seguranca_ecommerce

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoISH Tecnologia
 
Folder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineFolder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineSite Blindado S.A.
 
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013Start Link
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisRubens Guimarães - MTAC MVP
 
Apostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerceApostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerceE-Commerce Brasil
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoEverton Souza
 
Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)wellagapto
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Site blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite Blindado S.A.
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...LeandroTrindade19
 
[Workshops RoadShow ECBR - Edição Rio de Janeiro 2019] Maximize os resultados...
[Workshops RoadShow ECBR - Edição Rio de Janeiro 2019] Maximize os resultados...[Workshops RoadShow ECBR - Edição Rio de Janeiro 2019] Maximize os resultados...
[Workshops RoadShow ECBR - Edição Rio de Janeiro 2019] Maximize os resultados...E-Commerce Brasil
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Site Blindado S.A.
 

Semelhante a 10 problemas seguranca_ecommerce (20)

Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Como gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informaçãoComo gerenciar a sua segurança da informação
Como gerenciar a sua segurança da informação
 
Folder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineFolder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas online
 
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas Profissionais
 
Apostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerceApostila - Aspectos Técnicos de Segurança para eCommerce
Apostila - Aspectos Técnicos de Segurança para eCommerce
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informação
 
Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Site blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender mais
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
 
[Workshops RoadShow ECBR - Edição Rio de Janeiro 2019] Maximize os resultados...
[Workshops RoadShow ECBR - Edição Rio de Janeiro 2019] Maximize os resultados...[Workshops RoadShow ECBR - Edição Rio de Janeiro 2019] Maximize os resultados...
[Workshops RoadShow ECBR - Edição Rio de Janeiro 2019] Maximize os resultados...
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
 

Mais de Site Blindado S.A.

Webinar - Como deixar seu consumidor mais confortável para comprar no seu e-c...
Webinar - Como deixar seu consumidor mais confortável para comprar no seu e-c...Webinar - Como deixar seu consumidor mais confortável para comprar no seu e-c...
Webinar - Como deixar seu consumidor mais confortável para comprar no seu e-c...Site Blindado S.A.
 
Cloud Security - Marcos Ferreira
Cloud Security - Marcos Ferreira Cloud Security - Marcos Ferreira
Cloud Security - Marcos Ferreira Site Blindado S.A.
 
Aplicativos para monitorar filhos pelo celular
Aplicativos para monitorar filhos pelo celularAplicativos para monitorar filhos pelo celular
Aplicativos para monitorar filhos pelo celularSite Blindado S.A.
 
Apresentação Forum Ecomerce Brasil 2012 - Confiabilidade e Credibilidade
Apresentação Forum Ecomerce Brasil 2012 - Confiabilidade e CredibilidadeApresentação Forum Ecomerce Brasil 2012 - Confiabilidade e Credibilidade
Apresentação Forum Ecomerce Brasil 2012 - Confiabilidade e CredibilidadeSite Blindado S.A.
 
Manual de posicionamento do selo site blindado
Manual de posicionamento do selo site blindadoManual de posicionamento do selo site blindado
Manual de posicionamento do selo site blindadoSite Blindado S.A.
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
Manual de Posicionamento do Selo Site Blindado
Manual de Posicionamento do Selo Site BlindadoManual de Posicionamento do Selo Site Blindado
Manual de Posicionamento do Selo Site BlindadoSite Blindado S.A.
 

Mais de Site Blindado S.A. (10)

Webinar - Como deixar seu consumidor mais confortável para comprar no seu e-c...
Webinar - Como deixar seu consumidor mais confortável para comprar no seu e-c...Webinar - Como deixar seu consumidor mais confortável para comprar no seu e-c...
Webinar - Como deixar seu consumidor mais confortável para comprar no seu e-c...
 
DevOps
DevOps DevOps
DevOps
 
Cloud Security - Marcos Ferreira
Cloud Security - Marcos Ferreira Cloud Security - Marcos Ferreira
Cloud Security - Marcos Ferreira
 
Aplicativos para monitorar filhos pelo celular
Aplicativos para monitorar filhos pelo celularAplicativos para monitorar filhos pelo celular
Aplicativos para monitorar filhos pelo celular
 
Apresentação Forum Ecomerce Brasil 2012 - Confiabilidade e Credibilidade
Apresentação Forum Ecomerce Brasil 2012 - Confiabilidade e CredibilidadeApresentação Forum Ecomerce Brasil 2012 - Confiabilidade e Credibilidade
Apresentação Forum Ecomerce Brasil 2012 - Confiabilidade e Credibilidade
 
Solucoes site blindado
Solucoes site blindadoSolucoes site blindado
Solucoes site blindado
 
Manual de posicionamento do selo site blindado
Manual de posicionamento do selo site blindadoManual de posicionamento do selo site blindado
Manual de posicionamento do selo site blindado
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability Manager
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy Manager
 
Manual de Posicionamento do Selo Site Blindado
Manual de Posicionamento do Selo Site BlindadoManual de Posicionamento do Selo Site Blindado
Manual de Posicionamento do Selo Site Blindado
 

10 problemas seguranca_ecommerce

  • 1. Os 10 erros mais comuns de segurança na operação de um ecommerce Gustavo F. de Souza Diretor
  • 2. O Histórico do Ecommerce 1979: Criação do primeiro shopping Online; 1984: Eletronic Mall foi criado pela CompuServe; 1994: O primeiro banco online foi inaugurado; 1995: Lançamento da Amazon.com; 2000: Bolha .com; 2011: O Ecommerce no Brasil movimentou mais de R$18 Bilhões de reais. Nos EUA passou de US$197 Bilhões.
  • 3. Dados relacionados a Segurança no Ecommerce – SiteBlindado Problemas na 1a. Certificação de Segurança Falhas Segurança 8% Aplicação 16% Sem SSL 51% Problemas de DNS 25% Infectados Malware
  • 4. Problemas de Segurança mais comuns Software desatualizados; Vulnerabilidade de Cross Script Injection; Serviços Desnecessários disponíveis; SQL Injection; Página de administração disponível para qualquer pessoa acessar; Página de login sem criptografia.
  • 5. Entidades relacionadas ao ecommerce Usuário: Comprador Website B2C: Vendedor; Hacker: entidade que tenta explorar fragilidades no sistema; Software Ecommerce Hacker Software Ecommerce: Plataforma ou software desenvolvido para negócios online. Usuários Webite B2C
  • 6. Vetores de ataques ao ecommerce Malwares Programas Infectados Software Ecommerce Hacker Ataque Phishing Malware para estação Ataque de Aplicação Problemas conhecidos DDoS Usuários Interceptação dos dados da transação Website - Usuário Website B2C
  • 7. Conceito do que Proteger
  • 8. Gestão de Riscos - Matriz
  • 9. Os Erros mais comuns 1- Armazenar dados de clientes e cartão de crédito em claro. Recomendação: Armazenar dados de clientes criptografados. Não armazenar dados de cartão de crédito de clientes (utilizar gateways). 2- Não avaliar recorrentemente a segurança da aplicação. Recomendação: Realizar análise automatizada / Testes de invasão de vulnerabilidades sob a ótica do usuário.
  • 10. Os Erros mais comuns 3- Não ter criptografia em páginas críticas e selo de credibilidade. Recomendação: Implantar criptografia forte em páginas críticas. Implantar métodos de troca de chaves seguros. Ter selo de credibilidade em todas as URLs. 4- Não utilizar autenticação forte para usuários do sistema. Recomendação: Garantir que o usuário é o autorizado para transação. Restringir e implantar autenticação de 2 fatores admins.
  • 11. Os Erros mais comuns 5- Não estar protegido contra ataques de Negação de Serviços (Dos e DDos). Recomendação: Implantar mecanismo de proteção de ataques de DDos no DNS e Portal (Interface). 6- Não utilizar Web application Firewalls, Firewalls, Proxies e IPSs. Recomendação: Implantar mecanismos externos de proteção de aplicação – WAF. Implantar mecanismos de proteção de perímetros.
  • 12. Os Erros mais comuns 7- Usar softwares desatualizados. Recomendação: Implantar mecanismo de verificação de versão de software. Atualizar periodicamente os softwares/plataformas. 8- Não ter um controle de disponibilidade / plano de continuidade / backup. Recomendação: Implantar monitoração de performance e rotinas de contingência dos serviços críticos. Preservar backups atualizados e testes regulares.
  • 13. Os Erros mais comuns 9- Arquitetura Segregada e proteção de dados. Recomendação: Implantar segregação de ambientes como: Proxy ou WAF de entrada, banco de dados apenas para leitura de dados, banco de dados restrito para escrita. Implantar software de controle de vírus, navegação e malware para colaboradores do portal (funcionários). 10 – Não analisar logs da aplicação, banco de dados e perímetros. Recomendação: Analisar diariamente logs dos servidores Web, aplicação e banco. Analisar mecanismos de defesa no mínimo diariamente.
  • 14. O b r ig a d o ! o G us ta vo S o uza gustavo@siteblindado.com.br (11) 3165-4000