20
EXCELÊNCIA EM E-COMMERCE VEJA O CALENDÁRIO ONLINE EM www.ecommercebrasil.com.br/calendario ASPECTOS TÉCNICOS DE SEGURANÇA PARA ECOMMERCE

Apostila - Aspectos Técnicos de Segurança para eCommerce

Embed Size (px)

DESCRIPTION

O objetivo de nossa apresentação é apontar as ameaças para esta passagem e as formas de proteção que a gestão de riscos e de processos aliados aos produtos de segurança pode oferecer. Maria Teresa Aarão é Gerente de Desenvolvimento de Novos Produtos da Certisign Certificadora Digital.

Citation preview

Page 1: Apostila - Aspectos Técnicos de Segurança para eCommerce

EXCELÊNCIA EM E-COMMERCEEXCELÊNCIA EM E-COMMERCEVEJA O CALENDÁRIO ONLINE EMwww.ecommercebrasil.com.br/calendario

ASPECTOS TÉCNICOS DESEGURANÇA PARA ECOMMERCE

Page 2: Apostila - Aspectos Técnicos de Segurança para eCommerce

MANTENEDORES

Page 3: Apostila - Aspectos Técnicos de Segurança para eCommerce

1  

Apresentação sobre Segurança no E-Commerce Brasil

Agenda

!   Segurança em geral

!   Segurança para e-Commerce

!   Identidade e Confidencialidade na Internet

!   Endereços e Domínios

!   Sinais, Selos e Marcas de Confiança !   Requisitos para escolher sua marca de confiança

O mantra da Segurança

!   Identificação Quem esta falando ?

!   Autenticação Como provou que é quem diz ser ?

!   Autorização O que este interlocutor pode fazer ?

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 4: Apostila - Aspectos Técnicos de Segurança para eCommerce

2  

O mantra da segurança

!   Confidencialidade Como garantir o sigilo ? !   Integridade Tem proteção contra modificação indevida ?

!   Não repúdio

É impossível forjar a ação do usuário ?

O mantra da segurança

!   Disponibilidade

Tem uma estratégia de recuperação ? !   Auditoria / Responsabilidade

É passível de verificação por terceiros ? Todas as ações tem autoria identificável ?

Payment Card Industry Security Standards Council

!   Criado em 2006 por 6 grandes bandeiras: –  American Express, Discover, JCB, International, MasterCard

Worldwide e Visa Inc !   Três níveis de padronização

–  Para os comerciantes e processadores de pagamentos (PCI-DSS) –  Para os desenvolvedores de software (PCI-PA-DSS) –  Para os fabricantes de dispositivos (PCI-PTS)

!   O objetivo principal é proteger os dados do cartão de crédito do cliente

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 5: Apostila - Aspectos Técnicos de Segurança para eCommerce

3  

Do total dos comerciantes americanos ....

!   37% armazenam os dados de cartão !   24% armazenam dados pessoais (SSN) !   28% guarda os números de conta bancária !   52% guarda pelo menos um destes dados sensíveis !   57% não vê necessidade de planejar formalmente a

segurança dos dados do cliente !   61% não teve acesso a informação sobre como

armazenar e manipular adequadamente dados de clientes

Segundo a National Federation of Independent Business (NFIB) - 2006

Os seis objetivos e os 12 requsitos do PCI DSS

!   Construir em manter uma rede segura –  Firewall para proteger os dados do cliente –  Não usar as configurações e senhas padrão dos fabricantes

!   Proteção dos dados do cliente –  Proteger dados de cliente armazenados em seus bancos de dados –  Criptografar dados de cliente para transmissão em rede aberta

!   Manter um programa de gerenciamento de vulnerabilidades –  Usar e atualizar regularmente programas anti-virus –  Desenvolver e manter sistemas e aplicações seguras

Os seis objetivos e 12 requisitos do PCI-DSS

!   Implantar medidas de controle de acesso forte –  Restringir o acesso aos dados de clientes pela necessidade de

saber do negocio –  Designar uma identidade única para cada pessoa com acesso ao

computador que guarda os dados –  Restringir o acesso físico aos dados dos clientes

!   Monitorar e testar sua rede regularmente –  Rastreie e monitore todos os acessos a dados de clientes –  Testar regularmente a segurança de sistemas e processos

!   Manter uma política de segurança de informação –  Construa uma política de segurança da informação que aponte

ações para todos os funcionários

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 6: Apostila - Aspectos Técnicos de Segurança para eCommerce

4  

Como garantir a conformidade PCI

!   Cada bandeira criou seu programa de verificação de conformidade PCI – verifique com seu fornecedor

!   Assessores Qualificados –  Qualified Security Assessor (QSA) –  Approved Scanning Vendor (ASV)

!   Questionário de Auto Avaliação –  Tipo de questionário de acordo com tipo de comércio

E onde entra o certificado digital ?

Identidade

!   Em 1994 quando a Internet se tornou um novo canal de vendas surgiu um problema:

Como os consumidores

poderiam identificar as empresas que faziam negócios na rede ?

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 7: Apostila - Aspectos Técnicos de Segurança para eCommerce

5  

Confidencialidade

Como proteger a informação trocada entre o servidor e o browser ?

Identidade = Nome = Endereço de Rede

!   TLD – Top Level Domain –  .com .net .org .gov .edu –  generic

!   CC – Country Code –  .br .us .ar .it .ca .uk

! ccTLD –  .com.br .net.br .org.br

!   A coleção de redes que se tornou a Internet – ARPANET, Bitnet, ... estabeleceu as primeiras regras para a criação de nomes que são então traduzidos para endereços numéricos.

!   Nomes diferentes podem levar a um mesmo endereço numérico.

Confidencialidade na Internet = Criptografia Civil

!   Criptografia na Segunda Guerra Mundial

!   Criptografia durante a Guerra Fria –  COCOM (1945), ITAR USA (1992), Wasenaar (1996)

!   Desenvolvimento nos anos 70 e 80 em conjunto com a criação da Internet

!   Criptografia nos anos 90 –  PGP, RSA DataSecurity, Verisign, SSLeay, OpenSSL

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 8: Apostila - Aspectos Técnicos de Segurança para eCommerce

6  

A maquina de criptografia ENIGMA

Criptografia de Chave Secreta

sinfic.pt

Criptografia de Chave Pública

sinfic.pt

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 9: Apostila - Aspectos Técnicos de Segurança para eCommerce

7  

A conversa entre o Browser e o Servidor

!   Browser –  Senhor Servidor me mande a pagina https://x.com.br

!   Servidor –  Tome primeiro meu certificado digital

!   Browser –  Verifica se o certificado esta correto para o endereço solicitado –  Verifica se o certificado é valido – não expirado, não revogado –  Verifica se a cadeia de confiança do certificado é confiável –  Calcula um segredo que será usado para a comunicação –  Com a chave publica do servidor criptografa o segredo calculado

!   Servidor –  Com sua chave privada decifra o segredo calculado pelo Browser –  Passa a se comunicar com o browser usando o segredo calculado

como chave simétrica

Hierarquias Confiáveis no repositório do Windows

Confiança é importante para o seu negócio

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 10: Apostila - Aspectos Técnicos de Segurança para eCommerce

8  

Sua loja

Sua loja

73% dos usuários brasileiros da Web não identificam sites

de phishing

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 11: Apostila - Aspectos Técnicos de Segurança para eCommerce

9  

Conhecimento é essencial para combater o phishing

1.  https:// o “s” no https:// significa que o site é criptografado, portanto as informações inseridas no site estão seguras.  Apesar de alguns sites de phishing possuírem um endereço de Web seguro, muitos não têm. Portanto, os visitantes do site devem estar atentos para a falta de segurança em sites que deveriam tê-la.  

Conhecimento é essencial para combater o phishing

O ícone do cadeado: para ser significativo, este ícone deve aparecer na interface real do  navegador e não dentro do conteúdo da própria página.   Clique e verifique no cadeado: •  informações do certificado digital •  da empresa •  validade  

Conhecimento é essencial para combater o phishing

Marcas de confiança: pistas visuais simples sob a forma de logotipos populares podem mostrar que um Web site é autenticado e seguro e que a empresa é respeitável.     

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 12: Apostila - Aspectos Técnicos de Segurança para eCommerce

10  

Conhecimento é essencial para combater o phishing

Verifique o endereço Web: suspeite de qualquer site com um domínio desconhecido e que  contenha o nome de um site conhecido na última parte do seu endereço Web.  

Conhecimento é essencial para combater o phishing

5.Barra de endereços verde e cadeado: isso significa que este site sofreu uma autenticação de identidade  ampla, de modo que você pode ter certeza que é o site que afirma ser.

225 milhões de domínios no mundo

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 13: Apostila - Aspectos Técnicos de Segurança para eCommerce

11  

225 milhões de domínios no mundo

!   O terceiro trimestre de 2011 foi encerrado com uma base de quase 220 milhões de registros de nomes de domínios em todos os Domínios de Primeiro Nível (TLDs)

!   Os registros aumentaram mais de 18 milhões, ou 8,9% desde o terceiro trimestre de 2010.

Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios Mensais da ICANN

225 milhões de domínios no mundo

!   O total de registros de ccTLD foi de aproximadamente 86,9 milhões no terceiro trimestre de 2011 com a inclusão de 2,3 milhões de nomes de domínio, ou um aumento de 2,7% comparado com o segundo trimestre.

!   Aumento de aproximadamente 7,8 milhões de nomes de domínio, ou 9,8%, sobre o ano Anterior.

Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios Mensais da ICANN

225 milhões de domínios no mundo

!   Novos registros .com e .net atingiram um total de 7,9 milhões no trimestre. Isto indica um aumento ano a ano de 5,9% de novos registros, e uma queda de 2,3% sobre o segundo trimestre.

Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios Mensais da ICANN

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 14: Apostila - Aspectos Técnicos de Segurança para eCommerce

12  

225 milhões de domínios no mundo

!   Dentre os 20 maiores ccTLDs, Brasil, Austrália, Tokelau e Federação Russa ultrapassaram um crescimento trimestre a trimestre de 4%.

!   No último trimestre, três dos 20 principais ultrapassaram o mesmo limite.São mais de 240 extensões ccTLD em todo o mundo, com os 10 principais ccTLDs representando 60% de todos os registros.

Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios Mensais da ICANN

225 milhões de domínios no mundo

!    A taxa de renovação de .com e .net no terceiro trimestre de 2011 foi de 73,3%, um aumento sobre 73,1 % do segundo trimestre. A taxa de renovação varia no trimestre de acordo com a composição da base de nomes para expirar e a contribuição de registradores específicos.

Fonte: Verisign, outubro de 2011

225 milhões de domínios no mundo

!   Novos registros de .com e .net alcançaram um total de 7,9 milhões durante o trimestre. Isto representa um aumento ano a ano de novos registros de  4%

Fonte: Verisign, outubro de 2011

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 15: Apostila - Aspectos Técnicos de Segurança para eCommerce

13  

Importância de um certificado SSL

Importância de um certificado SSL

!   A autenticação de seus servidores: os usuários do site da sua organização passam a navegar com total tranquilidade, com a garantia de que realmente estão conectados ao site "original" e não a uma cópia operada por fraudadores.

!   Um canal criptográfico seguro: que mantêm o sigilo e a integridade das informações confidenciais durante todo o caminho entre o navegador web do usuário e o servidor do seu site. Canal de criptografia, nos padrões do protocolo SSL/TLS;

Importância de um certificado SSL

1 – Força da Criptografia !   Quanto maior a força

criptográfica, mais os dados sensíveis em uma conexão estarão protegidos.

!   40, 128, 192, 256 bits

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 16: Apostila - Aspectos Técnicos de Segurança para eCommerce

14  

Importância de um certificado SSL

2 – Interoperabilidade !   Para garantir o reconhecimento e acesso

ao HTTPS pelos usuários de um site seguro, faz-se necessário que o certificado seja reconhecido pelos navegadores utilizados pelos clientes (Internet Explorer ®, Netscape ®, Mozilla ®, Firefox ®, Opera ® e outros).

!   A raiz do certificado da Autoridade

Certificadora precisa estar instalada nos navegadores, mas a questão da interoperabilidade não pára por aí. O certificado de servidor precisa ter interoperabilidade com softwares utilizados dentro de sua organização, principalmente as aplicações de serviços web, como o Java da Microsystems ®, por exemplo.

!   A Certisign oferece Certificados com interoperabilidade com 99% dos navegadores usados no mercado.

Importância de um certificado SSL

3 - Autenticação do Negócio

!   O rigor da validação impede que terceiros tenham acesso a certificados emitidos para sua empresa. No ambiente atual, onde práticas como “phishing” põem em risco a boa fé do consumidor, somente a autenticação do negócio pode aumentar a confiança nos serviços web.

!   A Certisign adota os mais rigorosos

processos de validação auditados por órgãos internacionais competentes para garantir a confiabilidade que seu negócio precisa e merece.

4 – Suporte !   Suporte efetivo é ter técnicos

treinados e experientes, e não uma equipe de telemarketing lendo scripts. A Certisign conta, há quase uma década, com uma equipe experiente de suporte capaz de conduzir os clientes por todo o processo do ciclo de vida dos certificados de maneira simples, fácil e rápida.

Importância de um certificado SSL

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 17: Apostila - Aspectos Técnicos de Segurança para eCommerce

15  

Importância de um certificado SSL

5 - Autoridade Certificadora !   Uma Autoridade Certificadora

não é apenas uma emissora de certificados digitais. Seu papel na sociedade atual vai muito além: ela proporciona confiança entre as parte que utilizam o meio eletrônico para realizar transações, trocar informações, assinar contratos, etc.

Importância de um certificado SSL

6 - Confiança na Marca !   Importante o Selo do Site Seguro conhecida no mercado

!   Se as empresas querem que seus visitantes entendam que é seguro compartilhar seu número de cartão de crédito, sua conta bancária, endereço ou outras informações confidenciais através do seu site, é preciso mostrar o Selo do Site Seguro na página e ensinar aos usuários sobre a importância de conferir o endereço https que aparece no certificado com o que aparece no navegador.

Importância de um certificado SSL

Embora URLs pareçam corretos

em um email, sites de

phishing geralmente

usam URLs falsos

Clique e verifique no cadeado

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 18: Apostila - Aspectos Técnicos de Segurança para eCommerce

16  

Importância de um certificado SSL

Nome do domínio

certificado

Validade do

certificado de SSL

do site

Nome da empresa que foi

certificada para utilizar o

Certificado Site Seguro

A Certisign é a responsável por

certificar mais de 80% dos sites no Brasil

Os sites certificados pela Certisign

Possuem a Identificação do proprietário do site

E os dados são criptografados com os certificados SSL.

Clique e verifique

!   Um site validado pela Certisign indica que nossa empresa concluiu satisfatoriamente todos os procedimentos para determinar que o domínio do web site é de propriedade ou se encontra registrado por uma empresa ou organização autorizada a negociar ou exercer qualquer outra atividade lícita.

Certificado EV

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 19: Apostila - Aspectos Técnicos de Segurança para eCommerce

17  

Marcas de confiança no navegador

Nova Marca

Nova Marca

Workshop: Aspectos Técnicos de

Segurança para eCommerce

Page 20: Apostila - Aspectos Técnicos de Segurança para eCommerce

18  

Obrigado!

Maria Teresa Aarão [email protected]

www.certisign.com.br

Workshop: Aspectos Técnicos de

Segurança para eCommerce