Firewall, SSL e atualizações de sistema operacional não são mais suficientes para conter ataques de hackers
Especialista em segurança contra hackers para portais de negócio via internet.
Site Blindado aumenta a credibilidade e a conversão de vendas em até 15%
A suíte de serviços do Site Blindado abrange desde a auditoria e análise da segurança
até a proteção ativa de portais web. Utilizando a tecnologia de Cloud Computing –
Security as a Service – todos os serviços podem ser acessados via internet, a partir
do Portal Site Blindado.
Os ataques baseados em falhas na aplicação web são realizados pelas portas 80 e 443 - geralmente as que ficam abertas no firewall - visando
acessar diretamente o banco de dados que armazena as informações sigilosas.
O Site Blindado analisa a segurança do seu site de forma abrangente:
Vulnerabilidades na Aplicação Web
Falhas de segurança em aplicações web podem permitir
que hackers acessem dados confidenciais, além de co-
meter crimes de roubo de identidade e fraudes.
Vulnerabilidades de rede (perímetro)
A análise dos IPs públicos, acessíveis via internet, evita
que falhas de configuração no firewall ou sistema ope-
racional permitam ataques diretos à infra-estrutura.
(11) 3165-4000 | [email protected] | www.siteblindado.com.br/blog
Detecção de Malware
A execução diária desta análise evita que sites infec-
tados por algum software malicioso, contaminem os
computadores dos seus visitantes.
Validação de certificado SSL
Verifica se o certificado SSL está válido e atualizado.
Fases do A/B Test: Teste que avalia o aumento de conversão e ticket médio atribuída à exibição do selo Site Blindado.
Serviços Adicionais
(11) 3165-4000 | [email protected] | www.siteblindado.com.br/blog
Tabela comparativa dos serviços Site Blindado
Serviço Segurança Frequência ObjetivoSite Blindado Preventiva Diária Auditar a segurança da aplicação web e IPs públicos
Super Site Blindado Preventiva On demandAuditar a segurança da rede interna (IPs privados) e ambiente de homologação
SSL EV Ativa 100% uptimeCriptografar/Codificar a comunicação entre o browser e o servidor web (páginas https://)
Firewall de Aplicação (WAF)
Ativa 100% uptimeIdentificar e bloquear tentativas de ataques na aplica-ção, bloqueando scripts maliciosos
Web Penetration Test Preventiva PontualTeste manual contra fraudes & análise profunda de parâmetros e configurações da aplicação web
Firewall de Aplicação
Dispositivo instalado nos webservers que identificam e bloqueiam as
requisições maliciosas feitas por hackers na aplicação web, evitando
que as tentativas de ataques tenham sucesso, como SQL Injection ou
Cross Site Scripting (XSS).
Super Site Blindado
Equipamento (scanner) instalado dentro da rede do cliente para analisar vulnerabilidades de servidores
de banco de dados e outros dispositivos de rede não acessíveis via internet. O equipamento é entregue
em comodato e pode testar aplicações web e servidores antes de colocá-los em produção.
SSL EV
Certificado digital SSL com validação estendida – Barra do Internet
Explorer fica verde quando a página em https:// é acessada
Web Penetration Test
Teste realizado por especialistas em segurança para detectar
vulnerabilidades, ou falhas que permitam realizar fraudes em
aplicações web, além de validar itens e parâmetros que scan-
ners automatizados não conseguem analisar.
Autenticação Forte como Serviço
A Verisign realiza a autenticação forte sem compartilhar informa-
ções confidenciais.
Não há preocupação com performance ou aumento da
demanda.
Simples integração com a rede VIP através de webservice
(XML/SOAP).
Compartilhamento de dispositivosUm mesmo Token Blindado é utilizado de forma compartilhada
entre todos os sites que exibem a bandeira VIP.
$$$Sem investimentos em Hardware, MIPS, administração,
pessoal, etc.
Melhor Custo Benefício entre todas as soluções do mercado.
Cobrança por usuário ativo ou por autenticação
SaaS: Serviço de autenticação com opção de dispositivos
gratuitos – Token no celular ou barra do Internet Explorer.
TOkEn BlindAdOAproveite os Benefícios de uma Rede de Autenticação Compartilhada para Fortalecer a diferenciação Competitiva
Os serviços de proteção de identidade VeriSign® Identity Protection
(VIP) Services ajudam os consumidores a fazerem o login em suas
contas de forma conveniente e segura para utilizarem os serviços
online da sua empresa. A autenticação de dois fatores, a detecção
de fraudes com base em auto-aprendizagem e uma poderosa infra-
estrutura de validação ajudam a fornecer uma solução de ponta a
ponta segura e a um custo razoável, da marca de segurança mais
reconhecida da Internet.
Empresas que são membros da rede VIP Network se beneficiam do
compartilhamento de uma infra-estrutura de validação única e externa
com inteligência global. Os consumidores que utilizam conveniente-
mente o Token Blindado único para fazer o login em diversos Web sites
têm a proteção adicional da autenticação de dois fatores.
A rede de inteligência contra fraudes VeriSign® Fraud Intelligence Ne-
twork oferece notificação antecipada de ataques e listas abrangentes de
suspeitos para bloquear fontes de fraude potenciais.
Dispositivos: além dos tradicionais tokens, o VIP possui 3 disposi-
tivos exclusivos: token no Celular, Displaycards e Barra do Internet
Explorer
(11) 3165-4000 | [email protected] | www.siteblindado.com.br
Maior site de currículos e empregos da América do Sul investe em segurança da informação.Propiciar segurança da informação tanto ao usuário do site como em
sua rede; esse foi o objetivo da Catho Online, maior classificado de
currículos e empregos da América do Sul, ao investir em soluções para
maior segurança.
A demanda surgiu da preocupação da empresa em prover maior segu-
rança da informação para os profissionais e empresas que utilizam os
serviços do site, pois além de seu carro-chefe, o classificado de currícu-
los e empregos, a Catho Online oferece uma série de ferramentas, tanto
para os candidatos quanto para os recrutadores, como Serviços de Apoio
à Carreira (Análise e Elaboração de Currículo, Treinamento de Entrevista,
Consultor Virtual, etc.), Cursos Online e Presenciais, Conferências, Tes-
tes Online, Pesquisa Salarial, Pesquisa Organizacional, entre outros.
Após o levantamento de todo o ambiente, foram realizados testes de
penetração na camada de rede e aplicações web e a equipe de consul-
toria especializada em segurança de internet e redes do Site Blindado
S/A, que identificou melhorias para possíveis vulnerabilidades e in-
dicou diversas soluções, com o objetivo de melhorar os processos já
implantados de proteção da rede interna e externa, bem como o tráfego
de informações entre a empresa e o usuário do site.
Para comprovar a segurança das informações do site ao usuário final,
a Catho Online adotou o Selo Site Blindado, que realiza análise de vul-
nerabilidades diárias, auditando os dados contidos no site. O selo é um
scan de vulnerabilidade para IPs públicos e aplicações web.
Para proteção à rede, o Site Blindado S/A implementou o sistema Super
Site Blindado, que simula os ataques de hackers como uma auditoria anti-
hacker, analisando a rede interna (IPs privados) a partir de um scanner
inserido dentro da rede da Catho online. Com o sistema, a Catho Online
tem acesso à informações privilegiadas que não se vê apenas pela web.
Ainda, foi implementado o Firewall de Aplicação Imperva, que posi-
cionado na frente de aplicação web, analisa todo o trafego de dados e
detecta tentativas de ataque, bloqueando imediatamente o script, imo-
bilizando o hacker que ficam sem nenhuma ação.
Entre os benefícios, a Catho Online conta atualmente com uma solução
confiável e uma entidade reconhecida que atesta e garante sua segu-
rança, que ainda alerta quando houver nova vulnerabilidade, e princi-
palmente up-to-date com a internet.
“Apesar da Catho Online sempre estar preocupada com as melhores
práticas de segurança e buscar cada vez mais garantir a integridade dos
dados de nossos clientes, precisávamos de uma entidade externa que
certificasse que as práticas até então adotadas eram efetivas e ainda poder
melhorá-las de forma que sempre estivéssemos alinhados e atualizados
com o que acontece na internet com relação a segurança da informação.
O trabalho executado pela Site Blindado foi perfeito, certificando nossos
processos, indicando possíveis melhorias e garantindo de forma idônea
que adotamos as melhores práticas de segurança para nossos clientes e
para o mercado”, diz Marcelo Ribeiro, Diretor de TI da Catho Online.
O selo Site Blindado pode ser visualizado em todas as páginas do site
da Catho Online, e assegura as informações nele contidas como os
dados de currículos, vagas ou dados de cartão de crédito.
Para conferir, acesse: www.catho.com.br
Marcelo Ribeiro
Cielo atende exigências do PCi-dSS e reduz fraudes online
A Cielo, rede de meios eletrônicos de pagamento que realiza transa-
ções com cartões de crédito e débito, toma uma série de ações para
melhorar sua comunicação e segurança interna e de seus estabele-
cimentos comerciais
Segurança para EstabelecimentosO objetivo foi disponibilizar sistema para realização de testes de vul-
nerabilidade nas redes de processamento de cartões; assim como
ao Questionário da Autoavaliação (SAQ), que tem a finalidade de
auditar a conformidade com o PCI-DSS.
O Módulo PCI do portal Site Blindado automatiza os processos que
antes eram realizados por planilhas, e ainda amplia a segurança,
visto que evita a tramitação dos dados pela Internet, concentrando
toda a comunicação no Portal.
Segundo Mário Delfino, Analista de Controle de Risco da Cielo, o
PCI-DSS é uma norma internacional determinada pelas bandeiras
de cartões de crédito, e a Cielo, como processadora destas bandei-
ras, cobra a conformidade dos estabelecimentos, visando a redução
das fraudes e clonagem de cartão de crédito.
Após a implementação do módulo PCI pelo Site Blindado S/A na Cielo,
a operadora ganhou agilidade e acrescentou o scan aos serviços. Até o
final de 2010, a expectativa é atender mais de 250 redes com os testes
de vulnerabilidade e a média de mil estabelecimentos menores.
Segurança para CieloEm paralelo à iniciativa de proteger os estabelecimentos comerciais,
foi criado um projeto para auditar a segurança da rede e aplicações
web da Cielo.
A Conviso IT Security foi contratada para executar uma seqüência de
testes de penetração em um grande conjunto de ativos que devem
estar aderentes aos requerimentos do PCI DSS.
A execução destes testes resulta na identificação das falhas e re-
comendações de melhoria que são implementadas antes que a ex-
ploração de uma dessas brechas de segurança cause perdas para a
empresa, resultando em uma melhoria geral para o processo de Risk
Management da Cielo.
Considerando que o surgimento de novas vulnerabilidades é muito
freqüente, foi preciso automatizar o ciclo de identificação e correção
de vulnerabilidades de servidores e desktops da Cielo. O Qualys-
Guard foi escolhido entre diversas opções de mercado e, além de
auditar dispositivos de rede com IPs públicos e privados, baseado
em regras definidas pela Cielo, direciona e prioriza as ações neces-
sárias para a solução das brechas de segurança encontradas. “Até
2008, recebíamos dezenas de arquivos PDF com o resultado das
análises. Era tanta informação que acabávamos deixando estes ar-
quivos guardados e nunca os analisávamos. O Qualysguard possui
inteligência para avaliar quais problemas são mais importantes e
quais servidores são mais críticos. Com essa combinação, criamos
regras de remediação e eliminamos totalmente o risco de sermos
atacados de forma simples e eficiente.” diz Ricardo Raga, Especia-
lista em Segurança da Informação da Cielo.
Performance na comunicaçãoA Cielo também precisava melhorar a segurança e a performance
das entregas dos extratos mensais aos seus milhares de Estabeleci-
mentos Comerciais afiliados.
Escolheu a Virid, pois além de ser a desenvolvedora da plataforma
VirtualTarget que é utilizada pelos maiores e-commerces do Brasil,
disponibiliza profissionais especializados que auxiliam na busca
contínua de melhoria dos resultados.
Entre outros resultados, a Cielo atingiu a agilidade esperada para o
envio das ações de email marketing e a conciliação dessa velocida-
de com a melhor entrega e segurança.
No mercado desde 1996, a Virid Interatividade Digital atua com foco
em email marketing desde 2004 - mercado em que possui maior
market share, depois da aquisição da Zartana - e trabalha ativamente
na disseminação das boas práticas na comunicação digital.
Com equipe formada por profissionais multidisciplinares que unem
a exatidão da tecnologia com a espontaneidade do marketing, a VI-
RID atende a uma carteira de mais de três mil clientes ativos, que
utilizam o canal email marketing como principal estratégia de comu-
nicação entre marcas e público.
1. Anti-PhishingWorking Group, December 20072. YouGov Research, March 2008
Os benefícios da tecnologia EV-SSL para o sucesso do seu site
Consumidores no mundo todo buscam a cada dia novas formas de
tornar suas rotinas de compras mais simples e práticas, e a inter-
net vem crescendo ano após ano como um meio preferido desse
público para a aquisição de novos bens e serviços. Porém alguns
cuidados são observados por quem compra na internet, e por outro
lado, fraudadores buscam a cada dia criar novos meios de obter
informações confidenciais e ludibriar o consumidor online. Dessas
fraudes, a mais hoje em dia no Brasil é o phishing, onde o frau-
dador por meio de engenharia social atrai clientes a um site falso
praticamente idêntico ao original, coleta informações confidenciais
do cliente.
A tecnologia SSL surgiu para passar ao consumidor a confiança
tanto em relação à autenticidade do site, quanto à privacidade das
informações trocadas entre o site e o consumidor, principalmente
quando essas informações envolvem dados financeiros, como nú-
mero de cartão de crédito e senhas. Essa tecnologia permite que as
informações trocadas sejam criptografadas, assim apenas o site
poderá decodificar esses dados.
Para garantir a autenticidade do site, o organismo de certificação
emissor, como a VeriSign por exemplo, deve averiguar informações
da empresa que adquire o certificado, tais quais origem e autentici-
dade da empresa, entre outras. Essa tecnologia vem evoluindo com
o tempo, conforme demonstrado abaixo:
1- SSL de criptografia simples ou 128 bits – Exibe o ícone do ca-
deado fechado ao lado da barra de endereços ou no canto inferior
direito dos navegadores, permitindo que o usuário visualize infor-
mações sobre o portador do certificado. Além disso, o site começará
com a sigla https:
Cuidados para com essa solução: hoje em dia existem diversas
empresas que oferecem a tecnologia, ou mesmo profissionais com
conhecimento avançado em tecnologia que desenvolvem seus pró-
prios certificados digitais. Devido essa pluralidade, é muito difícil
garantir quais fornecedores seguem rigorosamente às etapas de
verificação que são necessárias para se emitir um certificado digital,
tornando assim possível que alguns fraudadores consigam obter
certificados digitais duvidosos no mercado para utilizarem nos sites
de phishing e ludibriar o seu cliente.
2- Tecnologia EV-SSL – A arma mais eficiente contra a fraude de
phishing - Além de exigir uma verificação muito mais extensa em
relação à autenticidade da empresa que o adquire, faz com que o site
da empresa exiba uma barra de endereços verde, dando assim um
sinal muito mais claro de “siga em frente” para o consumidor.
Essa é a grande oportunidade de se diferenciar e mostrar ao seu
cliente que ele pode confiar no seu site ao exibir a barra verde. Para
isso, você pode contar com o certificado da marca Verisign, a marca
certificação digital líder e mais reconhecida no mundo.
Como a segurança online impacta a rentabilidade do comércio eletrônico
Não é de hoje que ouvimos dizer que a internet é um meio promissor para a
realização de negócios. Ano após ano, são divulgadas informações – sem-
pre animadoras – sobre o crescimento do comércio eletrônico. Em 2009
as vendas pela internet cresceram 30 % só no Brasil, totalizando R$ 10,6
bilhões. Foram mais de 4 milhões de pessoas que fizeram a primeira com-
pra pela internet.
Nos Estados Unidos - país mais maduro em negócios via internet - a cifra
é astronômica, o faturamento em 2009 foi de USD 155 bilhões. Nós só
estamos engatinhando por aqui.
Historicamente, nos Estados Unidos, as pessoas compram a distância; o
primeiro catálogo impresso foi lançado há mais de 250 anos. Quando sur-
giu a internet, as empresas apenas migraram seus catálogos de papel para
o eletrônico e a adaptação à Internet foi praticamente imediata.
No Brasil, a história é diferente:
Somos mais de 70 milhões de usuários de internet. Destes, 40 milhões
acessam suas contas bancárias pela rede mundial: digitam o código da
agência, número da conta e sua senha, para acessar dados confidenciais e
importantes para sua vida. Mas apenas 17 milhões de pessoas já realizaram
ao menos 1 compra pela internet.
A pergunta que eu faço é: O que motiva mais de 23 milhões de pes-soas terem coragem de checar seus extratos e pagar contas via internet, e não realizarem compras?
Diariamente nós vemos na TV, no jornal e ouvimos de amigos que al-
gum cartão de crédito foi clonado, que alguma conta corrente foi inva-
dida por hackers e o dinheiro foi todo roubado ou que alguma quadrilha
realizou fraudes milionárias, tudo pela internet. Afinal, 83% dos sites
possuem algum problema de segurança que possa comprometer os da-
dos armazenados.
Para completar, a ansiedade de usar o produto imediatamente, a preocu-
pação de não receber o produto comprado, a insatisfação de pagar pelo
frete, a incerteza de ter comprado o produto correto e a insegurança de que
hackers roubem suas informações pessoais e dados de cartão de crédito,
são decisivos para consumidores mais cautelosos não realizar compras
pela internet.
Por outro lado, a internet é um ambiente muito favorável às compras, pois
você pode fazê-la sem vendedores ficarem empurrando produtos, sem pe-
gar transito ou pagar estacionamento, e a qualquer hora e em qualquer dia
da semana, afinal a internet nunca fecha. Mas o processo de decisão de
realizar a primeira compra via internet não é tão simples assim.
Desta forma, o usuário inicia o uso da internet comparando preços, bus-
cando informações sobre produtos, mas não compra pela internet. Acaba
realizando a compra em lojas físicas, na rua ou no shopping, muitas vezes
com a informação obtida na internet impressa em papel para garantir que
está comprando o mesmo produto, pelo mesmo preço.
Com o tempo, estes consumidores mais cautelosos, acabam recebendo
referências de experiências positivas de amigos e colegas de trabalho que
usam a internet para realizar compras.
E é aí que os lojistas virtuais precisam estar atentos: Mesmo que aquele
consumidor esteja inclinado a fazer sua primeira compra online, qualquer
item que o faça sentir inseguro é motivo para que ele cometa o drop down,
ato de abandonar o carrinho de compras com produtos, antes de realizar o
pagamento. Ou seja, venda perdida.
o ConSuMiDor preCiSA De uMA JuStifiCAtiVA pArA reALizAr
A priMeirA CoMprA nA internet.
É por isso que os comparadores de preços informam, além do preço – é
claro – dados sobre a loja virtual, como: opiniões de outros consumidores,
rating ou classificação do seu atendimento, e certificações sobre a existên-
cia de uma empresa idônea por trás de uma loja virtual.
Mas isso não é suficiente. 35% dos abandonos de carrinho de compras
são ocasionados pelo receio de digitar os dados de cartão de crédito, pois
hackers poderão cloná-lo e causar prejuízos ao consumidor.
oS CoMpArADoreS De preçoS, nA SuA MAioriA, não MoS-
trAM quAiS SiteS São bLinDADoS ContrA HACKerS pArA
AJuDAr oS ConSuMiDoreS A eSCoLHer onDe CoMprAr.
Por isso as lojas precisam promover sua segurança, exibindo selos de pro-
teção contra hackers, demonstrar de forma clara sua política de trocas e
devoluções e principalmente como o consumidor poderá contatar a loja em
caso de problemas. Afinal, a loja é virtual, mas a compra é real.
Conforme pesquisas, 70% dos internautas compram somente se a loja
apresentar selos de segurança. Isso significa que a taxa de conversão
(percentual entre a quantidade de visitantes e a quantidade de pedidos do
website) pode ser positivamente afetada se o consumidor se sentir seguro
durante a navegação.
Segurança e credibilidade são pontos primordiais para que um site de
e-commerce tenha sucesso.
Boas vendas!
Por: Mauricio Kigiela