O objetivo de nossa apresentação é apontar as ameaças para esta passagem e as formas de proteção que a gestão de riscos e de processos aliados aos produtos de segurança pode oferecer. Maria Teresa Aarão é Gerente de Desenvolvimento de Novos Produtos da Certisign Certificadora Digital.
3. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Apresentação
sobre Segurança
no
E-Commerce
Brasil
Agenda
! Segurança em geral
! Segurança para e-Commerce
! Identidade e Confidencialidade na Internet
! Endereços e Domínios
! Sinais, Selos e Marcas de Confiança
! Requisitos para escolher sua marca de confiança
O mantra da Segurança
! Identificação
Quem esta falando ?
! Autenticação
Como provou que é quem diz ser ?
! Autorização
O que este interlocutor pode fazer ?
1
4. Workshop: Aspectos Técnicos de
Segurança para eCommerce
O mantra da segurança
! Confidencialidade
Como garantir o sigilo ?
! Integridade
Tem proteção contra modificação indevida ?
! Não repúdio
É impossível forjar a ação do usuário ?
O mantra da segurança
! Disponibilidade
Tem uma estratégia de recuperação ?
! Auditoria / Responsabilidade
É passível de verificação por terceiros ?
Todas as ações tem autoria identificável ?
Payment Card Industry Security Standards Council
! Criado em 2006 por 6 grandes bandeiras:
– American Express, Discover, JCB, International, MasterCard
Worldwide e Visa Inc
! Três níveis de padronização
– Para os comerciantes e processadores de pagamentos (PCI-DSS)
– Para os desenvolvedores de software (PCI-PA-DSS)
– Para os fabricantes de dispositivos (PCI-PTS)
! O objetivo principal é proteger os dados do cartão de
crédito do cliente
2
5. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Do total dos comerciantes americanos ....
! 37% armazenam os dados de cartão
! 24% armazenam dados pessoais (SSN)
! 28% guarda os números de conta bancária
! 52% guarda pelo menos um destes dados sensíveis
! 57% não vê necessidade de planejar formalmente a
segurança dos dados do cliente
! 61% não teve acesso a informação sobre como
armazenar e manipular adequadamente dados de
clientes
Segundo a National Federation of Independent Business (NFIB) - 2006
Os seis objetivos e os 12 requsitos do PCI DSS
! Construir em manter uma rede segura
– Firewall para proteger os dados do cliente
– Não usar as configurações e senhas padrão dos fabricantes
! Proteção dos dados do cliente
– Proteger dados de cliente armazenados em seus bancos de dados
– Criptografar dados de cliente para transmissão em rede aberta
! Manter um programa de gerenciamento de vulnerabilidades
– Usar e atualizar regularmente programas anti-virus
– Desenvolver e manter sistemas e aplicações seguras
Os seis objetivos e 12 requisitos do PCI-DSS
! Implantar medidas de controle de acesso forte
– Restringir o acesso aos dados de clientes pela necessidade de
saber do negocio
– Designar uma identidade única para cada pessoa com acesso ao
computador que guarda os dados
– Restringir o acesso físico aos dados dos clientes
! Monitorar e testar sua rede regularmente
– Rastreie e monitore todos os acessos a dados de clientes
– Testar regularmente a segurança de sistemas e processos
! Manter uma política de segurança de informação
– Construa uma política de segurança da informação que aponte
ações para todos os funcionários
3
6. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Como garantir a conformidade PCI
! Cada bandeira criou seu programa de verificação de
conformidade PCI – verifique com seu fornecedor
! Assessores Qualificados
– Qualified Security Assessor (QSA)
– Approved Scanning Vendor (ASV)
! Questionário de Auto Avaliação
– Tipo de questionário de acordo com tipo de comércio
E onde entra o certificado digital ?
Identidade
! Em 1994 quando a
Internet se tornou um
novo canal de vendas
surgiu um problema:
Como os consumidores
poderiam identificar as
empresas que faziam
negócios na rede ?
4
7. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Confidencialidade
Como proteger
a informação
trocada entre o
servidor e o browser ?
Identidade = Nome = Endereço de Rede
! TLD – Top Level Domain
– .com .net .org .gov .edu ! A coleção de redes que
– generic se tornou a Internet –
ARPANET, Bitnet, ...
estabeleceu as primeiras
! CC – Country Code regras para a criação de
– .br .us .ar .it .ca .uk nomes que são então
traduzidos para
! ccTLD endereços numéricos.
– .com.br .net.br .org.br
! Nomes diferentes podem
levar a um mesmo
endereço numérico.
Confidencialidade na Internet = Criptografia Civil
! Criptografia na Segunda Guerra Mundial
! Criptografia durante a Guerra Fria
– COCOM (1945), ITAR USA (1992), Wasenaar (1996)
! Desenvolvimento nos anos 70 e 80 em conjunto com a
criação da Internet
! Criptografia nos anos 90
– PGP, RSA DataSecurity, Verisign, SSLeay, OpenSSL
5
8. Workshop: Aspectos Técnicos de
Segurança para eCommerce
A maquina de criptografia ENIGMA
Criptografia de Chave Secreta
sinfic.pt
Criptografia de Chave Pública
sinfic.pt
6
9. Workshop: Aspectos Técnicos de
Segurança para eCommerce
A conversa entre o Browser e o Servidor
! Browser
– Senhor Servidor me mande a pagina https://x.com.br
! Servidor
– Tome primeiro meu certificado digital
! Browser
– Verifica se o certificado esta correto para o endereço solicitado
– Verifica se o certificado é valido – não expirado, não revogado
– Verifica se a cadeia de confiança do certificado é confiável
– Calcula um segredo que será usado para a comunicação
– Com a chave publica do servidor criptografa o segredo calculado
! Servidor
– Com sua chave privada decifra o segredo calculado pelo Browser
– Passa a se comunicar com o browser usando o segredo calculado
como chave simétrica
Hierarquias Confiáveis no repositório do Windows
Confiança é importante para o seu negócio
7
10. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Sua loja
Sua loja
73%
dos usuários brasileiros da
Web não identificam sites
de phishing
8
11. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Conhecimento é essencial para combater o phishing
1. https:// o “s” no https:// significa que o
site é criptografado, portanto as
informações inseridas no site estão
seguras. Apesar de alguns sites de
phishing possuírem um endereço de Web
seguro, muitos não têm. Portanto, os
visitantes do site devem estar atentos
para a falta de segurança em sites que
deveriam tê-la.
Conhecimento é essencial para combater o phishing
O ícone do cadeado: para ser significativo,
este ícone deve aparecer na interface real
do navegador e não dentro do conteúdo da
própria página.
Clique e verifique no cadeado:
• informações do certificado digital
• da empresa
• validade
Conhecimento é essencial para combater o phishing
Marcas de confiança: pistas visuais simples
sob a forma de logotipos populares podem
mostrar que um Web site é autenticado e
seguro e que a empresa é respeitável.
9
12. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Conhecimento é essencial para combater o phishing
Verifique o endereço Web: suspeite de
qualquer site com um domínio
desconhecido e que contenha o nome de
um site conhecido na última parte do seu
endereço Web.
Conhecimento é essencial para combater o phishing
5.Barra de endereços verde e cadeado: isso
significa que este site sofreu uma
autenticação de identidade ampla, de
modo que você pode ter certeza que é o
site que afirma ser.
225 milhões de domínios no mundo
10
13. Workshop: Aspectos Técnicos de
Segurança para eCommerce
225 milhões de domínios no mundo
! O terceiro trimestre de
2011 foi encerrado com
uma base de quase 220
milhões de registros de
nomes de domínios em
todos os Domínios de
Primeiro Nível (TLDs)
! Os registros aumentaram
mais de 18 milhões, ou
8,9% desde o terceiro
trimestre de 2010.
Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios
Mensais da ICANN
225 milhões de domínios no mundo
! O total de registros de ccTLD
foi de aproximadamente 86,9
milhões no terceiro trimestre
de 2011 com a inclusão de 2,3
milhões de nomes de domínio,
ou um aumento de 2,7%
comparado com o segundo
trimestre.
! Aumento de aproximadamente
7,8 milhões de nomes de
domínio, ou 9,8%, sobre o ano
Anterior.
Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios
Mensais da ICANN
225 milhões de domínios no mundo
! Novos registros .com
e .net atingiram um total
de 7,9 milhões no
trimestre. Isto indica um
aumento ano a ano de
5,9% de novos registros,
e uma queda de 2,3%
sobre o segundo
trimestre.
Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios
Mensais da ICANN
11
14. Workshop: Aspectos Técnicos de
Segurança para eCommerce
225 milhões de domínios no mundo
! Dentre os 20 maiores ccTLDs,
Brasil, Austrália, Tokelau e
Federação Russa
ultrapassaram um crescimento
trimestre a trimestre de 4%.
! No último trimestre, três dos
20 principais ultrapassaram o
mesmo limite.São mais de 240
extensões ccTLD em todo o
mundo, com os 10 principais
ccTLDs representando 60% de
todos os registros.
Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios
Mensais da ICANN
225 milhões de domínios no mundo
! A taxa de renovação de .com
e .net no terceiro trimestre de
2011 foi de 73,3%, um
aumento sobre 73,1 % do
segundo trimestre. A taxa de
renovação varia no trimestre
de acordo com a composição
da base de nomes para
expirar e a contribuição de
registradores específicos.
Fonte: Verisign, outubro de 2011
225 milhões de domínios no mundo
! Novos registros de .com e .net alcançaram um total de
7,9 milhões durante o trimestre. Isto representa um
aumento ano a ano de novos registros de 4%
Fonte: Verisign, outubro de 2011
12
15. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Importância de um certificado SSL
Importância de um certificado SSL
! A autenticação de seus servidores: os usuários do site
da sua organização passam a navegar com total
tranquilidade, com a garantia de que realmente estão
conectados ao site "original" e não a uma cópia operada
por fraudadores.
! Um canal criptográfico seguro: que mantêm o sigilo e a
integridade das informações confidenciais durante todo
o caminho entre o navegador web do usuário e o
servidor do seu site. Canal de criptografia, nos padrões
do protocolo SSL/TLS;
Importância de um certificado SSL
1 – Força da Criptografia
! Quanto maior a força
criptográfica, mais os
dados sensíveis em uma
conexão estarão
protegidos.
! 40, 128, 192, 256 bits
13
16. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Importância de um certificado SSL
2 – Interoperabilidade ! A Certisign oferece Certificados com
interoperabilidade com 99% dos
! Para garantir o reconhecimento e acesso navegadores usados no mercado.
ao HTTPS pelos usuários de um site
seguro, faz-se necessário que o
certificado seja reconhecido pelos
navegadores utilizados pelos clientes
(Internet Explorer ®, Netscape ®, Mozilla
®, Firefox ®, Opera ® e outros).
! A raiz do certificado da Autoridade
Certificadora precisa estar instalada nos
navegadores, mas a questão da
interoperabilidade não pára por aí. O
certificado de servidor precisa ter
interoperabilidade com softwares
utilizados dentro de sua organização,
principalmente as aplicações de serviços
web, como o Java da Microsystems ®,
por exemplo.
Importância de um certificado SSL
3 - Autenticação do Negócio
! O rigor da validação impede que
terceiros tenham acesso a certificados
emitidos para sua empresa. No
ambiente atual, onde práticas como
“phishing” põem em risco a boa fé do
consumidor, somente a autenticação
do negócio pode aumentar a
confiança nos serviços web.
! A Certisign adota os mais rigorosos
processos de validação auditados por
órgãos internacionais competentes
para garantir a confiabilidade que seu
negócio precisa e merece.
Importância de um certificado SSL
4 – Suporte
! Suporte efetivo é ter técnicos
treinados e experientes, e não
uma equipe de telemarketing
lendo scripts. A Certisign
conta, há quase uma década,
com uma equipe experiente
de suporte capaz de conduzir
os clientes por todo o
processo do ciclo de vida dos
certificados de maneira
simples, fácil e rápida.
14
17. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Importância de um certificado SSL
5 - Autoridade Certificadora
! Uma Autoridade Certificadora
não é apenas uma emissora de
certificados digitais. Seu papel
na sociedade atual vai muito
além: ela proporciona
confiança entre as parte que
utilizam o meio eletrônico
para realizar transações,
trocar informações, assinar
contratos, etc.
Importância de um certificado SSL
6 - Confiança na Marca
! Importante o Selo do Site Seguro conhecida no mercado
! Se as empresas querem que seus visitantes entendam que é
seguro compartilhar seu número de cartão de crédito, sua conta
bancária, endereço ou outras informações confidenciais através do
seu site, é preciso mostrar o Selo do Site Seguro na página e
ensinar aos usuários sobre a importância de conferir o endereço
https que aparece no certificado com o que aparece no navegador.
Importância de um certificado SSL
Embora URLs pareçam corretos
em um email, sites de
Clique e verifique no cadeado
phishing geralmente
usam URLs falsos
15
18. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Importância de um certificado SSL
A Certisign é a responsável por
certificar mais de 80% dos sites no Brasil
Nome do domínio
certificado
Validade do
certificado de SSL
do site
Nome da empresa que foi
certificada para utilizar o
Certificado Site Seguro
Os sites certificados pela Certisign
Possuem a Identificação do proprietário do site
E os dados são criptografados com os certificados SSL.
Clique e verifique
! Um site validado pela Certisign indica que nossa
empresa concluiu satisfatoriamente todos os
procedimentos para determinar que o domínio do web
site é de propriedade ou se encontra registrado por
uma empresa ou organização autorizada a negociar ou
exercer qualquer outra atividade lícita.
Certificado EV
16
19. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Marcas de confiança no navegador
Nova Marca
Nova Marca
17
20. Workshop: Aspectos Técnicos de
Segurança para eCommerce
Obrigado!
Maria Teresa Aarão
mtaarao@certisign.com.br
www.certisign.com.br
18