apostila - aspectos técnicos de segurança para ecommerce
DESCRIPTION
O objetivo de nossa apresentação é apontar as ameaças para esta passagem e as formas de proteção que a gestão de riscos e de processos aliados aos produtos de segurança pode oferecer. Maria Teresa Aarão é Gerente de Desenvolvimento de Novos Produtos da Certisign Certificadora Digital.TRANSCRIPT
EXCELÊNCIA EM E-COMMERCEEXCELÊNCIA EM E-COMMERCEVEJA O CALENDÁRIO ONLINE EMwww.ecommercebrasil.com.br/calendario
ASPECTOS TÉCNICOS DESEGURANÇA PARA ECOMMERCE
MANTENEDORES
1
Apresentação sobre Segurança no E-Commerce Brasil
Agenda
! Segurança em geral
! Segurança para e-Commerce
! Identidade e Confidencialidade na Internet
! Endereços e Domínios
! Sinais, Selos e Marcas de Confiança ! Requisitos para escolher sua marca de confiança
O mantra da Segurança
! Identificação Quem esta falando ?
! Autenticação Como provou que é quem diz ser ?
! Autorização O que este interlocutor pode fazer ?
Workshop: Aspectos Técnicos de
Segurança para eCommerce
2
O mantra da segurança
! Confidencialidade Como garantir o sigilo ? ! Integridade Tem proteção contra modificação indevida ?
! Não repúdio
É impossível forjar a ação do usuário ?
O mantra da segurança
! Disponibilidade
Tem uma estratégia de recuperação ? ! Auditoria / Responsabilidade
É passível de verificação por terceiros ? Todas as ações tem autoria identificável ?
Payment Card Industry Security Standards Council
! Criado em 2006 por 6 grandes bandeiras: – American Express, Discover, JCB, International, MasterCard
Worldwide e Visa Inc ! Três níveis de padronização
– Para os comerciantes e processadores de pagamentos (PCI-DSS) – Para os desenvolvedores de software (PCI-PA-DSS) – Para os fabricantes de dispositivos (PCI-PTS)
! O objetivo principal é proteger os dados do cartão de crédito do cliente
Workshop: Aspectos Técnicos de
Segurança para eCommerce
3
Do total dos comerciantes americanos ....
! 37% armazenam os dados de cartão ! 24% armazenam dados pessoais (SSN) ! 28% guarda os números de conta bancária ! 52% guarda pelo menos um destes dados sensíveis ! 57% não vê necessidade de planejar formalmente a
segurança dos dados do cliente ! 61% não teve acesso a informação sobre como
armazenar e manipular adequadamente dados de clientes
Segundo a National Federation of Independent Business (NFIB) - 2006
Os seis objetivos e os 12 requsitos do PCI DSS
! Construir em manter uma rede segura – Firewall para proteger os dados do cliente – Não usar as configurações e senhas padrão dos fabricantes
! Proteção dos dados do cliente – Proteger dados de cliente armazenados em seus bancos de dados – Criptografar dados de cliente para transmissão em rede aberta
! Manter um programa de gerenciamento de vulnerabilidades – Usar e atualizar regularmente programas anti-virus – Desenvolver e manter sistemas e aplicações seguras
Os seis objetivos e 12 requisitos do PCI-DSS
! Implantar medidas de controle de acesso forte – Restringir o acesso aos dados de clientes pela necessidade de
saber do negocio – Designar uma identidade única para cada pessoa com acesso ao
computador que guarda os dados – Restringir o acesso físico aos dados dos clientes
! Monitorar e testar sua rede regularmente – Rastreie e monitore todos os acessos a dados de clientes – Testar regularmente a segurança de sistemas e processos
! Manter uma política de segurança de informação – Construa uma política de segurança da informação que aponte
ações para todos os funcionários
Workshop: Aspectos Técnicos de
Segurança para eCommerce
4
Como garantir a conformidade PCI
! Cada bandeira criou seu programa de verificação de conformidade PCI – verifique com seu fornecedor
! Assessores Qualificados – Qualified Security Assessor (QSA) – Approved Scanning Vendor (ASV)
! Questionário de Auto Avaliação – Tipo de questionário de acordo com tipo de comércio
E onde entra o certificado digital ?
Identidade
! Em 1994 quando a Internet se tornou um novo canal de vendas surgiu um problema:
Como os consumidores
poderiam identificar as empresas que faziam negócios na rede ?
Workshop: Aspectos Técnicos de
Segurança para eCommerce
5
Confidencialidade
Como proteger a informação trocada entre o servidor e o browser ?
Identidade = Nome = Endereço de Rede
! TLD – Top Level Domain – .com .net .org .gov .edu – generic
! CC – Country Code – .br .us .ar .it .ca .uk
! ccTLD – .com.br .net.br .org.br
! A coleção de redes que se tornou a Internet – ARPANET, Bitnet, ... estabeleceu as primeiras regras para a criação de nomes que são então traduzidos para endereços numéricos.
! Nomes diferentes podem levar a um mesmo endereço numérico.
Confidencialidade na Internet = Criptografia Civil
! Criptografia na Segunda Guerra Mundial
! Criptografia durante a Guerra Fria – COCOM (1945), ITAR USA (1992), Wasenaar (1996)
! Desenvolvimento nos anos 70 e 80 em conjunto com a criação da Internet
! Criptografia nos anos 90 – PGP, RSA DataSecurity, Verisign, SSLeay, OpenSSL
Workshop: Aspectos Técnicos de
Segurança para eCommerce
6
A maquina de criptografia ENIGMA
Criptografia de Chave Secreta
sinfic.pt
Criptografia de Chave Pública
sinfic.pt
Workshop: Aspectos Técnicos de
Segurança para eCommerce
7
A conversa entre o Browser e o Servidor
! Browser – Senhor Servidor me mande a pagina https://x.com.br
! Servidor – Tome primeiro meu certificado digital
! Browser – Verifica se o certificado esta correto para o endereço solicitado – Verifica se o certificado é valido – não expirado, não revogado – Verifica se a cadeia de confiança do certificado é confiável – Calcula um segredo que será usado para a comunicação – Com a chave publica do servidor criptografa o segredo calculado
! Servidor – Com sua chave privada decifra o segredo calculado pelo Browser – Passa a se comunicar com o browser usando o segredo calculado
como chave simétrica
Hierarquias Confiáveis no repositório do Windows
Confiança é importante para o seu negócio
Workshop: Aspectos Técnicos de
Segurança para eCommerce
8
Sua loja
Sua loja
73% dos usuários brasileiros da Web não identificam sites
de phishing
Workshop: Aspectos Técnicos de
Segurança para eCommerce
9
Conhecimento é essencial para combater o phishing
1. https:// o “s” no https:// significa que o site é criptografado, portanto as informações inseridas no site estão seguras. Apesar de alguns sites de phishing possuírem um endereço de Web seguro, muitos não têm. Portanto, os visitantes do site devem estar atentos para a falta de segurança em sites que deveriam tê-la.
Conhecimento é essencial para combater o phishing
O ícone do cadeado: para ser significativo, este ícone deve aparecer na interface real do navegador e não dentro do conteúdo da própria página. Clique e verifique no cadeado: • informações do certificado digital • da empresa • validade
Conhecimento é essencial para combater o phishing
Marcas de confiança: pistas visuais simples sob a forma de logotipos populares podem mostrar que um Web site é autenticado e seguro e que a empresa é respeitável.
Workshop: Aspectos Técnicos de
Segurança para eCommerce
10
Conhecimento é essencial para combater o phishing
Verifique o endereço Web: suspeite de qualquer site com um domínio desconhecido e que contenha o nome de um site conhecido na última parte do seu endereço Web.
Conhecimento é essencial para combater o phishing
5.Barra de endereços verde e cadeado: isso significa que este site sofreu uma autenticação de identidade ampla, de modo que você pode ter certeza que é o site que afirma ser.
225 milhões de domínios no mundo
Workshop: Aspectos Técnicos de
Segurança para eCommerce
11
225 milhões de domínios no mundo
! O terceiro trimestre de 2011 foi encerrado com uma base de quase 220 milhões de registros de nomes de domínios em todos os Domínios de Primeiro Nível (TLDs)
! Os registros aumentaram mais de 18 milhões, ou 8,9% desde o terceiro trimestre de 2010.
Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios Mensais da ICANN
225 milhões de domínios no mundo
! O total de registros de ccTLD foi de aproximadamente 86,9 milhões no terceiro trimestre de 2011 com a inclusão de 2,3 milhões de nomes de domínio, ou um aumento de 2,7% comparado com o segundo trimestre.
! Aumento de aproximadamente 7,8 milhões de nomes de domínio, ou 9,8%, sobre o ano Anterior.
Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios Mensais da ICANN
225 milhões de domínios no mundo
! Novos registros .com e .net atingiram um total de 7,9 milhões no trimestre. Isto indica um aumento ano a ano de 5,9% de novos registros, e uma queda de 2,3% sobre o segundo trimestre.
Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios Mensais da ICANN
Workshop: Aspectos Técnicos de
Segurança para eCommerce
12
225 milhões de domínios no mundo
! Dentre os 20 maiores ccTLDs, Brasil, Austrália, Tokelau e Federação Russa ultrapassaram um crescimento trimestre a trimestre de 4%.
! No último trimestre, três dos 20 principais ultrapassaram o mesmo limite.São mais de 240 extensões ccTLD em todo o mundo, com os 10 principais ccTLDs representando 60% de todos os registros.
Fonte: Zooknic, outubro de 2011; Verisign, outubro de 2011; Relatórios Mensais da ICANN
225 milhões de domínios no mundo
! A taxa de renovação de .com e .net no terceiro trimestre de 2011 foi de 73,3%, um aumento sobre 73,1 % do segundo trimestre. A taxa de renovação varia no trimestre de acordo com a composição da base de nomes para expirar e a contribuição de registradores específicos.
Fonte: Verisign, outubro de 2011
225 milhões de domínios no mundo
! Novos registros de .com e .net alcançaram um total de 7,9 milhões durante o trimestre. Isto representa um aumento ano a ano de novos registros de 4%
Fonte: Verisign, outubro de 2011
Workshop: Aspectos Técnicos de
Segurança para eCommerce
13
Importância de um certificado SSL
Importância de um certificado SSL
! A autenticação de seus servidores: os usuários do site da sua organização passam a navegar com total tranquilidade, com a garantia de que realmente estão conectados ao site "original" e não a uma cópia operada por fraudadores.
! Um canal criptográfico seguro: que mantêm o sigilo e a integridade das informações confidenciais durante todo o caminho entre o navegador web do usuário e o servidor do seu site. Canal de criptografia, nos padrões do protocolo SSL/TLS;
Importância de um certificado SSL
1 – Força da Criptografia ! Quanto maior a força
criptográfica, mais os dados sensíveis em uma conexão estarão protegidos.
! 40, 128, 192, 256 bits
Workshop: Aspectos Técnicos de
Segurança para eCommerce
14
Importância de um certificado SSL
2 – Interoperabilidade ! Para garantir o reconhecimento e acesso
ao HTTPS pelos usuários de um site seguro, faz-se necessário que o certificado seja reconhecido pelos navegadores utilizados pelos clientes (Internet Explorer ®, Netscape ®, Mozilla ®, Firefox ®, Opera ® e outros).
! A raiz do certificado da Autoridade
Certificadora precisa estar instalada nos navegadores, mas a questão da interoperabilidade não pára por aí. O certificado de servidor precisa ter interoperabilidade com softwares utilizados dentro de sua organização, principalmente as aplicações de serviços web, como o Java da Microsystems ®, por exemplo.
! A Certisign oferece Certificados com interoperabilidade com 99% dos navegadores usados no mercado.
Importância de um certificado SSL
3 - Autenticação do Negócio
! O rigor da validação impede que terceiros tenham acesso a certificados emitidos para sua empresa. No ambiente atual, onde práticas como “phishing” põem em risco a boa fé do consumidor, somente a autenticação do negócio pode aumentar a confiança nos serviços web.
! A Certisign adota os mais rigorosos
processos de validação auditados por órgãos internacionais competentes para garantir a confiabilidade que seu negócio precisa e merece.
4 – Suporte ! Suporte efetivo é ter técnicos
treinados e experientes, e não uma equipe de telemarketing lendo scripts. A Certisign conta, há quase uma década, com uma equipe experiente de suporte capaz de conduzir os clientes por todo o processo do ciclo de vida dos certificados de maneira simples, fácil e rápida.
Importância de um certificado SSL
Workshop: Aspectos Técnicos de
Segurança para eCommerce
15
Importância de um certificado SSL
5 - Autoridade Certificadora ! Uma Autoridade Certificadora
não é apenas uma emissora de certificados digitais. Seu papel na sociedade atual vai muito além: ela proporciona confiança entre as parte que utilizam o meio eletrônico para realizar transações, trocar informações, assinar contratos, etc.
Importância de um certificado SSL
6 - Confiança na Marca ! Importante o Selo do Site Seguro conhecida no mercado
! Se as empresas querem que seus visitantes entendam que é seguro compartilhar seu número de cartão de crédito, sua conta bancária, endereço ou outras informações confidenciais através do seu site, é preciso mostrar o Selo do Site Seguro na página e ensinar aos usuários sobre a importância de conferir o endereço https que aparece no certificado com o que aparece no navegador.
Importância de um certificado SSL
Embora URLs pareçam corretos
em um email, sites de
phishing geralmente
usam URLs falsos
Clique e verifique no cadeado
Workshop: Aspectos Técnicos de
Segurança para eCommerce
16
Importância de um certificado SSL
Nome do domínio
certificado
Validade do
certificado de SSL
do site
Nome da empresa que foi
certificada para utilizar o
Certificado Site Seguro
A Certisign é a responsável por
certificar mais de 80% dos sites no Brasil
Os sites certificados pela Certisign
Possuem a Identificação do proprietário do site
E os dados são criptografados com os certificados SSL.
Clique e verifique
! Um site validado pela Certisign indica que nossa empresa concluiu satisfatoriamente todos os procedimentos para determinar que o domínio do web site é de propriedade ou se encontra registrado por uma empresa ou organização autorizada a negociar ou exercer qualquer outra atividade lícita.
Certificado EV
Workshop: Aspectos Técnicos de
Segurança para eCommerce
17
Marcas de confiança no navegador
Nova Marca
Nova Marca
Workshop: Aspectos Técnicos de
Segurança para eCommerce
18
Obrigado!
Maria Teresa Aarão [email protected]
www.certisign.com.br
Workshop: Aspectos Técnicos de
Segurança para eCommerce