Em formação

Segurança de comércio eletrônico

Segurança de comércio eletrônico

Segurança - o estado de proteção contra possíveis danos, a capacidade de conter ou aparar influências perigosas, além de compensar rapidamente os danos causados. Segurança significa que o sistema mantém a estabilidade, a sustentabilidade e a possibilidade de autodesenvolvimento. Um dos tópicos mais populares para discussão é a segurança do comércio eletrônico.

Mas até agora, apesar de todas as valiosas opiniões e declarações, não há um guia prático e "terreno" para o que ainda é objeto de segurança do comércio eletrônico. Este artigo fornece alguns pontos de vista sobre esse assunto e tenta separar o mito da realidade. Vamos tentar responder a algumas perguntas básicas que são óbvias para os especialistas.

Os sistemas podem ser protegidos. Os sistemas só podem ser protegidos contra ameaças conhecidas, com o número de riscos associados reduzido a um nível aceitável. Somente você pode determinar o equilíbrio certo entre o nível desejado de redução de risco e o custo da solução. A segurança em geral é um dos aspectos do gerenciamento de riscos. E a segurança da informação é uma combinação de bom senso, gerenciamento de risco comercial e habilidades técnicas básicas sob o controle de um gerenciamento decente, uso inteligente de produtos, capacidades e conhecimentos especializados e as tecnologias de desenvolvimento certas. Ao mesmo tempo, um site é apenas um meio de fornecer informações a um consumidor.

A segurança do site é uma questão puramente técnica. Muitas vezes, a segurança é mais um controle sobre o processo de desenvolvimento, o gerenciamento adequado da configuração do sistema operacional e o gerenciamento geralmente consistente do site. A segurança real está sob seu controle direto - o que é aceitável no desenvolvimento de sistemas internos pode não ser adequado para serviços totalmente compartilhados. Os problemas do sistema que afetam apenas alguns funcionários confiáveis ​​em uma empresa tornam-se aparentes quando se muda para ambientes compartilhados.

A mídia informa regularmente sobre todas as fraquezas e riscos de segurança. Freqüentemente, a mídia informa apenas sobre os problemas que podem atrair a atenção de todos e não exigem habilidades especiais para entender o problema subjacente. Essas mensagens raramente refletem ameaças reais aos negócios do ponto de vista da segurança e geralmente não têm nada a ver com segurança.

As informações do cartão de crédito na Internet não são seguras. De fato, as informações do cartão de crédito são muito menos suscetíveis a roubo quando transmitidas pela Internet do que em lojas ou restaurantes próximos. Uma empresa sem escrúpulos pode estar interessada no uso não autorizado dessas informações, e como você trabalha com elas - via Internet ou não - não é mais tão importante. É possível aumentar a segurança das informações transmitidas reais usando canais de transmissão seguros e sites confiáveis. Um componente essencial de muitos sistemas de comércio eletrônico é a necessidade de identificação confiável do consumidor. O método de identificação afeta diretamente não apenas o grau de risco, mas também o tipo de processo criminal.

Senhas identificam pessoas. As senhas fornecem apenas uma verificação básica - de que alguém autorizado a usar um sistema específico está se conectando. As pessoas tendem a não esconder muito suas senhas dos outros - especialmente de parentes e colegas próximos. Uma tecnologia de autenticação mais sofisticada pode ser muito mais econômica. O nível de autenticação usado deve refletir o risco de acesso às informações por pessoas aleatórias, independentemente do consentimento de seu proprietário real.

Uma vez configurada e instalada, uma solução de segurança permanece confiável ao longo do tempo. As empresas nem sempre instalam sistemas conforme o esperado, as mudanças nos negócios e as ameaças também. Você precisa garantir que os sistemas mantenham perfis de segurança e que seu perfil seja continuamente reavaliado em termos de desenvolvimento de negócios e ambiente. A tecnologia é igualmente importante, mas deve ser vista como parte de um espectro mais amplo de controles de segurança. Os firewalls são comumente referidos como a solução para proteger o conteúdo dos sites de comércio eletrônico, mas mesmo esses têm seus pontos fracos.

Os firewalls são impenetráveis. Ao implementar um firewall, você pode descansar sobre os louros, garantindo que os invasores nunca o penetrarão. O problema é que eles precisam ser configurados para que algum tráfego ainda flua através deles e nas duas direções. Você precisa considerar cuidadosamente o que está tentando proteger. Impedir um ataque à sua página inicial é muito diferente de impedir que o servidor da Web seja usado como um caminho para os sistemas do servidor, e os requisitos de firewall são muito diferentes nos dois casos. Muitos sistemas requerem segurança sofisticada em várias camadas para garantir que dados mais sensíveis sejam acessíveis apenas a usuários autorizados. O email geralmente é a chave para qualquer site de comércio eletrônico. No entanto, traz consigo vários desafios de segurança que não podem ser ignorados, que se enquadram em duas categorias principais:
Protegendo o conteúdo do email - ele pode ser distorcido ou lido.
Protegendo seu sistema contra ataques de email recebidos.
Se você pretende trabalhar com informações confidenciais ou sensíveis à integridade das informações de correio, existem muitos produtos para protegê-las.

Os vírus não são mais um problema. Os vírus ainda representam uma ameaça séria. O hobby mais recente dos criadores de vírus são os arquivos anexados às cartas que, quando abertas, executam macros e executam ações não autorizadas pelo destinatário. Mas outros meios de disseminar vírus também estão sendo desenvolvidos - por exemplo, através de páginas da Web em HTML. Você precisa garantir que seus produtos antivírus estejam atualizados. Se eles foram projetados para verificar a presença de vírus, eles podem detectar apenas vírus e não eliminá-los.

Uma empresa que possui um certificado de chave pública de uma Autoridade de Certificação (CA) respeitada já é confiável por si só. O certificado implica simplesmente algo como: "No momento da solicitação do certificado, eu, a CA, executamos ações conhecidas para verificar a identidade desta empresa. Você pode ou não estar satisfeito. Não estou familiarizado com esta empresa e não sei se você pode confiar nela, e até - o que exatamente é da conta dela. Até que sou informado de que a chave pública foi desacreditada, nem sei que ela foi roubada ou transferida para outra pessoa, por exemplo, e cabe a você verificar, não é cancelada. Minha responsabilidade é limitada às disposições da Política, que você deve ler antes de usar as chaves associadas a esta empresa. "

Assinaturas digitais são o equivalente eletrônico de assinaturas manuscritas. Existem algumas semelhanças, mas existem muitas diferenças muito significativas, portanto, não é razoável considerar esses dois tipos de assinaturas equivalentes. Sua confiabilidade também depende de quão rigorosamente é estabelecido que a chave privada é realmente de uso individual. As principais diferenças também são as seguintes:
- As assinaturas manuscritas estão totalmente sob o controle do signatário; as assinaturas digitais são criadas usando um computador e software que podem ou não funcionar de maneira confiável para executar as ações que executam.
- As assinaturas manuscritas, diferentemente das digitais, possuem um original que pode ser copiado.
- As assinaturas manuscritas não estão muito relacionadas ao que elas assinam; o conteúdo dos papéis assinados pode ser alterado após a assinatura. As assinaturas digitais estão intrinsecamente vinculadas ao conteúdo específico dos dados que assinaram.
- A capacidade de executar uma assinatura manuscrita não pode ser objeto de roubo, ao contrário de uma chave privada.
- As assinaturas manuscritas podem ser copiadas com diferentes graus de similaridade, e cópias de assinaturas digitais só podem ser criadas usando chaves roubadas e possuem 100% de identidade da assinatura do verdadeiro proprietário da chave.
- Alguns protocolos de autenticação exigem que você assine digitalmente os dados em seu nome, e você nunca sabe o que foi assinado. Você pode ser forçado a assinar digitalmente praticamente qualquer coisa.

Os produtos de segurança podem ser classificados de acordo com sua funcionalidade, assim como os conjuntos de negócios. Eles também exigem uma avaliação da segurança de sua implementação e das ameaças das quais eles não podem proteger (que podem não estar documentados). Em geral, os aplicativos de negócios são selecionados com base em sua funcionalidade e facilidade de uso. Muitas vezes, é dado como certo que as funções são executadas conforme o esperado (por exemplo, o pacote de cálculo do imposto calcula os impostos corretamente). Mas isso não é justo para produtos de segurança. A maior questão aqui é como as funções de proteção são implementadas. Por exemplo, um pacote pode oferecer autenticação de senha poderosa para os usuários, mas ainda armazena senhas em um arquivo de texto sem formatação que quase qualquer pessoa pode ler. E isso estaria longe de ser óbvio e poderia criar uma falsa sensação de segurança.

Os produtos de segurança são fáceis de instalar. A maioria dos produtos é fornecida com as configurações padrão. No entanto, as organizações têm políticas e configurações de segurança diferentes de todos os sistemas e estações de trabalho raramente coincidem. Na prática, a instalação deve ser adaptada à política de segurança da organização e a cada uma das configurações específicas da plataforma. Validar mecanismos de manutenção para um número crescente de usuários e outros atributos para criar um ambiente seguro para centenas de usuários existentes pode ser um processo complexo e demorado.

Os produtos PKI protegem o comércio eletrônico imediatamente. Os produtos PKI são um kit de ferramentas básico para ajudar a implementar soluções de segurança, mas apenas como parte de todo o pacote, que também inclui elementos legais, processuais e outros elementos técnicos. Na prática, isso geralmente é muito mais difícil e caro do que instalar uma PKI básica.

Os consultores de segurança merecem confiança absoluta. Lembre-se de que os consultores de segurança terão acesso a todos os seus processos e dados mais confidenciais. Se os consultores contratados não trabalham para uma empresa respeitável, é necessário obter informações de uma fonte desinteressada sobre sua competência e experiência - por exemplo, converse com seus clientes anteriores. Muitos consultores afirmam ser profissionais de segurança da informação, mas, na verdade, têm pouca ou nenhuma ideia do que é. Eles podem até criar uma falsa sensação de segurança convencendo você de que seus sistemas são mais seguros do que realmente são.

Conclusões

Portanto, antes de folhear as brochuras de segurança mais atualizadas, resolva o essencial:
- Calcule cuidadosamente os tipos de riscos que ameaçam seus negócios de comércio eletrônico e quanto custariam a você e não gaste mais em proteção do que esse custo estimado de risco.
- Encontrar um equilíbrio entre os controles de segurança processuais e técnicos.
- Desenvolver um projeto completo em que a segurança seja um dos componentes fundamentais e não seja introduzida post facto, após alguma deliberação.
- Selecione produtos de segurança apropriados para este projeto.


Assista o vídeo: O QUE É ECOMMERCE. COMÉRCIO ELETRÔNICO (Junho 2021).