Your SlideShare is downloading. ×
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Cielo guia segurança_ecommerce_0305

1,205

Published on

Guia de prevenção de fraudes no e-commerce feito pela CIELO em parceria com a Site Blindado.

Guia de prevenção de fraudes no e-commerce feito pela CIELO em parceria com a Site Blindado.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,205
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
21
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. GUIA DE BOAS PRÁTICASDE SEGURANÇA PARA E-COMMERCE
  • 2. PREZADO CLIENTERealizar negócios através da Internet é uma alternativa de alto valorestratégico para os empresários que optaram por investir nestesegmento. Os limites geográficos são removidos e os custosoperacionais são consideravelmente menores em comparaçãocom os negócios baseados em lojas físicas.Este é um mercado que tem se desenvolvido em ritmo elevadoe a tendência é que este curso de elevação seja mantido pois,com o crescimento da economia e as ações do governo federalno sentido de democratizar o acesso a tecnologia se esperaum aumento expressivo no volume de novos consumidoresna Internet, sobretudo aqueles que recentemente alcançarama classe média.Um cenário tão favorável para novos negócios e com alta circulaçãode dinheiro desperta o interesse de criminosos que buscamtornar seus golpes cada vez mais sofisticados à medidaque a tecnologia evolui.Se proteger desta modalidade de crime é uma tarefa que exigeo esforço de todos. No entanto, as pequenas e médias empresassão as que se tornam mais vulneráveis ao crime eletrônico,devido ao fato de que, para manterem custos competitivos,geralmente não possuem profissionais com foco em desenvolvere manter ambientes e sistemas seguros. 2
  • 3. Acreditamos que a chave para a proteção do mercado, sobretudoo do comércio eletrônico, reside no compartilhamento do conhe-cimento. Desta forma, este guia possui o objetivo de orientarempresários, profissionais de infraestrutura tecnológica edesenvolvedores de sistemas ligados ao Comércio Eletrônico nosentido de proteger suas aplicações web reduzindo riscos deataques, comprometimento de informações e fraudes. Serãodescritas aqui as formas mais comuns de ataques na Internet eformas de proteção com uma linguagem acessível, de acordocom a atividade desempenhada por cada profissional.Boa leitura 3
  • 4. GUIA DE BOAS PRÁTICASDE SEGURANÇA PARA E-COMMERCEVERSÃO DO EXECUTIVO
  • 5. Sistemas para computadores possuem falhas. Em uma vendaatravés de um portal de comércio eletrônico estas falhaspodem estar presentes no computador do cliente, no caminhoentre o cliente e a loja virtual, ou na forma em que a loja virtualfoi desenvolvida e configurada Os criminosos que agem na internet procuram explorar estas falhas. Geralmente estas pessoas utilizam aplicativos específicos para levantar informações sobre um determinado site, entendendo assim como ele funciona e buscando vulnerabilidades em sua operaçãoOs ataques podem ter os mais variados objetivos (tornar o site alvoindisponível, utilizá-lo como disseminador de vírus, etc). No entanto,para efeito deste guia, iremos manter o foco no crime que possui oobjetivo de obter dados de cartão no comércio eletrônico. Estepode ocorrer por meio de um dos tipos de ataque abaixo ou, emcasos mais sofisticados, utilizar a combinação de elementos detodos os tipos relacionadosCaptura de dados em trânsitoAtaques ao clienteAtaques ao Comércio Eletrônico 5
  • 6. FORMAS DE ATAQUE VISANDODADOS DE CARTÃOCAPTURA DE DADOS EM TRÂNSITOUma venda através de um site de comércio eletrônico pode ser conside-rada, em uma perspectiva simplificada, como um conjunto de dados quepartem da estação do cliente que realiza a compra com destino a lojavirtual e posteriormente desta para as instituições responsáveis pelaautorização da transação. Na internet existem pessoas que se dedicam a interceptar informações no tráfego de maneira criminosa. Desta maneira, é importante que todos os canais pelos quais os dados são trafegados estejam protegidos e a melhor solução para este caso é tornar o tráfego criptografado.Por isso, todas as páginas que lidem com dados confidenciais(aqueles que dizem respeito somente a você e seu cliente, comopor exemplo, a página onde se solicitam os dados do cliente,os dados do cartão, etc), devem trafegar em páginas conhecidascomo “conexão segura”, ou seja, as que usam o protocolo HTTPS –SSL (Secure Sockets Layer).Peça ao seu desenvolvedor do sitepara que estas páginas ou formuláriostrafeguem desta maneira. É um procedimento comum e simples de ser utilizado. 6
  • 7. ATAQUES AO CLIENTECom a modernização dos dispositivos de segurança presentesnas empresas, os fraudadores geralmente migram o foco de seusataques para o lado do cliente, que na maioria dos casos possuio menor nível de proteção.Os criminosos buscam se aproveitar da ingenuidade do usuáriopara enviar mensagens que ocultam vírus. Estes vírus possuema função de obter dados pessoais e de cartão, na maioria dos casosexibindo telas para que o próprio usuário forneça estas informaçõespara o programa que as envia para o fraudador.A melhor arma contra este tipo de técnica é elaborar os seusprocessos de negócio de modo que não seja necessária a obtençãode nenhum dado pessoal após o seu cadastro inicial e que seucliente seja constantemente informado em todos os canais de vendaque sua empresa não envia solicitações de recadastramento ousolicitação de dados pessoais por e-mail ou redes sociais.Assim sua relação de parceria com os seusclientes se torna mais próxima e você seprotege do uso inadequado de sua marca. 7
  • 8. ATAQUES AO SITE DE COMÉRCIO ELETRÔNICOUma empresa pode sofrer ataques por meio de vulnerabilidadesem sua infraestrutura tecnológica (servidores, equipamentosde rede, etc.), vulnerabilidades em seus processos internose vulnerabilidades em seus sistemas.VULNERABILIDADES NA INFRAESTRUTURATodo servidor, sistemas operacionais e dispositivos de rede, ao sereminstalados possuem uma configuração básica de fábrica. Este tipode configuração não é a mais segura e geralmente é mantida em boaparte das empresas, pois é de interesse dos administradores quetodos os equipamentos estejam disponíveis o mais rápido possível.Estes ambientes são os que os criminosos mais procuram, pois hámuita documentação disponível sobre suas fragilidades comovulnerabilidades conhecidas e senhas padrão. Portanto éimportante configurar os ambientes de acordo com as necessidadespelas quais estes foram designados e manter um processo contínuode atualização de todos os sistemas com as correçõesdisponibilizadas pelo fabricante.Caso o criminoso obtenha acesso nãoautorizado a um determinado equipamento,este buscará acessar o maior númerode computadores da empresa alvo de seuataque. Desta maneira, é importanteque existam barreiras que limitemos acessos dentro da empresa. 8
  • 9. A primeira barreira deve ser estabelecida na rede. Dispositivoscomo firewalls cumprem esta função agindo como a primeiracamada de proteção do perímetro. Através do uso de firewalls épossível determinar quais equipamentos podem estabelecer cone-xão com os servidores mais críticos de sua empresa.A segunda barreira, que não substitui o uso de firewalls mais comple-menta a sua proteção, é a ativação de mecanismos de controle deacesso. Nem todos os empregados da empresa e prestadores deserviço precisam ter acesso a todas informações para desempenharas suas atividades.Desta maneira é importante configurar os sistemas para concederos acessos às equipes de acordo com a sua função. Quanto maior for o acesso concedido de maneira inadequada, maior será o potencial para a ocorrência de fraudes e erros operacionais com base neste acessoUma política de acessos bem estabelecida pode ser inútilcaso os empregados e prestadores de serviço possuamo comportamento de compartilhar usuários e senhas. Em casode fraudes ou outros tipos de incidente não será possível determinarquem realizou a ação. Desta forma os empregadose prestadores de serviço devem ser encorajadosa considerar as senhas como uma informaçãoindividual e intransferível.Mais informações e regras para a proteção de suainfraestrutura na versão do “Administradorde Rede” presente neste guia. 9
  • 10. FORMAS DE ATAQUE VISANDODADOS DE CARTÃOVULNERABILIDADES EM SISTEMASA existência de falhas em sistemas de mercado, os expondoa ataques remotos é de conhecimento de boa parte da comunidadeque interage diariamente com a tecnologia pois alcança a mídiae se torna um assunto do cotidiano.No entanto, a maioria das empresas desenvolvem sistemas internosque, ao contrário do que o senso comum acredita, possuem vulnerabi-lidades tão graves quanto as que ocorrem em sistemas de merca-do. Atualmente muitos dos ataques aos servidores disponíveis nainternet ocorrem porque o sistema desenvolvido possui falhas que aoserem exploradas resultam no acesso não autorizado ou na possibi-lidade de tornar o sistema indisponível.Nenhum software é inviolável. Destamaneira, o que realmente protegeum sistema é uma rotina que privilegiea segurança em todo o ciclo de vidado software (especificação,desenvolvimento e manutenção). 10
  • 11. DADOS DOS CARTÕESDE PAGAMENTO São considerados como dados de cartões utilizados em operações de comercio eletrônico, as seguintes informações:Número do Cartão, Código de Segurançaou PAN (Primary Account Number) Nome do Portador Data de validade do cartão 11
  • 12. Criminosos que realizam fraudes com cartões na Internet geralmenteatacam ambientes de Comércio Eletrônico em busca de dadosde cartão armazenados em seus servidores.O armazenamento destas informações não é recomendável,porém ao se cogitar a possibilidade de armazená-las, sugerimosque seja feita uma análise crítica em que seja questionado se estesdados são realmente necessários lembrando que a Cielo ofereceo TID ou código de transação o qual pode ser usado para identificarqualquer transação em nossos sistemas sem a necessidadedo número do cartão. Caso seja necessário armazenar alguma informação do cartão esta deve ser feita somente da seguinte maneira: INFORMAÇÕES REGRAS PARA ARMAZENAMENTO Armazenamento permitido somente de maneira parcial mantendo as quatro Número do Cartão últimas posições (ex.: ************ 1234) PAN (Primary Account Number) ou em modo criptografado Se armazenado em conjunto com o número Nome do Portador do cartão completo este precisa ser criptografado Se armazenado em conjunto com o número Data de vencimento do cartão do cartão completo este precisa ser criptografado Armazenamento não permitido em Código de segurança hipótese alguma Mais informações e regras para o desenvolvimento de sistemas com segurança na “Versão do Desenvolvedor de Software” presente neste guia 12
  • 13. PADRÃO DE SEGURANÇA DEDADOS DA INDÚSTRIA DE CARTÕESDE PAGAMENTOO PCI Security Standards Council, conselho internacional coma representação de diversas entidades ligadas ao mercadode cartões, possui a função de criar padrões de segurança aplicáveisa todas empresas que processam, transmitem ou armazenam dadosde cartões.O principal destes padrões é o Payment Card Industry – DataSecurity Standard (PCI DSS), em português Padrão de Segurançade Dados da Indústria de Cartões de Pagamento. O PCI DSScontempla de forma detalhada todas as regras para a segurança deum ambiente que atua com dados de cartão.A Cielo é certificada no PCI DSS e motiva fortemente os seusclientes a fazerem o mesmo para que o mercado brasileiro continuebuscando ser um ótimo lugar para a realização de negócios commeios eletrônicos de pagamento e com baixos riscos de segurançadas informações.PROCEDIMENTOS BÁSICOSEM CASO DE COMPROMETIMENTODE INFORMAÇÕESEm caso de suspeita de vazamento de dados de cartão no ambiente desua empresa ou prestador de serviços, entre em contato com a Cieloatravés do e-mail csirt@cielo.com.br para podermos analisar o caso edefinir as medidas para solução do problema 13
  • 14. GUIA DE BOAS PRÁTICASDE SEGURANÇA PARA E-COMMERCEVERSÃO DO DESENVOLVEDOR DE SOFTWARE
  • 15. VULNERABILIDADESNO DESENVOLVIMENTODE SOFTWAREAtualmente boa parte dos ataques contra aplicações web ocorremdevido a falhas no desenvolvimento de software que deixam brechaspara a entrada de um invasor. Estas vulnerabilidades podem terorigem em todas as etapas do processo de desenvolvimento desoftware, desde ao design até a administração do sistema.FALHAS NO DESIGNSão os problemas gerados no planejamento da Aplicação Web,quando estas são desenhadas e desenvolvidas sem que haja umapreocupação adequada com o nível de segurança. Controlar acessosaos aplicativos somente por meio de quais menus cada usuário poderáver ou simplificações no acesso a bases de dadossão exemplos comuns de falhas deste tipo.FALHAS NA ARQUITETURASão as vulnerabilidades associadas à segmentação de redes,implementação de ativos de TI e informações que possam compro-meter o ambiente. Manter o banco de dados que suporta um web sitena DMZ possibilitando o acesso remoto externo sem autenticação, é umexemplo comum deste tipo de problema. 15
  • 16. VULNERABILIDADESNO DESENVOLVIMENTODE SOFTWAREFALHAS NO CÓDIGOSão as falhas relacionadas à maneira em que as empresas constro-em suas aplicações corporativas, frameworks e demais compo-nentes de software. É a camada onde são identificadas as falhas maiscomuns.FALHAS NA ADMINISTRAÇÃOSão problemas gerados não pela Aplicação Web em si, mas pelaforma como ela é administrada. Exemplos comuns deste tipo deproblema ocorrem quando controles de segurança previamente imple-mentados são removidos no curso do ciclo de vida do sistema. 16
  • 17. PROTEÇÃO DO SOFTWAREProteger aplicações web requer a implementação de controles desegurança em todo ciclo de vida do desenvolvimento de software.Abaixo as principais regras para melhorar o nível de segurança dosoftware desenvolvido em sua empresa, recomendamos a inclusão delasem sua metodologia de desenvolvimento de software.Obs.: As regras definidas neste documento, embora garantam umaelevação considerável do nível de segurança em aplicações web,não encerram completamente a questão. É importante que os de-senvolvedores se mantenham atualizados com relação às novasvulnerabilidades e contramedidas a serem aplicadas em seusoftware. A participação em fóruns como o OWASP, o estudo e aconstante atualização em sites especializados são altamenterecomendáveis. 17
  • 18. Mantenha os desenvolvedores sempre atualizados com relação àsnovas vulnerabilidades e formas de proteção.Nunca armazene usuários e senhas ou chaves criptográficas de suaaplicação no código fonte. Procure utilizar serviços de autenticaçãocomo o RADIUS ou criptografar estes dados.Nunca permita que a sua aplicação receba dados de usuários esenhas em texto claro. Utilize sempre o protocolo SSL.Estabeleça uma política de senhas para a sua aplicação de acordocom as regras abaixo; Comprimento mínimo de 8 caracteres. Período de expiração de no mínimo 45 dias. Obrigatoriedade de que a senha seja composta de letras e números. Obrigatoriedade de o usuário, ao compor uma nova senha não utilize nenhuma das quatro senhas anteriores. 18
  • 19. Não envie a senha por e-mail nos casos em que o usuário executa afunção “esqueci minha senha”. Procure usar mecanismos como o depergunta secreta.Não armazene cookies com o usuário e a senha, mesmo quecriptografados, na estação do usuário.Se certifique que a função de “logout” de sua aplicação realmenteencerra completamente a sessão.Insira um botão de “logout” em cada uma das páginas de seu site.Conceda ao usuário de serviço de sua aplicação somente os aces-sos mínimos para o seu funcionamento. Nunca o defina como “root”,“administrador” ou “sa”.Desenvolva permissões de acesso de acordo com cada funciona-lidade da aplicação e não por menus.Implemente mecanismos de validação da entrada de dados em suaaplicação impedindo que seja possível a inserção de dados de umtamanho ou tipo (numérico, alfanumérico, data/hora, etc.) que contrariea regra de negócio estabelecida no sistema.Implemente mecanismos de geração de logs, sobretudo para astransações críticas. 19
  • 20. Armazene os logs em arquivos ou bancos de dados com acesso dispo-nível somente às equipes de infraestrutura.Realize o tratamento de erros impedindo a ocorrência de mensa-gens de erro com origem no sistema de banco de dados ou nowebserver.Impeça que sua aplicação armazene o número do cartão completo.Somente o armazene de maneira parcial mantendo as quatro últimasposições (ex.: ************ 1234) ou em modo criptografado.Se o nome do portador do cartão e a data de vencimento forem armaze-nados em conjunto com o numero do cartão estes deverão estar emmodo criptografado.Não armazene em hipótese alguma as informações do código desegurança.Estabeleça uma política de descarte dos dados do cartão em nomínimo um ano.Não armazene informações de produção nos ambientes de desenvol-vimento e homologação. 20
  • 21. Remova todas as informações e contas de usuário de testes aomigrar o sistema para o ambiente de produção.Estabeleça procedimentos, com periodicidade ao mínimo anual, deteste de intrusão com foco na tentativa de exploração de vulnerabilida-des em aplicações web.Elimine as vulnerabilidades reportadas em, pelo menos um mês apósa detecção. 21
  • 22. GUIA DE BOAS PRÁTICASDE SEGURANÇA PARA E-COMMERCEVERSÃO DO ADMINISTRADOR DE REDE
  • 23. O trabalho dos administradores de infraestrutura envolve,na maior parte do tempo, o esforço para manter servidores,estações de trabalho e dispositivos de rede disponíveis.No entanto, deve fazer parte das atividades destes profissionaisa padronização e parametrização dos dispositivos com focoem protegê-los de ataques.ABAIXO ESTÃO DISPOSTAS AS REGRAS PARA A PARAMETRIZAÇÃODE AMBIENTES COM FOCO NA SEGURANÇA DAS INFORMAÇÕESPROTEÇÃO DO PERÍMETROAo iniciar o trabalho de proteção de uma plataforma tecnológicase deve definir um perímetro de segurança no qual serãoagrupados os dispositivos de acordo com a sua função e interaçãocom informações críticas. A partir do estabelecimento desteperímetro devem ser concedidas as permissões de acesso adequadaspara cada dispositivo.ABAIXO AS REGRAS PARA O ESTABELECIMENTODE UM PERÍMETRO DE SEGURANÇAUtilize firewalls para segregar as redes do ambiente. Evite usarroteadores para realizar esta função.Procure utilizar firewalls com a função de “stateful inspection”.Analise o desenho de sua rede criticando se os dispositivos(servidores, switches, etc,) estão devidamente agrupadosem redes específicas de acordo com a suaimportância para o negócio. Caso estes ativosnão estejam segregados desta maneira,considere separá-los. Esta atividade criazonas de segurança por função, o que limitao alcance de um possível ataque. 23
  • 24. Implemente uma DMZ com o objetivo de abrigar todos os dispositivosexpostos à internet. Limite todo o tráfego de entrada somente paraa DMZ.Concentre os servidores de banco de dados em uma rede apartada,nunca os deixem expostos à internet.Segregue através de firewalls os ambientes de desenvolvimento,homologação e produção.Estabeleça quais são as portas permitidas para a comunicaçãoentre seus dispositivos e as documente. Esta atividade aumenta ocontrole e torna formal qual tipo de comunicação é permitida em seuambienteEvite o uso de portas de comunicação reconhecidamente conside-radas como vulneráveis como TELNET e FTP.Prefira soluções com criptografia como SFTP e SSH,Determine formalmente quais as pessoas que possuem a função deadministrar os firewalls e outros dispositivos de rede. 24
  • 25. Defina um processo formal para a manutenção e alteraçãode regras nos firewalls. Este processo deve contemplar umasolicitação de mudança para cada regra com a aprovaçãode pelo menos um gestor.Caso possua redes sem fio em seu ambiente, segregue-asatravés de firewall concedendo somente os acessos necessáriospara os equipamentos com origem nestas redes.Configure os pontos de acesso wireless para usar somenteo padrão de criptografia de autenticação WPA2 com chaves longas.Nunca utilize o padrão de criptografia de autenticação WEP.Proíba qualquer acesso originado na internet que tenhacomo destino algum equipamento da rede interna.Utilize o mascaramento de IP(Network Address Translation - NAT)para todo o tráfego de saída para internet.Não utilize senhas padrão de fábricaem nenhum dos equipamentos.Configure os dispositivos de redepara gerar logs de todos os eventosrealizados com privilégios administrativos. 25
  • 26. Configure os dispositivos de rede para gerar logs de todos oseventos cuja tentativa de acesso resultou em falha.Configure os logs para manter os dados de data/hora do evento,identificação do usuário, tipo de evento, indicação de sucesso oufalha e a indicação de qual componente foi alterado ou sofreu umatentativa de alteração.Centralize os logs dos dispositivos de rede e servidores em um servidorcom esta funçãoDesabilite a função SOURCE-Routing em roteadores,evitando a possibilidade de inserção nãoautorizada de rotas nos dispositivosDesabilite a função PROXY-ARP em roteadores,evitando a possibilidade obtenção nãoautorizada de informações do dispositivoInstale um software de IPS/IDSe o monitoreconstantemente 26
  • 27. PROTEÇÃO DO TRÁFEGOOs controles abaixo possuem o objetivo de evitar que informaçõessensíveis sejam obtidas de forma não autorizada através dacaptura de dados em trânsitoUtilize obrigatoriamente a criptografia SSL V3 impedindo a conexãopor meio do uso de versões antigas do SSL.Esta regra é aplicada através da alteração da configuração de seuWebserver.Somente utilize certificados digitais de autoridades certificadorasválidas.Monitore a validade do certificado digital e busque adquirir um novocom antecedência à expiração do certificado instalado.Somente administre dispositivos utilizando protocolos comcriptografia como SSH.Somente realize a troca de arquivos entre dispositivos utilizandoprotocolos com criptografia como SFTP.Proíba o tráfego de dados de cartão via e-mail, instant messaging,Skype, etc. 27
  • 28. PROTEÇÃO DE SERVIDORESE ESTAÇÕES DE TRABALHOOs controles abaixo possuem o objetivo de estabelecer padrões para aconfiguração de servidores e estações de trabalho sob a perspectivada segurança das informaçõesSempre que possível, determine, sobretudo na DMZ, uma função porservidor. Manter diversos serviços em um servidor (web server ebanco de dados, por exemplo) acarreta na ativação de diversos serviçospor máquina, o que pode torná-la vulnerável.Sempre altere as configurações de qualquer dispositivo antes deinstalá-lo em produção evitando manter qualquer configuração defábrica como usuários e senhas, acessos, etc.Desabilite todos os serviços e protocolos desnecessários para afuncionalidade do servidor. 28
  • 29. ESTABELEÇA UMA POLÍTICA DE SENHAS PARA A SUA APLICAÇÃODE ACORDO COM AS REGRAS ABAIXO Comprimento mínimo de 8 caracteres; Período de expiração de no mínimo 45 dias; Obrigatoriedade de que a senha seja composta de letras e números; Obrigatoriedade de o usuário, ao compor uma nova senha não utilize nenhuma das quatro senhas anteriores; Bloquear a conta do usuário após cinco tentativas de acesso sem sucesso; Manter o usuário bloqueado de acordo com a regra acima por 30 minutos ou até o desbloqueio pelo administrador. 29
  • 30. A prática de compartilhamento de senhas entre os funcionários deveser proibida.Contas de acesso de serviço devem ser utilizadas somente para o usoem sistemas específicos, nunca devem ser usadas para o logon porusuários.Configure os servidores para gerar logs de todos os eventos realizadosa partir de usuários com privilégios administrativos.Configure os servidores para gerar logs de todos os eventos realizadosa partir de usuários de serviço.Configure os logs para manter os dados de data/hora do evento,identificação do usuário, tipo de evento, indicação de sucesso ou falha ea indicação de qual componente foi alterado ou sofreu uma tentativa dealteração. Estabeleça mecanismos de controle de acesso para proteger os arquivos de log do acesso não autorizado. Defina e documente um padrão de configuração para cada tipo de dispositivo de sua rede. 30
  • 31. Revise os padrões de configuração periodicamente.Não utilize softwares não confiáveis em seu ambiente.Instale e mantenha atualizado um software de antivírus em todos oscomputadores que se apliquem.Configure o software antivírus para realizar um scan completo emtodos os computadores, pelo menos uma vez por semana.Estabeleça medidas de controle de acessos, considerando que sedeve limitar os acessos ao mínimo necessário para que os empregadose prestadores de serviço realizem as suas atividades.Revise todos os acessos, ao mínimo anualmente.Mantenha todos os sistemas atualizadoscom as correções do fabricante.Somente conceda acesso remoto(através da internet) aos empregadose prestadores de serviço por meiode VPNs. 31
  • 32. Desabilite todos os acessos dos empregados e prestadores de serviçoimediatamente após o seu desligamento da empresa ou encerra-mento do contrato de prestação de serviços.Execute scans de vulnerabilidade no mínimo trimestralmente.Estabeleça procedimentos, com periodicidade no mínimo anual, deteste de intrusão com foco na tentativa de exploração de vulnerabili-dades em redes de sistemas operacionais.Elimine as vulnerabilidades reportadas em, pelo menos um mês apósa detecção. 32
  • 33. ARMAZENAMENTO DEDADOS DE CARTÃOA Cielo recomenda fortemente que seja analisada a necessidade de searmazenar dados de cartão.Armazenar estas informações acarreta no risco de fraude e eminvestimentos destinados a proteção destes dados.Se este tipo de informação não é necessária para a continuidade dosprocessos de negócio de sua empresa, considere sua remoção. Casocontrário aplique as regras abaixo.Somente armazene o número do cartão de maneira parcialmantendo somente as quatro últimas posições (ex.: ************1234)ou em modo criptografado.Se o nome do portador do cartãoe a data de vencimento foremarmazenados em conjunto como numero do cartão estes deverãoestar em modo criptografado.Não armazene em hipótesealguma as informaçõesdo código de segurança.Estabeleça uma política deexpurgo dos dados do cartãoem no mínimo um ano.Monitore o acesso aodado de cartão e investiguecasos de acessos suspeitos. 33
  • 34. CRIPTOGRAFIAO armazenamento do número de cartão completo em conjuntocom o nome do portador e data de vencimento requero uso de criptografia destas informações. Abaixoos requisitos para a criptografia de dados de cartão.Determine um reservatório central para os dadoscriptografados.Obtenha uma solução de criptografia robustaque utilize algoritmos públicos com chavesde no mínimo 128-bits para criptografiasimétrica e 1024-bits para criptografiaassimétrica.Garanta que a informação seja encriptada e decriptadano momento do acesso ao repositórioe não haja cache com informaçõesem texto claro em memória não volátil.Estabeleça um processo formalde, no mínimo dupla custódia,para a definição das chavesde criptografia.Proteja as partes da chave, limitando seu acesso ao menor númerode pessoas possíveis.Troque as chaves criptográficas pelo menos uma vez por ano ouimediatamente para os casos de suspeita de seu comprometimento . 34
  • 35. GLOSSÁRIO
  • 36. ANTIVÍRUSPrograma com o objetivo de proteger o computador contra vírusAUTENTICAÇÃOMecanismo de validação da identidade de um usuário no momento queeste acessa um sistema.CERTIFICADO DIGITALMecanismo utilizado para estabelecer a comunicação entrecomputadores com segurança.CÓDIGO FONTEInstruções em uma determinada linguagem de programação que, emconjunto compõem um software.COOKIEMecanismo utilizado em aplicações web que armazena dados de acessona estação do usuário possibilitando a persistência de uma sessão deacesso. Um exemplo, são os cookies que armazenam informações deconexão para que o usuário não tenha que digitá-las novamente emoutras visitas ao site.CRIPTOGRAFIAConjunto de técnicas com o objetivo de proteger uma informação demodo que esta só possa ser compreendida pelo remetente e pelodestinatário. O que protege a mensagem criptografada é a chavecriptográfica, esta seria um segredo trocado previamente entre oremetente e o destinatário por meio do qual as mensagens serãocriptografadas.CRIPTOGRAFIA ASSIMÉTRICAForma de criptografia na qual o remetente e o destinatário não possuema chave inteira mas sim partes dela que quando combinadas permitemdecriptar a informação. 36
  • 37. CRIPTOGRAFIA SIMÉTRICAForma de criptografia na qual tanto o remetente quanto o destinatáriocompartilham a mesma chave para criptografar e decriptar informações.DMZAbreviação de demilitarized zone (em português, zona desmilitarizada).Termo com origem no vocabulário militar que foi adaptado na informáticapara definir uma área de rede entre a rede interna e a internet.DUPLA CUSTÓDIAProcesso no qual uma chave de criptografia ou senha é elaborada porduas pessoas. Cada uma delas insere no sistema uma parte da chave.As duas partes são escritas e lacradas em envelopes separados earmazenados em cofre.FIREWALLSDispositivos com a função de segregar redes realizando a proteção deum determinado perímetro. Nos firewalls os administradores determinamquais conexões são permitidas de uma rede para a outra.FRAMEWORKConjunto de conceitos técnicos que orienta o desenvolvimento desoftware.FTPFile Transfer Protocol - Protocolo utilizado em redes de computadorespara a transferência de arquivos.HTTPSHyperText Transfer Protocol Secure - Protocolo de acesso a páginas nainternet com criptografia. 37
  • 38. IDSIntrusion Detection System - Mecanismo utilizado para analisar ocomportamento do tráfego em uma rede e, com base em uma bibliotecade comportamentos conhecidos detectar e alertar o administrador sobreuma possível invasão.IPSIntrusion Prevention System - Semelhante ao IDS, entretanto com afuncionalidade de executar uma ação (o bloqueio da comunicação, porexemplo) quando um possível ataque é detectado.LOGONAto de acessar um sistema após o processo de autenticação (digitaçãodo usuário e a senha, por exemplo).LOGOUTAto de encerrar o acesso a um sistema.MEMÓRIA NÃO VOLÁTILMemória na qual o conteúdo armazenado não é eliminado após ocomputador ser desligado. Por exemplo, discos rígidos, pendrives, CD-ROM, etc.NATNetwork Address Translation - Técnica que consiste na conversão doendereço IP de origem em meio a uma conexão. Muito usado emsituações nas quais computadores de uma rede interna precisam cessarendereços da Internet. Nestes casos, embora a conexão parta de umdeterminado endereço, este é alterado na saída para a Internet de modoque o endereço interno não é divulgado externamente.OWASPFórum internacional, aberto e sem fins lucrativos que reúne profissionaiscom o objetivo de documentar vulnerabilidades em aplicações web esuas formas de prevenção. Anualmente o OWASP divulga o Top 10 comas dez falhas mais exploradas globalmente. Mais informações emhttps://www.owasp.org/index.php/Main_Page. 38
  • 39. PORTAS TCP/IPElemento utilizado em redes de computadores para separar acomunicação de protocolos. Exemplo: o protocolo FTP utiliza por padrãoa porta 21.PROTOCOLOSConjunto de regras que determinam formas de comunicação entrecomputadores.PROXY-ARPMecanismo que possibilita a definição de somente um endereço IP paravárias redes.RADIUSRemote Authentication Dial In User Service – Mecanismo com o objetivode autenticar acessos a um determinado sistema. Mais informações emhttp://freeradius.org/.ROOTUsuário administrador padrão de sistemas operacionais UNIX e Linux.ROTEADORESEquipamentos utilizados para estabelecer a comunicação entre duas oumais redes de computadores.SAUsuário administrador padrão de sistemas de banco de dados SQL daMicrosoft.SCANAtividade de varredura presente em sistemas de antivírus ou ferramentasde análise de vulnerabilidades que realizam uma varredura em váriosdetalhes de um computador em busca de falhas. 39
  • 40. SFTPProtocolo FTP com uma camada de criptografia.SOFTWAREPrograma ou código executável para computador ou dispositivosemelhante.SOURCE-ROUTINGPropriedade presente em alguns roteadores que possibilita ao usuário docomputador de origem determinar uma rota de acesso remotamente.Seria como se este usuário tivesse a possibilidade de definir qualcaminho seguiria em uma determinada conexão. Este é um mecanismousado para ataques.SSHProtocolo que permite o estabelecimento de uma sessão remota comcriptografia. Geralmente utilizado por administradores para gerenciarservidores e dispositivos de rede à distância.SSLProtocolo que estabelece criptografia em uma conexão a sites nainternet. A presença da expressão HTTPS: no endereço de um sitegeralmente é um indicativo de que a conexão está criptografada comSSL.SSLV3Versão 3 do SSL.STATEFUL INSPECTIONMecanismo presente em alguns firewalls no qual cada fragmento daconexão é inspecionado em busca de ataques.SWITCHESEquipamentos utilizados para conectar computadores em uma rede. 40
  • 41. TELNETProtocolo que permite o estabelecimento de uma sessão remota.Geralmente utilizado por administradores para gerenciar servidores edispositivos de rede à distância.TESTE DE INTRUSÃOProcedimento no qual um profissional aplica técnicas de ataque na redeou sistemas de seu cliente com o intuito de reportar as vulnerabilidadesdo ambiente.TRATAMENTO DE ERROSAtividade do processo de desenvolvimento de sistemas que consiste emprever falhas na aplicação e definir mensagens de erro específicas paracada cenário de erro.USUÁRIOS DE SERVIÇOContas de acesso utilizadas por sistemas.VÍRUSSoftwares com o objetivo de danificar computadores.VPNVirtual Private Networks - Meio de conexão remota criptografada na qualcomputadores podem estabelecer conexão entre si através da internet.WEBSERVERServidor com o objetivo hospedar páginas ou outros serviços disponíveisna internet.WEPWired Equivalent Privacy - Mecanismo de autenticação em redeswireless obsoleto e com baixo nível de segurança.WPAWi-Fi Protected Access - Mecanismo de autenticação em redes wirelesso qual substituiu o WEP, mas também é considerado pouco seguro.WPA2 41Evolução do WPA, com maior nível de Segurança.
  • 42. CÓNTEÚDO DESENVOLVIDO EM PARCERIA COM:

×