2. Especialista em segurança contra hackers
para portais de negócio via internet.
A suíte de serviços do Site Blindado abrange desde a auditoria e análise da segurança
até a proteção ativa de portais web. Utilizando a tecnologia de Cloud Computing –
Security as a Service – todos os serviços podem ser acessados via internet, a partir
do Portal Site Blindado.
Site Blindado aumenta a credibilidade e a conversão de vendas em até 15%
Fases do A/B Test: Teste que avalia o aumento de conversão e ticket médio atribuída à exibição do selo Site Blindado.
Firewall, SSL e atualizações de sistema operacional não são mais suficientes
para conter ataques de hackers
Os ataques baseados em falhas na aplicação web são realizados pelas portas 80 e 443 - geralmente as que ficam abertas no firewall - visando
acessar diretamente o banco de dados que armazena as informações sigilosas.
O Site Blindado analisa a segurança do seu site de forma abrangente:
Vulnerabilidades na Aplicação Web Detecção de Malware
Falhas de segurança em aplicações web podem permitir A execução diária desta análise evita que sites infec-
que hackers acessem dados confidenciais, além de co- tados por algum software malicioso, contaminem os
meter crimes de roubo de identidade e fraudes. computadores dos seus visitantes.
Vulnerabilidades de rede (perímetro) Validação de certificado SSL
A análise dos IPs públicos, acessíveis via internet, evita Verifica se o certificado SSL está válido e atualizado.
que falhas de configuração no firewall ou sistema ope-
racional permitam ataques diretos à infra-estrutura.
(11) 3165-4000 | comercial@siteblindado.com.br | www.siteblindado.com.br/blog
3. Serviços Adicionais
Super Site Blindado
Equipamento (scanner) instalado dentro da rede do cliente para analisar vulnerabilidades de servidores
de banco de dados e outros dispositivos de rede não acessíveis via internet. O equipamento é entregue
em comodato e pode testar aplicações web e servidores antes de colocá-los em produção.
SSL EV
Certificado digital SSL com validação estendida – Barra do Internet
Explorer fica verde quando a página em https:// é acessada
Firewall de Aplicação Web Penetration Test
Dispositivo instalado nos webservers que identificam e bloqueiam as Teste realizado por especialistas em segurança para detectar
requisições maliciosas feitas por hackers na aplicação web, evitando vulnerabilidades, ou falhas que permitam realizar fraudes em
que as tentativas de ataques tenham sucesso, como SQL Injection ou aplicações web, além de validar itens e parâmetros que scan-
Cross Site Scripting (XSS). ners automatizados não conseguem analisar.
Tabela comparativa dos serviços Site Blindado
Serviço Segurança Frequência Objetivo
Site Blindado Preventiva Diária Auditar a segurança da aplicação web e IPs públicos
Auditar a segurança da rede interna (IPs privados) e
Super Site Blindado Preventiva On demand
ambiente de homologação
Criptografar/Codificar a comunicação entre o browser
SSL EV Ativa 100% uptime
e o servidor web (páginas https://)
Firewall de Aplicação Identificar e bloquear tentativas de ataques na aplica-
Ativa 100% uptime
(WAF) ção, bloqueando scripts maliciosos
Teste manual contra fraudes & análise profunda de
Web Penetration Test Preventiva Pontual
parâmetros e configurações da aplicação web
(11) 3165-4000 | comercial@siteblindado.com.br | www.siteblindado.com.br/blog
4. TOkEn BlindAdO
Aproveite os Benefícios de uma Rede de
Autenticação Compartilhada para Fortalecer
a diferenciação Competitiva
Os serviços de proteção de identidade VeriSign® Identity Protection
(VIP) Services ajudam os consumidores a fazerem o login em suas
contas de forma conveniente e segura para utilizarem os serviços
online da sua empresa. A autenticação de dois fatores, a detecção
de fraudes com base em auto-aprendizagem e uma poderosa infra-
estrutura de validação ajudam a fornecer uma solução de ponta a
ponta segura e a um custo razoável, da marca de segurança mais
reconhecida da Internet.
Empresas que são membros da rede VIP Network se beneficiam do
Autenticação Forte como Serviço
compartilhamento de uma infra-estrutura de validação única e externa
com inteligência global. Os consumidores que utilizam conveniente- A Verisign realiza a autenticação forte sem compartilhar informa-
mente o Token Blindado único para fazer o login em diversos Web sites ções confidenciais.
têm a proteção adicional da autenticação de dois fatores. Não há preocupação com performance ou aumento da
A rede de inteligência contra fraudes VeriSign® Fraud Intelligence Ne- demanda.
twork oferece notificação antecipada de ataques e listas abrangentes de Simples integração com a rede VIP através de webservice
suspeitos para bloquear fontes de fraude potenciais. (XML/SOAP).
Compartilhamento de dispositivos
Um mesmo Token Blindado é utilizado de forma compartilhada
entre todos os sites que exibem a bandeira VIP.
$$$
Sem investimentos em Hardware, MIPS, administração,
pessoal, etc.
Melhor Custo Benefício entre todas as soluções do mercado.
Dispositivos: além dos tradicionais tokens, o VIP possui 3 disposi- Cobrança por usuário ativo ou por autenticação
tivos exclusivos: token no Celular, Displaycards e Barra do Internet
SaaS: Serviço de autenticação com opção de dispositivos
Explorer
gratuitos – Token no celular ou barra do Internet Explorer.
(11) 3165-4000 | comercial@siteblindado.com.br | www.siteblindado.com.br
5. Maior site de currículos e empregos da
América do Sul investe em segurança
da informação.
Propiciar segurança da informação tanto ao usuário do site como em
sua rede; esse foi o objetivo da Catho Online, maior classificado de
currículos e empregos da América do Sul, ao investir em soluções para
maior segurança.
A demanda surgiu da preocupação da empresa em prover maior segu-
rança da informação para os profissionais e empresas que utilizam os
Marcelo Ribeiro
serviços do site, pois além de seu carro-chefe, o classificado de currícu-
los e empregos, a Catho Online oferece uma série de ferramentas, tanto Ainda, foi implementado o Firewall de Aplicação Imperva, que posi-
para os candidatos quanto para os recrutadores, como Serviços de Apoio cionado na frente de aplicação web, analisa todo o trafego de dados e
à Carreira (Análise e Elaboração de Currículo, Treinamento de Entrevista, detecta tentativas de ataque, bloqueando imediatamente o script, imo-
Consultor Virtual, etc.), Cursos Online e Presenciais, Conferências, Tes- bilizando o hacker que ficam sem nenhuma ação.
tes Online, Pesquisa Salarial, Pesquisa Organizacional, entre outros. Entre os benefícios, a Catho Online conta atualmente com uma solução
Após o levantamento de todo o ambiente, foram realizados testes de confiável e uma entidade reconhecida que atesta e garante sua segu-
penetração na camada de rede e aplicações web e a equipe de consul- rança, que ainda alerta quando houver nova vulnerabilidade, e princi-
toria especializada em segurança de internet e redes do Site Blindado palmente up-to-date com a internet.
S/A, que identificou melhorias para possíveis vulnerabilidades e in- “Apesar da Catho Online sempre estar preocupada com as melhores
dicou diversas soluções, com o objetivo de melhorar os processos já práticas de segurança e buscar cada vez mais garantir a integridade dos
implantados de proteção da rede interna e externa, bem como o tráfego dados de nossos clientes, precisávamos de uma entidade externa que
de informações entre a empresa e o usuário do site. certificasse que as práticas até então adotadas eram efetivas e ainda poder
Para comprovar a segurança das informações do site ao usuário final, melhorá-las de forma que sempre estivéssemos alinhados e atualizados
a Catho Online adotou o Selo Site Blindado, que realiza análise de vul- com o que acontece na internet com relação a segurança da informação.
nerabilidades diárias, auditando os dados contidos no site. O selo é um O trabalho executado pela Site Blindado foi perfeito, certificando nossos
scan de vulnerabilidade para IPs públicos e aplicações web. processos, indicando possíveis melhorias e garantindo de forma idônea
que adotamos as melhores práticas de segurança para nossos clientes e
Para proteção à rede, o Site Blindado S/A implementou o sistema Super
para o mercado”, diz Marcelo Ribeiro, Diretor de TI da Catho Online.
Site Blindado, que simula os ataques de hackers como uma auditoria anti-
hacker, analisando a rede interna (IPs privados) a partir de um scanner O selo Site Blindado pode ser visualizado em todas as páginas do site
inserido dentro da rede da Catho online. Com o sistema, a Catho Online da Catho Online, e assegura as informações nele contidas como os
tem acesso à informações privilegiadas que não se vê apenas pela web. dados de currículos, vagas ou dados de cartão de crédito.
Para conferir, acesse: www.catho.com.br
6. Cielo atende exigências do PCi-dSS e
reduz fraudes online
A Cielo, rede de meios eletrônicos de pagamento que realiza transa- Considerando que o surgimento de novas vulnerabilidades é muito
ções com cartões de crédito e débito, toma uma série de ações para freqüente, foi preciso automatizar o ciclo de identificação e correção
melhorar sua comunicação e segurança interna e de seus estabele- de vulnerabilidades de servidores e desktops da Cielo. O Qualys-
cimentos comerciais Guard foi escolhido entre diversas opções de mercado e, além de
auditar dispositivos de rede com IPs públicos e privados, baseado
Segurança para Estabelecimentos em regras definidas pela Cielo, direciona e prioriza as ações neces-
O objetivo foi disponibilizar sistema para realização de testes de vul- sárias para a solução das brechas de segurança encontradas. “Até
nerabilidade nas redes de processamento de cartões; assim como 2008, recebíamos dezenas de arquivos PDF com o resultado das
ao Questionário da Autoavaliação (SAQ), que tem a finalidade de análises. Era tanta informação que acabávamos deixando estes ar-
auditar a conformidade com o PCI-DSS. quivos guardados e nunca os analisávamos. O Qualysguard possui
O Módulo PCI do portal Site Blindado automatiza os processos que inteligência para avaliar quais problemas são mais importantes e
antes eram realizados por planilhas, e ainda amplia a segurança, quais servidores são mais críticos. Com essa combinação, criamos
visto que evita a tramitação dos dados pela Internet, concentrando regras de remediação e eliminamos totalmente o risco de sermos
toda a comunicação no Portal. atacados de forma simples e eficiente.” diz Ricardo Raga, Especia-
lista em Segurança da Informação da Cielo.
Segundo Mário Delfino, Analista de Controle de Risco da Cielo, o
PCI-DSS é uma norma internacional determinada pelas bandeiras Performance na comunicação
de cartões de crédito, e a Cielo, como processadora destas bandei- A Cielo também precisava melhorar a segurança e a performance
ras, cobra a conformidade dos estabelecimentos, visando a redução das entregas dos extratos mensais aos seus milhares de Estabeleci-
das fraudes e clonagem de cartão de crédito. mentos Comerciais afiliados.
Após a implementação do módulo PCI pelo Site Blindado S/A na Cielo, Escolheu a Virid, pois além de ser a desenvolvedora da plataforma
a operadora ganhou agilidade e acrescentou o scan aos serviços. Até o VirtualTarget que é utilizada pelos maiores e-commerces do Brasil,
final de 2010, a expectativa é atender mais de 250 redes com os testes disponibiliza profissionais especializados que auxiliam na busca
de vulnerabilidade e a média de mil estabelecimentos menores. contínua de melhoria dos resultados.
Segurança para Cielo Entre outros resultados, a Cielo atingiu a agilidade esperada para o
Em paralelo à iniciativa de proteger os estabelecimentos comerciais, envio das ações de email marketing e a conciliação dessa velocida-
foi criado um projeto para auditar a segurança da rede e aplicações de com a melhor entrega e segurança.
web da Cielo. No mercado desde 1996, a Virid Interatividade Digital atua com foco
A Conviso IT Security foi contratada para executar uma seqüência de em email marketing desde 2004 - mercado em que possui maior
testes de penetração em um grande conjunto de ativos que devem market share, depois da aquisição da Zartana - e trabalha ativamente
estar aderentes aos requerimentos do PCI DSS. na disseminação das boas práticas na comunicação digital.
A execução destes testes resulta na identificação das falhas e re- Com equipe formada por profissionais multidisciplinares que unem
comendações de melhoria que são implementadas antes que a ex- a exatidão da tecnologia com a espontaneidade do marketing, a VI-
ploração de uma dessas brechas de segurança cause perdas para a RID atende a uma carteira de mais de três mil clientes ativos, que
empresa, resultando em uma melhoria geral para o processo de Risk utilizam o canal email marketing como principal estratégia de comu-
Management da Cielo. nicação entre marcas e público.
7. Os benefícios da tecnologia EV-
SSL para o sucesso do seu site
Consumidores no mundo todo buscam a cada dia novas formas de Cuidados para com essa solução: hoje em dia existem diversas
tornar suas rotinas de compras mais simples e práticas, e a inter- empresas que oferecem a tecnologia, ou mesmo profissionais com
net vem crescendo ano após ano como um meio preferido desse conhecimento avançado em tecnologia que desenvolvem seus pró-
público para a aquisição de novos bens e serviços. Porém alguns prios certificados digitais. Devido essa pluralidade, é muito difícil
cuidados são observados por quem compra na internet, e por outro garantir quais fornecedores seguem rigorosamente às etapas de
lado, fraudadores buscam a cada dia criar novos meios de obter verificação que são necessárias para se emitir um certificado digital,
informações confidenciais e ludibriar o consumidor online. Dessas tornando assim possível que alguns fraudadores consigam obter
fraudes, a mais hoje em dia no Brasil é o phishing, onde o frau- certificados digitais duvidosos no mercado para utilizarem nos sites
dador por meio de engenharia social atrai clientes a um site falso de phishing e ludibriar o seu cliente.
praticamente idêntico ao original, coleta informações confidenciais 2- Tecnologia EV-SSL – A arma mais eficiente contra a fraude de
do cliente. phishing - Além de exigir uma verificação muito mais extensa em
A tecnologia SSL surgiu para passar ao consumidor a confiança relação à autenticidade da empresa que o adquire, faz com que o site
tanto em relação à autenticidade do site, quanto à privacidade das da empresa exiba uma barra de endereços verde, dando assim um
informações trocadas entre o site e o consumidor, principalmente sinal muito mais claro de “siga em frente” para o consumidor.
quando essas informações envolvem dados financeiros, como nú-
mero de cartão de crédito e senhas. Essa tecnologia permite que as
informações trocadas sejam criptografadas, assim apenas o site
poderá decodificar esses dados. Essa é a grande oportunidade de se diferenciar e mostrar ao seu
Para garantir a autenticidade do site, o organismo de certificação cliente que ele pode confiar no seu site ao exibir a barra verde. Para
emissor, como a VeriSign por exemplo, deve averiguar informações isso, você pode contar com o certificado da marca Verisign, a marca
da empresa que adquire o certificado, tais quais origem e autentici- certificação digital líder e mais reconhecida no mundo.
dade da empresa, entre outras. Essa tecnologia vem evoluindo com
o tempo, conforme demonstrado abaixo:
1- SSL de criptografia simples ou 128 bits – Exibe o ícone do ca-
deado fechado ao lado da barra de endereços ou no canto inferior
direito dos navegadores, permitindo que o usuário visualize infor-
mações sobre o portador do certificado. Além disso, o site começará
com a sigla https:
1. Anti-PhishingWorking Group, December 2007
2. YouGov Research, March 2008
8. Por: Mauricio Kigiela
Como a segurança online impacta a rentabilidade
do comércio eletrônico
Não é de hoje que ouvimos dizer que a internet é um meio promissor para a Desta forma, o usuário inicia o uso da internet comparando preços, bus-
realização de negócios. Ano após ano, são divulgadas informações – sem- cando informações sobre produtos, mas não compra pela internet. Acaba
pre animadoras – sobre o crescimento do comércio eletrônico. Em 2009 realizando a compra em lojas físicas, na rua ou no shopping, muitas vezes
as vendas pela internet cresceram 30 % só no Brasil, totalizando R$ 10,6 com a informação obtida na internet impressa em papel para garantir que
bilhões. Foram mais de 4 milhões de pessoas que fizeram a primeira com- está comprando o mesmo produto, pelo mesmo preço.
pra pela internet.
Com o tempo, estes consumidores mais cautelosos, acabam recebendo
Nos Estados Unidos - país mais maduro em negócios via internet - a cifra referências de experiências positivas de amigos e colegas de trabalho que
é astronômica, o faturamento em 2009 foi de USD 155 bilhões. Nós só usam a internet para realizar compras.
estamos engatinhando por aqui.
E é aí que os lojistas virtuais precisam estar atentos: Mesmo que aquele
Historicamente, nos Estados Unidos, as pessoas compram a distância; o consumidor esteja inclinado a fazer sua primeira compra online, qualquer
primeiro catálogo impresso foi lançado há mais de 250 anos. Quando sur- item que o faça sentir inseguro é motivo para que ele cometa o drop down,
giu a internet, as empresas apenas migraram seus catálogos de papel para ato de abandonar o carrinho de compras com produtos, antes de realizar o
o eletrônico e a adaptação à Internet foi praticamente imediata. pagamento. Ou seja, venda perdida.
No Brasil, a história é diferente: o ConSuMiDor preCiSA De uMA JuStifiCAtiVA pArA reALizAr
A priMeirA CoMprA nA internet.
Somos mais de 70 milhões de usuários de internet. Destes, 40 milhões
acessam suas contas bancárias pela rede mundial: digitam o código da É por isso que os comparadores de preços informam, além do preço – é
agência, número da conta e sua senha, para acessar dados confidenciais e claro – dados sobre a loja virtual, como: opiniões de outros consumidores,
importantes para sua vida. Mas apenas 17 milhões de pessoas já realizaram rating ou classificação do seu atendimento, e certificações sobre a existên-
ao menos 1 compra pela internet. cia de uma empresa idônea por trás de uma loja virtual.
A pergunta que eu faço é: O que motiva mais de 23 milhões de pes- Mas isso não é suficiente. 35% dos abandonos de carrinho de compras
soas terem coragem de checar seus extratos e pagar contas via são ocasionados pelo receio de digitar os dados de cartão de crédito, pois
internet, e não realizarem compras? hackers poderão cloná-lo e causar prejuízos ao consumidor.
Diariamente nós vemos na TV, no jornal e ouvimos de amigos que al- oS CoMpArADoreS De preçoS, nA SuA MAioriA, não MoS-
gum cartão de crédito foi clonado, que alguma conta corrente foi inva- trAM quAiS SiteS São bLinDADoS ContrA HACKerS pArA
dida por hackers e o dinheiro foi todo roubado ou que alguma quadrilha AJuDAr oS ConSuMiDoreS A eSCoLHer onDe CoMprAr.
realizou fraudes milionárias, tudo pela internet. Afinal, 83% dos sites
Por isso as lojas precisam promover sua segurança, exibindo selos de pro-
possuem algum problema de segurança que possa comprometer os da-
teção contra hackers, demonstrar de forma clara sua política de trocas e
dos armazenados.
devoluções e principalmente como o consumidor poderá contatar a loja em
Para completar, a ansiedade de usar o produto imediatamente, a preocu- caso de problemas. Afinal, a loja é virtual, mas a compra é real.
pação de não receber o produto comprado, a insatisfação de pagar pelo
Conforme pesquisas, 70% dos internautas compram somente se a loja
frete, a incerteza de ter comprado o produto correto e a insegurança de que
apresentar selos de segurança. Isso significa que a taxa de conversão
hackers roubem suas informações pessoais e dados de cartão de crédito,
(percentual entre a quantidade de visitantes e a quantidade de pedidos do
são decisivos para consumidores mais cautelosos não realizar compras
website) pode ser positivamente afetada se o consumidor se sentir seguro
pela internet.
durante a navegação.
Por outro lado, a internet é um ambiente muito favorável às compras, pois
você pode fazê-la sem vendedores ficarem empurrando produtos, sem pe-
Segurança e credibilidade são pontos primordiais para que um site de
gar transito ou pagar estacionamento, e a qualquer hora e em qualquer dia
e-commerce tenha sucesso.
da semana, afinal a internet nunca fecha. Mas o processo de decisão de
realizar a primeira compra via internet não é tão simples assim. Boas vendas!