Slide Show nº 3

O Selo “Website Protegido”

Uma serviço da N-Stalker auditando a Segurança das Aplicações Web

rev. 11/jan/11Autor: Eduardo Lanna

Selos de “percepção” de Segurança Pesquisa: Comportamento do Consumidor na Internet

� A maioria dos consumidores preocupa-se com fraudes pela internet (+ou- 80%):� O site é confiável? Quem é a empresa responsável pelo site?� Meus dados pessoais estarão seguros se usados neste site?� A tecnologia usada neste site de e-Commerce é segura?

70% dos visitantes só realizam compras em um website se � 70% dos visitantes só realizam compras em um website se identificarem nele informações sobre segurança!!!

� Selos de Certificados Digitais (SSL) não garantem segurança:� SSL só informa sobre a seção cliente/servidor, e faz criptografia dos

dados: Sim, pode haver vulnerabilidades nas páginas “https ”!

� O volume de casos de fraudes pela internet criou o cenário ideal para um novo Selo que aumentaria a confiança do consumidor...

Slide 2/12

Selos de “percepção” de Segurança Exemplo de exibição de Selos em sites de e-Commerce

O novo Selo sugere não haver vulnerabilidades explo ráveis por hackers...Mas os testes ocorrem apenas na camada da aplicação web!

� Selos de “percepção ” de segurança tem maior impacto nas vendas da PME, que no caso das Grandes Marcas... (fator confiança! )

� A estratégia de adotar este Selo deve vir apenas depois de garantir a segurança da aplicação web... (fator de risco! )

Slide 3/12

Selos de “percepção” de Segurança Percebendo melhor a segurança no e-Commerce...

Mas este Selo exibido na aplicação web pode garantir a segurança do site de e-Commerce?

Bem, nenhum Selo poderia garantir, apenas por sí, a segurança de um website de e-Commerce...

Somente ações de melhores práticas de segurança sobre cada componente e cada etapa do processo de

negócios poderia oferecer maiores garantias...

Slide 4/12

Selos de “percepção” de Segurança Percebendo melhor a segurança no e-Commerce...

Mas este Selo exibido na aplicação web pode garantir a segurança do site de e-Commerce?

A questão é: Quais destas melhores práticas de segurança sua empresa adota de forma integrada

aos fornecedores de tecnologia do seu e-Commerce?

Slide 4/12

Ecossistema do e-CommerceAs recomendações de Práticas de Segurança do PCI

São dirigidas a todas as empresas envolvidas na rede de pagamento eletrônico, e que de algum modo coletam, transportam, processam, ou armazenam os dados do portador do cartão de crédito:

para o website

Slide 5/12

para o websitede e-Commerce

Uso do Sistema redeseguraSegurança de fato requer ir além do que avalia um Selo...

� O uso do Sistema redesegura para avaliar a segurança de uma aplicação web atende aos requisitos 6, 11 e 12 do PCI-DSS.

� Certificação PCI-DSS é um processo de auditoria formal “on-site” realizado anualmente por Empresas Certificadoras do PCI (QSA)

A Segurança requer ações de melhores práticas em todos os � A Segurança requer ações de melhores práticas em todos os componentes do processo de negócio:� O Selo só aparece nas páginas do site se não forem identificadas

vulnerabilidades exploráveis pela aplicação web ;

� A aplicação web é apenas um dos elementos do processo!!!

� Não há como um Selo testar remotamente vulnerabilidades em outros componentes ou etapas do processo de negócio...

� O Selo avalia a segurança do componente mais exposto: a aplicação !

Slide 6/12

Uso do Sistema redeseguraSegurança de fato requer ir além do que avalia um Selo...

� O uso do Sistema redesegura para avaliar a segurança de uma aplicação web atende aos requisitos 6, 11 e 12 do PCI-DSS.

� Certificação PCI-DSS é um processo de auditoria formal “on-site” realizado anualmente por Empresas Certificadoras do PCI (QSA)

A Segurança requer ações de melhores práticas em todos os � A Segurança requer ações de melhores práticas em todos os componentes do processo de negócio:� O Selo só aparece nas páginas do site se não forem identificadas

vulnerabilidades exploráveis pela aplicação web ;

� A aplicação web é apenas um dos elementos do processo!!!

� Não há como um Selo testar remotamente vulnerabilidades em outros componentes ou etapas do processo de negócio...

� O Selo avalia a segurança do componente mais exposto: a aplicação !

Slide 6/12

Uso do Sistema redeseguraGerenciamento de Vulnerabilidades em Aplicações Web

Home Banking

Home Broker

e-CommerceDesenvolvedores

Recomendações de Segurança

SSL

VulnerabiltyDatabase

Corporativo: CRM, ERP, RH...

Conteúdo

Apoio a Decisão

Web ServerSecurity Officer

V-Test

Processo de Gestão

Scan Engine

Metodologias: SAST/DAST

Suporte Téc. Especializado ao Desenvolvedor (CSSLP)

“SSG”

Slide 7/12

Uso do Sistema redeseguraGerenciamento de Vulnerabilidades em Aplicações Web

Home Banking

Home Broker

e-CommerceDesenvolvedores

Recomendações de Segurança

SSL

VulnerabiltyDatabase

Ciclo

Do !Plan...

Corporativo: CRM, ERP, RH...

Conteúdo

Apoio a Decisão

Web ServerSecurity Officer

V-Test

Processo de Gestão

Scan Engine

Metodologias: SAST/DAST

Suporte Téc. Especializado ao Desenvolvedor (CSSLP)

“SSG”

Slide 7/12

CicloPDCA

Act !

Check... .

Selos de “percepção” de SegurançaO que está por trás da exibição de um destes selos?

Como saber se um Selo está de fato associado a práticas de segurança?

Como dissemos, isso depende da estratégia da empresa de e-Commerce, e se ela investe na segurança de sua aplicação web...

Vamos comparar duas abordagens distintas, e você “perceberá” a grande diferença:

Slide 8/12

� Criando “percepção ” de segurança sem ações de segurança:� O uso de um selo cria a “percepção” de segurança que influencia a

decisão do comprador (dado estatístico)

� Mas se o Selo não está associado ao uso de melhores práticas de segurança, e nem a um ciclo de melhorias:

O Selo para um “Site Selado”Uso da “percepção” de Segurança apenas para vender...

?

de segurança, e nem a um ciclo de melhorias:� O teste do selo é superficial , e com critérios pouco rigorosos!

� Não se faz gerenciamento de vulnerabilidades, só se faz testes;

� A capacidade do desenvolvedor em mitigar os riscos é limitada;

� O risco de ataques web é aumentado pela exibição deste Selo...

A “percepção” de segurança não é sustentada por processos de segurança! Há altos riscos!

Slide 9/12

� Criando uma “percepção ” sustentada por práticas de segurança:� O uso de um selo cria a “percepção” de segurança que influencia a

decisão do comprador (dado estatístico)

� O Selo é associado à práticas de segurança efetivas, certificando o gerenciamento de vulnerabilidades da aplicação web:

O Selo “Website Protegido”A “percepção” de segurança apoiada em ações práticas

o gerenciamento de vulnerabilidades da aplicação web:� Os testes são rigorosos e em todas as páginas da aplicação;

� O uso do redesegura avalia a segurança em todo o ciclo de vida da aplicação web, desde o desenvolvimento;

� A capacidade de prevenir riscos reais é potencialmente maior: Havendo vulnerabilidades, elas são corrigidas rapidamente;

A “percepção” de segurança é sustentada por um processo de segurança! Há mais proteção!

Slide 10/12

O Selo “Website Protegido” O que significa a exibição do Selo “Website Protegido”

� O selo publicado na página web é uma certificação da N-Stalkersobre a eficiência do processo baseado no uso do redesegura

� O provedor da tecnologia adota, entre outras melhores práticas, um processo de Gerenciamento de Vulnerabilidades;

� O nível de risco de transações pela aplicação web é mantido baixo O nível de risco de transações pela aplicação web é mantido baixo durante todo o seu ciclo de vida:� QA de Segurança nas etapas de Desenvolvimento;� Nível de Risco monitorado durante o uso em Produção.

� Testes regulares para identificar falhas na aplicação web são feitos a partir de 39.000 formas diferentes de ataque, em 100% das páginas;

� Quando são identificadas vulnerabilidades, o desenvolvedor inicia imediatas ações de correção sobre a aplicação web;

Slide 11/12

Departamento Comercial

Tel: +55 (11) 3044-1819

e-mail: contato@redesegura.com.br

visite: www.redesegura.com.br

Consulte-nos, e saiba mais sobre como manter a segurança de suas

aplicações web.

Autor: Eduardo Lanna