Serviços Digitais de Segurança disponibilizados por Entidades

Os serviços digitais de segurança permitem maximizar o potencial dos negócios electrónicos através do fornecimento de uma infra-estrutura de confiança que permita às empresas:

• Localizar facilmente as aplicações com as quais pretendem trocar dados;

• Confiar que esses dados valiosos apenas são trocados com aplicações que foram apropriadamente identificadas, autentificadas e autorizadas; • Facultar um mecanismo seguro para efectuarem as transacções.

A tecnologia disponibilizada pela Internet permite às empresas, de todas as dimensões, trocar informação crítica quer internamente quer externamente. Como os serviços podem ser implementados sem um significativo aumento dos investimentos em hardware e software, as empresas que os disponibilizam estão a ter um retorno imediato deste investimento.

A oportunidade proporcionada por estes serviços permite aumentar a produtividade dos negócios electrónicos, operando num ambiente digital de confiança. As plataformas disponibilizadas por estas entidades permite que as empresas não fiquem constrangidas devido à falta de segurança e confiança quando utilizam tais serviços críticos.

Os serviços digitais de segurança são vários e são disponibilizados por diversas empresas, como por exemplo a Verisign, que é uma das mais conhecidas (Verisign, 2002). Nesse sentido, passa a enunciar-se os serviços disponibilizados por esta empresa.

Ao nível da identidade digital, a localização das aplicações e dos serviços prestados deve estar catalogada no Universal Description, Discovery, and Integration - UDDI, que é um directório de serviços para a Internet que está disponível para todos os utilizadores (UDDI, 2000). No entanto, o registo é propenso aos mesmos problemas que afectam os programas de procura {search engines), ou seja, informação redundante e desactualizada, manipulação, queixas, fraudes e outras. Ao integrar as tecnologias do extensible Markup Language - XML e da Public-Key Infrastructure -

autentiquem e qualifiquem os dados disponíveis nas listagens públicas. As listagens de empresas autenticadas permitirão uma maior confiança, pois facilitam mais trocas de informação entre participantes anónimos. A directoria pública UDDI permite às empresas registar e publicar serviços globalmente, expandindo a sua esfera de actuação. Será possível às empresas localizar e solicitar serviços para completar transacções on-line, permitindo a automação total dos processos negociais.

Para as empresas trocarem dados de grande valor ou efectuarem transacções de uma forma segura devem ser providenciadas capacidades de acesso controlado, autenticado, autorizado e codificado, não só para as aplicações, mas também para os colaboradores e parceiros da empresa. Os certificados digitais permitem às empresas a custos efectivos fornecer esses serviços. Estes certificados funcionam como atrás foi descrito.

Para assegurar que apenas indivíduos ou aplicações autorizadas podem aceder aos serviços, as empresas tem, de forma fidedigna, estabelecer a identidade destas e então fornecer credenciais digitais que confirmem essa identidade. Tal permite validar a identidade dos utilizadores desconhecidos e depois atribuir-lbes ou não credenciais digitais, simplificando a validação das transacções com os parceiros. Para realizar transacções de confiança na Internet, cada aplicação tem de positivamente identificar os utilizadores e as aplicações que lhes procuram aceder. O serviço de autenticação deve providenciar um sistema simples de subscrição para permitir às empresas partilhar a autenticação entre múltiplas aplicações, sites ou serviços. Utilizando simples sistemas de subscrição, as aplicações podem ser "federadas", de tal forma que se um utilizador se autenticar com sucesso na primeira aplicação pode navegar entre aplicações "federadas" sem necessidade de se tornar a autenticar. A simples subscrição permite aceder a diversos recursos dentro de uma comunidade aberta sem a sobrecarga de múltiplos procedimentos de autenticação. Para reforçar o nível de serviço e assegurar que a transacção digital, uma vez consumada, não pode ser recusada ou revertida, os participantes na transacção devem aprovar - para satisfação de todas as partes - o estado dos dados ou serviço em tempo real. O serviço de notário digital, utilizado por aplicações como a Verisign, permite o não repudio da transacção efectuada através da "presença" nesta de um terceiro independente como testemunha de confiança. Tal presença pode vincular legalmente as partes sob a forma de uma assinatura digital ou selo.

Os serviços de autorização permitem à empresa decidir se autoriza um utilizador autenticado a executar uma determinada operação. Esta decisão pode ser baseada em autorizações pré-confíguradas ou informação sobre o perfil do utilizador a partir de dados fornecidos por entidades externas de confiança. As decisões de autorização são tipicamente implementadas usando lógicas de negócio personalizado que analisam as autorizações e o perfil, aplicando de seguida as políticas definidas.

Ao nível do serviço de pagamento, para o processamento automático das transacções, a capacidade de efectuar transferências de dinheiro seguras é uma das componentes mais importante. Hoje em dia, a maior parte das empresas pára no ponto da encomenda, não oferecendo o serviço de transacção completo. Através da combinação dos serviços de autenticação com os serviços das maiores entidades bancárias, os pagamentos de produtos e serviços podem ser invocados via um interface de pagamento no standard XML, permitindo-o em tempo real.

7.6.10. A segurança nos Fornecedores de Serviços Internet

Quase todos os ataques aos negócios electrónicos referidos pela comunicação social dizem respeito aos senadores, indicando que os sistemas de segurança dos servidores são inadequados. Os ataques contra os canais de comunicação raramente ocorrem porque são tecnicamente mais complexos, mesmo sem as técnicas de codificação, tais como o SSL. Os sistemas de segurança dos servidores podem ser constituídos por firewalls, sistemas de detecção de intrusos, por acções contínuas de monitorização de alertas de segurança e pela implementação pronta de acções de segurança de emergência. No entanto, isto requer pessoa] especializado na administração do sistema para continuamente cuidar do sistema, o que é um trabalho intensivo comparado com o nível elevado de automação dos mecanismos de segurança das comunicações. Houve muita atenção na criptografia e na segurança das comunicações e pouca nos outros factores requeridos para atingir um sistema global de segurança, tais como segurança do sistema, práticas e procedimentos, consciência do utilizador, gestão de chaves e uma boa interface com o utilizador. Na Directiva sobre o Comércio electrónico, entre os artigos 12 e 15, é tida em consideração a responsabilidade dos prestadores intermédios de serviços, nomeadamente nas actividades de transmissão e de disponibilização de acesso a uma rede de comunicações (Directiva 2000/3l/CE, 2000). Tal situação coloca-se porque

estas abrangem o armazenamento automático, intermédio e transitório das informações transmitidas.

Assim, em caso de prestação de um serviço que consista na transmissão, por uma rede de telecomunicações, de informação prestada por um destinatário do serviço, a empresa deve velar para que a responsabilidade do prestador do serviço não possa ser invocada no que respeita à armazenagem automática, intermédia e temporária dessa informação, desde que:

• O prestador não modifique a informação;

• O prestador respeite as condições de acesso à informação;

• O prestador respeite as regras relativas à actualização da informação, indicadas de forma amplamente reconhecida e utilizada pelo sector; • O prestador não interfira com a utilização legítima da tecnologia, tal

como amplamente reconhecida e seguida pelo sector, aproveitando as facilidades disponibilizadas pela Internet para obter indevidamente dados sobre a utilização da informação;

• O prestador actue com diligência para remover ou impossibilitar o acesso à informação que armazenou, logo que tome conhecimento efectivo de que a informação foi removida da rede na fonte de transmissão inicial, de que o acesso a esta foi tornado impossível, ou de que um tribunal ou autoridade administrativa ordenou essa remoção ou impossibilitou o acesso.

Caso o serviço consista no armazenamento de informações prestadas por um destinatário, a empresa deve velar para que a responsabilidade do prestador do serviço não possa ser invocada no que respeita à armazenagem automática, intermédia e temporária dessa informação, desde que:

• O prestador não tenha conhecimento efectivo da actividade ou informação ilegal e, no que se refere a uma acção de indemnização por perdas e danos, não tenha conhecimento de factos ou de circunstâncias que evidenciam a actividade ou informação ilegal;

• O prestador, a partir do momento em que tenha conhecimento da ilicitude, actue com diligência no sentido de retirar ou impossibilitar o acesso às informações;

• O prestador de serviços não tem uma obrigação geral de vigilância sobre as informações que estes transmitem ou armazenam, ou uma obrigação geral de procurar activamente factos ou circunstâncias que indiciem ilicitudes.