Slide Show nº 3
O Selo “Website Protegido”
Uma serviço da N-Stalker auditando a
Segurança das Aplicações Web
Selos de “percepção” de Segurança
Pesquisa: Comportamento do Consumidor na Internet
A maioria dos consumidores preocupa-se com fraudes pela
internet (+ou- 80%):
O site é confiável? Quem é a empresa responsável pelo site? Meus dados pessoais estarão seguros se usados neste site? A tecnologia usada neste site de e-Commerce é segura?
70% dos visitantes só realizam compras em um website se
70% dos visitantes só realizam compras em um website se
identificarem nele informações sobre segurança!!!
Selos de Certificados Digitais (SSL) não garantem segurança:
SSL só informa sobre a seção cliente/servidor, e faz criptografia dos
dados: Sim, pode haver vulnerabilidades nas páginas “https”!
O volume de casos de fraudes pela internet criou o cenário ideal
para um novo Selo que aumentaria a confiança do consumidor...
Selos de “percepção” de Segurança
Exemplo de exibição de Selos em sites de e-Commerce
O novo Selo sugere não haver vulnerabilidades exploráveis por hackers... Mas os testes ocorrem apenas na camada da aplicação web!
Selos de “percepção” de segurança tem maior impacto nas vendas
da PME, que no caso das Grandes Marcas... (fator confiança!)
A estratégia de adotar este Selo deve vir apenas depois de garantir a
Selos de “percepção” de Segurança
Percebendo melhor a segurança no e-Commerce...
Mas este Selo exibido na aplicação web pode
garantir a segurança do site de e-Commerce?
Bem, nenhum Selo poderia garantir, apenas por
sí, a segurança de um website de e-Commerce...
Somente ações de melhores práticas de segurança
sobre cada componente e cada etapa do processo de negócios poderia oferecer maiores garantias...
Selos de “percepção” de Segurança
Percebendo melhor a segurança no e-Commerce...
Mas este Selo exibido na aplicação web pode
garantir a segurança do site de e-Commerce?
A questão é: Quais destas melhores práticas de segurança sua empresa adota de forma integrada aos fornecedores de tecnologia do seu e-Commerce?
Ecossistema do e-Commerce
As recomendações de Práticas de Segurança do PCI
São dirigidas a todas as empresas envolvidas na rede de pagamento eletrônico, e que de algum modo coletam, transportam, processam, ou armazenam os dados do portador do cartão de crédito:
para o website para o website de e-Commerce
Uso do Sistema
rede
segura
Segurança de fato requer ir além do que avalia um Selo...
O uso do Sistema
rede
segura
para avaliar a segurança de uma
aplicação web atende aos requisitos 6, 11 e 12 do PCI-DSS.
Certificação PCI-DSS é um processo de auditoria formal “on-site”
realizado anualmente por Empresas Certificadoras do PCI (QSA)
A Segurança requer ações de melhores práticas em todos os
A Segurança requer ações de melhores práticas em todos os
componentes do processo de negócio:
O Selo só aparece nas páginas do site se não forem identificadas
vulnerabilidades exploráveis pela aplicação web;
A aplicação web é apenas um dos elementos do processo!!!
Não há como um Selo testar remotamente vulnerabilidades em outros
componentes ou etapas do processo de negócio...
Uso do Sistema
rede
segura
Segurança de fato requer ir além do que avalia um Selo...
O uso do Sistema
rede
segura
para avaliar a segurança de uma
aplicação web atende aos requisitos 6, 11 e 12 do PCI-DSS.
Certificação PCI-DSS é um processo de auditoria formal “on-site”
realizado anualmente por Empresas Certificadoras do PCI (QSA)
A Segurança requer ações de melhores práticas em todos os
A Segurança requer ações de melhores práticas em todos os
componentes do processo de negócio:
O Selo só aparece nas páginas do site se não forem identificadas
vulnerabilidades exploráveis pela aplicação web;
A aplicação web é apenas um dos elementos do processo!!!
Não há como um Selo testar remotamente vulnerabilidades em outros
componentes ou etapas do processo de negócio...
Uso do Sistema
rede
segura
Gerenciamento de Vulnerabilidades em Aplicações Web
Home Banking Home Broker e-Commerce Desenvolvedores Recomendações de Segurança SSL Vulnerabilty Database Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web Server Security Officer V-Test Processo de Gestão Scan Engine Metodologias: SAST/DAST Suporte Téc. Especializado ao Desenvolvedor (CSSLP) “SSG”
Uso do Sistema
rede
segura
Gerenciamento de Vulnerabilidades em Aplicações Web
Home Banking Home Broker e-Commerce Desenvolvedores Recomendações de Segurança SSL Vulnerabilty Database
Ciclo
Do ! Plan... Corporativo: CRM, ERP, RH... Conteúdo Apoio a Decisão Web Server Security Officer V-Test Processo de Gestão Scan Engine Metodologias: SAST/DAST Suporte Téc. Especializado ao Desenvolvedor (CSSLP) “SSG”Ciclo
PDCA
Act ! Check... .Selos de “percepção” de Segurança
O que está por trás da exibição de um destes selos?
Como saber se um Selo
está de fato associado a
práticas de segurança?
Como dissemos, isso depende da estratégia da empresa de e-Commerce, e se ela investe na segurança de sua aplicação web...
Vamos comparar duas abordagens distintas, e você “perceberá” a grande diferença:
Criando “
percepção
” de segurança sem ações de segurança:
O uso de um selo cria a “percepção” de segurança que influencia a
decisão do comprador (dado estatístico)
Mas se o Selo
não está associado
ao uso de melhores práticas
de segurança, e nem a um ciclo de melhorias:
O Selo para um “Site Selado”
Uso da “percepção” de Segurança apenas para vender...
?
de segurança, e nem a um ciclo de melhorias:
O teste do selo é superficial, e com critérios pouco rigorosos! Não se faz gerenciamento de vulnerabilidades, só se faz testes; A capacidade do desenvolvedor em mitigar os riscos é limitada; O risco de ataques web é aumentado pela exibição deste Selo...
A “percepção” de segurança não é sustentada
por processos de segurança!
Há altos riscos!
Criando uma “
percepção
” sustentada por práticas de segurança:
O uso de um selo cria a “percepção” de segurança que influencia a
decisão do comprador (dado estatístico)
O Selo é associado à práticas de segurança efetivas, certificando
o gerenciamento de vulnerabilidades da aplicação web:
O Selo “Website Protegido”
A “percepção” de segurança apoiada em ações práticas
o gerenciamento de vulnerabilidades da aplicação web:
Os testes são rigorosos e em todas as páginas da aplicação;
O uso do
rede
segura
avalia a segurança em todo o ciclo de vida daaplicação web, desde o desenvolvimento;
A capacidade de prevenir riscos reais é potencialmente maior:
Havendo vulnerabilidades, elas são corrigidas rapidamente;
A “percepção” de segurança é sustentada por
um processo de segurança!
Há mais proteção!
O Selo “Website Protegido”
O que significa a exibição do Selo “Website Protegido”
O selo publicado na página web é uma certificação da N-Stalker
sobre a eficiência do processo baseado no uso do
rede
segura
O provedor da tecnologia adota, entre outras melhores práticas, um
processo de Gerenciamento de Vulnerabilidades;
O nível de risco de transações pela aplicação web é mantido baixo O nível de risco de transações pela aplicação web é mantido baixo
durante todo o seu ciclo de vida:
QA de Segurança nas etapas de Desenvolvimento;
Nível de Risco monitorado durante o uso em Produção.
Testes regulares para identificar falhas na aplicação web são feitos a
partir de 39.000 formas diferentes de ataque, em 100% das páginas;
Quando são identificadas vulnerabilidades, o desenvolvedor inicia
Departamento Comercial Tel: +55 (11) 3044-1819
e-mail: contato@redesegura.com.br
visite: www.redesegura.com.br