Especialista em segurança contra hackers
para portais de negócio via internet.
A suíte de serviços do Site Blindado abrange desde a auditoria e análise da segurança
até a proteção ativa de portais web. Utilizando a tecnologia de Cloud Computing –
Security as a Service – todos os serviços podem ser acessados via internet, a partir
do Portal Site Blindado.
Site Blindado aumenta a credibilidade e a conversão de vendas em até 15%
Fases do A/B Test: Teste que avalia o aumento de conversão e ticket médio atribuída à exibição do selo Site Blindado.
Firewall, SSL e atualizações de sistema operacional não são mais suficientes
para conter ataques de hackers
Os ataques baseados em falhas na aplicação web são realizados pelas portas 80 e 443 - geralmente as que ficam abertas no firewall - visando
acessar diretamente o banco de dados que armazena as informações sigilosas.
O Site Blindado analisa a segurança do seu site de forma abrangente:
Vulnerabilidades na Aplicação Web
Detecção de Malware
Falhas de segurança em aplicações web podem permitir
A execução diária desta análise evita que sites infec-
que hackers acessem dados confidenciais, além de co-
tados por algum software malicioso, contaminem os
meter crimes de roubo de identidade e fraudes.
computadores dos seus visitantes.
Vulnerabilidades de rede (perímetro)
Validação de certificado SSL
A análise dos IPs públicos, acessíveis via internet, evita
Verifica se o certificado SSL está válido e atualizado.
que falhas de configuração no firewall ou sistema operacional permitam ataques diretos à infra-estrutura.
(11) 3165-4000 | [email protected] | www.siteblindado.com.br/blog
Serviços Adicionais
Super Site Blindado
Equipamento (scanner) instalado dentro da rede do cliente para analisar vulnerabilidades de servidores
de banco de dados e outros dispositivos de rede não acessíveis via internet. O equipamento é entregue
em comodato e pode testar aplicações web e servidores antes de colocá-los em produção.
SSL EV
Certificado digital SSL com validação estendida – Barra do Internet
Explorer fica verde quando a página em https:// é acessada
Firewall de Aplicação
Web Penetration Test
Dispositivo instalado nos webservers que identificam e bloqueiam as
Teste realizado por especialistas em segurança para detectar
requisições maliciosas feitas por hackers na aplicação web, evitando
vulnerabilidades, ou falhas que permitam realizar fraudes em
que as tentativas de ataques tenham sucesso, como SQL Injection ou
aplicações web, além de validar itens e parâmetros que scan-
Cross Site Scripting (XSS).
ners automatizados não conseguem analisar.
Tabela comparativa dos serviços Site Blindado
Serviço
Segurança
Frequência
Objetivo
Site Blindado
Preventiva
Diária
Super Site Blindado
Preventiva
On demand
SSL EV
Ativa
100% uptime
Criptografar/Codificar a comunicação entre o browser
e o servidor web (páginas https://)
Firewall de Aplicação
(WAF)
Ativa
100% uptime
Identificar e bloquear tentativas de ataques na aplicação, bloqueando scripts maliciosos
Web Penetration Test
Preventiva
Pontual
Auditar a segurança da aplicação web e IPs públicos
Auditar a segurança da rede interna (IPs privados) e
ambiente de homologação
Teste manual contra fraudes & análise profunda de
parâmetros e configurações da aplicação web
(11) 3165-4000 | [email protected] | www.siteblindado.com.br/blog
Token Blindado
Aproveite os Benefícios de uma Rede de
Autenticação Compartilhada para Fortalecer
a Diferenciação Competitiva
Os serviços de proteção de identidade VeriSign® Identity Protection
(VIP) Services ajudam os consumidores a fazerem o login em suas
contas de forma conveniente e segura para utilizarem os serviços
online da sua empresa. A autenticação de dois fatores, a detecção
de fraudes com base em auto-aprendizagem e uma poderosa infraestrutura de validação ajudam a fornecer uma solução de ponta a
ponta segura e a um custo razoável, da marca de segurança mais
reconhecida da Internet.
Empresas que são membros da rede VIP Network se beneficiam do
compartilhamento de uma infra-estrutura de validação única e externa
com inteligência global. Os consumidores que utilizam convenientemente o Token Blindado único para fazer o login em diversos Web sites
Autenticação Forte como Serviço
A Verisign realiza a autenticação forte sem compartilhar informações confidenciais.
têm a proteção adicional da autenticação de dois fatores.
Não há preocupação com performance ou aumento da
A rede de inteligência contra fraudes VeriSign® Fraud Intelligence Ne-
demanda.
twork oferece notificação antecipada de ataques e listas abrangentes de
Simples integração com a rede VIP através de webservice
suspeitos para bloquear fontes de fraude potenciais.
(XML/SOAP).
Compartilhamento de dispositivos
Um mesmo Token Blindado é utilizado de forma compartilhada
entre todos os sites que exibem a bandeira VIP.
$$$
Sem investimentos em Hardware, MIPS, administração,
pessoal, etc.
Melhor Custo Benefício entre todas as soluções do mercado.
Dispositivos: além dos tradicionais tokens, o VIP possui 3 dispositivos exclusivos: token no Celular, Displaycards e Barra do Internet
Explorer
Cobrança por usuário ativo ou por autenticação
SaaS: Serviço de autenticação com opção de dispositivos
gratuitos – Token no celular ou barra do Internet Explorer.
(11) 3165-4000 | [email protected] | www.siteblindado.com.br
Maior site de currículos e empregos da
América do Sul investe em segurança
da informação.
Propiciar segurança da informação tanto ao usuário do site como em
sua rede; esse foi o objetivo da Catho Online, maior classificado de
currículos e empregos da América do Sul, ao investir em soluções para
maior segurança.
A demanda surgiu da preocupação da empresa em prover maior segurança da informação para os profissionais e empresas que utilizam os
serviços do site, pois além de seu carro-chefe, o classificado de currícu-
Marcelo Ribeiro
los e empregos, a Catho Online oferece uma série de ferramentas, tanto
Ainda, foi implementado o Firewall de Aplicação Imperva, que posi-
para os candidatos quanto para os recrutadores, como Serviços de Apoio
cionado na frente de aplicação web, analisa todo o trafego de dados e
à Carreira (Análise e Elaboração de Currículo, Treinamento de Entrevista,
detecta tentativas de ataque, bloqueando imediatamente o script, imo-
Consultor Virtual, etc.), Cursos Online e Presenciais, Conferências, Tes-
bilizando o hacker que ficam sem nenhuma ação.
tes Online, Pesquisa Salarial, Pesquisa Organizacional, entre outros.
Entre os benefícios, a Catho Online conta atualmente com uma solução
Após o levantamento de todo o ambiente, foram realizados testes de
confiável e uma entidade reconhecida que atesta e garante sua segu-
penetração na camada de rede e aplicações web e a equipe de consul-
rança, que ainda alerta quando houver nova vulnerabilidade, e princi-
toria especializada em segurança de internet e redes do Site Blindado
palmente up-to-date com a internet.
S/A, que identificou melhorias para possíveis vulnerabilidades e in-
“Apesar da Catho Online sempre estar preocupada com as melhores
dicou diversas soluções, com o objetivo de melhorar os processos já
práticas de segurança e buscar cada vez mais garantir a integridade dos
implantados de proteção da rede interna e externa, bem como o tráfego
dados de nossos clientes, precisávamos de uma entidade externa que
de informações entre a empresa e o usuário do site.
certificasse que as práticas até então adotadas eram efetivas e ainda poder
Para comprovar a segurança das informações do site ao usuário final,
melhorá-las de forma que sempre estivéssemos alinhados e atualizados
a Catho Online adotou o Selo Site Blindado, que realiza análise de vul-
com o que acontece na internet com relação a segurança da informação.
nerabilidades diárias, auditando os dados contidos no site. O selo é um
O trabalho executado pela Site Blindado foi perfeito, certificando nossos
scan de vulnerabilidade para IPs públicos e aplicações web.
processos, indicando possíveis melhorias e garantindo de forma idônea
Para proteção à rede, o Site Blindado S/A implementou o sistema Super
Site Blindado, que simula os ataques de hackers como uma auditoria anti-
que adotamos as melhores práticas de segurança para nossos clientes e
para o mercado”, diz Marcelo Ribeiro, Diretor de TI da Catho Online.
hacker, analisando a rede interna (IPs privados) a partir de um scanner
O selo Site Blindado pode ser visualizado em todas as páginas do site
inserido dentro da rede da Catho online. Com o sistema, a Catho Online
da Catho Online, e assegura as informações nele contidas como os
tem acesso à informações privilegiadas que não se vê apenas pela web.
dados de currículos, vagas ou dados de cartão de crédito.
Para conferir, acesse: www.catho.com.br
Cielo atende exigências do PCI-DSS e
reduz fraudes online
A Cielo, rede de meios eletrônicos de pagamento que realiza transações com cartões de crédito e débito, toma uma série de ações para
melhorar sua comunicação e segurança interna e de seus estabelecimentos comerciais
Segurança para Estabelecimentos
O objetivo foi disponibilizar sistema para realização de testes de vulnerabilidade nas redes de processamento de cartões; assim como
ao Questionário da Autoavaliação (SAQ), que tem a finalidade de
auditar a conformidade com o PCI-DSS.
O Módulo PCI do portal Site Blindado automatiza os processos que
antes eram realizados por planilhas, e ainda amplia a segurança,
visto que evita a tramitação dos dados pela Internet, concentrando
toda a comunicação no Portal.
Segundo Mário Delfino, Analista de Controle de Risco da Cielo, o
PCI-DSS é uma norma internacional determinada pelas bandeiras
de cartões de crédito, e a Cielo, como processadora destas bandeiras, cobra a conformidade dos estabelecimentos, visando a redução
das fraudes e clonagem de cartão de crédito.
Após a implementação do módulo PCI pelo Site Blindado S/A na Cielo,
a operadora ganhou agilidade e acrescentou o scan aos serviços. Até o
final de 2010, a expectativa é atender mais de 250 redes com os testes
de vulnerabilidade e a média de mil estabelecimentos menores.
Segurança para Cielo
Em paralelo à iniciativa de proteger os estabelecimentos comerciais,
foi criado um projeto para auditar a segurança da rede e aplicações
web da Cielo.
Considerando que o surgimento de novas vulnerabilidades é muito
freqüente, foi preciso automatizar o ciclo de identificação e correção
de vulnerabilidades de servidores e desktops da Cielo. O QualysGuard foi escolhido entre diversas opções de mercado e, além de
auditar dispositivos de rede com IPs públicos e privados, baseado
em regras definidas pela Cielo, direciona e prioriza as ações necessárias para a solução das brechas de segurança encontradas. “Até
2008, recebíamos dezenas de arquivos PDF com o resultado das
análises. Era tanta informação que acabávamos deixando estes arquivos guardados e nunca os analisávamos. O Qualysguard possui
inteligência para avaliar quais problemas são mais importantes e
quais servidores são mais críticos. Com essa combinação, criamos
regras de remediação e eliminamos totalmente o risco de sermos
atacados de forma simples e eficiente.” diz Ricardo Raga, Especialista em Segurança da Informação da Cielo.
Performance na comunicação
A Cielo também precisava melhorar a segurança e a performance
das entregas dos extratos mensais aos seus milhares de Estabelecimentos Comerciais afiliados.
Escolheu a Virid, pois além de ser a desenvolvedora da plataforma
VirtualTarget que é utilizada pelos maiores e-commerces do Brasil,
disponibiliza profissionais especializados que auxiliam na busca
contínua de melhoria dos resultados.
Entre outros resultados, a Cielo atingiu a agilidade esperada para o
envio das ações de email marketing e a conciliação dessa velocidade com a melhor entrega e segurança.
A Conviso IT Security foi contratada para executar uma seqüência de
testes de penetração em um grande conjunto de ativos que devem
estar aderentes aos requerimentos do PCI DSS.
No mercado desde 1996, a Virid Interatividade Digital atua com foco
em email marketing desde 2004 - mercado em que possui maior
market share, depois da aquisição da Zartana - e trabalha ativamente
na disseminação das boas práticas na comunicação digital.
A execução destes testes resulta na identificação das falhas e recomendações de melhoria que são implementadas antes que a exploração de uma dessas brechas de segurança cause perdas para a
empresa, resultando em uma melhoria geral para o processo de Risk
Management da Cielo.
Com equipe formada por profissionais multidisciplinares que unem
a exatidão da tecnologia com a espontaneidade do marketing, a VIRID atende a uma carteira de mais de três mil clientes ativos, que
utilizam o canal email marketing como principal estratégia de comunicação entre marcas e público.
Os benefícios da tecnologia EVSSL para o sucesso do seu site
Consumidores no mundo todo buscam a cada dia novas formas de
Cuidados para com essa solução: hoje em dia existem diversas
tornar suas rotinas de compras mais simples e práticas, e a inter-
empresas que oferecem a tecnologia, ou mesmo profissionais com
net vem crescendo ano após ano como um meio preferido desse
conhecimento avançado em tecnologia que desenvolvem seus pró-
público para a aquisição de novos bens e serviços. Porém alguns
prios certificados digitais. Devido essa pluralidade, é muito difícil
cuidados são observados por quem compra na internet, e por outro
garantir quais fornecedores seguem rigorosamente às etapas de
lado, fraudadores buscam a cada dia criar novos meios de obter
verificação que são necessárias para se emitir um certificado digital,
informações confidenciais e ludibriar o consumidor online. Dessas
tornando assim possível que alguns fraudadores consigam obter
fraudes, a mais hoje em dia no Brasil é o phishing, onde o frau-
certificados digitais duvidosos no mercado para utilizarem nos sites
dador por meio de engenharia social atrai clientes a um site falso
de phishing e ludibriar o seu cliente.
praticamente idêntico ao original, coleta informações confidenciais
2- Tecnologia EV-SSL – A arma mais eficiente contra a fraude de
do cliente.
phishing - Além de exigir uma verificação muito mais extensa em
A tecnologia SSL surgiu para passar ao consumidor a confiança
relação à autenticidade da empresa que o adquire, faz com que o site
tanto em relação à autenticidade do site, quanto à privacidade das
da empresa exiba uma barra de endereços verde, dando assim um
informações trocadas entre o site e o consumidor, principalmente
sinal muito mais claro de “siga em frente” para o consumidor.
quando essas informações envolvem dados financeiros, como número de cartão de crédito e senhas. Essa tecnologia permite que as
informações trocadas sejam criptografadas, assim apenas o site
poderá decodificar esses dados.
Essa é a grande oportunidade de se diferenciar e mostrar ao seu
Para garantir a autenticidade do site, o organismo de certificação
cliente que ele pode confiar no seu site ao exibir a barra verde. Para
emissor, como a VeriSign por exemplo, deve averiguar informações
isso, você pode contar com o certificado da marca Verisign, a marca
da empresa que adquire o certificado, tais quais origem e autentici-
certificação digital líder e mais reconhecida no mundo.
dade da empresa, entre outras. Essa tecnologia vem evoluindo com
o tempo, conforme demonstrado abaixo:
1- SSL de criptografia simples ou 128 bits – Exibe o ícone do cadeado fechado ao lado da barra de endereços ou no canto inferior
direito dos navegadores, permitindo que o usuário visualize informações sobre o portador do certificado. Além disso, o site começará
com a sigla https:
1. Anti-PhishingWorking Group, December 2007
2. YouGov Research, March 2008
Por: Mauricio Kigiela
Como a segurança online impacta a rentabilidade
do comércio eletrônico
Não é de hoje que ouvimos dizer que a internet é um meio promissor para a
realização de negócios. Ano após ano, são divulgadas informações – sempre animadoras – sobre o crescimento do comércio eletrônico. Em 2009
as vendas pela internet cresceram 30 % só no Brasil, totalizando R$ 10,6
bilhões. Foram mais de 4 milhões de pessoas que fizeram a primeira compra pela internet.
Nos Estados Unidos - país mais maduro em negócios via internet - a cifra
é astronômica, o faturamento em 2009 foi de USD 155 bilhões. Nós só
estamos engatinhando por aqui.
Historicamente, nos Estados Unidos, as pessoas compram a distância; o
primeiro catálogo impresso foi lançado há mais de 250 anos. Quando surgiu a internet, as empresas apenas migraram seus catálogos de papel para
o eletrônico e a adaptação à Internet foi praticamente imediata.
No Brasil, a história é diferente:
Somos mais de 70 milhões de usuários de internet. Destes, 40 milhões
acessam suas contas bancárias pela rede mundial: digitam o código da
agência, número da conta e sua senha, para acessar dados confidenciais e
importantes para sua vida. Mas apenas 17 milhões de pessoas já realizaram
ao menos 1 compra pela internet.
Desta forma, o usuário inicia o uso da internet comparando preços, buscando informações sobre produtos, mas não compra pela internet. Acaba
realizando a compra em lojas físicas, na rua ou no shopping, muitas vezes
com a informação obtida na internet impressa em papel para garantir que
está comprando o mesmo produto, pelo mesmo preço.
Com o tempo, estes consumidores mais cautelosos, acabam recebendo
referências de experiências positivas de amigos e colegas de trabalho que
usam a internet para realizar compras.
E é aí que os lojistas virtuais precisam estar atentos: Mesmo que aquele
consumidor esteja inclinado a fazer sua primeira compra online, qualquer
item que o faça sentir inseguro é motivo para que ele cometa o drop down,
ato de abandonar o carrinho de compras com produtos, antes de realizar o
pagamento. Ou seja, venda perdida.
O CONSUMIDOR PRECISA DE UMA JUSTIFICATIVA PARA REALIZAR
A PRIMEIRA COMPRA NA INTERNET.
É por isso que os comparadores de preços informam, além do preço – é
claro – dados sobre a loja virtual, como: opiniões de outros consumidores,
rating ou classificação do seu atendimento, e certificações sobre a existência de uma empresa idônea por trás de uma loja virtual.
A pergunta que eu faço é: O que motiva mais de 23 milhões de pessoas terem coragem de checar seus extratos e pagar contas via
internet, e não realizarem compras?
Mas isso não é suficiente. 35% dos abandonos de carrinho de compras
são ocasionados pelo receio de digitar os dados de cartão de crédito, pois
hackers poderão cloná-lo e causar prejuízos ao consumidor.
Diariamente nós vemos na TV, no jornal e ouvimos de amigos que algum cartão de crédito foi clonado, que alguma conta corrente foi invadida por hackers e o dinheiro foi todo roubado ou que alguma quadrilha
realizou fraudes milionárias, tudo pela internet. Afinal, 83% dos sites
possuem algum problema de segurança que possa comprometer os dados armazenados.
OS COMPARADORES DE PREÇOS, NA SUA MAIORIA, NÃO MOSTRAM QUAIS SITES SÃO BLINDADOS CONTRA HACKERS PARA
AJUDAR OS CONSUMIDORES A ESCOLHER ONDE COMPRAR.
Para completar, a ansiedade de usar o produto imediatamente, a preocupação de não receber o produto comprado, a insatisfação de pagar pelo
frete, a incerteza de ter comprado o produto correto e a insegurança de que
hackers roubem suas informações pessoais e dados de cartão de crédito,
são decisivos para consumidores mais cautelosos não realizar compras
pela internet.
Por outro lado, a internet é um ambiente muito favorável às compras, pois
você pode fazê-la sem vendedores ficarem empurrando produtos, sem pegar transito ou pagar estacionamento, e a qualquer hora e em qualquer dia
da semana, afinal a internet nunca fecha. Mas o processo de decisão de
realizar a primeira compra via internet não é tão simples assim.
Por isso as lojas precisam promover sua segurança, exibindo selos de proteção contra hackers, demonstrar de forma clara sua política de trocas e
devoluções e principalmente como o consumidor poderá contatar a loja em
caso de problemas. Afinal, a loja é virtual, mas a compra é real.
Conforme pesquisas, 70% dos internautas compram somente se a loja
apresentar selos de segurança. Isso significa que a taxa de conversão
(percentual entre a quantidade de visitantes e a quantidade de pedidos do
website) pode ser positivamente afetada se o consumidor se sentir seguro
durante a navegação.
Segurança e credibilidade são pontos primordiais para que um site de
e-commerce tenha sucesso.
Boas vendas!