(3) selo website protegido by n-stalker
Post on 20-Aug-2015
551 Views
Preview:
TRANSCRIPT
Slide Show nº 3
O Selo “Website Protegido”
Uma serviço da N-Stalker auditando a Segurança das Aplicações Web
rev. 11/jan/11Autor: Eduardo Lanna
Selos de “percepção” de Segurança Pesquisa: Comportamento do Consumidor na Internet
� A maioria dos consumidores preocupa-se com fraudes pela internet (+ou- 80%):� O site é confiável? Quem é a empresa responsável pelo site?� Meus dados pessoais estarão seguros se usados neste site?� A tecnologia usada neste site de e-Commerce é segura?
70% dos visitantes só realizam compras em um website se � 70% dos visitantes só realizam compras em um website se identificarem nele informações sobre segurança!!!
� Selos de Certificados Digitais (SSL) não garantem segurança:� SSL só informa sobre a seção cliente/servidor, e faz criptografia dos
dados: Sim, pode haver vulnerabilidades nas páginas “https ”!
� O volume de casos de fraudes pela internet criou o cenário ideal para um novo Selo que aumentaria a confiança do consumidor...
Slide 2/12
Selos de “percepção” de Segurança Exemplo de exibição de Selos em sites de e-Commerce
O novo Selo sugere não haver vulnerabilidades explo ráveis por hackers...Mas os testes ocorrem apenas na camada da aplicação web!
� Selos de “percepção ” de segurança tem maior impacto nas vendas da PME, que no caso das Grandes Marcas... (fator confiança! )
� A estratégia de adotar este Selo deve vir apenas depois de garantir a segurança da aplicação web... (fator de risco! )
Slide 3/12
Selos de “percepção” de Segurança Percebendo melhor a segurança no e-Commerce...
Mas este Selo exibido na aplicação web pode garantir a segurança do site de e-Commerce?
Bem, nenhum Selo poderia garantir, apenas por sí, a segurança de um website de e-Commerce...
Somente ações de melhores práticas de segurança sobre cada componente e cada etapa do processo de
negócios poderia oferecer maiores garantias...
Slide 4/12
Selos de “percepção” de Segurança Percebendo melhor a segurança no e-Commerce...
Mas este Selo exibido na aplicação web pode garantir a segurança do site de e-Commerce?
A questão é: Quais destas melhores práticas de segurança sua empresa adota de forma integrada
aos fornecedores de tecnologia do seu e-Commerce?
Slide 4/12
Ecossistema do e-CommerceAs recomendações de Práticas de Segurança do PCI
São dirigidas a todas as empresas envolvidas na rede de pagamento eletrônico, e que de algum modo coletam, transportam, processam, ou armazenam os dados do portador do cartão de crédito:
para o website
Slide 5/12
para o websitede e-Commerce
Uso do Sistema redeseguraSegurança de fato requer ir além do que avalia um Selo...
� O uso do Sistema redesegura para avaliar a segurança de uma aplicação web atende aos requisitos 6, 11 e 12 do PCI-DSS.
� Certificação PCI-DSS é um processo de auditoria formal “on-site” realizado anualmente por Empresas Certificadoras do PCI (QSA)
A Segurança requer ações de melhores práticas em todos os � A Segurança requer ações de melhores práticas em todos os componentes do processo de negócio:� O Selo só aparece nas páginas do site se não forem identificadas
vulnerabilidades exploráveis pela aplicação web ;
� A aplicação web é apenas um dos elementos do processo!!!
� Não há como um Selo testar remotamente vulnerabilidades em outros componentes ou etapas do processo de negócio...
� O Selo avalia a segurança do componente mais exposto: a aplicação !
Slide 6/12
Uso do Sistema redeseguraSegurança de fato requer ir além do que avalia um Selo...
� O uso do Sistema redesegura para avaliar a segurança de uma aplicação web atende aos requisitos 6, 11 e 12 do PCI-DSS.
� Certificação PCI-DSS é um processo de auditoria formal “on-site” realizado anualmente por Empresas Certificadoras do PCI (QSA)
A Segurança requer ações de melhores práticas em todos os � A Segurança requer ações de melhores práticas em todos os componentes do processo de negócio:� O Selo só aparece nas páginas do site se não forem identificadas
vulnerabilidades exploráveis pela aplicação web ;
� A aplicação web é apenas um dos elementos do processo!!!
� Não há como um Selo testar remotamente vulnerabilidades em outros componentes ou etapas do processo de negócio...
� O Selo avalia a segurança do componente mais exposto: a aplicação !
Slide 6/12
Uso do Sistema redeseguraGerenciamento de Vulnerabilidades em Aplicações Web
Home Banking
Home Broker
e-CommerceDesenvolvedores
Recomendações de Segurança
SSL
VulnerabiltyDatabase
Corporativo: CRM, ERP, RH...
Conteúdo
Apoio a Decisão
Web ServerSecurity Officer
V-Test
Processo de Gestão
Scan Engine
Metodologias: SAST/DAST
Suporte Téc. Especializado ao Desenvolvedor (CSSLP)
“SSG”
Slide 7/12
Uso do Sistema redeseguraGerenciamento de Vulnerabilidades em Aplicações Web
Home Banking
Home Broker
e-CommerceDesenvolvedores
Recomendações de Segurança
SSL
VulnerabiltyDatabase
Ciclo
Do !Plan...
Corporativo: CRM, ERP, RH...
Conteúdo
Apoio a Decisão
Web ServerSecurity Officer
V-Test
Processo de Gestão
Scan Engine
Metodologias: SAST/DAST
Suporte Téc. Especializado ao Desenvolvedor (CSSLP)
“SSG”
Slide 7/12
CicloPDCA
Act !
Check... .
Selos de “percepção” de SegurançaO que está por trás da exibição de um destes selos?
Como saber se um Selo está de fato associado a práticas de segurança?
Como dissemos, isso depende da estratégia da empresa de e-Commerce, e se ela investe na segurança de sua aplicação web...
Vamos comparar duas abordagens distintas, e você “perceberá” a grande diferença:
Slide 8/12
� Criando “percepção ” de segurança sem ações de segurança:� O uso de um selo cria a “percepção” de segurança que influencia a
decisão do comprador (dado estatístico)
� Mas se o Selo não está associado ao uso de melhores práticas de segurança, e nem a um ciclo de melhorias:
O Selo para um “Site Selado”Uso da “percepção” de Segurança apenas para vender...
?
de segurança, e nem a um ciclo de melhorias:� O teste do selo é superficial , e com critérios pouco rigorosos!
� Não se faz gerenciamento de vulnerabilidades, só se faz testes;
� A capacidade do desenvolvedor em mitigar os riscos é limitada;
� O risco de ataques web é aumentado pela exibição deste Selo...
A “percepção” de segurança não é sustentada por processos de segurança! Há altos riscos!
Slide 9/12
� Criando uma “percepção ” sustentada por práticas de segurança:� O uso de um selo cria a “percepção” de segurança que influencia a
decisão do comprador (dado estatístico)
� O Selo é associado à práticas de segurança efetivas, certificando o gerenciamento de vulnerabilidades da aplicação web:
O Selo “Website Protegido”A “percepção” de segurança apoiada em ações práticas
o gerenciamento de vulnerabilidades da aplicação web:� Os testes são rigorosos e em todas as páginas da aplicação;
� O uso do redesegura avalia a segurança em todo o ciclo de vida da aplicação web, desde o desenvolvimento;
� A capacidade de prevenir riscos reais é potencialmente maior: Havendo vulnerabilidades, elas são corrigidas rapidamente;
A “percepção” de segurança é sustentada por um processo de segurança! Há mais proteção!
Slide 10/12
O Selo “Website Protegido” O que significa a exibição do Selo “Website Protegido”
� O selo publicado na página web é uma certificação da N-Stalkersobre a eficiência do processo baseado no uso do redesegura
� O provedor da tecnologia adota, entre outras melhores práticas, um processo de Gerenciamento de Vulnerabilidades;
� O nível de risco de transações pela aplicação web é mantido baixo O nível de risco de transações pela aplicação web é mantido baixo durante todo o seu ciclo de vida:� QA de Segurança nas etapas de Desenvolvimento;� Nível de Risco monitorado durante o uso em Produção.
� Testes regulares para identificar falhas na aplicação web são feitos a partir de 39.000 formas diferentes de ataque, em 100% das páginas;
� Quando são identificadas vulnerabilidades, o desenvolvedor inicia imediatas ações de correção sobre a aplicação web;
Slide 11/12
Departamento Comercial
Tel: +55 (11) 3044-1819
e-mail: contato@redesegura.com.br
visite: www.redesegura.com.br
Consulte-nos, e saiba mais sobre como manter a segurança de suas
aplicações web.
Autor: Eduardo Lanna
top related