Mito 6: Selos de “percepção de Segurança”

Selos de “percepção” de segurança não “blindam” o seu site contra o ataque de hackers!

Ao navegar pelos sites de e-commerce, e até por alguns sites corporativos atualmente, percebemos que muitas empresas buscam diferenciar sua oferta de negócios na internet em relação aos seus concorrentes, o que seria natural no universo competitivo da web.

Entre os esforços mais recentes de algumas empresas tem ido além do uso da tecnologia a serviço da inovação na automação do processo de negócios, na medida em que se tenta influenciar a decisão do consumidor virtual, partindo da exploração da onda de (in)segurança que pode ser experimentada por este mercado. Infelizmente, nem sempre as estratégias adotadas pelas ações do marketing destas empresas estão sustentadas por melhores práticas de segurança aplicadas e mantidas pela área de tecnologia da informação.

O consumidor final, assim como as empresas que contratam estes sistemas web para automatizar seus negócios, precisam entender o que realmente está por trás de esforços legítimos para garantir a segurança de transações comerciais pela internet. Queremos estimular um debate aberto com os provedores de tecnologia para plataformas de negócios sensíveis ao risco, especialmente no e-Commerce, para que todos abordem com mais seriedade o tema da segurança na web, em vez de deixar que o assunto seja tratado apenas como mais uma ação de marketing para melhorar os resultados de vendas.

Neste artigo discutimos o mito de que basta adotar qualquer selo de “percepção” de segurança no website para vender a mensagem de que seus usuários estarão seguros contra ataques de hackers.

Baseadas em pesquisas realizadas há aproximadamente 5 últimos anos sobre o comportamento do consumidor na internet, muitas empresas de e-Commerce concluiram que mais da metade dos consumidores (de 70% a 80%) só decidem pela compra de um produto em uma Loja Virtual quando visualizam alguns indicadores de segurança nas páginas daquele website.

Segundo aquelas pesquisas, a visualização de indicadores de segurança cria uma “percepção” de segurança no consumidor, que influencia sua decisão de converter uma consulta ao site em uma oportunidade de negócio, aumentando assim as vendas do negócio pela internet.

Como “percepção” de segurança incluem-se desde informações mais básicas, como a divulgação de endereço físico e de telefones para contato e atendimento ao Cliente, até as mais técnicas, como o uso da imagem de um selo de Secure Socket Layer (SSL), que confirmaria o uso de Certificados Digitais com Criptografia de Dados durante a comunicação de dados entre o usuário e o servidor da aplicação daquele website (protocolos SSL e HTTPS).

Mas nos últimos anos vem aumentando as notícias sobre fraudes na web, incluindo roubo e uso indevido de dados de portadores de cartões de crédito, e vários outros tipos de ataques de hackers maliciosos, inclusive sobre sites de empresas que utilizavam SSL, o que mostrou que este recurso tecnológico não bastava para convencer o consumidor sobre a segurança das transações de compra pela internet.

A partir deste novo cenário, surgia a oportunidade de um novo selo que vendesse ao consumidor uma “percepção” de segurança complementar…

Selos para um “Site Selado”

Como uma reação do mercado contra o crescente número de ataques e fraudes pela internet, visando atrair mais Clientes para a Loja Virtual, foi criada então a idéia de uma imagem para fortalecer aquela “percepção” de segurança no usuário do e-Commerce.

O aumento da “percepção” de segurança supostamente se daria pela visão de um novo “Selo de Segurança” nas páginas do website, informando que este estaria isento de vulnerabilidades exploráveis por hackers.

O uso indiscriminado deste tipo de “Selo” é criticado por especialistas em segurança na web porque muitos não cumprem exatamente o que dizem, e por isso são chamados em alguns casos de Selos para um “Site Selado”, simplesmente porque eles não tem compromisso real com a segurança da informação, mas sim com o aumento de vendas pela internet, explorando o conceito original da criação de “percepção” de segurança no consumidor.

O que muitas empresas não percebem de imediato, é que a estratégia de exibição de um suposto “Selo de Segurança” em alguns casos tem uma conseqüência inesperada: o estímulo ao ataque mais qualificado.

Ou seja, a exibição da imagem do tal Selo pode tornar-se um desafio para atrair ataques de Agentes Maliciosos dispostos a avaliar a segurança supostamente por ele certificada. O provedor da tecnologia de e-Commerce deve estar bem preparado para enfrentar o risco desta abordagem indesejada, pois o que será testado neste caso é a capacidade de seus servidores web em resistir a ataques feitos a partir da aplicação web, que é a camada mais exposta aos ataques externos e até internos.

O que na prática garante a segurança de um website é um conjunto de ações e melhores práticas de fato adotadas pelo provedor e mantenedor da tecnologia de e-Commerce, no sentido de proteger a integridade, a confiabilidade e a segurança dos dados que circulam durante a transação do seu Cliente pela sua Loja Virtual. Para isso existem melhores práticas e recomendações para infraestrutura, para processos de negócio, e para a tecnologia adotada na construção da aplicação web do e-Commerce.

Outro ponto relevante é que os testes destes Selos que criam “percepção” de segurança normalmente avaliam apenas a existência de algumas vulnerabilidades conhecidas, logo, a capacidade de avaliação e identificação de brechas na segurança tem um alcance limitado em maior ou menor grau, dependendo da tecnologia adotada, e da metodologia empregada pelo provedor da tecnologia em seu processo de testes de avaliação.

O que o consumidor desconhece é que, na maioria das vezes, os testes de alguns destes Selos não alcançam todas as páginas navegáveis do website. Por exemplo, as seções autenticadas por credenciais do usuário (área de login), que é onde muitas vezes se utilizam os dados sigilosos do Cliente para o pagamento eletrônico em um processo de compra, ou acesso à dados sensíveis de uma transação crítica.

Além disso, os testes de avaliação destes Selos costumam limitar-se à camada das páginas da aplicação web alcançadas pelo browser de um usuário, e, mesmo que alguns possam avaliar a aplicação de “patches” de segurança no servidor, ou até identificar portas abertas na rede, eles não tem como testar outras falhas exploráveis que podem ser ainda mais graves, como as que podem existir nos demais sistemas e processos integrados que tratam os dados do cartão de crédito até a conclusão de uma transação comercial, e que acontecem por trás da aplicação web da Loja Virtual com o seu Consumidor.

Analisando deste modo, podemos concluir que a tal “percepção” de segurança é na verdade mais frágil, ou no mínimo limitada, do que alguns destes “Sites Selados” querem vender…

Selos “PCI Compliance”

O Payment Card Industry Security Standards Council (PCI-SSC) foi fundado pela American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc., como um fórum global para a disseminação de padrões de segurança na proteção de dados de pagamento por meios eletrônicos.

O PCI-SSC criou o PCI Data Secutity Standart (PCI-DSS), que é um conjunto de melhores práticas que especifica 12 recomendações mínimas de segurança que serão exigidas para todas as empresas que participam da rede de captura de pagamento com cartões, o comércio, e prestadores de serviços que processam, armazenam e/ou transmitem eletronicamente dados do portador do cartão de crédito. Neste cenário incluem-se os websites de e-Commerce, a infraestrutura de tecnologia, e os processos que automatizam as vendas pela internet.

Não há como nenhum destes “Selos de Segurança” avaliar externamente a aderência de todos estes requisitos do PCI-DSS.

Empresas com um volume anual acima de 6 milhões de transações, a comprovação do atendimento ao PCI-DSS será feita através de uma auditoria “on site”, realizada por uma empresa credenciada oficialmente como Entidade Certificadora do PCI (QSA – Qualified Security Assessor). Para volumes menores a empresa pode preencher um questionário (Self-Assessment Questionnaire – SAQ) que confirma suas ações de atendimento aos requisitos do PCI-DSS.

Note: não há como testar a conformidade ao PCI-DSS através de testes externos!

O PCI também recomenda a realização de testes externos de vulnerabilidades da rede a partir de um Approved Scanning Vendor (ASV), uma vez a cada trimestre, o que é uma janela de risco um pouco grande demais em se tratando de riscos de ataques na web. Mas o PCI não reconhece estes Selos… isso é mais uma ação de marketing.

Além disso, é importante conhecer a abrangência dos testes realizados pelo tal Selo que se diz associado ao processo do ASV, ou corre-se o risco de ter apenas um Scan de Rede, enquanto se negligencia a avaliação de vulnerabilidades na camada da aplicação web, que é onde a maioria dos ataques tem se concentrado nos últimos anos.

Logo, não existe um Selo PCI Compliance oficial, ao menos por enquanto. O que existe é o uso de um apelo diferenciado de marketing que busca valorizar a informação da imagem do Selo de Segurança em relação aos demais sites de e-Commerce.

O que é realmente importante é se a empresa que decidir exibir um “Selo de Segurança” adota de fato melhores práticas de segurança recomendadas pelo mercado, e se ela é capaz de antecipar-se ao risco de ataques, e até mesmo de resistir a tentativas de ataques de agentes maliciosos pela internet.

Credibilidade do Selo

Adicionalmente, a “percepção” da segurança pelo consumidor do e-Commerce também pode ser afetada pela confiabilidade que o provedor do processo de testes de avaliação do Selo for capaz de passar pela exibição de sua imagem, também pela marca que sua imagem representa, e, principalmente, pela associação de sua imagem à certificação de melhores práticas para garantir a segurança dos usuários.

Em outras palavras, um Selo de conformidade de segurança deveria ter credibilidade e legitimidade para certificar o resultado de algumas melhores práticas de segurança sobre uma aplicação web, e não apenas servir como imagem de marketing para criar “percepção” de segurança visando o aumento das vendas. Esta certificação deve ser sustentada, e a exibição da imagem do Selo deve ser uma conseqüência do sucesso dos processos de segurança que protegem o website.

Por conta disso, recomendamos que antes de adotar um destes Selos de Segurança, os gestores de marketing da empresa conversem com os gestores da área de segurança, e procurem questionar sempre, no mínimo, o seguinte:

• O seu provedor de tecnologia de e-Commerce adota melhores práticas de segurança desde o desenvolvimento da aplicação web?

• Estas práticas incluem avaliar e monitorar a segurança da aplicação web e de seu servidor no ambiente de produção?

• Como o provedor procede se após um teste de segurança forem encontradas vulnerabilidades exploráveis na aplicação web?

• O desenvolvedor da aplicação e o provedor da infraestrutura são rápidos e eficientes ao realizar as melhorias necessárias para restaurar a segurança?

Do contrário, o que se conseguirá de fato é apenas um “Site Selado” para criar a “ilusão” de segurança para o Cliente de e-Commerce, ou um Usuário mais desavisado de uma aplicação crítica, e que pouco conhecem de tecnologia e de critérios de segurança na internet.

E isso ainda poderá aumentar os riscos de ataques ao website pela internet.

O Selo Website Protegido

Adotar um processo de Gerenciamento de Vulnerabilidades sobre as Aplicações e Servidores Web é uma melhor prática que pode garantir a melhoria contínua da segurança no ciclo de vida do desenvolvimento das aplicações web.

Em se tratando de aplicações de e-Commerce, esta prática é aderente à recomendação 6 prevista pelo PCI-DSS, além de complementar os esforços para atendimento às recomendações 11 e 12 de forma mais abrangente e consistente.

Esta prática permitirá ao provedor da tecnologia avaliar e monitorar regularmente o nível de segurança da aplicação web que sustenta seu processo de negócios no ambiente da internet, desde a homologação da qualidade das entregas do seu desenvolvedor, e durante todo o tempo de uso no ambiente de produção.

Com o Gerenciamento de Vulnerabilidades em Aplicações Web adotado com a metodologia de uso do Sistema RedeSegura, a empresa pode antecipar-se ao risco de ataques na web, na medida em que, de forma preventiva, poderá identificar uma vulnerabilidade explorável, analisar e validar a evidência de sua ocorrência na aplicação web, obter suporte técnico especializado para eliminá-la, e assim atuar rapidamente na melhoria que garantirá a segurança.

O Selo Website Protegido é uma Certificação privada da N-Stalker, empresa especialista com mais de 10 anos de experiência em segurança na internet, que avalia a eficiência deste processo como uma das melhores práticas adotadas pela empresa provedora da tecnologia da aplicação web.

Em outras palavras, se o provedor do website de e-Commerce adota esta metodologia do Gerenciamento de Vulnerabilidades para garantir a segurança dos usuários de seu website contra ataques de hackers a partir da camada da aplicação web, a N-Stalker avaliará o sucesso desta iniciativa, e a imagem Selo Website Protegido será exibida nas páginas da aplicação web.

Segurança antes de usar qualquer Selo

Deve-se garantir primeiramente, a segurança da infraestrutura de seu ambiente web, com o usod e Firewall, SSL, mas também considersar o usod e WAF (Web Application Firewall), que é um recurso novo muito útil para prevenir ataques sobre o ambiente do e-Commerce.

Mas como já dissemos no artigo do Mito 4, o WAF precisa ser bem administrado, e em sua parametrização deve considerar assinaturas de ataques que explorem tanto as vulnerabilidades conhecidas mundialmente, como aquelas exclusivamente identificadas no seu ambiente web. Para identificar tais casos de parametrização, recomenda-se adotar conjuntamente um sistema de varredura de Testes de Vulnerabilidades sobre as Aplicações e Servidores Web, como recurso para o diagnóstico contínuo do grau de risco do ambiente web.

Em se tratando de aplicações de e-Commerce, o processo de Gerenciamento de Vulnerabilidades vai além dos testes de varredura dinâmica do ambiente web, e é uma prática aderente à recomendação 6 prevista pelo PCI-DSS, além de complementar os esforços para atendimento às recomendações 11 e 12 de forma mais abrangente e consistente.

Esta prática permitirá ao provedor da tecnologia avaliar e monitorar regularmente o nível de segurança da aplicação web que sustenta seu processo de negócios no ambiente da internet, desde a homologação da qualidade das entregas do seu desenvolvedor, e durante todo o tempo de uso no ambiente de produção, em intervalos de tempo razoáveis, não superiores a 5 dias por exemplo.

Deste modo a empresa pode antecipar-se ao risco de ataques na web, na medida em que, de forma preventiva, poderá identificar uma vulnerabilidade explorável tanto na camada da aplicação web, como na infraestrutura do ambiente servidor, analisar e validar a evidência de sua ocorrência, obter suporte técnico especializado para eliminá-la, e assim atuar rapidamente na ação de melhoria que garantirá a segurança.

Em outras palavras, se o provedor do website de e-Commerce adota uma boa segurança de infraestrutura, e a complementa com um processo de Gerenciamento de Vulnerabilidades tanto na infraestrutura, como na camada da aplicação web, a imagem de um Selo de “percepção de segurança” nas páginas HTML da sua aplicação estarão pelo menos sustentadas por melhores práticas.

Pelo menos assim, seu website estará mais preparado para enfrentar tentativas de ataques de hackers, em vez de apenas se apresentar como mais um “Site Selado”.