Pesquisar
Close this search box.
Pesquisar
Close this search box.
Facebook Instagram Linkedin

Mês: agosto 2017

Categorias
Proteção de dados

Criptografia de Dados nos Negócios, Como Funciona?

Criptografia de Dados

Você já parou para pensar sobre a quantidade de dados que sua empresa gera e armazena todos os dias? De informações financeiras a dados de clientes, cada bit é um ativo valioso que pode ser vulnerável a ataques se não for devidamente protegido. É aqui que entra a Criptografia de Dados nos Negócios.

De fato, a criptografia de dados nos negócios  está em ascensão no mundo digital devido a crescente preocupação com ativos nos projetos de transformação digital.

Estes ativos estão distribuídos nos mais diversos ambientes eletrônicos, desde máquina locais, servidores, banco de dados até dispositivos móveis.

Daí o grande desafio: como proteger?

O Que é Criptografia e Por Que Ela é Crucial para Seu Negócio?

Criptografia é a ciência e prática de proteger informações transformando-as em um código indecifrável.

Mas por que isso é tão importante?

Imagine um mundo onde qualquer pessoa pudesse acessar suas informações financeiras, estratégias de negócios ou dados de clientes.

A criptografia de Dados nos Negócios serve como um escudo robusto contra essas ameaças, garantindo que apenas pessoas autorizadas tenham acesso às informações críticas.

Segundo o ITU (International Telecommunication Union), em 2017 mais de 3,6 bilhões de pessoas utilizam internet no mundo.

Estas pessoas consomem e geram informações, com isso dá para se ter ideia da quantidade de dados trafegados.

Figura 1: Usuários na internet em milhões. Fonte ITU.

Até bem pouco tempo o termo criptografia era desconhecido pela maioria das pessoas até que aplicativos populares difundiram o conceito.

A criptografia de dados nos negócios ganha espaço nas conversas do dia a dia dos profissionais de TI, desde infraestrutura e desenvolvimento até armazenamento de dados.

Contudo, é necessário ter a devida cautela para evitar que seus benefícios não se tornem um problema para as empresas.

Sabe-se que uma vez criptografado o dado somente estará disponível para quem possuir a chave secreta para decifrá-lo.

Mas algumas dúvidas normalmente surgem neste tipo de projeto, como quais dados criptografar? Haverá perda de desempenho? Como gerenciar as chaves?

Criptografia de Dados nos Negócios,  devo usar?

Segundo o site breachlevelindex, só em 2016 aproximadamente 1,4 bilhões de dados foram vazados. Sendo que apenas 4,2% desses dados estavam criptografados, ou seja 95,8% dos dados estavam disponíveis sem nenhuma proteção.

Cibercriminosos estão sempre à espreita, procurando brechas para invadir sistemas e roubar dados. A criptografia age como um muro de fortaleza, tornando quase impossível para invasores decifrarem as informações protegidas.

Portanto é necessário estar um passo à frente no caso de falha de segurança. Isso significa colocar na estratégia da organização proteções adicionais, como a criptografia para o caso de vazamento de dados.

 

Como a Criptografia de Dados nos Negócios Protege Você

A criptografia não é apenas uma barreira contra ameaças externas, como cibercriminosos e malware; ela também protege contra riscos internos, como funcionários descontentes ou descuidados.

Ao criptografar dados sensíveis, você garante que apenas pessoas com as credenciais corretas possam acessá-los, tornando mais difícil para qualquer parte mal-intencionada comprometer a integridade dos seus dados.

Mas os benefícios da criptografia nos negócios vai além.

Conformidade Regulatória e Reputação da Marca

Cumprir com regulamentações de proteção de dados não é apenas uma questão legal, mas também uma questão de reputação.

Quando os clientes sabem que você está tomando todas as medidas necessárias para proteger suas informações, a confiança na sua marca aumenta.

Isso pode se traduzir em maior fidelidade do cliente e, eventualmente, em aumento de receita.

Integridade dos Dados e Continuidade dos Negócios

A criptografia também garante que os dados não sejam alterados durante o trânsito entre diferentes sistemas ou durante o armazenamento.

Isso é crucial para a integridade dos dados e para a continuidade dos negócios, especialmente em setores como saúde e finanças, onde a precisão dos dados é imperativa.

Vantagem Competitiva

Em um mercado saturado, ter um sistema de segurança robusto pode ser um diferencial competitivo.

Empresas que adotam medidas de segurança avançadas, como a criptografia, estão um passo à frente na atração de clientes que valorizam a privacidade e a segurança.

Implementando a Tecnologia  nos Negócios

Em princípio se pode criptografar qualquer dado, porém é importante definir quais dados são sensíveis para a organização. Os mais conhecidos são base de dados, sistemas de arquivo e máquinas virtuais.

Contudo, o que dificilmente converge é o modelo de gerenciamento das chaves criptográficas que será utilizado nos processos de proteção e recuperação dos dados.

O que estamos tentando abordar aqui é: e se a chave for perdida?

Ou ainda, o que acontece se a chave for acessada por usuários indevidos?

Se tais premissas não forem consideradas, o emprego de sistemas criptográficos, ao invés de solução se torna um grande problema para uma organização.

Assim, uma solução sólida para criptografia de dados nos negócios deve incluir a adoção de um módulo de gerenciamento de chaves que inclua controle de acesso e cópias de segurança.

Existem diversas bibliotecas que auxiliam os desenvolvedores nesta tarefa, além de equipamentos como por exemplo o HSM e a solução KeySecure da Gemalto.

Por fim concluímos que utilizar a criptografia é um caminho sem volta. No entanto, os projetos não podem desconsiderar premissas fundamentais como desempenho, gerenciamento e armazenamento seguro das chaves.

Sobre a Eval 

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.  

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.  

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.  

Eval, segurança é valor. 

Categorias
Certificados Digitais

Requisição de Certificado Digital: O que é e como é feita?

Requisição de Certificado Digital: O que é e como é feita?

A requisição é o caminho para se obter um certificado digital junto a uma Autoridade Certificadora (AC) para uma entidade final, como por exemplo, o certificado e-CPF, certificado e-CNPJ  ou mesmo um certificado de TLS/SSL para um serviço WEB.

Certificados digitais emitidos no Brasil

No Brasil o crescente número de emissões de certificados digitais se deve a novas demandas de aplicações e serviços públicos que implementam a infraestrutura de chaves públicas brasileira, também conhecida como ICP Brasil.

Certificado emitidos pela ICP-Brasil
Figura 1: Certificado emitidos pela ICP-Brasil. Fonte ITI

Com a crescente emissão de certificados digitais, aumenta também a quantidade de pessoas com dúvidas, por exemplo: como é o procedimento de emissão e quais informações é preciso fornecer?

Com esse artigo vamos responder tais questões.

Como é o procedimento de Requisição de Certificado Digital?

Este processo geralmente é executado de duas maneiras:

A primeira consiste na emissão de certificados pessoa física ou e-CPF, onde o requerente vai até uma Entidade de Registro (AR) credenciada pela AC e apresenta os documentos necessários.

O certificado pode ser gerado em um cartão criptográfico, também conhecido como smartcard, utilizando equipamentos da própria AR. Este método possui várias vantagens para o requerente, que deve se preocupar apenas com a sua documentação, não precisando cuidar de detalhes técnicos.

O segundo procedimento é aplicado aos certificados destinados a serviços, como WEB ou processamento de imagem para compensação bancária por exemplo.

Dessa forma, além de providenciar a documentação necessária, o responsável pela solicitação deve executar um procedimento um pouco mais complicado, que geralmente é constituído pelos seguintes passos:

  1. A criação do par de chaves;
  2. A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request);
  3. O envio da solicitação de certificado à autoridade certificadora através de um arquivo CSR;
  4. A associação do certificado recebido com a chave privada RSA gerada no primeiro passo.

Posteriormente à execução deste procedimento, você ainda terá que configurar o serviço para utilizar este certificado.

Agora vamos falar um pouco mais sobre este processo, a CSR e as dificuldades que talvez você possa encontrar.

Quais as informações em uma CSR gerado através de  uma Requisição de Certificado Digital?

Uma CSR (Certificate signing request) contém um conjunto mínimo de informações que permite à AC gerar o certificado para o requerente. Estas informações são:

  1. A identificação do requerente;
  2. A chave pública;
  3. Assinatura da requisição, feita com a chave privada parceira da chave pública.

A identificação do requerente é composta por vários campos:

  • CN (Common Name): nome de uma pessoa, empresa, aplicação ou URL;
  • O (Organization): nome da organização;
  • OU (Organizational Unit): departamento ou setor da empresa;
  • L (Locality): sua cidade;
  • S (State): nome do estado ou província;
  • C (Country): sigla do país com 2 caracteres.
Desafios

São inúmeras as dificuldades enfrentadas pelo usuário ao se gerar uma requisição de certificado, o que gera várias dúvidas, como:

  1. Quais os valores corretos para os campos do nome do requerente para a aplicação?
  2. Qual o tipo e o tamanho apropriado das chaves para a aplicação?
  3. Qual algoritmo utilizar para a assinatura?
  4. Qual o formato de CSR arquivo da CSR?
  5. Qual o conjunto de caracteres a utilizar? Podemos utilizar caracteres especiais, cedilha e acentos?
  6. Qual repositório de chaves utilizar?
  7. Qual ferramenta utilizar?
  8. A CSR gerada está de acordo com as normas brasileiras e as políticas de certificação da AC?
  9. Como instalar a cadeia de certificados? Ou mesmo, o que é uma cadeia de certificados?

Essas dúvidas se somam às dificuldades inerentes das ferramentas de software utilizadas para a geração do par de chaves e da requisição como:

  1. Métodos genéricos difíceis para o usuário leigo, como utilizados nas ferramentas OpenSSL e Java KeyTool;
  2. Métodos específicos para as aplicações;
  3. Métodos específicos para HSM (Hardware Security Module).
Algumas respostas

Dependendo da autoridade certificadora que emite o certificado, ou do uso a que o mesmo se destina, as questões levantadas aqui podem mudar de resposta.

Entretanto, algumas regras gerais são válidas para certificados emitidos pelas AC brasileiras: CSRs devem ser geradas com chaves de tamanho de 2048 bits e algoritmo de assinatura sha256WithRSAEncryption.

Também prefira utilizar um HSM para a guarda das chaves, pois ele provê o melhor nível de segurança.

Antes de gerar uma CSR, procure se informar sobre quais as necessidades da aplicação que utilizará o certificado e quais as exigências da AC para a emissão dele.

Verifique também, entre as ferramentas disponíveis, qual se encaixa melhor às suas necessidades e que facilita o teu trabalho, pois existem diversos sistemas que podem te auxiliar em todo o processo de geração dos certificados digitais.

Sobre a Eval 

Com uma trajetória de liderança e inovação que remonta a 2004, a Eval não apenas acompanha as tendências tecnológicas, mas também estamos em uma busca incessante para trazer novidades oferecendo soluções e serviços que fazem a diferença na vida das pessoas. 

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança de informações sensíveis e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.    

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.    

Eval, segurança é valor.  

Onde Estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho, São Paulo - SP,
CEP: 05440-000

Contato

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Facebook Instagram Linkedin
Política de Privacidade

Copyright © 2023, EVAL TECNOLOGIA EM INFORMÁTICA. Todos os direitos reservados - CNPJ 05.278.889/0001-97