Buscar
Cerrar este cuadro de búsqueda.
Categorías
Protección de datos

Entornos digitales seguros, ¿cómo identificarlos?

La banca y las compras por Internet son cada vez más populares. En consecuencia, también se ha acentuado la preocupación por la seguridad de los entornos digitales.

Las plataformas de banca por Internet y los comercios electrónicos deben garantizar que el intercambio de datos se realiza de forma segura, ofreciendo a sus clientes la tranquilidad de saber que sus datos (como tarjetas de crédito y contraseñas) no serán interceptados.

Cómo identifican los clientes los entornos digitales seguros

En el caso de las compras en línea, los clientes suelen elegir grandes tiendas online o seguir recomendaciones de conocidos. Esto les da la idea de que navegarán en entornos digitales seguros.

La experiencia de compra puede decir mucho sobre la fiabilidad de una tienda online, pero no lo dice todo, ya que algunos aspectos pueden ser fundamentales a la hora de identificar si ese entorno es realmente seguro para realizar este tipo de transacciones.

SSL (Secure Socket Layer) es una de las formas más utilizadas para hacer seguros los entornos digitales, ya que utiliza la autenticación para proteger el contenido del intercambio de mensajes entre clientes/vendedores, por ejemplo.

En resumen, el sitio y el usuario hacen una negociación de intercambio de claves, también conocida como apretón de manos. A continuación se describe brevemente este proceso:

  1. El cliente envía un mensaje para iniciar la negociación. Este mensaje le informa de algunos de los protocolos y cifrados que admite el cliente;
  2. El servidor envía un mensaje con el protocolo y el cifrado para iniciar la negociación;
  3. El cliente comprueba que el certificado digital del servidor es de confianza;
  4. El cliente envía un número aleatorio cifrado con la clave pública del servidor;
  5. El servidor, situado en entornos digitales seguros, recibe la información y la descifra para averiguar el número aleatorio generado;
  6. El cliente envía un mensaje de fin de negociación;
  7. El servidor envía un mensaje de fin de negociación;
  8. A partir de ese momento, el cliente y el servidor pueden chatear utilizando la clave basada en el número aleatorio cifrado.

Mediante este sistema de cifrado e intercambio de claves, SSL garantiza que:

  • Sólo el cliente puede descifrar el contenido de un mensaje cifrado.
  • Todos los datos que se intercambian en el proceso se protegen en entornos digitales seguros.
  • El cliente tiene la garantía de que el servidor es quien dice ser.

infografía HSM Moderno

Las famosas cerraduras de sitios web

Cuando se utiliza SSL, el servidor web muestra algunas características que ayudan al cliente a identificar su seguridad, como los famosos candados de las páginas web.

Estos candados suelen estar junto a la URL, lo que también puede ayudar a identificar entornos digitales seguros. Al fin y al cabo, los sitios que empiezan por “https://”(Hyper Text Transfer Protocol Secure – nótese que la “s” es de seguridad) indican entornos protegidos, y cualquier transacción que se haga en ellos estará encriptada.

Antes de realizar cualquier transacción financiera en Internet, ¡tenga en cuenta estos consejos! En otras palabras, busque el candado y compruebe que la URL empieza por “https://”.

Para conocer las soluciones de certificación digital que garantizan entornos digitales seguros, no deje de visitar el sitio web de Eval.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Google Chrome y el mensaje “Su conexión no es privada

Passados quase 2 meses desde o lançamento da versão 58 do Google Chrome, lançada em 25 de abril desse ano, ainda há muita gente por aí encontrando a mensagem “Sua conexão não é particular” com o código de erro NET::ERR_CERT_COMMON_NAME_INVALID ao acessar sites com cadeados (sites protegidos pelo protocolo SSL ou TLS).
Su conexión no es privada
Mas o que essa mensagem no Google Chrome realmente significa e como ela surgiu? Bem, primeiramente é preciso saber o que acontece quando os navegadores web acessam um site protegido por SSL.

Certificado de servidor

Há uma série de verificações de segurança nos navegadores. Dentre elas, a mais importante para os propósitos dessa explicação é a verificação da validade do certificado apresentado pelo servidor. Essa verificação tem o objetivo de determinar se o certificado apresentado pelo servidor que hospeda o site é válido. Pode-se verificar no Google Chrome, por exemplo, se o certificado foi emitido por uma Autoridade Certificadora confiável, se sua assinatura está válida, se o propósito de uso do certificado está correto, se a URL para o qual o certificado foi emitido corresponde à URL do site, etc. Vamos entender melhor: quando o navegador web acessa o servidor na URL https://www.meusite.com.br, “https” indica que deve ser utilizado o protocolo HTTPS e www.meusite.com.br indica o nome do servidor na internet. Assim, quando o protocolo SSL é ativado, o navegador web inicialmente recebe o certificado digital do servidor. Em seguida, inicia o procedimento de sua validação. Como informado anteriormente, uma das etapas da verificação é determinar se a URL do servidor é a mesma para a qual o certificado foi emitido. Por exemplo, o certificado do servidor do Google Chrome possui a informação da URL do servidor em dois locais: no campo Requerente e no campo de extensão Nome Alternativo para o Requerente:

Campo del demandante:

  • CN = *.google.com;
  • O = Google Inc;
  • L = Mountain View;
  • S = California;
  • C = EE.UU.

Nombre alternativo del campo del solicitante:

  • Nombre DNS=*.google.com;
  • DNS name=*.android.com.

Cómo validar un certificado y un servidor

Agora que sabemos parte do que acontece quando acessamos um site protegido por SSL, entra em cena o documento RFC 2818. Este documento dá instruções sobre como os certificados digitais de servidores devem ser validados. Ele nada mais é do que um tipo de especificação pública para os fabricantes de software. Na seção 3.1 da RFC 2818 é possível encontrar as duas formas de identificação da URL do servidor que podem ser utilizadas em um certificado digital:
  1. En el componente Nombre común (CN) incluido junto al nombre de la entidad solicitante (campo Asunto );
  2. Nombre alternativo para el campo de extensión Solicitante (o Nombres alternativos de asunto).
Common Name é utilizado há bastante tempo como a forma principal de identificação. Além disso, sua visualização é bem intuitiva.

Propuesta de alternativa

No início desse ano começou um extenso debate sobre a remoção do suporte a validações baseadas somente no Common Name. No lugar dele se propunha adotar o Subject Alternative Names. Podemos discutir se essa atualização está de acordo com todas as especificações necessárias, ou se realmente traz benefícios para a segurança. Entretanto esse assunto é mais abrangente e vamos deixar para uma próxima oportunidade. Nesse momento o importante é o Subject Alternative Names passou a ser obrigatório no Google Chrome. Agora é preciso que os certificados de SSL possuam a extensão Subject Alternative Names também. Do contrário, as validações de segurança realizadas pelo Google Chrome vão resultar no alerta “Sua conexão não é particular” com o código de erro NET::ERR_CERT_COMMON_NAME_INVALID. Assim, se você é responsável por servidores que apresentam esse tipo de problema com os certificados digitais, entre em contato com a Autoridade Certificadora de sua preferência e solicite um certificado contendo o campo Subject Alternative Names. Caso isso não seja possível imediatamente, mas mesmo assim você quer se livrar dessa mensagem, é possível sobrescrever o comportamento das verificações de certificados através da opção de configuração EnableCommonNameFallbackForLocalAnchors. Tome cuidado, pois como o próprio link menciona, essa opção não é recomendada. Essa opção de configuração valerá até a versão 65, sem data de lançamento prevista.

E-VAL Technology, una empresa del Grupo E-VAL

A E-VAL Tecnologia atua há mais de 12 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os seguimentos de instituições financeiras, educação e indústria. Fale conosco, os especialistas da E-VAL Tecnologia terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança da informação para a sua instituição.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel. Eval, la seguridad es un valor.

Categorías
Protección de datos

La criptografía en la práctica: lugares donde se utiliza sin darse cuenta

Si cree que la criptografía en la práctica es sólo para grandes empresas del sector financiero, se equivoca.

De hecho, la protección de datos es más importante de lo que pensamos, a menudo está justo delante de nosotros y ni siquiera nos damos cuenta. La tendencia es que pase desapercibida, lo que garantiza su eficacia.

He aquí ejemplos de la vida cotidiana que acercan la criptografía a las personas en la práctica sin que se den cuenta:

La criptografía en la práctica: está donde crees que no está

La banca por Internet tiene el cifrado como requisito fundamental

Los pagos en línea y las transacciones financieras a distancia ya son una realidad en la vida cotidiana de miles de brasileños. Sin embargo, muchos de ellos ni siquiera se dan cuenta de que se están beneficiando de la encriptación en estos servicios.

La facilidad que los sistemas de banca por Internet aportan a los usuarios es posible gracias al sistema de seguridad que adoptan los bancos para proteger sus datos.

Así, todas las transacciones están protegidas en la práctica mediante cifrado, lo que garantiza la seguridad de los datos de los usuarios.

WhatsApp

El uso de aplicaciones en dispositivos móviles es cada vez más común. Hay muchas posibilidades y una de las favoritas de los usuarios es el intercambio de mensajes rápidos.

La app de mensajería más utilizada en Brasil es WhatsApp, actualmente propiedad de Facebook. Las funciones de la aplicación son diversas y permiten, por ejemplo, intercambiar fotos, vídeos y mensajes de voz.

Todo sucede rápida y fácilmente, por lo que el volumen de mensajes es cada vez mayor.

Para garantizar que el contenido de los mensajes intercambiados a través de WhatsApp no sea interceptado, la aplicación utiliza una tecnología de seguridad que ellos mismos denominan cifrado de extremo a extremo.

La privacidad se ha convertido en un factor clave para los usuarios de la aplicación, que se enteraron de la protección mediante cifrado a través de una advertencia emitida por la aplicación.

 

El iPhone es un ejemplo de cifrado en la práctica

Mantener a salvo los datos privados es una realidad en muchos ámbitos, y en los dispositivos portátiles también lo es en la práctica con el cifrado, pero pocos usuarios son conscientes de ello.

Los smartphones de Apple son conocidos, entre otras cosas, por ofrecer una buena seguridad a sus usuarios. Este es sin duda uno de los atractivos para la legión de fans de la marca.

El hecho es que, cuando ha sido necesario, el cifrado del iPhone ha demostrado su resistencia. Como en el caso en que el FBI tuvo que romper la seguridad de un dispositivo perteneciente a un presunto terrorista.

Las repercusiones fueron grandes. O El FBI ha pedido ayuda a Apple para descifrar el cifrado del iPhone. Apple, por su parte, acudió a los tribunales para asegurar que no participó en la violación, ya que esto supondría un riesgo para la empresa: si ayuda a romper el cifrado de un cliente, ¿por qué no el de todos?

El cifrado también se produce en las redes sociales

Las redes sociales tienen sus propias políticas de seguridad para garantizar la integridad de los datos de sus usuarios. Cuando decides unirte a una red social, tienes que aceptar sus condiciones de privacidad.

Por lo tanto, usted es responsable del contenido que publique. Además, entender esta política de privacidad hace que los usuarios sean conscientes de lo que se recomienda y no se recomienda compartir allí.

Para acceder a una red social, el usuario necesita una clave de permiso, creada previamente con el sistema. Su contraseña le permite interactuar con otros usuarios, intercambiar mensajes y ver contenidos internos.

Para garantizar la seguridad, en la práctica el cifrado se aplica desde el canal de comunicación hasta cierta información del usuario que se almacena.

Acerca de Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorías
Protección de datos

Almacenamiento de datos, el riesgo de no usar cifrado

La seguridad del almacenamiento de datos es una preocupación constante, especialmente cuando se trata de información corporativa.

El sector de la ciberseguridad es responsable de decidir los procedimientos necesarios para proteger los datos de su empresa.

Además, junto con el departamento informático, el personal de seguridad tiene la difícil tarea de elegir el mejor método para almacenar los datos corporativos.

Esta tarea se complica especialmente debido a las vulnerabilidades que presenta cada método, así como a los esfuerzos necesarios para adaptar todos los procesos internos.

El almacenamiento de datos se ve afectado por robos y fugas de información

Según el sitio web Breach Level Index, desde 2013 se han robado o perdido más de 7.000 millones de datos en todo el mundo. La cifra es aterradora y crece a un ritmo considerable. Si tenemos en cuenta la media diaria, la cifra supera los 4 millones.

En otras palabras, cada minuto se roban o pierden más de 3.000 datos. Según el sitio web, la industria tecnológica es la más afectada, con un 35,19% de toda esta información.

Esto explica la preocupación del sector por la seguridad.

Para proteger el almacenamiento de datos, es habitual utilizar diversos mecanismos de seguridad. Una de ellas es el uso de la encriptación.

Además, se pueden definir algunas estrategias de protección. La más común es la protección de datos personales o empresariales sensibles, como los números de tarjetas de crédito.

Cuando se trata de proteger el almacenamiento de datos sensibles, las técnicas actuales apenas afectan al rendimiento de las aplicaciones y son casi imperceptibles para el usuario.

Otra cuestión que suele plantearse cuando hablamos de almacenamiento y cifrado de datos es dónde se guardará la clave.

Para ello, el uso de HSM es de gran importancia, especialmente con el creciente uso de la virtualización de servidores y el almacenamiento en la nube, entre otras cuestiones.

infografía

El cifrado es sin duda la forma más eficaz que tienen las empresas de proteger el almacenamiento de datos, independientemente de la estrategia de protección utilizada.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.