Tag: criptografia de dados

Criptografia de Dados para Segurança da Nuvem: Guia Prático

Autor do post Por Editorial Eval
Data de publicação 14 de dezembro de 2020

A criptografia de dados para a segurança da nuvem tem papel fundamental na proteção contra ataques cibernéticos. Porém, ainda existem falhas.

A frequência dos ataques cibernéticos continua a aumentar, especialmente nos setores de educação, bancos, saúde e governo. Por isso a criptografia de dados para a segurança da nuvem tem sido uma prioridade.

Um motivo para este aumento é a transição do armazenamento de dados em bancos de dados locais para o armazenamento em nuvem, que é conectado por meio de tecnologias com e sem fio.

E a criptografia de dados para a segurança da nuvem tem sido fundamental nessa fase de transição.

Embora as plataformas em nuvem apresentem uma maneira conveniente de armazenar grandes bancos de dados que contêm registros de clientes, funcionários, financeiros e de vendas, os hackers podem explorar os pontos fracos dos sistemas de computação em nuvem e obter acesso não autorizado, representando o pacote como tráfego local.

Os cibercriminosos têm como alvo as organizações não apenas com data centers locais, mas também aquelas com ambientes hospedados em plataformas de computação em nuvem.

Infelizmente, regras fortes de firewall não são suficientes para proteção contra ataques cibernéticos e fornecer a autenticação e autorização necessárias para segurança operacional proteção contra ataques cibernéticos. Sendo necessário um teste rigoroso e validação de segurança no nível do banco de dados e do aplicativo.

É crucial proteger os dados armazenados quando em repouso, onde os dados permanecem em um dispositivo permanentemente, e em trânsito, e quando eles são movidos de um local ou rede para outro local / rede.

Para complicar as coisas, os hackers usam ferramentas e técnicas modernas para obter acesso não autorizado aos dados dentro de uma organização, na Internet ou armazenados em serviços de computação em nuvem.

Portanto, criptografia de dados e a autenticação, implementação de certificados SSL e conexões SSL são essenciais. Igualmente importante é estabelecer políticas que restrinjam o acesso não intencional a ambientes e validação regular de identidade e gerenciamento de acesso.

Percebendo os benefícios da autenticação e criptografia de dados para a segurança da nuvem

Basicamente, a criptografia de dados para a segurança da nuvem protege informações confidenciais e privados misturando blocos de dados de texto em um código secreto. Uma chave de descriptografia é necessária para decodificar a criptografia.

Diferentes algoritmos, incluindo DES, AES e RSA, transformam os dados em um formato ilegível, chamado texto cifrado. O texto cifrado é transmitido ao receptor com chaves de descriptografia públicas e privadas para descriptografar os dados.

O receptor descriptografa o texto cifrado usando ambas as chaves para transformá-lo em um formato legível.

A autenticação de dados é um mecanismo de comunicação de rede complexo que mantém o não-repúdio e a integridade dos dados. Os métodos de autenticação de dados comuns incluem:

Autenticação de senha

Os usuários devem inserir uma senha para obter acesso aos dados, o que mantém os dados protegidos contra acesso não autorizado. Senhas complexas usando uma combinação de números, letras e caracteres especiais são usadas para dados mais seguros e para reduzir ainda mais o risco.

Esse é apenas o primeiro passo para garantir a proteção contra ataques cibernéticos com uso da criptografia de dados para a segurança da nuvem.

Autenticação de dois fatores

Uma senha de uso único (one-time password – OTP) é enviada ao número do celular ou e-mail do usuário. Se for o usuário original, o acesso aos dados é aprovado após a entrada deste OTP.

Os hackers que tentam obter acesso não terão este OTP, o que significa que o acesso aos dados é negado e a conta é bloqueada temporariamente para salvar os dados de ataques.

Autenticação de token

Um token é enviado ao servidor de rede para autenticação. O servidor verifica as credenciais do dispositivo e aprova ou nega a autenticação.

Verificação do bit de paridade

Essa técnica forte e comumente usada também é conhecida como verificação de redundância cíclica (cyclic redundancy check – CRC) e garante a transmissão de dados precisa.

Um código CRC é adicionado ao final da mensagem de dados antes da transmissão. No ponto de destino, o receptor obtém os dados com o código CRC e os compara com o código original. Se os valores forem iguais, os dados foram recebidos corretamente.

Os certificados SSL ( Secure Sockets Layer ) fornecem criptografia de dados usando algoritmos específicos. Esses certificados garantem a segurança da transmissão de dados de atividades maliciosas e software de terceiros.

Dois tipos de mecanismos são usados para criptografar os certificados: uma chave pública e uma chave privada.

A chave pública é reconhecida pelo servidor e criptografa os dados. O SSL mantém os dados criptografados até que o usuário conclua o processo de comunicação. Os dados só podem ser descriptografados pela chave privada.

Se um hacker conseguir hackear os dados durante o processo de comunicação, a criptografia tornará os dados inúteis. SSL é recomendado como um padrão internacional para transmissão segura de dados em sites.

Melhores práticas para proteção contra ataques cibernéticos com uso da criptografia de dados

As organizações podem empregar várias abordagens comprovadas para proteger seus dados ao usar a criptografia de dados para a segurança da nuvem. Eles incluem:

Desenvolver uma chave de criptografia e um plano de gerenciamento de acesso para garantir que os dados sejam descriptografados quando o acesso aos dados for necessário. Os principais processos de gerenciamento devem estar implementados para evitar a divulgação não autorizada de dados ou a perda irrecuperável de dados importantes;
Certificar de que os mecanismos de criptografia estejam em conformidade com as leis e regulamentos aplicáveis. Qualquer compartilhamento de dados criptografados, exportação ou importação de produtos de criptografia de dados (por exemplo, código-fonte, software ou tecnologia) deve estar em conformidade com as leis e regulamentos aplicáveis dos países envolvidos;
Definir os níveis de acesso aos dados. Monitor e registrar atividades de acesso inadequadas para reduzir ocorrências de ameaças internas. Exclua as contas de ex-funcionários imediatamente após a separação da empresa;
Treinar todos os funcionários no tratamento de dados confidenciais usando a tecnologia mais recente e certifique-se de que eles entendam como os sistemas usam essas informações.

Criptografia de dados para a segurança da nuvem: erros que sua empresa deve evitar

O maior equívoco sobre segurança cibernética é que as empresas pensam que estão completamente protegidas de ataques porque realizaram grandes investimentos implementando protocolos de segurança.

Esquecem-se de que sempre há vulnerabilidades que os deixam expostos a riscos, podendo resultar em danos irrecuperáveis. Com o advento do armazenamento em nuvem, muitas empresas foram levadas a acreditar que simplesmente mudar para a nuvem garante a proteção contra ataques cibernéticos.

E embora seja certamente um local seguro para armazenar os dados confidenciais de uma empresa, não é uma fortaleza impenetrável, por isso a importância da criptografia de dados para a segurança da nuvem.

Além disso, algumas empresas permanecem com tecnologias mais antigas sem atualizar para avanços mais novos e mais seguros, o que as deixa ainda vulneráveis a riscos de segurança.

As empresas podem aproveitar aspectos de segurança inovadores para ajudá-las a mitigar ameaças à segurança. As redes definidas por software podem fornecer segurança automatizada no nível do hardware por meio de roteadores e switches.

As ferramentas de gerenciamento de configuração fornecem um método conveniente para gerenciar e automatizar as configurações de segurança.

É hora de as empresas que investem em sistemas de computação em nuvem também investirem em tornar seus sistemas de segurança cibernética mais seguros, confiáveis e robustos contra ataques cibernéticos com uso da criptografia de dados.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção Contra Ataques Cibernéticos. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia de dados, proteção de dados, segurança da nuvem

Gestão de Documentos e Contratos

Gerenciamento de chaves: prós e contras do Excel

Autor do post Por Editorial Eval
Data de publicação 23 de novembro de 2020

O planejamento estratégico e a gestão empresarial são essenciais para o sucesso de qualquer instituição. E, como você sabe, essas áreas precisam de informações válidas para tomar decisões . Um aspecto muito importante é o gerenciamento de chaves para a segurança e proteção de dados.

Por isso, escolher as ferramentas certas para inserir, rastrear, analisar e armazenar dados ajudará os administradores e gestores a fazerem as melhores escolhas para os negócios da instituição de saúde.

Uma das formas mais conhecidas deste processo de organização e gerenciamento é o uso de planilhas eletrônicas, a exemplo do Excel.

As planilhas são populares entre os gestores, especialmente aqueles que gostam de coletar e rastrear dados. Porém, existem algumas limitações que mostram que elas não são a melhor opção para fazer a gestão de um negócio.

Questões como segurança, proteção de dados, gerenciamento de chaves e assinaturas digitais, colocam em xeque a eficiência do Excel como ferramenta para administrar instituições de saúde.

Acompanhe o artigo e saiba mais!

As vantagens do Excel para o planejamento e a gestão

Não há nada de errado com as planilhas. Inclusive, são ferramentas excelentes para muitos trabalhos diferentes como o planejamento e a gestão das instituições de saúde. Por isso, começaremos mostrando o seu lado positivo.

Organização de dados

As planilhas são frequentemente usadas como ferramentas para coletar e organizar dados. As informações podem ser facilmente colocadas em colunas e linhas e depois classificadas por tipo.

Uma grande coleção de dados pode ser avassaladora para a visualização em seu estado bruto. Entretanto, as ferramentas do Excel permitem ao usuário criar apresentações onde as informações são analisadas e conectadas à gráficos ou tabelas de pizza. Assim a interpretação se torna mais fácil.

Simplificação de cálculos

Ninguém gosta de gastar todo o seu tempo no trabalho fazendo cálculos repetitivos. Portanto, o grande atrativo do Excel é que ele faz toda a matemática para o gestor.

Quando uma fórmula é gravada e o programa executa um comando, é fácil realizar cálculos complexos para os dados inseridos. Assim os usuários podem, por exemplo, fazer perguntas do tipo “e se” e obterem respostas facilmente, deste modo, não é necessário refazer contas.

Na prática, se a planilha estiver configurada para calcular o seu lucro bruto, quando qualquer variável for alterada, ela recalcula com base nas novas informações.

Acesso múltiplo ao usuário

Em um ambiente de trabalho colaborativo, é comum que vários usuários precisem acessar os mesmos documentos.

As planilhas do Excel podem ser compartilhadas, mas só um colaborador pode alterar os dados de cada vez. Então, se cópias locais forem feitas e atualizadas, outros não terão acesso às novas informações.

Apesar da vantagem, vale destacar que não há histórico de arquivos. Portanto, em qualquer momento que alguém realizar alterações, as informações anteriores serão perdidas.

Por esse motivo, podemos considerar uma vantagem parcial.

As desvantagens do Excel na administração de uma empresa

Entramos na era do Big Data e da Transformação Digital, na qual as instituições de saúde percebem o valor dos dados em diversas áreas que atuam.

Cada vez mais hospitais, laboratórios, convênios e consultórios entram na onda dos dados e, em seguida, usam ferramentas desatualizadas para tentar visualizar e comunicar essas informações. Assim, a exemplo de planilhas Excel, a tendência é que ocorra a degradação de planejamento e gerenciamento.

Além disso, os riscos relacionados a segurança e proteção de dados surgem como um fator decisivo para se adotar ferramentas apropriadas de gestão. Vejamos algumas dessas desvantagens.

Vulnerabilidade a fraudes

De todas as desvantagens da planilha, essa, talvez, seja a mais prejudicial. Manipulações fraudulentas nos arquivos de Excel já resultaram em perdas bilionárias. A principal consequência é a falta inerente de controles, tornando muito fácil alterar fórmulas, valores ou dependências sem ser detectado.

Suscetibilidade a erros humanos triviais

Embora a fraude seja sempre uma ameaça para as planilhas, há uma coisa mais significativa que deve fazer com que você considere seriamente se livrar desses sistemas desatualizados: a sua extrema suscetibilidade a erros humanos triviais.

Sinais negativos perdidos e linhas desalinhadas podem soar inofensivos. Contudo, quando eles comprometem a confiança dos pacientes ou até mesmo causam perda ou desperdício de dinheiro, é hora de avançar para alternativas melhores.

Não conformidade regulamentar

Um grande desafio para as empresas é a conformidade regulatória e não falamos apenas de uma ou duas regulamentações.

São exemplos como Serbanes-Oxley (SOX), Basiléia II, GDPR e Lei Geral de Proteção de Dados (LGPD) que impedem a adoção de sistemas de gestão no formato de planilhas eletrônicas.

Inadequação ao mercado digital

Estamos em uma época em que grandes transformações moldam e reformulam o cenário de funcionamento de gestões das instituições de saúde.

Normalmente, as planilhas são criadas por pessoas que não têm o menor conhecimento sobre a documentação do software. Dessa maneira, os arquivos se tornam aplicativos altamente personalizados desenvolvidos pelo colaborador.

Então, quando chega a hora de uma nova pessoa assumir, o recém-chegado pode ter que começar do zero.

A lista de desvantagens se estende por vários outros motivos: ineficiência na tomada de decisões, continuidade de negócios, consolidação de informações etc. Outro ponto que vale destacar tem relação direta com segurança e proteção de dados.

A exemplo do gerenciamento de chaves, a proteção de dados deve ser uma prioridade

Na lista de desvantagens apresentadas, você deve ter percebido itens relacionados a fraude e a conformidade.

Para garantir segurança das informações, a criptografia é uma maneira eficaz de proteger dados. No entanto, as chaves precisam ser utilizadas por meio de soluções adequadas.

O gerenciamento de chaves, por exemplo, não é possível através de planilhas no Excel. As chaves de criptografia devem ser cuidadosamente gerenciadas garantindo que os dados permaneçam protegidos e acessíveis quando necessário.

Neste sentido, o gerenciamento centralizado e seguro de todos os tipos de dados em uma empresa deixa de ser um sonho e se torna uma realidade estratégica.

É importante que os dados da sua instituição estejam seguros para todos os trabalhadores, pacientes e gestores. Assim todos os negócios prosseguirão avançando na era digital com segurança.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia de dados, Excel, gerenciamento de chaves

Proteção de dados

Gestão de Chaves Criptográficas na Saúde: Um Desafio Real

Autor do post Por Editorial Eval
Data de publicação 15 de outubro de 2020

Como gerenciar chaves de criptografia no setor de saúde

O uso de criptografia e a gestão de chaves criptográficas na saúde para proteção de dados em repouso ou de meios de comunicação é uma realidade para as instituições médicas e os usuários de serviços como armazenamento em nuvem, troca de mensagens e muitos outros.

Entretanto, para os responsáveis por estes serviços são apresentadas muitas opções de mecanismos criptográficos e, consequentemente, há muitas escolhas a serem feitas.

Escolhas inadequadas na gestão de chaves criptográficas na saúde podem resultar em pouco ou nenhum ganho, até mesmo perdas, criando uma falsa sensação de segurança nos dados de uma instituição de saúde.

Por exemplo: criptografar uma base de dados e manter a chave criptográfica em um arquivo no servidor.

Neste artigo pretendemos abordar alguns aspectos relevantes para a segurança da informação de dados na área da saúde que estão relacionados às chaves criptográficas.

Com isso mostraremos a importância do correto gerenciamento delas para a programação dos serviços criptográficos.

Para facilitar o entendimento, dividiremos o artigo em três partes. Iniciando com os conceitos básicos sobre criptografia, serviços criptográficos e, por último, gerenciamento de chaves criptográficas.

Gestão de Chaves Criptográficas na saúde e Criptografia de Dados

A criptografia consiste em um conjunto de princípios utilizados para garantir a segurança da informação de uma instituição na área da saúde.

Para isso, a gestão de chaves criptográficas na saúde emprega técnicas para transformar uma informação (cifrar) em outra (criptograma) que é legível apenas para quem conheça o segredo (chave secreta).

Mantendo este segredo seguro, impedimos que pessoas não autorizadas tenham acesso à informação original (decifrar).

Segredo

A segurança dos serviços criptográficos é baseada no segredo da chave criptográfica, que permite cifrar e decifrar, e não no método de transformar a informação, ou seja o algoritmo utilizado, que deve ser público.

Chaves simétricas e assimétricas

Em criptografia existem dois tipos básicos de algoritmos: os de chave simétrica e assimétrica. Os primeiros utilizam uma única chave para cifrar e decifrar os dados, enquanto os segundos adotam par de chaves, sendo uma para cifrar e a outra para decifrar.

Serviços criptográficos

Não há, de fato, um método 100% nem para área da saúde ou qualquer outra, mas algumas orientações podem ajudar a reduzir ou prevenir ataques.

Um dos primeiros passos a ser levado em consideração é a confidencialidade dos dados de cada paciente. Usar uma rede em que somente pessoas autorizadas tenham acesso.

A busca por um armazenamento especial dos seus dados também é uma das formas de evitar o vazamento de dados. Existem armazenamentos que podem ajudar a segurança digital na área da saúde neste quesito.

Como citamos acima, fica claro que a criptografia e a gestão de chaves criptográficas na saúde são as maneiras mais eficientes de prevenção a roubos de dados na área da saúde.

Seja para proteger os dados em repouso, ou seja, que estão armazenados, ou mesmo para proteger dados em trânsito, ou seja, que trafegam na rede, aliados a um rígido controle de acesso são essenciais para ajudar o hospital a manter os dados protegidos.

Vale lembrar que é super importante a proteção de perímetro com firewall em sua rede e também a proteção de desktop/servidores com antivírus, dentre tantas outras ferramentas.

Confidencialidade

Segundo estudos ataques por email cresceram 473% de 2017-2019 só para a área da saúde. A manutenção de sistemas legados desatualizados é uma das razões para esse volume intenso de ataques.

Já outro estudo realizado estima que os gastos apenas com publicidade, por conta do risco de imagem, aumenta 64% em hospitais que sofrem vazamento de dados.

A confidencialidade tem que começar com a adoção de um Prontuário Eletrônico do Paciente (PEP), que além de centralizar os dados médicos de cada atendimento (histórico completo), facilita o alcance de acreditações de prestígio no setor, como HIMSS (Health Information and Management Systems Society), ligada às boas práticas de TI em saúde.

É preciso de treinar sua equipe permanentemente para evitar acessos indevidos e usos inadequados das aplicações fornecidas dentro da instituição.

A confidencialidade dos dados por meio de criptografia, da gestão de chaves criptográficas na saúde e com o devido controle de acesso, também garante que as informações não possam ser visualizadas por terceiros e que apenas pessoas autorizadas tenham acesso a elas.

Integridade

O técnica para garantir a integridade é em resumo, quando uma determinada informação não seja modificada de maneira não autorizada após a sua criação, durante a transmissão ou o armazenamento.

Seja a alteração acidental ou intencional, a inserção, remoção ou substituição de dados deve ser detectada. Mecanismos criptográficos como o resumo criptográfico, também conhecido como hash e a assinatura digital fornecem o suporte para este serviço.

Autenticação

O serviço de autenticação verifica a identidade de um usuário com objetivo de ter uma certa segurança de que a pessoa é quem diz que ela é mesmo. Existem diversos mecanismos de autenticação, usuário e senha é um modelo bem conhecido, mas também é a autenticação utilizando um certificado digital.

No modelo de certificado digital, pode-se utilizar o protocolo SSL, ou mesmo as assinaturas digitais do login como um modelo de autenticação. O certificado digital é interessante que use do modelo ICP-Brasil ou outra que a organização confie, tal como, Autoridade Certificadora Interna.

Nas Autoridades Certificadoras ICP-Brasil, é no processo de emissão do certificado digital que a pessoa necessita comparecer a uma validação presencial, agora também há a modalidade remota, com documentos originais que comprovem a identidade do requerente.

Irretratabilidade

O serviço de irretratabilidade fornece os meios para garantir que quem criou uma informação não possa negar a autenticidade dela, ou pelo menos que seja difícil de negar.

Neste sentido, está ligada à assinatura digital, na qual o proprietário da chave privada não pode negar que a realizou para um determinado fim.

Autorização

Adicionalmente, após a autenticação, é possível utilizar a informações do usuário autenticado no sistema para definir a autorização as informações. O serviço de autorização fornece a aprovação ou permissão para a execução de uma atividade.

Como exemplo, o serviço de autorização pode ser empregado para definir as permissões de uso de uma chave criptográfica que, consequentemente, permitiria o acesso a uma determinada informação.

Gestão de chaves criptográficas na saúde

As chaves criptográficas são o fundamento da criptografia e nestas reside a segurança dos dados cifrados. Brechas podem levar ao comprometimento das chaves e, consequentemente, ao vazamento de informações sigilosas como o prontuários de pacientes.

O aumento no uso da criptografia para proteção de dados nas instituições da área de saúde, principalmente devido à regulamentação do governo, faz com que estas tenham que lidar com múltiplas soluções para cifrar dados, vide a LGPD.

Por conta da diversidade de fornecedores, as organizações também precisam definir vários procedimentos para gerenciar as chaves criptográficas, sendo que nem sempre eles são adequados.

O gerenciamento de chaves criptográficas consiste em armazenar, proteger, organizar e garantir o uso adequado delas, gerir seu ciclo de vida e manter cópias de segurança de forma segura e consistente.

Armazenamento seguro das chaves

As chaves devem ser armazenadas de forma segura, ou seja, cifradas e com controle de acesso.

A criptografia deve ser preferencialmente realizada por meio de chaves (KEY) protegidas em um hardware criptográfico, de preferência.

Identificação das chaves

Deve ser possível identificar uma chave, seu tipo, sua finalidade, quem está autorizado a utilizá-la e o período de uso.

Ciclo de vida das chaves criptográficas

O ciclo de vida das chaves criptográficas deve ser controlado para que elas sejam utilizadas de forma adequada durante o período de validade — ou seja, somente pessoas ou sistemas autorizados podem utilizá-las durante um tempo pré-definido e com mecanismos seguros para que não haja comprometimento.

Assim descreveremos o ciclo de vida das chaves, segundo recomendação NIST.

O ciclo de vida de uma chave inicia com a geração e finaliza com a destruição, passando por um ou mais dos estados descritos a seguir:

geração: momento de criação da chave, que ainda não está pronta para uso;
pré-ativação: a chave foi gerada, mas ainda não está pronta para uso, porque aguarda o período de utilização ou a emissão de um certificado;
ativada: a chave está disponível para uso;
suspensa: o uso da chave está suspenso temporariamente. Neste estado, ela não pode mais realizar operações de cifra ou assinatura, mas pode ser utilizada para recuperação de dados ou verificação de assinaturas realizadas anteriormente.
inativada: a chave não pode ser mais utilizada para cifra ou assinatura digital, sendo mantida para o processamento de dados cifrados ou assinados antes da inativação.
comprometida: indica que a chave tem a sua segurança afetada e não pode mais ser usada em operações criptográficas. Em alguns casos, como nas chaves simétricas, pode ser utilizada para recuperar os dados cifrados para posterior cifra com outra chave.
destruída: este estado indica que uma chave não é mais necessária. A destruição da chave é o estágio final e pode ser atingido devido ao fim do ciclo de uso dela ou do comprometimento de sua segurança.

De uma maneira geral, tanto as instituições de saúde e todas as organizações devem se concentrar na melhoria contínua e, ao mesmo tempo, gerenciar seus riscos a um preço compatível com sua realidade.

As empresas devem avaliar criticamente a forma como proteger seus sistemas. Devem também considerar as “causas-raiz” dos incidentes de segurança em seus ambientes como parte de uma avaliação de riscos.

À medida que os sistemas se tornam mais seguros e as instituições adotam medidas efetivas para gerenciar seus processos, a gestão de chaves se torna cada vez mais essencial. Proteger os dados de uma instituição de saúde é fundamental para a segurança das informações de seus pacientes.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags chaves criptográficas, criptografia de dados, ICP Brasil, PEP, Prontuário Eletrônico do Paciente

Proteção de dados

Transmissão Segura de Dados: 10 Dicas Para sua Empresa

Autor do post Por Editorial Eval
Data de publicação 27 de novembro de 2019

10 recomendações vitais para a transmissão segura de dados

A proteção dos dados utilizados nas operações de negócio é um requisito essencial para as informações confidenciais de uma organização. É nesse momento que transmissão segura de dados , junto com a criptografia de dados entram em ação.

Usuários mal-intencionados podem interceptar ou monitorar dados de texto sem formatação transmitidos por uma rede ou através de mídia removível e dispositivos móveis não criptografados.

Assim eles conseguem acesso não autorizado, comprometendo a confidencialidade dos dados considerados sensíveis e estratégicos. Por isso a transmissão segura de dados é tão importante.

A proteção nesses casos é feita com algoritmos criptográficos que limitam o acesso aos dados apenas para quem detém o recurso de criptografia adequado e sua respectiva descriptografia.

Além disso, algumas ferramentas criptográficas modernas também permitem a condensação ou compactação de mensagens, economizando espaço de transmissão e armazenamento.

Convergimos a necessidade de proteger transmissões de dados junto com os recursos tecnológicos existentes. Assim, separamos 10 recomendações consideradas vitais para se ter sucesso em todo o processo de envio e recebimento de dados.

Cibercriminosos podem comprometer a confidencialidade das informações durante uma transmissão de dados

Os dados considerados sensíveis ou restritos em relação à proteção de dados devem ser criptografados quando transmitidos por qualquer rede.

Isto deve ocorrer a fim de se proteger contra a interceptação do tráfego da rede por usuários não autorizados. Ataques desse tipo também são conhecidos como Man-in-the-middle, clique aqui para saber um pouco mais.

Nos casos em que os dispositivos de origem e de destino estão dentro da mesma sub-rede protegida, a transmissão de dados ainda deve ser protegida com criptografia, devido ao potencial de alto impacto negativo de uma violação e roubo de dados.

Além disso, colaboradores tendem a ter uma preocupação menor quando estão dentro de um ambiente “controlado”, acreditando estarem seguros contra ataques.

Os tipos de transmissão podem incluir comunicação entre cliente e servidor, além de servidor para servidor. Ainda se pode incluir transferência de dados entre os sistemas principais, entre os sistemas de terceiro ou transmissão P2P dentro de uma organização.

Adicionalmente, quando usados para armazenar dados restritos, mídias removíveis e dispositivos móveis também devem utilizar criptografia de dados sensíveis adequadamente, seguindo as recomendações de segurança. Dispositivos móveis incluem laptops, tablets, tecnologia vestível e smartphones.

E-mails não são considerados seguros, e por padrão não devem ser usados para transmitir dados sensíveis, a menos que ferramentas adicionais de criptografia de dados desses serviços sejam usadas.

Ao tentar proteger dados em trânsito, o profissional de segurança deve considerar as seguintes recomendações para projetar a transmissão segura de informações:

Melhores recomendações

Onde o dispositivo (seja ele cliente ou servidor) é acessível via interface web, o tráfego deve ser transmitido através do Secure Sockets Layer (SSL), usando apenas protocolos de segurança fortes e segurança da camada de transporte;
Os dados transmitidos por email devem ser protegidos usando ferramentas de criptografia de email com criptografia forte, como S/MIME . Como alternativa, antes de enviar um email, os usuários devem criptografar dados usando ferramentas de criptografia de dados de arquivo compatíveis e anexá-los ao email para transmissão;
O tráfego de dados não cobertos pela web browser deve ser criptografado via criptografia no nível do aplicativo;
Caso um banco de dados de aplicativos esteja fora do servidor de aplicativos, todas as conexões entre o banco de dados e o aplicativo também devem utilizar criptografia com algoritmos criptográficos compatíveis com os padrões de segurança e proteção de dados recomendados;
Quando a criptografia em nível de aplicativo não estiver disponível para tráfego de dados não coberto pela Web, implemente a criptografia em nível de rede, como encapsulamento IPsec ou SSL;
A criptografia deve ser aplicada ao transmitir dados entre dispositivos em sub-redes protegidas com fortes controles de firewall;
Desenvolva e teste um plano de recuperação de dados apropriado;
Siga os requisitos recomendados para a criação de senha fortes que devem estar definidas na polícia de segurança da organização. Além disso, adote alguma ferramenta de gerenciamento para armazenar os dados de acesso e as chaves de recuperação;
Depois que os dados forem copiados para uma mídia removível ou dispositivo móvel, verifique se eles funcionam seguindo as instruções para ler dados utilizando criptografia. Aproveite também para incluir no seu plano de recuperação e contingência testes de abertura de backup que foram criptografados;
Quando desacompanhada, a mídia removível (ou dispositivo móvel) deve ser armazenada em um local seguro, com acesso limitado aos usuários conforme a necessidade. E fique atento com as chaves que foram utilizadas para cifrar o backup.

Suporte e políticas internas também são muito importantes

A última recomendação é ter uma documentação de suporte adequada para todo esse processo de transmissão de dados.

Políticas e processos de segurança precisam ser validados através de testes frequentes que possam garantir a eficiência de todos os procedimentos a serem executados.

Por fim, não esqueça de criar uma política de conscientização feita para os funcionários da empresa.

Adote treinamentos e campanhas que demonstrem a importância de seguir as políticas e processos de segurança e proteção de dados da organização.

Ferramentas de criptografia de dados para suporte a transmissão segura

A criptografia de ponta a ponta geralmente é realizada pelo usuário final dentro de uma organização. Os dados são criptografados no início do canal de comunicações, ou antes, através de mídia removível e dispositivos móveis.

Dessa forma eles permanecem criptografados até serem descriptografados no final remoto.

Para auxiliar nesse processo, o uso de ferramentas de criptografia fornece o suporte necessário para a transmissão segura de dados.

Há várias ferramentas para criptografar dados, mas é importante se atentar principalmente para o gerenciamento das chaves. Pois se você descuidar e perder a chave, você perderá o conteúdo que foi cifrado também.

Por isso, sempre indicamos o uso correto de equipamentos e plataformas que façam a gestão das chaves, do seu ciclo de vida, assim como do controle de acesso.

Afinal, com um uso mais abrangente o gerenciamento pode ficar complicado utilizando apenas planilhas de Excel.

O desafio de trafegar dados

Um dos principais objetivos ao longo da história, tem sido mover mensagens por vários tipos de canais e mídias. A intenção sempre foi impedir que o conteúdo da mensagem fosse revelado, mesmo que a própria mensagem fosse interceptada em trânsito.

Se a mensagem é enviada manualmente, por uma rede de voz ou pela internet, a criptografia moderna fornece métodos seguros e confidenciais para transmitir dados.

Além de permitir a verificação da integridade da mensagem, para que quaisquer alterações na própria mensagem possam ser detectadas.

Em suma, a adoção da criptografia deve ser uma prioridade para todas as empresas, independente de seu segmento de atuação ou porte. Atualmente, a proteção de dados se tornou fundamental para o sucesso de qualquer negócio e por isso não pode ser ignorada por nenhuma organização.

Por fim, leia mais sobre proteção e privacidade de dados em nosso blog e saiba como aplicar a tecnologia de criptografia de forma eficaz em sua empresa entrando em contato com os especialistas da Eval.

Estamos à disposição para tirar suas dúvidas e ajudar a definir as melhores formas de proteger sua organização contra vazamento e roubo de dados.

Sobre a Eval

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia de dados, proteção de dados, transmissão de dados

Proteção de dados

Proteção de dados com criptografia: um desafio para empresas

Autor do post Por Editorial Eval
Data de publicação 27 de novembro de 2019

homem digitando no computador e na tela aparece um cadeado aberto indicando que a segurança digital está desprotegida

Proteção de dados com criptografia, considerada um dos controles de segurança mais reconhecidos e largamente implantados hoje, ainda é um grande desafio para as empresas. De acordo com a empresa americana Vera Security, apenas 4% das violações de dados são consideradas “seguras”, onde a criptografia torna inúteis os arquivos roubados.

A criptografia geralmente é comprada e implantada com objetivos relacionados a conformidade de requisitos. Ou seja, normalmente ela não está alinhada para enfrentar riscos de segurança do mundo real, como roubo de dados e excessos acidentais de funcionários.

De fato, aplicar a tecnologia de criptografia de forma eficaz é um dos principais desafios que as organizações enfrentam para alcançar o desempenho satisfatório na proteção de dados.

Para se ter uma ideia da situação, dados apresentados em uma pesquisa feita pela Vera Security mostram que 61% dos entrevistados acreditam que a conformidade direciona a necessidade de criptografia, não a proteção de dados dos usuários.

Dessa forma, aumenta-se ainda mais a desconexão entre criptografia e segurança.

O relatório também cita implantações de criptografia orientadas ao perímetro como uma das principais razões pelas quais os investimentos em proteção de dados com criptografia das organizações estão desalinhados com a forma como os funcionários e parceiros de negócios realmente usam dados críticos.

O desafio da proteção de dados com criptografia por todo o ciclo de vida do negócio

Para profissionais especializados em segurança, privacidade e risco, a velocidade e a escala de como os dados se movem pelas organizações e seus parceiros hoje em dia são os fatores que mais aumentam a necessidade da proteção de dados.

Principalmente no atual ambiente colaborativo pós-nuvem, as organizações devem investir na proteção de dados com criptografia por todo o ciclo de vida do negócio.

A abordagem principal é usar a segurança de arquivos com criptografia sempre ativos para proteger os dados durante sua vida útil. Assim se mantém a conformidade com as legislações e regulamentos existentes. Essa estratégia visa fornecer criptografia forte, controle de acesso em tempo real e gerenciamento de políticas definido.

Outro dado importante do relatório mostra que quase 2/3 dos entrevistados dependem de seus funcionários para seguir políticas de segurança. Só assim é garantida a proteção dos arquivos distribuídos.

Entretanto, 69% estão muito preocupados com a falta de controle dos documentos enviados para fora da rede ou colocados em colaboração na nuvem. Por fim, apenas 26% têm a capacidade de localizar e revogar o acesso rapidamente.

A pesquisa mostra ainda que só 35% dos entrevistados incorporam a proteção de dados com criptografia nos processos de segurança em geral. Enquanto isso outros citam dificuldades em implementar a tecnologia corretamente como motivo da sua baixa priorização na organização.

Uma das principais conclusões da pesquisa é que a criptografia não é vista como uma “vitória fácil”. Além disso ela também é considerada difícil de implantar e usar.

As recomendações para virar esse jogo com criptografia

Apesar das dificuldades em adotar proteção de dados com criptografia nas empresas, vale destacar que existem tecnologias de segurança centradas em dados que podem fornecer rastreamento e controle de acesso em tempo real, sem inconvenientes para o usuário final. As recomendações são as seguintes:

1. As equipes de TI e negócios precisam seguir o fluxo de trabalho da empresa para encontrar brechas de segurança

Assim essas equipes poderão encontrar exposições de dados ocultas. Além disso, deve-se observar que mecanismos de criptografia geralmente não conseguem acompanhar os dados e as novas funções dos usuários.

Dessa forma, as organizações precisam estudar como os funcionários realmente usam informações sensíveis para identificar áreas onde proteção de dados com criptografia não pode alcançar ou estão desabilitadas por necessidade.

Porém uma equipe que conhece os dados sensíveis da organização podem ajuda no mapeamento para que a área de TI possa implantar corretamente a criptografia. Por isso a equipe de negócios deve ser uma equipe multidisciplinar que envolva várias áreas da empresa.

2. Invista na prevenção de ataques

As organizações devem evitar o pensamento reativo dos incidentes (“ações a serem feitas apenas após o ataque”). Afinal, na maioria das organizações, funcionários bem-intencionados cometem erros que superam as ameaças maliciosas.

Por esse motivo as empresas são aconselhadas a garantir uma visibilidade clara de seus processos para ajudar funcionários e gerentes a conter a exposição acidental de dados e aplicar suas políticas de prevenção a roubo de dados e perda de privacidade.

A pergunta agora é quando os dados da minha empresa irão vazar. Tendo isso em mente, fica mais claro como definir uma estratégia adequada que previna o ataque e caso ocorra os dados permanecerão protegidos.

3. Faça o alinhamento entre o negócio, parceiros e tecnologias visando a proteção de dados com criptografia

As empresas precisam alinhar seus recursos tecnológicos — e isso inclui a criptografia — para lidar com nuvem, tecnologias móveis e terceiros. A multiplicação de dispositivos mobile e parceiros de negócios apresenta uma ampla variedade de novos locais onde os dados devem trafegar.

O roteamento desse acesso a dados por meio de nuvem e outros serviços centralizados ajuda os líderes de TI, segurança e negócios a restaurar a visibilidade e consolidar o controle, incluindo esses dados às plataformas com criptografia incorporada e controles de acesso a arquivos.

A estratégia para vencer o desafio da proteção de dados com criptografia precisa ser assertiva

Para finalizar, os principais motivos apontados pelos entrevistados na pesquisa para adotarem a criptografia foram:

Os dados não são levados a sério o suficiente (40%);
A implementação de uma política de criptografia em todos os dados é considerada muito difícil (18%);
Não é fácil manter o controle de onde os dados estão sendo armazenados (17%);
Os aplicativos internos não foram testados para garantir que dados sejam protegidos de acordo com a política (13%);
Os administradores não conseguem configurar controles de criptografia corretamente (12%).

Diante deste cenário, é possível verificar que temos um grande desafio pela frente. As empresas não podem deixar o ônus da segurança de dados somente para equipes de TI.

Em vez disso, elas devem conscientizar, implementar e testar adequadamente uma estratégia assertiva de proteção de dados com criptografia.

E para esses objetivos de segurança, investir em tecnologia é essencial.

Ao planejar as necessidades de criptografia, mapeie os fluxos de informações por todos os aplicativos e pelas tabelas que armazenam informações relevantes. Em seguida, aplique a proteção de dados com criptografia para armazenamento e na transmissão. E não se esqueça do controle de acesso ao dado também.

Por fim, para proteger ainda mais os dados da organização, tenha cuidado com documentos ou aplicativos compartilhados entre usuários. Eles são fáceis de acessar e compartilhar, mas podem colocar em risco informações confidenciais.

Os controles de acesso baseados em criptografia novamente garantem que apenas usuários autorizados possam acessar determinados dados. Acompanhe e monitore o uso de dados para garantir que os controles de acesso sejam eficazes.

Leia mais sobre proteção e privacidade de dados em nosso blog e saiba como aplicar a tecnologia de criptografia de forma eficaz em sua empresa entrando em contato com os especialistas da Eval.

Estamos à disposição para tirar suas dúvidas e ajudar a definir as melhores formas de proteger sua organização contra o vazamento e roubo de dados.

Sobre a Eval

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia de dados, proteção de dados

Certificados Digitais

8 posts sobre gerenciamento de chaves

Autor do post Por Editorial Eval
Data de publicação 27 de setembro de 2019

Por que a criptografia e o gerenciamento de chaves são tão importantes? Em resumo, existem vários fatores que serão utilizados pelas empresas para decidir se devem implementar o gerenciamento de chaves. Vamos mostrar as três principais:

Os regulamentos de conformidade.
A tolerância ao risco.
A redução de custos

Gerenciamento de chaves, como o próprio nome diz, refere-se a gestão de chaves criptográficas dentro de um sistema criptográfico. Ele lida com a geração, troca, armazenamento, uso e substituição de chaves, conforme necessário, no nível do usuário.

Um sistema de gerenciamento de chaves também incluirá servidores chave, procedimentos e protocolos do usuário, incluindo design de protocolo criptográfico. A segurança do sistema criptográfico depende de um gerenciamento de chaves bem-sucedido.

Aliás, no blog da Eval, o tema de gerenciamento de chaves foi abordado em várias publicações. Sempre com o objetivo de ajudar entender os conceitos por trás deste assunto e, principalmente, para tirar suas dúvidas.

Por isso, separamos os oito principais artigos publicados em nosso site. Assim, você poderá, de forma fácil e rápida, ter o entendimento necessário para dar início ao projeto de implantação de gerenciamento de chaves em sua organização.

Não perca mais tempo e comece já a criar uma base sólida a respeito do tema.

8 posts fundamentais para entender tudo sobre gerenciamento de chaves

O gerenciamento de chaves cobre o ciclo de vida completo do uso das chaves criptográficas. Ele vai desde momento em que a chave se torna operacional até a sua eliminação. Seguindo essa linha vamos apresentar nossa lista de artigos em uma ordem que facilitará seu entendimento.

1. Gerenciamento de chaves: Excel x software

Sim, ainda existem empresas que utilizam a ferramenta Excel para realizar o gerenciamento das chaves de criptografia.

Longe de desmerecer a ferramenta e seus recursos, entretanto, para as organizações que buscam crescimento em plena era da Transformação Digital é preciso ir além.

No artigo “Gerenciamento de chaves: Excel x software”, mostramos quanto o planejamento estratégico e a gestão empresarial são essenciais para o sucesso de qualquer empresa.

Provando que não temos nada contra a ferramenta Excel, apresentamos logo no início do artigo como esse recurso é importante para o gerenciamento de uma organização.

Entretanto, existem desafios que inviabilizam o uso de planilhas eletrônicas no gerenciamento de chaves, principalmente para as empresas que tem a proteção de dados como uma prioridade.

2. Criptografia de dados e gerenciamento de chaves

No artigo “Criptografia de dados e gerenciamento de chaves”, vamos revisar conceitos básicos importantes de criptografia de dados, apresentando aspectos fundamentais que precisam estar consolidados para qualquer projeto de implantação de gerenciamento de chaves.

Apesar de não ser novidade para muitos profissionais técnicos, em especial na área de proteção de dados, ter essa visão detalhada de todo o processo de criptografia e gerenciamento de chaves padroniza o conhecimento a respeito do tema e serve de pontapé inicial para os próximos passos.

3. Por que o gerenciamento de chaves parece ser tão difícil?

Sem dúvida, o gerenciamento de chaves não é algo considerado trivial para uma organização, independente do seu segmento e porte. Porém no artigo “Por que o gerenciamento de chaves parece ser tão difícil?”, mostramos quais são os principais desafios e como resolvê-los de forma assertiva e ágil.

Certamente é uma leitura obrigatória para todos que buscam entender o que vem pela frente no processo de implantação de gerenciamento de chaves.

4. Relatório: como o mercado está investindo em gerenciamento de chaves

Contra números não há argumentos. E por isso, no post “Relatório: como o mercado está investindo em gerenciamento de chaves”, apresentamos dados importantes publicados em um estudo publicado pela Grand View Research, empresa de consultoria e pesquisa de mercado com sede nos EUA, mostrando dados interessantes que indicam o porque do mercado estar investindo em gerenciamento de chaves.

Além disso, podemos ver porque o investimento no mercado de gerenciamento de chaves corporativas deve crescer nos próximos anos, movimentando investimento superiores ao valor de US$ 2.300,00 milhões até 2022.

5. Saiba mais sobre armazenamento de certificados digitais

Ainda reforçando conceitos e tirando dúvidas sobre gerenciamento de chaves, no artigo “Saiba mais sobre armazenamento de certificados digitais”, mostramos a importância da proteção dos certificados digitais através de diferentes formas de armazenamento.

Além disso, apresentamos nesta publicação os ataques baseados na confiança, seus impactos no armazenamento de certificados digitais e como eles acontecem.

Leitura muito importante no processo de implantação do gerenciamento de chaves no aspecto da segurança da informação e no atendimento aos requisitos regulatórios.

6. Por que você deve gerenciar chaves criptográficas?

E se por acaso restou alguma dúvida sobre gerenciamento de chaves, na publicação “Por que você deve gerenciar chaves criptográficas?”, são apresentados aspectos desde a criação das políticas de segurança, padronização de processos e outros pontos importantes que não podem ser esquecidos em seu projeto de implantação de gerenciamento de chaves.

Afinal, o gerenciamento de chaves criptográficas é um desafio, mas não é impossível. Além disso, a gestão criptográfica bem-sucedida no mundo corporativo exige boas práticas em várias frentes de desenvolvimento.

7. A verdade que ninguém nunca contou a você sobre perda de chaves

Em um artigo bem interessante, a Eval aborda no post “A verdade que ninguém nunca contou a você sobre perda de chaves”, que apesar do entendimento sobre a importância do armazenamento das chaves de criptografia com segurança, de forma protegida e recuperável, a realidade é outra nas empresas e você deve saber como termina a história quando ocorre a perda de chaves.

São pontuados no artigo tópicos relacionados ao armazenamento e backup, os impactos para a exposição de dados de pessoas e empresas e, por fim, situações comuns que levam a perda de chaves criptográficas.

8. O que é um HSM e como ele funciona?

E para finalizarmos a nossa lista sobre gerenciamento de chaves, no artigo “O que é um HSM e como ele funciona?”, vamos mostrar o conceito sobre Hardware Security Module (HSM), com informações sobre como funciona, suas funções, aplicabilidade, padrões e características principais.

Ao final, você terá o entendimento completo sobre a tecnologia e porque sua empresa precisa adotá-la em seu projeto de gerenciamento de chaves.

Para que a indústria continue a proteger seus dados em repouso, em movimento, em uso ou onde quer que residam, os padrões são tão importantes para a segurança quanto a consistência com a qualidade.

A consistência na busca por qualidade em nossos processos nos leva a adoção e conformidade com os padrões como um componente vital em nossa busca por proteção e segurança de dados.

E como foi dito na leitura do artigo, gerenciar chaves criptográficas pode ser um desafio, especialmente para organizações maiores que dependem de criptografia para vários aplicativos, portanto, é preciso ser assertivo no projeto de implantação e na escolha das tecnologias.

Sobre a Eval

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia de dados, gerenciamento de chaves, HSM

Autenticação

Tudo o que você precisa saber sobre RSFN

Autor do post Por Editorial Eval
Data de publicação 29 de julho de 2019

Tudo o que você gostaria de saber sobre RSFN Proteção

O mercado financeiro possui uma grande variedade de participantes. Por exemplo, bancos comerciais, seguradoras, fundos de investimento, investidores individuais e bancos centrais.

Esses participantes estão sempre interagindo entre si, vendendo e comprando ativos financeiros, criando teias complexas de produtos e serviços financeiros, participações de várias transações bancárias e de crédito e outras operações relacionadas.

Normalmente, o risco é associado à possibilidade de quebra do sistema financeiro. O que pode ocorrer devido a crises econômicas e a instabilidade política-financeira dos diferentes países do mundo.

Porém, para observar o risco de sistemas complexos é preciso ter o seguinte aspecto em mente. Pense nele emergindo das interações entre diferentes arquiteturas tecnológicas que operam no mercado em uma caixa preta conhecida por poucos.

Este universo financeiro pode ser expandido incluindo cooperativas de crédito, Fintechs e modelos digitais inovadores que crescem a cada dia. Nesta representação mais abrangente da rede, os bancos e as demais instituições financeiras permanecem altamente conectados. Assim, realizam milhões de transações a cada segundo, garantindo a saúde financeira de todo o planeta.

Mas o que acontece se toda essa arquitetura tecnológica e financeira entrar em colapso?

Para garantir uma arquitetura de rede de comunicação de dados entre o Banco Central do Brasil e as instituições financeiras durante a realização de transações foi projetada a RSFN, Rede do Sistema Financeiro Nacional.

Baseada no protocolo TCP/IP, a rede foi implantada considerando a utilização de ferramentas/conceitos de Intranet. Eles suportam as aplicações desenvolvidas para atender as necessidades do Sistema de Pagamentos Brasileiro (SPB). Além disso, também agregam outros serviços de comunicação entre seus participantes.

Arquitetura da RSFN deve garantir as operações em tempo real

A arquitetura RSFN foi especificada partindo-se da premissa de que deverá ter alta disponibilidade, desempenho, segurança e contingência. Afinal, foi considerado que as operações do sistema financeiro são processadas em tempo real.

Baseado nos requisitos acima, o Banco Central (Bacen), através do Subgrupo de Redes, estabeleceu critérios rigorosos nas suas especificações. Além de adotar as melhores tecnologias disponíveis atualmente, exigiu-se das concessionárias qualificadas a garantia de que a rede terá total aderência às especificações e redundância em todos os segmentos da arquitetura.

De acordo com o manual de redes do SFN, as normas de utilização da RSFN e os serviços a serem implementados na rede deverão ser homologados pelo Subgrupo de Redes. Assim, as configurações da RSFN não permitem a comunicação indiscriminada entre os participantes do sistemas financeiro. A conectividade é regulada através de critérios técnicos e de segurança.

Proteção e privacidade de dados são prioridades para o BACEN

As operações financeiras permanecem na vanguarda do progresso tecnológico no setor financeiro. Isso inclui operações bancárias, os pagamentos, a troca de informações financeiras e pessoais, assim como outras operações relacionadas.

Com o avanço tecnológico do setor, uma variedade de novas plataformas e provedores de pagamento tem surgido. Devido a esse intenso crescimento, a segurança tem sido uma prioridade cada vez maior para BACEN.

De fato, bancos e prestadores de serviços financeiros só serão lucrativos e confiáveis se seus serviços forem seguros. Caso contrário, suas perdas serão colossais.

O Subgrupo de Segurança do SFN é constituído por representantes do Banco Central do Brasil (Bacen), da Secretaria do Tesouro Nacional, das associações de instituições autorizadas a funcionar pelo Banco Central do Brasil de âmbito nacional, das câmaras e dos prestadores de serviço de compensação e de liquidação participantes da RSFN. Este grupo definiu o Manual de Segurança da RSFN. Afinal, segurança é prioridade para o sistema financeiro Brasileiro.

O Subgrupo de Segurança elabora, consolida e implementa padrões de segurança para a troca de informações eletrônicas no SFN. Por exemplo, os padrões podem ser criptografia, protocolos, algoritmos e certificação digital.

Dessa forma, o Manual de Segurança da RSFN é definido como um protocolo que tem por objetivo consolidar requisitos de segurança para garantir a integridade, a confidencialidade, a disponibilidade e o não repúdio das informações trafegadas pela RSFN.

Entre suas atribuições, o Manual de Segurança da RSFN define os padrões criptográficos e formatos de mensagens. O Subgrupo de Segurança do Sistema Financeiro Nacional exige, por exemplo, que todas as mensagens enviadas à RSFN sejam criptografadas. Além disso, devem possuir identificação única garantindo sua rastreabilidade. Por fim, todas as aplicações devem ser testadas e homologadas junto ao ambiente de homologação do Bacen.

Diretrizes obrigatórias da RSFN

Entre as diretrizes obrigatórias definidas pelo Manual de Segurança da RSFN, podemos destacar os aspectos abaixo. Eles se referem ao uso de criptografia, protocolos, algoritmos e certificação digital:

Todas as conexões da RSFN deverão estar configuradas de acordo com as normas de segurança da(s) concessionária(s) fornecedora(s) da infraestrutura de telecomunicação;
As Instituições serão responsáveis pela segurança física e lógica de sua chave privada;
As Instituições deverão criar e manter sistemática de Segurança da Informação visando assegurar a confidencialidade, a integridade, a autenticidade, o não repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis;
Os Certificados Digitais deverão ser emitidos por uma entidade certificadora que atenda aos requisitos estabelecidos pela legislação vigente. Além disso, ela deve ser devidamente credenciada para tal pelo Comitê Gestor da Infra-estrutura de Chaves Públicas Brasileira – ICP-Brasil;

Ademais, no Manual de Segurança da RSFN ainda há diretrizes que recomendam a criação e manutenção de um plano de contingência, o armazenamento da chave privada em um sistema de gerenciamento de chaves criptográficas e a utilização de procedimentos de backup.

Por fim, fornecedores, usuários da RSFN e demais pessoas ou empresas relacionadas devem ser informados, ou ter meios para tomar ciência, sobre a existência e a extensão de medidas, práticas, procedimentos e órgãos responsáveis para a segurança dos sistemas de informação na RSFN.

O Manual de Segurança da RSFN define que as medidas e os procedimentos para a segurança dos sistemas de informação devem ser coordenados e integrados entre si e com outros princípios e procedimentos adotados pela instituição participante, de modo a criar um sistema coerente de segurança passível de avaliações periódicas.

Você conhece EVAL CRYPTO SFN?

O EVALCryptoSFN é uma plataforma completa de criptografia. Ele é responsável pela segurança da troca de mensagens na RSFN (Rede do Sistema Nacional Financeiro) e na RTM (Rede de Telecomunicações para o Mercado Financeiro) em conformidade com os padrões de segurança e criptografia desenvolvida pelo GT-Segurança do BACEN.

Portanto, para garantir a segurança da troca de mensagens dentro da Rede do Sistema Nacional Financeiro e outros sistemas relacionados, a EVAL Tecnologia desenvolveu o EVALCryptoSFN. De acordo com a normatização GT-Segurança do BACEN, é responsável pela segurança na troca de mensagens e transações financeiras interbancárias.

Para conhecer o EVALCryptoSFN e as demais soluções de segurança da EVAL, entre em contato com os nossos especialistas. Eles vão te ajudar a esclarecer suas dúvidas, contribuindo com o desenvolvimento de seus projetos de segurança de dados, inovação e melhoria contínua da sua empresa.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags BACEN, criptografia de dados, RSFN, segurança da informação, SFN

Proteção de dados

Aplicativos de Comunicação com Criptografia e o Uso de Dados

Autor do post Por Editorial Eval
Data de publicação 16 de maio de 2019

Criptografia para aplicativos de comunicação: saiba mais

Se você tem preocupação com segurança e privacidade de dados, talvez já tenha ouvido falar sobre criptografia para aplicativos de comunicação, mesmo que de forma superficial.

Além disso, é possível que o seu interesse no assunto tenha surgido em decorrência de alguma notícia de vazamento ou roubo.

Essa é uma realidade que tem crescido nos últimos anos. Já que estamos cada vez mais preocupados com nossas informações e a tecnologia impacta diretamente em nossas rotinas.

Quem imaginou, por exemplo, que o telefone celular se tornaria tão importante para nós? Porém, não por conta de sua funcionalidade original, realizar e receber chamadas, já que os aplicativos de mensagens praticamente condenaram as ligações telefônicas.

Você tem ideia de quantas mensagens foram recebidas e enviadas nas últimas horas por meio das principais ferramentas desse tipo? E quantas substituíram uma ligação?

Milhares de mensagens todos os dias

Os brasileiros enviam milhares de mensagens todos os dias para amigos, familiares, colegas de trabalho, entre outras pessoas. No mundo são enviadas em média 55 bilhões de mensagens todos os dias pelo whatsapp.

Inclusive, serviços como o do Whatsapp se tornaram estratégicos para os negócios. Considerados ferramentas de vendas, os aplicativos de troca de mensagens ajudam muitos empreendedores a movimentar a economia.

Por conta dessa importância, queremos que as mensagens permaneçam restritas somente aos interessados. Muitas vezes, são conversas reservadas que tratam de assuntos pessoais e estratégicos.

Dada a frequência com que todos usamos essas ferramentas, é cada vez mais importante proteger a privacidade e as informações pessoais.

Uma maneira de fazer isso é usando a criptografia para aplicativos de comunicação.

Definição de criptografia

Antes de verificar quem adota a criptografia para aplicativos de comunicação de ponta a ponta, vale lembrar o conceito básico por trás de uma troca de mensagens segura.

Sistemas de segurança para comunicação existem há séculos. Basicamente, a ideia é levar uma mensagem ou informação para um destino sem que qualquer pessoa não autorizada possa lê-la.

Na prática, com a ajuda da internet, enviamos muitos dados particulares para outros computadores ou servidores todos os dias.

A criptografia pega seus dados e os embaralha, tornando impossível para qualquer pessoa que os intercepte, ler ou entender.

Quando chegam ao destinatário, os dados são descriptografados de volta à sua forma original para que possam ser lidos e compreendidos.

Os dados não criptografados são chamados de textos sem formatação e os criptografados se chamam textos cifrados.

A forma como um dispositivo pega os dados e os criptografa é chamada de algoritmo de criptografia. Ele é usado com uma chave criptográfica, de modo que somente a pessoa com a chave certa pode descriptografar.

Por exemplo, se quiséssemos criptografar a mensagem “bom dia!” e enviar para outra pessoa, seria preciso usar um algoritmo de criptografia, que a criptografaria para algo como “SZKKB YRIGSWZB”. Assim, alguém usando a mesma tecnologia poderia abrir e ler.

De ponta a ponta

A criptografia de ponta a ponta é assimétrica. Assim, ela protege os dados assegurando que apenas duas pessoas possam lê-los: o remetente e o destinatário.

Isso significa que ninguém mais pode ler os dados, como hackers, governos, empresas ou servidores. Portanto, quando um usuário envia uma mensagem para outro, mesmo que ela tenha sido interceptada, não poderá ser lida.

Se a mensagem passar pelo servidor do WhatsApp, por exemplo, ele não poderá ler. Se o serviço quisesse fornecer esses dados a terceiros, eles não seriam capazes de fazê-lo.

É isso que acontece quando a criptografia para aplicativos de comunicação é de ponta a ponta. Para entender melhor como é feita a criptografia das mensagens trocadas pelo WhatsApp, assim como os algoritmos utilizados, clique aqui.

A criptografia para aplicativos de comunicação é um padrão

O uso de criptografia em aplicativos de comunicação se tornou um padrão nos últimos anos. No entanto, ela ainda não é adotada por todos os fabricantes.

Na verdade, a adoção da criptografia não é obrigatória em todas as situações, mas em algumas você definitivamente a utiliza, como quando você compra itens on-line e insere os dados do seu cartão.

Em momentos como esse, a criptografia acontece sem você saber. No dia a dia é possível optar pela criptografia para aplicativos de comunicação apenas para ter a tranquilidade de saber que absolutamente ninguém mais pode acessar suas mensagens ou chamadas.

A criptografia de ponta a ponta significa que pessoas sem autorização não vão conseguir acesso aos seus dados e sua privacidade está preservada.

Quais aplicativos usar

Existem tantas opções no mercado que é difícil afirmar qual é a melhor. Em vez disso, listaremos as mais populares e que utilizam a criptografia para aplicativos de comunicação por padrão.

Criptografia no WhatsApp

O WhatsApp já possui mais de 1,5 bilhão de usuários e integra o protocolo de criptografia em suas conversas. Isso significa que as mensagens do WhatsApp são, por padrão, criptografadas de ponta a ponta.

Ele tem bate-papo, chamadas em grupo, compartilhamento de arquivos, realiza arquivamento, compartilhamento de local, transmissões e muito mais.

A popularidade do aplicativo também funciona a seu favor, já que você provavelmente não precisará convencer outras pessoas a baixá-lo.

O WhatsApp é livre para usar e de anúncios. No entanto, é de propriedade do Facebook, que admite abertamente a coleta de muitos dados sobre você para fins de marketing.

Criptografia no Facebook Messenger

Segundo uma reportagem da BBC, O Facebook Messenger também usa criptografia, mas um pouco diferente da criptografia utilizada no Whatsapp, no qual a mensagem é cifrada do remetente para o servidor, que abre a mensagem e cifra ela até o remetente de ponta a ponta, o mesmo protocolo de sinal usado pelo WhatsApp.

Mas já a planos para implementar no Facebook Messenger a mesma criptografia de ponta a ponta que é utilizada no Whatsapp. Por fim, isso significa que suas mensagens não poderão ser visualizadas pela equipe da rede social.

O Facebook Messenger também usa criptografia, mas um pouco diferente da criptografia utilizada no Whatsapp, no qual a mensagem é cifrada do remetente para o servidor, que abre a mensagem e cifra ela até o remetente. de ponta a ponta, o mesmo protocolo de sinal usado pelo WhatsApp.

Mas já a planos para implementar no Facebook Messenger a mesma criptografia de ponta a ponta que é utilizada no Whatsapp. Isso significa que suas mensagens não poderão ser visualizadas pela equipe da rede social.

O Facebook Messenger funciona como a maioria dos outros aplicativos, com bate-papo e chamadas em grupo, compartilhamento de arquivos, compartilhamento de local e chamadas de vídeo. Também é muito fácil de usar, com adesivos, GIFs e até jogos.

No entanto, o aplicativo é de propriedade do Facebook, o que significa que ainda contribui para os dados coletados sobre você e outros bilhões de usuários.

Criptografia no Telegram

O Telegram foi um dos primeiros aplicativos do mercado. A criptografia de ponta a ponta não está ativa por padrão: você precisa ter certeza de que o modo secreto está ativo para que ninguém mais possa acessar suas mensagens.

O aplicativo tem recursos como bate-papo em grupo, envio de arquivos e fotos — também criptografados apenas no modo secreto —, mensagens desaparecidas, funcionalidade de arquivamento e chamadas de voz e vídeo.

Quando o modo secreto está ativo, as mensagens também podem se autodestruir em todos os dispositivos de um bate-papo e existe a opção de autodestruir sua conta dentro de um tempo definido.

O Telegram é livre para usar e de anúncios. Todos os dados são criptografados e armazenados nos servidores, exceto pelas mensagens do chat secreto.

Criptografia no iMessage e FaceTime

A Apple introduziu a criptografia de ponta a ponta em todas as suas mensagens no iMessage, o aplicativo padrão em dispositivos iOS, e todas as chamadas e vídeos no FaceTime.

O iMessage e o FaceTime estão disponíveis em dispositivos móveis iOS, bem como em computadores Mac.

Os dois aplicativos abrangem uma série de funcionalidades básicas, como mensagens, localização ou compartilhamento de arquivos e chamadas de voz e vídeo. As mensagens do iMessage são copiadas no iCloud, mas isso pode ser desativado nas suas configurações.

Certifique-se de ler as políticas de privacidade de dados de todos os aplicativos que você utilizar. Verifique se você está confortável com elas antes de confiar na ferramenta escolhida.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags Aplicativos de Comunicação, criptografia de dados

Proteção de dados

Criptografia e gerenciamento de chaves – Conceitos Importantes

Autor do post Por Editorial Eval
Data de publicação 16 de maio de 2019

Criptografia e gerenciamento de chaves e serviços criptográficos são cada vez mais presentes nas empresas hoje. Leia para saber mais.

O uso de criptografia e gerenciamento de chaves, além dos serviços criptográficos são vitais para proteção de dados em repouso ou de meios de comunicação, uma realidade para as empresas e os usuários de serviços como armazenamento em nuvem, troca de mensagens e muitos outros.

Entretanto, para os responsáveis por estes serviços são apresentadas muitas opções de mecanismos criptográficos e consequentemente, há muitas escolhas a serem feitas.

Escolhas inadequadas podem resultar em pouco ou nenhum ganho, criando uma falsa sensação de segurança.

Por exemplo: criptografar uma base de dados e manter a chave criptográfica em um arquivo no servidor.

Neste artigo pretendemos abordar alguns aspectos relevantes para a segurança da informação que estão relacionados às chaves criptográficas. Com isso mostraremos a importância do correto gerenciamento delas para a programação dos serviços criptográficos.

Para facilitar o entendimento, dividiremos o artigo em três partes. Iniciando com os conceitos básicos sobre criptografia e gerenciamento de chaves e serviços criptográficos .

Conceitos básicos de criptografia de dados

A criptografia consiste em um conjunto de princípios utilizados para garantir a segurança da informação.

Para isso, emprega técnicas para transformar uma informação (cifrar) em outra (criptograma) que é legível apenas para quem conheça o segredo (chave secreta).

Mantendo este segredo seguro, impedimos que pessoas não autorizadas tenham acesso à informação original (decifrar).

Segredo

A segurança dos serviços criptográficos é baseada no segredo da chave criptográfica, que permite cifrar e decifrar, e não no método de transformar a informação, ou seja o algoritmo utilizado, que deve ser público.

Chaves simétricas e assimétricas

Em criptografia e gerenciamento de chaves existem dois tipos básicos de algoritmos: os de chave simétrica e assimétrica. Os primeiros utilizam uma única chave para cifrar e decifrar os dados, enquanto os segundos adotam par de chaves, sendo uma para cifrar e a outra para decifrar.

O diagrama a seguir mostra o uso de uma chave simétrica para a cifra de uma mensagem. Podemos ver que a chave utilizada por João é a mesma adotada por Alice.

Criptografia e gerenciamento de chaves e serviços criptográficos - Chaves Simétricas e Assimétricas. — Figura 2 – Algoritmo de chave simétrica

O próximo diagrama mostra o uso de uma chave assimétrica. A chave utilizada por Alice para cifrar é a chave pública de João, que usa sua chave privada para decifrar.

Criptografia e gerenciamento de chaves e serviços criptográficos - Algoritmo de chaves assimétricas — Figura 3 – Algoritmo de chaves assimétricas

Um ponto interessante deste tipo de algoritmo é que, após cifrar com a chave pública, apenas a privada pode decifrar.

Como exemplos de uso para estes algoritmos, podemos citar uma base de dados que utiliza o algoritmo AES (chave simétrica) para cifrar uma determinada informação no banco de dados e a assinatura digital de documentos que usa o algoritmo RSA (chave assimétrica).

Também gostaríamos de ressaltar que o segredo nestes dois tipos de algoritmos está em proteger a chave simétrica e a privada (no caso das chaves assimétricas).

Por fim, outro aspecto é que estes algoritmos são complementares e servem como base para a programação dos serviços criptográficos.

Resumo criptográfico e assinatura digital

Em relação a criptografia e gerenciamento de chaves, o resumo criptográfico é um valor que representa uma informação. Ele é gerado por meio de um algoritmo, como o SHA256, a fim de analisar os dados bit-a-bit e cria um valor que não pode ser falsificado na prática.

Criptografia e gerenciamento de chaves e serviços criptográficos - Resumo criptográfico — Figura 4 – Resumo criptográfico

Porém, o resumo criptográfico não pode ser usado sozinho, pois apesar de não ser viável falsificá-lo, é possível substitui-lo.

Então, para ser utilizado na prática, o resumo criptográfico é cifrado com a chave privada (assimétrica), gerando uma assinatura digital.

Assim, todos que têm a chave pública podem gerar o resumo criptográfico e compara-lo com o presente na assinatura digital.

Com isso pode-se verificar se os dados são válidos. Ações fundamentais em criptografia e gerenciamento de chaves.

Criptografia e gerenciamento de chaves e serviços criptográficos - Assinatura digital — Figura 5 – Assinatura digital

Vamos tomar o SHA256 with RSA por exemplo. Ele utiliza o algoritmo de resumo SHA256 e o algoritmo de criptografia RSA para gerar a assinatura digital. Porém, isso ainda não é suficiente, pois não temos como identificar a quem pertence uma determinada chave pública.

Para tal, é necessário um novo elemento: o certificado digital.

O certificado digital consiste basicamente em uma informação textual que identifica uma entidade (pessoa, empresa ou servidor), uma chave pública e um propósito de uso. Ele tem uma assinatura digital.

É importante observar que a assinatura do certificado digital deve ser feita por uma entidade terceira (autoridade certificadora digital) confiável.

Assim, introduzimos o conceito de relação de confiança. De acordo com ele, se confiamos na entidade A e esta confia na entidade B, então também confiamos em B.

Assim, concluímos os conceitos básicos de criptografia. Na próxima parte, falaremos sobre os serviços criptográficos que podem ser criados a partir deles.

Serviços criptográficos

Fazendo parte do ciclo de vida da criptografia e gerenciamento de chaves, os mecanismos criptográficos básicos, como criptografia simétrica e resumo criptográfico são utilizados para suportar serviços de confidencialidade, integridade, autorização e irretratabilidade ou não repúdio.

Assim, temos que um mecanismo criptográfico pode ser utilizado para suportar vários serviços. Do mesmo modo é importante que os serviços criptográficos devem ser utilizados em conjunto para garantir a segurança.

A seguir, descreveremos brevemente os serviços criptográficos básicos:

Confidencialidade

Este serviço provê a confidencialidade dos dados por meio de criptografia e gerenciamento de chaves. Ele também garante que as informações não possam ser visualizadas por terceiros e que apenas pessoas autorizadas tenham acesso a elas. Fundamental em criptografia e gerenciamento de chaves.

Como exemplo, temos a cifra de arquivos, sistemas de arquivos e bases de dados com chaves simétricas. Também temos informações cifradas com a chave pública do certificado, assim só quem têm a chave privada correspondente poderá abrir a informação.

Integridade

O serviço de integridade deve garantir que uma determinada informação não seja modificada de maneira não autorizada após a sua criação, durante a transmissão ou o armazenamento.

Seja a alteração acidental ou intencional, a inserção, remoção ou substituição de dados deve ser detectada. Mecanismos criptográficos como o resumo criptográfico, também conhecido como hash e a assinatura digital fornecem o suporte para este serviço.

Autenticação

O serviço de autenticação verifica a identidade de um usuário ou sistema que solicita autorização para acesso a uma informação.

A assinatura digital é um mecanismo criptográfico geralmente utilizado para suportar este serviço, pois já foi validado a identificação do antes da emissão do certificado digital, seja feito por uma Autoridade Certificadora confiável ICP-Brasil ou outra que a organização confie, tal como, Autoridade Certificadora Interna.

Nas Autoridades Certificadoras ICP-Brasil, é no processo de emissão do certificado digital que a pessoa necessita comparecer a uma validação presencial, com documentos originais que comprovem a identidade do requerente.

Irretratabilidade

O serviço de irretratabilidade fornece os meios para garantir que quem criou uma informação não possa negar a autenticidade dela.

Neste sentido, está ligada à assinatura digital, na qual o proprietário da chave privada não pode negar que a realizou para um determinado fim.

Assim, terminamos a descrição dos serviços criptográficos. Na próxima parte, apresentaremos os principais fatores a serem considerados no gestão de chaves criptografia e gerenciamento de chaves.

Autorização

Como exemplo, o serviço de autorização pode ser empregado para definir as permissões de uso de uma chave criptográfica que, consequentemente, permitiria o acesso a uma determinada informação.

Gerenciamento de chaves criptográficas

As chaves criptográficas são o fundamento da criptografia e gerenciamento de chaves, e nestas reside a segurança dos dados cifrados. Brechas podem levar ao comprometimento das chaves e, consequentemente, ao vazamento de informações sigilosas.

O aumento no uso da criptografia para proteção de dados, principalmente devido à regulamentação do governo, faz com que as empresas tenham que lidar com múltiplas soluções para cifra.

Por conta da diversidade de fornecedores, as organizações também precisam definir vários procedimentos para gerenciar as chaves criptográficas, sendo que nem sempre eles são adequados.

No gerenciamento de chaves, devemos levar em consideração alguns pontos que descreveremos a seguir:

Armazenamento seguro das chaves

As chaves devem ser armazenadas de forma segura, ou seja, cifradas e com controle de acesso.

A criptografia deve ser preferencialmente realizada por meio de chaves (KEK) protegidas em um hardware criptográfico.

Identificação das chaves

Deve ser possível identificar uma chave, seu tipo, sua finalidade, quem está autorizado a utiliza-la e o período de uso.

Autenticação de usuário e autorização de uso

O uso das chaves criptográficas deve ser permitido apenas após a identificação do usuário.

Assim, para o gerenciamento adequado das chaves, o sistema deve fornecer mecanismos de autenticação e autorização ou permitir a integração com sistemas já existentes, como o Active Directory da Microsoft.

Ciclo de vida das chaves criptográficas

O ciclo de vida das chaves criptográficas deve ser controlado para que elas sejam utilizadas de forma adequada durante o período de validade — ou seja, somente pessoas ou sistemas autorizados podem utiliza-las durante um tempo pré-definido e com mecanismos seguros para que não haja comprometimento.

Assim descreveremos o ciclo de vida das chaves, segundo recomendação NIST.

O ciclo de vida de uma chave inicia com a geração e finaliza com a destruição, passando por um ou mais dos estados descritos a seguir:

Geração: momento de criação da chave, que ainda não está pronta para uso;
Pré-ativação: a chave foi gerada, mas ainda não está pronta para uso, porque aguarda o período de utilização ou a emissão de um certificado;
Ativada: a chave está disponível para uso;
Suspensa: o uso da chave está suspenso temporariamente. Neste estado, ela não pode mais realizar operações de cifra ou assinatura, mas pode ser utilizada para recuperação de dados ou verificação de assinaturas realizadas anteriormente.
Inativada: a chave não pode ser mais utilizada para cifra ou assinatura digital, sendo mantida para o processamento de dados cifrados ou assinados antes da inativação.
Comprometida: indica que a chave tem a sua segurança afetada e não pode mais ser usada em operações criptográficas (criptografia e gerenciamento de chaves). Em alguns casos, como nas chaves simétricas, pode ser utilizada para recuperar os dados cifrados para posterior cifra com outra chave.
Destruída: este estado indica que uma chave não é mais necessária. A destruição da chave é o estágio final e pode ser atingido devido ao fim do ciclo de uso dela ou do comprometimento de sua segurança.

Cópias de segurança das chaves criptográficas

A função principal das cópias de segurança é garantir a recuperação das chaves e, consequentemente, dos dados cifrados em caso de perda ou devido a falhas.

Assim como as chaves, que devem ser armazenadas de forma segura durante o uso, as cópias de segurança também precisam ser protegidas.

Elas podem ser guardadas em arquivos cifrados ou hardwares criptográficos próprios para esta finalidade, que devem ficar em locais seguros.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. Eval, segurança é valor.

Tags criptografia, criptografia de dados, gerenciamento de chaves

Proteção de dados

Criptografia de Dados para Pagamento e Registros Financeiros

Autor do post Por Editorial Eval
Data de publicação 29 de janeiro de 2019

Criptografia para registros financeiros e dados de pagamento

Atualmente, enormes quantidades de dados eletrônicos pessoais e financeiros fazem parte das nossas rotinas. Além disso, fluxos de moeda digital em ecossistemas de pagamentos também estão presentes no cotidiano de todos. Afinal, bilhões de transações são processadas todos os dias. Daí surge a necessidade do investimento em Criptografia de Dados para Pagamento.

A criptografia de ponta, de fato, se tornou algo tão vital para as nossas movimentações financeiras e informações pessoais.

Para um Sistema Financeiro Online e Seguro é Preciso Investir em Criptografia de Dados para Pagamento

Como você deve saber, o ecossistema de pagamentos online é o principal alvo dos cibercriminosos. Dessa maneira, a criptografia de dados é necessária para manter a integridade das transações interbancárias, e em plataformas de vendas pela internet.

Talvez o que você ainda não saiba é o impacto do roubo de dados pessoais. O acesso a informações confidenciais de forma ilegal movimenta bilhões de dólares todos os anos.

Por padrão, a infraestrutura de pagamentos é um alvo muito visado por hackers. Porém, esse cenário se altera com os ataques às redes sociais ou à outros sites que tenham muitos usuários. Afinal, eles costumam armazenar informações pessoais.

Normalmente, quando um consumidor informa os dados do seu cartão de crédito ou débito para fazer uma compra, eles ficam abertos quando deixam o terminal do comerciante. Esses dados não são protegidos até serem criptografados em um gateway na plataforma de processamento.

Esse é um modelo de segurança que coloca os dados do portador do cartão em risco. Afinal, podem cair nas mãos de cibercriminosos que usam métodos como malwares de rede. Ele também coloca todo o ecossistema de pagamentos em risco.

Em uma violação de dados bem-sucedida, os comerciantes enfrentam repercussões financeiras e de reputação perante consumidores e o próprio mercado.

Desta forma, a criptografia simétrica sobre registros financeiros e dados é um dos principais recursos para garantir um sistema online seguro. Principalmente, quando implementada de ponta a ponta em um processo de pagamento ou no tráfego de dados pessoais ou confidenciais.

Recentemente houve um vazamento de dados enorme, no qual dados de aproximadamente 800 milhões de conta de e-mail foram roubados. Se você quiser verificar se dados do seu e-mail também foram roubados, verifique em: https://haveibeenpwned.com.

Segurança pode ser aprimorada através da Criptografia de Dados, mas precisa ser prioridade

As soluções tecnológicas sejam fundamentais para proteger o sistema de pagamentos. Entretanto a colaboração da indústria também é um componente integral na luta coletiva contra o cibercrime.

As organizações precisam priorizar a segurança por vários motivos:

A facilidade de compra e uso de serviços na internet gerou um grande tráfego de transações, composto, principalmente, por dados pessoais e de pagamento;

Ainda falta criptografia de dados para pagamento quando informações importantes são armazenadas na nuvem;

O aumento considerável de aplicativos mobile desenvolvidos e implantados em nuvem criou oportunidades de negócios, mas muitas organizações ainda aprendem sobre a necessidade de proteger dispositivos contra vulnerabilidades de segurança;

Muitas organizações ainda estabelecem parcerias com provedores de serviços sem investirem em políticas e processos de segurança com o objetivo de proteger os usuários e seus dados pessoais e de pagamento.

O resultado deste cenário é um grande aumento de incidentes de segurança e roubo de dados, resultando em implicações financeiras, regulatórias, legais, operacionais e de comprometimento de marca.

Criptografia de Dados para Pagamento: a solução está disponível para todos

Apesar do risco de ataques virtuais e roubo de dados, a solução está disponível para todas as empresas que fazem parte do ambiente financeiro.

As empresas precisam se tornar proativas na redução de ameaças de segurança enquanto aceleram sua jornada para a transformação digital. Assim, precisam adotar plataformas flexíveis, escaláveis e dinâmicas no gerenciamento de produtos e serviços disponíveis na internet.

Os tomadores de decisão — não apenas os profissionais de TI, mas especialmente os executivos — também precisam entender e se comprometer com a responsabilidade compartilhada em relação à segurança da informação.

Criptografia de registros financeiros pode ajudar na segurança dos processos de pagamento

A tokenização e a criptografia de dados para pagamento são exemplos de tecnologias de segurança que são fortes e desempenham papéis importantes na limitação dos atuais ataques virtuais e roubos de informações que acontecem no mercado digital.

A tecnologia de tokenização, por exemplo, substitui informações confidenciais — como um número de cartão de crédito — por um valor ou “token” sem sentido que pode ser armazenado em um banco de dados. Ele geralmente tem o mesmo formato, de forma que permaneça compatível com os sistemas atuais de processamento de cartões.

A criptografia de dados para pagamento vai além, mantendo todas as informações fora dos sistemas comerciais. Afinal, criptografa-se totalmente a cadeia de transações do terminal para o banco.

Assim, quando um cliente informa seus dados de pagamento, ou um colaborador passa um cartão de crédito em um terminal, eles são criptografados. Depois disso, só podem ser abertos com o uso de uma chave.

A tokenização e a criptografia de dados para pagamento são ferramentas valiosas na proteção de dados sensíveis de transações com cartões. Tratam-se de soluções que, quando implementadas de forma eficiente, podem fornecer o maior nível de confidencialidade nas transações financeiras e no envio de informações pessoais.

Quer saber mais sobre criptografia e proteção de dados? Siga a nossa página no LinkedIn e continue nos acompanhando aqui no blog.

Sobre a Eval

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia de dados, registros financeiros, SFN

Segredo

Chaves simétricas e assimétricas

Confidencialidade

Integridade

Autenticação

Irretratabilidade

Autorização

Armazenamento seguro das chaves

Identificação das chaves

Posts recentes

Comentários

Arquivos

Categorias

Onde Estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho, São Paulo - SP,
CEP: 05440-000

Contato

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Copyright © 2023, EVAL TECNOLOGIA EM INFORMÁTICA. Todos os direitos reservados - CNPJ 05.278.889/0001-97