Tag: criptografia

Cipher Suites e sua importância na segurança de dados

Autor do post Por Arnaldo Henrique Miranda
Data de publicação 16 de junho de 2023

No atual panorama digital, a segurança de dados transcende a necessidade, tornando-se uma obrigação.

A cada dia, milhões de transações ocorrem online, cada uma delas demandando um alto nível de cibersegurança nas empresas para proteger informações valiosas.

Neste contexto, as Cipher Suites emergem como elementos cruciais na construção de um ambiente digital seguro. Elas formam a espinha dorsal de muitas operações de segurança de dados na internet, garantindo que as informações se movam de maneira segura e eficiente.

Este artigo busca explorar a complexidade das Cipher Suites, desvendando sua natureza, funcionamento e a importância que possuem na segurança de dados online.

O que são as Cipher Suites?

Cipher Suites é o conjunto de algoritmos utilizado combinado para estabelecer uma conexão segura, que incluem:

Um algoritmo de chave de sessão e seu tamanho de chave: Este é o algoritmo de criptografia simétrica utilizado para cifrar os dados transmitidos na sessão, como o AES de 128 bits, por exemplo.
Um algoritmo de chave pública e seu tamanho de chave: Trata-se do algoritmo de criptografia assimétrica utilizado para criptografar a chave de sessão, como o RSA de 2048 bits, por exemplo.
Um algoritmo de hash: É empregado para garantir a integridade dos dados, assegurando que os dados não sejam alterados na troca de informações. Um exemplo de algoritmo de hash utilizado é o SHA.
Um algoritmo de troca de chaves: É o método pelo qual a chave de sessão é trocada. Exemplos mais comuns são o RSA ou Diffie-Hellman.

Como resultado, temos uma constante que indica quais algoritmos foram utilizados em uma determinada sessão, como por exemplo, “TLS_RSA_WITH_AES_256_CBC_SHA”, que utiliza o protocolo TLS, com algoritmo de criptografia assimétrica RSA, o AES CBC 256 como chave de sessão e SHA para garantir a integridade dos dados.

Outro exemplo é “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384“, que utiliza ECDHE para a troca de chaves, ECDSA para autenticação, AES com 256 bits em modo GCM para criptografia e SHA384 para a função de hash.

Agora que entendemos isso, vamos examinar como as Cipher Suites funcionam em conjunto com o HTTPS/TLS.

Um outro exemplo é “TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384” que utiliza ECDHE para a troca de chaves, ECDSA para autenticação, AES com 256 bits em modo GCM para criptografia e SHA384 para a função de hash.

Entendendo isso, vamos agora ver como funcionam junto com o HTTPS/TLS.

Como a tecnologia funciona?

As Cipher Suites são a força motriz por trás da segurança de uma conexão HTTPS, embora seu funcionamento possa parecer um pouco complexo. No coração dessa operação está o processo de “handshake” SSL/TLS.

Vamos mergulhar um pouco mais no conceito para entender como as Cipher Suites funcionam.

Quando uma conexão é iniciada entre um cliente (por exemplo, um navegador) e um servidor, um processo de handshake SSL/TLS é deflagrado.Este processo é uma série de etapas que são realizadas para estabelecer uma conexão segura entre o cliente e o servidor. É aqui que as Cipher Suites entram em jogo.
Durante este handshake, o cliente e o servidor trocam uma lista das Cipher Suites que suportam. Essas listas são comparadas para encontrar uma Cipher Suite que ambos suportam.O servidor, então, tem a responsabilidade de escolher a Cipher Suite mais segura e eficiente que ambos suportam para ser usada durante a sessão.
Após a escolha da Cipher Suite, o cliente e o servidor iniciam o processo de troca de chaves, que é governado pelo algoritmo de troca de chaves presente na Cipher Suite escolhida.Aqui, é importante notar que uma chave de sessão é criada e é esta chave que será utilizada para cifrar e decifrar os dados transmitidos durante a sessão.Além disso, é definido o algoritmo de criptografia que será usado para criptografar os dados transmitidos entre o cliente e o servidor, e a função hash ou MAC que será usada para garantir a integridade dos dados.

Ao final do handshake, a conexão é estabelecida e os dados podem ser trocados de forma segura entre o cliente e o servidor usando os algoritmos definidos pela Cipher Suite escolhida.

Isso garante que as comunicações sejam protegidas contra interceptação ou modificação por terceiros mal-intencionados.

Há também algumas variações de protocolo, tais como o SSL, TLS 1.2 e TLS 1.3. Para fins didáticos, segue abaixo, de forma resumida, o passo a passo nos protocolos TLS 1.2 E TLS 1.3:

Por que as Cipher Suites são importantes?

As Cipher Suites desempenham um papel crucial na configuração de uma conexão HTTPS segura, pois elas encapsulam uma variedade de funções criptográficas, cada uma desempenhando um papel específico na segurança e integridade da conexão.

Durante o handshake SSL, o cliente e o servidor web empregam quatro elementos principais, cada um representado por um algoritmo específico dentro da Cipher Suite:

Algoritmo de Troca de Chaves:

Este algoritmo determina como as chaves simétricas serão trocadas entre o cliente e o servidor.

As chaves simétricas são usadas para criptografar e descriptografar os dados transmitidos durante a sessão.

Algoritmos de criptografia assimétrica são utilizados na troca de chaves incluem:

- RSA: Tradicional e muito conhecido, o RSA é utilizado na troca de chaves, em resumo, utiliza-se a chave pública do destinatário para cifrar uma chave de sessão, chave que é uma chave de algoritmo simétrico, tal como o AES.
- Diffie-Hellman (DH): Ele é um dos algoritmos mais conhecidos e utilizados ainda hoje para troca de chaves.
- Diffie-Hellman Ephemeral (DHE): É uma variação do DH, no qual uma nova chave é usada a cada nova sessão.
- Elliptic Curve Diffie-Hellman (ECDH): É muito similar ao DH, porém ao invés de utilizar números primos, faz uso de curvas elípticas.
- Elliptic Curve Diffie-Hellman Ephemeral (ECDHE): É uma variação de ECDH e DHE, no qual uma nova chave, usando curvas elípticas no caso, é usada a cada nova sessão.
Algoritmo de Autenticação ou Assinatura Digital:

Este algoritmo dita como a autenticação do servidor e a autenticação do cliente (se necessária) serão implementadas.

A autenticação ou Assinatura Digital permite que o cliente e o servidor confirmem a identidade um do outro, garantindo que eles estão se comunicando com a entidade correta.

Algoritmos de autenticação incluem RSA, ECDSA, e DSA.

Algoritmos de criptografia simétrica utilizado para as chaves de sessão:

Este algoritmo é usado para criptografar os dados que são transmitidos entre o cliente e o servidor durante a sessão.

A criptografia simétrica ajuda a garantir a confidencialidade dos dados, com um custo computacional baixo, em se comparando com algoritmos de criptografia assimétrica, tornando-os ininteligíveis para qualquer pessoa que possa interceptar a comunicação.

Algoritmos de criptografia simétrica incluem AES, CHACHA20, Camellia, e ARIA.

Função Hash/MAC:

Esta função determina como as verificações de integridade de dados serão realizadas. A integridade dos dados é importante para garantir que os dados não foram alterados durante a transmissão.

As funções Hash/MAC, como SHA-256 e POLY1305, são usadas para criar um valor de checksum único para os dados, que pode ser usado para verificar se os dados foram alterados.

Essas funções criptográficas são necessárias em vários pontos da conexão para realizar autenticação, geração e troca de chaves, e um checksum para garantir a integridade.

Para determinar quais algoritmos específicos usar, o cliente e o servidor web começam por decidir mutuamente sobre a Cipher Suite a ser utilizada.

Na prática, as Cipher Suites são necessárias devido à variedade de servidores, sistemas operacionais e navegadores.

Há uma necessidade de acomodar todas essas combinações, por isso as Cipher Suites são úteis para garantir a compatibilidade.

A importância das Cipher Suites na Segurança de Dados

Na prática, as Cipher Suites desempenham um papel vital na segurança de dados em um mundo cada vez mais digital.

Como vimos no decorrer do artigo, elas são a espinha dorsal das conexões seguras na internet, permitindo que as informações sejam transmitidas de forma segura entre clientes e servidores.

As Cipher Suites fornecem um conjunto de algoritmos que garantem a autenticação, a privacidade e a integridade dos dados durante a comunicação.

Elas ajudam a prevenir um grande conjunto de ataques, desde a interceptação de comunicações até a manipulação de dados transmitidos.

Dado tudo que aprendemos até aqui, há um site interessante no qual ele faz um diagnóstico de quais Cipher Suites seu computador aceita.

Para saber mais entre em: https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html. Como resultado ele deve retornar algo parecido com:

Como podemos observar, ele listou os protocolos, os algoritmos e algumas informações adicionais. No entanto, escolher a Cipher Suites correta para um servidor é uma tarefa crucial para os administradores.

Compreender a tecnologia é o primeiro passo para garantir a Segurança de Dados

Uma escolha inadequada pode resultar em conexões inseguras, ou até mesmo na incompatibilidade com alguns clientes.

Portanto, manter-se atualizado sobre as melhores práticas de seleção de Cipher Suites é uma parte essencial da gestão da segurança de dados.

E como fazer isso? Como escolher os algoritmos, lembrando que tem que ser aceito pelos dois lados, tanto pelo cliente quanto pelo servidor?

Uma forma de aumentar a segurança do seu computador é eliminado alguns algoritmos que já se sabe que são fracos, para isso a recomendação é a leitura do artigo da Microsoft no qual ensina via PowerShell os comandos que você pode utilizar para limitar o uso de algoritmos fracos.

Clique aqui para ver mais como desabilitar algortimos no windows.

Você também pode conferir os algoritmos que já são aceitos por padrão no Windows.

Clique aqui para ver mais no windows 11.

Com o avanço da tecnologia e a constante evolução das ameaças à segurança, é crucial compreender a importância das Cipher Suites e como elas funcionam.

Este conhecimento permitirá que tomemos decisões mais informadas para proteger nossos dados e manter nossas comunicações online seguras.

Em resumo, as Cipher Suites são mais do que apenas um conjunto de algoritmos, elas são a linha de frente na batalha contínua pela segurança de dados na internet.

Sobre a Eval

Com uma trajetória de liderança e inovação que remonta a 2004, a Eval não apenas acompanha as tendências tecnológicas, mas também estamos em uma busca incessante para trazer novidades oferecendo soluções e serviços que fazem a diferença na vida das pessoas.

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Escrito por Arnaldo Miranda, Evaldo. Ai, revisado por Marcelo Tiziano e Designer de Caio.

Tags Cipher Suites, criptografia, criptografia para proteção de dados, segurança de dados

Falhas Criptográficas: Segunda Maior Ameaça à Cibersegurança

Autor do post Por Arnaldo Henrique Miranda
Data de publicação 6 de junho de 2023

Falhas Criptográficas: A Segunda Maior Ameaça à Segurança Cibernética

“Falhas criptográficas têm se tornado um problema crescente em um mundo fortemente dependente de transações digitais e comunicações online que fazem uso da criptografia.

Neste contexto, a segurança cibernética, com especial enfoque em algoritmos criptográficos, tornou-se fundamental. Estes algoritmos são uma ferramenta essencial para proteger dados sensíveis.

Entretanto, a eficácia desta criptografia de dados é diretamente dependente de sua implementação correta e segura, aspecto que, infelizmente, é frequentemente negligenciado.”

A OWASP (Open Worldwide Application Security Project) é uma fundação sem fins lucrativos que trabalha para melhorar a segurança do software. Em 2021, a fundação publicou sua última lista “Top 10”, um ranking de ameaças de segurança cibernética.

Nesta lista, as falhas criptográficas subiram para a segunda posição, destacando a gravidade deste problema.

Anteriormente categorizadas como “Exposição de Dados Sensíveis”, às falhas criptográficas foram reconhecidas como a causa raiz de muitas brechas de segurança.

Estes não são meros sintomas de problemas de segurança mais amplos, mas sim falhas fundamentais que permitem que dados sensíveis sejam expostos e sistemas sejam comprometidos.

Este artigo irá explorar a crescente ameaça das falhas criptográficas e destacar a importância de um controle mais rigoroso sobre chaves e algoritmos criptográficos.

Ao entender a natureza dessas falhas e implementar controles adequados, podemos tornar nossos sistemas mais seguros e proteger melhor nossos dados contra ameaças cibernéticas.

A necessidade de um controle mais rigoroso sobre Chaves e Algoritmos Criptográficos

De forma resumida, a criptografia é uma ferramenta poderosa para proteger dados sensíveis, mas quando mal utilizada ou negligenciada, pode ser a fonte de falhas de segurança catastróficas.

Muitos dos erros mais comuns relacionados à criptografia podem ser atribuídos a falhas no controle de chaves e algoritmos criptográficos. Aqui estão alguns dos problemas mais comuns:

Uso de algoritmos e protocolos criptográficos fracos ou obsoletos

À medida que a tecnologia avança, os algoritmos e protocolos que antes eram considerados seguros podem se tornar vulneráveis. Por exemplo, funções hash como MD5 e SHA1 já foram amplamente utilizadas, mas agora são consideradas inseguras e são desencorajadas.

Da mesma forma, o uso de métodos de preenchimento criptográfico obsoletos, como PKCS número 1 v1.5, também pode levar a vulnerabilidades.

Uso inadequado de chaves criptográficas

As chaves criptográficas são uma parte fundamental da criptografia, mas muitas vezes são mal gerenciadas.

Problemas comuns incluem o uso, a geração ou reutilização de chaves criptográficas fracas, e a falta de rotação adequada de chaves.

Além disso, o armazenamento inadequado de chaves, a exemplo do armazenamento de chaves no código-fonte, pode torná-las vulneráveis à exposição e roubo.

Transmissão de dados em texto claro

Mesmo com a criptografia em vigor, se os dados são transmitidos em texto claro (por exemplo, através de protocolos como HTTP, SMTP, FTP), eles podem ser interceptados e lidos por atacantes.

Falha na validação adequada de certificados e cadeias de confiança

Para estabelecer uma conexão segura, você deve validar devidamente os certificados e as cadeias de confiança do servidor. Se não fizer isso, atacantes podem se passar por entidades confiáveis e interceptar ou alterar dados.

Ausência de criptografia autenticada

A criptografia autenticada é uma forma de criptografia que não só protege a confidencialidade dos dados, mas também sua integridade e autenticidade.

Se apenas a criptografia for usada, sem autenticação, os dados podem ser vulneráveis a certos tipos de ataques.

Na prática, para mitigar essas falhas, é vital um controle rigoroso sobre chaves e algoritmos criptográficos.

Fortalecendo a Segurança Cibernética: mitigando falhas criptográficas

As falhas criptográficas, apesar de perigosas, são evitáveis. Existem várias medidas preventivas que podem ser adotadas para minimizar o risco de tais falhas. Aqui estão algumas das mais importantes:

Classifique seus dados

Identifique quais dados são sensíveis e precisam de proteção extra. Isso pode incluir informações pessoais, registros de saúde, números de cartão de crédito, segredos comerciais e qualquer dado que esteja sujeito a leis de privacidade ou regulamentos.

Minimize o armazenamento de dados sensíveis

Em outras palavras, não armazene mais do que o necessário. Descarte os dados sensíveis assim que eles não forem mais necessários.

Se você precisa armazenar dados sensíveis, certifique-se de que eles estão criptografados.

Use algoritmos e protocolos seguros e atualizados

Evite usar algoritmos e protocolos criptográficos conhecidos por serem inseguros ou que se tornaram obsoletos. Certifique-se de que você está usando algoritmos e protocolos que são considerados seguros pelas autoridades atuais em segurança cibernética.

Implemente um gerenciamento de chaves eficaz

Deve-se gerar e armazenar as chaves criptográficas de forma segura, evitando a reutilização entre diferentes sistemas ou aplicações. Além disso, deve-se implementar um processo para rotacionar as chaves regularmente.

Use criptografia em trânsito e em repouso

Os dados devem ser criptografados, mesmo em repouso ou quando estão sendo transmitidos entre sistemas (em trânsito).

Autentique suas criptografias

Sempre use criptografia autenticada, que protege não apenas a confidencialidade dos dados, mas também sua integridade e autenticidade.

Evite funções e esquemas criptográficos obsoletos

Evite o uso de funções hash obsoletas como MD5 e SHA1 e esquemas de preenchimento criptográfico obsoletos como PKCS número 1 v1.5.

Ao adotar essas medidas preventivas, as organizações podem fortalecer sua segurança cibernética e mitigar o risco de falhas criptográficas.

A segurança cibernética é um campo em constante evolução, e é importante estar sempre vigilante e atualizado com as práticas mais recentes e melhores.

Ascensão das Falhas Criptográficas: a urgência do controle rigoroso

À medida que as ameaças à segurança na web continuam a evoluir, é essencial que as práticas de criptografia também evoluam.

Implementar medidas preventivas robustas e manter um controle rigoroso sobre as chaves e algoritmos criptográficos é um passo crucial para garantir a segurança dos dados e a confiabilidade dos sistemas.

A conscientização sobre a importância da criptografia segura e eficaz é a chave para combater a crescente onda de falhas criptográficas.

Eval lidera em Agilidade Criptográfica e Tecnologias Avançadas

A Eval é uma empresa que se diferencia no mercado pela adoção e oferta de tecnologias avançadas. Uma de suas principais áreas de especialização é a agilidade criptográfica, juntamente com ferramentas de assinatura eletrônica, essenciais na era digital atual.

As soluções de assinatura eletrônica da Eval são ferramentas robustas que proporcionam o nível de segurança necessário para transações e acordos digitais. Com elas, a autenticidade de documentos, contratos e transações digitais pode ser confirmada, protegendo contra fraudes e mal-entendidos.

No entanto, é na agilidade criptográfica que a Eval realmente brilha. Como uma das estratégias mais vitais para proteger informações digitais, a agilidade criptográfica permite uma rápida adaptação às ameaças e evoluções na paisagem de segurança cibernética.

A agilidade criptográfica é essencial para manter a confiança em ambientes digitais, onde as ameaças estão sempre evoluindo e a segurança dos dados é de extrema importância. A Eval reconhece esta necessidade e está na vanguarda da implementação de sistemas que permitem uma rápida mudança e atualização de algoritmos criptográficos e protocolos de segurança.

Na Eval, usamos as mais recentes e seguras formas de criptografia e práticas de agilidade criptográfica para garantir que os dados dos nossos clientes estejam sempre protegidos, sem comprometer a capacidade de adaptação às mudanças no cenário de segurança digital.

Entre em contato com a Eval para saber mais

Agora que você está ciente da crescente ameaça das falhas criptográficas e da importância de um controle rigoroso sobre as chaves e algoritmos criptográficos, chegou o momento de dar um passo adiante.

Não deixe a segurança de seus dados ao acaso. A proteção eficaz dos seus dados começa com a escolha de um parceiro de tecnologia confiável e experiente.

Para saber mais sobre como a Eval pode ajudar você a fortalecer a segurança dos seus dados e a reduzir os riscos ligados a falhas criptográficas, entre em contato conosco hoje mesmo. Nossos especialistas estão prontos para ouvir as suas necessidades e elaborar uma solução personalizada que melhor atenda aos seus requisitos.

Não espere até que seja tarde demais. Faça da segurança de seus dados uma prioridade hoje mesmo e descubra como a Eval pode ajudá-lo a alcançar isso.

Entre em contato com a Eval agora mesmo e dê o primeiro passo para um futuro mais seguro.

Sobre a Eval

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Escrito por Arnaldo Miranda, Evaldo. Ai, revisado por Marcelo Tiziano e Designer de Caio.

Tags Algoritmos criptográficos, chaves criptográficas, criptografia, Falhas criptográficas

Proteção de dados

Informações pessoais de saúde: garantia de segurança e proteção

Autor do post Por Editorial Eval
Data de publicação 28 de abril de 2020

O acesso a informações de saúde requer garantia de segurança e proteção de dados

Informações pessoais de saúde se referem, em suma, a informações demográficas, históricos médicos, resultados de exames e laboratórios, condições de saúde mental, informações sobre seguros e outros dados que um profissional de saúde coleta para identificar um indivíduo e determinar cuidados adequados.

Essas mesmas informações detalhadas a respeito de nossa saúde também são um produto. Além do uso para pacientes e profissionais de saúde, elas também são valiosas para pesquisadores clínicos e científicos quando anonimizadas.

Para hackers esses dados são um tesouro. Afinal, são informações pessoais de pacientes que podem ser roubadas e vendidas em outro lugar. E ainda, eles podem sequestrar os dados através de ransomware até que a instituição médica pague o valor do resgate.

As instituições médicas lidam com informações pessoais de saúde e isso pode ser um risco

Como vimos, pela natureza do setor, as instituições de saúde lidam com dados confidenciais dos pacientes. Essas informações incluem data de nascimento, condições médicas e solicitações de seguro de saúde.

Seja em registros em papel ou em um sistema de registro eletrônico, as informações pessoais de saúde descrevem o histórico médico de um paciente, incluindo assim doenças, tratamentos e resultados.

Para se ter uma ideia, desde os primeiros momentos após o nascimento, um bebê hoje provavelmente terá suas informações pessoais de saúde inseridas em um sistema de registro eletrônico de saúde, incluindo peso, comprimento, temperatura corporal e quaisquer complicações durante o parto.

O rastreamento dessas informações durante a vida de um paciente oferece ao médico o contexto da saúde da pessoa. Dessa forma fica melhor para o profissional tomar decisões de tratamento.

Quando registradas de forma adequada, as informações pessoais de saúde podem ser armazenadas sem recursos de identificação e adicionadas anonimamente a grandes bancos de dados de informações de pacientes.

Esses dados não identificados podem contribuir para a gestão de saúde da população e programas de cuidados baseados em valor.

Entretanto, há casos em que as medidas de segurança, proteção e privacidade de dados não são aplicadas. Assim instituições de saúde, funcionários e principalmente os pacientes correm um sério risco.

Ameaças de segurança cibernética na saúde afetam pacientes e instituições

À medida que a tecnologia avança, os profissionais de saúde trabalham para implementar inovações visando a melhora dos atendimentos, mas as ameaças à segurança cibernética também continuam evoluindo.

Ataques de ransomware e violações de dados de assistência médica continuam sendo as principais preocupações de entidades de saúde e parceiros de negócios de todos os tamanhos.

O ransomware é um bom exemplo de grande impacto para o setor de assistência médica. Ele é considerado de alto risco, uma vez que as organizações de saúde são encarregadas de cuidar de pessoas. Assim, se certas informações ficarem trancadas ou inacessíveis, esse cuidado poderá ser afetado.

A responsabilidade pela proteção das informações pessoais de saúde são de todas as instituições e seus parceiros de negócio

Uma situação às vezes mal interpretada pelas instituições de saúde é que a privacidade e a segurança das informações de saúde nem sempre se movem em conjunto.

Embora a privacidade exija medidas de segurança, é possível ter restrições de segurança que não protegem totalmente as informações privadas de pacientes e responsáveis.

Vamos pensar em um exemplo: se uma instituição de saúde ou um fornecedor de nuvem compartilham dados médicos criptografados para uma clínica ambulatorial, a proteção e a privacidade podem ficar em risco.

Afinal, as instituições precisam firmar um contrato de parceria que inclua requisitos dos processos e políticas de segurança de dados. Se isso não ocorrer, as informações compartilhadas correm alto risco.

Apesar do grande risco, é possível proteger sua organização contra o cibercrime assegurando as informações dos pacientes

Os ataques de ransomware e outros cibercrimes ocorrem quando algum hacker obtém acesso à rede de uma organização. Na sequência, arquivos são criptografados ou roubados.

No caso específico do ransomware, os arquivos ficam inacessíveis pelo alvo até que um valor seja pago como resgate.

Para proteger a sua organização contra ataques como esse e outros crimes cibernéticos direcionados ao setor de saúde, os especialistas em proteção de dados recomendam dez práticas visando a garantia das informações de saúde:

1. Defina políticas e processos claros de proteção e privacidade de dados

Um importante passo na proteção e privacidade das informações de saúde de pacientes e responsáveis é definir de forma clara as políticas e processos de proteção e privacidade de dados.

Esse é o pontapé inicial para todos as demais recomendações de segurança em benefício das instituições médicas.

2. Proteja as informações do paciente no local de trabalho

Utilize controles de acesso a fim de garantir que as informações de saúde dos pacientes sejam acessadas apenas pelos funcionários autorizados.

3. Realize a capacitação dos funcionários sobre políticas e processos de proteção e privacidade de dados de saúde

Uma instituição de saúde protegida deve treinar todos os membros da sua força de trabalho sobre as políticas e procedimentos com relação às informações pessoais de saúde.

O treinamento deve ser fornecido a cada novo profissional dentro de um período razoável de tempo após a pessoa ingressar na instituição.

Além disso, os membros do time também devem ser treinados se suas funções forem afetadas por uma mudança material nas políticas e procedimentos nas regras de privacidade e proteção definidas.

4. Procedimentos para divulgação ou compartilhamento de informações de saúde devem ser documentados e autorizados

É necessária uma autorização por escrito do paciente quando uma instituição de saúde precisar compartilhar ou divulgar documentos, informações ou notas de psicoterapia, distúrbio de abuso de substâncias e registros de tratamento.

5. Defina procedimentos seguros de armazenamento e recuperação de dados de saúde

Backup dos dados devem ser feitos periodicamente. Aliás, é uma prática recomendada também fazer backup de dados regularmente por meio de hardware, como unidades flash e discos rígidos externos, e depois copiar os dados pela nuvem enquanto ela está sendo modificada.

Essa redundância garante que informações críticas estejam prontamente disponíveis. Se possível, as instituições de saúde devem ter backups em vários locais.

6. Firewalls são essenciais para garantir que as informações protegidas não sejam destruídas incorretamente

Usar adequadamente um firewall pode ajudar a evitar que sua instituição seja vítima de um acesso não autorizado com potencial de comprometer a confidencialidade, integridade ou disponibilidade das informações de saúde dos pacientes.

7. Dados de saúde registradas em papel devem ser protegidas

A preocupação com a proteção de dados e privacidade também se aplica ao uso de papel e outros arquivos físicos. Além de políticas e procedimentos abrangendo a segurança física de documentos, os funcionários devem ser orientados a relatar imediatamente todos os incidentes que possam envolver a perda ou roubo de tais registros em papel.

8. Informações pessoais de saúde nunca devem ser deixadas sem supervisão

Cuidados extras devem ser tomados quando os prontuários dos pacientes são transportados temporariamente para outras instituições de saúde.

Essas informações devem ter a supervisão e proteção de profissionais responsáveis durante o percurso, entrega e armazenamento das informações pessoais de saúde.

9. A criptografia de documentos e dispositivos deve proteger dados médicos contra cibercriminosos

Em suma, os dispositivos e documentos devem ser protegidos com uso da criptografia e assinatura digital durante o compartilhamento entre instituições e outros profissionais de saúde.

10. Manter os softwares antivírus e antimalware atualizados é de vital importância para informações pessoais de saúde

Além disso, a atualizações e patches de software devem ser aplicados em tempo hábil para manter as redes e sistemas seguros.

Vale lembrar também que o bom senso é sempre uma boa prática recomendada. Os funcionários nunca devem compartilhar senhas. As senhas padrão devem ser alteradas imediatamente após a atribuição de um novo aplicativo. Por fim, elas não devem ser reutilizadas entre sistemas diferentes e devem também ser alteradas caso forem comprometidas.

O objetivo final é atingir níveis elevados de segurança, proteção e privacidade de dados, garantindo assim a integridade das informações pessoais de saúde de pacientes e demais responsáveis.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags Assinatura Digital, criptografia, proteção de dados, randomware, segurança da informação

Proteção de dados

Gerenciamento de Chaves Criptográficas: Saiba Como se Proteger

Autor do post Por Editorial Eval
Data de publicação 27 de novembro de 2019

Saiba como um HSM pode aumentar a proteção de chaves criptográficas e gerenciar o ciclo de vida das chaves

Hardware Security Module (HSM) consiste basicamente em um dispositivo físico que fornece segurança extra para dados confidenciais. Este tipo de dispositivo é usado para cuidar do gerenciamento de chaves criptográficas para funções críticas, como criptografia, descriptografia e autenticação para o uso de aplicativos, identidades e bancos de dados.

As empresas podem usar um HSM para proteger segredos comerciais com valor significativo. Dessa forma se garante que apenas indivíduos autorizados possam acessar o dispositivo e usar a chave armazenada nele.

Responsável por executar operações criptográficas e Gerenciamento de Chaves Criptográficas

As soluções de HSM são projetadas para atender a rigorosos padrões governamentais e regulatórios e geralmente possuem controles de acesso fortes e modelos de privilégios baseados em funções.

Criado especificamente para operações criptográficas rápidas e com resistência à violações lógicas e físicas, a adoção de um HSM é a maneira mais segura de realizar o gerenciamento de chaves criptográficas. Entretanto seu uso não é tão pratico e requer softwares adicionais.

A utilização de HSM deve ser uma prática padrão para qualquer organização altamente regulamentada, evitando assim que essas empresas percam negócios de clientes como o governo, sistema financeiro e de saúde, que exigem fortes controles de proteção para todos os dados considerados sensíveis em suas operações.

Ele também é importante para empresas que adotam, como parte de suas estratégias, o cuidado para não correr riscos por falta de proteção necessária, sendo estes capazes de manchar a imagem da organização.

Práticas recomendadas e usos do HSM

O uso de HSMs pode fornecer taxa de transferência criptográfica aprimorada e resultar em uma arquitetura mais segura e eficiente para o seu negócio.

O HSM se torna um componente vital em uma arquitetura de segurança, que não apenas minimiza os riscos dos negócios, mas também alcança desempenho de ponta em operações criptográficas.

Algumas das práticas recomendadas e casos de uso para HSMs utilizados pelos principais profissionais de segurança são os seguintes:

Armazenamento de chaves da autoridade certificadora

A segurança das chaves da autoridade certificadora (AC) é mais crítica em uma PKI (Public Key Infrastructure). Se uma chave AC for comprometida, a segurança de toda a infraestrutura estará em risco.

As chaves da AC são armazenadas principalmente em HSMs dedicados para fornecer proteção contra violação e divulgação contra entidades não autorizadas. Isso pode ser feito inclusive para ACs internas.

Armazenamento e gerenciamento de chaves de aplicativos

A criptografia, considerada essencial em muitos negócios, é também ajudada pelo poderoso desempenho dos HSMs, fazendo um trabalho incrível de minimizar impacto no desempenho do uso da criptografia assimétrica (criptografia de chave pública), pois eles são otimizados para os algoritmos de criptografia.

Um excelente exemplo disso é a criptografia do banco de dados, onde a alta latência por transação não pode ser tolerada. Mas não se esqueça de criptografar apenas o necessário, assim a sua solução não gastará tempo com informações não sensíveis.

Operações de criptografia

As operações de criptografia às vezes consomem tempo e podem retardar os aplicativos. Os HSMs têm processadores criptográficos dedicados e poderosos que podem executar simultaneamente milhares de operações criptográficas.

Eles podem ser efetivamente usados descarregando operações criptográficas dos servidores de aplicativos.

Rastreamentos completos de auditoria, log e autorização de usuário

Os HSMs devem manter o registro das operações criptográficas, como gerenciamento de chaves, criptografia, descriptografia, assinatura digital e hash de acordo com a data e a hora em que a operação foi realizada. O processo de registrar os eventos envolve a autenticidade e a proteção da fonte de tempo.

A modificação da interface de configurações de data e hora requer autenticação forte por um cartão inteligente ou pelo menos duas pessoas para sancionar ou autorizar esta tarefa.

Destruição de chaves em caso de ataques

Os HSMs seguem requisitos rígidos de segurança. O conteúdo mais importante para um HSM são as chaves. Em caso de um ataque físico ou lógico, eles zeram ou apagam todas as suas chaves para que não caiam em mãos erradas.

O HSM deve “zerar” a si próprio, apagando todos os dados confidenciais se detectar qualquer adulteração indevida. Isso evita que um invasor que obteve acesso ao dispositivo tenha acesso às chaves protegidas.

O ciclo de vida completo das chaves

O NIST, Instituto Nacional de Padrões e Tecnologia, agência não reguladora do Departamento de Comércio dos Estados Unidos, define o ciclo de vida da chave de criptografia como 4 estágios principais de operação: pré-operacional, operacional, pós-operacional e de exclusão, e requer que, entre outras coisas, seja definido um período de criptografia operacional para cada chave. Para maiores detalhes, clique aqui e veja a partir da página 84 até a página 110.

Portanto, um período criptográfico é o “intervalo de tempo durante o qual uma chave específica é autorizada para uso”.

Além disso, o período criptográfico é determinado combinando o tempo estimado durante o qual a criptografia será aplicada aos dados, incluindo o período de uso e o período em que eles serão descriptografados para uso.

Criptografia por longos períodos

Mas afinal, como uma organização pode razoavelmente querer criptografar e descriptografar os mesmos dados por anos a fio, outros fatores podem entrar em jogo ao considerar o período criptográfico:

Você pode por exemplo limitar a:

Quantidade de informações protegidas por uma determinada chave;
Quantidade de exposição se uma única chave for comprometida;
Tempo disponível para tentativas de acesso físico, processual e lógico;
Período dentro do qual as informações podem ser comprometidas por divulgação inadvertida.

Isso pode ser resumido a algumas perguntas-chave:

Por quanto tempo os dados serão usados?
Como os dados estão sendo usados?
Quantos dados existem?
Qual é a sensibilidade dos dados?
Quanto de dano será causado caso os dados sejam expostos ou as chaves perdidas?

Portanto a regra geral é: à medida que a sensibilidade dos dados protegidos aumenta, a vida útil de uma chave de criptografia diminui.

Diante disso vemos que a sua chave de criptografia pode ter uma vida ativa mais curta que o acesso de um usuário autorizado aos dados. Isso significa que você precisará arquivar chaves desativadas e usá-las apenas para descriptografia.

Depois que os dados forem descriptografados pela chave antiga, eles serão criptografados pela nova chave e, com o tempo, a chave antiga não será mais usada para criptografar/descriptografar dados e poderá ser excluída.

Gerenciamento do ciclo de vida das chaves criptográficas com uso de HSM

Tem sido dito frequentemente que a parte mais difícil da criptografia é o gerenciamento de chaves. Isso ocorre porque a disciplina de criptografia é uma ciência madura, onde a maioria das principais questões foi tratada.

Por outro lado, o gerenciamento de chaves é considerado recente, sujeito a design e preferência individuais, e não a fatos objetivos.

Um excelente exemplo disso são as abordagens extremamente diversas que os fabricantes de HSM adotaram para implementar seu gerenciamento de chaves, o que acabou levando ao desenvolvimento de outra linha de produto, o Ciphertrust. Ele possui várias funcionalidades dos HSMs e outras que são exclusivas, como anonimização e autorização por exemplo.

Entretanto, houve muitos casos em que os fabricantes de HSM permitiram que algumas práticas inseguras passassem despercebidas, resultando em vulnerabilidades que comprometeram o ciclo de vida das chaves criptográficas.

Portanto, ao procurar um HSM para gerenciar o ciclo de vida completo, seguro e de uso geral, é essencial inspecionar aqueles que possuem excelentes referências de clientes, vida útil longa da implantação e certificações de qualidade.

HSM em poucas palavras

Para resumir, um HSM é normalmente um servidor com diferentes níveis de proteção de segurança ou simplesmente “proteção” que evita violações ou perda. Podemos resumir assim:

Inviolável: adição de revestimentos ou vedações invioláveis em parafusos ou travas em todas as tampas ou portas removíveis
Resistente a violações: adicionando “circuito de detecção/resposta de violações” que apaga todos os dados sensíveis.
Prova de adulteração: endurecimento completo do módulo com parafusos e travas evidentes/resistentes a adulteração, juntamente com a mais alta sensibilidade ao “circuito de detecção/resposta de adulteração” que apaga todos os dados sensíveis

Com muitas organizações movendo algumas ou todas as suas operações para a nuvem, também surgiu a necessidade de mover sua segurança para essa arquitetura.

A boa notícia é que muitos dos principais fabricantes de HSM, desenvolveram soluções para instalar HSMs tradicionais em ambientes em nuvem.

Portanto, os mesmos níveis de “proteção” serão aplicados, pois temos um HSM tradicional em um ambiente de nuvem.

Saiba mais sobre o uso do HSM no gerenciamento de chaves criptográficas em nosso blog e saiba como aplicar a tecnologia de criptografia de forma eficaz em sua empresa entrando em contato com os especialistas da Eval.

Estamos à disposição para tirar suas dúvidas e ajudar a definir as melhores formas de proteger sua organização contra o vazamento e roubo de dados.

Sobre a Eval

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia, gerenciamento de chaves, Hardware Security Module, HSM

Proteção de dados

Encriptação e Criptografia: 10 posts que você precisa ler

Autor do post Por Editorial Eval
Data de publicação 26 de junho de 2019

10 posts sobre criptografia que você precisa ler

Os conceitos por trás do surgimento da criptografia são bastante simples. Entretanto, saber aproveitar os benefícios desta tecnologia e evitar armadilhas na gestão do seu negócio são outras questões.

A criptografia é uma evolução e uma alternativa às técnicas e aos métodos contra ataques virtuais e roubo de dados. Ela continua a evoluir juntos aos avanços tecnológicos. Afinal, novas soluções surgem e mais empresas recorrem à encriptação para garantir privacidade e proteção.

Há não muito tempo atrás, a indústria definiu a criptografia como o método pelo qual um texto simples, ou qualquer outro tipo de dado é convertido de um formato legível para uma versão codificada que só pode ser decodificada por outra entidade que tenha acesso a uma chave de descriptografia.

Essa definição se expandiu e mudou nos últimos anos, enquanto empresas como a Eval entraram no mercado com produtos que oferecem avanços da encriptação e soluções práticas.

Assim, a inovação foi além dos objetivos principais da encriptação. Já que atualmente agrega vários benefícios. Dentre eles, podemos citar por exemplo: redução de custos, aumento de produtividade e gestão estratégica para diferentes tipos de empresas, independentemente de tamanho ou segmento.

Os artigos do blog da Eval apresentam uma série de conceitos e práticas que os leitores podem usar em vários estágios do ciclo de aquisição, implantação e gerenciamento. Dessa forma, podemos ajudá-los a aproveitar ao máximo os benefícios da criptografia.

Implementar assinatura digital, adotar uma uma abordagem centrada em gestão de documentos ou investir em políticas. Há informações por aqui que certamente ajudarão sua empresa na busca pela efetiva proteção de dados.

A proteção de dados como prioridade

Antes mesmo de iniciarmos nossa lista, é importante destacar as consequências da falta de investimentos em segurança e privacidade. Por isso, mostraremos os problemas gerados pela falta de proteção de dados em sua organização.

Neste artigo, além de entender a importância da proteção de dados por meio de nossa lista de publicações, é possível ter uma ideia dos riscos que vivemos atualmente.

O fato é que a proteção de dados se tornou uma preocupação para instituições como o Fundo Monetário Internacional (FMI), para o próprio governo e outras organizações, que têm a segurança da informação como uma prioridade.

Agora, sim, vamos à nossa lista!

A base para entender a importância da criptografia

Basicamente, dividiremos a nossa lista em duas partes. A primeira delas serve para dar embasamento e ensinar boas práticas relacionadas a encriptação e gestão de chaves criptográficas.

1. Sobre criptografia e gerenciamento de chaves

No artigo Criptografia de dados e gerenciamento de chaves, abordamos aspectos relevantes para a segurança da informação relacionados à encriptação.

O objetivo era apresentar os conceitos básicos sobre tecnologia criptografia, serviços criptográficos e, por último, gerenciamento de chaves criptográficas.

Além disso, mostramos a importância do correto gerenciamento das chaves criptográficas para a programação dos serviços criptográficos.

2. Por que gerenciar chaves criptográficas?

Afinal, por que você deve gerenciar chaves criptográficas? Neste artigo, mostramos que gerenciamento significa se proteger contra perdas, roubos, corrupções e acessos não autorizados.

Portanto, a proteção de dados não consiste apenas em adotar a encriptação em processos de negócio, gerenciamento e compartilhamento. Afinal, é preciso fazer uma gestão eficiente de todos os elementos relacionados ao uso da tecnologia.

3. E se, mesmo assim, ocorrer a perda das chaves de criptografia?

Para os que não se convenceram da importância do gerenciamento das chaves criptográficas, ou não entenderam o problema da má gestão, o artigo A verdade que ninguém nunca contou a você sobre perda de chaves mostra as consequências disso.

4. A busca pela melhor forma de proteger dados

Até aqui, você viu conceitos, benefícios de adotar a criptografia nos negócios e impactos relativos à gestão das chaves criptográficas.

No artigo Criptografia nativa é a melhor forma de proteger dados?, mostramos que soluções de Enterprise Key Management (EKM) nas empresas se tornaram fundamentais para adequação às regulamentações existentes no mercado.

Esse tipo de solução também proporciona acesso a outros benefícios importantes em relação à proteção de dados para qualquer organização.

5. Fatos importantes sobre a criptografia

Para fechar a primeira parte da nossa lista, temos o artigo O que você não sabia sobre software de criptografia. Ele esclarece dúvidas e mostra pontos importantes a respeito desse assunto, sobre o qual, muitas vezes, empresas e profissionais não têm o devido conhecimento.

Portanto, concluímos esta etapa pontuando questões que não podem ser ignoradas em um processo de adoção da tecnologia.

Encriptação na prática

De nada adianta teoria sem prática, não é verdade?

São os casos de sucesso que demonstram que o uso da criptografia é um dos principais caminhos para garantir a segurança da informação e proteção de dados.

Por isso, começaremos a segunda etapa da nossa lista de artigos sobre encriptação.

6. Onde se aplica a encriptação

No artigo Lugares onde você usa criptografia e nem imagina, mostramos situações do cotidiano onde a tecnologia é aplicada e muitas vezes a gente nem sabe.

Um conteúdo interessante, que mostra o quanto a tecnologia é aplicada com sucesso, garantindo privacidade e proteção de dados.

7. A famosa relação da criptografia e do mercado financeiro

A criptografia ficou bastante conhecida por meio de sua aplicabilidade no mercado financeiro.

Por isso, nada mais justo que o nosso primeiro caso de sucesso seja retratado no artigo Como a criptografia beneficia o mercado financeiro?

8. A criptografia passa pelo nosso cartão de crédito

Um dos pontos mais críticos quando falamos em roubo de dados é o uso indevido do cartão de crédito e de outras formas de pagamento que fazem parte do nosso dia a dia.

Ao final de leitura do artigo Criptografia para registros financeiros e dados de pagamento, o leitor entenderá porque essa tecnologia se tornou tão vital para as nossas movimentações financeiras e informações pessoais.

9. Sim, a encriptação também está na comunicação

Esse é mais um caso que mostra que a tecnologia está em nosso cotidiano e a gente nem percebe.

No artigo Criptografia para aplicativos de comunicação: saiba mais, o leitor perceberá que privacidade e proteção de dados passam pelos nossos principais canais de conversa.

Os principais aplicativos de mensagens já adotaram essa tecnologia como principal instrumento de segurança de dados.

10. O sigilo de nossas informações passa pelo uso da criptografia

Para finalizar nossa lista de artigos, o conteúdo Sigilo e verificação de origem utilizando criptografia assimétrica mostra o caso da aplicação dessa técnica para saber de onde veio uma mensagem.

Apesar de ser conceitual, o artigo faz uma analogia com uma situação real: a importância do sigilo das informações que compartilhamos diariamente.

O que você achou de nossa lista? Ela ajudou a compreender os conceitos e a importância da encriptação em para a sua vida profissional e pessoal? Continue acompanhando o nosso blog para saber mais sobre a tecnologia e as novidades da E-VAL.

Sobre a Eval

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia, gerenciamento de chaves, proteção de dados

Proteção de dados

Criptografia e gerenciamento de chaves – Conceitos Importantes

Autor do post Por Editorial Eval
Data de publicação 16 de maio de 2019

Criptografia e gerenciamento de chaves e serviços criptográficos são cada vez mais presentes nas empresas hoje. Leia para saber mais.

O uso de criptografia e gerenciamento de chaves, além dos serviços criptográficos são vitais para proteção de dados em repouso ou de meios de comunicação, uma realidade para as empresas e os usuários de serviços como armazenamento em nuvem, troca de mensagens e muitos outros.

Entretanto, para os responsáveis por estes serviços são apresentadas muitas opções de mecanismos criptográficos e consequentemente, há muitas escolhas a serem feitas.

Escolhas inadequadas podem resultar em pouco ou nenhum ganho, criando uma falsa sensação de segurança.

Por exemplo: criptografar uma base de dados e manter a chave criptográfica em um arquivo no servidor.

Neste artigo pretendemos abordar alguns aspectos relevantes para a segurança da informação que estão relacionados às chaves criptográficas. Com isso mostraremos a importância do correto gerenciamento delas para a programação dos serviços criptográficos.

Para facilitar o entendimento, dividiremos o artigo em três partes. Iniciando com os conceitos básicos sobre criptografia e gerenciamento de chaves e serviços criptográficos .

Conceitos básicos de criptografia de dados

A criptografia consiste em um conjunto de princípios utilizados para garantir a segurança da informação.

Para isso, emprega técnicas para transformar uma informação (cifrar) em outra (criptograma) que é legível apenas para quem conheça o segredo (chave secreta).

Mantendo este segredo seguro, impedimos que pessoas não autorizadas tenham acesso à informação original (decifrar).

Segredo

A segurança dos serviços criptográficos é baseada no segredo da chave criptográfica, que permite cifrar e decifrar, e não no método de transformar a informação, ou seja o algoritmo utilizado, que deve ser público.

Chaves simétricas e assimétricas

Em criptografia e gerenciamento de chaves existem dois tipos básicos de algoritmos: os de chave simétrica e assimétrica. Os primeiros utilizam uma única chave para cifrar e decifrar os dados, enquanto os segundos adotam par de chaves, sendo uma para cifrar e a outra para decifrar.

O diagrama a seguir mostra o uso de uma chave simétrica para a cifra de uma mensagem. Podemos ver que a chave utilizada por João é a mesma adotada por Alice.

Criptografia e gerenciamento de chaves e serviços criptográficos - Chaves Simétricas e Assimétricas. — Figura 2 – Algoritmo de chave simétrica

O próximo diagrama mostra o uso de uma chave assimétrica. A chave utilizada por Alice para cifrar é a chave pública de João, que usa sua chave privada para decifrar.

Criptografia e gerenciamento de chaves e serviços criptográficos - Algoritmo de chaves assimétricas — Figura 3 – Algoritmo de chaves assimétricas

Um ponto interessante deste tipo de algoritmo é que, após cifrar com a chave pública, apenas a privada pode decifrar.

Como exemplos de uso para estes algoritmos, podemos citar uma base de dados que utiliza o algoritmo AES (chave simétrica) para cifrar uma determinada informação no banco de dados e a assinatura digital de documentos que usa o algoritmo RSA (chave assimétrica).

Também gostaríamos de ressaltar que o segredo nestes dois tipos de algoritmos está em proteger a chave simétrica e a privada (no caso das chaves assimétricas).

Por fim, outro aspecto é que estes algoritmos são complementares e servem como base para a programação dos serviços criptográficos.

Resumo criptográfico e assinatura digital

Em relação a criptografia e gerenciamento de chaves, o resumo criptográfico é um valor que representa uma informação. Ele é gerado por meio de um algoritmo, como o SHA256, a fim de analisar os dados bit-a-bit e cria um valor que não pode ser falsificado na prática.

Criptografia e gerenciamento de chaves e serviços criptográficos - Resumo criptográfico — Figura 4 – Resumo criptográfico

Porém, o resumo criptográfico não pode ser usado sozinho, pois apesar de não ser viável falsificá-lo, é possível substitui-lo.

Então, para ser utilizado na prática, o resumo criptográfico é cifrado com a chave privada (assimétrica), gerando uma assinatura digital.

Assim, todos que têm a chave pública podem gerar o resumo criptográfico e compara-lo com o presente na assinatura digital.

Com isso pode-se verificar se os dados são válidos. Ações fundamentais em criptografia e gerenciamento de chaves.

Criptografia e gerenciamento de chaves e serviços criptográficos - Assinatura digital — Figura 5 – Assinatura digital

Vamos tomar o SHA256 with RSA por exemplo. Ele utiliza o algoritmo de resumo SHA256 e o algoritmo de criptografia RSA para gerar a assinatura digital. Porém, isso ainda não é suficiente, pois não temos como identificar a quem pertence uma determinada chave pública.

Para tal, é necessário um novo elemento: o certificado digital.

O certificado digital consiste basicamente em uma informação textual que identifica uma entidade (pessoa, empresa ou servidor), uma chave pública e um propósito de uso. Ele tem uma assinatura digital.

É importante observar que a assinatura do certificado digital deve ser feita por uma entidade terceira (autoridade certificadora digital) confiável.

Assim, introduzimos o conceito de relação de confiança. De acordo com ele, se confiamos na entidade A e esta confia na entidade B, então também confiamos em B.

Assim, concluímos os conceitos básicos de criptografia. Na próxima parte, falaremos sobre os serviços criptográficos que podem ser criados a partir deles.

Serviços criptográficos

Fazendo parte do ciclo de vida da criptografia e gerenciamento de chaves, os mecanismos criptográficos básicos, como criptografia simétrica e resumo criptográfico são utilizados para suportar serviços de confidencialidade, integridade, autorização e irretratabilidade ou não repúdio.

Assim, temos que um mecanismo criptográfico pode ser utilizado para suportar vários serviços. Do mesmo modo é importante que os serviços criptográficos devem ser utilizados em conjunto para garantir a segurança.

A seguir, descreveremos brevemente os serviços criptográficos básicos:

Confidencialidade

Este serviço provê a confidencialidade dos dados por meio de criptografia e gerenciamento de chaves. Ele também garante que as informações não possam ser visualizadas por terceiros e que apenas pessoas autorizadas tenham acesso a elas. Fundamental em criptografia e gerenciamento de chaves.

Como exemplo, temos a cifra de arquivos, sistemas de arquivos e bases de dados com chaves simétricas. Também temos informações cifradas com a chave pública do certificado, assim só quem têm a chave privada correspondente poderá abrir a informação.

Integridade

O serviço de integridade deve garantir que uma determinada informação não seja modificada de maneira não autorizada após a sua criação, durante a transmissão ou o armazenamento.

Seja a alteração acidental ou intencional, a inserção, remoção ou substituição de dados deve ser detectada. Mecanismos criptográficos como o resumo criptográfico, também conhecido como hash e a assinatura digital fornecem o suporte para este serviço.

Autenticação

O serviço de autenticação verifica a identidade de um usuário ou sistema que solicita autorização para acesso a uma informação.

A assinatura digital é um mecanismo criptográfico geralmente utilizado para suportar este serviço, pois já foi validado a identificação do antes da emissão do certificado digital, seja feito por uma Autoridade Certificadora confiável ICP-Brasil ou outra que a organização confie, tal como, Autoridade Certificadora Interna.

Nas Autoridades Certificadoras ICP-Brasil, é no processo de emissão do certificado digital que a pessoa necessita comparecer a uma validação presencial, com documentos originais que comprovem a identidade do requerente.

Irretratabilidade

O serviço de irretratabilidade fornece os meios para garantir que quem criou uma informação não possa negar a autenticidade dela.

Neste sentido, está ligada à assinatura digital, na qual o proprietário da chave privada não pode negar que a realizou para um determinado fim.

Assim, terminamos a descrição dos serviços criptográficos. Na próxima parte, apresentaremos os principais fatores a serem considerados no gestão de chaves criptografia e gerenciamento de chaves.

Autorização

Adicionalmente, após a autenticação, é possível utilizar a informações do usuário autenticado no sistema para definir a autorização as informações. O serviço de autorização fornece a aprovação ou permissão para a execução de uma atividade.

Como exemplo, o serviço de autorização pode ser empregado para definir as permissões de uso de uma chave criptográfica que, consequentemente, permitiria o acesso a uma determinada informação.

Gerenciamento de chaves criptográficas

As chaves criptográficas são o fundamento da criptografia e gerenciamento de chaves, e nestas reside a segurança dos dados cifrados. Brechas podem levar ao comprometimento das chaves e, consequentemente, ao vazamento de informações sigilosas.

O aumento no uso da criptografia para proteção de dados, principalmente devido à regulamentação do governo, faz com que as empresas tenham que lidar com múltiplas soluções para cifra.

Por conta da diversidade de fornecedores, as organizações também precisam definir vários procedimentos para gerenciar as chaves criptográficas, sendo que nem sempre eles são adequados.

O gerenciamento de chaves criptográficas consiste em armazenar, proteger, organizar e garantir o uso adequado delas, gerir seu ciclo de vida e manter cópias de segurança de forma segura e consistente.

No gerenciamento de chaves, devemos levar em consideração alguns pontos que descreveremos a seguir:

Armazenamento seguro das chaves

As chaves devem ser armazenadas de forma segura, ou seja, cifradas e com controle de acesso.

A criptografia deve ser preferencialmente realizada por meio de chaves (KEK) protegidas em um hardware criptográfico.

Identificação das chaves

Deve ser possível identificar uma chave, seu tipo, sua finalidade, quem está autorizado a utiliza-la e o período de uso.

Autenticação de usuário e autorização de uso

O uso das chaves criptográficas deve ser permitido apenas após a identificação do usuário.

Assim, para o gerenciamento adequado das chaves, o sistema deve fornecer mecanismos de autenticação e autorização ou permitir a integração com sistemas já existentes, como o Active Directory da Microsoft.

Ciclo de vida das chaves criptográficas

O ciclo de vida das chaves criptográficas deve ser controlado para que elas sejam utilizadas de forma adequada durante o período de validade — ou seja, somente pessoas ou sistemas autorizados podem utiliza-las durante um tempo pré-definido e com mecanismos seguros para que não haja comprometimento.

Assim descreveremos o ciclo de vida das chaves, segundo recomendação NIST.

O ciclo de vida de uma chave inicia com a geração e finaliza com a destruição, passando por um ou mais dos estados descritos a seguir:

Geração: momento de criação da chave, que ainda não está pronta para uso;
Pré-ativação: a chave foi gerada, mas ainda não está pronta para uso, porque aguarda o período de utilização ou a emissão de um certificado;
Ativada: a chave está disponível para uso;
Suspensa: o uso da chave está suspenso temporariamente. Neste estado, ela não pode mais realizar operações de cifra ou assinatura, mas pode ser utilizada para recuperação de dados ou verificação de assinaturas realizadas anteriormente.
Inativada: a chave não pode ser mais utilizada para cifra ou assinatura digital, sendo mantida para o processamento de dados cifrados ou assinados antes da inativação.
Comprometida: indica que a chave tem a sua segurança afetada e não pode mais ser usada em operações criptográficas (criptografia e gerenciamento de chaves). Em alguns casos, como nas chaves simétricas, pode ser utilizada para recuperar os dados cifrados para posterior cifra com outra chave.
Destruída: este estado indica que uma chave não é mais necessária. A destruição da chave é o estágio final e pode ser atingido devido ao fim do ciclo de uso dela ou do comprometimento de sua segurança.

Cópias de segurança das chaves criptográficas

A função principal das cópias de segurança é garantir a recuperação das chaves e, consequentemente, dos dados cifrados em caso de perda ou devido a falhas.

Assim como as chaves, que devem ser armazenadas de forma segura durante o uso, as cópias de segurança também precisam ser protegidas.

Elas podem ser guardadas em arquivos cifrados ou hardwares criptográficos próprios para esta finalidade, que devem ficar em locais seguros.

Sobre a Eval

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. Eval, segurança é valor.

Tags criptografia, criptografia de dados, gerenciamento de chaves

Proteção de dados

Perda de Chaves e a Verdade que Ninguém Contou a Você

Autor do post Por Editorial Eval
Data de publicação 1 de junho de 2018

A verdade que ninguém nunca contou a você sobre perda de chaves

Atualmente, o roubo de dados e requisitos de conformidade regulamentar causaram um aumento drástico no uso de chaves de criptografia nas empresas. O que também causou uma incidência de perda de chaves em virtude da gestão deficiente desses ativos.

É muito comum, por exemplo, que uma única empresa use várias dezenas de ferramentas de criptografia diferentes. Possivelmente essas ferramentas sejam incompatíveis, resultando assim em milhares de chaves de criptografia.

Como prevenir a perda de chaves?

Em um mundo perfeito, a gestão de chaves criptográficas tem a responsabilidade pela administração, proteção, armazenamento e o backup de chaves de criptografia.

Afinal, cada chave deve ser armazenada com segurança, protegida e recuperável. Porém, a realidade é outra e você deve saber bem como termina essa história quanto a perda de chaves.

A importância do armazenamento e backup de chaves de criptografia

O gerenciamento de chaves significa proteger as chaves de criptografia contra perda e acesso não autorizado.

Muitos processos devem ser usados para fazer o controle e a gestão de chaves. Isso inclui alterar as chaves regularmente, gerenciar como as chaves são atribuídas e quem as recebe.

A experiência nos mostra que a perda de chaves gera um grande impacto em importantes processos de negócio das empresas. Isso faz com que ocorra a perda de acesso a sistemas e dados, bem como torna um sistema completamente inútil, a menos que seja formatado e totalmente reinstalado.

Vale destacar que atualmente é essencial para qualquer empresa ter mais de uma pessoa responsável pelo armazenamento e backup das chaves de criptografia.

Desta forma, somos direcionados a diversas boas práticas do mercado. Temos por exemplo as funções dos responsáveis definidas e a criação de uma política de gerenciamento de chaves de criptografia eficiente e acessível a todos.

Entretanto, há um grande desafio pela frente. Um dos grandes problemas conhecidos é a falta de ferramentas unificadas para reduzir a sobrecarga do gerenciamento.

Um sistema de gerenciamento de chaves comprado de um fornecedor não pode gerenciar as chaves de outro fornecedor. Isso é devido ao fato que cada um implementa um mecanismo de gerenciamento de maneira própria.

Você provavelmente deve estar recordando alguns fatos relacionados a falta de um armazenamento eficiente. Inclusive os casos de perda de chaves e os impactos para a empresa.

A perda de chaves expõe dados de pessoas e empresas

A perda ou a exposição de chaves de criptografia nunca será uma boa experiência. Imagine, por exemplo, um desenvolvedor armazenando acidentalmente as chaves em um repositório público?

Infelizmente este cenário é provável, pode acontecer facilmente para qualquer tipo de chaves de criptografia e em diferentes empresas.

Alguém pode enviar acidentalmente as chaves em um código fonte ou em qualquer envio de conjunto de arquivos ou dados.

Seja na nuvem ou em data centers próprios, as empresas precisam construir uma estratégia de gerenciamento que evite a perda das chaves e/ou exposição indevida.

Como vimos, as chaves devem armazenadas de maneira segura e com acesso limitado àqueles que precisam delas para trabalhar. Por isso, algumas empresas utilizam aplicativos de proteção contra perda de chaves.

Elas servem para verificar o tráfego na rede em busca de vazamentos de dados. Assim como detectar a divulgação acidental ou maliciosa de informações confidenciais ou particulares.

Não apenas a gestão deficiente de chaves pode levar a servidores comprometidos. Mas também se as chaves usadas para criptografar dados forem perdidas, os dados criptografados com essa chave também serão perdidos.

Portanto, não existe um substituto para o gerenciamento de chaves de criptografia.

Situações comuns que levam a perda de chaves criptográficas

Por ser algo de relativa complexidade para determinados funcionários das empresas, é possível imaginar que a perda de chaves não aconteça com tanta frequência. Entretanto, existem situações muito comuns em nossas rotinas que nos levam a cenários de perda de chaves:

O responsável pelas chaves esquece a senha de acesso à chave;
O funcionário responsável pelas chaves não lembra onde armazenou a chave;
O gestor possui uma quantidade de chaves enorme para gerenciar;
A pessoa responsável pelas chaves sai da organização e quem fica acaba com um grande problema de gerenciamento.

A importância das chaves criptográficas é óbvia para os profissionais de segurança da informação. Mas a complexidade do gerenciamento delas pode ser quase tão assustadora quanto os próprios algoritmos de criptografia.

Tudo se resume ao quanto é importante para as empresas controlarem as chaves

Antes de mais nada, é importante ver o que é uma assinatura digital e como ela funciona.

Uma assinatura digital é o equivalente a uma assinatura escrita. Seu propósito pode ser verificar a autenticidade de um documento ou verificar se o remetente é quem ele afirma ser.

Isso nos mostra a importância das chaves de criptografia em processos produtivos, Assim como o impacto gerado pela perda das chaves nas rotinas das empresas de diferentes segmentos ou tamanhos.

O custo principal da perda de chaves é o gerenciamento de risco. Isso por que incidirá principalmente em tornar as empresas alvo para sofisticados ataques virtuais, levando a prejuízos não só financeiros, mas também relacionados a imagem da organização.

Uma das práticas mais recomendadas para reduzir incidentes relativos aos ataques virtuais é a realização de auditorias. Isso por que essa prática auxilia identificar se as chaves estão sendo utilizadas e da forma correta.

Esse processo consiste em auditar a criptografia de chave pública para identificar fontes e dispositivos vulneráveis, de tokens a certificados TLS.

As estratégias de mitigação disponíveis dos fornecedores podem então ser revisadas e aplicadas de acordo com as prioridades baseadas no risco.

A solução para todos os problemas é…

Não faltam orientações sobre como gerenciar identidades digitais e como identificar a melhor opção para sua empresa, tudo depende do ambiente atual e dos recursos disponíveis.

Embora o uso de uma política mais forte de gestão possa ser a opção mais segura, isso também pode resultar em custos significativos. As empresas devem se concentrar na melhoria contínua. Além disso, pode ajudar a gerenciar seus riscos a um preço compatível com sua realidade.

As empresas devem avaliar criticamente a forma com protegem seus sistemas. Devem também considerar as causas raiz dos incidentes de segurança em seus ambientes como parte de uma avaliação de riscos.

É comum, por exemplo, vários incidentes de segurança relacionados a contas comprometidas. Principalmente em decorrência da falta do gerenciamento correto das chaves de criptografia.

À medida que os sistemas se tornam mais seguros e as empresas adotam medidas efetivas para gerenciar seus processos. Vale lembrar que iniciativas como a autenticação e gestão de chaves estão se tornando cada vez mais importantes.

É importante garantir que sua empresa esteja usando os processos de autenticação e autorização apropriados. Para isso é necessário o uso de chaves criptográficas com base na gestão de riscos.

Afinal já é o primeiro passo para reduzir os riscos de incidentes e garantir a confidencialidade dos dados de clientes e funcionários.

Aproveite o final do nosso artigo e responda a seguinte pergunta: Qual é a estratégia de gerenciamento de chaves de criptografia adotada por sua empresa atualmente?

Assine nossa Newsletter e fique por dentro das novidades e tecnologias EVAL. Continue acompanhando nossos conteúdos no blog e também em nosso perfil do Linkedin.

Sobre a Eval

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags chaves criptográficas, criptografia, gerenciamento de chaves

Proteção de dados

Desafios da Cibersegurança – Tecnologias que Mudam a Realidade

Autor do post Por Editorial Eval
Data de publicação 25 de abril de 2018

Conheça as 5 tecnologias que estão mudando o cenário da cibersegurança. Inteligência Artificial e Blockchain estão entre elas.

A área da cibersegurança tem enfrentado desafios cada vez maiores. Com organizações criminosas aumentando a sofisticação e diversidade de formas de ataques, é preciso que as instituições tenham ferramentas à altura para que consigam se proteger, a exemplo da Inteligência Artificial, Blockchain, entre outras inovações.

Felizmente, a evolução não é unilateral.

Governos, usuários e profissionais da área de segurança da informação estão atentos ao tema, buscando melhores soluções desafios da cibersegurança e encontrando boas perspectivas.

Neste texto, por exemplo, separamos 5 tecnologias que estão mudando o cenário da cibersegurança. Nem todas são novas, mas têm sido usadas de formas inovadoras para fazer frente aos cibercrimes.

1. Blockchain para os desafios da cibersegurança

Conhecido por ser a tecnologia por trás da bitcoin, o blockchain tem sido visto como provedor de muitas oportunidades. No âmbito da cibersegurança, ele está ainda em sua fase inicial.

Mas, em breve, deve ser o responsável por muitas novidades no setor.

Uma vez que registra toda atividade de forma permanente e transparente para toda a rede, o blockchain torna possível enxergar quando um novo usuário tenta acessar arquivos que nunca havia acessado, por exemplo.

Isso pode deixar mais fácil de enxergar anomalias, já que ficarão gravadas nos blocos de informação da cadeia.

2. Inteligência Artificial e a Cibersegurança

Por sua alta capacidade de processamento, a inteligência artificial tem sido uma grande aliada na busca por quebra de padrões nas redes.

A rapidez com que conseguem varrer o sistema é infinitamente superior à capacidade humana, o que ajuda a detectar eventos desconhecidos e impedi-los de continuar antes que aumentem de proporção.

Essa é uma tecnologia que tende ainda a crescer muito, principalmente com a possibilidade das máquinas expandirem sua aprendizagem continuamente, dependendo menos do input de informações por parte dos humanos.

3. Machine Learning e o desenvolvimento da cibersegurança

O machine learning promete ser a cereja que faltava no bolo da inteligência artificial.

Com sua capacidade de aprendizado não dependendo mais de uma pessoa, as máquinas podem rapidamente aprender novos padrões e a identificar de forma mais intuitiva mudanças maliciosas na rede.

Apesar de estar em foco de um tempo para cá, o conceito do machine learning não é nada novo. Porém, só hoje ele encontra as possibilidades tecnológicas para se desenvolver mais plenamente e criar novas possibilidades para diversos âmbitos.

E, claro, isso inclui a cibersegurança.

4. Cloud Computing e os Desafios da Cibersegurança

Além de representar uma economia de investimento e oferecer mais opções quando o assunto é escalabilidade, o cloud computing oferece também mais segurança que os data centers físicos.

É claro que é preciso lembrar que no final das contas seus dados estarão, sim em algum lugar do mundo, armazenados em um espaço físico.

Porém, por ser um local destinado só a isso, ele terá uma estrutura de segurança superior a que sua organização provavelmente pode oferecer.

Além disso, os serviços de cloud oferecem planos com backups automáticos e controlam a segurança da rede o tempo todo. Mesmo as remediações, caso necessárias, são feitas de forma muita mais rápida na nuvem.

5. Criptografia aplicada à Cibersegurança

E se, mesmo com todas as precauções, sua organização tenha um vazamento de dados?

Nesse caso, a criptografia oferece uma última e importante barreira de proteção. Sem a chave criptográfica, suas informações continuam ilegíveis.

Essa tecnologia mudou especialmente o mercado financeiro. Alguns exemplos do seu uso são os tokens e a criptografia de dados do cartão de crédito em compras online. Hoje, até mesmo trocas de mensagens instantâneas e redes sociais contam com essa tecnologia.

Já conhece as tecnologias que estão mudando o cenário da cibersegurança, mas não sabe por onde começar?

Quando o assunto é segurança de dados, quanto mais soluções forem utilizadas, melhor. Aliás as diversas tecnologias garantem mais camadas de proteção e trazem mais robustez à rede.

Mas, se ainda precisa traçar desde o início um plano para segurança da informação na sua empresa, veja aqui por onde começar sua estratégia.

Sobre a Eval

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags Blockchain, Cloud Computing, criptografia, IA, Inteligência Artificial, Machine Learning

Proteção de dados

Criptografia na prática: Lugares onde você usa e nem imagina

Autor do post Por Editorial Eval
Data de publicação 19 de junho de 2017

Lugares onde voce usa criptografia e nem imagina

Se você acha que criptografia na prática é apenas para as grandes empresas do setor financeiro, está enganado.

Na verdade, a proteção de dados é mais importante do que imaginamos, muitas vezes ela está bem na nossa frente e nem notamos. A tendência é que ela realmente passe despercebida, garantindo assim a sua eficiência.

Veja a seguir exemplos do cotidiano que aproximam a criptografia na prática das pessoas sem que elas percebam:

Criptografia na prática: ela está onde você nem imagina

Internet Banking possui criptografia como requisito fundamental

Pagamentos online e transações financeiras de forma remota já são realidade no dia a dia de milhares de brasileiros. Entretanto, muitos deles nem se dão conta de que estão se beneficiando da criptografia nesses serviços.

A facilidade que os sistemas de internet banking trazem para os usuários é possível graças ao sistema de segurança que os bancos adotam para proteger os seus dados.

Assim, todas as transações ficam protegidas por criptografia na prática, garantindo a segurança dos dados dos usuários.

O uso de aplicações em dispositivos móveis é cada vez mais comum. São muitas as possibilidades e uma das preferidas dos usuários é a troca de mensagens rápidas.

O aplicativo de troca de mensagens mais usado no Brasil é o WhatsApp, que atualmente pertence ao Facebook. As funções dentro do app são diversas e permitem entre outras coisas a troca de fotos, vídeos e mensagens de voz, por exemplo.

Tudo acontece de forma rápida e simples, e assim o volume de mensagens é cada vez maior.

A fim de garantir que o conteúdo das mensagens trocadas pelo WhatsApp não seja interceptado, o aplicativo utiliza uma tecnologia de segurança que eles próprios chamam de criptografia de ponta a ponta.

A privacidade se tornou um fator primordial para os usuários do aplicativo que ficaram sabendo da proteção por criptografia por meio de um aviso emitido pelo app.

iPhone é exemplo de criptografia na prática

Manter os dados privados seguros é uma realidade em muitas áreas, nos dispositivos portáteis isso também acontece com a criptografia na prática, mas poucos usuários têm consciência disso.

Os smartphones da fabricante Apple são conhecidos, entre outras coisas, por oferecerem boa segurança aos seus usuários. Esse é sem dúvida um dos atrativos para a legião de fãs da marca.

O fato é que quando necessário, a criptografia do iPhone se mostrou resistente. Como no caso em que o FBI precisou quebrar a segurança de um dispositivo que pertencia a um suspeito de envolvimento com terrorismo.

A repercussão foi grande. O FBI pediu a ajuda da Apple para quebrar a criptografia do iPhone. A Apple por sua vez foi a justiça para garantir que ela não participasse da quebra, pois isto traria um risco para empresa, se ela ajuda a quebrar a criptografia de um cliente, por que não de todos?

Criptografia também acontece nas Redes Sociais

As redes sociais possuem políticas de segurança próprias a fim de garantir a integridade dos dados de seus usuários. Ao decidir entrar numa rede social você precisa concordar com os termos de privacidade dela.

Portanto, a responsabilidade pelo conteúdo postado é sua. Além disso, compreender essa política de privacidade dá ao usuário a consciência sobre o que é e o que não é recomendável ser compartilhado por ali.

Para acessar uma rede social o usuário precisa de uma chave de permissão, criada junto ao sistema previamente. A sua senha lhe permite interagir com outros usuários, trocar mensagens e visualizar conteúdo interno.

Para garantir a segurança, a criptografia na prática é aplicada desde o canal de comunicação até algumas informações dos usuários que são armazenadas.

Sobre a Eval

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Tags criptografia, criptografia de ponta a ponta

Uso de algoritmos e protocolos criptográficos fracos ou obsoletos

Uso inadequado de chaves criptográficas

Transmissão de dados em texto claro

Falha na validação adequada de certificados e cadeias de confiança

Ausência de criptografia autenticada

Classifique seus dados

Minimize o armazenamento de dados sensíveis

Use algoritmos e protocolos seguros e atualizados

Implemente um gerenciamento de chaves eficaz

Use criptografia em trânsito e em repouso

Autentique suas criptografias

Evite funções e esquemas criptográficos obsoletos

Posts recentes

Comentários

Arquivos

Categorias

Onde Estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho, São Paulo - SP,
CEP: 05440-000

Contato

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Copyright © 2023, EVAL TECNOLOGIA EM INFORMÁTICA. Todos os direitos reservados - CNPJ 05.278.889/0001-97