

DESCRIÇÃO
A segurança da informação e sua importância 

nas transações
 e comércio
 eletrônico.


PROPÓSITO
 PROPÓSITO


Compreender a importância da segurança da informação e suas políticas como fatores imprescindíveis em

transações seguras e no comércio eletrônico seguro.

OBJETIVOS

Módulo 1 Módulo 2 Módulo 3

Descrever os conceitos e Identificar os mecanismos de Identificar os recursos

políticas de segurança da controle para segurança da necessários para a realização
informação informação de transações eletrônicas
seguras

Módulo 4

Descrever os mecanismos para

garantir a segurança no
comércio eletrônico

INTRODUÇÃO
A massificação da Internet e dos meios digitais provocou uma revolução na forma como as pessoas
interagem, e uma das grandes inovações que essa revolução proporcionou foi o desenvolvimento do
comércio eletrônico ou e-commerce. 

Pessoas e empresas compram, vendem e negociam bens e serviços por meio desse ambiente digital,
movimentando grandes somas de dinheiro relacionadas a essas transações, tal qual é realizado no
comércio comum. Partindo desse princípio, você pode perceber que as transações eletrônicas demandam
preocupações semelhantes às transações físicas. 

Do mesmo modo que existem ameaças no meio físico, também existem ameaças à segurança no meio
digital. É preciso assegurar que o vendedor eletrônico e o comprador sejam quem eles dizem ser; que a
transação seja sigilosa quando assim for necessário, que o “dinheiro virtual” esteja seguro da mesma
forma que o papel-moeda na carteira; que a mercadoria esteja disponível quando demandada, entre
outros. E o papel da segurança da informação é minimizar ao máximo as ameaças inerentes a esse
ambiente digital.

    
 

MÓDULO 1
 Descrever os conceitos e políticas de segurança
da informação

CONCEITOS BÁSICOS
Inicialmente, vamos apresentar alguns conceitos relacionados à segurança para que seja possível compreender o
que deve ser protegido e o porquê de se proteger. São conceitos básicos importantes para o entendimento de
como pode ser possível alcançar um nível de segurança adequado às transações eletrônicas.

 Figura 1: Figura Ilustrativa para Segurança da Informação.

Segundo a norma NBR ISO/IEC 27005 (2011), ativo é algo que tem valor para a organização e que, portanto, requer
proteção. Partindo dessa definição, os ativos podem ser de diversos tipos:

Clique nas barras para ver as informações.

ATIVOS DE INFORMAÇÃO 
    

ATIVOS DE SOFTWARE 


ATIVOS FÍSICOS 

ATIVOS DE SERVIÇOS 

ATIVOS DE PESSOAS 

Informação:
Como visto, é um tipo de ativo e, desta forma, também requer proteção adequada. A informação pode estar
materializada de diversas formas, a depender de onde se encontra no seu ciclo de vida. Escrita em papel,
registrada de forma digital, pode ser informação falada, exibida em filme e, a depender do modo em que se
encontra, medidas de segurança específicas devem ser implementadas para prover sua segurança.

Ameaça:
É a potencialidade de um incidente indesejado comprometer um ativo, causando algum tipo de prejuízo. As
ameaças podem ser classificadas como:

Clique nas barras para ver as informações.

INTERNA 

EXTERNA 

INTENCIONAL 

NÃO INTENCIONAL 

Vulnerabilidade:
É qualquer falha ou fraqueza em um ativo que possa ser explorada por uma ameaça. Por si só, a vulnerabilidade
não provoca nenhum incidente. Elas podem ser do tipo:

Clique nas barras para ver as informações.

NATURAIS 

FÍSICAS 

SOFTWARE 
    

HARDWARE 


ARMAZENAMENTO 

COMUNICAÇÃO 

HUMANAS 

Clique nas palavras.

Outros Conceitos

Probabilidade Impacto Risco

Controle Segurança da informação

PRINCÍPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO

São considerados pilares básicos que sustentam a segurança da informação e são conhecidos pelo acrônimo
D.I.C.A.

Disponibilidade Integridade

É o princípio que assegura que a É o princípio que assegura que a

informação estará sempre disponível informação permanecerá íntegra e sem
para quem possui autorização de uso. alterações não autorizadas durante todo
Imagine o prejuízo material e imaterial o seu ciclo de vida, mantendo-se


que a indisponibilidade de um grande imutável desde a sua criação.
portal de e-commerce pode trazer para Alterações podem ser feitas, mas desde
o dono do negócio. que autorizadas pelo proprietário.
Imagine que durante uma transação
eletrônica, dados de pagamento sejam
alterados durante o processo de
compra. Isso poderá causar um prejuízo
enorme ao cliente.

Confidencialidade Autenticidade

É o princípio que assegura que somente É o princípio que assegura a veracidade

indivíduos autorizados pelo proprietário do autor da informação, isto é, que ele
da informação tenham acesso a ela. realmente é quem diz ser. Esse atributo
Imagine que ao acessar sua conta não garante a autenticidade do


digital você tenha acesso à conta de
    conteúdo
 da informação propriamente
dita, somente o acesso. Imagine
 outra pessoa, ou o inverso, alguém acessar um grande portal de e-

acesse sua conta de forma não commerce que, aparentemente é real,
autorizada. mas na realidade é um site falsificado.

Pensando no contexto de segurança nas transações seguras e comércio eletrônico, a partir desses quatro
princípios podemos derivar mais dois: não repúdio ou irretratabilidade e privacidade.

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

Agora que já conhecemos os conceitos e os atributos básicos da segurança da informação, precisamos entender
como proporcionar a segurança adequada a esses atributos e, consequentemente, a informação propriamente
dita.

De acordo com a norma NBR ISO/IEC 27002 (2013), o objetivo da política de segurança da informação é prover
orientação da direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as
leis e regulamentações relevantes. Essa definição parece um tanto abstrata, mas não é.

 Figura 2: Política de Segurança da Informação

Pense que, inicialmente, é preciso saber o que proteger e de quem proteger, definindo, assim, os objetivos em
relação à segurança. A RCF 2196, que é um guia para o desenvolvimento de políticas e procedimentos de
segurança de computador para sites que possuem sistemas na Internet, descreve algumas premissas para a
definição desses objetivos:     

Clique nas barras para ver as informações.


SERVIÇOS OFERECIDOS X SEGURANÇA FORNECIDA 

FACILIDADE DE USO X SEGURANÇA NO USO 

CUSTO DA SEGURANÇA X RISCO DA PERDA 

Além do alinhamento com os requisitos do negócio, a política de segurança da informação deve estar alinhada
com as regulamentações e legislações vigentes. Nada adianta uma política bem escrita se não há amparo jurídico
para aplicação dela. Também é preciso levar em consideração a evolução tecnológica do ambiente em que a
organização está inserida. Uma política de segurança da informação deve ser revista constantemente, como
forma de adaptar-se às novas ameaças.

Atenção

Em síntese, compreendemos que uma política adequada deve

contemplar requisitos estratégicos, regulamentares e ambientais,
orientando todos os entes organizacionais dos seus deveres e
obrigações para proteção adequada da informação. Também devem
ser descritos na política de segurança da informação os
procedimentos para alcançar tais requisitos, criando, dessa forma,
métrica para avaliação do nível de conformidade com a norma, e
sanções quando não existirem outros meios de prevenção dos
desvios da política.

Voltando aos princípios básicos da segurança da informação, imagine um sistema computacional genérico e
algumas políticas de segurança da informação aplicáveis a ele. Abaixo, são descritos alguns exemplos:

Clique nas barras para ver as informações.

PRINCÍPIO DA CONFIDENCIALIDADE 

PRINCÍPIO DA INTEGRIDADE 

PRINCÍPIO DA DISPONIBILIDADE 

PRINCÍPIO DA AUTENTICIDADE 

Outras políticas mais específicas podem ser desenvolvidas a partir dos exemplos acima:
    

Clique nas palavras.

 Outras políticas

Política de senhas Política de uso aceitável Política de antivírus

Política de backup Política de log e auditoria Política de privacidade

Importante ressaltar que a política de segurança da informação deve ser implementada durante todo o ciclo de
vida da informação, ou seja, desde quando ela é criada até o momento de descarte, passando pelas etapas de
transporte, armazenamento e manuseio.

Observe que a política define o que fazer (procedimentos) e não como fazer (mecanismo).

APLICAÇÃO PRÁTICA DE UMA POLÍTICA DE SEGURANÇA

12:56

    


 VERIFICANDO O APRENDIZADO

1. Determinado usuário acessou um sistema de segurança com uma credencial válida.

Porém, após uma auditoria, constatou-se que ele acessou um sistema clonado com o
objetivo de roubar credenciais de acesso. Quais dos princípios básicos da segurança da
informação foi comprometido?

A) Confidencialidade

B) Integridade

C) Disponibilidade

D) Autenticidade

Responder

2. Uma política de segurança da empresa diz: “É proibida a cópia de todos os documentos

sigilosos”. Bob produziu um arquivo sigiloso e esqueceu de protegê-lo contra acesso de
outros que não seja o autor. Alice, ao ver o arquivo, realizou uma cópia do arquivo. Quem
infringiu a política de segurança da informação?

A) Alice

B) Bob

C) Alice e Bob

D) Administrador do sistema

Responder

    


MÓDULO 2
 Identificar os mecanismos de controle para
segurança da informação

TIPOS DE ATAQUES À INFORMAÇÃO

Como visto no módulo anterior, a segurança da informação possui princípios que devem ser protegidos em todo o
seu Ciclo de Vida, ou seja, durante seu:

    


 Figura 3: Ciclo de Vida da Informação

Em cada uma dessas etapas, as ameaças podem explorar vulnerabilidades existentes, ocasionando fatores de
riscos que podem comprometer a Confidencialidade, Integridade, Disponibilidade ou Autenticidade da informação. 

A ação de uma ameaça sobre uma vulnerabilidade se conceitua como Ataque e pode ser classificada da seguinte
forma:

Ataque de interrupção ou Negação

É o tipo de ataque que quebra o princípio da Disponibilidade da informação, impossibilitando o seu acesso.

    


 Ataque de interrupção. Fonte: STALLINGS, 2008.

Ataque de Modificação
É o tipo de ataque que quebra o princípio da Integridade da informação. É a modificação não autorizada pelo autor
da informação.

 Ataques de modificação. Fonte: STALLINGS, 2008.

Ataque de Interceptação
É o tipo de ataque que impacta o princípio da Confidencialidade da informação. É o acesso não autorizado à
informação.

    

 Ataque de interceptação. Fonte: STALLINGS, 2008.


Ataque de Fabricação
É o tipo de ataque que impacta o princípio da Autenticidade da informação. É a fabricação de informação falsa
com o objetivo de enganar tanto o emissor quando o receptor da informação, passando-se por informação
fidedigna.

 Ataque de fabricação ou personificação. Fonte: STALLINGS, 2008.

Os ataques também podem ser classificados quanto ao nível de interatividade com a informação:

Clique nas barras para ver as informações.

ATAQUE PASSIVO 

ATAQUE ATIVO 

CONCEITUAR OS TIPOS DE CONTROLES DE SEGURANÇA

Para mitigar os ataques, é necessária a implementação de Controles de segurança, os quais são medidas
defensivas que você precisa adotar para evitar, mitigar ou neutralizar riscos à segurança devido a ameaças ou
ataques. Em outras palavras, os controles são soluções e atividades suportadas por mecanismos que permitem
que uma organização atenda aos objetivos de uma política de segurança das informações. 

Esses controles modificam o Risco de um ataque, incidindo tanto na Probabilidade quanto no Impacto, fatores
que compõem o risco. Os controles podem ser proteções e medidas protetivas lógicas ou físicas. Eles são
classificados como controles de prevenção, detecção e de correção. 

Controles de Prevenção: Auxiliam a evitar que uma ameaça ou ataque

explore uma vulnerabilidade. Por
exemplo, uma tranca de segurança em uma porta de acesso.
Controles de correção: Auxiliam a mitigar as consequências de uma ameaça ou ataque. Por
exemplo, um site
backup que automaticamente entra no ar quando o site principal estiver indisponível.
Controles de detecção: Auxiliam a detectar se uma ameaça explorou uma vulnerabilidade.
Por exemplo,
câmeras de vigilância que gravam tudo que acontece no ambiente.

    

MECANISMOS DE SEGURANÇA DA INFORMAÇÃO


Alguns mecanismos da segurança da informação podem garantir mais de um princípio e suas funcionalidades
podem se sobrepor. A seguir iremos apresentar mecanismos de segurança que são recomendados para os pilares
básicos que sustentam a segurança da informação (D.I.C.A.).

MECANISMOS DE SEGURANÇA DA DISPONIBILIDADE

Os mecanismos de segurança da disponibilidade são aqueles que garantem que a informação esteja
continuamente disponível e que entidades autorizadas possam acessá-las. 

A disponibilidade é habitualmente suportada por mecanismos de redundância e tolerância a falhas.

Redundância Tolerância a falhas

É a propriedade pela qual um ambiente É a capacidade de um ambiente

computacional preserva um ou mais
conjuntos de recursos adicionais, além
do conjunto principal. Em outras
palavras, um sistema redundante cria e
preserva uma cópia de algum recurso.
Esta cópia pode ser completa e exata,
ou ela pode conter apenas algumas
partes específicas. O objetivo da
 energia, corrupção ou perda de discos e
redundância é atenuar inúmeros
problemas que podem comprometer o
conjunto principal de recursos, sejam
dados ou hardware. (...)
continuar lendo
suportar uma falha previsível e
continuar fornecendo um nível aceitável
de serviço. Existem vários meios de
tolerância a erros, incluindo os que
compensam interrupções ou picos de
dados, além de falha ou ineficiência de
rede. Sistemas de tolerância de falhas,
geralmente, empregam algum tipo de
redundância de recursos para manter a
funcionalidade se um componente
danificar ou apresentar falha
imprevisível.

Exemplos de mecanismos de segurança da Disponibilidade

Clique nas barras para ver as informações.

NOBREAK OU UPS (UNINTERRUPTIBLE POWER SUPPLY) 

FIREWALL 

BACKUP 

MATRIZ REDUNDANTE
 DE DISCOS
 INDEPENDENTES
  OU RAID

(REDUNDANT ARRAY OF INDEPENDENT DISKS) 



MECANISMOS DE SEGURANÇA DA INTEGRIDADE

Mecanismos de segurança da integridade são aqueles que garantem que a informação esteja precisa, livre de
erros e sem modificações não autorizadas. 

A integridade é habitualmente suportada por mecanismos de hashing, assinaturas digitais e certificado digital.

Hashing
Hash ou função hash é a que mapeia grandes volumes de dados variáveis em dados de tamanho fixo. O resultado
da função é o que chamamos de message digest (resumo da mensagem). Ela é unidirecional, ou seja, em teoria,
não é possível obter o dado inicial a partir do resultado da função hash. Qualquer mudança no dado inicial, por
mínima que seja, altera completamente o resultado da função hash, garantindo a integridade da informação.

Input Hash sum

Hash DFCD3454 BBEA788A
Fox function 751A696C 24D97009
CA992D17

The red fox 52ED879E 70F71D92

Hash
runs across function 6EB69570 08E03CE4
the ice CA6945D3

The red fox 46042841 935C7FB0

walks across Hash
9158585A B94AE214
the ice function 26EB3CEA

 Figura 10: Exemplo de uso da função hash.

Assinatura digital
Trata-se de mensagem criptografada com uma chave privada do autor da mensagem. É uma combinação de
algoritmos de criptografia assimétrica com algoritmos de hashing.

Clique nas barras para ver as informações.

PROCESSO DE ASSINATURA 
    

PROCESSO DE VERIFICAÇÃO DA ASSINATURA 



CERTIFICADO DIGITAL 

Exemplos de mecanismos de segurança da integridade

Algorítimos de função de hash: MD5, SHA-1, SHA-2, SHA-512, RIPEMD-160, Whirlpool, entre
outros.
Backup: Sistemas de backup utilizam das funções de hash para garantir a integridade das
informações
salvas.

ENTENDENDO OS ATAQUES E OS MECANISMOS DE

CONTROLE NA PRÁTICA

10:16

    
 MECANISMOS DE SEGURANÇA DA CONFIDENCIALIDADE
São mecanismos que garantem que as informações e comunicações estejam privadas e protegidas de acesso
não autorizado. A confidencialidade é habitualmente suportada por mecanismos de criptografia, controles de
acesso e esteganografia. 

Criptografia: É a prática de ocultar informações, geralmente, por meio da codificação e decodificação de um

código secreto usado para envio de mensagens. O envio de uma informação não cifrada é denominado “texto
claro”. Cifragem é o processo de conversão de um texto claro para um texto cifrado e decifragem é o
processo inverso. As comunicações e computação modernas usam criptografia extensivamente para
proteger informações e comunicações sigilosas de acesso não autorizado ou divulgação acidental enquanto
as informações estão em trânsito e estiverem sendo armazenadas.

Clique nas palavras.

Tipos de criptografia

Cifra Criptografia simétrica

Chave Criptografia assimétrica

Controle de acesso: Conjunto de regras e procedimentos que visam a impedir o acesso não autorizado da
informação de pessoas e programas. Podem empregar mecanismos físicos e lógicos como suporte. 
Esteganografia: É uma técnica de ocultação de escrita que consiste em esconder um dado em outro dado.
Por exemplo, esconder um texto em um arquivo de imagem ou de som. Enquanto a criptografia oculta o
conteúdo das informações, mas não se preocupa em ocultar o fato de que as informações criptografadas
existem, a estenografia é uma tentativa de esconder o fato de que as informações estão presentes. É possível
utilizar as duas técnicas de forma combinada, ou seja, cifrar uma informação e escondê-la.

Exemplos de mecanismos de segurança da confidencialidade

Mecanismos lógicos:

Steghide: Ferramenta para esteganografia.

DNSSec: Camada de segurança utilizada em servidores de nome (DNS). Utiliza algoritmo de chave
assimétrica para proteção da informação.
IPSec: Camada de segurança implementada no protocolo IP. Utiliza algoritmo de chave simétrica para
proteção da informação.
PGP (Pretty Good Privacy): Ferramenta de criptografia. Utiliza algoritmo de chave assimétrica para proteção
da informação.
GPG: Ferramenta de criptografia desenvolvida em software livre e alternativo ao PGP. Utiliza tanto algoritmos
simétricos e assimétricos para proteção da informação.
TLS/SSL: São protocolos que combinam certificados digitais para autenticação com criptografia de dados de
chave pública ou assimétrica. Largamente utilizado em transações eletrônicas e plataformas de comércio
eletrônico.
    
 Mecanismos físicos:


Dispositivos biométricos. Por exemplo, scanner de íris, reconhecimento de voz, scanner de retina, leitor de
digital, reconhecimento de face.

MECANISMOS DE SEGURANÇA DA AUTENTICIDADE

São mecanismos que verificam a identidade dos usuários, e estes têm condições de analisar a identidade do
sistema, garantindo, assim, a veracidade da autoria da informação. Não podendo seu autor negar que produziu a
informação, certificando também o não repúdio. A autenticidade é habitualmente suportada por mecanismos de
autenticação.

Autenticação 

A autenticação trata-se do método de validação de uma identidade e credenciais exclusivas de determinada

entidade, podendo ser uma pessoa ou uma organização. A autenticação se concentra na identificação se
uma pessoa em particular tem as credenciais corretas para entrar em um sistema ou site seguro.

Fatores de autenticação 

Muitos sistemas utilizam mais de um fator de autenticação para atestar que de fato uma entidade é quem diz ser.
Esses fatores são:

Algo que você é: Características físicas, como impressões digitais ou um padrão de íris.
Algo que você tem: Um token ou cartão de acesso.
Algo que você conhece: Uma senha, resposta de uma pergunta secreta.
Em algum lugar que você está ou não: Como um endereço IP aprovado ou localização GPS.
Algo que você faz: Como padrões estabelecidos de pressionamento de tecla ou padrões de assinatura.

Autenticação multifator ou 2FA

A autenticação multifator ou 2FA se dá quando o sistema emprega mais de um fator de autenticação para atestar
a identificação de uma entidade. Por exemplo: cartão de acesso (algo que tem) e leitura de digital (algo que é).

    

 Figura 15 : Ilustração para Autenticação Multifator



Autorização 

A autorização é o processo que determina quais direitos e privilégios uma entidade em particular possui.
Após um usuário ter sido identificado e autenticado, um sistema pode então determinar quais permissões
esse usuário tem entre os diversos recursos.

 Figura 16: Processo de controle de acesso / Fonte: Autor

DEMONSTRANDO QUEBRA DE SENHA

11:07

    


ATIVIDADE COMPLETAR FRASES

Outros tipos de mecanismos de segurança da informação
Anti-malware: São softwares de proteção que varrem computadores individuais e redes inteiras de empresas
quanto a vírus, Cavalos de Troia, worms e outros programas mal-intencionados conhecidos. Dentre esses,
podemos destacar:

Antivírus: Software que realiza varreduras em arquivos buscando códigos

adwares
executáveis que coincidem com padrões específicos de vírus. Neste caso,

Anti-spam ele é referido como um software antivírus baseado em ---------- .

Também monitora os sistemas quanto à atividade que é associada a vírus,

assinatura
como acesso a determinados arquivos ou ---------- . Essa
código capacidade de monitoramento ativo é chamada de software antivírus
baseado em ---------- ou heurístico. 
comportamento

diretórios ---------- : Software que realiza bloqueio de mensagens não

solicitadas. Comumente associado a mensagens de e-mail.

Firewalls
Anti-spyware: Software que realiza a detecção e remoção de
monitorar
---------- e spywares.
mostrados
Bloqueador de pop-up: Evitam que pop-ups de sites desconhecidos ou não
sistema único
confiáveis sejam ---------- , adicionalmente evitam a transferência

de ---------- indesejado para o sistema local.

---------- baseados em host: Software que é instalado em um

---------- para proteger contra ataques em sistemas de

computação. O software é configurado para ---------- pacotes de

rede de entrada e de saída e, assim, controlar e evitar acesso não autorizado

em sistemas isolados.

Responder Limpar

    


DEMONSTRANDO ATAQUE MAN IN TE MIDLE

12:45

 VERIFICANDO O APRENDIZADO

1. Um ambiente seguro é composto pelo emprego de diversos tipos de mecanismos de

controle, que se complementam. Dos mecanismos de controles abaixo, qual é do tipo
controle de correção?

A) Backup
    

B) Firewall
 C) Câmera de monitoramento

D) Porta blindada

Responder

2. Uma das proteções a serem utilizadas em uma rede, são as que garantem a propriedade
da autenticidade garantindo que determinado usuário é ele mesmo. Quais dos seguintes
processos de autenticação utilizam a técnica de multifator?

A) Uma senha e uma pergunta de segurança

B) Um cartão de acesso e um token de segurança

C) Uma senha e um código enviado para o celular pessoal

D) Uma leitura de digital e scanner de retina

Responder

MÓDULO 3
 Identificar os recursos necessários para a
realização de transações eletrônicas seguras

    

CONCEITO DE TRANSAÇÃO ELETRÔNICA E ASPECTOS DE

  SEGURANÇA RELACIONADOS
Antes de abordarmos a segurança propriamente dita, precisamos definir o conceito de transação eletrônica e,
assim, definir o contexto em que os aspectos da segurança da informação serão abordados. Sobre esse conceito,
a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) define:


Uma transação eletrônica é a venda ou compra de bens ou serviços,
seja entre empresas, famílias, indivíduos, governos e outras
organizações públicas ou privadas, conduzida por redes mediadas
por computador. Os bens e serviços são encomendados através
dessas redes, mas o pagamento e a entrega final do bem ou serviço
podem ser realizados online ou offline.
ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÔMICO, 2000

Alguns aspectos importantes podem ser observados a partir dessa definição. Existem bens e serviços envolvidos
sendo comercializados em uma transação eletrônica, logo podemos dizer que há valor agregado e,
consequentemente, relação financeira entre partes. Com relação à segurança, essa característica por si só já atrai
entidades mal-intencionadas com a finalidade de obter vantagens ilícitas.

 Figura 17: Ilustração para Transação Eletrônicas

Outro aspecto importante que podemos observar é a interação comercial de diversos agentes, sejam eles públicos
    
ou privados. Ainda no que tange à segurança, é possível observar a necessidade de garantir quem é quem nesse
contexto, isto é, que determinada entidade é realmente quem ela diz ser.


Comentário

Por último, e não menos importante, é possível perceber que todo

esse processo de compra e venda de bens e serviços é conduzido
por redes mediadas por computador, ou seja, existem ao menos dois
computadores mediando a comunicação entre os entes envolvidos.
No contexto deste módulo, entende-se por Internet essa rede de
computadores, porém outros tipos de redes podem ser aplicáveis.

Rememorando os princípios D.I.C.A, observa-se que a confidencialidade dos dados privados deve ser mantida
durante as transações eletrônicas.

O princípio da integridade é crítico para transações eletrônicas, pois o conteúdo dessas transações deve
permanecer íntegro, não sendo passível de fraude de qualquer natureza.

No contexto das transações eletrônicas, é vital que compradores se autentiquem para vendedores, que
vendedores se identifiquem para compradores e que ambos se identifiquem um para o outro, garantindo, assim, o
princípio da autenticidade. 

Em relação à disponibilidade, esta é assegurada quando mecanismos garantem que bens e serviços estejam
disponíveis sempre que demandados. 

Voltando à definição proposta pela OCDE, podemos identificar três ambientes distintos onde as transações
eletrônicas ocorrem:

Clique nas barras para ver as informações.

AMBIENTE DO VENDEDOR OU DO PRESTADOR DE SERVIÇO 

AMBIENTE DE TRÂNSITO 

AMBIENTE DO COMPRADOR OU TOMADOR DE SERVIÇO 

Alguns dos ataques mais comuns direcionados ao cliente são: 

Roubo de sessão: Quando um atacante consegue comprometer o processo de identificação do cliente,

obtendo a chave de sua sessão. Dessa forma, ele consegue se passar pelo cliente e efetuar transações. 
Roubo de dados: O objetivo é obter dados de autenticação do cliente. Com esses dados em mãos, é possível
personificar e efetuar transações em nome deste cliente. 
Alteração de transação: Esse tipo de ataque ocorre por meio de algum malware instalado no computador do
cliente. Após uma operação de login bem-sucedido, esse malware captura os dados da transação, altera e
retransmite ao vendedor.
    
 INFRAESTRUTURA DE CHAVES PÚBLICAS OU PUBLIC KEY
INFRASTRUCTURE (PKI)
O contexto da relação de confiança

No contexto de transações seguras, segurança está intimamente relacionada à palavra confiança. 

No mundo real, quando precisamos nos identificar, apresentamos algum documento que ateste a nossa
identidade. Por exemplo, RG, Carteira de Habilitação, Passaporte. Ao apresentar a identidade a uma instituição,
esta assegura a veracidade do documento, analisando os elementos que o compõem.

É importante observar que todo documento de identificação é chancelado por alguma autoridade e emitido por
algum órgão delegado. Por exemplo, Polícia Federal ou Secretarias de Segurança Estaduais emitem documentos
de identidade aprovados pelo Governo Federal e Governo Estadual respectivamente.

 Figura 18: Ilustração para Documento de Identidade

Essas autoridades garantem que uma pessoa é de fato quem diz ser, e tal garantia é materializada por meio de um
certificado, no caso, o documento de identificação. Note que existe uma relação de confiança intrínseca entre o
demandante da identificação, o indivíduo identificado, o certificado de identidade e a autoridade que emitiu esse
certificado.

    


 Figura 19 : Marca Oficial da Infraestrutura de Chaves Públicas Brasileira.

No contexto das transações eletrônicas, a Infraestrutura de Chaves Públicas (ICP) ou Public Key Infrastructure
(PKI), tem papel importante para garantia das relações de confiança para validação das transações. É a ICP que
garantirá a estrutura para que os documentos de identificação, os Certificados Digitais, sejam chancelados.

COMPONENTES DE UMA PKI

No meio eletrônico, o conceito também é o mesmo. A partir desse ponto, é bom relembrar o entendimento de
chave assimétrica abordado no Módulo 2. 

O conceito de criptografia de chave assimétrica ou chave pública define que a autenticidade de um remetente ou
entidade pode ser atestada por meio de uma assinatura digital. O remetente calcula a função hash da mensagem
enviada e cifra esse hash com sua chave privada. O destinatário, ao receber, decifra a mensagem utilizando-se da
chave pública do remetente e depois compara se os valores de hash são iguais, atestando, assim, a autenticidade.

Comentário

Existe um par de chaves criptográficas. Mas quem garante que

aquela chave pública está de fato vinculada a determinada chave
privada e esta, por sua vez, vinculada ao correto remetente? Um
atacante poderia facilmente gerar um par de chaves e distribuir pela
Internet dizendo que corresponde a certa entidade bancária.

    
Nesse contexto, surge o conceito de Certificado Digital, que nada mais é do que um documento eletrônico que
associa credenciais de uma entidade com uma chave pública. Esse documento é gerado e assinado
 eletronicamente por uma Autoridade Certificadora, que atesta a veracidade do certificado e, consequentemente,

da assinatura. De forma sucinta, uma Infraestrutura de chaves públicas possui os seguintes componentes:

Clique nas barras para ver as informações.

CERTIFICADO DIGITAL 

IDENTIFICADOR DE OBJETO (OID) 

AUTORIDADE CERTIFICADORA (AC) OU CERTIFICATION AUTHORITY (CA) 

AUTORIDADE DE REGISTRO (AR) OU REGISTRATION AUTHORITY (RA) 

Na figura, a seguir, é possível conferir o Certificado Digital emitido para o site do Portal Estácio:

    


 Figura20: Certificado Digital do Portal Estácio

Fonte: Elaborado pelo Autor.

É possível observar os seguintes campos no certificado: 

Algoritmo de hash da assinatura: No caso, foi utilizado o SHA256.

Emissor ou Autoridade Certificadora: DigiCert Inc.
Validade do certificado: Todo certificado possui um período de validade.
Requerente: A quem foi concedido o certificado.
Chave Pública: A chave pública do requerente associada ao certificado.
    
PROCESSO DE REGISTRO DE CERTIFICADOS


O uso de certificados digitais é um processo que envolve vários passos. O primeiro deles é o registro. A seguir, estão
as etapas para registro de um certificado:

1. A entidade solicita um certificado a uma Autoridade de

Registro (AR):

A entidade preenche um formulário de solicitação online, por exemplo.

2. A AR autentica a entidade
A autenticação é determinada pelos requisitos da política de certificado,
por exemplo, uma credencial usuário/senha, carteira de habilitação, 
número de RG etc.

3. Política aplicada à solicitação

 A AR aplica a política de certificado pertencente à CA que emitirá o
certificado.

4. Solicitação enviada a CA
Se a identidade da instituição for autenticada com sucesso e os requisitos 
da política forem atendidos, a AR envia a solicitação de certificado à CA.

5. A CA emite o certificado
 A CA cria o certificado e o coloca no repositório.

6. A entidade é notificada
A CA notifica a entidade que o certificado está disponível, e o certificado é 
entregue. O processo de entrega é definido pela CA.

7. O certificado é instalado
 Com o certificado obtido, ele pode ser instalado pela instituição usando a
ferramenta apropriada.

CICLO DE VIDA DO CERTIFICADO

Todo certificado tem um ciclo de vida que inicia na emissão
  até ummomento
que ele perde a validade. A seguir,
são descritas as etapas do ciclo de vida do certificado:
 Clique nas informações a seguir.


1. Emissão 2. Registro

HIERARQUIAS DE CAS
Uma hierarquia de CA ou modelo de confiança é uma CA única ou grupo de CAs que trabalham juntas para emitir
certificados digitais. Cada CA da hierarquia tem uma relação mãe-filho com a CA logo acima na cadeia hierárquica.
Se uma CA for comprometida, apenas os certificados emitidos por esta CA em particular e suas filhas serão
invalidados. Quando uma entidade apresenta um certificado, ele é validado por meio de uma cadeia de confiança.
Para confiar no certificado, a entidade precisa confiar em todo elo da cadeia conforme ela sobe.

Clique nas barras para ver as informações.

CA RAIZ 

CA SUBORDINADA 

TIPOS DE CERTIFICADOS
Certificados podem ser emitidos por diversas entidades e com variadas finalidades. A seguir, estão os tipos mais
comumente utilizados em transações eletrônicas:

Autoassinado:

Certificado autoassinado é aquele que é propriedade da mesma entidade que o assina. Em outras palavras, o
certificado não reconhece nenhuma autoridade mais elevada na cadeia de confiança, a entidade
essencialmente a certifica. Esse tipo de certificado exige que o cliente confie diretamente na entidade. 

Raiz:

O certificado raiz é emitido pela CA raiz e certifica os demais certificados abaixo dele na cadeia de confiança.
Por não haver nenhuma autoridade superior ao certificado raiz na cadeia, ele precisa ser autoassinado. 

Usuário:

Certificados são emitidos aos usuários em situações nas quais lembrar e gerenciar ou mesmo utilizar de
senhas não são práticas seguramente aceitas. 

Computador:

Computadores com identidades individuais também podem receber certificados. Se o computador precisar
se comunicar seguramente com outro computador na rede, ele pode usar um certificado para autenticação. 

E-mail:     
 Certificados são usados para autenticar e criptografar mensagens de e-mail no protocolo

Secure/Multipurpose Internet Mail Extensions (S/ MIME). O S/MIME é similar em finalidade ao PGP. 

Assinatura de código:

Antes de publicar um programa, desenvolvedores podem assinar digitalmente o código-fonte deste. Isso
garante a legitimidade de um aplicativo.

Saiba mais

O Brasil possui uma PKI própria, designada pela sigla ICP-Brasil,

tendo como AC-raiz o Instituto Nacional de Tecnologia da Informação
– ITI, que emite certificados digitais para órgãos da Administração
Pública Federal e outras AC’s (Veja a seção Explore +).

CONHECENDO A ICP-BRASIL

08:05     


 VERIFICANDO O APRENDIZADO

1. No contexto dos ambientes onde ocorrem as transações eletrônicas, podemos dizer que
um deles é o mais vulnerável, no qual a incidência de ataques é maior, além de ser o alvo
preferido dos atacantes. Dos ambientes, a seguir, qual deles corresponde a descrição?

A) Ambiente do vendedor ou prestador de serviço

B) Ambiente do comprador ou tomador de serviço

C) Ambiente de trânsito

D) Ambiente de integridade

Responder

2. Uma Infraestrutura de Chave Pública (PKI) é um sistema composto de autoridades

certificadoras, certificados, software, serviços e outros componentes criptográficos, com a
finalidade de permitir a autenticidade e validação de dados e entidades. Qual o principal
documento de uma PKI?

A) Assinatura Digital

B) Par de chaves criptográficas

C) Certificado Digital

D) Pedido de Registro

Responder

    
 

MÓDULO 4
 Descrever os mecanismos para garantir a
segurança no comércio eletrônico

O CONTEXTO DA SEGURANÇA COMO FATOR DE CONFIANÇA

Quando falamos em comércio eletrônico, talvez uma das primeiras preocupações em mente seja a experiência de
compra do usuário. Uma plataforma amigável, intuitiva, fácil de usar, com diversas formas de pagamento e
entrega rápida. Na maioria das vezes, o assunto segurança da informação aparece em segundo plano, nem
sempre estando alinhado com os objetivos do negócio, sendo implementado por mecanismos isolados e
subutilizados, o que normalmente acaba gerando inconvenientes e seu inevitável abandono.

 Figura 21: Ilustração para comércio eletrônico.

Como dito anteriormente, a segurança da informação é inversamente proporcional à usabilidade e,

    
consequentemente, desencoraja a adoção de políticas e mecanismos de segurança, justamente pela dificuldade
de encontrar um equilíbrio ideal nessa balança. 
 Mas vejamos isso pela ótica da confiança. Até que ponto um cliente se sentirá confiante em inserir seus dados de

cartão de crédito em uma plataforma de comércio eletrônico que não inspira segurança?

Saiba mais

Uma pesquisa realizada pela Fidelity National Information Services,

Inc. (ou FIS), aponta que 29% dos consumidores brasileiros, ou a
maioria da amostra, consideram a preocupação com a segurança
como principal razão para abandonar uma compra. Ainda que a
pesquisa tenha abordado uma modalidade específica de comércio
eletrônico, isso demonstra que o fator segurança é diferencial na
tomada de decisão no processo de compra.

A importância da segurança da informação no comércio eletrônico vai muito além do que apenas proteger os
pagamentos feitos na loja e seu lucro para a empresa, passa também pela proteção do cliente e seus dados de
ações maliciosas executadas por criminosos virtuais. 

O anseio pela confiança em um ambiente de compra seguro deve ser explorado de forma positiva e isso é possível
por meio da adoção de mecanismos de segurança da informação que, no final das contas, será um investimento
que protegerá tanto o comprador quanto o vendedor, alavancando lucros e captando clientes.

PRINCIPAIS AMEAÇAS AO COMÉRCIO ELETRÔNICO

Rememorando o conceito de ameaça visto no módulo 1, esta ideia refere-se à potencialidade de um incidente
indesejado comprometer um ativo, causando algum tipo de prejuízo. Vimos que ativo é tudo aquilo que possui
valor para a organização. Desta forma, uma ameaça ao comércio eletrônico vai muito além do que apenas aquelas
que possam causar prejuízos financeiros. Dentre diversas ameaças existentes, podemos citar:

Clique nas barras para ver as informações.

FRAUDES DE CARTÃO DE CRÉDITO 

CLONE DE SITE 

PHISHING 

PHARMING 

MANIPULAÇÃO DE SITE 
    

NEGAÇÃO DE SERVIÇO 
 Ç Ç


INJEÇÃO DE CÓDIGO SQL 

MECANISMOS PARA TER UM COMÉRCIO ELETRÔNICO

SEGURO
Após conhecer as principais ameaças as quais um e-commerce está exposto, vamos ver os principais
mecanismos de segurança da informação que podem auxiliar a diminuir as chances de um ataque.

Certificado SSL/TLS: Um dos mecanismos primordiais para quem hospeda um site de e-commerce na
internet, o TLS (Transport Layer Security) e o seu antecessor, SSL (Secure Sockets Layer). É o famoso
cadeado verde na barra de endereços de um navegador de internet.

 Figura22: Exemplo de site com conexão segura. / Fonte: Autor

Existe ainda o certificado digital EV (Extended Validation). Esse tipo de certificado garante que a empresa está
legalmente registrada no mesmo país do registro de domínio, CNPJ ativo, endereço confirmado, entre outros
requisitos.

 Figura 23: Conexão segura utilizando certificado EV. / Fonte: Autor

Esse protocolo é uma camada adicional na arquitetura TCP/IP e garante integridade, confidencialidade e
autenticidade entre ambas as partes durante a conexão, pois utiliza Certificado Digital a fim de identificar o site e
o cliente — este último sendo opcional — e criptografia para cifrar as informações trocadas. Tal conduta é
primordial em sistemas que processam pagamento online. A configuração e acerto desse canal seguro é feito pelo
    
handshake TLS/SSL, conforme figura:


 Figura 24: Visão geral do handshake TLS/SSL / Fonte: Autor

Firewall de Aplicação Web ou WAF (Web Application Firewall): É um conjunto de hardware

e/ou software
que aplica um conjunto de regras que filtram, monitoram e bloqueiam tráfego HTTP. Funciona
como uma
barreira entre a aplicação web e o tráfego que ele recebe do restante da internet. Auxilia no
bloqueio de
diversos tipos de ataque web, por exemplo, Injeção de SQL, DDoS, roubo de sessão, entre
outros. Auxilia
também na redução do consumo de banda de internet, uma vez que consegue filtrar o
tráfego, eliminando o
malicioso, o de robôs e qualquer outro tráfego indesejado. É importante balancear
as regras de firewall com
cuidado, uma vez que regras muito complexas ou muito restritivas podem causar
um efeito contrário ao
desejado. 

Proteção contra malwares: Malwares são códigos maliciosos desenvolvidos com a finalidade
de causar
ações danosas e maliciosas em um computador ou rede. É importante ter mecanismos de proteção
contra
malwares, pois esses códigos maliciosos podem vir a causar indisponibilidade de serviço, roubo de
informações de clientes e outras ações prejudiciais. Um aspecto importante da proteção contra malware é
que esses mecanismos evitam que, no caso de uma infecção, o site seja incluído em uma blacklist. Imagine
o
prejuízo para a imagem da empresa. 

Rede de fornecimento de conteúdo ou CDN (Content Delivery Network): É uma rede de

distribuição de
dados e informações composta por servidores
  que armazenam
  réplicas 
completas de um site e
distribuem o
acesso de forma otimizada para os usuários com base em sua localização geográfica. Isso
aumenta a
 performance e garante alta disponibilidade frente a ataques de DDoS, uma vez que a informação
está

distribuída. 

Sistemas antifraude: Sistema que avalia diversas variáveis e decide se uma compra será
aprovada ou não.
Utiliza padrões de compras, localização, endereço de entrega, análise de banco de dados
externos, provas de
identidade e outros fatores. Em alguns casos, pode incluir a análise manual da compra
por algum analista.
Todo o processo é transparente ao usuário e ocorre de forma muito rápida. Em última
instância, pode ocorrer
contato com o cliente para confirmação de compra. 

Selo Digital: Imagem de selo emitida por uma empresa de segurança que atesta que o
sistema garante que
cada transação vai passar por um procedimento totalmente seguro, preservando os dados
do comprador e
evitando fraudes.

 Figura 25: Exemplos de Selos de Segurança / Fonte: Autor

BOAS PRÁTICAS EM RELAÇÃO

 AOS
 PRINCÍPIOS
 

D.I.C.A PARA
UM SISTEMA DE E-COMMERCE


Clique nas barras para ver as informações.

PRINCÍPIO DA DISPONIBILIDADE 

PRINCÍPIO DA INTEGRIDADE 

PRINCÍPIO DA CONFIDENCIALIDADE 

PRINCÍPIO DA AUTENTICIDADE 

Normas e padrões de segurança

ABNT NBR ISO/IEC 27001:2013

A ISO/IEC 27001 é uma norma internacional criada pela International Standardization Organization (ISO) e
descreve como gerenciar a segurança da informação em uma organização através da implementação de um SGSI
–
Sistema de Gestão de Segurança da Informação. Sua última versão foi publicada em 2013 e possui versão
traduzida para o português brasileiro pela ABNT, ABNT NBR ISO/IEC 27001:2013. 

A norma pode ser auditada, ou seja, uma empresa ou pessoa pode obter essa certificação. Ter uma certificação é
um grande diferencial frente aos concorrentes e possui grande valor para aumentar a confiança do cliente na
empresa. 

A norma ABNT NBR ISO/IEC 27001:2013, no seu Anexo A, item 10.9, descreve alguns controles de segurança
específicos para um ambiente de comércio eletrônico. 

Vejamos:

A.10.9 Serviços de comércio eletrônico

Objetivo: Garantir a segurança de serviços de comércio eletrônico e sua

utilização segura.

Controle

Comércio
A.10.9.1 As informações envolvidas em comércio eletrônico, transitando sobre redes públicas,
devem ser protegidas de
eletrônico
atividades fraudulentas, disputas contratuais, divulgação e
modificações não autorizadas.

Controle

Transações Informações envolvidas em transações online devem ser protegidas para prevenir
transmissões incompletas,
A.10.9.2
online erros de roteamento, alterações não autorizadas de
mensagens, divulgação não autorizada, duplicação ou
reapresentação de mensagem
não autorizada.

Informações Controle

A.10.9.3 publicamente A integridade das informações disponibilizadas em sistemas publicamente acessíveis

deve ser protegida para
disponíveis prevenir modificações não autorizadas.

 Fonte: Adaptado de ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013, Anexo A 10.9.

    
Payment Card Industry – Data Security Standard (PCI-DSS) 
 É o Padrão de Segurança de Dados da Indústria de Pagamento com Cartão e sua última versão, no momento de

confecção deste conteúdo, é a 3.2.1. O PCI-DSS está composto por um conjunto de requerimentos e
procedimentos de segurança. Tem por objetivo proteger as informações pessoais de detentores de cartão e,
consequentemente, diminuir o risco de roubo de dados e fraudes. É um requisito legal para empresas que
processam pagamento por meio de cartão. 

O PCI-DSS está estruturado em 12 requisitos divididos entre 6 objetivos. Vejamos:

Objetivo Requisitos

1. Instale e mantenha uma configuração de firewall para proteger os dados do

titular
do cartão.

1. Construir e manter uma rede segura

2. Não use padrões fornecidos pelo fornecedor para senhas do sistema e outros
parâmetros de segurança

3. Proteja os dados armazenados do titular do cartão.

2. Proteger os dados do titular do cartão

4. Criptografe a transmissão dos dados do titular do cartão em redes
públicas abertas.

3. Manter um programa de gerenciamento de 5. Use e atualize regularmente software ou programas antivírus.

vulnerabilidade 6. Desenvolva e mantenha sistemas e aplicativos seguros.

7. Restrinja o acesso aos dados do titular do cartão por necessidade de

conhecimento
4. Implementar medidas fortes de controle de da empresa.

acesso 8. Atribua um ID exclusivo a cada pessoa com acesso ao computador.

9. Restrinja o acesso físico aos dados do titular do cartão.

10. Rastreie e monitore todo o acesso a recursos de rede e dados do titular do

cartão.

5. Monitorar e testar redes regularmente

11. Teste regularmente os sistemas e processos de segurança.

6. Manter uma Política de Segurança da 12. Mantenha uma política que trate da segurança da informação para
funcionários e
Informação contratados.

 Fonte: Adaptado de PCI DSS Quick Reference Guide (2018, p.09).

DESVENDANDO UM ATAQUE DE PHISHING

    


14:08

 VERIFICANDO O APRENDIZADO

1. Um sistema de e-commerce se utiliza da tecnologia CDN ou Content Delivery Network

para distribuir de forma otimizada o conteúdo do seu site e diminuir a incidência de
determinado tipo de ameaça. Essa tecnologia ajuda a mitigar principalmente qual dos
ataques abaixo?

A) Ataque de Vírus

B) Ataque de Injeção de Código SQL (SQL Injection)

C) Ataque de Negação de Serviço Distribuída (DDoS)

D) Ataque de Roubo de Sessão (Session Hijacking)

Responder

2. Um administrador de sistema de e-commerce, preocupado com a segurança da

informação, implementou um mecanismo de autenticação que inclui inserir informações
de usuário/senha e informar um código recebido pelo celular do cliente. Qual princípio
D.I.C.A foi assegurado por meio desse
 
mecanismo?
  
 A) Confidencialidade


B) Disponibilidade

C) Integridade

D) Autenticidade

Responder

CONCLUSÃO

CONSIDERAÇÕES FINAIS
Abordamos os principais tópicos relacionados à segurança da informação e a sua importância para um e-
commerce de sucesso. Vimos que a internet, com suas aplicações inovadores e revolucionárias, é um grande
meio de aproximação entre cliente e vendedor, e entendemos como os princípios D.I.C.A são fundamentais para
estabelecer meios seguros de transação, ajudando a criar um laço de confiança entre as partes e como essa
confiança gerada pode ser usada como fator diferencial para o negócio. 

Observamos que esse meio facilitador apresenta grandes desafios de segurança a serem superados, e que as
políticas, normas, procedimentos e mecanismos discutidos ajudam a transpor tais desafios, sendo esses meios
complementares entre si. Não há sentido em ter mecanismos sem políticas e vice-versa, por exemplo. 

Por fim, é bom rememorar a necessidade de que toda a organização deve estar preocupada com a segurança da
informação, buscando sempre a mentalidade de segurança constante. Ela não pode estar relegada apenas ao
setor de T.I da empresa, mais arraigada em seus valores e princípios, sempre preocupada com os anseios do
cliente e o cuidado com a privacidade deste.

    


PODCAST

0:00 16:55

REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27005:2011: Tecnologia da informação –
Técnicas de segurança – Gestão de riscos de segurança da informação. Rio de Janeiro. 2011. 

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2013: Tecnologia da informação –

Técnicas de segurança – Código de prática para controles de segurança da informação. Rio de Janeiro. 2013. 

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:2013: Tecnologia da informação –

Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Rio de Janeiro. 2013. 

FIDELITY NATIONAL INFORMATION SERVICES, INC. WORLDPAY. Mobile payment journey. In: Fisglobal.
Consultado em meio eletrônico em: 26 ago. 2020. 

FRASER, B. RFC 2475: Site Security Handbook. Consultado em meio eletrônico em: 20 ago. 2020. 

NETSCOUT SYSTEMS, Inc. 14º Relatório Anual sobre Segurança da Infraestrutura Global (WISR – Worldwide
Infrastructure Security Report). In: NETSCOUT, 2019. Consultado em meio eletrônico em: 18 set. 2020. 

OCDE – Organização para a Cooperação e Desenvolvimento Econômico. ELECTRONIC TRANSACTION, 2001.

Consultado em meio eletrônico em: 25 ago. 2020. 

PCI-DSS – Payment Card Industry Data Security Standard. PCI DSS Quick Reference Guide. In: PCI. Consultado
em meio eletrônico em: 28 ago. 2020.

EXPLORE+
Para saber mais sobre os assuntos tratados neste tema, pesquise: 

Cartilha de Segurança para Internet, CERT.BR. 

    
Sobre a segurança no e-commerce, portal EcommerceBrasil. 
Sobre a família de normas ISO27000, portal GSTI. 
 Sobre a PKI brasileira, designada pela sigla ICP-Brasil, Instituto Nacional de
Tecnologia da Informação – ITI.


CONTEUDISTA
Pedro Eduardo Silva Sá

 Currículo Lattes

Ao clicar nesse botão, uma nova aba se abrirá com o material preparado para impressão. Nel
 do seu navegador e clique em imprimir ou se preferir, utilize o atalho Ctrl + P. Nessa nova jane
destino, direcione o arquivo para sua impressora ou escolha a opção: Salvar como PDF.

    