Os mecanismos de autenticação e autorização de usuários aplicados neste caso de
uso são: - Controle de acesso: a aplicação só pode ser acessada por usuários cadastrados e com perfil de acesso definido; - Cadastro de usuários: a aplicação deve permitir o cadastro de usuários com diferentes perfis de acesso; - Autenticação: o usuário deve fornecer suas credenciais (nome de usuário e senha) para acessar a aplicação; - Autorização: o acesso a determinadas funcionalidades da aplicação é restrito a usuários com perfis de acesso específicos, por exemplo, apenas usuários com perfil de "cliente individual" podem realizar uma solicitação de compra.
b. Os mecanismos de garantia de confidencialidade e integridade dos dados aplicados
neste caso de uso são: - Criptografia: os dados sensíveis, como informações de pagamento, devem ser criptografados durante a transmissão; - Controle de acesso: a aplicação só pode ser acessada por usuários cadastrados e autorizados; - Auditoria: todas as ações executadas na aplicação devem ser registradas em uma base de dados de auditoria para posterior análise e verificação da integridade das informações.
c. Em uma situação de auditoria interna, os auditores precisam considerar as
seguintes informações: - Registros de auditoria: é importante verificar se todas as ações executadas pelos usuários na aplicação foram registradas corretamente e se esses registros podem ser rastreados até o usuário responsável; - Controle de acesso: é importante verificar se os usuários têm acesso apenas às funcionalidades para as quais estão autorizados e se há alguma brecha de segurança que permita a um usuário acessar informações sensíveis sem autorização; - Pagamentos: é importante verificar se os pagamentos eletrônicos são realizados corretamente e se as informações de pagamento são armazenadas de forma segura.
d. Um mecanismo de auditoria deve ser implementado para detectar "quebra de
confidencialidade dos dados" e fraude. Esse mecanismo pode incluir: - Monitoramento de acessos: é importante monitorar o acesso dos usuários aos dados sensíveis e registrar todas as tentativas de acesso não autorizado; - Alertas de segurança: a aplicação deve ser capaz de detectar automaticamente atividades suspeitas e enviar alertas para os administradores do sistema; - Análise de registros de auditoria: os registros de auditoria devem ser analisados regularmente para detectar quaisquer atividades suspeitas ou inconsistentes.
e. Para restringir o acesso de usuários não cadastrados à aplicação, um mecanismo
de autenticação deve ser implementado. Isso pode incluir: - Página de login: a aplicação deve ter uma página de login onde os usuários cadastrados possam fornecer suas credenciais; - Verificação de credenciais: a aplicação deve verificar se as credenciais fornecidas são válidas e correspondem a um usuário cadastrado; - Controle de acesso: a aplicação deve restringir o acesso a determinadas funcionalidades para usuários não cadastrados ou não autorizados.