Logo E-Commerce Brasil

Glossário de segurança da informação

Por: Eduardo Macedo

Diretor da Stone Co. e ex-chefe de expansão da Marketplace na B2W.

O mercado de e-commerce tem um universo muito próprio de palavras e expressões que fazem parte do dia a dia das operações. Share, search, SEO, UX, conversão, ROI, performance, bounce rate, content, CPM e CPC são algumas das palavras mais ditas no dia a dia dos profissionais desse mercado.

Outra área com jargões bem peculiares é a de segurança da informação. Principalmente gestores de pequenas e médias empresas, sem equipe própria para cuidar desse assunto, têm dificuldade em entender alguns termos – atrapalhando a aquisição desses serviços e a compreensão de como eles podem se aplicar às lojas virtuais.

Nossa equipe de engenheiros e desenvolvedores preparou um “glossário” para te ajudar a entender cada um desses termos e visualizar a real aplicação em seu negócio:

Antimalware: Trata-de se um scan que simula um usuário comum navegando pelo site, a fim de avaliar se ele está infectado e distribuindo malwares – códigos malicioso que invadem computadores e efetuam uma série de ataques, que podem, por exemplo, roubar informações sensíveis como acessos a e-mails e redes sociais, além de informações bancárias. Quem distribui esses códigos são páginas infectadas, que muitas vezes nem sabem que estão distribuindo malwares – e isso pode fazer com que seu site caia na blacklist (veja na sequência desse material).

Autoridade Certificadora / Certificate Authority (AC ou CA): Responsável pela emissão de diferentes modalidades de certificados digitais – SSL, SSL EV, Wildcard e outros. Cabe a ela emitir a lista de certificados expirados ou revogados, além da emissão e distribuição. A autoridade certificadora deve também verificar a veracidade das informações passadas pelos sites que desejam o SSL. Para certificar a segurança dos dados, elas exigem informações como a chave CSR antes de emitir a certificação para o seu e-commerce.

Blacklist: Essa palavra muita gente já conhece, mas é sempre bom lembrar – seu e-commerce não quer fazer parte dela. Blacklists são listas que identificam endereços de e-mails ou sites que distribuem spam ou fazem outros ataques pela internet. Para uma loja virtual isso pode ser muito ruim, já que quando o cliente realizar um acesso receberá a seguinte mensagem “Esse site não é seguro, deseja continuar?”. Já imaginou como isso pode impactar seu e-commerce? Para não fazer parte dessas listas será preciso investir em elementos de segurança como softwares que realizam análises de vulnerabilidade e sistemas antimalwares.

Certificado digital: O certificado digital, no e-commerce, são todas aqueles que colaboram com a privacidade da troca de informações em um site. Existem diferentes modalidades de certificados digitais. O mais comum deles é o SSL, que criptografa as informações inseridas em uma loja online, dificultando que pessoas mal intencionadas tenham acesso a esses dados. Outra modalidade comum é o SSL EV, que além da criptografia dos dados, também exibe uma identificação com razão social da empresa com destaque verde na aba de navegação, o que aumenta a credibilidade da loja virtual, mas isso exige uma série de informações que não são solicitadas na versão mais comum do SSL.

Ainda existem outras modalidades de certificado digital:
● Code Signing
● SSL EV
● Wildcard
● San UCC
● MDC – Múltiplos domínios
● SSL

Chave CSR (Certificate Signing Request): Essa chave será necessária para a emissão do certificado digital SSL. Trata-se de um arquivo de texto – criptografado – que deve ser emitido pelo servidor em que seu site está inserido. Nele constam as informações necessárias para você ter o certificado de segurança em sua loja virtual. Para a emissão será preciso evitar caracteres especiais como @, & e %. Você deve emitir a chave em 1024 bits, isso irá permitir que ela seja identificada em navegadores com criptografia entre 128/256 bits. No momento da emissão são geradas duas chaves – pública e privada. A que deve ser informada a autoridade certificadora será a pública. A chave privada é sua e deve ser guardada com cuidado, ela dá acesso a todas as suas informações de criptografia.

PCI – Payment Card Industry: Normas estabelecidas por instituições financeiras – em todo o mundo – para garantir a segurança das transações online. Se sua loja optar em utilizar integrações diretas com as bandeiras de cartões de crédito e bancos, precisa seguir todas as recomendações de PCI – que já é adotada por intermediadores e gateways.

Pentest: O pentest é uma técnica que utiliza diferentes meios para identificar brechas de segurança em um site. Geralmente as empresas que realizam essas análises possuem profissionais que utilizam técnicas parecidas com as que pessoas mal intencionadas utilizam para conseguir invadir sites. Isso possibilita identificar todas as vulnerabilidades, mesmo as que podem estar ocultas ou de difícil percepção em uma primeira análise. Trata-se de um serviço indicado para médias e pequenas lojas virtuais que desejam corrigir vulnerabilidades e diminuir as chances de invasão do site.

Vulnerabilidade: Trata-se dos riscos aos quais um site está exposto. Seja para tirar ele do ar ou mesmo alterar informações. As vulnerabilidades são exploradas por pessoas mal intencionadas, que tem como objetivo invadir o site. Para evitar essas vulnerabilidades, será preciso realizar análises que as identifiquem. Existem diferentes empresas que realizam esse tipo de serviço. A Site Blindado é uma delas.

WAF – Firewall de Aplicação WEB: É uma ferramenta que detecta e bloqueia ataques – em tempo real – realizados contra sua aplicação web ou site. Ele também auxilia na identificação de visitantes reais dos chamados boots, robôs que simulam navegar para sobrecarregar uma página, também conhecido como ataque DDoS.

Agora, com a explicação dos principais termos, esperamos que você consiga entender melhor sobre a segurança de sua loja virtual e como cada item – da lista acima – impacta diretamente sua loja virtual.

Caso exista algum outro item que você desconheça o significado ou a utilização, deixe suas dúvida nos comentários.