O mais recente relatório sobre transparência do Google informa que as autoridades brasileiras enviaram 1.085 solicitações de dados pessoais de usuários dos serviços do site de buscas no segundo semestre de 2013. A empresa publicou um relatório separado em fevereiro desde ano sobre os pedidos feitos durante as investigações envolvendo segurança nacional pelos Estados Unidos.
O relatório, divulgado nesta quinta-feira, 27, lista o número de solicitações de cada país, o número de contas de usuários correspondentes e o percentual de pedidos atendidos pelo Google. Os EUA foram o país com mais pedidos desse tipo no segundo semestre.
De acordo com o site de buscas, os pedidos do governo dos EUA para obter informações sobre usuários de seus serviços aumentaram cerca de 120%, desde que começou a publicar os números de solicitações em 2009. De julho a dezembro do ano passado, as autoridades americanas fizeram 10.574 pedidos de informações, de 18.254 contas de usuários. A França foi o segundo país com mais requisições, que totalizaram 2.750, de 3.378 contas.
Além dos EUA e França, os países que mais bisbilhotaram a vida dos usuários do Google no semestre são Alemanha, Índia, Reino Unido e Brasil. A Alemanha fez 2.660 pedidos de informação, de 3.255 contas; a Índia fez 2.513 pedidos ou informações sobre 4.401 contas; o Reino Unido fez 1.397 pedidos de informação sobre contas de 3.142; e o Brasil fez 1.085 solicitações, de 1.471 contas de usuários.
"Embora nós reconheçamos o quão importante é a transparência quando se trata de pedidos do governo, os eventos do ano passado revelaram o quanto a questão é urgente", escreveu em um blogpost Richard Salgado, diretor da aplicação da lei e segurança da informação, segundo o The Guardian. E acrescentou: "Apesar do nosso número de usuários ter crescido ao longo do período, também estamos vendo mais e mais governos começarem a exercer sua autoridade para fazer solicitações".
O Google, Facebook, Microsoft, Yahoo e outras empresas de internet têm pressionado o governo dos EUA para uma maior transparência, após as revelações feitas pelo ex-técnico da Agência Nacional de Segurança (NSA) dos EUA, Edward Snowden, que vazou documento sigilosos à imprensa.
Recentemente, os EUA permitiram que gigantes de tecnologia divulgassem o número de solicitações envolvendo segurança nacional que recebem. Os pedidos são usados ??para obter informações sobre assinantes de operadoras de telefonia e usuários de internet e as empresas já haviam sido impedidas de revelar quaisquer detalhes sobre essas requisições.
Na semana passada, em reunião com Barack Obama na Casa Branca, executivos de empresas de internet e tecnologia ouviram a proposta do presidente dos EUA para reformar dos programas de espionagem da Agência de Segurança Nacional (NSA, na sigla em inglês). No entanto, os executivos querem mais reformas e pressionam por limites mais claros sobre as informações que as autoridades dos EUA podem coletar, além de mais supervisão e responsabilidade.
Blog de Assuntos ligados a T.I e Segurança da Informação
Friday 28 March 2014
Monday 24 March 2014
Rio registrou a maior taxa de tentativas de fraudes no comércio on-line no Sudeste em 2013
Em 2013, a 46 milhões de transações on-line foram autenticadas pela ClearSale, totalizando R$ 353 milhões. No estado do Rio, 3,42% das negociações foram na verdade tentativas de fraude, um pouco acima da taxa de toda a região Sudeste, que é de 3%. São Paulo ficou com 3,18%; Minas Gerais, com 2,13%; e Espírito Santo, com 2,04%. Norte e Nordeste aparecem como as duas áreas do país com mais tentativas de golpes no comércio on-line, com 5,2% e 5%. O Centro-Oeste registrou 3,4% e o Sul, 1,5%.
De acordo com o levantamento “Tentativas de fraude e volume de compras no comércio eletrônico brasileiro em 2013”, que examina o comportamento do setor durante o ano passado a partir das transações analisadas pela ClearSale, o tipo mais comum de fraude é o uso indevido de dados e os itens mais procurados são produtos de informática, celulares, peças automotivas e passagens aéreas.
Embora lidere percentualmente o ranking de tentativas de fraude, o Norte representa apenas 4% de todas as vendas on-line dos últimos 12 meses. O Nordeste ficou com 15% das transações, o Centro-Oeste, com 7%, e o Sul com 13%. Já o Sudeste respondeu por 61% do comércio eletrônico do país em 2013.
Rafael Lourenço, diretor de Inteligência Estatística da ClearSale, que detém mais 70% do mercado de autenticação de vendas e tem como clientes as maiores varejistas do país, destaca que compras via internet podem ser feitas por outra pessoa que não o dono do cartão de crédito. Até que a fraude seja identificada pelo titular, o produto já chegou até o fraudador. Para ele, não há prejuízo porque recebe o dinheiro de volta. Já o varejista fica com a perda, porque, como a compra é feita à distância, sem assinatura ou senha, o risco é assumido por quem vende.
Sistema de avaliação
Lourenço explica que todas as vendas feitas por seus clientes são submetidas a um sistema que avalia elementos como o montante, o item e o local da entrega. Com base em informações como essas, estima-se por meio de um sistema automático a propensão de fraude. Outras negociações passam por validação manual, com os dados do cliente sendo verificados por uma pessoa.
- Empresas que vendem apenas celular têm até 40% de suas vendas submetidas à validação de um call center. Já grandes varejistas apenas de 10% a 15% das transações são passadas para validação. As demais são aprovadas automaticamente. De 85% a 90% das transações são aprovadas automaticamente.
Lourenço diz que o índice de fraudes por estado é formado com base em quantos cliques são entendidos como tentativas de fraude:
- Agrupamos as transações por estado de entrega e vemos quantas tentativas de compra foram tentativas de fraude, quantas transações impedidas.
Para validar uma compra, a ClearSale recorre também a informações armazenadas em seu próprio banco de dados.
- Usamos não apenas os dados fornecidos para a compra que está sendo avaliada, mas também dados de compras anteriores. No caso de validação manual, o analista pode ligar tanto para o fraudador quanto para o verdadeiro dono do cartão, com base em informações registradas no seu históricos - diz Lourenço.
Motivos de bloqueio
O executivo admite que nesse processo de validação pode haver um bloqueio incorreto, mas afirma que é difícil que isso ocorra. Quando o consumidor tiver certeza de que não há motivo para que sua compra seja bloqueada, orienta, ele deve entrar em contato com o SAC da empresa e perguntar qual é a origem do bloqueio.
- Um bloqueio pode ocorrer por dois motivos, suspeita de fraude, pela ClearSale, por exemplo, ou pelo próprio cartão de crédito, por falta de limite. Bancos e emissores de cartão também têm mecanismos para evitar fraude.
O perfil mais suspeito de bloqueio, de acordo com Lourenço, é da pessoa que compra pela primeira vez para entrar em região de risco.
- Sabemos que há um mercado negro de dados que vêm de diferentes fontes, da internet e até de CDs vendidos com em camelôs. No varejo, há quem tire foto de frente e verso do cartão do consumidor para tentar fraudar ou quando uma compra feita por telefone e o consumidor passa seus dados.
© 1996 - 2014. Todos direitos reservados a Infoglobo Comunicação e Participações S.A. Este material não pode ser publicado, transmitido por broadcast, reescrito ou redistribuído sem autorização.
Wednesday 19 March 2014
A Internet, os ataques corriqueiros e a proteção ideal
O papel da internet cresce dia a dia. Há tempos, ampliou suas possibilidades, deixando de ser um meio social para tornar-se fundamental ao mundo dos negócios. Hoje, é também uma alternativa para a difusão de reivindicações e protestos. Entretanto, junto às suas diversas funções, a internet também ofereceu novas possibilidades para as fraudes e os tão temidos crimes cibernéticos.
Por mais distante que possa parecer, o Brasil vive intensamente esse outro lado da rede. O país é uma das principais origens de ataques no mundo e, segundo o estudo State of The Internet, foi a 8ª maior no segundo trimestre de 2013. Apesar de não se saber se os hackers estão fisicamente aqui, o fato aponta um cenário propício às fraudes virtuais. Isso se dá por termos muitos sistemas piratas, o que facilita que os computadores locais sejam usados como robôs de ataque por virus e malwares.
Como evoluem na mesma velocidade que a internet, não faltam opções de ataques para os criminosos. Por meio do acompanhamento do tráfego online, é possível identificar os mais comuns. Veja só:
• DDoS (Distributed Denial of Service): elevado volume de acessos em um site, que visa derrubá-lo para que não ofereça seus serviços ou informações. Geralmente, é usado para distrair a equipe de segurança da empresa para que outros ataques sejam realizados, com foco em roubo de dados, por exemplo. No segundo trimestre do ano houve crescimento de 54% dessa modalidade.
• Account Takeovers: é a apropriação de uma conta. Ou seja, o login e a senha do usuário são roubados e, a partir daí, há alteração de informações cadastrais, o que possibilita o roubo de dados, como os financeiros.
• DNS Hijacking: ataque direto ao DNS (domínio) do portal, que faz com que o usuário seja direcionado a outro endereço de maneira não perceptível. É muito comum em sites bancários, por exemplo, para coletar dados de acesso dos correntistas.
• 3rd Party Content Provider Compromise: alternativa encontrada pelos hackers para invadir grandes portais que possuem tecnologias de segurança. Para isso, usam os anúncios de parceiros, com banners oferecidos por companhias normalmente menores e com soluções menos robustas de proteção. O conteúdo é alterado com um vírus, que infecta os computadores que o acessarem. Com isso, dados da máquina são coletados e enviados ao endereço do fraudador. Como o conteúdo de um grande portal tem muito acesso, esse tipo de ataque tem grande impacto, se bem sucedido.
• Phishing for Cloud Service Credentials: é o envio de emails maliciosos com o objetivo de colher em provedores em cloud – como o Google, por exemplo – dados de login e senha do usuário. Com as informações em mãos, busca por e-mails de outros sites com senhas que possam ser usadas para roubar informações. Além disso, muitos sites enviam uma nova senha por e-mail pela funcionalidade "Esqueci Minha Senha". Se o hacker tem acesso à conta de e-mail, pode mudá-la e obter acesso a uma série de outros serviços online e fraudá-los.
Esses são os ataques mais corriqueiros, mas estão longe de serem os únicos. A complexidade das fraudes evolui tão intensamente quanto a indústria web. Por isso, o melhor remédio é a prevenção, tanto para o usuário final, como para as empresas. Nesse último caso a questão é mais complexa, pois vai além do comportamento inseguro, que é responsável por grande parte dos problemas sofridos pelas pessoas físicas.
No ambiente corporativo, é fundamental ter uma capacidade favorável de proteção. Porém, poucas companhias podem investir em estruturas imensas, com capacidade significativamente maior do que o necessário, quando a deixará subutilizada em 99% do tempo. E isso não é descaso ou irresponsabilidade, mas sim uma realidade do negócio. O investimento em capacidade de processamento necessário para se proteger de um ataque massivo de tentativas de login via SSL, por exemplo, seria muito alto para um evento pontual.
A boa notícia é que a solução existe. A computação em nuvem oferece inúmeras formas de proteger o ambiente virtual de ponta a ponta. Ela é a única que oferece essa possibilidade e apresenta altos índices de mitigação por conta da capacidade ilimitada. Por ser escalável, pode ser aumentada conforme a necessidade e já há no mercado provedores que não elevam os custos por conta dos ataques, uma vez que o tráfego e processamento gerado por eles não é cobrado. Por isso, proteja-se e não deixe de colher os frutos que a internet pode oferecer aos seus negócios.
Alex Felipelli, engenheiro de Soluções Sênior da Akamai
Por mais distante que possa parecer, o Brasil vive intensamente esse outro lado da rede. O país é uma das principais origens de ataques no mundo e, segundo o estudo State of The Internet, foi a 8ª maior no segundo trimestre de 2013. Apesar de não se saber se os hackers estão fisicamente aqui, o fato aponta um cenário propício às fraudes virtuais. Isso se dá por termos muitos sistemas piratas, o que facilita que os computadores locais sejam usados como robôs de ataque por virus e malwares.
Como evoluem na mesma velocidade que a internet, não faltam opções de ataques para os criminosos. Por meio do acompanhamento do tráfego online, é possível identificar os mais comuns. Veja só:
• DDoS (Distributed Denial of Service): elevado volume de acessos em um site, que visa derrubá-lo para que não ofereça seus serviços ou informações. Geralmente, é usado para distrair a equipe de segurança da empresa para que outros ataques sejam realizados, com foco em roubo de dados, por exemplo. No segundo trimestre do ano houve crescimento de 54% dessa modalidade.
• Account Takeovers: é a apropriação de uma conta. Ou seja, o login e a senha do usuário são roubados e, a partir daí, há alteração de informações cadastrais, o que possibilita o roubo de dados, como os financeiros.
• DNS Hijacking: ataque direto ao DNS (domínio) do portal, que faz com que o usuário seja direcionado a outro endereço de maneira não perceptível. É muito comum em sites bancários, por exemplo, para coletar dados de acesso dos correntistas.
• 3rd Party Content Provider Compromise: alternativa encontrada pelos hackers para invadir grandes portais que possuem tecnologias de segurança. Para isso, usam os anúncios de parceiros, com banners oferecidos por companhias normalmente menores e com soluções menos robustas de proteção. O conteúdo é alterado com um vírus, que infecta os computadores que o acessarem. Com isso, dados da máquina são coletados e enviados ao endereço do fraudador. Como o conteúdo de um grande portal tem muito acesso, esse tipo de ataque tem grande impacto, se bem sucedido.
• Phishing for Cloud Service Credentials: é o envio de emails maliciosos com o objetivo de colher em provedores em cloud – como o Google, por exemplo – dados de login e senha do usuário. Com as informações em mãos, busca por e-mails de outros sites com senhas que possam ser usadas para roubar informações. Além disso, muitos sites enviam uma nova senha por e-mail pela funcionalidade "Esqueci Minha Senha". Se o hacker tem acesso à conta de e-mail, pode mudá-la e obter acesso a uma série de outros serviços online e fraudá-los.
Esses são os ataques mais corriqueiros, mas estão longe de serem os únicos. A complexidade das fraudes evolui tão intensamente quanto a indústria web. Por isso, o melhor remédio é a prevenção, tanto para o usuário final, como para as empresas. Nesse último caso a questão é mais complexa, pois vai além do comportamento inseguro, que é responsável por grande parte dos problemas sofridos pelas pessoas físicas.
No ambiente corporativo, é fundamental ter uma capacidade favorável de proteção. Porém, poucas companhias podem investir em estruturas imensas, com capacidade significativamente maior do que o necessário, quando a deixará subutilizada em 99% do tempo. E isso não é descaso ou irresponsabilidade, mas sim uma realidade do negócio. O investimento em capacidade de processamento necessário para se proteger de um ataque massivo de tentativas de login via SSL, por exemplo, seria muito alto para um evento pontual.
A boa notícia é que a solução existe. A computação em nuvem oferece inúmeras formas de proteger o ambiente virtual de ponta a ponta. Ela é a única que oferece essa possibilidade e apresenta altos índices de mitigação por conta da capacidade ilimitada. Por ser escalável, pode ser aumentada conforme a necessidade e já há no mercado provedores que não elevam os custos por conta dos ataques, uma vez que o tráfego e processamento gerado por eles não é cobrado. Por isso, proteja-se e não deixe de colher os frutos que a internet pode oferecer aos seus negócios.
Alex Felipelli, engenheiro de Soluções Sênior da Akamai
Monday 17 March 2014
Pesquisa mede qualidade de operadoras móveis no Rio de Janeiro
Assim como fez em São Paulo, a Nextel contratou a empresa de benchmarking My Business para executar testes de desempenho de diversas operadoras móveis também no Rio de Janeiro. A ideia é mostrar, por meio de um levantamento independente, que o desempenho da tele seria melhor do que as das concorrentes no município.
É importante ressaltar, porém, que a base de usuários 3G influencia diretamente na prestação do serviço móvel pessoal. Segundo números de janeiro divulgados pela Anatel, na região do código de área 21 (que engloba a região metropolitana de Rio de Janeiro), a Claro tem 3,970 milhões de acessos, a Vivo tem 1,571 milhão, a TIM 1,519 milhão e a Oi 1,013 milhão. A Nextel, por outro lado, contabilizava 77,2 mil acessos nessa região. Quanto menos usuários utilizando a rede, mais capacidade sobra para entregar ao usuário.
A coleta de dados foi realizada entre os dias 10 e 18 de fevereiro e percorreu uma distância de 1.084 km na capital fluminense. A comparação foi feita com os mesmos planos utilizados nos testes em São Paulo: 3Gmax Unlimited, da Claro (com downlink máximo de 1.024 kbps); TIM Liberty Web (1.024 kbps de downlink e 100 kbps de uplink); Vivo Internet Brasil 5GB (1.500 kbps e 150 kbps); Oi Velox 3G (1.024 kbps e 128 kbps); e Dados 3G, da própria Nextel (600 kbps e 200 kbps).
Os testes foram realizados com serviços de FTP para transmissão de arquivos, testes de ping (para verificar o tempo de resposta do sinal enviado pelo aparelho) e com um website via navegador HTTP. Nos eventos testados, quem teve a melhor relação entre tentativas e sucesso para download via FTP foi a Vivo, com 81,95%, seguida de Oi (78,93%), Claro (77,33%), Nextel (77,30%) e TIM (74,94%). No upload para FTP, a Nextel obteve taxa de 88%. Vivo obteve 82,03%, Claro 80,90%, TIM 80,61% e Oi 78,57%.
Nos testes de ping, novamente em primeiro ficou a Nextel, com 99,42%, mas seguida de perto pela TIM (98,84%), Vivo (96,67%), Claro (95,45%) e Oi (88,82%). Ainda de acordo com a pesquisa, em navegação via HTTP, a Nextel obteve relação de 100%. TIM obteve 98,60%, Oi 98,35%, Claro 96,31% e Vivo 96,11%.
O estudo nota que as operações cariocas da Claro e da Vivo já são realizadas na maioria com a tecnologia HSPA+. TIM, Oi e Nextel utilizam mais a HSPA.
Voz
Nas comparações de chamadas de voz, a metodologia muda. As ligações longas foram de 10 minutos, com pausas de 20 segundos. As ligações curtas eram de 90 segundos, com pausas de 15 segundos. Os critérios utilizados foram acessibilidade (chamadas completadas), retenção (quando se evita interrupção de chamadas), MOS (qualidade da chamada de voz) e CST (tempo de inicialização da chamada após a discagem do número).
No resultado final incluindo todos esses itens, na avaliação da My Business, a Nextel apresentou um score total de 94,80% e ficou como o melhor resultado final. Em seguida veio a Vivo com 92,11%, TIM com 86,82%, Oi com 86,78% e Claro com 84,64%.
É importante ressaltar, porém, que a base de usuários 3G influencia diretamente na prestação do serviço móvel pessoal. Segundo números de janeiro divulgados pela Anatel, na região do código de área 21 (que engloba a região metropolitana de Rio de Janeiro), a Claro tem 3,970 milhões de acessos, a Vivo tem 1,571 milhão, a TIM 1,519 milhão e a Oi 1,013 milhão. A Nextel, por outro lado, contabilizava 77,2 mil acessos nessa região. Quanto menos usuários utilizando a rede, mais capacidade sobra para entregar ao usuário.
A coleta de dados foi realizada entre os dias 10 e 18 de fevereiro e percorreu uma distância de 1.084 km na capital fluminense. A comparação foi feita com os mesmos planos utilizados nos testes em São Paulo: 3Gmax Unlimited, da Claro (com downlink máximo de 1.024 kbps); TIM Liberty Web (1.024 kbps de downlink e 100 kbps de uplink); Vivo Internet Brasil 5GB (1.500 kbps e 150 kbps); Oi Velox 3G (1.024 kbps e 128 kbps); e Dados 3G, da própria Nextel (600 kbps e 200 kbps).
Os testes foram realizados com serviços de FTP para transmissão de arquivos, testes de ping (para verificar o tempo de resposta do sinal enviado pelo aparelho) e com um website via navegador HTTP. Nos eventos testados, quem teve a melhor relação entre tentativas e sucesso para download via FTP foi a Vivo, com 81,95%, seguida de Oi (78,93%), Claro (77,33%), Nextel (77,30%) e TIM (74,94%). No upload para FTP, a Nextel obteve taxa de 88%. Vivo obteve 82,03%, Claro 80,90%, TIM 80,61% e Oi 78,57%.
Nos testes de ping, novamente em primeiro ficou a Nextel, com 99,42%, mas seguida de perto pela TIM (98,84%), Vivo (96,67%), Claro (95,45%) e Oi (88,82%). Ainda de acordo com a pesquisa, em navegação via HTTP, a Nextel obteve relação de 100%. TIM obteve 98,60%, Oi 98,35%, Claro 96,31% e Vivo 96,11%.
O estudo nota que as operações cariocas da Claro e da Vivo já são realizadas na maioria com a tecnologia HSPA+. TIM, Oi e Nextel utilizam mais a HSPA.
Voz
Nas comparações de chamadas de voz, a metodologia muda. As ligações longas foram de 10 minutos, com pausas de 20 segundos. As ligações curtas eram de 90 segundos, com pausas de 15 segundos. Os critérios utilizados foram acessibilidade (chamadas completadas), retenção (quando se evita interrupção de chamadas), MOS (qualidade da chamada de voz) e CST (tempo de inicialização da chamada após a discagem do número).
No resultado final incluindo todos esses itens, na avaliação da My Business, a Nextel apresentou um score total de 94,80% e ficou como o melhor resultado final. Em seguida veio a Vivo com 92,11%, TIM com 86,82%, Oi com 86,78% e Claro com 84,64%.
Wednesday 12 March 2014
Segurança de Informação: quanto os sistemas estão de fato protegidos?
Com o crescente uso de tecnologia pelas empresas, aumenta também a preocupação com a segurança das informações armazenadas pelos diversos sistemas utilizados por seus funcionários, parceiros e clientes. Muitas medidas são tomadas para evitar que essas informações sejam acessadas por pessoas mal intencionadas, mas a grande dúvida continua: o quanto os sistemas estão de fato protegidos?
Essa questão não tem uma resposta fácil e nem mesmo precisa, pois apesar dos crescentes investimentos em hardware e software para proteger os dados sensíveis dentro das empresas, muitas vezes esquece-se de um elemento fundamental: o peopleware.
Vale aqui o velho ditado: a força de uma corrente é dado por seu elo mais frágil. Muitas vezes maciços investimentos feitos em tecnologia para impedir a invasão dos sistemas caem por terra através do uso de uma ferramenta cada vez mais popular entre os hackers: a engenharia social.
Seja através de redes sociais, phishing, ou mesmo através de contatos diretos com as pessoas que efetivamente usam os sistemas da empresa ("peopleware"), muitos hackers tem acesso a informações valiosas sobre os processos das empresas, seus sistemas de segurança lógica e física, e até mesmo às senhas dos sistemas.
Em vista desse cenário, as empresas precisam se conscientizar da necessidade de direcionar seus investimentos nesta área não somente na atualização tecnológica, mas também e principalmente, em educação em segurança de informação.
É um processo difícil, pois exige um trabalho contínuo de treinamento e orientação das pessoas para evitar que sejam vítimas desses ataques, mas de grande importância, não somente por ajudar a proteger os sistemas corporativos, mas também para a vida das pessoas que participam desse processo.
É necessário implantar não apenas um sistema de segurança, mas uma filosofia de segurança que as pessoas possam levar também para o seu ambiente doméstico. Com isso as empresas cumpririam um papel social, pois na verdade são elas que cada vez mais estão forçando seus clientes, funcionários e parceiros a se utilizarem de sistemas digitais, dado sua eficiência, redução de custos e confiabilidade. Confiabilidade porém, que é contestada por seus usuários, dado o crescente número de fraudes envolvendo transações com cartões, roubo de senhas, etc. Com a falta de conhecimento, os usuários não percebem que, muitas vezes, elas também foram agentes do próprio mal de que foram vítimas.
A questão da segurança de informação é antiga, mas com as recentes revelações sobre a extensão da espionagem norte-americana, em que líderes de Estado, empresas que usam a internet e até mesmo pessoas comuns foram espionados pelo governo americano através da CIA e da NSA, o assunto ganhou uma relevância maior e saiu do âmbito das áreas de TI das empresas e ganhou as ruas.
Sendo assim, estamos em um ótimo momento para discutir essa questão de uma forma mais ampla e tornar mais claro que a segurança de informação é uma via de mão dupla, onde a corporação e os usuários devem trabalhar em conjunto para garantir a integridade e inviolabilidade das informações armazenadas dentro das empresas.
O investimento em cultura de segurança corporativa precisa crescer e ser aprimorada, assim como a tecnologia utilizada para desenvolver os sistemas, em um processo contínuo, para que empresas e pessoas possam se relacionar em um ambiente mais resistente às investidas de indivíduos de má fé e mais confiantes na utilização da tecnologia cujo uso será cada vez mais crescente em todos os setores da atividade humana.
Jorge Tokuda, gerente de Consulting Group da 7COMm
Essa questão não tem uma resposta fácil e nem mesmo precisa, pois apesar dos crescentes investimentos em hardware e software para proteger os dados sensíveis dentro das empresas, muitas vezes esquece-se de um elemento fundamental: o peopleware.
Vale aqui o velho ditado: a força de uma corrente é dado por seu elo mais frágil. Muitas vezes maciços investimentos feitos em tecnologia para impedir a invasão dos sistemas caem por terra através do uso de uma ferramenta cada vez mais popular entre os hackers: a engenharia social.
Seja através de redes sociais, phishing, ou mesmo através de contatos diretos com as pessoas que efetivamente usam os sistemas da empresa ("peopleware"), muitos hackers tem acesso a informações valiosas sobre os processos das empresas, seus sistemas de segurança lógica e física, e até mesmo às senhas dos sistemas.
Em vista desse cenário, as empresas precisam se conscientizar da necessidade de direcionar seus investimentos nesta área não somente na atualização tecnológica, mas também e principalmente, em educação em segurança de informação.
É um processo difícil, pois exige um trabalho contínuo de treinamento e orientação das pessoas para evitar que sejam vítimas desses ataques, mas de grande importância, não somente por ajudar a proteger os sistemas corporativos, mas também para a vida das pessoas que participam desse processo.
É necessário implantar não apenas um sistema de segurança, mas uma filosofia de segurança que as pessoas possam levar também para o seu ambiente doméstico. Com isso as empresas cumpririam um papel social, pois na verdade são elas que cada vez mais estão forçando seus clientes, funcionários e parceiros a se utilizarem de sistemas digitais, dado sua eficiência, redução de custos e confiabilidade. Confiabilidade porém, que é contestada por seus usuários, dado o crescente número de fraudes envolvendo transações com cartões, roubo de senhas, etc. Com a falta de conhecimento, os usuários não percebem que, muitas vezes, elas também foram agentes do próprio mal de que foram vítimas.
A questão da segurança de informação é antiga, mas com as recentes revelações sobre a extensão da espionagem norte-americana, em que líderes de Estado, empresas que usam a internet e até mesmo pessoas comuns foram espionados pelo governo americano através da CIA e da NSA, o assunto ganhou uma relevância maior e saiu do âmbito das áreas de TI das empresas e ganhou as ruas.
Sendo assim, estamos em um ótimo momento para discutir essa questão de uma forma mais ampla e tornar mais claro que a segurança de informação é uma via de mão dupla, onde a corporação e os usuários devem trabalhar em conjunto para garantir a integridade e inviolabilidade das informações armazenadas dentro das empresas.
O investimento em cultura de segurança corporativa precisa crescer e ser aprimorada, assim como a tecnologia utilizada para desenvolver os sistemas, em um processo contínuo, para que empresas e pessoas possam se relacionar em um ambiente mais resistente às investidas de indivíduos de má fé e mais confiantes na utilização da tecnologia cujo uso será cada vez mais crescente em todos os setores da atividade humana.
Jorge Tokuda, gerente de Consulting Group da 7COMm
Tuesday 11 March 2014
Bancos se unem para atender conformidade das normas de KYC
A SWIFT, provedora de mensagens financeiras para mais de 10 milinstituições financeiras e empresas em 212 países, assinou um Memorando de Entendimento (MDE) com um grupo de bancos para desenvolver e usar, em conjunto, o Cadastro KYC – Know Your Customer – KYC ("Conheça seu Cliente") da SWIFT, um recurso centralizado para a coleta e distribuição de informações padronizadas, solicitadas por bancos como parte de seus processos de due diligence.
O grupo, formado pelo Bank of America, Merrill Lynch, Citi, Commerzbank, JPMorgan, Société Générale e Standard Chartered, trabalhará em conjunto com a SWIFT para desenvolver um serviço que ajudará os bancos a superarem seus desafios de compliance e reduzirem os altos custos associados à implementação de regulamentos relacionados às normas. A SWIFT irá operar o Cadastro KYC como um recurso para a toda indústria, com foco inicial em relacionamentos com correspondentes bancários. Outros bancos devem juntar-se à iniciativa nos próximos meses.
De acordo com o MDE, os bancos participarão de um grupo de trabalho liderado pela SWIFT, chegando a um consenso sobre os processos do Cadastro, bem como sobre a documentação e as informações necessárias para atender aos requisitos de KYC em diversas jurisdições. Além disso, os bancos começarão a preencher o cadastro com seus próprios dados de KYC.
"O atendimento às normas de KYC representa um grande desafio para muitos bancos", diz Luc Meurant, Chefe de Mercados Bancários e Serviços de Compliance da SWIFT. "A cooperação desses grandes bancos no desenvolvimento do Cadastro KYC é muito bem-vinda. O envolvimento dos bancos é um passo importante nessa iniciativa para padronizar o processo e reduzir os custos associados às atividades de KYC. O comprometimento desses bancos demonstra a importância da colaboração no combate a crimes financeiros. Todo usuário da SWIFT poderá se beneficiar das nossas soluções comunitárias".
Nos próximos meses, outros bancos devem juntar-se ao Cadastro KYC e contribuir com suas próprias informações atualizadas para um armazenamento seguro e centralizado. Cada usuário do Cadastro terá um ponto de acesso padronizado para obter detalhes sobre suas contrapartes, mantendo a propriedade de suas informações e o controle sobre quais instituições podem acessá-las.
"Ao oferecer uma solução central e padronizada que substitui as trocas de documentos bilaterais entre cada grupo de contrapartes, a SWIFT ajuda a reduzir o custo e os riscos associados à conformidade com as normas de KYC", disse Javier Pérez-Tasso, diretor de Marketing da SWIFT. "É encorajador ver os bancos se unindo por essa iniciativa, demonstrando claramente o valor que as soluções comunitárias agregam a este desafio".
O Cadastro KYC é a mais recente solução de compliance da crescente carteira da SWIFT, que já inclui soluções de Triagem de Sanções e Teste de Sanções, e em breve será complementada por um novo serviço de analítica de compliance. O Cadastro deve ser lançado no final de 2014, com aplicação controlada planejada para o meio do ano.
O grupo, formado pelo Bank of America, Merrill Lynch, Citi, Commerzbank, JPMorgan, Société Générale e Standard Chartered, trabalhará em conjunto com a SWIFT para desenvolver um serviço que ajudará os bancos a superarem seus desafios de compliance e reduzirem os altos custos associados à implementação de regulamentos relacionados às normas. A SWIFT irá operar o Cadastro KYC como um recurso para a toda indústria, com foco inicial em relacionamentos com correspondentes bancários. Outros bancos devem juntar-se à iniciativa nos próximos meses.
De acordo com o MDE, os bancos participarão de um grupo de trabalho liderado pela SWIFT, chegando a um consenso sobre os processos do Cadastro, bem como sobre a documentação e as informações necessárias para atender aos requisitos de KYC em diversas jurisdições. Além disso, os bancos começarão a preencher o cadastro com seus próprios dados de KYC.
"O atendimento às normas de KYC representa um grande desafio para muitos bancos", diz Luc Meurant, Chefe de Mercados Bancários e Serviços de Compliance da SWIFT. "A cooperação desses grandes bancos no desenvolvimento do Cadastro KYC é muito bem-vinda. O envolvimento dos bancos é um passo importante nessa iniciativa para padronizar o processo e reduzir os custos associados às atividades de KYC. O comprometimento desses bancos demonstra a importância da colaboração no combate a crimes financeiros. Todo usuário da SWIFT poderá se beneficiar das nossas soluções comunitárias".
Nos próximos meses, outros bancos devem juntar-se ao Cadastro KYC e contribuir com suas próprias informações atualizadas para um armazenamento seguro e centralizado. Cada usuário do Cadastro terá um ponto de acesso padronizado para obter detalhes sobre suas contrapartes, mantendo a propriedade de suas informações e o controle sobre quais instituições podem acessá-las.
"Ao oferecer uma solução central e padronizada que substitui as trocas de documentos bilaterais entre cada grupo de contrapartes, a SWIFT ajuda a reduzir o custo e os riscos associados à conformidade com as normas de KYC", disse Javier Pérez-Tasso, diretor de Marketing da SWIFT. "É encorajador ver os bancos se unindo por essa iniciativa, demonstrando claramente o valor que as soluções comunitárias agregam a este desafio".
O Cadastro KYC é a mais recente solução de compliance da crescente carteira da SWIFT, que já inclui soluções de Triagem de Sanções e Teste de Sanções, e em breve será complementada por um novo serviço de analítica de compliance. O Cadastro deve ser lançado no final de 2014, com aplicação controlada planejada para o meio do ano.
Thursday 6 March 2014
Tire seis dúvidas sobre contratação de serviços bancários
Abertura de conta
Antes de abrir a conta, pesquise sobre a atuação do banco com o qual pretende iniciar relacionamento: consulte a sua posição no ranking de reclamações do Banco Central (http://www.bcb.gov.br/?RANKING) e no Guia de Bancos Responsáveis (www.gbr.org.br), elaborado pelo Idec.
Além disso, compare os preços dos pacotes de tarifas entre uma instituição e outra. As tabelas com essas informações devem, obrigatoriamente, estar disponíveis nos sites e nas agências.
Fique atento ao valor do limite de crédito, o famoso “cheque especial”, definido na abertura da conta. Um limite muito alto pode estimular as pessoas a contar com esse dinheiro e a gastar além do necessário, alerta a economista do Idec Ione Amorim.
Aberta a conta, peça o contrato e o termo de adesão ao pacote de serviços, que discrimina quais foram os serviços contratados.
Pacote de serviços
É comum que os bancos tentem empurrar um pacote de serviços escolhido por eles. As ofertas baseiam-se, principalmente, na renda do novo correntista: quanto mais elevado o poder aquisitivo, mais caros costumam ser os pacotes definidos pelo banco.
No entanto, o consumidor tem direito de escolher o pacote que quiser, baseado em seu perfil de uso — ou seja, quais e quantos serviços costuma utilizar por mês.
Como o Idec já identificou em várias pesquisas, dificilmente o funcionário do banco vai oferecer os serviços essenciais espontaneamente. Por isso, saber que tem esse direito é fundamental para poder desfrutá-lo.
Quem tem um pacote tarifado também pode migrar para os serviços essenciais. Para isso, basta ir até a agência onde a conta foi aberta e pedir a troca.
Além dos diversos pacotes tarifados, existe a opção de contratar os serviços essenciais, modalidade gratuita que dá direito a operações básicas para movimentação da conta-corrente: um cartão com função de débito, quatro saques mensais, duas transferências entre contas do mesmo banco, dois extratos em caixa eletrônico, consultas on-line e dez folhas de cheque. O que for usado a mais será cobrado individualmente.
Como o Idec já identificou em várias pesquisas, dificilmente o funcionário do banco vai oferecer os serviços essenciais espontaneamente. Por isso, saber que tem esse direito é fundamental para poder desfrutá-lo. Quem tem um pacote tarifado também pode migrar para os serviços essenciais. Para isso, basta ir até a agência onde a conta foi aberta e pedir a troca.
Contratação de crédito
Desde julho deste ano os bancos devem informar detalhadamente a composição dos custos de um empréstimo. Antes, a informação do chamado Custo Efetivo Total (CET), obrigatório desde 2008, indicava apenas a taxa efetiva de juros e a taxa com a soma dos custos embutidos no crédito. Agora, os bancos precisam fornecer o detalhamento do cálculo, com o nome e valor de tudo que diz respeito ao crédito solicitado e quanto, percentualmente, ele representa no CET.
Assim, fica mais fácil identificar se há cobrança de tarifas ilegais ou se algum seguro está sendo embutido, por exemplo. Incluir sorrateiramente um seguro no empréstimo, sem informar o consumidor e muito menos dar a opção de que ele aceite ou não, é uma prática abusiva: configura venda casada, nos termos do artigo 39, I, do Código de Defesa do Consumidor (CDC).
Quitação antecipada de débito
Quando entra uma graninha imprevista é uma ótima oportunidade para quitar alguma dívida parcelada, como um empréstimo bancário ou um financiamento. Quando o consumidor liquida um débito antecipadamente, tem direito a abatimento proporcional dos juros, de acordo com o artigo 52 do CDC.
Para ter certeza de que o desconto está sendo dado corretamente, é importante solicitar um demonstrativo de cálculo. O banco não pode cobrar nenhuma tarifa pelo pagamento antecipado do empréstimo.
Atenção: o leasing (muito comum no financiamento de veículos) não é considerado operação de crédito, e sim de arrendamento. Nesse caso, o consumidor precisa esperar pelo menos 24 meses para quitá-lo sem pagar multa.
Fila
Algumas pessoas evitam ir ao banco com medo de perder horas na fila. Foi pensando nisso que cidades como Belo Horizonte (MG), Porto Alegre (RS) e Recife (PE), entre outras, aprovaram a “lei da fila”, que estabelece limites para a espera. Além disso, os próprios bancos criaram uma norma de autorregulação para o tempo de espera na fila, que vale para as cidades que não têm lei específica.
Segundo o ato normativo nº4/2009, criado pela Federação Brasileira de Bancos (Febraban), o tempo máximo de espera é de 20 minutos em dias comuns e de até 30 minutos em dias de pico (data de pagamento, véspera de feriado etc.). Se a regra for desrespeitada, o consumidor pode reclamar ao Serviço de Atendimento ao Consumidor (SAC) ou à ouvidoria da instituição e também ao Procon local.
Encerramento de conta
Uma conta sem movimentação não é o mesmo que uma conta encerrada. Se a conta não for formalmente finalizada, a tarifa do pacote de serviços, por exemplo, continua sendo cobrada. Se não houver saldo para cobri-la, haverá incidência de juros e o correntista pode ser inserido em cadastro de maus pagadores. Para evitar tudo isso, é preciso ir até a agência e solicitar o encerramento da conta, de preferência por escrito.
Verifique se há cheques pré-datados (nesse caso, a conta precisa ser mantida até que eles sejam pagos), suspenda contas em débito automático, devolva os cartões e talões de cheque que eventualmente tenha consigo e peça que eles sejam quebrados e rasgados na sua frente.
Importante: não se esqueça de pedir um protocolo que comprove o que a conta foi mesmo encerrada. O prazo que o banco tem para desativação é de 30 dias.
Antes de abrir a conta, pesquise sobre a atuação do banco com o qual pretende iniciar relacionamento: consulte a sua posição no ranking de reclamações do Banco Central (http://www.bcb.gov.br/?RANKING) e no Guia de Bancos Responsáveis (www.gbr.org.br), elaborado pelo Idec.
Além disso, compare os preços dos pacotes de tarifas entre uma instituição e outra. As tabelas com essas informações devem, obrigatoriamente, estar disponíveis nos sites e nas agências.
Fique atento ao valor do limite de crédito, o famoso “cheque especial”, definido na abertura da conta. Um limite muito alto pode estimular as pessoas a contar com esse dinheiro e a gastar além do necessário, alerta a economista do Idec Ione Amorim.
Aberta a conta, peça o contrato e o termo de adesão ao pacote de serviços, que discrimina quais foram os serviços contratados.
Pacote de serviços
É comum que os bancos tentem empurrar um pacote de serviços escolhido por eles. As ofertas baseiam-se, principalmente, na renda do novo correntista: quanto mais elevado o poder aquisitivo, mais caros costumam ser os pacotes definidos pelo banco.
No entanto, o consumidor tem direito de escolher o pacote que quiser, baseado em seu perfil de uso — ou seja, quais e quantos serviços costuma utilizar por mês.
Como o Idec já identificou em várias pesquisas, dificilmente o funcionário do banco vai oferecer os serviços essenciais espontaneamente. Por isso, saber que tem esse direito é fundamental para poder desfrutá-lo.
Quem tem um pacote tarifado também pode migrar para os serviços essenciais. Para isso, basta ir até a agência onde a conta foi aberta e pedir a troca.
Além dos diversos pacotes tarifados, existe a opção de contratar os serviços essenciais, modalidade gratuita que dá direito a operações básicas para movimentação da conta-corrente: um cartão com função de débito, quatro saques mensais, duas transferências entre contas do mesmo banco, dois extratos em caixa eletrônico, consultas on-line e dez folhas de cheque. O que for usado a mais será cobrado individualmente.
Como o Idec já identificou em várias pesquisas, dificilmente o funcionário do banco vai oferecer os serviços essenciais espontaneamente. Por isso, saber que tem esse direito é fundamental para poder desfrutá-lo. Quem tem um pacote tarifado também pode migrar para os serviços essenciais. Para isso, basta ir até a agência onde a conta foi aberta e pedir a troca.
Contratação de crédito
Desde julho deste ano os bancos devem informar detalhadamente a composição dos custos de um empréstimo. Antes, a informação do chamado Custo Efetivo Total (CET), obrigatório desde 2008, indicava apenas a taxa efetiva de juros e a taxa com a soma dos custos embutidos no crédito. Agora, os bancos precisam fornecer o detalhamento do cálculo, com o nome e valor de tudo que diz respeito ao crédito solicitado e quanto, percentualmente, ele representa no CET.
Assim, fica mais fácil identificar se há cobrança de tarifas ilegais ou se algum seguro está sendo embutido, por exemplo. Incluir sorrateiramente um seguro no empréstimo, sem informar o consumidor e muito menos dar a opção de que ele aceite ou não, é uma prática abusiva: configura venda casada, nos termos do artigo 39, I, do Código de Defesa do Consumidor (CDC).
Quitação antecipada de débito
Quando entra uma graninha imprevista é uma ótima oportunidade para quitar alguma dívida parcelada, como um empréstimo bancário ou um financiamento. Quando o consumidor liquida um débito antecipadamente, tem direito a abatimento proporcional dos juros, de acordo com o artigo 52 do CDC.
Para ter certeza de que o desconto está sendo dado corretamente, é importante solicitar um demonstrativo de cálculo. O banco não pode cobrar nenhuma tarifa pelo pagamento antecipado do empréstimo.
Atenção: o leasing (muito comum no financiamento de veículos) não é considerado operação de crédito, e sim de arrendamento. Nesse caso, o consumidor precisa esperar pelo menos 24 meses para quitá-lo sem pagar multa.
Fila
Algumas pessoas evitam ir ao banco com medo de perder horas na fila. Foi pensando nisso que cidades como Belo Horizonte (MG), Porto Alegre (RS) e Recife (PE), entre outras, aprovaram a “lei da fila”, que estabelece limites para a espera. Além disso, os próprios bancos criaram uma norma de autorregulação para o tempo de espera na fila, que vale para as cidades que não têm lei específica.
Segundo o ato normativo nº4/2009, criado pela Federação Brasileira de Bancos (Febraban), o tempo máximo de espera é de 20 minutos em dias comuns e de até 30 minutos em dias de pico (data de pagamento, véspera de feriado etc.). Se a regra for desrespeitada, o consumidor pode reclamar ao Serviço de Atendimento ao Consumidor (SAC) ou à ouvidoria da instituição e também ao Procon local.
Encerramento de conta
Uma conta sem movimentação não é o mesmo que uma conta encerrada. Se a conta não for formalmente finalizada, a tarifa do pacote de serviços, por exemplo, continua sendo cobrada. Se não houver saldo para cobri-la, haverá incidência de juros e o correntista pode ser inserido em cadastro de maus pagadores. Para evitar tudo isso, é preciso ir até a agência e solicitar o encerramento da conta, de preferência por escrito.
Verifique se há cheques pré-datados (nesse caso, a conta precisa ser mantida até que eles sejam pagos), suspenda contas em débito automático, devolva os cartões e talões de cheque que eventualmente tenha consigo e peça que eles sejam quebrados e rasgados na sua frente.
Importante: não se esqueça de pedir um protocolo que comprove o que a conta foi mesmo encerrada. O prazo que o banco tem para desativação é de 30 dias.