Thursday, 30 October 2014

Serasa Experian lança certificados SSL para transações de e-commerce

A Serasa Experian lançou nesta sexta-feira, 24, os Certificados de Servidor SSL Protectweb, voltados para a segurança e autenticidade de transações feitas na internet. A solução é voltada para lojas virtuais ou sites que queiram garantir que seus clientes naveguem seguros no ambiente virtual.

Os certificados estão disponíveis em três versões: Protectweb, Protectweb Pro e Protectweb Pro EV, voltados para sites de pequeno, médio e grande porte. A solução faz com que as informações recebidas e enviadas sejam protegidas por meio de um protocolo de segurança, o SSL (Secure Sockets Layer), que fornece uma conexão criptografada na transmissão dos dados.

Com isso, internautas poderão navegar e fazer transações sem se preocupar com fraudes. "Um dos principais receios dos consumidores na internet continua sendo a segurança na troca de suas informações no e-commerce. Soluções como essa ajudam a aumentar a confiança dos internautas e promover o crescimento do comércio eletrônico no país", afirma Mariana Pinheiro, presidente da unidade de negócio de Certificação Digital da Serasa Experian.

Os certificados são oferecidos em parceria com a GlobalSign, multinacional que atua neste segmento desde 1996. Com a solução, as empresas e profissionais liberais garantem uma vantagem competitiva a seus sites, mostrando um ambiente confiável e legítimo com o Selo de Site Seguro da Serasa Experian. Na versão mais avançada da solução (Protectweb Pro EV), o internauta já verifica a segurança ao digitar a URL

Wednesday, 29 October 2014

ESET divulga relatório com problemas de segurança no terceiro trimestre

A ESET publicou um relatório com as principais vulnerabilidades à segurança identificadas no último trimestre (julho a setembro). O documento foi gerado a partir da análise de problemas enfrentados por usuários e empresas e que, na maior parte das vezes, foram gerados por falhas e bugs em sistemas, assim como pela conduta inadequada dos internautas.

Os especialistas da ESET dividiram as vulnerabilidades em dois grandes pilares:

Vulnerabilidades em sistemas e protocolos de comunicação: Esta é uma fraqueza que está em um computador e que pode ser explorada por uma ou mais ameaças, resultando em um risco à segurança da informação. No trimestre, as três ameaças que mais chamaram atenção foram: o Shellshock, o BadUSB e a falha no WordPress.

O Shellshock é uma vulnerabilidade grave no Bash, interpretador de comandos mais utilizados no GNU / Linux e em muitos outros sistemas baseados em Unix, como Android e Mac OS X. Ela permitiu a execução de código remoto para obter o controle de servidores web, roteadores, smartphones e computadores.

Já o BadUSB permite, de forma imperceptível pelo usuário, ignorar as proteções instaladas para prevenir infecções em dispositivos USB, como pen drives, teclados, mouses, câmeras web ou discos rígidos externos e, assim, permitir que o atacante infecte o equipamento.
Por fim, a falha do WordPress permitiu que o atacante fizesse o download de todos os arquivos maliciosos em servidores vulneráveis, porém confiáveis para os usuários, para realizar injeções de malware, invasões e spams localizados.

Vulnerabilidades Humanas: Os especialistas incluíram nesse quesito todos os problemas de segurança gerados pelo comportamento inadequado do usuário. O caso mais conhecido no período foi o vazamento de fotos íntimas de atriz Jennifer Lawrence e muitas outras celebridades. Tudo começou com um suposto "hacker" que dizia ter em suas mãos centenas de fotos de personalidades famosas, e que iria publicar no decorrer dos dias, e assim o fez.

Nesse caso, o problema poderia ter sido evitado se as vítimas, além de cuidados com sistemas, aplicações e navegadores, garantissem a segurança das comunicações, para evitar a exploração de possíveis vulnerabilidades.

"Por esse motivo, reforçamos a necessidade de os usuários terem a consciência da importância de uma conduta adequada na internet. Configurar senhas fortes e robustas, utilizar criptografia de informações pessoais, implementar a dupla autenticação e, claro, usar o máximo do bom senso, são recomendáveis. Além disso, deve-se investir em uma solução de segurança proativa sempre atualizada", avalia Ilya Lopes, especialista de segurança da ESET América Latina.

Monday, 20 October 2014

FBI diz que uso de criptografia sofisticada é obstáculo para combate ao crime e terrorismo

O diretor do FBI, James B. Comey, disse que as leis federais devem ser alteradas para exigir que as empresas de telecomunicações e internet permitam que o órgão tenha acesso às comunicações criptografadas de indivíduos suspeitos de crimes.

Em um discurso na Brookings Institution, em Washington, nesta quinta-feira, 16, Comey advertiu que crimes poderão ficar sem solução, se os agentes policiais não puderem ter acesso às informações que empresas de tecnologia como Apple e Google armazenam por utilizarem tecnologia de criptografia sofisticada.

O Google, Microsoft e o Facebook estão tomando medidas para criptografar o tráfego interno de seus sites, sendo que a Microsoft, que oferece o e-mail Outlook.com como serviço gratuito, já havia dito que está trabalhando para incorporar tecnologias de criptografia para o serviço. A Apple e o Google também ampliaram os recursos de criptografia em seus sistemas operacionais para dispositivos móveis, que possibilitam que os dados e mensagens dos usuários do iOS e Android fiquem fora do alcance das agências de inteligência dos EUA. Em junho, o Google já havia anunciado planos para desenvolver um e-mail à prova de espionagem.

"Infelizmente, a lei não manteve o ritmo de aperfeiçoamento da tecnologia, e essa desconexão criou um problema de segurança pública significativo", disse Comey. Ele disse que espera que o Congresso americano atualize a legislação denominada Communications Assistance for Law Enforcement Act (CALEA), lei de 1994 que obriga as empresas de telecomunicações disponibilizarem em seus sistemas dispositivos que permitam as autoridades iniciar imediatamente escutas telefônicas com a apresentação de uma ordem judicial.

Serviços como Gmail ou Facebook não são cobertos por essa lei. Como as pessoas se comunicaram cada vez mais através da internet, em vez de por telefone, o FBI tem pressionado desde pelo menos 2010 para que os parlamentares ampliem a lei para que essas empresas sejam cobertas e ofereçam o mesmo recurso para o cumprimento de ordens de escuta.

Uma preocupação do FBI tem sido startups, muitas dos quais não têm desenvolvido capacidades de intercepção em seus produtos. Isso pode causar atrasos quando recebem uma ordem. Por sua vez, as starups dizem que o desenvolvimento de tais capacidades é caro e poderia atrair hackers malintencionados.

Uma questão levantada pelo diretor do FBI é se as empresas devem ter permissão para construir sistemas de comunicações criptografados de ponta a ponta, de modo que as agências de inteligência não sejam capazes de decifrar-los, mesmo com a apresentação de uma ordem de escuta telefônica. "Os agentes encarregados de proteger o nosso povo nem sempre são capazes de acessar as provas que precisam para reprimir a criminalidade e prevenir o terrorismo, mesmo com autorização legal", disse ele. "Nós temos a autoridade legal para interceptar comunicações e acessar informações nos termos do mandado judicial, mas muitas vezes não temos capacidade técnica para fazê-lo."

Quebrar a criptografia no novo sistema operacional da Apple, por exemplo, pode levar mais de cinco anos de tentativas, de acordo com um guia técnico da Apple, embora essa estimativa não seja consenso entre os criptógrafos.

Esta foi a primeira declaração de Comey sobre a CALEA desde que assumiu o comando do FBI, em setembro do ano passado. Em seu primeiro ano, ele passou um tempo significativo cruzando o país para visitar mais de 56 escritórios do FBI.

Ao que tudo indica, a batalha entre as empresas do Vale do Silício e da comunidade de inteligência sobre a coleta de informações está apenas começando. Com informações de agências de notícias internacionais.

Wednesday, 15 October 2014

Baixa adoção de padrões de autenticação de email afeta bancos na AL

Nenhum dos 38 principais grandes bancos da América Latina possui proteção completa contra ataques de emails fraudulentos. A conclusão faz parte do estudo da Return Path, que avaliou o domínio de email de instituições financeiras da Argentina, Brasil, Chile, Colômbia, México, Panamá, Peru, Costa Rica, Equador e Uruguai. "A análise revela o quanto os bancos estão vulneráveis com relação às fraudes por email, além do trabalho que há de ser realizado com foco preventivo", explica Louis Bucciarelli, diretor regional LATAM da Return Path.

Entre as instituições avaliadas pelo estudo da Return Path, 27 implementaram a solução SPF (do inglês, Sender Policy Framework), que permite ao dono do domínio especificar os servidores de emails usados para enviar mensagens, e seis bancos "apenas" iniciaram a adesão ao protocolo de segurança DMARC (do inglês, Domain – based Message Authentication, Reporting and Conformance)

"O resultado aponta um sinal de alerta a essas instituições, pois além do crescimento das ações fraudulentas, há uma sofisticação nos ataques via email, com a capacidade de forjar endereços de email iguais ao do verdadeiro remetente", aponta Bucciarelli. De acordo com estimativas da Return Path, os maiores bancos da América do Norte e Europa, por exemplo, recebem aproximadamente seis milhões de tentativas de fraude por mês a clientes no canal email.

A importância da adoção das autenticações e protocolos de segurança está em abordar o problema dos ataques de phishing e spoofing de forma proativa. Há maneiras de detectar mais ataques com mais rapidez, desativar sites fraudulentos com mais agilidade, como também bloquear ataques de emails falsificados antes mesmo de chegarem à caixa de entrada. "Esta abordagem reduz a vulnerabilidade social do email: se as pessoas não tiverem a chance de ver os emails maliciosos, o fato de estarem ou não sujeitos ao erro ou se são descuidados torna-se irrelevante", diz o executivo da Return Path. "Este cuidado reduz os prejuízos financeiros aos clientes e às instituições bem como danos de imagem e credibilidade", completa.

Certisign e AC Sincor lançam portal de assinaturas para o mercado de seguros

A Certisign, empresa de certificação digital, e a AC Sincor, autoridade certificadora do Sincor-SP (Sindicato da categoria no Estado), anunciaram um novo produto para o setor: o Portal de Assinaturas do Mercado de Seguros AssinaSeg.

Trata-se de uma solução para assinatura de qualquer tipo de documento com validade jurídica por meio do Certificado Digital ICP-Brasil. Nesta plataforma, o usuário, além de assinar, pode transmitir e armazenar o documento no sistema. Com apenas alguns cliques e total segurança nos processos.

Qualquer tipo de documento pode ser assinado no AssinaSeg. "Os corretores de seguros, por exemplo, podem assinar o perfil de condutor, documento de alteração ou confirmação de perfil, contratos de representação, comunicados e qualquer outro tipo de documento que seja necessário", explica Maria Teresa Aarão, gerente de Desenvolvimento de Novos Produtos da Certisign.

Alexandre Camillo, presidente do Sincor-SP, destaca a economia e agilidade nos processos que esta solução trará não só aos corretores, mas a todo o setor de seguros. "Por ano, são emitidas mais de 40 milhões de apólices de seguros, e como cada uma tem mais de seis páginas, totaliza-se 240 milhões de impressões. O gasto apenas com a compra de papel representa no setor, em média, R$ 7 milhões. Imagina se acrescentarmos o custo com impressão, motoboy, postagem, armazenamento etc? Vale ressaltar que há também o impacto no meio ambiente que é imensurável. Desta forma, fica clara a importância de migrar os processos físicos do setor para o eletrônico. O AssinaSeg é uma solução benéfica para as contas do mercado e para o planeta. Com o uso do Portal, os processos de assinatura começam e terminam no meio eletrônico com muito mais agilidade. É uma inovação."

Gestão de Risco

Com a validade jurídica assegurada pelo uso do Certificado Digital ICP-Brasil, o Portal AssinaSeg também é uma solução destinada à gestão de risco, justamente por utilizar a assinatura digital e permitir o armazenamento dos documentos de forma eletrônica.

"No Portal AssinaSeg você cria uma pasta eletrônica para cada cliente. Ou seja: não é necessário arquivar e-mails ou documentos impressos assinados à mão para ter a comprovação das informações enviadas pelos segurados. Você pode concentrar todos os contratos e apólices em uma única plataforma", explica Maria Teresa.

Wednesday, 1 October 2014

STJ decide que Sisbacen está sujeito ao Código de Defesa do Consumidor

A Quarta Turma do Superior Tribunal de Justiça (STJ) decidiu que o Sistema de Informações do Banco Central (Sisbacen) tem natureza de cadastro restritivo de crédito, assim como o SPC, a Serasa e demais cadastros do gênero, pois suas informações objetivam diminuir o risco assumido pelas instituições financeiras na hora de conceder crédito.

O entendimento foi adotado por maioria. Prevaleceu no julgamento o voto do ministro Luis Felipe Salomão, que considerou que o Sisbacen é cadastro público que constitui um "sistema múltiplo" com finalidade de proteger tanto o interesse público quanto interesses privados. Com a decisão, a Quarta e a Terceira Turma — colegiados que formam a Segunda Seção do STJ, especializada em direito privado — passam a ter precedentes no mesmo sentido.

A decisão foi resultante de uma ação de indenização por danos morais ajuizada por uma clínica contra a Cooperativa de Economia e Crédito dos Médicos de Tubarão (Unicred) por causa da inclusão do seu nome no registro de inadimplência do Sisbacen. A inscrição ocorreu quando estava em vigor uma liminar judicial que determinava a não inclusão da clínica em órgãos de proteção ao crédito.

A sentença julgou a ação improcedente, pois faltariam provas da inscrição indevida e, além disso, não teria havido dano à imagem da clínica nem prejuízo aos seus negócios.

No Tribunal de Justiça de Santa Catarina (TJSC), a sentença foi reformada. O tribunal considerou que o Sisbacen atua como um banco de dados restritivo, pois informa a todas as instituições quem está apto ou não a receber financiamentos. Para a corte estadual, como houve descumprimento de determinação judicial, isso fez surgir o dever de indenizar os danos morais, que foram fixados em R$ 20 mil.

Em recurso ao STJ, a cooperativa alegou que a indenização é indevida, pois o envio de informações sobre a situação creditícia dos clientes ao Banco Central é obrigatório, sob pena de multa. Também sustentou que o Sisbacen não funciona como órgão de consulta como os demais cadastros de proteção ao crédito, pois exige da instituição financeira a autorização expressa do cliente para busca de informações.

Qualquer cadastro

A Quarta Turma levou em conta que a liminar proibiu a cooperativa de fazer inscrição negativa do nome da clínica e ainda determinou que providenciasse sua exclusão de "qualquer" cadastro de inadimplentes onde figurasse.

Segundo o ministro Salomão, se não há reconhecimento de dívida, não se pode falar em inadimplência e, consequentemente, não se pode colocar o nome do suposto devedor em nenhum órgão de proteção ao crédito, incluindo-se aí os bancos de dados de natureza pública, como o Sisbacen.

De acordo com o ministro, ao cadastrar a clínica no Sisbacen, a cooperativa violou o padrão de veracidade da informação exigido pelo Código de Defesa do Consumidor. "Por inobservância do requisito de veracidade, o registro no banco de dados acabou se tornando uma conduta ilícita que, ao contrário do informado, não reflete uma situação real de inadimplemento, sendo que o caráter induvidoso do dado é da essência dos arquivos de consumo", afirmou.

Filtro

Salomão explicou que o Banco Central mantém informações positivas e negativas, sendo que "em seu viés negativo atua de forma similar a qualquer órgão restritivo, visando à proteção do crédito, além de permitir que a instituição financeira avalie, por meio da consulta aos diversos bancos de dados, inclusive o Sisbacen, os riscos do negócio jurídico a ser celebrado".

O ministro afirmou que o Sistema de Informações de Crédito do Banco Central do Brasil (SCR), que faz parte do Sisbacen, é largamente utilizado pelas instituições financeiras como espécie de filtro para a concessão de empréstimos ao consumidor.

Segundo ele, além de a doutrina especializada reconhecer no Sisbacen a natureza de banco de dados para proteção ao crédito, a jurisprudência do STJ também tem precedentes no mesmo sentido, como os Recursos Especiais 1.099.527, de relatoria da ministra Nancy Andrighi, e 1.183.247, do ministro Paulo de Tarso Sanseverino, ambos da Terceira Turma.

Lei 12.414

Salomão ressaltou que essa foi a intenção do legislador na Lei 12.414/11 — que trata dos cadastros sobre histórico de crédito — ao estabelecer que os bancos de dados de natureza pública teriam regramento próprio, "o que, a contrario sensu, significa dizer que estes também são considerados bancos de dados de proteção ao crédito, os quais futuramente serão objeto de regulamentação própria".

O ministro considerou que as informações do Sisbacen podem ter restringido a obtenção de crédito pela clínica, "haja vista que as instituições financeiras, para a concessão de qualquer empréstimo, exigem a autorização do cliente para acessar o seu histórico junto aos arquivos do Banco Central".

A Turma entendeu que não houve nenhuma justificativa aceitável para o descumprimento da liminar e por isso manteve a indenização de danos