Arquivo

Textos com Etiquetas ‘PCI- DSS’

O que saber sobre tecnologia antes de montar varejo online.

8, agosto, 2013 Sem comentários
Por Robson Dantas (*)
Nem todos os varejos de loja física funcionam no virtual, e vice-versa, ir para a internet não é garantia de sucesso.

Nem todos os varejos de loja física funcionam no virtual, e vice-versa, ir para a internet não é garantia de sucesso.

As novas regras que entraram em vigor no primeiro semestre de 2013 são mais um alerta para os empreendedores sobre cuidados para iniciar o processo de compra e venda pela internet. Saiba como se preparar para montar um e-commerce a partir de algumas dicas de Robson Dantas, CTO da Vale Presente – empresa que fornece tecnologia para a venda de vale-presentes por meio de e-commerce, f-commerce e m-commerce para mais de 150 redes varejistas, entre eles Walmart, NetShoes e FastShop:

1 – Nova legislação: Estude a nova legislação sobre os cinco grandes temas vinculados: produto, fornecedor, atendimento ao consumidor, direito de arrependimento e compras coletivas.

2 – E-commerce é diferente de varejo físico: Nem todos os varejos de loja física funcionam no virtual, e vice-versa. Ir para a internet não é garantia de sucesso, é preciso fazer a analise das operações de compra, logística, entrega, devolução de produtos, meios de pagamento, fraudes, etc.

3 – Planejamento e elaboração da estratégia de negócio: Essa etapa deve contemplar a definição do que vender, quais são os concorrentes no mercado, o público-alvo que pretende atingir e a forma de comercialização. E só depois vem a escolha da plataforma e-commerce.

4 – Poder de decisão da compra: Investimento em uma boa plataforma, layout, atendimento, formas de pagamento, eficiência na entrega e segurança na compra são alguns passos para o sucesso e aí entra a diferença de vender pela internet. No meio virtual o consumidor conta com um arsenal grande de informação para decidir e comparar.

5 – Escolha da plataforma de e-commerce: A escolha deve ser por uma que seja capaz de suportar o negócio, e que ofereça, entre os diversos aspectos, conexão com o ERP existente; capacidade de gerir de forma eficaz os produtos, catálogos, campanhas e frete; sistema de tracking que permita troca de informações em tempo real com os clientes; gestão e inteligência de vendas; segurança; e gestão de recebíveis (cartão de crédito, boleto, transferência online, etc);

6 – Segurança: Gerenciar uma operação exige muito controle e segurança contra fraudes, investir em segurança das operações é fundamental.

(*) CTO da Vale Presente – empresa que fornece tecnologia para a venda de vale-presentes por meio de e-commerce, f-commerce e m-commerce para mais de 150 redes varejistas, entre eles Walmart, NetShoes e FastShop.


Quanto ao requisito segurança, muitos pontos devem ser levados em consideração, por isso a Netrunner Tecnologia tem alguns produtos que auxiliam nesse aspecto, são eles:

WatchGuard XTM – É um appliance de segurança de redes, que pode ser físico ou virtual, que além das opções naturais de um firewall, conta com um pacote de software totalmente voltado a segurança, evitando assim que a sua rede seja comprometida.

BRToken – É uma solução de autenticação forte, o SafeCore Server combinado ao SafeSignature fornece a mesma segurança que os grandes bancos possuem, por um preço acessível até aos pequenos negócios.

SEP Sesam – Solução de backup completa, rápida e segura, que atende a diversos sistemas operacionais, aplicações e virtualizadores. Permite unificar todos os backups em uma única ferramenta.

Security Manager Plus – Desenvolvido pela ManageEngine, é um scanner de segurança de rede, que permite a detecção de vulnerabiliades e ajuda a corrigi-las, tudo isso dentro das normas do mercado.

Todos esses produtos auxiliam na aderência ao PCI DSS, que é essencial para transações financeiras digitais.

Mais informações: www.netrunner.com.br/parceiros.aspx

Fonte: Blog IT Portal

Segurança em 2010.

14, dezembro, 2009 Sem comentários

Por muito tempo, a segurança de TI foi encarada como uma preocupação fácil de ser resolvida. Afinal, basta colocar sistemas de bloqueio perimetral e as informações estavam seguras dentro de casa, não é verdade? Isto significava que bastava bloquear o acesso e nada iria vazar. Mas o mundo hoje é 2.0. As pessoas e empresas passaram a valorizar a interação, a agilidade do tempo real e a mobilidade. E o que fazer com sites de relacionamento, blogs, webmails, gravadores de CD, ou mesmo pen drives. E como fica a mobilidade dos colaboradores?

Chegar a um ponto de equilíbrio é uma das tarefas mais difíceis do CIO. E ainda, ele tem que acompanhar o ritmo com que a tecnologia evolui, muda e se atualiza.

Existem inúmeras novas ofertas em segurança. Por isso, vejo no curto e médio prazo um grande aumento da procura por serviços de consultoria. A busca por especialistas que poderão avaliar e indicar as melhores soluções para cada realidade, porque há um mar de opções que são uma verdadeira sopa de letrinhas: SGSI, DLP, GRC, Cloud Computing, Serviços Gerenciados, SOC, entre outros.

A mais famosa, que tem inundado os noticiários, é cloud computing ou computação em nuvem. Trata-se de uma tecnologia que permite que por meio da internet os consumidores não precisam se preocupar com aquisição de equipamentos de alta performance e tampouco necessitam comprar licenças de software. Mas se os arquivos e aplicativos ficam na “nuvem” como garantir que as informações não serão extraviadas?

O cloud computing possui características únicas que exigem análise dos riscos, recuperação e privacidade, compliance e auditoria de dados. Para garantir ainda mais a tranqüilidade, os clientes devem saber muito bem que tipo de informação pode ser utilizada nesta tecnologia, em quem confiar como provedor deste serviço e quando é o momento certo de colocar dados na nuvem para resguardar sua segurança.

Outras ferramentas, ainda não tão famosas, devem ganhar cada vez mais destaque e irão impactar na gestão e no orçamento das companhias no próximo ano. Conheça um pouco mais sobre elas:

– SGSI ou Sistema de Gestão de Segurança da Informação: é o resultado de um conjunto de processos, diretrizes, políticas, procedimentos e outras medidas administrativas. Envolve a análise de riscos para a segurança da informação e identifica os pontos fracos e as falhas nos sistemas que deverão ser corrigidos, detectando e respondendo à incidentes de segurança e procedimentos para auditorias.

– DLP ou Data Loss Prevention: é um componente essencial na estratégia de segurança de todas as companhias. Este sistema é projetado para detectar e prevenir a utilização não autorizada e a transmissão de informações confidenciais. Ele identifica, monitora e protege os dados em uso, em movimento e em repouso por meio de inspeção de conteúdo. Sem a necessidade de um bloqueio indiscriminado de um tipo específico de arquivo.

– GRC ou Governança, Risco e Conformidade: gerir de forma unificada as vulnerabilidades e analisar a aderência aos regulamentos, políticas e normas – como SOX, ISO, Basiléia, PCI DSS, entre outras -, gera métricas e informações detalhadas dos processos de negócio, operações, frameworks e metodologias.

– SOC ou Centro de Operações de Segurança: tem a missão de administrar a análise de riscos por meio de recursos combinados como equipe de profissionais, hardware dedicado e software especializado, antecipando as ameaças e protegendo os clientes das suspeitas de ataques. O SOC consiste em monitorar a atividade de firewall, IDS – Intrusion Detection System –, antivírus, vulnerabilidades individuais e serviços de gestão de logs. Além disso, orienta os usuários a atenderem as principais regulamentações de segurança em vigor.

– Serviços gerenciados: possibilitam a definição de processos de relacionamento com terceiros e o gerenciamento das expectativas de entrega com métricas claras. Com isso, as equipes de TI são reduzidas e o serviço protege as informações vitais da empresa. Além disso, monitora e gerencia a rede mantendo o ambiente com níveis elevados de segurança, identificando e corrigindo vulnerabilidades.

Com todas essas novidades, o movimento de compra e venda de empresas da área de segurança vai continuar em 2010, segundo dados do Gartner. A consultoria estima que o mercado em 2010 ultrapasse a casa dos US$ 16 bilhões. Em compensação, neste ano, a receita mundial deverá ficar em US$ 14,5 bilhões, um aumento de 8% em relação a 2008.

Segurança da informação está deixando de ser um custo para se tornar um gasto consciente. Isto significa que mais e mais empresas percebem sua importância para a continuidade do negócio e estabelecem comitês cujos representantes respondam por diferentes áreas de uma organização, já que os riscos são iminentes a todos. Talvez, ainda haja um árduo caminho para que segurança seja encarado como investimento, mas já estamos dando os primeiros passos neste sentido.

Fonte: Site Baguete

Categories: Segurança Tags: , , , , , , ,

Encontrando o Equilíbrio.

22, outubro, 2009 Sem comentários

Pressões de negócio, mercado e regulatórios colocam o profissional de segurança da informação em uma situação difícil.

O profissional de segurança da informação já há algum tempo não tem que lidar somente com os aspectos operacionais da área, mas também com aspectos regulatórios, demandas de negócio, mitigação de riscos e etc. Os aspectos regulatórios provem de diferentes tais como regulamentações federais, regulamentações de mercado e regulamentações financeiras internacionais, e aparecem de acordo com fatores que não estão no controle deste profissional. Diante de tantas demandas, como este profissional pode encontrar o equilíbrio para lidar com tanta pressão?

Como vivemos em uma economia global, o quê acontece em um país muito provavelmente afetará outros. A lei Sarbanes Oxley é um exemplo clássico. Quando uma empresa americana, como a Enron e WorldCom faliu, isto mudou a maneira das empresas gerenciar seus controles internos.

Por exemplo, se uma empresa no Brasil ou Europa que ter suas ações negociadas na Bolsa de Nova York (NYSE), elas tem que implementar todos os controles requeridos e obter os relatórios independentes sobre a eficácia destes controles. Mesmo empresas que não são afetadas por algumas regulamentações, acabam seguindo o mesmo caminho para se manterem competitivas no mercado.

Adicionalmente, cada país tem suas próprias regulamentações com relacionados direta ou indiretamente com segurança da informação e o profissional de segurança deve estar bem informado sobre elas e estar atualizado sobre o quê está ocorrendo em outros países.

Por exemplo, não existe lei específica a cerca de privacidade no Brasil como as existentes nos países norte americanos e europeus, mas outras regulamentações, especialmente as chamadas regulamentações de mercado como, o Payment Card Industry Data Security Standard (PCI- DSS), estão se tornando populares e de fato requeridas pela indústria para que haja uma padronização de controles que já se provaram efetivos em outros países.

Nesta linha de pensamento, o profissional deve entender o funcionamento das leis de privacidade consolidadas em outros países, pois muito provavelmente elas serão algum dia sancionadas por aqui e antecipando-se, o profissional já terá as estrutura de controles internos de sua empresa preparada para acomodar estas leis.

Obviamente o negócio, TI e segurança, não vive somente em função de conformidade com leis e regulamentações.

A implementação de controles de segurança por meio do uso de soluções tecnológicas, incluído software e hardware, suportados por processos corretamente implementados, pode garantir esta conformidade combinado com a efetiva mitigação de riscos. Mas para que este objetivo seja atingido, o profissional de segurança deve obter o orçamento e apoio da alta administração adequado.

Muitas regulamentações devem ainda aparecer e o profissional de segurança deve implementar um processo, ou quem gostar da expressão em inglês um framework, com o objetivo de se encontrar controles que possam atender diversas regulamentações, mitigar riscos, atender as demandas de negócio utilizando recursos e investimentos que já foram efetuados. Caso contrário, o aporte financeiro será mais difícil, pois a alta administração não verá efetividade na forma que o profissional está gerindo e concentrando os investimentos em segurança.

Para conseguir equilíbrio para atender as demandas de negócio, regulamentações e mitigar riscos de forma eficaz, existe uma receita muito bem conhecia. O profissional de segurança deve convencer a alta administração e gestores de que eles fazem parte do problema e da solução.

Afinal, é a empresa e não a área de segurança que deve estar aderente às leis ou somente a área de segurança sofrerá as conseqüências de perda ou vazamento de dados, interrupções e outras materializações de riscos. O profissional de segurança não deve ser o “cowboy” solitário tentando fazer o que é correto ou criar um feudo isolado de toda a organização com uma visão limitada de sua visão e missão.

A alta administração e os gestores devem ser trazidos para a briga por meio de comitês ligados a segurança da informação, campanhas maciças de conscientização e outras medidas para que todos conheçam suas responsabilidades, suportem as iniciativas lideradas pela área de segurança.

Caso estas iniciativas deixem de ser cumpridas por impactarem estratégias e processos de negócios, além da famosa frase “não temos orçamento”, todos terão consciência e compartilharão conseqüências no advento da materialização de um risco de segurança.

Walmir Freitas é CISO da Fidelity Processadora e Serviços e membro do (ISC)2 Advisory Board of the Americas.

Fonte: Site Baguete