Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6

Tamanho: px
Começar a partir da página:

Download "Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6"

Transcrição

1 Padrão: Padrão de Segurança de Dados (DSS) Requisito: 6.6 Data: Fevereiro de 2008 Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Data de liberação: 15/04/2008

2 Geral O Requisito DSS PCI 6.6 proporciona duas opções voltadas para resolver ameaças comuns aos dados do portador do cartão e garantir que o acesso a aplicativos da Web a partir de ambientes não confiáveis seja inspecionado de cima a baixo. Os detalhes de como atender a esse requisito dependem da implementação específica de suporte de determinado aplicativo. Análises forenses do comprometimento dos dados do portador do cartão demonstraram que aplicativos da Web são freqüentemente o ponto inicial de ataque aos dados do portador do cartão, por meio de injeção de SQL em particular. A finalidade do Requisito 6.6 é garantir que aplicativos da Web expostos na Internet pública sejam protegidos contra os tipos mais comuns de entradas maliciosas. Existe uma grande quantidade de informações públicas disponíveis em relação a vulnerabilidades de aplicativos na Web. As vulnerabilidades mínimas a considerar estão descritas no Requisito 6.5. (Consulte a seção de Referências de outras fontes de informações sobre testes de aplicativos na Web.) A implementação correta das duas opções proporcionará a melhor defesa em várias camadas. O SSC PCI reconhece que o custo e complexidade operacional da implementação das duas opções pode não ser praticável. Além disso, uma das opções poderá não ser possível em algumas situações (se não houver acesso ao código-fonte, por exemplo). Mas deve ser possível aplicar ao menos uma das alternativas descritas neste artigo, e a implementação correta poderá atender à intenção do requisito. Este documento orienta como auxiliar a determinar a melhor opção, o que pode variar dependendo dos produtos em uso, como uma organização terceiriza ou desenvolve seus aplicativos para Web, e outros fatores no ambiente. Requisito Opção 1 Revisões do Código do Aplicativo A opção de revisão do código do aplicativo não exige necessariamente uma revisão manual do código-fonte. Lembrando que o objetivo do Requisito 6.6 é impedir a exploração de vulnerabilidades comuns (como as listadas no Requisito 6.5), várias soluções possíveis poderão ser consideradas. Elas são dinâmicas e proativas, exigindo a iniciação específica de um processo manual ou automatizado. Corretamente implementadas, uma ou mais dessas quatro alternativas podem atender à intenção da Opção 1 e proporcionar o nível mínimo de proteção contra ameaças comuns a aplicativos na Web: 1. Revisão manual do código-fonte do aplicativo 2. Uso adequado de ferramentas de análise automática (varredura) do código-fonte do aplicativo 3. Avaliação manual de vulnerabilidade de segurança de aplicativo na Web 4. Uso adequado de ferramentas de avaliação automática (varredura) de vulnerabilidade de segurança de aplicativo na Web 2

3 Todas elas devem ser criadas para testar a presença de vulnerabilidades de aplicativo na Web conforme indicado na seção Geral acima. Observe que uma avaliação de vulnerabilidade simplesmente identifica e informa as vulnerabilidades, sempre que um teste de penetração tente explorar as vulnerabilidades, para determinar se é possível um acesso não autorizado ou outra atividade maliciosa. As revisões/avaliações manuais podem ser realizadas por um recurso interno qualificado, ou por um terceiro qualificado. Em todos os casos, o(s) indivíduo(s) deve(m) ter as habilidades e a experiência adequadas para compreender o código-fonte e/ou aplicativo da Web, saber como avaliar cada um por suas vulnerabilidades, e compreender as descobertas. De forma semelhante, os indivíduos que usam ferramentas automáticas deverão ter as habilidades e o conhecimento para configurar corretamente a ferramenta e o ambiente de teste, utilizar a ferramenta e avaliar os resultados. Se forem utilizados recursos internos, eles deverão estar organizacionalmente separados da gerência do aplicativo sendo testado. Por exemplo, a equipe que escreveu o software não deve realizar a revisão ou avaliação final nem verificar se o código está protegido. Existem várias maneiras de realizar uma revisão de código ou avaliação do aplicativo que forneça a mesma (ou melhor) proteção fornecida por um firewall de aplicativos (discutida abaixo como a Opção 2). Dois exemplos que podem atender à intenção da primeira opção são: 1. Uma organização tem implementado, como parte de seu ciclo de vida de desenvolvimento de software (SDLC), um processo onde o código-fonte do aplicativo da Web sofre uma revisão independente de segurança. A revisão de segurança deverá consistir do exame dos aplicativos para controles que tratem de vulnerabilidades comuns de aplicativos da Web. Essas revisões de código poderão ser implementadas como processos manuais ou automáticos. 2. O uso de um processo manual ou de ferramentas especializadas para testar a presença de vulnerabilidades e defeitos expostos ao executar um aplicativo da Web. Essa abordagem envolve a criação e envio ao aplicativo de entradas maliciosas ou fora do padrão, simulando um ataque. As respostas a essa entrada serão examinadas em busca de indicações de que o aplicativo possa ser vulnerável a determinados ataques. As revisões ou avaliações deverão ser incorporadas no SDLC e realizadas antes do aplicativo ser implementado no ambiente de produção. O SDLC deverá incorporar a segurança de informações em todo o ambiente, conforme o Requisito 6.3. Os processos de controle de alterações deverão garantir que os desenvolvedores de software não consigam ignorar a etapa de revisão/avaliação de código e implementar o novo software diretamente no ambiente de produção. Os processos de controle de alterações também deverão reforçar a correção e novos testes de vulnerabilidades antes da implementação. Embora o endosso/aprovação final dos resultados da revisão/varredura devam ser dados por uma organização independente, recomenda-se que revisões e varreduras também sejam realizadas o mais cedo possível no processo de desenvolvimento. Deve- 3

4 se disponibilizar ferramentas aos desenvolvedores de software e elas devem ser integradas em seu conjunto de desenvolvimento na medida do possível. Os fornecedores poderão incorporar recursos de varredura de código ou avaliação de vulnerabilidade nos produtos com outros objetivos, como validar a conformidade com as melhores práticas de arquitetura relativa a determinado idioma. Ao avaliar essas ferramentas é importante confirmar a capacidade da ferramenta de testar por vulnerabilidades de aplicativos comuns da Web antes de supor que possa ser usada para atender ao previsto no Requisito 6.6. Além disso, para enfrentar novas ameaças que surgem, as ferramentas devem ser capazes de incorporar novas regras de análise. Quem realizar revisões ou avaliações manuais deve estar atualizado com as tendências no setor para garantir que suas habilidades de avaliação ou teste continuem capazes de enfrentar as novas vulnerabilidades. Requisito Opção 2 Firewalls de Aplicativos No contexto do Requisito 6.6, um firewall de aplicativo é um firewall de aplicativo da Web (WAF), que é um ponto de aplicação da política de segurança posicionado entre um aplicativo da Web e o ponto final do cliente. Esse recurso pode ser implementado em software ou hardware, ser executado em um dispositivo de um equipamento ou em um servidor típico executando um sistema operacional comum. Ele pode ser um dispositivo independente ou estar integrado a outros componentes na rede. Os firewalls típicos de rede são implementados no perímetro da rede ou entre segmentos (zonas) da rede e são a primeira linha de defesa contra muitos tipos de ataques. Mas eles devem permitir que as mensagens alcancem os aplicativos da Web que uma organização decidir expor na Internet pública. Os firewalls de rede geralmente não são projetados para inspecionar, avaliar ou reagir com as partes de um (pacote) de mensagem do Protocolo Internet (IP) consumido por aplicativos da Web, e assim os aplicativos públicos freqüentemente recebem uma entrada insuspeita. Como resultado, é criado um novo perímetro de segurança lógica o próprio aplicativo da Web e as melhores práticas de segurança exigem que as mensagens sejam inspecionadas quando cruzam de um ambiente não confiável para um ambiente confiável. Existem muitos ataques conhecidos contra aplicativos da Web e, como todos sabemos, os aplicativos da Web nem sempre são projetados e escritos para defender-se contra esses ataques. Adicionada ao risco está a disponibilidade desses aplicativos para praticamente qualquer um em uma conexão na Internet. Os WAFs são projetados para inspecionar o conteúdo da camada de aplicativos de um pacote IP, além do conteúdo de qualquer outra camada que possa ser usada para atacar um aplicativo da Web. Mas deve-se observar que o Requisito 6.6 não pretende introduzir controles redundantes. Se o conteúdo de um pacote IP é inspecionado adequadamente (ou seja, fornecendo uma proteção equivalente) por firewalls de rede, proxies ou outros componentes não necessitam ser inspecionados novamente por um WAF. 4

5 A estrutura dos pacotes IP segue um modelo em camadas, no qual cada camada contém informações definidas nas quais atuam nós ou componentes da rede específicos (físicos ou baseados em software) suportando o fluxo de informações na Internet ou intranet. A camada com o conteúdo processado pelo aplicativo é chamada de camada de aplicativos. Cada vez mais, a tecnologia WAF está integrada em soluções que incluem outras funções como a filtragem de pacotes, proxy, terminação SSL, equilíbrio de carga, cache de objetos etc. Esses dispositivos são comercializados diversificadamente, como firewalls, gateways de aplicativos, sistema de envio de aplicativos, proxy seguro ou outras descrições. É importante compreender plenamente os recursos de inspeção de dados de cada produto para determinar se o produto pode satisfazer o objetivo do Requisito 6.6. Observe que a conformidade não é garantida pela simples implementação de um produto com os recursos descritos neste artigo. O posicionamento, configuração, administração e monitoramento corretos também são aspectos importantes de uma solução conforme. Implementar um WAF é uma opção para atender ao Requisito 6.6 e não elimina a necessidade de um processo protegido de desenvolvimento de software (Requisito 6.3). Recursos recomendados Um firewall de aplicativo da Web deve ser capaz de: Atender a todos os requisitos aplicáveis do DSS PCI pertinentes a componentes do sistema no ambiente de dados do portador do cartão. Reagir apropriadamente (definida por regras ou políticas ativas) a ameaças contra vulnerabilidades relevantes assim que forem identificadas, no mínimo, nos OWASP Top Ten e/ou Requisito 6.5 do DSS PCI. Inspecionar a entrada do aplicativo da Web e responder (permitir, bloquear e/ou alertar) com base na política ou regras ativas, e registrar as ações tomadas. Impedir o vazamento de dados, ou seja, ter a capacidade de inspecionar a saída do aplicativo da Web e responder (permitir, bloquear, mascarar e/ou alertar) com base na política ou regras ativas, e registrar as ações tomadas. Reforçar os modelos de segurança positivos e negativos. O modelo positivo ( lista branca ) define o comportamento, entrada, intervalos de dados etc. que sejam aceitáveis, permitidos, e impedir os que não sejam. O modelo negativo ( lista negra ) define o que NÃO é permitido; as mensagens correspondentes a essas assinaturas bloqueadas e o tráfego não correspondente às assinaturas (fora da lista negra ) é permitido. Inspecionar tanto o conteúdo da página da Web, como a Linguagem de Marcação de Hipertexto (HTML), HTML Dinâmico (DHTML) e Folhas de Estilo em Cascata (CSS), e os protocolos subjacentes que fornecem conteúdo, como o Protocolo de Transporte de Hipertexto (HTTP) e o Protocolo de Transporte de Hipertexto sobre SSL (HTTPS). (Além do SSL, o HTTPS inclui o Protocolo de Transporte de Hipertexto sobre TLS.) 5

6 Inspecionar as mensagens dos serviços da Web, se esses serviços são expostos na Internet pública. Geralmente isso inclui o Protocolo de Acesso a Objetos Simples (SOAP) e a Linguagem de Marcação Extensível (XML), tanto modelos orientados para documentos quanto para RPC, além do HTTP. Inspecionar qualquer protocolo (proprietário ou padronizado) ou construto de dados (proprietário ou padronizado) usado para transmitir dados para ou de um aplicativo da Web, quando tais protocolos ou dados não sejam inspecionados de outra forma em outro ponto no fluxo da mensagem. Observação: Os protocolos proprietários apresentam desafios aos produtos atuais de firewall de aplicativo, e poderão ser necessárias alterações personalizadas. Se as mensagens de um aplicativo não seguirem protocolos e construtos de dados padronizados, poderá não ser razoável solicitar que um firewall de aplicativo inspecione esse fluxo de mensagem específico. Nesses casos, implementar a opção de avaliação de vulnerabilidade/revisão de código do Requisito 6.6 será provavelmente a melhor opção. Defender contra ameaças que atingem o WAF. Suporte a SSL e/ou a terminação TLS, ou estar posicionado e modo que tais transmissões criptografadas sejam decodificadas antes de serem inspecionadas pelo WAF. Os fluxos de dados criptografados não podem ser inspecionados a menos que o SSL seja encerrado antes do mecanismo de inspeção. Recursos adicionais recomendados para determinados ambientes Evitar e/ou detectar adulteração de token de sessão, por exemplo, criptografando cookies de sessão, campos de formulário ocultos ou outros elementos de dados usados para manutenção do estado da sessão. Receber e aplicar automaticamente atualizações de assinatura dinâmica de um fornecedor ou outra fonte. Na ausência desse recurso, devem existir procedimentos implantados para garantir a atualização freqüente das assinaturas do WAF ou outras configurações. Aberto na falha (um dispositivo que falhou permite que o tráfego passe sem ser inspecionado) ou fechado na falha (um dispositivo que falhou bloqueia todo o tráfego), dependendo da política ativa. Observação: Permitir que um WAF abra na falha deve ser avaliado cuidadosamente quanto ao risco de expor aplicativo(s) desprotegidos na Web à Internet pública. Um modo de bypass, no qual absolutamente nenhuma modificação é feita no tráfego que passa por ele, poderá ser aplicado em algumas circunstâncias. (Mesmo no modo de falha na abertura, alguns WAFs adicionam cabeçalhos de rastreamento, apagam o código HTML que consideram que viole os padrões, ou realizam outras ações. Isso pode ter impacto negativo nos esforços de solução de problemas.) Em determinados ambientes, o WAF deverá ser compatível com certificados cliente da Camada de Soquetes Protegidos (SSL) e com a autenticação de clientes proxying via certificados. Muitos aplicativos Web modernos usam 6

7 certificados SSL clientes para identificar os usuários finais. Sem essa compatibilidade, esses aplicativos não podem residir por trás de um firewall de aplicativos. Muitos firewalls de aplicativo modernos irão integrar-se com o Lightweight Directory Access Protocol ou outros diretórios de usuário e podem até realizar a autenticação inicial em nome do aplicativo subjacente. Alguns aplicativos de comércio eletrônico podem exigir suporte ao armazenamento de chaves de hardware FIPS. Se essa for uma consideração em seu ambiente, verifique se o fornecedor do WAF suporta esse requisito em um de seus sistemas e saiba que esse recurso poderá aumentar drasticamente o custo da solução. Considerações adicionais o Embora os WAFs possam proteger contra muitas ameaças à segurança, eles também podem expor problemas técnicos em uma infra-estrutura. Verifique as seguintes questões que poderão impedir uma implementação bem-sucedida: Sites que dependem de URLs, cookies ou cabeçalhos incomuns podem exigir um ajuste especial. Os WAFs freqüentemente limitam o tamanho máximo desses componentes. Além disso, as assinaturas que buscam poderão excluir strings específicas percebidas como exploradoras que de fato podem ser perfeitamente válidas para determinado aplicativo. O conteúdo não conforme com o padrão dos RFCs HTML/HTTP ou que seja incomum de outra forma, também poderá ser bloqueado sem ajuste dos filtros padrão. Isso poderá incluir qualquer coisa, desde uploads de arquivos extremamente grandes até conteúdo enviado com idiomas ou conjuntos de caracteres estrangeiros. DHTML, JavaScript assíncrono e XML (AJAX), e outras tecnologias dinâmicas poderão exigir considerações, testes e ajustes especiais. Esses aplicativos às vezes supõem que têm acesso a um site na Web de uma forma que é considerada maliciosa por um WAF. Os aplicativos que exigem informações sobre a sessão de rede subjacente, como endereço IP do cliente, poderão exigir modificação se o WAF atuar como um proxy reverso. Geralmente esses WAFs inserem informações do lado do cliente em um cabeçalho HTTP, que os aplicativos existentes podem não esperar. Considerações importantes As revisões de código e as avaliações de vulnerabilidade de aplicativos descritas neste documento deverão ser realizadas antes de implementar o aplicativo em produção. Se for considerado um WAF aberto em falha ou em modo bypass, deve-se estabelecer procedimentos e critérios específicos definindo ouso desses modos de alto risco, antes da implementação. Os aplicativos da Web não estão protegidos nesses enquanto esses modos estão ativos, e longos períodos de uso não são recomendados. 7

8 O impacto de alterações no firewall do aplicativo da Web deve ser avaliado quanto ao impacto em potencial para aplicativos da Web relevantes, e viceversa. Informar o período e o escopo da produção de alterações do firewall de aplicativos da Web a todas as partes afetadas na organização. Respeitar todas as políticas e procedimentos, incluindo controle de alterações, continuidade dos negócios e recuperação de desastres. Alterações no ambiente de produção deverão ocorrer durante uma janela de manutenção monitorada. Fontes adicionais de informação Essa lista é fornecida como ponto de partida para mais informações sobre a segurança de aplicativos da Web. Top Ten do OWASP Referência de contramedidas OWASP FAQ de Segurança de Aplicativos OWASP Build Security In (Deptº de Sgg Nacional dos EUA, Divisão Nacional de Sgg Cibernética) Scanners de Vulnerabilidade de Aplicativos da Web (Instituto nacional de Padrões e Tecnologia) Critérios de Avaliação de Firewall de Aplicativos da Web (Consórcio de Segurança de Aplicativos da Web) Sobre o PCI Security Standards Council A missão do PCI Security Standards Council é aprimorar a segurança das contas de pagamento estimulando a educação e a conscientização do Padrão de Segurança de Dados PCI e de outros padrões que aumentem a segurança dos dados de pagamento. O PCI Security Standards Council foi formado pelas principais empresas de cartão de crédito, American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc. para proporcionar um fórum transparente no qual todos os interessados possam participar do contínuo desenvolvimento, aprimoramento e disseminação do Padrão de Segurança de Dados PCI (DSS), Requisitos do sistema do dispositivo de entrada PIN (PED) e o Padrão de Segurança de Dados de Aplicativos de Pagamento (PA-DSS). O comércio, bancos, financeiras e pontos de venda de varejo são estimulados a associar-se como Organizações Participantes. 8

Cumprindo as exigências 6.6 do PCI DSS

Cumprindo as exigências 6.6 do PCI DSS Cumprindo as exigências 6.6 do PCI DSS Em abril de 2008, o Conselho de Padrões de Segurança (SSC, na sigla em inglês) do Setor de Cartões de Pagamento (PCI, na sigla em inglês) publicou um esclarecimento

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura.

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. Módulo 14 Segurança em redes Firewall, Criptografia e autenticação Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. 14.1 Sistemas

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Avaliação de Vulnerabilidades. O que eu preciso saber?

Avaliação de Vulnerabilidades. O que eu preciso saber? Avaliação de Vulnerabilidades O que eu preciso saber? Mito 1 Estamos protegidos, já possuímos um bom firewall e também sistemas IDS/IPS. Realidade A implementação dessas ferramentas muitas vezes levam

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Atestado de Conformidade para Avaliações in loco Comerciantes Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções

Leia mais

Versão 1.0 Janeiro de 2011. Xerox Phaser 3635MFP Plataforma de interface extensível

Versão 1.0 Janeiro de 2011. Xerox Phaser 3635MFP Plataforma de interface extensível Versão 1.0 Janeiro de 2011 Xerox Phaser 3635MFP 2011 Xerox Corporation. XEROX e XEROX e Design são marcas da Xerox Corporation nos Estados Unidos e/ou em outros países. São feitas alterações periodicamente

Leia mais

ATA DE REGISTRO DE PREÇO

ATA DE REGISTRO DE PREÇO ÓRGÃO DETENTOR DA ATA: TRIBUNAL DE CONTAS DO ESTADO DO MATO GROSSO Pregão Presencial N. 13/2015 Ata de Registro de Preço ÓRGÃO: Tribunal de Contas do Estado do Mato Grosso Pregão Presencial N. 13/2015

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação Diretrizes e instruções Versão 2.0 Outubro de 2010 Alterações no documento Data Versão Descrição 1º de outubro

Leia mais

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO Intranets FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO As intranets são redes internas às organizações que usam as tecnologias utilizadas na rede mundial

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO 1 OBJETIVOS 1. Por que sistemas de informação são tão vulneráveis a destruição, erro, uso indevido e problemas de qualidade de sistemas? 2. Que tipos de controles

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Atestado de conformidade para Avaliações in loco Prestadores de serviços Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação

Leia mais

FIREWALL. Redes 1-2013.1. Erika Hoyer Pedro Henrique B. Meirelles Renan Protector

FIREWALL. Redes 1-2013.1. Erika Hoyer Pedro Henrique B. Meirelles Renan Protector FIREWALL Redes 1-2013.1 Erika Hoyer Pedro Henrique B. Meirelles Renan Protector REALIDADE DA INTERNET REALIDADE DA INTERNET REALIDADE DA INTERNET REALIDADE DA INTERNET FIREWALL: ITEM DE SEGURANÇA ESSENCIAL

Leia mais

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s):

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s): Professor(es): Fernando Pirkel Descrição da(s) atividade(s): Definir as tecnologias de redes necessárias e adequadas para conexão e compartilhamento dos dados que fazem parte da automatização dos procedimentos

Leia mais

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Regras de exclusão são grupos de condições que o Kaspersky Endpoint Security utiliza para omitir um objeto durante uma varredura (scan)

Leia mais

Componentes de um sistema de firewall - I

Componentes de um sistema de firewall - I Componentes de um sistema de firewall - I O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um único elemento de software instalado num

Leia mais

Firewalls. Firewalls

Firewalls. Firewalls Firewalls Firewalls Paredes Corta-Fogo Regula o Fluxo de Tráfego entre as redes Pacote1 INTERNET Pacote2 INTERNET Pacote3 Firewalls Firewalls Barreira de Comunicação entre duas redes Host, roteador, PC

Leia mais

Indústria de pagamento de cartão (PCI) Padrão de dados do aplicativo de pagamento

Indústria de pagamento de cartão (PCI) Padrão de dados do aplicativo de pagamento Indústria de pag de cartão (PCI) Padrão de dados do aplicativo de pag Requisitos e procedimentos de avaliação de segurança Versão 2.0 Outubro de 2010 Alterações do documento Data Versão Descrição Páginas

Leia mais

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO

SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO Capítulo 14 SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO 14.1 2003 by Prentice Hall OBJETIVOS Por que sistemas de informação são tão vulneráveis veis a destruição, erro, uso indevido e problemas de

Leia mais

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Visão Geral do Mercado Embora o uso dos produtos da Web 2.0 esteja crescendo rapidamente, seu impacto integral sobre

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática Firewall Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes Campus Cachoeiro Curso Técnico em Informática Firewall (definições) Por que do nome firewall? Antigamente, quando as casas

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Políticas de segurança e informações

Políticas de segurança e informações Whitepaper Políticas de segurança e informações VISÃO GERAL Este documento fornece uma visão de alto nível das políticas de segurança da New Relic, além de uma descrição geral dos recursos e das funcionalidades

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Atestado de Conformidade para Questionário de Autoavaliação C Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

ESET SMART SECURITY 7

ESET SMART SECURITY 7 ESET SMART SECURITY 7 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Roubo de identidade Hackers e cibervandalismo Roubo de informações pessoais (número de identificação da Previdência Social, número da

Leia mais

Protegendo o seu negócio com servidores DNS que se protegem

Protegendo o seu negócio com servidores DNS que se protegem Resumo do produto: A Solução de DNS seguro da Infoblox reduz os ataques aos servidores DNS através do reconhecimento inteligente de vários tipos de ataque e atuando no tráfego de ataque enquanto continua

Leia mais

Visão geral híbrida de Serviços Corporativos de Conectividade do SharePoint 2013

Visão geral híbrida de Serviços Corporativos de Conectividade do SharePoint 2013 Visão geral híbrida de Serviços Corporativos de Conectividade do SharePoint 2013 Christopher J Fox Microsoft Corporation Novembro de 2012 Aplica-se a: SharePoint 2013, SharePoint Online Resumo: Um ambiente

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade Aplicativo de pagamento conectado à Internet, sem armazenamento eletrônico dos

Leia mais

jshield Uma Proposta para Segurança de Aplicações Web

jshield Uma Proposta para Segurança de Aplicações Web jshield Uma Proposta para Segurança de Aplicações Web Márcio A. Macêdo¹, Ricardo G. Queiroz¹ ¹Centro de Ensino Unificado de Teresina (CEUT) Teresina, PI Brasil. marcioalmeida@ceut.com.br, ricardoqueiroz@ieee.org

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Atestado de Conformidade para Questionário de Autoavaliação A Versão 3.0 Fevereiro de 2014 Seção 1: Informações de avaliação Instruções

Leia mais

Que informações nós coletamos, e de que maneira?

Que informações nós coletamos, e de que maneira? Política de Privacidade Vivertz Esta é a política de privacidade da Affinion International Serviços de Fidelidade e Corretora de Seguros Ltda que dispõe as práticas de proteção à privacidade do serviço

Leia mais

Tableau Online Segurança na nuvem

Tableau Online Segurança na nuvem Tableau Online Segurança na nuvem Autor(a): Ellie Fields Diretora Sênior de Marketing de Produtos, Tableau Software Junho de 2013 p2 A Tableau Software entende que os dados são um dos ativos mais estratégicos

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação A e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação A e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação A e Atestado de conformidade Todas as outras funções dos dados do titular do cartão terceirizadas Sem armazenamento

Leia mais

Injeção de SQL - Detecção de evasão

Injeção de SQL - Detecção de evasão Injeção de SQL - Detecção de evasão Resumo A detecção dos ataques de injeção de SQL era feita inicialmente com o uso de técnicas de reconhecimento de padrões, verificados contra assinaturas e palavraschave

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Setor de cartões de pagamento (PCI) Padrão de segurança de dados Requisitos e procedimentos de avaliação da segurança Versão 1.2 Outubro de 2008 Índice Introdução e visão geral do padrão de segurança de

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados

Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados Atestado de conformidade para questionário de autoavaliação P2PE-HW Versão 3.0 Fevereiro de 2014 Seção 1: Informações de avaliação Instruções

Leia mais

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Conectando-se à Internet com Segurança Soluções mais simples. Sistemas de Segurança de Perímetro Zona Desmilitarizada (DMZ) Roteador de

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa.

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa. Boas Práticas de Segurança da Informação Regras para proteção de dados de cartões para a pequena e média empresa. Prezado Cliente, A constante evolução da tecnologia está sempre rompendo paradigmas, tornando

Leia mais

Segurança na Internet

Segurança na Internet Segurança na Internet Muito do sucesso e popularidade da Internet é por ela ser uma rede global aberta Por outro lado, isto faz da Internet um meio não muito seguro É difícil identificar com segurança

Leia mais

Servidor, Proxy e Firewall. Professor Victor Sotero

Servidor, Proxy e Firewall. Professor Victor Sotero Servidor, Proxy e Firewall Professor Victor Sotero 1 Servidor: Conceito Um servidor é um sistema de computação centralizada que fornece serviços a uma rede de computadores; Os computadores que acessam

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

ESET SMART SECURITY 8

ESET SMART SECURITY 8 ESET SMART SECURITY 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

Política de uso de dados

Política de uso de dados Política de uso de dados A política de dados ajudará você a entender como funciona as informações completadas na sua área Minhas Festas. I. Informações que recebemos e como são usadas Suas informações

Leia mais

Balanceamento de carga: Conceitos básicos

Balanceamento de carga: Conceitos básicos Balanceamento de carga: Conceitos básicos Introdução A tecnologia de balanceamento de carga está viva e está bem; de fato, ela é a base sobre a qual operam os application delivery controller (ADCs). A

Leia mais

arquitetura do join.me

arquitetura do join.me Uma visão geral técnica da arquitetura confiável e segura do join.me. 1 Introdução 2 Visão geral da arquitetura 3 Segurança de dados 4 Segurança de sessão e site 5 Visão geral de hospedagem 6 Conclusão

Leia mais

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança + Conformidade Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança e Conformidade via Software-as-a-Service (SaaS) Hoje em dia, é essencial para as empresas administrarem riscos de segurança

Leia mais

Se preocupe com o que é importante, que a gente se preocupa com a segurança.

Se preocupe com o que é importante, que a gente se preocupa com a segurança. Se preocupe com o que é importante, que a gente se preocupa com a segurança. Os firewalls convencionais e os IPS (Intrusion Prevention System) não são capazes de detectar e bloquear ataques na camada de

Leia mais

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guia de Inicialização Rápida O ESET Smart Security fornece proteção de última geração para o seu computador contra código malicioso. Com base no ThreatSense,

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

ESPECIFICAÇÕES TÉCNICAS DA CLICKSIGN

ESPECIFICAÇÕES TÉCNICAS DA CLICKSIGN Data efetiva: 14 de abril de 2014. ESPECIFICAÇÕES TÉCNICAS DA CLICKSIGN Estas Especificações Técnicas contém informações sobre procedimentos operacionais e de segurança do Site, bem como sobre suas responsabilidades

Leia mais

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões FACSENAC ECOFROTA Documento de Projeto Lógico de Rede Versão:1.5 Data: 21/11/2013 Identificador do documento: Projeto Lógico de Redes Versão do Template Utilizada na Confecção: 1.0 Localização: FacSenac

Leia mais

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação C-VT e Atestado de conformidade

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação C-VT e Atestado de conformidade Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação C-VT e Atestado de conformidade Comerciantes com terminais virtuais de pagamento baseados na Web Sem armazenamento

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação B-IP e Atestado de conformidade

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação B-IP e Atestado de conformidade Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação B-IP e Atestado de conformidade Comerciantes com terminais independentes de ponto de interação (POI) PTS

Leia mais

FIREWALL (HARDWARE) Módulo para Segurança e Filtragem Web

FIREWALL (HARDWARE) Módulo para Segurança e Filtragem Web FIREWALL (HARDWARE) Módulo para Segurança e Filtragem Web Modo de licenciamento por hardware. O Appliance deve operar com todas as funcionalidades durante todo o período de suporte. Após o término do período

Leia mais

Indústria de Cartão de Pagamento (PCI)

Indústria de Cartão de Pagamento (PCI) Indústria de Cartão de Pagamento (PCI) Procedimentos para Scanning de Segurança Administração de Risco Região América Latina e Caribe Indústria de Cartão de Pagamento Procedimentos para Scanning de Segurança

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

ANEXO C (Requisitos PCI DSS)

ANEXO C (Requisitos PCI DSS) ANEXO C (Requisitos ) O Cliente obriga-se a respeitar e a fazer respeitar as normas que lhes sejam aplicáveis, emanadas do Payment Card Industry Security Standards Council (organização fundada pelas marcas

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Análise abrangente de proteções de vulnerabilidade e segurança para o Google Apps. Artigo do Google escrito em fevereiro de 2007

Análise abrangente de proteções de vulnerabilidade e segurança para o Google Apps. Artigo do Google escrito em fevereiro de 2007 Análise abrangente de proteções de vulnerabilidade e segurança para o Google Apps Artigo do Google escrito em fevereiro de 2007 Segurança do Google Apps PARA OBTER MAIS INFORMAÇÕES On-line: www.google.com/a

Leia mais

Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper

Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper Outubro de 2007 Resumo Este white paper explica a função do Forefront Server

Leia mais

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um

Leia mais

Acesso remoto corporativo

Acesso remoto corporativo Acesso remoto corporativo Visão Geral Historicamente, as organizações têm usado soluções VPN IPSec para fornecer aos funcionários o acesso remoto aos recursos da rede; uma implementação cara e complicada,

Leia mais

ESET SMART SECURITY 9

ESET SMART SECURITY 9 ESET SMART SECURITY 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento o ESET Smart Security é um software

Leia mais

Indústria de pagamento de cartão (PCI) Padrão de dados do aplicativo de pagamento

Indústria de pagamento de cartão (PCI) Padrão de dados do aplicativo de pagamento Indústria de pag de cartão (PCI) Padrão de dados do aplicativo de pag Requisitos e procedimentos de avaliação de segurança Versão 2.0 Outubro de 2010 Alterações do documento Data Versão Descrição Páginas

Leia mais

Proteção abrangente em tempo real contra ameaças avançadas e furto de dados

Proteção abrangente em tempo real contra ameaças avançadas e furto de dados TRITON AP-WEB Proteção abrangente em tempo real contra ameaças avançadas e furto de dados Sua empresa e seus dados são atacados constantemente. As soluções de segurança tradicionais não fornecem mais proteção

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

Geração e execução de scripts de teste em aplicações web a partir de casos de uso direcionados por comportamento 64

Geração e execução de scripts de teste em aplicações web a partir de casos de uso direcionados por comportamento 64 direcionados por comportamento 64 5 Estudo de caso Neste capítulo serão apresentadas as aplicações web utilizadas na aplicação da abordagem proposta, bem como a tecnologia em que foram desenvolvidas, o

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Certificado Digital A1

Certificado Digital A1 Abril/ Certificado Digital A1 Geração Página 1 de 32 Abril/ Pré requisitos para a geração Dispositivos de Certificação Digital Para que o processo de instalação tenha sucesso, é necessário obedecer aos

Leia mais

Indústria de cartões de pagamento (PCI) Requisitos e procedimentos da avaliação de segurança Versão 3.0

Indústria de cartões de pagamento (PCI) Requisitos e procedimentos da avaliação de segurança Versão 3.0 Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados Requisitos e procedimentos da avaliação de segurança Versão 3.0 Novembro de 2013 Alterações no documento Data Versão Descrição Páginas

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Proteja Sua Empresa com a Nova Geração de Segurança de Aplicação

Proteja Sua Empresa com a Nova Geração de Segurança de Aplicação Especificações Técnicas O que contém: 1 Principais Benefícios 2 Construtor de Políticas de Tráfego em Tempo Real 2 Proteção Pronta para Uso 2 Aplicação Avançada de Políticas 2 Armazenagem Conforme os Padrões

Leia mais

GERADOR DE SENHAS PARA ECF

GERADOR DE SENHAS PARA ECF MANUAL DO SOFTWARE GERADOR DE SENHAS PARA ECF MODO TÉCNICO REVISÃO 1.00 1 1. Introdução 3 2. Acesso ao software 3 2.1. Login 3 2.2. Tela principal 4 3. Descrição das funções 4 3.1. Gerar senha ECF 4 3.2.

Leia mais

Guia de Migração de Políticas do Symantec Client Firewall

Guia de Migração de Políticas do Symantec Client Firewall Guia de Migração de Políticas do Symantec Client Firewall Guia de Migração de Políticas do Symantec Client Firewall O software descrito neste guia é fornecido sob um contrato de licença e deve ser usado

Leia mais

Controlando o tráfego de saída no firewall Netdeep

Controlando o tráfego de saída no firewall Netdeep Controlando o tráfego de saída no firewall Netdeep 1. Introdução Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações e sistemas é

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação B e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação B e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação B e Atestado de conformidade Somente máquinas de carbono ou terminais de discagem independentes, sem armazenamento

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Atestado de Conformidade para Questionário de Autoavaliação B Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções

Leia mais

Via Prática Firewall Box Gateway O acesso à Internet

Via Prática Firewall Box Gateway O acesso à Internet FIREWALL BOX Via Prática Firewall Box Gateway O acesso à Internet Via Prática Firewall Box Gateway pode tornar sua rede mais confiável, otimizar sua largura de banda e ajudar você a controlar o que está

Leia mais

Autenticação de dois fatores no SonicOS

Autenticação de dois fatores no SonicOS Autenticação de dois fatores no SonicOS 1 Observações, cuidados e advertências OBSERVAÇÃO: uma OBSERVAÇÃO indica informações importantes que ajudam a usar seu sistema da melhor forma. CUIDADO: um CUIDADO

Leia mais

Firewall. Alunos: Hélio Cândido Andersson Sales

Firewall. Alunos: Hélio Cândido Andersson Sales Firewall Alunos: Hélio Cândido Andersson Sales O que é Firewall? Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a

Leia mais

ESET NOD32 ANTIVIRUS 8

ESET NOD32 ANTIVIRUS 8 ESET NOD32 ANTIVIRUS 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

ESET NOD32 ANTIVIRUS 6

ESET NOD32 ANTIVIRUS 6 ESET NOD32 ANTIVIRUS 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais

Características de Firewalls

Características de Firewalls Firewall Firewall é um sistema de proteção de redes internas contra acessos não autorizados originados de uma rede não confiável (Internet), ao mesmo tempo que permite o acesso controlado da rede interna

Leia mais

ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento

ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida Clique aqui para fazer o download da versão mais recente deste documento ESET Cyber Security Pro fornece proteção de última geração para seu

Leia mais

2014 EDITION ENJOY SAFER TECHNOLOGY

2014 EDITION ENJOY SAFER TECHNOLOGY 2014 EDITION ENJOY SAFER TECHNOLOGY Fique a salvo de ameaças com a nova tecnologia da ESET A tecnologia de proteção confiável por milhões ao redor do mundo permite que você aproveite ao máximo suas atividades

Leia mais

Visão geral do printeract, Serviços Remotos Xerox

Visão geral do printeract, Serviços Remotos Xerox Visão geral do printeract, Serviços Remotos Xerox 701P28680 Visão geral do printeract, Serviços Remotos Xerox Um passo na direção certa Diagnósticos de problemas Avaliação dos dados da máquina Pesquisa

Leia mais

ESET NOD32 ANTIVIRUS 9

ESET NOD32 ANTIVIRUS 9 ESET NOD32 ANTIVIRUS 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais