UNIVERSIDADE ESTÁCIO DE SÁ ALEXANDRE LUIZ DE OLIVEIRA GESTÃO DA SEGURANÇA DA INFORMAÇÃO NO ACESSO AOS PORTAIS FINANCEIROS BRASILEIROS

Transcrição

1 I UNIVERSIDADE ESTÁCIO DE SÁ ALEXANDRE LUIZ DE OLIVEIRA GESTÃO DA SEGURANÇA DA INFORMAÇÃO NO ACESSO AOS PORTAIS FINANCEIROS BRASILEIROS RIO DE JANEIRO 2009

2 II ALEXANDRE LUIZ DE OLIVEIRA GESTÃO DA SEGURANÇA DA INFORMAÇÃO NO ACESSO AOS PORTAIS FINANCEIROS BRASILEIROS Dissertação apresentada à Universidade Estácio de Sá como requisito parcial para a obtenção do grau de Mestre em Administração e Desenvolvimento Empresarial Orientador: Prof. Dr. Antônio Augusto Gonçalves. RIO DE JANEIRO 2009

3 III Dados Internacionais de Catalogação na Publicação (CIP) O48 Oliveira, Alexandre Luiz de Gestão da segurança de informação no acesso aos portais financeiros brasileiros. / Alexandre Luiz de Oliveira. - Rio de Janeiro, f. Dissertação (Mestrado em Administração e Desenvolvimento Empresarial)-

4 IV

5 V À minha esposa Érica, amor da minha vida, fonte de inspiração e exemplo de dedicação.

6 VI ARADECIMENTOS Antes de tudo agradeço a Deus por todas as superações necessárias que foram providas desde o inicio do mestrado com as aulas em disciplinas isoladas, até a consolidação de mestrando e a conclusão ao titulo de mestre. Agradeço ao Professor, Dr. Antônio Augusto Gonçalves pela paciência que foi testada durante todo o período de orientação. Agradecer ao Professor Dr. Jesús Domech Moré pela cativa participação na avaliação do trabalho e ao professor Dr Carlos Eduardo Costa Vieira da Fundação Oswaldo Aranha que foi o Doutor externo na avaliação desta dissertação. Agradeço à Unimed Federação Rio pela compreensão necessária para o desenvolvimento deste trabalho. Agradecer ao Sr. Carlos Correa e ao Sr. Ralf Batista. Agradeço à minha família que durante a construção deste mestrado deve um aumento com a vinda do meu lindo filho, Alexander Luiz de Oliveira. Momento depois sofreu uma grande Perda, o meu querido avô, José João da Silva, um autêntico batalhador Brasileiro. Agradeço ao meu pai, um fresador que sempre se privou das vaidades capitalistas para poder dar educação aos filhos e a minha mãe com o poder fiscalizador nas ações acadêmicas deste o jardim. Finalmente obrigado pelo apoio e carinho que a minha esposa prestou durante não apenas este mestrado, mas sim, durante toda a minha vida. Muito Obrigado pela ajuda de todos!

7 VII RESUMO O sistema de autenticação tradicional de usuário usado normalmente pelos sites WEB, que utiliza senha, é um ponto explorado pelos assaltantes cibernéticos. Os usuários de sites do setor financeiro são as vítimas preferenciais. Os fraudadores empregam desde a construção e divulgação de falsos sites até programas maliciosos para a obtenção não autorizada das senhas de acesso dos usuários. Os bancos brasileiros mantêm sites de Internet banking nos quais os clientes podem efetuar transações bancárias. Para agregar maior segurança, o processo de autenticação dos sites de Internet banking passou a utilizar teclados virtuais e, em determinadas transações, utiliza-se também uma terceira autenticação de usuário baseada em senha, normalmente denominada pelos bancos de assinatura eletrônica. Outros sistemas de autenticação de usuário possuem maior sofisticação, dificultando a ação dos criminosos em obter as senhas de acesso: tokens OTP (One Time Password) geram um único código de acesso, válido por determinado período; utilização de chaves assimétricas que são armazenadas em arquivos ou em smart cards e PIN, utilizado em conjunto com dispositivos como token. Esta pesquisa tem o objetivo de comparar as características destes sistemas de autenticação de usuário, verificando a sua aderência com a norma ISO NBR 17799:2005 Como resultado, apresenta o nível de segurança das instituições financeiras. Palavras-chave: segurança TI; internet; autenticação; segurança de acesso.

8 VIII ABSTRACT The traditional user authentication system used normally by the WEB sites, based in passwords, is a point explored by the cybernetic assailants and the users of the financial sites are the preferential victims. The robbers employ since the construction and disclosure of fake sites until malicious programs to get the users' password. The Brazilian banks maintain Internet banking sites, which the clients can perform banking transactions. To add greater security, the authentication process of the Internet banking sites started to use virtual keyboards and, in specific transactions, also uses a third user authentication based on passwords, called by the banks as electronic signature. Others types of user authentication are more sophisticated, complicating the action of the criminals in obtain the access passwords: tokens OTP (One Time Password) generate only one access code, valid for a period of time; utilization of asymmetrical keys stored in files or smart cards and PIN, used together with devices as tokens. This research has the objective of compare the characteristics of these types of user authentication, as check compliances with security information ISO NBR 17799:2005. As result, it presents a security level of financial companies Keywords: IT security; internet; authentication; security access.

9 IX SUMÁRIO 1.INTRODUÇÃO PROBLEMÁTICA OBJETIVO GERAL OBJETIVOS ESPECÍFICOS JUSTIFICATIVAS DA PESQUISA ESCOPO DO TRABALHO 7 2. REFERENCIAL TEÓRICO QUADRO TEÓRICO ECONOMIA DIGITAL COMÉRCIO ELETRÔNICO MODELOS DE COMÉRCIO ELETRÔNICO SERVIÇOS ELETRÔNICOS LOJAS ELETRÔNICAS SERVIÇOS FINANCEIROS ELETRÔNICOS O USO DO HOME BANKING AMEAÇAS PARA AMBIENTE DOS PORTAIS FINANCEIROS SEGURANÇA DA INFORMAÇÃO GESTÃO DA INFORMAÇÃO NORMAS: GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO GOVERNANÇA EM TI LEI SARBANES-OXLEY GESTÃO DE TECNOLOGIA DA INFORMAÇÃO FRAMEWORK COBIT BIBLIOTECA DE BOAS PRÁTICAS DE TI ITIL NORMAS NBR ISO/IEC : NORMAS ABNT NBR ISO/IEC (ISO/IEC ) POLÍTICA DA SEGURANÇA DA INFORMAÇÃO EVIDÊNCIAS DE CONFORMIDADE MÉTODOS DE ATAQUE ESTRATÉGIA DE DEFESA SEGURANÇA DA INFORMAÇÃO EM SITES FINANCEIROS 68

10 X AMEAÇAS PARA OS PORTAIS FINANCEIROS AMEAÇAS INTERNAS AMEAÇAS EXTERNAS PRINCIPAIS AMEAÇAS SERVIÇOS DE SEGURANÇA SEGURANÇA DA INFORMAÇÃO NOS PORTAIS FINANCEIROS CICLO DE VIDA DA INFORMAÇÃO MECANISMOS DE SEGURANÇA USO DE SENHAS NORMAS DE SEGURANÇA CONFORMIDADES COM A NOMA NBR ISO IEC 17799: METODOLOGIA MODELO DE ANÁLISE CONTROLE DE ACESSO POLÍTICA PARA O USO DE CONTROLES DE CRIPTOGRAFIA (Q1) TÉCNICA E TIPOS DE CRIPTOGRAFIA (Q2) ASSINATURA DIGITAL (Q3) SERVIÇOS DE NÃO REPÚDIO (Q4) EXISTÊNCIA DO USO DE CHAVES (Q5) TIPO DE CHAVES UTILIZADAS (Q6) CRIPTOGRAFIA DAS CHAVES (Q7) RESPOSTA DE QUAISQUER REQUISIÇÕES (Q8) RESPOSTA DE REQUISIÇÕES PRÓPRIAS E FALSAS. (Q9) LIMITAÇÃO DE HORÁRIOS (Q10) RESULTADOS APRESENTAÇÃO DOS RESULTADOS ANALISE DOS RESULTADOS CONCLUSÕES E RECOMENDAÇÕES BENEFÍCIOS OPORTUNIDADES DE PESQUISA 116 REFERÊNCIAS 118 GLOSSÁRIO 122

11 1 1. INTRODUÇÃO Atualmente o Brasil apresenta um aumento significativo no número de computadores em domicílios (MAÇADA, 2007). Aliando este crescimento com a evolução dos meios de comunicação, com o uso de banda larga, o acesso à Internet é cada vez mais comum. Segundo agência Reuters (2009), os computadores portáteis registram em 2009 o crescimento do setor com estimativa de vendas em 15,6 milhões de unidades, aumento de 9% em relação ao ano de Com as facilidades do ambiente web, é cada vez maior o número de pessoas que utilizam Internet. Para utilizar os serviços da rede mundial de computadores, é importante que o ambiente web ofereça fácil acesso e segurança para a realização das operações. De acordo com pesquisa realizada pelo IBGE (2008), o Brasil possui 190 milhões de habitantes. Deste número, cerca de 42,6 milhões ou 22,4% da população brasileira faz uso da Internet, o que representa 34,7% dos usuários da América Latina. Neste cenário, as organizações cada vez mais elaboram os seus processos utilizando a Tecnologia da Informação (TI), pois seus produtos e serviços são fundamentalmente apoiados em tecnologia. Atualmente a informação fica exposta a uma grande variedade de ameaças. Com isto existe a necessidade de estabelecer uma política de proteção da informação contra os vários tipos de ameaças, minimizando riscos ao negócio. Para Laudon e Laudon (2004), uma infra-estrutura de tecnologia da informação consistentemente forte, pode, no longo prazo, desempenhar um importante papel estratégico na vida da empresa.

12 2 Questões como a integridade da informação, e como os dados devem ser adequadamente protegidos, são fundamentais para esse canal de comunicação. A segurança da informação é definida como uma área de conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade (SÊMOLA, 2003). Para que as organizações obtenham sucesso no processo de defesa de sua informação, os gestores precisam tornar a segurança computacional uma parte integrante da operação do negócio da organização (ENTRUST, 2004). Davenport (1998) conclui que a TI isoladamente não garante a qualidade da informação trabalhada e nem o seu bom uso. Segundo Laudon e Laudon (2004) as empresas precisam aproveitar ao máximo os benefícios gerados pelos sistemas de informação, para que possam cada vez mais crescer, facilitando o controle da organização, proporcionando maior produtividade e lucratividade, ao contrário disso, a empresa com sistema razoável terá limitações nas tomadas de decisões, obtendo resultados insatisfatórios, não atingindo as expectativas. No cenário atual os sites das instituições bancárias estão sujeitos a ataques de diversas naturezas, ficando vulneráveis as ameaças caracterizadas pelo aumento dos roubos, vazamentos de dados e pela criação de códigos maliciosos que são utilizados para a obtenção de ganhos em moeda corrente. Segundo Schneier (2004), ataques onde um invasor consegue se inserir numa conversa e espioná-la ou mudar seu contexto estão gerando grandes riscos na indústria financeira. Estes criminosos seguem o dinheiro, utilizando táticas como envio de s falsos, mecanismos que induzem o cliente a utilizar sites fraudulentos ou a efetuar download de programas como aplicações que têm como objetivo armazenar os

13 3 dados digitados no acesso aos portais de serviços financeiros. Desta maneira, os criminosos conseguem as senhas de acesso aos portais dos serviços On-line. Dados da FEBRABAN (2008) demonstram que fraudes eletrônicas causaram prejuízos de R$ 300 milhões em É reportado o crescimento das fraudes relacionadas à autenticação do usuário nestes serviços. Em um sistema de automação bancária, em que vários serviços financeiros podem ser utilizados por meio da Internet, o cliente necessita ser reconhecido por meio do serviço de autenticação de usuário para usufruir destes serviços. O setor bancário disponibiliza os portais para proporcionar aos seus clientes comodidades no acesso aos serviços financeiros, atividade comercial que, segundo Cameron (1997), define como comércio eletrônico qualquer negócio transacionado eletronicamente. Estas transações ocorrem entre dois parceiros de negócio ou entre um negócio e seus clientes. As condicionantes impostas pela Internet e pelo comércio eletrônico conduzem a três reflexões propostas por Drucker (1999): Qual é o seu negócio? Quem é o seu cliente? O que o seu cliente valoriza? Sem estas respostas e a adequada gestão da informação relacionada aos clientes, existe o risco de reproduzir velhos comportamentos através das novas tecnologias. Para que as instituições financeiras possam garantir a credibilidade das ações realizadas pelos clientes no ambiente web, a segurança da informação é fator crítico de sucesso. Cabe ressaltar que os mecanismos de segurança devem estar dentro de métricas internacionais para garantir estas operações.

14 4 1.2 PROBLEMÁTICA As instituições financeiras brasileiras podem garantir a segurança da informação nos acessos dos clientes aos portais de serviços financeiros na Internet? 1.3 OBJETIVO GERAL Esta pesquisa visa analisar os mecanismos de segurança da informação utilizados pelas maiores instituições financeiras brasileiras no acesso aos recursos oferecidos pelos portais financeiros, verificando a aderência com a norma ABNT NBR ISO/IEC-17799: OBJETIVOS ESPECÍFICOS - Revisar a literatura sobre segurança da informação no acesso aos serviços financeiros dos bancos brasileiros disponíveis na Internet. - Confrontar os mecanismos de controle de acesso com as regras estabelecidas na norma de segurança NBR ISO/IEC-17799: Analisar os portais de serviços das 15 maiores instituições financeiras em atividades no Brasil quanto ao nível de conformidade com a norma NBR ISSO/IEC- 1779: JUSTIFICATIVAS DA PESQUISA Antigamente exploravam-se vulnerabilidades do sistema operacional, do servidor e do meio de comunicação. Entretanto, os investimentos em segurança feitos pelas instituições financeiras tornaram estes ambientes relativamente mais seguros, apesar de ainda estarem sujeitos a ameaças. Por outro lado, existe o aumento das fraudes financeiras, que exploram a ingenuidade ou a inabilidade dos

15 5 clientes quanto aos requisitos de segurança a serem seguidos, tornando-as uma prática lucrativa. Os clientes são alvos de várias vulnerabilidades que podem ser exploradas por criminosos. Pode-se citar a desinformação dos clientes sobre os conceitos de segurança, os provedores de Internet com problemas de segurança nos serviços disponibilizados, como serviços de nomes e s; a facilidade de criação de sites fraudulentos; os computadores utilizados sem proteção; e o sistema de autenticação utilizado pelos bancos. A análise desta pesquisa é voltada para os ambientes web e o trabalho não relaciona os possíveis controles que podem ser utilizados para reduzir o risco de exploração das vulnerabilidades. No Brasil, todos os incidentes que podem caracterizar tentativas ou invasão aos sites, são reportados ao centro de estudos, resposta e tratamento de incidentes de segurança no Brasil (CERT.BR). Com estas informações é possível a construção do gráfico 01 para análise das ocorrências:

16 6 Gráfico 01: Total de incidentes de seguranças reportados de 1999 a setembro de 2009 Fonte: CERT.BR (2009) De acordo com este cenário, são propostas novas abordagens para autenticar o usuário por meio de senhas. No entanto, estas abordagens não são comparadas com outros sistemas de autenticação (CARNUT; HORA, 2005). Segundo Nilson (2005), a abordagem é aplicada apenas na percepção do usuário do Internet banking, com relação à segurança. Dentro deste contexto, a contribuição deste trabalho será confrontar os mecanismos de controle de acesso utilizados pelos bancos, com a Norma NBR ISO 17799:2005, com o intuito de fornecer subsídios para a tomada de decisão sobre o sistema de autenticação que melhor se adapte às necessidades de negócio.

17 7 1.6 ESCOPO DO TRABALHO O escopo deste trabalho é abranger a análise dos mecanismos de controle de acesso utilizados pelos clientes nos portais de serviços financeiros brasileiros. Dentro das limitações deste trabalho informa-se que não serão analisados os sistemas que utilizam qualquer tipo de biometria. Nesta pesquisa, os dados são analisados remotamente sem que exista a necessidade de autorizações por parte das entidades financeiras analisadas. Não é preciso executar nenhuma intervenção física direta, portando os aspectos como integridade de Backup; os controles de tolerância à falhas; ou quaisquer ações que se faz necessário uma intervenção interna na instituição bancária com a instalação de agentes diretamente nos servidores para realizar a coleta dos dados não se contempla neste trabalho. Foram analisadas as forma de acesso aos portais financeiras das 15 maiores instituições bancárias do Brasil como apresentadas na Tabela 01. Tabela 01: Classificação das instituições financeiras no Brasil. Instituição Patrimônio Lucro Total de N.º de Total de N.º de Financeira Líquido Líquido Ativo Agências Intermediação Funcionários BB ITAÚ BRADESCO CEF ABN AMRO UNIBANCO SANTANDER HSBC VOTORANTIM

18 8 SAFRA NOSSA CAIXA CITIBANK BNP PARIBAS BANRISUL CREDIT SUISSE CITIBANK Fonte: Banco Central do Brasil 2009 Foram utilizados mecanismos que coletaram de forma eletrônica as informações necessárias de cada portal. Esta informação foi confrontada com as recomendações de segurança da informação da norma ISO 17799:2005. No quadro 01 existem fatores que segundo Turban (2004) geram preocupação do setor bancário na gestão da segurança da informação. Quadro 01: Preocupações tratadas pelas instituições financeiras. Problema Preocupação do negócio Solução Autorização Autenticação Integridade O usuário tem permissão para acessar uma conta ou informação de um computador específico? O usuário é realmente quem se diz ser? O remetente da mensagem realmente a enviou? O destinatário pode estar certo que a mensagem não foi trocada? Nome de usuários e senhas ou outro mecanismo de controle de acesso Hardware ou software especial para gerar números aleatórios para identificar o usuário. Assinatura digital

19 9 Privacidade A minha conversação (ou transação comercial) é privativa? Existe alguém espionando? Chaves públicas e privadas de criptografia Fraude/Roubo Alguém está me roubando? Log, auditorias, procedimentos e política de administração de sistemas Sabotagem Alguém pode entrar no sistema e destruir ou alterar informações? Firewalls barreiras eletrônicas criadas com equipamentos dedicados e sistemas de software que monitoram o tráfego da rede e validam o fluxo de informação entre redes internas e externas Fonte: TURBAN (2004)

20 10 2. REFERENCIAL TEÓRICO Com base no estudo The information Superhighway and Retail Banking realizado pela Boston Consulting Group (BCG) em 1998, Turban (2003) sugere que os bancos direcionem esforços para uma das três estratégias descritas a seguir: Agentes de clientes os bancos que se sentirem incapazes de processar e desenvolver produtos devem-se concentrar em oferecer aos clientes uma ampla escolha, incluindo produtos de várias fontes, e fornecendo o serviço de informações integradas. Fabricantes de produtos aqueles que tiverem a economia de escala necessária para o desenvolvimento e processamento de produtos e serviços podem ser distribuidores (com ou sem marca) especializando-se em determinados segmentos de produtos e fornecendo-os para outras instituições de médio e pequeno porte. Integradores esta opção serve somente para os bancos com uma marca forte bem como uma sólida posição em toda a cadeia de valor desde o desenvolvimento até a entrega. Segundo os autores, os bancos adotarão uma estratégia híbrida, que apontam sobre quais áreas são estrategicamente muito arriscadas para terceirizar, ou quais são as capacidades que necessitam aprimorar para desenvolver produtos e serviços internamente. A segurança é um grande problema para usuários (SANTOS, 2004) e sistemas que utilizam serviços de senhas como bancos, comércio eletrônico e sistemas corporativos (SCHNEIER, 2004). Estas senhas são utilizadas para diversos fins, dentre eles: autenticação, acesso e transações bancárias.

21 11 No quadro 02 segue um resumo dos principais autores para a fundamentação teórica deste trabalho. Quadro 02: Fundamentação teórica. Fundamentação Teórica Principais autores Contribuição Modelo para qualidade da informação na indústria bancária o caso dos bancos públicos MAÇADA (Enanpad 2007) Gerência da informação no impacto da Qualidade da Informação no setor bancário Governança de tecnologia de informação baseado na metodologia COBIT- O caso de um banco privado brasileiro Security for Internet banking- a framework MAÇADA (2002) KHALIAD (2003) Como realizar um estudo de caso de um banco privado brasileiro medindo aspectos da Tecnologia da informação. Fatores determinísticos para a confiança nos serviços bancários na Internet Web Server Security Effective method of security measures in virtual banking HUTCHINSON (2003) ARUMUGA (2006) Desenvolvimentos e implementação de processos de segurança nos portais financeiros Uso de métodos adequados para medir segurança em portais financeiros On-line frauds in banks with phishing Tecnologia da informação para gestão Segurança na Internet SINGH (2007) TURBAN (2004) COMER (2005) Método de roubo de identidade para acesso aos portais financeiros. Phishing Reconhecer as vulnerabilidades do sistema de informação Política de informação e segurança na Internet. Esta pesquisa tem a necessidade embasada da constatação de que o grande volume de transações financeiras efetuadas pela Internet atrai, cada vez mais,

22 12 quadrilhas de fraudadores e que os usuários das instituições financeiras ainda são ingênuos, em relação à segurança, ao utilizar os serviços disponíveis na Internet (MAÇADA, 2007). O setor bancário, assim como o setor de varejo possui um dos maiores volumes de investimentos destinado à segurança de informação, que é o principal serviço prestado pela chamada economia digital ALBERTINI (2000). 2.1 ECONOMIA DIGITAL Com a evolução tecnológica e o advento das redes, a economia passou a ser a "economia digital" (LAUDON & LAUDON, 2004). A economia para a idade da inteligência em rede é uma economia digital. Na velha economia, o fluxo de informação era físico: dinheiro, cheques, faturas, notas de embarque, relatórios, reuniões olho-no-olho, segundo Tapscott (1995), na nova economia, a informação e todas as suas formas tornaram-se digitais, reduzidas a bits armazenadas em computadores e sendo transportadas à velocidade da luz através das redes. Usando este código binário, informação e comunicação transformam-se em dígitos um e zero. O novo mundo de possibilidades daí criado é tão relevante quanto a invenção da própria linguagem, o velho paradigma no qual todas as interações baseadas fisicamente ocorriam (LAUDON & LAUDON, 2004). Desta forma, cria-se um elo da economia tradicional com a digital, mas com muito mais facilidades disponíveis ao simples toque de nossos dedos. Nos EUA, para cada US$ 1 vendido no mercado On-line, a Internet influencia o gasto de outros US$ 3,45 em lojas físicas, uma grande interação entre as duas economias (KOTLER e PFOERTSCH, 2008).

23 13 Diante dos conceitos fomentados por Maçada (2007), as instituições bancárias são as pioneiras e as mais desenvolvidas para as ações comerciais na rede mundial de computadores, que se caracteriza pela forma descentralizada de apresentação dos seus produtos. Oferecer serviços envolvendo os recursos comuns existentes na rede como a comunicação de dados, acesso remoto, transferência de arquivos e correio eletrônico são ações pioneiras na prestação de serviços das empresas financeiras (MAÇADA, 2007). Observando as questões técnicas mencionadas por Comer (2004), os serviços na Internet usam uma arquitetura baseada em um modelo chamado TCP/IP, também conhecidas como conjunto de IP (Internet Protocol), que atribui a cada computador conectado à Internet um endereço exclusivo (endereço IP). Desta forma é possível localizar os clientes conectados a um portal de home banking ou qualquer outro serviço conectado à rede que deseja acessar os dados de uma base pertencente a uma instituição financeira (SAWAYA, 1999). Na economia digital, os bancos utilizam o mundo World Wide Web (WWW ou Web), da forma de um acervo universal de serviços de páginas interligadas por vínculos (links), os mais diferentes produtos bancários ficam a disposição do usuário com informações completas do mercado financeiro (ESTRADA, 2006). Segundo Albertin (2000), o Comércio Eletrônico, representa a realização de toda a cadeia de valor dos processos de negócio num ambiente eletrônico. A constatação de que o grande volume de transações financeiras efetuadas pela Internet atrai, cada vez mais, quadrilhas de fraudadores e que os usuários das instituições financeiras ainda são ingênuos, em relação à segurança, ao utilizar os serviços disponíveis na Internet (MAÇADA, 2007).

24 COMÉRCIO ELETRÔNICO Pode-se definir o comércio eletrônico (CE) de acordo com Albertin (2000) como a realização de toda a cadeia de valor dos processos de negócio num ambiente eletrônico, por meio da aplicação intensa das tecnologias de comunicação e de informação, atendendo aos objetivos de negócio. Conforme Turban (2004), o comércio eletrônico, (CE), é o processo de compra, venda e troca de produtos, serviços e informações por redes de computadores ou pela Internet. Segundo Albertin (2000) o CE pode ser definido como qualquer negócio transacionado eletronicamente, em que as transações ocorrem entre dois parceiros de negócios ou entre um negócio e seus clientes. De acordo com O Connell (2002), pode-se definir o CE a partir de quatro perspectivas: * A Perspectiva da Comunicação: o CE é a distribuição de produtos, serviços, informação ou pagamentos por meio de redes de computadores ou outros meios eletrônicos. * A Perspectiva de Processo Comercial: o CE é a aplicação de tecnologia para a automação de transações e do fluxo de trabalho. * A Perspectiva de Serviços: O CE é uma ferramenta que satisfaz a necessidade de empresas, consumidores e administradores, quanto à diminuição de custos e à elevação nos níveis de qualidade e agilidade de atendimento. * A Perspectiva On-line: o CE é a possibilidade de compra e venda de produtos e informações pela Internet e por outros serviços On-line. Foram incluídas por Turba (2004) mais duas perspectivas: * A Perspectiva da Cooperação: O CE é um instrumento de mediação inter e intra-cooperativa dentro de uma organização.

25 15 * A Perspectiva Comunitária: o CE é um ponto de encontro para os membros de uma comunidade poder aprender a realizar negócios e cooperar uns com os outros. Conforme O Connell (2002), a maioria da população vê o CE como uma maneira de guiar as transações que, antes do uso da Internet como uma opção para as negociações, em meados da década de 90, eram efetuadas de maneira convencional através do telefone, carta, fax, sistemas proprietários de troca eletrônica de dados ou contato pessoal. O comércio eletrônico identifica o uso intensivo de Tecnologia da Informação (BEAM e SEGEV, 1996) na mediação das relações entre consumidores e fornecedores. Para a melhor compreensão das vantagens e riscos do comércio eletrônico, no entanto, é útil a sua divisão em dois blocos principais. O primeiro bloco indica as atividades relativas a transações entre empresas que compram e vendem produtos entre si. Este grupo se caracteriza por um número relativamente baixo de transações de alto valor financeiro. O segundo bloco das transações entre empresas e consumidores finais, se caracteriza por alto volume relativo de transações com baixo valor financeiro envolvido em cada uma delas. Nas transações empresa-empresa, o Electronic Data Interchange (EDI) é o exemplo mais conhecido (SOKOL 1989). Apesar de já existir há algumas décadas, o EDI também está sendo afetado pela expansão da Internet. Algumas experiências de utilização de EDI baseado na Internet têm sido estudadas com o objetivo de expandir as possibilidades desse tipo de tecnologia (SEGEV et al. 1995). Na comparação da Internet com as alternativas de EDI, as questões custo e segurança são as mais ponderadas.

26 16 Segundo Turbam (2004), o custo de implantação de EDI pela Internet é baixo, enquanto o das redes privadas de acesso publico são altos. Para se ter uma comparação, num estudo feito no Bank of America observou que uma transação feita pela Internet chega a ser entre duas e três ordens de grandeza menor do que a mesma transação feita por uma loja local. Em compensação, em termos de segurança, o uso de EDI pela Internet não tem ainda os mesmos níveis de confiança dos usuários que têm as redes privadas. Para DavenPort (1998) se numa rede privada existe alto grau de controle das informações que nela trafegam, na Internet a situação é um tanto diferente. Apesar disso, o crescente interesse comercial na Internet começa a influenciar o desenvolvimento de recursos para aumentar a confiabilidade e o grau de controle sobre as informações em trânsito, tais como tempo para entrega e priorização de mensagens. Desta forma, Comer (2004) retrata que para garantir todo o processo quanto às falhas humanas e naturais, os pontos de maior possibilidade de falhas podem adotar sistemas de redundância. Por tratar de área na quais as transações são mais estruturadas, o potencial da Internet em aplicações que envolvem transações entre empresas é muito grande; mas o lado do comércio eletrônico que mais tem atraído à atenção são as suas possibilidades de colocar empresas em contato com consumidores finais de qualquer lugar, a qualquer hora MODELOS DE COMÉRCIO ELETRÔNICO A Internet abriu uma ampla variedade de oportunidades, as quais estão sendo utilizadas pelas empresas, para a troca de informações internamente, e para se comunicarem externamente com outras empresas, criando uma plataforma universal