Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6
|
|
- Ruy Camilo Cruz
- 8 Há anos
- Visualizações:
Transcrição
1 Padrão: Padrão de Segurança de Dados (DSS) Requisito: 6.6 Data: Fevereiro de 2008 Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Data de liberação: 15/04/2008
2 Geral O Requisito DSS PCI 6.6 proporciona duas opções voltadas para resolver ameaças comuns aos dados do portador do cartão e garantir que o acesso a aplicativos da Web a partir de ambientes não confiáveis seja inspecionado de cima a baixo. Os detalhes de como atender a esse requisito dependem da implementação específica de suporte de determinado aplicativo. Análises forenses do comprometimento dos dados do portador do cartão demonstraram que aplicativos da Web são freqüentemente o ponto inicial de ataque aos dados do portador do cartão, por meio de injeção de SQL em particular. A finalidade do Requisito 6.6 é garantir que aplicativos da Web expostos na Internet pública sejam protegidos contra os tipos mais comuns de entradas maliciosas. Existe uma grande quantidade de informações públicas disponíveis em relação a vulnerabilidades de aplicativos na Web. As vulnerabilidades mínimas a considerar estão descritas no Requisito 6.5. (Consulte a seção de Referências de outras fontes de informações sobre testes de aplicativos na Web.) A implementação correta das duas opções proporcionará a melhor defesa em várias camadas. O SSC PCI reconhece que o custo e complexidade operacional da implementação das duas opções pode não ser praticável. Além disso, uma das opções poderá não ser possível em algumas situações (se não houver acesso ao código-fonte, por exemplo). Mas deve ser possível aplicar ao menos uma das alternativas descritas neste artigo, e a implementação correta poderá atender à intenção do requisito. Este documento orienta como auxiliar a determinar a melhor opção, o que pode variar dependendo dos produtos em uso, como uma organização terceiriza ou desenvolve seus aplicativos para Web, e outros fatores no ambiente. Requisito Opção 1 Revisões do Código do Aplicativo A opção de revisão do código do aplicativo não exige necessariamente uma revisão manual do código-fonte. Lembrando que o objetivo do Requisito 6.6 é impedir a exploração de vulnerabilidades comuns (como as listadas no Requisito 6.5), várias soluções possíveis poderão ser consideradas. Elas são dinâmicas e proativas, exigindo a iniciação específica de um processo manual ou automatizado. Corretamente implementadas, uma ou mais dessas quatro alternativas podem atender à intenção da Opção 1 e proporcionar o nível mínimo de proteção contra ameaças comuns a aplicativos na Web: 1. Revisão manual do código-fonte do aplicativo 2. Uso adequado de ferramentas de análise automática (varredura) do código-fonte do aplicativo 3. Avaliação manual de vulnerabilidade de segurança de aplicativo na Web 4. Uso adequado de ferramentas de avaliação automática (varredura) de vulnerabilidade de segurança de aplicativo na Web 2
3 Todas elas devem ser criadas para testar a presença de vulnerabilidades de aplicativo na Web conforme indicado na seção Geral acima. Observe que uma avaliação de vulnerabilidade simplesmente identifica e informa as vulnerabilidades, sempre que um teste de penetração tente explorar as vulnerabilidades, para determinar se é possível um acesso não autorizado ou outra atividade maliciosa. As revisões/avaliações manuais podem ser realizadas por um recurso interno qualificado, ou por um terceiro qualificado. Em todos os casos, o(s) indivíduo(s) deve(m) ter as habilidades e a experiência adequadas para compreender o código-fonte e/ou aplicativo da Web, saber como avaliar cada um por suas vulnerabilidades, e compreender as descobertas. De forma semelhante, os indivíduos que usam ferramentas automáticas deverão ter as habilidades e o conhecimento para configurar corretamente a ferramenta e o ambiente de teste, utilizar a ferramenta e avaliar os resultados. Se forem utilizados recursos internos, eles deverão estar organizacionalmente separados da gerência do aplicativo sendo testado. Por exemplo, a equipe que escreveu o software não deve realizar a revisão ou avaliação final nem verificar se o código está protegido. Existem várias maneiras de realizar uma revisão de código ou avaliação do aplicativo que forneça a mesma (ou melhor) proteção fornecida por um firewall de aplicativos (discutida abaixo como a Opção 2). Dois exemplos que podem atender à intenção da primeira opção são: 1. Uma organização tem implementado, como parte de seu ciclo de vida de desenvolvimento de software (SDLC), um processo onde o código-fonte do aplicativo da Web sofre uma revisão independente de segurança. A revisão de segurança deverá consistir do exame dos aplicativos para controles que tratem de vulnerabilidades comuns de aplicativos da Web. Essas revisões de código poderão ser implementadas como processos manuais ou automáticos. 2. O uso de um processo manual ou de ferramentas especializadas para testar a presença de vulnerabilidades e defeitos expostos ao executar um aplicativo da Web. Essa abordagem envolve a criação e envio ao aplicativo de entradas maliciosas ou fora do padrão, simulando um ataque. As respostas a essa entrada serão examinadas em busca de indicações de que o aplicativo possa ser vulnerável a determinados ataques. As revisões ou avaliações deverão ser incorporadas no SDLC e realizadas antes do aplicativo ser implementado no ambiente de produção. O SDLC deverá incorporar a segurança de informações em todo o ambiente, conforme o Requisito 6.3. Os processos de controle de alterações deverão garantir que os desenvolvedores de software não consigam ignorar a etapa de revisão/avaliação de código e implementar o novo software diretamente no ambiente de produção. Os processos de controle de alterações também deverão reforçar a correção e novos testes de vulnerabilidades antes da implementação. Embora o endosso/aprovação final dos resultados da revisão/varredura devam ser dados por uma organização independente, recomenda-se que revisões e varreduras também sejam realizadas o mais cedo possível no processo de desenvolvimento. Deve- 3
4 se disponibilizar ferramentas aos desenvolvedores de software e elas devem ser integradas em seu conjunto de desenvolvimento na medida do possível. Os fornecedores poderão incorporar recursos de varredura de código ou avaliação de vulnerabilidade nos produtos com outros objetivos, como validar a conformidade com as melhores práticas de arquitetura relativa a determinado idioma. Ao avaliar essas ferramentas é importante confirmar a capacidade da ferramenta de testar por vulnerabilidades de aplicativos comuns da Web antes de supor que possa ser usada para atender ao previsto no Requisito 6.6. Além disso, para enfrentar novas ameaças que surgem, as ferramentas devem ser capazes de incorporar novas regras de análise. Quem realizar revisões ou avaliações manuais deve estar atualizado com as tendências no setor para garantir que suas habilidades de avaliação ou teste continuem capazes de enfrentar as novas vulnerabilidades. Requisito Opção 2 Firewalls de Aplicativos No contexto do Requisito 6.6, um firewall de aplicativo é um firewall de aplicativo da Web (WAF), que é um ponto de aplicação da política de segurança posicionado entre um aplicativo da Web e o ponto final do cliente. Esse recurso pode ser implementado em software ou hardware, ser executado em um dispositivo de um equipamento ou em um servidor típico executando um sistema operacional comum. Ele pode ser um dispositivo independente ou estar integrado a outros componentes na rede. Os firewalls típicos de rede são implementados no perímetro da rede ou entre segmentos (zonas) da rede e são a primeira linha de defesa contra muitos tipos de ataques. Mas eles devem permitir que as mensagens alcancem os aplicativos da Web que uma organização decidir expor na Internet pública. Os firewalls de rede geralmente não são projetados para inspecionar, avaliar ou reagir com as partes de um (pacote) de mensagem do Protocolo Internet (IP) consumido por aplicativos da Web, e assim os aplicativos públicos freqüentemente recebem uma entrada insuspeita. Como resultado, é criado um novo perímetro de segurança lógica o próprio aplicativo da Web e as melhores práticas de segurança exigem que as mensagens sejam inspecionadas quando cruzam de um ambiente não confiável para um ambiente confiável. Existem muitos ataques conhecidos contra aplicativos da Web e, como todos sabemos, os aplicativos da Web nem sempre são projetados e escritos para defender-se contra esses ataques. Adicionada ao risco está a disponibilidade desses aplicativos para praticamente qualquer um em uma conexão na Internet. Os WAFs são projetados para inspecionar o conteúdo da camada de aplicativos de um pacote IP, além do conteúdo de qualquer outra camada que possa ser usada para atacar um aplicativo da Web. Mas deve-se observar que o Requisito 6.6 não pretende introduzir controles redundantes. Se o conteúdo de um pacote IP é inspecionado adequadamente (ou seja, fornecendo uma proteção equivalente) por firewalls de rede, proxies ou outros componentes não necessitam ser inspecionados novamente por um WAF. 4
5 A estrutura dos pacotes IP segue um modelo em camadas, no qual cada camada contém informações definidas nas quais atuam nós ou componentes da rede específicos (físicos ou baseados em software) suportando o fluxo de informações na Internet ou intranet. A camada com o conteúdo processado pelo aplicativo é chamada de camada de aplicativos. Cada vez mais, a tecnologia WAF está integrada em soluções que incluem outras funções como a filtragem de pacotes, proxy, terminação SSL, equilíbrio de carga, cache de objetos etc. Esses dispositivos são comercializados diversificadamente, como firewalls, gateways de aplicativos, sistema de envio de aplicativos, proxy seguro ou outras descrições. É importante compreender plenamente os recursos de inspeção de dados de cada produto para determinar se o produto pode satisfazer o objetivo do Requisito 6.6. Observe que a conformidade não é garantida pela simples implementação de um produto com os recursos descritos neste artigo. O posicionamento, configuração, administração e monitoramento corretos também são aspectos importantes de uma solução conforme. Implementar um WAF é uma opção para atender ao Requisito 6.6 e não elimina a necessidade de um processo protegido de desenvolvimento de software (Requisito 6.3). Recursos recomendados Um firewall de aplicativo da Web deve ser capaz de: Atender a todos os requisitos aplicáveis do DSS PCI pertinentes a componentes do sistema no ambiente de dados do portador do cartão. Reagir apropriadamente (definida por regras ou políticas ativas) a ameaças contra vulnerabilidades relevantes assim que forem identificadas, no mínimo, nos OWASP Top Ten e/ou Requisito 6.5 do DSS PCI. Inspecionar a entrada do aplicativo da Web e responder (permitir, bloquear e/ou alertar) com base na política ou regras ativas, e registrar as ações tomadas. Impedir o vazamento de dados, ou seja, ter a capacidade de inspecionar a saída do aplicativo da Web e responder (permitir, bloquear, mascarar e/ou alertar) com base na política ou regras ativas, e registrar as ações tomadas. Reforçar os modelos de segurança positivos e negativos. O modelo positivo ( lista branca ) define o comportamento, entrada, intervalos de dados etc. que sejam aceitáveis, permitidos, e impedir os que não sejam. O modelo negativo ( lista negra ) define o que NÃO é permitido; as mensagens correspondentes a essas assinaturas bloqueadas e o tráfego não correspondente às assinaturas (fora da lista negra ) é permitido. Inspecionar tanto o conteúdo da página da Web, como a Linguagem de Marcação de Hipertexto (HTML), HTML Dinâmico (DHTML) e Folhas de Estilo em Cascata (CSS), e os protocolos subjacentes que fornecem conteúdo, como o Protocolo de Transporte de Hipertexto (HTTP) e o Protocolo de Transporte de Hipertexto sobre SSL (HTTPS). (Além do SSL, o HTTPS inclui o Protocolo de Transporte de Hipertexto sobre TLS.) 5
6 Inspecionar as mensagens dos serviços da Web, se esses serviços são expostos na Internet pública. Geralmente isso inclui o Protocolo de Acesso a Objetos Simples (SOAP) e a Linguagem de Marcação Extensível (XML), tanto modelos orientados para documentos quanto para RPC, além do HTTP. Inspecionar qualquer protocolo (proprietário ou padronizado) ou construto de dados (proprietário ou padronizado) usado para transmitir dados para ou de um aplicativo da Web, quando tais protocolos ou dados não sejam inspecionados de outra forma em outro ponto no fluxo da mensagem. Observação: Os protocolos proprietários apresentam desafios aos produtos atuais de firewall de aplicativo, e poderão ser necessárias alterações personalizadas. Se as mensagens de um aplicativo não seguirem protocolos e construtos de dados padronizados, poderá não ser razoável solicitar que um firewall de aplicativo inspecione esse fluxo de mensagem específico. Nesses casos, implementar a opção de avaliação de vulnerabilidade/revisão de código do Requisito 6.6 será provavelmente a melhor opção. Defender contra ameaças que atingem o WAF. Suporte a SSL e/ou a terminação TLS, ou estar posicionado e modo que tais transmissões criptografadas sejam decodificadas antes de serem inspecionadas pelo WAF. Os fluxos de dados criptografados não podem ser inspecionados a menos que o SSL seja encerrado antes do mecanismo de inspeção. Recursos adicionais recomendados para determinados ambientes Evitar e/ou detectar adulteração de token de sessão, por exemplo, criptografando cookies de sessão, campos de formulário ocultos ou outros elementos de dados usados para manutenção do estado da sessão. Receber e aplicar automaticamente atualizações de assinatura dinâmica de um fornecedor ou outra fonte. Na ausência desse recurso, devem existir procedimentos implantados para garantir a atualização freqüente das assinaturas do WAF ou outras configurações. Aberto na falha (um dispositivo que falhou permite que o tráfego passe sem ser inspecionado) ou fechado na falha (um dispositivo que falhou bloqueia todo o tráfego), dependendo da política ativa. Observação: Permitir que um WAF abra na falha deve ser avaliado cuidadosamente quanto ao risco de expor aplicativo(s) desprotegidos na Web à Internet pública. Um modo de bypass, no qual absolutamente nenhuma modificação é feita no tráfego que passa por ele, poderá ser aplicado em algumas circunstâncias. (Mesmo no modo de falha na abertura, alguns WAFs adicionam cabeçalhos de rastreamento, apagam o código HTML que consideram que viole os padrões, ou realizam outras ações. Isso pode ter impacto negativo nos esforços de solução de problemas.) Em determinados ambientes, o WAF deverá ser compatível com certificados cliente da Camada de Soquetes Protegidos (SSL) e com a autenticação de clientes proxying via certificados. Muitos aplicativos Web modernos usam 6
7 certificados SSL clientes para identificar os usuários finais. Sem essa compatibilidade, esses aplicativos não podem residir por trás de um firewall de aplicativos. Muitos firewalls de aplicativo modernos irão integrar-se com o Lightweight Directory Access Protocol ou outros diretórios de usuário e podem até realizar a autenticação inicial em nome do aplicativo subjacente. Alguns aplicativos de comércio eletrônico podem exigir suporte ao armazenamento de chaves de hardware FIPS. Se essa for uma consideração em seu ambiente, verifique se o fornecedor do WAF suporta esse requisito em um de seus sistemas e saiba que esse recurso poderá aumentar drasticamente o custo da solução. Considerações adicionais o Embora os WAFs possam proteger contra muitas ameaças à segurança, eles também podem expor problemas técnicos em uma infra-estrutura. Verifique as seguintes questões que poderão impedir uma implementação bem-sucedida: Sites que dependem de URLs, cookies ou cabeçalhos incomuns podem exigir um ajuste especial. Os WAFs freqüentemente limitam o tamanho máximo desses componentes. Além disso, as assinaturas que buscam poderão excluir strings específicas percebidas como exploradoras que de fato podem ser perfeitamente válidas para determinado aplicativo. O conteúdo não conforme com o padrão dos RFCs HTML/HTTP ou que seja incomum de outra forma, também poderá ser bloqueado sem ajuste dos filtros padrão. Isso poderá incluir qualquer coisa, desde uploads de arquivos extremamente grandes até conteúdo enviado com idiomas ou conjuntos de caracteres estrangeiros. DHTML, JavaScript assíncrono e XML (AJAX), e outras tecnologias dinâmicas poderão exigir considerações, testes e ajustes especiais. Esses aplicativos às vezes supõem que têm acesso a um site na Web de uma forma que é considerada maliciosa por um WAF. Os aplicativos que exigem informações sobre a sessão de rede subjacente, como endereço IP do cliente, poderão exigir modificação se o WAF atuar como um proxy reverso. Geralmente esses WAFs inserem informações do lado do cliente em um cabeçalho HTTP, que os aplicativos existentes podem não esperar. Considerações importantes As revisões de código e as avaliações de vulnerabilidade de aplicativos descritas neste documento deverão ser realizadas antes de implementar o aplicativo em produção. Se for considerado um WAF aberto em falha ou em modo bypass, deve-se estabelecer procedimentos e critérios específicos definindo ouso desses modos de alto risco, antes da implementação. Os aplicativos da Web não estão protegidos nesses enquanto esses modos estão ativos, e longos períodos de uso não são recomendados. 7
8 O impacto de alterações no firewall do aplicativo da Web deve ser avaliado quanto ao impacto em potencial para aplicativos da Web relevantes, e viceversa. Informar o período e o escopo da produção de alterações do firewall de aplicativos da Web a todas as partes afetadas na organização. Respeitar todas as políticas e procedimentos, incluindo controle de alterações, continuidade dos negócios e recuperação de desastres. Alterações no ambiente de produção deverão ocorrer durante uma janela de manutenção monitorada. Fontes adicionais de informação Essa lista é fornecida como ponto de partida para mais informações sobre a segurança de aplicativos da Web. Top Ten do OWASP Referência de contramedidas OWASP FAQ de Segurança de Aplicativos OWASP Build Security In (Deptº de Sgg Nacional dos EUA, Divisão Nacional de Sgg Cibernética) Scanners de Vulnerabilidade de Aplicativos da Web (Instituto nacional de Padrões e Tecnologia) Critérios de Avaliação de Firewall de Aplicativos da Web (Consórcio de Segurança de Aplicativos da Web) Sobre o PCI Security Standards Council A missão do PCI Security Standards Council é aprimorar a segurança das contas de pagamento estimulando a educação e a conscientização do Padrão de Segurança de Dados PCI e de outros padrões que aumentem a segurança dos dados de pagamento. O PCI Security Standards Council foi formado pelas principais empresas de cartão de crédito, American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc. para proporcionar um fórum transparente no qual todos os interessados possam participar do contínuo desenvolvimento, aprimoramento e disseminação do Padrão de Segurança de Dados PCI (DSS), Requisitos do sistema do dispositivo de entrada PIN (PED) e o Padrão de Segurança de Dados de Aplicativos de Pagamento (PA-DSS). O comércio, bancos, financeiras e pontos de venda de varejo são estimulados a associar-se como Organizações Participantes. 8
Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados
Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Atestado de Conformidade para Avaliações in loco Comerciantes Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções
Leia maisPolíticas de segurança e informações
Whitepaper Políticas de segurança e informações VISÃO GERAL Este documento fornece uma visão de alto nível das políticas de segurança da New Relic, além de uma descrição geral dos recursos e das funcionalidades
Leia maisFonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu
Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de
Leia maisBoas Práticas de Desenvolvimento Seguro
Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO
Leia maisCumprindo as exigências 6.6 do PCI DSS
Cumprindo as exigências 6.6 do PCI DSS Em abril de 2008, o Conselho de Padrões de Segurança (SSC, na sigla em inglês) do Setor de Cartões de Pagamento (PCI, na sigla em inglês) publicou um esclarecimento
Leia mais3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança
3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade
Leia maisUNIVERSIDADE FEDERAL DE PELOTAS
Usando um firewall para ajudar a proteger o computador A conexão à Internet pode representar um perigo para o usuário de computador desatento. Um firewall ajuda a proteger o computador impedindo que usuários
Leia maisIndústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS
Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Novembro de 2013 Introdução Este documento fornece um resumo de alterações
Leia maisIndústria de Cartões de Pagamento (PCI) Padrão de segurança de dados
Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Atestado de conformidade para Avaliações in loco Prestadores de serviços Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação
Leia maisIndústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados
Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Atestado de Conformidade para Questionário de Autoavaliação C Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções
Leia maisFirewalls. Firewalls
Firewalls Firewalls Paredes Corta-Fogo Regula o Fluxo de Tráfego entre as redes Pacote1 INTERNET Pacote2 INTERNET Pacote3 Firewalls Firewalls Barreira de Comunicação entre duas redes Host, roteador, PC
Leia maisFirewall. Alunos: Hélio Cândido Andersson Sales
Firewall Alunos: Hélio Cândido Andersson Sales O que é Firewall? Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a
Leia maisVisão geral híbrida de Serviços Corporativos de Conectividade do SharePoint 2013
Visão geral híbrida de Serviços Corporativos de Conectividade do SharePoint 2013 Christopher J Fox Microsoft Corporation Novembro de 2012 Aplica-se a: SharePoint 2013, SharePoint Online Resumo: Um ambiente
Leia maisTCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP
TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer
Leia maisUniversidade Paulista
Universidade Paulista Ciência da Computação Sistemas de Informação Gestão da Qualidade Principais pontos da NBR ISO/IEC 12207 - Tecnologia da Informação Processos de ciclo de vida de software Sergio Petersen
Leia maisCHECK - LIST - ISO 9001:2000
REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da
Leia maisSEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO
SEGURANÇA E CONTROLE EM SISTEMAS DE INFORMAÇÃO 1 OBJETIVOS 1. Por que sistemas de informação são tão vulneráveis a destruição, erro, uso indevido e problemas de qualidade de sistemas? 2. Que tipos de controles
Leia maisSegurança em Sistemas de Informação Tecnologias associadas a Firewall
Algumas definições Firewall Um componente ou conjunto de componentes que restringe acessos entre redes; Host Um computador ou um dispositivo conectado à rede; Bastion Host Um dispositivo que deve ser extremamente
Leia maisIntranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO
Intranets FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO As intranets são redes internas às organizações que usam as tecnologias utilizadas na rede mundial
Leia maisIndústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados
Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Atestado de Conformidade para Questionário de Autoavaliação A Versão 3.0 Fevereiro de 2014 Seção 1: Informações de avaliação Instruções
Leia maisCONCURSO PÚBLICO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI ANALISTA DE GESTÃO RESPOSTAS ESPERADAS PRELIMINARES
CELG DISTRIBUIÇÃO S.A EDITAL N. 1/2014 CONCURSO PÚBLICO ANALISTA DE GESTÃO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI RESPOSTAS ESPERADAS PRELIMINARES O Centro de Seleção da Universidade Federal de Goiás
Leia maisEspecificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos
Visão geral do Serviço Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos Os Serviços de gerenciamento de dispositivos distribuídos ajudam você a controlar ativos
Leia maisSEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO
Capítulo 14 SEGURANÇA A E CONTROLE EM SISTEMAS DE INFORMAÇÃO 14.1 2003 by Prentice Hall OBJETIVOS Por que sistemas de informação são tão vulneráveis veis a destruição, erro, uso indevido e problemas de
Leia maisPolíticas de Segurança de Sistemas
Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes
Leia maisProgramação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza
Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem
Leia maisSistemas de Gestão Ambiental O QUE MUDOU COM A NOVA ISO 14001:2004
QSP Informe Reservado Nº 41 Dezembro/2004 Sistemas de Gestão O QUE MUDOU COM A NOVA ISO 14001:2004 Material especialmente preparado para os Associados ao QSP. QSP Informe Reservado Nº 41 Dezembro/2004
Leia maisSISTEMAS DISTRIBUIDOS
1 2 Caracterização de Sistemas Distribuídos: Os sistemas distribuídos estão em toda parte. A Internet permite que usuários de todo o mundo acessem seus serviços onde quer que possam estar. Cada organização
Leia maisIndústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados
Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Atestado de Conformidade para Questionário de Autoavaliação B Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções
Leia maisIndústria de cartões de pagamento (PCI) Padrão de Segurança de Dados
Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados Atestado de conformidade para questionário de autoavaliação P2PE-HW Versão 3.0 Fevereiro de 2014 Seção 1: Informações de avaliação Instruções
Leia maisProfessor: Macêdo Firmino Disciplina: Sistemas Operacionais de Rede
Professor: Macêdo Firmino Disciplina: Sistemas Operacionais de Rede O sistema de nome de domínio (DNS) é um sistema que nomeia computadores e serviços de rede e é organizado em uma hierarquia de domínios.
Leia maisISO/IEC 12207: Gerência de Configuração
ISO/IEC 12207: Gerência de Configuração Durante o processo de desenvolvimento de um software, é produzida uma grande quantidade de itens de informação que podem ser alterados durante o processo Para que
Leia maisDesenvolvimento e disponibilização de Conteúdos para a Internet
Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,
Leia maisAutenticação de dois fatores no SonicOS
Autenticação de dois fatores no SonicOS 1 Observações, cuidados e advertências OBSERVAÇÃO: uma OBSERVAÇÃO indica informações importantes que ajudam a usar seu sistema da melhor forma. CUIDADO: um CUIDADO
Leia maisPrincipais Benefícios. ESET Endpoint Security
Principais Benefícios ESET Endpoint Security Principais Características: - Firewall Pessoal... 1 - AntiSpam... 2 -Bloqueio de Dispositivos... 3 -Bloqueio de URLs... 4 -Agendamento de Tarefas... 5 - ESET
Leia maisForefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper
Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper Outubro de 2007 Resumo Este white paper explica a função do Forefront Server
Leia maisEngenharia de Software III
Engenharia de Software III Casos de uso http://dl.dropbox.com/u/3025380/es3/aula6.pdf (flavio.ceci@unisul.br) 09/09/2010 O que são casos de uso? Um caso de uso procura documentar as ações necessárias,
Leia maisKaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos
Kaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos Sumário Visão geral de novos recursos 2 Instalação, ativação, licenciamento 2 Internet Security 3 Proteção Avançada 4
Leia maisServidor, Proxy e Firewall. Professor Victor Sotero
Servidor, Proxy e Firewall Professor Victor Sotero 1 Servidor: Conceito Um servidor é um sistema de computação centralizada que fornece serviços a uma rede de computadores; Os computadores que acessam
Leia mais3 SCS: Sistema de Componentes de Software
3 SCS: Sistema de Componentes de Software O mecanismo para acompanhamento das chamadas remotas se baseia em informações coletadas durante a execução da aplicação. Para a coleta dessas informações é necessário
Leia maisCaracterísticas de Firewalls
Firewall Firewall é um sistema de proteção de redes internas contra acessos não autorizados originados de uma rede não confiável (Internet), ao mesmo tempo que permite o acesso controlado da rede interna
Leia maisNUVEM HÍBRIDA: DEIXE AS PREOCUPAÇÕES COM SEGURANÇA NO PASSADO.
NUVEM HÍBRIDA: DEIXE AS PREOCUPAÇÕES COM SEGURANÇA NO PASSADO. Muitas empresas brasileiras estão interessadas nas vantagens proporcionadas pela computação em nuvem, como flexibilidade, agilidade e escalabilidade,
Leia maisGerenciamento de Problemas
Gerenciamento de Problemas O processo de Gerenciamento de Problemas se concentra em encontrar os erros conhecidos da infra-estrutura de TI. Tudo que é realizado neste processo está voltado a: Encontrar
Leia maisHistórico da Revisão. Versão Descrição Autor. 1.0 Versão Inicial
1 of 14 27/01/2014 17:33 Sistema de Paginação de Esportes Universitários Documento de Arquitetura de Software Versão 1.0 Histórico da Revisão Data 30 de novembro de 1999 Versão Descrição Autor 1.0 Versão
Leia maisProf. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1
Segurança na Web Cap. 3: Visão Geral das Tecnologias de Segurança Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Projeto de segurança de Redes Page 2 Etapas: Segurança em camadas
Leia maisPROGRAMAÇÃO PARA DISPOSITIVOS MÓVEIS -ARQUITETURAS DE APLICAÇÃO MÓVEL. Prof. Angelo Augusto Frozza, M.Sc. http://about.
PROGRAMAÇÃO PARA DISPOSITIVOS MÓVEIS -ARQUITETURAS DE APLICAÇÃO MÓVEL Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza ROTEIRO Introdução Cliente-Servidor Cliente Servidor Tipos de conexão
Leia maisConceitos de relação de confiança www.jpinheiro.net jeferson@jpinheiro.net
Conceitos de relação de confiança www.jpinheiro.net jeferson@jpinheiro.net Procedimento para criar uma árvore O procedimento usado para criar uma árvore com o Assistente para instalação do Active Directory
Leia maishttp://aurelio.net/vim/vim-basico.txt Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho
vi http://aurelio.net/vim/vim-basico.txt Entrar neste site/arquivo e estudar esse aplicativo Administração de Redes de Computadores Resumo de Serviços em Rede Linux Controlador de Domínio Servidor DNS
Leia maisVersão Liberada. www.gerpos.com.br. Gerpos Sistemas Ltda. info@gerpos.com.br. Av. Jones dos Santos Neves, nº 160/174
Versão Liberada A Gerpos comunica a seus clientes que nova versão do aplicativo Gerpos Retaguarda, contendo as rotinas para emissão da Nota Fiscal Eletrônica, já está disponível. A atualização da versão
Leia maisIndústria de Cartão de Pagamento (PCI)
Indústria de Cartão de Pagamento (PCI) Procedimentos para Scanning de Segurança Administração de Risco Região América Latina e Caribe Indústria de Cartão de Pagamento Procedimentos para Scanning de Segurança
Leia maisVersão 1.0 09/10. Xerox ColorQube 9301/9302/9303 Serviços de Internet
Versão 1.0 09/10 Xerox 2010 Xerox Corporation. Todos os direitos reservados. Direitos reservados de não publicação sob as leis de direitos autorais dos Estados Unidos. O conteúdo desta publicação não pode
Leia maisAdministração do Windows Server 2003
Administração do Windows Server 2003 Visão geral O Centro de Ajuda e Suporte do Windows 2003 Tarefas do administrador Ferramentas administrativas Centro de Ajuda e Suporte do 2003 Usando o recurso de pesquisa
Leia maisCHECK LIST DE AVALIAÇÃO DE FORNECEDORES Divisão:
4.2.2 Manual da Qualidade Está estabelecido um Manual da Qualidade que inclui o escopo do SGQ, justificativas para exclusões, os procedimentos documentados e a descrição da interação entre os processos
Leia maisSegurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589
Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups
Leia maisIBM Managed Security Services for Agent Redeployment and Reactivation
Descrição de Serviços IBM Managed Security Services for Agent Redeployment and Reactivation EM ADIÇÃO AOS TERMOS E CONDIÇÕES ESPECIFICADOS ABAIXO, ESSA DESCRIÇÃO DE SERVIÇOS INCLUI AS IBM MANAGED SECURITY
Leia maisCONSULTORIA E SERVIÇOS DE INFORMÁTICA
CONSULTORIA E SERVIÇOS DE INFORMÁTICA Quem Somos A Vital T.I surgiu com apenas um propósito: atender com dedicação nossos clientes. Para nós, cada cliente é especial e procuramos entender toda a dinâmica
Leia maisMicrosoft Office Outlook Web Access ABYARAIMOVEIS.COM.BR
Microsoft Office Outlook Web Access ABYARAIMOVEIS.COM.BR 1 Índice: 01- Acesso ao WEBMAIL 02- Enviar uma mensagem 03- Anexar um arquivo em uma mensagem 04- Ler/Abrir uma mensagem 05- Responder uma mensagem
Leia maisISO 9001:2008. Alterações e Adições da nova versão
ISO 9001:2008 Alterações e Adições da nova versão Notas sobe esta apresentação Esta apresentação contém as principais alterações e adições promovidas pela edição 2008 da norma de sistema de gestão mais
Leia maisGerenciamento de Incidentes
Gerenciamento de Incidentes Os usuários do negócio ou os usuários finais solicitam os serviços de Tecnologia da Informação para melhorar a eficiência dos seus próprios processos de negócio, de forma que
Leia maisFIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza
FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um
Leia maisResumo de alterações da versão 2.0 para a 3.0 do PA-DSS
Indústria de cartões de pagamento (PCI) Padrão de segurança de dados de formulário de pagamento Resumo de alterações da versão 2.0 para a 3.0 do PA-DSS Novembro de 2013 Introdução Este documento fornece
Leia maisFeature-Driven Development
FDD Feature-Driven Development Descrição dos Processos Requisitos Concepção e Planejamento Mais forma que conteúdo Desenvolver um Modelo Abrangente Construir a Lista de Features Planejar por
Leia maisMÓDULO 7 Modelo OSI. 7.1 Serviços Versus Protocolos
MÓDULO 7 Modelo OSI A maioria das redes são organizadas como pilhas ou níveis de camadas, umas sobre as outras, sendo feito com o intuito de reduzir a complexidade do projeto da rede. O objetivo de cada
Leia maisGlossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart.
Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart. Versão 1.6 15/08/2013 Visão Resumida Data Criação 15/08/2013 Versão Documento 1.6 Projeto Responsáveis
Leia maisAuditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU
Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Tópicos Motivação Utilização cada vez maior da Internet e a criação de ambientes cooperativos, levam a uma crescente preocupação
Leia maisProjeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência
Desenvolvimento de Estratégias de Segurança e Gerência Segurança e Gerência são aspectos importantes do projeto lógico de uma rede São freqüentemente esquecidos por projetistas por serem consideradas questões
Leia maisSegurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro
Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta
Leia maisRequisitos de controlo de fornecedor externo
Requisitos de controlo de fornecedor externo Cibersegurança para fornecedores classificados como baixo risco cibernético Requisito de 1. Proteção de ativos e configuração de sistemas Os dados do Barclays
Leia maisLISTA DE VERIFICAÇAO DO SISTEMA DE GESTAO DA QUALIDADE
Questionamento a alta direção: 1. Quais os objetivos e metas da organização? 2. quais os principais Produtos e/ou serviços da organização? 3. Qual o escopo da certificação? 4. qual é a Visão e Missão?
Leia maisFirewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática
Firewall Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes Campus Cachoeiro Curso Técnico em Informática Firewall (definições) Por que do nome firewall? Antigamente, quando as casas
Leia maisPós-Graduação em Gerenciamento de Projetos práticas do PMI
Pós-Graduação em Gerenciamento de Projetos práticas do PMI Planejamento do Gerenciamento das Comunicações (10) e das Partes Interessadas (13) PLANEJAMENTO 2 PLANEJAMENTO Sem 1 Sem 2 Sem 3 Sem 4 Sem 5 ABRIL
Leia maisConceitos Básicos de Rede. Um manual para empresas com até 75 computadores
Conceitos Básicos de Rede Um manual para empresas com até 75 computadores 1 Conceitos Básicos de Rede Conceitos Básicos de Rede... 1 A Função de Uma Rede... 1 Introdução às Redes... 2 Mais Conceitos Básicos
Leia maisInjeção de SQL - Detecção de evasão
Injeção de SQL - Detecção de evasão Resumo A detecção dos ataques de injeção de SQL era feita inicialmente com o uso de técnicas de reconhecimento de padrões, verificados contra assinaturas e palavraschave
Leia maisSistema de Chamados Protega
SUMÁRIO 1. INTRODUÇÃO... 3 2. REALIZANDO ACESSO AO SISTEMA DE CHAMADOS... 4 2.1 DETALHES DA PÁGINA INICIAL... 5 3. ABERTURA DE CHAMADO... 6 3.1 DESTACANDO CAMPOS DO FORMULÁRIO... 6 3.2 CAMPOS OBRIGATÓRIOS:...
Leia maisManual de Utilização do Zimbra
Manual de Utilização do Zimbra Compatível com os principais navegadores web (Firefox, Chrome e Internet Explorer) o Zimbra Webmail é uma suíte completa de ferramentas para gerir e-mails, calendário, tarefas
Leia maisO modelo ISO/OSI (Tanenbaum,, 1.4.1)
Cenário das redes no final da década de 70 e início da década de 80: Grande aumento na quantidade e no tamanho das redes Redes criadas através de implementações diferentes de hardware e de software Incompatibilidade
Leia maisEntendendo como funciona o NAT
Entendendo como funciona o NAT Vamos inicialmente entender exatamente qual a função do NAT e em que situações ele é indicado. O NAT surgiu como uma alternativa real para o problema de falta de endereços
Leia maisGovernança de TI. ITIL v.2&3. parte 1
Governança de TI ITIL v.2&3 parte 1 Prof. Luís Fernando Garcia LUIS@GARCIA.PRO.BR ITIL 1 1 ITIL Gerenciamento de Serviços 2 2 Gerenciamento de Serviços Gerenciamento de Serviços 3 3 Gerenciamento de Serviços
Leia maisNovidades do AVG 2013
Novidades do AVG 2013 Conteúdo Licenciamento Instalação Verificação Componentes Outras características Treinamento AVG 2 Licenciamento Instalação Verificação Componentes do AVG Outras características Treinamento
Leia maisTableau Online Segurança na nuvem
Tableau Online Segurança na nuvem Autor(a): Ellie Fields Diretora Sênior de Marketing de Produtos, Tableau Software Junho de 2013 p2 A Tableau Software entende que os dados são um dos ativos mais estratégicos
Leia mais4. Qual seria o impacto da escolha de uma chave que possua letras repetidas em uma cifra de transposição?
Prova de 2011-02 1. Descreva duas maneiras de estabelecer uma conexão entre processos na camada de transporte sem o conhecimento da porta (TSAP) ao qual o servidor remoto esteja associado. 2. Estabelecer
Leia maisComponentes de um sistema de firewall - II. Segurança de redes
Componentes de um sistema de firewall - II Segurança de redes O que são Bastion Hosts? Bastion host é o nome dado a um tipo especial de computador que tem funções críticas de segurança dentro da rede e
Leia maisComponentes de um sistema de firewall - I
Componentes de um sistema de firewall - I O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um único elemento de software instalado num
Leia maisProcesso de Envio de email
Processo de Envio de email Introdução O envio de documentos de forma eletrônica vem sendo muito utilizado, assim o envio de arquivos, relatórios, avisos, informações é realizado via e-mail. O sistema disponibiliza
Leia maisAnálise de Ponto de Função
Complemento para o Curso Análise de Ponto de Função FUNÇÕES DO TIPO DADO O termo Arquivo não significa um arquivo do sistema operacional, como é comum na área de processamento de dados. Se refere a um
Leia mais