regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sábado, 19 de outubro de 2013

Segurança em Web Services




Segurança em Web Services








Introdução

Construir Web Services seguros implica em entender as ameaças em que os serviços estão expostos e ter definido qual nível de segurança deve ser alcançado. A maneira mais eficaz de se implementar segurança em aplicações é estar em consonância com os princípios, padrões e práticas. Os impactos negativos de uma falha de segurança podem comprometer os dados confidênciais, ceder acesso não autorizado e até mesmo comprometer a reputação e confiabilidade da instituição que esta prestando o serviço.

Para prover aos sistemas que utilizam a tecnologia de Web Services as seguintes recomendações são apresentadas:

Segurança no nível de aplicação:

• Prover a cifração das mensagens trocadas entre as partes utilizando XML Encryption Syntax and Processing e Decryption Transform for XML Signature (XMLenc) conforme a Especificação Técnica do GT 2 - Segurança recomenda na Tabela 8 – Especificações para Segurança – Desenvolvimento de Sistemas.

• Prover a autenticação de chaves e o gerenciamento de certificados utilizando XML Key Management Specification (XKMS 2.0) conforme a Especificação Técnica do GT 2 - Segurança recomenda na Tabela 8 – Especificações para Segurança – Desenvolvimento de Sistemas.

• Prover a assinatura digital utilizando XML Signature Syntax and Processing (XMLsig) conforme a Especificação Técnica do GT 2 - Segurança recomenda na Tabela 8 – Especificações para Segurança – Desenvolvimento de Sistemas.

Segurança no nível de transporte:

• Prover a segurança utilizando o componente Transferência de Dados em Redes Inseguras conforme a Especificação Técnica do GT 2 - Segurança recomendada na Tabela 5 – Especificações para Segurança – Comunicação de dados.

Mínimo de segurança recomendado:

• O mínimo segurança exigido para troca de informações entre as aplicações que utilizem Web Services com os protocolos HTTP ou SMTP é a utilização de segurança no nível de aplicação utilizando o componente Transferência de Dados em Redes Inseguras conforme a Especificação Técnica do GT 2 - Segurança recomendada na Tabela 5 – Especificações para Segurança – Comunicação de dados.

Os servidores que provem serviços de Web Services deverão utilizar Certificado Digital da AC-raiz nos padrões da ICP-Brasil para que se possa garantir de autenticidade das informações trocadas entre as partes.

• Para serviços que necessitem de autenticação como usuário, senha ou qualquer outro mecanismo de autenticação, recomenda-se que tal informação seja transportada de forma criptografada na sessão de HEADER quando houver a utilização do protocolo de acesso SOAP.


Documento em Adobe Acrobat (.pdf) - 98 KB, 18/10/2013

Evento interessante:
Conferência Web W3C Brasil 2013 — Programa de Governo Eletrônico Brasileiro - Sítio Oficial  Novembro de 2013.