regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sábado, 18 de outubro de 2014

Fique longe do Dropbox, Facebook e Google, aconselha Edward Snowden



The Virtual Interview: Edward Snowden - The New Yorker Festival

Sua mensagem é dirigida a usuários individuais e reforça que as pessoas devem buscar ferramentas que realmente utilizam a criptografia para manter a privacidade dos dados.  

Na ultima Quarta-feira, 15 de outubro de 2014, Edward Snowden,  mostrou-se  muito preocupado com a privacidade das pessoas.  Durante uma entrevista em vídeo na noite de sábado para The New Yorker Festival com o The New Yorker  a Jane Mayer, ele aconselhou que as pessoas devem evitar Dropbox, Facebook e Google, a fim de evitar ataques de privacidade nesta era da tecnologia da informação.

Em sua mensagem  ele diz  para que as pessoas fiquem longe  dos serviços web populares como Facebook, Google e Dropbox. Esses serviços podem comprometer sua privacidade.

Enquanto conversava com público Snowden aconselhou que as pessoas "procurem os serviços de comunicação criptografados."

Ele sugeriu que as pessoas devem usar serviços de armazenamento alternativo de alta segurança, como SpiderOak  https://spideroak.com  que criptografa arquivos.

Ele também aconselhou a voltar-se para garantir serviços como Silent Circle https://silentcircle.com/.

Também  recomendou o  aplicativo RedPhone que o envia de textos criptografados através de telefones celulares. RedPhone é um aplicativo para Android que permite a realização de chamadas telefônicas de graça para aparelhos que usam o serviço. Focado em segurança, ele se destaca com uma ferramenta para comunicações de forma privada, no qual duas pessoas podem se falar em segredo. As chamadas são criptografadas e feitas usando a conexão wi-fi de através do pacote de dados, que permite o acesso à internet. 

Assim, sua principal mensagem foi a de que em um nível individual, as pessoas devem buscar ferramentas criptografadas antes de parar de usar os serviços que podem comprometer a sua privacidade. 


Snowden disse ainda que apesar do Facebook e Google têm melhorado muito suas medidas de segurança, eles ainda são serviços perigosos.

sexta-feira, 17 de outubro de 2014

Certificados digitais: atenção a renovação

Cerca de 650 mil documentos emitidos em 2011 e com validade de três anos terão que ser trocados no último trimestre de 2014; mídia usada para armazená-los também será substituída












Certificados digitais precisarão de renovação
Foto: Fotos públicas

São Paulo - Uma estimativa feita pela Boa Vista, administradora do Serviço Central de Proteção ao Crédito (SCPC), aponta que, no último trimestre de 2014, cerca de 650 mil certificados digitais emitidos em 2011, e com validade de três anos, devem ser renovados.

A previsão foi feita com base em dados divulgados pelo Instituto Nacional de Tecnologia da Informação (ITI). A substituição das mídias (cartão e token) também foi ressaltada pela companhia em relação à renovação.

De acordo com Angelo Tonin, diretor de Identidade Digital da Boa Vista, a maior parte das empresas que adquiriu certificados em 2011 era composta por 20 ou mais empregados e precisou se adequar ao uso do certificado digital, em atendimento às normas da Caixa Econômica Federal para a transmissão de arquivos de Recolhimento do FGTS (Fundo de Garantia por Tempo de Serviço) e da Previdência Social (SEFIP e GFIP).

"Há três anos houve um pico de emissões de certificados digitais para atender à obrigatoriedade da Caixa. Como a maioria era de certificados tipo A3, com validade de três anos, estimamos que mais de 650 mil certificados estejam no período de renovação", afirmou Tonin.

"Neste momento, também é importante observar a necessidade da troca da mídia usada para armazenar o certificado, ou seja, cartão e token, pois houve uma atualização na tecnologia dos certificados digitais (cadeia V2), e as mídias em uso antes desta data precisam ser substituídas", complementou o diretor de Identidade Digital da Boa Vista.

Escolha do melhor

Para empresas e escritórios de contabilidade, a Boa Vista sugere o uso do e-CNPJ tipo A3. Para os funcionários vinculados a essas empresas e que trabalharão com as transmissões das informações de FGTS (procuradores), a Boa Vista recomenda informar o PIS nos novos certificados digitais, que devem ser e-CPF.

Para profissionais autônomos, a recomendação também é do e-CPF, desde que tenha o CEI (obrigatório). A empresa recomenda ainda que antes da renovação seja levado em consideração o custo-benefício dos certificados digitais disponíveis no mercado, para que a escolha contemple o que mais se ajusta às necessidades da companhia.

Como fazer

A renovação ou aquisição do certificado digital pode ser feita no www.certificadoboavista.com.br. No portal é possível comprar, agendar o dia e horário para a validação presencial e ainda obter suporte técnico por meio de chat, se necessário. Ao fazer a compra de um certificado digital da Boa Vista, o solicitante recebe por e-mail a confirmação do pedido e os dados do agendamento para a validação presencial.

Ao comparecer ao ponto de atendimento na data agendada, com os documentos obrigatórios, o responsável já sai com o certificado digital pronto para ser usado de imediato. Caso não saiba a validade do certificado digital, o usuário pode acessar o site da Boa Vista também e testar seu certificado acessando o menu inferior da página para obter essa informação, independentemente de qual tenha sido o fornecedor do certificado anteriormente.

Fonte: http://www.dci.com.br/economia/

quinta-feira, 16 de outubro de 2014

Download at your own risk: Bitcoin mine



Recently we have seen an emerging trend among malware distributors - Bitcoin miners being integrated into installers of game repacks.


This type of system hijacking is just one of the many ways to exploit a user by utilizing their system's computing resources to earn more cash. Malware is easily bundled with game installers that are then uploaded and shared with unsuspecting users using torrent download sites. Once a machine is infected, a downloaded Bitcoin miner silently carries out mining operations without the user's consent.


We have seen this technique used by Trojan:Win32/Maener.A. This threat is dropped byTrojanDropper:Win32/Maener.A as a bundle with some games. Some of the torrent files names we have seen bundled with this threat are:


Tom Clancy's Ghost Recon.Future Soldier.Deluxe Edition.v 1.7 + 3 DLC.(Новый Диск).(2012).RepackDon't Starve.(2013) [Decepticon] RePackKings Bounty Dark Side by xatabSniper_Elite_III_8_DLC_RePack_MAXAGENTTROPICO_5Ghost_Recon_Future_Soldier_v1.8_RepackTrials.Fusion.RePack.R.G.FreedomKing's Bounty Dark Side.(2014) [Decepticon] RePackWatch Dogs.(2014) [Decepticon] RePack


These files can be easily acquired by anyone who downloads games from a torrent website. The games are repacked to further lure gamers to download the compressed files for free. The installer that we detect as TrojanDropper:Win32/Maener.A is available in Russian and English languages only. It seems to be primarily affecting Russian users, as shown by its infection telemetry.

Figure 1: The five countries with the highest number of detections


An example of the game installer execution is depicted in Figure 2. When the installer application (setup.exe) is run, Trojan:Win32/Maener.A also executes in the background and downloads its Bitcoin mining components.



Figure 2: An example of a game installer. When run, the installer also executes the malware payload
Trojan:Win32/Maener.A can be found running under the filename ActivateDesktop.exe. It uses this reputable file name in order to hide its true identity. When run, it connects to a remote server, eventually downloading a Bitcoin miner and installing it on the system.


The Bitcoin miner is installed as connost.exe and can be launched with the command prompt:Connost.exe -a m7 -o stratum+tcp://:port -u -p .
We have also seen this miner use the file names minerd.exe, svchost.exe and winhost.exe.
Trojan:Win32/Maener.A also adds the following registry entry to enable its automatic execution at every system startup:


HKCU\Software\Microsoft\CurrentVersion\RunGoogleUpdate_CF4A51A46014ACCDC56E3A64BAC64B76 = c:\Trash-100\ActivateDesktop.exe
To help stay protected, we recommend you to install an up-to-date, real-time protection security product such as Microsoft Security Essentials, or Windows Defender for Windows 8.1. And, most importantly, only download from legitimate and reputable sources.
Donna SibanganMMPC
SHA1s3e4c9449d89c29f4e10186cc1b073d45d33c5f83ebcd1aa912dfe00cb2d41de7097dedd1f9ab9127f6b98be4091d108c6195ac543bf949ba3cffb8bf

Particularidades da petição inicial e defesa no PJe-JT



Em 2006, os órgãos do Poder Judiciário foram autorizados a desenvolver sistemas eletrônicos para o processamento de ações judiciais, utilizando a rede mundial de computadores, com a sanção da Lei Federal 11.419. A lei abrange os processos cível, penal e trabalhista, bem como os juizados especiais, em todas as instâncias, trazendo para o Poder Judiciário a tecnologia necessária para acompanhar o desenvolvimento mundial e suas novas modalidades de organização e comunicação.

Algumas normas de cunho processual tiveram de ser relativizadas e modificadas, a fim de atender as necessidades do meio eletrônico, como a assinatura, a comunicação dos atos processuais e os prazos processuais.

A assinatura, tanto do advogado quanto a do magistrado ou servidor, passou a ser aceita na forma eletrônica, desde que baseada em certificado digital emitido pela autoridade certificadora credenciada e com cadastro de usuário no Poder Judiciário.

A comunicação dos atos processuais passou a ser feita através de publicação nos Diários da Justiça eletrônicos, criados pelos tribunais, que substituíram qualquer outro meio de publicação oficial, salvo os casos que exigem intimação ou vista pessoal.

O diário é disponibilizado em um dia e, no dia seguinte, considera-se a sua publicação, iniciando a contagem do prazo no primeiro dia útil seguinte e finalizando apenas às 24h do dia final para o prazo, uma vez que o protocolo também passou a ser eletrônico, através da internet.

Especificamente no âmbito da Justiça do Trabalho, cada tribunal regional passou a desenvolver seu próprio sistema para protocolos e consultas das ações judiciais, mesmo que os processos permanecessem físicos.

De acordo com os recursos e organização de cada regional, foram surgindo portais para protocolo e consulta de ações. Posteriormente, buscando a evolução dos sistemas e com o intuito de unificar o procedimento eletrônico utilizado na Justiça do Trabalho, foi desenvolvido um sistema processual capaz de tornar plenamente eletrônico o processo trabalhista, o PJe.

O Conselho Superior da Justiça do Trabalho, em 23 de março de 2012, através da Resolução 94, instituiu o Sistema Processo Judicial Eletrônico da Justiça do Trabalho (PJe-JT) como sistema de processamento de informações e prática de atos processuais, estabelecendo os parâmetros para sua implementação e funcionamento.

A Vara do Trabalho pioneira na utilização do PJe-JT foi a 1ª Vara do Trabalho de Caucaia(CE), que enfrentou os desafios de uma mudança brusca, quando, do dia para noite, deixou de processar autos físicos, como já fazia há décadas, para desbravar a atuação em processo completamente eletrônico.

Gradativamente, o PJe-JT foi se estabelecendo de vara em vara, até chegar à segunda instância e Tribunal Superior do Trabalho, trazendo inovações e consequentes desafios diários com o uso da tecnologia.

Além dos desafios de ordem tecnológica e de informática, os operadores do direito do trabalho (servidores, juízes e advogados) tiveram (e ainda têm) de enfrentar batalhas para adequar o processo do trabalho às particularidades encontradas no procedimento eletrônico.

A iniciativa no processo do trabalho é dada através da petição inicial ou reclamação, conforme intitulação dada no artigo 840 da CLT. A petição inicial, assim, é a materialização do ato (no sentido de manifestação da vontade) de se exercitar o direito de ação e é, ao mesmo tempo, o ato introdutório do processo.

Antes de instituído o processo eletrônico na Justiça do Trabalho, podia ser visualizado mais facilmente as determinações do artigo 840 da CLT quanto à forma de apresentação da reclamação. A petição inicial deverá conter duas vias, pois uma delas será a peça inaugural e a outra a contrafé, isto é, a peça que será entregue ao réu juntamente à notificação citatória. Havendo pluralidade de réus, a petição inicial deverá conter o número de vias correspondentes.

No processo eletrônico, há a distribuição e emissão de recibo e ciência da vara para qual foi distribuída, número do processo gerado e, na maioria das vezes, ciência da data da audiência marcada. Uma vez que o comprovante do protocolo se dá com a consulta processual em si, não é necessária a contrafé, antigamente carimbada como protocolo da exordial.

Escolhida a opção pela apresentação da petição inicial escrita devem ser atendidos os requisitos entabulados no artigo 840 da CLT, quais sejam: (i) a designação do juiz a quem for dirigida, (ii) a qualificação do reclamante e do reclamado, (iii) uma breve exposição dos fatos, (iv) o pedido, (v) a data e a assinatura do reclamante ou de seu representante.

O primeiro requisito visa a aferição da autoridade competente para processar e julgar a reclamação. Nas localidades em que existem mais de uma vara competente, deve-se deixar espaço em branco, pois o processo será ainda distribuído, o que hoje ocorre na forma eletrônica e seguido do protocolo digital.

A qualificação das partes deve conter para o autor (pessoa física) o nome completo, nacionalidade, estado civil, profissão e endereço completo. Com o PJe, como os dados do processo são preenchidos por quem o ajuíza, acaba por ser obrigatório acrescentar ao cadastro da petição inicial, o CEP, que localizará o endereço e ao menos um documento de identificação, que normalmente é o CPF, uma vez que o sistema está interligado com a Receita Federal, que fornece a qualificação restante.

Para qualificação da parte adversa, normalmente pessoa jurídica, deve-se informar a razão social da empresa, a personalidade jurídica de direito público ou privado, o CNPJ e endereço completo, sendo desnecessária nesse momento processual, a indicação dos sócios da empresa. No cadastro da inicial no PJe, ainda existe a possibilidade de indicar que a reclamada está em local incerto e não sabido, capaz de ensejar a notificação por edital, a depender do rito do processo.

A qualificação das partes deixou de ser apenas um requisito da exordial, passando, com o PJe, a ser condição essencial para ajuizamento da ação, uma vez que, sem o preenchimento da qualificação completa, é impossível prosseguir com o protocolo da inicial no sistema.

Em seguida, exige-se a exposição dos fatos, de maneira breve, clara e precisa, capaz de indicar os motivos do pedido, não sendo obrigatória a exposição dos fundamentos jurídicos do pedido.

Em relação ao Sistema PJe, cumpre ressaltar que é necessária a indicação da matéria da petição que se pretende protocolar, que não deixa de ser uma extensão da exposição fática e dos pedidos, também precípua para prosseguimento do protocolo eletrônico.

Por fim, o último requisito expresso da CLT, é a data e a assinatura. Ou seja, a data em que foi elaborada e/ou apresentada a petição inicial e a assinatura do reclamante, quando do exercício do jus postulandi, e do patrono do autor.

Em relação à assinatura, cumpre ressaltar que, com a chegada do processo eletrônico, a assinatura deve ser na forma eletrônica, ou seja, baseada em certificado digital, emitido por autoridade certificadora credenciada, bem como mediante cadastro de usuário no Poder Judiciário.

Na petição inicial ou qualquer outra incidental só é necessário que o patrono tenha procuração nos autos e a assinatura na forma digital, posta pelo próprio sistema de protocolo, com base nas informações do certificado digital, válida com os mesmos efeitos da assinatura física. A assinatura digital do advogado, confere aos documentos anexados ao processo eletrônico autenticidade, não necessitando agora da autenticação em cartório.

Contudo, recomenda-se que os originais dos documentos digitalizados deverão ser preservados pelo seu detentor até o trânsito em julgado da sentença ou, até o final do prazo para propositura de ação rescisória, caso admitida, de acordo com o artigo 13, parágrafo 2º da referida lei.

Por fim, por mais que não seja requisito essencial elencado pela CLT, o valor da causa passou a ser obrigatório no protocolo de inicial no sistema PJe, uma vez que é campo de preenchimento obrigatório para finalizar o cadastro do processo no sistema.

Os requisitos da petição inicial no processo do trabalho, enfim, possuem caráter simplório, tanto pela natura da ação, quanto pela possibilidade de o próprio trabalhador, ajuizar a demanda sozinho, sem a assistência de advogado.

Além do que, existem certas varas que se negam a atender partes sozinha a fim de reclamar, alegando que existe campo próprio para isso no Sistema PJe. Assim, diante das barreiras encontradas, principalmente para os reclamantes que pretendem se utilizar do jus postulandi, esse direito garantido cai cada vez mais em desuso.

Dessa forma, alguns requisitos precípuos da petição inicial desde a entrada em vigor da Consolidação das Leis do Trabalho tiveram de ser relativizados, com a estrutura alterada, ao menos em parte, buscando a maior celeridade e eficácia processual.

Em atenção ao contraditório, da petição inicial é oferecida ao réu a oportunidade de resposta, a contestação. A contestação deve observar os mesmos padrões da inicial, mas na forma verbal, em audiência, no prazo de vinte minutos, conforme artigo 847 da CLT. Todavia, usualmente a contestação é apresentada na forma escrita, devendo ser juntada, teoricamente, em audiência, segundo o mesmo artigo da CLT.

Com o PJe, os advogados devem apresentar as contestações e documentos até antes da audiência, não mais na própria seção. Todavia, diante das indisponibilidades do sistema, apresentadas principalmente no início da implantação do sistema, alguns juízes utilizaram do bom senso para aceitar as defesas, mesmo que impressas ou digitalizadas na audiência, ou até mesmo concedido prazo para juntada posterior.

O prazo para apresentação da exceção é o mesmo da defesa, mas por razões lógicas, antes dela, visto que se trata de defesa indireta, antes de adentrar no mérito da causa, o que será feito diretamente pela contestação.

Entretanto, no PJe, por questões procedimentais, tanto a exceção quanto a contestação são apresentadas juntas, impossibilitando uma prerrogativa do reclamado de só adentrar no mérito da causa em momento posterior à decisão da exceção, já que a peça contestatória fica disponibilizada nos autos eletrônicos junto da exceção.

Ademais, tendo em vista que no PJe a defesa é anexada aos autos antes da audiência, a parte contrária já tem acesso a toda documentação e argumentos de defesa antes mesmo da audiência, o que pode gerar transtornos para as partes, que são motivos de controvérsias a ser estudados pela doutrina.

Uma das controvérsias é a possibilidade ou não de desistência da ação pelo reclamante após a apresentação (e juntada, já que imediata no processo eletrônico) de defesa pela parte reclamada, uma vez que o parágrafo 4º do artigo 267 do CPC, prescreve que “depois de decorrido o prazo para a resposta, o autor não poderá, sem o consentimento do réu, desistir da ação”.

Sobre o sigilo, cabe ressaltar que foi sim uma prerrogativa trazida pelo sistema PJe, no artigo22 da Resolução Normativa 94 do CSJT, para tentar sanar o vício da disponibilização da defesa e documentos antes da audiência, entretanto, muitos magistrados de primeiro grau assim não entenderam, fazendo recomendações expressas de que os advogados não se utilizassem dessa opção na defesa, sob pena de ser inclusive considerado revel.

Tanto é assim que alguns tribunais emitiram recomendações, no quadro de avisos do PJe, para que as partes não se utilizassem do recurso de sigilo em defesa, devendo utilizá-lo apenas se a matéria fosse relativa ao segredo de Justiça.

Esses e mais alguns desafios estão sendo enfrentados nas varas do trabalho diariamente e necessitam de tempo para que os entendimentos e interpretações sejam pacificados.

Importante destacar que, embora enfrente dificuldades de adaptação, a inovação do PJe trouxe ganhos indescritíveis à celeridade e qualidade do processo trabalhista. As críticas existem e mostram que ainda existe muito que evoluir, tanto na jurisprudência quanto doutrinariamente, sobre o tema, todavia toda mudança traz consigo desafios, que só o tempo e ocaso concreto poderão trazer soluções adequadas.

Enfim, a economia processual e facilidade de acesso ao processo são benefícios cristalinos trazidos com o PJe, que, por si só, já são bastantes para que o sistema não só permaneça, como também seja implantado nos outros ramos de processo do país.

Fonte: http://www.conjur.com.br/ 
13 de outubro de 2014, 7h24
Por Fernanda Brandão

segunda-feira, 13 de outubro de 2014

Tipos de Certificados SSL para proteger seu site

Vale a pena ler de novo!
Matéria Publicada em 2013

Apesar de todos os avanços tecnológicos, incluindo o crescimento das transações comerciais no ambiente virtual, a questão da segurança para usuários e empresas ainda é um fator preocupante, pois muitos consumidores ainda não sabem identificar uma loja idônea daquela que pode prejudicá-los.

Porém, para ajudar neste momento e não perder vendas, os varejistas da internet já podem contar com os Certificados Digitais, ferramentas que identificam pessoas, empresas, equipamentos, aplicações e sites. Para plataformas de e-commerce a solução traz até mais de uma função. “Para os sites, o Certificado Digital tem duas funções: identificar de forma inquestionável o site e estabelecer uma conexão segura entre o visitante e os servidores do site por meio de um canal de criptografia”, evidencia Regina Tupinambá, Diretora Comercial e Marketing da Certisign Certificadora Digital ao E-Commerce News.

Regina
Regina explica ainda que no segmento de e-commerce, os Certificados para Servidores Web ou simplesmente Certificados SSL/TLS, são os que identificam os web sites e garantem a autenticidade, privacidade e a integridade dos dados de um portal na rede, proporcionando aos visitantes a garantia de que estão realmente acessando um site original e seguro, e não a uma cópia operada por criptografia, possibilita a prática do comércio eletrônico de forma segura e é sinalizado pelo Selo Site Seguro – cadeado que aparece fechado na barra inferior do browser; “S” na URL HTTPS ou a barra do navegador na cor verde.

Quando você está em uma página com SSL, por exemplo, observe a barra de endereços.

O HTTP:// mostra HTTPS://. Desta forma, ao acessar um site, o internauta deve atentar para essas características, pois, estes sinais atestam que a comunicação entre o usuário e o site é protegida por criptografia e não pode ser interceptada por terceiros Ou seja: é um ambiente seguro para efetuar compras e navegar tranquilamente”, assegura a diretora.

De acordo com ela, existem três classes de Certificados SSL, e vale aos varejistas, observar que a classificação está diretamente relacionada à forma como a titularidade do certificado é verificada e validada. “O valor do Certificado Digital SSL –Secure Sockets Layer, está no processo de validação das credenciais da organização para a qual será emitido o certificado. A diferença entre os certificados, fundamentalmente, é a validação de propriedade do domínio para o qual será emitido o certificado”, esclarece.

São eles:

Auto-assinados (self-signed) - Certificados gerados pela própria empresa. São de uso interno e não possuem interoperabilidade com os navegadores de internet.

Validação de Domínio (domain validated) – A Autoridade Certificadora apenas valida, de forma automática, a existência do domínio. A validação é feita com base nos dados cadastrados na entidade responsáveis pelo registro de domínio.

Validação de Organização (fully authenticated) – A Autoridade Certificadora valida se a empresa solicitante do Certificado SSL é proprietária do domínio configurado na solicitação do Certificado, se a entidade é legalmente constituída e se a pessoa que solicitou certificado tem poder para efetuar o pedido.

Para as operações no comércio eletrônico, os certificados com Validação de Organização (fully authenticated) são os mais indicados por proporcionarem maior segurança à empresa, aos usuários e aos clientes. “Além de certificar que a empresa está legalmente constituída, assegura que a mesma está em operação e que o domínio do Certificado é de sua propriedade”, justifica Regina Tupinambá

É possível encontrá-los em duas categorias:

Certificados SSL/TLS – se apresenta por meio da figura de uma chave ou cadeado na barra do browser para indicar a comunicação segura.

Certificado SSL/TLS EV (Extended Validation) – se apresenta por meio das cores nos navegadores da web: verde para seguro e vermelho para sites com algum problema de identidade.

A diretora enfatiza ainda que estes certificados são acompanhados pelo selo de segurança das Autoridades Certificadoras emissoras, mas, adverte que apenas o selo não é garantia de proteção. “O visitante deve verificar se o selo é verdadeiro.

A verificação leva menos de 5 segundos e, as empresas precisam entender o quanto a ação de educar os clientes e usuários a verificarem os selos pode beneficiá-las. O clique e verifique dá muito conforto aos visitantes e faz com que pesquisas transformem-se em compras”, garante.

Atenção redobrada na escolha:

É importante observar também que os Certificados Digitais de Validação de Domínio (domain validated) não trazem valor às relações de confiança na internet. Pelo contrário, confundem os visitantes que imaginam estar seguros pela presença da criptografia. “Na verdade, a criptografia pode estar levando os dados diretamente para hackers. São certificados muito frágeis pela falta de processo de verificação de propriedade, pois só faz a criptografia dos dados, não cumprindo a função fundamental de um Certificado Digital que é identificar a titularidade para o qual o Certificado é emitido.

Os Certificados de validação de domínios são utilizados por sites muito pequenos e por empresas que iniciam no e-commerce. O preço de mercado é muito inferior aos SSLs, pois é emitido por máquinas sem nenhuma interação humana”, orienta.

Outro tipo de Certificado não recomendável ao e-commerce são os chamados Certificados WildCards, pois permitem que uma única chave seja instalada em mais de um servidor. “Não é utilizado por empresas que movimentam muitas informações sensíveis de clientes, pois segue na direção contrária das boas práticas de segurança da informação. Mesmo as pequenas empresas só utilizam em servidores internos, nunca nos servidores que abrigam os sites da organização. Não é comum, mas algumas empresas de porte utilizam este tipo de certificado em servidores internos, porém possuem políticas de segurança de alto nível e fazem o gerenciamento das chaves com rigorosos processos de segurança lógica e física”, justifica.

Ainda existem os Certificados Digitais para os Múltiplos Domínios, que é um Certificado SSL desenvolvido principalmente para o uso em soluções baseadas em Comunicações Unificadas (Unified Communications), como por exemplo, Microsoft Exchange (2007 ou superior), Live Communications Server (2005 ou superior). “Uma das características deste certificado é permitir a inclusão, no campo Subject Alternative Name (SAN), vários endereços de internet, intranet e IP’s adicionais. Com este certificado, as soluções baseadas em Comunicações Unificadas conseguem estabelecer conexões seguras (SSL/TLS) com todos os endereços e/ou IP’s que estão presentes no Certificado (Campos:Common Name e SAN)”, assegura.

Para finalizar a diretora comercial e marketing da Certisign Certificadora Digital, reforça que, diante de tantas peculiaridades é muito importante que ao decidir por um Certificado Digital os varejistas verifiquem se a Autoridade Certificadora responsável pela comercialização do Certificado SSL segue as boas práticas de segurança e se é auditada por terceiros de “boa fé”.

“A Certificação Digital é baseada numa cadeia de confiança até chegar ao usuário final, mas, muitas Certificadoras criadas recentemente para baratear o preço dos Certificados SSL e ganhar mercado, emitem os certificados sem verificação de propriedade do uso de domínio”, sintetiza Regina Tupinambá

Fonte: e-commerce | E-Commerce News
Regina Tupinamba - Autora do Blog Certificação Digital

Desde 1995 se dedica ao comércio eletrônico em especial ao segmento da Certificação Digital.
Formada em Publicidade e Propaganda pela PUC Rio.

Trabalhou por 14 anos na Certisign Certificadora Digital como diretora responsável pelas áreas de Marketing e Comercial.
Hoje é CEO da Insania Publicidade, agência de marketing interativo.
e-mail regina@insania.com.br

Cyberataques da semana passada reforçam o mercado de seguros nos USA e Europa.


Inga Beal - CEO da Lloyd 
Fotógrafo: Simon Dawson / Bloomberg
Lloyd de Londres Chief Executive Officer Inga Beale disse, "Cyber ​​é um risco novo e é uma preocupação."

Lloyd de Londres A Chief Executive Officer Inga Beale espera que aquecimento do mercado de seguro cibernético após os hackers atacarem algumas das maiores empresas nos EUA, incluindo o JPMorgan Chase & Co. (JPM) e Home Depot Inc.

Beale, disse que muitas empresas ainda não estão alentas para os riscos de um ataque em seus sistemas de computador ou a necessidade de contratar uma cobertura de seguros. Ela disse que o seguro cibernético pode cobrir a perda de receita futura e danos à reputação das empresas, bem como prestar assistência para obter sistemas de back-up em execução.

"Cyber ​​é um risco novo e é uma preocupação", Beale, de 51 anos, disse em entrevista ao Bloomberg Television Guy Johnson , em Londres. " Agora a Lloyd está no coração dos ataques cibernéticos, oferecendo esse tipo de cobertura. Vai crescer dramaticamente com todos os incidentes de alto perfil de hackers. "

Assistimos semana passada violação de dados do JPMorgan, volume nunca antes divulgados, revelando que 76 milhões de clientes e 7.000 mil pequenas empresas foram afetadas em um dos maiores ciberataques já registrados. Um mês antes, Home Depot confirmou que uma falha de segurança havia comprometido 56 milhões de cartões de créditos e débitos.

Marsh & McLennan Cos. estima que o mercado de seguros cibernético dos EUA poderia dobrar este ano, para US $ 2 bilhões em prêmios brutos de cerca de US $ 1 bilhão em 2013. 

Na Europa, o mercado é estimado em menos de US $ 150 milhões, um crescimento de 50 % para 100%  ao ano, de acordo com Marsh.

Com base nos Post de Paulo Pagliusi, Ph.D., CISM em um debate no grupo Certificação Digital.

Você pode contatar a repórter desta história: Sarah Jones, em Londres, sjones35@bloomberg.net e os editores responsáveis ​​por essa história: Edward Evans no eevans3@bloomberg.net Keith Campbell, Jon Menon.