UN PORTAL WEB SEGURO Y
CONFIABLE
La elección adecuada para asegurar sus
sitios y servicios web
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015
EXISTE UN MARCO NORMATIVO
1. Decreto 2693 de 2012 de Mintic, se debe garantizar la integridad, coherencia y confiabilidad en la información y los servicios que se realicen a través de medios electrónicos.
2. Manual de Gobierno en línea, las entidades contarán con sedes electrónicas, en donde se dispondrá de acceso multicanal a toda la información, así como a la gestión en línea de trámites y servicios, observando permanentemente las condiciones de accesibilidad, usabilidad, calidad, seguridad, reserva y privacidad.
3. Directiva presidencial No. 04 … seguridad y confianza en los tramites electrónicos asegurando la autenticidad,integridad y disponibilidad.
4. Ley 1437 de 2011 - toda autoridad deberá tener al menos una sede electrónica y garantizando las condiciones de calidad,seguridad,disponibilidad, accesibilidad, neutralidad e interoperabilidad.
5. Ley 1581 de protección de datos … medidas técnicas, humanas y administrativas que sean necesarias para otorgar
seguridad
a los registros evitando suadulteración, pérdida,
consulta, uso o acceso no autorizado o fraudulento;6. Circular 052 – Superfinanciera Implementar los algoritmos y protocolos necesarios para brindar unacomunicación segura, … escaneos de vulnerabilidad,
¿Que significa tener un
certificado SSL?
Autenticidad = Confianza
Demuestran y validan la autenticidad de la fuente del contenido web.
Integridad
Garantizan que el flujo de información no sufra modificaciones.
Cifrado = Confidencialidad
El protocolo SSL cifra desde el navegador del usuario hasta el servidor web
Seguridad y confianza
Mediante el uso del cifrado potente SGC, la barra verde, los sellos de
reconocimiento y los servicios de seguridad (escaneos)
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015
AHORA NO ES SOLO SEGURIDAD, ES
VISIBILIDAD EN INTERNET
Desde el 7 de Agosto de 2014,
Google oficialmente anunció
que
el utilizar
una conexión https:// incrementa las posibilidades de un mejor
posicionamiento en los resultados de búsqueda.
Matt Cutts, lider del equipo Webspam en Google, sugirió que le gustaría que
todos los sitios web utilizasen una conexión segura
donde fuese necesario.
¡No todos los certificados SSL
son iguales!
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25de septiembre de 2015
¡No todos los certificados SSL
son iguales!
• Interviene un
tercero de confianza
(Entidad de certificación Digital – CA).• Se garantiza la
identificación
inequívoca
.• Si el tercero de confianza es reconocido en el mercado
la confianza va a ser
mayor.
¡No todos los certificados SSL
son iguales!
• Se emite rápidamente, en cuestión de minutos, son de muy bajo costo.
• Al solicitante sólo se le pide que demuestre el derecho a utilizar el nombre de dominio (validación whois).
• No se comprueba ningún dato de la empresa.
El problema reside en que no se comprueba si el sitio asegurado es un negocio legítimo o si se trata de una estafa.
Para los delincuentes es relativamente fácil crear un sitio web falso y conseguir un certificado de validación de dominio para servirse del candado como disfraz de legitimidad. Tras tranquilizar a los clientes con esa falsa sensación de seguridad, los
criminales se apoderan fácilmente de sus datos privados. LOS CERTIFICADOS DV SOLO SIRVEN PARA CIFRAR LOS DATOS
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015
¡No todos los certificados SSL
son iguales!
Según un reciente estudio de Netcraft, el
78 % de los
certificados SSL
que se encontraron en servidores que
albergaban sitios web
fraudulentos
tenían
validación de dominio
.
No todos los ataques van dirigidos contra grandes empresas
. Los
delincuentes también atacan con frecuencia a las pymes
debido a su
escaso nivel de sofisticación
en cuestiones informáticas. La información
de usuario que se obtiene en los ataques a pequeñas empresas a menudo
se puede utilizar para
hacerse pasar por ese usuario en otro sitio web
, ya
que los clientes suelen emplear los mismos nombres de usuario,
contraseñas y datos de acceso con frecuencia.
¡No todos los certificados SSL
son iguales!
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015
¡No todos los certificados SSL
son iguales!
• Normalmente se emiten de un día para otro.
• Al solicitante se le pide que demuestre el derecho a utilizar el nombre de dominio (validación whois) y que demuestre que la empresa existe y tiene un domicilio válido.
• Si la información entre el registro de dominio y el registro de la empresa no coincide se solicita información adicional.
¡No todos los certificados SSL
son iguales!
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015
¡No todos los certificados SSL
son iguales!
• Normalmente se emiten de 2 a 3 días hábiles.
• Al solicitante se le pide que demuestre el derecho a utilizar el nombre de dominio (validación whois), que demuestre que la empresa existe y tiene un domicilio válido y que la persona que solicita el certificado es un funcionario autorizado y labora con la empresa solicitante.
• Si la información entre el registro de dominio, el registro de la empresa y la información del contacto no coincide se solicita información adicional y/o incluso documentos adicionales como conceptos de un abogado.
• La autoridad de certificación realiza una comprobación más rigurosa del solicitante para aumentar el nivel de confianza en la empresa.
¡No todos los certificados SSL
son iguales!
¡No todos los certificados SSL
son iguales!
Este Sitio ha sido identificado por Symantec y Pertenece a “ “
¡No todos los certificados SSL
son iguales!
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015
¡No todos los certificados SSL
son iguales!
El nombre «PayPal» es un anzuelo frecuente para las estafas,
las autoridades de
certificación han automatizado una comprobación que busca nombres
similares
, como «pay-pal», «p@ypal» o «securepaypal».Pero recientemente poco se emitió un certificado para paypol-france.com que se utilizó en ataques de phishing destinados a robar datos de acceso y no se sabe cuántos usuarios cayeron en la trampa y proporcionaron sus datos. Para estos estafadores,
habría sido mucho más difícil obtener un certificado con validación de la
empresa (OV) o con extended Validation para ese nombre de dominio.
¡No todos los certificados SSL
son iguales!
El cambio de un certificado DV a un certificado con validación de la empresa (OV) o con EV implica un gasto adicional para el propietario del sitio web, pero la diferencia es
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015
¡LA SEGURIDAD ES CLAVE!
LA CONFIANZA ONLINE
Es muy fácil fingir que eres otra persona, teniendo en cuenta que todos interactuamos en internet, es importante comprender los peligros que existen y
contribuir a que el sector pueda tomar medidas.
Hay que implementar la tecnología de forma responsable, !El sitio web es un elemento clave¡: si los clientes no saben distinguir los sitios web de confianza, tenemos un serio problema.
Se recomienda que los sitios web de comercio electrónico utilicen, como mínimo, certificados con validación de la empresa o idealmente certificados validación extendida.
¡No todos los certificados SSL
son iguales!
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015
DISTINTAS GAMAS,
UN UNICO RESPALDO
LA CONFIANZA ONLINE
CIFRADO FUERTE DE 128 BITS
LA CONFIANZA ONLINE
Cuando se conecta a un sitio web seguro, se establece un nivel de cifrado basado en el tipo de certificado, navegador, sistema operativo y capacidades del Servidor, es por esto que todos los certificados soportan desde 40 hasta 256 bits de cifrado.
A velocidades de computación actuales, un hacker con el tiempo, las herramientas y la motivación para atacar con fuerza bruta requeriría un billón de años para entrar en una sesión protegida
El cifrado fuerte de 128 bits, puede calcular
2^88 mas combinaciones que un cifrado de 40 bits.
Es más de un billón de veces más fuerte.
ESCANEO DE VULNERABILIDADES
ESCANEO DE VULNERABILIDADES
La Evaluación de vulnerabilidades es una manera fácil de identificar las principales vulnerabilidades de su sitio web que los piratas informáticos utilizan con mayor frecuencia:
• Busca inyecciones de código SQL, scripts entre sitios y otras vulnerabilidades.
• Realiza análisis semanales en páginas web públicas, aplicaciones basadas en Web, software de servidor y puertos de red en busca de los puntos de entrada que se utilizan con mayor frecuencia para los ataques.
• Informe procesable y fácil de leer con claros elementos de acción y análisis de riesgos para empresas.
• Se incluye con los certificados SSL con Extended Validation, Secure Site Pro y Premium.
ESCANEO DE MALWARE
El análisis malware le ayuda a protegerse contra las inclusiones en las listas negras de los motores de búsqueda y a reducir el riesgo de propagación de virus entre los sistemas de sus clientes:
• La revisión diaria ayuda a garantizar la supervisión
periódica en busca de códigos maliciosos en su sistema.
• Alerta inmediata por correo electrónico advierte sobre infecciones de programas maliciosos.
• La lista de páginas infectadas y de problemas ayuda a los
administradores a localizar y eliminar los programas
UN CIFRADO MAS FUERTE Y RÁPIDO
• Mayor seguridad ya que las llaves ECC son 10.000 veces más difícil de romper que una clave RSA 2048-bit.
• Los certificados Symantec 256-bit ECC ofrecen la seguridad equivalente a un certificado RSA 3072-bit.
• Mejora el rendimiento del servidor durante los picos de carga con capacidad de procesar más solicitudes por segundo con menor utilización de la CPU.
• Mejora el tiempo de respuesta usuario-servidor. Un servidor con un certificado RSA maneja 450 solicitudes por segundo con un tiempo medio de respuesta de 150 milisegundos. El servidor con un certificado de ECC en las mismas condiciones registró un promedio de respuesta de sólo 75 milisegundos.
• Se recomiendan para consumo de sitios web desde dispositivos moviles y/o tabletas.
LA LINEA DE SEGURIDAD SSL MAS
COMPLETA DEL MERCADO
ADMINISTRACIÓN DE MULTIPLES
CERTIFICADOS SSL
LA CONFIANZA ONLINE
• No requiere infraestructura propia.
• Pre-aprobación de la organización, dominio(s) y personas de contacto.
• Emisión instantánea de certificados en dominios previamente aprobados.
• Compatibilidad con todos los tipos de certificado SSL Symantec.
• Posibilidad de añadir unidades de certificado a medida que vaya consumiendo el cupo.
Certicamara es el único distribuidor
en Colombia de MPKI-SSL
• Autenticación segura con distintos perfiles de usuario por medio de un certificado digital.
• Acceso a informes de seguridad generados por los escaneos de malware y de vulnerabilidades
• Generación de inventarios de certificados.
• Acceso a descuentos por volumen y tipo de certificado.
• Soporte y servicio Premium 7x24
CERTICAMARA RECONOCIDO
COMO EL MEJOR ALIADO
LA CONFIANZA ONLINE
En julio del presente año, Certicámara SA llevó a cabo su encuesta de
satisfacción general SSL sobre una muestra de 980 usuarios.
¿Qué
nivel de satisfacción
tiene
acerca
del
trato,
amabilidad,
y
calidad
de
servicio
frente a la atención de
requerimientos
relacionados
con Certificados SSL?
5 es la calificación mas alta
CERTICAMARA RECONOCIDO
COMO EL MEJOR ALIADO
LA CONFIANZA ONLINE
¿Qué prioridad asigna al
momento de escoger una
marca para sus certificados
SSL?
CERTICAMARA RECONOCIDO
COMO EL MEJOR ALIADO
LA CONFIANZA ONLINE
¿
Cuál de los siguientes temas le
gustaría conocer en un foro de
seguridad frente a la protección de
portales y servicios de Internet,
organizado por Certicámara S.A.
?
PREGUNTAS?
“ÚLTIMAS TENDENCIAS EN SEGURIDAD DE SITIOS WEB 2015”. 25 de septiembre de 2015
David Kummers
Ejecutivo Comercial
david.Kummers@Certicamara.com
Tel 57-1-3790300 Ext 1404
Cel 57-3015309901
Fuentes de consulta:
• Symantec: Reporte Peligros ocultos del comercio electrónico: Uso de certificados SSL adecuados para reducir las estafas
• http://www.canstockphoto.es/candado-pasador-resistido-pintado-puerta-1702531.html
• http://www.radio-ptuj.si/na-ptujskem-manj-vlomov