Como saber se meus dados criptografados estão seguros?

A palavra criptografia é um jargão de vendas que faz parte do repertório de muitos vendedores de soluções tecnológicas. E não há como negar a importância de aplicar métodos criptográficos nos dados de clientes durante o ciclo de vida dessas informações. 

Mas, “Nós criptografamos os dados” não pode ser a única frase que você deve levar em conta para tomar a decisão de entregar os dados de seus clientes a terceiros, pois, a criptografia é uma ciência bastante complexa e não pode ser limitada apenas a algumas linhas de códigos e uma chave criptográfica.

Existem diversos algoritmos criptográficos e várias formas de aplicá-los. Mas, a ideia de abordar esse assunto neste texto é permitir que as pessoas que não possuem conhecimentos em criptografia consigam questionar fornecedores sobre questões importantes quando o assunto for criptografia de dados.

O fato que gostaria de ressaltar neste post é que: o fornecedor dizer que vai aplicar criptografia nos dados não garante que isso vai trazer a segurança que você espera quando contrata esse tipo de serviço.

Por isso, você deve fazer alguns questionamentos para identificar possíveis fraquezas que estejam escondidas na frase “Nós criptografamos os dados” dos fornecedores. Sendo assim, as principais perguntas que você deve fazer são:

1-      Qual é a criptografia utilizada?

Se um fornecedor disser que a criptografia não pode ser divulgada por questões de segurança, apenas seja educado e risque ele da sua lista. As melhores soluções de criptografia foram desenvolvidas e aperfeiçoadas por grupos de pesquisadores ao redor do mundo. Ou seja, elas são públicas e amplamente divulgadas!

2-  Como a chave de criptografia é armazenada?

Como este texto é para pessoas que não possuem contato com criptografia no seu dia a dia, entenda que – apesar de termos métodos específicos para gerar uma chave criptográfica – a chave de criptografia é uma senha e, por isso, precisa ser bem armazenada. Agora está mais fácil de entender o motivo desta segunda pergunta.

Se não deixamos nossas senhas disponíveis para outras pessoas visualizarem, por que deixaríamos a chave de criptografia que armazena todas as informações confidenciais do sistema? Se o fornecedor disser qualquer coisa diferente da respostas abaixo, risque ele da sua lista de fornecedores também.

Uma resposta aceitável para este questionamento é: as chaves ficam armazenadas com outra chave. Normalmente, dizemos que ela está sobre uma KEK (Key Encryption Key) ou que está criptografada por um HSM (Hardware Security Module), que é um aparelho dedicado a fazer criptografia e também chamado de criptografo.

3- Qual é o ciclo de vida da chave criptográfica?

Todos devem saber que é importante trocar a senha de tempos em tempos e, se uma chave é semelhante à senha, ela também deve ser alterada em ciclos pré-definidos de tempo.

Olhando os padrões internacionais de criptografia, como a FIPS-140, toda chave de criptografia possui um tempo de vida. Esse período é necessário para evitar ataques, como o de força bruta. Por isso, é muito importante que o fornecedor possua uma política de criptografia que contenha um ciclo definido de vida para as chaves criptográficas.

Como disse no início do post, o objetivo de escrever um texto sobre esse tema é prover meios para você avaliar se as promessas de criptografia do seu fornecedor realmente vão trazer a segurança esperada.

Agora que você já sabe como questionar seus possíveis (ou atuais) fornecedores, fica mais fácil pôr em prática as dicas e se certificar de que os dados estão seguros!

 

vindi-banner

Você vai gostar também

Como garantir vendas mais seguras na sua loja onli... Sabemos que a fraude on-line pode causar problemas graves a um e-commerce, como chargebacks, multas de adquirentes, ineficiência operacional, reclamaç...
Boas práticas para melhorar a segurança do seu sit... Nós últimos anos houve uma grande proliferação de ferramentas e serviços voltados para o desenvolvimento da internet. Joomla!, WordPress, Drupal e tan...
Você tem feito seu papel para garantir vendas mais... A gente gosta de “bater na tecla” ao falar de segurança porque ela é – tanto para o cliente final, quanto para as empresas – a parte mais essencial qu...
O que é SSL (Secure Socket Layer)? A segurança é cada vez mais um assunto debatido e um grande diferencial em operações online. Principalmente para as empresas de comércio eletrônico, q...

Profissional especialista em segurança da informação e continuidade de negócio. Atua na área de segurança da informação há mais de 16 anos, com experiência internacional. Atualmente responsável pelo time de segurança da informação da Vindi e leciona os temas de segurança da informação e forense computacional em cursos de pós-graduação.

Site Footer