A Associação Comercial de São Paulo (ACSP) e a Certisign celebraram parceria para abertura de novos postos de atendimento nas unidades distritais da ACSP. Através deste acordo, os associados terão acesso a um produto necessário com preço inferior ao da concorrência. A Certisign será responsável pela tecnologia e administração dos certificados emitidos; enquanto a ACSP se responsabilizará pela validação dos certificados. Através destes Certificados Digitais, as pequenas e médias empresas terão acesso ao e-CPF e ao e-CNPJ, o que permitirá que utilizem todos os serviços da Receita Federal.

Via Portal Executivos Financeiros

A escalada de uso da internet no Brasil vai bem, obrigado. Em 2008, de acordo com o IBOPE/Net Ratings, o número de pessoas com acesso à web no país ultrapassou os 40 milhões. Na esteira, o mercado de vendas online também se beneficia. Dados da consultoria e-Bit mostraram um crescimento de 30% no volume de vendas online no ano passado – um movimento de R$ 8,2 bilhões, sem incluir a compra e venda de automóveis, passagens aéreas e leilões eletrônicos judiciais.

Qual o motivo desse crescimento? Além da maior possibilidade de acesso à net, o comércio online também se aprimorou ao longo dos últimos anos, oferecendo mais comodidade e segurança ao consumidor. Problemas como a demora na entrega do pedido ou falhas no sistema de pagamento acabaram. Ao mesmo tempo, a possibilidade de obter informações precisas sobre cada produto, entregue em qualquer lugar do Brasil ou do mundo, supera as vantagens da compra presencial. “Comprando pela internet não preciso enfrentar engarrafamentos, filas e o risco de não encontrar o que procuro”, diz Paula Rodrigues, jornalista. Ela é cliente de sites de compras online há mais de cinco anos. “Além de muitos produtos serem mais baratos do que nas lojas, é possível comparar os preços em várias lojas diferentes pelos sites de busca”.

André Santos, publicitário, também vê vantagens no sistema. Ele já vendeu ítens de coleção pela web e comprou desde móveis até computadores. “Além da facilidade, há produtos que só se pode encontrar na internet, como artigos raros ou fora de produção”, assinala. “Comprar presentes é ainda mais fácil. Hoje, não existe mais dificuldade em presentear alguém que mora em outra cidade: é só escolher no site e pedir para entregar”.

Risco zero no cartão de crédito

O medo de colocar o número do seu cartão de crédito na web, a cada compra realizada, não existe mais. Com sistemas de pagamento, como o PagSeguro, você faz pagamentos online e não informa seus dados a terceiros. Para garantir a sua segurança, nosso sistema dá até 14 dias para bloqueio da transação (caso não receba o produto).

Aqui no PagSeguro (e no UOL inteiro) nos preocupamos com a sua segurança o tempo todo. No dia 10 de fevereiro, dia da internet segura em todo o mundo, o nosso CISO (Chief Information Security Officer), Nelson Novaes Neto, participou de um bate-papo com os usuários.

O Dia da Internet Segura é uma iniciativa anual da INSAFE, rede de organizações patrocinada pelo programa Safer Internet Plus, da Comissão Européia. Oobjetivo é espalhar as melhores práticas de segurança e discutir um pouco sobre a segurança no espaço cibernético.

O Brasil tem hoje mais de 58 milhões de usuários na rede e é recordista mundial em tempo de permanência na Net. Por isso é fundamental colaborar e compartilhar as melhores práticas de segurança na rede. Nós, internautas, fazemos parte da rede e precisamos ter consciência sobre a importância de segurança. Ela começa com pequenas atitudes que todos nós podemos tomar.

O primeiro passo é se informar. A melhor fonte é Cartilha de Segurança para a Internet, elaborada pelo Comitê Gestor da Internet (CGI) no Brasil e à disposição de todos os usuários.

Com a Cartilha você aprende a criar boas senhas – e o que são cookies, engenharia social, vulnerabilidade, códigos maliciosos, negação de serviço, criptografia e certificado digital. Além disso, ela esclarece sobre privacidade, fraudes, banda larga e redes sem fio; uso abusivo da rede e malwares (vírus, cavalos de tróia e companhia).

Veja os trechos em que Nelson falou sobre o sistema de segurança do PagSeguro:

No PagSeguro, por exemplo, a transmissão de todos os dados financeiros e o armazenamento seguro dos mesmos é essencial para a manutenção da confiança do usuário em nossos serviços. Contamos com tecnologia de encriptação e autenticação licenciadas para transmitir com segurança informações confidenciais, inclusive números de cartão de crédito, senha e outras informações privadas.

Para manter a informação do usuário segura, o PagSeguro utiliza alta tecnologia. Quando você envia um pagamento através do sistema, o vendedor não terá acesso a seus dados financeiros – como o número do seu cartão de crédito ou seus dados bancários. Além disso, temos o “Pagamento Seguro”, processo de custódia do pagamento que aumenta a segurança nas transações entre compradores e vendedores.

Claro que Nelson foi alvo de pergunta sobre invasões no sistema de todo o UOL. Vejam a resposta:

Nunca um hacker foi bem sucedido em obter qualquer informação confidencial nossa ou de terceiros por meio de nossos sistemas.

A equipe de segurança do UOL (e do PagSeguro) trabalha dia e noite para que nossos clientes e usuários estejam seguros – e livres para navegar. Distribuímos e oferecemos diversos produtos de segurança para nossos usuários e trabalhamos permanentemente para manter o UOL com o que há de mais avançado em relação à segurança de nossos serviços e usuários. O UOL possui diversas Ferramentas de Segurança que os usuários podem adquirir por meio da Central de Segurança UOL. Dentre esses produtos, além do software de Antivírus UOL, Firewall UOL e Proteção AntiFraude, temos o produto Desktop Mágico disponibilizado para Controle dos Pais. Uma exclusividade daqueles que utilizam o e-mail UOL é o AntiSpam UOL, a mais eficiente ferramenta contra as mensagens indesejadas, que em vez de bloquear os inúmeros remetentes de spam, funciona com lista de remetentes autorizados por cada assinante.

Além disso, caso você descubra alguma questão, use a página de denúncia para que possamos tomar as providências necessárias.

Atenção: A mensagem de ativação por e-mail para usuários PagSeguro é falsa

Fique atento: tem gente querendo pegar tua conta e senha, seja em bancos, no PagSeguro, em qualquer lugar. O esquema é o mesmo usado pelos espertinhos em todo o mundo: enviar um e-mail pedindo para clicar num link. Quem enviou o alerta à nossa equipe foi um de nossos clientes (Obrigada, Gelceu!)

Olhem só o e-mail que recebemos aqui, que teria sido enviado para usuários em geral:

Prezado Cliente,
Estamos enviando este e-mail seguro, para todos nossos clientes cadastrados em nosso banco de dados, para avisar sobre o (sic)ativamento de sua conta. Este ativamento trata-se de um método seguro para que sua conta permaneça em pleno funcionamento, este novo recurso não irá afetar em sua conta, apenas iremos notificar em nosso banco de dados que sua conta ainda esta sendo utilizada.
O motivo desse novo recurso de ativamento foi dado ao acumulo de muitas contas inutilizadas, causando sobrecarga em nosso banco de dados.

Mensalmente a partir desse e-mail, estaremos enviando este e-mail de ativamento. Caso não queira receber este e-mail, favor acessar o Menu Ativar conta.

Acesse aqui para Ativar sua conta.

PagSeguro Agradece sua (sic)compreenção..
Por uma questão de segurança, o PagSeguro não envia emails com Anexos. –

Correções básicas: O PagSeguro nunca envia e-mails com links para usuários cadastrados. Jamais solicitamos que você faça ativações desta forma. E buscamos usar o português de forma correta, erros de ortografia são indicadores de malfeitores.

Já falamos de phishing aqui no blog. E você tem que estar alerta. Empresas idôneas são as maiores vítimas dos malfeitores digitais, que se aproveitam da popularidade das marcas e serviços na hora de priorizar suas ações. Para fugir das arapucas, um guia rápido:

1. Preste atenção aos erros de português. Nossos e-mails não falam em “ativamento” (ativação é o correto) e jamais chegaram com erros ortográficos graves (sic: compreenção)
2. Nossos e-mails NUNCA têm links quando são enviados para usuários cadastrados. A regra geral para links é a seguinte: não clique. Apague.
3. Procure itens personalizados, como por exemplo seu nome no corpo do e-mail, pois isso caracteriza que a origem sabe quem você é. E-mails para  “Caro cliente” demonstram que o larápio não sabe com quem está falando, ele está “pescando” qualquer um que acreditar no conteúdo da mensagem.
4. Alerta máximo: Você nunca sabe se a extensão do arquivo é realmente o que parece ser. Mesmo sabendo que as extensões .exe, .bat, .scr são nocivas, o e-mail fajuto vai tentar te enganar tentando instalar pragas na sua máquina.

Sim, a Internet é legal, nos traz negócios e é um meio muito ágil. Entretanto, a segurança também depende dos usuários. Evite cliques e avalie cada e-mail em sua caixa com todo cuidado. Anexos também são suspeitos. Mais que isso: mantenha os antivírus e antispywares atualizados. Segurança é coisa séria.

Antes da Internet, as empresas ganhavam a confiança dos consumidores por meio de referências pessoais e indicadores off-line, como um aperto de mão, serviços excepcionais ou uma boa vitrine. No mundo digital, a confiança ainda é valiosa, mas para conquistá-la é preciso manter a segurança, com a criptografia e a validação do site.

Semana passada a Verisign divulgou a pesquisa que patrocinou, feita pela Sunovate, onde se descobre que a maioria dos consumidores chegam a dispensar descontos e promoções e gastar mais quando têm certeza que suas identidades – e dados – estão protegidos.

Feita com 919 americanos com mais de 18 anos de idade, que despendem no mínimo três horas por semana conectados fora do seu expediente a pesquisa mostra a conscientização dos consumidores em relação à segurança on-line e mede o interesse e a familiaridade dos consumidores sobre os serviços de autenticação no mercado atual, entre outros serviços. Embora a realidade brasileira não seja idêntica, a pesquisa revela uma tendência – já que a educação e uso da internet só faz crescer por aqui.

Está lá no release: “Os resultados da pesquisa revelam que 85% dos consumidores afirmaram que a confiança no site é o item mais importante ao interagirem com um site e compartilharem informações confidenciais. Apenas 9% dos consumidores afirmaram que os preços eram mais importantes e 5% afirmaram que a facilidade de uso era mais importante. Além disso, 93% dos entrevistados afirmaram que não fariam mais transações em um site que não se mostrasse seguro.”

A pesquisa revelou informações importantes sobre como os consumidores protegem suas identidades atualmente ao realizarem transações on-line:

- 86% utilizam um nome de usuário e uma senha simples para acessarem as contas.

- 62% procuram o ícone do cadeado na barra de endereços.

- 55% procuram uma logomarca ou um selo da empresa que forneça segurança na Internet.

- 52% procuram https:// na barra de endereços.

- 26% procuram uma barra de endereços no browser na cor verde.

Vale a pena cuidar dos dados dos clientes, manter sistemas atualizados e investir em segurança, sempre. E, claro, nossos parceiros e clientes contam com toda a infra-estrutura do PagSeguro.

Acabamos de implementar uma nova ferramenta no cadastro de vendedores: o upload de documentos. Com ela, o usuário poderá enviar imagens e outros documentos digitais para que a verificação da sua conta seja mais rápida e eficiente.

Experimentem e, por favor, contem como está a experiência. Mais uma ferramenta para que você enfrente menos burocracia e tenha mais lucros.

Saiu ontem o Relatório Cisco de crimes virtuais. Divulgado em San Jose, California, o balanço de 2008 da empresa identifica as principais ameaças de segurança do ano e oferece recomendações para proteger redes contra ataques que se espalham mais rapidamente e tornam-se cada vez mais difíceis de detectar, explorando vulnerabilidades tecnológicas e humanas.

“Este ano, as tendências revelam quão importante é observar todos os elementos básicos de políticas e tecnologias de segurança”, diz Ghassan Dreibi Jr, gerente de desenvolvimento de negócios da Cisco do Brasil. Dreibi Jr recomenda ajuste fino de controles de acesso e a correção de vulnerabilidades conhecidas para eliminar a capacidade de criminosos em explorar falhas nas infra-estruturas.
A solução é simples e sensível: atualizar o sistema operacional e os aplicativos (principalmente antivirus e firewall) tanto nos terminais como na rede. E cada vez mais investir em conscientização e informação para os funcionários.

As principais tendências do relatorio:

• O número geral de vulnerabilidades anunciadas cresceu em 11,5% em relação a 2007.
• Vulnerabilidades em tecnologia de virtualização quase triplicaram de 35 para 103.
• Os ataques estão se tornando cada vez mais mistos e direcionados, incluindo múltiplos vetores.
• Os pesquisadores da Cisco observaram um crescimento de 90% de ameaças com origem em domínios legítimos, quase o dobro do visto em 2007.
• O volume de malware disseminado com sucesso via anexos de e-mail está em queda. Ao longo dos últimos dois anos (2007-2008) o número de ataques baseados em anexos caiu em 50% em relação aos dois anos anteriores (2005-2006).

Ameaças na internet

• Spam: De acordo com a Cisco, Spam é responsável por quase 200 bilhões de mensagens por dia, aproximadamente 90% dos e-mails no mundo. Os Estados Unidos são a principal fonte com 17,2%. Outros países que contribuem para o Spam são Turquia (9,2%), Rússia (8%), Canadá (4,7%), Brasil (4,1%), Índia (3,5%), Polônia (3,4%), Coréia do Sul (3,3%), Alemanha e Reino Unido (2,9% cada).
• Phishing: pouco conhecido pelos usuários e muito usado pelos malfeitores, phishing é a tentativa de pescar dados e informações de terceiros. Segundo a Cisco, enquanto ‘spear-phishing’ direcionado representa aproximadamente 1% de todos os ataques de phishing, acredita-se que se tornará mais comum conforme criminosos personalizem Spam para tornar as mensagens mais críveis.
• Botnets: Botnets se tornaram um nicho de atividade criminosa na Internet. Este ano diversos websites legítimos foram infectados com Iframes, código nocivo injetado por botnets que redirecionam visitantes para sites que fazem download de malware.
• Engenharia social: O uso de engenharia social para induzir vítimas a abrir um arquivo ou clicar em links continua a crescer. A Cisco acredita que em 2009, técnicas de engenharia social aumentarão em número, vetores e sofisticação.
• Seqüestro de reputação: Mais criminosos on-line estão usando contas verdadeiras de e-mail em grandes provedores legítimos para enviar Spam. Esse ‘seqüestro de reputação’ amplia a capacidade de distribuição e torna mais difícil de detectar e bloquear o spam. A Cisco estima que, em 2008, o Spam resultante desta prática representou menos de 1% de todo o spam global, mas 7,6% do tráfego de e-mail dos fornecedores.

As previsões para 2009:
Em 2009, pesquisadores dessas equipes de segurança observarão de perto as seguintes tendências:

• Ameaças internas: Funcionários descontentes ou negligentes podem ameaçar a segurança corporativa. A crise econômica global pode levar a mais incidentes de segurança envolvendo funcionários, tornando crucial que TI, RH e outras áreas corporativas colaborem para reduzir as ameaças.
• Perda de dados: Quer seja por falta de cuidado, violação de hackers ou internamente, a perda de dados é um problema crescente que pode levar a graves conseqüências financeiras. Tecnologia, educação e políticas claras e bem aplicadas de segurança de dados podem tornar o cumprimento mais fácil e reduzir incidentes.
• Mobilidade, trabalho remoto e novas ferramentas como fatores de risco: A tendência relativa a trabalho remoto e ao uso relacionado de ferramentas baseadas em Web, dispositivos móveis, virtualização, computação “cloud” e tecnologias similares para aprimorar a produtividade continuará em 2009. Será um desafio para profissionais da segurança. Os limites da rede estão se ampliando rapidamente, e o número crescente de dispositivos e aplicativos em uso podem tornar a rede em expansão mais suscetível a novas ameaças.

Para evitar fraudes e o phishing, o PagSeguro não envia links e não usa o HTML nos e-mails de contato com seus usuários. Além disso, protegemos todas as transações com servidores criptografados e seguros. Fiquem atentos em suas empresas às atualizações dos sistemas e softwares e ao treinamento, para evitar invasões, vírus e perda de dados.

Nosso leitor Paulo Santana pediu mais informações sobre o Retorno Automático PagSeguro. Lá no Fórum do i-Masters, temos uma categoria só para ajudar os nossos clientes e parceiros.

Vamos transcrever aqui o tutorial:

A URL de retorno tem duas funções distintas. Uma é redirecionar o usuário após terminar a transação no PagSeguro para o site da loja, apenas redirecionando à página, sem nenhum dado de POST. A outra é enviar os dados da transação e alteração de status da transação via POST.

O POST é automático, enviado ao final da transação e quando ocorre alteração do status, ambos em background, abrindo uma nova sessão no seu web site. Não é possível a exibição imediata no seu web site dos dados do post (echo, print, Response.Write, etc).

Alguns desenvolvedores enfrentam situações em que não conseguem receber o POST. Seguem abaixo os principais motivos e dicas para resolução do problema:

- É necessário que o website e a URL de retorno estejam hospedados em um domínio válido.

- Não poderá ser uma aplicação local (você nunca conseguirá receber os dados em um ambiente local, como “localhost” por exemplo).

- O código de NPI (Notificação de Pagamento Instantâneo) não conseguirá ler valores de Sessions ou Cookies, porque assim que o PagSeguro envia o POST para o seu web site, é aberta uma nova sessão (conforme mencionado acima).

- Não há restrições de saída no PagSeguro, mas caso você não esteja recebendo nenhum dado do PagSeguro, verifique no seu firewall a liberação do IP de POST do NPI: 200.221.19.20 e IP de Redirecionamento simples: 200.221.19.4.

- Servidor configurado em uma porta da 80 (HTTP) ou 443 (HTTPS).

- Não é possível imprimir nenhum campo do post no momento do recebimento do mesmo (echo, print, Response.Write, etc).

- As informações deverão ser salvas em seu banco de dados, arquivo texto ou XML no momento do recebimento.

- A programação do retorno automático deve enviar de volta para o PagSeguro todos os campos recebidos no POST, mais o comando=validar e o token=”Seu Token”.

- Use o token de segurança para validação da transação.

- Retorne os dados para validação sem nenhuma conversão, exatamente da maneira como recebeu (verifique se a sua string está sendo enviada com Encode, por exemplo: “%20” ou o sinal de adição “+” substituindo o espaço, etc).

- É muito importante sempre colocar um debug em seu código, salvando o erro do debug no seu banco de dados para analisar onde e porque ocorreu o erro no momento do retorno.

- O script em nossa página é apenas ilustrativo, cada desenvolvedor altera de acordo com o próprio sistema.

- Observe todos esses itens, e se ainda você não conseguir receber o POST, entre em contato com nosso suporte técnico, clicando em Atendimento após logar em conta PagSeguro.

Bons negócios!

(e venha para o fórum, saber mais sobre o sistema do PagSeguro)

p.s. tem mais dicas no site da Visie:

Como funciona:http://visie.com.br/pagseguro/retorno-automatico.php