Acções do Documento
Tema 135 - ANO III - Nº 35 - 1997
Marcos Allemand,
Fernando José Travassos Vieira
Introdução
O que se pode dizer sobre comprar pela lnternet? Vários bens e serviços já estão disponíveis, na Web, aqui no Brasil. Apesar disso, o varejo verde-e-amarelo na lnternet deve ser visto com reservas: afinal a lnternet assemelha-se à compra por catálogos, venerada instituição norte-americana, mas que não faz parte da cultura brasileira. Este fato se agrava com a evidência de que o internauta - nos EUA e aqui - é, predominantemente, masculino: apenas 250@lo dos internautas brasileiros são mulheres, segundo a pesquisa cadê? - IBOPE. (Veja box a respeito). E a decisão sobre a compra, aqui e nos EUA, recai. preferencialmente, sobre as mulheres. Daí, podemos concluir que a estratégia de colocação de produtos para comercialização na lnternet deve levar em consideração os aspectos formais do público alvo dessa mídia, aspectos esses que vêm mudando muito rapidamente.
O artigo abaixo mostra o que vem sendo feito, no sentido de se empregar o investimento que foi utilizado na montagem dessa grande rede que é a lnternet, em proveito do comércio.
A Internet no Brasil
O cadê? é a segunda página brasileira mais visitada na lnternet. Em agosto último, o cadê? e o IBOPE realizaram uma pesquisa para que se conhecesse o perfil do usuário da lnternet, no Brasil. Alguns resultados dessa pesquisa são:
_ 19% dos internautas brasileiros já compraram pela rede:
_ 61% não compraram. mas comprariam:
_ 19% não comprariam por intermédio da lnternet.
Outra estatística aponta para a disposição ou não de pagar por serviços na rede. Os dados são os seguintes:
_ 51% estão dispostos a pagar por serviços;
_ 47% não estão dispostos.
Sobre cartão de crédito:
_ 72% possuem cartão;
_ 28% não possuem nenhum tipo de cartão
2. Comércio Eletrônico
O comércio tradicional sempre foi realizado de forma local, centrado (do ponto de vista geográfico), restrito por fronteiras físicas e. por isso mesmo, cercado de restrições legais. A globalização da economia teve reforço substancial com o emprego da tecnologia de informação. O novo tipo de comércio, apoiado pelo fax e pelas transações de cartões de crédito, passou a ser chamado de Comércio Eletrônico - CE. Assim, Comércio Eletrônico pode ser entendido, de uma forma simples, como a realização de transações comerciais, envolvendo qualquer meio eletrônico. Nesta definição, enquadram-se as transações realizadas por intermédio de operações nos caixas 24h, EDI - Electronic Data lnterchange, pagamentos eletrônicos e outras transações, nossas conhecidas. O EDI, do meio dos anos 80 para cá, foi a "vedete' da tecnologia business-to-business commerce, que é a tecnologia empregada nas transações comerciais entre pessoas jurídicas, enquanto que os pagamentos eletrônicos foram, até então, a forma mais empregada no business-to-consumer commerce, desde então.
As estimativas mais otimistas são que, no ano 2000. as modalidades que se encaixam no jargão CE vão movimentar cifras de até 100 bilhões de dólares.
3. Internet
A chegada da lnternet provocou a eliminação das extensões territoriais e expandiu os mercados. Num espaço reduzido de tempo e de maneira absolutamente sem precedentes na história, foram criadas e se popularizaram shoppings eletrônicos, meios específicos de pagamentos para a lnternet e toda uma infra-estrutura de apoio ao Comércio Eletrônico na Web. As mais conceituadas software-houses criam soluções para o comércio eletrônico, integrando EDI, fax e Web. O Gartner Group, conceituando o assunto, estabeleceu como sendo a área principal do CE as tecnologias EDI, e-mail e a própria lnternet. A tendência ao contrário do que se poderia supor, é que a lnternet complemento o EDI tornando-se mais um método de interconexão entre parceiros comerciais. Sem sombra de dúvidas a lnternet é a mídia do momento para a realização do comércio eletrônico.
Os norte-americanos trabalham com a perspectiva de que 7,5% de todas as compras (de mercadorias) venham a ser realizadas pela lnternet, na virada do século. AIBM anuncia investimentos da ordem de U$1 bilhão para a área.
Enfim, descobriu-se que a rede é um veículo muito eficiente para a realização de negócios a custos
reduzidos: está criada a expressão Comércio na lnternet.
Ainda sem saber ao certo o retorno obtenível, muita gente passa a investir em propaganda na Web. As máquinas de buscas são os alvos prediletos das agências de publicidade. Afinal, uma página como a Altavista é solicitada, literalmente, milhões de vezes por semana. Além do comércio, entram na lnternet os governos. pessoas físicas, instituições de pesquisa e as instituições mais tradicionais.
Para o Comércio na lnternet. as novidades se sucedem. Uma das mais atuais é o one-to-one commerce. As ferramentas que apóiam este conceito permitem a criação de sites que são dinamicamente construídos em função do perfil do internauta visitante. Para isto, o site mantém registros das preferências do consumidor - cookies, na linguagem da lnternet - que são levadas em consideração na criação da home-page que ele recebe.
A posição do governo norte-americano tem sido a de apoiar os esforços relacionados com automação. Os próprios órgãos do executivo se encarregam de dar os exemplos. As compras governamentais são executadas, por exemplo, desde o pedido de cotação até a ordem de pagamento, por meio de transações eletrônicas. O ponto de vista do governo sobre os investimentos futuros é que tudo o que foi até então investido em EDI deva ser conjugado com o emprego da Web.
No último mês de julho, o governo norte-americano expediu o esperado pronunciamento oficial sobre o assunto. No chamado framework, a Casa Branca anuncia uma postura de pouca interferência oficial e declara que as transações comerciais realizadas através da lnternet devem estar livres de impostos!
4. Problemas do CE
Se por um lado, as perspectivas para o crescimento do Comércio na lnternet são enormes, por outro, os problemas de um comércio inovador, abrangente e sem fronteiras começam, apenas, a aparecer. Alguns exemplos:
Aspectos legais
Legislação local: um produto tem consumo restrito num estado (ou num país) mas não em outro. Qual legislação deve ser aplicada? A d` local onde se adquire o produto ou do local onde o site se encontra? (São exemplos de assuntos que possuem diferentes enfoques regionais: a pornografia. a propaganda - sobretudo a de cigarros - bebidas, drogas e medicamentos, apenas para citar alguns).
Problemas com nomes de domínios: quem tem o direito ao "nome" vale.com, a Cia. Vale do Rio Doce ou o proprietário da sabonete Vale Quanto Pesa?
Cobrança
Como cobrar valores muito pequenos? Centavos, por exemplo? Os valores envolvidos numa transação por intermédio de cartões de crédito podem ter valores tão pequenos que as administradoras não queiram cobrá-los!
Como cobrar por produtos e serviços que devem ser fornecidos no instante em que se solicita (coisas relacionadas à propriedade intelectual. como por exemplo uma informação ou um "download')?
Autenticidade das partes
Como se assegura a autenticidade das transações realizadas? Como garantir quem foi, realmente. o emissor de uma dada ordem de compra? Como garantir que a ordem foi emitida, de fato. na data X?
Confiança
Redes foram feitas para compartilhar recursos e informações, bits de computadores foram feitos para serem copiados. Como Iidar com fraudes e falsificações em um mundo digital? No mundo real o comércio é estabelecido dentro de limitações que não existem no mundo digital, onde, apesar do enorme potencial para a fraude, tem disponível medidas tão efetivas que podem torná-lo confiável.
Uma vez resolvidas as questões de segurança, o próximo passo é estabelecer a credibilidade on-line e ter pelo menos questões básicas referentes ao pagamento e devolução de mercadorias respondidas.
Além dessas questões, os seguintes fatores também afetam o desenvolvimento da credibilidade dos sistemas de CE. anonimato. política de CE e privacidade.
5. Segurança
Adotar soluções de segurança para o CE não é mais uma opção e, requer uma visão precisa das necessidades e alternativas disponíveis. Conscientização dos usuários, servidores Web, browsers. Firewall, protocolos de segurança, autenticação. assinatura digital. entre outras. são medidas que devem trabalhar integradas para minimizar as brechas ou evitar que sejam exploradas.
Além das ameaças e vulnerabilidades associadas com o uso da lnternet. a condução do CE deve considerar os seguintes aspectos:
_ assegurar ao Cliente de que está tratando com a empresa legitima;
_ assegurar à empresa de que está tratando com o usuário legítimo;
_ estabelecer formas de pagamento adequadas;
_ permitir ao Cliente alterar o local de entrega da compra;
_ definir quais aspectos da transação devem ser privados e garantidos por Lei ou por solicitação do Cliente;
_ definir os fatores que protegem o mercado e o Cliente.
Surgiram então, protocolos para proteger o tráfego dos dados, soluções para o pagamento eletrônico.
soluções cara uso do cartão de crédito e servidores específicos para o comércio eletrônico.
Criptografia
A criptografia é um mecanismo de segurança que permite a implementação de diversos serviços (assinatura digital, autenticação, não-repúdio, integridade, confidencialidade). Pode ser definida como sendo o processo de modificação de uma mensagem de modo a ocultar o seu conteúdo. Geralmente essa modificação utiliza uma chave, da qual depende grande parte da segurança do processo. O número de bits de uma chave criptográfica é uma variável fundamental no sistema de segurança. Seu tamanho indica o nível de esforço necessário para realizar ataques para determinar a chave e conseqüentemente, acesso aos dados protegidos.
A criptografia pode ser classificada em duas categorias básicas, de acordo com o tipo de chave utilizada - sistema de chave simétrica (ou chave secreta), e que tem como principal padrão o DES (Data Encryption Standard), e sistema de chave assimétrica (ou chave pública), e que tem como principal padrão o RSA. O sistema criptográfico baseado em chave pública possui características que possibilitam a implementação de soluções para a autenticação e não-repúdio.
Certificado Digital
No sistema criptográfico de chave pública o usuário gera um par de chaves criptográficas. A chave secreta é mantida sob sigilo e apenas o próprio usuário a conhece e a chave pública é disponibilizada deforma ampla, para permitir que mensagens possam ser enviadas para o usuário.
Surge então uma questão fundamental: como ter a certeza de que quem está disponibilizando a chave pública é realmente quem diz ser? Para responder essa questão, uma alternativa que tem sido adotada a nível mundial é o uso de certificados digitais. O certificado digital pode ser entendido como sendo a identidade digital, ou seja, permite comprovar de forma digital a identidade do usuário.
O certificado é emitido por uma autoridade certificadora digital (Cerlificate Atjthority - CA), que pode ser uma empresa, organização ou indivíduo, público ou privado, que atua como tabelião para verificar e autenticar a identidade de usuários de um sistema criptográfico de chave pública.
O certificado é uma estrutura de dados, dentro da qual estão. no mínimo as seguintes informações : chave pública e nome do usuário. número de série do certificado, nome da CA que emitiu o certificado, assinatura digital da CA, assinada com sua respectiva chave secreta. Outras informações podem ser incluídas para atender aspectos específicos de uma aplicação ou empresa.
Assinatura digital
Conjunto de procedimentos matemáticos realizados com a utilização de técnicas de criptografia que permite, de forma única e exclusiva, a comprovação da autoria de um determinado conjunto de dados. A assinatura digital tem sido implementada basicamente de três formas: função hash por meio dos padrões MD5 e SHA (Secure Hash Algorithm - N IST), DSS - Digital Signature Standard e utilizando o conceito de chaves públicas com o padrão RSA.
Protocolos de segurança
A conexão TCP/IP entre a máquina servidora comercial e a estação do cliente é um ponto que merece atenção. Uma grande variedade de esquemas de criptografia e autenticação podem ser utilizados para proteger os dados em trânsito, contra alterações ou exposições indevidas.
SSL (Secure Socket Layer) Protocolo baseado em chave pública para proteger os dados transmitidos por meio dos protocolos aplicativos HTTP, FTP, Telnet, NNTP e TCP/IP. É um protocolo aberto que tem como objetivos criptografar os dados durante o tráfego, autenticar servidores web, assegurar integridade de mensagens e autenticar Clientes (browsers) durante uma conexão TCP/IP. O SSL é o protocolo mais utilizado para proteger a comunicação.
S-HTTP (Secure HiperText Transfer Protocol) Protocolo desenvolvido para proteger os dados transmitidos via HTTP. A maior diferença entre o SSL e o S-HTTP é que o S-HTTP é específico para o HTTP, enquanto o SSL garante a segurança de outros protocolos de aplicação.
PCT (Private Communications Technology) Protocolo desenvolvido pela Microsoft. que faz parte da arquitetura de segurança (Microsoft Internei Security Framework) desenvolvida com base em APls criptográficas (CryptoAPI).
Pagamentos eletrônicos
A troca de dinheiro por mercadorias e serviços sem a necessidade de um encontro físico poderia ser considerado impossível há alguns anos atrás. No entanto, várias empresas investiram tempo e dinheiro para desenvolver uma série de tecnologias que permitem implementar o dinheiro eletrônico.
Dinheiro eletrônico
Dinheiro eletrônico ou dinheiro digital, pode ser considerado como se fosse uma moeda estrangeira, uma vez que para utiliza é preciso convertê-la de dinheiro real (moeda corrente) para dinheiro digital, antes de usá-la.
First Virtual - solução adequada para a venda de informações e software. O usuário se inscreve via telefone quando tem que informar o número do seu cartão de crédito e outras informações pessoais. O First Virtual fornece um número de conta, a qual é utilizada nas compras. Antes de autorizar o desconto relativo a uma compra o FV entra em contato com o usuário via e-mail para confirmar.
Maiores informações na URL : http://www.fv.com
Digicash- o usuário paga ao banco uma quantia de dinheiro adiantada e recebe o equivalente em dinheiro digital, por meio do e-mail. Ao fazer as compras, as quantias são deduzidos via e-mail, dos fundos disponíveis no banco.
Maiores informações na URL: http://www.digicash.com
Cybercash- pode ser utiIizado como um cartão de crédito e como cartaão de débito. O número do cartão de crédito é critptografado, sendo de @ conhecimento do comprador e dá Cybercash. Em situações de disputa o comerciante pode ter acesso ao número.
Maiores informações na URL: http://www.cyberscash.com
Tokens - são normalmente utilizados para pequenos valores, conhecidos como micropagamentos
(micropayments), adequado para o uso de telefone público e sistema de transporte arábico. O cliente pré paga tokens, que são aceitos em transações eletrônicas. Podem ser cartões de memória ou um pequeno hardware, conhecido com carteira eletrônica.
Cartão de crédito
O envio do número de um cartão de crédito e respectiva data de expirarão por meio do browser, ainda que criptografados, não considera alguns aspectos fundamentais para o comércio. Por esse motivo tornou-se necessário o desenvolvimento de padrões específicos. O protocolo mais conhecido é o SET (Secure Electronic Transactions).
O SET é um protocolo especificado para assegurar o pagamento na lnternet utilizando cartão de crédito e foi definido em conjunto por cinco grandes empresas -. Visa, MasterCard, Netscape, Microsoft e IBM. O protocolo reproduz a estrutura atual utilizada para uso de cartões de crédito, substituindo telefonemas e processamento via papel por autorizações assinadas digitalmente.
Os seguintes aspectos foram considerados na elaboração do SET: prover informações financeiras confidenciais e manter o sigilo da transmissão; garantir a integridade das transações; prover identidade aos Clientes e autenticação de contas; prover autenticação de transações para que vendedores possam aceitar várias formas de transações (p.ex., pagamentos à prestação. dinheiro digital, transações entre agências etc); e, assegurar a utilização de um sistema seguro para proteção do cliente.
Pontos extremos
Os pontos extremos do processo (máquina servidora comercial e estação do Cliente) também devem ser protegidos. Geralmente a máquina servidora está protegida por um Firewall ou outro tipo de proteção (segmento de rede isolado, controle de acesso baseado em endereços IP ou baseado na identificação e senha do usuário).
Se estiver diretamente disponível na lnternet, deve adotar medidas de segurança especificas para assegurar o acesso apenas aos usuários autorizados e garantir a integridade, confidencialidade e disponibilidade dos arquivos. Essas medidas consistem em ativar os mecanismos de segurança nativos do sistema operacional, restringir o uso de serviços vulneráveis, adotar medidas de recuperação e procedimentos de monitoração, usuário final, que permitem estabelecer comunicação protegida com servidor.
O Servidor comercial (merchant server) é um software que processa as compras eletrônicas ao mesmo tempo que mantém as transações seguras. As soluções de segurança concentram-se basicamente nos padrões SET, SSL e X.509. Além das questões de segurança. os seguintes aspectos devem ser considerados nos servidores comerciais: forma de acesso à base, disponibilidade de serviço de diretório e ferramentas para análise.
6. Conclusão
No Serpro, alguns desses conceitos estão sendo traduzidos de forma prática. principalmente por meio de duas ações.
A primeira delas diz respeito a uma aplicação que está sendo desenvolvida pela SUNCI - Superintendência de Negócios Comercialização de Informações, para substituir a plataforma tecnológica do serviço Aruanda e pretende utilizar a solução padronizada e segura para pagamento por meio de cartão de crédito, estabelecido pelo SET no Brasil, como parte dos testes em todo o mundo, que serão realizados simultaneamente.
A segunda ação diz respeito à certificarão digital. A Unidade Corporativa(UC), por meio do Processo Corporativo Segurança do Negócio e a SUPRE - Superintendência de Rede estão desenvolvendo um projeto piloto para o emprego da certificarão digital no Serpro em conjunto com a Certisign, que é uma empresa certificadora brasileira.
A experiência advinda dessas duas ações permitirá ao Serpro posicionar-se sobre o uso da lnternet, para a disseminação comercial de informações. caminho que vem sendo seguido por várias empresas, no Brasil e no exterior. O comércio eletrônico na lnternet traz inúmeras vantagens e vai possibilitar novas oportunidades de negócios, que certamente ainda nem foram vislumbradas. Adotar soluções de segurança de forma adequada permite garantir segurança a preços compatíveis, mas será apenas um dos passos necessários na direção do estabelecimento do ecossistema do CE.
Bibliografia
Lynch, D.. Lundquist, L., Dinheiro Digital - o comércio na lnternet, Editora Campus, 1996.
Bernstein, T., Bhimani, A., Segurança na lnternet, Editora Campus, 1997.
Datapro - Worldwide IT Analyst, Commercial Security on the lnternet - 0107GOV, January/97
Datapro - Worldwide IT Analyst, Secure lnternet Commerce -7919GOV,July/97
Gartner Group - lnside Gartner Group - Electronic Commerce Using Web Servers: A Checklist -
IGG-081496-01. August/97
Gartner Group - lnformation Security Strategies - Electronic Commerce, Electronic Signatures and the Law -
TV-000-034, February/96 Gartner Group - lnformation Security Strategies - Degrees of lnternet
Commerce, - TU-EC-1 32, April/97
Gartner Group - Electronic Commerce Strategies - Planning for Electronic Signatures in Electronic Commerce
- SPA-251-1036, March/'96 Informações extraídas da página Web da Certisign - Certificadora Digital Ltda.
(www.certisign.com.br)
Telecommunications - Electronic Commerce : The New Global Marketplace, January/97
lnternet - 10 Tools for Secure E-Commerce, July/97
Data Communications - Doing Business on the Web - May/97
Sobre os Autores do Trabalho
Marcos Allemand - Engenheiro Eletricista, formado pela Universidade de Brasília - UnB. Ingressou no Serpro em 1986. como Analista de informática.
Trabalha, atualmente, na Unidade de Gestão, como Coordenador do Processo Corporativo de Segurança do Negócio.
Fernando José Travassos Vieira - Engenheiro de Produção, formado pela Escola de Engenharia da UFRJ. Trabalha no Serpro há 19 anos, como Analista da Divisão de Engenharia de Produção.
Atualmente, trabalha na SUNCI, como Chefe do projeto Tecnologia e Assistência Técnica.
Fernando José Travassos Vieira
Introdução
O que se pode dizer sobre comprar pela lnternet? Vários bens e serviços já estão disponíveis, na Web, aqui no Brasil. Apesar disso, o varejo verde-e-amarelo na lnternet deve ser visto com reservas: afinal a lnternet assemelha-se à compra por catálogos, venerada instituição norte-americana, mas que não faz parte da cultura brasileira. Este fato se agrava com a evidência de que o internauta - nos EUA e aqui - é, predominantemente, masculino: apenas 250@lo dos internautas brasileiros são mulheres, segundo a pesquisa cadê? - IBOPE. (Veja box a respeito). E a decisão sobre a compra, aqui e nos EUA, recai. preferencialmente, sobre as mulheres. Daí, podemos concluir que a estratégia de colocação de produtos para comercialização na lnternet deve levar em consideração os aspectos formais do público alvo dessa mídia, aspectos esses que vêm mudando muito rapidamente.
O artigo abaixo mostra o que vem sendo feito, no sentido de se empregar o investimento que foi utilizado na montagem dessa grande rede que é a lnternet, em proveito do comércio.
A Internet no Brasil
O cadê? é a segunda página brasileira mais visitada na lnternet. Em agosto último, o cadê? e o IBOPE realizaram uma pesquisa para que se conhecesse o perfil do usuário da lnternet, no Brasil. Alguns resultados dessa pesquisa são:
_ 19% dos internautas brasileiros já compraram pela rede:
_ 61% não compraram. mas comprariam:
_ 19% não comprariam por intermédio da lnternet.
Outra estatística aponta para a disposição ou não de pagar por serviços na rede. Os dados são os seguintes:
_ 51% estão dispostos a pagar por serviços;
_ 47% não estão dispostos.
Sobre cartão de crédito:
_ 72% possuem cartão;
_ 28% não possuem nenhum tipo de cartão
2. Comércio Eletrônico
O comércio tradicional sempre foi realizado de forma local, centrado (do ponto de vista geográfico), restrito por fronteiras físicas e. por isso mesmo, cercado de restrições legais. A globalização da economia teve reforço substancial com o emprego da tecnologia de informação. O novo tipo de comércio, apoiado pelo fax e pelas transações de cartões de crédito, passou a ser chamado de Comércio Eletrônico - CE. Assim, Comércio Eletrônico pode ser entendido, de uma forma simples, como a realização de transações comerciais, envolvendo qualquer meio eletrônico. Nesta definição, enquadram-se as transações realizadas por intermédio de operações nos caixas 24h, EDI - Electronic Data lnterchange, pagamentos eletrônicos e outras transações, nossas conhecidas. O EDI, do meio dos anos 80 para cá, foi a "vedete' da tecnologia business-to-business commerce, que é a tecnologia empregada nas transações comerciais entre pessoas jurídicas, enquanto que os pagamentos eletrônicos foram, até então, a forma mais empregada no business-to-consumer commerce, desde então.
As estimativas mais otimistas são que, no ano 2000. as modalidades que se encaixam no jargão CE vão movimentar cifras de até 100 bilhões de dólares.
3. Internet
A chegada da lnternet provocou a eliminação das extensões territoriais e expandiu os mercados. Num espaço reduzido de tempo e de maneira absolutamente sem precedentes na história, foram criadas e se popularizaram shoppings eletrônicos, meios específicos de pagamentos para a lnternet e toda uma infra-estrutura de apoio ao Comércio Eletrônico na Web. As mais conceituadas software-houses criam soluções para o comércio eletrônico, integrando EDI, fax e Web. O Gartner Group, conceituando o assunto, estabeleceu como sendo a área principal do CE as tecnologias EDI, e-mail e a própria lnternet. A tendência ao contrário do que se poderia supor, é que a lnternet complemento o EDI tornando-se mais um método de interconexão entre parceiros comerciais. Sem sombra de dúvidas a lnternet é a mídia do momento para a realização do comércio eletrônico.
Os norte-americanos trabalham com a perspectiva de que 7,5% de todas as compras (de mercadorias) venham a ser realizadas pela lnternet, na virada do século. AIBM anuncia investimentos da ordem de U$1 bilhão para a área.
Enfim, descobriu-se que a rede é um veículo muito eficiente para a realização de negócios a custos
reduzidos: está criada a expressão Comércio na lnternet.
Ainda sem saber ao certo o retorno obtenível, muita gente passa a investir em propaganda na Web. As máquinas de buscas são os alvos prediletos das agências de publicidade. Afinal, uma página como a Altavista é solicitada, literalmente, milhões de vezes por semana. Além do comércio, entram na lnternet os governos. pessoas físicas, instituições de pesquisa e as instituições mais tradicionais.
Para o Comércio na lnternet. as novidades se sucedem. Uma das mais atuais é o one-to-one commerce. As ferramentas que apóiam este conceito permitem a criação de sites que são dinamicamente construídos em função do perfil do internauta visitante. Para isto, o site mantém registros das preferências do consumidor - cookies, na linguagem da lnternet - que são levadas em consideração na criação da home-page que ele recebe.
A posição do governo norte-americano tem sido a de apoiar os esforços relacionados com automação. Os próprios órgãos do executivo se encarregam de dar os exemplos. As compras governamentais são executadas, por exemplo, desde o pedido de cotação até a ordem de pagamento, por meio de transações eletrônicas. O ponto de vista do governo sobre os investimentos futuros é que tudo o que foi até então investido em EDI deva ser conjugado com o emprego da Web.
No último mês de julho, o governo norte-americano expediu o esperado pronunciamento oficial sobre o assunto. No chamado framework, a Casa Branca anuncia uma postura de pouca interferência oficial e declara que as transações comerciais realizadas através da lnternet devem estar livres de impostos!
4. Problemas do CE
Se por um lado, as perspectivas para o crescimento do Comércio na lnternet são enormes, por outro, os problemas de um comércio inovador, abrangente e sem fronteiras começam, apenas, a aparecer. Alguns exemplos:
Aspectos legais
Legislação local: um produto tem consumo restrito num estado (ou num país) mas não em outro. Qual legislação deve ser aplicada? A d` local onde se adquire o produto ou do local onde o site se encontra? (São exemplos de assuntos que possuem diferentes enfoques regionais: a pornografia. a propaganda - sobretudo a de cigarros - bebidas, drogas e medicamentos, apenas para citar alguns).
Problemas com nomes de domínios: quem tem o direito ao "nome" vale.com, a Cia. Vale do Rio Doce ou o proprietário da sabonete Vale Quanto Pesa?
Cobrança
Como cobrar valores muito pequenos? Centavos, por exemplo? Os valores envolvidos numa transação por intermédio de cartões de crédito podem ter valores tão pequenos que as administradoras não queiram cobrá-los!
Como cobrar por produtos e serviços que devem ser fornecidos no instante em que se solicita (coisas relacionadas à propriedade intelectual. como por exemplo uma informação ou um "download')?
Autenticidade das partes
Como se assegura a autenticidade das transações realizadas? Como garantir quem foi, realmente. o emissor de uma dada ordem de compra? Como garantir que a ordem foi emitida, de fato. na data X?
Confiança
Redes foram feitas para compartilhar recursos e informações, bits de computadores foram feitos para serem copiados. Como Iidar com fraudes e falsificações em um mundo digital? No mundo real o comércio é estabelecido dentro de limitações que não existem no mundo digital, onde, apesar do enorme potencial para a fraude, tem disponível medidas tão efetivas que podem torná-lo confiável.
Uma vez resolvidas as questões de segurança, o próximo passo é estabelecer a credibilidade on-line e ter pelo menos questões básicas referentes ao pagamento e devolução de mercadorias respondidas.
Além dessas questões, os seguintes fatores também afetam o desenvolvimento da credibilidade dos sistemas de CE. anonimato. política de CE e privacidade.
5. Segurança
Adotar soluções de segurança para o CE não é mais uma opção e, requer uma visão precisa das necessidades e alternativas disponíveis. Conscientização dos usuários, servidores Web, browsers. Firewall, protocolos de segurança, autenticação. assinatura digital. entre outras. são medidas que devem trabalhar integradas para minimizar as brechas ou evitar que sejam exploradas.
Além das ameaças e vulnerabilidades associadas com o uso da lnternet. a condução do CE deve considerar os seguintes aspectos:
_ assegurar ao Cliente de que está tratando com a empresa legitima;
_ assegurar à empresa de que está tratando com o usuário legítimo;
_ estabelecer formas de pagamento adequadas;
_ permitir ao Cliente alterar o local de entrega da compra;
_ definir quais aspectos da transação devem ser privados e garantidos por Lei ou por solicitação do Cliente;
_ definir os fatores que protegem o mercado e o Cliente.
Surgiram então, protocolos para proteger o tráfego dos dados, soluções para o pagamento eletrônico.
soluções cara uso do cartão de crédito e servidores específicos para o comércio eletrônico.
Criptografia
A criptografia é um mecanismo de segurança que permite a implementação de diversos serviços (assinatura digital, autenticação, não-repúdio, integridade, confidencialidade). Pode ser definida como sendo o processo de modificação de uma mensagem de modo a ocultar o seu conteúdo. Geralmente essa modificação utiliza uma chave, da qual depende grande parte da segurança do processo. O número de bits de uma chave criptográfica é uma variável fundamental no sistema de segurança. Seu tamanho indica o nível de esforço necessário para realizar ataques para determinar a chave e conseqüentemente, acesso aos dados protegidos.
A criptografia pode ser classificada em duas categorias básicas, de acordo com o tipo de chave utilizada - sistema de chave simétrica (ou chave secreta), e que tem como principal padrão o DES (Data Encryption Standard), e sistema de chave assimétrica (ou chave pública), e que tem como principal padrão o RSA. O sistema criptográfico baseado em chave pública possui características que possibilitam a implementação de soluções para a autenticação e não-repúdio.
Certificado Digital
No sistema criptográfico de chave pública o usuário gera um par de chaves criptográficas. A chave secreta é mantida sob sigilo e apenas o próprio usuário a conhece e a chave pública é disponibilizada deforma ampla, para permitir que mensagens possam ser enviadas para o usuário.
Surge então uma questão fundamental: como ter a certeza de que quem está disponibilizando a chave pública é realmente quem diz ser? Para responder essa questão, uma alternativa que tem sido adotada a nível mundial é o uso de certificados digitais. O certificado digital pode ser entendido como sendo a identidade digital, ou seja, permite comprovar de forma digital a identidade do usuário.
O certificado é emitido por uma autoridade certificadora digital (Cerlificate Atjthority - CA), que pode ser uma empresa, organização ou indivíduo, público ou privado, que atua como tabelião para verificar e autenticar a identidade de usuários de um sistema criptográfico de chave pública.
O certificado é uma estrutura de dados, dentro da qual estão. no mínimo as seguintes informações : chave pública e nome do usuário. número de série do certificado, nome da CA que emitiu o certificado, assinatura digital da CA, assinada com sua respectiva chave secreta. Outras informações podem ser incluídas para atender aspectos específicos de uma aplicação ou empresa.
Assinatura digital
Conjunto de procedimentos matemáticos realizados com a utilização de técnicas de criptografia que permite, de forma única e exclusiva, a comprovação da autoria de um determinado conjunto de dados. A assinatura digital tem sido implementada basicamente de três formas: função hash por meio dos padrões MD5 e SHA (Secure Hash Algorithm - N IST), DSS - Digital Signature Standard e utilizando o conceito de chaves públicas com o padrão RSA.
Protocolos de segurança
A conexão TCP/IP entre a máquina servidora comercial e a estação do cliente é um ponto que merece atenção. Uma grande variedade de esquemas de criptografia e autenticação podem ser utilizados para proteger os dados em trânsito, contra alterações ou exposições indevidas.
SSL (Secure Socket Layer) Protocolo baseado em chave pública para proteger os dados transmitidos por meio dos protocolos aplicativos HTTP, FTP, Telnet, NNTP e TCP/IP. É um protocolo aberto que tem como objetivos criptografar os dados durante o tráfego, autenticar servidores web, assegurar integridade de mensagens e autenticar Clientes (browsers) durante uma conexão TCP/IP. O SSL é o protocolo mais utilizado para proteger a comunicação.
S-HTTP (Secure HiperText Transfer Protocol) Protocolo desenvolvido para proteger os dados transmitidos via HTTP. A maior diferença entre o SSL e o S-HTTP é que o S-HTTP é específico para o HTTP, enquanto o SSL garante a segurança de outros protocolos de aplicação.
PCT (Private Communications Technology) Protocolo desenvolvido pela Microsoft. que faz parte da arquitetura de segurança (Microsoft Internei Security Framework) desenvolvida com base em APls criptográficas (CryptoAPI).
Pagamentos eletrônicos
A troca de dinheiro por mercadorias e serviços sem a necessidade de um encontro físico poderia ser considerado impossível há alguns anos atrás. No entanto, várias empresas investiram tempo e dinheiro para desenvolver uma série de tecnologias que permitem implementar o dinheiro eletrônico.
Dinheiro eletrônico
Dinheiro eletrônico ou dinheiro digital, pode ser considerado como se fosse uma moeda estrangeira, uma vez que para utiliza é preciso convertê-la de dinheiro real (moeda corrente) para dinheiro digital, antes de usá-la.
First Virtual - solução adequada para a venda de informações e software. O usuário se inscreve via telefone quando tem que informar o número do seu cartão de crédito e outras informações pessoais. O First Virtual fornece um número de conta, a qual é utilizada nas compras. Antes de autorizar o desconto relativo a uma compra o FV entra em contato com o usuário via e-mail para confirmar.
Maiores informações na URL : http://www.fv.com
Digicash- o usuário paga ao banco uma quantia de dinheiro adiantada e recebe o equivalente em dinheiro digital, por meio do e-mail. Ao fazer as compras, as quantias são deduzidos via e-mail, dos fundos disponíveis no banco.
Maiores informações na URL: http://www.digicash.com
Cybercash- pode ser utiIizado como um cartão de crédito e como cartaão de débito. O número do cartão de crédito é critptografado, sendo de @ conhecimento do comprador e dá Cybercash. Em situações de disputa o comerciante pode ter acesso ao número.
Maiores informações na URL: http://www.cyberscash.com
Tokens - são normalmente utilizados para pequenos valores, conhecidos como micropagamentos
(micropayments), adequado para o uso de telefone público e sistema de transporte arábico. O cliente pré paga tokens, que são aceitos em transações eletrônicas. Podem ser cartões de memória ou um pequeno hardware, conhecido com carteira eletrônica.
Cartão de crédito
O envio do número de um cartão de crédito e respectiva data de expirarão por meio do browser, ainda que criptografados, não considera alguns aspectos fundamentais para o comércio. Por esse motivo tornou-se necessário o desenvolvimento de padrões específicos. O protocolo mais conhecido é o SET (Secure Electronic Transactions).
O SET é um protocolo especificado para assegurar o pagamento na lnternet utilizando cartão de crédito e foi definido em conjunto por cinco grandes empresas -. Visa, MasterCard, Netscape, Microsoft e IBM. O protocolo reproduz a estrutura atual utilizada para uso de cartões de crédito, substituindo telefonemas e processamento via papel por autorizações assinadas digitalmente.
Os seguintes aspectos foram considerados na elaboração do SET: prover informações financeiras confidenciais e manter o sigilo da transmissão; garantir a integridade das transações; prover identidade aos Clientes e autenticação de contas; prover autenticação de transações para que vendedores possam aceitar várias formas de transações (p.ex., pagamentos à prestação. dinheiro digital, transações entre agências etc); e, assegurar a utilização de um sistema seguro para proteção do cliente.
Pontos extremos
Os pontos extremos do processo (máquina servidora comercial e estação do Cliente) também devem ser protegidos. Geralmente a máquina servidora está protegida por um Firewall ou outro tipo de proteção (segmento de rede isolado, controle de acesso baseado em endereços IP ou baseado na identificação e senha do usuário).
Se estiver diretamente disponível na lnternet, deve adotar medidas de segurança especificas para assegurar o acesso apenas aos usuários autorizados e garantir a integridade, confidencialidade e disponibilidade dos arquivos. Essas medidas consistem em ativar os mecanismos de segurança nativos do sistema operacional, restringir o uso de serviços vulneráveis, adotar medidas de recuperação e procedimentos de monitoração, usuário final, que permitem estabelecer comunicação protegida com servidor.
O Servidor comercial (merchant server) é um software que processa as compras eletrônicas ao mesmo tempo que mantém as transações seguras. As soluções de segurança concentram-se basicamente nos padrões SET, SSL e X.509. Além das questões de segurança. os seguintes aspectos devem ser considerados nos servidores comerciais: forma de acesso à base, disponibilidade de serviço de diretório e ferramentas para análise.
6. Conclusão
No Serpro, alguns desses conceitos estão sendo traduzidos de forma prática. principalmente por meio de duas ações.
A primeira delas diz respeito a uma aplicação que está sendo desenvolvida pela SUNCI - Superintendência de Negócios Comercialização de Informações, para substituir a plataforma tecnológica do serviço Aruanda e pretende utilizar a solução padronizada e segura para pagamento por meio de cartão de crédito, estabelecido pelo SET no Brasil, como parte dos testes em todo o mundo, que serão realizados simultaneamente.
A segunda ação diz respeito à certificarão digital. A Unidade Corporativa(UC), por meio do Processo Corporativo Segurança do Negócio e a SUPRE - Superintendência de Rede estão desenvolvendo um projeto piloto para o emprego da certificarão digital no Serpro em conjunto com a Certisign, que é uma empresa certificadora brasileira.
A experiência advinda dessas duas ações permitirá ao Serpro posicionar-se sobre o uso da lnternet, para a disseminação comercial de informações. caminho que vem sendo seguido por várias empresas, no Brasil e no exterior. O comércio eletrônico na lnternet traz inúmeras vantagens e vai possibilitar novas oportunidades de negócios, que certamente ainda nem foram vislumbradas. Adotar soluções de segurança de forma adequada permite garantir segurança a preços compatíveis, mas será apenas um dos passos necessários na direção do estabelecimento do ecossistema do CE.
Bibliografia
Lynch, D.. Lundquist, L., Dinheiro Digital - o comércio na lnternet, Editora Campus, 1996.
Bernstein, T., Bhimani, A., Segurança na lnternet, Editora Campus, 1997.
Datapro - Worldwide IT Analyst, Commercial Security on the lnternet - 0107GOV, January/97
Datapro - Worldwide IT Analyst, Secure lnternet Commerce -7919GOV,July/97
Gartner Group - lnside Gartner Group - Electronic Commerce Using Web Servers: A Checklist -
IGG-081496-01. August/97
Gartner Group - lnformation Security Strategies - Electronic Commerce, Electronic Signatures and the Law -
TV-000-034, February/96 Gartner Group - lnformation Security Strategies - Degrees of lnternet
Commerce, - TU-EC-1 32, April/97
Gartner Group - Electronic Commerce Strategies - Planning for Electronic Signatures in Electronic Commerce
- SPA-251-1036, March/'96 Informações extraídas da página Web da Certisign - Certificadora Digital Ltda.
(www.certisign.com.br)
Telecommunications - Electronic Commerce : The New Global Marketplace, January/97
lnternet - 10 Tools for Secure E-Commerce, July/97
Data Communications - Doing Business on the Web - May/97
Sobre os Autores do Trabalho
Marcos Allemand - Engenheiro Eletricista, formado pela Universidade de Brasília - UnB. Ingressou no Serpro em 1986. como Analista de informática.
Trabalha, atualmente, na Unidade de Gestão, como Coordenador do Processo Corporativo de Segurança do Negócio.
Fernando José Travassos Vieira - Engenheiro de Produção, formado pela Escola de Engenharia da UFRJ. Trabalha no Serpro há 19 anos, como Analista da Divisão de Engenharia de Produção.
Atualmente, trabalha na SUNCI, como Chefe do projeto Tecnologia e Assistência Técnica.
