UNIVERSIDADE NOVE DE JULHO

HEIDSON ARAJO SANTOS

TRANSFERNCIA ELETRNICA DE FUNDOS EM CLOUD COMPUTING

SO PAULPO SP 2012

UNIVERSIDADE NOVE DE JULHO

HEIDSON ARAJO SANTOS

TRANSFERNCIA ELETRNICA DE FUNDOS EM CLOUD COMPUTING

Projeto de Pesquisa apresentado ao Curso de Bacharelado em Sistema de Informao da Universidade Nove de Julho como requisito parcial para obteno do grau de Bacharel em Sistemas de Informao.

Linha de Pesquisa: Transferncia Eletrnica de Fundos em Cloud Computing. Orientadora: Prof. Floriano.

SO PAULPO SP 2012

No viva de iluses, nem viva exclusivamente de emoes, pois tudo isso acaba e quase sempre nos deixa o gosto amargo em nossos coraes. Valorize quem sempre est ao seu lado, independentemente da situao, valorize a razo, pois ela a responsvel por nos mostrar o perigo e nos fazer acertar na maioria de nossas escolhas.

AGRADECIMENTOS

minha esposa Francine, que est comigo por todos esses anos remando muitas vezes por mars inversas e que muitas vezes ameaou a virar o barco de nossas vidas. meu filho maravilhoso Gusthavo Henrick, que sem dvidas a minha inspirao, nele eu descobri o amor sublime que um ser humano pode sentir por outro. Aos meus pais, que ainda que nunca tivessem condies financeiras, sempre me apoiaram e com a educao que me deram sou o homem que sou. Gostaria de abrir um parntese aqui neste momento para dedicar uma homenagem especial ao meu Pai Gilmar, que infelizmente faleceu no decorrer deste projeto de TCC e que nos ltimos tempos estava passando por uma situao muito difcil em lutar contra o vcio do alcoolismo, tenho certeza de que ele estava muito orgulhoso de mim. No posso deixar de agradecer a minha Av Vanda, que nos momentos mais delicados da minha vida sempre esteve comigo. A minha tia Edeildes, que fez parte de boa parte da minha vida me ajudando muito mesmo. Aos meus amigos Vando, e principalmente Wellington, que me acompanha nesta jornada h tantos anos, aguentando meu mau humor muitas vezes e que sempre esteve ao meu lado nos momentos mais difceis da minha vida. todos os professores que foram to importantes at este momento, agradeo a cada um indistintamente. Ao meu gerente da Empresa Auttar Hut Processamento de Dados que sempre me deu a maior fora e incentivo at o trmino deste curso.

RESUMO

Esta pesquisa tem como finalidade mostrar as possibilidades de se implantar um sistema de TEF (Transferncia Eletrnica de Fundos) dentro de uma arquitetura de Cloud Computing (Computao em Nuvens). Como um dos maiores desafios, alm de falar de todos os requisitos que so necessrios para a implantao de um sistema robusto como este, vamos tentar mostrar uma alternativa para combater o maior desafio de Empresas e profissionais de T.I que sem dvidas o fator segurana. Como garantir a segurana dos dados de todas as transaes eletrnicas dos diversos estabelecimentos comerciais que fazem parte deste sistema, e principalmente dos milhares clientes que tem seus dados de cartes de Crdito e dbito sensveis dentro desta grande infraestrutura. Mostrar que esta segurana vai muito alm do que to somente usar Softwares como VPN e tcnicas de Criptografias, mas acima de tudo de tudo, mtodos e uma poltica eficiente de segurana de todos os envolvidos no projeto. Hoje, vemos diversas grandes empresas que j esto implantando boa parte de seus projetos em Nuvem, algo que mostra como esta nova tecnologia ir mudar completamente o conceito que possumos atualmente em infraestrutura no Brasil e no mundo. Neste dia 20 de Fevereiro de 2013, acabo de ler uma notcia no Globo.com de que a Sony ir implantar um sistema que ser possvel rodar os jogos de Playstation 3 em seu mais novo projeto o Playstation 4 (Ainda sem nome definido), porm isso so ser possvel por intermdio de uma arquitetura em Nuvem. http://www.techtudo.com.br/jogos/noticia/2013/02/conheca-osprincipais-rumores-do-playstation-4.html Isso sem dvidas mostra que este projeto muito importante no sentido de j se pensar neste novo conceito, num ramo de atividade que so as transaes eletrnicas, que movimentam bilhes de reais anuais no Brasil e sem falar no mundo. Palavras chaves TEF. Computao em nuvens. Segurana da Informao.

Sumrio
1. 2. 3. INTRODUO .................................................................................................... 1 DEFINIO DO PROBLEMA .......................................................................... 3 OBJETIVOS ........................................................................................................ 4 3.1 3.2 4. 4.1 4.2 4.3 4.4 4.5 4.6 5. 5.1 5.2 5.3 5.4 6. 6.1 6.2 6.3 6.4 6.5 6.6 6.7 OBJETIVO GERAL .................................................................................... 4 OBJETIVOS ESPECFICOS..................................................................... 4 A IMPORTNCIA DA INFORMAO ..................................................... 5 CLASSIFICAES DAS INFORMAES ............................................ 6 INFORMAO PBLICA .......................................................................... 6 INFORMAO INTERNA ......................................................................... 6 CONFIDENCIAL ......................................................................................... 7 INFORMAO SECRETA ........................................................................ 7 MANUSEIO.................................................................................................. 8 ARMAZENAMETO ..................................................................................... 8 TRANSPORTE............................................................................................ 8 DESCARTE ................................................................................................. 8 INTEGRIDADE.......................................................................................... 10 AUTENCIDADE ........................................................................................ 10 NO REPDIO ......................................................................................... 10 LEGALIDADE ............................................................................................ 10 PRIVACIDADE .......................................................................................... 11 AUDITORIA ............................................................................................... 11 VULNERABIILDADE ................................................................................ 11

JUSTIFICATIVA ................................................................................................. 5

CICLOS DE VIDA DA INFOMAO .............................................................. 8

CRITRIOS DA SEGURANA DA INFORMAO .................................... 9

7. PADRO DE SEGURANA DE DADOS DO SETOR DE CARTES DE PAGAMENTO. .......................................................................................................................... 12 7.1 7.2 7.3 METODOS DE SEGURANA NUMA ARQUITETURA DE TEF ...... 12 VPN ............................................................................................................. 12 FUNCES BSICAS DE UMA VPN ..................................................... 13

7.3.1 CRIPTOGRAFIA................................................................................... 13 7.3.2 CHAVE SIMTRICA ............................................................................ 13 7.3.3 CHAVE ASSIMTRICA....................................................................... 14 7.3.4 ALGORITMOS PARA CRIPTOGRAFIAS ........................................ 14 8. REFERNCIA TERICA ................................................................................ 16 8.1 ARQUITETURA TEF................................................................................ 16

8.2 8.3 9.

TEF DISCADO .......................................................................................... 17 TEF DEDICADO ....................................................................................... 18 DE UMA TOPOLOGIA DE CLOUD

CLOUD COMPUTING ..................................................................................... 20

9.1 CARACTERSTICAS COMPUTING 21

9.1.1 SELF-SERVICE SOB DEMANDA ..................................................... 21 9.1.2 ACESSO AMPLO A REDE ................................................................. 22 9.1.3 POOLING DE RECURSOS ................................................................ 22 9.2 9.3 VANTANGES DE CLOUD COMPUTING ............................................. 22 DESAFIOS PARA A UTILIZAO DE CLOUD COMPUTING ......... 23

9.3.1 SISTEMA PRIVADO ............................................................................ 23 9.3.2 SISTEMA PBLICO ............................................................................ 23 9.3.3 SISTEMA COMUNIDADE ................................................................... 24 9.3.4 SISTEMA HDRIDO ............................................................................. 24 9.4 TIPOS DE APLICAES E SERVIOS EM CLOUD COMPUTING 24

9.4.1 LaaS ....................................................................................................... 24 9.4.2 PASS ...................................................................................................... 24 9.4.3 DASS ...................................................................................................... 25 9.4.4 SAAS ...................................................................................................... 25 9.4.5 CASS ...................................................................................................... 25 9.4.6 EAAS ...................................................................................................... 26 10. 11. 12. METODOLOGIA........................................................................................... 26 CRONOGRAMA ........................................................................................... 27 CONCLUSO ............................................................................................... 28

1. INTRODUO
A busca incessante por novas tecnologias que tornem os sistemas cada vez mais otimizados de forma que tanto os benefcios, quanto o custo desses projetos se tornem cada vez mais vantajosos queles que adquirem tais produtos ou servios, faz com que profissionais de T.I principalmente, trabalhem numa busca incansvel por novas tecnologias que torne isso uma realidade.

Diante desse grande desafio, surge como uma grande fonte de expectativa, uma das mais novas tecnologias que promete transformar, aperfeioar, compactar e fazer com que o custo de se ter uma grande infraestrutura de T.I, promete mudar sobremaneira o cenrio da era digital.

A tecnologia evolui de maneira muito rpida, exigindo de profissionais de T.I cada vez mais inovaes para tornar possveis projetos mais potentes e com custos mais em conta. Esse, sem dvidas, o maior desafio de todos que trabalham com tecnologia; criar sistemas cada vez mais robustos que tornem possvel a concretizao dos requisitos mais especficos de empresas e usurios.

Cloud Computing (Computao em nuvens) surge como uma evoluo natural da computao e a cada dia, empresas investem nesse novo conceito. Nesse estudo iremos observar suas caractersticas: elasticidade e pagamento somente pelo consumo; seus benefcios: as aplicaes que podero ser empregadas nas nuvens e as redues de custos com infraestrutura local; e tambm, como todo novo paradigma, alertar sobre o principal desafio: a segurana. Alm disso, vamos tratar desta tecnologia introduzida em transferncia Eletrnica de Fundos (TEF), que requer uma topologia robusta, uma infraestrutura dedicada, onde a segurana deve ser seu ponto focal dentro desta topologia. justamente esse o grande desafio e calcanhar de Aquiles da Computao em Nuvens, a segurana , sem dvidas, a maior dificuldade e o

grande desafio de todos que trabalham para tornar essa tecnologia uma realidade.

TEF (Transferncia Eletrnica de Fundos) um sistema de captura de transaes de cartes de crdito e dbito em estabelecimentos comerciais, neste sistema existe uma ligao entre o PDV (Caixa local onde so realizadas as transaes) do estabelecimento Comercial e as autorizadoras responsveis pelos respectivos cartes. Vamos ver as diferentes maneiras de realizar essa captura, como em TEF Discado e TEF dedicado por exemplo. Como um dos objetivos saber as possibilidades de integrar um sistema de TEF dentro de uma arquitetura de Computao em Nuvens.

J abordamos que Cloud Computing (Computao em Nuvens) o mais novo conceito de computao que promete a diminuio significativa dos custos no tocante aos equipamentos e servios de T.I, j que centraliza toda a infraestrutura de um sistema em grandes servidores ou Data Centeres que servem como armazenadores desses dados.

A tecnologia da Informao se transforma de maneira muito dinmica, com a abertura e propagao da internet, essas tecnologias tendem a se transformarem e chegarem s todas as partes deste mundo digital muito mais depressa. Justamente por conta desta acelerao dessas tecnologias, sempre surge como maior dificuldade e empecilho parte de segurana da informao, esse sem dvidas, o maior desafio de empresas e profissionais de T.I, no momento de implantar um sistema to bom que ir agregar grandes melhorias dentro das organizaes, mas acima de tudo, deve-se garantir o seu bem maior, que a informao e segurana de seus dados.

2. DEFINIO DO PROBLEMA
Como desenvolver um sistema de TEF (Transferncia Eletrnica de Fundos) dentro de uma arquitetura de Cloud Computing (Computao em Nuvens), haja vista a grande dificuldade de garantir a integridade dos dados neste tipo de tecnologia. Na respectiva pesquisa vemos que sim possvel desenvolvermos este sistema, mas vimos tambm que todos os mtodos que hoje so usados na empresa que oferecem esse tipo de servio no so suficientes para garantir que dados sigilosos de clientes estejam sim assegurados e longes de Softwares e pessoas no autorizadas de fazerem a receptao desses dados. Segundo (Rezende e Abreu, 2000), a informao o dado com uma interpretao lgica ou natural dada a ele por seu usurio, a informao tem um valor altamente significativo e pode representar grande poder para quem a possui. A informao contm valor, pois est integrada com os processos, pessoas e tecnologias. A informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e consequentemente necessita ser adequadamente protegida (NBR 17999, 2003). Na sociedade da informao, a informao o principal patrimnio da empresa e est sob constante risco (Dias, 2000). A informao representa a inteligncia competitiva dos negcios e reconhecido como ativo crtico para a continuidade operacional e sade da empresa (Smola, 2003). A informao e o conhecimento sero os diferenciais das empresas e dos profissionais que pretendem destacar-se no mercado e manter a sua competitividade (Rezende e Abreu, 2000). Sendo a informao crucial para qualquer empresa ou organizao fundamental assegurarmos que essas informaes estejam seguras. Nem toda informao crucial ou essencial a ponto de merecer cuidados especiais, por outro lado, determinada informao pode ser to vital que o custo de sua integridade, qualquer que seja ainda ser menor que o custo de no dispor dela adequadamente. Dentro de uma Arquitetura de TEF, essas informaes se tornam ainda mais significativas e requer ainda mais cuidados a respeito da segurana, pois nos Logs guardados nos servidores estaro todas as

informaes e dados de cartes de crdito e dbito dos clientes que faro uso desse sistema nos mais diversos estabelecimentos comerciais. Seria uma tragdia, algum com ms intenes terem acesso a essas informaes confidenciais, como senhas e dados financeiros dos clientes.

3. OBJETIVOS

3.1 OBJETIVO GERAL

Investigar as possibilidades de usar a mais nova tecnologia de Computao em nuvens em empresas que oferecem os servios de Transferncia Eletrnica de Fundos (TEF).

3.2 OBJETIVOS ESPECFICOS

Identificar os maiores desafios quanto segurana dos dados que sero armazenados em grandes Datas Centers; Identificar, quais os mtodos mais eficientes j utilizados no mercado e quais outros se deve implantar para assegurar que, por exemplo, Logs das diversas transaes realizadas no esto sendo acessadas por terceiros. Verificar se to somente Software como VPN, ou mtodos de Criptografias so suficiente para garantir que esses dados no esto sendo interceptados por Softwares ou pessoas no autorizadas.

4. JUSTIFICATIVA
importante enfatizar que Cloud Computing uma tecnologia nova, e como qualquer outra tecnologia evolui muito rapidamente. Cloud Computing, ou Computao em nuvens sem dvidas o maior exemplo do momento, que promete um novo paradigma na computao, que atravs de um conceito de arquitetura em nuvens utilizando servidores de grande porte, oferece servios de armazenamento de dadas em grande escala e alocar toda a infraestrutura de uma empresa em Data Center, trazendo grandes benefcios no sentido de diminuir o custo, j que toda a sua infraestrutura estar alocada na nuvem, programas no mais precisaro ser instalados em suas mquinas locais por exemplo. O que realmente significa que algum vai assumir a responsabilidade de entregar algumas funes de TI como servios para alguns clientes e eles no precisam saber como funciona, eles simplesmente usaro, esclarece Daryl C. Plummer, vice-presidente do Gartner, em um podcast da empresa de anlise. Para ultrapassar as barreiras da desconfiana dos clientes que alocaro suas informaes nesses servidores, inevitvel o de tecnologias e mtodos que assegurem que essas informaes esto seguras, haja vista que a informao o bem mais precioso que uma Empresa pode ter.

4.1 A IMPORTNCIA DA INFORMAO

A informao o dado com uma interpretao lgica ou natural dada a ele por seu usurio (Rezende e Abreu, 2000). A informao tem um valor altamente significativo e pode representar grande poder para quem a possui. A informao contm valor, pois est integrada com os processos, pessoas e tecnologias. A informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e conseqentemente necessita ser adequadamente protegida (NBR 17999, 2003). Na sociedade da informao, a informao o principal patrimnio da empresa e est sob constante risco (Dias, 2000). A informao representa a inteligncia competitiva dos negcios e reconhecido como ativo crtico para a continuidade operacional e sade da empresa (Smola, 2003). A informao e o conhecimento sero os diferenciais das empresas e dos profissionais que

pretendem destacar-se no mercado e manter a sua competitividade (Rezende e Abreu, 2000). Sendo a informao crucial para qualquer empresa ou organizao fundamental assegurarmos que essas informaes estejam seguras. Nem toda informao crucial ou essencial a ponto de merecer cuidados especiais, por outro lado, determinada informao pode ser to vital que o custo de sua integridade, qualquer que seja ainda ser menor que o custo de no dispor dela adequadamente. Dentro de uma Arquitetura de TEF, essas informaes se tornam ainda mais significativas e requer ainda mais cuidados a respeito da segurana, pois nos Logs guardados nos servidores estaro todas as informaes e dados de cartes de crdito e dbito dos clientes que faro uso desse sistema. Seria uma tragdia, algum com ms intenes terem acesso a essas informaes confidenciais, como senhas e dados financeiros dos clientes.

4.2 CLASSIFICAES DAS INFORMAES

Em (Wadlow, 2000; Abreu, 2001; Boran, 1996) exposto, a necessidade de classificao da informao em nveis de prioridade, respeitando a necessidade de cada empresa assim como a importncia da classe de informao para a manuteno das atividades da empresa.

4.3 INFORMAO PBLICA

Informao que pode vir a pblico, sem maiores conseqncias danosas ao funcionamento normal da empresa, e cuja integridade no vital.

4.4 INFORMAO INTERNA

O acesso a esse tipo de informao deve ser evitado, embora as consequncias do uso no autorizado no sejam por demais srias, sua integridade importante, mesmo que no seja vital.

4.5 CONFIDENCIAL

Informao restrita aos limites da empresa, cuja divulgao ou perda pode levar a desequilbrio operacional, e eventualmente, perdas financeiras, ou de confiabilidade perante o cliente externo, alm de permitir vantagem expressiva ao concorrente.

4.6 INFORMAO SECRETA

Informao crtica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um nmero bastante reduzido de pessoas. A manipulao desse tipo de informao vital para a companhia.

5. CICLOS DE VIDA DA INFOMAO

O ciclo de vida composto e identificado pelos momentos vividos pela informao que a colocam em risco. Os momentos so vivenciados justamente quando os ativos fsicos, tecnolgicos e humanos fazem uso da informao, sustentando processos que, por sua vez, mantm a operao da empresa.

5.1 MANUSEIO

Momento em que a informao criada e manipulada seja ao folhear um mao de papeis, ao digitar informaes que acabaram de ser geradas em uma aplicao internet, ou, ainda, ao utilizar sua senha de acesso para autenticao, por exemplo. 5.2 ARMAZENAMETO

Momento e que a informao armazenada, seja em um banco de dados compartilhado, em uma anotao de papel posteriormente postada em um arquivo de ferro, ou, ainda em uma mdia qualquer.

5.3 TRANSPORTE

Momento em que a informao transportada, seja ao encaminhar informaes por correio eletrnico, ao postar um documento via aparelho de fax, ou, ainda, ao falar ao telefone uma informao confidencial. 5.4 DESCARTE

Momento em que a informao descartada seja ao eliminar um arquivo ROM usado que apresentou falha na leitura.

6. CRITRIOS DA SEGURANA DA INFORMAO

Com a dependncia do negcio aos sistemas de informao, e o surgimento de novas tecnologias e formas de trabalho, como o comrcio eletrnico, as redes virtuais privadas e os funcionrios mveis, as empresas comearam a despertar para a necessidade de segurana, uma vez que se tornaram vulnerveis a um nmero maior de ameaas. A segurana da informao a proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao no autorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaa a seu desenvolvimento (NBR 17999, 2003; Dias, 2000; Wadlow, 2000; Krause e Tipton, 1999).

6.1 CONFIDENCIALIDADE

A informao somente pode ser acessada por pessoas explicitamente autorizadas; a proteo de sistemas de informao para impedir que pessoas no autorizadas tenham acesso ao mesmo. O aspecto mais importante deste item de garantir a identificao e autenticao das partes envolvidas.

10

6.2 DISPONIBILIDADE

A informao ou sistema de computador deve estar disponvel no momento em que a mesma for necessria.

6.1 INTEGRIDADE

A informao deve ser retomada em sua forma original no momento em que foi armazenada; a proteo dos dados ou informaes contra modificaes intencionadas ou acidentais no autorizadas. Outros autores (Dias, 2000; Wadlow, 2000; Shirey, 2000; Krause e Tipton, 1999; Albuquerque e Ribeiro, 2002; Smola, 2003; Sandhu e Samarati, 1994) defendem que para uma informao ser considerada segura, o sistema que o administra ainda deve respeitar.

6.2 AUTENCIDADE

Garante que a informao ou o usurio da mesma autntico; atesta com exatido, a origem do dado ou informao.

6.3 NO REPDIO

No possvel negar (no sentido de dizer que no foi feito) uma operao ou servio que modificou ou criou uma informao; no possvel negar o envio ou recepo de uma informao ou dado.

6.4 LEGALIDADE

Garante a legalidade (jurdica) da informao; aderncia de um sistema legislao; caracterstica das informaes que possuem valor legal dentro de um processo de comunicao, onde todos os ativos esto de acordo com as clusulas contratuais pactuadas ou a legislao poltica institucional, nacional ou internacional vigente.

11

6.5 PRIVACIDADE

Foge do aspecto de confidencialidade, pois uma informao pode ser considerada confidencial, mas no privada. Uma informao privada deve ser vista, lida e alterada somente pelo seu dono. Garante ainda, que a informao no ser disponibilizada para outras pessoas.

6.6 AUDITORIA

Rastreabilidade dos diversos passos que um negcio ou processo realizou ou que uma informao foi submetida, identificando os participantes, os locais e horrios de cada etapa. Auditoria em software significa uma parte da aplicao, ou conjunto de funes do sistema, que viabiliza uma auditoria; consiste no exame do histrico dos eventos dentro de um sistema para determinar quando e onde uma violao de segurana.

6.7 VULNERABIILDADE

A vulnerabilidade o ponto onde qualquer sistema suscetvel a um ataque, ou seja, uma condio encontrada em determinados recursos, processos, configuraes, etc. Todos os ambientes so vulnerveis, partindo do princpio de que no existem ambientes totalmente seguros. Identificar as vulnerabilidades que podem contribuir para ocorrncias de incidentes de segurana um aspecto importante na identificao de medidas adequadas de segurana.

12

7. PADRO DE SEGURANA DE DADOS DO SETOR DE CARTES DE PAGAMENTO.

O padro de segurana de dados (DSS) do setor de cartes de pagamento (PCI) foi desenvolvido para incentivar e aprimorar a segurana dos dados do titular do carto e facilitar a ampla adoo de medidas de segurana de dados consistentes no mundo todo. O PCI DSS oferece a base de requisitos tcnicos e operacionais projetados para proteger os dados do titular do carto. O PCI DSS se aplica a todas as entidades envolvidas nos processos de pagamento do carto, inclusive comerciantes, financeiras, adquirentes, emissores e prestadores de servio, bem como todas as entidades que armazenam, processam ou transmitem os dados do titular do carto. O PCI DSS compreende um conjunto mnimo de requisitos para proteger os dados do titular do carto e pode ser aperfeioado por controles e prticas adicionais para amenizar os riscos ainda mais. Abaixo, h uma viso geral de alto nvel dos 12 requisitos do PCI DSS.

7.1 METODOS DE SEGURANA NUMA ARQUITETURA DE TEF

Dentro de uma arquitetura de TEF de suma importncia o uso de um Software que garanta a segurana dos dados trafegados dentro daquele determinado link de conexo. Dentre os mtodos mais utilizados, a VPN a mais propagada.

7.2 VPN

Segundo Oswaldo Franzin, o conceito de VPN surgiu da necessidade de se utilizar redes de comunicao no confiveis para trafegar informaes de forma segura. VPN (Virtual Private Network) ou Rede Privada Virtual, como o nome j diz, faz com que aquela comunicao entre o PDV do Estabelecimento Comercial e as Autorizadoras seja uma conexo privada. Essa comunicao

13

Criptografada de maneira que se algum no autorizado interceptar a mensagem, ainda assim no seja possvel interpret-la havendo a necessidade da chave de criptografia que somente dada entre os canais autorizados. Virtual Private Network ou Rede Privada Virtual uma rede privada construda sobre a infra-estrutura de uma rede pblica, normalmente a Internet. Ou seja, ao invs de se utilizar links dedicados ou redes de pacotes (como Frame Relay e X. 25) para conectar redes remotas, utiliza-se a infra-estrutura da Internet.

7.3 FUNCES BSICAS DE UMA VPN

Conecta em um provedor de Internet e atravs dessa conexo, estabelece um tnel com a rede remota. Outra maneira tambm de realizar essa conexo de VPN utilizando duas redes se interligam atravs de hosts com link dedicado ou discado via internet, formando assim um tnel entre as duas redes. Os protocolos utilizados no tnel virtual, so, (IPSec) Internet Protocol Security, (L2TP) Layer 2 Tunneling Protocol, (L2F) Layer 2 Forwarding e o (PPTP) Point-to-Point Tunneling Protocol. O protocolo escolhido ser o responsvel pela conexo e a criptografia entre os hosts da rede privada. Eles podem ser normalmente habilitados atravs de um servidor Firewall ou RAS que esteja trabalhando com um deles agregado. http://www.portalchapeco.com.br/jackson/vpn.htm Acesso em: 08/06/2012

7.3.1 CRIPTOGRAFIA

A criptografia implementada por um conjunto de mtodos de tratamento e transformao dos dados que sero transmitidos pela rede pblica. Um conjunto de regras aplicado sobre os dados, empregando uma sequncia de bits (Chave) como padro a ser utilizado na criptografia. Partindo dos dados que sero transmitidos, o objetivo criar uma sequncia de dados que no possa ser entendida por terceiros, que no faam parte da VPN, sendo que apenas o verdadeiro destinatrio dos dados deve ser capaz de recuperar os dados originais fazendo uso de uma chave.

7.3.2 CHAVE SIMTRICA

14

a tcnica de criptografia onde utilizada a mesma chave para criptografar e descriptografar os dados. Sendo assim, a manuteno da chave em segredo fundamental para a eficincia do processo. FONTE: GPR Sistemas, HTTP://www.gpr.com.br Acesso em: 08/06/2012.

7.3.3 CHAVE ASSIMTRICA

7.3.4 ALGORITMOS PARA CRIPTOGRAFIAS

DES Data Encryption Standard

um padro de criptografia simtrica, adotada pelo governo dos EUA em 1977 e utiliza chave pblica de criptografia, tirando vantagem do fato de ser extremamente difcil fatorar o produto de nmeros primos muito grandes.

Deffie Hellman

Foi desenvolvido por Diffie e Hellman em 1976. Este algoritmo permite a troca de chaves secretas entre dois usurios. A chave utilizada formada pelo processamento de duas outras chaves uma pblica e outra secreta.

Triple DES

uma variao do algoritmo DES, sendo que o processo tem trs fases: A sequncia criptografada, sendo em seguida descriptografada com uma chave errada, e novamente criptografada. 1977 7.3.4.1 ALGORITMOS PARA INTEGRIDADE RSA Rivest Shamir Adleman um padro criado por Ron Rivest, Adi Shamir e Leonard Adleman em

15

SHA-1 Secure Hash Algorithm One

um algoritmo de hash que gera mensagens de 160 bits, a partir de uma sequncia de at 2 elevado a 64 bits.

MD5 Message Digest Algorithm 5

um algoritmo de hash que gera mensagens de 128 bits, a partir de uma sequncia de qualquer tamanho. FONTE: GPR Sistemas, HTTP://www.gpr.com.br Acesso em: 08/06/201

16

8. REFERNCIA TERICA
O TEF tipificado nos Estados Unidos atravs do Ato Regulatrio E (Regulation E) a fim de estabelecer os direitos e deveres dos consumidores. Seu conceito destaca-se tambm os meios tecnolgicos, no qual, TEF significa qualquer Transferncia de Fundos iniciado atravs de um Terminal Eletrnico, um telefone ou um computador para solicitar ou autorizar uma instituio financeira a debitar ou creditar uma conta de um consumidor (14). Neste mesmo Ato, o conceito inclui os seguintes tipos de transferncias: i. Realizada por PDV (Ponto de Venda), que o conjunto Hardware e Software de Automao Comercial responsvel pelo registro dos itens do pagamento e pela integrao com o Emissor de Cupom Fiscal (ECF); ii. iii. iv. v. Transferncia de caixas de atendimento automtico; Depsitos ou saques diretos de fundos; Transferncias iniciadas por telefone. Transferncias resultantes de transaes com carto de dbito.

Outro aspecto do TEF relevante ao atendimento dos resultados do Vigente TEF o do gerenciamento do Status de cada transao, quanto ao seu estgio de processamento, realizado pelo Servidor e Autorizador de TEF. Para compreend-lo necessrio conhecer quais mensagens ISSO 8583 enviadas para cada tipo de transao nos respectivos cenrios em que so requisitados. Esse padro adotado com as seguintes finalidades, devido a possibilidade de falhas fsicas ou lgicas na transmisso das mensagens, qual deve ser a ao do Servidor TEF caso a resposta do Autorizador no seja recebida ou recebido em atraso (TIMEOUT), caso a resposta seja uma aprovao, o saldo do consumidor j est comprometido mesmo quando o PDV no recebe a resposta que contm os comprovantes para impresso. Para tratar o padro ISSO 8583 que define um formato de mensagens e um fluxo de comunicao de modo que diferentes sistemas possam trocar esses pedidos de transaes e respostas.

8.1 ARQUITETURA TEF

17

Como todos sabem, a cada dia as moedas e cdulas convencionais esto sendo substitudo cada vez mais por cartes de plstico, denominados (Cartes de Crdito ou Dbito), isso por conta de vrios fatores, inclusive o fator de segurana. As instituies financeiras, bancos e lojistas em geral oferecem a seus clientes cartes que podem ser usados na compra de grande nmero de bens e servios. Esse carto tem como funo registrar a inteno de pagamento do consumidor, que naturalmente ser pago com faturas geradas posteriormente por seu respectivo emissor. Cada carto possui emissor, bandeira, acquirer e processadora. Os emissores so as administradoras de carto de crdito, bancos ou empresas prestadoras de servios que emitem, gerenciam o carto e que coordenam todos os processos entre portadores e bandeiras. As bandeiras so associadas aos emissores de cartes e concedem as licenas que permitem o uso do sistema para pagamentos, definem as normas e regulamenta as operaes e emisso dos plsticos. Acquirer o responsvel pela afiliao, gerenciamento e relacionamento com os estabelecimentos comerciais e pelas condies comerciais. Processadoras a responsvel pela operao, processam faturas, e fazem o atendimento ao cliente.

8.2 TEF DISCADO

Utilizado pelos estabelecimentos de pequeno e mdio porte, o TEF Discado funciona numa linha telefnica comum. A comunicao com os sistemas se faz a cada transao com o carto, mediante acesso discado. Termina a consulta e a aprovao do crdito, a conexo telefnica desfeita. O processo semelhante comunicao feita com um provedor tradicional da internet. Figura 1 Topologia de um TEF Discado

18

8.3 TEF DEDICADO

O TEF Dedicado opera numa linha especial que permanece 24 horas por dia conectado s administradoras de cartes de crdito e dbito. objeto de contrato com uma empresa operadora de telefonia fixa, essa linha exige ainda a aquisio de um roteador e de um modem externo. Cada transao se completa num lapso de tempo de 2 a 5 segundos. Os pontos de vendas esto interligados a um servidor ou concentrador TEF, que deve possuir capacidade de armazenamento e velocidade de processamento adequado ao volume de transaes realizado no estabelecimento comercial. Forma-se, ento, uma rede local, gerenciada por meio de um software homologado pelas administradoras de cartes, como REDECARD e CIELO. Figura 2 Topologia de um TEF Dedicado

19

20

9. CLOUD COMPUTING

Segundo Taurion, o termo computao em nuvem surgiu em 2006 em uma palestra de Eric Schmidt, da Google, sobre como sua empresa gerenciava seus data centers (local onde so concentrados os computadores e sistemas responsveis pelo processamento de dados de uma empresa ou organizao).

Hoje, computao em nuvem, se apresenta como o cerne de um movimento de profundas transformaes do mundo da tecnologia (TAURION, 2009). Dessa forma, Computao em Nuvens est se tornando uma das palavras chaves do mundo de T.I A nuvem uma representao para a Internet ou infraestrutura de comunicao entre os componentes arquiteturais, baseada na abstrao de infraestrutura.

Cada parte desta infraestrutura provida como um servio e, estes servios so normalmente alocados em data centers, utilizando hardware compartilhado para computao e armazenamento (MACHADO et al, 2009). Cloud Computing chega para oferecer um conceito simples, porm muito eficaz de basear toda essa infraestrutura de T.I em servios que so compartilhados, onde Empresas e usurios podem direcionar seus dados e aplicaes a grandes centros de armazenamento, chamados de Data Centers.

Uma Data Center uma modalidade de servio de valor agregado que oferece recursos de processamento e armazenamento de dados em larga escala para que organizaes de qualquer porte e mesmo profissionais liberais possam ter ao seu alcance uma estrutura de grande capacidade e flexibilidade, alta segurana, e igualmente capacitada do ponto de vista de hardware e software para processar e armazenar informaes. (Jos Mauricio Santos Pinheiro em 10/01/2004).

Cloud Computing faz possvel essa interao com essa Data Centers por intermdio de Software as a Service, Platform as a Service, Infrastructure as a Service e Everything as a Service. Abaixo, segue uma ilustrao que mostra a topologia de uma Cloud Computing e suas maneiras de se interligar com as necessidades daqueles que desejam fazer uso dela:

A tecnologia Cloud Computing utiliza-se de conceito chamado Pay-peruse, ou seja, (Modelo de pagamento baseado no uso), semelhante ao que hoje vemos na telefonia, energia eltrica, entre outros, onde a cliente s paga pela quantidade de servios ou produtos adquiridos, ou aquilo que usufrui.

21

A computao em nuvem possui uma srie de vantagens, como a possibilidade de ampliar os recursos utilizados sempre que necessrio (CHIRIGATI, 2009).

Figura 3 Arquitetura de Cloud Computing com suas Aplicaes.

9.1 CARACTERSTICAS DE UMA TOPOLOGIA DE CLOUD COMPUTING

Para que uma data Center possa ser chamada de Cloud Computing deve atender algumas caractersticas essenciais, so elas:

9.1.1 SELF-SERVICE SOB DEMANDA

O usurio pode adquirir unilateralmente recurso computacional, como tempo de processamento no servidor ou armazenamento na rede na medida em que necessite e sem precisar de interao humana com os provedores de cada servio. (MELL at el, 2009).

Dentro de uma nuvem, o hardware e o software podem ser automaticamente configurados, e estas modificaes so apresentadas de forma transparente para os usurios.

22

9.1.2 ACESSO AMPLO A REDE

Recursos esto disponveis atravs da rede e acessados por meio de mecanismos que promovam o padro utilizado por plataformas heterogneas (por exemplo, telefones celulares, laptops e PDAs). (MELL at el, 2009). A interface de acesso nuvem no obriga os usurios a mudarem suas condies e ambientes de trabalho, como por exemplo, linguagens de programao e sistema operacional.

9.1.3 POOLING DE RECURSOS

Provedor de recursos de computao agrupado para atender vrios consumidores atravs de um modelo multi-tenant (modelo de software onde uma nica instncia roda no servidor e permite atender a mltiplas requisies de diferentes usurios), com diferentes recursos fsicos e virtuais atribudos dinamicamente e novamente de acordo com a demanda do consumidor. H um senso de independncia local em que o cliente geralmente no tem nenhum controle ou conhecimento sobre a localizao exata dos recursos disponibilizados, mas pode ser capaz de especificar o local em um nvel maior de abstrao (por exemplo, pas, estado ou da data Center). Exemplos de recursos incluem o armazenamento, processamento, memria, largura de banda de rede e mquinas virtuais. (MELL at el, 2009).

9.2 VANTANGES DE CLOUD COMPUTING

Cloud Computing move todos os dados e as aplicaes dos usurios para grandes centros de armazenamento, as aplicaes e os sistemas de Hardware so distribudos na forma de servios baseados na internet. Fundamentada em conceitos j estabelecidos previamente, como virtualizao e utiliza o modelo Pay-Per-Use (Modelo de pagamento baseado no uso).

23

Esse conceito de computao em nuvens possui uma srie de vantagens, como a possibilidade de ampliar os recursos utilizados sempre que necessrio (CHIRIGATI, 2009).

9.3 DESAFIOS PARA A UTILIZAO DE CLOUD COMPUTING

Como j dissemos anteriormente, a maior dificuldade de se implantar um sistema em Cloud Computing sem sombras de dvidas no que diz respeito segurana dos dados armazenados nesses centros de armazenamento em massa denominados de Data Centeres. Alem da segurana, empresas e usurios que desejam utilizar Cloud Computing tem a preocupao na confiabilidade, afinal de contas ainda existe uma grande restrio em deixar seus dados em centros de armazenamento que nem mesmo o usurio sabe onde est fisicamente. Essa preocupao se torna ainda mais crtica quando se trata de dados de empresas altamente sensveis, como processamento de dados financeiros.

9.3.1 SISTEMA PRIVADO

As nuvens privadas so aquelas construdas exclusivamente para um nico usurio (uma empresa, por exemplo). Diferentemente de um data center privado virtual, a infraestrutura utilizada pertence ao usurio, e, portanto, ele possui total controle sobre como as aplicaes so implementadas na nuvem. Uma nuvem privada , em geral, construda sobre um data center privado.

9.3.2 SISTEMA PBLICO

As nuvens pblicas so aquelas que so executadas por terceiros. As aplicaes de diversos usurios ficam misturadas nos sistemas de armazenamento, o que pode parecer ineficiente a princpio. Porm, se a implementao de uma nuvem pblica considera questes fundamentais, como

24

desempenho e segurana, a existncia de outras aplicaes sendo executadas na mesma nuvem permanece transparente tanto para os prestadores de servios como para os usurios.

9.3.3 SISTEMA COMUNIDADE

A infraestrutura de nuvem compartilhada por diversas organizaes e suporta uma comunidade especfica que partilha as preocupaes (por exemplo, a misso, os requisitos de segurana, poltica e consideraes sobre o cumprimento). Pode ser administrado por organizaes ou por um terceiro e pode existir localmente ou remotamente.

9.3.4 SISTEMA HDRIDO

Nas nuvens hbridas temos uma composio dos modelos de nuvens pblicas e privadas. Elas permitem que uma nuvem privada possa ter seus recursos ampliados a partir de uma reserva de recursos em uma nuvem pblica. Essa caracterstica possui a vantagem de manter os nveis de servio mesmo que haja flutuaes rpidas na necessidade dos recursos. A conexo entre as nuvens pblica e privada pode ser usada at mesmo em tarefas peridicas que so mais facilmente implementadas nas nuvens pblicas, por exemplo. O termo computao em ondas , em geral, utilizado quando se refere s nuvens hbridas.

9.4 TIPOS DE APLICAES E SERVIOS EM CLOUD COMPUTING

9.4.1 LaaS

Infrastructure as a Service ou Infra-estrutura como Servio (em portugus): quando se utiliza uma porcentagem de um servidor, geralmente com configurao que se adeque sua necessidade 9.4.2 PASS

25

Plataform as a Service ou Plataforma como Servio (em portugus): utilizando-se apenas uma plataforma como um banco de dados, um webservice, etc. (p.ex.: Windows Azure)

9.4.3 DASS

Development as a Service ou Desenvolvimento como Servio (em portugus): as ferramentas de desenvolvimento tomam forma no cloud computing como ferramentas compartilhadas, ferramentas de desenvolvimento web based e servios baseados em mashup.

9.4.4 SAAS

Software as a Service ou Software como Servio (em portugus): uso de um software em regime de utilizao web (p.ex.: Google Docs , Microsoft SharePoint Online).

9.4.5 CASS

Communication as a Service ou Comunicao como Servio (em portugus): uso de uma soluo de Comunicao Unificada hospedada em Data Center do provedor ou fabricante (p.ex.:Microsoft Lync).

26

9.4.6 EAAS

Everything as a Service ou Tudo como Servio (em portugus): quando se utiliza tudo, infraestrurura, plataformas, software, suporte, enfim, o que envolve T.I.C. (Tecnologia da Informao e Comunicao) como um Servio.

10.

METODOLOGIA

Cloud computing, como j mencionado, um conceito novo de computao, e justamente por isso no existem muitos trabalhos neste sentido. Neste trabalho de pesquisa, utilizamos como metodologia, pesquisas em livros, artigos encontrados na internet e atravs de entrevistas com profissionais da rea de Transferncia Eletrnica de Fundos. Para a elaborao desta pesquisa, procurei basear como mtodo, pesquisas por documentos que regulamentam o mercado de cartes utilizados para pagamento. No dia 26 de maio, foi disponibilizado por intermdio da Empresa AUTTAR HUT PROCESSAMENTO DE DADOS, empresa que atua no ramo de TEF, alguns documentos que normalizam esse mercado, como por exemplo, o PCI DSS, que foi de grande valia para a elaborao deste trabalho. No dia 6 de maio, foi realizada uma entrevista com o Gerente de Operaes de T.I, Fernando Guadalupe, sobre quais eram as possibilidades de uma implantao de um sistema de TEF sobre uma arquitetura de Cloud computing. Foi realizada tambm, uma pesquisa com colegas de trabalho sobre os maiores desafios de asseguramos a segurana dos dados dos usurios utilizando este tipo de arquitetura.

27

11.

CRONOGRAMA

Tarefas Projeto do TCC Introduo, Capa, Folha de Rosto Problema, Hiptese. Pesquisas sobre o tema.

Datas 20/01/2012 25/01/2012

18/03/2021 Entre 20/05/2012 a 30/05/2012

Objetivos, Objetivos Gerais e objetivos especficos. Justificativa, Reviso terica. Metodologia e Concluso

05/06/2012

08/06/2012 11/06/2012

28

12.

CONCLUSO

Baseado nas diretrizes e normas que regulamentam o mercado de cartes de crdito e dbito, em seu pargrafo que regulamenta as normas para os prestadores de servios terceirizados que deve ser desempenhada em todos os componentes do sistema no ambiente dos dados do titular do carto. A norma descrita neste documento denominado PCI Security Standards Cuncil, me faz chegar concluso que sim possvel desenvolver um sistema de transferncia eletrnica de fundos sobre uma arquitetura de computao em nuvem Este mesmo documento ainda diz: Para aquelas entidades que terceirizam o armazenamento, o processamento ou a transmisso dos dados do titular do carto para prestadores de servios terceirizados, o relatrio sobre a conformidade (ROC) deve registrar a funo de cada prestador de servios, identificando claramente quais requisitos se aplicam a entidade avaliada e quais se aplicam ao prestador de servios. Para que a implantao deste sistema em Cloud Computing, necessrio que os responsveis pela nuvem esteja em conformidade obedecendo aos seguintes requisitos:

Eles podem ser submetidos a uma avaliao do PCI DSS por vontade prpria e fornecer evidncias de sua conformidade a seus clientes. Caso no se submeta a avaliao do PCI DSS ser necessrio que tenham seus servios analisados durante o curso de cada avaliao do PCI DSS de seus clientes.

29

30