Empresas protegem mensagens EDI críticas

Requisitos aperfeiçoados de controle, administração e segurança de informações e de mensagens começam a ser exigidos em operações de integração eletrônica entre empresas.

O processo de pagamento eletrônico com bancos é visto como um das prioridades de segurança pelas áreas financeiras e de auditoria. A Token está disponibilizando soluções de segurança para proteger mensagens entre sistemas de empresas (aplicativos, ERP´s) e processos de integração EDI e e-business, antes que fiquem expostas em meios ou canais de comunicação.

Autenticar assinaturas digitais, comprovar conteúdos, e proteger (tornar confidencial) as informações, são aspectos complexos em processamento de segurança de mensagens eletrônicas entre parceiros, envolvendo diversas questões a nível interno de originadores, e que devem estar sincronizados pelos agentes externos (certificador, destinatário)

A segurança de informações e de TI para as empresas, é um assunto bastante vasto. Deve ser baseada em políticas (premissas) globais para a empresa, com gerenciamento, controles e auditagem, e processos envolvendo regras, infra-estrutura, tecnologias, soluções, procedimentos, e organização e pessoas. As pessoas são criativas. Sem uma política estabelecendo premissas e limites, diversas portas ("back door's") podem ser abertas. Sem ela, também fica difícil para os níveis táticos e operacionais estabelecerem um referencial de nível de segurança, que se reflete em diferentes necessidades de alocação de recursos e de investimentos.

Um processo completo de segurança de mensagem (autenticar o conteúdo, assinar a mensagem, registrar e certificar, e proteger a remessa da mensagem e certificação) exige a aplicação de algoritmos de criptografia em processamentos de informações, mensagens ou arquivos, em que para cada variação de um parâmetro de chave (chave eletrônica), é gerado um resultado correspondente e único ("cypher-text").

Os algoritmos podem ser divididos em dois grupos: de chaves públicas, e de chaves simétricas. Os algoritmos de chaves públicas utilizam pares de chaves (uma pública e outra privativa), e são altamente apropriados para - através da aplicação da chave pública - verificar e certificar a identidade/autenticidade de assinaturas (de usuário ou aplicação) efetuadas com a utilização da correspondente chave privativa.

Estatisticamente, um algoritmo de chave simétrica, com mesmo tamanho de chave de um algoritmo de chave pública, possui velocidade 100 vezes maior.

Os algoritmos de chave pública e de chave simétricas podem ser utilizados de forma combinada, conforme o processo de segurança que for definido ou especificado.

Um sistema de segurança é decorrente do modelo de processo de segurança que tiver sido estabelecido, com base nas políticas e infra-estruturas internas e em acordos de segurança.

Gerenciar, alocar e distribuir chaves (de forma segura) para usuários, é o principal papel e desafio de um eventual "agente de gestão de chaves de certificação".

O modelo de processo de segurança, considerando a política, premissas, regras e aspectos técnicos e de gerenciamento do ambiente de TI é altamente importante.

A TOKEN desenvolveu produtos (tkpak, tkmajor, etc.), que podem ser compostos em diferentes soluções, moldáveis conforme o processo que for estabelecido, considerando os aspectos de integração com o ambiente interno de TI, e as condições para "empacotamento" de intercâmbios eletrônico (mensagens) que devem ser transferidos sobre o canal de comunicação, e que tem que ser entendida simetricamente por ambos os lados (pelo originador e pelo destinatário).

Os produtos e soluções da Token facilitam a operação de processos de segurança de intercâmbios eletrônicos, pelo fato de posicionar o tratamento de segurança entre a camada de transporte e a camada de aplicação do modelo de interconexão entre sistemas da ISO (International Standard Organization). As soluções TOKEN podem gerenciar o processo de comunicação isoladamente (mas de forma integrada) do processo de segurança.

Esta situação confere muito maior facilidade de adaptabilidade com o ambiente de cada empresa, e também viabiliza o uso de internet como infra-estrutura de comunicação.

Um processo de segurança pode também ser composto de sub-processos suportados por diferentes módulos ou itens de infra-estrutura de TI, conforme ocorre em alguns clientes da Token.

Um exemplo, seria um processamento de criptografia especificamente para autenticar e auditar o conteúdo de um tipo de fluxo crítico (exemplo: remessa de pagamento para Banco) em um servidor isolado na rede e protegido através do "fire-wall".

Segue um resumo dos aspectos de segurança ( e o efeito) agregados a operações de pagamentos entre empresas e bancos, suportados pela Token:

• no ambiente da aplicação origem: assinatura da transação certificando o originador e liberando o envio, e efetivando as informações para auditagem;
• empacotamento da transação (conteúdo), e criptografando (gerando "cypher-text") do conteúdo e dos dados de controle ( "string time-stamp" );
• envelopamento com base em controles de tipos de " cypher-text" autorizados entre o originador e o destinatário, para trafegarem entre o canal eletrônico sob gerenciamento, e agregando uma autenticação de expedição (remessa eletrônica);
• conexão e remessa eletrônica da mensagem;
• certificação de fluxo enviado, autenticação de entrega (submissão), e protocolagem de retirada pelo destinatário; vide protocolo;
• conexão e recebimento da mensagem pelo destinatário;
• desenvelopamento, verificação e validação dos dados de controle para autorizar o processamento;
• desempacotamento, certificação de conteúdo e verificação da veracidade de origem;
• integração para a aplicação destino.

As operações de Pagamento Eletrônico Seguro podem ser suportadas por três diferentes soluções da Token: FTNET, EBCMonitor, e EBCManager

Cases: Danone, Remaza