BLOG

Privacidade importa

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 28 de novembro de 2016
querido-john

Existem dois “Ps” com os quais os consumidores estão preocupados hoje em dia: desempenho e privacidade. O primeiro é impulsionado por um mundo cada vez mais móvel, uma plataforma na qual os recursos – memória, computação e rede – são limitados. Este último por preocupações levadas ao topo da conscientização do consumidor por notícias sensacionalistas de violações que invariavelmente levam a uma dessas cartas (ou e-mails). Elas são como cartas de "Querido John", e você se sente igualmente mal por dentro ao receber uma.

Os consumidores querem ter certeza de que as marcas com as quais interagimos estão fazendo tudo o que podem para garantir sua privacidade e a segurança de seus dados. Queremos que seja mais rápido, mas também que seja mais seguro.

Agora, a maioria dos consumidores não está intimamente familiarizada com protocolos seguros e criptografia em primeiro lugar. Caramba, a maioria dos profissionais de TI não consegue dizer a diferença entre eles. Mas eles não precisam entender que certas cifras são inseguras (ou mesmo como as cifras se relacionam com o HTTP seguro em primeiro lugar), como a confiança da CA funciona ou como os ataques do tipo man-in-the-middle realmente funcionam. Tudo o que eles precisam saber é que você está fazendo tudo o que pode para garantir que nenhum homem interfira em suas transações seguras e que ninguém esteja observando cada carta que eles digitam.

Entra em cena o PFS. Sigilo de encaminhamento perfeito.

O PFS, é claro, não é uma cifra ou um algoritmo, mas sim um método de manipulação de chaves. Ele depende de chaves efêmeras (ou seja, descartáveis) que são geradas uma vez e somente uma vez, por sessão. No contexto da segurança de aplicativos, isso se tornou significativo depois que o Heartbleed foi divulgado, pois tornou possível “roubar” chaves privadas e potencialmente descriptografar transações.

O PFS é muito parecido com senhas de uso único para cada pessoa em uma festa. Em vez de todos usarem a mesma senha, cada pessoa recebe sua própria senha pessoal e privada, que somente você, como anfitrião, pode validar como autêntica. Isso significa que mesmo que Bob compartilhe sua senha com Alice, você saberá que ela não foi convidada porque ela está reutilizando uma senha.

feliz pfs

A mecânica não é tão importante quanto a garantia que ela oferece aos consumidores de que você leva a sério a privacidade dos dados deles.  Considere uma pesquisa de 2016 conduzida pelo Instituto Baymard sobre o tema . Dos motivos alegados para abandono durante a finalização da compra, 18% declararam que “não confiaram no site as informações do meu cartão de crédito”. A mesma pesquisa testou a percepção de confiança de vários “selos” colocados em sites e observou com surpresa que em 2016 os selos que mais inspiravam “confiança” eram os selos de confiança , não os selos SSL . Esses selos não eram necessariamente padrões da indústria nem eram reconhecidos. Muitos eram simplesmente uma representação icônica do esforço feito pela empresa para garantir a segurança dos dados e transações dos consumidores.

Perfect Forward Secrecy (PFS) é um método técnico que proporciona maior segurança às transações devido à sua natureza “pessoal”. Ao adotar o PFS e informar aos consumidores que você tomou medidas para aumentar a segurança das transações por meio da tecnologia, você gera um maior grau de confiança e potencialmente reduz o impacto negativo do abandono nos resultados financeiros.

O medo do lado empresarial é, obviamente, que aumentar a segurança muitas vezes acarreta o custo de diminuir o desempenho. Afinal, gerar chaves por sessão pode ser desgastante para a infraestrutura e o aplicativo. O resultado geralmente são aplicativos mais lentos, o que é igualmente frustrante para os consumidores e também causa perda de receita.

Para combater isso, é recomendado que você implemente o PFS com o serviço certo; um que esteja a montante dos servidores e forneça maior escala e desempenho porque foi criado especificamente para lidar com os cálculos criptográficos exigentes necessários para fornecer segurança ao consumidor. Esses serviços de segurança desenvolvidos especificamente são projetados para aproveitar hardware especializado (tanto em hardware personalizado quanto comercial) que acelera os cálculos e melhora o desempenho para garantir que os consumidores tenham uma experiência mais segura e rápida.

O PFS é uma boa maneira não apenas de proteger os consumidores, mas também os ativos corporativos. Isso aumenta o custo de obtenção de informações privadas e torna você um alvo menos atraente para invasores, ao mesmo tempo em que garante aos consumidores que você se importa com a segurança de seus dados pessoais e privados o suficiente para usar a tecnologia mais recente para mantê-los pessoais e privados.

A privacidade é importante, mas o desempenho também. A segurança não precisa ser sacrificada pela velocidade. O desempenho pode ser mantido mesmo ao adotar padrões mais elevados de segurança se houver cuidado e consideração na implementação para selecionar os serviços certos, no local arquitetônico certo.