Close Menu
    Notícias

    Segurança em Web Services

    By 3 Mins Read

    Segurança em Web Services


    Introdução
    Construir Web Services seguros implica em entender as ameaças em que os serviços estão expostos e ter definido qual nível de segurança deve ser alcançado. A maneira mais eficaz de se implementar segurança em aplicações é estar em consonância com os princípios, padrões e práticas. Os impactos negativos de uma falha de segurança podem comprometer os dados confidênciais, ceder acesso não autorizado e até mesmo comprometer a reputação e confiabilidade da instituição que esta prestando o serviço.
    Para prover aos sistemas que utilizam a tecnologia de Web Services as seguintes recomendações são apresentadas:
    Segurança no nível de aplicação:

    • Prover a cifração das mensagens trocadas entre as partes utilizando XML Encryption Syntax and Processing e Decryption Transform for XML Signature (XMLenc) conforme a Especificação Técnica do GT 2 – Segurança recomenda na Tabela 8 – Especificações para Segurança – Desenvolvimento de Sistemas.
    • Prover a autenticação de chaves e o gerenciamento de certificados utilizando XML Key Management Specification (XKMS 2.0) conforme a Especificação Técnica do GT 2 – Segurança recomenda na Tabela 8 – Especificações para Segurança – Desenvolvimento de Sistemas.
    • Prover a assinatura digital utilizando XML Signature Syntax and Processing (XMLsig) conforme a Especificação Técnica do GT 2 – Segurança recomenda na Tabela 8 – Especificações para Segurança – Desenvolvimento de Sistemas.
    Segurança no nível de transporte:

    • Prover a segurança utilizando o componente Transferência de Dados em Redes Inseguras conforme a Especificação Técnica do GT 2 – Segurança recomendada na Tabela 5 – Especificações para Segurança – Comunicação de dados.
    Mínimo de segurança recomendado:

    • O mínimo segurança exigido para troca de informações entre as aplicações que utilizem Web Services com os protocolos HTTP ou SMTP é a utilização de segurança no nível de aplicação utilizando o componente Transferência de Dados em Redes Inseguras conforme a Especificação Técnica do GT 2 – Segurança recomendada na Tabela 5 – Especificações para Segurança – Comunicação de dados.
    Os servidores que provem serviços de Web Services deverão utilizar Certificado Digital da AC-raiz nos padrões da ICP-Brasil para que se possa garantir de autenticidade das informações trocadas entre as partes.
    • Para serviços que necessitem de autenticação como usuário, senha ou qualquer outro mecanismo de autenticação, recomenda-se que tal informação seja transportada de forma criptografada na sessão de HEADER quando houver a utilização do protocolo de acesso SOAP.

    Documento em Adobe Acrobat (.pdf) – 98 KB, 18/10/2013

    Evento interessante:
    Conferência Web W3C Brasil 2013 — Programa de Governo Eletrônico Brasileiro – Sítio Oficial  Novembro de 2013.

    O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.
    Compartilhe:

    Produzido por:

    © 2014  CryptoID. Todos os direitos reservados.

    Fique sempre informado sobre tudo o que acontece.

      Área de atuação*

      Nível de experiência*

      Isso vai fechar em 0 segundos

      X