ANÁLISE DE RISCO DE UM E-COMMERCE

Prévia do material em texto

FATEC SÃO CAETANO DO SUL – ANTONIO RUSSO
SEGURANÇA DA INFORMAÇÃO NOITE 4° SEMESTRE
PROFESSOR: NILTON STRINGASCI MOREIRA
EMILY DE OLIVEIRA - RA: 1680972013052 
PRISCILA A AQUINO - RA: 1680972023037 
GUILHERME A. Z. GORIA - RA: 1680972013029 
VANDO SOUZA DA SILVA - RA: 1680972013054
ANÁLISE E GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO 
ANÁLISE DE RISCO DE UM E-COMMERCE
São Caetano do Sul – SP 
2021
A EMPRESA
A CallIT é uma empresa no ramo de e-commerce, onde nosso foco é a facilidade na hora da escolha de seu produto, disponibilizando de forma simplificada nossas mercadorias. Criada por um grupo de amigos, oferecemos o que há de melhor no mercado da tecnologia, com produtos sempre atualizados e de marcas certificadas, garantindo assim a qualidade e a confiabilidade sempre! Contamos com profissionais altamente dispostos a ajudar na hora de realizar suas compras, dando total suporte e saneamento de dúvidas. 
Missão: Fornecer facilidade na hora da compra de produtos tecnológicos, oferecendo total segurança e agilidade no processo. 
Visão: Ser uma das principais referências no ramo de e-commerce na área tecnológica 
Valores: 
· Compromisso 
· Ética 
· Inovação 
· Facilidade 
· Agilidade 
· Sólida relação com nossos clientes 
 
TIPO DE NEGÓCIO 
Nosso foco é o e-commerce, onde vendemos equipamentos de tecnologia no geral, como notebooks, servidores, periféricos, câmeras, switches, roteadores, cabos no geral e tudo que há de necessário para sua infraestrutura, seja ela simples para sua residência ou de alta performance, em seu datacenter. 
Através do acesso ao nosso site ou app disponível para Android e iOS, você consegue aproveitar nossas ofertas e facilidades no pagamento, tudo em 12x sem juros no seu cartão de crédito. Com constante atualizações, garantimos total segurança em qualquer meio de acesso dos seus dados, de acordo com as normas de segurança e LGPD. 
 
CARACTERÍSTICAS TÉCNICAS 
Com aproximadamente 100 funcionários, contamos com um sistema em nuvem híbrida, onde a parte pública é dedicada para os clientes acessarem nossos produtos e a nuvem privada é de uso interno dos funcionários, com sistema de ponto e acessa à intranet. Também é onde os produtos são cadastrados e gerenciados, controle de estoque, solicitações de compras e financeiro, tudo isso através do nosso ERP SAP. 
 LOCALIZAÇÃO 
Nossas lojas são apenas virtuais, porém nosso centro de distribuição e logística é localizado na Rodovia Anhanguera, KM 15 no Centro Logístico Anhanguera, tornando assim o percurso de entrega dos produtos mais rápido, com fácil acesso as principais avenidas e rodovias de São Paulo.
MAPA DE RISCOS
MONITORAMENTO DOS FATORES DE RISCOS
FRAUDE
Atualmente a empresa não faz uma análise dos pedidos realizados, é importante realizar esse tipo de análise para entender o comportamento dos clientes e identificar quando algo sair do padrão. Um exemplo é o cálculo do ticket médio, se a empresa tem um ticket médio de R$1.000,00, e um cliente novo faz uma compra de R$3.000,00, deve se analisar a compra e entrar em contato com cliente para verificar se ele realizou essa compra ou se é uma tentativa de fraude.
Para realizar esse monitoramento dos pedidos, foi direcionado ao setor de pós-vendas para que fizessem o levantamento dos pedidos todo final de mês, para sempre atualizar o ticket médio, e sempre que um pedido alto entrasse o pós-vendas deve entrar em contato com o cliente para confirmar a compra. 
ProcessoAtivoObjetivo
Ameaça 
(agente)
Ameaça 
(Evento)
Cenário do RiscoVulnerabilidadesPlano de tratamento – PreventivoPlano de tratamento – Detectivo
Plano de 
tratamento – 
Corretivo
ProbabilidadeImpacto
Login na loja virtualServidorC/IHackerSQL Injection
a) 	O atacante pode 
obter dados sobre 
usários e acessar o 
banco de dados 
mesmo sem 
autorização b) O 
atacante pode injetar 
código malicioso 
afetando o sistema
a) Ausencia de 
bloqueio de 
tentativas de login 
b) Ausencia de 
bloqueio de 
metacaracteres
a)	 Boas práticas de codificação, visando 
a segurança. b)	 Politica de gestão de 
acesso, não permitindo acesso 
administrativo ao banco de dados
a)	 Realizar testes para construção de 
pedidos SQL de maneira a contornar 
eventuais mecanismos de proteção de 
uso de meta-caracteres. 
a)	 Patches de 
atualização no sistema 
b)	Bloqueio de 
usuários
MédiaAlto
Falha no SistemaPlataformaD/IDevOps
Loja Virtual fora 
do ar
a) 	Parada dos 
processos de 
faturamentos, vendas, 
etc. 
a) Falta de 
atualizações dos 
sistema. b) Faltas 
de testes 
aplicativos em 
ambientes seguros. 
a)	 Realizar backup dos dados. 	 b) 
Manter atualizações em dia. c) 
	Realizar testes continuos. 
a) 	Criação de Logs. b) 
	Monitoramento de Serviços e 
Recursos.
a) 	Realizar em um 
ambiente seguro a 
atualização do sistema 
e a recuperação dos 
dados antes de 
atualizar na 
plataforma.
MédioAlto
Atualização de 
Estoque na 
Plataforma
PlataformaDLogistica
Produto 
Indisponivel
a) Cliente não recebe 
o prodito pois ele está 
indisponível no 
esoque
a) Erro na 
contagem e gestão 
b) Erro na 
atualização do 
estoque na 
plataforma
a) 	Evitar ter muitos produtos parados 
na prateleira. b) Monitoramento das 
compras realizadas e atualização do 
estoque c) Utilizar sistema de 
gerenciamento integrado com a 
plataforma de vendas
a) 	Verificar o estoque e realizar um 
levantamento de todos os produtos e 
depois atualizar na plataforma
a)	 Entrar em contato 
com o cliente e 
verificar se o mesmo 
aceita um vale compra 
ou se prefere o 
estorno.
BaixoBaixo
DespachoProdutoDLogistica
Produto 
danificado
a) Cliente recebe o 
produto danificado
a) Embalagens não 
apropriadas para o 
produto.
a) 	Embalagem segura de acordo com 
o produto.
a) 	Gestão de qualidade
a) 	Envio de um novo 
produto.
BaixoMédio
FraudeProdutosC/D/IHacker
Compra 
fraudulenta
a) várias compras em 
um período curto. b) 
compras fora de 
padrão c) entrega 
rápida d) CPF inválido 
e) Chargeback
a) Não verificar CPF 
do titular da 
compra b) Não 
haver nenhum tipo 
de validação do 
cliente 
(email/telefone) c) 
Não haver análise 
de pedidos de alto 
valor
a) Politica de compra, onde será 
realizado o contato com o cliente para 
confirmar se o mesmo realizou essa 
compra. b) Validação do CPF, 
verificando se o mesmo pertence ao 
nome que está cadastrado na compra. 
c) Utilizar um sistema antifraude
a) Verificar pedidos altos, analisando a 
localidade da entrega e a confirmação 
com o cliente. b) Verificar contas que 
tenha mais de uma compra em um 
curto período de tempo
a) Entrar em contato 
com a operadora do 
cartão que foi 
realizada a compra. b) 
Procurar as 
autoridades para 
realizar a denúncia.
MédioAlto
Data: 20/10/2021Análise feita por: Emily / Vando / Priscila / GuilhermeEmpresa: E-commerce