A confidencialidade tem a ver com salvaguardar a exatidão e a inteireza das informações e métodos de processamento. Para tanto, é necessário que os processos de gestão de riscos identifiquem, controlem, minimizem ou eliminem os riscos de segurança que podem afetar sistemas de informações, a um custo aceitável.

A política de segurança da informação é um conjunto de práticas conhecidas pelo nível operacional de uma organização que busca estabelecer uma direção técnica clara que demonstre suporte e comprometimento com a segurança das informações.

A segurança física objetiva impedir acesso não autorizado, danos ou interferência às instalações físicas e às informações da organização. A proteção fornecida deve ser compatível com os riscos identificados, assegurando a preservação da confidencialidade da informação.

Define-se gestão de riscos de segurança da informação como a avaliação das ameaças e das facilidades de processamento, impactos e vulnerabilidades das informações e da probabilidade de ocorrência de tais riscos.

Serviços de não repudiação são técnicas utilizadas para detectar alterações não autorizadas ou corrompimento dos conteúdos de uma mensagem transmitida eletronicamente. Essas técnicas, que têm como base o uso de criptografia e assinatura digital, podem ajudar a estabelecer provas para substanciar se determinado evento ou ação ocorreu.

está sujeito à ação de robôs, que podem varrer a base de dados utilizando consultas automatizadas, já que não existe CAPTCHA.

disponibiliza também um web service de consulta, bastando para isso adicionar, na URL original, a string "?wsdl=true".

pode sofrer um ataque de SQL Injection, o que não aconteceria se a plataforma adotada fosse Java EE, utilizando JDBC.

poderia utilizar login e senha para garantir autenticação forte e, portanto, resguardar as informações confidenciais dos usuários.

utiliza um banco de dados relacional, possivelmente em cluster, para realizar a consulta de pendências, que pode ser desenvolvida em C# ou VB.NET.

buffer overflow, já que o tamanho da entrada não é verificado no objeto connStr.

buffer overflow, mesmo que o método em questão esteja declarado como protegido.

cross site scripting, pois não protege contra injeção de código javascript em cookies.

sql injection, pois permite que o objeto cmdStr seja montado de forma maliciosa.

sql injection, pois permite que o banco de dados seja especificado por parâmetros.

usuário malicioso pode colocar sua placa de rede em modo promíscuo, para capturar todo o tráfego da sub-rede.

mecanismo de VLAN impede que o usuário malicioso descubra o endereço MAC da estação do presidente.

switch, em oposição ao hub, não permite que as conexões TCP do Windows sejam sequestradas.

sequestro de conexões HTTPS é possível sem que o presidente seja alertado em seu navegador, Firefox, por exemplo.

estação do presidente está sujeita a ataques de ARP Spoofing, mesmo estando conectada a um switch.

se após o passo 5 um hacker conseguir a senha privada de Bob, a comunicação passará a ser insegura.

se um hacker possuir a chave pública de Bob e se fizer passar por ele enviando a chave pública para Alice ele poderá obter a chave simétrica gerada por Alice.

o tipo de sistema criptográfico adotado a partir do passo 5 apresenta um desempenho melhor do que o utilizado até o passo 4, apesar de ser menos seguro.

uma vez que Alice utilizou a chave pública de Bob, Bob tem como verificar a autenticidade da chave simétrica.

devido à criptografia simétrica, as mensagens originadas por Alice terão sempre o mesmo tamanho, independente do tamanho original antes da criptografia.