A importância de padrões quando tratamos de autenticação e assinaturas de documentos eletrônicos
28 de março de 2023Precisamos de identidades digitais fortes para nos autenticar em sistemas e assinar documentos eletrônicos com valor legal
Artigo escrito por AC Qualitycert
O que pode ser mais importante nas relações pessoais e comerciais do que a credibilidade?
Ter credibilidade é a capacidade de se apresentar de forma que as outras partes – pessoas e organizações – confiem em quem você é, no que você fala e o que você manifesta como vontade própria.
Nos tempos atuais, a credibilidade é cada vez mais importante uma vez que nossas relações se passam num mundo ultra conectado e onde existem fraudadores a espera de uma oportunidade para roubar a identidade das pessoas e com isso, poderem contratar serviços, comprar produtos e pagar com dinheiro alheio e, principalmente, obter acesso para ações muito mais lucrativas como, por exemplo, o ransomware que é o sequestro de dados seguido de extorsão.
Portanto, nesse cenário precisamos de identidades digitais fortes para que possamos nos relacionar com empresas e pessoas para nos autenticar em sistemas e assinar documentos eletrônicos com valor legal.
O nível de segurança e comprovação de diferentes credenciais
No meio eletrônico existem diversas formas de se autenticar e cabe às organizações a seleção do meio mais seguro, mais conveniente e mais adequado.
Nem sempre você precisará de credenciais que contenham evidências comprobatórias robustas, mas também não se pode utilizar credenciais fracas para situações críticas e de valor elevado.
Porém, é evidente a diferença entre os diversos tipos de credenciais de identificação digital para uso em autenticações e assinaturas eletrônicas.
A diferença é cristalina uma vez que o certificado digital ICP-Brasil segue rigorosos padrões técnicos e regulatórios e, na outra ponta, diversas credenciais estão sendo emitidas por empresas privadas nacionais e internacionais sem a necessidade de seguir os padrões técnicos e regulatórios.
Padrões
A ICP-Brasil é um ecossistema que segue um conjunto de funções, políticas, hardware, software e procedimentos necessários para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais e gerenciar a criptografia de chaves públicas.
As empresas que ofertam no mercado brasileiro plataformas, por exemplo, de onboarding digital ou assinaturas eletrônicas, seguem cada qual seus próprios processos e metodologias para identificar seus usuários de forma mais precisa possível.
Mesmo que essas empresas tenham desenvolvido processos e métodos extremamente seguros e eficientes, é fato que não seguem padrões e não são auditados por nenhum órgão público ou mesmo contratam empresas de auditoria independente.
As empresas em questão não apresentam publicamente nenhum documento técnico com reconhecimento internacional sobre o ciclo de vida das credenciais que emitem. Mas, por outro lado, as empresas das hierarquias de PKI – Public Key Infrastructure em português, Infraestrutura de Chaves Públicas exibem publicamente seus processos.
Na ICP-Brasil e em outras PKIs é mandatória a publicação de documentos como PC e DPC respectivamente Política de Certificação e Declaração de Práticas de Certificação.
A Política de Certificação descreve os requisitos, procedimentos e nível de segurança adotados para a emissão, revogação e gerenciamento do ciclo de vida de um Certificado Digital.
Já a Declaração de Práticas de Certificação – DPC é um documento periodicamente revisado e republicado, que descreve as práticas e os procedimentos empregados pelas Autoridades Certificadoras (AC) e utilizados pelas suas Autoridades de Registro (AR) vinculadas, na execução de seus serviços.
Os padrões utilizados por toda a cadeia da ICP-Brasil garantem inclusive o mútuo reconhecimento de documentos eletrônicos assinados com certificados digitais entre nações.
Interoperabilidade
Interoperabilidade, uma palavra complicada de falar, e que carrega um conceito superimportante no mundo atual
A interoperabilidade é a capacidade de diversos sistemas e organizações trabalharem em conjunto (interoperar), de modo a garantir que pessoas, organizações e sistemas computacionais interajam para trocar informações de maneira eficiente.
A interoperabilidade técnica é o contínuo desenvolvimento de padrões de comunicação, transporte, armazenamento e representação de informações, através do envolvimento de um conjunto de organizações.
É de competência da Tecnologia da Informação facilitar a convergência de padrões, onde seja possível ter um conjunto de padrões no sistema em benefício da comunidade.
Porque estamos trazendo esse tema sendo uma Autoridade Certificadora da ICP-Brasil?
Porque interoperabilidade é mais uma vantagem que os certificados digitais ICP-Brasil têm em relação à outras credenciais que estão sendo utilizadas para assinatura e autenticação.
Resumindo, a diferença das credenciais de identificação é a seguinte: os certificados digitais ICP-Brasil estão para os documentos como RG e CNH assim como outras credenciais estão para as carteirinhas de clube.
Basicamente porque é muito mais simples emitir uma carteirinha de clube do que a carteira de Identidade Civil.
A Identificação pelo RG é cercado de padrões técnicos e procedimentos de segurança para constatação da identidade e todos nós conhecemos e temos acessos aos processos utilizados enquanto a carteirinha do clube pode ser emitida com critérios e metodologias próprias.
Isso nos remete ao título do artigo: A importância de padrões quando tratamos de autenticação e assinaturas de documentos eletrônicos.
Se você trabalha com identificação digital entenda e divulgue as diferenças entre as credenciais de identidade digital.
Nós, da AC Qualitycert, nos empenhamos para levar até nossos parceiros e clientes conceitos que dão credibilidade a tecnologia dos Certificados Digitais ICP-Brasil como um dos recursos mais importantes da atualidade para estabelecer a confiança entre as partes e formalizar as transações online com segurança.
Como consultar a validade dos documentos eletrônicos?
PKI/ICP – a confiança digital para um mundo real
Deep fake: entenda como funciona e os riscos da tecnologia
A Qualitycert – Autoridade Certificadora, é uma organização de tecnologia e segurança especializada em Certificação e Identificação Digital.
Com destaque para seu crescimento acelerado nos últimos anos e completa estrutura, a empresa possui DNA jovem e através de muita inovação está revolucionando o segmento da identificação digital para pessoas e empresas de forma ágil e segura.
Presente em todo território nacional, a AC Qualitycert oferece um portfólio com soluções abrangentes, produtos altamente eficazes, equipe técnica especializada e gestão humanizada.
Parceria para Autoridades de Registro
Saiba mais sobre a AC Qualitycert clicando aqui.
Outros artigos da AC Qualitycert você pode acessar aqui
O modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz – AC-Raiz, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos. Uma Infraestrutura de Chaves Públicas estabelece padrões técnicos e regulatórios que permitem a interoperabilidade dos certificados digitais para autenticação, assinatura e criptografia. Seguem padrões regulatórios e técnicos universais que compõem essa cadeia de confiança que pela solidez e rigoroso controle gera na utilização dos Certificados Digitais evidências matemáticas que garantem autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade para o não repúdio dos atos praticados no meio eletrônico e os ativos eletrônicos a eles relacionados.
O certificado digital é conjunto de dados, gerados por uma Autoridade Certificadora – AC após a validação das credenciais do titular que é realizada por uma Autoridade de Registro – AR o que garante ao certificado o caráter personalíssimo. O titular do certificado digital pode ser pessoa física, pessoa jurídica e também pode ser emitido para equipamentos e para aplicações. Na ICP-Brasil estão definidos oito tipos de certificados para titulares, classificados da seguinte forma: A1, A2, A3, A4, S1, S2, S3 e S4 e um tipo de certificado para Autoridades Certificadoras. Na prática, funciona como uma identidade virtual e permite a identificação segura e indiscutível do autor em transações em meios eletrônicos.
O Instituto Nacional de Tecnologia da Informação – ITI é uma autarquia federal, vinculada a Casa Civil da Presidência da República, que tem por missão manter e executar as políticas da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil. Ao ITI compete ainda ser a primeira autoridade da cadeia de certificação digital – AC Raiz. A Medida Provisória 2.200-2 de 24 de agosto de 2001 deu início à implantação do sistema nacional de certificação digital da ICP-Brasil. Isso significa que o Brasil possui uma infraestrutura pública, mantida e auditada por um órgão público, no caso, o ITI, que segue regras de funcionamento estabelecidas pelo Comitê Gestor da ICP-Brasil, cujos membros, representantes dos poderes públicos, sociedade civil organizada e pesquisa acadêmica, são nomeados pelo Presidente da República.
A Infraestrutura de Chaves Públicas – ICP, é o conjunto de normas e requesitos técnicos. Os requisitos englobam a homologação de hardwares e softwares e envolvem, da mesma forma, o complexo conjunto de procedimentos relacionados ao ciclo de vida dos certificados digitais. No Brasil é denominada Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.
A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por uma Autoridade Certificadora Raiz (AC-Raiz), Autoridades Certificadoras (AC) e Autoridades de Registro (AR) e, ainda, por uma autoridade gestora de políticas, ou seja, o Comitê Gestor da ICP-Brasil. Existem ainda outros tipos de entidades como a Autoridade de Carimbo do Tempo, Entidade Emissora de Atributo, Prestador de Serviço de Suporte e Prestador de Serviços de Confiança.
