De tempos em tempos, voltamos com a mesma discussão no mercado de Certificação Digital. Afinal, o Certificado Digital é serviço ou produto?
Por Susana Taboas
A primeira vez que precisei estudar essa questão, foi há muitos anos quando eu ainda era vice-presidente de uma Autoridade Certificadora da ICP-Brasil.
Entre outras áreas, a financeira, contábil e fiscal estavam sob minha responsabilidade e então precisei contratar pareceres de consultorias tributária e legais, para avaliar como seriam faturados os certificados digitais desta AC.
Não quero neste artigo entrar nas questões tributárias e de direito comercial, nem relatar o resultado da avaliação dessas consultorias, mas gostaria de compartilhar minha visão particular sobre essa questão. Afinal, o Certificado Digital é um serviço ou um produto?
Entende-se por prestação de serviço a execução de um trabalho oferecido ou contratado por terceiros. A prestação de serviço se caracteriza por ser algo intangível, imaterial e inseparável, ou seja, que é utilizada ao mesmo tempo que é produzida. E, é nesse princípio que justamente me apoio para apresentar meu ponto de vista.
A chave privada e a chave pública
O Certificado Digital é um software, é um arquivo eletrônico único que possui duas partes para seu funcionamento: a chave pública e a chave privada.
A chave privada é entregue ao titular do certificado e é utilizada para assinar digitalmente e se autenticar em aplicações eletrônicas, em conjunto com sua chave pública.
O conjunto de chaves pode ser emitido diretamente em um dispositivo ou no navegador.
O certificado tipo A1 é acionado diretamente nos navegadores e certificados do tipo A3 é armazenado em dispositivos criptográficos como token, Smartcard e HSM – Hardware Security Module. Esclarecemos que, os certificados em nuvem são armazenados em HSMs criptográficos.
No caso dos dispositivos de armazenamento, estes sim são produtos que são bens tangíveis e podem, inclusive, armazenar outras chaves simultaneamente e serem reutilizados quantas vezes forem necessárias, independentemente da validade e expiração dos certificados. Desta forma, fica claro que o dispositivo não é parte do Certificado Digital, ok?
O que garante a validade dos Certificados Digitais?
Ao utilizarmos o Certificado Digital, é feita uma consulta automática à LCR – Lista de Certificados Revogados ou OCSP – Online Certificate Status Protocol que as Autoridade Certificadora mantém atualizadas.
A LCR é publicada em um repositório público e a cada período de publicação a lista é assinada e selada, ou melhor, assinada digitalmente por um Certificado Digital da Autoridade Certificadora correspondente e recebe um Carimbo do Tempo. A verificação feita em tempo real é chamada OCSP que segue os mesmos critérios de publicação da LCR, mas a publicação da revogação é feita em tempo real.
Portanto, as ACs continuam a prestar um serviço aos titulares dos certificados que é informar à terceiros o status dos certificados por meio dessas listas. Tanto a LCR quanto o OSCP não ficam num local tipo “arquivo morto”, muito pelo contrário.
A publicação e manutenção das LCRs e OCSP são um dos muitos procedimentos realizados pelas ACs.
As ACs utilizam recursos de hardwares, softwares e de pessoas para cuidar da manutenção e manter a operação funcionando 24 horas por dia, nos 365 dias do ano.
Se ocorrer uma falha no Datacenter de uma AC e a operação for interrompida, as aplicações fiquem impedidas de consultar a LCR ou o OSCP, consequentemente, impossibilita o uso dos certificados. Em decorrência disso, as diferentes aplicações não poderão ser utilizadas pelos titulares dos Certificados Digitais emitidos por essa determinada Autoridade Certificadora tais como: Notas fiscais Eletrônicas não podem ser emitidas, não há, por exemplo, como o certificado acessar o serviço da Receita Federal do Brasil – e-CAC, advogados e médicos não podem utilizar seus certificados para emissão de laudos e prescrição medica entre outros atos.
Serviço ou produto?
Para manter a AC operando é necessário que uma série de procedimentos estejam ok , vale aqui um breve panorama desses procedimentos necessários para que o serviço seja prestado.
A operação de um Datacenter de uma AC é extremamente complexa e custosa e requer o cumprimento de inúmeros requisitos de idoneidade e segurança por parte dos funcionários com rigoroso controle de acesso e, principalmente, segregação de funções dentre os funcionários que trabalham nessa operação.
É muito importante, também, abordar a questão do perfil dos funcionários que trabalham diretamente no coração da operação da guarda dos certificados dentro do Data Center. Essa operação requer o acompanhamento e envolvimento da área de Recursos Humanos e de Auditoria Interna de forma constante. Esses profissionais precisam ter um perfil particular, por isso o RH, além de selecionar o perfil adequado para contratação, precisa monitorar o padrão de comportamento desses funcionários para evitar acessos indevidos e possível fraude na operação.
Outra questão relevante é que são formados grupos de profissionais multidisciplinares dentre os funcionários que trabalham no Datacenter e em outras áreas da empresa para ficar em “sobreaviso” à disposição da Autoridade Certificadora. São diversos grupos que ficam disponíveis por 15 dias x 24 horas por dia incluindo sábados, domingos e feriados para o caso de uma possível ocorrência que precise de uma ação imediata no Data Center.
Esse controle da operação requer muita atenção por parte da AC envolvendo sistematicamente a comunicação sobre a disponibilidade desses profissionais. Além disso, as ACs da ICP-Brasil precisam ter redundância operacional de Datacenter, portanto a operação é duplicada e por questões de segurança, geralmente, ficam localizados em cidades diferentes.
Essas são algumas das especificidades de como a AC presta esse serviço. Obviamente, existem muitos outros fatores que envolvem o ciclo de vida dos Certificados Digitais, mas esse não é nosso objetivo nesse momento.
Finalizando, a descrição formal do que é serviço é “a prestação de serviço se caracteriza por ser algo intangível, imaterial e inseparável, ou seja, que é produzido e utilizado ao mesmo tempo e não resulta na posse de um bem” e o Certificado Digital se caracteriza exatamente por isso porque ser algo intangível e inseparável por tudo que explicamos nesse artigo. Ainda mais se considerarmos a potencial mudança do modelo de negócios para cobrança por uso do Certificado Digital (Certificado Digital as a Service).
Ainda existem muitas outras questões e interesses em considerar com relação a esse tema, mas isso é uma outra história, que falaremos em outra ocasião.
Artigo atualizado em 11 de março de 2022.
Sobre Susana Taboas
Susana Taboas | Sócia Fundadora do Portal Crypto ID, COO – Chief Operating Officer – CryptoID. Formada em Economia pela PUC Rio, com MBA em Finanças pelo IBMEC-RJ e diversos cursos de extensão na FGV RJ, INSEAD e Harvard University (EUA). Durante mais 25 anos atuou em posições no C-Level de empresas como Vale do Rio Doce, NEC do Brasil, Cheminova, Nortel, Cableway Argentina, CertiSign, Cast Group e Supportcomm. Durante sua carreira acumulou ampla experiência na definição e implementação de projetos estratégicos de médio e longo prazo nas áreas de Governança Corporativa, Recursos Humanos, Planejamento Estratégico, Financeiro, Tributaria e de Operações Estruturadas no Brasil e no Exterior. É também sócia fundadora da Insania Publicidade.
Leia outros artigos escritos por Susana Taboas aqui!
Sobre Crypto ID
O Crypto ID está entre os mais segmentados e conceituados portais brasileiros sobre segurança da informação com foco em soluções com garantias legais às transações feitas nos meios eletrônicos.
Estamos no ar desde 2014 levando aos leitores tendências e soluções disponíveis no mercado de segurança digital para que empresas públicas e privadas, governos e instituições acadêmicas possam, por meio do conhecimento, estruturar projetos de transformação digital e cyber segurança de forma mais eficiente possível.
Linkedin | Facebook | Twitter | ID Cast | Instagram | Youtube | Pinterest |TikTok
Inscreva-se na nossa Newsletter!
Sobre Crypto ID
O Crypto ID está entre os mais segmentados e conceituados portais brasileiros sobre segurança da informação com foco em soluções com garantias legais às transações feitas nos meios eletrônicos.
Estamos no ar desde 2014 levando aos leitores tendências e soluções disponíveis no mercado de segurança digital para que empresas públicas e privadas, governos e instituições acadêmicas possam, por meio do conhecimento, estruturar projetos de transformação digital e cyber segurança de forma mais eficiente possível.
Linkedin | Facebook | Twitter | ID Cast | Instagram | Youtube | Pinterest |TikTok
