Entrevistamos uma das Colunistas do Crypto ID, Doutora Viviane Bertol, CEO da empresa PKI Consulting, sobre as alterações relacionadas aos novos procedimentos de validação de identificação dos titulares dos certificados ICP-Brasil, o que é uma Autoridade de Registro Eletrônicas no Brasil e em outros países e entre outros assuntos o trabalho feito pela PKI Consulting voltado para adequação das empresas à LGPD – Lei Geral de Proteção de Dados.
Em 23 de fevereiro foi Publicada Instrução Normativa que regulamenta a emissão de certificado digital por videoconferência e entrou em vigor, a partir de 1º de março de 2021, a opção de validação por videoconferência para a emissão dos certificados Digitais ICP-Brasil.
Leia algumas questões que destacamos da entrevista, mas não deixe de assistir o vídeo! icp
Pode acessar o vídeo pelo link ou lá no topo desse artigo!
Crypto ID: Indo direto ao ponto, Dra. Viviane, podemos dizer que as ARS que farão as validações remotas passam a ser classificadas ARs Eletrônicas? Existe diferença entre uma AR Eletrônica e a que faz validação remota?
Viviane Bertol: Entendo que as ARS que fazem validação remota não podem ser classificadas como ARs Eletrônicas.
A AR ELETRÔNICA é apenas um termo utilizado pela indústria da certificação digital, que vem comentando sobre essa possibilidade futura.
Na regulamentação da ICP-Brasil não existe esse modelo de AR, o que existe é um “módulo eletrônico de AR”, que pode ser utilizado para a emissão de certificados digitais de servidores públicos, militares e correntistas de bancos múltiplos e da Caixa Econômica Federal, entre outros, conforme previsto nos itens 3.2.9.3 e 3.2.9.4. do DOC-ICP-05
Nesse modelo, se o solicitante do certificado preencher os requisitos, será possível emitir o certificado digital através de um serviço automatizado, inclusive, sem a necessidade da habitual validação e/ou verificação feita por um Agente de Registro, mas se destina a um público bastante restrito.
No atual momento, as ARs convencionais, ou seja, ARs de entidades privadas ou públicas que não pertencem aos órgãos anteriormente mencionados, ainda não podem emitir nestes moldes.
O modelo a ser utilizado para as ARs Eletrônicas ainda se encontra em estudo.
Por outro lado, a validação remota é apenas mais uma modalidade de validação que pode ser realizada por uma AR convencional. Nela, a apresentação de documentos pode não ser necessária, caso exista cadastro biométrico do solicitante, mas a participação dele no processo é obrigatória.
A diferença entre a validação remota e a presencial é que o solicitante do certificado não está no mesmo local que o AGR, mas deve interagir com ele por meio de videoconferência, onde são realizados diversos procedimentos O Solicitante deve se deixar fotografar, em alguns casos permitir a coleta das digitais, deve responder a perguntas do AGR, deve receber e informar um código OTP, entre outras ações necessárias para agregar segurança ao processo.
Toda a videoconferência não pode sofrer qualquer tipo de interrupção, sob pena de o processo ser invalidado.
Crypto ID: Lá atrás em meados do ano 2000, quando vocês – equipe do ITI – estavam escrevendo os documentos da ICP-Brasil já se projetava as validações remotas? E se sim, quais eram as dificuldades para essa implementação na época e porque agora temos condições de fazer?
Viviane Bertol: Não, naquela época não se projetava a validação remota. Na época da criação da ICP-Brasil, em 2001, a validação presencial se mostrava de grande importância, sendo mesmo um diferencial extremamente positivo para o país, em relação a outros que não a aplicavam, pois se tratava de uma forma de identificação robusta e menos sujeita a fraudes.
Tanto é assim que a validação presencial foi incluída como obrigatória no artigo 7º da Medida Provisória 2.200-2, de 2001, que criou a ICP-Brasil, onde são elencadas a atribuições das ARs:
“Às AR, …., compete identificar e cadastrar usuários na presença destes”
Isso somente foi flexibilizado no começo da pandemia, em 2020, com a edição da medida Provisória 951, de abril de 2020, onde consta
Às ARs…. compete identificar e cadastrar usuários, encaminhar solicitações de certificados às AC e manter registros de suas operações.
Parágrafo único. A identificação será feita presencialmente, mediante comparecimento pessoal do usuário, ou por outra forma que garanta nível de segurança equivalente, observada as normas técnicas da ICP-Brasil.
Em seguida foi publicada Resolução 170 do Comitê Gestor da ICP-Brasil, que regulamentou o assunto e permitiu a emissão remota de certificados digitais, mas num regime transitório.
A aceitação da validação remota de forma definitiva veio em setembro de 2020, com a Lei 14.063, que alterou o texto da MP 2.200-2 para retirar a obrigatoriedade da validação presencial. Tivemos em fevereiro de 2021 a publicação da IN 05/2021 do ITI, que regulamentou como devem ser realizadas as validações remotas daqui em diante.
Isso se mostra uma medida correta e não apenas em função da pandemia. Ocorre que de 2001 para cá, muitas coisas mudaram.
Em 2015 a ICP-Brasil criou a figura do PSBIO e incorporou a coleta biométrica como procedimento de segurança adicional na emissão de certificados. Então temos uma base de dados bastante robusta, já, de biometrias coletadas na ICP-Brasil nesse período. Também foram criadas as bases biométricas oficiais, como as do TSE e do Denatran.
A tecnologia utilizada na biometria se mostrou muito confiável. Muitos países passaram a adotar essa e outras modalidades de confirmação de identidade, além da validação presencial.
Crypto ID: Aí na Europa, já se faz há algum tempo a validação remota para emissão de certificados qualificados como os nossos da ICP-Brasil? Saberia nos dizer em quais países?
Viviane Bertol: Como sabem, na Europa está em vigor o eIDAS – que é o Regulamento sobre Identificação Eletrônica e Serviços de Confiança. Ele foi adotado em 2014 e entrou em vigor em 2016, e substituiu a Diretiva 93/1999, de assinaturas eletrônicas.
Lembro inclusive que vocês publicaram na Crypto ID um artigo do Colin van den Heuvel, da AET Europe, sobre esse assunto | Proteção de Dados e identificação digital como é atualmente na Europa. Ouça
O objetivo do eIDAS é criar regulamentos e padrões consistentes na UE para identidades eletrônicas e para serviços de confiança que suportam autenticação e assinaturas.
Os Serviços De Confiança regulamentados pelo eIDAS podem incluir: emissão de certificados digitais e selos eletrônicos para assinatura digital e autenticação de sites, emissão de carimbos do tempo e entrega eletrônica registrada.
No seu Artigo 24, o eIDAS define os requisitos aplicáveis aos prestadores qualificados de serviços de confiança, que são o equivalente às nossas ACs credenciadas na ICP-Brasil.
Nesse artigo do Regulamento está previsto que:
“1. Ao emitirem certificados referentes a serviços de confiança, os prestadores qualificados de serviços de confiança verificam, pelos meios adequados e nos termos da legislação nacional, a identidade e as eventuais características específicas da pessoa singular ou coletiva à qual é emitido o certificado qualificado.
As informações referidas no primeiro parágrafo são verificadas pelos prestadores qualificados de serviços de confiança pelos seus próprios meios ou recorrendo a um terceiro, nos termos da legislação nacional:
a) Mediante a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva; ou
b) À distância, utilizando meios de identificação eletrónica, para os quais tenha sido assegurada, antes da emissão do certificado qualificado, a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva e que cumprem os requisitos estabelecidos no artigo 8. relativamente aos níveis de garantia «substancial» ou «elevado»; ou
c) Por meio de um certificado de assinatura eletrónica qualificada ou de um selo eletrónico qualificado emitido nos termos das alíneas a) ou b); ou
d) Utilizando outros métodos de identificação reconhecidos a nível nacional que deem garantias equivalentes, em termos de confiança, à da presença física. A equivalência de tais garantias será confirmada por um organismo de avaliação da conformidade. “
Assim, fica claro que na Europa a validação à distância pode ser aceita, desde que baseada em algum meio de identificação eletrônico onde tenha havida uma validação presencial e um método de autenticação substancial ou elevado, mesmo que esse meio seja provido por um terceiro.
Isso vem ao encontro do que fazemos agora no Brasil, usando como apoio para a emissão de certificados digitais as bases biométricas da ICP-Brasil, do TSE e do Denatran.
A utilização dessa prerrogativa de validação à distância para emissão de certificados digitais qualificados vem sendo usada por vários países como Portugal, Suíça e França. Alguns adotaram essa modalidade de validação por causa da pandemia, como ocorreu no Brasil.
Crypto ID: Quais foram as principais mudanças nos procedimentos das ARs para a adequação a validação remota?
Viviane Bertol: Houve muito aprendizado por parte das ARs e dos seus AGRs, com a mudança de cultura e da forma de utilização dos sistemas das ACs.
Os AGRs tiveram que se adaptar a um sistema novo de emissão realizado através de videoconferência, no qual eles precisam executar diversos passos adicionais no atendimento ao cliente. Foi necessário realizar treinamentos, que devem ser reforçados periodicamente para toda a equipe de agentes.
O dia-a-dia de um AGR não é mais o mesmo. Antes ele recepcionava o cliente, analisava a documentação, submetia em meio digital no sistema da AC, coletava as biometrias e enviava o processo para verificação ou emitia diretamente, dependendo do tipo de documento de identificação apresentado.
Agora o AGR recebe antecipadamente todos os documentos que foram previamente enviados pelo cliente no momento da compra do certificado no sistema da AC.
O AGR faz a conferência desses documentos com os dados que o cliente preencheu no sistema, entra em contato com o cliente no horário agendado para a validação e o instrui acerca de todo o processo. Coleta as biometrias da face e das digitais (algumas ACs coletam apenas a face, outras coletam ambas as biometrias). Após isso o processo segue para verificação pelo segundo AGR ou para emissão direta, conforme o caso.
O processo em si ficou mais rápido, além de não necessitar de deslocamento do solicitante do certificado até a AR, ou vice-versa, dando mais comodidade, porém foram criadas mais checagens durante o procedimento de validação, por isso a necessidade de um reforço no treinamento.
Crypto ID: Em relação as ACs, houve também alterações de procedimento em função a videoconferência?
Viviane Bertol: Sim, diversas. As ACS tiveram que desenvolver um sistema de emissão de Certificados através de videoconferência com os requisitos que estão previstos no DOC-ICP-05.05,.
Elas precisaram adequar os seus sistemas de certificação, para incluir chamada de vídeo no momento da validação e também precisaram alterar a aplicação de coleta das biometrias da face e/ou das digitais.
Os novos procedimentos devem garantir que a videoconferência seja realizada em tempo real e sem interrupções ou pausas, ter qualidade adequada de som e imagem para permitir a identificação clara do requerente e com a gravação de data e hora sincronizada com a Fonte Confiável do Tempo – FCT da ICP-Brasil.
Além disso, as ACs também se adaptaram para consultar outras bases de dados como a DataValid, do Serpro, que permitiu que mais pessoas, que já tenham sua biometria cadastrada através do DENATRAN emitissem seu primeiro certificado digital de forma remota. Até mesmo o
Da mesma forma, os prestadores de serviço biométrico (PSBio), tiveram mudanças em relação ao padrão das coletas biométricas. Os sistemas de coleta e batimento biométrico também tiveram que ser adaptados para essa nova forma de emissão, permitindo uma checagem biométrica de qualidade e segura, para que não aconteçam fraudes no processo de validação online.
As ACs estão cientes de que o processo de validação remota é uma realidade que veio para ficar e estão aperfeiçoando seus sistemas para que tornar o CD cada vez mais acessível e seguro.
Crypto ID: Vamos falar agora das auditorias? Vocês farão as auditorias de forma remota? Como será isso?
Viviane Bertol: Vamos distinguir aqui dois conceitos: auditoria remota e auditoria de certificados emitidos por validação remota.
A auditoria remota é uma forma de auditoria vem sendo praticada na ICP-Brasil desde antes da pandemia. Antes ela estava restrita às auditorias operacionais, porém desde o início da pandemia foi autorizada a realização remota também de auditorias pré-operacionais.
Nós da PKI estamos 100% preparados para esse tipo de auditoria e com garantia de que todos os nossos processos executados de forma remota têm a mesma qualidade da auditoria presencial.
Nosso diferencial sempre foi o trabalho consultivo, atuamos na melhoria contínua das entidades integrantes da ICP-BRASIL que nos contratam. Nossa parceria não se limita apenas à cobrança dos requisitos mínimos exigidos pela ICP-BRASIL, mas também no comprometimento para que a conformidade aconteça da melhor maneira possível.
Para apoio nas auditorias temos um sistema com desenvolvimento próprio, focado nas auditorias no âmbito da ICP-BRASIL, conhecido como Portal PKI, para inclusão dos documentos por parte das ARs e ACs no decorrer da auditoria.
Nesse repositório automatizado, as ARs e ACs podem incluir as evidências que foram solicitadas pelo auditor e verificar rapidamente o que já foi entregue ou o que está pendente. Também podem acompanhar em tempo real tudo o que está acontecendo na auditoria: todos os e-mails trocados e conversas registradas, bem como o status do trabalho, como por exemplo: “Em Análise do Auditor”, “Em Análise do Revisor”, “Minuta do relatório com AR e AC”, “Finalizado”, “Entregue”, Etc…
Também desenvolvemos um software para realizar a verificação da segurança lógica dos equipamentos das ARs, que em segundos gera um relatório informando se a configuração do equipamento está em conformidade com o exigido pela ICP-BRASIL. Com isso economizamos o tempo dos nossos auditores e das ARs auditadas.
Durante o processo de auditoria também verificamos, por amostragem, dossiês de certificados emitidos, para avaliar se foram seguidos os passos previstos para a validação e verificação de certificados e se foram coletadas as evidências necessárias.
É nesse momento da auditoria que se apresenta a diferença entre certificados emitidos por validação presencial e por validação remota. No caso de validações remotas os dossiês precisam conter evidências adicionais, como gravação da videoconferência, registro dos procedimentos utilizados para validação do código OTP que é enviado ao solicitante do certificado durante a validação, etc.
Por fim, mas não menos importante, treinamos os nossos auditores e revisores para que as auditorias de forma remota não percam a segurança e qualidade das informações.
Crypto ID: Como é o trabalho da PKI Consulting em relação a LGPD?
Viviane Bertol : Além de auditorias e consultorias em ICP-Brasil, estamos trabalhando com consultoria para adequação de empresas à LGP. Temos um time muito competente, com consultores certificados, e desenvolvemos metodologia e ferramentas para auxiliar nesse processo.
Nosso sócio Fabiano Menke, estuda a fundo esse tema e ministra disciplinas nessa área na UFRGS.
É bom lembrar que a adequação à LGPD abrange 3 disciplinas: Segurança de TI, Governança e Jurídica. Na área de Segurança de TI devem ser consideradas as medidas preconizadas nas normas ISO 27001 e 27701.
Na área de governança temos a criação de políticas e procedimentos documentados e as medidas propostas pela ISO 38500. Na área jurídica, temos a avaliação das bases legais para o tratamento dos dados e os ajustes de contratos com clientes e fornecedores.
Assim, no nosso projeto de consultoria, fazemos um diagnóstico inicial, que mostra a aderência em que a empresa se encontra em relação à situação desejada.
Apresentamos o resultado para a alta direção da empresa. Esse momento é importante, pois conseguimos perceber qual a abordagem será adotada para o prosseguimento do trabalho.
Há empresas que desejam apenas fazer o mínimo possível para nãos serem multadas numa eventual fiscalização da ANPD. Outras querem aproveitar a oportunidade para buscar os benefícios que a adequação à LGPD proporciona, como o aumento da confiança do consumidor, a obtenção de diferencial em relação os concorrentes, a melhoria nos processos, entre outros. Nesses casos, fazemos um trabalho mais profundo.
Mas em todos os trabalhos orientamos a empresa na elaboração das suas políticas e procedimentos relacionados à proteção de dados. Realizamos o mapeamento dos processos que envolvem dados pessoais, analisamos o ciclo de vida desses dados – como são obtidos, tratados e eventualmente descartados. Analisamos as bases legais para os tratamentos e as questões contratuais. Elaboramos uma Análise de Risco e um Relatório de Recomendações, que são apresentados à alta gerência, para definir um Plano de Ação.
A implementação das atividades do Plano da Ação podem ser executadas pela PKI Consulting ou pelo próprio cliente, dependendo da sua escolha. Alguns preferem usar a equipe própria em algumas atividades, ou podem não ter orçamento para executar naquele momento, por exemplo. Deixamos esse ponto para combinar com o cliente no momento da elaboração do Plano de Ação, pois é quando se tem maior clareza do cenário.
Está sendo um trabalho muito gratificante, pois vemos os reais benefícios que as empresas vêm obtendo. Aliás, é importante lembrar que esses benefícios já podem ser mensurados: cada dólar investido em proteção de dados gera um retorno médio de 2,7 dólares. Isso foi medido num estudo da Cisco, de 2020, chamado “From Privacy to Profit: Achieving Positive Returns on Privacy Investment – Cisco Data Privacy Benchmark Study 2020”. Esse estudo abrangeu 13 países, incluindo o Brasil, onde o retorno foi calculado em 3,3.
Enfim, estamos à disposição, para as empresas que tiverem interesse nesse assunto; podemos conversar e apresentar nossa metodologia de trabalho. Nosso site é www.pkiconsulting.com e o telefone/whatsapp é (11) 98987-2115.
Não deixe de assistir a entrevista! Está no topo desse artigo!
Sobre: Viviane Bertol
– Consultora em certificação digital, com Mestrado e Doutorado nessa área pela Universidade de Brasília.
– Consultora em LGPD com certificação DPO pela EXIN.
– Trabalhou no Instituto Nacional de Tecnologia da Informação (ITI) na Coordenadoria-Geral de Auditoria e Fiscalização e Coordenadoria-Geral de Normalização e Pesquisa.
– Participação da elaboração de metodologias de auditoria e realizado auditorias em Autoridades de Registro e Autoridades Certificadoras.
– Participou da elaboração de diversos normativos da ICP-Brasil.
– Colunista e membro do conselho editorial do Instituto CryptoID.
– Contato de Viviane Bertol viviane@pkiconsulting.com
PKI Consulting, empresa gaúcha especializada em Certificação Digital, credenciada pelo Instituto Nacional de Tecnologia da Informação para realizar auditorias em Autoridades Certificadoras e Autoridades de Registro na ICP-Brasil, credenciada também como Webtrust Practitioner. Atua ainda na área de LGPD, com a realização de consultorias especializadas para empresas que desejam adequar seus procedimentos a essa Lei.
Sobre Autoridade de Registro vinculada a ICP-Brasil
Autoridade de Registro simplificadamente é responsável por promover a interação entre o titular do certificado digital e a Autoridade Certificadora que é quem emite o certificado digital lá dos seus Data Centers.
A Autoridade de Registro (AR) da ICP-Brasil é vinculada operacionalmente, a pelo menos uma AC – Autoridade Certificadora e deve seguir as Políticas de Certificados e DPCs – Declaração de Práticas de Certificação Digital da AC ou ACs e precisa seguir uma série de protocolos.
Atua ainda na área de LGPD, com a realização de consultorias especializadas para empresas que desejam adequar seus procedimentos a essa Lei.
Doutor Fabiano Menke Concede Entrevista Sobre a Evolução das Assinaturas Eletrônicas
Entenda o Universo dos Certificados de Atributo
Assinatura Digital: Utilização dos Certificados Digitais
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.