Últimas notícias

Fique informado

Viviane Bertol explica o que é AR Eletrônica e fala sobre os novos procedimentos de validação da ICP-Brasil

8 de abril de 2021

Spotlight

Tecnologia referência em segurança chega ao ramo educacional através da CredDefense

Além de universidades e faculdades, a CredDefense quer oferecer seus serviços para escolas de ensino fundamental e médio e também para cursinho pré-vestibular

8 de junho de 2021

Philip Zimmermann: “Today marks the 30th anniversary of the release of PGP 1.0.”

PGP Marks 30th Anniversary – 6 June 2021 – Today marks the 30th anniversary of the release of PGP 1.0

8 de junho de 2021

O que é uma cifra de bloco e como ela funciona para proteger seus dados?

Uma cifra de bloco tem alta difusão (as informações de um símbolo de texto simples são distribuídas em vários símbolos de texto cifrado).

7 de junho de 2021

Comissão Europeia propõe uma identidade digital segura e de confiança para todos os europeus

As Orientações da Comissão para a digitalização até 2030 definem uma série de metas e marcos que a identidade digital europeia ajudará a alcançar.

7 de junho de 2021

Doutor Fabiano Menke Concede Entrevista Sobre a Evolução das Assinaturas Eletrônicas

Nesta entrevista Dr. Fabiano Menke fala sobre a Lei 14.063 de setembro de 2020 e sobre o Decreto 14.543 de novembro de 2020 sobre os tipos de assinaturas eletrônicas

25 de novembro de 2020

Entenda o Universo dos Certificados de Atributo

# TBT | Este artigo escrito em novembro de 2014, apresenta o que são Certificados de Atributo, como estão regulamentados, na época, para uso na ICP-Brasil, quais suas possíveis utilizações e como se tornar uma EEA – Entidade Emissora de Atributos. 

13 de novembro de 2020

PKI Consulting é credenciada a Webtrust como Practitioner

Com esse credenciamento, a PKI Consulting poderá realizar auditorias em Autoridades Certificadoras utilizando os princípios e critérios da WebTrust.

30 de julho de 2018

Pontos de Atendimento na ICP-Brasil: ter ou não ter?

Este assunto vem sendo debatido intensamente entre os integrantes da ICP-Brasil: Autoridades Certificadoras (ACs), Autoridades de Registro (ARs) e respectivas associações, como ANCERT, ANCD e AARB.

13 de julho de 2017

Uso de HSM para guarda de certificados digitais – Por Viviane Bertol e Fabiano Menke

Devem ser consideradas inválidas, sob a ótica jurídica, as assinaturas digitais apostas com base em chave privada armazenada em HSM – Hardware Secure Module?

23 de março de 2017

Assinatura Digital: Utilização dos Certificados Digitais

Uma das aplicações mais importantes da certificação digital é fornecer

17 de fevereiro de 2015

Assinatura Digital: Conceitos de Certificação Digital

Nesta série de 3 artigos trataremos sobre Assinatura Digital na

2 de fevereiro de 2015

Fabiano Menke: “Brasil precisa de uma legislação para o universo eletrônico”.

O advogado especialista em direito eletrônico Fabiano Menke acredita que

23 de agosto de 2013
Viviane Bertol

Entrevistamos uma das Colunistas do Crypto ID, Doutora Viviane Bertol, CEO da empresa PKI Consulting, sobre as alterações relacionadas aos novos procedimentos de validação de identificação dos titulares dos certificados ICP-Brasil, o que é uma Autoridade de Registro Eletrônicas no Brasil e em outros países e entre outros assuntos o trabalho feito pela PKI Consulting voltado para adequação das empresas à LGPD – Lei Geral de Proteção de Dados.

Em 23 de fevereiro foi Publicada Instrução Normativa que regulamenta a emissão de certificado digital por videoconferência e entrou em vigor, a partir de 1º de março de 2021, a opção de validação por videoconferência para a emissão dos certificados Digitais ICP-Brasil.

Leia algumas questões que destacamos da entrevista, mas não deixe de assistir o vídeo! icp

Pode acessar o vídeo pelo link ou lá no topo desse artigo!

Crypto ID: Indo direto ao ponto, Dra. Viviane, podemos dizer que as ARS que farão as validações remotas passam a ser classificadas ARs Eletrônicas?  Existe diferença entre uma AR Eletrônica e a que faz validação remota?

Viviane Bertol: Entendo que as ARS que fazem validação remota não podem ser classificadas como ARs Eletrônicas.

A AR ELETRÔNICA é apenas um termo utilizado pela indústria da certificação digital, que vem comentando sobre essa possibilidade futura.

Na regulamentação da ICP-Brasil não existe esse modelo de AR, o que existe é um “módulo eletrônico de AR”, que pode ser utilizado para a emissão de certificados digitais de servidores públicos, militares e correntistas de bancos múltiplos e da Caixa Econômica Federal, entre outros, conforme previsto nos itens 3.2.9.3 e 3.2.9.4. do DOC-ICP-05

Nesse modelo, se o solicitante do certificado preencher os requisitos, será possível emitir o certificado digital através de um serviço automatizado, inclusive, sem a necessidade da habitual validação e/ou verificação feita por um Agente de Registro, mas se destina a um público bastante restrito.

No atual momento, as ARs convencionais, ou seja, ARs de entidades privadas ou públicas que não pertencem aos órgãos anteriormente mencionados, ainda não podem emitir nestes moldes.

O modelo a ser utilizado para as ARs Eletrônicas ainda se encontra em estudo.

Por outro lado, a validação remota é apenas mais uma modalidade de validação que pode ser realizada por uma AR convencional. Nela, a apresentação de documentos pode não ser necessária, caso exista cadastro biométrico do solicitante, mas a participação dele no processo é obrigatória.

A diferença entre a validação remota e a presencial é que o solicitante do certificado não está no mesmo local que o AGR, mas deve interagir com ele por meio de videoconferência, onde são realizados diversos procedimentos O Solicitante deve se deixar fotografar, em alguns casos permitir a coleta das digitais, deve responder a perguntas do AGR, deve receber e informar um código OTP, entre outras ações necessárias para agregar segurança ao processo.

Toda a videoconferência não pode sofrer qualquer tipo de interrupção, sob pena de o processo ser invalidado.

Crypto ID: Lá atrás em meados do ano 2000, quando vocês – equipe do ITI – estavam escrevendo os documentos da ICP-Brasil já se projetava as validações remotas? E se sim, quais eram as dificuldades para essa implementação na época e porque agora temos condições de fazer?

Viviane Bertol: Não, naquela época não se projetava a validação remota. Na época da criação da ICP-Brasil, em 2001, a validação presencial se mostrava de grande importância, sendo mesmo um diferencial extremamente positivo para o país, em relação a outros que não a aplicavam, pois se tratava de uma forma de identificação robusta e menos sujeita a fraudes.

Tanto é assim que a validação presencial foi incluída como obrigatória no artigo 7º da Medida Provisória 2.200-2, de 2001, que criou a ICP-Brasil, onde são elencadas a atribuições das ARs:

“Às AR, …., compete identificar e cadastrar usuários na presença destes”

Isso somente foi flexibilizado no começo da pandemia, em 2020, com a edição da medida Provisória 951, de abril de 2020, onde consta

Às ARs…. compete identificar e cadastrar usuários, encaminhar solicitações de certificados às AC e manter registros de suas operações.

Parágrafo único.  A identificação será feita presencialmente, mediante comparecimento pessoal do usuário, ou por outra forma que garanta nível de segurança equivalente, observada as normas técnicas da ICP-Brasil.

Em seguida foi publicada Resolução 170 do Comitê Gestor da ICP-Brasil, que regulamentou o assunto e permitiu a emissão remota de certificados digitais, mas num regime transitório.

A aceitação da validação remota de forma definitiva veio em setembro de 2020, com a Lei 14.063, que alterou o texto da MP 2.200-2 para retirar a obrigatoriedade da validação presencial. Tivemos em fevereiro de 2021 a publicação da IN 05/2021 do ITI, que regulamentou como devem ser realizadas as validações remotas daqui em diante.

Isso se mostra uma medida correta e não apenas em função da pandemia. Ocorre que de 2001 para cá, muitas coisas mudaram.

Em 2015 a ICP-Brasil criou a figura do PSBIO e incorporou a coleta biométrica como procedimento de segurança adicional na emissão de certificados. Então temos uma base de dados bastante robusta, já, de biometrias coletadas na ICP-Brasil nesse período. Também foram criadas as bases biométricas oficiais, como as do TSE e do Denatran.

A tecnologia utilizada na biometria se mostrou muito confiável. Muitos países passaram a adotar essa e outras modalidades de confirmação de identidade, além da validação presencial.        

Crypto ID: Aí na Europa, já se faz há algum tempo a validação remota para emissão de certificados qualificados como os nossos da ICP-Brasil? Saberia nos dizer em quais países?

Viviane Bertol:  Como sabem, na Europa está em vigor o eIDAS – que é o Regulamento sobre Identificação Eletrônica e Serviços de Confiança. Ele foi adotado em 2014 e entrou em vigor em 2016, e substituiu a Diretiva 93/1999, de assinaturas eletrônicas.

Lembro inclusive que vocês publicaram na Crypto ID um artigo do Colin van den Heuvel, da AET Europe, sobre esse assunto | Proteção de Dados e identificação digital como é atualmente na Europa. Ouça

O objetivo do eIDAS é criar regulamentos e padrões consistentes na UE para identidades eletrônicas e para serviços de confiança que suportam autenticação e assinaturas.

Os Serviços De Confiança regulamentados pelo eIDAS podem incluir: emissão de certificados digitais e selos eletrônicos para assinatura digital e autenticação de sites, emissão de carimbos do tempo e entrega eletrônica registrada.

No seu Artigo 24, o eIDAS define os requisitos aplicáveis aos prestadores qualificados de serviços de confiança, que são o equivalente às nossas ACs credenciadas na ICP-Brasil.

Nesse artigo do Regulamento está previsto que:

“1. Ao emitirem certificados referentes a serviços de confiança, os prestadores qualificados de serviços de confiança verificam, pelos meios adequados e nos termos da legislação nacional, a identidade e as eventuais características específicas da pessoa singular ou coletiva à qual é emitido o certificado qualificado.

As informações referidas no primeiro parágrafo são verificadas pelos prestadores qualificados de serviços de confiança pelos seus próprios meios ou recorrendo a um terceiro, nos termos da legislação nacional:

a) Mediante a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva; ou

b) À distância, utilizando meios de identificação eletrónica, para os quais tenha sido assegurada, antes da emissão do certificado qualificado, a presença física da pessoa singular ou de um representante autorizado da pessoa coletiva e que cumprem os requisitos estabelecidos no artigo 8. relativamente aos níveis de garantia «substancial» ou «elevado»; ou

c) Por meio de um certificado de assinatura eletrónica qualificada ou de um selo eletrónico qualificado emitido nos termos das alíneas a) ou b); ou

d) Utilizando outros métodos de identificação reconhecidos a nível nacional que deem garantias equivalentes, em termos de confiança, à da presença física. A equivalência de tais garantias será confirmada por um organismo de avaliação da conformidade. “

Assim, fica claro que na Europa a validação à distância pode ser aceita, desde que baseada em algum meio de identificação eletrônico onde tenha havida uma validação presencial e um método de autenticação substancial ou elevado, mesmo que esse meio seja provido por um terceiro.

Isso vem ao encontro do que fazemos agora no Brasil, usando como apoio para a emissão de certificados digitais as bases biométricas da ICP-Brasil, do TSE e do Denatran.

A utilização dessa prerrogativa de validação à distância para emissão de certificados digitais qualificados vem sendo usada por vários países como Portugal, Suíça e França. Alguns adotaram essa modalidade de validação por causa da pandemia, como ocorreu no Brasil. 

Crypto ID: Quais foram as principais mudanças nos procedimentos das ARs para a adequação a validação remota?

Viviane Bertol: Houve muito aprendizado por parte das ARs e dos seus AGRs, com a mudança de cultura e da forma de utilização dos sistemas das ACs.

Os AGRs tiveram que se adaptar a um sistema novo de emissão realizado através de videoconferência, no qual eles precisam executar diversos passos adicionais no atendimento ao cliente. Foi necessário realizar treinamentos, que devem ser reforçados periodicamente para toda a equipe de agentes.

O dia-a-dia de um AGR não é mais o mesmo. Antes ele recepcionava o cliente, analisava a documentação, submetia em meio digital no sistema da AC, coletava as biometrias e enviava o processo para verificação ou emitia diretamente, dependendo do tipo de documento de identificação apresentado.

Agora o AGR recebe antecipadamente todos os documentos que foram previamente enviados pelo cliente no momento da compra do certificado no sistema da AC.

O AGR faz a conferência desses documentos com os dados que o cliente preencheu no sistema, entra em contato com o cliente no horário agendado para a validação e o instrui acerca de todo o processo. Coleta as biometrias da face e das digitais (algumas ACs coletam apenas a face, outras coletam ambas as biometrias). Após isso o processo segue para verificação pelo segundo AGR ou para emissão direta, conforme o caso.

O processo em si ficou mais rápido, além de não necessitar de deslocamento do solicitante do certificado até a AR, ou vice-versa, dando mais comodidade, porém foram criadas mais checagens durante o procedimento de validação, por isso a necessidade de um reforço no treinamento.        

Crypto ID: Em relação as ACs, houve também alterações de procedimento em função a videoconferência?

Viviane Bertol: Sim, diversas.  As ACS tiveram que desenvolver um sistema de emissão de Certificados através de videoconferência com os requisitos que estão previstos no DOC-ICP-05.05,.

Elas precisaram adequar os seus sistemas de certificação, para incluir chamada de vídeo no momento da validação e também precisaram alterar a aplicação de coleta das biometrias da face e/ou das digitais.

Os novos procedimentos devem garantir que a videoconferência seja realizada em tempo real e sem interrupções ou pausas, ter qualidade adequada de som e imagem para permitir a identificação clara do requerente e com a gravação de data e hora sincronizada com a Fonte Confiável do Tempo – FCT da ICP-Brasil.

Além disso, as ACs também se adaptaram para consultar outras bases de dados como a DataValid, do Serpro, que permitiu que mais pessoas, que já tenham sua biometria cadastrada através do DENATRAN emitissem seu primeiro certificado digital de forma remota. Até mesmo o

Da mesma forma, os prestadores de serviço biométrico (PSBio), tiveram mudanças em relação ao padrão das coletas biométricas. Os sistemas de coleta e batimento biométrico também tiveram que ser adaptados para essa nova forma de emissão, permitindo uma checagem biométrica de qualidade e segura, para que não aconteçam fraudes no processo de validação online.

As ACs estão cientes de que o processo de validação remota é uma realidade que veio para ficar e estão aperfeiçoando seus sistemas para que tornar o CD cada vez mais acessível e seguro.

Crypto ID: Vamos falar agora das auditorias? Vocês farão as auditorias de forma remota? Como será isso?

Viviane Bertol:  Vamos distinguir aqui dois conceitos: auditoria remota e auditoria de certificados emitidos por validação remota.

A auditoria remota é uma forma de auditoria vem sendo praticada na ICP-Brasil desde antes da pandemia. Antes ela estava restrita às auditorias operacionais, porém desde o início da pandemia foi autorizada a realização remota também de auditorias pré-operacionais.

Nós da PKI estamos 100% preparados para esse tipo de auditoria e com garantia de que todos os nossos processos executados de forma remota têm a mesma qualidade da auditoria presencial.

Nosso diferencial sempre foi o trabalho consultivo, atuamos na melhoria contínua das entidades integrantes da ICP-BRASIL que nos contratam. Nossa parceria não se limita apenas à cobrança dos requisitos mínimos exigidos pela ICP-BRASIL, mas também no comprometimento para que a conformidade aconteça da melhor maneira possível.

Para apoio nas auditorias temos um sistema com desenvolvimento próprio, focado nas auditorias no âmbito da ICP-BRASIL, conhecido como Portal PKI, para inclusão dos documentos por parte das ARs e ACs no decorrer da auditoria.

Nesse repositório automatizado, as ARs e ACs podem incluir as evidências que foram solicitadas pelo auditor e verificar rapidamente o que já foi entregue ou o que está pendente. Também podem acompanhar em tempo real tudo o que está acontecendo na auditoria: todos os e-mails trocados e conversas registradas, bem como o status do trabalho, como por exemplo: “Em Análise do Auditor”, “Em Análise do Revisor”, “Minuta do relatório com AR e AC”, “Finalizado”, “Entregue”, Etc…

Também desenvolvemos um software para realizar a verificação da segurança lógica dos equipamentos das ARs, que em segundos gera um relatório informando se a configuração do equipamento está em conformidade com o exigido pela ICP-BRASIL. Com isso economizamos o tempo dos nossos auditores e das ARs auditadas.

Durante o processo de auditoria também verificamos, por amostragem, dossiês de certificados emitidos, para avaliar se foram seguidos os passos previstos para a validação e verificação de certificados e se foram coletadas as evidências necessárias.

É nesse momento da auditoria que se apresenta a diferença entre certificados emitidos por validação presencial e por validação remota. No caso de validações remotas os dossiês precisam conter evidências adicionais, como gravação da videoconferência, registro dos procedimentos utilizados para validação do código OTP que é enviado ao solicitante do certificado durante a validação, etc.

Por fim, mas não menos importante, treinamos os nossos auditores e revisores para que as auditorias de forma remota não percam a segurança e qualidade das informações.

Crypto ID: Como é o trabalho da PKI Consulting em relação a LGPD?

Viviane Bertol : Além de auditorias e consultorias em ICP-Brasil, estamos trabalhando com consultoria para adequação de empresas à LGP. Temos um time muito competente, com consultores certificados, e desenvolvemos metodologia e ferramentas para auxiliar nesse processo.

Nosso sócio Fabiano Menke, estuda a fundo esse tema e ministra disciplinas nessa área na UFRGS.

É bom lembrar que a adequação à LGPD abrange 3 disciplinas: Segurança de TI, Governança e Jurídica.  Na área de Segurança de TI devem ser consideradas as medidas preconizadas nas normas ISO 27001 e 27701.

Na área de governança temos a criação de políticas e procedimentos documentados e as medidas propostas pela ISO 38500. Na área jurídica, temos a avaliação das bases legais para o tratamento dos dados e os ajustes de contratos com clientes e fornecedores.

Assim, no nosso projeto de consultoria, fazemos um diagnóstico inicial, que mostra a aderência em que a empresa se encontra em relação à situação desejada.

Apresentamos o resultado para a alta direção da empresa. Esse momento é importante, pois conseguimos perceber qual a abordagem será adotada para o prosseguimento do trabalho.

Há empresas que desejam apenas fazer o mínimo possível para nãos serem multadas numa eventual fiscalização da ANPD. Outras querem aproveitar a oportunidade para buscar os benefícios que a adequação à LGPD proporciona, como o aumento da confiança do consumidor, a obtenção de diferencial em relação os concorrentes, a melhoria nos processos, entre outros. Nesses casos, fazemos um trabalho mais profundo.

Mas em todos os trabalhos orientamos a empresa na elaboração das suas políticas e procedimentos relacionados à proteção de dados. Realizamos o mapeamento dos processos que envolvem dados pessoais, analisamos o ciclo de vida desses dados – como são obtidos, tratados e eventualmente descartados. Analisamos as bases legais para os tratamentos e as questões contratuais. Elaboramos uma Análise de Risco e um Relatório de Recomendações, que são apresentados à alta gerência, para definir um Plano de Ação.

A implementação das atividades do Plano da Ação podem ser executadas pela PKI Consulting ou pelo próprio cliente, dependendo da sua escolha. Alguns preferem usar a equipe própria em algumas atividades, ou podem não ter orçamento para executar naquele momento, por exemplo. Deixamos esse ponto para combinar com o cliente no momento da elaboração do Plano de Ação, pois é quando se tem maior clareza do cenário.

Está sendo um trabalho muito gratificante, pois vemos os reais benefícios que as empresas vêm obtendo. Aliás, é importante lembrar que esses benefícios já podem ser mensurados: cada dólar investido em proteção de dados gera um retorno médio de 2,7 dólares. Isso foi medido num estudo da Cisco, de 2020, chamado “From Privacy to Profit: Achieving Positive Returns on Privacy Investment – Cisco Data Privacy Benchmark Study 2020”. Esse estudo abrangeu 13 países, incluindo o Brasil, onde  o retorno foi calculado em 3,3.

Enfim, estamos à disposição, para as empresas que tiverem interesse nesse assunto; podemos conversar e apresentar nossa metodologia de trabalho. Nosso site é www.pkiconsulting.com e o telefone/whatsapp é (11) 98987-2115.

Não deixe de assistir a entrevista! Está no topo desse artigo!

Sobre: Viviane Bertol

– Consultora em certificação digital, com Mestrado e Doutorado nessa área pela Universidade de Brasília.

– Consultora em LGPD com certificação DPO pela EXIN.

– Trabalhou no Instituto Nacional de Tecnologia da Informação (ITI) na Coordenadoria-Geral de Auditoria e Fiscalização e Coordenadoria-Geral de Normalização e Pesquisa.

– Participação da elaboração de metodologias de auditoria e realizado auditorias em Autoridades de Registro e Autoridades Certificadoras.

– Participou da elaboração de diversos normativos da ICP-Brasil.

– Colunista e membro do conselho editorial do Instituto CryptoID.

– Contato de Viviane Bertol  viviane@pkiconsulting.com

PKI Consulting, empresa gaúcha especializada em Certificação Digital, credenciada pelo Instituto Nacional de Tecnologia da Informação para realizar auditorias em Autoridades Certificadoras e Autoridades de Registro na ICP-Brasil, credenciada também como Webtrust Practitioner. Atua ainda na área de LGPD, com a realização de consultorias especializadas para empresas que desejam adequar seus procedimentos a essa Lei.

Sobre Autoridade de Registro vinculada a ICP-Brasil

Autoridade de Registro simplificadamente é responsável por promover a interação entre o titular do certificado digital e a Autoridade Certificadora que é quem emite o certificado digital lá dos seus Data Centers.

A Autoridade de Registro (AR) da ICP-Brasil é vinculada operacionalmente, a pelo menos uma AC – Autoridade Certificadora e deve seguir as Políticas de Certificados e DPCs – Declaração de Práticas de Certificação Digital da AC ou ACs e precisa seguir uma série de protocolos.

Atua ainda na área de LGPD, com a realização de consultorias especializadas para empresas que desejam adequar seus procedimentos a essa Lei.

AARB firma parceria com PKI Consulting, maior autoridade em auditoria de ACs e ARs da ICP-Brasil – Ouça

Doutor Fabiano Menke Concede Entrevista Sobre a Evolução das Assinaturas Eletrônicas

Entenda o Universo dos Certificados de Atributo

Assinatura Digital: Utilização dos Certificados Digitais

Sobre o Crypto ID | O maior Portal Brasileiro sobre identificação digital

O Crypto ID está entre os mais segmentados e conceituados portais brasileiros sobre conteúdo de segurança da informação. Temos foco em soluções que agregam garantias legais às transações feitas nos meios eletrônicos.

Mais de 1,14 mil pessoas diferentes acessam o Crypto ID por ano para ler pelo menos uma matéria e destacamos que 76% da nossa audiência é orgânica e 67% dos nossos leitores são profissionais C-Level.

Leitores do Crypto ID acessam nosso conteúdo para se atualizarem e obterem conhecimento sobre as inovações e os respectivos fornecedores do mercado brasileiro e internacional.

Nossa audiência | Mídia kit 2020, acesse aqui!

Apresente suas soluções e serviços no Crypto ID! 

Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!

ACESSE O MÍDIA KIT DO CRYPTO ID

contato@cryptoid.com.br   +55 11 3881 0019