DIPLOMA DIGITAL: PORTARIA 330/2018 MEC, O PROBLEMA, OS DESAFIOS, O FORMATO ELETRÔNICO DO DIPLOMA, A VALIDAÇÃO DO DIPLOMA, PADRÃO DE ASSINATURA, REGISTRO DO DIPLOMA, OLHANDO PARA O FUTURO
Por José Luiz Brandão, Co-Fundador e CEO da e-Sec e colunista do Crypto ID
Quando em 2013 eu recebi uma ligação da Universidade de Brasília (UnB) agendando uma reunião comercial, eu pensei, naquele momento, que seria mais uma oportunidade de vender um projeto de Certificação Digital como tantos outros que eu já havia feito em mais de 15 anos trabalhando nesse segmento.
Porém, à medida que os detalhes do projeto foram se apresentando, eu percebi que uma nova tendência de mercado estava surgindo. E mais uma vez eu constatei como a Certificação Digital pode beneficiar uma gama expressiva de segmentos da sociedade.
Na época, o Departamento de Extensão da UnB tinha feito um convênio com o Ministério do Esporte para treinamento dos voluntários da Copa do Mundo de 2014 e tinha se comprometido a emitir os certificados de conclusão dos cursos em forma eletrônica. Além disso, a nova gestão tinha herdado um passivo de 300 mil certificados de cursos de extensão que não tinham sido emitidos.
Com isso, a motivação original da Universidade era financeira. Existia uma necessidade de emitir 350 mil certificados até meados de 2014 e o custo de fazer isso na forma tradicional era muito alto. E fazer isso de forma eletrônica seria mais barato e eficiente.
Ganhamos o projeto, a Copa do Mundo foi um sucesso em termos de organização (ainda que esportivamente uma decepção para nós brasileiros), mais de 40 mil voluntários foram treinados e os primeiros certificados eletrônicos para os voluntários da Copa do Mundo começaram a ser entregues em 2014.
Passada a urgência da Copa do Mundo, e superado o passivo de certificados atrasados, a UnB começou a planejar um projeto mais estruturado e amplo para adotar os certificados de conclusão de curso e os diplomas eletrônicos em toda a Universidade. Foram 2 anos intensos de trabalhos para que o projeto fosse finalizado em 2017.
O objetivo desse texto é discutir os desafios que um projeto dessa natureza exige e as soluções que encontramos ao longo desses últimos 4 anos.
PORTARIA 330/2018 MEC
Em 05 de abril de 2018 o Ministério da Educação (MEC) publicou uma portaria instituindo o Diploma Digital e dando um prazo de 24 meses para as Instituições de Ensino Superior públicas e privadas implementarem a tecnologia.
O MEC ainda irá regulamentar e definir os detalhes de como deverá ser toda a logística para emissão, entrega e validação dos diplomas.
O prazo de 24 meses não é curto, mas também não é longo. As instituições de já devem começar desde agora a tratar o assunto. O mercado já deve começar a se movimentar para fornecer tecnologia para atender a demanda das Universidades. Algumas empresas já têm solução pronta. Outras ainda vão se movimentar para apresentar alternativas ao mercado. E todos esperaram para ver o que o MEC vai regulamentar.
O PROBLEMA
Para pensarmos em solução é importante entender melhor o cenário em que o Diploma Digital se apresenta.
O mundo de emissão de certificados de conclusão de curso e diplomas é praticamente o mesmo nas últimas décadas. Obviamente, nesse meio tempo, a tecnologia ajudou a melhorar a segurança dos papéis, os custos de gráfica diminuíram, a informática ajudou muito a gerenciar o processo através dos computadores. Porém, em última instância, a logística é praticamente a mesma:
- O aluno se forma;
- A instituição emite o diploma em papel;
- Registra o diploma em um livro;
- Identifica no verso do diploma o número do livro e da folha onde foi registado;
- Arquiva o diploma;
- O aluno vai à secretaria, recebe o diploma em papel, assina o recibo e vai para casa;
Veja que o custo desse processo não está somente na impressão do diploma em papel especial. São vários os custos envolvidos:
- Impressão;
- Logística de transporte. Existem muitos centros universitários que possuem diversas unidades de localidades diferentes. Os diplomas dos alunos devem ser remetidos para a unidade onde ele estava matriculado;
- É muito comum os alunos não buscarem o diploma ao término do curso. Porém, a Universidade é obrigada por normativa a guardar o papel por anos a fio;
- Pessoal e infraestrutura para registro do diploma em livro;
- Pessoal e infraestrutura para entrega dos diplomas aos alunos.
Todos esses custos poderiam ser eliminados se esses passos fossem realizados de forma eletrônica e automatizada por um sistema.
Outra questão crítica é a validação da autenticidade do diploma. É muito comum o aluno precisar apresentar o seu diploma para comprovar sua titularidade em diversos contextos tais como: concurso público, progressão de carreira, matrícula em um curso de pós-graduação, etc.
Porém, a pessoa que recebe o documento tem dificuldade para validar a autenticidade do papel apresentado. O papel pode estar bonito, bem apresentado, aparentar ser verdadeiro. Mas, hoje em dia, está cada vez mais fácil ter acesso a tecnologia de ponta a custo cada vez mais viável. Com isso os diplomas falsos se proliferam no Brasil.
É possível que a pessoa ligue para a Universidade e pergunte ao funcionário responsável se aquele aluno de fato cursou e concluiu o curso descrito no diploma apresentado. Porém, isso na prática, pode se tornar inviável. Imagine manter o cadastro atualizado de mais de 2.400 instituições de ensino superior registradas no MEC de acordo com último censo apresentado pelo INEP.
Mais uma vez a tecnologia permite que a validação da autenticidade de um diploma possa ser feita de forma simples, rápida e com a máxima segurança.
OS DESAFIOS
A implantação de um projeto de diploma digital traz consigo diversos desafios.
Antes de falarmos deles é importante diferenciar os conceitos de certificado de conclusão de curso e diploma (Não sou da área educacional, então se eu estiver falando alguma heresia os profissionais da área me perdoem). Nos dois casos estamos falando da mesma coisa. Isto é, um documento onde a instituição que formou o aluno atesta que este cursou e finalizou com sucesso um dos cursos ministrados por aquela instituição. Porém, quando se fala em cursos de graduação e pós-graduação regulados pelo MEC dar-se o nome de Diploma. Qualquer outro curso que não seja regulado pelo MEC dar-se o nome genérico de Certificado de Conclusão.
Dito isso, e mais uma vez peço desculpas se estou sendo impreciso quando trato de alguns termos que não são do meu dia a dia, basicamente o desafio que temos é automatizar todos os procedimentos que hoje são feitos com interferência humana, ainda que em algumas vezes usando a tecnologia, através de um conjunto de sistemas, equipamentos e tecnologias disponíveis no mercado.
O FORMATO ELETRÔNICO DO DIPLOMA
A primeira decisão a ser tomada no início do planejamento de um projeto dessa natureza é a escolha dos padrões tecnológicos a serem adotados. O padrão escolhido deve atender a alguns requisitos importantes:
- Segurança;
- Isto é, a complexidade da tecnologia não pode ficar aparente para o usuário final;
- Os arquivos de diploma precisam ser gerados por padrões que possam ser facilmente reconhecidos por outras organizações que queiram valida-los.
Conversando com diversas Universidades públicas e privadas ao longo dos últimos anos, uma coisa em comum eu ouvi de todas as pessoas com quem conversei. O diploma é algo muito valioso para alguns alunos. Muitos deles vieram de origem pobre e são os primeiros em suas famílias a concluírem um curso superior. Muitas pessoas querem emoldurar seus diplomas e mostrar com orgulho para as outras pessoas o seu triunfo.
É importante ter essa sensibilidade na hora de planejar um projeto de diploma eletrônico. É preciso pensar em um formato onde as pessoas ainda possam imprimir seu diploma e mostrar para os parentes, pendurar na parede e exibir o seu feito.
Quando falamos em documento eletrônico, basicamente temos 2 grupos principais:
- Documentos para serem lidos por máquinas;
- Documentos para serem lidos por pessoas;
Na maioria das vezes estamos falando de formatos de arquivo diferentes para atender uma ou outra necessidade. Um exemplo popular de documento para ser lido por máquinas é o formato XML. E um exemplo de documento para ser lido por pessoas é o padrão PDF.
No contexto do diploma digital os dois requisitos são necessários. É importante que o diploma tenha uma versão visual com todo o design gráfico que existe hoje. Dessa forma ele pode ser enviado por e-mail, impresso para compor uma documentação de um concurso ou um novo emprego e até mesmo emoldurado para colocar na parede de casa ou do escritório. Mas também, é igualmente, importante que o formato possa ser lido e processado por uma aplicação.
Dado esse contexto, o melhor modelo, que vejo, é o que seguiram os projetos de nota fiscal eletrônica em todo o país, onde o documento autêntico que recebe as assinaturas digitais é um XML e o documento de trânsito que recebe uma formatação apta a ser impressa é um PDF. Desta forma um diploma digital seria um par de arquivos: um em XML e outro em PDF.
A VALIDAÇÃO DO DIPLOMA
Um outro elemento essencial a ser considerado em um projeto de diploma digital é o procedimento de validação de autenticidade.
A instituição, após emitir do diploma, deve prover um serviço online e público onde qualquer pessoa de posse de uma cópia impressa ou digital do diploma possa validar a sua autenticidade.
Esse tipo de serviço trás maior segurança e agilidade nos processos de conferência de autenticidade de um diploma recebido por uma terceira parte.
O serviço de validação deve receber no mínimo duas informações retiradas do diploma em mãos do validador:
- Código de Validação – Código alfanumérico gerado de forma aleatória identificando unicamente o diploma;
- Identificação do Documento – Algum dado específico do titular do diploma ou da emissão deste. Por exemplo: CPF, RG, Número de Passaporte, Data de Emissão, etc.
Quando se usa apenas o código de validação, é possível que se crie um sistema robô para varrer todos os códigos possíveis e fazer um banco de diplomas de determinada Universidade. Quando se combina um código aleatório com uma informação retirada do documento é feita uma associação direta das duas informações garantindo que somente poderá visualizar o diploma armazenado na base de dados da instituição aquela pessoa que tiver uma cópia do documento em mãos.
PADRÃO DE ASSINATURA
Para atender os requisitos da portaria do MEC os diplomas digitais devem ser emitidos colhendo a assinatura digital dos responsáveis pela instituição através de um certificado digital padrão ICP-Brasil.
A portaria não define ainda qual formato de assinatura deverá ser utilizado. Porém, pensa-se ser razoável que se utilize os padrões definidos pelas políticas de assinatura da ICP-Brasil contidos na DOC-ICP-15 (http://www.iti.gov.br/images/repositorio/legislacao/documentos-principais/DOC-ICP-15_-_Versao_3.0_VISAO_GERAL_SOBRE_ASSIN_DIG_NA_ICP-BRASIL_25-08-2015.pdf).
Esse documento define 3 padrões de envelope de assinatura:
- CADES – Recomendado para qualquer tipo de documento;
- XADES – Recomendado para documentos do tipo XML;
- PADES – Exclusivo para documentos do tipo PDF;
A DOC-ICP-15 define também 5 tipos de políticas de assinatura:
- AD-RB – Referência básica. A política mais simples e única que não se utiliza de carimbos de tempo. A mais popular hoje em dia no mercado;
- AD–RT – Referência de tempo. Uma política simples, mas que se utiliza obrigatoriamente de carimbo de tempo;
- AD–RV – Referência de Validação. Armazena as referências aos objetos necessários à validação das assinaturas, porém não armazenas seus conteúdos. Exemplo: Guarda o hash de um LCR mas não a LCR em si.
- AD–RC – Referência Completa. Armazena os conteúdos dos objetos necessários à validação das assinaturas, porém não armazenas seus conteúdos.
- AD–RA – Referência de Arquivamento. Armazena todos os conteúdos dos objetos de validação das assinaturas contidas no documento, além disso armazena um carimbo de tempo que projete a integridade de todos esses objetos armazenados.
Aqui, a variedade de combinações é grande. São 15 modelos possíveis que podem ser adotadas. Em relação ao padrão de envelope a regra é simples: Se o documento for um XML use XADES, ser for um PDF use PADES e para os demais use CADES.
No contexto específico do diploma sugiro usar XADES e gerar o diploma em formato XML.
Em relação à política de assinatura, a questão é um pouco mais complexa. A política mais simples e mais utilizada no mercado é a AD-RB. Porém, a falta de carimbo de tempo faz com ela não seja ideal para documentos de longo prazo como é o caso dos diplomas. O ideal seria utilizar a AD-RA que é a mais adequada para esse tipo de documento. A questão é que os de carimbos de tempo padrão ICP-Brasil ainda são pouco utilizados ainda que já existam algumas Autoridades Certificadoras de Tempo (ACT) credenciadas. Esse vai ser um ponto importante a ser discutido quando o MEC for regulamentar o diploma digital.
REGISTRO DO DIPLOMA
No modelo atual, os diplomas devem ser registrados por um Centro Universitário reconhecido pelo MEC. Esse registro é feito em livro e arquivado. Cada diploma emitido recebe no seu verso os dados de número do livro e da folha onde foi registrado.
No modelo digital será necessário repensar esse modelo. Os conceitos de livro e folha fazem sentido quando se trata de um procedimento físico em papel. Quando se migra para o mundo eletrônico deve-se pensar em registro eletrônico.
Cada Centro Universitário deverá prover um serviço online onde as faculdades poderão registrar seus diplomas emitidos. Além do registro, esse serviço deverá permitir a validação de um diploma registrado. Dessa forma, a validação da autenticidade de um diploma deverá ser feita, idealmente, acessando o Centro Universitário onde ele foi registrado e não a faculdade onde foi feita a emissão.
OLHANDO PARA O FUTURO
Os próximos 2 anos serão de muita movimentação nesse mercado. A regulamentação deve responder algumas dúvidas que ainda estão pairando no ar. Mas isso não significa que as entidades devam esperar essa regulamentação para iniciar seus projetos.
Os benefícios de um da virtualização da emissão de diplomas universitários são inúmeros:
- Desburocratização;
- Segurança;
- Eficiência;
- Redução de custos;
- Diminuição das Fraudes;
As partes vão precisar se adaptar ao novo modelo. Como qualquer mudança, as pessoas vão estranhar no início, alguns vão resistir, mas a sociedade vai ter um grande benefício com mais esse passo para a desburocratização do Brasil.
Agora é aguardar as cenas dos próximos capítulos…
Formado em Ciência da Computação pela Universidade de Brasília (1997), tendo se especializado em segurança da informação e criptografia, Brandão é sócio fundador da e-Sec Segurança Digital.
Foi membro do COTEC – Comissão Técnica da ICP-Brasil como representante da sociedade civil de 2003 a 2006 participando da elaboração das diversas normas publicadas pela ICP-Brasil neste período.
Durante mais de 10 anos participou de projetos nas áreas de criptografia, certificação digital, análise de segurança de sistemas em diversas instituições públicas e privadas em todo o país.
De 2007 a 2015 atuou como Diretor Comercial. Em janeiro de 2016 passou a ocupar a presidência do conselho administrativo da empresa e atualmente é o CEO da Cia.
Colunista do CryptoID
[button link=”https://cryptoid.com.br/category/colunistas/jose-luiz-brandao/” icon=”fa-key” side=”left” target=”” color=”603c8f” textcolor=”ffffff”]Leia outros artigos de José Luiz Brandão[/button]
Solução da e-Sec para diplomas eletrônicos é apresentado no Certforum
Case UnB e-Sec | Solução diploma eletrônico