No Brasil, em função do Projeto de Lei de Conversão (PLV) nº 32/2020, oriundo da Medida Provisória nº 983/2020, que dispõe sobre as assinaturas eletrônicas em comunicações com entes públicos, a antiga discussão sobre eIDs – Identidades eletrônicas – e as possibilidades de assinaturas eletrônicas voltaram aos holofotes dos profissionais brasileiros de segurança da informação nos últimos meses.
O PLV 32/2020 dispõe sobre as assinaturas eletrônicas em comunicações com entes públicos e em questões de saúde e sobre as licenças de softwares desenvolvidos por empresas privadas para uso dos entes públicos.
Adicionalmente a todas as regulamentações existentes, um Gestor de Identidades Digitais, tem que lidar com os processos internos de sua organização. Tais processos, dentre várias situações, identificam e qualificam os perfis de usuários, as autorizações de emissão, características de uso, direitos de acesso e alçadas nas aplicações, e também todas as variações as regras de negócios existentes.
Desta maneira, o Gestor não lida apenas com a identidade de um usuário em si, por exemplo: ele não deverá gerenciar somente o prazo da validade de um certificado digital, mas todos os aspectos internos da organização e dos seus impactos no seu respectivo mercado de atuação. Imaginem se os certificados de pessoa jurídica estiverem vencidos, por falha na atualização da documentação necessária para a sua emissão? Quanto custa para uma empresa deixar de emitir seus faturamentos em um único dia?
O papel do Gestor de segurança, se torna crítico. Não somente por prover identificações seguras aos usuários, mas principalmente por administrá-las.
Assim, é necessário a adoção de ferramentas de gestão de eIDs que garantam a performance e a segurança das organizações, reduzindo custos e perdas desnecessárias.
Sobre como gerenciar identidades digitais e eletrônicas em empresas públicas e privadas, conversamos com Luís Correia – Business Development da AET EUROPE, empresa global na área de soluções de segurança digital com matriz na Holanda, escritórios na Suíça, Portugal e Brasil.
A AET é muito conhecida no Brasil por uma de suas soluções – SafeSign, utilizado mundialmente.
O SafeSign é o software (middleware de criptografia) usado para garantir a interação dos cartões inteligentes e tokens USB com quaisquer dispositivos para autenticação forte.
No Brasil, é utilizado por usuários dos certificados digitais ICP-Brasil, por 100% das Autoridades Certificadoras Brasileiras, e em 100% dos sistemas que utilizam certificação digital no país.
Outra solução da AET com aplicação global e em forte ascendência é a solução BlueX – eID management. Trata-se de uma ferramenta de gerenciamento do ciclo de vida de certificados digitais. Isto torna a AET, há vários anos, uma empresa especialista de eIDs.
E ambas as soluções são integradas, permitindo que todas as ações do ciclo de vida de uma eID sejam contempladas de maneira prática, segura e pragmática.
O problema – Gestão do ciclo de vida de certificados digitais
Segundo Luís Correia, “A partir do início deste século, a propagação do certificado digital se intensificou por todo o mundo, e juntamente com ela o número de usuários do SafeSign, chegando hoje a expressivos 50 milhões de usuários no mundo inteiro. Só no Brasil a AET, neste momento, conta já com 5 milhões de certificados ativos que utilizam o SafeSign.
Sejam por motivos operacionais, normativos ou de segurança, rapidamente surgiu a necessidade de fazer uma gestão eficaz, confiável e segura de todo o processo de emissão, renovação e revogação dos certificados digitais, qualquer que seja a entidade emissora. A este processo chamamos de gestão do ciclo de vida dos certificados digitais e que se tornou rapidamente num tópico da maior relevância para as equipes de segurança/TI.
Na grande maioria dos casos, as soluções encontradas para a gestão do ciclo de vida dos certificados digitais, passam por desde uma simples planilha, por desenvolvimentos específicos ou por integrações com soluções já existentes, desde software de recursos humanos a equipamentos de IoT por exemplo.
Se, no primeiro caso da planilha a reduzida escalabilidade da solução se torna rapidamente em um novo problema, no segundo caso de desenvolvimento à medida, eles até podem resolver o problema de imediato, mas rapidamente se confrontam com novos desafios, seja de caráter tecnológico ou normativo, e que tipicamente convergem sempre para o mesmo ponto, que é a não garantia da continuidade do futuro do negócio na organização.
Todas estas questões tiveram por base relatos e experiências vividas em primeira mão pela AET junto aos seus clientes ao longo de quase 20 anos.
Neles podemos encontrar uma grande variedade de perfis de entidades emissoras de certificados digitais, sejam elas de pequeno ou grande porte, públicas ou privadas, tais como notários, autoridades certificadoras, governos, sistemas públicos de saúde, poder judiciário, bancos centrais, defesa, serviços de inteligência, entre outros.
Apesar de serem questões já antigas, muitas delas ainda hoje persistem e são várias as empresas e organizações que pedem ajuda à AET para resolver este problema.”
Crypto ID: Luís Correia, afinal, qual é o tipo de assinatura eletrônica ou digital mais indicada para empresas utilizarem?
Luís Correia: Não existe uma solução perfeita para atender diferentes empresas, tão pouco um modelo de identificação eletrônica que seja adequado a todas as atividades dentro de uma mesma empresa. As áreas administrativa, jurídica, tributária, financeira e contábil, por exemplo, precisam de uma identidade digital para assinatura com validade jurídica enquanto para outras basta uma identificação para um simples acesso físico. Daí a importância de um sistema de gerenciamento para isso.
Crypto ID: Então qual é o segredo para implementar um sistema de identificação digital dentro das empresas?
Luís Correia: O segredo é dispor de uma plataforma robusta que faça a gestão de vários tipos de identidades de hierarquias distintas e ao mesmo tempo o gerenciamento de vários certificados digitais com datas de vencimento diferentes, emitidos por diferentes fornecedores. Essa situação desafia até as empresas mais sofisticadas tecnologicamente.
Crypto ID: Por que as empresas precisam de um gerenciador de certificados digitais e outros tipos de identificação eletrônica?
Luís Correia: Com a onda global da transformação digital as empresas estão cada vez mais digitalizadas e com isso os processos administrativos e de negócios que utilizam documentos eletrônicos ganharam relevância nas organizações. Evidentemente que, para que os documentos eletrônicos tenham reconhecimento precisam estar atrelados à algumas evidências, que dependendo do teor e tipo de ato podem utilizar distintas formas de autenticação e assinatura. Sendo assim, a organização passa a administrar grandes quantidades e diversidade de eIDs – identidades digitais ou eletrônicas. Por isso, a necessidade de ter um gerenciamento eficiente na organização.
Crypto ID: A demanda global pela solução de gerenciamento de identidades da AET Europe teve um grande aumento nos últimos meses. O que essa ferramenta pode ajudar no controle das identidades?
Luís Correia: A principal funcionalidade do BlueX é o gerenciamento do ciclo de vida dos certificados digitais. A solução já traz embarcada um fluxo de trabalho padrão para esse gerenciamento – solicitação automatizada, emissão, validação, distribuição e revogação de identidades. O BlueX também se integra a vários sistemas existentes como acesso físico e lógico, sistemas de RH, PKI, impressoras e outros.
Adicionalmente, é um recurso que auxilia as organizações a mitigarem o risco de fraude e ataques, além de inibir significativamente o acesso indevido de indivíduos e hackers não autorizados. Isso vem de encontro a leis de proteção de dados como a europeia GDPR – General Data Protection Regulation e a brasileira LGPD – Lei Geral de Proteção de Dados.
Crypto ID: A quais certificados digitais você se refere quando falou sobre o gerenciamento do ciclo de vida?
Luís Correia: Como somos uma empresa agnóstica, nossa plataforma de gerenciamento tem interoperabilidade com todas as principais autoridades certificadoras brasileiras e internacionais, independentemente do tipo, classificação ou prazo de validade dos certificados digitais e respectivamente dos dispositivos de armazenamento. Isso significa que suportamos uma ampla gama de cartões inteligentes, tokens multifuncionais e HSMs – hardwares security module.
Crypto ID: Em relação aos usuários, titulares dos certificados, o BlueX, oferece alguma funcionalidade?
Luís Correia: Sim, excelente pergunta. Nossa plataforma de gerenciamento de certificados digitais oferece suporte às organizações para implementar políticas de conformidade com a governança da segurança da informação, funções e responsabilidades da empresa no processo de gerenciamento de identidade digital ou eletrônica. Consequentemente, isso faz com que o uso das identidades digitais, que apesar do rigor da segurança no processo, não seja algo complexo para os usuários.
Crypto ID: Luís, uma vez que a política de segurança e identificação são singulares para cada empresa como vocês tratam essa diversidade de políticas?
Luís Correia: Todas as organizações possuem regras de negócios diferentes e que mudam frequentemente. AET Europe ao projetar o BlueX considerou isso, e nossa ferramenta adapta-se muito bem às regras de negócios e/ou normativos específicos de cada organização através de “workflows” totalmente customizáveis.
Crypto ID: Sabemos o quanto é difícil obter autorização para divulgação de casos de sucesso quando se trata de soluções que envolvem a segurança da informação, mas vocês poderiam nos contar em quais situações no Brasil o BlueX eID é utilizado?
Luís Correia: No Brasil, essa plataforma é utilizada por autoridades certificadoras públicas e privadas e autoridades de registro na produção e gerenciamento de certificados digitais e de atributo desde 2014. Para se ter uma ideia, em uma única organização cliente de uma Autoridade Certificadora pública, o BlueX eID Management gera e gerencia anualmente centenas de milhares de certificados de atributos.
O BlueX eID, também, vem sendo adotado em empresas de saúde para gerenciar certificados digitais ICP-Brasil de diferentes ACs no mesmo ambiente. A ferramenta gerencia certificados digitais ICP-Brasil de médicos, da área administrativa e faz controle de acessos físicos de funcionários, fornecedores externos, pacientes e visitantes.
Crypto ID: Quando você fala em controle de acesso, considerando a forma de trabalho em home office, esse controle é possível?
Luís Correia: Perfeitamente. A interface além de simples e fácil de usar, é reconhecível na web. Isso permite identificar, portanto que os locais dos usuários são geograficamente independentes.
Além disso dá autonomia para os usuários e para os administradores porque é possível fazer toda a gestão das identidades de forma remota, desde o registro remoto até a emissão e revogação das identidades digitais.
Crypto ID: O BlueX é adequado a que tipo de empresa?
Luís Correia: Globalmente, a AET Europe atende a diversos segmentos de mercado. Evidentemente, as empresas que precisam de total segurança em suas operações, são mais atentas ao gerenciamento de identidades há algumas décadas como o segmento financeiro, de seguro e as empresas que lidam diretamente com identificação digital como as Autoridades Certificadoras.
Com o tempo esse espectro de empresas vem sendo ampliado a cada ano e hoje atendemos organizações na área de produção industrial, de saúde incluindo laboratórios e em diversas outras atividades em que, um evento envolvendo a utilização de identidades por terceiros não autorizados pode causar grandes problemas institucionais, financeiros ou legais.
Importante também destacar que temos interoperabilidade com a maioria dos softwares de mercado porque utilizamos os padrões standard da indústria e para facilitar a análise de contratação o BlueX conta com auditoria de acordo com o CWA 14167-1: 2003, além de ser auditado de acordo com o CEN / TS 419261: 2015 e o ANSSI CSPN.
Crypto ID: Mas e quanto ao porte dessas empresas?
Luís Correia: Atendemos desde clientes que gerenciam 50 eIDs a 50 milhões eIDs. A solução é escalável, simples e rápida de ser implantada e requer pouca manutenção.
Sobre a AET Europe
AET Europe é líder global na área de soluções de segurança digital. Fundada em 1998, é especializa na criação de soluções seguras em identificação, autenticação, assinatura digital, consentimento e gerenciamento de credenciais
- Are You Doing Digital Trust Right? By AET Europe – Part 2
- Are You Doing Digital Trust Right? By AET Europe – Part 1
- Criptografia Quântica: Você está tratando a confiança digital corretamente?
- A AET Europe especialista em Identificação e Autenticação se Une à Your.Online
- AET Europe e o Sistema eID do Governo Sérvio: Um Estudo de Caso sobre Identidade Digital Segura