Pesquisar
Close this search box.
Pesquisar
Close this search box.
Facebook Instagram Linkedin

Tag: ICP Brasil

Categorias
Proteção de dados

Gestão de Chaves Criptográficas na Saúde: Um Desafio Real

Como gerenciar chaves de criptografia no setor de saúde

O uso de criptografia e a gestão de chaves criptográficas na saúde para proteção de dados em repouso ou de meios de comunicação é uma realidade para as instituições médicas e os usuários de serviços como armazenamento em nuvem, troca de mensagens e muitos outros.

Entretanto, para os responsáveis por estes serviços são apresentadas muitas opções de mecanismos criptográficos e, consequentemente, há muitas escolhas a serem feitas.

Escolhas inadequadas na gestão de chaves criptográficas na saúde podem resultar em pouco ou nenhum ganho, até mesmo perdas, criando uma falsa sensação de segurança nos dados de uma instituição de  saúde.

Por exemplo: criptografar uma base de dados e manter a chave criptográfica em um arquivo no servidor.

Neste artigo pretendemos abordar alguns aspectos relevantes para a segurança da informação de dados na área da saúde que estão relacionados às chaves criptográficas. 

Com isso mostraremos a importância do correto gerenciamento delas para a programação dos serviços criptográficos.

Para facilitar o entendimento, dividiremos o artigo em três partes. Iniciando com os conceitos básicos sobre criptografia, serviços criptográficos e, por último, gerenciamento de chaves criptográficas.

Gestão de Chaves Criptográficas na saúde e Criptografia de Dados

A criptografia consiste em um conjunto de princípios utilizados para garantir a segurança da informação de uma instituição na área da saúde.

Para isso, a gestão de chaves criptográficas na saúde emprega técnicas para transformar uma informação (cifrar) em outra (criptograma) que é legível apenas para quem conheça o segredo (chave secreta).

Mantendo este segredo seguro, impedimos que pessoas não autorizadas tenham acesso à informação original (decifrar).

  • Segredo

A segurança dos serviços criptográficos é baseada no segredo da chave criptográfica, que permite cifrar e decifrar, e não no método de transformar a informação, ou seja o algoritmo utilizado, que deve ser público.

  • Chaves simétricas e assimétricas

Em criptografia existem dois tipos básicos de algoritmos: os de chave simétrica e assimétrica. Os primeiros utilizam uma única chave para cifrar e decifrar os dados, enquanto os segundos adotam par de chaves, sendo uma para cifrar e a outra para decifrar.

Serviços criptográficos

Não há, de fato, um método 100% nem para área da saúde ou qualquer outra, mas algumas orientações podem ajudar a reduzir ou prevenir ataques.

Um dos primeiros passos a ser levado em consideração é a confidencialidade dos dados de cada paciente. Usar uma rede em que somente pessoas autorizadas tenham acesso.

A busca por um armazenamento especial dos seus dados também é uma das formas de evitar o vazamento de dados. Existem armazenamentos que podem ajudar a segurança digital na área da saúde neste quesito.

Como citamos acima, fica claro que a criptografia e a gestão de chaves criptográficas na saúde são as maneiras mais eficientes de prevenção a roubos de dados na área da saúde.

Seja para proteger os dados em repouso, ou seja, que estão armazenados, ou mesmo para proteger dados em trânsito, ou seja, que trafegam na rede, aliados a um rígido controle de acesso são essenciais para ajudar o hospital a manter os dados protegidos.

Vale lembrar que é super importante a proteção de perímetro com firewall em sua rede e também a proteção de desktop/servidores com antivírus, dentre tantas outras ferramentas.

  • Confidencialidade

Segundo estudos ataques por email cresceram 473% de 2017-2019 só para a área da saúde. A manutenção de sistemas legados desatualizados é uma das razões para esse volume intenso de ataques.

Já outro estudo realizado estima que os gastos apenas com publicidade, por conta do risco de imagem, aumenta 64% em hospitais que sofrem vazamento de dados.

A confidencialidade  tem que  começar com a adoção de um Prontuário Eletrônico do Paciente (PEP), que além de centralizar os dados médicos de cada atendimento (histórico completo), facilita o alcance de acreditações de prestígio no setor, como HIMSS (Health Information and Management Systems Society), ligada às boas práticas de TI em saúde.

É preciso de treinar sua equipe permanentemente para evitar acessos indevidos e usos inadequados das aplicações fornecidas dentro da instituição.

A confidencialidade dos dados por meio de criptografia, da gestão de chaves criptográficas na saúde e com o devido controle de acesso, também garante que as informações não possam ser visualizadas por terceiros e que apenas pessoas autorizadas tenham acesso a elas.

  • Integridade

O técnica para garantir a integridade é em resumo, quando uma determinada informação não seja modificada de maneira não autorizada após a sua criação, durante a transmissão ou o armazenamento.

Seja a alteração acidental ou intencional, a inserção, remoção ou substituição de dados deve ser detectada. Mecanismos criptográficos como o resumo criptográfico, também conhecido como hash e a assinatura digital fornecem o suporte para este serviço.

  • Autenticação

O serviço de autenticação verifica a identidade de um usuário com objetivo de ter uma certa segurança de que a pessoa é quem diz que ela é mesmo. Existem diversos mecanismos de autenticação, usuário e senha é um modelo bem conhecido, mas também é a autenticação utilizando um certificado digital.

No modelo de certificado digital, pode-se utilizar o protocolo SSL, ou mesmo as assinaturas digitais do login como um modelo de autenticação. O certificado digital é interessante que use do modelo ICP-Brasil ou outra que a organização confie, tal como, Autoridade Certificadora Interna.

Nas Autoridades Certificadoras ICP-Brasil, é no processo de emissão do certificado digital que a pessoa necessita comparecer a uma validação presencial, agora também há a modalidade remota, com documentos originais que comprovem a identidade do requerente.
  • Irretratabilidade

O serviço de irretratabilidade fornece os meios para garantir que quem criou uma informação não possa negar a autenticidade dela, ou pelo menos que seja difícil de negar.

Neste sentido, está ligada à assinatura digital, na qual o proprietário da chave privada não pode negar que a realizou para um determinado fim.

  • Autorização

Adicionalmente, após a autenticação, é possível utilizar a informações do usuário autenticado no sistema para definir a autorização as informações. O serviço de autorização fornece a aprovação ou permissão para a execução de uma atividade.

Como exemplo, o serviço de autorização pode ser empregado para definir as permissões de uso de uma chave criptográfica que, consequentemente, permitiria o acesso a uma determinada informação.

Gestão de chaves criptográficas na saúde

As chaves criptográficas são o fundamento da criptografia e nestas reside a segurança dos dados cifrados. Brechas podem levar ao comprometimento das chaves e, consequentemente, ao vazamento de informações sigilosas como o prontuários de pacientes.

O aumento no uso da criptografia para proteção de dados nas instituições da área de saúde, principalmente devido à regulamentação do governo, faz com que estas  tenham que lidar com múltiplas soluções para cifrar dados, vide a LGPD.

Por conta da diversidade de fornecedores, as organizações também precisam definir vários procedimentos para gerenciar as chaves criptográficas, sendo que nem sempre eles são adequados.

O gerenciamento de chaves criptográficas consiste em armazenar, proteger, organizar e garantir o uso adequado delas, gerir seu ciclo de vida e manter cópias de segurança de forma segura e consistente.

  • Armazenamento seguro das chaves

As chaves devem ser armazenadas de forma segura, ou seja, cifradas e com controle de acesso.

A criptografia deve ser preferencialmente realizada por meio de chaves (KEY) protegidas em um hardware criptográfico, de preferência.

  • Identificação das chaves

Deve ser possível identificar uma chave, seu tipo, sua finalidade, quem está autorizado a utilizá-la e o período de uso.

Ciclo de vida das chaves criptográficas

O ciclo de vida das chaves criptográficas deve ser controlado para que elas sejam utilizadas de forma adequada durante o período de validade — ou seja, somente pessoas ou sistemas autorizados podem utilizá-las durante um tempo pré-definido e com mecanismos seguros para que não haja comprometimento.

Assim descreveremos o ciclo de vida das chaves, segundo recomendação NIST.

O ciclo de vida de uma chave inicia com a geração e finaliza com a destruição, passando por um ou mais dos estados descritos a seguir:

  • geração: momento de criação da chave, que ainda não está pronta para uso;
  • pré-ativação: a chave foi gerada, mas ainda não está pronta para uso, porque aguarda o período de utilização ou a emissão de um certificado;
  • ativada: a chave está disponível para uso;
  • suspensa: o uso da chave está suspenso temporariamente. Neste estado, ela não pode mais realizar operações de cifra ou assinatura, mas pode ser utilizada para recuperação de dados ou verificação de assinaturas realizadas anteriormente.
  • inativada: a chave não pode ser mais utilizada para cifra ou assinatura digital, sendo mantida para o processamento de dados cifrados ou assinados antes da inativação.
  • comprometida: indica que a chave tem a sua segurança afetada e não pode mais ser usada em operações criptográficas. Em alguns casos, como nas chaves simétricas, pode ser utilizada para recuperar os dados cifrados para posterior cifra com outra chave.
  • destruída: este estado indica que uma chave não é mais necessária. A destruição da chave é o estágio final e pode ser atingido devido ao fim do ciclo de uso dela ou do comprometimento de sua segurança.

De uma maneira geral, tanto as  instituições de saúde e todas as organizações devem se concentrar na melhoria contínua e, ao mesmo tempo, gerenciar seus riscos a um preço compatível com sua realidade.

As empresas devem avaliar criticamente a forma como proteger seus sistemas. Devem também considerar as “causas-raiz” dos incidentes de segurança em seus ambientes como parte de uma avaliação de riscos.

À medida que os sistemas se tornam mais seguros e as instituições adotam medidas efetivas para gerenciar seus processos, a gestão de chaves se torna cada vez mais essencial. Proteger os dados de uma instituição de saúde é fundamental para a segurança das informações de seus pacientes.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Assinatura Digital

Qual é o valor legal de uma assinatura eletrônica?

No passado, muitas pessoas relutavam em usar documentos ou assinaturas eletrônicas, questionando sua validade legal e a capacidade de usá-los como evidência ​​em processos judiciais ou demais contextos jurídicos.

Aqui nesse texto a ideia é abordar um pouco do que temos visto nesses anos, desde a MP2200 que deu validade legal para assinatura eletrônicas. A ideia nesse artigo é um olhar de uma empresa de tecnologia, então iremos abordar alguns modelos de assinatura para ajuda-lo no processo de definição de um tipo de assinatura eletrônica que caiba bem para cada negócio da sua instituição.

Consulte o departamento jurídico

Vale lembrar que você sempre deve consultar o departamento jurídico para saber qual tipo de assinatura eletrônica deve ser utilizada em cada negócio da sua organização.

Feito as considerações iniciais, vamos lá. Na maioria dos países ocidentais essa relutância pelo uso de assinatura eletrônica já é desnecessária, pois a legislação foi atualizada para reconhecer documentos e assinaturas eletrônicas. Ou seja, não pode ser negado efeito jurídico, exequibilidade ou admissibilidade como prova em processos judiciais apenas pelo fato de serem em formato eletrônico.

Para se ter uma ideia do impacto da assinatura eletrônica, a legislação europeia foi recentemente atualizada para se aplicar a todos os países da União Europeia, enquanto nos EUA a Lei de Assinaturas Eletrônicas no Comércio Global e Nacional, a Lei Uniforme de Transações Eletrônicas e outras leis (estaduais) também regulam neste sentido.

Aqui no Brasil não poderia ser diferente. Através da medida provisória nº 2200 de 24 de agosto de 2001, quase 19 anos, que institui a Infraestrutura de Chaves Públicas Brasileira, a ICP-Brasil, ficou garantida a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras.

Adicionalmente também fala sobre outras formas de assinatura eletrônicas sem a necessidades de certificados digitais, no qual agregam valor ao negócio, por isso é importante que a área jurídica da instituição valide qual modelo de assinatura eletrônica deve ser utilizado em cada caso.

Além disso, temos o Código Civil e o Código Tributário Nacional que também servem de base jurídica para o uso da assinatura eletrônica na realização de transações eletrônicas.

As assinaturas eletrônicas representam uma das maiores oportunidades para começar a realizar negócios digitais

O que é uma assinatura eletrônica? Trata-se de uma assinatura feita eletronicamente usando sistemas de informação, no qual existem diversos tipos, dentre os mais conhecidos:

  • Assinatura Digital ICP-Brasil;
  • Assinatura Digital;
  • Assinatura eletrônica com chancela de terceiro;
  • Assinatura eletrônica comportamental;
  • Assinatura eletrônica autenticada;
  • Assinatura eletrônica básica;

A maioria delas buscam identificar o autor da ação, outras além disso, buscam a integridade dos dados e por fim, a mais segura busca também mecanismo que garanta o não repudio.

Portanto estamos compartilhando com você diferentes tipos de assinaturas existentes para que você possa conhecer, te ajudando com a escolha da melhor alternativa — seja a sua instituição. Nosso objetivo é explicar e auxiliar, não definir regras absolutas. Até porquê pode haver legislações, regras e/ou normas especificas para diferentes especializações, atuações e documentos a serem assinados.

Dessa forma, esse guia não pressupõe que seja necessária a escolha de somente um tipo de assinatura na instituição, diversos tipos de assinatura podem conviver na mesma infraestrutura, respondendo a diferentes tipos de necessidades e documentos, propiciando uma forma segura e escalável de transformação digital da instituição.

 

Principais Características

A fim de refletir o mesmo valor legal que uma assinatura manuscrita, uma assinatura eletrônica on-line deve atender às seguintes condições:

  • O signatário deve ter uma identidade associada;
  • A intenção de assinar também é outro quesito importante;
  • A integridade é importante, portanto o documento a ser assinado deve ser original, inalterável e não editável;
  • Outro ponto importante é se o sistema de assinatura é passível de auditoria, se ele fornece informações importantes para uma verificação futura;

Enfim, há outras características que podem ser adicionadas e fornecer uma segurança ainda maior, mas esse deve ser o básico.

As assinaturas eletrônicas são legais em qualquer lugar?

A resposta é que depende de onde você está fazendo negócios.

Em 27 países — incluindo Brasil, China, Estados Unidos, Rússia, Austrália, Canadá e países da União Europeia, a assinatura eletrônica é juridicamente vinculativa. Além de acreditar na segurança das assinaturas eletrônicas, é fundamental que você pesquise as leis e o peso das assinaturas digitais ou eletrônicas no país que você se encontra.

Se você mora em um país que ainda não aprovou uma legislação, é claro que pode se enquadrar em uma área cinzenta da lei e sua assinatura eletrônica será aceita em muitos, senão na maioria dos contratos, no entanto, pode não ser legalmente obrigatória em tribunal.

Então, quais documentos eletrônicos são realmente válidos?

Em suma, qualquer versão eletrônica deve ser considerada igual à sua versão equivalente, assegurando que satisfaça as características funcionais dos requisitos formais da lei aplicável.

Somente em situações específicas é que um documento em papel explícito deve ser usado, por exemplo, para comprar imóveis na maioria dos países, você precisará recorrer a um notário ou representante legal para uma ação.

Felizmente, na maioria das situações pessoais ou de negócios, o formato do documento é a escolha do indivíduo, mesmo na extensão de um contrato escrito em um guardanapo, se assim o desejar!

Exemplos de assinaturas eletrônicas:

Basicamente existem diferentes tipos de documentos a serem assinados eletronicamente:

  • Autorizações internas,
  • E-mails,
  • Contratos comerciais,
  • Contratos com fornecedores,
  • NDA;
  • Memorandos internos,
  • Processos de RH,
  • Pedidos de compra.

Em resumo, todos os processos, formulários, contratos que precisam de uma assinatura podem utilizar a assinatura eletrônica, desde que não tenham uma legislação que obrigue o uso de assinatura manuscrita. Por fim, é necessário atentar se o tipo de documento a ser assinado há uma legislação especifica para o caso. Portanto sempre consulte o departamento jurídico.

Além disso, existem diferentes formatos de arquivo para documentos assinados, incluindo:

  • Formato do Word,
  • PDF,
  • XML,
  • Formatos de imagem, como JPG ou PNG por exemplo.

O formato de arquivo mais comum é o PDF, pois é de fácil vizualização e já há uma cultura de ele ser um formato que não se altera. Portanto pode ter uma negociação previa do que vai ser assinado e depois quando estiver todos de acordo se gera o PDF com o conteúdo a ser assinado.

A assinatura eletrônica já é uma realidade

Em pesquisa feita pela EVAL no CIAB 2019, 92% dos decisores disseram que usam assinatura eletrônica. Não é a toa que a maioria das transações atuais  já podem ser assinadas eletronicamente.

Pense na imensidão de documentos on-line formados com o clique de um botão “Aceito” ou com um nome digitado no final de um e-mail de resposta, ou autenticando o usuário, assim como obtendo uma assinatura eletrônica comportamental, ou mesmo uma assinatura digital.

Essa última, assinatura digital ICP-Brasil, sempre é comparada a assinatura manuscrita autenticada em cartório, portanto se você têm documentos que necessitam de uma autenticação em cartório essa pode ser o modelo de assinatura eletrônica recomendado. Mas lembre-se sempre consulte o departamento jurídico para saber o melhor modelo de assinatura eletrônica a ser utilizado para cada negócio da sua instituição.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Assinatura Digital

O que são e como funcionam as assinaturas digitais?

O que são e como funcionam as assinaturas digitais?

Assinaturas digitais possuem diversas aplicações e estão presentes no dia-a-dia de muitos sistemas eletrônicos.

Mas, às vezes, compreender suas características básicas pode ser um problema, especialmente quando as explicações são muito técnicas.

Assim, através de uma analogia simples e relativamente agradável, esperamos que sua compreensão sobre assinatura digital melhore.

Como funcionam as assinaturas digitais?

Vamos fazer uma analogia à assinatura de próprio punho em papel.

Primeiro, imagine que Alice acabou de encaminhar para você um documento em papel assinado por ela. O método de assinatura foi o de próprio punho, tradicional para documentos físicos.

Neste documento assinado estão presentes várias propriedades importantes.

  1. A primeira propriedade que pode ser verificada está relacionada à integridade do documento. Ou seja, pode-se saber se o documento sofreu alguma alteração ou é exatamente aquele que Alice assinou. A integridade do documento pode ser verificada visualmente por  modificações no papel ou rasuras na escrita do documento.
  2. A segunda propriedade que também pode ser verificada é a autenticação do signatário. Isto é, se o documento foi assinado pela pessoa identificada nele. A autenticação do signatário é feita comparando a assinatura presente no documento com a referência de assinatura da pessoa. Esta atividade é muitas vezes difícil de ser realizada pela maioria das pessoas, geralmente por não possuírem assinatura de referência. Devido a esta dificuldade, em algumas situações críticas é exigido o uso do reconhecimento de firma pelo cartório.
  3. Por fim, a terceira propriedade importante é a irretratabilidade (não repúdio) da geração da assinatura. Assim, caso a entidade signatária (Alice) negue que tenha assinado o documento é possível provar a autoria para um terceiro. Isso é realizado também verificando a assinatura, estando subentendido que nenhuma outra pessoa consegue reproduzir a assinatura de Alice.

Depois de entendidas as propriedades de uma assinatura de próprio punho em documento físico, vamos entender como é o cenário de assinatura digital para documentos eletrônicos.

Aqui também estão presentes as mesmas propriedades. Ou seja, integridade do documento, autenticação do signatário e irretratabilidade (não repúdio) da geração da assinatura.

Mas, antes, precisamos entender alguns conceitos importantes sobre as assinaturas digitais.

Verificação de integridade em assinatura digital

Em computação, uma das maneiras que temos para verificar a integridade de um conjunto de dados é fazer uso de uma função que realize um cálculo sobre todos os bytes do conjunto de dados a fim de gerar um valor numérico, que vamos denominar aqui como código de integridade.

Assim, pode-se aplicar a função de integridade sobre os dados de um documento eletrônico e guardar o resultado (código de integridade) junto a ele.

Quando for necessário verificar sua integridade no futuro, aplica-se novamente a função de integridade sobre o documento. Em seguida o resultado é comparado ao código de integridade já armazenado. Se for igual, o documento pode ser considerado íntegro.

Essa técnica funciona bem para detectar problemas de integridade decorrentes de erros gerados em momentos com a transmissão e o armazenamento por exemplo. Entretanto, ela não é adequada para encontrar problemas de integridade ocasionados por atos intencionais.

Neste caso, alguém poderia modificar o documento e aplicar a mesma função, alterando o código de integridade.

Para permitir a verificação de integridade contra atos intencionais, o código de integridade precisa ser protegido.

 

Assinatura digital

Para proteger o código de integridade contra alteração intencional pode ser utilizada criptografia assimétrica. Como explicamos aqui, criptografia assimétrica é aquela que utiliza um par de chaves, sempre lembrando que quando uma chave for utilizada para cifrar só a outra chave parceira pode ser utilizada para decifrar.

Na criptografia assimétrica, o par de chaves fica associado à entidade (usuário ou equipamento). Geralmente, uma das chaves é tornada pública e a outra privada (secreta) e protegida pelo dono. Por esse motivo, a criptografia de chave assimétrica é bem flexível.

Vejamos onde a criptografia assimétrica pode ser útil nas assinaturas digitais.

Imagine que Alice tenha criado um documento e para permitir a verificação da integridade do documento ela fez uso de uma função que gerou o código de integridade.

Porém, como vimos, Alice precisa proteger esse código de integridade contra modificação. Ela pode utilizar sua chave privada (aquela secreta e que só ela conhece) para cifrar o código de integridade.

Esta operação gera um outro valor que iremos chamar de código de assinatura. Agora, além do documento de Alice, existe também um código de assinatura associado a ele.

As pessoas que desejarem verificar a integridade do documento de Alice precisarão utilizar o código de integridade que está cifrado dentro do código de assinatura.

Por exemplo, se Bob desejar verificar a integridade do documento de Alice, ele precisará decifrar o código de assinatura. Para isso, deve utilizar uma chave pública de Alice, já que Alice havia cifrado o bloco utilizando sua chave privada.

O resultado desta operação restaura o código de integridade que havia sido cifrado. Em seguida, é executada a função de integridade sobre o documento, que verifica se o resultado é o mesmo do código de integridade.

Comprovação de integridade

Caso o código de integridade seja igual, significa que o documento está íntegro. Ainda mais, como foi utilizada a chave pública de Alice para decifrar o código de assinatura, é possível afirmar que foi ela quem realizou a assinatura, pois é a única que possui o controle de uso da chave privada.

Por fim, caso Alice negue que tenha assinado o documento, Bob pode mostrar para um terceiro que, usando a chave pública de Alice, a verificação do código de integridade é bem sucedida. Dessa forma, somente Alice poderia ter realizado o procedimento.

Essa é a essência das assinaturas digitais.

Toda vez que uma informação deve se manter íntegra, você, o remetente, tem que assinar a informação original com sua chave privada (aquela parte do seu par de chaves que seria usada apenas para ‘fechar’…).

Em seguida, para que os interessados verifiquem a integridade da informação, eles devem determinar a validade de sua assinatura sobre a informação original utilizando a sua chave pública (aquela parte do seu par de chaves utilizada apenas para ‘abrir’…). Se houvesse qualquer modificação na informação original, por menor que seja, o processo de verificação avisa.

É natural que a partir dessa explicação fique a pergunta de como o seu conhecido confia que a chave pública que ele tem em mãos é realmente sua.

Mas, para responder essa pergunta entrariam em cena os certificados digitais e as cadeias de confiança, um assunto que deixaremos para outro post.

Por fim, vale lembrar que é comum misturar os termos assinatura digital e assinatura eletrônica. Só que essas são coisas bem distintas, conforme explicamos neste artigo.

Assine nossa Newsletter e fique por dentro das novidades e tecnologias da EVAL. Continue acompanhando nossos conteúdos no blog e aproveitando nosso perfil do Linkedin.

Sobre a EVAL

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval segurança é valor.

Categorias
Assinatura Digital

Qual o tipo de assinatura é mais segura? Qual o tipo de assinatura é mais seguro? Assinatura digital, eletrônica ou manual?

Qual o tipo de assinatura é mais seguro? Assinatura digital, eletrônica ou manual?

De acordo com nossa legislação, a validade de um contrato requer agente capaz, negócio lícito e observar se há forma prescrita em lei. Em outras palavras, as partes, ao celebrarem um contrato, devem ser responsáveis perante a lei.

Outro ponto importante é que o objeto a ser tratado não pode ser ilegal. O cumprimento destes requisitos atende as exigências para existência de um contrato.

Mas afinal, e quanto à assinatura?

Uma questão muito importante relacionada a um contrato é sua integridade e autenticidade, seja ele formalizado em papel ou meio eletrônico.

Dessa forma surge a necessidade da assinatura, o ato que compreende a capacidade de imputar autoria ao documento. No papel, por um símbolo gráfico tem o objetivo de identificar e conferir autenticidade ao contrato.

Contudo, somente a assinatura é capaz de garantir a integridade.

Neste caso, mecanismos como identificação visual (rasuras) são utilizados em conjunto com a assinatura manuscrita para aferir integridade ao contrato.

Meios eletrônicos para formalização de contratos

Alguns países, inclusive o Brasil, adotam o meio eletrônico para formalização de contratos, porém sem adotar a assinatura digital. Neste caso, é utilizada a assinatura eletrônica (Leia Assinatura digital, assinatura eletrônica e certificado digital, qual a diferença?).

Muitos mecanismos podem ser classificados como assinatura eletrônica, como uma senha ou ainda o clique no “Li e concordo”. Há também casos onde uma imagem da assinatura manuscrita (GIF) é aposta sobre o documento eletrônico, sem utilização de criptografia.

A tabela a seguir contém as principais características de uma assinatura e compara o grau de dificuldade de violação, ou seja, de falsificação.

*Assinatura Eletrônica (Senha ou imagem)

De acordo com a tabela comparativa, o grau de dificuldade de falsificação de uma assinatura digital é elevadíssimo se comparado com a assinatura manuscrita.

Mesmo quando comparada com assinatura eletrônica, a assinatura digital é muito mais segura. Afinal, a assinatura digital utiliza criptografia e chaves que garantem um elevado nível de precisão a autenticidade do documento assinado com ela.

Este é o requisito mais importante para existência e validade jurídica de um contrato. Além disso, a assinatura digital é capaz de garantir a integridade do documento, característica que assinatura manuscrita ou somente eletrônica não atendem isoladamente.

 

Legislação para assinatura digital

Diante da segurança apresentada pela assinatura digital, é natural que existam leis apoiadas nesta tecnologia para permitir que contratos sejam celebrados eletronicamente.

O Brasil possui uma legislação específica desde 2001, que instituiu a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) e equiparou a assinatura digital à assinatura de próprio punho (o art.10, § 1º, da Medida Provisória 2.200-2 de 24 de agosto de 2001.

Dessa forma, a assinatura digital é usada para ajudar na autenticação da identidade do criador das informações digitais, como documentos, e-mails e macros usando algoritmos criptográficos, para fazer uma assinatura digital, é necessário ter um certificado digital e um software de assinatura digital.

Separamos alguns exemplos e referências que utilizam assinatura digital como padrão:

Por fim, também há uma lista de serviços públicos que utilizam certificado digital e assinatura digital, essa lista está disponível no site do ITI, http://www.iti.gov.br/certificado-digital/cases.

Sobre a Eval

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Categorias
Certificados Digitais

Requisição de Certificado Digital: O que é e como é feita?

Requisição de Certificado Digital: O que é e como é feita?

A requisição é o caminho para se obter um certificado digital junto a uma Autoridade Certificadora (AC) para uma entidade final, como por exemplo, o certificado e-CPF, certificado e-CNPJ  ou mesmo um certificado de TLS/SSL para um serviço WEB.

Certificados digitais emitidos no Brasil

No Brasil o crescente número de emissões de certificados digitais se deve a novas demandas de aplicações e serviços públicos que implementam a infraestrutura de chaves públicas brasileira, também conhecida como ICP Brasil.

Certificado emitidos pela ICP-Brasil
Figura 1: Certificado emitidos pela ICP-Brasil. Fonte ITI

Com a crescente emissão de certificados digitais, aumenta também a quantidade de pessoas com dúvidas, por exemplo: como é o procedimento de emissão e quais informações é preciso fornecer?

Com esse artigo vamos responder tais questões.

Como é o procedimento de Requisição de Certificado Digital?

Este processo geralmente é executado de duas maneiras:

A primeira consiste na emissão de certificados pessoa física ou e-CPF, onde o requerente vai até uma Entidade de Registro (AR) credenciada pela AC e apresenta os documentos necessários.

O certificado pode ser gerado em um cartão criptográfico, também conhecido como smartcard, utilizando equipamentos da própria AR. Este método possui várias vantagens para o requerente, que deve se preocupar apenas com a sua documentação, não precisando cuidar de detalhes técnicos.

O segundo procedimento é aplicado aos certificados destinados a serviços, como WEB ou processamento de imagem para compensação bancária por exemplo.

Dessa forma, além de providenciar a documentação necessária, o responsável pela solicitação deve executar um procedimento um pouco mais complicado, que geralmente é constituído pelos seguintes passos:

  1. A criação do par de chaves;
  2. A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request);
  3. O envio da solicitação de certificado à autoridade certificadora através de um arquivo CSR;
  4. A associação do certificado recebido com a chave privada RSA gerada no primeiro passo.

Posteriormente à execução deste procedimento, você ainda terá que configurar o serviço para utilizar este certificado.

Agora vamos falar um pouco mais sobre este processo, a CSR e as dificuldades que talvez você possa encontrar.

Quais as informações em uma CSR gerado através de  uma Requisição de Certificado Digital?

Uma CSR (Certificate signing request) contém um conjunto mínimo de informações que permite à AC gerar o certificado para o requerente. Estas informações são:

  1. A identificação do requerente;
  2. A chave pública;
  3. Assinatura da requisição, feita com a chave privada parceira da chave pública.

A identificação do requerente é composta por vários campos:

  • CN (Common Name): nome de uma pessoa, empresa, aplicação ou URL;
  • O (Organization): nome da organização;
  • OU (Organizational Unit): departamento ou setor da empresa;
  • L (Locality): sua cidade;
  • S (State): nome do estado ou província;
  • C (Country): sigla do país com 2 caracteres.
Desafios

São inúmeras as dificuldades enfrentadas pelo usuário ao se gerar uma requisição de certificado, o que gera várias dúvidas, como:

  1. Quais os valores corretos para os campos do nome do requerente para a aplicação?
  2. Qual o tipo e o tamanho apropriado das chaves para a aplicação?
  3. Qual algoritmo utilizar para a assinatura?
  4. Qual o formato de CSR arquivo da CSR?
  5. Qual o conjunto de caracteres a utilizar? Podemos utilizar caracteres especiais, cedilha e acentos?
  6. Qual repositório de chaves utilizar?
  7. Qual ferramenta utilizar?
  8. A CSR gerada está de acordo com as normas brasileiras e as políticas de certificação da AC?
  9. Como instalar a cadeia de certificados? Ou mesmo, o que é uma cadeia de certificados?

Essas dúvidas se somam às dificuldades inerentes das ferramentas de software utilizadas para a geração do par de chaves e da requisição como:

  1. Métodos genéricos difíceis para o usuário leigo, como utilizados nas ferramentas OpenSSL e Java KeyTool;
  2. Métodos específicos para as aplicações;
  3. Métodos específicos para HSM (Hardware Security Module).
Algumas respostas

Dependendo da autoridade certificadora que emite o certificado, ou do uso a que o mesmo se destina, as questões levantadas aqui podem mudar de resposta.

Entretanto, algumas regras gerais são válidas para certificados emitidos pelas AC brasileiras: CSRs devem ser geradas com chaves de tamanho de 2048 bits e algoritmo de assinatura sha256WithRSAEncryption.

Também prefira utilizar um HSM para a guarda das chaves, pois ele provê o melhor nível de segurança.

Antes de gerar uma CSR, procure se informar sobre quais as necessidades da aplicação que utilizará o certificado e quais as exigências da AC para a emissão dele.

Verifique também, entre as ferramentas disponíveis, qual se encaixa melhor às suas necessidades e que facilita o teu trabalho, pois existem diversos sistemas que podem te auxiliar em todo o processo de geração dos certificados digitais.

Sobre a Eval 

Com uma trajetória de liderança e inovação que remonta a 2004, a Eval não apenas acompanha as tendências tecnológicas, mas também estamos em uma busca incessante para trazer novidades oferecendo soluções e serviços que fazem a diferença na vida das pessoas. 

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança de informações sensíveis e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.    

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.    

Eval, segurança é valor.  

Categorias
Gestão de Documentos e Contratos

Qual a diferença entre assinatura digital, assinatura eletrônica e certificado digital?

Qual a diferença entre assinatura digital assinatura eletrônica e certificado digital

Uma das dúvidas mais comuns sobre assinaturas digitais é a diferença entre uma assinatura digital, assinatura eletrônica e também um certificado digital. Portanto vamos abordar nesse post algumas diferenças para deixar claro para você.

Certificado digital

Primeiro, vamos falar sobre o certificado digital. Ele funciona como uma “carteira de identidade” no mundo virtual. Isso acontece quando um documento eletrônico é assinado digitalmente por uma autoridade certificadora com o objetivo de vincular uma pessoa ou empresa a uma chave pública.

Além disso, um certificado digital deve conter:

  • chave pública do titular.
  • nome e endereço de e-mail.
  • período de validade.
  • nome da autoridade certificadora que o emitiu.
  • número de série do certificado digital.
  • assinatura digital da autoridade certificadora.

Nós também escrevemos um artigo sobre o que é uma requisição de certificado digital para ajuda-lo a entender sobre o assunto. Leia aqui.

Assinatura digital

Agora vamos ver sobre assinatura digital, pois é necessário entender que a assinatura digital é usada para garantir a autenticidade, integridade e não repúdio de um documento, para tanto, ela utiliza algoritmos de criptografia assimétrica. Em outras palavras, é uma modalidade de assinatura eletrônica que fica vinculada a um documento eletrônico. Caso o documento sofra qualquer tipo de alteração a assinatura digital não poderá ser verificada e a validade será questionada.

Uma assinatura digital deve:

  • ser única para cada documento.
  • comprovar a autoria do documento eletrônico.
  • possibilitar a verificação da integridade do documento.
  • assegurar ao destinatário o “não repúdio” do documento eletrônico.

Por fim, no Brasil as assinaturas digitais devem estar em conformidade com a ICP Brasil. Além disso escrevemos um outro artigo que pode ajuda-lo a entender melhor sobre assinatura digital. Leia aqui.

 

Assinatura eletrônica

A assinatura eletrônica funciona do mesmo jeito que uma assinatura no papel, apesar de se utilizar de meios digitais para tal. Afinal, o seu uso garante a validade de documentos eletrônicos. Há alguns tipos de assinatura eletrônica, no qual, podemos citar alguns conhecidos:

Diferente da assinatura digital, que pelo uso do PKI e processos ICP-Brasil, garantem autenticidade, integridade e não repúdio. A assinatura eletrônica busca outras formas para garantir isso coletando de informações para uma possível validação futura. Como exemplo, pode-se efetuar a coleta dos seguintes dados:

  • Data e hora em que foi feita a assinatura eletrônica.
  • Nome do usuário.
  • CPF do usuário.
  • IP do usuário.
  • Hash do documento.

Por fim, pode-se adicionar alguns controles para aumentar a segurança, como por exemplo, a assinatura eletrônica com chancela de terceiro agrega uma assinatura digital de um terceiro na assinatura eletrônica gerada de forma que garante a integridade do documento. Também escrevemos um artigo no blog da validade legal da assinatura eletrônica, não deixe de conferir aqui.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Onde Estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho, São Paulo - SP,
CEP: 05440-000

Contato

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Facebook Instagram Linkedin
Política de Privacidade

Copyright © 2023, EVAL TECNOLOGIA EM INFORMÁTICA. Todos os direitos reservados - CNPJ 05.278.889/0001-97