Escolar Documentos
Profissional Documentos
Cultura Documentos
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA
RBIA SCRCARO
UNIVERSIDADE DE BRASLIA
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA
DISSERTAO
SUBMETIDA
AO
DEPARTAMENTO
DE
ENGENHARIA ELTRICA DA FACULDADE DE TECNOLOGIA DA
UNIVERSIDADE DE BRASLIA COMO PARTE DOS REQUISITOS
NECESSRIOS PARA A OBTENO DO GRAU DE MESTRE:
APROVADA POR:
_________________________________________________
Prof. Rafael Timteo de Sousa Jnior, Dr. (ENE-UnB)
(Orientador)
_________________________________________________
Prof. Laerte Peotta, Dr. (ENE-UnB)
(Examinador Interno)
_________________________________________________
Robson de Oliveira Albuquerque, Dr. (ABIN)
(Examinador Externo)
_________________________________________________
Edna Dias Macedo, Dr. (ENE-UnB)
(Suplente)
BRASLIA/DF, 15 DE JULHO DE 2013
ii
FICHA CATALOGRFICA
Scrcaro, Rbia
Elementos de sustentao da efetividade do uso da certificao digital em aplicaes de Internet
Banking Estudo de caso em uma Instituio Pblica Bancria. [Distrito Federal] 2013.
ENE/FT/UnB, Engenharia Eltrica
Dissertao de Mestrado Universidade de Braslia. Faculdade de Tecnologia.
Departamento de Engenharia Eltrica
1.Framework de Certificado Digital
2.Certificado Digital
3.Internet Banking
4.Assinador Digital
I. ENE/FT/UnB
REFERNCIA BIBLIOGRFICA
Scrcaro, Rbia (2013). Elementos de sustentao da efetividade do uso da certificao digital
em aplicaes de Internet Banking Estudo de caso em uma Instituio Pblica Bancria.
Dissertao de Mestrado em Engenharia Eltrica, Publicao PPGEE.DM - 538/2013,
Departamento de Engenharia Eltrica, Universidade de Braslia, Braslia, DF,
CESSO DE DIREITOS
AUTOR: Rbia Scrcaro
TTULO: Elementos de sustentao da efetividade do uso da certificao digital em aplicaes
de Internet Banking Estudo de caso em uma Instituio Pblica Bancria.
GRAU: Mestre
ANO: 2013
___________________________________________
Rbia Scrcaro
SCRN 716 Bloco H, Entrada 16, Apt. 301, Asa Norte
70.770.680 Braslia DF Brasil.
iii
AGRADECIMENTOS
Agradeo a Deus por a mais esta conquista, por Ele ter promovido tantas mudanas na
minha vida, me fazendo perceber a importncia de cada passo percorrido, com amor e
amadurecimento.
Imensamente meu agradecimento ao orientador Professor Rafael Timteo Sousa Jnior,
que me acolheu, teve pacincia e soube compreender amigamente a dedicao aos estudos e
carreira profissional.
iv
DEDICATRIA
RESUMO
ELEMENTOS DE SUSTENTAO DA EFETIVIDADE DO USO DA
CERTIFICAO DIGITAL EM APLICAES DE INTERNET BANKING ESTUDO
DE CASO EM UMA INSTITUIO PBLICA BANCRIA
Autor: Rbia Scrcaro
Orientador: Professor Dr. Rafael Timteo de Sousa Junior
Programa de Ps-graduao em Engenharia Eltrica
Braslia, 15 de Julho de 2013.
Esta dissertao apresenta uma anlise dos elementos de sustentao da efetividade do uso do
certificado digital em aplicaes de Internet Banking, com estudo de caso de uma Instituio
Pblica Bancria, com nome fictcio de Banco Capital.
O Banco Capital, para implementar o projeto certificado digital no Internet Banking, adotou
uma soluo de framework de certificado digital que assina e verifica a assinatura digital em
documento eletrnico, requisio carimbo de tempo de uma autoridade certificadora, vlida o
certificado digital e sua correspondente cadeia de certificao e gerencia as listas de certificados
revogados.
O presente trabalho foi desenvolvido com embasamento em pesquisas do setor bancrio e
revises de literatura relacionadas ao tema, com a finalidade de analisar se a soluo de
framework de certificado digital trata os elementos suficientes que garantem a sustentao da
efetividade do projeto na Instituio.
O projeto certificado digital no Internet Banking est em fase de testes, o piloto est disponvel
para os acessos de empregados do banco, com previso de expanso para todos os clientes.
Durante a realizao do estudo, a soluo de framework de certificado digital apresentou
caractersticas no satisfatrias em relao s consideraes apontadas pelos autores. Uma
proposta com recomendaes sugerida em forma de plano de ao.
vi
ABSTRACT
ELEMENTS TO SUPPORT THE EFFECTIVENESS OF THE USE OF
CERTIFICATION IN DIGITAL APPLICATIONS OF INTERNET BANKING-CASE
STUDY IN A PUBLIC INSTITUTION BANK
Author: Rbia Scrcaro
Supervisor: Professor Dr. Rafael Timteo de Sousa Junior
Programa de Ps-graduao em Engenharia Eltrica
Braslia, 15 july 2013
This paper presents an analysis of the elements supporting the effectiveness of using the digital
certificate in Internet Banking applications, with case study of a Public Bank, with real name
of Bank Capital.
The Capital Bank, to implement the project digital certificate in Internet Banking, adopted a
solution framework digital certificate that signs and verifies the digital signature on an
electronic document, requests the time stamp of a certification authority, validates the digital
certificate and its corresponding certificate chain and manages the certificate revocation lists.
This work was developed with grounding in research in banking and literature reviews related
to the topic, in order to examine whether the solution framework of the digital certificate is
sufficient to ensure the support of the effectiveness of the project in the institution.
The project digital certificate in Internet Banking is in the testing phase, the pilot is available
for
access
to
bank
employees,
with
expected
expansion
to
all
customers.
During the study, the solution framework of digital certificate presented unsatisfactory
characteristics in relation to the considerations mentioned by authors. A proposal with
recommendations is suggested in the form of an action plan.
vii
SUMRIO
1- INTRODUO ................................................................................................................................. 1
1.1 - JUSTIFICATIVA ...................................................................................................................... 2
1.2 - DEFINIO DO PROBLEMA..................................................................................................3
1.3 - OBJETIVOS .............................................................................................................................. 4
1.3.1 - Objetivos Especficos.................................................................................................... 4
1.4 METODOLOGIA DE PESQUISA ............................................................................................ 5
viii
ix
LISTA DE TABELAS
Tabela 2.1: Bancos eClientes (Febraban, 2012)..........................................................................8
Tabela 2.2: Cadeia de Autoridades Certificadoras (ITI, 2012).................................................21
Tabela 2.3: Ciclo de vida dos Certificados Digitais(ITI, 2012)................................................22
Tabela 2.4: Auditorias, Fiscalizaes e Homologaes(ITI, 2012)..........................................27
Tabela 4.1: Resumo dos fatores apontados pela Instituio.....................................................56
Tabela 4.2: RiscoAderncia ao Internet Banking.....................................................................60
Tabela 4.3: Risco Prtica de segurana no Internet Banking...................................................60
Tabela 4.4: Risco Aceitao de uso da Certificao e Imagem................................................61
Tabela 4.5: Risco Frameworks para Gesto .............................................................................62
Tabela 4.6: Risco Auditoria......................................................................................................63
Tabela 4.7: Risco Arquivamento..............................................................................................64
Tabela 4.8: Risco Confiabilidade, Integridade, Autenticidade, Disponibilidade.....................65
Tabela 4.9: Plano de ao.........................................................................................................69
LISTA DE FIGURAS
Figura 2.1: Despesas e Investimentos em Tecnologia por Bancos no Brasil (Febraban, 2012).7
Figura 2.2: Participao das Transaes Bancrias(Febraban, 2012).......................................10
Figura 2.3: Criptografia Simtrica (adaptado de Stallings, 1999)............................................13
Figura 2.4: Criptografia Assimtrica(Schneier,1996).............................................................15
Figura 2.5: Modelo de Malha de Confiana (Jie e Hong, 2010)...............................................16
Figura 2.6: Modelo Hierrquico(Jie e Hong, 2010)..................................................................17
Figura 2.7: Infra-Estrutura de Chaves Pblicas (ICP) (Nakamura e Geus, 2002)....................18
Figura 2.8: Assinatura Digital(Jie e Hong, 2010).....................................................................20
Figura 3.1Web Servicesdo Framework de Certificao Digital (Bry, 2012)..........................44
Figura 3.2 - Topologia do Framework de Certificao Digital (Requisies e Especificaes,
2009).........................................................................................................................................44
Figura 3.3: Portal de Certificao Digital(Intranet da Instituio)...........................................48
Figura 3.4: Fluxo das operaes da Soluo de Framework(Requisies e Especificaes,
2009).........................................................................................................................................49
Figura 3.5: Fluxo Assinatura Digital bsica(Adaptado de Requisies e Especificaes, 2009
e Plano de Projeto, 2010)..........................................................................................................50
Figura 3.6: Fluxo Assinatura digital com carimbo de tempo(Adaptado de Requisies e
Especificaes, 2009 e Plano de Projeto, 2010).......................................................................51
Figura 3.7: Fluxo Verificao de assinatura digital sem carimbo de tempo(Adaptado de
Requisies e Especificaes, 2009 e Plano de Projeto, 2010)................................................52
Figura 3.8: Fluxo Verificao de assinatura digital com carimbo de tempo(Adaptado de
Requisies e Especificaes, 2009 e Plano de Projeto, 2010)................................................53
xi
Autoridade Certificadora
AC-Raiz
ACT
AD-A
AD-B
AD-C
AD-R
AD-T
AR
Autoridade de Registro
ATM
HTTP
ICP
ICP-Brasil
ITI
ITU
LCR
OCSP
PKI
SPB
SOA
TI
Tecnologia da Informao
TSQ
Timestamp
xii
1- INTRODUO
As Instituies Bancrias tem se caracterizado por mudanas aceleradas no ambiente de
tecnologia, tornando-se um fator importante no futuro do desenvolvimento dos servios
financeiros. Neste cenrio, o servio remoto oferecido pelo Internet Banking vem se
apresentando como alternativa de baixo custo e de maior flexibilidade na promoo da
incluso financeira, tornando a principal estratgia de negcio (Chatzipoulidis e Mavridis,
2010).
Segundo a Febraban (2012) o Internet Banking considerado o canal mais utilizado para
realizao de transaes financeiras no Brasil, em consequncia, a segurana se torna a
palavra-chave para a total integrao desse servio.
Com o crescimento do Internet Banking, Instituies de grande porte tem adotado o
Certificado Digital, representando um crescimento de 74% (TIC Empresas, 2010).
Para a Febraban (2012), o certificado digital atribui um nvel maior de segurana nos
servios e transaes eletrnicas, permitindo a identificao inequvoca das partes
envolvidas, bem como a integridade e a confidencialidade dos documentos e dados da
transao, conferindo ainda, a mesma validade jurdica que a assinatura de prprio punho,
conforme (Medida Provisria 2.200, 2011).
Buscando sustentar a efetividade do uso do certificado digital no Internet Banking, uma
Instituio Pblica Bancria com nome fictcio de Banco Capital, adotou uma soluo de
framework de certificado digital. A aplicao da soluo na Instituio faz com que todos
os processos e sistemas que utilizam o certificado digital passem pelo framework, que
capaz de assinar, verificar, carimbar, validar e gerencias as listas de certificados
revogados.
Dentre os atributos oferecidos pelo certificado digital, demais elementos de
sustentabilidade so apontados como necessrios para garantir a efetividade de todo
processo, sendo eles, a aderncia ao Internet Banking, a aceitao da certificao, a
imagem da Instituio, a prtica de segurana no Internet Banking, frameworks para
gesto, auditria, arquivamento, autenticidade e disponibilidade das informaes.
1
Para mitigar esses riscos, foi sugerida uma proposta de recomendaes em forma de plano
de ao para cada elemento de sustentao da efetividade do uso do certificado digital.
1.1 JUSTIFICATIVA
O Certificado Digital tem sido utilizado em servios e produtos dos canais de atendimento
aos clientes, inclusive com parcerias no Governo Federal e Empresas Privadas. Canal
entendido pelos bancos como o ponto de acesso dos clientes, sendo as agncias, terminais
eletrnicos, telefnico, Internet Banking e outros meios.
As movimentaes transacionais nestes canais fazem com que proteo aos dados e
informaes se torne a preocupao constante das Instituies Bancrias, haja vista que
os vazamentos de dados sigilosos podem comprometer a estratgia de negcio e pe em
risco a credibilidade e imagem do banco, podendo causar srios prejuzos (Plano de
Projeto, 2010).
Os recordes de transaes realizadas no Internet Banking tm demonstrado uma aceitao
e confiana dos clientes nas Instituies Bancrias, fazendo com que os bancos apliquem
as prticas de segurana em todos os sistemas (Febraban, 2012).
Este estudo foi realizado em ambiente bancrio devido ao grande nmero de transaes
e valores que esto sendo movimentados atravs do Internet Banking, e ainda, para
demonstrar se a soluo de framework de certificado digital garante os elementos de
sustentao da efetividade do uso do certificado digital para os usurios e clientes.
Com esses nmeros, garantir evoluo e manter a estabilidade dos sistemas torna-se um
importante desafio para a tecnologia da informao, e ainda, um fator determinante para
a competio baseada em ganhos de escala e alavancagem de negcios, que exigem mais
agilidade e flexibilidade (Plano de Projeto, 2010).
O uso de certificado digital no Internet Banking exige solues e elementos que garantem
a segurana e confiabilidade, aumentando a agilidade em responder as necessidades de
negcio e garantindo a disponibilidade e continuidade dos servios oferecidos aos
clientes.
Atualmente, para atender os objetivos e iniciativas da tecnologia em relao ao negcio
no Internet Banking, o Banco Capital no possui um ambiente centralizado para aplicao
e gesto do uso do certificado digital de maneira adequada. Para isso, foi desenvolvido o
projeto de certificado digital no Internet Banking.
1.3 - OBJETIVOS
O objetivo deste trabalho avaliara efetividade da soluo de framework de certificado
digital atravs dos elementos que do sustentao a utilizao de certificado digital no
Internet Banking da Instituio Pblica Bancria.
Quanto aos fins: descritiva, que constata de que forma a Instituio aplica o uso
do certificado digital no Internet Banking e como o projeto atua nas vises da
tecnologia, negcio e clientes.
2 REVISO DE LITERATURA
Neste captulo realizada uma abordagem conceitual dos investimentos em tecnologia da
informao, a segurana bancria no Internet Banking, a segurana da informao, as
tcnicas de segurana da informao aplicadas no Internet Banking e as questes de
utilizao de certificados digitais no Internet Banking.
2.1 INVESTIMENTOS EM TECNOLOGIA DA INFORMAO
As tecnologias tm aguado e expandido os horizontes da gesto, ofertando produtos e
servios em todo o mundo. Os sistemas de informao tm criado uma nova infraestrutura
para a economia mundial, fornecendo aos usurios a opo de uma vantagem competitiva
com as novas tecnologias. A tecnologia da informao tornou-se o corao do setor
bancrio, remodelando as dimenses e direes (Ahmed et al., 2010). Os bancos veem na
TI uma importante alavanca para suas estratgias de crescimento e que esto se
preparando para maiores desafios tecnolgicos futuros.
Em pesquisa realizada pela Febraban (2012), as despesas e investimentos em tecnologia
dos bancos cresceram de forma importante nos ltimos anos: cerca de 27% entre 2007 e
2011, um alcance de R$ 18 bilhes, conforme apresentado na Figura 2.1:
Mais eficiente
Reduo de custos
Reduo de custos
Ahmed et al. (2010) apontam que para a adoo da tecnologia nos servios bancrios,
desafios tem sido enfrentados, como, o alto custo de instalao e manuteno de
infraestrutura, mo de obra qualificada, crescente demanda para atender s expectativa
do cliente na qualidade do servio, confiabilidade e segurana nos sistemas de
informaes.
O Internet Banking tem se destacado como o canal mais importante e inovador dos
servios bancrios dos ltimos anos (Diniz et al. 2009). A Febraban (2012) aponta que o
Internet Banking firmou-se como o canal preferido para transaes bancrias, conforme
9
apresenta a Figura 2.2. A quantidade de operaes realizadas por intermdio desse canal
de atendimento apresentou um crescimento de 20%, um total de 46% de contas correntes
com Internet Banking ativas, patamar prximo ao de pases desenvolvidos.
10
11
Manter esses princpios importante para que sistemas possam operar de forma confivel.
Para que isso ocorra, tcnicas e mecanismos de segurana da informao so aplicados
no Internet Banking.
12
A criptografia simtrica ou criptografia de chave nica utiliza uma nica chave para
encriptar e decriptar os dados, conforme apresenta a Figura 2.3.
A chave compartilhada entre os envolvidos na comunicao, o que torna esse sistema
suscetvel a falhas de segurana. Acaso a chave caa em mos erradas, as mensagens
podem ser lidas e forjadas pelo novo participante da conversa.
No possvel garantir a identidade da pessoa que enviou a mensagem porque a chave
pode estar em poder de mais pessoas, caracterizando que todos podem ter potenciais para
ser remetentes (Jie e Hong, 2010).
13
Utiliza duas diferentes chaves, uma pblica e outra privada, de modo que
computacionalmente complexo e normalmente impraticvel a deduo da chave privada
por meio da chave pblica (Schneier, 1996). Qualquer pessoa pode cifrar a mensagem
com a chave pblica, mas jamais pode decifr-la com a mesma chave, sendo necessrio
chave privada para decifr-la, que, teoricamente, s a pessoa autorizada, dona da chave
pblica informada e utilizada para cifrar a mensagem tem.
As duas chaves (pblica e privada) detm uma relao matemtica entre elas. A gerao
das chaves (problema direto) rpida e eficiente, j o problema reverso (a partir da chave
pblica definir a chave privada), oneroso e proibitivo. Segundo Schneier (1996) a
tcnica de criptografia de chave pblica pode ser observado na Figura 2.4. Alice deseja
enviar uma mensagem de forma segura para Bob; Alice e Bob concordam com um
sistema de criptografia de chave pblica em comum; Bob fornece para a Alice sua chave
pblica, podendo envi-la ou disponibiliz-la em qualquer meio de comunicao, no
sendo necessrio um meio seguro; Alice cifra a mensagem que ela deseja enviar com a
chave pblica do Bob e a envia para Bob; Bob ao receber a mensagem, a decifra utilizando
sua chave privada e obtm a mensagem original enviada por Alice.
14
15
16
17
18
Nakamura e Geus (2002) apontam que as funes especificadas em uma ICP so: registro,
inicializao, certificao, recuperao de par de chaves, atualizao de chaves, gerao
de chaves, certificao cruzada, revogao e distribuio e publicao dos certificados e
da notificao de revogao.
2.4.3 Assinatura Digital
Assinatura digital entendida por Fitzgerald (2005) como um cdigo utilizado para
verificar a integridade de uma informao ou mensagem, podendo ser utilizada para
verificar se o remetente de uma mensagem o mesmo quem diz ser, o que feito atravs
da criptografia assimtrica.
No processo de assinatura digital, com qual se deseja a autenticidade, o remetente usa sua
chave privada para assinar a mensagem. Por outro lado, o destinatrio usa a chave pblica
do remetente para confirmar que ela foi enviada realmente por aquela pessoa.
Conforme Figura 2.8, a assinatura digital funciona da seguinte maneira: O remetente
(Joo) escreve um e-mail para Jos e o assina, usando sua chave privada. A mensagem
no criptografada, apenas assinada, ou seja, o remetente usa sua chave privada para
gerar um valor numrico associado ao e-mail. Esse valor nico para cada chave. Quando
a mensagem chegar ao destino, Jos usar a chave pblica de Joo para confirmar,
matematicamente, que se trata da assinatura feita pela chave de Joo. Quando confirmada,
Jos pode ter certeza de que a mensagem de e-mail realmente veio de Joo, pois difcil
que outra pessoa possua sua chave privada, a menos que a chave tenha sido extraviada.
19
Integridade: Como a assinatura digital usa a funo Hash, possvel garantir que
a mensagem no foi alterada no meio do caminho.
No-Repdio: O usurio no poder dizer que no foi ele quem escreveu aquela
mensagem.
20
Certificadora
certificados
Raiz(AC-Raiz)
das
(LCR),
autoridades
fiscaliza
certificadoras
audita
as
de
nvel
autoridades
Certificadora(AC)
Autoridade
Registro (AR)
21
Os tipos mais emitidos de certificados digitais so: A1, validade de um ano, armazenado
no computador e A3, validade de at cinco, armazenado em carto ou token criptogrfico.
Alm desses, o tipo T3 e S3 tem validade de at cinco anos. Conforme declarao do ITI
(2012), o certificado A3 passou a ter at cinco anos de validade, enquanto o A4, para
apoiar o Passaporte Eletrnico Brasileiro, passou a valer por at 6 anos. As etapas do ciclo
de vida dos certificados digitais so demonstradas na Tabela 2.3.
Emisso
22
23
Os autores de Peotta et al. (2011) demonstram uma anlise dos dispositivos de segurana
implementados pelos dez maiores bancos no Brasil e concluiu que vrias camadas e
mtodos de segurana so simultaneamente adotadas pelas instituies bancrias, mas
que vulnerabilidades de segurana nos sistemas bancrios so detectados.
Vulnerabilidades so deficincias de diversas origens, as quais muitas vezes, no so
identificadas a tempo ou mesmo quando isso ocorre, no so devidamente tratadas de
modo a evitar um ataque (Nakamura, 2002).
Peotta et al. (2011) comprovou que a utilizao do certificado digital no segura, sendo
possvel exportar certificados do tipo A1 e utiliz-los remotamente, e os certificados do
tipo A3 podem ser utilizados por mais de um usurio ao mesmo tempo.
Destacou ainda, que os modelos atuais de segurana esto focados em identificar os
autores das fraudes, em vez executarem um procedimento preventivo a elas, no havendo
assim um modelo de segurana eficiente por parte dos bancos que oferecem total
segurana aos sistemas bancrios. Os ataques se tornam eficiente no atual modelo de
segurana ineficiente, demonstrando o Internet Banking como vulnervel, atravs da na
obteno de informao de autenticao e identificao. Este fato indica que os sistemas
bancrios devem fornecer mecanismos de segurana capazes de reduzir o vazamento de
informaes e problemas de segurana que afetam o sistema e que leva fraude.
2.6.3 - Aceitao de uso da Certificao e Imagem
Zhao (2010) registra um estudo de vrios modelos tericos que analisam os efeitos sobre
a aceitao de tecnologia. Percebeu-se que as administraes das Instituies bancrias
devem aumentar a satisfao dos usurios atravs dos sistemas que oferecem qualidade e
segurana das informaes e servios.
Chatzipoulidis e Mavridis (2010) acreditam que todos os fatores que moldam o ambiente
do Internet Banking so dependentes e correlacionados uns com os outros, que se uma
violao de segurana ocorrer devido uma perda de integridade durante uma transao
do Internet Banking, o impacto influncia todos os outros parmetros de aceitao do
usurio em relao aos servios bancrios eletrnicos. Conclui que, embora a confiana
dos consumidores no seu Banco seja forte, a sua confiana na tecnologia fraca.
24
Chen e Argles 2010) apontam quatro reas em relao aos sistemas, sendo, o produto
final bem sucedido, o controle de segurana com sucesso do sistema, o desempenho
estrutural que pode afetar a capacidade de adaptao de outros sistemas e o impacto
social, como confiana e cultura. O autor defende que os frameworks devem tratar
questes relacionadas a pases e culturas diferentes, lei de proteo de dados e questes
legais, impactando nos efeitos sobre o design do sistema. Os sistemas ainda devem ser
seguro para enfrentar ameaas, vulnerabilidade e equilbrio.
A utilizao de chaves criptogrficas e certificados digitais fazem com que seja
imprescindvel a definio de polticas, processos, procedimentos e ferramentas
tecnolgicas, como os sistemas automatizados de gerenciamento, para o controle
completo do ciclo de vida dos certificados. A falta de um gerenciamento apropriado expe
as Instituies a um risco no quantificado dentro das organizaes, incluindo acesso no
autorizado e falhas em auditorias de segurana (Gartner, 2011).
A gesto dos certificados ajuda a identificar questes de segurana, conformidade e
operacionais dentro de um ambiente, alm de prover indicaes que as organizaes
devem seguir no sentido de eliminar riscos (Gartner, 2011).
25
2.6.5 - Auditoria
Auditoria definida por Boynton (2002) como um processo sistemtico de obteno e
avaliao de evidncias sobre afirmaes a respeito de aes e eventos econmicos, para
aquilatao do grau de correspondncia entre as afirmaes e critrios estabelecidos, e de
comunicao dos resultados a usurios interessados.
Os procedimentos de auditoria possibilitam afirmar se as informaes partem de fontes
confiveis e se os procedimentos para obt-las esto sendo seguidos corretamente,
possibilitando aos seus usurios analisar com maior confiana as informaes oferecidas
pelas entidades, sustentando melhor as decises que precisam ser tomadas. Atestam ainda
se as informaes esto adequadas aos princpios de contabilidade geralmente aceitos, se
todos os demais procedimentos das atividades operacionais desempenhadas esto no nvel
de qualidade, eficincia e eficcia (Boynton, 2002).
O risco de informaes distorcidas, geradas por sistemas com controles ou processos
deficientes, induz a decises danosas s Instituies bancrias, a concentrao de dados
e a manuteno de cadastros e contabilizaes diversas tornam as organizaes
vulnerveis segurana desses dados, a erros e at a fraude (Trevisan, 1996)
A atividade de auditoria em sistemas de informtica consiste na unio entre os
conhecimentos dos procedimentos de auditoria, sistemas de informaes e processamento
eletrnico de dados e seu objetivo o de garantir que os processos esto sendo eficientes,
esto produzindo resultados eficazes, esto sendo garantidos os nveis de segurana das
informaes e atendem s necessidades dos usurios e da alta administrao em relao
rapidez, qualidade e custo das informaes (Boynton, 2002).
Para os autores Pereira e Santos (2010) frameworks adotado como sistemas de
informaes devem passar pela auditoria de segurana, realizadas para avaliar a eficcia
da capacidade de uma instituio protegendo seus ativos valorizados ou crticos. Para
manter a integridade das informaes, confidencialidade e disponibilidade as instituies
desenvolvem estratgias de gesto de segurana, em resposta aos requisitos de segurana
de informaes estarem em constante evoluo. Realizar auditorias regulares de
segurana em sistemas e frameworks uma forma de avaliar o desempenho e verificar se
as prticas de segurana existentes esto atendendo ou se necessitam ser revisadas.
26
Fiscalizao
Tcnicos
que
tem
objetivo
de
propiciara
Os arquivos existem para armazenar informaes e permitir que estas sejam recuperadas
mais tarde. So gerenciados por sistemas que oferecem diferentes tipos de
armazenamento e recuperao das informaes, baseados na estrutura, acessos, como so
utilizados, protegidos e implementados (Tanebaum, 2003).
Teixeira (2002) destaca que to ou mais importante que a identidade vinculada ao passado
a identidade que se projeta para o futuro e afirma a importncia do uso de tecnologias
apropriadas em documentos de formato digital, pois a preservao depende
principalmente da soluo tecnolgica adotada e dos custos que ela envolve.
O ICP-Brasil fica institudo para garantir a autenticidade, a integridade e a validade
jurdica de documentos em forma eletrnica, das aplicaes de suporte e das aplicaes
habilitadas que utilizem certificados digitais, bem como a realizao de transaes
eletrnicas seguras (Medida Provisria 2.200, 2011).
De acordo com a Lei n 12.682 (2012), que se refere ao arquivamento de documentos em
meios eletromagnticos, o ICP-Brasil citado como:
29
30
As chaves usadas para criao de assinatura e verificao deve ter limitado tempo
de vida, a fim de evitar a longa exposio a ameaas de segurana.
A terceira parte confivel que liga os dados de verificao de assinaturas para uma
identidade especfica, podendo no ser confivel no futuro, ou porque ele deixou
de operao, ou porque ele no preenche os requisitos necessrios mais.
31
Para assinatura digital para os registros de sade eletrnicos, o artigo prope um processo
de verificao de assinatura baseado em relacionamentos de confiana, eliminando
qualquer dependncia de relaes de confiana obsoletos que so invalidados
futuramente, como formatos de dados diferentes, armazenamento limitado e outros. A
proposta concentra-se na preservao da confiana na informao necessria para
verificar a identidade de um signatrio de uma forma incessante, atravs de uma transio
contnua de confiana sucessivas para novas entidades, dados e tecnologias, gerando um
esquema de reconhecimento notarial cumulativa.
O paradigma de carimbo do tempo e notarizao tem sido usados para prolongar a vida
de uma assinatura digital, indicando que a assinatura foi criada ou que foi transferida a
confiana para uma nova entidade, o Notrio. No entanto, o carimbo e os notrios
consistem em assinaturas digitais, perdendo sua validade ao longo do tempo.
O esquema de reconhecimento notarial cumulativo faz com que a ltima verificao bem
sucedida do notrio indica que a assinatura vlida, respeitando os direitos, regulamentos
e critrios sobre os servios, dependendo sempre de atuais entidades confiveis para
verificar a assinatura digital. Sua vantagem que preserva as caractersticas fortes de
segurana de uma assinatura digital, eliminando a necessidade de confiar no provedor do
certificado. Alm disso, no requer um sistema seguro de arquivamento, pois tem a
capacidade da tecnologia atualizada.
Os autores Ansper, Buldas, Roos e Wilemson (2001) apontam as tcnicas convencionais
de validao dos certificados digitais como no sendo prticas de validao para longo
prazo. Questes de dispositivos de segurana, regras de responsabilidade, atualizao,
distribuio eficiente e armazenamento das informaes das chaves pblicas so citadas
como problemas fundamentas a serem tratados para uso das certificaes a longo prazo.
As perguntas mais especficas tratadas nesse estudo so as medidas eficientes para
obteno e preservao das provas de validade, a complexidade computacional de
obteno de provas e a confiana do servio.
Solues existentes e suas falhas so apontadas pelo autor, como a soluo off-line de
PKI, onde o verificador verifica se a chave pblica do certificado no est vencida e se
no est na lista dos revogados, a qual somente a autoridade certificadora confivel. A
32
33
34
35
36
A Instituio define por meio de diretrizes orientaes de uso da criptografia que visa
aumentar o nvel de segurana e confiana na infraestrutura de comunicao, informaes
e sistema.
37
38
39
forma eletrnica e que sua assinatura digital, na Instituio, possa ser validada com o uso
do servio de assinatura digital.
A gerao de assinatura digital em documentos eletrnicos disponibilizada no ICPBrasil no padro Advanced Electronic Signature (CAdES) e reconhecida quando gerada
durante o prazo de validade do certificado digital em que est baseada.
A verificao a ao realizada para determinar com preciso que a assinatura digital foi
criada durante o perodo operacional de um certificado digital vlido, mediante o uso de
uma chave privada correspondente chave pblica contida no certificado, conforme o
padro definido pela ICP-Brasil, e se o contedo do documento associado no sofreu
alterao aps a criao da Assinatura Digital.
Sua verificao tem como objetivo constatar a integridade do documento assinado
digitalmente e validar o certificado utilizado e a sua cadeia de vinculao, confirmando a
autoria da assinatura. O trmino do processo de verificao de assinatura digital mostra
como resultado o estado de cada assinatura avaliada em termos de vlido, invlido e
indeterminado, identificando tambm os signatrios.
3.1.1.4-Poltica do Carimbo do Tempo
40
41
43
44
45
46
O Carimbo do Tempo um documento eletrnico emitido por uma parte confivel, que
serve como evidncia de que uma informao digital, que diz respeito ao instante em que
o mesmo foi submetido ao carimbo e no data de sua criao.
47
48
49
50
51
52
53
54
55
certificado, ou seja, oferece transaes com valores diferenciados aos clientes, que
utilizam o certificado digital (Plano do Projeto, 2010).
O aumento da segurana no uso do canal Internet Banking e ampliao da movimentao
financeira por meio de transaes mais seguras tm gerado maior competitividade no
mercado e projeo positiva da Instituio na mdia externa, passando a atender vrios
outros servios, como, validao de alvar eletrnico, validao de documentos
eletrnicos previstos em clusulas contratuais acordadas com fornecedores e autorizao
de dbito emitida pelas agncias regionais da Receita Federal, dentre outros (Plano do
Projeto, 2010).
Dessa forma, pode-se visualizar na Tabela 4.1 um resumo dos fatores apontados pela
Instituio com a aquisio da soluo de framework de certificado digital e a
implantao do projeto certificado digital no Internet Banking.
Tabela 4.1: Resumo dos fatores apontados pela Instituio
Proposta Implantada
Vantagens Pontuadas
- Aquisio da soluo de
Iniciativas estratgicas de TI
framework de certificado
Digital
- Disponibilizao da soluo de Garante maior agilidade nas transaes e
framework de certificado digital
- Conhecimento da soluo de
- Ambiente da soluo de
56
Proposta Implantada
Vantagens Pontuadas
autenticidade das informaes armazenadas nos
sistemas de informao da Instituio.
- TI com a soluo de
Banking
maior
alada
para
realizao
de
na Instituio
Banking
58
4.2.1 Riscos
Quanto aos riscos, pode-se dizer que so as possibilidades das ameaas explorem as
vulnerabilidades, ocasionando danos ou perdas de dados, proporcionando prejuzos aos
negcios da empresa e que acabam por afetar os princpios de confiabilidade, integridade
e disponibilidade. A viso do risco como parte do negcio obriga a uma preocupao
quanto aos principais eventos que possam colocar perigo o resultado, as pessoas, as
informaes, o ambiente e os demais entes relacionados (Beal, 2008).
Beal (2008) aponta que a gesto de risco o conjunto de processos que permite s
organizaes identificar e implementar as medidas de proteo necessrias para diminuir
os riscos a que esto sujeitos aos seus ativos de informao, e equilibr-los com os custos
operacionais e financeiros envolvidos.
Cobit (2007) define que a gesto dos riscos requer a conscientizao da alta direo
executiva da empresa, um claro entendimento do risco que a empresa est disposta a
correr, compreender os requisitos normativos envolvidos, transparncia quanto aos riscos
significativos para a empresa e a insero das responsabilidades na administrao de
riscos dentro da organizao.
Todo evento que representa um risco deve ser identificado, analisado e estimado, o que,
uma vez realizado, deve buscar minimizar os seus e comunicar o risco residual, que o
risco que se sabe estar ainda correndo (Cobit, 2007).
Os elementos de sustentao da efetividade do projeto de certificado digital no Internet
Banking do Banco Capital foram mapeados em forma de riscos, considerando os
apontamentos dos autores e a posio do Banco Capital. Os riscos do projeto de
certificado digital so apontados na Tabela 4.2: Risco Aderncia ao Internet Banking,
Tabela 4.3: Risco Prtica de segurana no Internet Banking, Tabela 4.4: Risco Aceitao
de uso da Certificao e Imagem, Tabela 4.5: Risco Frameworks para Gesto, Tabela 4.6:
Risco Auditoria, Tabela 4.7: Risco Arquivamento e Tabela 4.8: Risco Confiabilidade,
Integridade, Autenticidade e Disponibilidade.
59
Aderncia ao
Internet
Banking
Prtica de
segurana no
Internet
Banking
tornados
disponveis,
bem
como
adequado
60
Aceitao de
uso da
Certificao e
Imagem
61
Frameworks
para Gesto
62
Auditoria
Boynton
(2002)
descreve
os
procedimentos
de
auditoria
63
Arquivamento
64
Elementos
Integridade
65
66
comprometimento
da
chave,
compromisso
da
autoridade
67
68
As recomendaes sugeridas neste plano de ao, Tabela 4.9, ao projeto certificado digital
no Internet Banking, tem o objetivo de mitigar os riscos mapeados para os elementos de
sustentao da efetividade do uso da certificao digital no Banco Capital.
Tabela 4.9: Plano de Ao
Elementos
Prtica de
segurana no
Internet
Banking
Recomendaes
Rever o enquadramento da soluo de framework de certificado
digital no manual normativo interno de segurana para o
desenvolvimento e manuteno de sistemas, alinhando com a
resoluo de proteo e dados definida pelo BACEN.
Incluir as recomendaes nas polticas de uso interno do Banco.
Aceitao de
uso da
Certificao e
Imagem
69
fornecendo todas as evidncias necessrias para garantir o norepdio de transaes eletrnicas, prevenindo e detectando
alteraes ou manipulaes fraudulentas nos documentos.
Permitir que todas as incluses, alteraes e excluses sejam
realizadas de forma on-line, mantendo
histricos das
Arquivamento
70
garantindo
integridade,
disponibilidade
confidencialidade da documentao.
Confiabilidade
Integridade
Autenticidade
Disponibilidade
71
Aps a aplicao do plano de ao sugerido com este estudo, uma poltica de gesto dos
elementos de efetividade do uso da certificao na Instituio dever ser criada, de forma
a estruturar e atualizar as prticas que fundamentam o uso da criptografia, certificado
digital, assinatura digital e carimbo do tempo j existentes no Banco Capital.
72
5- CONCLUSO
Este trabalho apresenta a importncia e necessidade das organizaes bancrias
investirem em tecnologia, em seus equipamentos, infraestrutura, software e inovao para
alavancar os servios do setor bancrio.
A tecnologia adotada responsvel pela disponibilidade dos canais de atendimento
bancrio, oferecendo novos aplicativos e segurana na realizao de toda transao. O
uso do Internet Banking fez com que os clientes ganhassem mais autonomia nas
movimentaes bancrias das contas, tronando um canal mais eficiente, rpido e sem
custos.
Os representativos nmeros de transaes bancrias realizadas nesse canal fizeram com
que as Instituies Bancrias adotassem tcnicas de segurana eficaz contra fraude, pois
a proteo das informaes e dados dos clientes gera mais confiana, ganho de mercado,
negcios e destaque da imagem.
A tcnica de certificao digital no Internet Banking foi adotada pela Instituio
apresentada neste trabalho, como forma de oferecer maior segurana, integridade,
autenticidade e no repdio. O projeto de certificao digital no Internet Banking na
Instituio vem sendo implementado por etapas, inicialmente no acesso/log ao canal.
Para a execuo do projeto, a Instituio adquiriu a soluo de framework de certificado
digital, com o intuito de centralizar todos os processos que envolvem certificao nos
produtos e sistemas interno.
A infraestrutura implementada gera todo ciclo de vida do certificado digital, atendendo
as necessidades especificadas para empresa de desenvolvimento, porm, a proposta desse
trabalho foi analisar os elementos de sustentao da efetividade do uso do certificado
digital em aplicaes de Internet Banking, atravs da soluo de framework adotada pelo
Banco Capital.
73
74
75
REFERNCIAS BIBLIOGRFICAS
Adendo Estatstico (2011), Diagnstico do Sistema de Pagamentos de Varejo do Brasil,
Banco
Central
do
Brasil.
Disponvel
em
<http://www.bcb.gov.br/htms
/spb/Diagnostico-Adendo-2011.pdf>
Ahmed A., Rezaul M. K, Rahman A. M (2010), "E-Banking and Its Impact on Banks,
Performance and Consumers Behaviour", icds, pp.238-242, Fourth International
Conference on Digital Society, AntilhasHolandesas.
Albertini A. e Moura L. (2002), "Administrao de Informao: funes e fatores crticos
de sucesso", 4 ed. So Paulo: Editora Atlas.
Almeida A. L., BaranauskasC.M (2008), Universidade Estadual de Campinas UNICAMP, Anais do Simpsio Brasileiro de Fatores VIII Humanos em Sistemas
Computacionais, Sociedade Brasileira de Computao Porto Alegre.
Ansper A., Buldas A., Roos M. e Wilemson M. (2001)," Efficient long-term validation
of digital signatures", 4th International Workshop on Practice and Theory in Public
Key Cryptography, pp. 402-415, Korea.
Arretche, Marta(2006), Tendncias no estudo sobre avaliao. In: RICO, E.M. Avaliao
de Polticas Sociais. Uma questo em debate. So Paulo, Cortez.
Bacen - Banco Central do Brasil (2001), Resoluo n 2.817 - Dispe sobre a abertura e
a movimentao de contas de depsitos exclusivamente por meio eletrnico, bem
como acerca da utilizao desse instrumento de comunicao. Disponvel em
<www.bcb.gov.br>
Banco do Brasil (2012). Disponvel em <www.bancodobrasil.com.br>
Beal, Adriana. (2008) Segurana da Informao: Princpios e Melhores Prticaspara a
Proteo dos Ativos da Informao nas Organizaes. So Paulo: Editora Atlas.
Bry Tecnologia. (2012). Disponvel em: <http://www.bry.com.br/wp-content/uploads/
2012/11 /folder_bry_framework_site.pdf>
Boynton, William C.; Johnson, Raymond N.; Kell, Walter G (2002). Auditoria. So
Paulo: Atlas.
CAIXA- Caixa Econmica Federal (2012). Disponvel em <www.caixa.gov.br>
Carvalho, Luciano Gonalves. (2005) Segurana de redes. RJ: Cincia Moderna Ltda.
76
Atual
(2012),
Disponvel
em
<http://www.febraban.org.br
/7Rof7SWg6qmyvwJcFwF7I0aSDf9jyV/sitefebraban/Ciab12-Anuario%20Febra
ban%2006.07.pdf>
Febraban - O Setor Bancrio Setor Bancrio em Nmeros, Tendncias Tecnolgicas e
Agenda Atual (2013), Disponvel em <http://www.febraban.org.br>
Fitzgerald, Jerry; Dennis, Alan. (2005) Comunicao de Dados Empresariais e Redes. RJ:
LTC.
Fujishiro T., Sato A., Kumagai Y., Kaji T., Okada K. (2010), "Development of Hi-Speed
X.509 Certification Path Validation System," Advanced Information Networking
and Applications Workshops", International Conference on, pp. 269-274, IEEE
24th International Conference on Advanced Information Networking and
Applications Workshops.
Gartner, Inc. (2011) X.509 Certificate Management: Avoiding Downtime and Brand
Damage www.gartner.com/id1840016.
77
Hu N., Giri K., Chengyu M. T., Li Y. (2009), Certificate revocation release policies",
Journal of Computer Security, Pages: 127-157, Volume 17 Issue 2.
Hu X. e Ma L. (2010), "A Study on the Hybrid Encryption Technology in the Security
Transmission of Electronic Documents," isme, vol. 1, pp.60-63, International
Conference of Information Science and Management Engineering, China.
Humphreys K. (1998), " Banking on the Web: Security First Network Bank and the
development of virtual financial institutions", p. 75-104, Banking and Finance on
the Internet, Canada.
ITI - Instituto Nacional de Tecnologia da Informao (2012), Disponvel em
<http://www.iti.gov.br>
ITIL, Office of Government Commerce Aligning CobiT 4.1 (2008), ITILV3 and ISO/IEC
27002 for Business Benefit. Illinois, USA: IT GovernanceInstitute.
Jie Z. e Hong X. (2010), "E-Commerce Security Policy Analysis," icece, pp.2764-2766,
International Conference on Electrical and Control Engineering, China.
Kurose. J.F.K.W. (2003) Redes de computadores e a Internet. So Paulo.
AddilsonWeslwy.
Leavitt N. (2011), "Internet Security under Attack: The Undermining of Digital
Certificates," Computer, vol. 44, no. 12, pp. 17-20, doi:10.1109/MC.2011.367.
Lei n 12.682 (2012), Dispe sobre a elaborao e o arquivamento de documentos em
meios
eletromagnticos.
Disponvel
em
<http://www.planalto.
gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12682.htm>
Lekkas D. e Gritzalis (2007), "Long-term verifiability of the electronic healthcare records'
authenticity", International Journal of Medical Informatics, Volume 76, Issues 5-6,
Virtual Biomedical Universities and E-Learning and Secure eHealth: Managing
Risk to Patient Data - Elearning and Secure eHealth Double S.I., p. 442-448.
Ma J., Abie H., Skramstad T., Nygrd M. (2011), "A Framework for the Assessment of
the Trustworthiness of Digital Records over Time," IEEE TrustCom/IEEE
ICESS/FCST, International Joint Conference of, pp. 738-744, IEEE 10th
International Conference on Trust, Security and Privacy in Computing and
Communications.
Manual de Condutas Tcnicas (2009) - Procedimentos de Ensaios para Homologao de
Equipamentos de Carimbo do Tempo no mbito da ICPBrasil, verso 1.0, Manual
de
Condutas
Vol
II
(MCT
78
10
Vol.
II).
Disponvel
em
<http://www.iti.gov.br/images/consulta-publica/encerradas/LEA_MCT0_VolII_v1.0.pdf>
Manual Normativo Interno (2011), TE197 - Segurana para o desenvolvimento e
manuteno de sistemas. Vigncia 10/12/2011.
Manual Normativo Interno (2012), C089 - Internet Banking, Vigncia 29/06/2012.
Medida Provisria n2.200 - Institui a Infra-Estrutura de Chaves Pblicas Brasileira ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em
autarquia,
outras
providncias,
(2001).
Disponvel
em
da
Unio
Disponvel
em
<http://www.iti.gov.br/images/icp-
brasil/legislacao /Resolucoes/resolucao65.pdf>
RIF - Relatrio de Incluso Financeira, Banco Central do Brasil (2010). Disponvel em:
<http://www.bcb.gov.br/Nor/relincfin/relatorio_inclusao_financeira.pdf>
Rousseau, Jean-Yves, Couture, Carol.(1994).Os fundamentos da disciplina arquivstica.
Lisboa: Publicaes Dom Quixote.
Sanayei A., Noroozi A. (2009), "Security of Internet Banking Services and its Linkage
with Users Trust: A Case Study of Parsian Bank of Iran and CIMB Bank of
Malaysia, icime, and pp.3-7, International Conference on Information
Management and Engineering, Malsia.
Santander Banco (2012). Disponvel em <www.santander.com.br>
Sarma S.E., Weis, S.A., Engels, D.W., (2003) Radio Frequency Identification: Security
Risks and Challenges, Cryptobytes, RSALaboratories, Volume 6, No 1, pgina 2
Schneier, Bruce (1996). Applied Cryptography: Protocols, Algorithms and Source. Code
in C. 2. ed.New York: John Wiley & Sons.
Stallings, Wiliam. (2003) Cryptography and Network Security: Principles and Practice,
Third Edition. Prentice-Hall.
Sols,R.
von(1999).
Information
security
management:
why
standards
are
em<http://revistas.puccampinas.edu.br/transinfo/viewarticle.
php?id=8>
TIC Empresas - Pesquisa sobre o Uso das Tecnologias da Informao e da Comunicao
no Brasil (2010). Disponvel em <http://www.cetic.br/empresas/2010/index.htm>
80
81