Você está na página 1de 93

UNIVERSIDADE DE BRASLIA

FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA

ELEMENTOS DE SUSTENTAO DA EFETIVIDADE DO USO DA


CERTIFICAO DIGITAL EM APLICAES DE INTERNET
BANKING ESTUDO DE CASO EM UMA INSTITUIO PBLICA
BANCRIA

RBIA SCRCARO

ORIENTADOR: RAFAEL TIMTEO DE SOUSA JNIOR

DISSERTAO DE MESTRADO ENGENHARIA ELTRICA

PUBLICAO: PPGEE.DM - 538/2013


BRASLIA/DF: SETEMBRO 2013

UNIVERSIDADE DE BRASLIA
FACULDADE DE TECNOLOGIA
DEPARTAMENTO DE ENGENHARIA ELTRICA

ELEMENTOS DE SUSTENTAO DA EFETIVIDADE DO USO DA


CERTIFICAO DIGITAL EM APLICAES DE INTERNET
BANKING - ESTUDO DE CASO EM UMA INSTITUIO PBLICA
BANCRIA
RBIA SCRCARO

DISSERTAO
SUBMETIDA
AO
DEPARTAMENTO
DE
ENGENHARIA ELTRICA DA FACULDADE DE TECNOLOGIA DA
UNIVERSIDADE DE BRASLIA COMO PARTE DOS REQUISITOS
NECESSRIOS PARA A OBTENO DO GRAU DE MESTRE:

APROVADA POR:
_________________________________________________
Prof. Rafael Timteo de Sousa Jnior, Dr. (ENE-UnB)
(Orientador)
_________________________________________________
Prof. Laerte Peotta, Dr. (ENE-UnB)
(Examinador Interno)
_________________________________________________
Robson de Oliveira Albuquerque, Dr. (ABIN)
(Examinador Externo)
_________________________________________________
Edna Dias Macedo, Dr. (ENE-UnB)
(Suplente)
BRASLIA/DF, 15 DE JULHO DE 2013

ii

FICHA CATALOGRFICA
Scrcaro, Rbia
Elementos de sustentao da efetividade do uso da certificao digital em aplicaes de Internet
Banking Estudo de caso em uma Instituio Pblica Bancria. [Distrito Federal] 2013.
ENE/FT/UnB, Engenharia Eltrica
Dissertao de Mestrado Universidade de Braslia. Faculdade de Tecnologia.
Departamento de Engenharia Eltrica
1.Framework de Certificado Digital

2.Certificado Digital

3.Internet Banking

4.Assinador Digital

I. ENE/FT/UnB

II. Ttulo (srie)

REFERNCIA BIBLIOGRFICA
Scrcaro, Rbia (2013). Elementos de sustentao da efetividade do uso da certificao digital
em aplicaes de Internet Banking Estudo de caso em uma Instituio Pblica Bancria.
Dissertao de Mestrado em Engenharia Eltrica, Publicao PPGEE.DM - 538/2013,
Departamento de Engenharia Eltrica, Universidade de Braslia, Braslia, DF,

CESSO DE DIREITOS
AUTOR: Rbia Scrcaro
TTULO: Elementos de sustentao da efetividade do uso da certificao digital em aplicaes
de Internet Banking Estudo de caso em uma Instituio Pblica Bancria.
GRAU: Mestre

ANO: 2013

concedida Universidade de Braslia permisso para reproduzir cpias desta dissertao de


mestrado e para emprestar ou vender tais cpias somente para propsitos acadmicos e
cientficos. O autor reserva outros direitos de publicao e nenhuma parte dessa dissertao de
mestrado pode ser reproduzida sem autorizao por escrito do autor.

___________________________________________
Rbia Scrcaro
SCRN 716 Bloco H, Entrada 16, Apt. 301, Asa Norte
70.770.680 Braslia DF Brasil.

iii

AGRADECIMENTOS

Agradeo a Deus por a mais esta conquista, por Ele ter promovido tantas mudanas na
minha vida, me fazendo perceber a importncia de cada passo percorrido, com amor e
amadurecimento.
Imensamente meu agradecimento ao orientador Professor Rafael Timteo Sousa Jnior,
que me acolheu, teve pacincia e soube compreender amigamente a dedicao aos estudos e
carreira profissional.

iv

DEDICATRIA

A minha me e ao meu irmo, que mesmo longe, sempre perto esto.


Aos meus chefes que reconhecem a importncia do estudo.
Aos meus amigos que compartilharam ideias, principalmente a Josi, Laerte, Robson, Edna e
a Jaqueline e Eduardo que transferiram toda concentrao e o esforo necessrio.

RESUMO
ELEMENTOS DE SUSTENTAO DA EFETIVIDADE DO USO DA
CERTIFICAO DIGITAL EM APLICAES DE INTERNET BANKING ESTUDO
DE CASO EM UMA INSTITUIO PBLICA BANCRIA
Autor: Rbia Scrcaro
Orientador: Professor Dr. Rafael Timteo de Sousa Junior
Programa de Ps-graduao em Engenharia Eltrica
Braslia, 15 de Julho de 2013.

Esta dissertao apresenta uma anlise dos elementos de sustentao da efetividade do uso do
certificado digital em aplicaes de Internet Banking, com estudo de caso de uma Instituio
Pblica Bancria, com nome fictcio de Banco Capital.
O Banco Capital, para implementar o projeto certificado digital no Internet Banking, adotou
uma soluo de framework de certificado digital que assina e verifica a assinatura digital em
documento eletrnico, requisio carimbo de tempo de uma autoridade certificadora, vlida o
certificado digital e sua correspondente cadeia de certificao e gerencia as listas de certificados
revogados.
O presente trabalho foi desenvolvido com embasamento em pesquisas do setor bancrio e
revises de literatura relacionadas ao tema, com a finalidade de analisar se a soluo de
framework de certificado digital trata os elementos suficientes que garantem a sustentao da
efetividade do projeto na Instituio.
O projeto certificado digital no Internet Banking est em fase de testes, o piloto est disponvel
para os acessos de empregados do banco, com previso de expanso para todos os clientes.
Durante a realizao do estudo, a soluo de framework de certificado digital apresentou
caractersticas no satisfatrias em relao s consideraes apontadas pelos autores. Uma
proposta com recomendaes sugerida em forma de plano de ao.

vi

ABSTRACT
ELEMENTS TO SUPPORT THE EFFECTIVENESS OF THE USE OF
CERTIFICATION IN DIGITAL APPLICATIONS OF INTERNET BANKING-CASE
STUDY IN A PUBLIC INSTITUTION BANK
Author: Rbia Scrcaro
Supervisor: Professor Dr. Rafael Timteo de Sousa Junior
Programa de Ps-graduao em Engenharia Eltrica
Braslia, 15 july 2013

This paper presents an analysis of the elements supporting the effectiveness of using the digital
certificate in Internet Banking applications, with case study of a Public Bank, with real name
of Bank Capital.
The Capital Bank, to implement the project digital certificate in Internet Banking, adopted a
solution framework digital certificate that signs and verifies the digital signature on an
electronic document, requests the time stamp of a certification authority, validates the digital
certificate and its corresponding certificate chain and manages the certificate revocation lists.
This work was developed with grounding in research in banking and literature reviews related
to the topic, in order to examine whether the solution framework of the digital certificate is
sufficient to ensure the support of the effectiveness of the project in the institution.
The project digital certificate in Internet Banking is in the testing phase, the pilot is available
for

access

to

bank

employees,

with

expected

expansion

to

all

customers.

During the study, the solution framework of digital certificate presented unsatisfactory
characteristics in relation to the considerations mentioned by authors. A proposal with
recommendations is suggested in the form of an action plan.

vii

SUMRIO

1- INTRODUO ................................................................................................................................. 1
1.1 - JUSTIFICATIVA ...................................................................................................................... 2
1.2 - DEFINIO DO PROBLEMA..................................................................................................3
1.3 - OBJETIVOS .............................................................................................................................. 4
1.3.1 - Objetivos Especficos.................................................................................................... 4
1.4 METODOLOGIA DE PESQUISA ............................................................................................ 5

1.5 - ESTRUTURA DO TRABALHO...................................................................................5


2 REVISO DE LITERATURA ...................................................................................................... 7
2.1 INVESTIMENTOS EM TECNOLOGIA DA INFORMAO .............................................. 7
2.2 SEGURANA BANCRIA NO INTERNET BANKING ...................................................... 9
2.3 SEGURANA DA INFORMAO.......................................................................................11
2.4 TECNICAS DE SEGURANA DA INFORMAO APLICADAS EM INTERNET
BANKING ....................................................................................................................................... 12
2.4.1 Criptografia .................................................................................................................. 12
2.4.1.1- Criptografia Simtrica.................................................................................................. 13
2.4.1.2 -Criptografia Assimtrica...............................................................................................14
2.4.1.3 -Funo de Resumo Hash.............................................................................................. 15
2.4.2 Certificado Digital ....................................................................................................... 15
2.4.2.1 -Infra-Estrutura de Chaves Pblicas..............................................................................18
2.4.3 Assinatura Digital..........................................................................................................19
2.5 ICP BRASIL - ESTRUTURA DE CHAVES PBLICAS BRASILEIRAS .......................... 21
2.6 - QUESTES DO EMPREGO DE CERTIFICADOS DIGITAIS NO INTERNET BANKING
.......................................................................................................................................................... 22
2.6.1 Aderncia ao Internet Banking..................................................................................... 23
2.6.2 - Prtica de Segurana no Internet Banking ................................................................... 23
2.6.3 - Aceitao de uso da Certificao e Imagem ................................................................. 24
2.6.4 - Frameworks para Gesto ............................................................................................. 25
2.6.5 - Auditoria ....................................................................................................................... 26
2.6.6- Arquivamento ................................................................................................................ 27
2.6.7- Confiabilidade................................................................................................................ 29
2.6.8 - Integridade .................................................................................................................... 30
2.6.9 - Autenticidade ................................................................................................................ 31
2.6.10 -Disponibilidade ............................................................................................................ 34

viii

3 - ESTUDO DE CASO EM UMA INSTITUIO PBLICA BANCRIA ................................36


3.1 CENRIO DA INSTITUIO .............................................................................................. 36
3.1.1 Declarao de Polticas Internas ................................................................................. 37
3.1.1.1- Poltica da Criptografia................................................................................................37
3.1.1.2- Poltica do Certificado Digital..................................................................................... 38
3.1.1.3- Poltica da Assinatura Digital...................................................................................... 39
3.1.1.4- Poltica do Carimbo do Tempo.................................................................................... 40
3.1.2 - Internet Banking......................................................................................................................... 41
3.1.3 - Projeto Certificado Digital na Internet Banking .......................................................... 42
3.2 SOLUO DE FRAMEWORK DE CERTIFICADO DIGITAL .......................................... 42
3.2.1- Componente Assinador .................................................................................................. 45
3.2.2 - Componente Verificador ............................................................................................... 45
3.2.3- Componente Validador .................................................................................................. 45
3.2.4 - Componente Carimbador .............................................................................................. 45
3.2.5 - Componente Gerenciador de LCR ................................................................................ 46
3.2.6 - Autoridade de Carimbo do Tempo (ACT) ..................................................................... 46
3.3 - REQUISITOS FUNCIONAIS DA SOLUO ...................................................................... 47
3.4 - FUNCIONAMENTO DA SOLUO .................................................................................... 47
3.4.1- Assinatura Digital Bsica .............................................................................................. 49
3.4.2- Assinatura Digital com Carimbo de Tempo................................................................. ..50
3.4.3 - Verificao de Assinatura Digital sem carimbo do Tempo .......................................... 51
3.4.4 - Verificao de Assinatura Digital com carimbo do Tempo .......................................... 52
4 PROSPECO DA INSTITUIO E DOS CLIENTES DA SOLUO DE INTERNET
BANKING COM CERTIFICADO DIGITAL.......................................................................................54
4.1 OBSERVAES DA INSTITUIO PBLICA BANCRIA ........................................... 54
4.1.1 - Viso da Tecnologia da Informao ............................................................................. 54
4.1.2 - Viso do Negcio .......................................................................................................... 55
4.1.3 -Viso dos Clientes ....................................................................................................................... 58
4.2 ANLISE DOS ELEMENTOS DE SUSTENTAO .......................................................... 58
4.2.1- Riscos ............................................................................................................................. 59
4.3 PROPOSTA DE RECOMENDAES ................................................................................. 68
4.3.1- Plano de Ao ................................................................................................................ 68
5- CONCLUSO.................................................................................................................................. 73
5.1 PUBLICAO RELACIONADA A ESTE TRABALHO .................................................... 75
REFERNCIAS BIBLIOGRFICAS............................................................................................... 76

ix

LISTA DE TABELAS
Tabela 2.1: Bancos eClientes (Febraban, 2012)..........................................................................8
Tabela 2.2: Cadeia de Autoridades Certificadoras (ITI, 2012).................................................21
Tabela 2.3: Ciclo de vida dos Certificados Digitais(ITI, 2012)................................................22
Tabela 2.4: Auditorias, Fiscalizaes e Homologaes(ITI, 2012)..........................................27
Tabela 4.1: Resumo dos fatores apontados pela Instituio.....................................................56
Tabela 4.2: RiscoAderncia ao Internet Banking.....................................................................60
Tabela 4.3: Risco Prtica de segurana no Internet Banking...................................................60
Tabela 4.4: Risco Aceitao de uso da Certificao e Imagem................................................61
Tabela 4.5: Risco Frameworks para Gesto .............................................................................62
Tabela 4.6: Risco Auditoria......................................................................................................63
Tabela 4.7: Risco Arquivamento..............................................................................................64
Tabela 4.8: Risco Confiabilidade, Integridade, Autenticidade, Disponibilidade.....................65
Tabela 4.9: Plano de ao.........................................................................................................69

LISTA DE FIGURAS
Figura 2.1: Despesas e Investimentos em Tecnologia por Bancos no Brasil (Febraban, 2012).7
Figura 2.2: Participao das Transaes Bancrias(Febraban, 2012).......................................10
Figura 2.3: Criptografia Simtrica (adaptado de Stallings, 1999)............................................13
Figura 2.4: Criptografia Assimtrica(Schneier,1996).............................................................15
Figura 2.5: Modelo de Malha de Confiana (Jie e Hong, 2010)...............................................16
Figura 2.6: Modelo Hierrquico(Jie e Hong, 2010)..................................................................17
Figura 2.7: Infra-Estrutura de Chaves Pblicas (ICP) (Nakamura e Geus, 2002)....................18
Figura 2.8: Assinatura Digital(Jie e Hong, 2010).....................................................................20
Figura 3.1Web Servicesdo Framework de Certificao Digital (Bry, 2012)..........................44
Figura 3.2 - Topologia do Framework de Certificao Digital (Requisies e Especificaes,
2009).........................................................................................................................................44
Figura 3.3: Portal de Certificao Digital(Intranet da Instituio)...........................................48
Figura 3.4: Fluxo das operaes da Soluo de Framework(Requisies e Especificaes,
2009).........................................................................................................................................49
Figura 3.5: Fluxo Assinatura Digital bsica(Adaptado de Requisies e Especificaes, 2009
e Plano de Projeto, 2010)..........................................................................................................50
Figura 3.6: Fluxo Assinatura digital com carimbo de tempo(Adaptado de Requisies e
Especificaes, 2009 e Plano de Projeto, 2010).......................................................................51
Figura 3.7: Fluxo Verificao de assinatura digital sem carimbo de tempo(Adaptado de
Requisies e Especificaes, 2009 e Plano de Projeto, 2010)................................................52
Figura 3.8: Fluxo Verificao de assinatura digital com carimbo de tempo(Adaptado de
Requisies e Especificaes, 2009 e Plano de Projeto, 2010)................................................53

xi

LISTA DE SMBOLOS, NOMENCLATURA E ABREVIAES


AC

Autoridade Certificadora

AC-Raiz

Autoridade Certificadora Raiz

ACT

Autoridade de Carimbo do Tempo

AD-A

Assinatura Digital com Informaes para Arquivamento

AD-B

Assinatura Digital Bsica

AD-C

Assinatura Digital com Informaes Completas

AD-R

Assinatura Digital com Referncias para Validao

AD-T

Assinatura Digital com Carimbo de Tempo

AR

Autoridade de Registro

ATM

Automated Teller Machines

HTTP

Hypertext Transfer Protocol

ICP

Infraestrutura de Chaves Pblicas

ICP-Brasil

Infraestrutura de Chaves Pblicas Brasileira

ITI

Instituto Nacional de Tecnologia da Informao

ITU

Telecommunication Standardization Sector

LCR

Lista de Revogao de Certificados

OCSP

On-line Certificate Stastus Protocol

PKI

Infraestrutura de Chaves Pblicas

SPB

Sistema de Pagamentos Brasileiro

SOA

Service Oriented Architeture

TI

Tecnologia da Informao

TSQ

Timestamp

xii

1- INTRODUO
As Instituies Bancrias tem se caracterizado por mudanas aceleradas no ambiente de
tecnologia, tornando-se um fator importante no futuro do desenvolvimento dos servios
financeiros. Neste cenrio, o servio remoto oferecido pelo Internet Banking vem se
apresentando como alternativa de baixo custo e de maior flexibilidade na promoo da
incluso financeira, tornando a principal estratgia de negcio (Chatzipoulidis e Mavridis,
2010).
Segundo a Febraban (2012) o Internet Banking considerado o canal mais utilizado para
realizao de transaes financeiras no Brasil, em consequncia, a segurana se torna a
palavra-chave para a total integrao desse servio.
Com o crescimento do Internet Banking, Instituies de grande porte tem adotado o
Certificado Digital, representando um crescimento de 74% (TIC Empresas, 2010).
Para a Febraban (2012), o certificado digital atribui um nvel maior de segurana nos
servios e transaes eletrnicas, permitindo a identificao inequvoca das partes
envolvidas, bem como a integridade e a confidencialidade dos documentos e dados da
transao, conferindo ainda, a mesma validade jurdica que a assinatura de prprio punho,
conforme (Medida Provisria 2.200, 2011).
Buscando sustentar a efetividade do uso do certificado digital no Internet Banking, uma
Instituio Pblica Bancria com nome fictcio de Banco Capital, adotou uma soluo de
framework de certificado digital. A aplicao da soluo na Instituio faz com que todos
os processos e sistemas que utilizam o certificado digital passem pelo framework, que
capaz de assinar, verificar, carimbar, validar e gerencias as listas de certificados
revogados.
Dentre os atributos oferecidos pelo certificado digital, demais elementos de
sustentabilidade so apontados como necessrios para garantir a efetividade de todo
processo, sendo eles, a aderncia ao Internet Banking, a aceitao da certificao, a
imagem da Instituio, a prtica de segurana no Internet Banking, frameworks para
gesto, auditria, arquivamento, autenticidade e disponibilidade das informaes.
1

Garantir a efetividade para Arretche (2006) a capacidade de promover resultados


pretendidos, a satisfao, o sucesso na prtica do que feito. A avaliao de efetividade
o exame da relao entre a implementao de uma soluo e seus impactos e resultados,
torna-se mais clara a necessidade de demonstrar que os resultados encontrados esto
alinhados ao objetivo do negcio.
A anlise dos elementos de sustentao da efetividade da soluo de framework de
certificado digital na aplicao do projeto certificado digital no Internet Banking da
Instituio Pblica Bancria foi realizada de acordo com a prospeco da Instituio na
viso da tecnologia, negcio e clientes, considerando os apontamentos feitos na reviso
de literatura. A anlise resultou em um mapeamento de possveis riscos, ameaas e
vulnerabilidades que podem causar impactos Instituio Bancria analisada por este
estudo.

Para mitigar esses riscos, foi sugerida uma proposta de recomendaes em forma de plano
de ao para cada elemento de sustentao da efetividade do uso do certificado digital.

1.1 JUSTIFICATIVA
O Certificado Digital tem sido utilizado em servios e produtos dos canais de atendimento
aos clientes, inclusive com parcerias no Governo Federal e Empresas Privadas. Canal
entendido pelos bancos como o ponto de acesso dos clientes, sendo as agncias, terminais
eletrnicos, telefnico, Internet Banking e outros meios.
As movimentaes transacionais nestes canais fazem com que proteo aos dados e
informaes se torne a preocupao constante das Instituies Bancrias, haja vista que
os vazamentos de dados sigilosos podem comprometer a estratgia de negcio e pe em
risco a credibilidade e imagem do banco, podendo causar srios prejuzos (Plano de
Projeto, 2010).
Os recordes de transaes realizadas no Internet Banking tm demonstrado uma aceitao
e confiana dos clientes nas Instituies Bancrias, fazendo com que os bancos apliquem
as prticas de segurana em todos os sistemas (Febraban, 2012).

No estudo de caso do Banco Capital, a tecnologia da informao completamente atuante


no atendimento especfico ao negcio, otimizando os processos e fluxos, inovando e
mantendo a disponibilizao de toda rede de atendimento no consumo de servios
prestados, maior comprometimento, responsabilizao com os resultados, maior
colaborao, coordenao entre a tecnologia e o negcio e a capacidade de absorver
crescimento de produo sem inviabilizar o modelo gesto.
Dessa forma, aplicar maior segurana e qualidade no Internet Banking tem sido premissa
para o negcio do Banco Capital, que em parceria com a tecnologia, implementa o projeto
de certificado digital no Internet Banking.

Este estudo foi realizado em ambiente bancrio devido ao grande nmero de transaes
e valores que esto sendo movimentados atravs do Internet Banking, e ainda, para
demonstrar se a soluo de framework de certificado digital garante os elementos de
sustentao da efetividade do uso do certificado digital para os usurios e clientes.

1.2 - DEFINIO DO PROBLEMA


Um sistema financeiro saudvel, tico e eficiente condio essencial para que os clientes
possam confiar nos servios oferecidos pelos bancos. Investir em novas tecnologias e
observar os comportamentos dos clientes traz um mundo de oportunidades e de negcios
para as Instituies (Febraban, 2012).
O Internet Banking do Banco Capital apresentou um crescimento de mais de 38% no
ltimo ano em quantidade de clientes cadastrados, alcanando 9,7 milhes de clientes em
maio de 2013, que realizaram 100,9 milhes de transaes com volume financeiro de
aproximadamente R$ 23,8 bilhes.

Com esses nmeros, garantir evoluo e manter a estabilidade dos sistemas torna-se um
importante desafio para a tecnologia da informao, e ainda, um fator determinante para
a competio baseada em ganhos de escala e alavancagem de negcios, que exigem mais
agilidade e flexibilidade (Plano de Projeto, 2010).

O uso de certificado digital no Internet Banking exige solues e elementos que garantem
a segurana e confiabilidade, aumentando a agilidade em responder as necessidades de
negcio e garantindo a disponibilidade e continuidade dos servios oferecidos aos
clientes.
Atualmente, para atender os objetivos e iniciativas da tecnologia em relao ao negcio
no Internet Banking, o Banco Capital no possui um ambiente centralizado para aplicao
e gesto do uso do certificado digital de maneira adequada. Para isso, foi desenvolvido o
projeto de certificado digital no Internet Banking.

Para a implementao do projeto de certificado digital no Internet Banking, o Banco


Capital adotou uma soluo de framework de certificado digital, que traz a problemtica
desse estudo. A soluo adotada atende os elementos de sustentao que garante a
efetividade do uso do certificado digital no Internet Banking?

1.3 - OBJETIVOS
O objetivo deste trabalho avaliara efetividade da soluo de framework de certificado
digital atravs dos elementos que do sustentao a utilizao de certificado digital no
Internet Banking da Instituio Pblica Bancria.

1.3.1 - Objetivos Especficos


No contexto desta pesquisa, os seguintes objetivos especficos so:

Pesquisar as tendncias tecnolgicas das Instituies bancrias financeiras;

Realizar reviso de literatura;

Apresentar estudo de caso de uma Instituio Pblica Bancria, como nome


fictcio de Banco Capital, na implementao do projeto certificado digital no
Internet Banking;

Analisar os elementos de sustentao oferecidos pela soluo de framework de


certificado digital;

Avaliar a efetividade da soluo de framework de certificado digital na aplicao


do projeto certificado digital no Internet Banking;
4

Propor um plano de ao sugerindo recomendaes para mitigar os riscos


mapeados quanto a efetividade da soluo de framework de certificado digital na
Instituio Pblica Bancria.

1.4- METODOLOGIA DE PESQUISA


Segundo Vergara (2007) existem diversas tipologias de pesquisa que podem ser utilizadas
para a realizao de um trabalho cientfico, nesta foi adotada a proposta da autora na qual
qualifica o tipo de pesquisa em relao a dois critrios:

Quanto aos fins: descritiva, que constata de que forma a Instituio aplica o uso
do certificado digital no Internet Banking e como o projeto atua nas vises da
tecnologia, negcio e clientes.

Quanto aos meios: a pesquisa bibliogrfica, documental e de estudo de caso.

A pesquisa descritiva foi realizada de forma documental, baseada em documentos do


gerenciamento de projeto, manuais normativos, polticas internas, requisies,
especificaes e consideraes do gerente do projeto.
A bibliogrfica foi realizada de forma ampla em consulta de materiais publicados em
livros, revistas especializadas, sites especializados, intranet, jornais e simpsios. Essa
abordagem permite criar um arcabouo terico de ideias na viso de vrios autores
relacionados com o tema da pesquisa.
Vergara (2007) destaca que todo mtodo tem possibilidades e limitaes, Este estudo no
permite generalizao, pois se trata de um estudo de caso investigado narea de tecnologia
da informao de uma Instituio financeira pblica.

1.5 - ESTRUTURA DO TRABALHO


Esta dissertao est organizada em cinco captulos, incluindo este introdutrio, conforme
explanado a seguir:

O Captulo 2 traz uma abordagem conceitual dos Investimentos em Tecnologia da


Informao, a Segurana Bancria no Internet Banking, a Segurana da Informao, as
Tcnicas de Segurana da Informao aplicadas em Internet Banking (Criptografia,
Certificado Digital e Assinatura Digital), a Infraestrutura de Chaves Pblicas Brasileira e
as Questes de Emprego de Certificados Digitais no Internet Banking, juntamente com
os artigos correlatos.
O Captulo 3 apresenta um estudo de caso de uma Instituio Pblica Bancria, com nome
fictcio de Banco Capital, com a contextualizao do cenrio da Instituio, Declarao
das Polticas Internas, Internet Banking, Projeto Certificado Digital na Internet Banking,
a Soluo de Framework de Certificado Digital, Requisitos Funcionais e o
Funcionamento da Soluo.
O Captulo 4 traz uma prospeco da Instituio e dos clientes da soluo de Internet
Banking com certificado digital, a metodologia aplicada, as observaes da Instituio
Pblica Bancria na viso da tecnologia da informao, negcio e clientes. Apresenta a
anlise dos elementos de sustentao, mapeamentos dos riscos e a proposta de
recomendaes atravs de um plano de aes.
O Captulo 5 apresenta uma sntese dos aspectos abordados, proporcionando respaldo
necessrio para concluso da anlise e estudo futuro.

2 REVISO DE LITERATURA
Neste captulo realizada uma abordagem conceitual dos investimentos em tecnologia da
informao, a segurana bancria no Internet Banking, a segurana da informao, as
tcnicas de segurana da informao aplicadas no Internet Banking e as questes de
utilizao de certificados digitais no Internet Banking.
2.1 INVESTIMENTOS EM TECNOLOGIA DA INFORMAO
As tecnologias tm aguado e expandido os horizontes da gesto, ofertando produtos e
servios em todo o mundo. Os sistemas de informao tm criado uma nova infraestrutura
para a economia mundial, fornecendo aos usurios a opo de uma vantagem competitiva
com as novas tecnologias. A tecnologia da informao tornou-se o corao do setor
bancrio, remodelando as dimenses e direes (Ahmed et al., 2010). Os bancos veem na
TI uma importante alavanca para suas estratgias de crescimento e que esto se
preparando para maiores desafios tecnolgicos futuros.
Em pesquisa realizada pela Febraban (2012), as despesas e investimentos em tecnologia
dos bancos cresceram de forma importante nos ltimos anos: cerca de 27% entre 2007 e
2011, um alcance de R$ 18 bilhes, conforme apresentado na Figura 2.1:

Figura 2.1: Despesas e Investimentos em Tecnologia por Bancos no Brasil.


Fonte: Febraban, 2012.

Conforme relatrio de incluso financeira (RIF, 2010) os bancos so os principais agentes


no processo de intermediao financeira, fazendo da tecnologia um apoio fundamental
para a evoluo desse setor.
Os bancos tm apostado como estratgia competitiva o Banco Eletrnico. Esta estratgia
se confirma com a pesquisa Adendo Estatstico (2011), apontando que a Internet passou
a ser o canal de atendimento bancrio mais usado pelos brasileiros. Logo, a Febraban
(2012) destacou que o Brasil um participante relevante do setor de tecnologia para
Bancos, atuando como participante importante desta indstria global, com investimentos
intensivos e projees de um aumento de 42% at 2015.
O Banco eletrnico visto como um conjunto de produtos e servios suportados por
modernas ferramentas tecnolgicas, o qual cresce a cada dia pela implementao de
produtos (Nami, 2009).
Os Bancos eletrnicos (e-Banking) permitem criar novos produtos financeiros,
oferecendo oportunidades aos bancos, como desafios e inovao de aplicativos de TI
(Nami, 2009).
O e-Banking comeou com o uso de caixas eletrnicos ATM (Automated Teller
Machines) e as transaes por telefone. Com o e-Banking na Internet, diversos canais
foram criados: o Internet Banking (servios bancrios on-line), o servios bancrios por
telefone e mvel (Nami, 2009). Na viso dos Bancos e Clientes, os servios prestados
atravs do canal eletrnico tm suas vantagens, conforme apresentado na Tabela 2.1.

Tabela 2.1: Bancos e Clientes.


Fonte: Nami, 2009.
Recursos do e-Banking para Clientes
Recursos do e-Banking para Bancos
Economia de tempo

Mais eficiente

Reduo de custos

Reduo de custos

Rpido e sem fronteiras


Vrios servios disponveis

Ahmed et al. (2010) apontam que para a adoo da tecnologia nos servios bancrios,
desafios tem sido enfrentados, como, o alto custo de instalao e manuteno de
infraestrutura, mo de obra qualificada, crescente demanda para atender s expectativa
do cliente na qualidade do servio, confiabilidade e segurana nos sistemas de
informaes.

2.2 SEGURANA BANCRIA NO INTERNET BANKING


Polasik e Wisniewski (2009) definem o termo Internet Banking como uma gama de
servios bancrios que podem ser acessados remotamente com o uso de um navegador de
Internet, oferecendo motivadores, como, aumento do nmero de clientes, intensificao
do volume de negcios, migrao de servios da rede fsica para a virtual, reduo do
custo operacional e processual, incremento da marca e um diferencial no mercado.
O Internet Banking descrito pelas prprias Instituies Bancrias da seguinte maneira:

Internet Banking do Banco, voc contrata emprstimos, adquire ttulos de


capitalizao, realiza investimentos e cadastra contas em dbito automtico. Alm
disso, pode consultar extratos e saldos da conta corrente, efetuar e agendar
pagamentos e transferncias, entre muitas outras operaes, com toda a
comodidade e segurana (Santander, 2012).

O canal certo para quem quer segurana e comodidade. Acessando o Internet


Banking pelo computador, voc consulta saldo, extrato, paga suas contas e faz
transferncias. O Internet Banking CAIXA o seu banco aberto 24 horas por dia,
todos os dias, onde voc estiver em qualquer lugar do mundo (CAIXA, 2012).

No Banco do Brasil voc encontra um ambiente para acesso conta, completo em


operaes e informaes sobre produtos e servios, alm de leiaute e menu de
acesso personalizados de acordo com o seu perfil de relacionamento: a qualquer
momento voc escolhe quais as informaes da sua conta vo aparecer na sua
Pgina Personalizada (Banco do Brasil, 2012).

O Internet Banking tem se destacado como o canal mais importante e inovador dos
servios bancrios dos ltimos anos (Diniz et al. 2009). A Febraban (2012) aponta que o
Internet Banking firmou-se como o canal preferido para transaes bancrias, conforme
9

apresenta a Figura 2.2. A quantidade de operaes realizadas por intermdio desse canal
de atendimento apresentou um crescimento de 20%, um total de 46% de contas correntes
com Internet Banking ativas, patamar prximo ao de pases desenvolvidos.

Figura 2.2: Participao das Transaes Bancrias.


Fonte: Febraban, 2012.
As Instituies Bancrias com o intuito de resguardar a prpria imagem, no divulgam os
valores de perdas financeiras ocasionadas por fraudes eletrnicas. Porm, segundo a
Febraban (2012), as perdas dos bancos brasileiros decorrentes de fraudes eletrnicas
somaram R$ 1,4 bilho em 2012. O montante 6,7% menor que o verificado em 2011,
quando os prejuzos causados por golpes em canais eletrnicos de atendimento ao cliente
somaram R$ 1,5 bilho, ressaltando que o volume, embora expressivo, representa menos
que 0,007% das transaes. Do total de despesa e investimentos em tecnologia em 2012,
10% foram destinados preveno de fraudes eletrnicas.
Sanayei e Noroozi (2009) colocam que a segurana importante no ambiente do Internet
Banking. Todas as transaes necessitam de um elemento de confiana. A confiana s
ocorre quando os clientes tm garantia de disponibilidade dos bancos e capacidade para
cumprir suas obrigaes. Neste caso, a confiana pode ser visto como o resultado de
promessas e garantias para produtos de alta qualidade e servios. Alm da segurana, os
autores defendem outra dificuldade enfrentada no Internet Banking, a falta de identidade
e conhecimento dos participantes.
Sanayei e Noroozi (2009) apresentam um estudo que aborda o impacto da segurana e
confiana entre os utilizadores de internet Banking e a influncia que tem na deciso de
adotar esse servio. Questes como os receios de privacidade e riscos de segurana

10

juntamente com a facilidade e as vantagens relativas do uso de Internet Banking podem


ser destacada para atrair novos clientes. Os autores destacam que os Bancos apliquem a
Internet Banking de maneira rpida, fcil de usar e principalmente seguro para realizar
transaes financeiras. Apontam que os Bancos da Malsia no adotaram totalmente o
Internet Banking devido falta de adequao do quadro jurdico e as preocupaes de
segurana.
Zhang(2009) props um sistema projetado para compartilhamento de informaes de
fraude pela internet, afirmando que a segurana um dos fatores importantes
considerados pelos clientes quando utilizam o Internet Banking. Quando uma fraude
identificada, os dados, o perfil de transao e as impresses digitais so movidos para um
repositrio centralizado do sistema que dissemina para todos os membros da rede,
oferecendo proteo proativa contra novos incidentes.
Zhang(2009) aponta o certificado digital como uma tcnica eficaz de preveno de
fraudes no Internet Banking.
2.3 SEGURANA DA INFORMAO
Solms (1999) aponta que a informao um recurso importante nas Instituies,
demonstrando a necessidade de estar atento aos princpios do ciclo de vida da informao.
O valor da informao muitas vezes no facilmente mensurvel dada quantidade
crescente de dados que as Instituies possuem, por conta disso, torna-se essencial
identificar todos os elementos que compem a comunicao de dados (Wadlow, 2000).
Devido ao crescimento da seriedade das informaes como ativo de valor, as Instituies
tm adotado diversas prticas para promover a poltica de segurana da informao. A
segurana da informao um tema importante para qualquer empresa (Wadlow, 2000)
e deve garantir que as informaes sejam verificadas, completas, teis e eficazes (Laudon,
2003).
Os princpios bsicos da segurana da informao so apontados por (Tanenbaum, 2003)
como:

11

Confidencialidade - propriedade que limita o acesso a informao to somente s


entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao.

Integridade - propriedade que garante que a informao manipulada mantenha


todas as caractersticas originais estabelecidas pelo proprietrio da informao,
incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento,
manuteno e destruio).

Disponibilidade - propriedade que garante que a informao esteja sempre


disponvel para o uso legtimo, ou seja, por aqueles usurios autorizados pelo
proprietrio da informao.

Autenticidade - propriedade que garante que a informao proveniente da fonte


anunciada e que no foi alvo de mutaes ao longo de um processo.

Irretratabilidade ou no repdio - propriedade que garante a impossibilidade de


negar a autoria em relao a uma transao anteriormente feita.

Manter esses princpios importante para que sistemas possam operar de forma confivel.
Para que isso ocorra, tcnicas e mecanismos de segurana da informao so aplicados
no Internet Banking.

2.4 TCNICAS DE SEGURANA DA INFORMAO APLICADAS EM


INTERNET BANKING
So apresentadas as definies das tcnicas de segurana da informao aplicadas em
produtos e servios bancrios atravs do Internet Banking.
2.4.1 Criptografia
A palavra Criptografia vem das palavras gregas que significam escrita secreta
(Tanenbaum, 2003).
uma tcnica utilizada para cifrar uma informao, tornando-a incompreensvel, exceto
para os destinatrios e o transmissor, que sabem como decifr-las (Kurose, 2003) e se faz
necessria em operaes bancrias nos servios on-line, sendo algo bastante comum no
dia a dia (Pfleeger, 1997).

12

Leavitt (2011) apresenta a criptografia como, Cripto=enigma e grafia=escrever, a arte de


escrever por enigmas, como um processo matemtico usado para embaralhar os dados de
uma mensagem que deve ser secreta.
Menezes et al (2001) define criptografia como sendo o estudo de tcnicas matemticas
relacionadas a aspectos de segurana da informao como confidencialidade, integridade
de dados, autenticao e autenticao de origem de dados. No e a nica forma de oferecer
segurana da informao, mas sim uma dentro de um conjunto de tcnicas.
Existem dois tipos fundamentalmente diferentes de criptografia, a simtrica e a
assimtrica (Fitzgerald, 2005).

2.4.1.1- Criptografia Simtrica

A criptografia simtrica ou criptografia de chave nica utiliza uma nica chave para
encriptar e decriptar os dados, conforme apresenta a Figura 2.3.
A chave compartilhada entre os envolvidos na comunicao, o que torna esse sistema
suscetvel a falhas de segurana. Acaso a chave caa em mos erradas, as mensagens
podem ser lidas e forjadas pelo novo participante da conversa.
No possvel garantir a identidade da pessoa que enviou a mensagem porque a chave
pode estar em poder de mais pessoas, caracterizando que todos podem ter potenciais para
ser remetentes (Jie e Hong, 2010).

Figura 2.3: Criptografia Simtrica.


Fonte: adaptado de Stallings, 1999.

13

Como principal vantagem da criptografia simtrica a rapidez na criptografia e


decifrao das informaes e um menor nmero de portas lgicas necessrias para
implementao em hardware (Sarma et al, 2003). Como desvantagem o gerenciamento
de chaves, pois a chave secreta deve ser transmitida ou comunicada para o receptor,
tornando-a mais vulnervel a roubo.
2.4.1.2 -Criptografia Assimtrica

A criptografia assimtrica para Stallings (1999), conhecida ainda como Criptografia de


Chave Pblica, veio para resolver o problema de a chave ter que ser compartilhada e ao
mesmo tempo evitar que os no merecedores consigam l-las.

Utiliza duas diferentes chaves, uma pblica e outra privada, de modo que
computacionalmente complexo e normalmente impraticvel a deduo da chave privada
por meio da chave pblica (Schneier, 1996). Qualquer pessoa pode cifrar a mensagem
com a chave pblica, mas jamais pode decifr-la com a mesma chave, sendo necessrio
chave privada para decifr-la, que, teoricamente, s a pessoa autorizada, dona da chave
pblica informada e utilizada para cifrar a mensagem tem.

As duas chaves (pblica e privada) detm uma relao matemtica entre elas. A gerao
das chaves (problema direto) rpida e eficiente, j o problema reverso (a partir da chave
pblica definir a chave privada), oneroso e proibitivo. Segundo Schneier (1996) a
tcnica de criptografia de chave pblica pode ser observado na Figura 2.4. Alice deseja
enviar uma mensagem de forma segura para Bob; Alice e Bob concordam com um
sistema de criptografia de chave pblica em comum; Bob fornece para a Alice sua chave
pblica, podendo envi-la ou disponibiliz-la em qualquer meio de comunicao, no
sendo necessrio um meio seguro; Alice cifra a mensagem que ela deseja enviar com a
chave pblica do Bob e a envia para Bob; Bob ao receber a mensagem, a decifra utilizando
sua chave privada e obtm a mensagem original enviada por Alice.

14

Figura 2.4: Criptografia Assimtrica.


Fonte: Schneier, 1996.

Os autores Hu e Ma (2010) descrevem a Criptografia Hibrida aplicada no governo da


China, que integra quatro tipos de tecnologia: a tecnologia de criptografia, sntese digital,
autenticao digital e assinatura digital.
O autor aponta que a criptografia Hibrida no pode garantir a verdade e integridade dos
dados, por isso necessrio combinar outros mecanismos de integridade com base na
criptografia, ou seja, a utilizao da funo de Hash.

2.4.1.3 - Funo de Resumo Hash


uma funo matemtica aplicada em algoritmos que utilizam mensagens de texto para
criao de um cdigo chamado message digest (resumo de mensagem) (Stallings, 1999).
As funes hash so utilizadas nos mecanismos de assinatura digital, quando em um
arquivo, significa a execuo de um algoritmo de clculo sobre o arquivo para gerao de
um nmero com resultado, toda alterao pode produzir mudana do resultado calculado,
possibilitando saber se o arquivo foi alterado. O mtodo pode ser aplicado para saber se
um arquivo foi modificado para fraude (Fitzgerald, 2005).

2.4.2 Certificado Digital


Para Humphreys (1998) o certificado digital uma tcnica de criptografia de informaes
em geral, que permite que se identifique corretamente qualquer pessoa fsica ou entidade
jurdica, isso permite que se tenha certeza de que uma pessoa ou entidade realmente
quem diz ser.

15

A certificao digital baseia-se na criptografia de chave pblica que garante o sigilo, a


integridade, a autenticao e o no repdio. Tecnicamente, um certificado digital um
conjunto de dados, um arquivo, assinado digitalmente pela autoridade certificadora, que
tm a funo de criar, manter e controlar todos os certificados por elas emitidos, incluindo
a invalidao de certificados comprometidos ou expirados (Leavitt, 2011).
Os certificados digitais so compostos pelas seguintes informaes, entre outros: Nome,
endereo e empresa do solicitante, chave pblica do solicitante, validade do certificado,
nome e endereo da Autoridade Certificadora (AC) e poltica de utilizao (limites de
transao).
Os autores Jie e Hong (2010 )descrevem que para fazer a certificao necessrio um
modelo de infraestrutura que valide o certificado com demais entidades. Os modelos
apontados so:
a) Modelo de Malha de Confiana, demonstrado na figura 2.5, baseado na criao de
uma rede em que as entidades pertencentes devem confiar umas nas outras. Cada vez que
um usurio obtm a chave pblica de outro usurio, ele pode verificar a assinatura digital
da chave obtida por meio das demais entidades, garantindo certeza de que a chave a
verdadeira. Nesse modelo, a confiana controlada pelo prprio usurio. Alm disso, a
confiana no transitiva, ou seja, se uma entidade A confia em B e B confia em C, isso
no significa necessariamente que A confia em C.

Figura 2.5: Modelo de Malha de Confiana.


Fonte: Jie e Hong, 2010.

16

b) Modelo Hierrquico, demonstrado na figura 2.6, baseado na montagem de uma


hierarquia de Autoridades Certificadoras (AC). As Autoridades certificam os usurios e
a autoridade certificadora raiz (AC-Raiz) certificam todas as ACs, se so de sua
jurisdio. Nesse modelo, os certificados digitais precisam da assinatura digital de uma
AC para ser vlido. Caso alguma entidade duvide de sua validade, basta consultar na AC
para verificar se o certificado no foi revogado. Caso haja dvida da validade do
certificado da AC, basta conferir na AC-Raiz, que em regra assinada por si mesmo e
mantida por uma entidade governamental. Esse o modelo utilizado para a montagem de
infraestrutura de chaves pblicas.

Figura 2.6: Modelo Hierrquico.


Fonte: Jie e Hong, 2010.
c) Modelo de Autoridade Central a autoridade certificadora nica e absoluta. O Padro
X.509 o padro da ITU-T criao de uma infraestrutura de chaves pblicas (ICP). O
X.509 atualmente, est na verso 3 e padroniza os formatos das chaves pblicas e
atributos para os certificados, listas de revogao de certificados (LCR) e algoritmos para
procura do caminho de validao.
O Certificado X.509 v.3 composto pela seguinte estrutura: Certificado (informaes),
Verso, Nmero de Srie, Algoritmo de Assinatura, Certificador, Validade, Entidade,
Informaes da chave pblica da Entidade; Algoritmo de chave pblica usado; Chave
pblica da entidade, Identificador nico do certificador (opcional), Identificador nico da

17

entidade (opcional), Extenses (opcional), Algoritmo de assinatura do certificado e


Assinatura do certificado.
2.4.2.1 -Infraestrutura de Chaves Pblicas

A Infraestrutura de Chaves Pblicas (ICP) demonstrado na Figura 2.7, um ambiente


formado por vrios nveis, sendo eles a Autoridades Certificadoras, Usurios,
Autoridades Certificadoras Raiz e Autoridade Raiz. um conjunto de regras, tcnicas,
prticas e procedimentos que existe para gerar garantias aos seus usurios, em suma, uma
cadeia de confiana.
ICP definido por Nakamura e Geus (2002) como uma infraestrutura de segurana na
qual os servios so implementados e utilizados, por meio de conceitos e tcnicas
criptografia de chave pblica.

Figura 2.7: Infraestrutura de Chaves Pblicas (ICP).


Fonte: Nakamura e Geus, 2002.

18

Nakamura e Geus (2002) apontam que as funes especificadas em uma ICP so: registro,
inicializao, certificao, recuperao de par de chaves, atualizao de chaves, gerao
de chaves, certificao cruzada, revogao e distribuio e publicao dos certificados e
da notificao de revogao.
2.4.3 Assinatura Digital
Assinatura digital entendida por Fitzgerald (2005) como um cdigo utilizado para
verificar a integridade de uma informao ou mensagem, podendo ser utilizada para
verificar se o remetente de uma mensagem o mesmo quem diz ser, o que feito atravs
da criptografia assimtrica.
No processo de assinatura digital, com qual se deseja a autenticidade, o remetente usa sua
chave privada para assinar a mensagem. Por outro lado, o destinatrio usa a chave pblica
do remetente para confirmar que ela foi enviada realmente por aquela pessoa.
Conforme Figura 2.8, a assinatura digital funciona da seguinte maneira: O remetente
(Joo) escreve um e-mail para Jos e o assina, usando sua chave privada. A mensagem
no criptografada, apenas assinada, ou seja, o remetente usa sua chave privada para
gerar um valor numrico associado ao e-mail. Esse valor nico para cada chave. Quando
a mensagem chegar ao destino, Jos usar a chave pblica de Joo para confirmar,
matematicamente, que se trata da assinatura feita pela chave de Joo. Quando confirmada,
Jos pode ter certeza de que a mensagem de e-mail realmente veio de Joo, pois difcil
que outra pessoa possua sua chave privada, a menos que a chave tenha sido extraviada.

19

Figura 2.8: Assinatura Digital.


Fonte: Jie e Hong, 2010.

As etapas do ciclo de vida da assinatura digital so:

Criao: processo de criao de um resumo criptogrfico.

Verificao inicial: processo de verificao quanto validade de uma ou mais


assinaturas digitais.

Armazenamento: processo que trata da guarda da assinatura digital.

Revalidao: processo que estende a validade do documento assinado.

Com a assinatura digital pode-se garantir (Stewart, 2008):

Autenticidade: O fato de a assinatura ter sido realizada pela chave privada do


remetente e confirmada por sua chave pblica, garante que foi realmente aquele
usurio que a enviou.

Integridade: Como a assinatura digital usa a funo Hash, possvel garantir que
a mensagem no foi alterada no meio do caminho.

No-Repdio: O usurio no poder dizer que no foi ele quem escreveu aquela
mensagem.

20

2.5 ICP BRASIL-ESTRUTURA DE CHAVES PBLICAS BRASILEIRAS


O Brasil conta com um sistema nacional de certificao digital regulamentada pela
Medida Provisria 2.200(2001) e Decreto n 3.872(2001), que dispem e instituem a
infraestrutura de chaves pblicas brasileira - ICP-Brasil e transforma em autarquia
federal, vinculada Casa Civil da Presidncia da Repblica.
O comit gestor da ICP-Brasil composto por membros do governo e da sociedade civil
e tem como principal atribuio coordenar a implantao e o funcionamento do ICPBrasil, que definiu uma nova plataforma hierrquica da certificao digital, conhecida
como cadeia verso 2 (ITI, 2012).
O ICP-Brasil composto por uma cadeia de autoridades certificadoras, conforme
apresenta a Tabela 2.2.

Tabela 2.2: Cadeia de Autoridades Certificadoras.


Autoridade

Fonte: ITI, 2012.


Compete emitir, expedir, distribuir, revogar e gerenciar os

Certificadora

certificados

Raiz(AC-Raiz)

imediatamente subsequente ao seu. Emite a Lista de Certificados


Revogados

das

(LCR),

autoridades

fiscaliza

certificadoras

audita

as

de

nvel

autoridades

certificadoras, autoridades de registro e demais prestadores de


servio habilitados na ICP-Brasil.
Autoridade

uma entidade, pblica ou privada, subordinada hierarquia da

Certificadora(AC)

ICP-Brasil, responsvel por emitir, distribuir, renovar, revogar e


gerenciar certificados digitais. Desempenha como funo
essencial a responsabilidade de verificar se o titular do certificado
possui a chave privada que corresponde chave pblica que faz
parte do certificado.

Autoridade
Registro (AR)

de a entidade responsvel pela interface entre o usurio e a


Autoridade Certificadora. Vinculada a uma AC que tem por
objetivo o recebimento, validao, encaminhamento de
solicitaes de emisso ou revogao de certificados digitais s
AC e identificao, de forma presencial, de seus solicitantes.

21

Os tipos mais emitidos de certificados digitais so: A1, validade de um ano, armazenado
no computador e A3, validade de at cinco, armazenado em carto ou token criptogrfico.
Alm desses, o tipo T3 e S3 tem validade de at cinco anos. Conforme declarao do ITI
(2012), o certificado A3 passou a ter at cinco anos de validade, enquanto o A4, para
apoiar o Passaporte Eletrnico Brasileiro, passou a valer por at 6 anos. As etapas do ciclo
de vida dos certificados digitais so demonstradas na Tabela 2.3.

Tabela 2.3: Ciclo de vida dos Certificados Digitais.


Fonte: ITI, 2012.
Solicitao Processo no qual acessado o sistema AC e preenchido formulrio
especifico de solicitao do certificado digital.
Validao

Processo no qual o solicitante do certificado comparece a uma instalao


tcnica de AR e apresenta seus documentos de identidade.

Emisso

Processo no qual o solicitante, utilizando uma senha especial, recebida


pela AR, comanda a emisso do seu certificado.

Revogao Processo no qual um certificado j emitido revogado pelo prprio


titular ou AR.

O ICP-Brasil responsvel ainda pela homologao de Carimbo do Tempo conforme o


Manual de Condutas Tcnicas (2009). O carimbo de tempo (ou timestamp) um
documento eletrnico emitido por uma parte confivel, que serve como evidncia de que
uma informao digital existia numa determinada data e hora no passado. O carimbo de
tempo destina-se a associar a um determinado hash de um documento assinado
eletronicamente ou no, uma determinada hora e data de existncia. Ressalta-se que o
carimbo de tempo oferece a informao de data e hora de registro deste documento
quando este chegou entidade emissora, e no a data de criao deste documento.

2.6 QUESTES DO EMPREGO DE CERTIFICADOS DIGITAIS NO


INTERNET BANKING
Neste estudo foram identificados elementos que do sustentao a efetividade do uso do
certificado digital no Internet Banking, sendo apontada pelos autores a aderncia e as

22

prticas de segurana no Internet Banking, aceitao da certificao e a imagem,


frameworks para gesto, auditoria, arquivamento, confiabilidade, integridade,
autenticidade e disponibilidade.
2.6.1 Aderncia ao Internet Banking
O atendimento em agncias bancrias historicamente um dos principais canais,
especialmente para movimentao financeira, porm tem perdido participao no total de
transaes. A facilidade de uso dos meios digitais, associadas ao perfil dos usurios faz
com que a sociedade tenha cada vez mais um comportamento virtualizado (Febraban,
2013).
O volume de transaes em Internet Banking aumentou 23,7% ao ano, indicando uma
maior incluso digital da populao. O usurio de Internet Banking realiza em mdia 3,2x
o volume de transaes que os clientes em geral esse nmero tem crescido 4,1% ano
a ano, deixando claro que os Bancos devem investir na maximizao do uso do Internet
Banking, prover uma experincia do consumidor cada vez mais amigvel neste canal e
ofertar produtos e servios que melhor se encaixam neste meio (Febraban, 2013).
2.6.2 - Prtica de segurana no Internet Banking
A utilizao do Internet Banking propicia aos bancos diversas oportunidades, mas em
contrapartida, exige mais tecnologia em relao segurana (Humphreys, 1998). A
proteo das informaes e dos dados de vital importncia para a sobrevivncia dos
setores bancrios, pois uma falha de segurana pode gerar perda de mercado, negcio,
imagem e consequentemente, perda financeira.
Albertini e Moura (2002) defendem que os aspectos de segurana, como, a proteo das
informaes, privacidade, autenticao e confiabilidade so pr-requisitos crticos para a
funcionalidade do Internet Banking.
Os bancos, de acordo com institucionalizao do Bacen (2001), devem garantir o sigilo e
a segurana dos meios eletrnicos tornados disponveis, bem como o adequado
monitoramento das informaes relativas movimentao das contas.

23

Os autores de Peotta et al. (2011) demonstram uma anlise dos dispositivos de segurana
implementados pelos dez maiores bancos no Brasil e concluiu que vrias camadas e
mtodos de segurana so simultaneamente adotadas pelas instituies bancrias, mas
que vulnerabilidades de segurana nos sistemas bancrios so detectados.
Vulnerabilidades so deficincias de diversas origens, as quais muitas vezes, no so
identificadas a tempo ou mesmo quando isso ocorre, no so devidamente tratadas de
modo a evitar um ataque (Nakamura, 2002).
Peotta et al. (2011) comprovou que a utilizao do certificado digital no segura, sendo
possvel exportar certificados do tipo A1 e utiliz-los remotamente, e os certificados do
tipo A3 podem ser utilizados por mais de um usurio ao mesmo tempo.
Destacou ainda, que os modelos atuais de segurana esto focados em identificar os
autores das fraudes, em vez executarem um procedimento preventivo a elas, no havendo
assim um modelo de segurana eficiente por parte dos bancos que oferecem total
segurana aos sistemas bancrios. Os ataques se tornam eficiente no atual modelo de
segurana ineficiente, demonstrando o Internet Banking como vulnervel, atravs da na
obteno de informao de autenticao e identificao. Este fato indica que os sistemas
bancrios devem fornecer mecanismos de segurana capazes de reduzir o vazamento de
informaes e problemas de segurana que afetam o sistema e que leva fraude.
2.6.3 - Aceitao de uso da Certificao e Imagem
Zhao (2010) registra um estudo de vrios modelos tericos que analisam os efeitos sobre
a aceitao de tecnologia. Percebeu-se que as administraes das Instituies bancrias
devem aumentar a satisfao dos usurios atravs dos sistemas que oferecem qualidade e
segurana das informaes e servios.
Chatzipoulidis e Mavridis (2010) acreditam que todos os fatores que moldam o ambiente
do Internet Banking so dependentes e correlacionados uns com os outros, que se uma
violao de segurana ocorrer devido uma perda de integridade durante uma transao
do Internet Banking, o impacto influncia todos os outros parmetros de aceitao do
usurio em relao aos servios bancrios eletrnicos. Conclui que, embora a confiana
dos consumidores no seu Banco seja forte, a sua confiana na tecnologia fraca.

24

2.6.4 - Frameworks para Gesto


Os autores Almeida e Baranauskas (2008) definem que os frameworks constituem uma
representao estruturada dos conceitos propostos em modelos,oferecendo suporte para
que designers possam instanci-los conforme as caractersticas especficas de um sistema
colaborativo, ou seja, so um passo intermedirio entre um modelo conceitual e as
funes, relacionamentos e objetos que sero construdos.
Os autores Chen e Argles (2010) vem considerar a importncia dos frameworks
analisarem os requisitos e metodologia quando utilizam a certificao, principalmente sua
gesto.
A gesto compreende o uso de tcnicas de administrao com a finalidade de assegurar
que a varivel tecnolgica seja utilizada no mximo de sua pontencialidade como apoio
aos objetivos da organizao (Vasconcellos et al., 1994).

Chen e Argles 2010) apontam quatro reas em relao aos sistemas, sendo, o produto
final bem sucedido, o controle de segurana com sucesso do sistema, o desempenho
estrutural que pode afetar a capacidade de adaptao de outros sistemas e o impacto
social, como confiana e cultura. O autor defende que os frameworks devem tratar
questes relacionadas a pases e culturas diferentes, lei de proteo de dados e questes
legais, impactando nos efeitos sobre o design do sistema. Os sistemas ainda devem ser
seguro para enfrentar ameaas, vulnerabilidade e equilbrio.
A utilizao de chaves criptogrficas e certificados digitais fazem com que seja
imprescindvel a definio de polticas, processos, procedimentos e ferramentas
tecnolgicas, como os sistemas automatizados de gerenciamento, para o controle
completo do ciclo de vida dos certificados. A falta de um gerenciamento apropriado expe
as Instituies a um risco no quantificado dentro das organizaes, incluindo acesso no
autorizado e falhas em auditorias de segurana (Gartner, 2011).
A gesto dos certificados ajuda a identificar questes de segurana, conformidade e
operacionais dentro de um ambiente, alm de prover indicaes que as organizaes
devem seguir no sentido de eliminar riscos (Gartner, 2011).

25

2.6.5 - Auditoria
Auditoria definida por Boynton (2002) como um processo sistemtico de obteno e
avaliao de evidncias sobre afirmaes a respeito de aes e eventos econmicos, para
aquilatao do grau de correspondncia entre as afirmaes e critrios estabelecidos, e de
comunicao dos resultados a usurios interessados.
Os procedimentos de auditoria possibilitam afirmar se as informaes partem de fontes
confiveis e se os procedimentos para obt-las esto sendo seguidos corretamente,
possibilitando aos seus usurios analisar com maior confiana as informaes oferecidas
pelas entidades, sustentando melhor as decises que precisam ser tomadas. Atestam ainda
se as informaes esto adequadas aos princpios de contabilidade geralmente aceitos, se
todos os demais procedimentos das atividades operacionais desempenhadas esto no nvel
de qualidade, eficincia e eficcia (Boynton, 2002).
O risco de informaes distorcidas, geradas por sistemas com controles ou processos
deficientes, induz a decises danosas s Instituies bancrias, a concentrao de dados
e a manuteno de cadastros e contabilizaes diversas tornam as organizaes
vulnerveis segurana desses dados, a erros e at a fraude (Trevisan, 1996)
A atividade de auditoria em sistemas de informtica consiste na unio entre os
conhecimentos dos procedimentos de auditoria, sistemas de informaes e processamento
eletrnico de dados e seu objetivo o de garantir que os processos esto sendo eficientes,
esto produzindo resultados eficazes, esto sendo garantidos os nveis de segurana das
informaes e atendem s necessidades dos usurios e da alta administrao em relao
rapidez, qualidade e custo das informaes (Boynton, 2002).
Para os autores Pereira e Santos (2010) frameworks adotado como sistemas de
informaes devem passar pela auditoria de segurana, realizadas para avaliar a eficcia
da capacidade de uma instituio protegendo seus ativos valorizados ou crticos. Para
manter a integridade das informaes, confidencialidade e disponibilidade as instituies
desenvolvem estratgias de gesto de segurana, em resposta aos requisitos de segurana
de informaes estarem em constante evoluo. Realizar auditorias regulares de
segurana em sistemas e frameworks uma forma de avaliar o desempenho e verificar se
as prticas de segurana existentes esto atendendo ou se necessitam ser revisadas.
26

No mbito do governo, a infraestrutura de chaves pblica brasileira responsvel por


realizar as auditorias, fiscalizaes e homologaes das certificaes, conforme
apresentado na Tabela 2.4.

Tabela 2.4: Auditorias, Fiscalizaes e Homologaes.


Auditorias

Fonte: ITI, 2012.


So realizadas de forma independente e reguladas pela Resoluo n.
72, que dita s normas de credenciamento das empresas.

Fiscalizao

Tem como objetivo verificar o cumprimento das resolues, normas,


procedimentos e atividades dos Prestadores de Servio de Certificao
(PSC), Autoridades Certificadoras (AC) e Autoridades de Registro
(AR). A fiscalizao e o respectivo andamento do processo so
normatizados pela Resoluo n 45 DOC-ICP 09.

Homologao O processo de homologao de sistemas e equipamentos de certificao


digital e toda conduo do processo de responsabilidade da ICPBrasil. Segundo a Resoluo, as mdias que armazenam os certificados
digitais e respectivas leitoras, alm dos sistemas e equipamentos
necessrios realizao da certificao digital, devem obedecer a
padres e especificaes tcnicas mnimas, a fim de garantir a sua
interoperabilidade e a confiabilidade dos recursos de segurana da
informao por eles utilizados.
Para homologao de Softwares de Assinatura Digital utilizado o
Manual de Condutas Tcnicas 4 e para Software de Autenticao, o
Manual de Condutas Tcnicas 5, ambos com Requisitos, Materiais e
Documentos

Tcnicos

que

tem

objetivo

de

propiciara

interoperabilidade e operao segura por meio da avaliao tcnica de


aderncia aos requisitos tcnicos.
2.6.6- Arquivamento
Rousseau e Couture (1994) definem o arquivo como um conjunto de informaes, que
necessitam de uma estratgia constante de proteo aos seus mecanismos de
armazenamento e visualizao, uma vez que esses esto sujeitos a se tornarem
indisponveis devido rpida obsolescncia.
27

Os arquivos existem para armazenar informaes e permitir que estas sejam recuperadas
mais tarde. So gerenciados por sistemas que oferecem diferentes tipos de
armazenamento e recuperao das informaes, baseados na estrutura, acessos, como so
utilizados, protegidos e implementados (Tanebaum, 2003).
Teixeira (2002) destaca que to ou mais importante que a identidade vinculada ao passado
a identidade que se projeta para o futuro e afirma a importncia do uso de tecnologias
apropriadas em documentos de formato digital, pois a preservao depende
principalmente da soluo tecnolgica adotada e dos custos que ela envolve.
O ICP-Brasil fica institudo para garantir a autenticidade, a integridade e a validade
jurdica de documentos em forma eletrnica, das aplicaes de suporte e das aplicaes
habilitadas que utilizem certificados digitais, bem como a realizao de transaes
eletrnicas seguras (Medida Provisria 2.200, 2011).
De acordo com a Lei n 12.682 (2012), que se refere ao arquivamento de documentos em
meios eletromagnticos, o ICP-Brasil citado como:

Art. 3 O processo de digitalizao dever ser realizado de forma a manter a


integridade, a autenticidade e, se necessrio, a confidencialidade do documento
digital, com o emprego de certificado digital emitido no mbito da Infraestrutura
de Chaves Pblicas Brasileira - ICP Brasil.
Pargrafo nico: Os meios de armazenamento dos documentos digitais devero
proteg-los de acesso, uso, alterao, reproduo e destruio no autorizada.

Art. 4 As empresas privadas ou os rgos da administrao Pblica direta ou


indireta que utilizarem procedimentos de armazenamento de documentos em meio
eletrnico, ptico ou equivalente devero adotar sistema de indexao que
possibilite a sua precisa localizao, permitindo a posterior conferencia da
regularidade das etapas do processo adotado.

Assim o ICP-Brasil descreve a poltica geral de arquivamento de registros no DOC-ICP


05 (2012), a qual estabelece os perodos de reteno para cada registro arquivado, sendo:

As LCRs e os certificados de assinatura digital devero ser retidos


permanentemente, para fins de consulta histrica;
28

As cpias dos documentos para identificao apresentadas no momento da


solicitao e da revogao de certificados, e os termos de titularidade e
responsabilidade devem ser retidos, no mnimo por 10 (dez) anos, a contar da data
de expirao ou revogao do certificado. As prescries j em curso, quando da
alterao desta alnea, tero seu prazo reiniciado;

As demais informaes, inclusive os arquivos de auditoria, devero ser retidas por


no mnimo 6 (seis) anos.

Os autores de Peotta et al. (2009) apresentam um estudo sobre as regulamentaes


adotadas pelo ICP-Brasil, identificando que as normas que contemplam os aspectos
relevantes para conferir os documentos assinados digitalmente e as caractersticas
tcnicas no so suficientes e efetivas ao longo prazo. Comparando os padres
internacionais e legislao de outros pases, apresentam que uma das lacunas que
necessitam ser sanada referente ao armazenamento de documentos assinados
digitalmente, no identificando orientaes do ICP-Brasil que tratassem dessas
orientaes.
2.6.7- Confiabilidade
definido por Laudon (2003) como a probabilidade de um sistema cumprir sem falhas
uma misso com uma durao determinada. A perda da confiabilidade quando h uma
quebra de sigilo de uma determinada informao, permitindo que sejam expostas
informaes restritas as quais seriam acessveis apenas por um determinado grupo de
usurios.
Leavitt (2011) aponta que vrios ataques foram realizados contra organizaes que
emitem certificados digitais, criando dvidas sobre o uso do sistema. O autor afirma que
aes esto sendo tomadas para diminuir os certificados fraudulentos, mas ressalta a
necessidade das empresas corrigirem o processo e problemas que virem identificar.

Os autores Sanayei e Noroozi (2009) trazem uma preocupao quanto as Autoridades


Certificadoras com certificados fraudulentos. As autoridades certificadoras (AC) so
atuantes em diversos pases, fornecem autenticao de rede de servios, so responsveis
pela emisso e gesto das transaes de todas as entidades envolvidas com certificados

29

digitais. As certificadoras so consideradas confiveis, devido ao processo de auditoria,


entretanto, algumas ACs autorizam intermedirias para emitir os certificados, que podem
roubar certificados digitais e utilizar de modo forma fraudulenta, gerando assim, dvidas
sobre a segurana e integridade do certificado digital. Verificou-se um registro de 100
Autoridades Certificadoras na China, mas apenas 22 delas tm a aprovao do Ministrio
da Tecnologia da Informao e Telecomunicaes para atuar, registrando assim a
existncia de Autoridades Certificadoras ilegais no pas.
Leavitt (2011) mostra que por quase 20 anos os certificados digitais tm sido um aspecto
chave na segurana na Internet, mas que vrios ataques contra organizaes que emitem
os certificados foram registrados. Dentre os ataques s Autoridades Certificadoras, a
Comodo e DigiNotar foram bem sucedidos e StartCom(RedHat) no foi sucedido.
Evidncias indicaram que os ataques vieram de um endereo IP iraniano, todos feitos por
um hacker conhecido como IchSol e Comodohacker.
2.6.8 - Integridade
O termo integridade de dados refere-se ao formato como os dados so armazenados, ou
seja, duas entradas inconsistentes podem gerar arquivos com falha na integridade
(Tanenbaum,

2003). A integridade est ameaada quando, propositada ou

acidentalmente, houver inconsistncia nos repositrios de dados ou quando os seus


contedos estiverem, por algum motivo, corrompidos.
Ma, Abie, Skramstad e Nygrd (2011) apontam uma preocupao com o mau uso dos
mecanismos e segurana para proteger o arquivamento dos documentos digitais, que no
recebimento de um registro digital, o primeiro questionamento sobre sua confiabilidade.
Os mecanismos de segurana, como a criptografia, so desenvolvidos para proteger os
registros digitais, oferecendo a garantia de serem confiveis a curto prazo e no eficaz a
longo tempo.
A utilizao da criptografia ao longo da vida digital introduz dois problemas, a perda da
chave privada e a de compromisso dos algoritmos criptografados, alm da preservao de
documentos criptografados no serem geralmente aceitos pela comunidade internacional
de arquivamento, porque a codificao no geralmente preservada uma vez que no h

30

parte integrante dos registros de arquivamento. Um registro considerado perdido quando


sua chave de decifrao ausente.
O autor apresenta um quadro que tem o objetivo de avaliar a confiabilidade dos registros
digitais ao longo do tempo atravs de combinao de valores probatrios. O mtodo
capaz de avaliar as incertezas, insuficincias de provas, o tempo, os conflitos, aspectos de
dependncias e ponderaes. O quadro fornece informaes e uma porcentagem ao
utilizador, a deciso de confiar ou no no registro do usurio, o quadro apenas oferece
subsdios para a deciso.
2.6.9 - Autenticidade
Autenticao tcnica atravs da qual um processo confirma que seu parceiro na
comunicao quem deve ser e no um impostor (Tanenbaum, 2003).
Um estudo feito pelos autores Lekkas e Gritzalis (2007) sobre a validao da
autenticidade em registros eletrnicos na rea de sade, mostra que a vida dos pacientes
bem mais longa que o prazo de validade das chaves e dos certificados digitais utilizados
como atributos de autenticidade e comprovao da integridade e origem dos dados.
A preservao da legibilidade, verificabilidade e da validade da assinatura digital so
crucial para o valor futuro dos dados as sade. A longevidade desses dados depende
apenas da preservao da sua legibilidade, j a assinatura digital utilizada depende de
mltiplos fatores, apontados pelo autor, como:

As chaves usadas para criao de assinatura e verificao deve ter limitado tempo
de vida, a fim de evitar a longa exposio a ameaas de segurana.

Os algoritmos utilizados para criao de assinaturas pode ser quebrado ou chaves


de assinatura pode ser comprometida antes da concluso de sua vida til.

As informaes necessrias para a verificao de uma assinatura digital, como


cadeias de certificados digitais e de estado de revogao de certificado, pode no
estar disponvel em um momento futuro.

A terceira parte confivel que liga os dados de verificao de assinaturas para uma
identidade especfica, podendo no ser confivel no futuro, ou porque ele deixou
de operao, ou porque ele no preenche os requisitos necessrios mais.

31

Para assinatura digital para os registros de sade eletrnicos, o artigo prope um processo
de verificao de assinatura baseado em relacionamentos de confiana, eliminando
qualquer dependncia de relaes de confiana obsoletos que so invalidados
futuramente, como formatos de dados diferentes, armazenamento limitado e outros. A
proposta concentra-se na preservao da confiana na informao necessria para
verificar a identidade de um signatrio de uma forma incessante, atravs de uma transio
contnua de confiana sucessivas para novas entidades, dados e tecnologias, gerando um
esquema de reconhecimento notarial cumulativa.
O paradigma de carimbo do tempo e notarizao tem sido usados para prolongar a vida
de uma assinatura digital, indicando que a assinatura foi criada ou que foi transferida a
confiana para uma nova entidade, o Notrio. No entanto, o carimbo e os notrios
consistem em assinaturas digitais, perdendo sua validade ao longo do tempo.
O esquema de reconhecimento notarial cumulativo faz com que a ltima verificao bem
sucedida do notrio indica que a assinatura vlida, respeitando os direitos, regulamentos
e critrios sobre os servios, dependendo sempre de atuais entidades confiveis para
verificar a assinatura digital. Sua vantagem que preserva as caractersticas fortes de
segurana de uma assinatura digital, eliminando a necessidade de confiar no provedor do
certificado. Alm disso, no requer um sistema seguro de arquivamento, pois tem a
capacidade da tecnologia atualizada.
Os autores Ansper, Buldas, Roos e Wilemson (2001) apontam as tcnicas convencionais
de validao dos certificados digitais como no sendo prticas de validao para longo
prazo. Questes de dispositivos de segurana, regras de responsabilidade, atualizao,
distribuio eficiente e armazenamento das informaes das chaves pblicas so citadas
como problemas fundamentas a serem tratados para uso das certificaes a longo prazo.
As perguntas mais especficas tratadas nesse estudo so as medidas eficientes para
obteno e preservao das provas de validade, a complexidade computacional de
obteno de provas e a confiana do servio.
Solues existentes e suas falhas so apontadas pelo autor, como a soluo off-line de
PKI, onde o verificador verifica se a chave pblica do certificado no est vencida e se
no est na lista dos revogados, a qual somente a autoridade certificadora confivel. A

32

desvantagem desse modelo a no revogao imediata do certificado, dependendo


sempre da publicao da prxima lista de atualizao e ainda com o crescimento do
nmero dos certificados, a funo linear do nmero dos certificados emitidos pelas AC
pode ser tornar impraticveis.
Os mtodos online fazem com que as informaes de validao estejam sempre
atualizadas. O protocolo OCSP (On-line Certificate Stastus Protocol) um tpico exemplo
de protocolo de validao on-line, juntamente com o carimbo do tempo. As mensagens
de revogao podem ser enviadas diretamente ao confirmador. A deficincia apontada
nesse mtodo so as grandes demandas de assinaturas digitais, que podem se tornando
demoradas, exigindo equipamentos de hardwares para melhor gerir os processamentos.
Assim, os autores propem melhorar a eficincia e a confiabilidade das novas tcnicas de
validao utiliza um novo servio notarial, que confirma a validade do certificado no
momento em que a assinatura digital foi criada, nesse momento, o notrio fornece um
link direto entre o certificado e a assinatura. O notrio utiliza a rvores de autenticao
merkle para comprimir as respostas s perguntas que os clientes apresentaram durante
cada minuto (ou alguma outra unidade) de tempo. A rvore de merkle um exemplo de
um conjunto de dados apropriados em estrutura. Aps cada minuto, o tabelio assina a
raiz da rvore. Este truque j usado no carimbo do tempo e nas certificaes, reduz
significativamente o nmero de criaes de assinatura. O arvore de merkle tambm
utilizado entre os notrios, que assina o hash raiz dessa arvore.
O mtodo tambm reduz o papel de terceiros de confiana a longo prazo de validao,
melhorando a confiabilidade desses servios. Nesse mtodo no necessrio a marcao
de tempo de servio, pois a forma de link entre o carimbo de tempo e as assinaturas so
provas que a assinatura foi criada verdadeiramente naquele dia, que comprova a validade
da assinatura totalmente independente de qualquer servio de validao on-line, sendo
eficiente, escalvel e no exigindo adicionais partes confiveis.
Os autores Hu, Giri, Chengyu e Li (2009) destacam que verificar a data de validade e
autenticidade de um certificado digital por si s nunca suficiente, pois possvel que
um certificado tenha sido revogado antes da data de sua expirao, com as seguintes
razes: comprometimento da chave, compromisso da autoridade certificadora (CA),

33

mudana de filiao, substituio ou cessao de operao. O autor ressalta que gerenciar


as revogaes de certificados de forma eficiente faz com que a infraestrutura de chave
pblica (PKI) seja uma plataforma mais til, pois atravs dela que obtida a verificao
do certificado digital.
Os autores estudaram vrios mecanismos de revogao do certificado, incluindo o
significado de revogao, o modelo de revogao, custo de comunicao da revogao,
vantagens e desvantagens de sistemas de revogao de certificado e gerenciamento de
riscos na revogao de certificado. Destacou que h uma clara necessidade de
compreender a natureza das decises enfrentadas por uma autoridade de certificao na
gesto das operaes de certificados revogados e a liberao de listas desses certificados.
Como forma de oferecer um estudo com orientaes concretas de gesto e liberao de
LCR feito pelas autoridades certificadoras(AC), o autor baixou arquivos de LCR da
autoridade certificadora VeriSign, para entender a propriedades dos pedidos de revogao
de certificado. O objetivo dessa anlise foi desenvolver uma estratgia de minimizao
de custos que podem ser usados por uma autoridade certificadora e escolher quantas vezes
ela deve liberar o LCRs, minimizando os custos operacionais.
Vrias concluses foi percebida, como ao contrrio do senso comum, a probabilidade de
revogao pedidos tende a diminuir ao longo do tempo. As pessoas tendem a pensar que
esta probabilidade ser estar aumentando ao longo do tempo, porque quanto mais um
certificado se acostuma expor, o mais provvel pode ficar comprometido e que o intervalo
de lanamento ideal para publicao das LCR, depende da escolha das ACs, deve
equilibrar o custo operacional e o risco de se atrasar a liberao de LCR.
2.6.10 Disponibilidade
Definida por Tanenbaum (2003) como medida do grau em que um item estar em estado
opervel e confivel no incio da misso, quando a misso for exigida aleatoriamente no
tempo. A perda de disponibilidade acontece quando a informao deixa de estar acessvel
por quem necessita dela, causada por falha devido a um erro causado por motivo interno
ou externo ao equipamento ou por ao no autorizada de pessoas com ou sem m
inteno.

34

A disponibilidade da informao uma caracterstica muitas vezes esquecida, mas cada


vez mais essencial. As ameaas disponibilidade dos dados ou s funcionalidades do
sistema ocorrem quando impossvel ao sistema completar, no momento que lhe
pedido, tarefas que normalmente lhe so exigidas (Wadlow, 2000).
Os autores Fujishiro, Sato, Kumagai, Kaji e Okada (2010) apresentam um estudo sobre
como pode ser melhorada a velocidade da verificao da validade dos certificados digitais
no futuro. Defende que com o aumento das Infraestrutura de dados criptogrficos, as
oportunidades de aplicaes e utilizaes dos certificados faro que a velocidade de
operao dos PKI ficam inferior as exigidas pelos usurios de aplicativos.
O autor apresenta os dois modelos que fazem abordagem validao de certificados, o
modelo ncoras de confianas, que utilizado por navegadores web para validar
certificados em servidores e o modelo certificao cruzada, que utiliza a validao
cruzada, trocando certificados entre as Autoridades Certificadoras, exigindo mais
processo, carregando assim muita cadeia de certificados, cada vez que recebidos. Assim,
os autores sugerem a aplicao de um modelo de servidor de validao de certificados,
que durante seu processamento, pode acelerar o atendimento de outras solicitaes
requeridas repetidamente, baseado na funo de validao das cadeias de certificao com
o armazenamento em cach.

Nestes apontamentos buscou-se identificar os elementos essenciais, as atribuies e


empregabilidade capazes de sustentar a efetividade do uso do certificado digital em
aplicaes de Internet Banking. Pretende-se analisar o estudo de caso de uma Instituio
Pblica Bancria que adotou uma Soluo de Frameworks de Certificado Digital para
acessos ao Internet Banking com certificado digital e avaliar se a Instituio adota os
elementos citados pelos autores, que possam garantir a real sustentao deste mecanismo
de segurana no negcio e aos clientes.

35

3 ESTUDO DE CASO EM UMA INSTITUIO PBLICA


BANCRIA
Este captulo apresenta o cenrio da Instituio Bancaria analisada e estudada neste
trabalho, com nome fictcio de Banco Capital. descrito as polticas internas, o Internet
Banking, o projeto certificado digital no Internet Banking e a soluo framework de
certificado digital, com os requisitos e funcionamento.
3.1 CENRIO DA INSTITUIO
A Instituio estudada dispe de uma governana corporativa que atua num desempenho
empresarial responsvel, aliado sustentabilidade e transparncia, e integrando as
dimenses social, econmica e ambiental, com o modelo de gesto que auxilia a
concretizar sua viso de futuro, sendo baseado em sete princpios:

Sinergia pblico/comercial: desempenho financeiro em prol de desenvolvimento


econmico e social;

Foco cliente: criao de valor para o cliente como orientador;

Responsabilizao: empregados comprometidos com o resultado de suas


atividades;

Simplicidade: reduo da burocracia, minimizando etapas, interfaces e nveis de


aprovao;

Integrao: maior colaborao e coordenao entre unidades;

Eficincia: maior ateno produtividade e controle de custos;

Escalabilidade: capacidade de absorver crescimento.

A rea de tecnologia da informao composta pela vice-presidncia, uma diretoria, trs


superintendncias nacionais (Governana/Segurana, Operacional e Negcio), onze
gerncias nacionais, trs centralizadoras nacionais e dezesseis unidades de representao
e suporte tcnico.
Dispe de uma rede de telecomunicao para disponibilizar produtos e servios com
agilidade, desempenho e segurana, com o objetivo de demandar a construo,

36

manuteno e disponibilizao de solues de Tecnologia da Informao e Comunicao


(TIC) para sustentar as atividades de negcio e funcionais.
Diversos servios so oferecidos, como, relacionamento com os clientes internos,
inovao em TI, segurana da informao com a elaborao e implementao de polticas,
operacional para manter o ambiente tecnolgico em pleno funcionamento, a governana
que define instrumentos que sero adotados e implementados e o desenvolvimento de
sistemas.
Dentre os macroprocessos que a rea de tecnologia atua, a gerncia de infraestrutura de
chaves pblica responsvel pelos servios de certificao digital, a gerncia de
certificao digital que responsvel pelas estratgias de certificao, funcionamento das
entidades e instalaes tcnicas no processo de certificao e representa a instituio junto
ao ITI e entidades representativas nos assuntos pertinentes a atuao.
Para atuao na estratgia e gesto de canais, como o Internet Banking, a gerncia de
meios digitais responsvel por prospecta oportunidades de negcios a serem realizados
no Internet Banking e definir, em conjunto com os gestores de produtos e de tecnologia,
o formato e os servios a serem disponibilizados, visando a sua operacionalizao e
comercializao, define sobre o lanamento, reposicionamento ou retirada de produtos e
servios do Internet Banking, em conjunto com as reas gestoras de produtos e servios
e acompanha os resultados e a evoluo dos negcios efetuados no canal.
3.1.1 Declarao de Polticas Internas
Para Tanenbaum (2003) polticas de segurana so criadas para definir quais aes as
entidades tm permisso de executar e quais so proibidas. Declaraes a respeito dos das
prticas que fundamentam o uso da criptografia, certificado digital, assinatura digital e
carimbo do tempo so normatizadas pelo Banco Capital (Manual Normativo, 2012).
3.1.1.1- Poltica da Criptografia

A Instituio define por meio de diretrizes orientaes de uso da criptografia que visa
aumentar o nvel de segurana e confiana na infraestrutura de comunicao, informaes
e sistema.

37

Os mtodos criptogrficos devem ser utilizados de acordo com padres consagrados


nacional e internacionalmente e em conformidade com as leis brasileiras, sujeita as
normas estabelecidas pela ICP-Brasil. A escolha do mtodo criptogrfico sempre devem
convergir para aquele que, comprovadamente, garanta maior nvel de proteo e
dificuldade de quebra, disponveis pela Instituio
Os procedimentos definidos para as cerimnias de manipulao, implementao e
manuteno de chaves criptogrficas utilizadas em algoritmos simtricos da Instituio
esto descritos no Manual de Cerimnia de Chaves Criptogrficas Simtricas, que so
implementados em processos criptogrficos de sistemas corporativos em produo,
definindo padres e procedimentos adotados para manuteno destas chaves.
3.1.1.2- Poltica do Certificado Digital
A poltica de certificado digital descreve os requisitos, procedimentos e nvel de
segurana adotado para a emisso, revogao e gerenciamento do ciclo de vida de um
Certificado Digital.
O objetivo do uso do certificado digital na Instituio confirmar a identidade do usurio
na Internet e Intranet, correio eletrnico, transao on-line, redes privadas virtuais,
transao eletrnica, informao eletrnica, cifrar chaves de sesso e assinatura de
documento eletrnico, dando-lhe validade jurdica e garantindo a segurana de suas
informaes.
A gesto do negcio certificado digital gerenciada por uma unidade especfica da
Instituio, com a responsabilidade de gerir o contedo do stio institucional da
Certificao Digital, estabelecer critrios para credenciamento e descredenciamento de
entidades, conforme preconizado nas normas da ICP-Brasil, identificar e promover o
credenciamento e o descredenciamento de instalaes tcnicas junto ICP-Brasil, avaliar
e controlar o resultado do uso de certificados digitais, bem como o seu retorno financeiro,
definir os perfis de usurio e criar os templates de certificado digital referentes aos
sistemas de certificao digital.

38

Os tipos de certificados aceitos so certificados digitais do tipo A1 pessoa fsica e


aplicao ou equipamento, certificados digitais do tipo A3 pessoa fsica, certificados
digitais do tipo A1 pessoa jurdica, certificados digitais do tipo A3 pessoa jurdica,
certificados digitais do tipo A1 aplicao ou equipamento da justia, certificados
digitais do tipo A3 pessoa fsica servidor da justia.
As auditorias internas tm por objetivo avaliar se os processos, procedimentos, atividades
e controles esto em conformidade com as respectivas polticas de certificado, declarao
de prticas de certificao, poltica de segurana e demais normas e procedimentos
estabelecidos pelo comit gestor da ICP-Brasil. auditado o pr-operacional,
previamente ao credenciamento junto ICP-Brasil e o operacional, para fins de
manuteno do credenciamento.

3.1.1.3- Poltica da Assinatura Digital

O objetivo desta poltica subscrever e verificar documentos eletrnicos em consonncia


regulamentao da ICP-Brasil, por meio do servio de Assinatura Digital da Instituio,
de forma a garantir a autenticidade e a integridade da informao.
Para assinar digitalmente um documento eletrnico, necessrio possuir certificado
digital padro ICP-Brasil e constar, na norma que institui o uso do referido documento,
autorizao para que ele seja assinado digitalmente.
A assinatura digital comprova que a pessoa criou ou concorda com um documento
assinado digitalmente, da mesma forma que a assinatura de prprio punho comprova a
autoria ou a concordncia com um documento escrito em papel.
O contedo de documentos eletrnicos assinados digitalmente tem validade jurdica,
desde que os certificados utilizados estejam vlidos no momento de sua assinatura e a
assinatura digital gerada esteja no padro da ICP-Brasil.
Para verificar a assinatura em documentos eletrnicos assinados digitalmente necessrio
constar na norma que trata do documento, autorizao para que ele seja recebido em

39

forma eletrnica e que sua assinatura digital, na Instituio, possa ser validada com o uso
do servio de assinatura digital.
A gerao de assinatura digital em documentos eletrnicos disponibilizada no ICPBrasil no padro Advanced Electronic Signature (CAdES) e reconhecida quando gerada
durante o prazo de validade do certificado digital em que est baseada.
A verificao a ao realizada para determinar com preciso que a assinatura digital foi
criada durante o perodo operacional de um certificado digital vlido, mediante o uso de
uma chave privada correspondente chave pblica contida no certificado, conforme o
padro definido pela ICP-Brasil, e se o contedo do documento associado no sofreu
alterao aps a criao da Assinatura Digital.
Sua verificao tem como objetivo constatar a integridade do documento assinado
digitalmente e validar o certificado utilizado e a sua cadeia de vinculao, confirmando a
autoria da assinatura. O trmino do processo de verificao de assinatura digital mostra
como resultado o estado de cada assinatura avaliada em termos de vlido, invlido e
indeterminado, identificando tambm os signatrios.
3.1.1.4-Poltica do Carimbo do Tempo

Poltica de carimbo do tempo descreve os requisitos, procedimentos e nvel de segurana


adotados para a emisso do carimbo do tempo, credenciada na ICP-Brasil, com o objetivo
de evidenciar a existncia de informaes digitais em um determinado momento do
passado.
O carimbo de tempo da Instituio solicitado no processo de assinatura digital, por
pessoas fsicas e jurdicas, considerando vlido quando tiver sido assinado corretamente,
usando certificado ICP-Brasil especfico para equipamentos de carimbo do tempo e
quando a chave privada usada para assinar o carimbo do tempo no tenha sido
comprometida at o momento da verificao.
A certificao de tempo da Instituio parte integrante da ICP-Brasil na execuo dos
seus servios de carimbo do tempo e tem a obrigao de assegurar que seus relgios
estejam sincronizados, com autenticao na rede de carimbo do tempo da ICP-Brasil,

40

notificar os seus usurios quando ocorrer suspeita de comprometimento de sua chave


privada, emisso de novo par de chaves e correspondente certificado ou o encerramento
de suas atividades, monitorar e controlar a operao dos servios fornecidos e tomar as
medidas cabveis para assegurar que usurios e demais entidades envolvidas tenham
conhecimento de seus respectivos direitos e obrigaes.
A gerncia de certificao digital responsvel por gerir o carimbo do tempo, gerir o
contedo do stio institucional da certificao digital no que se refere ao carimbo do
tempo e avaliar e controlar o resultado do uso do carimbo do tempo.

3.1.2- Internet Banking


A Internet Banking disponibiliza autoatendimento aos clientes, permitindo acesso conta
bancria para consultas e transaes financeiras atravs da rede Internet. Na viso da
Instituio, este canal intensifica o volume de negcios com menores custos, aumenta o
nmero de clientes e reduz o fluxo nas agncias (Manual Normativo, 2012).
A vantagem reduo dos custos operacionais, em funo da reduo do fluxo de pessoas
nos pontos de venda, mais tempo disponvel nos pontos de venda para atendimento ao
cliente na comercializao de produtos e servios, clientes mais satisfeitos, tendo as
mesmas facilidades oferecidas pelos concorrentes e fidelizao do cliente, em funo do
atendimento mais personalizado, cmodo e eficiente (Manual Normativo, 2012).
Em nmeros apresentados pela Instituio em junho/2012, mais de 8 milhes de clientes
possuam conta ativa com acesso Internet Banking, representando aproximadamente 17
bilhes em valores movimentados.
Para oferecer melhor servio aos clientes, dar garantias de segurana contra as fraudes
eletrnicas e fomentar o uso de certificao digital em negcios e produtos da Instituio,
adotou-se o Certificado Digital na Internet Banking (Plano do Projeto, 2010).

41

3.1.3- Projeto Certificado Digital no Internet Banking


O Projeto certificado digital no canal Internet Banking est sendo implementado em duas
fases, a primeira para acesso/log ao sistema e a segunda para assinatura de efetivao e
confirmao de transaes.
A efetividade e confirmao de transaes est na fase de planejamento, entretanto, aps
sua implementao as contestaes ou questionamentos de clientes quanto a fraudes sero
descartados, pois no entendimento da Instituio, a responsabilidade ser nica e
exclusiva do cliente os cuidados e uso do certificado digital, podendo a contestao ser
caracterizada como auto fraude. Auto fraude uma ocorrncia de transferncia de
recursos com anuncia do cliente, sendo o nico responsvel por ter feito a transao
(Manual Normativo, 2012).
A implantao do acesso/log est em fase de piloto, apenas para os empregados internos,
com certificados tipo A3 emitidos pela ICP-Brasil. Foram registrados em 2012 cerca de
25 mil adeses e acessos com Certificado Digital no Internet Banking. Nenhum registro
de instabilidade, indcio de fraude, vulnerabilidade ou contestao financeira foram
apontados.
Os registros desses acessos e adeso esto arquivados em computadores das equipes
envolvidas no projeto, que capturam e compactam as informaes por perodos.
Adaptar o Internet Banking para o uso de certificados digitais s foi possvel com a
especificao e contratao de uma Soluo de Framework de Certificado Digital.

3.2 SOLUO DE FRAMEWORK DE CERTIFICADO DIGITAL


A Febraban (2012) aponta que o setor bancrio se tornou pioneira na utilizao do
certificado digital, com a compensao digital por imagem no Sistema de Pagamentos
Brasileiro (SBP) sendo realizada atravs de um framework validador de assinaturas
digitais, oferecendo maior agilidade nas liquidaes e transferncias de recursos.
O ICP-Brasil no determina a forma que cada Instituio Bancria deve utilizar, aplicar
e gerir os Certificados Digitais em sistemas e produtos internos, apenas define os padres.
42

Entretanto, o ICP-Brasil realizou um acordo de cooperao tcnica firmado com o


Colgio Notarial do Brasil para desenvolvimento de um framework Assinador Digital de
Referncia especfico para os Tabelies de Notas Brasileiros. O projeto foi criado para
solidificar e dar credibilidade ao uso dos documentos eletrnicos, uma vez que notrios
e registradores detm a expertise no ciclo de vida do documento em papel.
A soluo de framework de certificado digital adotada pela Instituio oferecida pela
empresa de mercado com o benefcio de agilizar o desenvolvimento e a operao dos
aplicativos atravs da chamada a servios criptogrficos (webservices), que eliminam a
necessidade de programar e manter rotinas complexas de assinatura digital e carimbo do
tempo. Concentra funcionalidades como logs para auditoria e rastreabilidade, permitindo
ao cliente focar seu esforo de desenvolvimento em suas aplicaes. Facilita a
manuteno das aplicaes, que no precisam ser modificadas para manter a aderncia
aos padres de segurana e sua atualizao centralizada, ficando disponvel
automaticamente para todas as aplicaes (Bry, 2012).
Com uma arquitetura SOA (Service Oriented Architeture), a Soluo composta por um
conjunto de Web Services, conforme apresenta a Figura 3.1, que oferecem:

Assinatura digital: gera assinaturas em documentos e transaes digitais. Suporta


assinaturas com diferentes nveis de garantia de segurana e longevidade,
conforme definido pelo padro brasileiro de assinatura digital.

Verificao de assinaturas: valida padres internacionais e nacionais. Oferece


como resposta um relatrio completo da assinatura, com dados dos assinantes,
validade da assinatura, bem como detalhes acerca dos certificados digitais e
carimbos do tempo utilizados.

Validao de certificados digitais: gerencia o repositrio de certificados


confiveis. Monitora a validade dos certificados digitais, notificando o titular
quando estiver prestes a expirar.

Carimbo do Tempo: emprega carimbos de tempo para marcar o momento exato


de cada assinatura coletada, bem como garantir a validade jurdica do documento
por longo prazo.

43

Figura 3.1Web Servicesdo Framework de Certificao Digital.


Fonte: Bry, 2012.
A soluo de framework de certificao adotada pela Instituio est publicada em edital
pblico e detalhada pelo documento de Requisies e Especificaes (2009), que
contempla os componentes que geram a assinatura digital, verificam a validade de
assinatura digital em documento eletrnico, requisitam o carimbo de tempo de uma
autoridade certificadora de tempo externa, validam o certificado digital e sua
correspondente cadeia de certificao e gerenciam as listas de certificados revogados. A
topologia representada na Figura 3.2:

Figura 3.2Topologia do Framework de Certificao Digital.


Fonte: Requisies e Especificaes, 2009.

44

3.2.1- Componente Assinador


O componente assinador gera assinaturas simples, co-assinaturas e contra-assinaturas nos
padresCAdES (attached e detached) e XAdES (detached, enveloping e enveloped), nos
formatos de: Assinatura digital bsica (AD-B), Assinatura digital com carimbo de tempo
(AD-T), Assinatura digital com referncias para validao (AD-R), Assinatura digital
com informaes completas (AD-C) em Assinatura digital com informaes para
arquivamento (AD-A), de acordo com as definies do documento DOC-ICP-15.01 da
ICP-Brasil.
3.2.2 - Componente Verificador
O componente verificador possui funcionalidade de visualizao do contedo do
documento verificado.
Permite a visualizao das assinaturas digitais e os atributos do certificado de cada
signatrio do documento e valida o certificado digital no ato da conferncia da assinatura
e permiti que, para cada assinatura digital, seja visualizada a situao da verificao ou a
descrio do erro caso a assinatura digital seja invlida.
3.2.3- Componente Validador
O componente validador capaz de validar qualquer tipo de certificado digital e sua
correspondente cadeia de certificao padro ICP-Brasil. A validao da cadeia de
certificao bem como a consulta da lista de certificados revogados (LCR) feita de
forma parametrizvel, de modo que seja possvel direcionar o validador para uma base de
dados especfica por meio de HTTP e OCSP (Online Certificate Status Protocol).

3.2.4 - Componente Carimbador


Realiza a requisio do Carimbo do Tempo junto Autoridade de Carimbo do Tempo
ACT, bem como insere o carimbo do tempo nas assinaturas digitais, quando necessrio,
de acordo com as definies do documento DOC-ICP-11 da ICP-Brasil.

45

3.2.5 - Componente Gerenciador de LCR


O componente gerenciador de LCR capturar na Internet as Listas de Certificados
Revogados de todas as Autoridades Certificadoras (AC) necessrias validao dos
certificados apresentados, armazenando-as numa base de dados especfica. Essa base de
dados fica disponvel para uso pelos demais componentes do Framework, permitindo a
consulta acerca do status de revogao dos certificados digitais nela mantidos.
A base de dados criada acessvel por meio de HTTP e OCSP (Online Certificate Status
Protocol). Identifica e lida com todos os tipos de certificados digitais ICP-Brasil,
manipula lista de certificados revogados que implementam a verso 2, ou verso atual,
do padro ITU-T X.509.
Verifica a validade de cada LCR armazenada na base dados especfica, de modo a
capturar automaticamente uma nova verso na Autoridade Certificadora - AC emissora,
mantendo essa base sempre atualizada e autentica cada LCR obtida junto s AC,
conferindo se realmente a LCR foi emitida pela Autoridade Certificadora indicada.
Em termos de gerncia das listas mantidas na base de dados, o componente gerenciador
de LCR:

Permiti a incluso e excluso de Autoridades Certificadoras das quais as LCR


devem ser capturadas;

Prove um mecanismo de alerta por e-mail ou site de monitoramento web que d


cincia ao administrador do sistema sobre problemas com alguma AC cadastrada
ou problemas de atualizao/validade de cada LCR tratada, informando, ao final
de cada processo de atualizao da base, problemas de no-conformidade
encontrados.

3.2.6- Autoridade de Carimbo do Tempo (ACT)


A Autoridade de Carimbo do Tempo (ACT) fornece o carimbo do tempo
TSQ(Timestamp), que possibilita acrescentar a hora legal brasileira no padro ICP-Brasil,
em arquivos eletrnicos de forma autntica e auditvel, fornecendo a prova temporal.

46

O Carimbo do Tempo um documento eletrnico emitido por uma parte confivel, que
serve como evidncia de que uma informao digital, que diz respeito ao instante em que
o mesmo foi submetido ao carimbo e no data de sua criao.

3.3 - REQUISITOS FUNCIONAIS DA SOLUO


Os componentes esto em conformidade com as demais resolues e documentos
disponibilizados e aprovados pelo ITI, em relao s rotinas e procedimentos especficos
quanto criptografia, certificao digital, assinatura digital, verificao das assinaturas e
do carimbo de tempo, para todos os requisitos e funcionalidades.
O Framework e seus componentes suportam todos os algoritmos criptogrficos e
tamanhos de chaves aprovados pela Resoluo n 65 (2009) quando cabveis.
Todos os componentes permitem a gerao, visualizao e armazenamento de registro
eletrnico, log dos procedimentos executados, bem como das informaes pertinentes
usurio e rede, para fins de auditoria.
O Framework suporta uma carga inicial de no mnimo 500 requisies de assinaturas por
segundo, podendo ser escalvel para atender necessidades futuras da Instituio.
3.4 - FUNCIONAMENTO DA SOLUO
A interface da Soluo de Framework de Certificado Digital est disponvel no Portal de
Certificao Digital na intranet da Instituio. O portal tem o objetivo de reunir todas as
informaes sobre certificao digital em um s ambiente, conforme Figura 3.3.

47

Figura 3.3: Portal de Certificao Digital


Fonte: Intranet da Instituio.

As funcionalidades so disponibilizadas em componentes modulares distintos para


permitir assinar, co-assinar, contra assinar, validar as assinaturas digitais e requisitar e
anexar ou incorporar carimbo do tempo, representados na Figura 3.4, com o fluxo das
operaes da Soluo de Framework.

48

Figura 3.4: Fluxo das operaes da Soluo de Framework.


Fonte: Requisies e Especificaes, 2009.

3.4.1-Assinatura Digital Bsica


O processo de assinatura digital bsica apresentado na Figura 3.5. O sistema Internet
Banking verifica no mdulo verificador se no tem componente em cach, se tem, o
mdulo verifica se a mesma verso, caso seja, retorna a confirmao para o sistema
Internet Banking. Caso no tenha o componente em cach, encaminha ao sistema Internet
Banking o componente solicitado e mais o componente validador. O sistema Internet
Banking consulta no mdulo validador, na base de dados de cadeia de certificados
digitais, se o componente correspondente e consulta no mdulo gerenciador de Lista de
Certificados Revogados (LCR), na base de dados de LCR se o certificado no est
revogado, estando vlido, o mdulo assinador gera a assinatura digital e encaminha ao
sistema Internet Banking. O mdulo gerenciador de LCR no permite gerar assinatura
digital se o certificado digital do usurio for invlido.

49

Figura 3.5: Fluxo Assinatura Digital bsica


Fonte: Adaptado de Requisies e Especificaes, 2009 e Plano de Projeto, 2010.

3.4.2-Assinatura Digital com Carimbo de Tempo


O processo de assinatura digital com carimbo de tempo apresentado na Figura 3.6. O
sistema Internet Banking verifica no mdulo verificador se no tem componente em
cach, se tem, o mdulo verifica se a mesma verso, caso seja, retorna a confirmao
para o sistema Internet Banking. Caso no tenha o componente em cach, encaminha ao
sistema Internet Banking o componente solicitado e mais o componente validador. O
sistema Internet Banking consulta no mdulo validador, na base de dados de cadeia de
certificados digitais, se o componente correspondente e consulta no mdulo gerenciador
de Lista de Certificados Revogados (LCR), na base de dados de LCR se o certificado no
est revogado, estando vlido, o mdulo carimbador gera o hash e envia a ACT
autoridade certificadora de tempo com o requerimento TimeStampReq (TSQ), que
registra e encaminha o requerimento ao mdulo assinador, que gera a assinatura digital
com o carimbo de tempo e encaminha ao sistema Internet Banking. O mdulo gerenciador
de LCR no permite gerar assinatura digital se o certificado digital do usurio for invlido.

50

Figura 3.6: Fluxo Assinatura digital com carimbo de tempo.


Fonte: Adaptado de Requisies e Especificaes, 2009 e Plano de Projeto, 2010.

3.4.3 - Verificao de Assinatura Digital sem carimbo do Tempo


O processo de verificao de assinatura digital sem carimbo do tempo apresentado na
Figura 3.7. O sistema Internet Banking verifica no mdulo verificador se no tem
componente em cach, se tem, o mdulo verifica se a mesma verso, caso seja, retorna
a confirmao para o sistema Internet Banking. Caso no tenha o componente em cach,
encaminha ao sistema Internet Banking o componente validador e o componente
verificador. O sistema Internet Banking consulta no mdulo validador, na base de dados
de cadeia de certificados digitais, se o componente correspondente e consulta no mdulo
gerenciador de Lista de Certificados Revogados (LCR), na base de dados de LCR se o
certificado no est revogado, estando vlido, encaminha ao modulo verificador que
verifica a assinatura digital e retorna a validao para o sistema Internet Banking.

51

Figura 3.7: Fluxo Verificao de assinatura digital sem carimbo de tempo.


Fonte: Adaptado de Requisies e Especificaes, 2009 e Plano de Projeto, 2010.

3.4.4 - Verificao de Assinatura Digital com carimbo do Tempo


O processo de verificao de assinatura digital com carimbo do tempo apresentado na
Figura 3.8. O sistema Internet Banking verifica no mdulo verificador se no tem
componente em cach, se tem, o mdulo verifica se a mesma verso, caso seja, retorna
a confirmao para o sistema Internet Banking. Caso no tenha o componente em cach,
encaminha ao sistema Internet Banking o componente validador e o componente
verificador. O sistema Internet Banking consulta no mdulo validador, na base de dados
de cadeia de certificados digitais, se o componente correspondente e consulta no mdulo
gerenciador de Lista de Certificados Revogados (LCR), na base de dados de LCR se o
certificado no est revogado, estando vlido, encaminha o componente para o mdulo
verificador para verificar e envia o hash para o mdulo carimbador, que encaminha o hash
para a ACT autoridade certificadora de tempo com o requerimento TimeStampReq
(TSQ), a ACT verifica se o carimbo do tempo confere e retorna ao sistema Internet
Banking.

52

Figura 3.8: Fluxo Verificao de assinatura digital com carimbo de tempo.


Fonte: Adaptado de Requisies e Especificaes, 2009 e Plano de Projeto, 2010.

Diante da implementao do projeto certificado digital no Internet Banking, utilizando a


soluo de framework de certificado digital aqui descrita, conhecer e identificar as
vulnerabilidades da soluo uma tarefa que envolve anlise e constante estudo dos
processos inerentes s atividades corporativas da Instituio, pois so impactantes na
viso da tecnologia, negcio e principalmente dos clientes.
Assim, se pretende pontuar se os elementos de sustentao ao uso do certificado digital
no Internet Banking, apontados pelos autores, esto sendo tratados de forma a garantir
sua efetividade em todo processo.

53

4 PROSPECO DA INSTITUIO E DOS CLIENTES DA


SOLUO DE INTERNET BANKING COM CERTIFICADO
DIGITAL
Neste captulo descrito o projeto certificado digital no Internet Banking utilizando a
soluo de framework de certificado digital do Banco Capital, sob o ponto de vista da
tecnologia, negcio e clientes. As vantagens, benefcios e objetivos que se pretende
alcanar com esta tcnica de segurana so avaliados com os apontamentos da reviso de
literatura e uma proposta de recomendaes sugerida.

4.1 - OBSERVAES DA INSTITUIO PUBLICA BANCRIA


Na percepo do Banco Capital, a aplicao do projeto certificado digital na Internet
Banking descrita na viso da tecnologia da informao, negcio e cliente.

4.1.1 Viso da Tecnologia da Informao


A aquisio da soluo de framework veio atender as iniciativas estratgicas de TI,
definidas no plano executivo da Instituio, buscando revisar o modelo do processo de
desenvolvimento e implantar a integrao de servios de TI.
O projeto Internet Banking com certificado digital coordenado pela gerncia de
segurana e continuidade de negcios em TI, que tem o objetivo de estabelecer e gerir as
diretrizes, padres e modelos de segurana para ativos, processos e servios de TI,
visando garantir a segurana tecnolgica e viabilizao do negcio. A gerncia
vinculada a superintendncia de suporte de TI, responsvel por operacionalizar e manter
disponveis as solues tecnolgicas que suportam os produtos e servios da Instituio.
A disponibilizao da soluo para implementao de servios e produtos, como no
Internet Banking, garante a maior agilidade nas transaes e automao do processo de
certificado digital, tornando o nico local para replicar atualizaes, de acordo com os
padres vigentes da ICP-Brasil, centralizando os sistemas que possam utilizar a soluo.
A Soluo de Framework de Certificado Digital implementa a prtica de melhoria de
processo, apresenta uma nova tecnologia no ambiente e transfere o conhecimento

54

tecnolgico para as equipes internas, permitindo o domnio da tecnologia de certificao


digital na Instituio (Plano de Projeto, 2010).
A soluo est hospedada em ambiente de Braslia, estrutura preparada para garantir o
melhor tempo de processamento e disponibilidade, nos padres definidos pelo Manual
Normativo (2011), que tem o objetivo de estabelecer as diretrizes de desenvolvimento
seguro, guiando e promovendo a aplicao das melhores prticas de segurana no ciclo
de desenvolvimento de sistemas, alm de destacar a adoo de mecanismos e processos
para a garantia da confidencialidade, integridade, disponibilidade e autenticidade das
informaes armazenadas nos sistemas de informao da Instituio.
A soluo adquirida pela BRy Tecnologia S.A., empresa brasileira especializada no
desenvolvimento de solues de segurana para documentos eletrnicos, com modelo e
metodologia prprios, cabendo assim, a Instituio definir que todos os sistemas e
produtos que so dependentes de assinatura digital, devem utilizar a soluo de
framework de certificao digital como a infraestrutura.
Na viso da Instituio, esta ao melhora a imagem de TI junto aos clientes e mantm a
tecnologia conhecida e dominada.
4.1.2 Viso do Negcio
Com a ampliao dos negcios e transaes realizadas no canal Internet Banking,
maturidade do mercado frente e o aumento das fraudes eletrnicas, a Instituio requer
solues de segurana imediatas, tornando a implantao da certificao digital no
Internet Banking propcia (Plano do Projeto, 2010).
A adoo do certificado digital est alinhada aos objetivos definidos no planejamento
estratgico da Instituio, com as perspectivas de ter um processo eficiente, com
inteligncia competitiva e processo voltado para inovao.
O Internet Banking com certificado digital oferece maior alada para realizao de
transaes, substituio de senha internet para aplicao, resgate de fundos, solicitao e
desbloqueio de talo de cheques e limites diferentes para transaes a partir de login com

55

certificado, ou seja, oferece transaes com valores diferenciados aos clientes, que
utilizam o certificado digital (Plano do Projeto, 2010).
O aumento da segurana no uso do canal Internet Banking e ampliao da movimentao
financeira por meio de transaes mais seguras tm gerado maior competitividade no
mercado e projeo positiva da Instituio na mdia externa, passando a atender vrios
outros servios, como, validao de alvar eletrnico, validao de documentos
eletrnicos previstos em clusulas contratuais acordadas com fornecedores e autorizao
de dbito emitida pelas agncias regionais da Receita Federal, dentre outros (Plano do
Projeto, 2010).
Dessa forma, pode-se visualizar na Tabela 4.1 um resumo dos fatores apontados pela
Instituio com a aquisio da soluo de framework de certificado digital e a
implantao do projeto certificado digital no Internet Banking.
Tabela 4.1: Resumo dos fatores apontados pela Instituio
Proposta Implantada

Vantagens Pontuadas

- Aquisio da soluo de

Iniciativas estratgicas de TI

framework de certificado
Digital
- Disponibilizao da soluo de Garante maior agilidade nas transaes e
framework de certificado digital

automao do processo de Certificado Digital,


centraliza e torna o nico local para replicar
atualizaes

- Conhecimento da soluo de

Apresenta uma nova tecnologia no ambiente,

framework de certificado digital

transfere o conhecimento tecnolgico para as


equipes internas, permitindo o domnio da
tecnologia de Certificao Digital na Instituio

- Ambiente da soluo de

Estrutura preparada para garantir o melhor tempo

framework de certificado digital

de processamento e disponibilidade, de acordo


com as diretrizes de prticas de segurana no ciclo
de desenvolvimento de sistemas, destacando os
mecanismos e processos para a garantia da
confidencialidade, integridade, disponibilidade e

56

Proposta Implantada

Vantagens Pontuadas
autenticidade das informaes armazenadas nos
sistemas de informao da Instituio.

- TI com a soluo de

Melhora a imagem de TI junto aos clientes e

framework de certificado digital

mantm a tecnologia conhecida e dominada.

- Certificao digital no Internet

Soluo de segurana imediata contra o aumento

Banking

das fraudes eletrnicas.


Oferece

maior

alada

para

realizao

de

transaes, substituio de senha internet para


aplicao, resgate de fundos, solicitao e
desbloqueio de talo de cheques e limites
diferentes para transaes a partir de login com
certificado.
- Adoo do certificado digital

Est alinhado aos objetivos do Planejamento

na Instituio

Estratgico, com as perspectivas de ter um


processo eficiente, com inteligncia competitiva e
processo voltado para inovao.

- Imagem da Instituio com o

Gera maior competitividade no mercado e

certificado digital no Internet

projeo positiva da Instituio na mdia externa.

Banking

A utilizao da soluo de framework para certificado digital no Internet Banking busca


alcanar os seguintes objetivos (Plano do Projeto, 2010):

Criao de novos negcios por meio do canal Internet Banking, devido ao


reconhecimento da validade jurdica dos contratos firmados por certificado
digital;

Racionalizao do tempo dos recursos humanos lotados nas agncias,


incentivando a migrao de clientes para o canal Internet Banking;

Aumento no volume financeiro transacionado com reduo nos custos de


transao;

Fidelizao de clientes com a iseno de tarifas dos certificados;

Reforo da imagem da Instituio como moderna;


57

Aumento da clientela de Pessoa Jurdica por meio dos escritrios de contabilidade.

4.1.3-Viso dos Clientes


Milan e Trez (2005) afirmaram que a definio mais importante de qualidade percebida
nos servios a definida pelo cliente, j que muitas vezes o que os gestores entendem
como qualidade difere totalmente da opinio dos usurios.
Carvalho (2009) caracteriza que conseguir se aproximar da percepo dos clientes
fundamental para a definio de aes, melhoria de desempenho, sobrevivncia e
lucratividade das instituies.
A Instituio mensura a satisfao dos clientes do Internet Banking atravs da
disponibilidade do servio, sendo, mensurado em indicadores a quantidade de operao
x tempo de resposta da aplicao x fila de espera de abertura de chamados dos usurios.
A monitorao do canal realizada atravs da gerncia de operaes tecnolgicas que
tem como atividade os recursos tecnolgicos, processos e rotinas do ambiente
centralizado e de alta disponibilidade e o processamento, disponibilizao e
armazenamento das solues de TI no ambiente centralizado e de alta disponibilidade.
mantida uma sala de contingncia para o gerenciamento de incidentes, que busca
restaurar a operao normal do servio o mais rpido possvel, minimizando os prejuzos
operao do negcio, garantindo o melhor nvel de servio, disponibilidade e
produtividade do negcio.

4.2 - ANLISE DOS ELEMENTOS DE SUSTENTAO


Para analisar os elementos de sustentao da efetividade da soluo de framework de
certificado digital fazem-se necessrio citar as consideraes abordadas pelos autores na
reviso de literatura, comparando com as descries e prticas exercidas pelo Banco
Capital no projeto de certificado digital no Internet Banking.

58

4.2.1 Riscos
Quanto aos riscos, pode-se dizer que so as possibilidades das ameaas explorem as
vulnerabilidades, ocasionando danos ou perdas de dados, proporcionando prejuzos aos
negcios da empresa e que acabam por afetar os princpios de confiabilidade, integridade
e disponibilidade. A viso do risco como parte do negcio obriga a uma preocupao
quanto aos principais eventos que possam colocar perigo o resultado, as pessoas, as
informaes, o ambiente e os demais entes relacionados (Beal, 2008).
Beal (2008) aponta que a gesto de risco o conjunto de processos que permite s
organizaes identificar e implementar as medidas de proteo necessrias para diminuir
os riscos a que esto sujeitos aos seus ativos de informao, e equilibr-los com os custos
operacionais e financeiros envolvidos.
Cobit (2007) define que a gesto dos riscos requer a conscientizao da alta direo
executiva da empresa, um claro entendimento do risco que a empresa est disposta a
correr, compreender os requisitos normativos envolvidos, transparncia quanto aos riscos
significativos para a empresa e a insero das responsabilidades na administrao de
riscos dentro da organizao.
Todo evento que representa um risco deve ser identificado, analisado e estimado, o que,
uma vez realizado, deve buscar minimizar os seus e comunicar o risco residual, que o
risco que se sabe estar ainda correndo (Cobit, 2007).
Os elementos de sustentao da efetividade do projeto de certificado digital no Internet
Banking do Banco Capital foram mapeados em forma de riscos, considerando os
apontamentos dos autores e a posio do Banco Capital. Os riscos do projeto de
certificado digital so apontados na Tabela 4.2: Risco Aderncia ao Internet Banking,
Tabela 4.3: Risco Prtica de segurana no Internet Banking, Tabela 4.4: Risco Aceitao
de uso da Certificao e Imagem, Tabela 4.5: Risco Frameworks para Gesto, Tabela 4.6:
Risco Auditoria, Tabela 4.7: Risco Arquivamento e Tabela 4.8: Risco Confiabilidade,
Integridade, Autenticidade e Disponibilidade.

59

Tabela 4.2: Risco Aderncia ao Internet Banking


Elementos

Apontamentos dos autores

Aderncia ao
Internet
Banking

O Internet Banking tem se destacado como canal o mais importante


inovao de servios bancrios dos ltimos anos (Diniz et al., 2009).

Febraban (2012) aponta que o Internet Banking firmou-se como o


canal preferido para transaes bancrias. O usurio de Internet
Banking realiza em mdia 3,2x o volume de transaes que os
clientes em geral (Febraban, 2013).

Os Bancos devem investir na maximizao do uso do Internet


Banking, prover uma experincia do consumidor cada vez mais
amigvel neste canal e ofertar produtos e servios que melhor se
encaixam neste meio (Febraban, 2013).
Posio do Banco Capital
A Instituio definiu diretrizes no planejamento estratgico com o objetivo de
alavancar o uso do certificado digital em sistemas e produtos, como forma de oferecer
maior segurana no canal.

Tabela 4.3: Risco Prtica de segurana no Internet Banking


Elementos

Apontamentos dos autores

Prtica de
segurana no
Internet
Banking

Bacen (2001), devem garantir o sigilo e a segurana dos meios


eletrnicos

tornados

disponveis,

bem

como

adequado

monitoramento das informaes relativas movimentao das


contas.

Peotta et al. (2011) demonstram uma anlise dos dispositivos de


segurana implementados pelos dez maiores bancos no Brasil e
concluiu que vrias camadas e mtodos de segurana so
simultaneamente adotadas pelas instituies bancrias, mas que
vulnerabilidades de segurana nos sistemas bancrios so
detectados. Indica que os sistemas bancrios devem fornecer

60

mecanismos de segurana capazes de reduzir o vazamento de


informaes e problemas de segurana que afetam o sistema e que
leva fraude.

Zhang (2009) aponta o certificado digital como uma tcnica eficaz


de preveno de fraudes no Internet Banking.
Posio do Banco Capital
Para implementar o certificado digital no Internet Banking, a Instituio adquiriu a
soluo de framework de certificado digital.
Apesar da soluo estar instalada em ambiente seguro, com permisses de acesso aos
gestores de tecnologia e do canal Internet Banking, percebeu-se que a soluo no
atende requisitos das prticas de segurana internos, definidos pela prpria Instituio
no Manual Normativo (2011).

Tabela 4.4: Risco Aceitao de uso da Certificao e Imagem


Elementos

Apontamentos dos autores

Aceitao de
uso da
Certificao e
Imagem

Zhao (2010) percebeu que as Instituies bancrias devem aumentar


a satisfao dos usurios atravs dos sistemas que oferecem
qualidade e segurana das informaes e servios.

Chatzipoulidis e Mavridis (2010) acreditam que se uma violao de


segurana ocorrer devido uma perda de integridade durante uma
transao do Internet Banking, o impacto influncia todos os outros
parmetros de aceitao do usurio em relao aos servios
bancrios eletrnicos.
Carvalho (2009) caracteriza que conseguir se aproximar da
percepo dos clientes fundamental para a definio de aes,
melhoria de desempenho, sobrevivncia e lucratividade das
instituies.
Posio do Banco Capital

61

A tecnologia com a soluo de framework de certificado digital melhora a imagem de


TI junto aos clientes e mantm a tecnologia conhecida e dominada. Gera maior
competitividade no mercado e projeo positiva na mdia externa.
O gestor de cada canal responsvel pela gesto do seu negcio, sistemas e produtos,
cabendo apenas a TI a implementao das tecnologias para atender os gestores.
A Instituio mensura a satisfao dos clientes do Internet Banking atravs da
disponibilidade do servio, sendo apontada em indicadores a quantidade de operao x
tempo de resposta da aplicao x fila de espera de abertura de chamados dos usurios.

Tabela 4.5: Risco Frameworks para Gesto


Elementos

Apontamentos dos autores

Frameworks
para Gesto

Chen e Argles (2010) vm considerar a importncia dos frameworks


analisarem os requisitos e metodologia quando utilizam a
certificao, principalmente sua gesto.
A falta de um gerenciamento apropriado expe as Instituies a um
risco no quantificado dentro das organizaes, incluindo acesso
no autorizado e falhas em auditorias de segurana. A gesto dos
certificados ajuda a identificar questes de segurana, conformidade
e operacionais dentro de um ambiente, alm de prover indicaes
que as organizaes devem seguir no sentido de eliminar riscos
(Gartner, 2011).
Posio do Banco Capital

A disponibilizao da soluo de framework de certificado digital garante maior


agilidade nas transaes e automao do processo de certificado digital, centraliza e
torna o nico local para replicar atualizaes.

Conhecimento da soluo de framework de certificado digital apresenta uma nova


tecnologia no ambiente, transfere o conhecimento tecnolgico para as equipes internas,
permitindo o domnio da tecnologia de certificao digital na Instituio.

62

A certificao digital no Internet Banking tem a soluo de segurana imediata contra


o aumento das fraudes eletrnicas. Oferece maior alada para realizao de transaes,
substituio de senha internet para aplicao, resgate de fundos, solicitao e
desbloqueio de talo de cheques e limites diferentes para transaes a partir de login
com certificado.
A Instituio, na viso da tecnologia, coloca que a soluo no foi preparada para fazer
o gerenciamento e nem realizar a gesto dos certificados digitais internamente
utilizados. Alm disso, a soluo no possui preparo para tratamento especfico de
incidentes que possam vir a acontecer no uso do certificado digital.
A metodologia da soluo de framework de certificado digital foi desenvolvida pela
empresa BRySigner - Assinador de documentos eletrnicos no padro ICP-Brasil,
diante de especificao realizada pela Instituio. Entretanto, no foram identificadas
informaes de referncias dos conceitos adotados pela empresa para atender a
Instituio e nem referncias em outras solues bancrias.

Tabela 4.6: Risco Auditoria


Elementos

Apontamentos dos autores

Auditoria

Boynton

(2002)

descreve

os

procedimentos

de

auditoria

possibilitam afirmar se as informaes partem de fontes confiveis


e se os procedimentos para obt-las esto sendo seguidos
corretamente, possibilitando aos seus usurios analisar com maior
confiana as informaes oferecidas pelas entidades, sustentando
melhor as decises que precisam ser tomadas.
Pereira e Santos (2010) frameworks adotado como sistemas de
informaes devem passar pela auditoria de segurana, realizadas
para avaliar a eficcia da capacidade de uma instituio protegendo
seus ativos valorizados ou crticos.

63

ITI (2012) infraestrutura de chaves pblica brasileira responsvel


por realizar as auditorias, fiscalizaes e homologaes das
certificaes.
Posio do Banco Capital
A Instituio realiza este procedimento baseado no Manual Normativo (2011) de
segurana para o desenvolvimento e manuteno de sistemas, sendo emitido um
relatrio de aprovao a cada verso atualizada do framework.
A soluo de framework no tem um manual normativo especfico que define os
sistemas e os produtos que utilizaro a soluo, as reas envolvidas, as verses
homologadas, o fluxo de funcionamento, comunicao e padronizaes internas. No
h, ainda, um normativo que relacione a soluo de framework com a rea jurdica da
Instituio, para o tratamento do reconhecimento da validade jurdica do certificado
digital no canal Internet Banking, inclusive para orientar as futuras contestaes quanto
ao nus da prova nos processos de fraude.

Tabela 4.7: Risco Arquivamento


Elementos

Apontamentos dos autores

Arquivamento

Os arquivos existem para armazenar informaes e permitir que


estas sejam recuperadas mais tarde. So gerenciados por sistemas
que oferecem diferentes tipos de armazenamento e recuperao das
informaes, baseados na estrutura, acessos, como so utilizados,
protegidos e implementados (Tanebaum, 2003).

Teixeira (2002) destaca que to ou mais importante que a identidade


vinculada ao passado a identidade que se projeta para o futuro.
O ICP-Brasil fica institudo para garantir a autenticidade, a
integridade e a validade jurdica de documentos em forma
eletrnica, das aplicaes de suporte e das aplicaes habilitadas
que utilizem certificados digitais, bem como a realizao de
transaes eletrnicas seguras (Medida Provisria 2.200, 2011).

64

Lei n 12.682 (2012) que se refere ao arquivamento de documentos


em meios eletromagnticos.
ICP-Brasil descreve a poltica geral de arquivamento de registros no
DOC-ICP 05 (2012).
Peotta et al. (2009) apresentam um estudo sobre as regulamentaes
adotadas pelo ICP-Brasil, identificando que as normas que
contemplam os aspectos relevantes para conferir os documentos
assinados digitalmente e as caractersticas tcnicas no so
suficientes e efetivas ao longo prazo.
Posio do Banco Capital
No foi identificado no Plano de Projeto (2011) qualquer tratamento quanto ao
arquivamento das informaes registradas pela soluo de framework de certificado
digital. Os registros so arquivados em computadores da prpria equipe de TI
envolvidos no projeto, que a cada perodo capturam e compactam esses registros.

Tabela 4.8: Risco Confiabilidade, Integridade, Autenticidade e Disponibilidade


Elementos
Confiabilidade

Apontamentos dos autores


Leavitt (2011) aponta que vrios ataques foram realizados contra
organizaes que emitem certificados digitais, criando dvidas sobre
o uso do sistema.
Os autores Sanayei e Noroozi (2009) trazem uma preocupao
quanto as Autoridades Certificadoras com certificados fraudulentos.
As certificadoras so consideradas confiveis, devido ao processo de
auditoria, entretanto, algumas ACs autorizam intermedirias para
emitir os certificados, que podem roubar certificados digitais e utiliza
rde modo forma fraudulenta, gerando assim, dvidas sobre a
segurana e integridade do certificado digital.

Elementos
Integridade

Apontamentos dos autores


Ma, Abie, Skramstad e Nygrd (2011) apontam uma preocupao
com o mau uso dos mecanismos e segurana para proteger o

65

arquivamento dos documentos digitais, que oferecem garantia de


serem confiveis a curto prazo e no eficaz a longo tempo. A
utilizao da criptografia ao longo da vida digital introduz dois
problemas, a perda da chave privada e a de compromisso dos
algoritmos criptografados, alm da preservao de documentos
criptografados no serem geralmente aceitos pela comunidade
internacional de arquivamento, porque a codificao no
geralmente preservada uma vez que no h parte integrante dos
registros de arquivamento.
Elementos
Autenticidade

Apontamentos dos autores


A preservao da legibilidade, verificabilidade e da validade da
assinatura digital so crucial para o valor futuro. A longevidade
desses dados depende apenas da preservao da sua legibilidade, j a
assinatura digital utilizada depende de mltiplos fatores (Lekkas e
Gritzalis, 2007).
Ansper, Buldas, Roos e Wilemson (2001) apontam as tcnicas
convencionais de validao dos certificados digitais como no sendo
prticas de validao para longo prazo. Questes de dispositivos de
segurana, regras de responsabilidade, atualizao, distribuio
eficiente e armazenamento das informaes das chaves pblicas so
citadas como problemas fundamentas a serem tratados para uso das
certificaes a longo prazo.
Ansper, Buldas, Roos e Wilemson (2001) citam que a deficincia
apontada nos mtodo de grandes demandas de assinaturas digitais
podem se tornando demoradas, exigindo equipamentos de hardwares
para melhor gerir os processamentos, assim propem melhorar a
eficincia ea confiabilidade das novas tcnicas de validao.

Hu, Giri, Chengyu e Li (2009) destacam que verificar a data de


validade e autenticidade de um certificado digital por si s nunca
suficiente, pois possvel que um certificado tenha sido revogado
antes da data de sua expirao, com as seguintes razes:

66

comprometimento

da

chave,

compromisso

da

autoridade

certificadora (CA), mudana de filiao, substituio ou cessao de


operao.
Elementos
Apontamentos dos autores
Disponibilidade Fujishiro, Sato, Kumagai, Kaji e Okada (2010) apresentam um
estudo sobre como pode ser melhorada a velocidade da verificao
da validade dos certificados digitais no futuro. Defende que com o
aumento das Infraestrutura de dados criptogrficos, as oportunidades
de aplicaes e utilizaes dos certificados faro que a velocidade de
operao dos PKI ficam inferior as exigidas pelos usurios de
aplicativos.
Posio do Banco Capital
O ambiente da soluo de framework de certificado digital a estrutura preparada para
garantir o melhor tempo de processamento e disponibilidade, de acordo com as diretrizes
de prticas de segurana no ciclo de desenvolvimento de sistemas, destacando os
mecanismos e processos para a garantia da confidencialidade, integridade,
disponibilidade e autenticidade das informaes armazenadas nos sistemas de
informao da Instituio.
No foram identificados documentos relacionados soluo de framework de
certificado digital e nem do projeto de certificado digital no Internet Banking que tratasse
da garantia verificabilidade das informaes e dados ao longo do tempo na Instituio.
Na viso da TI, sua responsabilidade apenas de entregar e disponibilizar a soluo de
framework de certificado digital funcionando, em ambiente seguro e estvel, cabendo
ao gestor do negcio do Internet Banking aplicar a verificabilidade e, o negcio, por sua
vez, entende que a TI a rea domina a viso futura da tecnologia.
Nenhum documento relata parcerias internas e externas, inclusive outras Instituies
bancrias que pudessem tratar essas citaes, sobretudo por se tratar do canal que realiza
altos nmeros de transaes no Brasil.

67

A Instituio, na viso do gestor do projeto de certificado digital no Internet Banking


visa apenas entrega do acesso Internet Banking com certificados digitais aos
empregados e expanso as clientes, atendendo o Plano de Projeto (2010).
Na Instituio, no foi identificado documentos que envolvem o ICP-Brasil nas regras e
aplicaes da soluo de framework de certificado digital, ficando ausente quanto aos
questionamentos ligados a verificabilidade e funcionamento da soluo.

A Instituio no possui orientaes do ICP-Brasil quanto s dvidas, homologao,


validao e gesto dos processos e dados manipulados na soluo de framework de
certificado digital a longo tempo.

No h informaes de parcerias realizadas entre os bancos e o ICP-Brasil para o


desenvolvimento de um nico framework bancrio. Ainda, no foram localizados
documentos que envolva a FEBRABAN neste processo, por estar atuando na
compensao de cheques, SPB- Sistema de Pagamentos Brasileiro.
Com a anlise aqui realizada dos elementos de sustentao da efetividade do uso do
certificado digital em aplicaes de Internet Banking, percebe-se que o Banco Capital no
atende as principais consideraes apontadas pelos autores. Assim, uma proposta de
recomendaes sugerida em forma de plano de ao.

4.3 PROPOSTA DE RECOMENDAES


Diante da anlise dos elementos de sustentao da efetividade do uso da certificao
digital em aplicaes de Internet Banking, sugere-se adaptaes nas polticas, diretrizes
e processos que envolvem certificado digital do Banco Capital.
4.3.1 Plano de Ao

Um plano de ao consiste em analisar as ocorrncias de ameaas baseando-se nos


mecanismos instalados e tambm em aes concretas que visem reduzir os riscos
existentes em um processo de melhoria contnua (Carvalho, 2005).

68

As recomendaes sugeridas neste plano de ao, Tabela 4.9, ao projeto certificado digital
no Internet Banking, tem o objetivo de mitigar os riscos mapeados para os elementos de
sustentao da efetividade do uso da certificao digital no Banco Capital.
Tabela 4.9: Plano de Ao
Elementos
Prtica de
segurana no
Internet
Banking

Recomendaes
Rever o enquadramento da soluo de framework de certificado
digital no manual normativo interno de segurana para o
desenvolvimento e manuteno de sistemas, alinhando com a
resoluo de proteo e dados definida pelo BACEN.
Incluir as recomendaes nas polticas de uso interno do Banco.

Aceitao de
uso da
Certificao e
Imagem

Aplicar pesquisas de satisfao de uso do certificado digital no


canal Internet Banking, inicialmente para o pblico do piloto, os
empregados internos.

Mensurar o ndice de satisfao e

utilizao e logo aps, realizar uma medio entre os clientes.


Frameworks
para Gesto

Criar componente gesto na soluo de framework de


certificado digital, afim de que a rea de negcio e de TI possam
gerenciar as demandas e os sistemas que so utilizados e tratados
pela Soluo, oferecendo subsdio para tomada de decises
internas e externas. Gerenciar o uso da soluo relacionado ao
nmero de transaes e negcios realizados pela Instituio.
Oferecer ao jurdico e as reas envolvidas relatrios para
avaliaes e acompanhamentos do uso do certificado digital.
Registrar e controlar os processos e fluxos de documentos
digitaisde cada sistemas.
Notificar e permitir que as partes envolvidas acompanhem o
processo e a assinatura digital dos documentos eletrnicos.
Registrar todas as movimentaes referentes aos documentos
eletrnicos de modo a permitir o rastreamento e auditoria,

69

fornecendo todas as evidncias necessrias para garantir o norepdio de transaes eletrnicas, prevenindo e detectando
alteraes ou manipulaes fraudulentas nos documentos.
Permitir que todas as incluses, alteraes e excluses sejam
realizadas de forma on-line, mantendo

histricos das

manutenes e possibilitar a transferncia para backups e o


expurgo dos dados de acordo com a periodicidade definida pela
Instituio.
Apresentar ao ICP-Brasil proposta direta de acompanhamento e
consultoria para aplicao e gesto de solues de frameworks
relacionados ao setor bancrio. Envolver o ICP-Brasil nos futuro
da Certificao Digital voltados ao canal do Internet Banking e
aos diversos sistemas que utilizaro a Soluo de Certificados
Digitais.
Adotar um padro nico de Framework Bancrio.
Auditoria

Criar manual normativo da tecnolgica especificando asoluo


de framework de certificado digital, detalhando as reas
envolvidas, os responsveis, fluxo de demanda e atendimentos e
armazenamento dos dados.
Incluir a soluo de framework de certificado digital nos demais
manuais normativos relacionados, principalmente no Internet
Banking.
Incluir as regras de tratamento e utilizaes da soluo nos
manuais normativos do jurdico, relacionando o tratamento da
auditoria para fiscalizao da soluo e para futuras contestaes
de fraude.

Arquivamento

Tratar o arquivamento para os registros e logs realizados na


soluo de framework de certificado digital adequadamente, de
acordo com a Lei 12.682, definies do ICP-Brasil e

70

principalmente ao manual normativo interno. Mantendo os


documentos armazenados pelo perodo de tempo determinado
pela Lei aplicvel a cada tipo ou operao.
Definir regras e responsveis, entre gestores de negcio, TI e
jurdico para acesso aos arquivos tratados pela soluo,
implementando um fluxo de autorizaes para tratamento de
demandas de solicitao dos arquivos.
Prover o armazenamento dos dados da soluo, com a guarda
dos documentos eletrnicos participantes dos fluxos em banco
de dados corporativo, compatvel nos padres e ambiente
definidos, podendo ser acessados somente pelas partes
envolvidas ou previamente autorizadas pelo criador do
documento,

garantindo

integridade,

disponibilidade

confidencialidade da documentao.
Confiabilidade
Integridade
Autenticidade
Disponibilidade

Criar grupo de estudo com parcerias entre ICP-Brasil, Febraban


e outras Instituies bancrias, reas jurdicas, acadmicas e
mercado para tratar a verificabilidade do uso do Certificado
Digital ao longo do tempo.
Mapear internamente com rea da TI e negcio os impactos
futuros do uso do certificado digital para os clientes do Internet
Banking.
Alinhar com as reas internas os papis e responsabilidade para
o uso e tratamento das informaes geradas pela soluo de
framework de certificado digital no Internet Banking.

Com as recomendaes sugeridas no plano de ao, pode-se mitigar os riscos do projeto.


As melhorias alcanadas com essas aes promovem a melhor gesto do negcio e da
tecnologia no portflio dos produtos e servios oferecido pela Instituio. Garante o
controle e gerenciamento de acessos e movimentaes de transaes realizadas pelos
clientes no Internet Banking, com mais autonomia e domnio do processo.

71

Aps a aplicao do plano de ao sugerido com este estudo, uma poltica de gesto dos
elementos de efetividade do uso da certificao na Instituio dever ser criada, de forma
a estruturar e atualizar as prticas que fundamentam o uso da criptografia, certificado
digital, assinatura digital e carimbo do tempo j existentes no Banco Capital.

72

5- CONCLUSO
Este trabalho apresenta a importncia e necessidade das organizaes bancrias
investirem em tecnologia, em seus equipamentos, infraestrutura, software e inovao para
alavancar os servios do setor bancrio.
A tecnologia adotada responsvel pela disponibilidade dos canais de atendimento
bancrio, oferecendo novos aplicativos e segurana na realizao de toda transao. O
uso do Internet Banking fez com que os clientes ganhassem mais autonomia nas
movimentaes bancrias das contas, tronando um canal mais eficiente, rpido e sem
custos.
Os representativos nmeros de transaes bancrias realizadas nesse canal fizeram com
que as Instituies Bancrias adotassem tcnicas de segurana eficaz contra fraude, pois
a proteo das informaes e dados dos clientes gera mais confiana, ganho de mercado,
negcios e destaque da imagem.
A tcnica de certificao digital no Internet Banking foi adotada pela Instituio
apresentada neste trabalho, como forma de oferecer maior segurana, integridade,
autenticidade e no repdio. O projeto de certificao digital no Internet Banking na
Instituio vem sendo implementado por etapas, inicialmente no acesso/log ao canal.
Para a execuo do projeto, a Instituio adquiriu a soluo de framework de certificado
digital, com o intuito de centralizar todos os processos que envolvem certificao nos
produtos e sistemas interno.
A infraestrutura implementada gera todo ciclo de vida do certificado digital, atendendo
as necessidades especificadas para empresa de desenvolvimento, porm, a proposta desse
trabalho foi analisar os elementos de sustentao da efetividade do uso do certificado
digital em aplicaes de Internet Banking, atravs da soluo de framework adotada pelo
Banco Capital.

73

A anlise foi realizada com o apoio em pesquisa e revises de literatura relacionadas ao


tema. Foi apresentado o estudo de caso da Instituio, detalhando o projeto, arquitetura,
funcionamento e as vises da tecnologia, negcio e clientes.
Percebeu-se que a soluo de framework no trata os elementos de sustentao da
efetividade do uso do certificado digital no Internet Banking. Sua prospeco no foi
definida com os aspectos indicados pelos autores. Sendo que sua aplicao no projeto de
certificado digital no Internet Banking pode gerar diversos questionamentos.
Notou-se que questes como prtica de segurana no Internet Banking, aceitao de uso
da certificao e imagem, framework para gesto, auditoria, o arquivamento, a
confiabilidade, integridade, autenticidade e disponibilidade no so completamente
apontados pelos gestores do Internet Banking, nem pela tecnologia e jurdico do Banco,
necessrias para aporte de decises quando contestaes de fraude forem efetuados por
este canal.
Conclui-se que o objetivo desse estudo foi alcanado, demonstrando que os elementos de
sustentao da efetividade do uso do certificado digital no Internet Banking do Banco
Capital, atravs da soluo de framework de certificado digital, no atende os elementos
de sustentao da efetividade do projeto certificado digital no Internet Banking, que s
poder ser efetivo quando a tcnica de segurana com certificado digital puder oferecer
real segurana no tratamento das informaes.
Neste caso, recomenda-se que para a soluo de framework de certificado digital e o
processo que envolve o uso do certificado digital no Internet Banking da Instituio,
apliquem as aes relacionadas no plano de ao.
Como trabalho futuro sugere-se encaminhar este estudo para os gestores do Banco Capital
para que possam reestruturar o projeto em uma nova etapa, com referncia e
embasamento terico, temas e autores relacionados, buscando verificar como os
elementos de sustentao devero implementados. Alm disso, desenvolver um novo
sistema bancrio que possa centralizar e padronizar todas as tcnicas de segurana
aplicadas no Internet Banking, atendendo os mesmos elementos de sustentao da
efetividade.

74

As recomendaes aqui sugeridas podem evitar impactos na Instituio, inclusive a perca


da imagem e credibilidade diante dos milhares de clientes que utilizam o Internet
Banking.

5.1 PUBLICAO RELACIONADA A ESTE TRABALHO


1) SCRCARO, Rubia; Rafael Timteo de Sousa Jnior; Laerte Peotta; Robson de
Oliveira Albuquerque e Edna Dias Canedo. Anlise da Efetividade da Soluo
de Framework de Certificado Digital utilizada pelo Internet banking de uma
Instituio Pblica Bancria. X SEGET Simpsio em Excelncia em Gesto
em Tecnologia para Competitividade, 2013, 23 24 e 25 Outubro, Resende Rio
de Janeiro. (trabalho aceito).

75

REFERNCIAS BIBLIOGRFICAS
Adendo Estatstico (2011), Diagnstico do Sistema de Pagamentos de Varejo do Brasil,
Banco

Central

do

Brasil.

Disponvel

em

<http://www.bcb.gov.br/htms

/spb/Diagnostico-Adendo-2011.pdf>
Ahmed A., Rezaul M. K, Rahman A. M (2010), "E-Banking and Its Impact on Banks,
Performance and Consumers Behaviour", icds, pp.238-242, Fourth International
Conference on Digital Society, AntilhasHolandesas.
Albertini A. e Moura L. (2002), "Administrao de Informao: funes e fatores crticos
de sucesso", 4 ed. So Paulo: Editora Atlas.
Almeida A. L., BaranauskasC.M (2008), Universidade Estadual de Campinas UNICAMP, Anais do Simpsio Brasileiro de Fatores VIII Humanos em Sistemas
Computacionais, Sociedade Brasileira de Computao Porto Alegre.
Ansper A., Buldas A., Roos M. e Wilemson M. (2001)," Efficient long-term validation
of digital signatures", 4th International Workshop on Practice and Theory in Public
Key Cryptography, pp. 402-415, Korea.
Arretche, Marta(2006), Tendncias no estudo sobre avaliao. In: RICO, E.M. Avaliao
de Polticas Sociais. Uma questo em debate. So Paulo, Cortez.
Bacen - Banco Central do Brasil (2001), Resoluo n 2.817 - Dispe sobre a abertura e
a movimentao de contas de depsitos exclusivamente por meio eletrnico, bem
como acerca da utilizao desse instrumento de comunicao. Disponvel em
<www.bcb.gov.br>
Banco do Brasil (2012). Disponvel em <www.bancodobrasil.com.br>
Beal, Adriana. (2008) Segurana da Informao: Princpios e Melhores Prticaspara a
Proteo dos Ativos da Informao nas Organizaes. So Paulo: Editora Atlas.
Bry Tecnologia. (2012). Disponvel em: <http://www.bry.com.br/wp-content/uploads/
2012/11 /folder_bry_framework_site.pdf>
Boynton, William C.; Johnson, Raymond N.; Kell, Walter G (2002). Auditoria. So
Paulo: Atlas.
CAIXA- Caixa Econmica Federal (2012). Disponvel em <www.caixa.gov.br>
Carvalho, Luciano Gonalves. (2005) Segurana de redes. RJ: Cincia Moderna Ltda.

76

Carvalho, M. C.(2009) Avaliao da qualidade percebida nas instituies de ensino


tcnico: um estudo no municpio de Lavras, Minas Gerais. 2009. 108 p. Dissertao
(Mestrado em Administrao) Universidade Federal de Lavras.
Chatzipoulidis A. e Mavridis I. (2010), "A Study on User Behavior and Acceptance of
Electronic Banking Services," pci, pp.180-183, 14th Panhellenic Conference on
Informatics, Grcia.
Chen W. L. e Argles D. (2010), "Towards a Framework of a Secure E-Qualification
Certificate System," iccms, vol. 1, pp.493-500, Second International Conference on
Computer Modeling and Simulation.
Decreto n 3.872 (2001), Dispe sobre o Comit Gestor da Infra-Estrutura de Chaves
Pblicas Brasileira - CGICP-Brasil, sua Secretaria-Executiva, sua Comisso
Tcnica Executiva e d outras providncias.
Diniz, E., Poro, R.M. and Tomi, A. (2009), "Internet Banking in Brazil: evaluation of
functionality, reliability and usability", The Electronic Journal of Information
Systems Evaluation, Vol. 8 No. 1, 41-50.
DOC-ICP-05 (2012) - Requisitos mnimos para as declaraes de prticas de certificao
das autoridades certificadoras da ICP-Brasil, verso 3.6. Disponvel em <
http://www.iti.gov.br/images/twiki/URL/pub/Certificacao/DocIcp/DOC-ICP-05__Versao_3.6.pdf>
Febraban - O Setor Bancrio Setor Bancrio em Nmeros, Tendncias Tecnolgicas e
Agenda

Atual

(2012),

Disponvel

em

<http://www.febraban.org.br

/7Rof7SWg6qmyvwJcFwF7I0aSDf9jyV/sitefebraban/Ciab12-Anuario%20Febra
ban%2006.07.pdf>
Febraban - O Setor Bancrio Setor Bancrio em Nmeros, Tendncias Tecnolgicas e
Agenda Atual (2013), Disponvel em <http://www.febraban.org.br>
Fitzgerald, Jerry; Dennis, Alan. (2005) Comunicao de Dados Empresariais e Redes. RJ:
LTC.
Fujishiro T., Sato A., Kumagai Y., Kaji T., Okada K. (2010), "Development of Hi-Speed
X.509 Certification Path Validation System," Advanced Information Networking
and Applications Workshops", International Conference on, pp. 269-274, IEEE
24th International Conference on Advanced Information Networking and
Applications Workshops.
Gartner, Inc. (2011) X.509 Certificate Management: Avoiding Downtime and Brand
Damage www.gartner.com/id1840016.
77

Hu N., Giri K., Chengyu M. T., Li Y. (2009), Certificate revocation release policies",
Journal of Computer Security, Pages: 127-157, Volume 17 Issue 2.
Hu X. e Ma L. (2010), "A Study on the Hybrid Encryption Technology in the Security
Transmission of Electronic Documents," isme, vol. 1, pp.60-63, International
Conference of Information Science and Management Engineering, China.
Humphreys K. (1998), " Banking on the Web: Security First Network Bank and the
development of virtual financial institutions", p. 75-104, Banking and Finance on
the Internet, Canada.
ITI - Instituto Nacional de Tecnologia da Informao (2012), Disponvel em
<http://www.iti.gov.br>
ITIL, Office of Government Commerce Aligning CobiT 4.1 (2008), ITILV3 and ISO/IEC
27002 for Business Benefit. Illinois, USA: IT GovernanceInstitute.
Jie Z. e Hong X. (2010), "E-Commerce Security Policy Analysis," icece, pp.2764-2766,
International Conference on Electrical and Control Engineering, China.
Kurose. J.F.K.W. (2003) Redes de computadores e a Internet. So Paulo.
AddilsonWeslwy.
Leavitt N. (2011), "Internet Security under Attack: The Undermining of Digital
Certificates," Computer, vol. 44, no. 12, pp. 17-20, doi:10.1109/MC.2011.367.
Lei n 12.682 (2012), Dispe sobre a elaborao e o arquivamento de documentos em
meios

eletromagnticos.

Disponvel

em

<http://www.planalto.

gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12682.htm>
Lekkas D. e Gritzalis (2007), "Long-term verifiability of the electronic healthcare records'
authenticity", International Journal of Medical Informatics, Volume 76, Issues 5-6,
Virtual Biomedical Universities and E-Learning and Secure eHealth: Managing
Risk to Patient Data - Elearning and Secure eHealth Double S.I., p. 442-448.
Ma J., Abie H., Skramstad T., Nygrd M. (2011), "A Framework for the Assessment of
the Trustworthiness of Digital Records over Time," IEEE TrustCom/IEEE
ICESS/FCST, International Joint Conference of, pp. 738-744, IEEE 10th
International Conference on Trust, Security and Privacy in Computing and
Communications.
Manual de Condutas Tcnicas (2009) - Procedimentos de Ensaios para Homologao de
Equipamentos de Carimbo do Tempo no mbito da ICPBrasil, verso 1.0, Manual
de

Condutas

Vol

II

(MCT

78

10

Vol.

II).

Disponvel

em

<http://www.iti.gov.br/images/consulta-publica/encerradas/LEA_MCT0_VolII_v1.0.pdf>
Manual Normativo Interno (2011), TE197 - Segurana para o desenvolvimento e
manuteno de sistemas. Vigncia 10/12/2011.
Manual Normativo Interno (2012), C089 - Internet Banking, Vigncia 29/06/2012.
Medida Provisria n2.200 - Institui a Infra-Estrutura de Chaves Pblicas Brasileira ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em
autarquia,

outras

providncias,

(2001).

Disponvel

em

<http://www.planalto.gov.br/ ccivil_03 /mpv/Antigas_2001/2200-2.htm>


Menezes A.J., van Oorschot P.C., Vanstone S.A., (2001) Handbook of applied
cryptography, CRCPress, http://www.cacr.math.uwaterloo.ca/hac/,816pp.
Milan, G.S, Trez, G. (2005). Pesquisa de satisfao: um modelo para planos de sade.
ERA Light, v.4, n.2, jul-dez.
Nakamura, E. T. e Geus P. L. (2002), Segurana de Redes em Ambiente Cooperativos.
So Paulo, Editora Berkeley.
Nami R. M. (2009), "E-Banking: Issues and Challenges,",pp.263-266, 10th ACIS
International Conference on Software Engineering, Artificial Intelligences,
Networking and Parallel/Distributed Computing.
Peotta L. M., Bertol V. e Souza T. R. J (2009), Um Modelo para as Normas sobre
Certificao Digital no Brasil, FourthInternationalConferenceof Forense Computer
Science.
Peotta L. M., Bertol V. e Souza T. R. J, David B., Deus F., Holtz M. (2011), "A Formal
Classification of Internet Banking Attacks and Vulnerabilities", International
Journal of Computer Science & Information Technology (IJCSIT).
Pereira M. S. T. e Santos H. (2010), "A Security Framework for Audit and Manage
Information System Security," Web Intelligence and Intelligent Agent Technology,
IEEE/WIC/ACM International Conference on, vol. 3, pp. 29-32, IEEE/WIC/ACM
International Conference on Web Intelligence and Intelligent Agent Technology.
Plano do Projeto (2010), Internet Banking com Certificado Digital utilizando a Soluo
de Framework de Certificado Digital.
Polasik M. e Wisniewski P. T. (2009), "Empirical analysis of internet banking adoption
in Poland", vol. 27 Iss: 1, pp.32 - 52, International Journal of Bank Marketing.
Pfleeger, Charles P.(1997) Security in Computing. 2. Ed. New Jersey. USA: Prentice
Hall.
79

Requisies e Especificaes (2009), Soluo de Framework de Certificado Digital,


publicada em Edital Pblico.
Resoluo n 65 (2009), Aprova verso 2.0 do documento padres e algoritmos
criptogrficos da ICP-Brasil e plano de migrao relacionado. Publicado no Dirio
Oficial

da

Unio

Disponvel

em

<http://www.iti.gov.br/images/icp-

brasil/legislacao /Resolucoes/resolucao65.pdf>
RIF - Relatrio de Incluso Financeira, Banco Central do Brasil (2010). Disponvel em:
<http://www.bcb.gov.br/Nor/relincfin/relatorio_inclusao_financeira.pdf>
Rousseau, Jean-Yves, Couture, Carol.(1994).Os fundamentos da disciplina arquivstica.
Lisboa: Publicaes Dom Quixote.
Sanayei A., Noroozi A. (2009), "Security of Internet Banking Services and its Linkage
with Users Trust: A Case Study of Parsian Bank of Iran and CIMB Bank of
Malaysia, icime, and pp.3-7, International Conference on Information
Management and Engineering, Malsia.
Santander Banco (2012). Disponvel em <www.santander.com.br>
Sarma S.E., Weis, S.A., Engels, D.W., (2003) Radio Frequency Identification: Security
Risks and Challenges, Cryptobytes, RSALaboratories, Volume 6, No 1, pgina 2
Schneier, Bruce (1996). Applied Cryptography: Protocols, Algorithms and Source. Code
in C. 2. ed.New York: John Wiley & Sons.
Stallings, Wiliam. (2003) Cryptography and Network Security: Principles and Practice,
Third Edition. Prentice-Hall.
Sols,R.

von(1999).

Information

security

management:

why

standards

are

important.Information Management & Computer Security, vol. 7, n.1, p.50-57.


Stewart, J. Michael, Tittel, E.,Chapple, M. (2008), Certified Information Systems
Security Professional Study Guide. New Jersey, USA: John Wiley & Sons
Publication
Tanenbaum, Andrew S. (2003), Redes de Computadores. 4 ed. Rio de Janeiro
Elsiever,Traduzido por Vandenberg D. de Souza.
Teixeira, Dilza Aurora Matos. (2002), Aes de conservao epreservao da memria
no contexto digital. Transformao, SoPaulo, v.4, n. 2, p. 179-181,
jul./dez.Disponvel

em<http://revistas.puccampinas.edu.br/transinfo/viewarticle.

php?id=8>
TIC Empresas - Pesquisa sobre o Uso das Tecnologias da Informao e da Comunicao
no Brasil (2010). Disponvel em <http://www.cetic.br/empresas/2010/index.htm>
80

Trevisan, A.(1996) Auditoria suas reas de ao. So Paulo: Atlas.


Vasconcellos, Eduardo, Evan. Werther, Willian(1994). Estratgia Tecnolgica no Brasil,
Japo e EUA: um estudo comparado. In: Anais do XIII Simpsio de Gesto da
Inovao Tecnolgica. So Paulo.
Vergara, Sylvia Constant. (2006). Mtodos de Pesquisa em Administrao. 2. ed. So
Paulo: Atlas.
Zhang Q. (2009), "Study on Fraud Risk Prevention of Online Banks," vol. 2, pp.181-184,
International Conference on Networks Security, Wireless Communications and
Trusted Computing, China.
Zhao L. (2010), "Study on Online Banking Adoption and Its Predictors," mmit, vol. 1,
pp.155-158, Second International Conference on MultiMedia and Information
Technology, Kaifeng, China.
Wadlow, Thomas. (2000). Segurana de Redes Projeto e Gerenciamento de Redes
Seguras. SP: Campus.

81