Escolar Documentos
Profissional Documentos
Cultura Documentos
Apostila
Verso 1.1
Abril-2007
Sumrio
MDULO 1 Contextualizando a Certificao Digital.......................................................5 1.1 Caminhando para um mundo cada vez mais digital....................................................5 1.2 Certificao Digital no contexto das tecnologias da informao..................................5 1.3 Assinatura e Certificao Digital no contexto das tecnologias para GED...................5 1.4 Certificao Digital como componente de confiana ..................................................5 MDULO 2 - Vulnerabilidades e necessidades de segurana .........................................6 2.1 A fragilidade das redes abertas....................................................................................6 . 2.2 Vulnerabilidades no correio eletrnico e stios Internet................................................6 2.3 Vulnerabilidades com documentos e processos eletrnicos........................................6 2.4 Certificao Digital: segurana e eficcia probatria ..................................................7 MDULO 3 - Conceitos fundamentais ..................................................... ........................7 . 3.1 Aspectos tecnolgicos, jurdicos e culturais da Certificao Digital.............................7 3.2 Alguns conceitos bsicos.............................................................................................7 . 3.3 Requisitos para equivalncia entre documentos analgicos e digitais........................8 3.4 Documento eletrnico..................................................................................................8 . 3.5 Conceito de escrito, original e assinatura em papel X eletrnico................................9 3.6 Requisitos para assinatura em documentos eletrnicos..............................................9 3.7 Conceitos de assinatura: eletrnica, digitalizada, biomtrica e digital.........................9 MDULO 4 - Infra-estrutura de Chaves Pblicas ICP(PKI)..............................................10 4.1 Componentes da Certificao Digital...........................................................................10 4.2 Criptologia, criptografia e criptoanlise........................................................................10 . 4.3 Criptografia clssica.....................................................................................................11 . 4.4 Criptografia simtrica ..................................................................................................11 . 4.5 Exerccio 1: a importncia do no compartilhamento de segredo ..............................12 4.6 Principais algoritmos para criptografia simtrica..........................................................12 4.7 Criptografia assimtrica ou de chaves pblicas...........................................................12 4.8 Principais algoritmos para criptografia assimtrica......................................................13 4.9 O algoritmo RSA ....................................................................................................... 13 .... 4.10 Premissas de confiana para chaves pblicas e privadas.........................................14 4.11 Garantia de sigilo de contedos com criptografia assimtrica...................................14 4.12 Vantagens da combinao da criptografia simtrica com a assimtrica...................15 4.13 Criptografia com XML................................................................................................16 . 4.14 Perspectivas com o surgimento da criptografia quntica...........................................16 4.15 Funes hash (resumo de mensagens).................................................. ..................18 . 4.16 Garantia de integridade de contedos eletrnicos com cdigos hash......................18 4.17 Principais algoritmos para resumos de mensagens...................................................19 4.18 Assinatura Digital: componentes, padres e processos ...........................................19 4.19 Assinatura Digital com XML.......................................................................................20 . 4.20 Certificados Digitais: fundamentos, gerao, validao e revogao.......................20 4.21 Gesto de Chaves (XKMS)........................................................................................21 . 4.22 Autoridades Certificadoras e Autoridades de Registro...............................................21 4.23 Autenticidade e autenticao com certificados digitais..............................................22 4.24 Hierarquia de uma ICP e certificao cruzada...........................................................22 4.25 Normas e padres para operacionalizao de uma ICP...........................................23 4.26 Modelos de ICP e sua utilizao em alguns pases do mundo..................................23 4.27 O modelo de ICP adotado pelo Brasil........................................................................24 MDULO 5 - ICP-Brasil Infra-estrutura de Chaves Pblicas Brasileira.........................25 5.1 Principais documentos.................................................................................................25 . 5.2 Natureza pblica da atividade......................................................................................25 . 5.3 Concepo organizacional, polticas e prticas de segurana....................................26 5.4 Autoridade Certificadora Raiz AC-Raiz.....................................................................26 . 5.5 Hiptese fundamental e caminho de certificao................................................... .....26 . 5.6 Certificao cruzada na ICP-Brasil..............................................................................26 . 5.7 Controles de segurana na AC-Raiz da ICP-Brasil......................................................26
COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN
5.8 Credenciamento de ACs e ARs na ICP-Brasil..................................................... ........27 . 5.9 Hierarquia atual (ACs e ARs credenciadas)...............................................................28 . 5.10 Tipos de Certificados da ICP-Brasil........................................................... ................28 . 5.11 Nveis de segurana dos certificados................................................. .......................28 . 5.12 Aplicaes para Certificados de Assinatura...............................................................28 5.13 Aplicaes para Certificados de Sigilo.......................................................................29 . MDULO 6 - Tempestividade Digital.................................................................................30 . 6.1 Importncia para Assinatura e Certificao Digital.................................................. ....30 . 6.2 Autoridade Certificadora de Tempo..............................................................................30 . 6.3 Sincronismo do tempo.................................................................................................30 . 6.4 Carimbos de tempo (selo cronolgico digital)..............................................................30 6.5 Protocolos digitais........................................................................................................30 . 6.6 Regulamentao na ICP-Brasil....................................................................................31 . 6.7 Abordagens para viabilizar a tempestividade no ambiente virtual...............................31 MDULO 7 - Aspectos Jurdicos.......................................................................................32 . 7.1 Evoluo das tecnologias da informao versus evoluo da legislao...................32 7.2 Arcabouo legal para Certificao e Tempestividade Digital.......................................32 7.3 Leis modelo das Naes Unidas UNCITRAL............................................................32 7.4 Diretiva europia 93/99................................................................................................39 . 7.5 Legislao norte-americana e-Sign.......................................................... ................39 . 7.6 O nascimento da Certificao Digital no Brasil com Decreto 3.587/2000...................40 7.7 Medida Provisria 2.200-2 e sua importncia para eficcia probatria.......................40 7.8 Resolues do Comit Gestor da ICP-Brasil...............................................................43 7.9 A importncia da Resoluo N 36 da ICP-Brasil.................................................... ....43 . 7.10 Projetos de Lei em tramitao no Congresso Nacional.............................................54 7.11 Perspectiva de criao de Lei para Certificao Digital.............................................55 7.12 Autenticao de assinaturas digitais e de cpias eletrnicas....................................55 7.13 Exerccio 2: digitalizao e autenticao com f pblica ..........................................55 7.14 Requisitos para autenticao de documentos digitalizados......................................55 7.15 Validade jurdica X eficcia probatria de documentos eletrnicos...........................56 MDULO 8 - Aplicaes para Certificao e Tempestividade Digital................................57 8.1 Certificao de dados, documentos, mensagens eletrnicas e agentes.....................57 8.2 Autenticao para acesso seguro a servidores Web...................................................57 8.3 Assinaturas em documentos originais e cpias eletrnicas.........................................57 8.4 Integridade e autenticidade no trmite de documentos eletrnicos.............................58 8.5 Exerccio 3: garantia de sigilo, integridade e autenticidade ........................................59 8.6 Demonstrao de uso de assinatura de documentos eletrnicos*..............................59 8.7 Aplicao para integridade e autenticidade na guarda de documentos......................59 8.8 Aplicaes para e-mail, Web, dispositivos mveis e redes virtuais ............................59 8.9 Normas, iniciativas e potencial de utilizao................................................................60 8.10 Resoluo do Conselho Federal de Contabilidade ...................................................60 8.11 Instruo normativa do Superior Tribunal do Trabalho para peties .......................60 8.12 Ajuste CONFAZ para uso de Nota Fiscal eletrnica NF-e.........................................60 8.13 Autoridade Certificadora do Judicirio AC-Jus........................................................61 8.14 Iniciativas para popularizar o uso da Certificao Digital no Brasil...........................61 8.15 Situao e principais aplicaes em outros pases................................................. ..61 . MDULO 9 - Integrao com as principais tecnologias para GED...................................62 9.1 Document Imaging com Certificao Digital............................................................ ....62 . 9.2 Forms Processing com Certificao Digital...................................................... ...........62 . 9.3 Document Management com Certificao Digital........................................................62 9.4 EDMS com Certificao Digital....................................................................................63 . 9.5 COLD/ERM com Certificao Digital.......................................................... .................64 . 9.6 Workflow/BPM com Certificao Digital.......................................................................65 9.7 ECM com Certificao Digital......................................................................................65 . MDULO 10 - Abordagens para viabilizao da Certificao Digital................................67 10.1 Definio para utilizao dentro ou fora da ICP-Brasil..........................................67 3
10.2 Abordagem considerando a gesto como pr-requisito.............................................67 10.3 Abordagem com nfase para tecnologias..................................................................67 10.4 Consideraes sobre foco, demandas, atividade fim e porte....................................67 10.5 Aplicaes com baixo custo e retorno do investimento ............................................68 10.6 Exemplos de abordagens para viabilizao da Certificao Digital..........................68 MDULO 11 - Desafios, perspectivas e consideraes finais...........................................69 11.1 Principais desafios tecnolgicos com questes ainda em aberto..............................69 11.2 Assinatura Digital de longa durao...........................................................................69 . 11.3 Um importante desafio cultural...................................................... ............................69 . 11.4 Recomendaes para quebrar barreiras e facilitar a viabilizao.............................70 11.5 Mitos e realidade em torno da Certificao Digital.....................................................70 11.6 Consideraes sobre segurana, riscos e padronizao...........................................70 11.7 Os cinco estgios da aquisio de conhecimentos ...................................................70 11.8 Principais benefcios da Certificao e Tempestividade Digital.................................71 11.9 Referncias para estudo............................................................................................71 . MDULO 12 Ferramentas em Software Livre com Certificao Digital.........................72 12.1 Tabelio (Componentes e Gerenciamento).................................................... ...........72 . 12.2 E-mail (Mozilla-Thunderbird)......................................................................................72 . 12.3 WEB (Mozilla-Firefox) Aplicativos disponveis......................................................... 72 12.4 Assinador (ITI e cryptonit) .........................................................................................72 .
eletrnicos trafegados ou armazenados pode inviabilizar aplicaes. Outra operao vulnervel no ambiente eletrnico a tempestividade, onde os instantes de tempo quando precisam ser registrados no devem usar a hora do relgio do computador porque esse, como se sabe, pode ser facilmente alterado. Todas as operaes acima citadas requerem segurana jurdica o que significa garantir validade legal com eficcia probatria.
ALERTOU O PROFESSOR PEDRO REZENDE QUEM PODE GARANTIR A AUTENTICIDADE DE DOCUMENTOS EM FORMA ELETRNICA SO SISTEMAS CRIPTOGRFICOS APROPRIADOS OPERANDO EM CONDIES ADEQUADAS E NO A NORMA JURDICA, MAS A TECNOLOGIA DEVE SE CONSOLIDAR NA LEI. NO CIBERESPAO, O CDIGO A LEI (LESSIG). A DEMOCRACIA EXIGE LEIS SOCIALMENTE INTELIGVEIS (PARA SEREM LEGTIMAS) E DELIBERAES CONSCIENTES.
oferecidas, os requisitos mnimos e a viabilidade de aplicao com baixo custo. Quanto aos aspectos jurdicos, devem ser considerados todos os atos legais inerentes emanados pelos poderes Executivos e Legislativos e as consideraes da Doutrina Jurdica. Em relao aos aspectos culturais importante considerar o gerenciamento das mudanas para novas tecnologias dificultadas pela desigualdade social com excluso digital, pela falta de confiana nas promessas da tecnologia, pela dificuldade dos usurios para visualizar benefcios, pela resistncia natural do ser humano para mudar processos, pelo desconforto com o ambiente virtual e pela arraigada cultura do papel.
Assinatura: marca pessoal utilizada para designar autoria ou aprovao. Certificao: afirmao de certeza ou verdade. Digital: valores representados exclusivamente em binrio e que podem ser registrados em suporte eletrnico, magntico, ptico, etc.
Analgico: representa grandezas de forma contnua que podem ser registradas em pergaminho, papel, micro-filme, etc. Autenticao: ato pelo qual algo reconhecido como verdadeiro. um termo muito usado no meio jurdico. A autenticao pode ser feita pelas seguintes formas: 1. Algo que se sabe: senha, identificao pessoal, etc. OU; 2. Algo que se tem: documento, smart card, etc. OU; 3. Algo que se : medida biomtrica como ris, digital, DNA, etc. OU; 4. Onde se est: coordenadas, GPS, etc. OU; 5. Momento da autenticao: data, hora, etc. OU; 6. Presena de testemunhas: mais de uma pessoa OU; 7. Combinao de dois ou mais fatores acima
Dessa forma, alm da validade jurdica, os documentos eletrnicos tambm tero eficcia probatria porque haver dificuldade para serem impugnados quando forem apresentados como prova.
sem sombra de dvida, o autor obra. Assim, por falta de um disciplinamento especfico, os especialistas preferem relacionar o documento eletrnico com uma espcie de prova sui generis, arrolada fora do captulo destinado regulamentao da prova documental. Assim, no vem bice para o magistrado apreciar, desde que lcita, a prova produzida em meio eletrnico. Todavia, o documento eletrnico deve atender a algumas peculiaridades. Isso porque, por se tratar de meio eletrnico, estamos lidando com um meio de armazenamento de informaes bastante voltil. Nesse sentido, o documento deve possuir no mnimo as seguintes caractersticas: a) permitir a identificao das partes intervenientes, de modo inequvoco, a partir de sinal ou sinais particulares e b) no possa ser adulterado sem deixar vestgios localizveis, ao menos atravs de procedimentos tcnicos sofisticados, assim como ocorre com o documento em suporte papel.
alterado (integridade), com Certificao Digital pode garantir a identificao do assinante (autenticidade), garante uma conexo (lgica) entre um documento e sua respectiva assinatura, pode ser utilizada para autenticao de cpias eletrnicas (documentos digitalizados) quando usada com Certificao Digital e pode garantir eficcia probatria de contedos e processos eletrnicos. o principal componente de uma ICP.
10
A criptologia se preocupa basicamente com a segurana de informaes. A segurana da informao se manifesta de vrias formas, de acordo com a situao e as necessidades. At recentemente, informaes importantes eram escritas, autenticadas, armazenadas e transmitidas utilizando-se papel e tinta. Com o advento dos computadores, dos meios magnticos de armazenamento e das telecomunicaes, a possibilidade de se produzir milhares de documentos idnticos faz com que fique muito difcil (ou at mesmo impossvel) distinguir as cpias do original. A identificao, validao e autorizao de um documento eletrnico exigem tcnicas especiais. A criptografia uma delas. CRIPTOGRAFIA: A palavra Criptografia tem sua origem no Grego: kryptos significa oculto, envolto, escondido, secreto; graphos significa escrever, grafar. Portanto, criptografia significa escrita secreta ou escrita oculta. As formas de ocultar mensagens so as mais diversas. Existem basicamente dois tipos de criptografia: Clssica que utiliza tcnicas convencionais nos processos de ocultao da informao e Quntica que utiliza tcnicas baseadas em princpios da Mecnica Quntica. CRIPTOANALISE: Criptoanlise a cincia para quebrar uma mensagem cifrada. No o mesmo que decifrar. Decifrar obter a mensagem original quando se conhece o sistema e usando a chave tambm conhecida. Quebrar hackear o sistema e descobrir a chave. Texto extrado de http://www.numaboa.com.br/criptologia/intro.php em 30/03/07.
11
DES: (Data Encryption Standard) 56 bits, criado pela IBM em 1977. Quebrado em 1997. 3DES: Triple DES, tripla codificao utilizando 3 vezes o DES. Criado no incio da dcada de 90. muito lento para grandes volumes. AES: (Advanced Encryption Standard) 128 ou 256 bits. Nomeado em 2001 do Rijndael a partir de um concurso vencido em 2000 patrocinado pelo NIST. Atualmente o mais utilizado.
12
mas para simplicidade vamos dizer que Destino escolhe p=17 e q=11. Ele deve manter esses nmeros em segredo.
2. Destino multiplica os nmeros um pelo outro para conseguir um terceiro nmero, N
(Mdulo). Neste caso, N=187. Ele agora escolhe outro nmero e (expoente). Neste exemplo, e=7.
3. Destino agora pode divulgar e (expoente) e N (Mdulo) por qualquer canal de
publicao com garantia de integridade (como um certificado digital). Como esses nmeros so necessrios para a cifragem, eles devem estar disponveis para consulta por parte de qualquer um que deseje cifrar uma mensagem para Destino. Juntos, esses nmeros so chamados de chave pblica. (Alm de ser parte da chave pblica de Destino, o e tambm pode ser parte da chave pblica de todos. Contudo, cada pessoa deve ter um valor diferente de N, que vai depender de sua escolha de p e q.).
4. Para cifrar uma mensagem, ele primeiro precisa ser convertido em um numero, M. Por
exemplo, uma palavra convertida em dgitos binrios ASCII e os dgitos binrios podem ser considerados como um nmero decimal. M ento cifrado para produzir o texto cifrado C, de acordo com a frmula. C=Me (mod N)
5. Supondo que Origem queira enviar apenas a letra X para Destino. No ASCII isto
descobre que N=187 e e=7. Isto resulta na frmula de cifragem necessria para codificar as mensagens para Destino. Com M=88, a frmula d como resultado C=887 (mod 187) = 40.867.559.636.992 (mod 187) = 11 Origem agora envia o texto cifrado, C=11, para Destino.
COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN
13
que muito difcil recuperar a mensagem original, M, a partir de C=11. Algum com acesso apenas a essas informaes no pode decifrar a mensagem.
8. Entretanto, Destino pode decifrar a mensagem porque tem uma informao especial:
conhece os valores de p e q. Calcula um nmero especial, d, a chave de decifragem, conhecida tambm como chave privada. O nmero d calculado de acordo com a seguinte frmula: e x d = 1 (mod (p-1) x (q-1)) 7 x d = 1 (mod 16 x 10) 7 x d = 1 (mod 160) d = 23
9. Para decifrar a mensagem, Destino simplesmente usa a seguinte frmula:
1 - Premissa pblica: O titular de um par de chaves assimtricas conhecido pela sua chave pblica. 2 - Premissa privada: O titular de um par de chaves assimtricas quem conhece a sua conhece sua chave privada
1 - A premissa pblica envolve duas crenas: 1.1 - Crena sinttica: A associao entre os bits que representam a chave pblica, e os que representam o nome do seu titular, autntica. 1.2 - Crena semntica: O nome que d ttulo chave pblica o de algum com quem se tem relao de significado.
2- A premissa privada envolve duas crenas: 2.1 - Crena sinttica: A posse e o acesso chave privada restringe-se a quem nomeado seu titular. 2.2 - Crena semntica: O uso autenticatrio da chave privada significa declarao, por parte do titular, de sua vontade ou autoria.
14
(chave). Cada um (emissor e receptor) utilizou chave diferente e a chave de quem recebeu o contedo no precisou ser compartilhada.
15
16
O estabelecimento de protocolos visa facilitar os procedimentos de comunicao sem, contudo, diminuir sua segurana. No caso da Criptografia Quntica isso particularmente verdade. Os protocolos qunticos utilizam dois canais, um pblico e outro quntico. Estes canais so utilizados para se combinar a chave secreta entre o emissor e o receptor da mensagem. Atravs do canal quntico o emissor envia uma srie de ftons com polarizaes diferentes, de acordo com o protocolo adotado e que sero medidos pelo receptor de modo a formarem uma chave secreta de conhecimento somente de ambos e que pode ser alterada a cada envio de mensagem, aumentando ainda mais a segurana do mtodo. Os ftons podem ser enviados com polarizaes em quaisquer ngulos, mas a definio de alguns ngulos notveis facilita muito a medida O estabelecimento desses ngulos faz parte dos protocolos acima citados. Vamos considerar ento ftons com polarizao vertical (|), horizontal (), inclinado direita (/) e esquerda (\). Essas polarizaes sero utilizadas para se representar os 0s e 1s a serem transmitidos e podem ser combinados livremente, desde que os pares ortogonais sejam diferentes entre si (se o vertical for o 0, o horizontal ser o 1, etc.). O emissor passa, ento a enviar uma srie deles anotando a polarizao de cada um deles na ordem em que vai ser enviada. O receptor, por sua vez, prepara uma srie de filtros adequados para medir a polarizao dos ftons e passa a efetuar as medidas anotando tambm a ordem que utilizou nos filtros e o resultado que obteve. Aps uma srie de alguns ftons ele vai ter vrias medidas nas quais os ftons passaram atravs dos filtros (aqui cabe ressaltar que esses ftons, agora, esto todos alterados pelas medidas efetuadas e qualquer pessoa que tivesse acesso mensagem no conseguiria mais recuperar seu contedo original) e pode se comunicar com o emissor atravs de qualquer canal pblico (telefone, e-mail, carta, etc.) enviando, no os resultados que obteve, mas os filtros que adotou para cada medida. Assim o emissor pode, analisando esta informao dizer para ele (atravs do prprio canal pblico) quais destas medidas foram corretas e, a partir da, ambos tm uma chave para transmitir suas mensagens de forma segura. Vamos analisar o porque da segurana do mtodo. Se qualquer um interceptasse a mensagem e efetuasse as medidas antes do receptor faz-lo, alteraria a informao que estava sendo transmitida e, quando houvesse a comunicao entre o emissor e o receptor eles perceberiam que o nmero anormal de erros de medio seria fruto de uma tentativa no autorizada de leitura da mensagem. Agora se o interceptador quisesse fazer as medidas aps o receptor receber a mensagem s encontraria uma srie de ftons j alterados e, mesmo com a informao de quais filtros foram utilizados, ele no conseguiria recuperar a mensagem original, pois lhe faltaria a informao de qual resultado foi obtido para as medidas efetuadas ou o conjunto inicial enviado, pois ambos permanecem em sigilo com o receptor e o emissor, respectivamente. Com base nos ftons que o emissor recebeu e mediu corretamente cria-se uma chave segura e secreta para comunicao das mensagens entre eles, contando tambm, adicionalmente, com um denunciador de intruso o que permite um incremento na segurana de comunicao de dados jamais sonhado. O maior problema para implementao da Criptografia quntica ainda a taxa de erros na transmisso e leitura dos ftons seja por via area ou por fibra tica. Os melhores resultados obtidos atualmente se do em cabos de fibra tica de altssima pureza, e conseqentemente elevadssimo custo tambm, alcanando algo em torno de 70 km. Por via area a distncia chega a algumas centenas de metros e qualquer tentativa de se aumentar essa distncia tanto em um, quanto em outro mtodo, torna a taxa de erros muito grande e inviabiliza o processo. O desenvolvimento de tecnologias que permitam o perfeito alinhamento dos polarizadores, fibras ticas melhores e amplificadores qunticos de sinais, permitir que o sistema de Distribuio de Chaves Qunticas venha a ser o novo padro de segurana de dados. A segurana incondicional se deve aos conhecimentos atuais de nossa cincia e, se porventura, for encontrada uma brecha no mtodo, preceitos fundamentais da Fsica tambm sero
COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN
17
abalados e uma reviso na Teoria Quntica precisar ser feita. interessante notar que esta mesma teoria que, ao criar o computador quntico que vir a abalar a segurana das atuais chaves pblicas e algoritmos RSA nos dar uma ferramenta ainda mais segura para comunicao de dados em segredo. A Criptografia Quntica se destaca em relao aos outros mtodos criptogrficos, pois no necessita do segredo prvio, permite a deteco de leitores intrusos e incondicionalmente segura, mesmo que o intruso tenha poder computacional ilimitado. Por apresentar um elevado custo de implantao, ainda no um padro adotado de segurana nas comunicaes, mas o desenvolvimento tecnolgico poder torn-la acessvel a todas as aplicaes militares, comerciais e de fins civis em geral. Por fim, como a Criptografia Quntica oferece a possibilidade de criar uma chave segura por meio da utilizao de objetos qunticos sendo que depois as mensagens continuam a serem enviadas por canais comuns, a terminologia mais correta para o mtodo seria Distribuio de Chave Quntica (Quantum Key Distribution QKD). Extrado de http://www.numaboa.com.br/criptologia/lab/quantica.php em 02/03/07.
A capacidade de descobrir uma mensagem que d um hash a um dado valor possibilita a um agressor substituir uma mensagem falsa por uma mensagem real que foi assinada. Permite ainda que algum rejeite de forma desleal uma mensagem, alegando que, na realidade, assinou uma mensagem diferente. A capacidade de descobrir duas mensagens distintas que dem um hash ao mesmo valor possibilita um tipo de ataque no qual algum induzido a assinar uma mensagem que d um hash ao mesmo valor como sendo outra mensagem com um contedo totalmente diferente.
18
MD4: (Message Digest) Criado por Ron Rivest da empresa RSA (RSA Security). Gera um resumo com comprimento de 128 bits. Efetua uma manipulao de bits para obter o valor do hash de forma rpida. (vrios ataques foram detectados, o que fez com que o algoritmo fosse considerado frgil). MD5: uma extenso do MD4. Gera um resumo de 128 bits. A obteno do valor de hash mais lenta, mas mais seguro. usado pelo PGP (Pretty Good Privacy). SHA1: (Secure Hash Algorithm). Desenvolvido pelo NIST (National Institute of Standards and Technology). Gera um resumo de 160 bits. Seu desenvolvimento tem muita relao com o MD5. considerado mais seguro que o MD4 e MD5 e pelo seu tamanho hoje um dos mais recomendados e utilizados.
Gerao da assinatura digital: Dado um documento de qualquer tamanho, utiliza-se uma funo no reversvel hash para se produzir um cdigo de tamanho fixo, associado univocamente ao documento. Com a chave privada de quem deseja assinar o documento, cifra-se o cdigo hash (resumo) gerado anteriormente pela funo hash. A assinatura digital estabelece uma relao nica entre o documento assinado e a pessoa que est assinando. No torna o documento eletrnico assinado imune a alterao, apenas logicamente imutvel. A assinatura no nica por pessoa que assina documentos eletrnicos porque gerada cifrando-se o resumo que diferente para cada documento eletrnico. nica por documento, pois gerada a partir de cada contedo assinado. O par de chaves criptogrficas paragerar e conferir a assinatura nico. Verificao da Assinatura Digital: A verificao da assinatura se d pela chave pblica de quem assinou o documento. possvel verificar se os dois requisitos de uma assinatura esto atendidos. A integridade verificada com a gerao de um novo resumo e comparao com o resumo gerado no momento da assinatura.
19
A autenticidade (identificao do autor da assinatura) realizada identificando-se pela chave publica o titular da chave privada que realizou a assinatura.
20
A revogao de um Certificado Digital deve considerar no mnimo: O vencimento do Certificado e a revogao do Certificado. A Gravao do Histrico da chave e o arquivamento da chave. Um Certificado deve ser revogado, caso haja comprometimento da chave privada da AC ou da chave privada do titular do certificado. A AC deve disponibilizar o OCSP (On-line Certificate Status Protocol) e periodicamente emitir e publicar uma Lista de Certificados Revogados (LCR). Principais motivos para revogao de um certificado digital conforme padro ISO: Comprometimento da chave privada do titular (perda, roubo, obsolescncia etc). Comprometimento da chave privada da AC (compromete todos da AC). Mudana de filiao: Alterao dados do titular. Atualizao: Outros dados do Certificado. Cancelamento da operao: Quando esgotou propsito. Suspenso temporria do Certificado. No especfico: Diferente dos acima citados.
21
Autoridade Certificadora e cada Autoridade Certificadora vincula-se a uma Autoridade Certificadora Raiz.
22
Unilateral: quando uma AC de uma determinada ICP X confia em uma AC de outra ICP Y, mas no o contrrio. Mtua: quando essa confiana e recproca.
23
Certificao cruzada somente atravs da ponte. A ponte no ser uma AC, portanto no dever emitir certificados digitais em hiptese alguma.
24
25
Nvel de Gesto: Diretrizes, prticas e polticas estabelecidas atravs do Comit Gestor da ICP-Brasil. Nvel de Credenciamento: Polticas de Certificados e Normas Tcnicas onde a ACRaiz a Primeira autoridade da cadeia de certificao, executora das Polticas de Certificados e Normas Tcnicas e operacionais aprovadas pelo Comit Gestor da ICPBrasil com rigoroso nvel de segurana fsica, procedimental e de pessoal. Nvel de Operao: Atuao das Autoridades Certificadoras e Autoridades de Registro credenciadas pela ICP-Brasil operando com Certificados Digitais de Assinatura e Sigilo.
Como AC Raiz, compete ao ITI, emitir, expedir, distribuir, revogar e gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria das Autoridades Certificadoras AC e Autoridades de Registro AR e dos prestadores de servios habilitados na ICP-Brasil, em conformidade com as diretrizes e normas tcnicas estabelecidas pelo CG-ICP Brasil, e exercer outras atribuies que lhe forem cometidas pela autoridade gestora de polticas. vedado AC-Raiz emitir certificados para usurio.
26
Principais controles de segurana procedimental: Perfis qualificados com separao de tarefas para funes crticas para evitar uso de m f (configuraes/segurana/admin istrao etc.). Nmero de pessoas necessrio por tarefa com no mnimo 2 empregados para tarefas crticas. Identificao e autenticao de cada perfil com listas de acesso a instalaes e sistemas e uso de certificados (no compartilhados) para executar atividades associadas ao perfil. Principais controles de segurana de pessoal: Qualificao, experincia e idoneidade. Procedimentos de verificao de antecedentes. Requisitos de treinamento (atividades/segurana). Freqncia e requisitos para reciclagem tcnica. Sanes para aes no autorizadas. Requisitos para contratao de pessoal. Documentao sobre polticas, prticas e normas disponvel a todo pessoal.
27
Os Critrios e procedimentos para manuteno do credenciamento com auditoria peridica e questes relativas ao eventual descredenciamento.
28
29
Conhecida tambm como TSA (Time Stamping Authority), uma entidade que deve estar oficialmente credenciada para prestar servios de tempestividade. Entre os servios, destaca-se o carimbo de tempo (time stamp) utilizado para gerao de protocolos digitais. No Brasil, deve utilizar a data/hora gerada e fornecida pelo Observatrio Nacional ao qual deve estar sincronizada.
30
Decreto N 4.264 de 10/06/2002: define o Observatrio Nacional como entidade competente para gerar e distribuir a hora oficial do Brasil. Resoluo N 15 do Comit Gestor: grupo de trabalho para estudar e propor sincronismo de tempo na ICP-Brasil. Projeto de Lei N 7.316 de 07/11/2002: obrigatoriedade da datao eletrnica na Assinatura e Certificao Digital.
OU; 3. Contratar sob demanda, prestador de servios de Tempestividade Digital estabelecido no mercado e que esteja dentro das exigncias legais.
31
Motivao: Comrcio eletrnico globalizado Objetivo: Compatibilidade internacional Conceito: Equivalncia funcional papel versus eletrnico Princpios: Tcnicos, jurdicos e polticos Proposta: Modelos de legislao para o mundo 16/12/1996: Lei modelo para comrcio eletrnico* 05/07/2001: Lei modelo para assinatura eletrnica
32
*A Lei Modelo para comrcio eletrnico segue um novo critrio, denominado "critrio da equivalncia funcional", o qual se baseia em uma anlise dos objetivos e funes do requisito tradicional da apresentao de um escrito consignado sobre papel com vistas a determinar a maneira de satisfazer seus objetivos e funes tambm para um escrito eletrnico: Artigo 6 - Escrito (Texto da Lei) 1) Quando a Lei requeira que certa informao conste por escrito, este requisito considerar-se preenchido por uma mensagem eletrnica se a informao nela contida seja acessvel para consulta posterior. 2) Aplica-se o pargrafo 1) tanto se o requisito nele mencionado esteja expresso na forma de uma obrigao, quanto se Lei preveja simplesmente conseqncias para quando a informao no conste por escrito. 3) As disposies deste artigo no se aplicam ao que segue: [...] Artigo 6 - Escrito (Comentrios) 47. O artigo 6 tem por finalidade definir os requisitos bsicos que toda mensagem de dados dever preencher para que se possa considerar que satisfaz uma exigncia legal, regulamentar ou jurisprudencial de que a informao conste, ou seja, apresentada por escrito. Convm assinalar que o artigo 6 forma parte de uma srie de trs artigos (artigos 6, 7 e 8) que compartem a mesma estrutura e que devem ser lidos conjuntamente. 48. Durante a preparao da Lei Modelo prestou-se particular ateno s funes tradicionalmente desempenhadas por diversos tipos de "escritos" consignados em papel. Por exemplo, na seguinte lista no exaustiva se indicam as razes pelas quais o direito interno costuma requerer a apresentao de um "escrito": 1) deixar uma prova tangvel da existncia e da natureza da inteno das partes de comprometer-se; 2) alertar as partes face gravidade das conseqncias de concluir um contrato; 3) proporcionar um documento que seja legvel para todos; 4) proporcionar um documento inaltervel que permita deixar constncia permanente da transao; 5) facilitar a reproduo de um documento de maneira a que cada uma das partes possa dispor de um exemplar de um mesmo texto; 6) permitir a autenticao, mediante a firma do documento, dos dados nele consignados; 7) proporcionar um documento apresentvel perante autoridades pblicas e tribunais; 8) dar expresso definitiva inteno do autor do "escrito" e deixar constncia de dita inteno; 9) proporcionar um suporte material que facilite a conservao dos dados em forma visvel; 10) facilitar as tarefas de controle ou de verificao posterior para fins contbeis, fiscais ou regulamentares; e 11) determinar o nascimento de todo direito ou de toda obrigao jurdica cuja validade dependa de um escrito. 49. Todavia, ao preparar a Lei Modelo pensou-se que seria inadequado adotar uma noo demasiado genrica das funes de um escrito. Quando se requer a apresentao de certos dados por escrito, combina-se vezes essa noo de "escrito" com as noes complementares, mas distintas, de "assinatura" (ou "firma") ou "original". Por isso, ao adotar um critrio funcional, deve-se prestar ateno ao fato de que o requisito de um "escrito" deve ser considerado como o nvel inferior na hierarquia dos requisitos de forma, que proporcionam aos documentos de papel diversos graus de confiabilidade, rastreabilidade e inalterabilidade. O requisito de que os dados se apresentem por
33
escrito (o que constitui um "requisito de forma mnimo") no deve ser confundido com requisitos mais estritos como o de "escrito assinado", "original firmado" ou "ato jurdico autenticado". Por exemplo, em alguns ordenamento jurdicos um documento escrito que no leve nem data nem firma, e cujo autor no se identifique no escrito ou se identifique mediante um simples cabealho, seria considerado como "escrito" apesar do seu escasso valor probatrio, em ausncia de outra prova (p.ex., testemunhal) no tocante autoria do documento. Ademais, no se deve considerar que a noo de inalterabilidade seja um requisito absoluto inerente noo de escrito, j que um documento escrito a lpis poderia ser considerado um "escrito" a teor de algumas definies legais. Levando-se em conta como se resolvem questes relativas integridade dos dados e proteo contra fraude na documentao consignada em papel, cabe dizer que um documento fraudulento seria no obstante considerado como um "escrito". Em geral, convm que noes tais como "fora probante" ou "inteno (das partes) de obrigar-se" sejam tratadas conjuntamente com questes mais gerais tais como fiabilidade e autenticao de dados, pelo que no se devem incluir na definio de "escrito". 50. A finalidade do artigo 6 no consiste em estabelecer o requisito de que, em todos os casos, as mensagens de dados devem cumprir todas as funes concebveis de um escrito. Em vez de concentrar-se em funes especficas de um "escrito" (por exemplo, sua funo probatria no contexto do direito fiscal ou sua funo de advertncia no contexto do direito civil) o artigo 6 est centrado no conceito bsico de que a informao se reproduz e se l. No artigo 5 esta idia est expressa em termos que se considerou como fixando um critrio objetivo; a saber, que a informao de uma mensagem de dados deve ser acessvel para sua consulta posterior. Ao empregar a palavra "acessvel" quer-se sugerir que a informao em forma de dados informatizados deve ser legvel e interpretvel e que se deve conservar todo programa informtico que seja necessrio para torn-la legvel. Na verso original inglesa a palavra "usvel", subentendida na traduo portuguesa na noo de acessibilidade, no se refere unicamente ao acesso humano, mas tambm a seu processamento informtico. Deu-se preferncia noo de "consulta posterior, ao invs de outras noes como "durabilidade" ou "inalterabilidade" (que poderiam estabelecer um critrio demasiado estrito) ou "legibilidade" ou "inteligibilidade" (que poderiam constituir critrios demasiado subje tivos). 51. O princpio em que se baseiam o pargrafo 3) dos artigos 6 e 7 e o pargrafo 4) do artigo 8 o de que todo Estado poder excluir do mbito de aplicao destes artigos certas situaes especificadas na legislao pela qual se incorpore a Lei Modelo ao direito interno. Um Estado talvez deseje excluir expressamente certos tipos de situaes, em funo do propsito do requisito formal de que se trate. Uma destas situaes poderia ser a obrigao de notificar por escrito certos riscos de jure ou de fato, por exemplo, as precaues que se ho de observar com certos tipos de produtos. Tambm caberia excluir especificamente outras situaes, por exemplo, no contexto das formalidades exigidas em virtude das obrigaes contradas por um Estado (por exemplo, a exigncia de que um cheque se apresente por escrito, de conformidade com a Conveno que estabelece uma lei uniforme sobre cheques, Genebra, 1931) e outros tipos de situaes e normas de seu direito interno que um Estado no possa modificar por lei. 52. Incluiu-se o pargrafo 3) com o propsito de dar maior aceitabilidade Lei Modelo. Nele se reconhece que a especificao de excluses deve deixar-se em mos de cada Estado, a fim de melhor respeitar as diferentes circunstncias nacionais. No obstante, cabe assinalar que o recurso ao pargrafo 3 para fazer excluses gerais
34
poderia minar os objetivos da Lei Modelo. Deve-se evitar, portanto, o perigo de abusar do pargrafo 3) nesse sentido. Caso se multiplicassem as excluses do mbito de aplicao dos artigos 6 a 8, criar-se-iam obstculos desnecessrios ao desenvolvimento das tcnicas modernas de comunicao, j que a Lei Modelo enuncia princpios e critrios de ndole bsica que deveriam ser geralmente aplicveis. Artigo 7 - Assinatura (Texto da Lei) 1) Quando a Lei requeira a assinatura de uma pessoa, este requisito considerar-se- preenchido por uma mensagem eletrnica quando: a) For utilizado algum mtodo para identificar a pessoa e indicar sua aprovao para a informao contida na mensagem eletrnica; e b) Tal mtodo seja to confivel quanto seja apropriado para os propsitos para os quais a mensagem foi gerada ou comunicada, levando-se em considerao todas as circunstncias do caso, incluindo qualquer acordo das partes a respeito. 2) Aplica-se o pargrafo 1) tanto se o requisito nele mencionado esteja expresso na forma de uma obrigao, quanto se a Lei simplesmente preveja conseqncias para a ausncia de assinatura. 3) As disposies deste artigo no se aplicam ao que segue: [...] Artigo 7 - Assinatura (Comentrios) 53. O artigo 7 baseia-se no reconhecimento das funes que se atribuem a uma assinatura nas comunicaes consignadas sobre papel. Na preparao da Lei Modelo tomaram-se em considerao as seguintes funes da assinatura ou firma: identificar uma pessoa; dar certeza participao pessoal dessa pessoa no ato de firmar; e associar essa pessoa com o contedo de um documento. Observou-se que uma assinatura ou firma podia desempenhar ademais diversas outras funes, segundo a natureza do documento firmado. Por exemplo, poderia demonstrar a inteno de uma parte de obrigar-se pelo contedo do contrato firmado; a inteno de uma pessoa de reivindicar a autoria de um texto; a inteno de uma pessoa de associar-se com o contedo de um documento escrito por outra; e o fato de que essa pessoa havia estado em um lugar determinado, em um certo momento. 54. Cabe observar que, junto com a firma manuscrita tradicional, existem vrios tipos de procedimentos (por exemplo, por carimbos ou perfuraes), s vezes denominados tambm "assinaturas", que proporcionam distintos graus de certeza. Por exemplo, em alguns pases existe o requisito geral de que os contratos de compra-e-venda de mercadorias que excedam certa quantia estejam "firmados" para serem exigveis. Sem embargo, o conceito da firma adotado nesse contexto tal que um carimbo, um perfurado ou mesmo uma firma mecanografada ou um cabealho impresso podem considerar-se suficiente para satisfazer o requisito da firma. No outro extremo do espectro, existem requisitos que combinam a firma manuscrita tradicional com procedimentos de segurana adicionais como a confirmao da firma por testemunhas. 55. Seria recomendvel desenvolver equivalentes funcionais para os distintos tipos e nveis de assinaturas exigidas. Esse enfoque aumentaria o nvel de certeza quanto ao grau de reconhecimento legal que se poderia esperar do uso dos diversos tipos de autenticao utilizados na prtica do comrcio eletrnico como substitutos da "assinatura". Todavia, a noo de assinatura ou firma est intimamente vinculada com
35
o emprego do papel. Ademais, qualquer esforo por elaborar regras sobre as normas e procedimentos que se deveriam utilizar como substitutos em casos especficos de "assinaturas" poderia criar o risco de fixar o regime da Lei Modelo em uma determinada etapa do desenvolvimento tcnico. 56. Para evitar que se negue validade jurdica a uma mensagem sujeita a autenticao pelo simples fato de que no est autenticada na forma tpica dos documentos consignados sobre papel, o artigo 7 oferece uma frmula abrangente. O artigo define as condies gerais que, uma vez cumpridas, autenticariam uma mensagem de dados com suficiente credibilidade de forma a satisfazer os requisitos de firma que atualmente obstaculizam o comrcio eletrnico. O artigo 7 concentra-se nas duas funes bsicas da firma: a identificao do autor e a confirmao de que o autor aprova o contedo do documento. No inciso a) do pargrafo 1) enuncia-se o princpio de que, nas comunicaes eletrnicas, essas duas funes jurdicas bsicas da firma consideram-se cumpridas ao utilizar-se um mtodo que identifique o remetente de uma mensagem de dados e confirme que o remetente aprova a informao nela consignada. 57. A alnea b) do pargrafo 1) estabelece um critrio flexvel a respeito do grau de segurana que se deve alcanar com a utilizao do mtodo de identificao mencionado no inciso a). O mtodo selecionado conforme alnea a) do pargrafo 1) dever ser to confivel quanto seja apropriado para os fins para os quais se consignou ou comunicou a mensagem de dados, luz das circunstancias do caso, assim como do acordo entre o remetente e o destinatrio da mensagem. 58. A fim de determinar se o mtodo utilizado com base no pargrafo 1) apropriado, podem-se ter em conta, entre outros, os seguintes fatores jurdicos, tcnicos e comerciais: 1) a perfeio tcnica do equipamento utilizado por cada uma das partes; 2) a natureza de sua atividade comercial; 3) a freqncia das suas relaes comerciais; 4) o tipo e a magnitude da operao; 5) a funo dos requisitos de firma com base na norma legal ou regulamentar aplicvel; 6) a capacidade dos sistemas de comunicao; 7) a observncia dos procedimentos de autenticao estabelecidos por intermedirios; 8) a gama de procedimentos de autenticao que oferecem os intermedirios; 9) a observncia dos usos e prticas comerciais; 10) a existncia de mecanismos de seguro contra o risco de mensagens no autorizados; 11) a importncia e o valor da informao contida na mensagem de dados; 12) a disponibilidade de outros mtodos de identificao e o custo de sua aplicao; 13) o grau de aceitao ou no aceitao do mtodo de identificao na indstria ou esfera pertinente, tanto no momento em que se pactuou o mtodo como quando se comunicou a mensagem de dados; e 14) qualquer outro fator pertinente. 59. A alnea b) do pargrafo 1) no introduz nenhuma distino entre a situao em que os usurios do comrcio eletrnico esto vinculados por um acordo de comunicaes e a situao em que as partes no tenham nenhuma relao contratual prvia relativa ao emprego do comrcio eletrnico. Assim, pois, pode-se considerar que o artigo 7 estabelece uma norma mnima de autenticao para as mensagens de dados intercambiados em ausncia de uma relao contratual prvia. Ao mesmo tempo, o artigo 7 fornece uma orientao sobre o que eventualmente poderia suprir a firma quando as partes recorram a comunicaes eletrnicas no contexto de um convnio de comunicaes. Por conseguinte, a Lei Modelo tem a finalidade de proporcionar uma orientao til quando o direito interno deixe totalmente ao arbtrio das partes a questo da autenticao das mensagens de dados e em um contexto em que os requisitos de firma, normalmente fixados por disposies imperativas de direito interno, no possam ser alterados mediante acordo entre as partes.
36
60. A noo de "qualquer acordo das partes a respeito" deve ser interpretada como englobando no apenas os acordos bilaterais ou multilaterais pactuados entre partes que intercambiem mensagens de dados diretamente (por exemplo, "acordos entre parceiros comerciais"), mas tambm os acordos de comunicaes (por exemplo, "contratos de servios com terceiros") de que participem intermedirios, tais como os acordos com redes de comunicao. Pode ser que os acordos entre os usurios do comrcio eletrnico e as redes de comunicao remetam s regras da prpria rede, quer dizer, aos regulamentos e procedimentos administrativos e tcnicos aplicveis comunicao de mensagens de dados atravs da rede. Todavia, um acordo eventual entre remetentes e destinatrios de mensagens de dados no tocante utilizao de um mtodo de autenticao no constitui por si s prova fidedigna de que esse mtodo seja confivel. 61. Cabe assinalar que, com base na Lei Modelo, a simples assinatura aposta a uma mensagem de dados mediante o equivalente funcional de uma firma manuscrita no basta por si s para dar validade jurdica mensagem. A questo da validade jurdica de uma mensagem de dados que cumpre o requisito de uma firma dever dirimir-se com base na normativa aplicvel margem da Lei Modelo.
Artigo 8 - Original (Texto da Lei) 1) Quando a Lei requeira que certa informao seja apresentada ou conservada na sua forma original, este requisito se considerar preenchido por uma mensagem eletrnica quando: c) Existir garantia fidedigna de que se preservou a integridade da informao desde o momento da sua gerao em sua forma final, como uma mensagem eletrnica ou de outra forma; e d) Esta informao for acessvel pessoa qual ela deva ser apresentada, caso se requeira a sua apresentao. 2) Aplica-se o pargrafo 1) tanto se o requisito nele mencionado esteja expresso na forma de uma obrigao quanto se a Lei simplesmente preveja conseqncias para o caso de que a informao no seja apresentada ou conservada em sua forma original. 3) Para os propsitos da alnea (a) do pargrafo 1): e) Presume-se ntegra a informao que houver permanecido completa e inalterada, salvo a adio de qualquer endosso das partes ou outra mudana que ocorra no curso normal da comunicao, armazenamento e exposio; f) O grau de confiabilidade requerido ser determinado luz dos fins para os quais a informao foi gerada assim como de todas as circunstncias do caso. 4) As disposies deste artigo no se aplicam ao que segue: [...] Artigo 8 - Original (Comentrios) 62. Se por "original" se entende o suporte em que pela primeira vez se consigna a informao, seria impossvel falar de mensagens de dados "originais", pois o destinatrio de uma mensagem de dados receberia sempre uma cpia da mesma. No obstante, o artigo 8 deve ser entendido em outro contexto. A noo de "original" no artigo 8 til, pois na prtica muitas controvrsias se referem questo da originalidade dos documentos e no comrcio eletrnico o requisito da apresentao de originais um dos principais obstculos que a Lei Modelo trata de suprimir. Ainda que em algumas jurisdies pode-se supor que os conceitos de "escrito", "original" e
37
"assinatura" se superponham, a Lei Modelo trata-os como conceitos separados e distintos. O artigo 8 tambm til para esclarecer os conceitos de "escrito" e "original", dada a sua importncia para fins probatrios. 63. O artigo 8 pertinente para os documentos de titularidade e os ttulos negociveis, para os quais a especificidade de um original seja particularmente importante. Sem embargo, convm ter presente que a finalidade da Lei Modelo no se limita apenas sua aplicao aos ttulos de propriedade e ttulos negociveis nem a setores do direito nos quais haja requisitos especiais com relao inscrio ou legalizao de "escritos", como as questes familiares ou a venda de bens imveis. Como exemplos de documentos que talvez requeiram um "original", cabe mencionar documentos comerciais tais como certificados de peso, certificados agrcolas, certificados de qualidade ou quantidade, relatrios de inspeo, certificados de seguro ou outros. Estes documentos no so negociveis e no se utilizam para transferir direitos, mas essencial que sejam transmitidos sem alteraes, em sua forma "original", para que as demais partes no comrcio internacional possam ter confiana em seu contedo. Quando se trata de documentos escritos, os documentos dessa ndole geralmente se aceitam apenas quando constituam um "original", a fim de reduzir as possibilidades de alteraes, o que seria difcil de detectar em cpias. Existem diversos procedimentos tcnicos para certificar o contedo de uma mensagem de dados a fim de confirmar o seu carter de "original". Sem este equivalente funcional do carter de original, criarse-iam obstculos compra-e-venda de mercadorias mediante a transmisso eletrnica de dados, caso se exigisse dos autores dos documentos correspondentes que retransmitissem mensagens de dados cada vez que se vendessem mercadorias, ou caso as partes fossem obrigadas a utilizar documentos escritos para complementar a operao efetuada por comrcio eletrnico. 64. Deve-se considerar que o artigo 8 enuncia o requisito de forma mnimo para que uma mensagem seja aceitvel como o equivalente funcional de um original. As disposies do artigo 8 devem ser consideradas como imperativas, na mesma medida em que se considerem imperativas as disposies relativas utilizao de documentos originais consignados sobre papel. A indicao de que se ho de considerar os requisitos de forma enunciados no artigo 8 como o "mnimo aceitvel" no deve, contudo, ser entendida como um convite a que os Estados estabeleam requisitos de forma mais severos que os enunciados na Lei Modelo. 65. O artigo 8 sublinha a importncia da integridade da informao para a sua originalidade e fixa critrios que se devero levar em conta ao avaliar a integridade: a consignao sistemtica da informao, garantias de que a informao foi consignada sem lacunas e proteo dos dados contra toda modificao. O artigo vincula o conceito de originalidade a um mtodo de autenticao e se concentra no mtodo de autenticao que se deve utilizar para cumprir o requisito. O artigo baseia-se nos seguintes elementos: um critrio simples como o da "integridade" dos dados; uma descrio dos elementos que se devem levar em conta ao avaliar essa integridade; e um elemento de flexibilidade, como, por exemplo, uma referncia s circunstncias. 66. Com relao s palavras "o momento da sua gerao em sua forma final", empregadas no pargrafo 1) a), cabe assinalar que a disposio obedece ao propsito de ter em conta a situao em que a informao haja sido composta primeiro como documento escrito para ser logo transferida a um terminal informtico. Nessa situao, deve-se interpretar o pargrafo 1) a) no sentido de exigir segurana de que a informao haja permanecido completa e inalterada a partir do momento em que se comps pela primeira vez como documento escrito, e no somente a partir do momento em que se traduziu em formato eletrnico. Sem embargo, quando se criem e
38
armazenem diversos rascunhos antes de se compor a mensagem definitiva, no se deveria interpretar o pargrafo 1) a) como se exigisse segurana quanto integridade dos rascunhos. 67. No pargrafo 3) a) enunciam-se os critrios para avaliar a integridade, tendo-se o cuidado de excetuar as adies necessrias primeira mensagem de dados ("original"), tais como endosso, certificados, autenticaes, etc. Desde que o contedo de uma mensagem de dados seja completo e esteja inalterado, as adies que seja necessrio introduzir no afetaro a sua qualidade de "original". Assim, quando se acrescente um certificado eletrnico ao final de uma mensagem de dados "original" para certificar que seja a "original", ou quando a rede informtica utilizada acrescente automaticamente certos dados de transmisso ao princpio e ao final de cada mensagem de dados transmitida, essas adies se considerariam escritos complementares a um escrito "original" ou seriam assimiladas ao envelope e aos selos utilizados para enviar esse escrito "original". 68. Assim como em outros artigos do captulo II, deve-se entender o termo "a Lei", que figura na frase inicial do artigo 8, como referindo-se no s a disposies legislativas ou regulamentares, mas tambm a normas jurisprudenciais e processuais. Em alguns pases de common law, o termo "a Lei" seria normalmente interpretado como referindo-se a disposies de common law, e no a requisitos de origem propriamente legislativa, pelo que se deve ter presente que, no marco da Lei Modelo, o termo "a Lei" abrange ambas fontes de direito. Contudo, a Lei Modelo no utiliza este termo para referir-se a ramos do direito que no formem parte do direito interno e que se designam a vezes com certa impreciso por termos como "lex mercatoria" ou "direito do comrcio". 69. O pargrafo 4), assim como as disposies anlogas dos artigos 6 e 7, foi includo para facilitar a aceitao da Lei Modelo. Nele se reconhece que a questo de especificar excluses deveria ser deixada discrio de cada Estado, critrio que permitiria tomar devidamente em conta as diferentes circunstncias nacionais. No obstante, cabe advertir que os objetivos da Lei Modelo no se cumpririam se o pargrafo 4 fosse utilizado para estabelecer excees gerais. Caso se limitasse o mbito de aplicao dos artigos 6 a 8 por meio de diversas excluses, se obstaculizaria desnecessariamente o desenvolvimento das tcnicas de comunicao modernas, uma vez que a Lei Modelo oferece uma srie de princpios e critrios bsicos destinados a ser de aplicao geral.
39
40
I - adotar as medidas necessrias e coordenar a implantao e o funcionamento da ICPBrasil; II - estabelecer a poltica, os critrios e as normas tcnicas para o credenciamento das AC, das AR e dos demais prestadores de servio de suporte ICP-Brasil, em todos os nveis da cadeia de certificao; III - estabelecer a poltica de certificao e as regras operacionais da AC Raiz; IV - homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de servio; V - estabelecer diretrizes e normas tcnicas para a formulao de polticas de certificados e regras operacionais das AC e das AR e definir nveis da cadeia de certificao; VI - aprovar polticas de certificados, prticas de certificao e regras operacionais, credenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado ; VII - identificar e avaliar as polticas de ICP externas, negociar e aprovar acordos de certificao bilateral, de certificao cruzada, regras de interoperabilidade e outras formas de cooperao internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; e VIII - atualizar, ajustar e revisar os procedimentos e as prticas estabelecidas para a ICPBrasil, garantir sua compatibilidade e promover a atualizao tecnolgica do sistema e a sua conformidade com as polticas de segurana. Pargrafo nico. O Comit Gestor poder delegar atribuies AC Raiz. Art. 5o AC Raiz, primeira autoridade da cadeia de certificao, executora das Polticas de Certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nvel imediatamente subseqente ao seu, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalizao e auditoria das AC e das AR e dos prestadores de servio habilitados na ICP, em conformidade com as diretrizes e normas tcnicas estabelecidas pelo Comit Gestor da ICP-Brasil, e exercer outras atribuies que lhe forem cometidas pela autoridade gestora de polticas. Pargrafo nico. vedado AC Raiz emitir certificados para o usurio final. Art. 6o s AC, entidades credenciadas a emitir certificados digitais vinculando pares de chaves criptogrficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar disposio dos usurios listas de certificados revogados e outras informaes pertinentes e manter registro de suas operaes. Pargrafo nico. O par de chaves criptogrficas ser gerado sempre pelo prprio titular e sua chave privada de assinatura ser de seu exclusivo controle, uso e conhecimento. Art. 7o s AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usurios na presena destes, encaminhar solicitaes de certificados s AC e manter registros de suas operaes. Art. 8o Observados os critrios a serem estabelecidos pelo Comit Gestor da ICP-Brasil, podero ser credenciados como AC e AR os rgos e as entidades pblicos e as pessoas jurdicas de direito privado. Art. 9o vedado a qualquer AC certificar nvel diverso do imediatamente subseqente ao seu, exceto nos casos de acordos de certificao lateral ou cruzada, previamente aprovados pelo Comit Gestor da ICP-Brasil. Art. 10. Consideram-se documentos pblicos ou particulares, para todos os fins legais, os documentos eletrnicos de que trata esta Medida Provisria.
COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN
41
1o As declaraes constantes dos documentos em forma eletrnica produzidos com a utilizao de processo de certificao disponibilizado pela ICP-Brasil presumem-se verdadeiros em relao aos signatrios, na forma do art. 131 da Lei n 3.071, de 1 de janeiro de 1916 Cdigo Civil. 2o O disposto nesta Medida Provisria no obsta a utilizao de outro meio de comprovao da autoria e integridade de documentos em forma eletrnica, inclusive os que utilizem certificados no emitidos pela ICP-Brasil, desde que admitido pelas partes como vlido ou aceito pela pessoa a quem for oposto o documento. Art. 11. A utilizao de documento eletrnico para fins tributrios atender, ainda, ao disposto no art. 100 da Lei n 5.172, de 25 de outubro de 1966 Cdigo Tributrio Nacional. Art. 12. Fica transformado em autarquia federal, vinculada ao Ministrio da Cincia e Tecnologia, o Instituto Nacional de Tecnologia da Informao - ITI, com sede e foro no Distrito Federal. Art. 13. O ITI a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Pblicas Brasileira. Art. 14. No exerccio de suas atribuies, o ITI desempenhar atividade de fiscalizao, podendo ainda aplicar sanes e penalidades, na forma da lei. Art. 15. Integraro a estrutura bsica do ITI uma Presidncia, uma Diretoria de Tecnologia da Informao, uma Diretoria de Infra-Estrutura de Chaves Pblicas e uma Procuradoria-Geral. Pargrafo nico. A Diretoria de Tecnologia da Informao poder ser estabelecida na cidade de Campinas, no Estado de So Paulo. Art. 16. Para a consecuo dos seus objetivos, o ITI poder, na forma da lei, contratar servios de terceiros. 1o O Diretor-Presidente do ITI poder requisitar, para ter exerccio exclusivo na Diretoria de Infra-Estrutura de Chaves Pblicas, por perodo no superior a um ano, servidores, civis ou militares, e empregados de rgos e entidades integrantes da Administrao Pblica Federal direta ou indireta, quaisquer que sejam as funes a serem exercidas. 2o Aos requisitados nos termos deste artigo sero assegurados todos os direitos e vantagens a que faam jus no rgo ou na entidade de origem, considerando-se o perodo de requisio para todos os efeitos da vida funcional, como efetivo exerccio no cargo, posto, graduao ou emprego que ocupe no rgo ou na entidade de origem. Art. 17. Fica o Poder Executivo autorizado a transferir para o ITI: I - os acervos tcnico e patrimonial, as obrigaes e os direitos do Instituto Nacional de Tecnologia da Informao do Ministrio da Cincia e Tecnologia; II - remanejar, transpor, transferir, ou utilizar, as dotaes oramentrias aprovadas na Lei Oramentria de 2001, consignadas ao Ministrio da Cincia e Tecnologia, referentes s atribuies do rgo ora transformado, mantida a mesma classificao oramentria, expressa por categoria de programao em seu menor nvel, observado o disposto no 2 do art. 3 da Lei n 9.995, de 25 de julho de 2000, assim como o respectivo detalhamento por esfera oramentria, grupos de despesa, fontes de recursos, modalidades de aplicao e identificadores de uso. Art. 18. Enquanto no for implantada a sua Procuradoria Geral, o ITI ser representado em juzo pela Advocacia Geral da Unio.
42
Art. 19. Ficam convalidados os atos praticados com base na Medida Provisria n 2.2001, de 27 de julho de 2001. Art. 20. Esta Medida Provisria entra em vigor na data de sua publicao. Braslia, 24 de agosto de 2001; 180o da Independncia e 113o da Repblica. FERNANDO HENRIQUE CARDOSO Jos Gregori Martus Tavares Ronaldo Mota Sardenberg Pedro Parente Este texto no substitui o publicado no D.O.U. de 27.8.2001 Alerta: Uma AC pode anunciar estar dentro dos padres da ICP-Brasil, mas pode no estar credenciada pela ICP-Brasil. Assim est fora da ICP-Brasil e, portanto enquadrada no 2 do artigo 10 da MP 2200-2. Somente ACs credenciadas esto dentro da ICP-Brasil e gozam das prerrogativas do 1 do artigo 10 da MP 2200-2.
43
- que tal economia de escala proveniente, dentre outros fatores, da garantia de interoperabilidade entre os diversos sistemas e equipamentos de certificao digital disponveis; - que a interoperabilidade desejada decorrente da adoo de padres e especificaes tcnicas mnimas comuns a todos os sistemas e equipamentos de certificao digital disponveis; e, finalmente, - que a definio desses padres e especificaes tcnicas mnimas visa, sobretudo, ao adequado funcionamento do sistema ICP-Brasil, atualizao de suas tecnologias, procedimentos e prticas, garantia de sua compatibilidade e promoo de sua conformidade com as polticas de segurana aprovadas por aquele Comit; R E S O L V E: Art. 1 Aprovar o REGULAMENTO PARA HOMOLOGAO DE SISTEMAS E EQUIPAMENTOS DE CERTIFICAO DIGITAL NO MBITO DA ICP-BRASIL em anexo. Art. 2 Esta Resoluo entra em vigor na data de sua publicao. ENYLSON FLAVIO MARTINEZ CAMOLESI REGULAMENTO PARA HOMOLOGAO DE SISTEMAS E EQUIPAMENTOS DE CERTIFICAO DIGITAL NO MBITO DA ICP-BRASIL 1 - INTRODUO 1.1 - Viso Geral Este Regulamento tem por finalidade estabelecer as regras e os procedimentos gerais que devero ser observados nos processos de homologao dos sistemas e equipamentos de que trata. A homologao ora regulamentada tem por objetivo asseverar a plena aderncia dos sistemas e equipamentos avaliados aos padres e especificaes tcnicas mnimos estabelecidos nas normas editadas ou adotadas pela ICP-Brasil, tendo como enfoque especfico a garantia da interoperabilidade desses sistemas e equipamentos e a confiabilidade dos recursos de segurana da informao por eles utilizados. Destaque-se que esta homologao, no entanto, no alcanar a avaliao e a garantia dos sistemas e equipamentos quanto ao seu desempenho, qualidade tcnica ou funcionamento adequado de acordo com suas especificaes ou caracterizaes funcionais, ou, ainda, quanto a quaisquer outras caractersticas suas, seno de acordo com o expressamente previsto nas normas aplicveis da ICP-Brasil. 1.2 - Princpios O presente Regulamento regido pelos seguintes princpios: 1.2.1 - facilitar a insero do Brasil em acordos internacionais de reconhecimento mtuo em matria de Certificao Digital; 1.2.2 - observar, quando couber, quanto s matrias pertinentes, as premissas, as polticas e as especificaes tcnicas que regulamentam a utilizao da Tecnologia de Informao e Comunicao no Governo Federal, definidas pela arquitetura e-PING Padres de Interoperabilidade de Governo Eletrnico;
COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN
44
1.2.3 - promover a isonomia no tratamento dispensado s partes interessadas na homologao de sistemas e equipamentos de certificao digital; e 1.2.4 - dar o devido tratamento sigiloso s informaes tcnicas disponibilizadas pelas partes interessadas por fora deste Regulamento. 1.3 - Definies Para os efeitos deste Regulamento aplicam-se as seguintes definies: 1.3.1 - Homologao: processo que consiste no conjunto de atos, realizados de acordo com este Regulamento e com as demais normas editadas ou adotadas pela ICP-Brasil, que, se plenamente atendido, resultar na expedio de ato pelo qual, na forma e nas hipteses previstas, a entidade responsvel pela conduo do referido processo reconhecer o laudo de conformidade emitido para um dado sistema ou equipamento de certificao digital avaliado, outorgando parte interessada autorizao de uso do Selo de Homologao e do correspondente nmero de identificao do sistema ou equipamento homologado, conforme definido no item 4. deste Regulamento; 1.3.2 - Avaliao de Conformidade: conjunto de ensaios desenvolvido por Laboratrio de Ensaios e Auditoria, formalmente vinculado entidade responsvel pela conduo dos processos de homologao, com o objetivo de verificar se os padres e especificaes tcnicas mnimos aplicveis a um determinado sistema ou equipamento de certificao digital esto atendidos; 1.3.3 - Laudo de Conformidade: documento emitido pelo Laboratrio de Ensaios e Auditoria ao final da avaliao de conformidade, na forma prevista neste Regulamento, que atestar se um dado sistema ou equipamento, devidamente identificado, est ou no em conformidade com as normas editadas ou adotadas pela ICP-Brasil; 1.3.4 - Ensaio: procedimento tcnico realizado em conformidade com as normas aplicveis, que objetiva analisar um ou mais requisitos tcnicos de um dado sistema ou equipamento; 1.3.5 - Terceira Parte: pessoa ou instituio que age com total independncia de fabricantes, desenvolvedores, representantes comerciais, prestadores de servios de certificao digital e de potenciais compradores de sistemas e equipamentos de certificao digital; 1.3.6 - Sistemas de Certificao Digital: todo e qualquer programa de computador, ainda que embarcado, que compe meio necessrio ou suficiente realizao de Certificao Digital; e 1.3.7 - Equipamentos de Certificao Digital: todo e qualquer aparelho, dispositivo ou elemento fsico que compe meio necessrio ou suficiente realizao de Certificao Digital. 2 - DISPOSIES GERAIS 2.1 - Obrigatoriedade Os rgos e entidades integrantes da ICP-Brasil somente podero utilizar e fornecer sistemas e equipamentos de certificaodigital homologados nos termos deste Regulamento. Transitoriamente, com o escopo de permitir a disseminao de conhecimentos sobre o processo de homologao, a formao de uma cultura acerca de seus benefcios e a adaptao gradativa dos rgos e entidades integrantes da ICP-Brasil, sero facultativos a utilizao e o fornecimento de sistemas e equipamentos homologados. O ITI, por meio de Instruo Normativa, aprovar cronograma com a determinao dos termos iniciais de obrigatoriedade da utilizao e do fornecimento de sistemas e equipamentos homologados. 2.2 - Aplicabilidade
COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN
45
So passveis de homologao para efeitos do que prev este Regulamento: 2.2.1 - sistemas de assinatura eletrnica, sistemas de autenticao de assinaturas eletrnicas, sistemas de sigilo de dados, sistemas de carimbo de tempo (Time-Stamping) e sistemas de sincronismo de tempo, bem como, sistemas de autoridades certificadoras, sistemas de autoridades de registro, ou quaisquer outros que faam uso daqueles sistemas na forma de subrotinas ou sub-funes; 2.2.2 - Cartes Inteligentes (Smart Cards), leitoras de cartes inteligentes, Tokens criptogrficos, ou quaisquer outras mdias armazenadoras de certificados digitais e suas correspondentes leitoras utilizadas em certificao digital; e 2.2.3 - Mdulos de Segurana Criptogrfica MSC (Hardware Security Modules - HSM), equipamentos de sincronismo de tempo, equipamentos de carimbo de tempo, ou quaisquer outros dispositivos seguros de criao ou verificao de assinaturas eletrnicas utilizados em certificao digital. 2.3 - Partes do Processo de Homologao 2.3.1 - Instituto Nacional de Tecnologia da Informao ITI O ITI, AC Raiz da ICP-Brasil, a entidade responsvel pela conduo dos processos de homologao de sistemas e equipamentos de certificao digital no mbito da ICPBrasil, observado o disposto neste Regulamento e demais normas editadas ou adotadas pela ICPBrasil. O ITI, para o desempenho de sua atribuio na conduo dos processos de homologao de sistemas e equipamentos de certificao digital, poder celebrar convnios, acordos, ajustes, contratos ou outros instrumentos congneres com o fito de manter instituies vinculadas para atuarem como seus Laboratrios de Ensaios e Auditoria. 2.3.2 - Laboratrios de Ensaios e Auditoria LEA Os Laboratrios de Ensaios e Auditoria so entidades, formalmente vinculadas ao ITI, aptas a realizar os ensaios exigidos nas avaliaes de conformidade e a emitir os correspondentes laudos de conformidade, na forma prevista neste Regulamento, que embasaro a tomada de deciso por parte do ITI quanto homologao ou no de um dado sistema ou equipamento avaliado. 2.3.2.1 - Critrios para a escolha dos LEA Os LEA devero ser entidades com capacidade tcnica necessria boa conduo das avaliaes de conformidade de sistemas e equipamentos de certificao digital, devendo atender aos seguintes requisitos: 2.3.2.1.1 - Qualificao jurdica: alm dos requisitos legalmente necessrios para a contratao com a Administrao Pblica, os LEA devem demonstrar ser instituies brasileiras, sem fins lucrativos, estabelecidas h pelo menos 3 (trs) anos, incumbidas regimental ou estatutariamente de pesquisa em campo especfico ou afim segurana da informao e com inquestionvel reputao tico-profissional; 2.3.2.1.2 - Qualificao como instituio de pesquisa: os LEA devero comprovar ser instituies de pesquisa credenciadas pelo Comit da rea de Tecnologia da Informao CATI, criado pelo Decreto n 3.800, de 20/04/2001, em conformidade com o disposto nas resolues por ele editadas, que estabeleam os critrios para credenciamento de institutos de pesquisa; 2.3.2.1.3 - Capacidade tcnica: a capacidade tcnica ser comprovada com a demonstrao da existncia de pessoal qualificado, voltado ao objeto da avaliao de conformidade de sistemas e equipamentos de certificao digital, seja nos quadros do organismo, seja fora dele, e, nesta hiptese, dever ser comprovada a vinculao contratual com o pessoal qualificado. O
COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN
46
pessoal apresentado deve comprovar capacitao tcnica para as finalidades da avaliao de conformidade quanto formao profissional, experincia profissional e capacidade tcnica, constantes de currculo Lattes devidamente cadastrado no CNPq, devendo, ainda, comprovar imparcialidade, independncia e objetividade nas decises; e 2.3.2.1.4 - Capacidade de tratamento sigiloso de informaes: os LEA providenciaro para que seus empregados, prepostos e representantes adotem as medidas e procedimentos necessrios proteo de informaes e materiais sigilosos, respondendo por qualquer acesso ou divulgao no autorizados. Os LEA devero, ainda, comprovar ser instituies adequadas e habituadas ao trato sigiloso de informaes que lhe so submetidas por seus contratantes, por meio da apresentao de, no mnimo, 3 (trs) Termos de Sigilo (ou, em ingls, NonDisclosure Agreement NDA) ou instrumentos congneres mantidos com outros contratantes. 2.3.2.2 - Obrigaes dos LEA Os instrumentos jurdicos que vincularo os LEA ao ITI, devero conter termo de responsabilidade e de compromisso, por parte dos LEA, de que estes desempenharo suas funes de acordo com padres de idoneidade que assegurem a independncia e neutralidade de suas avaliaes, bem como, com o devido rigor tcnico e procedimental. Os LEA devero, ainda, comprometer-se a: 2.3.2.2.1 - seguirem os princpios estabelecidos no item 1.2 deste Regulamento; 2.3.2.2.2 - disporem de procedimentos, onde devero estar explcitas, passo a passo, todas as etapas a serem cumpridas nas avaliaes de conformidade, assim como as providncias administrativas relativas; 2.3.2.2.3 - conduzirem as avaliaes de conformidade de acordo com o estabelecido por este Regulamento e demais normas editadas ou adotadas pela ICP-Brasil; 2.3.2.2.4 - elaborarem os laudos de conformidade de acordo com o disposto neste Regulamento; 2.3.2.2.5 - manterem registradas todas as reclamaes relativas s avaliaes de conformidade, incluindo as que forem encaminhadas aps expedida a homologao de um dado sistema ou equipamento. 2.3.2.3 - Auditoria dos LEA O ITI, anualmente, em carter ordinrio, ou a qualquer tempo, em carter extraordinrio, realizar, por si mesmo ou por terceiros por ele contratados, auditoria de conformidade para verificar se todos os processos, procedimentos e atividades dos LEA esto em conformidade com o disposto neste Regulamento, demais normas suplementares aplicveis homologao de sistemas e equipamentos de certificao digital no mbito da ICP-Brasil e demais resolues aprovadas pelo ComitGestor. 2.3.3 - Parte Interessada O titular de um determinado sistema ou equipamento de certificao digital ter legitimidade para pleitear sua homologao junto ao ITI. Quando o titular no tiver sede e administrao no Pas dever constituir e manter procurador devidamente qualificado e aqui domiciliado, com poderes para represent-lo administrativa e judicialmente, inclusive para receber citaes judiciais ou intimaes administrativas em seu nome. 2.4 - Normas Suplementares Aplicveis
47
Compete ao ITI editar normas suplementares a este Regulamento que, em funo das especificidades dos sistemas e equipamentos passveis de homologao previstos no item 2.2 deste Regulamento, estabelecero os requisitos tcnicos e procedimentais a serem observados nos respectivos processos de homologao. Tais normas devero estabelecer de forma especfica e pormenorizada os procedimentos administrativos a serem observados, bem como, os respectivos padres e especificaes tcnicas mnimos para os sistemas e equipamentos de que tratam, podendo, inclusive, estabelecer quais procedimentos tcnicos devero ser observados na realizao dos ensaios durante a avaliao de conformidade. Estas normas suplementares para homologao de sistemas e equipamentos de certificao digital no mbito da ICP-Brasil sero aprovadas e expedidas por meio de instrues normativas da autoridade mxima do ITI. Tal competncia derivada das atribuies regimentais do ITI, em especial, a de executar as normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil. O ITI, na elaborao destas instrues normativas, levar em considerao, quando couber, as especificaes constantes das verses disponveis da arquitetura e-PING. O ITI poder, a qualquer tempo, alterar as instrues normativas por ele editadas, com o fito de adequar e atualizar os padres e especificaes tcnicas mnimos estabelecidos para os sistemas e equipamentos de certificao digital de que tratam, bem como, os prazos, procedimentos burocrticos e ensaios que devero ser observados nos pertinentes processos de homologao. As instrues normativas aqui referidas, bem como suas posteriores alteraes sero divulgadas pelo ITI no Dirio Oficial da Unio eem seu stio na internet. S estaro efetivamente em condio de homologao, aqueles sistemas e equipamentos cuja instruo normativa especfica j tenha sido editada e publicada pelo ITI. 2.5 - Tarifas pela Homologao A homologao de sistemas e equipamentos nos termos deste Regulamento estar sujeita ao pagamento de tarifas pelas partes interessadas. O ITI, por meio de Instruo Normativa, aprovar tabela fixando os valores das tarifas do processo de homologao, cuja vigncia ser transitoriamente diferida, em virtude das razes mencionadas no item 2.1 deste Regulamento. 2.6 - Prazos para Homologao O ITI dispor em instruo normativa quanto aos prazos a serem observados nos processos de homologao de sistemas e equipamentos de certificao digital no mbito da ICP-Brasil, em funo das especificidades de cadacaso. 2.7 - Prioridade de Homologao A ordem natural de execuo dos processos de homologao ser a correspondente ordem cronolgica dos pedidos de homologao protocolados junto ao ITI. Como contingncia, e desde que formalmente comunicado o fato ao ITI pelo LEA, sempre que a capacidade de atendimento deste ltimo for comprometer os prazos determinados pelo ITI, esta poder determinar que sejam priorizados os processos de homologao, segundo os seguintes critrios, e na ordem em que se apresentam: 2.7.1 - relativos a sistemas ou equipamentos nacionais j em uso por entidade integrante da ICP-Brasil; 2.7.2 - relativos a sistemas ou equipamentos estrangeiros, porm de empresas j estabelecidas no Brasil, j em uso por entidade integrante da ICP-Brasil;
COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN
48
2.7.3 - sistemas ou equipamentos estrangeiros j em uso por entidade integrante da ICPBrasil; 2.7.4 - sistemas ou equipamentos nacionais ainda no em uso por nenhuma entidade integrante da ICP-Brasil; 2.7.5 - sistemas ou equipamentos estrangeiros ainda no em uso por nenhuma entidade integrante da ICP-Brasil, porm, de empresas j estabelecidas no Brasil; e 2.7.6 - sistemas ou equipamentos estrangeiros ainda no em uso por nenhuma entidade integrante da ICP-Brasil. 3 - DO PROCESSO DE HOMOLOGAO O processo de homologao dos sistemas e equipamentos de que trata este Regulamento, ser composto das fases descritas a seguir. Durante sua execuo, dever ser observado, alm do disposto neste Regulamento, o que constar nas instrues normativas especficas editadas pelo ITI. 3.1 - Instruo Inicial do Processo A parte interessada em pleitear a homologao de um dado sistema ou equipamento de certificao digital no mbito da ICP-Brasil, dever entregar o respectivo sistema ou equipamento, acompanhado da devida documentao, no local, na quantidade e na forma definidos pela instruo normativa especfica para o sistema ou equipamento objeto da homologao. A documentao mnima a ser exigida nesta fase do processo de homologao ser: 3.1.1 - Termo de Propriedade Intelectual devidamente preenchido e assinado pelo representante legal da parte interessada, de acordo com modelo aprovado por Instruo Normativa do ITI e disponibilizado em seu stio na internet; 3.1.2 - Documentos comprobatrios de que a parte interessada est regularmente estabelecida segundo as leis brasileiras, ou de que possui procurador devidamente qualificado e domiciliado no Pas, conforme disposto no item 2.3.3 deste Regulamento; 3.1.3 - Documentos comprobatrios da representao regular da parte interessada; 3.1.4 - Documentao tcnica referente ao sistema ou equipamento objeto da homologao; 3.1.5 - Termo de Sigilo devidamente preenchido e assinado pelo representante legal da parte interessada, em duas vias, de acordo com modelo aprovado por Instruo Normativa do ITI e disponibilizado em seu stio na internet; e 3.1.6 - Lista descritiva de todos os sistemas e equipamentos que esto sendo entregues para fins de homologao pelo ITI. Aps conferido, identificado e aceito todo o material entregue, o ITI dever expedir um protocolo de recebimento, onde conste o nmero do respectivo processo de homologao e a data prevista para sua deliberao. Juntamente com o protocolo de recebimento, o ITI entregar uma via do Termo de Sigilo, devidamente assinada pela autoridade competente. 3.2 - Avaliao de Conformidade Uma vez aberto e devidamente instrudo o processo de homologao pelo ITI, bem como, recebido, identificado e validado todo o material tcnico correspondente a esse processo pelo LEA, este proceder realizao da Avaliao de Conformidade e emisso do correspondente
COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN
49
Laudo de Conformidade, nas condies e na forma previstas neste Regulamento e na instruo normativa especfica aplicvel. 3.2.1 - Do Laudo de Conformidade O Laudo de Conformidade dever ser emitido em trs vias de igual teor, sendo uma destinada ao ITI, outra parte interessada e a ltima ao prprio LEA. As duas primeiras vias devero ser encaminhadas ao ITI to logo esteja concluda a Avaliao de Conformidade e devidamente assinado o correspondente Laudo de Conformidade, devendo a ltima via ficar arquivada no LEA para eventuais necessidades futuras. Constaro do Laudo de Conformidade, no mnimo, as seguintes informaes: 3.2.1.1. - toda aquela necessria inequvoca identificao e descrio do sistema ou equipamento objeto da homologao e do respectivo nmero do processo; 3.2.1.2 - citar toda a legislao correspondente avaliao de conformidade; aplicada durante a realizao da
3.2.1.3 - descrever, detalhadamente, todos os requisitos avaliados e os respectivos resultados obtidos, incluindo, a indicao dos ensaios e sob que condies foram aplicados; 3.2.1.4 - identificar, claramente, quais requisitos so obrigatrios e quais so opcionais para a respectiva homologao; 3.2.1.5 - apresentar, em detalhe, quando for o caso, conformes, com a indicao das discrepncias encontradas; todos da os itens no
3.2.1.6 - atestar se o sistema ou equipamento objeto avaliao est ou no em conformidade com a legislao aplicvel;
correspondente
3.2.1.7 - data da emisso do respectivo laudo de conformidade, identificao(es) e assinatura(s) do(s) responsvel(eis) tcnico(s) pelos ensaios e do(s) representante(s) legal(ais) do LEA. 3.3 - Homologao Uma vez recebido o Laudo de Conformidade emitido pelo LEA, o ITI proceder sua anlise e, a partir de ento, tomar sua deciso quanto homologao do sistema ou equipamento correspondente. 3.3.1 - Do Deferimento da Homologao No caso do Laudo de Conformidade atestar a conformidade de todos os requisitos obrigatrios para um dado sistema ou equipamento, a homologao constituir Ato Declaratrio do Diretor de Infra-Estrutura de Chaves Pblicas do ITI, que ser publicado no Dirio Oficial da Unio, e dever conter, no mnimo, as seguintes informaes: 3.3.1.1 - toda aquela necessria sistema ou equipamento homologado; inequvoca identificao e descrio do
3.3.1.2 - o respectivo nmero do processo de homologao e o correspondente nmero de identificao de sistema ou equipamento homologado; 3.3.1.3 - declarao expressa de que o sistema ou equipamento objeto do ato declaratrio est homologado pelo ITI, em estrita observncia legislao aplicvel, devendo, inclusive, explicitar toda a legislao aplicada durante o processo de homologao. A partir da publicao do ato declaratrio de homologao, a parte interessada estar autorizada a usar o Selo de Homologao, acompanhado do correspondente nmero de
COMPONENTE TABELIO DA PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN
50
identificao do sistema ou equipamento homologado, na forma prevista no item 4. deste Regulamento. 3.3.2 - Do Indeferimento da Homologao O ITI indeferir a homologao de um dado sistema ou equipamento sempre que o correspondente Laudo de Conformidade apontar a no conformidade de qualquer dos requisitos obrigatrios para um dado sistema ou equipamento. 3.3.3 - Da Notificao da Parte Interessada Em qualquer das situaes possveis, quais sejam, deferimento ou indeferimento da homologao, o ITI dever notificar a parte interessada por ofcio da autoridade competente, expedido por meio fsico ou eletrnico assinado digitalmente, e devidamente acompanhado da via original do correspondente Laudo de Conformidade destinada parte interessada. 3.3.4 - Validade da Homologao O prazo de validade da homologao de sistemas e equipamentos de certificao digital ser indeterminado, desde que mantidas as caractersticas originais do sistema ou equipamento avaliado e homologado. Quaisquer modificaes no projeto ou no processo de desenvolvimento ou fabricao de sistema ou equipamento j homologado, obrigam a parte interessada a informar ao ITI o teor de tais modificaes. O ITI avaliar o impacto das modificaes, e deliberar sobre a necessidade da realizao de nova homologao. Havendo a necessidade de realizao de nova homologao, a parte interessada dever proceder conforme o disposto anteriormente neste Regulamento, como se fosse protocolar um novo pedido de homologao. No caso do ITI avaliar que no h necessidade de nova homologao, este dever notificar a parte interessada de sua deciso por meio de ofcio da autoridade competente, expedido por meio fsico ou eletrnico assinado digitalmente. 3.3.5 - Da Suspenso da Homologao O ITI poder declarar a suspenso da homologao por ele expedida, observadas as disposies constantes deste Regulamento. Caber a suspenso da validade da homologao, sempre que ocorrer uma das seguintes hipteses: 3.3.5.1 - quando a parte interessada fizer uso da homologao para divulgao de caracterstica(s) do sistema ou equipamento homologado, que no tenham sido objeto de avaliao de conformidade; 3.3.5.2 - quando a parte interessada fizer uso de qualquer forma de divulgao promocional da homologao de sistemas ou equipamentos que permita induzir a terceiros, ter sido homologado um sistema ou equipamento diverso do efetivamente homologado; 3.3.5.3 - quando a parte interessada fizer uso da homologao de sistema ou equipamento, que sofreu alteraes posteriores em seu projeto ou em seu processo de desenvolvimento ou fabricao, sem a devida autorizao do ITI, conforme disposto no item 3.3.4 deste Regulamento; 3.3.5.4 - quando houver inobservncia do disposto no item 2.3.3 quanto manuteno de procurador devidamente qualif cado e domiciliado no Pas; i
51
3.3.5.5 - quando da constatao pelo ITI de qualquer irregularidade no processo de homologao, que no se enquadrem em nenhuma das hipteses previstas no item 3.3.6 deste Regulamento. O ato de suspenso dever ser fundamentado, indicando as providncias a serem adotadas pelo notificado, e conter expressamente o prazo de suspenso, que dever ser de at 180 (cento e oitenta) dias. Conceder-se- ao ato de suspenso da homologao, a mesma publicidade dada ao ato de sua concesso. A suspenso vigorar enquanto no forem adotadas as providncias previstas no ato de suspenso ou at o prazo especificado. Decorrido o prazo de suspenso, sem que se verifique a completa e tempestiva adoo das providncias para sanar as irregularidades detectadas ou sem a apresentao de justificativa aceita pelo ITI, ser cancelada a homologao, sem prejuzo de outras penalidades previstas na legislao aplicvel. O ITI dever notificar parte interessada, a sua deciso de suspenso da validade de homologao de sistema ou equipamento de certificao digital, no prazo mximo de 10 dias, por ofcio da autoridade competente, expedido por meio fsico ou eletrnico assinado digitalmente. 3.3.6 - Do Cancelamento da Homologao O ITI poder declarar o cancelamento da homologao por observadas as disposies constantes deste Regulamento. ele expedida,
Caber o cancelamento da validade da homologao, sempre que ocorrer uma das seguintes hipteses: 3.3.6.1 - quando da ocorrncia de fraude ou documentos apresentados no processo de homologao; falsidade nas declaraes ou
3.3.6.2 - quando da constatao de discrepncia relevante e injustificada entre os resultados dos ensaios realizados nas amostras do sistema ou equipamento avaliado e os obtidos em eventuais avaliaes posteriores; 3.3.6.3 - quando da prtica de qualquer ato em desconformidade com o ato de declarao de suspenso da homologao; 3.3.6.4 - no caso da decorrncia do prazo de suspenso da homologao, sem que se verifique a completa e tempestiva adoo de providncias para sanar as irregularidades apontadas ou sem a apresentao de justificativa aceita pelo ITI; 3.3.6.5 - no caso de reincidncia em item 3.3.5 deste Regulamento; e qualquer das hipteses previstas no
3.3.6.6 - a pedido da parte interessada na homologao. O ato de cancelamento da homologao dever ser fundamentado e ter a mesma publicidade dada ao ato de sua concesso. O ITI dever notificar parte interessada, a sua deciso de cancelamento da validade de homologao de sistema ou equipamento de certificao digital, no prazo mximo de 10 dias, por ofcio da autoridade competente, expedido por meio fsico ou eletrnico assinado digitalmente. O ITI poder, a qualquer tempo, diante da demonstrao de risco segurana e informaes de usurios, determinar o cancelamento da homologao de sistemas e equipamentos de certificao digital. Neste caso, o ITI dar ampla divulgao ao fato, alertando o pblico em geral quanto aos riscos da continuidade na utilizao do sistema ou equipamento em questo. 3.3.7 - Dos Recursos em Face das Decises
52
Caber recurso das decises proferidas pelo ITI, quanto ao indeferimento, suspenso ou cancelamento de homologao, na forma prevista em instruo normativa editada pelo ITI. 3.3.8 - Dos Atos da Parte Interessada Salvo quando previsto de forma diversa nesta Resoluo, os atos das partes interessadas podero ser praticados pelo procurador a que se refere o item 2.3.3 ou por mandatrio com poderes especficos para a conduo do processo de homologao. 4 - SELO DE HOMOLOGAO 4.1 - Do Uso do Selo de Homologao Os sistemas e equipamentos homologados pelo ITI sero identificados como tal pelo uso do Selo de Homologao e correspondente nmero de identificao da homologao, de forma legvel e indelvel, conforme modelo e instrues insertos no item 4.2 deste Regulamento. Para os sistemas, e para os equipamentos nos quais seja insuficiente o espao para a colocao do Selo de Homologao e do correspondente nmero de identificao da homologao, dever ser providenciada sua aposio no manual de operao destinado ao usurio e na embalagem do sistema ou equipamento. No caso de cancelamento ou suspenso da homologao, o responsvel pelo sistema ou equipamento se obriga a cessar, imediatamente aps a publicao dos atos de cancelamento ou suspenso, a utilizao do Selo de Homologao e do correspondente nmero de identificao da homologao. O direito de uso da identificao da homologao no pode ser transferido ou cedido a terceiros, salvo na continuidade do uso por sucesso reconhecida pelo ITI, conforme previsto no item 5 deste Regulamento. 4.2 - Das Especificaes do Selo de Homologao 4.2.1 - Selo de Homologao
A identificao da homologao de um sistema ou equipamento de certificao digital composta das seguintes informaes: - Selo de Homologao, conforme disposto anteriormente; e Nmero de Identificao do sistema composto de HHHH-AA-XXXX/YY, onde: ou equipamento homologado,
53
HHHH: identifica a homologao do sistema ou equipamento por meio de numerao seqencial com 4 caracteres. AA: identifica o ano da emisso da homologao com 2 caracteres numricos. XXXX: identifica o nmero da instruo normativa especfica aplicada homologao com 4 caracteres numricos. YY: indica o ano da edio da instruo normativa especfica aplicada homologao com 2 caracteres numricos. 5 - DISPOSIES FINAIS A homologao ora regulamentada no exime o usurio de um dado sistema ou equipamento de certificao digital homologado da responsabilidade de somente utiliz-lo, enquanto apresentar desempenho e confiabilidade compatveis com a legislao vigente. No sero considerados para efeito de homologao, equipamentos recondicionados ou reformados mesmo que, para tanto, tenham sido submetidos a processo industrial. Admite-se a transferncia da titularidade dos sistemas e equipamentos homologados, desde que o ITI seja formalmente comunicado do fato atravs de documentao comprobatria dessa transferncia, acompanhada de declarao emitida por aqueles a quem os referidos direitos tenham sido transmitidos asseverando que os sistemas ou equipamentos anteriormente homologados no sofreram nenhuma alterao quanto s caractersticas tcnicas que os levaram a ser homologados pelo ITI, sendo, nestes casos, transferidos por sucesso os direitos e deveres originalmente relativos homologao. O ITI manter sempre atualizada e disponvel ao pblico em geral, em seu stio na internet, as informaes, de carter no confidencial, relativas aos processos de homologao, em especial: 5.1 - o inteiro teor deste Regulamento, bem como, das instrues normativas especficas aplicveis aos processos de homologao de sistemas e equipamentos de certificao digital no mbito da ICP-Brasil; 5.2 - listagem contendo todos os sistemas e equipamentos homologados, bem como, todas as informaes necessrias a sua inequvoca identificao e descrio; 5.3 - relao dos laboratrios de ensaios e auditoria vinculados; e 5.4 listagem contendo todas as homologaes suspensas ou canceladas.
Os formulrios, instrues e disposies suplementares sero objeto de atos a serem editados pelo ITI.
1589/1999 Cmara: Luciano Pizzatto (OAB - SP), assinatura digital e validade jurdica documentos eletrnicos. 1483/1999 Cmara: Dr. Hlio, fatura eletrnica. Incorpora o PL 1589. Foi amplamente debatido por entidades como:Assespro, Brisa, OAB, IDEC. 4906/2001(672) Cmara: Aprovado na comisso especial em 26/09/2001 incorporando ao PL 1483 e depois ao PL 1589. 7316/2002 Cmara: Uso de Assinaturas eletrnicas e prestao de servios de Certificao Digital. o que tem atualmente maior perspectiva para aprovao.
54
55
Documentos com pouco acesso e tempo de guarda longo ou permanente, devem ser microfilmados* Documentos com muito acesso e tempo de guarda curto, devem ser digitalizados e as imagens (cpias eletrnicas) autenticadas com F Pblica quando necessrio. Documentos com muito acesso e tempo de guarda longo ou permanente, devem ser digitalizados e microfilmados* * Considerando a freqncia de acesso, perodo de reteno e volume de dados, o Gartner Group recomenda mover para mdia analgica humanamente legvel registros que sero guardados por mais de 10 anos. O microfilme tem uma vida estimada de at 500 anos, se estiver apropriadamente armazenado. Fonte: Gartner Management Update, agosto de 2001
56
57
A necessidade de eficcia probatria pode exigir autenticao de cpia eletrnica com f pblica, o que deve ser obtido de acordo com a legislao em vigor.
58
59
Muitas normas recentemente editadas para uso de Certificao Digital. Todas as normas que tem surgido exigem o uso de certificados digitais emitidos por Autoridades Certificadoras credenciadasa ICP-Brasil. Diversos esforos do Governo Federal e iniciativa privada para popularizar a Certificao Digital no Brasil. Potencial de utilizao: Toda organizao que pretende trabalhar com documentos eletrnicos e que necessite de autenticao de agentes no ambiente virtual com eficcia probatria.
60
Blgica: Pas mais avanado em Certificao Digital com identidade eletrnica vinculada ao nascimento das pessoas e previso de fornecimento para todos cidados at 2008. Unio Europia: Grande avano no uso para documentos originais eletrnicos e cpias eletrnicas (digitalizao de acervos). EUA: Uso intensivo para fins militares e funcionrios pblicos em geral. Canad: Forte apoio do governo com preferncia para software livre.
61
62
Tecnologia Document Management: Gerenciamento de Documentos Dig itais. Todos os documentos criados eletronicamente precisam ser gerenciados, principalmente aqueles com grande quantidade de reviso. O DM controla o acesso fsico aos documentos, ensejando maior segurana e atribuindo localizadores lgicos, como a indexao. O foco o controle das verses dos documentos, datas das alteraes feitas pelos respectivos usurios e o histrico da vida do documento. As grandes aplicaes so na rea de normas tcnicas, manuais e desenhos de engenharia. E, nos ltimos anos, com a automao do escritrio, o DM perfeitamente aplicvel para todos os documentos de uma organizao. Principais funcionalidades: Gerenciamento do ciclo de vida dos documentos Controle de autoria: criao, reviso, aprovao, etc. Controle de rascunhos, verses, etc. Temporalidade (tempo de guarda TTD) Critrios para o descarte (PDD) Check-In e Check-Out Mdias para armazenamento Document Management comCertificao Digital: O uso da Certificao no Document Management deve ser encarada como necessria, seno obrigatria. Pode ser aplicada em qualquer fase do ciclo de vida de um documento eletrnico. Cada atualizao do documento (verso), deve receber nova assinatura digital. Os originais eletrnicos gozam de validade jurdica e tem fora probatria quando assinados dentro da ICP-Brasil.
63
Eliminar a emisso de relatrios gigantescos, sem necessidade. O usurio passaria a selecionar a informao desejada e imprimir s o que for necessrio ou ainda visualizar seu resultado na tela (reduona emisso de relatrios). Liberar espaos reservados para arquivamento de documentos e relatrios. Haveria apenas um controle e manuteno das informaes armazenadas nos discos pticos, mantendo a informao mais recente em um servidor para acesso imediato pelo usurio. Proporcionar ao usurio a manipulao dos dados de forma que o mesmo possa exportar, concatenar e imprimir informaes relacionadas a alguns critrios estipulados durante uma pesquisa. Identificar com segurana quem pode ou no acessar informaes de um determinado relatrio. Garante, por exemplo, que relatrios financeiros sejam acessados somente por pessoas autorizadas pela Gerncia da rea financeira.
COLD/ERM com Certificao Digital: Pode-se assinar somente os dados(sem a mscara) ou paginas completas Garantia de integridade dos dados gerados em COLD Autenticidade de origem dos dados que alimentam o sistema COLD Verificao de autenticidade e integridade de pginas com contedos para tomada de decises importantes ou de formulrios para pagamentos via Internet
64
65
organizao, enquanto aquela informao existir. O ECM uma evoluo do Document Management porque trata outros objetos alm de documentos, preconiza uma abordagem corporativa e incorpora tecnologias que no Document Management so consideradas correlatas. ECM com Certificao Digital: A Certificao Digital pode garantir, sigilo, autenticidade e integridade de qualquer contedo digital (qualquer seqncia de bits). Pode ser aplicada em qualquer fase do ciclo de vida de um contedo eletrnico. Cada atualizao do contedo (verso), deve receber nova assinatura digital. Os originais eletrnicos gozam de validade jurdica e tem eficcia probatria quando assinados dentro da ICP-Brasil. ECM com Certificao Digital por fases: Tecnologias para captao de contedo: Integridade dos documentos digitalizados e autenticao dos agentes envolvidos em todo o processo de captura. Tecnologias para armazenamento digital: Integridade, autenticidade, sigilo e assinatura digital com eficcia probatria dos contedos armazenados. Tecnologias para gerenciamento eletrnico: Autenticao dos agentes no trmite e garantia de integridade em todo o ciclo de vida dos contedos. Tecnologias para preservao digital: Migraes e converses com garantia de integridade. No se aplica para microfilmes. Tecnologias para disponibilizao de contedos: Acessibilidade com garantia de sigilo, integridade e autenticidade a quem de direito.
66
Abordagem por fases: 1-Gesto, 2-Tecnologias, 3-Produtos, 4-Soluo Demanda: departamental ou corporativa? Foco: servios ou certificados (faltantes)? Atividade fim: TI? outra com TI prpria? ou outra com TI terceirizada?
Definio das necessidades das demandas: necessria a autenticao de clientes e usurios? necessria a autenticao de stios Internet? necessria gesto dos documentos eprocessos? necessria assinatura de documentos eletrnicos? necessria autenticao de cpias eletrnicas? necessrio sigilo de contedos eletrnicos? necessria a Tempestividade Digital? necessria autenticao agentes de Workflow? Outras consideraes pertinentes?
67
Implementar componentes (assinatura, autenticao, cifragem etc) sempre que possvel e vivel, em software livre* Hoje, ROI em curto prazo em aplicaes com muita demanda e poucos Certificados (exemplo o caso dos bancos) Pode-se viabilizar em etapas, por exemplo: - Etapa1 Autenticao de agentes - Etapa2 Assinatura de documentos - Etapa3 Trmite de documentos - Etapa4 Tempestividade Digital - Etapa5 Integrao com GED/ECM
*Componentes em Software Livre: Objetivo: Confiana na integridade dos cdigos dos algoritmos das principais funcionalidades necessrias. Biblioteca com componentes em cdigo aberto disponvel ao ambiente de desenvolvimento. Construo de componente para autenticao de agentes Construo de componente para assinatura de contedo Construo de componente para verificao da assinatura Construo de componente para verificao de certificado Construo de componente para cifragem de contedo Construo de componente para decifragem de contedo
Certificados Digitais: utilizar soluo completa 2. Organizao mdia com demanda corporativa, com TI prpria e foco para servios: utilizar os componentes prontos 3. Organizao grande com demanda corporativa, com TI prpria e foco para servios: desenvolver seus prprios componentes
68
Custos e riscos na manuteno de uma ICP: Manter diretrio de chaves pblicas: Espao; Gerenciamento da estrutura da ICP: Complexidade; necessrio que se faa a verificao de um certificado, antes de usar uma chave pblica: Custo computacional de verificao ; Tempo decorrido entre a revogao de um certificado e a publicao de uma nova LRC: Falha na segurana; Impossibilidade de recuperao de uma chave privada(sigilo), quando isto se fizer necessrio: Perda de informaes importantes. O grande desafio com atualizao tecnolgica: Problema: Mudana de formato/tipo/resoluo, sempre vai exigir nova assinatura/autenticao. Recomendao: Usar formato ODF ou XML para possibilitar Assinatura Digital de longa durao.
69
pessoas. Tem-se a um importante desafio cultural onde os aspectos de gerenciamento da mudana precisam ser tratados.
Mito: Assinatura Digital incontestvel; Realidade: existem os princpios da ampla defesa e do contraditrio na Constituio Federal. Mito: documento com Assinatura Digital inaltervel; Realidade: tem apenas imutabilidade lgica. Mito: documentos com temporalidade permanente tem as garantias da Certificao Digital em todo seu ciclo de vida; Realidade: nova Certificao pode ser necessria se houver alterao dos documentos nas migraes. Mito: a validade jurdica condio suficiente; Realidade: necessria, mas a eficcia probatria fundamental para documentos digitais (MP 2200-2 Art. 10 1 X 2). Mito: a autenticao de cpias eletrnicas pode ser feita de forma totalmente virtual ou por amostragem; Realidade: a lei determina que seja feita a conferncia com original palavra por palavra.
1 Ignorncia: Desconhecimento total sobre Certificao Digital (inclusive especialistas em TI). Busque conhecimento 2 Desconfiana: Conhecimento das garantias oferecidas sem saber como as mesmas podem ser alcanadas. Busque convencimento 3 Euforia: Aprender como garantias podem ser alcanadas, mas desconhecer os prrequisitos. No desperdice recursos
70
4 Decepo: Descobrir os pr-requisitos e se convencer que muito da euforia era apenas sonho. No desista 5 Sensatez: Reconhecer que apesar das decepes, existem importantes necessidades que somente a Certificao Digital poder suprir. V em frente. Grande possibilidade de sucesso.
Maior confiana nas operaes com documentos e processos eletrnicos Agilidade com ambientes sem documentos em papel (solues ecolgicas?) e trmite eletrnico pela Internet com eficcia probatria (com autenticao dos agentes envolvidos). Compra e venda pela Internet mais seguras Relaes virtuais com segurana entre empresas/governos/cidados Autenticidade, integridade, tempestividade e sigilo de mensagens e documentos digitais.
71
72