Novos processos de validação e emissão de certificado digital

• maio 27, 2020
• Mauricio Sena
• Artigo
• 1 Comentário

O mercado de certificado digital, vem passando por grandes transformações. A principal mudança ocorre após 19 anos de história da ICP-Brasil. O Comitê Gestor regulamentou a emissão de certificados digitais a distância por videoconferência. Trata-se de um marco, devido ao fato de até então, a validação e emissão do certificado digital ser obrigatoriamente presencial, era necessário a presença física do titular do certificado digital ou dos representantes legais de uma empresa.

As regras e procedimentos para validação e emissão de certificado digital estão descritas na Resolução n°170. De acordo com a Resolução Normativa, as entidades credenciadas junto à ICP-Brasil devem realizar videoconferência de acordo com os procedimentos regulamentados pela Instrução Normativa nº 02/2020.

É importante destacar que a Resolução n°170 refere-se apenas ao processo de emissão do certificado digital por vídeoconferência, onde fica dispensado a coleta das digitais. Além disso, o certificado terá validade máxima de 1 (um) ano e não será permitido a renovação desses certificados. A Resolução permanece em vigor enquanto perdurar o estado de emergência de saúde pública de importância internacional decorrente do coronavírus (COVID-19).

As novas normas regulamentam a validação e emissão por videoconferência, mas não possuem todas as diretrizes de como adota-las com Segurança. Por exemplo:

• Qual ferramenta utilizar para realizar a videoconferência (Zoom, Whatsapp Web, Skype, etc.)? 
• Como realizar o envio seguro dos documentos de pessoa física e jurídica? É possível o envio pelo Whatsapp, e-mail, ferramentas em nuvem (Dropbox, One Drive, Google Drive)?
• Como garantir a privacidade e Segurança do solicitante do certificado digital?

Essas questões as normativas não trazem, por isso a importância da Autoridades Certificadoras (ACs) e Autoridades de Registro (ARs) adotarem processos para garantir a segurança da validação e emissão nessa nova modalidade.

Com o objetivo de auxiliar as ACs e ARs a AuditSafe, traz algumas dicas para realizar a validação e emissão por videoconferência.

• Ter o cuidado de baixar a ferramenta sempre das lojas oficiais, seja no computador ou no celular, para evitar possíveis apps falsos. 
• Sempre manter os aplicativos utilizados para videoconferência atualizados.
• As máquinas devem possuir antivírus para evitar problemas de infecção por malwares.
• Defina uma senha para a reunião. Normalmente esta é uma opção disponível em plataformas usadas para criar reuniões, que adiciona uma senha gerada aleatoriamente e que os convidados precisarão inserir para ter acesso ao encontro.
• Ao compartilhar a tela do computador ou do celular durante chamadas de vídeo, é importante desativar notificações em pop-up de e-mails, redes sociais e apps de mensagens como Telegram e WhatsApp, por exemplo. As mensagens podem tratar de assuntos pessoais e privados — portanto, é necessário desativá-las para evitar um desconforto por possível invasão de privacidade.
• Não deixe as videochamadas desprotegidas — o ideal é permitir o ingresso de membros apenas por senha, quando a função estiver disponível. Deixar as chamadas abertas pode implicar em uma série de riscos, permitindo que estranhos e até mesmo cibercriminosos tenham acesso à reunião. 
• Não compartilhe links de convites de chamadas de vídeo pelas redes sociais — prefira encaminhá-los de forma privada utilizando o endereço de e-mail dos membros da reunião. Compartilhar a URL do convite em ambientes virtuais públicos como Facebook ou Twitter pode atrair desconhecidos e cibercriminosos para a chamada de vídeo, comprometendo informações dos participante

Compartilhamento de arquivos (documentação pessoa física e jurídica):

• Ao enviar e-mails com arquivos ou links de compartilhamento, inclua uma mensagem individual, para mostrar que não se trata de um spam ou link malicioso. Da mesma maneira, não baixe arquivos ou acesse links suspeitos.
• Em alguns sistemas de compartilhamento em nuvem, é possível enviar apenas um link que permite acesso aos arquivos. Contudo, o ideal é que esse link peça uma verificação de quem vai receber o arquivo, seja senha ou acesso a uma conta privada. Evite tornar documentos importante públicos.
• Evite redes públicas de Wi-Fi. Por mais tentador que seja, evite as redes públicas de Wi-Fi quando for fazer o upload ou download de um arquivo na nuvem. Além destas conexões serem muito lentas no geral, elas também não são seguras.
• Não armazene nas nuvens dados pessoais, sensíveis, confidenciais e estratégicos.

Em relação as auditorias operacionais de AC e AR, devem possui registros para evidenciar que estão cumprindo os requisitos estabelecidos em suas Políticas (DPC, PC e PS) e as normas da ICP-Brasil. Com as novas mudanças no processo de validação e emissão é importante ter rastreabilidade de todos as ações executadas nas emissões por videoconferência.Por fim, destacamos que são apenas dicas de boas práticas de Segurança para auxiliar as ACs e ARs no processo de validação e emissão por videoconferência. Dúvidas relacionadas ao processo que não estão contempladas nos normativos da ICP-Brasil, deve-se procurar o ITI para os devidos esclarecimentos.