Como os Certificados Digitais aumentam o compliance empresarial

 

Tudo está conectado: o uso da internet alterou a vida cotidiana, transformando não apenas como nos comunicamos, mas também como negociamos e gerenciamos as nossas atividades profissionais. O avanço trouxe grandes mudanças de paradigmas e costumes, mesmo em áreas extremamente tradicionais e com ritos extremamente metódicos, como o mundo jurídico. O surgimento de processos virtuais, eliminando barreiras físicas e temporais, resultou em mais eficiência e acessibilidade aos serviços.

Entretanto, a migração para o ambiente digital apresentou novos desafios, principalmente à segurança e à integridade dos dados on-line. A segurança e a garantia da autenticidade tornaram-se essenciais para as transações, especialmente para processos em que a precisão e a confiabilidade das informações são de suma importância. 

Nesse contexto, através da Medida Provisória (MP) n.º 2.200, foi instituída a infraestrutura de chaves públicas brasileira - a ICP-Brasil, dando início aos certificados digitais como uma solução vital para negócios virtuais.

Esses certificados funcionam como uma espécie de identidade eletrônica, garantindo que a informação não seja alterada e que as transações sejam seguras. No Brasil, o uso de certificados digitais foi oficializado por decretos governamentais, como o Decreto 3.996 de 2001, posteriormente revogado pelo Decreto n.º 10.543 de 2020, que regulamenta o uso de assinaturas eletrônicas na administração pública federal, definindo padrões mínimos para sua utilização em interações com o governo.

A Infraestrutura de Chaves Públicas Brasileiras, (ICP –Brasil) é composta por uma autoridade estatal, gestora da política e das normas técnicas de certificação (Comitê Gestor), e por uma rede de autoridades certificadoras: entidades tanto públicas quanto privadas, com a responsabilidade direta de emitir, distribuir, renovar e revogar certificados. A obrigatoriedade de assinaturas digitais baseadas em certificados emitidos por autoridades garante aos usuários a segurança, a origem e a integridade das mensagens.

Nesse ponto, cabe apontar a diferença entre a assinatura digital e assinatura eletrônica. Enquanto a assinatura digital envolve métodos especiais de segurança (conhecidos como criptografia assimétrica) e a presença do certificado digital emitido pela autoridade certificadora, a assinatura eletrônica trata-se somente de senha, identificadores, códigos ou outras formas digitais para identificar as pessoas em ambiente eletrônico. Um dos exemplos mais comuns de assinatura eletrônica é a assinatura disponibilizada pela plataforma do Governo Digital. 

Esses certificados funcionam como uma identidade digital, contendo todos os dados da pessoa ou da empresa, e que autentica a identidade dos participantes em transações virtuais, garantindo que as informações trocadas sejam protegidas contra acesso não autorizado e manipulação. 

Mas, você cederia o seu documento virtual para qualquer pessoa ou empresa fazer uso? Provavelmente, a sua resposta será não.

Ao conseguir o certificado digital de uma pessoa ou de uma empresa, o possuidor conseguirá acesso a sistemas restritos: sites do governo, receita federal, verificar o imposto de renda, sistemas bancários e todas as movimentações realizadas, podendo executar novas operações, assinar documentos em nome daquela pessoa/empresa, acessar nuvens de armazenamento de documentos, entre outras possibilidades. Com a posse do certificado digital, é possível fazer tudo como se fosse a pessoa ou empresa, por isso é necessário muita cautela e extrema confiança ao repassar o certificado digital para uso de pessoas ou empresas.

Contratação de empréstimos, compra de imóveis, abertura de empresas e fraudes são alguns exemplos de crimes cometidos caso o certificado digital caia na mão de pessoas mal intencionadas.

Dessa forma, todo o controle e infraestrutura de segurança deve ser investido na política de uso e gerenciamento dos certificados digitais de pessoas físicas e pessoas jurídicas. 

Para empresas, recomenda-se uma série de boas práticas com o uso restrito dos certificados digitais, vide:

  • Armazenamento: Os certificados digitais devem ser mantidos em cofres digitais, onde o usuário não possui acesso à mídia e sua senha. Através de fluxo de processos, é solicitada a liberação do uso do certificado, após aprovação do diretor da área, limitando a atividade que a pessoa irá realizar.
  • Gestão de acesso: Usuário poderá acessar através de cofre somente as áreas e atividades liberadas, caso tente acessar endereço bloqueado, o sistema dispara e-mail ao gestor de segurança.
  • Monitoramento: Relatórios indicando horários e endereços acessados via certificado pelo usuário.
  • Senha fortes: Uso de senhas fortes e seguras visando garantir a inviolabilidade do acesso ao certificado. 
  • Renovações: Renovar os certificados antes de expirarem, garantindo a continuidade dos trabalhos realizados com o certificado digital.
  • Revogação: Processo claro e eficiente para a revogação de certificados. Necessário para casos em que a chave privada associada a um certificado tenha sido comprometida ou quando o certificado não é mais necessário. A revogação eficaz ajuda a prevenir o uso indevido.
  • Treinamento:Treinar usuários sobre como usar e gerenciar os certificados de maneira segura. Isso inclui conscientização sobre phishing e outras ameaças cibernéticas que podem visar o comprometimento de certificados e chaves privadas.
  • Política técnica de controles criptográficos:Instituir normas e diretrizes para usos de certificados digitais em conjunto pelas áreas de segurança da informação, recursos humanos e gestor envolvido, podendo ser considerado falta grave o descumprimento, passível de aplicação de medidas disciplinares.

A implementação dessas práticas ajuda a garantir que os certificados digitais sejam usados de forma eficaz para proteger as comunicações e transações digitais contra interceptação, falsificação e outras formas de ataque cibernético.

O uso de certificados digitais nas operações e negócios representa um avanço significativo em relação ao passado. Ausência de extensas viagens ou reuniões para assinar documentos, facilidade e garantia de segurança para acesso a sites, restrição e controle de acessos a dados sensíveis de empresas são alguns exemplos das vantagens. No entanto, a eficácia dessas ferramentas digitais está intrinsecamente ligada à implementação rigorosa de controles e políticas de segurança.  

Eventuais negligências podem expor organizações a grandes riscos, incluindo comprometimento de dados sensíveis, fraudes eletrônicas e perdas financeiras significativas. Portanto, empresas e profissionais devem adotar políticas claras e seguras de gestão de certificados digitais, estabelecendo políticas de segurança que incluam a gestão de acesso, a criptografia forte, a realização de auditorias regulares e o treinamento contínuo sobre as melhores práticas de segurança. 

Nesse mundo globalizado onde negócios são fechados a um clique, a rápida identificação e revogação de certificados violados é essencial para mitigar os danos em potencial. Adotar uma estrutura rigorosa de controle e políticas de segurança não é apenas uma medida preventiva, mas um requisito fundamental para salvaguardar a integridade e a confiança nos negócios na era digital, minimizando assim os prejuízos relacionados a incidentes de segurança.

 

Sobre o Autor

José Guilherme Gerin, Gerente de Operações da Finch, advogado, Mestrando em Direito na área de Sistema Constitucional de Garantia de Direitos no Centro Universitário de Bauru – ITE, pós-graduado em Direito Processual Civil, Direito Civil e Direito do Trabalho e Presidente da Comissão de Processo e Peticionamento Eletrônico da OAB - Bauru/SP.