A Lei 14.063/2020 reconhece o valor das assinaturas digitais e faz a distinção entre assinaturas avançadas e qualificadas. A fortalece e diferencia o uso dos certificados digitais ICP-Brasil dos demais métodos de identificação eletrônica
Devido a importância do tema, resolvemos trazer ao leitores do Blog Minuto da Segurança o texto de Regina Tupinambá, Sócia fundadora do Portal Crypto ID. esperamos que gostem.
A Infraestrutura de Chaves Públicas Brasileira, ICP-Brasil é constantemente questionada. Na verdade, os questionamentos tiveram início antes mesmo de ser sancionada por meio da Medida Provisória 2200/2001 em 24 de agosto de 2001 que, devido ao art. 62 da Constituição Brasileira, tem força de lei.
A de ser considerado que o debate em torno das Leis em um sistema de governo democrático é o que se espera do congresso, iniciativa privada e demais entes e organizações que, de alguma forma, têm interesses envolvidos na essência da Lei. Interesses que giram em torno de questões comercial, política, social, acadêmica, de doutrina etc. No caso da Lei 14.063/2020, não poderia ser diferente.
A ICP-Brasil durante sua existência recebeu muitas críticas, mas a ciência e o bom senso em defesa da preservação dos interesses dos cidadãos brasileiros, acabou vencendo toda a impedância construída em torno da ICP-Brasil nos seus 19 anos.
A identificação digital dos brasileiros, com a finalidade de ser utilizada em autenticações e assinaturas eletrônicas com valor legal é extremamente relevante. Sendo assim, era preciso termos no país uma regulação com base em ciência para que fosse resguardado o valor dos atos registrados em meios eletrônicos.
A aplicação da Lei 14.063/2020 está direcionada à comunicação com entes públicos, mas é um passo importante para a consolidação da identificação digital no mercado brasileiro para o relacionamento de empresas privadas e suas comunidades.
Diferenças entre assinaturas Avançadas e Qualificadas
A Lei 14.063/2020 reconhece três tipos de assinaturas. A assinatura simples e outros dois tipos de assinaturas que utilizam a tecnologia da certificação digital: assinaturas avançada e qualificada.
Existem diferenças significantes entre esses dois tipos de assinaturas digitais e o trabalho conjunto para fazer com que o legislativo e o executivo entendessem essa diferença normativa e técnica foi determinante para a distinção entre a aplicação dos atos válidos com os dois tipos de assinaturas digitais.
A maioria das ACs de primeiro nível da ICP-Brasil emitem também os certificados digitais utilizados para a aplicação da assinatura avançada.
Os certificados para assinatura avançada são certificados digitais amplamente utilizados pelo mercado corporativo há muitos anos e o Brasil coleciona um grande elenco de casos de sucesso entre empresas de comunicação, siderúrgicas, hospitais, indústria alimentícia, montadoras de automóveis, empresas de telecomunicação empresas de compra de venda de energia, bancos, seguradoras e muitos outros setores.
As evidências geradas por assinaturas digitais
Os elementos comprobatórios de titularidade e da manifestação de vontade devem resistir ao tempo e às alterações de tecnologias adjacentes.
Dependendo do ato – conteúdo e finalidade, a manifestação de vontade precisa ser comprovada de forma inequívoca e sem causar aos envolvidos incalculáveis despesas extras com a contratação de advogados, perícias técnicas e auditorias, caso o ato seja repudiado por uma das partes a qualquer tempo.
A certificação digital é uma ciência com base em cálculos matemáticos que relaciona um par de chaves – pública e privada – único para cada titular. Por sua vez, para que uma chave criptográfica seja atrelada a identidade do titular – pessoa física ou jurídica, aplicação ou equipamento – são necessários diversos procedimentos que comprovem as informações, tanto para a assinatura qualificada quanto para a avançada. Cada qual com seu método de validação das credenciais dos titulares e esse é um dos principais aspectos pelos quais esses dois tipos de assinaturas se distinguem.
Mediante a validação da titularidade, os atos autenticados ou assinados com certificação digital recebem evidências quanto a autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade. Isso é o que garante às partes o não repúdio do ato e o valor legal.
La garantía soy yo ?
Os certificados digitais são emitidos por Autoridades Certificadoras que necessariamente precisam estar ligadas a um ecossistema de confiança estabelecido pelo mercado global e seguir normas e padrões técnicos que sejam hierarquicamente ligados a uma PKI pública ou serem Autoridades Certificadoras independentes como Globalsign, Digicert, Entrust entre outras.
O que isso significa?
Certificados digitais emitidos em ACs totalmente apartadas de um ecossistema de confiança, podem até cumprir funcionalidades técnicas como identificação digital e criptografia, mas terão problemas de interoperabilidade com sofwares e hardwares. Também não estarão em uma cadeia de auditorias específicas da atividade de Autoridades Certificadoras que seguem padrões internacionais.
Estar em um ecossistema de confiança é uma das muitas diferenças entre a certificação digital e outras tecnologias que tem como funcionalidade a identificação eletrônica.
O ecossistema ICP-Brasil
A ICP-Brasil como todo sistema de PKI segue regras e padrões internacionais que funcionam em torno de um mecanismo hierárquico em que todos os entes da cadeia de confiança precisam seguir rigorosamente os preceitos técnicos e normativos porque são hierarquicamente subordinados a uma Autoridade Certificadora Raiz com entidades de controle de gestão.
No caso do Brasil, é o ITI – Instituto Nacional da Tecnologia da Informação, quem executa as Políticas de Certificados e Normas Técnicas e Operacionais aprovadas pelo Comitê Gestor da ICP-Brasil, entidade responsável pela implantação da ICP-Brasil e que estabelece políticas, critérios e normas de funcionamento a serem seguidas pelas entidades integrantes da ICP-Brasil.
ICP-Brasil e os padrões internacionais
A ICP-Brasil emite certificados digitais dentro de padrões internacionais o que permite ao Brasil ter acordos de reconhecimento mútuo com outros países abrindo fronteiras comerciais e acadêmicas, a exemplo do acordo entre os países que formam o bloco do Mercosul.
Videoconferência
Não poderia deixar de citar o grande avanço conquistado por essa Lei em relação a aprovação da videoconferência no processo da validação dos dados dos titulares dos certificados.
A videoconferência é comprovadamente segura e muito útil para quem precisa emitir seu certificado digital e que se encontra em uma cidade onde não exista uma Autoridade de Registro para a validação presencial, – seja interior do Brasil ou até mesmo no exterior.
A videoconferência atende pessoas que, por algum motivo, tem dificuldades em se deslocar até a AR. No caso da videoconferência, o Comitê Gestor da ICP-Brasil ainda terá que deliberar sobre o tema com base na Resolução 170.
Um avanço para o Brasil
A Lei 14.063/2020 tramitou no Congresso como MP 983/2020 e PL 032/2020 e traz muitos benefícios aos brasileiros e recursos essenciais para a digitalização segura de uma nação com a dimensão geográfica e populacional do Brasil e que carrega tantas diversidades sociais e econômicas.
Para finalizar, gostaríamos de parabenizar todos os envolvidos que trabalharam incansavelmente para difundir os conceitos técnicos da tecnologia da certificação digital junto aos poderes legislativo e executivo e, adicionalmente, fazer as devidas diferenciações entre os métodos da validação de titularidade.
Destacamos aqui a participação da indústria de certificação digital representada pelas associações ANCD e ATID e aos parlamentares Deputado Federal Lucas Vergílio e Deputado Federal João Campos.
Fonte: Portal Crypto ID por Regina Tupinambá
Veja também:
- Cyrela é a primeira empresa a ser penalizada pela LGPD
- Joker Malware visa usuários Android para roubar mensagens SMS e listas de contatos
- Gartner: pagar após ataques de ransomware traz grandes riscos
- Google Cloud Buckets expostos por configuração incorreta
- Vulnerabilidade crítica do Windows Server afeta também Samba
- Atualização de segurança do Google Chrome – Atualize Agora!
- INDEFERIDO a Primeira ação pública por tratamento ilegal de dados Pessoais
- Deloitte condenada a pagar 23 milhões de Euros pela auditoria fraudulenta
- LGPD Primeira ação pública por tratamento ilegal de dados Pessoais
- Privacidade nas mídias sociais, como impedir que vazem!
- Equinix é atingida por ransomware, ataque pode ter chegado ao Brasil
- Bolsonaro sanciona lei e LGPD vale a partir de hoje – 18/09
Deixe sua opinião!