A senha única liberta o cliente do vínculo a um computador específico para operações

O certificado digital é um facilitador da vida do cliente dos bancos. Nós, da Associação Nacional de Certificação Digital (ANCD) não temos a menor dúvida em fazer essa afirmação. O CD liberta o cliente do vínculo a um computador específico, ou seja, se o cliente possui um certificado digital, ele pode acessar o seu gerenciador financeiro ou a sua conta corrente em qualquer lugar, sem necessitar de cadastro e autorização prévia do computador, como já funciona, por exemplo, no Banco do Brasil desde 2005.

Com isso, o cliente não precisa mais se preocupar em memorizar variadas senhas, nem Identificadores (IDs), ou senhas específicas para cartão, outra para acesso com a chave, uma outra para autorizar transações. Quando usa o certificado digital, ele passa a usufruir de sua senha única, que permanece no cartão. E, o que é melhor, é que esse instrumento é à prova de roubos, pois não trafega na rede.

Ter um único PIN no Certificado Digital, sem que tenha para isso que colocar seu ID para entrar, acessar e autorizar transações em qualquer computador, é um benefício incomparável ao uso anacrônico de login e senha, normalmente usual nos sites mais comuns, que expõem o cliente aos riscos de perdas derivadas de invasão, roubo e fraude. É importante lembrar que os chamados hackers têm se sofisticado a cada dia. Eles passam o tempo matutando formas de driblar o sistema, de criar coisas novas para burlar a segurança e jeitos diferentes e atrativos de atrair a atenção dos clientes.

Estamos todos acostumados a ler e ouvir todos os dias que as entidades bancárias registram ocorrências frequentes de uso criminoso do login e senha por fraudadores internos e externos às organizações.

Isso certamente representa grande prejuízo. Com o uso do Certificado Digital isso deixa de existir. Outra inovação em curso, que já é usada pelos bancos e está sendo implementada nos certificados da ICP Brasil, é o uso da biometria, que torna desnecessário o login e a senha para qualquer transação em terminais bancários eletrônicos (ATMs). Basta que o cliente coloque o dedo na leitora e o banco se abre para as operações que ele deseja processar, a partir de uma identificação 100% segura.

A ICP Brasil já aprovou o uso da biometria. A tecnologia de CD, desta forma, afirma-se mais e mais como a tecnologia presente que servirá de ponte para o futuro. Ela é rápida, confiável, tem validade jurídica e é totalmente segura em termos de fraude e violabilidade.

Hoje, também nos aparelhos celulares, já é possível ter certificados digitais embarcados. Outra novidade é que muito em breve será possível contar também com a incorporação da biometria, o que vai criar uma expectativa de simplificação e segurança. Isso, com toda a certeza, vai atuar de forma a modificar o uso da certificação digital na rede mundial de computadores.

Os sistemas na internet, se é que podemos dizer assim, serão mais seguros, se tornarão mais pessoais e mais humanizados.

Antonio Cangiano é diretor executivo da Associação Nacional de Certificação Digital

Fonte – DCI

Jucerja em breve aceitará os registros societários de forma digital

Com o intuito de discutir temas relacionados à utilização do certificado digital pessoa física, o presidente e o diretor da Associação das Autoridades de Registro do Brasil (AARB), Nivaldo Cleto e Bruno Linhares visitaram, no último dia 3 de maio, a Junta Comercial do Rio de Janeiro (Jucerja).

Na ocasião, o presidente Luiz Paranhos Velloso e o diretor de TI, José Luciano da Silva, informaram que em breve a Jucerja recepcionará os atos societários de forma 100% digital utilizando portais de assinaturas interoperáveis.

A partir da esq., Nivaldo Cleto, Luiz Paranhos Velloso, Bruno Linhares e José Luciano da Silva.

Cleto aproveitou o encontro para informar que o Comitê Gestor da Infraestrutura de Chaves Públicas brasileira (ICP-Brasil) criou um grupo técnico de trabalho para regulamentar a utilização de portais de assinaturas. Também trocou informações sobre o funcionamento dos registros de atos societários 100 % digitais nas juntas comerciais de Minas Gerais e de São Paulo e apresentou cases de registro de atos societários digitais nos cartórios de registro de pessoas jurídicas em São Paulo.

Como exemplo citou as assembleias gerais ordinárias e extraordinárias realizadas pela AARB, que possui diretores em seis diferentes estados do Brasil, cujas assinaturas das atas são coletadas em portais de assinaturas e registradas em cartórios. Todo o procedimento é realizado com assinatura digital.

“Parabenizo o presidente Velloso pela Jucerja ser uma das pioneiras em fornecer a cópia com autenticidade comprovada de qualquer ato societário registrado em até uma hora pela internet. Esse tipo de iniciativa é um grande serviço quando o usuário necessita de urgência”, lembrou Cleto.

O mercado de Certificação Digital passa por momentos de grandes desafios, pois há um significativo número de novos usuários acessando essa importante ferramenta. Com a crescente relevância deste mercado, a Certificação Digital se torna cada vez mais indispensável para o desempenho de inúmeras atividades que norteiam os dias de hoje.

Daniel Nascimento, gerente comercial da AR Prime, associado da AARB

Agregado ao crescimento de usuários, surgem desafios de implementar novas funcionalidades para ampliar seu uso. Diante deste cenário de desafios, a comunidade do Certificado Digital vem discutindo arduamente as possibilidades de inovações tecnológicas objetivando aumentar a utilização do certificado digital e de toda a tecnologia que o cerca.

Neste contexto começam a surgir novos conceitos e ideias que permeiam esta ferramenta. Uma das que mais aprecio é a do acesso remoto às chaves criptográficas e ao certificado digital. O armazenamento das chaves criptográficas pode ser, por exemplo, em um HSM (Módulo de Segurança em Hardware). Sabemos que são equipamentos extremamente seguros e desenvolvidos para operar em processos críticos e com alto nível de estabilidade. Os bancos, empresas de telecomunicação e o governo, de forma geral, usam esses equipamentos em suas operações mais sensíveis.

A ideia do acesso remoto ao certificado digital poderia trazer diversos benefícios aos usuários, como por exemplo:

•   Maior agilidade – que viabilizaria realizar assinaturas a qualquer momento e de qualquer lugar simplesmente acessando o seu smartphone ou um computador.

Imagine que você está num cruzeiro, show, qualquer viagem ou passeio e recebe a notícia que precisa assinar uma transação importantíssima para a empresa na qual trabalha ou até mesmo assuntos relacionados a decisões em sua vida pessoal. Como você faria?

Com o desenvolvimento da tecnologia de acesso remoto ao Certificado Digital isso seria bem simples. Bastaria acessar o seu smartphone e realizar o processo de assinatura digital. Fácil, não é?

É isso que me encanta na evolução do sistema de assinaturas digitais.

Hoje existe uma ferramenta que faz uma parte deste processo, é o Certillion. Ele tem a capacidade de armazenar um certificado digital do tipo A1 e fazer a gestão e controle da utilização direto em um smartphone, por exemplo. É um passo muito interessante e que imagino daqui a algum tempo será a evolução dos processos que se utilizam da Certificação Digital para operar.

Acredito que para o bom desenvolvimento deste importante mercado muito em breve mudanças como essas acontecerão. Desta forma, a evolução dos processos que referem a Certificação Digital será contínua e os processos que a cercam, também. Com esse crescimento a comunidade da Certificação Digital continuará contribuindo para evolução de nossa sociedade, facilitando nossa vida.

Daniel Nascimento, gerente comercial da AR Prime e associado da AARB

O bloqueio do WhatsApp no Brasil reacende o debate sobre o uso de dados pessoais e privacidade

O bloqueio do Whats­App no Brasil por 72 horas, mas suspenso ain­da nesta terça (3), retoma a discus­são sobre privacidade. Nos últimos meses, o governo a­me­ricano e a Apple travaram uma batalha sobre as informa­ções contidas no iPhone 5C de Syed Farook, responsá­vel por um ataque terrorista na Califórnia, no ano passado, que deixou 14 pessoas mortas. O FBI pagou mais de US$ 1 milhão para hackers invadi­rem o dispositivo do suspeito. Segundo James Comey, di­retor da agência, o investimen­to “valeu a pena”, embo­ra nada relevante tenha sido encontrado.

Tanto a Apple quanto o WhatsApp utilizam criptografia. Mas, no Brasil, a situa­ção chegou a ser ainda mais extrema. Mais de 100 milhões de usuários foram prejudicados pelo bloqueio do serviço. A empre­sa emitiu nota, na segunda, afirmando que não pode entregar “informações que afirmamos repetidamente que nós não temos”.

A criptografia de ponta a pon­ta utilizada pelo Whats­App permite apenas que o emissor e receptor da mensa­gem saibam o teor dela. As con­versas são enviadas para os servidores do Facebook, em Palo Alto, cidade na Califór­nia. Cada indivíduo conta com uma chave especial necessária para descriptografar o conteúdo enviado e recebido. “Quando criptografada a mensagem, o Facebook não tem como descriptografar”, ressalta o consultor de tendências do Porto Digital, Jacques Barcia.

O WhatsApp ainda possui uma tela para “Confirmar código de segurança”. Cada usuário possui um código único em forma de QR code ou uma sequência de 60 dígitos. Ele serve para confirmar que todo o conteúdo produzido no aplicativo – seja mensagens, fotos ou chamadas – estarão criptografados de ponta-a-ponta em cada uma delas. De acordo com o mensageiro, o processo é opcional.

Jacques explica que, embo­ra o Facebook tenha escritó­rio no Brasil, seria preciso a­cio­nar a justiça americana pa­ra conseguir as informações, já que a sede da empresa está instalada nos Estados Unidos. Para ele, uma solução se­ria criar sanções, como multas. “O princípio da neutralida­de da rede, dentro do Mar­co Civil, prevê que o mensagei­ro ( o aplicativo) não pode ser o culpado. E isso não é obser­vado pela Justiça. A internet é um serviço essencial e você não vê a interrupção de fornecimento de água quando uma empresa é acusada de algum crime, por exemplo”, critica.

Crimes

Para o delegado da Delegacia de Crimes Cibernéticos de Pernambuco, Derivaldo Falcão, o WhatsApp deve criar soluções para a entrega de informações que possam ajudar nas investigações da polícia. “Hoje, tráfico de drogas e outros crimes são organizados pelo WhatsApp. Uma vez que as investigações demandam o conteúdo trocado no aplicativo, a plataforma se ne­gar irá gerar mais situações como estas (bloqueio)”.

Mas, em algumas situações, a polícia tem acesso às mensagens do WhatsApp. Em São Paulo, duas irmãs criaram um grupo no aplicativo para planejar um assalto ao próprio pai. O caso aconteceu no fim de março, mas só foi divulgado na semana passada. O esquema só foi descober­to após a apreensão dos aparelhos. “É necessário a apre­ensão desses materiais pa­ra que tenhamos acesso a es­ses dados nas investigações”, disse Derivaldo Falcão, quando questionado sobre a importância do acesso aos smartphones de suspeitos investigados.

Thulio Falcão, do FolhaPE

Decreto ampliou na quarta (4) a extensão de mais 15 dias a servidores.Para funcionários de empresas privadas, medida vale desde março.

A licença-paternidade de servidores públicos federais foi ampliada de 5 para 20 dias, conforme decreto publicado na quarta-feira (4) no “Diário Oficial da União”. Para trabalhadores de empresas privadas, essa prorrogação já estava valendo desde o dia 8 de março.

Veja abaixo perguntas e respostas sobre as novas regras da licença-paternidade:

COMO ERA

5 dias

COMO FICOU

20 dias

Como funciona a prorrogação?
Os trabalhadores poderão gozar dos 5 dias que já eram estabelecidos por lei. Terminado este prazo, automaticamente são concedidos mais 15 dias de licença.

Essa mudança já está valendo?
Para trabalhadores de empresas privadas, a mudança foi sancionada pela presidente Dilma Rousseff e entrou em vigor no dia 8 de março. Já para servidores públicos federais, o decreto que estabeleceu a mudança foi publicado no “Diário Oficial da União” no dia 4 de maio, e a medida entrou então em vigor.

Quem pode pedir a prorrogação da licença?
De acordo com a nova regra, a prorrogação da licença-paternidade será concedida ao trabalhador que pedir o benefício no prazo de dois dias úteis após o nascimento do filho.

A medida vale também para pais de filhos adotivos?
Sim. Tanto para funcionários públicos federais quanto para trabalhadores de empresas privadas, a prorrogação da licença-paternidade também pode ser pedida após a adoção de criança de até 12 anos completos.

Todas as empresas são obrigadas a conceder os 15 dias a mais de licença?
Não. No caso das empresas privadas, a extensão vale para os funcionários das empresas que fazem parte do Programa Empresa Cidadã (programa regulamentado pelo governo em 2010 que possibilita a ampliação do prazo da licença-maternidade das trabalhadoras do setor privado de quatro meses para até seis meses. Para a empresa, a vantagem é poder deduzir de impostos federais o total da remuneração integral da pessoa em licença).

Como as empresas podem aderir ao programa que prorroga a licença?
É preciso fazer o pedido de adesão exclusivamente na página da Secretaria da Receita Federal doBrasil (RFB) na internet. O acesso pode ser feito por um código de acesso, a ser obtido no site da Receita, ou por um certificado digital válido

É permitido fazer outro tipo de trabalho durante a prorrogação da licença?
Não. Se essa regra for descumprida, os funcionários perdem o direito à prorrogação. No caso de servidores públicos federais, os dias de ausência passam a constar como falta ao serviço.

O pai que tirar a licença receberá todo o salário?
Sim. A lei que ampliou o prazo para os funcionários de empresas privadas diz que “o empregado terá direito a sua remuneração integral”, assim como a mãe em licença-maternidade.

Do G1, em São Paulo

As carteiras de estudante de 2015 terão o prazo de validade prorrogado até o dia 31 de maio de 2016. A medida foi tomada após reunião entre o Ministério Público do Rio Grande do Norte, Departamento de Estradas e Rodagem (DER) e Secretaria Municipal de Mobilidade Urbana (STTU).

É a segunda prorrogação do prazo da carteira estudantil, previsto para expirar, inicialmente, em 31 de março. Entidades estudantis procuraram o MPRN, à época, para questionarem a legalidade da lei da meia entrada e das entidades autorizadas pela legislação na emissão do Documento Nacional do Estudante (DNE). Na ocasião, a 59ª Promotoria de Defesa do Consumidor do MPRN optou pela extensão da validade para verificar o cumprimento, por parte das entidades, das exigências previstas em lei, principalmente nos critérios técnicos na confecção do DNE, como a padronização do layout e certificação digital. “A problemática causada pela entrada em vigor da lei que trata da meia entrada foi um dos fatores para essa prorrogação”, justificou o MPRN para a nova prorrogação. Dentro deste período, as entidades estudantis deverão se adequar à nova legislação e demonstrar junto à 59ª Promotoria de Defesa do Consumidor para que as carteiras sejam consideradas válidas.

Tribuna do Norte

O prazo oficial para enviar a declaração do Imposto de Renda terminou sexta­feira, 29, e o balanço final foi de 297.925 declarações entregues no Rio Grande do Norte. O número ficou pouco abaixo do esperado, um total de 306 mil declarações. O volume atingido representa 97,36%. Na prática, 8.075 potiguares atrasaram ou não enviaram declarações retificadoras. De acordo com a Delegacia da Receita Federal em Natal, o resultado no estado foi parecido com o do ano passado, visto que em 2015 as declarações enviadas pelos contribuintes corresponderam a 1,07% do total nacional, percentual próximo ao de agora. “No que se refere à projeção abaixo de 306 mil estimados inicialmente para o RN, um dos principais motivos da diferença foi a redução das declarações retificadoras enviadas, o que demonstra que os contribuintes estão errando menos e tendo mais familiaridade com as facilidades tecnológicas oferecidas pela Receita Federal”, acrescentou.  Os contribuintes que declararam no prazo, a partir de 15 de maio poderão verificar os motivos de eventual retenção de sua declaração em “malha fina” e fazer a autorregularização. Para consultar quais são as pendências e suas possíveis causas, é preciso utilizar o Extrato da DIRPF, que pode ser acessado com certificado digital ou código de acesso. Mais informações sobre os procedimentos de regularização podem ser acessados no endereço da Receita.

Fora do prazo

Quem não entregou a declaração dentro do prazo, poderá fazê­lo a partir desta segunda­feira, dia 02, a partir das 8 horas, mas já estará sujeito a multa. A multa é de 1% ao mês­calendário ou fração de atraso, calculada sobre o total do imposto devido apurado na declaração, ainda que integralmente pago, sendo que o valor mínimo é de R$ 165,74 e o máximo é de 20% do imposto sobre a renda devido. “O contribuinte que perdeu o prazo deve apresentar a declaração o quanto antes, pois a multa é calculada conforme o tempo de atraso”, esclarece a Receita Federal em Natal. É preciso ficar atento, ainda, à versão do programa de declaração do Imposto e também do Receitanet, utilizado para transmissão da declaração, pois em geral a Receita muda a versão desses programas após o fim do prazo. O contribuinte deve fazer o download da versão nova (caso tenha uma nova versão) e preservar os dados arquivados no programa antigo quando o programa pedir a confirmação dessa opção (de preservar os dados). “Ressalta­se que eventuais retificadoras, também só poderão ser enviadas a partir de segunda­feira (amanhã)”, diz a Receita.

Tribuna do Norte

Necessidade de investimentos em tecnologia e treinamento, diante de maior complexidade de regras, e pressão por menores custos levam empresários a repensar modelo de negócios

Para Mario Berti, da Fenacon, o caminho é juntar forças e reduzir custos.

SÃO PAULO – Ao buscar um profissional para integrar seus quadros, a Berti Contadores Associados recebeu três ex-proprietários de pequenos escritórios de contabilidade que desistiram de atuar por conta própria.
A situação reflete as dificuldades enfrentadas pelos pequenos empresários, diante da maior necessidade de conhecimento técnico e de gestão e investimentos em tecnologia, avalia o sócio da Berti e presidente da Federação Nacional das Empresas de Serviços Contábeis (Fenacon), Mario Berti.

O cenário atual leva muitas empresas a buscar associações, parcerias, ou mesmo novos modelos de negócios. “Há associações para aproveitar a expertise de cada empresa e juntas atravessar essa turbulência de mercado”, afirma o presidente do Sindicato das Empresas de Serviços Contábeis do Estado de São Paulo (Sescon-SP), Márcio Shimomoto.

As parcerias existem há algum tempo, as fusões estão acontecendo e as redes aumentam o número de filiados, confirma  o vice-presidente técnico do Conselho Federal de Contabilidade (CFC), Zulmir Breda. “É um movimento importante que permite colaboração mútua, indicação de clientes e troca de informações técnicas.”

Para o presidente da BDO no Brasil, Raul Corrêa da Silva, as mudanças não envolvem apenas pequenas empresas. Segundo ele, a tendência é grandes escritórios crescerem com a prestação de serviços, como folha de pagamento. Neste contexto, a BDO incorporou em 2015 as operações da Baker Tilly Brasil e está atenta a novas oportunidades de aquisição e associação.

Tendências

Globalização, profissionalização, integração de canais de comunicação, segmentação e trabalho em rede. Estas são, segundo o sócio e presidente do Conselho de Administração da NTW Franquia Contábil, Roberto Dias Duarte, as grandes tendências para a área de contabilidade.

No mercado desde 1989, Duarte diz que a empresa se espelhou no modelo americano para definir sua entrada no sistema de franquias. Segundo Duarte, há 14 grandes redes de franquia de serviços contábeis, tributário, financeiros e de processamento de folha de pagamento nos Estados Unidos e ele destaca que algumas já estão atuando no País.

A profissionalização é outro ponto importante.  “Não basta mais ser um bom técnico. Tem que criar uma estrutura de gestão, pensando em estratégias, atuação em nichos, marketing e atendimento a cliente, como em qualquer outra empresa”, afirma Duarte. Na comunicação com o cliente, o empresário avalia que o desafio é atuar em vários canais integrados de comunicação.

A segmentação, ressalta, traz escala e reduz custos, torna o profissional um especialista e garante diferencial. “O escritório pode atender vários segmentos, mas as unidades internas têm que ser construídas de forma segmentada para reduzir custos”, opina. “No exterior, você encontra um serviço de Imposto de Renda on-line que custa U$ 15 ou um atendimento pessoal diferenciado por US$ 200″, afirma Duarte.

O contador Vicente Sevilha Junior, da Sevilha Contabilidade, destaca dois fatores que contribuem para a mudança do cenário na área. Primeiro, a nova geração de empresários, preocupada com a qualidade das informações para dirigir o negócio. Segundo, as exigências do governo também por informação de qualidade. “Embora o governo e as empresas queiram mais informações, o mercado demanda preços mais baixos”, afirma. “Por um momento, o mercado achou que poderia cobrar mais caro e contratar mais gente”, acrescenta.

Para resolver o problema de maiores custos e pressão por menores preços, a Sevilha, criada em 1987, lançou-se no sistema de franquias no ano passado e hoje conta com 11 unidades. “A atuação em rede permite melhor aproveitamento de oportunidades e a redução de custos”, confirma Duarte, da NTW.

Novo fazer

“O cerco está se fechando, a legislação com cada vez mais exigências e quem é sozinho não está conseguindo acompanhar”, afirma o contador Adriano Aparecido Souza da Silva, que, depois de 14 anos como funcionário e como autônomo, decidiu aderir à franquia no ano passado. Hoje ele é diretor executivo da NTW São Paulo, que tem 36 unidades.  Silva conta que o mercado passou a exigir inovações e ele não queria competir por preço.

De acordo com o contador, foi necessário mudar totalmente a maneira de trabalho, desde o padrão até a estrutura física.  “A franquia orienta como chegar ao cliente, que tipo de atendimento oferecer e como fazer a proposta de negócios. Com isso, melhorei a qualidade do serviço e vieram as indicações”, afirma Silva.

Diversificação

Assim como grandes empresas, alguns escritórios de menor porte investem na diversificação. O Grupo Oberle, por exemplo, buscou um novo sócio há dois anos, com experiência em gestão, e oferece serviços como o de formação de preços e marketing, conta o diretor da empresa Fernando Oberle.

A empresa está integrando seus sistemas de informação com os dos clientes, para facilitar a obtenção de dados, reduzir a necessidade de digitação e dar a agilidade necessária ao trabalho.  Além disso, realiza uma série de parcerias oferecendo serviços de auditoria, perícia contábil e certificação digital. Movimento que está mudando a composição da receita da Oberle.

 “Hoje, menos de 90% da receita vem da contabilidade”, afirma Oberle. Dentro de casa também foram feitas mudanças. As áreas contábil, fiscal e departamento de pessoal ganharam reforço e outras atividades foram terceirizadas. Para a tecnologia, por exemplo, foi realizada uma parceria com um dos clientes.

Agora a empresa avalia o lançamento de um serviço on-line para clientes cuja demanda é menor – empresa sem funcionário e que emite  uma nota por mês. O empresário avalia que 40% dos clientes poderão ser atendidos por esse meio. Oberle justifica: “Antes cobrava até meio salário mínimo e agora não dá mais.”

Rita Karam

DCI

O Conselho Monetário Nacional – CMN publicou no Diário Oficial da União – DOU a Portaria nº 4.480 que autoriza a abertura e o encerramento de contas de depósitos por meio eletrônico. Conforme o texto da portaria, é permitida a utilização de assinaturas digitais legais, ou seja, assinaturas realizadas com certificados digitais no padrão da Infraestrutura de Chaves Públicas – ICP-Brasil. Segundo a legislação brasileira, apenas este tipo de certificado gera a certeza da validade jurídica uma vez que é possível atestar os autores e a integridade de documentos eletrônicos.

“Mais uma vez a ICP-Brasil é mencionada como tecnologia de segurança e legalidade por instituições de extrema credibilidade nacional. Decisões como esta do Conselho Monetário Nacional, órgão máximo do sistema financeiro brasileiro responsável pelas politicas monetárias e de crédito, nos fornecem concretude para afirmar que este caminho de desmaterialização de processos e de digitalização é um caminho sem volta”, comentou o diretor presidente do Instituto Nacional de Tecnologia da Informação – ITI, Renato Martini.

Segundo o Banco Central do Brasil, contas de depósitos são aquelas abertas por iniciativa dos titulares por meio de contrato com as instituições bancárias, ou seja, contas corrente e contas poupança. A resolução não abrange a abertura de contas salário por se tratar de vínculo estabelecido entre empregador e banco. Ainda de acordo com o BC, os canais de telefonia não são considerados como meios eletrônicos para as finalidades da resolução.

Fonte: ITI – Instituto Nacional de Tecnologia da Informação

O que é um certificado de atributo em uma carteira de identificação estudantil (CIE) na prática

Por Marcelo Brocado

De uma forma simplificada, o certificado de atributo (CA) é um documento assinado digitalmente pela entidade emissora, em que constam dados que qualificam uma pessoa, como por exemplo, indicando qual é a instituição que o aluno está matriculado e a data de validade entre outros. O certificado de atributo se diferencia principalmente de um certificado digital porque:

• Não contém chaves criptográficas (chave pública/privada);
• Qualificam o portador.

Segundo a ICP-Brasil “O certificado de atributo é um conjunto de informações ou estrutura de dados de segurança e identificação, constantes em campos de um certificado digital, ou anexadas a um outro certificado e assinados com a chave pública da autoridade que o emitiu. Esse certificado traz informações sobre seu titular, como cargo, função, profissão etc. O certificado de atributo também segue o padrão X.509, adotado pela ICP-Brasil na emissão de certificados de pessoa física, jurídica e de equipamentos.”

 

Quem pode emitir um certificado de atributo para alunos?

Pode ser emitido por uma Instituição de Ensino, Associação Nacional de Pós-Graduandos – ANPG –, União Nacional dos Estudantes – UNE -, União Brasileira dos Estudantes Secundaristas – Ubes –, entidades estaduais e municipais, Diretórios Centrais dos Estudantes – DCE – e Centros e Diretórios Acadêmicos, de nível médio e superior.  A autoria da emissão da carteirinha ao aluno, contendo o atributo, é feita mediante a utilização de um certificado ICP-Brasil.

Complemento do ITI 

Como verificar se a carteirinha é válida?

No caso das carteirinhas de identificação estudantil (CIE), o link do QRCode DEVE apontar para o endereço da Instituição emissora e fazer o download do respectivo certificado. Uma vez que se tenha feito o download, a aplicação cliente (App no celular) deve fazer a verificação.

O QRCode aponta para uma URL do certificado de atributo e não para uma página web em que se visualiza a carteirinha.

Por exemplo, supondo que o QRCode aponte para https://cie.<nome da instituição>/id/000001, então temos:

<nome da instituição> é o nome da instituição que emitiu o CA. A instituição deve ter um certificado digital e-CNPJ;

id/000001: é um número identificador (id) único para cada carteirinha emitida.

Acessando o link provido no QRCode, deverá ser feito o download de um arquivo similar ao ilustrado no Quadro 1. O Certificado de Atributo DEVE ser codificado em ASN.1 e representado em base64.

Para abrir o certificado de atributo, conforme o ilustrado no Quadro 1, pode-se utilizar um leitor de ASN.1 em que se visualizar dados como Versão, Dados do Aluno, dados da Instituição, Validade, Assinatura Digital, entre outros. A Figura 1 ilustra alguns desses dados quando aberto o certificado num visualizador de ASN.1.

Os OIDs contém os seguintes dados:

a) OID = 2.16.76.1.10.1 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do titular, no formato ddmmaaaa; nas 11 (onze) posições subsequentes, o Cadastro de Pessoa Física (CPF) do titular; nas 15 (quinze) posições subsequentes, o número da matrícula do estudante; nas 15 (quinze) posições subsequentes, o número do Registro Geral – RG do titular do atributo; nas 10 (dez) posições subsequentes, as siglas do órgão expedidor do RG e respectiva UF

b) OID = 16.76.1.10.2   e   conteúdo   = nas primeiras 40 (quarenta) posições, o nome da instituição de ensino; nas 15 (quinze) posições subsequentes, o grau de escolaridade; nas 30 (trinta) posições subsequentes, o nome do curso,   nas 20 (vinte) posições subsequentes, o município da instituição e nas 2 (duas) posições subsequentes, a UF do município.

Concluindo, o processo de validação de um certificado de atributo constitui-se em:

• Fazer o download do certificado de atributo;
• Abrir e verificar se a estrutura do certificado de atributo segue o padrão estabelecido pelo ITI;
• Verificar se o certificado de atributo está integro (se não foi alterado);
• Verificar se o cerificado digital é de uma instituição habilitada e se foi emitido pela ICP-Brasil;
• Fazer o download da Lista de Certificado de Atributo Revogado(LCAR) e se o certificado de atributo continua válido;
• Apresentar o resultado para o usuário final.

*Marcelo Luiz Brocardo, PhD

PhD pela Universidade de Victoria no Canadá, onde estudou segurança da informação com foco em em autenticação contínua através de biometria comportamental.

Ele também cursou mestrado no LabSec da Universidade Federal de Santa Catarina e pesquisou certificação digital.

E é Colunista do CryptoID.

Contato: marcelo.brocardo@bry.com.br

Acesse a coluna do Marcelo Brocardo do CryptoID