Uma empresa com aspirações de se tornar mais competitiva e bem-sucedida precisa identificar claramente as implicações de segurança na condução de negócios pela Internet e, por sua vez, abordá-las construindo uma infraestrutura segura. Um componente essencial de tal infraestrutura é o certificado digital. Usando criptografia, eles são capazes de fornecer autenticação, privacidade e integridade de dados.
No contexto do comércio eletrônico, são os certificados digitais SSL (Secure Sockets Layer) que formam a base de uma infraestrutura de confiança da internet. Eles oferecem uma troca segura de informações e satisfazem os requisitos de confidencialidade e autenticação de sites comerciais, como se opor a indivíduos.
Porém, para escolher as ferramentas de segurança digital mais apropriadas para o seu site, é fundamental entender as diferenças entre os tipos de certificado digital, e é sobre isso que falaremos neste artigo, de forma detalhada. Acompanhe!
Quais são os tipos de certificados digitais?
Como sabemos, os certificados digitais são senhas eletrônicas que permitem que empresas troquem dados com segurança pela internet utilizando a infraestrutura de chave pública.
Um dos principais benefícios dessas ferramentas é a operacionalidade em viabilizar as transações online de forma segura. A validação é realizada por uma autoridade de certificação de forma criptografada.
É dessa forma que os certificados digitais estabelecem uma via segura de comunicação e dão legitimidade jurídica para atividades como:
- emissão de notas fiscais;
- assinatura de documentos sem a necessidade de reconhecimento de firma;
- acesso a serviços da Receita Federal;
- adesão ao Cadastro Positivo;
- assinatura de declarações e prontuários eletrônicos;
- realização de serviços relacionados a FGTS (Fundo de Garantia do Tempo de Serviço) e Previdência Social (eSocial e eCAC);
- efetivação de operações de comércio exterior;
- consulta a informações do IRPF (Imposto sobre a Renda da Pessoa Física).
Basicamente, existem dois tipos de certificado digital no Brasil, que são diferenciados pelas suas aplicações e pelos níveis de segurança da sua criptografia.
Apesar de terem propriedades parecidas, os certificados A1 e A3 se diferem em alguns pontos importantes. Optar pelo modelo mais apropriado para a sua empresa pode significar economias a longo prazo e garantia de sucesso na transformação digital. A seguir, vamos detalhar um pouco as características de cada um deles.
Certificado A1
A principal característica do certificado digital A1 é que as informações nele contidas ficam registradas em um computador físico. Ele funciona por meio de uma combinação entre uma chave pública e outra privada, geradas no momento da solicitação da certificação — a primeira é enviada para a autoridade certificadora e a segunda fica guardada no computador, preferencialmente, protegida por senha.
Para garantir a segurança do processo, uma chave não pode ser decodificada sem associação com outra. Vale ressaltar aqui que a chave privada é individual e confidencial, mantendo os dados criptografados para que não possam ser lidos apenas com o acesso à chave pública.
Os dados ficam armazenados no computador em que foi efetuada a solicitação assim que a emissão do certificado foi requerida. Dessa forma, as informações ficam protegidas contra modificações. A validade do A1 é de 1 ano.
O principal aspecto desse tipo de certificado é, portanto, o fato de ele não necessitar de um dispositivo suplementar de armazenamento.
Certificado A3
Diferentemente do A1, o certificado digital A3 gera o par de chaves de criptografia por meio de um cartão ou token. Ou seja, ela é realizada em um hardware que pode ser transportado, permitindo a utilização do certificado em outros dispositivos.
Nesse sentido, um dos principais benefícios do A3 é a mobilidade que ele oferece, já que é possível levar o dispositivo em que ele foi armazenado para qualquer local. Além disso, a validade também é uma vantagem, podendo ter duração de até 3 anos, dependendo do tipo de mídia utilizada.
No A3, a chave pública é encaminhada para a autoridade certificadora, assim como no A1. A diferença está na chave privada, que guardará, protegidos por senha, os dados no dispositivo de armazenamento. Isso garante a segurança das informações no transporte para outros locais.
Por esses motivos, o A3 é considerado uma escolha mais segura e, por isso, vem sendo cada vez mais utilizado como forma de garantir a assinatura virtual das empresas em diferentes operações.
Quais as diferenças entre os certificados A1 e A3?
Como falado no tópico anterior, a diferença básica entre os dois certificados está relacionada à forma como as chaves de codificação são emitidas.
No certificado A1, elas são geradas no próprio computador no qual o certificado será usado. Já no A3, a geração é feita em um dispositivo avulso, o que garante uma maior proteção às informações. Outro aspecto importante na diferenciação entre os dois modelos é que a validade do certificado A3 é três vezes maior.
Esses dois aspectos centrais impactam diretamente na forma como a segurança dos dados é feita. O A3 assegura de forma mais efetiva a identidade da empresa e garante mais mobilidade no uso desse tipo de ferramenta.
Como escolher o melhor modelo de certificado digital para o seu negócio?
Para escolher o certificado digital mais adequado para a sua empresa, é importante levar em conta fatores como:
- segurança;
- mobilidade;
- operacionalidade;
- funcionalidades;
- custos a longo prazo;
- rotina de processos na empresa;
- nível de demanda de certificações digitais.
Como destacamos ao longo do artigo, o certificado A3 garante uma geração mais protegida da chave de segurança para criptografia das informações. Em caso de perda do dispositivo, por exemplo, não é preciso se preocupar com a utilização de terceiros, já que é impossível copiar as informações contidas nele.
Após a escolha do certificado digital ideal para o seu negócio, é preciso validar alguns documentos pessoais nos postos autorizados da Autoridade Certificadora:
- Registro Geral (RG);
- Carteira Nacional de Habilitação (CNH);
- Carteira de entidade de classe (CREA, CRC, CRM etc.);
- Carteira de Identidade de Estrangeiro (CIE) ou Passaporte vigente (estrangeiro domiciliado no Brasil);
- CPF (Cadastro Pessoa Física);
- comprovante de residência ou domicílio, emitido há no máximo 3 meses da data de validação presencial;
- biometria e fotografia são coletadas no ato do atendimento, conforme disposto no DOC-ICP-05.03.
Como funciona a revenda de certificado digital?
Para driblar a crise, muitas pessoas e empresas têm se tornado Certificadores Autorizados da ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) do ITI – Instituto de Tecnologia da Informação do Governo Federal.
Segundo o site do ITI:
“o modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz – AC-Raiz, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.”
A ICP-Brasil é formada por:
- entidades credenciadas;
- Autoridade Certificadora Raiz – AC-Raiz;
- Autoridades Certificadoras – ACs;
- Autoridades de Registro – ARs;
- Autoridades Certificadoras do Tempo – ACTs;
- Prestadores de Serviço Biométrico – PSBios;
- Prestadores de Serviço de Suporte – PSS;
- autoridade gestora de políticas (Comitê Gestor da ICP-Brasil).
Uma vez que o certificado digital é obrigatório por lei e confere acesso a vários serviços do governo, especialmente para empresas, o modelo de negócio está em crescente expansão. As Autoridades Certificadoras se responsabilizam pela emissão de certificados digitais e geram oportunidades de empregos diretos e indiretos. Ainda, segundo o site:
“As ACs são entidades públicas ou pessoas jurídicas de direito privado credenciadas à AC-Raiz e que emitem certificados digitais vinculando pares de chaves criptográficas ao respectivo titular. Nos termos do art. 60 da MP 2.200/01, compete-lhes “emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações”.”
O investimento exigido pelo negócio é baixo e o retorno imediato. Os pontos de atendimento funcionam como uma franquia, sem que seja necessário o pagamento de royalties, pois o faturamento é comissionado (a porcentagem paga por certificado pode chegar até 25% do valor pago pelo cliente final).
Infraestrutura necessária
Alguns requisitos de infraestrutura são exigíveis para a prestação de um serviço adequado aos usuários que buscarão um certificado digital na revenda:
- computador ou notebook de qualquer marca, desde que respeitadas as configurações exigidas e de uso exclusivo para a emissão dos certificados;
- processador (3M Cache, 3.30 GHz ou superior, 64 bits (x64);
- memória RAM 4Gb ou superior;
- 3 interfaces USB;
- HD 250 GB ou superior;
- Windows nas Versões: 7, 8, 8.1 ou 10, Profissional, Ultimate ou Enterprise, com licença etiquetada e nota fiscal de compra;
- web cam Logitech HD Pro C920;
- leitor biométrico Futronic ou Digiscan FS80H;
- impressora ou multifuncional;
- scanner com aplicativo que converta os arquivos em formato PDF
- conexão de internet acima de 2 MB;
- certificado digital e-CPF A3 em Token ou Cartão;
- leitora em nome da autoridade certificadora.
O suporte e treinamento são dados pela Autoridade de Registro responsável pela nomeação da Autoridade Certificadora. Toda AC deve apresentar uma AR operacionalmente vinculada às suas atividades ou solicitar seu próprio credenciamento. Ainda é necessário:
“apresentar a relação de eventuais candidatos ao credenciamento para desenvolver as atividades de Prestador de Serviço de Suporte – PSS; ter sede administrativa localizada no território nacional; e ter instalações operacionais e recursos de segurança física e lógica, inclusive sala-cofre, compatíveis com a atividade de certificação, localizadas no território nacional, ou contratar PSS que a possua.”
Como se tornar uma revenda de certificado digital
Para se credenciar como Autoridade Certificadora ou Autoridade de Registro, a pessoa jurídica ou entidade interessada deverá se submeter a uma auditoria do ITI, de acordo com o DOC-ICP-03, aprovado pela Resolução do CG ICP-Brasil nº 40, de 18 de Abril de 2006 e suas alterações.
Os critérios para aprovação, segundo o site do ITI, são:
- ser órgão ou entidade de direito público ou pessoa jurídica de direito privado;
- estar quite com todas as obrigações tributárias e os encargos sociais instituídos por lei;
- atender aos requisitos relativos à qualificação econômico-financeira conforme a atividade a ser desenvolvida;
- atender às diretrizes e normas técnicas da ICP-Brasil relativas à qualificação técnica aplicáveis aos serviços a serem prestados.
Por que se tornar uma Autoridade Certificadora?
Ao se tornar uma AC, a entidade diversifica suas atividades e pode ter um ganho extra com a emissão de certificados digitais, uma vez que a exigência ainda é recente e muitas empresas ainda estão em processo de adequação.
Todas as novas empresas do país precisam adquirir um certificado digital e como o documento tem prazo de validade, anualmente ou trienalmente o mesmo volume de empreendedores precisará renovar seu cadastro.
Quais os motivos para que uma empresa adquira um certificado digital?
A digitalização de processos e a necessidade de se adequar a esse novo contexto da transformação digital são bons motivos para que os empreendedores tenham um modelo de certificado digital em suas empresas.
O usuário pode assinar documentos de qualquer lugar com a mesma validade jurídica de um cartório, acessar serviços mais rápidos e integrados disponibilizados pelo Governo Federal, a tecnologia também tem a mesma validade de um CPF ou CNPJ em transações diversas.
Todas essas possibilidades aumentam a comodidade, agilidade e a segurança nas transações efetivadas pelos usuários. Veja outras vantagens a seguir:
- sustentabilidade nas operações, a partir da redução do uso de papel e do consumo de suprimentos para impressão;
- produtividade em rotinas organizacionais;
- desburocratização de processos;
- menores custos operacionais;
- maior segurança contra fraudes;
- redução de erros no preenchimento de documentos;
- rapidez na validação das informações declaradas;
- acessibilidade aos principais serviços do governo (SPED, SISCOMEX, e-CAC, Receitanet, eSocial etc.) e acompanhamento de todos os procedimentos realizados nas plataformas;
- possibilidade de solicitar procurações eletrônicas;
- facilidade da consulta de situação fiscal, declarações anteriores, verificação de pendências e retificação de documentos.
Os certificados digitais representam um grande desenvolvimento tecnológico no que diz respeito à agilidade e à precisão na utilização de informações essenciais para as empresas. Além disso, eles são responsáveis por eliminar grande parte da burocracia e oferecer mais segurança nas transações digitais.
É importante ressaltar que, independentemente da escolha entre os dois tipos de certificado digital apresentados neste artigo, é essencial que você, como gestor de TI, examine se existe compatibilidade entre os objetivos do negócio e a aquisição desse documento digital, considerando as especificidades de armazenamento e operacionalidade de cada um.
Quer incrementar ainda mais o seu negócio de revenda de certificado digital com a criação de uma página para a divulgação das operações da sua empresa? Então entre em contato com a ValueHost e descubra como podemos ajudá-lo!