Em 19 de dezembro de 2016, foi publicado o Decreto nº 8.936, que instituiu a Plataforma de Cidadania Digital e dispôs sobre a oferta dos serviços públicos digitais, no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional. Em dezembro de 2021, foi dada nova redação por meio do Decreto nº 10.900 em que instituiu a Plataforma GOV.BR.  Assim, como forma de atender a legislação, criou-se a Conta GOV.BR, que é um mecanismo de identificação que comprova em meios digitais que o cidadão é quem ele diz ser.  

Os níveis da Conta GOV.BR, que visam promover a segurança na aplicação, nas relações entre setor público e cidadãos, atualmente classificados como bronze, prata e ouro (respectivamente, do menor nível para o maior) são requisitos previamente definidos nas configurações de autenticação. Além da utilização dos níveis da Conta GOV.BR, há a possibilidade de adicionar recursos extras, a fim de mitigar riscos de fraudes e acessos indevidos, tais como o uso do MFA (Autenticação Multifator), popularmente conhecida como verificação em duas etapas (2FA) e a gestão de dispositivos.   

A gestão de dispositivos é a opção que o cidadão tem de habilitar equipamentos (computadores, celulares e tablets) em que confia e que acessarão sua Conta GOV.BR. Após habilitar essa opção, sempre que for acessar um serviço digital de um novo dispositivo, a pessoa precisará autorizá-lo pelo aplicativo GOV.BR antes de realizar o acesso.  

A verificação em duas etapas, é um mecanismo de segurança implementado no aplicativo GOV.BR com o objetivo de proteger a conta do cidadão contra acessos indevidos. Após habilitar a verificação em duas etapas, o cidadão precisará, para cada login na Conta GOV.BR, informar o código enviado para o aplicativo supracitado a fim de confirmar a sua identidade digital.  

Adicionalmente, considerando a importância de se ter uma Conta GOV.BR segura, também é oferecido aos órgãos que possuem o seu serviço público integrado com a Conta GOV.BR, a possibilidade de que seja adicionado esta camada extra de proteção naqueles serviços com maior criticidade. Deste modo, alguns critérios devem ser considerados pelos gestores, na escolha do nível de confiabilidade a ser implementado nas integrações.   

Assim, uma avaliação de risco se torna condição primordial, que antecede a escolha de qual nível deve ser utilizado nos requisitos de uma integração. Dito isso, se faz necessário identificar o maior número possível de fatores, principalmente os mais relevantes, que possam afetar os dados pessoais ou financeiros das pessoas e estimar a probabilidade de materialização do risco e o impacto inerente, se faz necessário.   

Segundo a Associação Brasileira de Normas Técnicas (2009) entende-se por risco o efeito da incerteza nos objetivos, ou seja, a probabilidade de que um evento adverso ocorra, afetando ou impactando o objetivo pretendido (magnitude de suas consequências). O risco é geralmente avaliado em termos de potencial de perda, dano ou prejuízo.   

O impacto pode ser interpretado como à magnitude das consequências que podem resultar de um evento adverso. Este, pode ser considerado uma medida do dano potencial que uma situação adversa pode causar a uma organização, seus processos, sistemas, pessoas, reputação entre outros. Em termos de segurança da informação ou gestão de riscos, o impacto pode incluir perda financeira, interrupção dos negócios, violação de conformidade, danos à reputação e outros efeitos negativos.  

Neste contexto, alguns critérios devem ser considerados pelo gestor que digitizou o seu serviço público, quais sejam:  

De forma esquemática, pode-se avaliar os critérios de segurança a serem adotados, conforme a matriz de risco e impacto a seguir: