Notícias
A biometria na ICP-Brasil
Por Eduardo Lacerda*
Em setembro de 2015, o Comitê Gestor da ICP-Brasil aprovou o uso de sistema biométrico na verificação dos requerentes no processo de emissão do certificado digital. A partir de então, desencadearam-se diversas ações por parte da comunidade da ICP-Brasil que afetarão não só os processos internos mas também os administradores de sistemas e aplicações digitais que procuram ou estudam facilitar, desburocratizar e prover mais segurança às plataformas que afetam o dia a dia de empresas e indivíduos. Difícil será a tarefa, neste texto, de condensar anos de estudo.
A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, durante seus 15 anos, vivenciou momentos históricos. A promulgação de sua pedra fundamental, a MP 2200-2 de 24 de agosto de 2001, diploma legal que guia os caminhos desta infraestrutura constituiu-se primeiro e retumbante marco. A emissão da cadeia V0, a primeira cadeia, outro. O programa João de Barro com o advento da construção e domínio da plataforma para Autoridade Certificadora Raíz nativa, nacional, em parceria com a UFSC, CASNAV, ITA, ABIN, CEPESC, RNP e FINEP demonstra-se até os dias atuais como um brutal acerto e ato ímpar do país. A adoção continuada de programas e aplicações dirigidas aos cidadãos e empresas e utilizando esta ferramenta chamada certificado digital e seu reluzente sucesso deixa a todos, que vivem intensamente neste ambiente, orgulhosos do trabalho feito. Certamente, dentre todas as normas marcantes aprovadas pelo Comitê Gestor da ICP-Brasil, a adoção de um sistema biométrico estará no rol das anteriores. A preservação desta plataforma de chaves públicas deve ser entendida como uma política permanente de infraestrutura tecnológica e de segurança da informação a serviço deste país.
Amadurecimento! Não há interjeição melhor para explicar a nossa chegada aos ditames biométricos. A ICP-Brasil estuda o tema há mais de sete anos – nestes últimos três com muito afinco e em total parceria com as AC e AR, fundamentais nesse caminho. Conhecemos a tal ponto este certame que não nos afastamos da contenda sobre suas inerentes vulnerabilidades, fragilidades, riscos, dificuldades, ao contrário, propomos um conjunto normativo para mitigar tais sem receio dos limites desta tecnologia. Normas, aliás, impositivas no tamanho do grau de segurança, não visto em outros sistemas biométricos utilizados no país, que requerem permanentes debates, aprendizados, superações e aprimoramentos. Um ponto é fundamental: a identificação primária e presencial de indivíduos não pode se furtar de utilizar o componente biométrico em suas verificações. Isso é um argumento irrefutável, assim como também será o tratamento rigoroso e único que a ICP-Brasil dará a estas informações.
O sistema biométrico da ICP-Brasil, além de seguir os hígidos postulados sobre a matéria, respeita rigorosamente alguns princípios desta infraestrutura: segurança, confiabilidade, interoperabilidade e autonomia das Autoridades Certificadoras. São mais de cem páginas normativas a construir este universo. Enganam-se aqueles que em uma rápida leitura versem que a ICP-Brasil se calcará, no seu processo de emissão de um certificado digital, somente em verificações biométricas. Todo o arcabouço tecnológico e social para averiguações impostas em normativos permanecerá, nesse primeiro momento, adicionado de um processo biométrico (arcabouço que atualmente faz da ICP-Brasil, em volumes de emissão de certificados, um dos sistemas de verificação de indivíduos mais seguros do país). Os regramentos de segurança física e lógica, assemelhados, por muito idênticos, aos ambientes que operam uma AC, para as entidades que pretendem prover o serviço biométrico na ICP-Brasil são, sem dúvida, os mais seguros do país na matéria. Todas estas entidades serão credenciadas pelo ITI antes de entrarem em operação. Serão auditadas também por empresas independentes anualmente. Seremos pioneiros na construção de critérios de auditoria e fiscalização de sistemas biométricos no país.
Há tempos se escreve sobre o binômio facilidade x segurança. O certificado digital ICP-Brasil surge como contestação tecnológica a esse raciocínio inversamente proporcional, tornando-o proporcional. A inegável atribuição do mesmo em facilitar a vida dos cidadãos e empresas brasileiras, desburocratizar processos, reduzir custos, agilizar procedimentos, com o devido regramento jurídico que embasa as assinaturas digitais em documentos eletrônicos de qualquer natureza, soma-se ao que denominamos quadripé institucional de um certificado digital da ICP-Brasil: segurança física, segurança lógica, homologação de seus produtos e processo de identificação dos requerentes (incluindo à rastreabilidade documental e sumária revogação eletrônica em qualquer caso de possível irregularidade). O país tem uma ferramenta de altíssima eficiência em facilitar e dar mais segurança tecnológica e jurídica a todos os processos eletrônicos.
A todos os gestores de sistemas e aplicações tecnológicas, públicas ou privadas, informamos que a eminente requalificação biométrica do requerente de um certificado digital ICP-Brasil elevará, ainda mais, a nossa infraestrutura tecnológica para o sistema antifraude mais eficiente do país. Aos que estudam a adoção do certificado digital ICP-Brasil em seus sistemas repisamos que, além das funcionalidades descritas, este trará, ao mesmo tempo, uma colossal infraestrutura de segurança tecnológica e procedimental de todos os atos que semeiam esta ferramenta, seja no processo de credenciamento de entidades culminando com a entrega ao titular portador de direito do mesmo. O papel de proporcionar a segurança na autenticação de indivíduos ou entidades e a conhecida assinatura digital com validade jurídica em documentos eletrônicos caberá a ICP-Brasil.
*Eduardo Lacerda é formado em Engenharia Elétrica pela Universidade de Brasília. Tem especialização em Telecomunicações. Atuou como gerente de Engenharia de Otimização em projetos para Alcatel Telecomunicações entre os anos de 2004 a 2007 quando tornou-se Perito Criminal Federal. Trabalhou nos projetos do sistema de interceptação da Polícia Federal, Passaporte Eletrônico, Sistema de Controle Migratório e no RIC. Desde de 2011 é assessor do
diretor-presidente do Instituto Nacional de Tecnologia da Informação.
Por Eduardo Lacerda*
Em setembro de 2015, o Comitê Gestor da ICP-Brasil aprovou o uso de sistema biométrico na verificação dos requerentes no processo de emissão do certificado digital. A partir de então, desencadearam-se diversas ações por parte da comunidade da ICP-Brasil que afetarão não só os processos internos mas também os administradores de sistemas e aplicações digitais que procuram ou estudam facilitar, desburocratizar e prover mais segurança às plataformas que afetam o dia a dia de empresas e indivíduos. Difícil será a tarefa, neste texto, de condensar anos de estudo.
A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, durante seus 15 anos, vivenciou momentos históricos. A promulgação de sua pedra fundamental, a MP 2200-2 de 24 de agosto de 2001, diploma legal que guia os caminhos desta infraestrutura constituiu-se primeiro e retumbante marco. A emissão da cadeia V0, a primeira cadeia, outro. O programa João de Barro com o advento da construção e domínio da plataforma para Autoridade Certificadora Raíz nativa, nacional, em parceria com a UFSC, CASNAV, ITA, ABIN, CEPESC, RNP e FINEP demonstra-se até os dias atuais como um brutal acerto e ato ímpar do país. A adoção continuada de programas e aplicações dirigidas aos cidadãos e empresas e utilizando esta ferramenta chamada certificado digital e seu reluzente sucesso deixa a todos, que vivem intensamente neste ambiente, orgulhosos do trabalho feito. Certamente, dentre todas as normas marcantes aprovadas pelo Comitê Gestor da ICP-Brasil, a adoção de um sistema biométrico estará no rol das anteriores. A preservação desta plataforma de chaves públicas deve ser entendida como uma política permanente de infraestrutura tecnológica e de segurança da informação a serviço deste país.
Amadurecimento! Não há interjeição melhor para explicar a nossa chegada aos ditames biométricos. A ICP-Brasil estuda o tema há mais de sete anos – nestes últimos três com muito afinco e em total parceria com as AC e AR, fundamentais nesse caminho. Conhecemos a tal ponto este certame que não nos afastamos da contenda sobre suas inerentes vulnerabilidades, fragilidades, riscos, dificuldades, ao contrário, propomos um conjunto normativo para mitigar tais sem receio dos limites desta tecnologia. Normas, aliás, impositivas no tamanho do grau de segurança, não visto em outros sistemas biométricos utilizados no país, que requerem permanentes debates, aprendizados, superações e aprimoramentos. Um ponto é fundamental: a identificação primária e presencial de indivíduos não pode se furtar de utilizar o componente biométrico em suas verificações. Isso é um argumento irrefutável, assim como também será o tratamento rigoroso e único que a ICP-Brasil dará a estas informações.
O sistema biométrico da ICP-Brasil, além de seguir os hígidos postulados sobre a matéria, respeita rigorosamente alguns princípios desta infraestrutura: segurança, confiabilidade, interoperabilidade e autonomia das Autoridades Certificadoras. São mais de cem páginas normativas a construir este universo. Enganam-se aqueles que em uma rápida leitura versem que a ICP-Brasil se calcará, no seu processo de emissão de um certificado digital, somente em verificações biométricas. Todo o arcabouço tecnológico e social para averiguações impostas em normativos permanecerá, nesse primeiro momento, adicionado de um processo biométrico (arcabouço que atualmente faz da ICP-Brasil, em volumes de emissão de certificados, um dos sistemas de verificação de indivíduos mais seguros do país). Os regramentos de segurança física e lógica, assemelhados, por muito idênticos, aos ambientes que operam uma AC, para as entidades que pretendem prover o serviço biométrico na ICP-Brasil são, sem dúvida, os mais seguros do país na matéria. Todas estas entidades serão credenciadas pelo ITI antes de entrarem em operação. Serão auditadas também por empresas independentes anualmente. Seremos pioneiros na construção de critérios de auditoria e fiscalização de sistemas biométricos no país.
Há tempos se escreve sobre o binômio facilidade x segurança. O certificado digital ICP-Brasil surge como contestação tecnológica a esse raciocínio inversamente proporcional, tornando-o proporcional. A inegável atribuição do mesmo em facilitar a vida dos cidadãos e empresas brasileiras, desburocratizar processos, reduzir custos, agilizar procedimentos, com o devido regramento jurídico que embasa as assinaturas digitais em documentos eletrônicos de qualquer natureza, soma-se ao que denomino quadripé institucional de um certificado digital da ICP-Brasil: segurança física, segurança lógica, homologação de seus produtos e processo de identificação dos requerentes (incluindo à rastreabilidade documental e sumária revogação eletrônica em qualquer caso de possível irregularidade). O país tem uma ferramenta de altíssima eficiência em facilitar e dar mais segurança tecnológica e jurídica a todos os processos eletrônicos.
A todos os gestores de sistemas e aplicações tecnológicas, públicas ou privadas, informo que a eminente requalificação biométrica do requerente de um certificado digital ICP-Brasil elevará, ainda mais, a nossa infraestrutura tecnológica para o sistema antifraude mais eficiente do país. Aos que estudam a adoção do certificado digital ICP-Brasil em seus sistemas repiso que, além das funcionalidades descritas, este trará, ao mesmo tempo, uma colossal infraestrutura de segurança tecnológica e procedimental de todos os atos que semeiam esta ferramenta, seja no processo de credenciamento de entidades culminando com a entrega ao titular portador de direito do mesmo. O papel de proporcionar a segurança na autenticação de indivíduos ou entidades e a conhecida assinatura digital com validade jurídica em documentos eletrônicos caberá a ICP-Brasil.
*Eduardo Lacerda é formado em Engenharia Elétrica pela Universidade de Brasília. Tem especialização em Telecomunicações. Atuou como gerente de Engenharia de Otimização em projetos para Alcatel Telecomunicações entre os anos de 2004 a 2007 quando tornou-se Perito Criminal Federal. Trabalhou nos projetos do sistema de interceptação da Polícia Federal, Passaporte Eletrônico, Sistema de Controle Migratório e no RIC. Desde de 2011 é assessor do
diretor-presidente do Instituto Nacional de Tecnologia da Informação.