SaaS para certificado em nuvem: combinação para ter segurança e mobilidade nas assinaturas digitais

O uso de soluções de assinatura digital e carimbo do tempo transforma a rotina de empresas e governos. Esses recursos criptográficos oferecem a confiabilidade da autenticação e a praticidade de não depender de papéis para dar andamento a processos e rotinas. Mas é possível inovar ainda mais e ganhar mobilidade ao usar um certificado (identidade digital) em nuvem.

Esse tipo de certificado digital tem vantagens significativas em relação aos emitidos em tokens ou smartcards: a principal delas é a possibilidade de serem acessados por meio de qualquer dispositivo conectado à internet sem a necessidade da instalação de componentes ou drivers específicos. O certificado digital em nuvem já é utilizado pelo mercado a algum tempo no Brasil, e a sua adoção crescente em diversas verticais forçou a criação de um normativo específico sobre o tema: o DOC-ICP-17, que permite o armazenamento dos certificados digitais em nuvem. Conforme o texto, as entidades Prestadoras de Serviço de Confiança (PSC) é que têm a responsabilidade de guardar esses certificados, existindo ainda a possibilidade de uso de certificados em nuvem privada sem o uso de uma PSC.

Ao adotar o certificado em nuvem, a organização pode usufruir das seguintes vantagens:

• mobilidade: o certificado armazenado na nuvem pode ser lido por outras aplicações integradas, o que habilita o portador a assinar documentos digitalmente de qualquer aparelho eletrônico como tablets, smartphones, e outros produtos que ofereçam conexão à internet;
• praticidade técnica: uma vez que o certificado esteja na nuvem, não é preciso instalar mais nada no dispositivo. No modelo tradicional, baseado em tokens e smartcards, o usuário precisa de drivers para que os softwares reconheçam o recurso criptográfico;
• automatização das assinaturas: organizações que assinam muitos documentos por dia podem assiná-los com apenas uma autorização e com grande ganho de performance.

Essas possibilidades são úteis, sobretudo pelo fato de que hoje não há nenhuma normativa da Infraestrutura de Chaves Públicas do Brasil (ICP-Brasil, entidade que estabelece as regras e padrões de assinatura digital no país) que autorize o armazenamento de certificados digitais em dispositivos móveis. Esse tipo de equipamento não oferece os padrões de segurança necessários nem costumam aceitar conexões de dispositivos externos para ler os tokens e smartcards.

Certificado na nuvem está sob várias camadas de segurança

Diferentemente do que ocorre com os certificados tradicionais, que têm suas chaves mantidas em pequenas memórias USB (tokens) ou cartões inteligentes e podem ser perdidos ou usados indevidamente, os certificados em nuvem são mantidos sob rigoroso sistema que garante a inviolabilidade dos dados. Para atender às diretrizes de segurança da ICP-Brasil eles têm que ser mantidos em máquinas especiais chamadas Hardware Security Module (HSM). Elas são servidores que armazenam as chaves e executam as operações criptográficas atendendo às solicitações das aplicações externas — logo, não há contato direto entre o meio externo e o “cofre” onde o certificado digital está armazenado. Adiciona-se a isso a possibilidade de registro e rastreabilidade, ou seja, lembrar qual documento e quanto assinou.

Esse tipo de equipamento está disponível nas entidades prestadoras de serviço de confiança (PSC) ou podem ser adquiridos por quem tem certificados digitais e quer mantê-los na nuvem, mas dentro de um data center próprio. Os modelos de contratação são os seguintes:

• SaaS de armazenamento de certificados: conjunto de soluções que permitem a interface entre as aplicações que demandam (utilizam) o certificado e o local onde ele está armazenado. Há prestadores de serviço de SaaS de certificado em nuvem no mercado, que aceitam inclusive armazenar as chaves criptográficas vendidas por outros fornecedores;
• Prestação de serviços na infraestrutura do cliente: o cliente aluga da empresa uma parte ou vários dispositivos HSM e mantém lá dentro os seus certificados. O acesso é limitado aos usuários autorizados e a gestão dos equipamentos, que podem ser instalados no data center do próprio cliente, são responsabilidade dele;
• Licenciamento  da tecnologia: é útil em casos onde o cliente possui uma nuvem própria.

Esse tipo de serviço já está funcionando em diversas instituições públicas e privadas. Para alguns segmentos de negócio, como o ramo das seguradoras, pode ser um diferencial importante entre vender mais ou menos apólices num tempo mais curto do que os concorrentes. Isso porque as normas do setor já exigem que esse documento seja assinado digitalmente por meio de um certificado. Justamente para evitar que cada uma delas precise receber um “OK” de um operador humano que clicará em um botão, é conveniente usar uma plataforma dessas para dinamizar o ritmo de trabalho.

Na área pública, é possível assinar documentos que tramitam entre vários órgãos de forma integrada. Além de permitir que se faça um acompanhamento em tempo real do estágio de tramitação de um determinado processo, por exemplo, evita que cada servidor público tenha que ter um token ou smartcard — que geralmente ficam sobre as mesas e podem ser perdidos ou usados por quem não está autorizado.

Segurança do certificado armazenado em nuvem

A opção por este tipo de solução é a mais segura que uma empresa pode adotar. Como você leu antes, os certificados ficam armazenados em um servidor de alta segurança e podem ser acessados a partir de qualquer dispositivo, sem que haja interação entre os dados que vêm de fora com a chave mantida em segurança dentro do HSM.

Como todo certificado, é necessário que ao utilizá-lo o usuário valide a operação (que pode ser feita em lote nos casos de grande volume de assinaturas). Isso ocorre por meio de senha, coleta da biometria do titular do certificado ou dispositivo OTP (one time password, que geram códigos aleatórios de curta duração).

Outra característica que garante a segurança é que um servidor HSM recebe, processa e fornece as informações solicitadas por uma aplicação, sem nunca realizar a exportação da chave (certificado) criptográfica. Isso impede que alguém tenha acesso indevido aos dados que garantem a autenticidade do titular deste recurso.

Plugin permite integração com soluções externas

Para os casos em que não exista a integração nativa entre a plataforma da nuvem e a que pede a validação por meio de um certificado, há um plugin especial que pode ser instalado em computadores com os sistemas operacionais mais tradicionais do mercado (Windows, macOS e Linux). 

Essa técnica estabelece uma “ponte” entre o HSM e o site onde o usuário deseja usar o certificado e a operação ocorre de forma transparente. Ou seja: não é preciso ter nenhum conhecimento técnico para executar esta ação.

Ampliação do uso do certificado digital

Por fim, uma das maiores vantagens que a adoção do certificado em nuvem pode trazer para as empresas é o aumento da frequência de uso deste recurso. Hoje a maior parte das corporações que têm certificado digital o deixam (os dispositivos físicos) com os contadores, que precisam validar prestações de contas e envio de informações aos sistemas contábeis. Por não tê-los à mão, é difícil aplicar os certificados em mais situações no dia a dia.

Aprenda outras formas de como a certificação digital pode transformar a realidade da sua empresa e invista na tecnologia que garante mais segurança e rapidez na sua rotina.