BRy desenvolve certificação digital com autoridade de atributo
Desde 2001, o marco regulatório da internet estabeleceu a certificação digital como a forma mais indicada para identificar um usuário em meio eletrônico. Recentemente, identificou-se a necessidade de permitir, também, a qualificação de um usuário. Ou seja, atestar a identidade não basta, é preciso também agregar outros atributos, como profissão, ligação com entidades de classe, vínculo com empresas, clubes, tanto para pessoas físicas como jurídicas.
Desde 2001, o marco regulatório da internet estabeleceu a certificação digital como a forma mais indicada para identificar um usuário em meio eletrônico. Recentemente, identificou-se a necessidade de permitir, também, a qualificação de um usuário. Ou seja, atestar a identidade não basta, é preciso também agregar outros atributos, como profissão, ligação com entidades de classe, vínculo com empresas, clubes, tanto para pessoas físicas como jurídicas. Em parceria com o Laboratório de Segurança da Informação (LabSEC) da Universidade Federal de Santa Catarina (UFSC), a BRy Tecnologia, de Florianópolis (SC), é pioneira na região Sul do país a desenvolver tecnologia para as chamadas Entidades Emissoras de Certificados de Atributos.
O Certificado de Atributos consiste em um documento eletrônico com informações que qualificam uma pessoa física ou jurídica identificada por seu certificado digital. Um exemplo é a emissão de um atestado de matrícula eletrônico com validade jurídica, em que uma instituição de ensino atesta o vínculo com um de seus alunos. Para acesso aos serviços da instituição ou mesmo de terceiros, como o pagamento de meia-entrada, o aluno conta com uma prova segura, inviolável e reconhecida pela legislação brasileira desse direito. Pode-se citar ainda a emissão de atestados médicos eletrônicos, carteiras profissionais, entre outros.
O Certificado de Atributos eliminou a necessidade de incluir informações excessivas, relacionadas à qualificação de usuários, no próprio certificado digital. “Isso trazia uma série de complicações, pois alguém pode deixar de ser sócio de um clube, por exemplo, ou ter a licença profissional cassada, mas jamais vai deixar de ser quem é. Para remover uma informação referente à profissão de um titular de certificado era preciso revogar o certificado e emitir outro, gerando um transtorno desnecessário”, explica Jeandré Monteiro Sutil, diretor técnico da BRy.
Segundo o diretor, certificados digitais devem conter apenas atributos relacionados à identidade do indivíduo, estáticos, enquanto Certificados de Atributos permitem atributos dinâmicos e de contexto mais específico. O primeiro certificado é emitido por Autoridades Certificadoras mediante um rígido processo de identificação presencial. Já o segundo pode ser emitido por qualquer entidade detentora de um certificado digital, as chamadas Entidades Emissoras de Atributos ou EEAs.
Prevenção de fraudes em benefícios
A autoridade de atributo pode ser aplicada na prevenção de fraudes nos mais variados cenários. Antes de garantir acesso a um medicamento pelo Sistema Único de Saúde, por exemplo, o sistema de dispensação de medicamentos de um hospital conveniado poderá conferir, de forma automatizada e inviolável, que o beneficiário tem direito a ele. Para tanto, bastará que seja verificada a prescrição eletrônica emitida por um médico, devidamente qualificado por um certificado de atributos emitido pelo Conselho Federal de Medicina. A própria prescrição também pode ser um certificado de atributos assinado pelo médico ou instituição a que este representa.
Caso haja uma mudança na condição do paciente, o certificado de atributo pode ser revogado e o benefício é automaticamente cancelado. O objetivo é prevenir atos ilícitos, pois é possível uma pessoa adulterar facilmente uma prescrição médica para obter vantagens. No cenário apresentado, um sistema emissor de certificados de atributos estaria vinculado ao sistema de registro eletrônico utilizado em unidades de saúde. Quando um médico emitir a prescrição, estará declarando que aquele paciente tem direito ao medicamento por determinado período.
Outra aplicação prática é a utilização da tecnologia em Juntas Comerciais e outros órgão da administração pública. Uma vez adotada, a certificação de atributos permitirá qualificar detentores de certificados digitais como representantes legais das empresas. Como o certificado de atributos pode ser incorporado a uma assinatura, dispensará o envio do estatuto social como forma de comprovar a representação legal de uma pessoa jurídica.
Na Receita Federal, a autorização de atributo pode desburocratizar processos, como o de emissão de Certidões Negativas de Débito (CNDs). Ao invés de imprimir um papel com a CND e apresentar junto a uma terceira entidade, o próprio sistema da entidade interessada pode buscá-lo diretamente nos repositórios da Receita Federal, pela internet. Com isso, elimina-se as impressões e agrega-se maior segurança ao processo, pois o certificado de atributos é protegido contra adulteração e possui valor legal como prova.
Regulação ocorreu a partir de 2012
Somente em 2012, o Certificado de Atributos foi regulamentado pela ICP-Brasil, órgão responsável pelo sistema nacional de certificação digital. A BRy oferecerá a tecnologia a entidades de classes, órgãos públicos e privados que emitem documentos oficiais, como declarações, atestados, ou credenciais de acesso. Com a tecnologia aplicada ao Conselho Federal de Medicina ou aos Conselhos Regionais de Engenharia e Arquitetura, por exemplo, será possível identificar o profissional como filiado sem modificar sua certificação digital original. As próprias instituições serão capazes de emitir a credencial, sem precisarem constituir um Autoridade Certificadora.