Ver Feed RSS

blog.dennyroger.com.br

Nota fiscal eletrônica: certificados expõem empresas a riscos

Avalie este Post de Blog
Segundo especialista, cerca de 95% das companhias que adotaram o sistema estão desprotegidas por vulnerabilidades.

Por Rodrigo Afonso, da COMPUTERWORLD

Após período de implantação nas empresas, a nota fiscal eletrônica (NFe) é realidade na maioria das transações que antes se valia de documentos em papel. O mercado de tecnologia da informação se apressou em oferecer diversas soluções, desde o fornecimento de módulos para sistemas de gerenciamento de negócios já existentes até a terceirização da emissão das notas.

Para a emissão de notas, as empresas precisam comprar certificados digitais que validarão a assinatura dos documentos. No entanto, muitas companhias podem se deparar com problemas, já que o tipo de certificado mais adotado, o A1, traz vulnerabilidades. Se chegarem às mãos de pessoas mal intencionadas, correm o risco de serem usados para emissão de notas em nome da empresa.

Segundo o especialista em segurança de informação da consultoria Epsec, Denny Roger, já existem vários casos de empresas que sofreram com algum tipo de fraude. E investigações que correm em segredo de justiça mostram que os problemas foram causados por certificados digitais utilizados indevidamente.

Roger faz uma analogia entre o início do Internet Banking no Brasil, quando as empresas tinham somente uma senha simples de acesso à conta com a situação do certificado A1. “Depois que as fraudes nas contas correntes explodiram, as instituições foram atrás de soluções. O mesmo deve acontecer com os certificados digitais para emissão das notas eletrônicas”, diz.

De acordo com o especialista, há grupos que defendem a substituição dos certificados A1 por certificados A3, instalados em um hardware ou smartcard; em tese, invioláveis. O presidente da NFe do Brasil, Marco Zanini, afirma que não há a necessidade de eliminar o certificado do tipo A1, pois ele pode ser mantido em segurança.

Bastaria, para isso, implantar, nas operações da empresa, módulos de segurança conhecidos por HSM (Hardware Security Module). Eles podem ser instalados diretamente na estrutura de servidores para assinar digitalmente e com segurança todas as notas.

Apesar disso, Zanini concorda que a maioria das corporações estão expostas a riscos. “Eu diria que, se hoje houver 10 mil empresas emitindo nota fiscal eletrônica, no Brasil, somente 500 estão seguras e utilizam a proteção adequada”, afirma.

O executivo acrescenta que seria inviável manter um certificado A3 para altos volumes de transação, já que esta versão exige senha de acesso cada vez que é utilizada. Já o gerente de certificação digital da Serasa Experian, Igor Ramos, acredita que o risco com o certificado digital A1 está muito mais relacionado à corrupção do arquivo do que à existência de fraudes. “Hoje as companhias já contam com formas eficazes de proteção”, diz.

Por outro lado, destaca, se o arquivo sofrer algum dano, causado ou não por terceiros, e não houver plano de contingência, a companhia pode ficar algum tempo sem emitir notas e deixará de fazer negócios.

Fonte: http://computerworld.uol.com.br/seguranca/2009/07/20/nota-fiscal-eletronica-certificados-expoem-empresas-a-riscos/

Observações e considerações: por Denny Roger

Antes de mais nada, muito obrigado por acompanhar o meu blog. Gostaria de comentar algumas coisas em relação a matéria. Ou melhor, complementar as informações. http://blog.dennyroger.com.br/wp-inc.../icon_wink.gif

Existem vários tipos de certificado digitais. Porém, os utilizados na Nota Fiscal Eletrônica são:

A1 – Certificado gerado em PC/Servidor: tem validade de 1 ano, chave RSA 1024 bits e menor custo.

A3 – Certificado gerado em HSM/token (hardware seguro): tem validade de 3 anos, chave RSA 1024 bits e maior custo.

Para mais informações sobre certificados digitais, acesse https://www.icpbrasil.gov.br/.

O certificado digital é a identidade virtual de uma empresa. É uma garantia legal, respaldada pela Medida Provisória 2.200 de 27 de Julho de 2001. Documentos assinados com um certificado digital possuem valor jurídico, fé pública e possuem não-repúdio. Ou seja, não há como negar que foi a empresa a emissora de uma NFe.

O certificado do tipo A1 oferece grandes riscos a empresa ou ao provedor de soluções de assinatura remota (SAAS). Um certificado A1 nada mais é que um arquivo instalado no computador, protegido por senha, sem nenhum mecanismo rigoroso de proteção. O certificado é passível de extravio ou furto durante o transporte por meios digitais (e-mails) ou físicos (pendrives). Para copiar um certificado A1 de um computador, basta algum conhecimento de informática, pois requer apenas que se copie ou recorte um arquivo e cole em uma mídia removível ou em um e-mail, por exemplo. O próprio Windows oferece, no Internet Explorer, mecanismos de exportação de certificados e suas chaves.

Diversas empresas compram software de terceiros para emitirem a NFe. Essas empresas geralmente disponibilizam para o fornecedor do software o certificado A1 para realizar os testes para emissão da NFe. Ou seja, o fornecedor do software fica com uma cópia do certificado digital e poderá agir de má fé emitindo a NFe sem que o cliente saiba, causando grandes prejuízos para a empresa que disponibilizou o certificado digital para testes.

Existe uma segunda ameaça relacionada ao se fazer um clone da HD do computador onde está o certificado digital para NFe. Dessa forma, caso o atacante tenha acesso ao clone do HD poderá acessar o certificado digital e emitir NFe sem que a empresa saiba.

Caso alguém de má-fé obtiver o certificado digital de uma outra pessoa (Jurídica ou Física), poderá se passar por tal pessoa. No ambiente on-line, por exemplo, é possível emitir uma NFe real, causando grandes prejuízos à empresa.

No site da Receita Federal, um certificado digital pode alterar os dados críticos da empresa, emitir documentos verdadeiros e causar estragos cujas consequências são praticamente imprevisíveis.

Existe um comentário do Marco Zanini, presidente da NFe do Brasil, afirmando “que seria inviável manter um certificado A3 para altos volumes de transação, já que esta versão exige senha de acesso cada vez que é utilizada”. Empresas que emitem centenas ou milhares de NFe por dia utilizam HSM para proteger o certificado digital do tipo A3 e assinar digitalmente os arquivos que são enviados a SEFAZ. Ou seja, o argumento não é válido. http://blog.dennyroger.com.br/wp-inc.../icon_wink.gif

Abraços,

Denny Roger
denny@epsec.com.br
www.epesec.com.br
(11) 8196-5141

Atualizado 21-07-2009 em 10:37 por dennyroger

Categorias
Não Categorizado

Comentários

Página 1 de 3 123 ÚltimoÚltimo
  1. Avatar de sergio
    Muito bom Denny.

    Espero que os empresários abram os olhos para estes problemas e se conscientizem, principalmente quando tratar-se de contratar mão de obra especialiazada para implementação da NFe em seus ambientes de TI.
  2. Avatar de mlrodrig
    Um certificado digital A1 custa R$ 250,00, um certificado digital A3 com o smart card e leitora de smart card sai por R$ 550,00.
    O milheiro de nota fiscal de 5 vias em papel sai por uns R$ 500,00.

    Ou seja, um certificado digital A3 se pagar provavelmente em um ano para qualquer empresa que faça pelo menos 4 vendas por dia.

    O que eu acho que falta é informação as empresas, para que elas compreendam a importância.

    Estamos começando a usar aqui na empresa o sistema de NFe, e até parece coisa de primeiro mundo. Tem funcionando direitinho.

    Agora só falta diminuir a burocracia, pois para emitir uma NFe temos que entrar com nada mesmo que 70 parâmetros diferentes para emitir uma NF de um único produto. Não estou brincando...
  3. Avatar de Não Registrado
    Vejo este problema para os certificados do tipo A1 como um todo. Se eu fosse empresário, face às possibilidades que um certificado ICP Brasil oferece, o menor dos meus problemas seria emissão fraudulenta de NFs.

    Presume-se válida juridicamente a assinatura digital utilizando estes certificados. Em posse de um certificado o fraudador, tomando como exemplo, poderia acessar o e-CAC da Receita Federal e entregar uma retificadora de DIPJ, efetuar parcelamentos e fazer utilizar todos os serviços lá disponíveis como se representante legal o fosse. Obviamente na justiça poderia ser provada esta fraude, mas imaginem a dor de cabeça.
  4. Avatar de Não Registrado
    Muito boa matéria.
    Entretanto, o link do icpbrasil não acessou...
  5. Avatar de eduardomansano
    Eu estou ajudando na implantação da NFe na empresa aonde eu trabalho, nós usamos software da Totvs, eu cheguei a argumentar sobre a segurança em usuar certificado A1, mais eles recomendam somente o uso do Certificado A1, pois segundo eles os certificados A3 torna a emissão da NFe extremamente lenta, alem de utilizar muito o harware da máquina, tem o detalhe que o faturista terá que fornecer a senha do certificado digital a cada nota emitida.
    Na minha opinião nenhum dos dois é 100% seguro, tanto o A1 quanto o A3 contem falhas.

    Até mais!
Página 1 de 3 123 ÚltimoÚltimo

+ Enviar Comentário




Visite: BR-Linux ·  VivaOLinux ·  Dicas-L