Ver Feed RSS

blog.dennyroger.com.br

Nota fiscal eletrônica: certificados expõem empresas a riscos

Avalie este Post de Blog
11 Comentários
por
dennyroger
em 21-07-2009 às 10:25 (17046 Visualizações)
Segundo especialista, cerca de 95% das companhias que adotaram o sistema estão desprotegidas por vulnerabilidades.

Por Rodrigo Afonso, da COMPUTERWORLD

Após período de implantação nas empresas, a nota fiscal eletrônica (NFe) é realidade na maioria das transações que antes se valia de documentos em papel. O mercado de tecnologia da informação se apressou em oferecer diversas soluções, desde o fornecimento de módulos para sistemas de gerenciamento de negócios já existentes até a terceirização da emissão das notas.

Para a emissão de notas, as empresas precisam comprar certificados digitais que validarão a assinatura dos documentos. No entanto, muitas companhias podem se deparar com problemas, já que o tipo de certificado mais adotado, o A1, traz vulnerabilidades. Se chegarem às mãos de pessoas mal intencionadas, correm o risco de serem usados para emissão de notas em nome da empresa.

Segundo o especialista em segurança de informação da consultoria Epsec, Denny Roger, já existem vários casos de empresas que sofreram com algum tipo de fraude. E investigações que correm em segredo de justiça mostram que os problemas foram causados por certificados digitais utilizados indevidamente.

Roger faz uma analogia entre o início do Internet Banking no Brasil, quando as empresas tinham somente uma senha simples de acesso à conta com a situação do certificado A1. “Depois que as fraudes nas contas correntes explodiram, as instituições foram atrás de soluções. O mesmo deve acontecer com os certificados digitais para emissão das notas eletrônicas”, diz.

De acordo com o especialista, há grupos que defendem a substituição dos certificados A1 por certificados A3, instalados em um hardware ou smartcard; em tese, invioláveis. O presidente da NFe do Brasil, Marco Zanini, afirma que não há a necessidade de eliminar o certificado do tipo A1, pois ele pode ser mantido em segurança.

Bastaria, para isso, implantar, nas operações da empresa, módulos de segurança conhecidos por HSM (Hardware Security Module). Eles podem ser instalados diretamente na estrutura de servidores para assinar digitalmente e com segurança todas as notas.

Apesar disso, Zanini concorda que a maioria das corporações estão expostas a riscos. “Eu diria que, se hoje houver 10 mil empresas emitindo nota fiscal eletrônica, no Brasil, somente 500 estão seguras e utilizam a proteção adequada”, afirma.

O executivo acrescenta que seria inviável manter um certificado A3 para altos volumes de transação, já que esta versão exige senha de acesso cada vez que é utilizada. Já o gerente de certificação digital da Serasa Experian, Igor Ramos, acredita que o risco com o certificado digital A1 está muito mais relacionado à corrupção do arquivo do que à existência de fraudes. “Hoje as companhias já contam com formas eficazes de proteção”, diz.

Por outro lado, destaca, se o arquivo sofrer algum dano, causado ou não por terceiros, e não houver plano de contingência, a companhia pode ficar algum tempo sem emitir notas e deixará de fazer negócios.

Fonte: http://computerworld.uol.com.br/seguranca/2009/07/20/nota-fiscal-eletronica-certificados-expoem-empresas-a-riscos/

Observações e considerações: por Denny Roger

Antes de mais nada, muito obrigado por acompanhar o meu blog. Gostaria de comentar algumas coisas em relação a matéria. Ou melhor, complementar as informações. http://blog.dennyroger.com.br/wp-inc.../icon_wink.gif

Existem vários tipos de certificado digitais. Porém, os utilizados na Nota Fiscal Eletrônica são:

A1 – Certificado gerado em PC/Servidor: tem validade de 1 ano, chave RSA 1024 bits e menor custo.

A3 – Certificado gerado em HSM/token (hardware seguro): tem validade de 3 anos, chave RSA 1024 bits e maior custo.

Para mais informações sobre certificados digitais, acesse https://www.icpbrasil.gov.br/.

O certificado digital é a identidade virtual de uma empresa. É uma garantia legal, respaldada pela Medida Provisória 2.200 de 27 de Julho de 2001. Documentos assinados com um certificado digital possuem valor jurídico, fé pública e possuem não-repúdio. Ou seja, não há como negar que foi a empresa a emissora de uma NFe.

O certificado do tipo A1 oferece grandes riscos a empresa ou ao provedor de soluções de assinatura remota (SAAS). Um certificado A1 nada mais é que um arquivo instalado no computador, protegido por senha, sem nenhum mecanismo rigoroso de proteção. O certificado é passível de extravio ou furto durante o transporte por meios digitais (e-mails) ou físicos (pendrives). Para copiar um certificado A1 de um computador, basta algum conhecimento de informática, pois requer apenas que se copie ou recorte um arquivo e cole em uma mídia removível ou em um e-mail, por exemplo. O próprio Windows oferece, no Internet Explorer, mecanismos de exportação de certificados e suas chaves.

Diversas empresas compram software de terceiros para emitirem a NFe. Essas empresas geralmente disponibilizam para o fornecedor do software o certificado A1 para realizar os testes para emissão da NFe. Ou seja, o fornecedor do software fica com uma cópia do certificado digital e poderá agir de má fé emitindo a NFe sem que o cliente saiba, causando grandes prejuízos para a empresa que disponibilizou o certificado digital para testes.

Existe uma segunda ameaça relacionada ao se fazer um clone da HD do computador onde está o certificado digital para NFe. Dessa forma, caso o atacante tenha acesso ao clone do HD poderá acessar o certificado digital e emitir NFe sem que a empresa saiba.

Caso alguém de má-fé obtiver o certificado digital de uma outra pessoa (Jurídica ou Física), poderá se passar por tal pessoa. No ambiente on-line, por exemplo, é possível emitir uma NFe real, causando grandes prejuízos à empresa.

No site da Receita Federal, um certificado digital pode alterar os dados críticos da empresa, emitir documentos verdadeiros e causar estragos cujas consequências são praticamente imprevisíveis.

Existe um comentário do Marco Zanini, presidente da NFe do Brasil, afirmando “que seria inviável manter um certificado A3 para altos volumes de transação, já que esta versão exige senha de acesso cada vez que é utilizada”. Empresas que emitem centenas ou milhares de NFe por dia utilizam HSM para proteger o certificado digital do tipo A3 e assinar digitalmente os arquivos que são enviados a SEFAZ. Ou seja, o argumento não é válido. http://blog.dennyroger.com.br/wp-inc.../icon_wink.gif

Abraços,

Denny Roger
[email protected]
www.epesec.com.br
(11) 8196-5141

Atualizado 21-07-2009 em 10:37 por dennyroger

Categorias
Não Categorizado

Comentários

Página 1 de 2 12 ÚltimoÚltimo
  1. Avatar de sergio
    Muito bom Denny.

    Espero que os empresários abram os olhos para estes problemas e se conscientizem, principalmente quando tratar-se de contratar mão de obra especialiazada para implementação da NFe em seus ambientes de TI.
  2. Avatar de mlrodrig
    Um certificado digital A1 custa R$ 250,00, um certificado digital A3 com o smart card e leitora de smart card sai por R$ 550,00.
    O milheiro de nota fiscal de 5 vias em papel sai por uns R$ 500,00.

    Ou seja, um certificado digital A3 se pagar provavelmente em um ano para qualquer empresa que faça pelo menos 4 vendas por dia.

    O que eu acho que falta é informação as empresas, para que elas compreendam a importância.

    Estamos começando a usar aqui na empresa o sistema de NFe, e até parece coisa de primeiro mundo. Tem funcionando direitinho.

    Agora só falta diminuir a burocracia, pois para emitir uma NFe temos que entrar com nada mesmo que 70 parâmetros diferentes para emitir uma NF de um único produto. Não estou brincando...
  3. Avatar de Não Registrado
    Vejo este problema para os certificados do tipo A1 como um todo. Se eu fosse empresário, face às possibilidades que um certificado ICP Brasil oferece, o menor dos meus problemas seria emissão fraudulenta de NFs.

    Presume-se válida juridicamente a assinatura digital utilizando estes certificados. Em posse de um certificado o fraudador, tomando como exemplo, poderia acessar o e-CAC da Receita Federal e entregar uma retificadora de DIPJ, efetuar parcelamentos e fazer utilizar todos os serviços lá disponíveis como se representante legal o fosse. Obviamente na justiça poderia ser provada esta fraude, mas imaginem a dor de cabeça.
  4. Avatar de Não Registrado
    Muito boa matéria.
    Entretanto, o link do icpbrasil não acessou...
  5. Avatar de eduardomansano
    Eu estou ajudando na implantação da NFe na empresa aonde eu trabalho, nós usamos software da Totvs, eu cheguei a argumentar sobre a segurança em usuar certificado A1, mais eles recomendam somente o uso do Certificado A1, pois segundo eles os certificados A3 torna a emissão da NFe extremamente lenta, alem de utilizar muito o harware da máquina, tem o detalhe que o faturista terá que fornecer a senha do certificado digital a cada nota emitida.
    Na minha opinião nenhum dos dois é 100% seguro, tanto o A1 quanto o A3 contem falhas.

    Até mais!
  6. Avatar de dennyroger
    Citação Postado originalmente por eduardomansano
    Eu estou ajudando na implantação da NFe na empresa aonde eu trabalho, nós usamos software da Totvs, eu cheguei a argumentar sobre a segurança em usuar certificado A1, mais eles recomendam somente o uso do Certificado A1, pois segundo eles os certificados A3 torna a emissão da NFe extremamente lenta, alem de utilizar muito o harware da máquina, tem o detalhe que o faturista terá que fornecer a senha do certificado digital a cada nota emitida.
    Na minha opinião nenhum dos dois é 100% seguro, tanto o A1 quanto o A3 contem falhas.

    Até mais!
    Eduardo, boa tarde!

    Para assegurar a proteção das transações, impedindo que as chaves da empresa sejam copiadas e permitam a emissão de NFe "falsas", em nome da empresa, que serão formalmente válidas, o uso Módulos de Segurança em Hardware (HSM - Hardware Security Modules) é imprescindível. O HSM é um dispositivo baseado em hardware que gera, guarda e protege chaves criptográficas, além de ter a capacidade de executar operações criptográficas. O HSM tem um acelerador para criptogria que não deixa a transação lenta. Com um HSM voce consegue assinar 4.000 notas fiscais por segundo.

    Para que o seu sistema de NFe funcione com o certificado do tipo A3, é necessário fazer com que o software "converse" com o HSM. Ou seja, tem que alterar o código fonte da aplicação para isso funcionar. Provavelmente essa empresa não homologou o software deles com HSM e estão passando esta informação para os clientes.

    Entre em contato com o fornecedor da solução e questione sobre a integração entre o software e o HSM. ;-) Pergunte se existe algum cliente utilizando a solução com HSM.

    Voce é quem gerencia o risco para a sua empresa. O que este fornecedor quer é vender o software, não estão preocupados com segurança. ;-)

    Caso haja qualquer dúvida ou precise de mais informações, favor entrar em contato.

    Abraços,

    Denny Roger
    www.epsec.com.br
    [email protected]
  7. Avatar de mlrodrig
    Citação Postado originalmente por eduardomansano
    Eu estou ajudando na implantação da NFe na empresa aonde eu trabalho, nós usamos software da Totvs, eu cheguei a argumentar sobre a segurança em usuar certificado A1, mais eles recomendam somente o uso do Certificado A1, pois segundo eles os certificados A3 torna a emissão da NFe extremamente lenta, alem de utilizar muito o harware da máquina, tem o detalhe que o faturista terá que fornecer a senha do certificado digital a cada nota emitida.
    Na minha opinião nenhum dos dois é 100% seguro, tanto o A1 quanto o A3 contem falhas.

    Até mais!
    O pessoal da Totvs que me desculpe, mas acho que ele não sabem o que estão falando na questão de segurança.
    O argumento "tem o detalhe que o faturista terá que fornecer a senha do certificado digital a cada nota emitid" era para ser engraçado se não fosse trágico. Imagine um site de Internet bank aonde você não precisa dar a senha para cada transação. Ou seja, o operador faz o login pela manhã e a tela do Internet bank fica aberta pronta para qualquer transação.

    Eu jamais usaria um Internet bank assim. Se eu for ao banheiro e deixar aberto, alguém pode passar na minha máquina e fazer uma transferência.

    O outro argumento de tempo também é uma enorme piada. Quanto tempo demora para imprimir uma nota fiscal no papel, mesmo com uma impressora rápida? 15, 20 segundos.
    Digitar a senha e esperar pelo processamento não demora mais que 5 segundos. Ao meu ver, 5 segundos não é algo extremamente lento. A não ser que o sistema da Totvs tenha alguma característica de sistema que o torne tão lento com o A3.

    O outro ponto é o custo: o certificado A1 custa por volta de R$ 300,00 e o A3, com cartão e leitora, custa R$ 600,00. Uma diferença de preço irrisória.
  8. Avatar de Não Registrado
    Prezado, um bom sistema de ERP que esteja bem parametrizado pode encurtar sua emissão de uma NF-e e deixar disponível com 1 até 6 cliques do mouse.



    [quote=mlrodrig;bt4294]

    Estamos começando a usar aqui na empresa o sistema de NFe, e até parece coisa de primeiro mundo. Tem funcionando direitinho.

    Agora só falta diminuir a burocracia, pois para emitir uma NFe temos que entrar com nada mesmo que 70 parâmetros diferentes para emitir uma NF de um único produto. Não estou brincando...[/quote]
  9. Avatar de Não Registrado
    [quote=eduardomansano;bt4317]Eu estou ajudando na implantação da NFe na empresa aonde eu trabalho, nós usamos software da Totvs, eu cheguei a argumentar sobre a segurança em usuar certificado A1, mais eles recomendam somente o uso do Certificado A1, pois segundo eles os certificados A3 torna a emissão da NFe extremamente lenta, alem de utilizar muito o harware da máquina, tem o detalhe que o faturista terá que fornecer a senha do certificado digital a cada nota emitida.
    Na minha opinião nenhum dos dois é 100% seguro, tanto o A1 quanto o A3 contem falhas.

    Até mais![/quote]


    Eduardo, acho que suas informações sobre a utilização de HSM pelo ERP da TOTVS, estão bem equivocadas! Por enquanto o ERP da TOTVS não possuí disponibilizado em seu binário oficial a possibilidade de utilizar o HSM, porém essa implementação já foi realizada e homologada com os HSM's da SAFENET (principalmente)!

    A Pessoa que recomendou a você o uso do certificado A1, realmente não sabe nada de segurança!! Pelo motivo de tornar a emissão (Assinatura Digital+Transmissão HTTPS, principais momentos onde se usa o "par de chaves") mais lenta me surpreende, pois o ERP TOTVS com HSM ainda não está disponível !!! Como essa pessoa fez esses testes de performance ???

    Quanto ao fato do faturista terá que fornecer a senha do certificado digital a cada nota emitida, é um absurdo oq foi dito !!!

    Acreditem, existe um departamento de tecnologia na TOTVS preocupado com segurança !!!
    E logo a empresa terá sua solução disponível com HSM (SafeNet inicialmente apenas).

    ;)

    Ricardo G Reis
  10. Avatar de Não Registrado
    Além do quesito segurança, deve-se levar em conta o quesito praticidade. Se tiver certificado A3 (token), as autorizações de NFe ficam restritas a um micro ... e os serviços de consulta da situação da NFE (obrigatório nas NFes recebidas) por webservice só pode ser feito no micro que está com o token (ainda tem a opção de onsultar a autenticidade pelo site, mas é mais moroso)

    Sou desernvolvedor e, olhando a praticidade de operação, sempre sugiro o A1 ou HSM (o segundo bem mais caro). O A3 é prático apenas para assinar documentos, não NFe.

    No caso do A1, a segurança é a senha (que o meu software armazena criptografado no banco de dados). Os usuários não tem acesso à este ....
Página 1 de 2 12 ÚltimoÚltimo

+ Enviar Comentário