Monografia Certificacao Digital para Contabilistas

1
UNIVERSIDADE ESTADUAL DE GOIS

UNIDADE UNIVERSITRIA DE MORRINHOS
BACHARELADO DE CINCIAS CONTBEIS
CASSIA NEVES DA SILVA

CERTIFICAO DIGITAL PARA CONTABILISTAS

Morrinhos - GO
2010
2


CERTIFICAO DIGITAL PARA CONTABILISTAS

Monografia apresentada ao Curso de
Bacharelado em Cincias Contbeis como
Avaliao Final da Disciplina Trabalho de
Concluso de Curso (TCC) para obteno do
Titulo de Graduado, ministrado pela
Professora Especialista Nabya Dayane Peixoto
Mendanha.
Professor Orientador: Murilo Morais
Alexandre.

Morrinhos GO
2010
3


Certificao Digital Para Contabilistas

Monografia apresentada ao Curso de
Bacharelado em Cincias Contbeis como
avaliao final da Disciplina Trabalho de
Concluso de Curso (TCC) para obteno do
titulo de graduado da Universidade Estadual
de Gois Unidade Universitria de
Morrinhos (UNU) para a obteno do Ttulo
de Graduado.
rea de Concentrao: Certificao Digital.

Banca Examinadora:
Morrinhos (GO), 16 de novembro de 2010

_________________________________________________________
Professor Orientador Murilo Morais Alexandre
Presidente da Banca
Universidade Estadual de Gois

__________________________________________________________
Professora da Disciplina de TCC Nabya Dayane Peixoto Mendanha
Examinador da Banca

__________________________________________________________
Professor Sinair Dias Sobrinho
Examinador da Banca
4

A minha famlia e aos amigos, que sempre
estiveram comigo e nunca me deixaram
desistir.
Se vi mais longe foi por estar de p sobre
ombros de gigantes. Isaac Newton
5

AGRADECIMENTOS

A Deus que sempre me guiou.
Aos meus pais e minha irm pelo amor, zelo e ateno.
Aos meus amigos Adriane, Bruno e Edirlei que sempre me motivaram a continuar.
Ao meu professor e orientador Murilo pela compreenso e parceria.
6

O desenvolvimento tcnico s vai deixar um
nico problema por resolver: a debilidade da
natureza humana.
Karl Kraus
7

RESUMO

A grande evoluo tecnolgica afetou diretamente o contabilista, modificando
fortemente grandes aspectos de sua rotina e conseqentemente cria-se a necessidade de se
manter sempre atualizado. Para qualquer transao feita na internet, presencia-se a dificuldade
da comprovao de identidade e com isso, invalida-se diversas funes que seriam
facilitadoras ao cotidiano. Para sanar essas necessidades, criou-se o Certificado Digital. Ele
garante o sigilo de documentos e a privacidade nas comunicaes das empresas, pessoas e
governos, alm de impedir a adulterao destes nos meios eletrnicos, dentre eles a Internet,
garantindo o curso legal dos mesmos. Esta inovao afeta diretamente a atuao do contador,
pois aps a regulamentao da certificao, tornou-se obrigatrio a emisso de vrios
relatrios contbeis como o SPED (Sistema Pblico de Escriturao Digital), Nota Fiscal
Eletrnica (NF-e) e outros utilizando o certificado digital, alm de promover grande
viabilidade nas transaes online e inovar no uso e validao jurdica dos documentos
eletrnicos. O objetivo geral deste trabalho criar uma fonte de informaes sobre a
certificao digital para contadores leigos e suprir a escassez de matrias neste tema com
enfoque contbil. Sendo assim, apresentado de maneira simplificada um conhecimento
amplo para os contabilistas a cerca da certificao digital, alem de sua aplicao cotidiana.
Abordando uso, lgica, funcionalidades e outros, proporcionando uma base de conhecimentos
sobre o tema atravs de estudo descritivo do material disponvel. Obtendo assim um contedo
inovador, com os benefcios da certificao digital, a segurana proporcionada e viabilidade
da mesma.

Palavras-Chaves: Certificao Digital, Contabilidade, Segurana de Documentos
Eletrnicos.

8

ABSTRACT

The technological evolution directly affected the accountants, changing important
aspects of their routines and therefore creating the need to keep always updated. For any
transaction made on the internet, is visible the difficulty to proof an identity and, thereby, its
invalidates several functions that would be easy on the everyday routine. The Digital
Certificate was created to adress these needs. It ensures the confidentiality of documents and
the privacy in communications of companies, people and governments. Besides, the digital
certification prevents the falsification of the electronic media. This innovation directly affects
the work of all accountants. After the regulation of the certification, became mandatory the
emission of various financial reports such as SPED, NF-e and others using the digital
certificate. The objective of this work is to create a source of information on digital
certification for laity accountants, and supply the lack of didactic materials on this theme. In
this work, is presented in a simplified manner, a broad knowledge about digital certification
for accountants, in addition to its daily application. Describing the use, the logic and other
features; providing a base of knowledge on the subject through a descriptive study of the
available material. This work provides an innovative content that describe the benefits,
security, and the viability of digital certification.

Key-Words: Digital Certification, Accounting, Electronic Document Security.

9

LISTA DE FIGURAS

FIGURA1: O contexto da Criptografia Simtrica...................................................................36
FIGURA 2: Autenticao, no repudio e integridade atravs da utilizao de criptografias de
chave pblica e resumo de mensagem......................................................................................41
FIGURA 3: Certificado Digital................................................................................................42
FIGURA 4: Hierarquia da Infra-Estrutura de Chaves Pblicas ICP Brasil...........................43
FIGURA 5: Estrutura ICP Brasil...........................................................................................46
FIGURA 6: Exemplo de Leitora de Smart Card...................................................................49
FIGURA 7: Exemplo de token..................................................................................................49
FIGURA 8: Smart Card Carto .............................................................................................49
FIGURA 9: Imagens dos e-CPF e e-CNPJ...............................................................................50
10

SUMRIO

1 INTRODUO ............................................................................................................... 12
2. ATAQUES MAIS COMUNS NA INFORMTICA ...............................................................17
2.1 Cavalo de Tria, Vrus, Backdoors, Worms e Spywares ...............................................................18
2.2 Quebra de Senha/ Brute Force (Fora Bruta)/ Password Crackers ................................................21
2.3 Denial of Service (DOS) e DDoS Distributed Denial of Service/Flood........................................22
2.4 Scanners de Portas/ Portscanners e Exploits .................................................................................23
2.5 Spoofing .....................................................................................................................................24
2.6 Scamming ...................................................................................................................................25
2.7 DNS Poisoning/ Pharming...........................................................................................................26
2.8 Clonagem de URLs .....................................................................................................................27
2.9 Engenharia Social .......................................................................................................................27
3 CERTIFICAO DIGITAL ............................................................................................ 29
3.1 Princpios ....................................................................................................................................31
3.2 Conceitos ....................................................................................................................................32
3.2.1 Criptografia ..............................................................................................................................33
3.2.1.1 Formas de Criptografia ..........................................................................................................34
3.2.1.2 Chaves Criptogrficas............................................................................................................37
3.2.2 Assinatura Digital.....................................................................................................................39
4 REGULAMENTAO .................................................................................................... 43
4.1 Estrutura no Brasil ......................................................................................................................44
4.2 Comit Gestor .............................................................................................................................45
4.3 AC Raiz ......................................................................................................................................45
4.4 Autoridades Certificadoras ..........................................................................................................46
4.5 Autoridade de Registro ................................................................................................................47
4.6 Tipos de Certificados Digitais .....................................................................................................47
4.7 Obteno, Renovao e Revogao .............................................................................................51
4.8 Legislao ...................................................................................................................................52
5 CONSIDERAES FINAIS ............................................................................................ 54
REFERNCIAS BIBLIOGRAFICAS......................................................................................59
ANEXO I............................................................................................................................. 65
ANEXO II ........................................................................................................................... 70
11

ANEXO III .......................................................................................................................... 83

12

1 INTRODUO

O presente trabalho, se d em funo da concluso do curso de Cincias Contbeis
promovido pela UEG (Universidades do Estado de Gois) unidade de Morrinho GO, e visa
atravs de estudos descritivos criar uma fonte de informaes sobre a certificao digital para
contadores leigos. Trata-se de uma temtica pouco explorada em bibliografias acadmicas.
Muitos dos conceitos de aplicabilidade e segurana da Certificao Digital sero
apresentados no decorrer dessa obra. Para tanto, o objeto de estudo necessita nesse momento
de uma breve apresentao do histrico sobre a existncia e implantao da informtica com
suas atribuies e vinculaes na sociedade.
O mundo esta em constante evoluo. Da revoluo industrial para os dias atuais,
mudanas significativas ocorreram. Duas dentre elas, foram a criao do computador e
posteriormente a internet. Estes tem-se popularizado continuamente, e juntamente com a sua
expanso, acompanham as adaptaes sociais com processos gradativos e progressivos de
transformaes que abrangem os vrios segmentos da sociedade. Nesse sentido, a informtica
tem obtido importncia estratgica no mundo empresarial e no cotidiano de muitos
profissionais. Sua implantao nas ultimas dcadas causou grandes repercusses nas praticas
contbeis e conseqentemente nas formas de registros desse segmento. Thompson (1991, apud
Deitos, 2010) menciona com mais clareza os efeitos significativos do emprego da informtica
na rea contbil:

Compare estas duas cenas. Um atarefado empregado, com a gravata afrouxada,
maneja uma pesada mquina. Faz lanamentos contbeis em uma ficha, atrs da qual
h uma folha com carbono. Depois transcreve essas informaes no Dirio, por meio
de gelatina. Ou, ento, um operador faz os mesmos lanamentos em um
microcomputador, com velocidade cinco vezes maior, deixando para o programa a
elaborao de relatrios, que depois sero emitidos pela impressora. a diferena
entre usar ou no a informtica como ferramenta no dia-a-dia do profissional da
contabilidade. (THOMPSON, 1991, apud DEITOS, 2010).

Depois da metade do sculo XX, uma nova viso de perspectivas e possibilidades
proporcionada com a inveno da informtica, quando a tecnologia passou a servir como
substituio/otimizao/automao de servios metdicos/mecnicos humanos. Um dos
primeiros adventos informticos a serem utilizados pela contabilidade foi calculadora em
1820. Seqencialmente, a prxima ferramenta tecnolgica a ser utilizada fora o primeiro
computador comercial. No entanto, a expanso da informtica no Brasil deu-se em meados da
13

dcada de 50 do sculo passado. E seu uso s fora propagado na contabilidade por volta das
dcadas de 60 a 80, direcionado relativamente com preferncia a setores de recursos humanos,
contabilidade, finanas e outros. Com a popularizao dos computadores comerciais, houve
um processo de mecanizao e modificao das praticas contbeis, portanto softwares
especficos foram criados e deu-se toda uma linha de aprimoramento informacional, que
desenvolveu-se com maior intensidade apos a inveno da internet e liberao para fins
transacionais a partir de 1995. Conseqentemente, ela tornou-se vital para a qualidade das
informaes contbeis.
A criao de softwares e as constantes inovaes tecnolgicas desde a criao do
primeiro computador permitiram uma gama imensa de automatizao s praticas contbeis,
mecanizando o que antes era manual, reduzindo significativamente a demanda de tempo para
realizao do trabalho cotidiano contbil. Isso promoveu aos profissionais da rea uma nova
perspectiva de atuao, de modo que passaram a utilizar seus conhecimentos visando
interpretar as tarefas a serem mecanizadas, numa ptica de auxilio aos gestores e scios das
empresas, transformando-se em analistas.
A grande evoluo tecnolgica afetou diretamente o contabilista, modificando
fortemente grandes aspectos do seu cotidiano. Com isso, nasceu a necessidade de tal
profissional ampliar seus conhecimentos para adequar-se as novas exigncias mercadolgicas
e legais. O manuseio correto dessas tecnologias pode contribuir significativamente para uma
otimizao na rotina diria do contabilista. Atualmente, pode-se concluir que a contabilidade
no coexiste eficazmente sem a informtica. Para Thompson (1991, p. 23). Hoje no existe
contabilidade sem a informtica. Ambas fazem um casamento perfeito. So exatas.
Tal analise perceptvel se observado o aumento permanente no crescimento das
indstrias de softwares e hardwares da rea contbil e o continuo aumento da informtica
como ferramenta de trabalho em todas as organizaes contbeis, almejando servios mais
rpidos e com maior qualidade, considerando a reduo evidente de erros, que graas a ela
tornaram-se inadmissveis. E, atualmente qualquer contabilista que ainda queira utilizar-se de
escriturao manuscrita, esta fadado a falncia. A globalizao conseqncia da evoluo
tecnolgica, pois pode-se enviar e receber informaes e tempo real, online, efetuar diversos
negcios sem necessariamente deslocar-se. Com o uso constantemente crescente da internet,
da popularizao da dinamicidade dos servios oferecidos, como e-commerce
1
, transaes

1
e-commerce: Segundo MacCulloch (03/09/2007), comrcio eletrnico ou, ainda, comrcio virtual um tipo de
transao comercial feita por meio eletrnico, como o ato de vender, comprar ou mesmo pagar contas via
internet.
14

bancarias/financeiras, comunicao mundial em tempo real, dentre dezenas de outras, surgiu a
necessidade de mais confiabilidade entre as entidades presentes nessas transaes. Nesse
cenrio, fez-se preciso uma reestruturao para adaptar s praticas contbeis de uma maneira
que utilize em sua maior quantidade os recursos oferecidos pelas tecnologias criadas e
obtenha qualidade, seguridade e confiabilidade, alm dos vrios softwares que foram
desenvolvidos para segurana.
Com a adeso crescente de pessoas, inovaes contnuas de servios, facilidades
comerciais, e atraes dinmicas oferecidas a cada minuto atravs da internet, reafirmado a
necessidade de maior confiabilidade de dados, pois a vulnerabilidade das informaes digitais
acontecem porque estas transaes podem ser annimas e publicas. Deste modo, h a
inviabilizao de muitas aes que facilitariam a vida dos contabilistas, como venda e
aquisio de produtos, movimentaes bancrias significativas e outras. Com o intuito de
suprir a carncia de identificao segura na internet, fora criado a certificao digital,
atualmente utilizada em diversos documentos entregues a Receita Federal do Brasil, notas
fiscais eletrnicas e como documento de identidade no mundo fsico e virtual. As
certificaes digitais contm algumas informaes e uma assinatura digital, que permite dar
garantia de integridade, privacidade e autenticidade a arquivos eletrnicos, na comunicao
dos usurios, tanto jurdicas quanto fsicas.
Ela rompe as barreiras do mundo fsico e digital, equiparando-os e nivelando-os.
A Certificao Digital consiste um arquivo eletrnico que contm alguns dados pessoais,
informaes que identicaro os emissores do certicado, verificando a identidade do emissor
e a autenticidade do arquivo. Ou seja, ela permite a identificao do transmissor e do receptor
de documentos eletrnicos, sites, pessoas, atuando similarmente como um passaporte online
ou uma carteira de identidade. Criada com o intuito de promover relaes de confiabilidade
entre entidades que no se interagem pessoalmente. Ela capaz de garantir a um documento
eletrnico o mesmo valor jurdico de um documento em papel, dispensando os documentos
impressos enquanto prova de valor jurdico-fiscal, como tambm agregar valor ao documento
originalmente eletrnico, eliminando a necessidade de impresso. Alm de promover a opo
de assinatura de documentos eletrnicos em qualquer formato: imagens, textos, planilhas, e-
mail, apresentaes, vdeos, musicas. Contudo, comum profissionais desta rea no terem
um conhecimento elevado de informtica, ficando a deriva sobre a real utilidade da
certificao digital, de suas aplicaes e do porque de sua obrigatoriedade para alguns
documentos contbeis. O material disponvel sobre este assunto escasso, compreendendo-se
que um assunto relativamente novo. possvel verificar a quase inexistncia de materiais
15

neste tema com enfoque contbil. O pouco disponvel para esta classe composta de artigos e
cartilhas simplificadas, contedos avulsos de outras reas do conhecimento, sem possuir o
embasamento necessrio para um leigo ou semi, aprender de maneira simplificada o que a
certifio digital, como ela atua e qual segurana proporciona. Comumente possvel
verificar uma grande gama de profissionais que possuem baixo conhecimento em informtica,
sendo mais notvel os que j exercem a profisso a algumas dcadas. Para tais, ainda mais
complexo uma adaptao de qualidade. Segundo pesquisa apresentada na revista Voc S/A da
editora abril em 2004, realizada com os 150 (Cento e cinqenta) contadores das melhores 150
(Cento e cinqenta) empresas para trabalhar:

[...] pode-se observar que o nvel de conhecimento em Informtica Bsica foram de
11 contadores, ficando com o percentual de 14,3. No intermedirio, ficaram 43
contadores com 55,8 do percentual, e o avanado foi composto por 23 pessoas e
29,9 do percentual. Com um total de 77 profissionais que responderam os
questionrios. A habilidade em alavancar e utilizar os recursos de informtica est
presente em todas as trs competncias que caracterizam o contador da atualidade.
Nesse sentido, parcela significativa dos contadores entrevistados ainda evidenciam a
necessidade de melhor desenvolver suas habilidades quanto a tal competncia. Os
dados atestam que 70,1% dos pesquisados encontram-se entre os nveis bsico e
intermedirio, com 29,9% em nvel avanado. Obviamente os nveis bsico e
intermedirio no refletem as habilidades necessrias para o domnio dos recursos
informacionais que a atualidade impe. (EDITORA ABRIL, 2004, p. 298).

Tambm notvel um despreparo para uso da Notas Fiscais eletrnicas(NF-e),
que requer como fator fundamental a certificao digital, que ser abordado em capitulo
futuro. Um levantamento da Unidade de Negcios de Identidade Digital da Serasa Experian
2010 em maio deste ano mostrou que 20% (vinte por cento) das 1,4 milhes (Um milho e
quatrocentos mil) das empresas que deveriam solicitar o certificado ainda no o tinham feito a
poucos dias para encerramento do prazo limite para emisso das declaraes,
conseqentemente, a Receita Federal prorrogou o vencimento devido a reivindicao dos
contabilistas.
As vantagens proporcionadas em utilizar o certificado digital so varias: economia
de tempo; agilidade; desburocratizao; receber mensagens enviadas pela receita federal
atravs de ambiente seguro, inclusive e-mails com informaes dirias de mudanas na
legislao tributria; consultar dados cadastrais; verificao fiscal da pessoa jurdica; efetuar
parcelamentos; agendar atendimento presencial nas unidades da receita federal, dentre outros
benefcios.
16

A documentao digital uma tendncia mundial irreversvel. Pases da Amrica
Latina, como Mxico e Equador, j a utilizam desde o inicio deste sculo.

Hoje, no mundo, 90% (noventa por cento) dos documentos produzidos tm origem
eletrnica e os autenticados (assinados eletronicamente utilizando a Certificao
Digital) passam a ter total validade jurdica, sem nunca antes ter existido em papel
[...] Esta medida atende a uma tendncia internacional da validao jurdica de
documentos eletrnicos, norteada pela UNCITRAL, da ONU, at ento j
estabelecida em diversos pases do mundo, com destaque para EEUU, Inglaterra,
Itlia, Alemanha, Mercosul, Amrica Central e Oriente (LEMOS, 2007).

No Brasil, a certificao digital passou a ter valor legal a partir da Medida
Provisria n 2.200-2, de 24 de Agosto de 2001 e onde o certificado digital se torna
identificador das novas identidades chamadas de Registro de Identidade Civil (RIC).
Este trabalho portanto, procura apresentar de modo usual esta tecnologia, sua
aplicabilidade, legalidade, praticidade, suprir a escassez de materiais contbeis com
conhecimento aprofundado deste assunto, favorecer a criao de um contabilista apto e
lapidvel as novas mudanas e descrever detalhadamente o que muda nos documentos
contbeis. Como expectativa de resultado, espera-se promover uma disseminao do contedo
entre a classe contbil para ampliao do conhecimento e uso desta tecnologia, e conseqente
um acrscimo ao saber contbil.

17

2. ATAQUES MAIS COMUNS NA INFORMTICA

O uso dos certificados digitais proporciona confiabilidade para o profissional
contbil em paginas na internet, a identificao real de uma empresa, pessoas, arquivos e
outros. Uma pagina pode ser clonada, pessoas, documentos e endereos podem facilmente
serem falsificados. Porm, o certificado promove a identificao verdica destes no meio
eletrnico. Segundo pesquisa divulgada pela Certsing e realizada pela Opinies de Valor
desenvolvida para VeriSign, Inc. (NASDAQ: VRSN) revelou que 73% dos usurios da Web
no Brasil correm o risco de sofrer fraudes on-line por no serem capazes de identificar as
diferentes formas de phishing que acontecem atualmente on-line e por conseguinte, o
contabilista, que lida diariamente com arquivos eletrnicos, paginas de internet e outros. O
anexo III contem uma listagem dos principais ataques ocorridos no Brasil, reportados a Cert.
Figueiredo (1999) esquematizou as ameaas, conseqncias e medidas que interferem na
integridade, confidencialidade, negao de servio e autenticao dos servios via web. As
ameaas que afetam a integridade so: modificao de usurio, alterao de informaes,
acesso ao computador.
Confidencialidade: intrusos podem obter informaes, como sites preferenciais.
Negao de servios: atravs de paginas falsas possvel obter dados confidenciais e
valorosos, supondo estar no site verdadeiro. Ameaa na autenticao:
personificao/falsificao de usurios legtimos.
So vrios os tipos e formas de ataques usados para invadir um computador,
sistemas, redes, softwares, servidores e obter informaes pessoais e sigilosas dos usurios,
do quais os contadores so passiveis de ataques. Aqui sero apresentados as principais
modalidades na informtica e que a certificao promove algum tipo de segurana.
Geralmente a figura do invasor, autor dos ataques denominada hacker, cracker ou lammer.
Carvalho (2006) define os hackers como sendo apenas conhecidos pelos seus conhecimentos
avanados em informtica e, especialmente, redes de comunicao. Para eles sua intitulao
e atuao, so de bem feitores ao usarem seus conhecimentos avanados para praticas que
definem como sendo o bem e no propriamente para crimes. Carvalho ainda afirma que so
Usurios experientes que invadem sistemas de informao. Os indivduos denominados
hackers no so necessariamente ameaas, pois, assim como as Medidas Provisrias, existem
os "Hackers do bem". Eles invadem sites, sem danificarem o contedo, avisando para o
administrador que existem falhas de segurana e precisam ser corrigidas, eliminam sites de
18

pedofilia e outros. Porm, mesmo que no causem maiores danos, no deixam de estarem
quebrando a privacidade dos usurios.

So especialistas que j dominam diversas tcnicas de invaso e conhecem com
profundidade pelo menos um sistema operacional. So excelentes programadores e
administradores de sistemas. Mas, diferentemente do que popularmente se acredita,
possuem um rgido cdigo de tica e nunca usam seus conhecimentos para o mal,
mesmo que sua noo de bem seja contra a lei. A comunidade hacker tradicional
execra completamente esta definio, preferindo se referir a hackers apenas como
programadores e especialistas em informtica. Para os hackers tradicionais, os que
praticam atividades ilegais (mesmo que motivadas por motivos nobres) so
chamados de crackers. (ULBRICH E LAVALLE, 2004, p. 29)

Para os malfeitores, o termo utilizado crackers. Estes utilizam seus
conhecimentos para pratica de crimes, roubo de senhas, dinheiro, invaso de servidores e
muitos outros. Ulbrich e Lavalle (2004) afirmam que:

Cracker - Chamado de "hacker do mal" ou "hacker sem tica", normalmente
especializado em quebrar as travas de softwares comerciais para poder pirate-Ios
(chamados de warez-dOOdz), mas tambm usa seus conhecimentos para invadir
sites e computadores com objetivos ilcitos, como vandalismo ou roubo. Muitas
vezes os crackers so excelentes programadores e podem criar programas que
infectem ou destruam completamente sistemas alheios sem deixar vestgios - os
lamers normalmente usam programas criados pelos crackers. (ULBRICH E
LAVALLE, 2004, p. 30)

Outra categoria existente so os lamers. Este por sua vez so usurios iniciantes
de ferramentas criadas pelos hackers e crackers, porm, sem deterem o real conhecimento de
suas aes, com eficcia baixa e repleto de amadorismo. Ulbrich e Lavalle (2004) apresentam
o lamer como sendo um usurio comum que fatalmente aprende a usar alguns programas
maliciosos e os utiliza para invadir computadores, apagar e-mails ou editar web sites. Esse
usurio o que se chama de lamer, palavra derivada de lame que em portugus quer dizer
manco ou aleijado. Um lamer caracterizado normalmente pelo trio de programas que ele
sempre emprega: scan, exploit e trojan.

2.1 Cavalo de Tria, Vrus, Backdoors, Worms e Spywares

O nome cavalo-de-tria ou trojan remonta a famosa historia grega em que um cavalo
foi dado aos troianos como um presente devido a impenetrabilidade das muralhas de Troia,
19

porm, seu interior estava repleto de inimigos que aps penetrarem na cidade, a dominou.
Analogicamente, a atuao de um cavalo de troia na informtica faz jus ao nome da historia
grega. Comumente, ele vem camuflado em outro programa, ao qual parece ter alguma
finalidade til, e posteriormente, efetua suas funes de modo omisso ao usurio. Por
exemplo, possvel que acompanhado do arquivo instalador de um jogo livre na internet,
encontre-se nele um cavalo de troia, vrus, backdoors, worms ou spywares. Ocorre muito em
softwares que foram crackeados, ou seja, foram adulterados para que seu uso tornar-se
manipulvel sem efetuar o a compra da licena, e juntamente com o programa desejado, tem-
se algum software invasor. Para Bueno (2006), Um cavalo de troia um programa que se
camufla como um programa inofensivo, mas pode causar srios danos no computador onde
executado, como alterar ou destruir arquivos, furtar senhas e outras informaes sensveis.
As funes de um trojan so diversas, assim como as funes vo desde a
alterao de dados, roubo de informaes, liberao de acesso remoto e diversos outros.
Carvalho (2006) define como sendo:

(...)programas que criam "canais"de comunicao para que invasores entrem num
sistema. Quando um programa desses "executado" em um computador, ele manda
pacotes de informao por meio de uma porta de comunicao qualquer ao seu dono
(pessoa que o enviou vitima). Depois de enviar tal pacote, estabelecida uma
conexo naquela porta especifica, permitindo a transferncia de informaes entre o
atacante e o atacado e permitindo at mesmo que o computador da vitima seja
controlado pelo invasor. (CARVALHO, 2006, p. 473)

Em 2008, segundo uma pesquisa da Pandalabs, laboratrio anti-malware da Panda
Security, apresentou um relatrio em que nos oito primeiros meses do ano mencionado,
encontraram mais malware do que nos 17 anos anteriores combinados. O Cert define malware
como Do Ingls Malicious software (software malicioso). Cdigo malicioso que se refere a
todos os tipos de programa que executam aes maliciosas em um computador. Exemplos de
cdigos maliciosos so os vrus, worms, bots, cavalos de tria, rootkits, etc.
O relatrio da Pandalabs afirmou que A maior parte deste novo malware, 67,7%
(Sessenta e sete e sete por cento) foi classificado como Trojan, o que significa que foi
desenvolvido para roubar dados confidenciais como nmeros de contas bancrias, passwords
e outros dados semelhantes. Tendo a media de surgimento de vrus em vinte e dois mil dia.
Menciona ainda a existncia dos Banker Trojans. Estes foram uma das principais ameaas em
2008. O objetivo deste tipo de Trojans roubar informao bancria das vtimas de forma a
acessar as suas contas bancrias. Como regra, estes Trojans trabalham de forma omissa na
memria do computador e s se ativam quando a vtima acessa a determinados sites
20

bancrios. Por conseguinte, mantm-se ocultos dos antivrus at o momento de sua
atuao. Para os ciber-criminosos, ou seja, criminosos do mundo virtual, consideravelmente
fcil criar cdigos maliciosos pois existe todo um mercado com kits de criao de Trojans
personalizados que permitem a criao de Trojans que podem conter mltiplas
funcionalidades e ainda serem controlados remotamente. A famlia dos Banker Trojans
composta por 3 tipos: Banker Trojans Brasileiros; Banker Trojans Russos 1.0 e Banker
Trojans Russos 2.0 (Sinowal, Torpig, Bankolimb).

Os Banker Trojans Brasileiros (Banbra, Bancos): Estes so na sua maioria
desenvolvidos para roubar passwords de bancos Brasileiros e Portugueses, apesar da
famlia Bancos tambm ter como alvo bancos Espanhis, ocasionalmente.
Normalmente transmitem a informao obtida atravs de FTP ou e-mail. (PANDA,
2010)

Os vrus so pragas virtuais e seu nome devido a similaridade com os vrus
biolgicos, com capacidades de prejudicar o sistema, auto replicao, e ocorre primeiro o
surgimento e depois os remdios/antivrus, porm necessita de um arquivo ou programa para
se autoreplicar. A atuao de um vrus extremamente diversificada, sendo suas funes
dependentes das especificaes de seu criador.

Vrus so programas que se comportam como seus homnimos biolgicos: so
microscpicos, reproduzem-se sozinhos, consomem recursos computacionais que
no lhes pertence e tm alta capacidade de infeco por contgio (...) Um vrus de
computador possui objetivos muito claros: infectar o mximo possvel de sistemas,
reproduzir-se rapidamente e opcionalmente consumir recursos e danificar os
sistemas invadidos. (ULBRICH E LAVALLE, 2004, p. 319)

A traduo exata para backdoor porta dos fundos. So programas que aps
instalados em um computador, tornam-no acessvel a remotamente sem que o usurio saiba. O
invasor, aps conseguir invadir um sistema, geralmente deixa uma backdoor para que
posteriormente possa voltar e acessar o computador ou rede. Ele deixa uma porta de acesso
exclusiva. O Cert (2010) menciona a incluso das backdoors:

A forma usual de incluso de um backdoor consiste na disponibilizao de um novo
servio ou substituio de um determinado servio por uma verso alterada,
normalmente possuindo recursos que permitam acesso remoto (atravs da Internet).
Pode ser includo por um invasor ou atravs de um cavalo de tria. (CERT, 2010)

21

A traduo de worms verme. So programas que se auto-replicam e podem ter
diversas funes, assim como destruir o sistema. Ao contrario de um vrus, que infecta um
programa ou arquivo j existente, o worm individualista, sem necessitar acoplar-se ou
parasitar-se em outros softwares. Conseqentemente, podem consumir recursos do sistema e
reduzir o desempenho do computador e de redes. Para Bueno (2006):

um programa que se propaga automaticamente atravs de redes, enviando copias
de si mesmo de uma maquina pra outra. Ele no altera arquivos, mas instala-se na
memria e se replica. Eles utilizam arquivos dos sistema operacional que
normalmente so invisveis para o usurio. comum notar a existncia de dos
worms apenas quando a sua replicao descontrolada consome muitos recursos,
tornando outras tarefas vagarosas, ou mesmo cancelando-as. (BUENO, 2006, p.
169)

Os spywares so programas instalam-se no computador, geralmente acompanham
os programas de instalao em barras de utilitrios usados nos browsers e outros softwares
que tem banners. Couto (2005) menciona os sete principais propsitos dos spyware:

1 - Gravar os hbitos de navegao do usurio e os sites visitados; 2 - Gravar
informaes sobre produtos adquiridos e gastos em compras; 3- Roubar informaes
sobre cartes de credito; 4- Extrair endereo e e-mail gravados em listas; 5-Detectar
senhas e outros tipos de informaes confidenciais; 6- Causar danos ao sistema
operacional pela utilizao de recursos como memria e processador. 7 - deixar a
maquina vulnervel a ataques de hackers. (COUTO, 2005, p. 109)

No anexo III contem alguns grficos e tabelas que mostram a proporo de
ataques de trojans, worms e outras.

2.2 Quebra de Senha/ Brute Force (Fora Bruta)/ Password Crackers

So pequenos programas que tentam descobrir as senhas dos usurios. Para isso,
usam uma combinao constante de caracteres ou de um dicionrio pr-moldado, at que a
senha seja encontrada. Esse ataque consiste na tentativa e erro, so milhares de
tentativas/combinaes por minuto, tornando-se lentos. Exemplo: azxcvb, qwedfr, aqeerh. Por
no demandar inteligncia, mas trabalho braal, esse ataque conhecido como Brute force ou
fora bruta. O uso de um dicionrio conhecido como brute force inteligente. Ulbrich e
Lavalle (2004) mencionam que faz-lo manualmente impossvel, dadas as propores da
tarefa, ento os crackers normalmente usam programas que automatizam o processo.
22

Utilizam-se listas de palavras comuns, substantivos cotidianos, nomes prprios no idioma de
onde a maquina alvo se encontra, marcas conhecidas, verbetes populares, musicas, filmes,
termos religiosos, livros com sugesto de nomes. Os softwares modernos de fora brota
empregam ambos os processos, tentando primeiro a lista de palavras para depois aplicar as
combinaes seqenciais do brute force "primitivo". O brute force considera uma tcnica
rudimentar, lenta e de poucos resultados, visto que a cada caractere a mais em uma senha, as
combinaes se multiplicam. A sua eficincia maior quando acompanhada de engenharia
social, mencionada em outro subtopico. Informaes como estas so utilssimas, efetivas em
mais de 50% dos ataques - principalmente quando se tem um nmero razovel de contas
vlidas, bastando descobrir apenas a senha.

2.3 Denial of Service (DOS) e DDoS Distributed Denial of Service/Flood

Existem dois tipo de ataques de negao de servio: o DoS - Denial of Service e o
DDos Distributed Denial of Service ou Ataque de negao de servio remoto distribudo,
tambm conhecidos como flood . So tipos de ataque onde o atacante cria uma sobrecarga no
servidor (local onde se esta uma pagina de web ou banco de dados) e ele fica inoperante.
Consistem em tentativas de impedir usurios legtimos de utilizarem um determinado servio
de um computador. Comumente, v se sites como o da Receita Federal lentos ou quase
inoperantes nas datas de entrega de declaraes, ou mesmo de sites de universidades em que o
acesso para visualizar o resultado de provas imenso. praticamente isso que ocorre,
diversos acessos simultneos de modo que a quantidade de buscas ou envios de determinada
informao tornam-se maiores do que o servidor pode suportar. Entretanto, o Dos
intencional. Os praticamente o fazem com intuito de derrubar um servidor. O Ddos, Ataque
de negao de servio remoto distribudo o Dos de maneira ampliada. Segundo Bueno
(2006):

A traduo desta sigla Ataque Distribudo de Negao de servios. Trata-se de um
ataque deflagrado por hackers, que disseminam pela internet vrus que programam
milhes de computadores para, sem o consentimento de seus donos, acessarem um
mesmo site, ao mesmo tempo. Quando um site recebe milhes de solicitaes de
acesso simultneas, ele no consegue atender as solicitaes e nega servio, ficando
inoperante ou "fora do ar". (BUENO, 2006, p. 171)

23

Empresas como a Uol, Yahoo, Amazon, eBay,ZDNet, Buy.com e CNN.com ,
Globo, IG, ZipNet, Microsoft e muitos outros j tiveram seus sites suspensos devido a esta
modalidade de ataque entre 2000 e 2001. Em em 21 de outubro de 2002, um imenso ataque de
Ddos conseguiu derrubar nove dos 13 servidores que gerenciam o trfego mundial da Internet.
Em reportagem da Uol sobre segurana, cita um dos grandes casos desse ataque:

Um dos exemplos foi um ataque em 4 de julho de 2009, contra computadores do
governo dos Estados Unidos. Cerca de 180 mil computadores afetados atingiram
sites do governo e causaram dores de cabea para negcios baseados no Pas e
tambm na Coria do Sul. O ataque comeou no sbado, derrubando os sites da
Comisso Federal do Comrcio dos Estados Unidos (FTC) e o Departamento de
Transporte dos Estados Unidos (DOT). O US Bankcorp, sexto maior banco
comercial do pas, tambm foi atingido. Os ataques tambm foram direcionados para
servios do Google, Yahoo e Amazon. Os ataques contra o Google no duraram
muito, mas se levar em considerao que o contedo da empresa responde por 5%
de todo o trfego de internet, tem-se uma idia melhor da gravidade da situao.
(UOL, 2010)

importante frisar que quando um computador/site sofre ataque DoS, ele no
invadido, mas sim sobrecarregado. Isso independe do sistema operacional utilizado.

A guerra utiliza ataques de negao de servio o tempo todo, entupindo sistemas de
radar, interrompendo comunicaes, sensores eltricos so invadidos por bichos, os
alarmes tocam, e toda vez ningum consegue ver nada, at que os guardas pensam
que um defeito e o desliga, pronto o lugar est altamente vulnervel de novo.
(AGUIAR, 2010)

Pode-se afirmar que este um dos poucos ataques no mundo que bem elaborada,
pode paralisar a internet no mundo

2.4 Scanners de Portas/ Portscanners e Exploits

Na informtica, existe o conceito de portas. As portas podem ser fsicas/hardwares
ou virtuais/software. Elas so o meio pelo qual h uma comunicao de informaes. No
fsico, as portas USB so exemplos de transmisso de dados por hardwares. Nos softwares,
existem varias portas virtuais, nas quais so atravs delas que ocorrem as difuses de dados,
como por exemplo, um browser (Internet Explorer, Mozilla e outros) as usam para
comunicarem com os dados na Internet, at mesmo para efetuar downloads. Os scanners so
programas criados por hacker ou crackers, geralmente mais utilizados por iniciantes, que os
24

usam para procurar brechas de segurana em computadores atravs dessas portas de
comunicao e assim ter acesso ao computador, rede ou servidor.

(...) programas que vasculham um computador procura de portas de comunicao
abertas. Esses programas ficam analisando, seqencialmente, as diversas portas de
um computador, enviando vrios pacotes seguidos para esse computador com
nmeros de portas diferentes, apenas para receber a resposta de uma delas e, com
isso constatar a presena de portas abertas. (CARVALHO, 2006, p. 474)

Os exploits so programas pequenos que aproveitam falhas de aplicativos e se
manifestam atravs de erros ocorridos na programao. Segundo Ulbrich e Lavalle (2004),

Exploits so scripts e programas designados para explorao de vulnerabilidades em
sistemas. Assim como os scanners, eles podem ser usados tanto por administradores
para testar as falhas de segurana em seus servidores quanto pelos hackers que os
utilizam para invaso e aquisio de informaes. (ULBRICH E LAVALLE, 2004,
p.145)

Os hackers/crackers o usa em busca de posteriormente roubar informaes
sigilosas dos usurios/contadores.

2.5 Spoofing

Este ataque consiste na camuflagem do invasor, passando-se por outro
computador. Ele camufla o IP (Internet Protocol). O IP de uma maquina o cdigo que a
identifica em uma rede. Guimaraes et al. (2006) comentam sobre o ataque:

No ataque de falsificao, o atacante tem como finalidade se passar por um usurio
do sistema, a fim de obter informaes para transmitir dados na rede, ou seja, ataca-
se a autenticidade das informaes. ... O tipo de ataque mais comum de fabricao
o IP Spoofing, que consiste na substituio do endereo IP do computador do
invasor, fazendo com que ele se passe por um computador confivel d rede,
obtendo assim privilgios na comunicao. (GUIMARAES, 2006, p. 18)

Em redes internas, como as de empresas ou domiciliares, se um dos computadores
possuirem o mesmo cdigo/endereo, uma das maquinas ficar fora da rede. Existe toda uma
estrutura de IPs variando do tipo de rede, se privada, publica e outros. Desta forma, este
25

ataque troca o IP da maquina de modo a passar-se por outro e assim obter as informaes
desejadas, at mesmo interceptando-as. Boff (2010) exemplifica da seguinte maneira:

Imagine uma rede local com trs estaes, A,B e C. Neste caso, a mquina que ser
invadida ser a mquina A e o invasor ser a mquina C. O ataque ocorre com base
na mquina B, j que o endereo IP dela ser roubado para fazer a invaso. Na
prtica, o invasor da mquina C simplesmente tira a mquina B do ar, usando uma
tcnica de ataque, que pode ser um DOS, e depois engana a mquina A, dizendo que
a mquina B. Isso possvel porque, na grande maioria dos servios, no
necessria uma senha no momento em que realizada a conexo. (BOFF, 2010)

2.6 Scamming

Scan e Scam so ataques diferentes. Scams (com "m") so quaisquer esquemas
para enganar um usurio/contador, geralmente, com finalidade de obter vantagens financeiras.
Ataques deste tipo so fraudes. Tcnica que visa roubar senhas e nmeros de contas de
clientes bancrios enviando um e-mail falso oferecendo um servio na pgina do banco,
promoes, vantagens ou solicitando algum tipo de recadastramento. Geralmente, os e-mails
falsos so de empresas conhecidas e de respeito social como bancos, editoras de jornais e
revistas, loas de comercio eletrnico e outros. Esse ataque funciona mais eficazmente com
profissionais despreparados, sem conhecimentos bsicos de segurana. Comumente, as
mensagens so similares as verdadeiras e muitas contem links para o site real, porm,
possvel encontrar erros como formatao desproporcional, informaes incoerentes, imagens
desfiguradas ou inexistentes, erros de portugus. Erros que no existem nas mensagens
originas devido a preocupao de marketing das empresas. Nestes casos, habitualmente
solicitam o preenchimento de formulrios falsos, pedindo informaes pessoais, financeiras,
nu mero de conta corrente, cartes de credito e senhas. Outro uso deste ataque so os anexos
ou pedidos para baixar determinado arquivo, no qual roubara informaes pessoais e
financeiros atravs da internet. Cabe ao profissional procurar a legitimidade dos arquivos
recebidos, sites e outros. Sem um treinamento razovel, os contadores so exageradamente
passiveis de carem nessas fraudes.

26

2.7 DNS Poisoning/ Pharming

Na Internet, o local onde fica hospedado um determinado site, chama-se servidor
de web. Para acessar este servidor existem dois meios, um numero que representa o endereo
do site, ou o endereo por nome do site.

O Domain Name Server traduz um nome de fcil memorizao em um nmero de
IP.Por exemplo, vamos supor que o IP de um servidor na Internet seja
200.167.208.1, o DNS poder atribuir um nome a ele para que sua localizao seja
mais fcil, como www.siteprocurado.com.br.Ao colocar esse endereo legvel no
browser, esse vai entrar em contato com o servidor de DNS e fazer a converso para
nmero IP. (ULBRICH E LAVALLE, 2004, p. 57)

O Pharming e o envenenamento DNS, referem-se ao ataque onde o servidor de
um determinado site, como por exemplo, www.bancobrasil.com.br, com IP 200.145.258.1 (IP
hipottico, no correspondente ao real), usurio/contador ao tentar entrar no site do banco
(www.bancobrasil.com.br) redirecionado para outro IP 245.781.257.1, com uma pagina
idntica a da original. Assim, uma copia bem elaborada pode enganar at mesmo profissionais
do setor e desta forma, o usurio/contador ira inserir os dados para acessar sua conta, e este
ter seus dados roubados. A Panda tambm informa que alguns cavalos-de-tria das famlias
"Bancos", "Banker" e "Banbra", usados em golpes de phishing scam no Brasil, tm
capacidade de modificar o arquivo "hosts" do Windows para redirecionar os usurios a
pginas bancrias falsas. Symantec Pharming uma tentativa de enganar os usurios da
Internet roubando o nome de domnio ou a URL
2
de um website e redirecionando seus
visitantes para um website falso, pelo qual so feitas solicitaes fraudulentas de
informaes. O Pharming edita informaes do computador do usurio/contabilista atravs
de softwares maliciosos que alteram o funcionamento do browser da vitima, de modo que este
ser redirecionado a um site falso. Nesse novo tipo de fraude, os agentes criminosos se valem
da disseminao de softwares maliciosos que alteram o funcionamento do programa de
navegao (browser) da vtima.
No envenenamento de DNS, o atacante acha falhas no servidor, altera dos dados
deste, de modo que os usurios/contabilistas que normalmente acessam esses dados sero
redirecionados para outro. Por isso o nome de envenenamento. O Envenenamento de DNS

2
Cert URL - Ingls Universal Resource Locator. Seqncia de caracteres que indica a localizao de um
recurso na Internet, como por exemplo, http://cartilha.cert.br/.
27

um ataque de larga escala, onde ao invs de atingir usurio por usurio, tm-se milhares e
milhares de uma vez.
A atuao do pharming similar ao do phishing, ou seja, induzem os
usurios/contabilistas a acessarem determinado site achando que o verdadeiro. Entretanto,
no phishing possvel evitar o ataque simplesmente no acessando as informaes do e-mail
ou mesmo respondendo os dados quando solicitados. O Pharming, devido qualidade do
ataque, extremante difcil diferenciar o verdadeiro do falso.

2.8 Clonagem de URLs

Todos os sites so localizados por meio de um endereo nico, como j
mencionado anteriormente, conhecido como URL (Localizador Uniforme de Recursos). no
URL que se digita o endereo do site, seja pelo IP ou nome. Contudo, quando se insere o
endereo de um determinado site, pode-se ocorrer erros e conseqentemente ser redirecionado
para uma pagina clonada do endereo real, ou seja, quando o profissional contbil digita um
endereo errado ele pode ir parar em sites fraudulentos. Exemplo, o intuito ir a pagina do
banco do Brasil, porm digitou-se wwwbancobrasil.com.br, www.bbrasil.com.br,
www.bbrazil.com.br, www.bancodobrasil.com.br, www.bbrasill.com.br ou
www.bancodobrasil.com e o site encontrado o clone exato do original. Ento o
usurio/contador ira inserir seus dados como se estivesse acessando a pagina real.

2.9 Engenharia Social

um ataque sobre pessoas e no sobre maquinas ou sistemas. Processo esse que
consiste em manipular e adquirir o mximo de informaes sobre a vitima ou o sistema que
pretende invadir, como nome completo, datas de nascimento, nome dos familiares, hobbies,
funcionamento do sistema, segurana e diversos outros, variando com o tipo de ataque.
Comumente, os ladres de informaes apresentam-se como funcionrios de empresas,
rgos governamentais, amigos de amigos e outras personalidades para obter as informaes
almejadas. conhecida como a arte de mentir. Quanto mais pessoas podem acessar
28

determinado sistema e so portadoras de dados sigilos e no so devidamente qualificadas,
mais passvel de inseguranas sero esses sistemas e informaes. Segundo Mitnick e Simon
(2003) o fator humano o elo mais fraco da segurana. Muito filmes e seriados relataram
atuaes assim, como o Supernatural, seriado americano em que os personagens principais
utilizam-se constantemente de tcnicas de engenharia social para obter dados particulares, e o
famoso Prenda-me Se For Capaz, filme baseado em uma historia real de um jovem de 17 anos
que torna-se um dos maiores ladres da historia e ludibria o FBI como engenheiro social. Para
identificar e evitar cair nessas situaes, cabe ao profissional contbil e funcionrios terem
conhecimentos mnimos de segurana, serem treinados para que no comprometam elementos
sigilosas.
Phishing um ataque comumente utilizado por engenheiros sociais. Eles utilizam
e-mails, sites, mensagens instantneas falsas e outros, passando-se por empresas legitimas
com o intuito de obteno de informaes sigilosas, como nmeros de contas bancrias e de
cartes de crdito. Norton Securyt (2010) menciona como agem:

Os criadores do phishing fazem-se passar por empresas legtimas e usam o e-mail
para solicitar informaes pessoais e direcionar os destinatrios a fornec-las em
websites maliciosos; Eles tendem a usar linguagem emocional, como tticas de
intimidao ou solicitaes urgentes, para induzir o destinatrio a fornecer tais
informaes; Os sites de phishing podem ter a mesma aparncia dos sites legtimos,
pois costumam usar imagens com direitos autorais desses sites legtimos; As
solicitaes por informaes confidenciais atravs de e-mail ou de mensagens
instantneas no so normalmente legtimas; Em geral, as mensagens fraudulentas
no so personalizadas e podem ter propriedades semelhantes, como detalhes no
cabealho e no rodap. (NORTON, 2010)

Conforme mostra os grficos do anexo III, os ataques de paginas falsas so os de
maior ndice e portanto que possuem maior grau de eficincia. Ou seja, por mais tecnologias
de segurana que existam, os ataques mais eficientes so os que utilizam do desprovimento de
conhecimentos bsicos de segurana digital dos profissionais contbeis.
29

3 CERTIFICAO DIGITAL

No mundo real a segurana para o profissional contbil pode ser reconhecida na
existncia de uma casa que possui portas e janelas fortes, no podendo assim, um invasor
roubar e adquirir os pertences do morador. A casa esta segura. Da mesma forma, se algum
tenta passar-se por outro individuo e efetuar uma retirada de dinheiro de uma conta bancria e
for solicitada uma identificao ou confirmao de identidade pelo caixa, a fraude ser
evitada e o dinheiro continuar seguro. No mundo digital a segurana funciona de forma
semelhante conforme comentam Burnett e Paine (2002). Ou seja, a segurana o fator
fundamental almejado tanto no mundo fsico quanto no virtual. Para t-la em transaes entre
duas entidades distintas, faz-se necessrio a existncia de privacidade, integridade,
autenticidade e no repudio da mesma. A privacidade de dados pode ser conceituada como:
ningum no autorizado pode invadir, ler, modificar dados confidenciais. Ter integridade nos
dados significa um mecanismo que informa se uma informao ou dado foi alterado. A
autenticao, por sua vez, verifica as identidades dos envolvidos em uma transao. E o
ultimo quesito, o no repudio, uma imposio legal que registra, orienta e impele as pessoas
a cumprirem suas palavras tano no mundo digital quando no fsico.
No cotidiano no virtual, o que comprova a autenticidade de documentos e
transaes comerciais, financeiras e legais firmadas pelas partes como aceite, so as
assinaturas. Estas assim so por terem caractersticas peculiares, sendo exclusivas de cada
individuo. Para as transaes eletrnicas, no possvel utilizar-se deste meio com a mesma
eficcia.
Os recursos tecnolgicos so aprimorados a cada dia, e com eles, h uma insero
gigante do seu uso, tanto por pessoas, empresas e governos. Para tanto, faz-se necessrio que
estes recursos promovam a autenticidade, confidencialidade e integridade no cerne das
informaes e transaes baseadas neles. Por conseguinte, torna-se fundamental para o
contabilista acompanhar esses aprimoramentos e entender o funcionamento e lgica da
certificao. No seu cotidiano, o risco de ter informaes interceptadas por terceiros,
identidades falsas de pessoas fsicas e jurdicas e muitas outras, trazem incertezas quanto ao
uso pleno da comodidade proporcionada pela internet, o que fundamenta a necessidade de
adquirir mais conhecimentos sobre segurana, principalmente por lidar constantemente com
dados sigiloso.
30

Frente a tantas inseguranas e probabilidades futuristas provenientes do meio
digital, a certificao digital, que tem por base o certificado digital, valida muitas destas
possibilidades que antes eram inviabilizadas. Para o contador, o uso da certificao tornou-se
obrigatrio aps a Medida Provisria de 22002, de 2001. Entretanto, mais que uma obrigao
atualmente implantada, sua utilidade carregada de benefcios. Uma aplicao que
complementou a quebra de fronteiras trazida pela internet, contendo em si a segurana
imprescindvel para o rompimento de paradigmas e distancias. Um exemplo pratico para seu
uso a possibilidade de autenticar documentos como procuraes e outros e envi-los para
onde desejar, impresso ou no. Assim, poderia uma pessoa estar em uma cidade/estado e
enviar uma procurao assinada com o certificado digital, para outra pessoa qualquer outra
cidade/estado da confederao, tudo online, de modo rpido, seguro, sem maiores custos e
com a mesma validade legal de uma procurao impressa, assinada manualmente e postada
via correio. Com ela possvel reconhecer firmas eletronicamente, efetuar contratos sem a
presena fsica das partes, emitir copias autenticadas, assinar balanos, convalidando assim
documentos contbeis e jurdicos.
O certificado digital pode ser apresentado como uma nova identidade, como uma
Carteira de identidade, CPF (Cadastro de Pessoa Fsica), CNPJ (Cadastro Nacional de Pessoa
Juridica) e outros, porm, no mundo digital e migrando para o fsico. Assim, ele propicia mais
garantia entre as entidades presentes em transaes eletrnicas. A gama de tcnicas e
procedimentos que o compe, garantem maior confiabilidade da veracidade das informaes
certificadas, alem de saber exatamente a fonte emissora/autora, evitando assim que as
comunicaes sejam interceptadas por invasores, ou mesmo restringindo a apenas pessoas
autorizadas. Seu uso aplica-se tanto a pessoas fsicas como jurdicas, onde inclui-se os
municpios, rgos federais, equipamentos ou aplicaes, intitulados titulares de
certificados.
Segundo a Faq do Iti, Frequently Asked Questions - Perguntas Frequentes do
Instituto Nacional de Tecnologia da Informao - autarquia federal vinculada Casa Civil da
Presidncia da Repblica, cujo objetivo manter a Infra-Estrutura de Chaves Pblicas
Brasileira ICP-Brasil, sendo a primeira autoridade da cadeia de certificao AC Raiz, o
certificado digital composto principalmente com um documento eletrnico que contem o
nome, endereo de chave publica do titular, validade, nome da Autoridade Certificadora (AC)
que emitiu o certificado, numero de serie do certificado digital, assinatura digital da AC e
outras informaes, configurando assim um verdadeiro identificador. A criao do certificado
31

s fora possvel graas evoluo da criptografia nos ltimos 30 anos, que ser abordada a
frente.
Recentemente, a certificao digital esta presente em diversos segmentos afetam o
dia-a-dia do contador, dentre eles o Sistema de pagamentos Brasileiros com movimento
financeiro de milhes, diariamente usado justamente devido a sua segurana na comunicao
de dados entre as entidades bancarias, o e-CAC (Centro de Atendimento ao Contribuinte
online) da Receita Federal do Brasil, SPED, NF-e, Justia digital, acionistas podero votar a
distancia e tem o RIC (Registro de Identidade Civil) que promovera a identificao digital e
fsica simultaneamente.
Os certificados so emitidos por uma autoridade certificadora, onde pode-se
verificar a autenticidade e a integridade do certificado. Diversos rgos governamentais
utilizam a certificao. A Receita Federal desenvolveu uma lista de servios on-line de grande
valia para o contabilista, na qual oferece apenas para os usurios de certificados digitais. O
servio disponibilizado atravs do e-CAC, um atendimento virtual em que so postados
vrios recursos aos contribuintes, como situao fiscal, copia de declaraes de pessoa fsica e
jurdica e diversos outros. Dentre as inovaes tecnologias promovidas nos documentos de
identificao, a classe contbil foi uma das primeiras a ter a carteira com certificao digital.
No anexo I e II encontra-se uma cartilha explicando detalhadamente todos os servios
disponibilizados pelo atendimento virtual e suas principais telas de operao do sistema,
atuais a data de elaborao deste trabalho do e-CAC expedida pela RFB, e um tutorial do e-
DOC.

3.1 Princpios

Os princpios sempre definem o norteamento do que os utiliza. Desta forma, os
princpios da certificao so base de orientao funcional dos certificados, aplicando no
universo digital os conceitos de credibilidade e segurana presentes no mundo fsico. Segundo
Burnett & Paine, so quatro os princpios fundamentais da certificao digital: privacidade,
autenticao, integridade, assinatura digital e no - repudio.
A privacidade um principio que visa manter segura as informaes, para que no
sejam acessadas, adulteradas e eliminadas por outros sem correlao com a transao,
mantendo oculto as informaes desejadas, de modo que apenas o destinatrio escolhido
32

tenha acesso a esses dados. A autenticao um principio que fornece a identificao do
usurios ou autor. Ela promove o reconhecimento de que uma pessoa de fato esta. Um
exemplo de aplicao so as transaes online, onde necessrio a comprovao verdica de
que o cliente realmente quem afirma ser. No cotidiano fsico, essa comprovao feita pela
apresentao do documento de identidade. Com a certificao, o software verifica a
veracidade do certificado. Alguns outros sites tambm exigem a apresentao do certificado
para que se possa acessar departamentos restritos.
O principio da integridade garante a inalterao, a fidelidade da informao a sua
originalidade. Principio este que garante que alteraes indesejadas no sejam feitas na
informao sem que o receptor identifique se houve ou no modificao. Houaiss (2009)
define como sendo: caracterstica ou estado daquilo que se apresenta ileso, intato, que no
foi atingido ou agredido. O no repudio um principio que no permite ao autor/emissor
negar um ato seu, assinatura ou criao por meio de falsificao, porque o certificado garante
a autoria, a no alterao e assim promove a certeza de que aps concretizada uma
negociao, a parte no poder recusar cumprir as obrigaes, direitos e responsabilidades
firmadas.
A sociedade est habituada aplicao destes princpios no cotidiano, de modo
que juntos, criam a f indispensvel para quase todos os processos burocrticos dos quais o
profissional contbil se relaciona frequentemente. Da mesma maneira, necessria essa
incorporao/paralelizao desses conceitos no mundo digital para que os negcios efetuados
nele sejam aplicveis e possuam validade legal e a certificao digital proporciona isto.

3.2 Conceitos

Sero apresentados os principais conceitos das terminologias utilizadas e
correlacionadas a certificao digital, desde a ataques de informtica composio da
certificao, com o intuito de favorecer a ampliao do conhecimento ao profissional contbil.

33

3.2.1 Criptografia

A base tecnologia da Certificao Digital a criptografia, a arte da escrita secreta;
composta dos termos gregos kryptos, que significa secreto, oculto, ininteligvel, e
grapho, ou seja, escrita, escrever conforme Carvalho (2001). A palavra criptograa signica
a arte de escrever em cdigos, de forma a esconder a informao na forma de um texto
incompreensvel. Atualmente a cifragem ou processo de codicao, executado por um
software que realiza um conjunto de operaes matemticas e transformam um texto claro em
um texto cifrado, alm de inserir uma chave secreta na mensagem. O emissor do documento
envia o texto cifrado, que ser reprocessado pelo receptor, transformando-o, novamente, em
texto legvel, igual ao emitido, desde que tenha a chave correta. Marcacini (2002, p.09) define
a criptografia como a arte de escrever em cifra ou em cdigo, de modo a permitir que
somente quem conhea o cdigo possa ler a mensagem. Correa (2002, p.77) descreve
criptografia como: uma mscara colocada sob determinado arquivo, tornando-o
irreconhecvel para aqueles que lhe olhassem na rua, ou seja, enquanto estivesse trafegando
na Rede, e, conclui que essa mscara seria algo lgico, relacionado a frmulas matemticas,
e s algum que possusse a frmula matemtica certa poderia desmascar-la e, assim, l-la.
O uso da criptografia remonta o Egito Antigo no seu sistema de escrita
hieroglfica egpcio, por volta de 1900 A.C, quando o escriba de Khnumhotep II teve a idia
de substituir algumas palavras ou trechos de texto. Caso o documento fosse roubado, o ladro
no encontraria o caminho que o levaria ao tesouro e morreria de fome perdido nas
catacumbas da pirmide (Kahn, 1967). Posteriormente seu uso fora muito difundido nas
estratgias militares.
A criptografia consiste em um conjunto de mtodos e tcnicas destinado a
proteger o contedo de uma informao, com o objetivo bsico de tornar uma mensagem
ininteligvel para um adversrio afirmam Burnet e Paine (2002). A criptografia converte
dados legveis em algo sem significado, porm, com a grande capacidade de recuperar os
mesmos dados originais a partir dos dados sem sentido gerados anteriormente.
A existncia de dois tipos de textos na criptografia. O texto claro ou puro, ou seja,
o texto original, e o texto cifrado, que refere-se ao texto puro aps a encriptao. O texto
cifrado torna-se ininteligvel a terceiros. O destinatrio, aps receber o texto cifrado, efetua o
processo de desencriptao e o texto volta a sua forma original, como define Carvalho (2001).
34

Criptografar ou encriptar o ato de codificao de uma mensagem e descriptografar ou
desencriptar o ato de descodificao de uma mensagem.
O sistema criptogrfico composto por um conjunto de elementos, que so:
Algoritmo de criptografia, que executa a cifragem e a decifragem das informaes; Chave
criptogrfica; Texto Claro ou inteligvel e Texto Cifrado.

3.2.1.1 Formas de Criptografia

Um algoritmo pode ser conceituado como sendo um conjunto de instrues
lgicas e finitas que conduzem as aes necessrias para execuo de uma determinada tarefa.
Para melhor compreenso, pode-se sugerir analogicamente a atuao de um algoritmo como
uma receita culinria, ou a descrio dos passos para um banho ou troca de um pneu.

Algoritmo um conjunto finito de etapas para solucionar um problema ou realizar
uma ao. Um algoritmo um "programa" de computador, um roteiro a ser seguido
pelo micro. Algoritmo Criptogrfico , portanto, o processo (ou programa, se
preferir, ou ainda: seqncia de passos, etapas) matemtico que transforma a
mensagem original em mensagem cifrada, embaralhada confusa e vice-versa.
(CARVALHO, 2006, p. 478).

As instrues ecoam no imperativo, sendo objetivas, diretas, claras e precisas. Os
algoritmos no so correlacionados a existncia das linguagens de programao
3
. Para um
algoritmo existir, ele no depende previamente de qualquer linguagem. Ele mediador na
linguagem comum e da linguagem de programao. Entretanto, as linguagens existem padres
e formalidades para sua execuo, o que no ocorre com o algoritmo. A escrita de um
algoritmo chamada de pseudocdigo, que aplica-se a este antes da implementao da
linguagem de programao. Um algoritmo criptogrfico segue este raciocnio, porm,
contendo as formalidades da linguagem em que fora construdo.
O uso das chaves dificultam a invaso nas informaes, contudo, sem o uso das
chaves, todo o segredo recai em apenas decifrar os algoritmos. Segundo Burnett e Paine
(2002) algoritmos pblicos so mais seguros, pois podem ter suas fraquezas e
vulnerabilidades analisadas pela comunidade. Por outro lado, se um algoritmo for mantido em
segredo, suas fraquezas no podero ser analisadas de uma forma mais ampla, o que significa

3
Linguagens de programao a escrita utilizada para criar softwares. Dentre elas existem C+, Delphi, Java e
diversas outras.
35

que esse algoritmo pode possuir vulnerabilidades ainda no exploradas. Se a comunidade
criptogrfica no encontrar fragilidades em um algoritmo, existe uma boa chance de que o
algoritmo seja seguro.
Na tecnologia da certificao digital so utilizados dois tipos de criptografia. A
criptografia simtrica e a assimtrica segundo a Certising (2002),. Na criptografia simtrica
utiliza-se uma mesma chave para criptografar e descriptografar a informao e a criptografia
assimtrica utiliza chaves diferentes para criptografar e descriptografar a informao.
Marcacini (2002, p.21) esclarece que consiste num mtodo que se utiliza de uma mesma
senha, seja para cifrar, seja para decifrar a mensagem. Segundo Volpi (2001, p.08), o mtodo
de criptografia simtrica pode ser entendido como o uso de uma chave secreta, a qual o
emissor usa para codificar a informao, e, posteriormente, o destinatrio utiliza para decifr-
la. A criptograa simtrica baseada em algoritmos que dependem de uma mesma chave,
denominada chave secreta, que usada tanto no processo de cifrar quanto no de decifrar o
texto, ou seja, tanto o receptor quando o emissor usam o mesmo cdigo/chave criptogrfica
para cifrar e decifrar a informao. Para a garantia da integridade da informao transmitida
imprescindvel que apenas os dois usurios conheam a chave, se outros a tiverem, no haver
como comprovar a autenticidade dos dados. Burnet e Paine (2002), chama o processo para
manter as chaves seguras e disponveis de gerenciamento de chaves. Entretanto, apesar de ser
mais rpida, possui o problema da necessidade de compartilhar a chave secreta com todos que
precisam ler a mensagem, possibilitando a alterao do documento por qualquer das partes e o
vazamento de informaes. Outro falha em relao a autenticidade do documento.

A autenticidade que a criptografia simtrica permite obter tem aplicao restrita
segurana das comunicaes. O receptor, e somente ele, sabe ter recebido a
mensagem do emissor, pois, em tese, estes dois seriam as nicas pessoas no mundo
a conhecer a senha, e isto assegura que um terceiro no est se fazendo passar pelo
remetente. Contudo, este sistema no permite demonstrar para outra pessoa que a
mensagem efetivamente provm do suposto emissor, e isto por uma razo bastante
simples: o prprio receptor tambm poderia ter encriptado a mensagem, vez que
tambm conhece a senha. Disto se extrai que a criptografia convencional no
permite a criao de assinaturas digitais, nem permite que o documento eletrnico
cifrado, por si s, possa servir como prova da manifestao da vontade.
(MARCACINI 2002, p.23)

A figura 1 ilustra o contexto da criptografia simtrica demonstrando o processo de
encriptao e decriptao do texto puro atravs de um algoritmo utilizando uma chave
simtrica.

36

FIGURA 1: O contexto da Criptografia Simtrica. (Fonte: Cenadem,2003)

O mtodo assimtrico ou criptografia de chave pblica teve o incio de sua
utilizao em 1976.

Encriptando a mensagem com a chave pblica, geramos uma mensagem cifrada que
no pode ser decifrada com a prpria chave pblica que a gerou. S com uma chave
privada poderemos decifrar a mensagem que foi codificada com a sua
correspondente chave pblica. E o contrrio tambm verdadeiro: o que for
encriptado com o uso da chave privada, s poder ser decriptado com a chave
pblica. (MARCACINI, 2002, p.24).

Ela utiliza um par de chaves diferentes entre si, que se relacionam
matematicamente por meio de um algoritmo, de forma que o texto cifrado por uma chave,
apenas seja decifrado pela outra do mesmo par. As duas chaves envolvidas na criptograa
assimtrica so denominadas chave pblica e chave privada. A chave pblica pode ser
conhecida pelo pblico em geral, enquanto que a chave privada somente deve ser de
conhecimento de seu titular. Desta forma, a assimtrica proporciona mais segurana devido ao
uso de duas chaves distintas.

Uma vantagem para o usurio de um mtodo de criptografia por chave pblica a
possibilidade de um maior controle no envio de suas mensagens cifradas. Isto ocorre
porque o emissor no precisa mais possuir uma chave secreta para cada destinatrio.
Basta somente que ele tenha a chave privada em sua exclusiva posse e a chave
pblica em posse de seu(s) receptor(es). Assim, ele poder ter certeza de que,
mesmo que mais de uma pessoa possua a chave pblica, no ser possvel utiliz-la
em nome do emissor. (VOLPI, 2001, p.15)

37

Qualquer uma delas pode cifrar um documento, porem, um documento cifrado
com determinada chave s poder ser decifrada pelo seu par correspondente, ou seja, a chave
publica decifra o que a chave privada cifrou e a privada decifra o que a publica cifrou. O
entrave de um documento cifrado com uma chave privada, que a decifragem dar atravs da
chave publica, que de conhecimento geral. Desse modo, promove-se a segurana da
autenticidade do autor. Se for o inverso, e o documento for gerado por uma chave publica,
obtem-se o sigilo, entretanto, a autenticidade fica sem comprovao, considerando que quem
possuir a chave publica, teria cifrado o documento. Toda vez que se utiliza um certificado, a
"Cadeia de Certificados" consultada para verificar a validade do mesmo, se o server da
cadeia cair com um Denial of Service, torna-se impossvel comprovar a validade do
certificado

3.2.1.2 Chaves Criptogrficas

A chave criptogrfica basicamente um cdigo secreto que tem como funo
iniciar o processo de criptografia e descriptografia, ou seja, necessrio alimentar o algoritmo
com o cdigo secreto para que seja iniciado o processo de criptografia do texto claro ou de
decifragem. como uma senha, pode ser definida como conjunto de caracteres destinado a
identificar o usurio ou a permitir acesso a dados, programas ou sistemas que no esto
disponveis ao pblico (Houaiss, 2009).
As chaves tem como desempenho proporcionar mais segurana, sendo mais fcil
e vivel, pois mais fcil resguardar uma chave do que o algoritmo, considerando que se
fosse apenas o algoritmo como protetor de uma determinada informao, este poderia ser
descoberto e os dados estariam a deriva, menciona Burnett e Paine (2002). O termo chave
origina-se de que o cdigo secreto funciona como uma chave convencional, como a senha que
da acesso a um sistema, ou como a chave de uma fechadura de uma porta. Na criptografia,
existe o algoritmo como mencionado anteriormente. Este atua como uma fechadura digital, e
ativado/executado aps a insero da chave criptogrfica. Para operar a fechadura digital
(encriptar os dados atravs do algoritmo), insere-se a chave (o nmero secreto) e a executa. O
algoritmo realiza seus passos utilizando a chave para alterar o texto simples e convert-lo em
texto cifrado. O mesmo ocorre para decifr-lo. Insere-se a chave correspondente, variando de
38

simtrica (mesma chave/nica) e assimtrica (chaves diferentes/publica e privada) e ento o
algoritmo ativado, de modo a liberar/desencriptar o texto, trazendo a sua forma genuna.
A chave um meio de segurana, que particulariza o algoritmo, de modo a
restringi-lo aos portadores da chave, fazendo com que se um intruso no possui a chave, no
poder ativar o algoritmo e consequentemente no ter acesso aos dados ensina Schneier
(2001). Ele ter de tentar experimentar ou a quebrar o algoritmo ou a chave. Como dito
anteriormente, algoritmos que passam pela analise da comunidade tornam-se mais seguros e
as chave possuem uma grande possibilidades de combinaes. O intervalo de chaves refere-se
ao tamanho das chaves. chaves. Chaves criptogrficas so medidas em bits
4
. Entretanto, as
chave lidadas pelos usurios so em caracteres, que na informtica chega a 256 (duzentos e
cinqenta e seis), incluindo letras maisculas, minsculas, nmeros e smbolos. De modo
superficial, pode-se afirmar cada caractere de uma senha, formado por 7 (sete) em letras e
em letras acentudadas 8 bits, ou seja, 0010010. Uma senha de 40 (Quarenta) bits, teria em
media, 5 (cinco) caracteres, pois, e aproximadamente 1(um) trilho de valores para serem
combinados at que a chave seja encontrada. Em uma chave de 56 (Cinquenta e seis) bits
aproximadamente 72 (setenta e dois) quatrilhes de combinaes. Caso a chave seja
encontrada, os dados ficaro disponveis. Por isso que um ataque de fora bruta
completamente ineficiente. Cada bit que se adiciona ao tamanho da chave dobra o tempo
requerido para um ataque de fora bruta.
Se uma chave de bits levasse trs horas para ser quebrada, uma chave de 41
(Quarenta e um) bits levaria seis horas, uma chave de 42 (quarenta e dois) bits, doze horas e
assim por diante. Pois cada bit adicional dobra o nmero de chaves possveis. Assim se a
chave tiver 40 (quarenta) bits, haver cerca de um trilho de chaves possveis. Ou seja, seria
necessrio o programa calcular os 256 (Duzentos e cinqenta e seis) caracteres existente,
elevado a quinta potencia (256*256*256*256*256), totalizando 1.099.511.627.776 (Um
trilho, noventa e nove bilhes, quinhentos e onze milhes, seiscentos e vinte sete mil e
setecentos e setenta e seis) combinaes. Se a chave possuir 56 (Cinquenta e seis) bits,
existiro aproximadamente 72 (Setenta e dois) quatrilhes de possibilidades. Comumente, um
computador experimentaria em torno da metade das combinaes possveis antes de encontrar
a exata.

4
Bits So impulsos eltricos que so representados por 1 ou 0, ligado ou desligado. Cada impulso, chamado
de bit (BInary digiT). O conjunto de oito bits, tornam-se uma nica unidade denominada byte.

39

Os certificados digitais foram criados para haver a segurana e padronizao
necessria, pois fornecem um mtodo constante, uniformizado e sistmico para a distribuio
das chaves pblicas, proporcionando a existncia segura da autenticidade e integridade.

3.2.2 Assinatura Digital

A assinatura digital uma das modalidades de assinatura eletrnica, dentre outras
como assinatura biomtrica que atravs de impresses digitais, leitura de iris, padres de
geometria e comprimento como dedo ou palma da mo e ate padres de retina. Dados
coletados atravs de meios eletrnicos especficos. Outra a Digitally captured signatures,
traduzindo, Captura de assinatura digital. Esta modalidade se da atravs de equipamentos em
que a assinatura manual feita nele, reconhecida pelo sistema e includa no documento. Em
suma, a assinatura eletrnica refere-se a qualquer mecanismo, no necessariamente
criptogrfico, para identificar o remetente de uma mensagem digital, no sendo apenas meios
criptogrficos. A assinatura digital a mais confivel das possibilidades de assinatura
eletrnica, ela o resultado de uma operao matemtica, utilizando algoritmos de
criptografia assimtrica define Marcacini (2002, p. 32).
Assinatura Digital um dos pilares da certificao digital, pois um mtodo de
autenticao da informao digital, de fundamental existncia para a validao dos
documentos eletrnicos. Ela baseia-se na assinatura escrita que funciona como aceite e
adquire todas as implicaes legais no ato, promovendo esta equiparao de funo
assinatura digital. Nesta funcionalidade, proporciona mais segurana do que a escrita, onde
esta pode facilmente ser adulterada, clonada ou interceptada por terceiros, causando variaes
na genuna.

Provm do latim assignare (que significa firmar com seu nome ou sinal). O qual
formado com base no latim signum (sinal, marca, smbolo). Firmar, por sua vez
provm do latim firmare e significa, originalmente, tornar-se seguro, estvel,
definitivo, fixo, corroborado, confirmado, ratificado. Assinatura refere-se ao ato
ou efeito de assinar ou ao prprio nome escrito, firma em si. Portanto, assinar
alguma coisa tem o sentido genrico de apor-lhe um sinal, marca ou smbolo
pessoal, com o fim de dar-lhe segurana, estabilidade, fixidez, corroborao,
confirmao, ratificao. (ZOCCOLI, 2000, p.178).

40

A assinatura o meio pelo qual uma entidade, fsica ou jurdica, adquire para si a
responsabilidade decorrente do contedo do documento assinado, garantindo a identificao e
concordncia explcita com os termos descritos. Desta forma, a pessoa no poder alegar
desconhecimento dos termos e repudiar o documento. O certificado digital, assina
digitalmente documentos, transaes e outros arquivos, de modo que assim, ele equiparar as
funcionalidades da assinatura digital com a assinatura de punho, e conseqentemente, obtm-
se a legalidade pertinente. Zoccoli (2000, p.180) ao analisar a aplicao da assinatura digital
em documentos eletrnicos, ensina que, o termo assinatura pode ser entendido como um
lacramento personalizado de seu contedo. O lacre, no caso, visa garantir a integridade,
enquanto o fato de apresentar atributo de personalizao permite garantir a integridade
importante frisar que a assinatura digital e a digitalizada so completamente
diferentes. A assinatura digitalizada a copia da assinatura manuscrita atravs de um scanner.
Ela pode facilmente ser adulterada, clonada e aplicada em outros documentos, de modo a no
garantir a integridade nem a autoria do documento.
Em relao a privacidade e autenticidade de um arquivo, mesmo atravs da
criptografia assimtrica utilizando as chave publicas e privadas, ainda existem falhas. Devido
a chave pblica ser de conhecimento publico, qualquer um que a possua ter acesso aos dados
criptografados, por conseguinte, no existe o conceito de privacidade dos dados. Outra falha
que se a mensagem for adulterada durante sua tramitao, no haver como saber, pois no h
mecanismo que possa validar a confiabilidade da informao recebida, ou seja, no existe o
conceito de integridade dos dados, Cenadem (2003).
Para obter um mecanismo que promovesse a integridade, criou-se mais um
algoritmo. Este conhecido como hash, realiza o mapeamento, uma operao lgico
matemtica de uma seqncia de bits (todo arquivo digital uma seqncia de bits) de
tamanho arbitrrio para uma seqncia de bits de tamanho fixo, menor. O resultado gerado
o resumo do arquivo, chamado de hash do arquivo. O hash o resultado do resumo do
arquivo, geralmente apresentada em base hexadecimal, ou seja, inclui letras e nmeros de 0 a
9 e A a F. Desta forma, pode-se dizer que este pequeno arquivo gerado a transformao do
maior no menor. Esses algoritmos foram criados visando impossibilitar que dois arquivos,
duas mensanges, tenham o mesmo hash, tornando impossvel reproduzir a seqncia que o
originou. Desta forma, qualquer alterao no texto alterar tambm o hash a ser gerado do
arquivo. Ao utilizar a funo hash, o signatrio cria uma impresso digital ou um tipo de
selo do contedo do documento, de modo que seja possvel verificar se o documento esta
41

integro. Pois uma vez alterado do original, o hash ser outro, mesmo que as alteraes seja
desfeitas, dificilmente o novo hash encontrado ser igual ao do arquivo intacto.
Conforme ilustra a figura 2, aplica-se a funo hash no documento, que calculara
os bits do documento geral, gerando uma seqncia de tamanho fixo e menor. Posteriormente,
esse resumo cifrado com a chave privada do signatrio do documento, gerando um arquivo
eletrnico que significara a assinatura digital do emissor. Essa assinatura anexada ao
documento eletrnico original, compondo a mensagem ou arquivo, que ser transmitido ao
receptor. Caso um intruso tente vasculhas, interceptar e alterar a mensagem, dificilmente
poder ter acesso a ela devido a criptografia. Quando o receptor recebe a informao, s ser
possvel descriptografar a assinatura, se a chave publica for correspondente chave privada
usada para a assinatura. Esta sendo, ento a assinatura decifrado, obtendo-se assim um
resultado chamado de resumo1. A seguir aplicada a funo hash ao documento recebido
obtendo um resultado aqui chamado de resumo2 para ver se houve alterao do
hash/resumo1 e conseqentemente do arquivo original. Efetua-se a comparao do resumo 2
com o resumo1. Se os resumos de mensagem forem iguais, significa que o documento no foi
alterado no percurso, e esta integro e que o documento foi realmente enviado pelo emissor
porque a chave pblica do emissor foi capaz de decifr-lo. Mas se o arquivo foi alterado, o
hash ser outro valor, e ira divergir do resumo1, desta forma tem-se a integridade do
documento, sabendo se ele foi alterado ou no.

FIGURA 2: Autenticao, no repdio e integridade atravs da utilizao de criptografia de chave.
pblica e resumo de mensagem. (Fonte: Cenadem, 2003)
42

Todo este processo embutido no certificado digital feito em fraes de segundo,
assim o certificado permite a imediata verificao da assinatura digital, e este por usa vez,
assinado por uma Autoridade Certificadora, que emitiu e identificou o proprietrio do
certificado. Toda operao descrita feita automaticamente e de forma e transparente para o
usurio, pelos software de assinatura digital (que tambm fazem a verificao), os quais
emitem avisos caso ocorra falha na validao do documento ou do certificado. Volpi (2001,
p.37) exemplifica a aplicao do certificado digital conforme figura 3:

FIGURA 3 - Certificado Digital. (Fonte: Volpi, Marlon Marcelo)

Um arquivo assinado digitalmente geralmente compe-se do arquivo original, a
assinatura digital (hash criptografado) e o certificado do signatrio. Assim, a assinatura digital
promove o cumprimento do principio de no - repudio e a validade legal do documento, pois
prove a identidade do titular do certificado, que o signatrio gerou seu prprio par de chaves e
que o proprietrio do certificado garantiu o no vazamento da sua chave privada.

43

4 REGULAMENTAO

A certificao de extrema importncia para o profissional contbil.No Brasil, a
certificao digital foi estabelecida pela Medida Provisria 2.200-2, de 24 de agosto de 2001,
a qual ser melhor abordada no decorrer do texto. Ela regulamenta a validade legal dos
documentos eletrnicos assinados com o certificado. A partir de ento, fora criada a Infra-
estrutura de Chaves Pblicas Brasileira, conhecida como ICP-Brasil. Esta uma cadeia
hierrquica que viabiliza e fiscaliza a emisso de certificados digitais, dispe das normas e
procedimentos dos certificados utilizando chaves publicas. O Brasil possui uma infra-
estrutura de emissoras de chaves publicas de caracterstica pblica, mantida e auditada por um
rgo pblico que o Instituto Nacional de Tecnologia da Informao, e este segue as regras
de funcionamento estabelecidas pelo Comit Gestor da ICP-Brasil. O comit Gestor da ICP-
Brasil composto por membros nomeados pelo Presidente da Repblica, entre representantes
dos poderes da Repblica como os ministros e personalidades de segmentos acadmicos. O
Instituto Nacional de Tecnologia da Informtica, ITI responsvel pela fiscalizao das AC -
Autoridades Certificadoras e a AC Raiz Autoridade Certificadora Raiz, a primeira da
cadeia de certificao sendo uma autarquia federal vinculada Casa Civil da Presidncia da
Repblica, cujo objetivo manter a Infra-Estrutura de Chaves Pblicas Brasileira ICP-
Brasil. A figura 4 a seguir ilustra essa hierarquia. Somente as transaes efetuadas com
certificados emitidos pela ICP-Brasil possuem validade legal.

FIGURA 4: Hierarquia da Infra-estrutura de Chaves Pblicas ICP Brasil. (fonte: Gavilanes)
44

Com a recente legalizao e implantao dos certificados digitais, a legislao
vem constantemente sendo ampliada para um melhor uso e esta ser superficialmente
comentada.

4.1 Estrutura no Brasil

A Infra Estrutura de Chaves Pblicas Brasileira - ICP-Brasil a sigla no Brasil
para PKI - Public Key Infrastructure. um conjunto de tcnicas, prticas, procedimentos e
componentes elaborados para suportar um sistema criptogrfico de chaves pblicas com base
em certificados digitais conforme Certisign, 2003. A Medida Provisria 2.200-2 que institui a
Infraestrutura de Chaves Pblicas Brasileira ICP-Brasil designa no seu artigo 1:

Fica instituda a Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil, para
garantir a autenticidade, a integridade e a validade jurdica de documentos em forma
eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem
certificados digitais, bem como a realizao de transaes eletrnicas seguras.

Ela toda uma infra-estrutura emisso, uso e obteno de certificados digitais,
uma cadeia hierrquica de autoridades certificadoras, formada no pice por uma Autoridade
Certificadora Raiz - AC-Raiz, Autoridades Certificadoras - AC e Autoridades de Registro
AR. A AC-Raiz da ICP-Brasil o Instituto Nacional de Tecnologia da Informao ITI,
autarquia federal vinculada Casa Civil da Presidncia da Repblica. A ICP-Brasil est
organizada em trs nveis hierrquicos. O Normativo composto pelo Comit Gestor
responsvel pelas polticas, diretrizes, normas, regras operacionais e outros da ICP Brasil,
em que esto submissos a AC- Raiz e ACs. Em nvel de Credenciamento encontra-se a AC-
Raiz responsvel pelo cadastramento de AC, fiscalizao e outros. No nvel operacional
encontram-se as AC e AR responsveis pela interao direta entre os titulares de certificados,
liberao, emisso, revogao e outros.

45

4.2 Comit Gestor

O Comit Gestor - Autoridade Gestora de Polticas da ICP-Brasil foi criado em
julho de 2001 atravs do decreto de 3872, vinculando-o Casa Civil da Presidncia da
Repblica. O art. 3 da Medida Provisria 2002 estipula a composio do comit sendo cinco
representantes da sociedade civil, integrantes de setores interessados, e um representante de
cada um dos seguintes rgos: Ministrio da Justia; Ministrio da Fazenda; Ministrio do
Desenvolvimento, Indstria e Comrcio Exterior; Ministrio do Planejamento, Oramento e
Gesto; Ministrio da Cincia e Tecnologia; Casa Civil da Presidncia da Repblica e
Gabinete de Segurana Institucional da Presidncia da Repblica. Sua principal competncia
determinar as polticas a serem executadas pela Autoridade Certificadora-Raiz, estando
hierarquicamente no pice da ICP-Brasil.

4.3 AC Raiz

A Medida Provisria 2200-2 institui o ITI Instituto Nacional de Tecnologia da
Informao uma autarquia federal vinculado ao Ministrio da Cincia e Tecnologia no papel
de Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Pblicas Brasileira. As
atribuies do ITI no papel de AC Raiz da ICP-Brasil, so descritas no artigo 5 da Medida
Provisria 2.200-2 entre elas as de emitir, distribuir, revogar e gerenciar os certificados das
ACs, fiscaliz-las, audit-las, emitir a lista de certificados revogados . Suas polticas,
diretrizes e funes so determinadas pelo Comit Gestor. Em suma, possui as funes de
credenciar e descredenciar Autoridades Certificadoras e Autoridades de Registro,
supervisionar e fazer auditoria dos processos. vedado pela legislao a emisso de
certificados da AC-Raiz diretamente para os usurios finais. Tanto entidades privadas ou
publicas podem efetuar o credenciamento junto a AC-Raiz, desde que cumpram os requisitos
mnimos estabelecidos.

46

4.4 Autoridades Certificadoras

A Autoridade Certificadora possui atuao comparativa aos diversos rgos
emissores do Registro Geral - Documento de Identificao, um cartrio eletrnico ou como o
DETRAN responsvel pela emisso e liberao da carteira de motorista conforme menciona
Burnet e Paine. Desta forma, a Autoridade Certificadora responsvel pela autenticao dos
usurios do certificado, e por promover a garantia da veracidade dos dados contidos no
certificado digital. Atuando na fiscalizao e auditoria das emisses dos certificados digitais
das autoridades certificadoras, busca a integridade, autenticidade e no - repudio dos arquivos
assinados digitalmente. Elas so entidades publicas ou privadas credenciadas previamente na
AC-Raiz. Nos termos do artigo 60 da MP 2.200/01, compete lhes emitir, expedir, distribuir,
revogar e gerenciar os certificados,bem como colocar disposio dos usurios listas de
certificados revogados e outras informaes pertinentes e manter registro de suas operaes.
A Autoridade Certificadora uma terceira parte em uma transao neutra de total confiana,
responsvel pela emisso e gesto de certificados digitais. Michael FROOMKIN (1996, p.83)
define Autoridade Certificadora como um rgo, pblico ou privado, que procura preencher
a necessidade de uma terceira parte de confiana no comrcio eletrnico que fornece
certificados digitais,atestando algum fato acerca do sujeito do certificado". A figura 5 a seguir
mostra a hierarquia e as Autoridades Certificadoras at hoje credenciadas.

FIGURA 5 Estrutra ICP Brasil. (Fonte: ITI)

47

Muitas Autoridades Certificadoras diferentes podem oferecer certificados digitais,
porm as no pertencentes a ICP-Brasil no possuem validade jurdica.

4.5 Autoridade de Registro

A Autoridade de Registro interage diretamente com o usurio final do certificado.
Conforme MP 20022, as ARs so vinculadas a uma determinadas Autoridades Certificadoras,
que possuem como principal funo efetuar o cadastramento presencial dos solicitantes de
certificados e passar essas solicitaes para a AC responsvel. Ela opera conforme as
determinaes polticas e praticas estipulas pela AC, recebe ordens de emisso ou revogao
de certificados digitais, recebe e guarda copias dos documentos solicitados dos proprietrios
de certificados dentre outras e possui obrigao de armazenagem das suas operaes.

4.6 Tipos de Certificados Digitais

Conforme afirmam Burnet e Paine, 2002, os certificados digitais so emitidos por
uma autoridade responsvel e confivel, que atesta a identidade do futuro signatrio no
momento da criao do certificado. As entidades confiveis so chamadas de Autoridades
Certificadoras. Marcacini e Antonio Dourado Rezende (2003) afirmam o seguinte sobre o
certificado digital:

H grande confuso sobre o que seja um certificado digital. Um certificado digital
uma declarao de seu emissor, realizada por meio eletrnico e formato digital
padronizados, quanto titularidade de uma chave pblica, nele transportada. No se
pode confundir, pois, entre o que est sendo declarado (a eficcia da declarao), o
que est sendo transportado (a chave pblica), e o meio eletrnico pelo qual so
produzidos tais declaraes e transportes (a ICP), do qual a entidade certificadora
participa apenas como endossante ou avalista. (REZENDE, 2003).

Na ICP-Brasil uma Autoridade Certificadora no Brasil, homologadora dos
certificados. Existem duas sries de certificados. A srie A que referencia a assinatura digital,
sendo eles A1, A2, A3 e 4 utilizados na confirmao de identidade na Web, em e-mail, em
redes privadas virtuais (VPN) e em documentos eletrnicos com verificao da integridade de
48

suas informaes. E a srie S referente ao sigilo, so eles S1, S2, S3 e S4. Esta serie rene os
certificados de sigilo, que so utilizados na codificao de documentos, de bases de dados, de
mensagens e de outras informaes eletrnicas sigilosas. O numero que acompanha as series
referencia ao grau de segurana e conseqentemente uso, e pela validade.
Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no
prprio computador do usurio. Os dados so protegidos por uma senha de acesso. Somente
com essa senha possvel acessar, mover e copiar a chave privada a ele associada e por
conseguinte possuem menor nvel de segurana. Nos tipos A2, A3, A4, S2, S3 e S4, as chaves
privadas e as informaes referentes ao seu certificado ficam armazenadas em um hardware
criptogrfico - carto inteligente (smart card) ou carto de memria (token USB ou pen drive).

Quadro 1 Quadro de Certificados
Tipo de
certificado
Chave criptogrfica
Validade
mxima
(anos)
Tamanho
(bits)
Processo de
gerao
Mdia armazenadora
A1 e S2 1024 Software Arquivo 1
A2 e S2 1024 Sofware
Smart card ou token, sem
capacidade de gerao de
chave
2
A3 e S3 1024 Hardware
Smart card ou token, com
chave
3
A4 e S4 2048 Hardware
Smart card ou token, com
chave
3
Fonte: Como Funciona o Certificado Digital

O smart card carto inteligente - e o token so mdias armazenadoras, hardwares
criptogrficos que guardam em seu interior informaes, tornando-as portteis devido a
mobilidade das mdias. Neles feito a gerao e a armazenagem das chaves, no podendo
serem copiadas ou retiradas, de modo que as transaes online podem tambm serem feitas
em outros locais, proporcionando comodidade. Para acessar a chave privada, necessrio a
insero de uma senha predetermina pelo proprietrio, adquirida na compra. Segundo Duarte
2008, p.100-101, o smart card aparenta-se com um carto magntico. Entretanto, necessrio
uma leitora especifica para que seja promovida a troca de informaes do carto com o
computador. O token assemelha-se com um pendrive, e sua conexo com o computador
feita atravs de uma porta USB. A memria de ambos dispositivos limitada, o suficiente
para armazenar os dados do certificado, alem de conter um processador. Este conjunto de
49

memria e processador o que proporciona segurana ao processo. Osmart card possibilita
a insero de dados biogrficos do signatrio, como nome, filiao, endereo, nmero de
documentos de identidade e at uma foto do seu responsvel, entre outros.

FIGURA 6: Exemplo de Leitora de Smart Card

FIGURA 7: Exemplo de token

FIGURA 8: Smart Card Carto

Os leiautes de referncia abaixo foram aprovados pela Secretaria da Receita
Federal, atravs da Instruo Normativa SRF n 462, de 19 de outubro de 2004, para a
confeco dos Cartes Inteligentes (smart cards) para armazenamento de Certificados Digitais
e-CPF e e-CNPJ, existe tambm o e-PJ. O e-PJ (ou e-NFe) um certificado emitido para uma
pessoa jurdica mas com os dados de uma pessoa fsica. O e-CPF usado no SPED Contabil e
Fiscal, o e-CNPJ e e-PJ para Nota Fiscal e SPED Fiscal.
50

FIGURA 09 - Imagens dos e-CPF e e-CNPJ. (Fonte: RFB)

Nos tipos A2 e S2 a gerao das chaves feita atravs de software, contendo
chaves de no mnimo 1024 bits. Os A3 e S3 so comumente usados. Neles as chaves so
geradas e armazenadas nas mdias portteis. Os A4 e S4, a gerao tambm feita no carto
ou no token, porem a chave de segurana de no mnimo 2048 bits. A segurana desse
modelo a maior, porm pouco utilizado. Em todos as series, a chave publica enviada
51

para Autoridade Certificadora juntamente com a solicitao do certificado. A chave privada
ficara armazenada no computador no caso do A1-S1 e nos cartes para os demais modelos.
Os certificados atuais so do padro X.509 - verso 3. Este por sua vez contm os
seguintes dados: A verso - X.509, atualmente verso 3, pois quando se aprimora ou
desenvolve algo novo, criam-se outras e novas verses e modelos; O nmero de srie que
corresponde a um cdigo de fabricao que a AC cria de acordo com a produo de novos
certificados; Um identificador do algoritmo criptografado usado pela AC e com o tipo de
funo hash; O nome do titular; Nome do emissor do certificado, neste caso o nome da
Autoridade Certificadora que emitiu o certificado; O perodo de validade do certificado de
modo que mostra o perodo de validade no formato "No antes" e "No depois", ou seja,
exemplificando "No antes de 10/07/2010 - 16:20:11" e "No depois de 10/08/2012
18:31:14". So os carimbos de tempo, tcnica que permite definir a data e hora da assinatura;
Dados pessoais do Titular; A chave pblica do usurio designada pela AC e o algoritmo de
chave publica; Assinatura digital do Emissor garantida da AC atestando a veracidade das
informaes contidas no certificado; E outras informaes que a AC definir como
necessrias. Para utilizao do certificado na internet, necessrio um navegador atualizado e
preferencialmente habilitado para gravao de cookies. O Firefox define os cookies como
sendo um pequeno texto que os sites podem enviar aos navegadores durante a navegao, de
modo que no retorno a determinados sites onde dados pessoais foram armazenados, o servidor
reconhece que o usurio esteve anteriormente ali e reenvia os dados salvos ao servidor, como
senhas memorizadas, preferncias como cor de pagina do site e outras. Os sites geralmente
usam os cookies para distinguir usurios e memorizar preferncias.

4.7 Obteno, Renovao e Revogao

Para adquirir um certificado, devera escolher uma das Autoridades Certificadoras
Habilitadas, ir at uma delas, preencher e solicitar o certificado. Para renovao prefervel
que seja dentro do perodo de validade, pode ser feito tambm posteriormente, o usurio
dever solicitar na autoridade certificadora credenciada, a renovao do certificado. Todo
certificado possui um perodo de validade, e s possvel assinar documentos durante esse
perodo e aps o termino deste, as assinaturas tornam-se invlidas. possvel ao titular,
durante a renovao manter os dados anteriores e ate mesmo a chave privado se esta estiver
52

segura. Entretanto, a conferencia de assinaturas realizadas durante o perodo de validade, pode
ser feita em qualquer poca, ou seja, os documentos assinados durante a validade do
certificado continuam com seu valor legal. Desta forma, a renovao promove a conferencia
dos dados e do usurio de tempo em tempo, cumprindo seu papel de assegurar a existncia e
as informaes do mesmo e quando for o caso, substituindo a chave por outra mais atualizada
e segura.
Para revogao, ou seja, torn-lo invlido, impossibilitando a partir da revogao,
o seu uso, deve-se ir a Autoridade Certificadora Habilitada emissora do certificado, e solicitar
a revogao. possvel solicitar a revogao antes do termino da validade do certificado. Os
motivos podem ser desde comprometimento da chave privada, como alteraes de dados de
certificados ou outros. Aps receber a solicitao de revogao, a AC adiciona o numero de
serie do certificado a Lista de Certificados Revogados (LCR) e a publica. As LCRs so
publicadas de acordo com a periodicidade que cada AC definir. Essas listas so pblicas e
podem ser consultadas a qualquer momento para verificar se um certificado permanece vlido
ou no.CAO DIGITAL6 O QUE CERTIFICAO DIGITAL?

4.8 Legislao

A legislao referente ao tema cresce cotidianamente conforme a demanda por
abordagens de legalidades jurdicas se ampliam. Existe toda uma coletnea de leis, decretos,
normas e resolues. O Iti disponibiliza em seu site todas as referentes a certificao,
procedimentos para credenciamento de ACs e outros. A Receita Federal tem outro adicional
de legislaes pertinentes aos documentos eletrnicos, declaraes com o uso do certificado e
outros.
O principal norteamento da certificao digital no Brasil deu-se atravs da Medida
Provisria 2.200-2 de 24 de Agosto de 2001. Ela Institui a Infra-Estrutura de Chaves Pblicas
Brasileira - ICP-Brasil, e d outras providncias de suas funes, objetivos, princpios.
Proporciona a validade legal em documentos eletrnicos, transforma o ITI Instituto Nacional
de Tecnologia da Informao em autarquia federal vinculado ao Ministrio da Cincia e
Tecnologia, define suas atribuies, define o Comite Gestor, sua atuao e composio de
membros. Estipula a cadeia hierrquica de Autoridades Certificadoras, as Autoridades de
Registro, tendo uma AC Raiz definida como sendo o ITI, suas funes como rgo de
53

credenciamento, fiscalizador, auditor e veda a AC raiz emitir certificados para o usurio final.
As funes da AC e AR tambm so especificadas. Da instrues para credenciamento de AC
e AR entre outros.
Existem uma gama de decretos que promovem o bom funcionamento de toda a
ICP-Brasil. O Decreto n 3.505, de 13 de Junho de 2000 Institui a Poltica de Segurana da
Informao nos rgos e entidades da Administrao Pblica Federal, em que visa assegurar a
garantia ao direito individual e coletivo das pessoas, inviolabilidade da sua intimidade e ao
sigilo da correspondncia e das comunicaes, a conscientizao dos rgos e das entidades
da Administrao Pblica Federal sobre a importncia das informaes processadas e sobre o
risco da sua vulnerabilidade. Define termos como Segurana da Informao, estimula a
promoo da proteo aos sistemas da Administrao Publica Federal, ao incentivo a pesquisa
tecnolgica em segurana da informao e meios para criar e assegurar a confidencialidade
dos dados das informaes dentre outros. O Decreto n 3.872, de 18 de Julho de 2001
dispe sobre o Comit Gestor da Infra-Estrutura de Chaves Pblicas Brasileira - CGICP-
Brasil, sua Secretaria-Executiva, sua Comisso Tcnica Executiva e d outras providncias.
Define-o como autoridade gestora de polticas da ICP-Brasil, vincula-o a Casa Civil da
Presidncia da Repblica, define sua composio. Decreto n 3.996, de 31 de Outubro de
2001. Dispe sobre a prestao de servios de certificao digital no mbito da Administrao
Pblica Federal. Decreto n 4.414, de 07 de Outubro de 2002.
Altera o Decreto no 3.996, de 31 de Outubro de 2001, que dispe sobre a prestao de
servios de certificao digital no mbito da Administrao Pblica Federal. Decreto n 4.689,
de 07 de Maio de 2003. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos
em Comisso do Instituto Nacional de Tecnologia da Informao - ITI, e d outras
providncias. Decreto n 6.605, de 14 de Outubro de 2008. Dispe sobre o Comit Gestor da
Infra-Estrutura de Chaves Pblicas Brasileira - CG ICP-Brasil, sua Secretaria-Executiva e sua
Comisso Tcnica Executiva - COTEC. A lista de resolues extensa e encontra-se no
anexo IV.

54

5 CONSIDERAES FINAIS

As mudanas em decorrncia dos benefcios proporcionados pela certificao
originam uma evoluo extremamente significativa e revolucionaria na atuao dos
contabilistas, e de todos os usurios desta tecnologia. O contador oficialmente aposentou
vrios dos seus trabalhos manuscritos para dar lugar a total informatizao, o que trouxe uma
melhora expressiva no seu trabalho. A cerificao digital uma revoluo na tecnologia da
segurana. As ampliaes, e melhorias promovidas por ela so iminentes, tornando
completamente evidente a migrao do mundo fsico para o digital. Como apresentado, a
certificao fora criada para proporcionar um alto nvel de segurana, dando a viabilidade
necessria para concretizao das transaes online, com plena validade jurdica,
proporcionando credibilidade, segurana e confiabilidade imprescindveis para execut-las.
Entretanto, existe uma grande escassez de materiais sobre o tema, principalmente
com enfoque contbil e, no profissional que atua diretamente com a certificao. As poucas
bibliografias encontradas compem-se de contedos pertinentes a outras reas do
conhecimento, artigos e cartilhas geradas pelo governo, e empresas que atuam com a
certificao, que no proporcionam as informaes de modo a propiciar uma compreenso
plena e suficiente sobre o tema. A falta de fontes adequadas criam falhas no manuseio,
aplicao, segurana do certificado, no instruindo um norteamento dos benefcios, da
confiana, segurana e credibilidade proporcionada, alm de no proverem a compreenso de
sua lgica e funcionamento, exceto em contedos muito aprofundados em informtica.
Os mtodos de segurana da certificao invalidam muitos dos ataques mais
propcios de serem executados contra o profissional contbil. Dentre os mencionados, a
certificao promove a anulao total ou parcial, direta ou indiretamente de todos. Sua
atuao diversificada frente a vrios tipos.
No Scanners de Portas/Portscanners e exploits, se uma porta ou determinada falha
de um software estiver sendo monitorada, e os dados contbeis forem interceptados, o
interceptador/invasor no acessar as informaes devido a criptografia, e se o documento for
adulterado, o receptor poder saber, garantindo assim a confiabilidade das informaes.
Obviamente, ela no impede a monitorao das portas, nem a interceptao de arquivos, mas
garante o sigilo e a credibilidade dos dados contbeis. O mesmo ocorre no Spoofing.
No ataque de Quebra de Senha ou brute force a eficincia da certificao
evidente. Caso o invasor intercepte uma comunicao contbil criptografada, dificilmente ter
55

acesso. Para tal, imprescindvel a chave par, e o nvel de segurana conforme j citado da
chave inabilita esse ataque, tornando praticamente impossvel encontrar a chave atravs deste
ataque. E possui como acrscimo o token armazenador da chave, ao qual sem ele no h
acesso, e a tem-se um novo grau de segurana, inviabilizando por completo o ataque.
No phishing e scamming, sua eficincia plena, podendo ela at mesmo extinguir
este ataque e variantes. A certificao digital permite ao contador, ao acessar um determinado
site, arquivo, e-mail, arquivos e outros, verificar o certificado e assim saber se aquele site,
arquivo, e-mail pertence ao verdadeiro emissor. Entretanto, apesar da confiabilidade
proporcionada pela certificao, cabe ao contador exigir, verificar a existncia e ate mesmo a
validade do certificado. Consequentemente ele reduz a contaminao de malwares, como
cavalo de troia, worms, vrus, backdoors e spawers. Ela no os inabilita, pois esta a funo
de um antivrus qualificado. Entretanto, ela atua indiretamente, reduzindo seu efeito
parcialmente, pois proporciona a verificao/conferencia da fonte emissora/autora, ou a
autenticidade do site, e a integridade dos arquivos que usara.
No ataque de DOS e DDoS, o alvo um servidor ou a conexo de uma rede e no
diretamente arquivos. A sua interao com a certificao indireta e existente apenas se o
ataque for dirigido ao sistema de certificao, de modo que o servidor responsvel no valide
a transao por estar inoperante. Se o servidor da cadeia cair com um Denial of Service,
torna-se impossvel comprovar a validade do certificado. A informao no exposta, mas a
autenticidade (e origem) no podem ser confirmadas. Ou seja, ele no afeta a integridade dos
dados e nem o processo criptogrfico em si proporcionado pela certificao.
No pharming e na clonagem de URL ela extremamente til, pois possibilita a
identificao segura do site que esta acessando, bastando verificar o certificado do site. Se
houver um redirecionamento, o contador poder descobrir apena verificando o certificado.
Uma interessante e importante ao que o certificado digital promove contra a
engenharia social. Devido a armazenagem da chave em um token ou carto com senha de
acesso, gera-se maior proteo contra este ataque, pois para obter os dados contidos no
dispositivo, o engenheiro social somente ter sucesso caso adquiria o dispositivo e a senha
para acessar a unidade, quase independendo das informaes que o proprietrio d. Desta
forma, muitos sistemas, arquivos e outros adquirem um nvel significativamente maior de
confiabilidade. Consequentemente, requer que o quesito humano tenha o treinamento mnimo
de segurana e armazenagem do token ou carto para que o contador no entregue o carto e a
senha a terceiros. E principalmente ser capaz de reconhecer quando estes estiverem passando
por entidades confiveis, como AC e outras, solicitando identificao dos engenheiros e
56

outros dados. Em suma, a certificao digital eficaz frente a ataques que possam ter as
informaes verificadas. Segurana perfeita no existe em nenhum sistema, mas pode-se
aprimorar almejando a perfeio.
Nesse sentido, a Certificaao digital comea a nortear um novo modelo de
credibilidade documental permanente para execuo de trabalhos em amplos e variados
segmentos sociais, conforme especificado acima. E, no mais somente na rea contbil como
inicialmente acontecera. Sua abrangncia significativamente acarretar, dia a dia, a criao de
uma nova postura no perfil do profissional contabilista, que lhe ser exigido a ampliao suas
bases de conhecimentos, das quais o domnio e manuseio da informtica lhe ser atribudo
com essencial no exerccio de suas atividades cotidianas e rotineiras. Com o aumento
constante de documentos eletrnicos e a maleabilidade que eles provem no cotidiano, a
segurana um fator fundamental.
A tecnologia da certificao digital em carto pode ser baseada em trs
fundamentos: o que contador tem, o que somente ele sabe e o quem ele . O que ele tem o
dispositivo de armazenagem, um carto ou token emitido pela AC. O que somente o contador
sabe s sabe a senha, ou seja, o cdigo secreto de segurana para acessar o carto, de
exclusividade do proprietrio. O quem ele , ainda no esta acoplado a certificao atual, mas
ser o prximo passo, que a verificao biomtrica como verificador de identidade do
proprietrio do certificado.
A tecnologia biomtrica tem se popularizado, principalmente a de impresso
digital devido ao baixo custo e alto beneficio. Existem outras como a colorao da ris, a
retina e at o DNA que mais se aproxima da perfeio, porm, ainda uma tecnologia cara
para ser bem difundida. Em um futuro bem prximo, a certificao digital acoplar a
biometria, e os tokens viro com leitor de impresso digital e a impresso ser a senha para
acess-lo. token.
Obviamente, decorrente da evoluo tecnolgica novas formas de segurana so
criadas, e paralelamente outras modalidades de ataques tambm. Vo desenvolvendo-se e
aprimorando de acordo com as mudanas de mercado. Assim tambm segue as tcnicas e
tecnologias de segurana. Novos documentos, aplicaes e funes sero criados utilizando a
certificao.

A Contabilidade desenvolveu-se em resposta a mudanas no ambiente, novas
descobertas e progressos tecnolgicos. No h motivo para crer que a Contabilidade
no continue a evoluir em resposta a mudanas que estamos observando em nossos
tempos. (HENDRIKSEN E BREDA, 1999, p.38)
57

uma tecnologia que veio para ficar e a cada dia ira integrar-se mais e mais em
sistemas, documentos, e cabe ao contador, como quesito fundamental para ser um profissional
hbil e atuante, dominar os conceitos mnimos e usos da certificao. O reconhecimento da
eficincia da certificao fez com que governos do mundo inteiro, incluindo o Brasil a
aderissem. Atualmente, somente para a RFB, so emitidas 19 (dezenove) declaraes de
responsabilidade do profissional contbil, alm do e-CAC como j mencionado, SPED, NF-e,
existem tambm as carteiras de identidade profissional e civil, da qual a classe contbil foi
uma das primeiras a adquirir. No sistema judicirio criaram o e-DOC e o RIC j comeou a
ser fabricado, este promove uma mudana radical na vida de todo o brasileiro. A unio de
todos os documentos de identificao em apenas um e ainda incluso um certificado digital,
que promove a integrao do mundo digital com o fsico, nivelando-os. Ele trar grandes
repercusses para todo profissional. Bancos, sistemas de sade, pericias, o Presidente e seus
Ministros, compras do governo, preges, cartrio eletrnico, comercio b2b (Business to
Business) e b2c (Business to consumer) so exemplos da proporo da disseminao da
certificao atual.
Conforme apresentado, a cada dia aumenta as aplicaes da certificao e o
reconhecimento da segurana proporcionada por ela. Por conseguinte, evidente a
necessidade primordial do contador acompanhar essas e as futuras modificaes em relao a
segurana da informao, uma vez que trabalha constantemente com ela, manter-se atualizado
requesito principal para o profissional contbil continuar exercendo sua profisso. preciso
migrar e a acompanhar as evolues porque cada dia o profissional a utiliza mais e mais,
tornando-se dependente dessas inovaes para viabilizar e agilizar suas funes cotidianas,
alem das imposies legais, das quais no podem eximir-se, tendo que efetu-las e adequar-se
mesmo que muitos possuam objees com relao ao seu uso. O profissional que abster-se em
ser malevel, lapidvel, passvel de mudanas e aprendizados, e no acompanhar as
transformaes tecnolgicas, estar fadado a ineficcia e inabilitao profissional,
favorecendo a ser ludibriado por terceiros e migrar para um isolamento social, uma vez que o
mundo virtual tornou-se fundamental no mundo fsico.
Essa conjuno entre contador e informtica manifesta-se como casamento
indissolvel devido a perfeita harmonia entre suas funes no mundo pratico e virtual.
Conseqentemente, o certificado digital se assegura atravs de sua eficcia e eficincia uma
realidade que veio para ficar e se consolidar atravs de seus vnculos estabelecidos com os
mais diversos segmentos sociais. Essa consolidao se comprova atravs da vasta gama de
58

documentos j utilizados com a certificao dital e sua evoluo se manifesta de acordo com a
sua implantao em novos ambientes sociais.
Em suma, esse trabalho busca promover uma maior integrao entre as atividades
contbeis e as rotinas tecnolgicas implantadas recentemente na sociedade, enfatizando o
funcionamento, lgica e aplicao da certificao para o contabilista, e aumentando o
contedo do tema na rea. Reconhecendo que a certificao digital possui caractersticas
genricas, com diversas finalidades e aplicaes, variando do segmento a que se designar,
porm, de extrema importncia para o profissional contbil.

59

REFERNCIAS BIBLIOGRAFICAS

ABRIL. Defenda sua privacidade (ou o que resta dela) no computador. InfoOline. Ed.
251. Disponvel em: <http://info.abril.com.br/edicoes/251/arquivos/6105_1.shl>. Acesso em:
18 ago. 2010.

ACFEANACOM. Revista Digital: Benefcios Disponibilizados com a utilizao da
Certificao Digital. Disponvel em:<http://www.acfenacon.com.br/beneficio/beneficio.
html>. Acessado em: 18 abril 2010.

AGUIAR, R. C. Ataques na Internet. Unicamp. Disponvel em:
<http://www.ccuec.unicamp.br/revista/infotec/artigos/renato_cardoso2.html>. Acesso em: 19
ago. 2010.

ALECRIM, E. Ataques DoS (Denial of Service) e DDoS (Distributed DoS). Infowester.
Cidade. 4 out. 2004. Disponvel em: <http://www.infowester.com/col091004.php>. Acesso
em: 21 out. 2010

ALMEIDA. A. R. Como funcionam os Exploits. Invaso. Disponvel em:
<http://www.invasao.com.br/2008/12/12/como-funcionam-os-exploits>. Acesso em: 22 out.
2010.

BANRISUL. Tipos de Ataques. Disponvel em: <http://ww3.banrisul.com.br/internet/bfqzbe
2bt.nsf/anexdir/tipos+de+ataque?opendocument> Acesso em: 19 out. 2010

BEHRENS, F., A Assinatura Eletrnica como Requisito de Validade dos Negcios
Jurdicos e a Incluso Digital na Sociedade Brasileira. 2005. Dissertao (Mestrado em
Direito Econmico e Social) Programa de Ps-Graduao em Direito Econmico e Social,
Centro De Cincias Jurdicas E Sociais. Pontifcia Universidade Catlica do Paran, Curitiba.

BOFF C. Tcnicas do Hackerismo. Batebyte. Disponvel em: <http://www.batebyte.pr.gov.
br/modules/conteudo/conteudo.php?conteudo=1212>. Acesso em: 23 out. 2010.

BRASIL. Medida provisria 220-2, de 23 de Agosto de 2001. Disponvel em:
<http://legislacao.planalto.gov.br/legisla/legislacao.nsf/fraWeb?OpenFrameSet&Frame=frm
Web2&Src=/legisla/legislacao.nsf/Viw_Identificacao/mpv%25202.202-2-2001%3FOpenDo
cument%26AutoFramed>. Acessado em 10 de abr. 2010

BUENO, M. Informtica Fcil Para Concursos. Rio de Janeiro: Brasport, 2006

60

BURNETT, S. e PAINE, S. Criptografia e Segurana O Guia Oficial da RSA. Editora
Campus, 2002.

CAPANENA, R. Brasil a segunda maior fonte de ataques virtuais. Folha de So Paulo.
So Paulo: 6 fev. 2010. Dsponivel em: <http://www1.folha.uol.com.br/folha/informatica/ult1
24u690063.shtml>. Acesso em: 19 out. 2010

CARVALHO, D. Criptografia: Mtodos e Algoritmos. Editora Book Express, 2001.

CARVALHO, J. A. Informtica para Concursos - 3 Ed. Rio de Janeiro: Elsevier, 2006

CENADEM. Apostila de Seminrio sobre Certificao Digital. So Paulo: 2002

CERT. Cartilha de Segurana Para Internet. Glossrio. Disponvel em:
<http://cartilha.cert.br/glossario/#b>. Acesso em: 21 out. 2010.

CERT. Cartilha de Segurana Para Internet. Parte VIII: Cdigos Maliciosos (Malware).
Disponvel em: <http://cartilha.cert.br/malware>. Acesso em: 21 out. 2010.

CERT. Estatsticas dos Incidentes Reportados ao CERT.br. Disponvel em: http://www.
cert.br/stats/incidentes. Acesso em: 21 out. 2010.

CERTISIGN. A Certisign pioneira e lder no mercado de certificao digital brasileiro.
Disponvel em: <http://www.certisign.com.br/companhia/certisign.jsp>. Acesso em: 22 de
abril de 2010.

CERTISIGN. Primeira Leitura Sobre Certificao Digital. Disponvel em:
<https://www.certisign.com.br/treinamento/guia_cert_digital_down.jsp>. Acesso em: 10 de
out. de 2010.

CORRA, G.T. Aspectos jurdicos da Internet. So Paulo: Saraiva, 2 ed, 2002.

COUTO, S. P., Decifrando a Fortaleza Digital. Universo dos Livros, 2005.

DUARTE, R. D. Big Brother Fiscal III, 3 ed, Ed. ideias@work, 2009.

EDITORAABRIL. As 150 melhores empresas para se trabalhar. Set. 2004. Revista Voc
S/A, Edio 75, 298 p.

FERNANDES, D. Que tipos de ataques uma rede de computadores. Disponvel em:
<http://dailson.blogspot.com/2008/06/tipos-de-ataques-redes-de-computadores.html>. Acesso
em: 19 out. 2010.

61

FERRARI, B. Pesquisa traa perfil da segurana da informao no Brasil. Info. 9 dez. de
2008 Disponvel em: <http://info.abril.com.br/professional/seguranca/pesquisa-treca-perfil-
da-segur.shtml?4>. Acesso em: 18 ago. 2010.

FERRARI, B. As 10 piores ameaas de janeiro. Info. 16 fev. 2009. Disponvel em: <
http://info.abril.com.br/professional/seguranca/as-10-piores-ameacas-de-janeir.shtml>.
Acesso em: 18 ago. 2010.

FERRARI, B. Criminosos virtuais do baile em Google, Yahoo! e Cia. Info. 24 mar. 2009.
Disponvel em: <http://info.abril.com.br/professional/seguranca/criminosos-virtuais-dao-
baile.shtml>. Acesso em: 18 ago. 2010.

FIGUEIREDO, A., Revista Unicamp - Administrao de Sistemas e Segurana, n 6,
Setembro de 1999, disponvel em: <http://www.ccuec.unicamp.br/revista/infotec/admsis/ad
msis6-1.html>. Acessado em: 19 ago. 2010

GAVILANES, J. C. G. A Certificao Digital Como Instrumento de Garantia da
Segurana E Credibilidade da Informao Digital: Um Estudo De Caso Brasileiro. 2005.
Dissertao (Mestrado Profissionalizante em Administrao) Programa de Pos-Graduao e
Pesquisa em Administrao e Economia. Faculdades Ibmec. Rio de Janeiro.

GODOY, G., Excelncia Em Desempenho e a Contabilidade. 2006. Dissertao (Mestrado
em Administrao) Programa de Estudos Ps-Graduados em Cincias Contbeis e
Financeiras, Pontifcia Universidade Catlica de So Paulo, So Paulo.

GUELFI, A. R., Anlise de Elementos Jurdico-Tecnolgicos que Compem a Assinatura
Digital Certificada Digitalmente pela Infra-Estrutura de Chaves Pblicas do Brasil -
ICP-Brasil. 2007. Dissertao (Mestrado em Engenharia Eltrica), Escola Politcnica da
Universidade de So Paulo, So Paulo.

GUIMARAES, A. G., LINS, R. D., OLIVEIRA, R. C. Segurana em Redes Privadas
Virtuais VPNs. Rio de Janeiro: Brasport, 2006.

HENDRIKSEN, Eldon S.; BREDA, MICHAEL F. Van. Teoria da Contabilidade. 5.ed. So
Paulo: Atlas, 1999.

HOUAISS. Dicionrio Eletrnico de Lngua Portuguesa. 2009

INFO. Dados roubados. 15 jul. 2008. Disponvel em: <http://info.abril.com.br/professional/
seguranca/dados-roubados.shtml>. Acesso em: 18 ago. 2010.

INFO. Na mira dos ataques virtuais. 15 jul 2010. Disponvel em: <http://info.abril.com.br/
professional/seguranca/na-mira-dos-ataques-virtuais.shtml>. Acesso em: 18 ago. 2010.

62

INFO. Usurios so ponto fraco na segurana online. 22 jul. 2020. Disponvel em
<http://info.abril.com.br/noticias/ti/usuarios-sao-ponto-fraco-na-seguranca-online-22072009-
38.shl>. Acesso em: 18 ago. 2010.

ITI. Instituto Nacional de Tecnologia da Informao: Em 2010, mais de 1,5 milhes de
certificados sero emitidos. Dez. 2009. Disponvel em: <http://www.iti.gov.br/twiki/bin/
view/Noticias/PressRelease2009Dec10_13580>. Acesso em: 04 abril 2010.

ITI. O que Certificao Digital?. Disponvel em: <http://www.iti.gov.br/twiki/pub/Certi
ficacao/CartilhasCd/brochura01.pdf> . Acesso em: 10 jul. 2010

ITI. Saiba como obter um Certificado Digital e quais os benefcios para sua vida.
Braslia. Disponvel em: <http://www.iti.gov.br/twiki/bin/view/Certificacao/CertificadoObter
Usar> Acesso em: 30 ago. 2010.

KAHN, D. The Codebreakers: The Comprehensive History of Secret Communication
from Ancient Times to the Internet. Scribner, 1996.

LEMOS, A., Identidade Digital. Jul. 2007. Disponvel em: <http://andrelemos.blogspot.
com/2007/07/identidade-digital.html>. Acesso em: 04 abril 2010.

MACHADO, C. Malware cresce 200% em maro. Info. 1 abr. 2009. Disponvel em:
<http://info.abril.com.br/professional/seguranca/malware-cresce-200-em-marco.shtml?2>.
Acesso em: 18 ago. 2010.

MACHADO, C. Roubo de dados d salto duplo em 2008. Info. 16 abr. 2009 Disponvel
em: <http://info.abril.com.br/professional/seguranca/roubo-de-dados-da-salto-duplo.shtml?3>.
Acesso em: 18 out. 2010.

MARCACINI, A. T. R. Direito e informtica : Uma abordagem jurdica sobre
criptografia. Rio de Janeiro: Forense, 2002.

MARCACINI, A. T. R., COSTA, M.: REZENDE, P. A. D. Seguranca, Bits e Cia. Jornal do
Commercio. Publicado em 13, 20, 27/02/03.

MARCACINI, A. T. R. Direito e informtica: uma abordagem jurdica sobre
criptografia. 1 edio, Rio de Janeiro: Forense, 2002.

MITNICK, Kevin D.; SIMON; William L. A arte de enganar. So Paulo: Pearson Education
do Brasil, 2003.

MOZILLA J. Cookies: o que so e como monitor-los?. Disponvel em:
<http://br.mozdev.org/firefox/cookies>. Acesso em: 30 out. 2010.

63

NORTON. Phishing: Como eles atacam. Disponvel em: <http://br.norton.com/security_
response/phishing.jsp>. Acesso em: 21 out. 2010.

NORTON. Protegendo-se contra pharming. Disponvel em: <http://service1.
symantec.com/support/inter/nco- intl.nsf/br_docid/20061016131135900>. Acesso em: 25 out.
2010.

PANDA. Panda Security detecta 22 mil novos vrus por dia em 2008. Disponvel em:
<http://www.pandasecurity.com/portugal/homeusers/media/press-releases/viewnews?
noticia=9518>. Acessado em: 10 out. 2010.

PEIXOTO. A. Alm do phishing, cuidado com o pharming. Webinsider. 07 jul. 2010.
Disponvel em: <http://webinsider.uol.com.br/2010/07/07/alem-do-phishing-cuidado-com-o-
pharming>. Acesso em: 20 ago. 2010.

RAMIRO M. L., Gesto da Segurana da Informao: Certificao Digital. 2008.
Dissertao (Mestrado em Gesto Internacional) - Escola Brasileira De Administrao
Pblica E De Empresas Curso De Mestrado Em Gesto, Fundao Getlio Vargas, Rio de
Janeiro.

REVISTA F. Certificao Digital O Fio do Bigode Eletrnico. Revista Fonte, Nmero 1,
Dezembro de 2004. Disponvel em: <http://www.prodenge.gov.br/revistafonte>. Acesso em:
07 de maro de 2010.

RFB. Cartilha E-cac. Receita Federal do Brasil. 2008. Disponvel em:
<www.receita.fazenda.gov.br>. Acesso em: 20 set. 2010.

RIBEIRO, G. Como funciona o certificado digital. Disponvel em: <http://informatica.hsw.
uol.com.br/certificado-digital4.htm>. Acesso em: 10 ago. 2010.

ROCHA, P. Microsoft no Rio ter que enviar dados de hacker justia. Estado. So
Paulo: 22 out. 2010. Disponvel em: <http://www.estadao.com.br/noticias/cidades,microsoft-
no-rio-tera-que-enviar-dados-de-hacker-a-justica,628534,0.htm>. Acesso em: 23 out. 2010

ROLLI, F. F. C. RG virtual de empresas gira R$ 3 bi, mas gera queixas. Folha de So
Paulo. So Paulo. Disponvel em: < http://www1.folha.uol.com.br/folha/informatica/ult124u
704260.shtml>. Acesso em: 19 out. 2010.

SARLO, E. C. A Certificao Digital e sua Evoluo. SUCESU ES, 31 de maro de 2004.

SCHEINER, B. Segredos e Mentiras sobre a proteo na vida digital. Editora Campus,
2001.

64

SERASAEXPERIAN. Serasa Experian estima que 85% das empresas ainda no esto
prontas para emitir NF-e em abril, Mar. 2010. Disponvel em: http://www.serasaexperian
.com.br/release/noticias/2010/noticia_00112.htm>. Acesso em: 04 abril 2010.

TERRA, Perguntas e respostas sobre pharming. Disponivel em: <http://tecnologia.terra.com.
r/interna/0,,OI555333-EI4805,00.html.>. Acesso em: 25 out. 2010.

TERRA. O que scam. Informtica. Disponvel em: <http://informatica.terra.com.br/virus
ecia/spam/interna/0,,OI126626-EI2403,00.html>. Acesso em: 24 out. 2010.

THOMPSON, C. Informtica e contabilidade: modernizao fundamental. Revista
brasileira de contabilidade. Braslia: CFC, ano XX, no.74, p.20-26, janeiro/maro de 1991.

THOMPSON, M. A., Invaso.BR. Rio de janeiro: ABSI, 2006.

TRINTA, F. A. M e Macdo R. C. Um Estudo sobre Criptografia e Assinatura Digital.
Set. 1998. Disponvel em: <http://www.di.ufpe.br/~flash/ais98/cripto/criptografia.htm>.
Acesso em: 10 out. 2010.

UOL. Ataques DDoS esto mais fortes do que nunca. Computerworld. 15 jan. 2010.
Disponvel em: <http://computerworld.uol.com.br/seguranca/2010/01/15/ataques-ddos-estao-
mais-fortes-do-que-nunca>. Acesso em: 22 out. 2010.

VAN de GRAAF, J. Tudo o que voc deve saber sobre a certificao digital. Disponvel
em: <http://www.prodenge.gov.br/revistafonte>. Acesso em: 07 out. 2010

VOLPI NETO, A. Comrcio eletrnico: direito e segurana. Curitiba: Juru, 2002.

ZOCOOLI, D. Autenticidade e integridade dos documentos eletrnicos: a firma
eletrnica. In: ROVER. Aires Jose (org.) Direito, Sociedade e Informtica: limites e
perspectivas da vida digital. Florianpolis: Fundao Boiateux. 2000, pp. 177-192

65

ANEXO I

Cartilha emitida pela RFB cotendo instrues sobre o uso da e-CAC.

1. Acesso com certificado digital de Pessoa Jurdica:
So disponibilizadas as aplicaes de pessoa jurdica ou pessoa fsica/jurdica.

66

1.1. Alterar Perfil de Acesso
Quando selecionada a opo Alterar Perfil de Acesso so exibidas as opes abaixo. Informando
o CPF/CNPJ ser exibida tela com as informaes sobre o CPF/CNPJ informado.

1.1.1. Procurador de Pessoa Jurdica

67

1.1.2. Nova alterao do Perfil de Acesso
Para alterar de novo o perfil de acesso deve-se novamente clicar na opo Alterar Perfil de
Acesso. O contribuinte poder voltar a acessar as informaes do titular do certificado ou
selecionar outra opo da tela abaixo da opo Alterar Perfil de Acesso.

2. Acesso com certificado digital de Pessoa Fsica:
So exibidas apenas as aplicaes para Pessoa Fsica ou Pessoa Fsica ou Jurdica.

68

2.1. Alterar Perfil de Acesso

2.1.1.Procurador de Pessoa Fsica:

69

2.1.2. Responsvel Legal:

2.1.3. Nova alterao do Perfil de Acesso

70

ANEXO II
Graficos criados pela Cert.br
Valores acumulados: 1999 a setembro de 2010

71

Incidentes Reportados ao CERT.br -- Janeiro a Dezembro de 2009
Tabela: Totais Mensais e Anual Classificados por Tipo de Ataque.
Ms Total worm (%) dos
(%)
invaso
(%)
web
(%)
scan (%) fraude (%) outros
(%)
jan 105945 26748 25 0 0 13 0 364 0 3859 3 74909 70 52 0
fev 73883 3524 4 3 0 5 0 457 0 3398 4 66214 89 282 0
mar 38246 773 2 3 0 12 0 342 0 4392 11 32440 84 284 0
abr 25496 468 1 682 2 20 0 579 2 4014 15 19228 75 505 1
mai 43819 1212 2 2 0 27 0 431 0 3087 7 38790 88 270 0
jun 10792 1821 16 1 0 4 0 464 4 6160 57 2023 18 319 2
jul 9831 2073 21 191 1 5 0 565 5 4104 41 2421 24 472 4
ago 9783 2233 22 2 0 4 0 458 4 3825 39 2997 30 264 2
set 9810 1706 17 1 0 7 0 474 4 4876 49 2392 24 354 3
out 11342 1483 13 0 0 7 0 336 2 6081 53 2988 26 447 3
nov 10183 1674 16 10 0 5 0 560 5 4368 42 3143 30 423 4
dez 9213 1384 15 1 0 2 0 562 6 3950 42 2817 30 497 5
Total 358343 45099 12 896 0 111 0 5592 1 52114 14 250362 69 4169 1

Incidentes Reportados ao CERT.br -- Janeiro a Maro de 2010
72

Tabela: Totais Mensais e Trimestral Classificados por Tipo de Ataque.
Ms Total worm
(%)
dos
(%)
invaso
(%)
web
(%)
(%)
jan 8223 1467 17 5 0 1 0 402 4 3042 36 2545 30 761 9
fev 8266 2170 26 5 0 5 0 470 5 2920 35 2313 27 383 4
mar 11836 2236 18 0 0 1 0 780 6 4573 38 3529 29 717 6
Total 28325 5873 20 10 0 7 0 1652 5 10535 37 8387 29 1861 6

Incidentes Reportados ao CERT.br -- Abril a Junho de 2010
Tabela: Totais Mensais e Trimestral Classificados por Tipo de Ataque.
Ms Total worm
(%)
dos
(%)
invaso
(%)
web
(%)
(%)
abr 11462 2127 18 0 0 3 0 522 4 5463 47 2829 24 518 4
mai 9680 1310 13 3 0 7 0 653 6 5027 51 2359 24 321 3
jun 11680 1324 11 2 0 2 0 706 6 6533 55 2872 24 241 2
Total 32822 4761 14 5 0 12 0 1881 5 17023 51 8060 24 1080 3

Incidentes Reportados ao CERT.br -- Julho a Setembro de 2010
Ms Total worm (%) dos (%) invaso (%) web (%) scan (%) fraude (%) outros (%)
jul 12661 1150 9 0 0 22 0 986 7 7718 60 2440 19 345 2
ago 14171 1213 8 4 0 5 0 928 6 9186 64 2596 18 239 1
set 13177 904 6 0 0 11 0 734 5 8882 67 2413 18 233 1
Total 40009 3267 8 4 0 38 0 2648 6 25786 64 7449 18 817 2

73



74



Este grfico no inclui os dados referentes a worms.

75



76



Este grfico no inclui os dados referentes a worms.
77




78




79



80



81



82


Legenda: Cavalos de Tria, Pginas Falsas, Direitos Autorais e Outras

83

ANEXO III

A Resoluo n 3 designa Comisso para auditar a Autoridade Certificadora Raiz
- AC Raiz e seus prestadores de servios. A Resoluo n 5 Aprova o Relatrio de auditoria
da AC Raiz. A Resoluo n 15 estabelece as diretrizes para sincronizao de freqncia e de
tempo na Infra-Estrutura de Chaves Pblicas Brasileira - ICP-Brasil. A Resoluo n 20
determina o desenvolvimento de uma plataforma criptogrfica aberta, voltada operao da
AC Raiz. Resoluo n 33 delega a AC RAIZ da ICP-Brasil atribuio para suplementar as
normas do Comit Gestor e d outras providncias.
A Resoluo n 36 aprova o Regulamento para Homologao de Sistemas e
Equipamentos de Certificao Digital no mbito da ICP-Brasil. A Resoluo n 39 aprova a
verso 2.0 da Poltica de Segurana da ICP-Brasil. A Resoluo n 41 aprova a verso 2.0 dos
Requisitos Mnimos para as POLTICAS DE CERTIFICADO na ICP-Brasil. A Resoluo n
42 aprova a verso 2.0 dos Requisitos Mnimos para as DECLARAES DE PRTICAS
DE CERTIFICAO das Autoridades Certificadoras da ICP-Brasil. A Resoluo n 44
aprova a verso 2.0 dos Critrios e Procedimentos para Realizao de AUDITORIAS NAS
ENTIDADES nas Entidades da ICP-Brasil. A Resoluo n 45 aprova a verso 2.0 dos
Critrios e Procedimentos para FISCALIZAO das Entidades Integrantes da ICP-Brasil. A
Resoluo n 47 aprova a verso 3.0 dos Critrios e Procedimentos para Credenciamento das
Entidades Integrantes da ICP-Brasil. A Resoluo n 48 Altera os Requisitos Mnimos para
as Declaraes de Prticas de Certificao das Autoridades Certificadoras da ICPBrasil.
Resoluo n 49 Aprova a verso 3.0 da Declarao de Prticas de Certificao da
Autoridade Certificadora Raiz da ICP-Brasil. A Resoluo n 50 Altera a Declarao de
Prticas de Certificao da Autoridade Certificadora Raiz da ICP-Brasil. A Resoluo n 51
Altera a Poltica de Segurana da ICP-Brasil. Resoluo n 52 Altera os critrios e
procedimentos para credenciamento das entidades integrantes da ICP-Brasil.
Resoluo n 53 Altera os requisitos mnimos para as polticas de certificado na ICP-Brasil.
Resoluo n 54 Altera os requisitos mnimos para as Declaraes de Prticas de Certificao
das Autoridades Certificadoras da ICP-Brasil. Resoluo n 55 Aprova a verso 3.0 das
diretrizes da poltica tarifria da Autoridade Certificadora Raiz da ICP-Brasil. Resoluo n
56 Altera os critrios e procedimentos para realizao de auditorias nas entidades da ICP-
Brasil. Resoluo n 57 Altera os critrios e procedimentos para fiscalizao das entidades
integrantes da ICP-Brasil. Resoluo n 58 Aprova a verso 1.0 do documento Viso Geral
do Sistema de Carimbos do Tempo na ICP-Brasil. A Resoluo n 59 Aprova a verso 1.0 do
84

documento Requisitos Mnimos para as Declaraes de Prticas das Autoridades de Carimbo
do Tempo da ICP-Brasil. Resoluo n 60 Aprova a verso 1.0 do documento Requisitos
Mnimos para as Polticas de Carimbo do Tempo da ICP-Brasil. Resoluo n 61 Aprova a
verso 1.0 do documento Procedimentos para Auditoria do Tempo na ICP-Brasil. Resoluo
n 62 Aprova a verso 1.0 do documento Viso Geral sobre Assinaturas Digitais na ICP-
Brasil. Resoluo n 63 Aprova o Regimento Interno do Comit Gestor da Infraestrutura de
Chaves Pblicas Brasileira (ICP-Brasil). Resoluo n 64 Aprova a execuo de auditoria no
ambiente operacional na Autoridade Certificadora raiz (AC RAIZ) e seus prestadores de
servio de suporte de INFRA - ESTRUTURA DE CHAVES PBLICAS BRASILEIRA no
exerccio de 2010. Resoluo n 65 Aprova a Verso 2.0 do documento padres e algoritmo
criptogrficos da ICP-BRASIL, e o plano de migrao relacionado. Resoluo n 66 Aprova
a Verso 3.1 dos requisitos mnimos para a declarao de prticas de certificao das
autoridades certificadoras da ICP-Brasil. Resoluo n 67 Aprova a Verso 3.1 dos
requisitos mnimos para a declarao de prticas de certificao das autoridades certificadoras
da ICP-Brasil.
Resoluo n 68 Altera os prazos contidos no plano de adoo de novos padres
criptograficos - anexo II da resoluo N 65. Resoluo n 69 Aprova a verso 1.1 dos
normativos de carimbo de tempo da ICP-Brasil. Resoluo n 70 Aprova a verso 4.2 DOC-
ICP-03. Resoluo n 71 Altera o prazo da resoluo 62 REF DOC-ICP-15. Resoluo n 72
Aprova a verso 4.0 dos critrios e precedimentos para realizao de auditorias nas entidades
da ICP-BRASIL. Resoluo n 73 Aprova a verso 2.0 dos termos de titularidade de
incapazes, pessoa fsica e pessoa jurdica na ICP-Brasil. Resoluo n 74 Aprova a verso 3.2
DOC-ICP-05, verso 4.3 DOC-ICP-03 e verso 1.3 do DOC-ICP-03.01. Resoluo n 75
Aprova a verso 3.3 do comuento de requisitos mnimo para as declaraes de prticas de
certificao das autoridades certificadoras da icp-Brasil(DOC-ICP-05). Resoluo n 76
Aprova a verso 2.0 do documento viso geral sobre as assinaturas digitais na ICP-Brasil
(DOC-ICP-15).
Resoluo n 77 Aprova a verso 3.1 do documento requisitos mnimos para as
politicas de certificado na ICP-Brasil (DOC-ICP-04). Resoluo n 78 Aprova a verso 1.2
do documento de viso geral do sistema de carimbos do tempo na ICP-Brasil (DOC-ICP-11).
Resoluo n 79 Aprova a verso 3.4 do documento requisitos mnimos para as declaraes
de prticas de certificao das autoridades certificadoreas da ICP-Brasil.(DOC-ICP-05).
Resoluo n 80 Aprova a verso 2.0 do documento regilamento para homologao de
sistemas e quipamentos de certificao digital no mbito da ICP-Brasil. (DOC-ICP-10).
85

Resoluo n 81 Aprova a verso 4.1 do documento declarao de prticas de certificao da
autoridade certificadora raiz da ICP-Brasil (DOC-ICP-01). Resoluo n 82 Aprova a verso
1.0 do documento manual de uso da marca da ICP-BRASIL, e a gesto de contedo do stio
da infraestrutura de chaves pblicas brasileira (ICP-BRASIL). Resoluo n 83 Aprova a
verso 4.4 do documento critrios e procedimentos para credenciamento das entidades
integrantes da ICP-Brasil (DOC-ICP-03).

Monografia Certificacao Digital para Contabilistas

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Monografia Certificacao Digital para Contabilistas

Uploaded by

Copyright:

Available Formats

1

UNIVERSIDADE ESTADUAL DE GOIS

You might also like