Aplicação de Nota Fiscal eletrônica.

“Responsabilidade pelos ativos

Objetivo: Alcançar e manter a proteção adequada dos ativos da organização.
Convém que todos os ativos sejam inventariados e tenham um proprietário responsável.
Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a
responsabilidade pela manutenção apropriada dos controles. A implementação de controles
específicos pode ser delegada pelo propr
ietário, conforme apropriado, porém o proprietário permanece responsável pela proteção
adequada dos ativos. ABNT NBR ISO/IEC 17799, 2005, Item 7.1”

Norma refere-se a um item onde se aloca a responsabilidade do sistema em uma

empresa que presta serviço.

“Inventário dos ativos

Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos
importantes seja estruturado e mantido.
Diretrizes para implementação Convém que a organização identifique todos os ativos e
documente a importância destes ativos. Convém que o inventário do ativo inclua todas as
informações necessárias que permitam recuperar de um desastre,
incluindo o tipo do ativo, formato, localização, informações sobre cópias de segurança,
informações sobre licenças e a importância do ativo para o negócio. Convém que o inventário
não duplique outros inventários desnecessariamente, porém ele deve assegurar que o seu
conteúdo está coerente.
Adicionalmente, convém que o proprietário (ver 7.1.2) e a classificação da informação (ver 7.2)
sejam acordados e documentados para cada um dos ativos. Convém que, com base na
importância do ativo, seu valor para o negócio e a sua classificação de segurança, níveis de
proteção proporcionais à importância dos ativos sejam identificados (mais informações sobre
como valorar os ativos para indicar a sua importância podem ser encontradas na ISO IEC TR
13335-3). Informações adicionais
(ABNT NBR ISO/IEC 17799, 2005 Item 7.1.1)”

O item demonstra de que forma os ativos devem ser classificados e inventariados para
que em uma situação de desastre as informações sejam recuperadas.
Os ativos devem ser documentados e classificados com níveis (Ex:1,2 e etc.) de
acordo com sua importância.

“Proprietário dos ativos

b) definir e periodicamente analisar criticamente as classificações e restrições ao acesso,
levando em conta as políticas de controle de acesso, aplicáveis. (ABNT NBR ISO/IEC
17799, 2005 Item 7.1.2, B)”

A política de acesso as notas fiscais são de acordo com o estabelecido pela Receita
Federal, determinando assim o acesso padrão para todos os CNPJs.

“Classificação da informação
Objetivo: Assegurar que a informação receba um nível adequado de proteção.
Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível
esperado de proteção quando do tratamento da informação.
A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar
um nível adicional de proteção ou tratamento especial. Convém que um sistema de
classificação da informação seja usado para definir um conjunto apropriado de níveis de
proteção e determinar a necessidade de medidas especiais de tratamento. (ABNT NBR
ISO/IEC 17799, 2005 Item 7.2)”

As boas praticas recomendam que a informação devem ser classificada com níveis de
acesso, sendo assim a nota fiscal é um documento sigiloso com vários níveis de
acesso. Ex: O nível de acesso para um auditor e diferente de uma pessoa que está
fazendo a contabilidade de suas notas.

“Rótulos e tratamento da informação

Os procedimentos para rotulação da informação precisam abranger tanto os ativos de
informação no formato físico quanto no eletrônico.
telas, mídias magnéticas (fitas, discos, CD), mensagens eletrônicas e transferências de
arquivos.
Convém que sejam definidos, para cada nível de classificação, procedimentos para o
tratamento da informação que contemplem o processamento seguro, a armazenagem, a
transmissão, a reclassificação e a destruição. Convém que isto também inclua os
procedimentos para a cadeia de custódia e registros de qualquer evento de segurança
relevante.
Convém que acordos com outras organizações, que incluam o compartilhamento de
informações, considerem procedimentos para identificar a classificação daquela informação e
para interpretar os rótulos de classificação de outras organizações. (ABNT NBR ISO/IEC
17799, 2005 Item 7.2.2)”

O processo de rotulação da informação deve ser definido de acordo com o nível (classificação)
da mesma, deve-se abranger tanto informações como ativos. O tipo de rotulação deve se
padronizada com outras organizações que compartilham dos mesmos ativos para que a
informação não seja tratada com nível diferente na outra organização, mantendo assim a
integridade e confiabilidade dos dados, mesmo que essa informação esteja em alguns
mecanismos de transporte como (fitas, discos ou CD),

“Procedimentos e responsabilidades operacionais

Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.
Convém que os procedimentos e responsabilidades pela gestão e operação de todos os
recursos de processamento das informações sejam definidos. Isto abrange o desenvolvimento
de procedimentos operacionais apropriados.
Convém que seja utilizada a segregação de funções quando apropriado, para reduzir o risco de
mau uso. (ABNT NBR ISO/IEC 17799, 2005 Item 10.1)”

O processamento da NF-e recepcionada é realizada pelo Servidor de Processamento de NF-e

que consolida as mensagens armazenadas na fila de entrada pelo método NfeRecepcao e faz
a autenticação de acordo com as boas praticas da norma, reduzindo assim o risco do mau uso
da informação.

“Documentação dos procedimentos de operação

Convém que os procedimentos de operação especifiquem as instruções para a execução
detalhada de cada tarefa, incluindo:
a) processamento e tratamento da informação;
b) backup (ver 10.5);
c) requisitos de agendamento, incluindo interdependências com outros sistemas, a primeira
hora para início da tarefa e a última hora para o término da tarefa;
d) instruções para tratamento de erros ou outras condições excepcionais, que possam ocorrer
durante a execução de uma tarefa.
e) dados para contatos de suporte para o caso de eventos operacionais inesperados ou
dificuldades técnicas;
g) procedimento para o reinício e recuperação em caso de falha do sistema;
h) gerenciamento de trilhas de auditoria e informações de registros (log) de sistemas.
(ABNT NBR ISO/IEC 17799, 2005 Item 10.1.1)”

Boas praticas que devem ser utilizada no sistema de NF-e para que o sistema esteja sempre
com disponibilidade para os usuários.
Normas para que o sistema também inicie e encerre os processos do di ser tornar indisponível
o uso.
Normas para help de usuários e verificação de mau funcionamento do sistema.

10.3 Planejamento e aceitação dos sistemas

Aceitação e uma pratica utilizada para diminuir o risco de falhas no sistema, O planejamento e
a preparação são requeridos para garantir a disponibilidade adequada do ativo e análise do
desempenho do sistema, também devesse testar cargas no sistema para situações futuras
para evitar uma sobre carga.
Todos os testes devem ser documentados antes durante e depois dos testes para registrar
assim toda modificação e melhoria no sistema.
Uma vez os testes finalizados e documentados garantindo a disponibilidade, integridade,
confiabilidade e tempo prolongado de vida do sistema. O mesmo pode ser liberado para uso.

10.5.1 Cópias de segurança das informações

A copia de segurança deve seguir uma criptografia para manter a informação intacta, mesmo
quando copiada a um dispositivo de transporte como Pendriver CDs e etc, também devem ser
armazenadas em um local remoto que não seja afetado por um desastre do local atual. As
copias devem seguir níveis de importância. Outro pratica importante a ser seguida faz
referencia os testes das copias que devem ser testadas regularmente para que não aja falhas
no momento que o backup for levantado.
Para sistemas críticos, convém que os mecanismos de geração de cópias de segurança
abranjam todos os
sistemas de informação, aplicações e dados necessários para a completa recuperação do
sistema em um
evento de desastre.

“Segurança dos serviços de rede

Convém que as características de segurança, níveis de serviço e requisitos de gerenciamento
dos serviços de rede sejam identificados e incluídos em qualquer acordo de serviços de rede,
tanto para serviços de rede providos internamente ou terceirizados.
Diretrizes para implementação Convém que a capacidade do provedor dos serviços de rede de
gerenciar os serviços acordados de maneira segura seja determinada e monitorada
regularmente, bem como que o direito de auditá-los seja acordado.
Convém que as definições de segurança necessárias para serviços específicos, como
características de segurança, níveis de serviço e requisitos de gerenciamento, sejam
identificadas. Convém que a organização assegure que os provedores dos serviços de rede
implementam estas medidas.
Informações adicionais
Serviços de rede incluem o fornecimento de conexões, serviços de rede privados, redes de
valor agregado e soluções de segurança de rede gerenciadas como firewalls e sistemas de
detecção de intrusos. Estes serviços podem abranger desde o simples fornecimento de banda
de rede não gerenciada até complexas ofertas de soluções de valor agregado.
Funcionalidades de segurança de serviços de rede podem ser:
a) tecnologias aplicadas para segurança de serviços de redes como autenticação, encriptação
e controles de conexões de rede;
b) parâmetro técnico requerido para uma conexão segura com os serviços de rede de acordo
com a segurança e regras de conexão de redes;
c) procedimentos para o uso de serviços de rede para restringir o acesso a serviços de rede ou
aplicações, onde for necessário. (ABNT NBR ISO/IEC 17799, 2005 Item 10.6.2)”

As empresas prestadoras de serviços devem manter o acordo feito em contrato, onde

garantem a disponibilidade, confiabilidade e a velocidade da transmissão das informações da
NF-e, todo esse processo deve ser documentado e passado pelo processo de aceitação como
segue o (item 10.3).

”Transações on-line
Convém que informações envolvidas em transações on-line sejam protegidas para prevenir
transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens,
divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada.
Diretrizes para implementação Convém que as considerações de segurança para transações
on-line incluam os seguintes itens:
a) uso de assinaturas eletrônicas para cada uma das partes envolvidas na transação;
b) todos os aspectos da transação, ou seja, garantindo que:
1) credenciais de usuário para todas as partes são válidas e verificadas;
2) a transação permaneça confidencial; e
3) a privacidade de todas as partes envolvidas seja mantida;
c) caminho de comunicação entre todas as partes envolvidas é criptografado;
d) protocolos usados para comunicações entre todas as partes envolvidas é seguro;
e) garantir que o armazenamento dos detalhes da transação está localizado fora de qualquer
ambiente publicamente acessível, como por exemplo, numa plataforma de armazenamento na
intranet da organização, e não retida e exposta em um dispositivo de armazenamento
diretamente acessível pela internet;
f) onde uma autoridade confiável é utilizada (como, por exemplo, para propósitos de emissão e
manutenção de assinaturas e/ou certificados digitais), segurança é integrada a todo o processo
de gerenciamento de certificados/assinaturas.
Informações adicionais
A extensão dos controles adotados precisará ser proporcional ao nível de risco associado a
cada forma de
transação on-line.

Transações podem precisar estar de acordo com leis, regras e regulamentações na jurisdição
em que a transação é gerada, processada, completa ou armazenada.
Existem muitas formas de transações que podem ser executadas de forma on-line, como, por
exemplo, contratuais, financeiras etc. (ABNT NBR ISO/IEC 17799, 2005 Item 10.6.2)”

Toda transação online da NF-e seguir a norma ABNT NBR ISO/IEC 17799, 2005 Item 10.9.2,
norma essa que identifica os passos para uma transição online segura, essa norma também
demonstra que as informações não devem ser armazenadas em locais de domínio publico e
toda transação feita deve ser criptografada para manter o dado intacto na transação.