O que é um Certificado Digital?
Certificado digital é uma forma de identificar pessoas e empresas em sistemas e documentos digitais. Ele funciona como uma identidade virtual, apresentada por meio de sistemas de validação.
Em tempo, vale destacar que tanto os Certificados do tipo A1 quanto os do tipo A3 podem ser utilizados na forma de e-CPF (pessoas físicas) ou de e-CNPJ (pessoas jurídicas).
No Brasil, os certificados digitais foram regulamentados pela Medida Provisória n.º 2.200-2/2001. Essa norma assegura aos usuários do certificado digital a validade dessa identidade virtual, por meio do sistema oficial de Infraestrutura de Chaves Públicas Brasileira.
Somente entidades devidamente cadastradas podem emitir certificados digitais. As chamadas Autoridades Certificadoras (AC), fazem todo o processo de emissão, desde a conferência dos documentos até o certificado ficar pronto para uso.
Para ter um certificado digital, o interessado faz a compra do certificado no site da AC ou no caso de médicos, ele pode ser solicitado de forma gratuita no site do CFM. Depois, o certificado passa pelo processo de emissão, em que os documentos serão validados e ele estará pronto para uso.
Por fim, será necessário fazer a instalação do certificado, que varia de acordo com o tipo emitido.
Como o Certificado Digital Comprova a identidade de Alguém?
A maneira como o certificado digital comprova a identidade de alguém ou de uma empresa é praticamente inviolável, sendo aceita legalmente. O sistema utiliza um par de chaves criptográficas que nunca se repete. São elas:
- chave privada — serve para criptografar dados que atestam a identidade sobre a pessoa ou a empresa, seja para acessar um sistema, seja para assinar um documento eletrônico. Só conhece essa chave quem está autorizado a usar o certificado que a gerou;
- chave pública — é compartilhada com quem precisa decodificar a criptografia das informações que atestam a identidade para que seja reconhecida e aceita. A chave pública só serve para decodificar o que foi criptografado usando a chave privada criada junto dela.
Para validar uma assinatura digital, o certificado vincula a ela um arquivo eletrônico com dados sobre a pessoa ou a empresa para atestar a quem ela pertence e que foi feita por quem pode utilizá-la legalmente.
Tanto a assinatura digital quanto esse arquivo são protegidos por criptografia pelo certificado digital, que precisa, obrigatoriamente, ter sido emitido por uma autoridade certificadora credenciada pelo Instituto Nacional de Tecnologia da Informação — ITI.
Em outras palavras, podemos dizer que a assinatura gerada pelos certificados digitais permite o acesso por meio da chave pública para validar a certificação, ou seja, conferir se ela é verdadeira, mas não oferecem a possibilidade de acesso irrestrito, protegendo os dados e evitando fraudes.
Quem precisa de Certificado Digital?
Quase todas as empresas precisam ter certificado digital para se relacionarem com órgãos governamentais. Até dentro do próprio serviço público, algumas atividades só podem ser feitas com o uso desse meio de certificação.
Embora não seja obrigatório para empresas que têm até um empregado e optaram pelo regime tributário Simples Nacional, para microempreendedor individual (MEI) e para pessoa física, nesse caso, as vantagens são:
- segurança — utiliza chaves criptográficas praticamente invioláveis para confirmar identidade;
- comodidade — dispensa a necessidade de comparecer presencialmente;
- agilidade — permite alterar informações rapidamente e evitar processos burocráticos demorados.
Tipos de Certificado Digital
Dentre os tipos de Certificado Digital para prescrições, não existe um modelo que abrange o “atributo específico” que identifica que o profissional é um médico, um dentista ou um outro tipo como o advogado, juiz, promotor etc.
Portanto, essa comprovação é feita na apresentação dos documentos específicos de cada classe para a autoridade certificadora. As autoridades certificadoras são empresas autorizadas pelo ITI Instituto Nacional de Tecnologia da Informação, a emitir os certificados padrão ICP- Brasil no mercado de acordo com o seu principal objetivo.
Atualmente existem os certificados digitais smart card, token (físicos) e arquivo em nuvem, o mais moderno.
Certificado Tipo Nuvem
A novidade do mercado, são os certificados tipo Nuvem. Eles podem ser utilizados pelos dispositivos mobile. A diferença é que ao invés de se utilizar um Token, por exemplo, para guardar o arquivo do Certificado, utiliza-se os chamados HSMs. Eles são hardwares criptográficos altamente seguros auditados e fiscalizados pelo ITI.
Diferentemente de um Token ou Smartcard, o arquivo do certificado não fica em poder do seu titular. Na realidade, ele fica armazenado em uma sala cofre, cujo acesso é extremamente restrito, justamente para eliminar qualquer risco à integridade dos arquivos.
Para se ter uma ideia do nível de segurança, é neste mesmo “cofre” que ficam armazenados os dados das “Autoridades Certificadoras”. Eles são bem práticos, pois podem ser utilizados no desktop, tablets e smartphones. Eles permitem que o prescritor faça, por exemplo, uma receita de urgência no final de semana pelo celular.
Nessa modalidade, os arquivos dos titulares são acessados remotamente, via internet, sem a necessidade de utilização de mídias físicas. E o melhor! Esse certificado pode ter validade estendida de até 5 anos com dupla autenticação. Você ganha mobilidade e pode acessar as informações de qualquer dispositivo mobile.
Certificado Tipo Smart Card ou Token
O Smart Card é uma mídia que armazena o certificado digital do tipo A3 e apresenta benefícios que vão desde mobilidade e praticidade até segurança, é um dispositivo compacto, prático e de fácil transporte. Portanto, pode ser levado facilmente para outros lugares.
O armazenamento do certificado A3 na mídia física oferece maior segurança, uma vez que ninguém pode acessá-lo de outro lugar e ao mesmo tempo.
Já o token consiste em uma mídia criptográfica usada para arquivar o certificado do modelo A3. A diferença está só no tipo de dispositivo e na maneira como é usado.
Isso porque a ferramenta não precisa de uma leitora para ser usada, como o smartcard. Nesse caso, o modelo permite uma conexão direta com uma entrada USB de um computador. Assim, quando o usuário quiser acessar o documento eletrônico, basta inserir o card no desktop e digitar a senha PIN.
Com relação ao dispositivo, a sua aparência se assemelha a de um pendrive, mas não se engane. O pendrive tem a função de guardar e transferir qualquer tipo de arquivo de diversas extensões, o que não acontece com o token.
Diferenças dos Certificados Digitais A1 e A3
Certificado digital tipo A1
É instalado e armazenado diretamente em um computador e sua validade é sempre de um ano. As vantagens dele são:
- Pode ser instalado em diversos computadores simultaneamente ;
- Pode ser importado por softwares de emissão;
- Permite fazer o backup do certificado, então, o arquivo não é perdido se o computador for formatado;
- Agilidade no momento de assinar documentos;
- Não requer instalação de leitores de cartão.
Certificado digital tipo A3
É armazenado em token (que é parecido com um pendrive), ou em smartcard (cartão inteligente) ou até mesmo no formato em nuvem (instalado em um dispositivo móvel). Podem ter validade de um a cinco anos. As vantagens são:
- Pode ser levado para qualquer lugar onde possa ser necessário utilizar;
- É inviolável e tem um nível de segurança elevado, pois não pode ser extraído ou copiado para outra mídia;
- É pessoal e intransferível, somente o portador da senha pode usá-lo .
Funcionamento no PAe
O acesso pode ser realizado das seguintes formas:
- Assinador v2 – Java 11 +;
- Vidaas; (Plataforma padrão utilizada pelo CFM, ao qual é fornecido o certificado A3 do tipo em nuvem emitido pela empresa Valid)
- ESEC Certilion; (Autenticador que busca os principais provedores de certificação existente, sendo eles: BIRDID, VIDAAS, VAULTID, SAFEID, REMOTEID e NEOID)
- Usuário e Senha.
Após a escolha de sua forma de autenticação ao PAe e validação, o acesso será estabelecido e o sistema poderá ser utilizado.