486 views 10 mins

Aprendendo com as grandes empresas: os 3 usos diferentes da PKI

em Manchete Principal
quarta-feira, 26 de abril de 2023

Dean Coclin (*)

O modelo de Hierarquia de PKI Brasil adotado pelo Brasil foi a certificação com raiz única, cabendo ao ITI, além do papel de Autoridade Certificadora Raiz também o papel de credenciar e descredenciar os demais participantes do da cadeia, supervisionando e auditando os processos.

Public Key Infrastructure (PKI) é um sistema de processos, tecnologias e políticas que permite criptografar e assinar dados. Você pode emitir certificados digitais que autenticam a identidade de usuários, dispositivos ou serviços. Esses certificados criam uma conexão segura para páginas da Web públicas e sistemas privados, como sua rede virtual privada (VPN), Wi-Fi interno, páginas wiki e outros serviços compatíveis com MFA.

É a rede de segurança invisível que colocamos atrás de informações, pessoas e dispositivos na internet. Contamos com chaves criptográficas e certificados associados a elas para manter nossos dados privados e seguros. Um dos casos de uso mais difundidos de PKI está no protocolo TLS/SSL, que protege quase todas as comunicações HTTPS criptografadas que você possa imaginar: navegação em sites de mídia social, leitura de notícias, compras online.

De fato, mais de 90% dos sites são protegidos por comunicação criptografada por HTTPS, então você os usa todos os dias. Isso significa que os certificados TLS do site são os certificados PKI mais usados. Mas a PKI é muito mais ampla do que o tráfego e as comunicações diárias da Internet. Na verdade, quando você se aprofundar um pouco mais, descobrirá que a PKI costuma ser usada para outros aplicativos, dispositivos e grandes partes de nossas vidas digitais.
Com isso em mente, vamos dar uma olhada em três casos de uso surpreendentes de PKI.

Vamos falar sobre assinaturas digitais
“Assinaturas molhadas” – escritas com tinta no papel – vêm com muitas desvantagens. Afinal, enviar um contrato assinado fisicamente para aprovação pode levar muito tempo. E como todos sabemos, quanto mais algo demora, mais frustrante pode ser.

Documentos juridicamente vinculativos podem exigir a assinatura pessoal ou perante uma testemunha ou notário, portanto, o atraso não é o único fator. Com a pandemia de coronavírus, as contratações cara a cara também trazem riscos à saúde.

O uso da tecnologia de assinatura digital acelera a assinatura e a aprovação de documentos importantes — por exemplo, quando as pessoas assinam contratos para novos serviços. Você já deve ter visto isso com serviços online ou assinatura de um documento PDF.

Mas se você deseja usar a assinatura digital em sua empresa, precisa ter certeza de que a assinatura digital é genuína, o documento não foi adulterado e ninguém pode vê-lo sem permissão. Isso é trabalho para um certificado digital e para a PKI que o torna possível.

Para facilitar as coisas para o seu negócio, tente usar uma plataforma de assinatura de documentos que permita às pessoas:
• estabelecer a autoria do documento
• garantir a integridade dos dados/conteúdo
• gerenciar certificados e assinaturas em escala
• confirmar a identidade do remetente

Imagem: Elmar_peshkov_CANVA

E as comunicações por e-mail?
O e-mail é uma das formas de comunicação mais populares. Mas para algumas organizações, isso pode representar um grande risco de segurança de dados. Na verdade, 22% de todas as violações de negócios envolvem phishing por e-mail.
A PKI permite que os remetentes assinem seus e-mails, assim como suporta a assinatura de documentos. Isso significa que você pode enviar e-mails criptografados e autenticados, mantendo o conteúdo privado, mas seus destinatários podem verificar se ele veio de você.
Sem a criptografia correta de ponta a ponta e a segurança apropriada, informações pessoais confidenciais podem vazar para fora de sua empresa durante o trânsito. É aqui que a PKI pode adicionar uma camada extra de proteção e autenticação consistentes e impermeáveis. Isso significa que informações confidenciais, incluindo e-mails com anexos, podem ser enviadas com segurança, sem adulteração e em conformidade com os regulamentos federais.
Se você deseja replicar a criptografia de e-mail e a assinatura digital em sua organização, aqui estão algumas dicas úteis para se manter seguro com eficiência:
Adote uma política corporativa de assinatura digital para e-mail
• centralize seu gerenciamento e implantação de certificados de e-mail em um portal integrado (isso economiza tempo e significa que nada sai errado!)
• use certificados de e-mail pré-configurados sempre que possível
• adote uma ferramenta que automatize a implantação de PKI

Autenticação de cartão: física e virtual

Sistemas seguros baseados em chip estão se tornando cada vez mais presentes em negócios B2B e B2C. Desde autenticação de identificação eletrônica no setor público até cartões que verificam solicitações de tickets de funcionários e pagamentos em vários setores, há muitos casos de uso para cartões inteligentes.

Um setor que se beneficiará com a tecnologia é o setor de saúde. Com tantos dados confidenciais entrando e saindo de hospitais diariamente, é essencial que o setor de saúde descarte senhas que podem ser hackeadas e adote um método mais confiável. É aqui que os cartões inteligentes entram em ação. Esses cartões inteligentes podem:

• reduzir violações de dados e fraudes
• fornecer melhor captura de dados
• colocar autenticação e acesso a dados nas mãos dos próprios funcionários

O Serviço Nacional de Saúde do Reino Unido usa cartões inteligentes — físicos e virtuais — construídos sobre uma infra-estrutura de certificado e PKI. O cartão virtual é armazenado no dispositivo móvel de um funcionário, reduzindo assim a probabilidade de vazamento de dados do paciente. É uma solução flexível que permite que os funcionários acessem os dados de que precisam com segurança (e estão autorizados a visualizá-los) e sempre que precisarem.

Para grandes organizações de assistência médica, bem como empresas de todos os setores, recomendamos o uso de uma ferramenta que automatize o provisionamento e autenticação de smart card. Em última análise, isso reduzirá o erro manual e devolverá o tempo às suas equipes de TI.

Imagem: gUBISCH_canva

Capacitando sua empresa

De assinaturas digitais a criptografia de dados, autenticação de usuário, dispositivo e cliente e autenticação de cartão inteligente, há muitos argumentos para adotar a PKI e permitir um gerenciamento melhor e automatizado de certificados em sua organização.

Para empresas com milhares de certificados para gerenciar, ou mais, manter o controle da propriedade PKI pode ser um desafio, principalmente se você depender de processos manuais. Um certificado esquecido que expira pode desligar seus serviços da web ou abrir sua empresa para uma violação de dados ou hack. A solução, claro, é deixar a tecnologia assumir o peso do trabalho. Com uma plataforma de gerenciamento de PKI de nível empresarial, sua empresa pode:

• obter melhor visibilidade em seu ecossistema de certificados
• gerenciar seus certificados e manter o controle
• automatizar o máximo possível de sua PKI
• inscrever novos usuários até 72% mais rápido
• garantir a integridade de todos os seus dados e comunicações
• autenticar cada usuário perfeitamente
• reduzir a probabilidade de violação de dados ou fraude com criptografia de ponta a ponta
• implementar perfeitamente todas as suas operações de PKI em qualquer ambiente: nuvem, hospedado, no local, híbrido ou no país

(*) É diretor sênior de desenvolvimento de negócios da DigiCert.