Infra - Segurança
Fraudes em Notas Fiscais Eletrônicas - NF-e, problemas de conceito e não de tecnologia
Com a adoção da Nota Fiscal Eletrônica por grande parte das empresas no Brasil nos últimos anos, deparamos um um triste cenário de desconhecimento do risco de fraudes que esta tecnologia permite caso a empresa desconsidere questões básicas de implementação deste sistema.
por Fábio Leto BioloCom a adoção da Nota Fiscal Eletrônica por grande parte das empresas no Brasil nos últimos anos, deparamos um um triste cenário de desconhecimento do risco de fraudes que esta tecnologia permite caso a empresa desconsidere questões básicas de implementação deste sistema.
Como todos sabemos para que as empresas possam emitir a NF-e, elas terão que solicitar um Certificado Digital e-CNPJ em uma autoridade certificadora da ICP-Brasil , e isso parece relativamente simples não é? Pois a segurança que temos em relação aos certificados digitais com o poder das chaves criptográficas que estão por trás dos mesmos, garante uma grande segurança na questão técnica deste processo, que muitas vezes deixa obscuro algo tão simples no mesmo, que pode gerar um problema sério para as empresas em um curto espaço de tempo.
Com a necessidade da implementação por parte das empresas, muitas empresas aparecem com o seguinte discurso: Meu contador me disse que tenho que ter um certificado digital urgente para poder emitir NF-e até o final do mês ! E por puro desconhecimento e muitas vezes por comodismo de empresas provedoras de soluções neste segmento o cliente acaba optando pela emissão do certificado digital no padrão A1, que para aqueles que não entendem dos padrões de certificado, é simplesmente um arquivo de computador que muitas vezes nem protegido por senha é, gerado e portado em um pendrive ou disquete que depois será guardado dentro de um servidor dentro da empresa, pois o mesmo tem o intuito de assinar as NFe´s .Porém temos um problema sério de segurança neste tipo de adoção, pois este modelo certificado A1 , como se trata de um arquivo ele poderá ser copiado e utilizado para gerar NF-e´s válidas em nome de sua empresa bastando somente uma pessoa mal intencionada ter acesso a uma cópia do mesmo , e a empresa somente descobrirá isso quando por pagar os impostos, e o pior, como a empresa assina no momento da geração deste certificado a responsabilidade pela tutela do mesmo, ela será responsabilizada e não terá como repudiar tal transação efetuada indevidamente.
E por que ainda as empresas adotam o uso do certificado A1? É bem simples, primeiro pelo fato dele ser mais vantajoso financeiramente para as empresas que geram o certificado, pois o custo de um certificado A1 é geralmente a metade do valor de um certificado padrão A3 que é gerado em token ou smartcard, porém o A3 tem validade de 3 anos contra somente 1 ano do certificado A1 resumindo, o cliente que adora o certificado A3 tem um custo único de compra do token ou smartcard, porém ele terá a cada 3 anos uma economia de 33% no custo do certificado , sendo esta economia já paga completamente o hadrware adquirido que não precisa ser trocado mais, pois a empresa poderá aproveitar o mesmo hardware para emissões futuras. Outro ponto importante que já me deparei, muitas empresas de ERP que tiveram que adotar um novo módulo de NF-e em seu sistema , não dá suporte ao uso de certificados A3 e forçam as empresas a adotarem o A1, resumindo cooperando com a craiação de um grande risco de segurança aos seus clientes.
E porque usar o certificado A3 em tokens e smartcards? Simplesmente para evitar a fraude de emissão de NF-e´s por pessoas mal intencionadas, pois quando geramos um certificado A3 as chaves são geradas pelo próprio dispositivo e são protegidas contra cópias, garantido a unicidade do certificado e consequentemente um controle maior de quem tem posse do mesmo, pois é algo físico que podemos visualizar diferente de um arquivo que pode ser copiando em pendrives e enviado anexado em e-mails.
Resumindo, se você quer economia, segurança e controle do uso do certificado digital de sua empresa e emissão de suas NF-e´s, adote certificados A3 em hardware, pois irá prevenir uma grande dor de cabeça para sua empresa em um futuro próximo.
Como todos sabemos para que as empresas possam emitir a NF-e, elas terão que solicitar um Certificado Digital e-CNPJ em uma autoridade certificadora da ICP-Brasil , e isso parece relativamente simples não é? Pois a segurança que temos em relação aos certificados digitais com o poder das chaves criptográficas que estão por trás dos mesmos, garante uma grande segurança na questão técnica deste processo, que muitas vezes deixa obscuro algo tão simples no mesmo, que pode gerar um problema sério para as empresas em um curto espaço de tempo.
Com a necessidade da implementação por parte das empresas, muitas empresas aparecem com o seguinte discurso: Meu contador me disse que tenho que ter um certificado digital urgente para poder emitir NF-e até o final do mês ! E por puro desconhecimento e muitas vezes por comodismo de empresas provedoras de soluções neste segmento o cliente acaba optando pela emissão do certificado digital no padrão A1, que para aqueles que não entendem dos padrões de certificado, é simplesmente um arquivo de computador que muitas vezes nem protegido por senha é, gerado e portado em um pendrive ou disquete que depois será guardado dentro de um servidor dentro da empresa, pois o mesmo tem o intuito de assinar as NFe´s .Porém temos um problema sério de segurança neste tipo de adoção, pois este modelo certificado A1 , como se trata de um arquivo ele poderá ser copiado e utilizado para gerar NF-e´s válidas em nome de sua empresa bastando somente uma pessoa mal intencionada ter acesso a uma cópia do mesmo , e a empresa somente descobrirá isso quando por pagar os impostos, e o pior, como a empresa assina no momento da geração deste certificado a responsabilidade pela tutela do mesmo, ela será responsabilizada e não terá como repudiar tal transação efetuada indevidamente.
E por que ainda as empresas adotam o uso do certificado A1? É bem simples, primeiro pelo fato dele ser mais vantajoso financeiramente para as empresas que geram o certificado, pois o custo de um certificado A1 é geralmente a metade do valor de um certificado padrão A3 que é gerado em token ou smartcard, porém o A3 tem validade de 3 anos contra somente 1 ano do certificado A1 resumindo, o cliente que adora o certificado A3 tem um custo único de compra do token ou smartcard, porém ele terá a cada 3 anos uma economia de 33% no custo do certificado , sendo esta economia já paga completamente o hadrware adquirido que não precisa ser trocado mais, pois a empresa poderá aproveitar o mesmo hardware para emissões futuras. Outro ponto importante que já me deparei, muitas empresas de ERP que tiveram que adotar um novo módulo de NF-e em seu sistema , não dá suporte ao uso de certificados A3 e forçam as empresas a adotarem o A1, resumindo cooperando com a craiação de um grande risco de segurança aos seus clientes.
E porque usar o certificado A3 em tokens e smartcards? Simplesmente para evitar a fraude de emissão de NF-e´s por pessoas mal intencionadas, pois quando geramos um certificado A3 as chaves são geradas pelo próprio dispositivo e são protegidas contra cópias, garantido a unicidade do certificado e consequentemente um controle maior de quem tem posse do mesmo, pois é algo físico que podemos visualizar diferente de um arquivo que pode ser copiando em pendrives e enviado anexado em e-mails.
Resumindo, se você quer economia, segurança e controle do uso do certificado digital de sua empresa e emissão de suas NF-e´s, adote certificados A3 em hardware, pois irá prevenir uma grande dor de cabeça para sua empresa em um futuro próximo.
- Segurança em SistemasSegurança
- TMap Next(Test Management Approach) - Processos de Suporte - Parte 8-4Segurança
- TMap Next(Test Management Approach) - Processo de Testes de Desenvolvimento - Parte 8-3Segurança
- TMap Next(Test Management Approach) - Processo Plano de Testes Mestre(MTP) - Planejamento e Con...Segurança
- TMap Next(Test Management Approach) - Processo Plano de Testes Mestre(MTP) - Planejamento e Con...Segurança
