Dicas Rápidas Proteção de Dados

6 problemas relacionados ao gerenciamento do ciclo de vida dos certificados digitais

O gerenciamento dos ciclos de vida dos certificados digitais é essencial, afinal qualquer problema com um deles pode causar grandes dores de cabeça para você ou para a instituição na a qual trabalha.

Por isso, é importante adotar boas práticas, entender como acontece um ciclo de vida completo e conhecer os desafios (e problemas) que se tem ao gerenciar vários certificados digitais.

Conceitos fundamentais para gerenciar o ciclo de vida dos certificados digitais

Certificados digitais são documentos feitos para garantir a segurança em meio eletrônico, funcionando mais ou menos como um passaporte. Eles são usados para que computadores, pessoas e instituições tenham segurança ao trocarem mensagens pela internet. Isso ocorre com uma infraestrutura de chaves públicas, também conhecida pela sigla em inglês PKI.

Como dissemos, o certificado digital é um documento. Dessa forma, ele é usado para identificações, tem resistência a falsificações e pode ser verificado quanto a validade e autenticidade.

Para garantir tudo isso, os certificados digitais são emitidos por um órgão capaz de realizar verificações. Trata-se da Autoridade Certificadora (AC). Além da confiança e da segurança oferecidas, existem várias ACs em diferentes lugares do Brasil.

Após um processo de validação, os sistemas operacionais, softwares e navegadores mantêm listas destes certificados digitais para que possam ser verificados facilmente sempre que necessário. Além disso, é importante observar também constantemente as autoridades que emitiram e assinaram.

Dessa forma, atendemos a vários requisitos de segurança e de conformidade regulamentar. Diminuindo assim incidentes de segurança, de roubo e de exposição de dados.

O gerenciamento do ciclo de vida de certificados digitais pode até parecer simples, ainda mais se você pensar em poucos deles. Entretanto, comprar certificados pode ser complicado, ainda mais quando se trata de certificados digitais de chave criptográfica. Há vários pontos importantes relacionados à criação, armazenamento e uso de certificados digitais.

Lembre-se de um ponto importante: estamos falando de um “passaporte” que dá acesso aos dados sensíveis da instituição.

Gerenciando o ciclo de vida de um certificado digital

O ciclo de vida de um certificado digital passa pelas seguintes etapas:

Requisição

Requisição é feita a uma autoridade certificadora — externa ou interna da instituição. Após isso o certificado digital é gerado.

Para realizar a requisição é preciso apresentar a uma autoridade de registro (AR) credenciada os documentos necessários. Ela fará a emissão e a validação dos certificados digitais. Os passos mais comuns desse processo são:

  1. A geração do par de chaves;
  2. A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request);
  3. A solicitação do certificado digital é enviada à autoridade certificadora através de um arquivo CSR;
  4. Após o recebimento do arquivo do certificado digital, ocorre a associação do certificado digital recebido com a chave privada RSA gerada no primeiro passo.

Estamos mostrando resumidamente o processo de gerenciamento do ciclo de vida de um certificado digital. Há ainda um processo de assinatura que envolve criptografia com chaves publicas e privadas. Dessa forma é garantida a segurança dos certificados digitais.

Próxima etapa: uso do certificado digital

Chegamos ao momento principal. Aqui devem ser definidos: aonde os certificados digitais serão usados e gerenciados. Além disso, é fundamental usar dispositivos caso os certificados fiquem armazenados em hardware. Se o armazenamento ocorrer em software, podem ser necessários cuidados especiais em relação aos arquivos de configuração.

Um fator crucial para tudo isso dar certo é ter certeza das necessidades da aplicação que vai usar o certificado digital, assim como saber as exigências da AC que emitirá o certificado.

Por fim, não deixe de verificar quais ferramentas se adequam melhor às suas necessidades. Afinal, existem vários sistemas que podem te ajudar na geração de certificados digitais.

O que pode dar errado depois de obter um certificado digital?

Você deve ter percebido como é simples, prático e seguro a aquisição de um certificado digital. Assim chegamos a um ponto muito importante:

Algumas instituições usam muitas chaves criptográficas. Quais são os pontos críticos para que elas realizem com eficácia o gerenciamento do ciclo de vida dos certificados digitais?

6 problemas que podem gerar erros no gerenciamento do ciclo de vida dos certificados digitais

Diferentes erros podem acontecer durante o gerenciamento do ciclo de vida dos certificados digitais. Selecionamos os 6 pontos principais que podem apresentar problemas nesse processo. Assim, esperamos poder te ajudar a realizar o gerenciamento de maneira eficiente:

  1. Quem tem a senha que protege o certificado digital?
  2. Quem verifica quando o certificado digital irá expirar?
  3. Como gerenciar múltiplos certificados? Imagine por exemplo como será gerenciar 30 ou mais certificados digitais.
  4. Quais as políticas de segurança da informação que direcionam a organização para que as chaves dos certificados digitais não vazem, ou sejam comprometidas?
  5. Como está definida a política de segurança da informação para o gerenciamento do ciclo de vida dos certificados digitais?
  6. Em caso de vazamento de informações as chaves estão seguras?

Vamos analisar um exemplo de perda da validade de um certificado digital. Assim teremos uma ideia do impacto do gerenciamento do ciclo de vida dos certificados.

O certificado digital pode perder a validade por dois motivos:

  • O certificado digital vence:
    Os certificados digitais possuem data de expiração e quando esse momento chega eles deixam de valer imediatamente.

Geralmente os certificados digitais têm de 1 a 3 anos de validade que são determinados pelas ACs ou por organizações às quais as ACs se submetem. No caso do Brasil o ITI é regulamenta pela ICP-Brasil.

  • Revogação do certificado digital:
    É possível revogar o certificado digital caso ocorra alguma situação que comprometa a sua integridade, como situações de perda ou roubo por exemplo. Após ser revogado, aquele certificado não é mais válido.

Uma pequena reflexão sobre o uso de certificados digitais

Pense em tudo o que descrevemos acima, nos seis pontos que apontamos como potenciais problemas de gestão do ciclo de vida dos certificados digitais. Agora pense em respostas para cada uma das perguntas que elencamos e em maneiras de realizar os processos que descrevemos.

Pois bem, você consegue imaginar os riscos aos quais estão submetidas as instituições que trabalham com muitos certificados digitais? Quantos desafios!

Enfim, queremos te deixar com uma questão: quais são os impactos financeiros e de credibilidade que podem ocorrer se um gestor e seu time de TI não estiverem perfeitamente alinhados em seus processos e políticas de segurança; e também se estiverem, mas sem transmitir isso aos demais profissionais da organização?

E-VAL Saúde, uma empresa do Grupo E-VAL

A E-VAL Saúde é uma empresa especializada em certificação digital, segurança da informação, com foco em assinatura digital, autenticação e proteção de dados, em especial para assinatura digital de prontuários eletrônicos do paciente, gerenciamento eletrônico de documentos e demais documentos de seu hospital, operadora, laboratório ou clínica. A E-VAL Saúde tem mais de 10 anos de experiência no mercado da saúde.

Fale conosco, os especialistas da E-VAL Saúde terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança do seu hospital, operadora, laboratório ou clínica.