Segurança, Certificados e HSM
- Luciano Linhares Martins
A solução permite uso de que tipos de Certificado Digital (A1, A3 ou Nuvem)?
Somente o certificado digital A1.
A solução exige que a chave privada e senha do Certificado Digital sejam transferidos para sua custódia ou de terceiros?
Ao colocar o certificado na plataforma é utilizado uma tecnologia chamada HSM - hardware security module (Um Cofre de Chaves), tecnologia que também utilizamos em outras aplicações para Certificados Digitais. Esse certificado é acionado somente para assinar peças enviadas pelos usuários na hora em que o tribunal exigir a assinatura das peças. Nenhum usuário terá acesso a senha e muito menos o certificado.
A solução exige que as senhas nos Tribunais sejam transferidas para sua custódia ou de terceiros?
Ao colocar os dados de usuário e senha de acesso ao tribunal na plataforma é utilizado uma tecnologia chamada HSM - hardware security module (Um Cofre de Chaves), tecnologia que também utilizamos em outras aplicações para Certificados Digitais. Esses dados são acionados somente para acessar ao tribunal. Nenhum usuário terá acesso a senha.
Como a solução garante a proteção do Certificado e das senhas encaminhados?
Os certificados e senhas ficam em um repositório HSM e acessados somente pelo robô no momento do uso por um token, tudo é criptografado, de ponta a ponta. Quanto aos dados dos processos, em sua maioria são públicos e buscamos dos tribunais através de consultas públicas. Não é utilizado senha para coletar processos, somente os que são segredos de justiça e solicitados pelo usuário, neste caso utilizamos a mesma senha armazenada no cofre de senhas.
É utilizada tecnologia HSM (hardware security module) para proteção dos dados relacionados ao Certificado e às senhas?
Sim, utilizamos o serviço KMS do GCP, que utiliza o HSM deles para segurança.
A solução garante que apenas a aplicação tem acesso à chave privada guardada no HSM?
Sim.
É utilizada criptografia de ponta-a-ponta na transferência e uso dos Certificados e senhas?
Sim, tudo é criptografado, de ponta a ponta.
A solução fica hospedada em servidores próprios ou de terceiros? No Brasil ou no exterior?
A plataforma roda no GCP - Google Cloud Platform/Com replicações e Backups na Amazon, todos os Data centers estão no Brasil(exceto alguns backups).
A tecnologia utilizada para proteção atende a certificações nacionais ou internacionais de segurança da informação? Quais?
As certificações de segurança podem ser consultadas nas próprias fornecedoras de Cloud, Google e Amazon. Como nosso principal fornecedor de serviços em Cloud para este produto é o GCP, segue texto deles:
GCP certificados de segurança:
ISO/IEC 27001/27017/27018/27701, SOC 1/2/3, PCI DSS, VPAT (WCAG, U.S. Section 508, EN 301 549) e FedRAMP e o alinhamento com a HIPAA, GDPR e CCPA, entre outros, na nossa Central de recursos de compliance.
Existem processos de trabalho da empresa que também visem garantir a segurança dos Certificados e senhas transferidos?
Nossa aplicação foi construída de forma que permita ao usuário o cadastro das senhas diretamente no Cofre de senhas sem intervenção do suporte, essas senhas são criptografadas de forma irreversível, somente sendo possível o acesso por solicitação via token da aplicação. Os processos já foram automatizados no código para garantir que não tenha falha humana na manipulação dessas informações.