Blog

O enigma do SPED

Postado por Pollyana Flores Maciel em 23 de Junho de 2010 às 9:25am
Acho muito interessante como os mitos revelam nossos maiores medos. Vários profissionais de TI e de outras áreas das empresas veem o SPED (Sistema Público de Escrituração Fiscal) como um enigma. E ficam paralisados ou adotam a primeira solução que lhe oferecem. Alguns tentam ainda se desviar do problema, mas um dia terão que enfrentá-lo. O SPED, que tem na Nota Fiscal Eletrônica (NF-e) a sua parte mais visível, traz uma mudança de paradigma de grande importância para as empresas e para o País. Aspectos relativos à desburocratização das empresas, a eliminação da concorrência desleal via sonegação fiscal e a modernização administrativa certamente vão aumentar nossa produtividade e eficiência empresarial. O SPED se utiliza as mais modernas tecnologias de informação disponíveis: internet, web services, programação XML, criptografia, certificação digital e assinatura digital. Vou me ater aos três últimos aspectos, relacionados à segurança do SPED, pois estes têm causado várias confusões e polêmicas técnicas. Em primeiro lugar, vamos compreender alguns conceitos importantes: Documento eletrônico: este conceito vale para qualquer tipo de documento. Significa um documento que existe apenas em formato digital e não fisicamente (em papel). O envio/recepção de documentos eletrônicos pela internet e seu armazenamento envolvem duas questões principais: a Autenticidade e a Autoria do mesmo. A Autenticidade significa que o documento é autêntico e original, que não sofreu nenhuma alteração ou fraude durante o processo de envio, recepção ou armazenamento. Já a Autoria significa que posso garantir com precisão quem está me enviando o documento, que este não é falso ou enviado por um falso proprietário. Deve ter uma Assinatura Digital que eu possa conferir e comprovar o autor. O SPED, e qualquer sistema baseado na internet que se intitule seguro, só pode garantir estes dois pontos através do uso de certificação digital. Certificados digitais: para entendermos o que é um certificado digital, precisamos entender antes o que é criptografia. Basicamente, criptografar um documento ou mensagem é o processo de modificar cada letra e símbolo do conteúdo através de Chaves de Criptografia – longas seqüências de números que são aplicadas em algoritmos conhecidos. Existem dois tipos de métodos de criptografia: o Simétrico e o Assimétrico. O primeiro utiliza a mesma chave para codificar e decodificar o arquivo. O método Assimétrico utiliza duas chaves. Assim, uma delas é Chave Pública, utilizada para garantir a autenticidade do arquivo, e a outra é a Chave Privada, utilizada para garantir a autoria do mesmo. Um Certificado Digital é composto por uma Chave Privada, que deve ficar com seu dono, e uma Chave Pública – par da sua Chave Privada –, associada a um CNPJ ou CPF. Na compra de um carro, é exigida a presença no Cartório, para garantir que você está fazendo a transação e não um criminoso fraudando sua assinatura. No SPED essa garantia é dada pela assinatura da NF-e feita pela Chave Privada da empresa após a montagem da NF-e e antes da sua aprovação pela Fazenda Estadual, comprovando que foi um e-CNPJ verdadeiro quem emitiu e enviou a NF-e. Claro, se essa Chave Privada não for armazenada de forma segura, alguém pode obtê-la e assinar documentos em nome da empresa. Cerca de 95 % das Aplicações de Emissão de NF-e armazenam Chave Privada num arquivo, protegido por uma senha. Essa solução não protege a empresa do furto da Chave Privada. O Manual de Integração da NF-e recomenda o uso de HSMs (Hardware Security Modules) para a guarda da Chave Privada. O arquivo que contém a Chave pode ser copiado, sem que a empresa sequer perceba. Uma vez de posse do arquivo, a senha pode ser quebrada com calma, em poucas horas ou dias. Se o criminoso conseguir o programa de emissão de NF-e da empresa, pior ainda, pois a senha tem que estar dentro deste para poder liberar a Chave Privada e assinar a NF-e. Por fim, todo o processo de assinatura é feito na memória e na CPU do servidor, que pode ser monitorado por um vírus ou warms. O correto seria armazenar a Chave Privada em um núcleo criptográfico e que o processo de assinatura ocorresse dentro deste núcleo, que não pode ser monitorado e de onde a Chave Privada não pode ser retirada nem copiada. Os dispositivos que possuem núcleos criptográficos e armazenam as Chaves Privadas com segurança são os cartões smartcards, os tokens criptográficos e os HSMs. Os dois primeiros são indicados para uso pessoal e processamento individual e o último é indicado para uso corporativo. O enigma do SPED não é trivial, mas também não é algo insolúvel. Compreendendo os riscos podemos agir da forma mais segura, levando em conta o custo/benefício. O mercado já dispõe de soluções acessíveis de HSM para as empresas, tanto para sua aquisição quanto na nuvem, que podem evitar sérios prejuízos. Diretor comercial e marketing da DigiSign http://www.tiinside.com.br/16/06/2010/o-enigma-do-sped/gf/186096/news.aspx
Marcações: certificação digital, sped, soluções
Enviar-me um e-mail quando as pessoas deixarem os seus comentários –
Seguir

Para adicionar comentários, você deve ser membro de Blog da BlueTax - Conteúdos Validados por Especialistas.

Join Blog da BlueTax - Conteúdos Validados por Especialistas