revista idigital 13

88
idigital - Revista da Associação Brasileira das Empresas de Tecnologia em Identificação Digital - Ano 04 - Número 13 - abril/maio/junho de 2013 CERTIFICAÇÃO EM DEBATE Seminário discute o modelo de certificação digital no padrão ICP-Brasil CARDS 2013 Em novo endereço, a feira de cartões e meios de pagamento bate recorde de público CARTÃO CAPIXABA Espírito Santo cria novo documento para identificar cidadãos Evento da Abrid e do Conadi percorre o país discutindo a aplicação de identidades modernas

Upload: infolio-comunicacao

Post on 13-Mar-2016

248 views

Category:

Documents


5 download

DESCRIPTION

idigital - Revista da Associação Brasileira das Empresas de Tecnologia em Identificação Digital - Ano 04 - Número 13 - abril/maio/junho de 2013

TRANSCRIPT

Page 1: Revista idigital 13

idigital - Revista da Associação Brasileira das Empresas de Tecnologia em Identificação Digital - Ano 04 - Número 13 - abril/maio/junho de 2013

CERTIFICAÇÃO EM DEBATESeminário discute o modelo de certificação digital no padrão ICP-Brasil

CARDS 2013Em novo endereço, a feira de cartões e meios de pagamento bate recorde de público

CARTÃO CAPIXABAEspírito Santo cria novo documento para identificar cidadãos

Evento da Abrid e do Conadi percorre o país discutindo a

aplicação de identidades modernas

Page 2: Revista idigital 13
Page 3: Revista idigital 13

abril - maio - junho 2013 | 3

ABRID e ConADI pRomovem WoRkshop IDentIfICAção moDeRnA, pRoCessos

e AplICAções, ImpA, que Reúne espeCIAlIstAs Dos setoRes pRIvADo e púBlICo numA DIsCussão IntensA soBRe os usos DA teCnologIA pARA

IDentIfICAR pessoAs

RevIstA DA AssoCIAção BRAsIleIRA DAs empResAs De teCnologIA em IDentIfICAção DIgItAl - ABRID

08 . CAPA

Sucesso na 18ª edição da Cards Payment & Identification, realizada em novo endereço

Seminário debate o uso do padrão ICP-Brasil de certificação digital

Espírito Santo pretende emitir a partir de 2014 o Cartão Cidadão Capixaba, com acesso a serviços públicos

20 . CARDS 36 . CERTIFICAÇÃO DIGITAL

44 . IDENTIDADE CIDADÃ

50 . CASOS53 . CERTSIGNBelas Artes

57 . GDSegurança do Código QR

67 . ImPREnSA OfICIAlCertificação digital garante segurança da informação a prontuário eletrônico de pacientes do Incor/SP

71 . INDRASoluções para Emissão de Documentos Oficiais com Identificação Digital Biométrica

75 . NECBig Data: A nova fronteira para inovação, competitividade e produtividade

87 . ThOMAS GREGMaior sinergia E interatividade em eventos públicos

Page 4: Revista idigital 13

Próximos eventos

Workshop Identi�cação Moderna: Processos e AplicaçõesBrasília/DF

OUTUBRO

2424

Workshop Identi�cação Moderna: Processos e AplicaçõesSão Paulo/SP

NOVEMBRO

2828

11º CertForumCentro de Eventos e Convenções Brasil 21SHS Quadra 06, Lote 01, Conjunto A, Setor Hoteleiro Sul - Brasília/DF

SETEMBRO

ECMShow 2013 • Expo + ConferenceMV EmpresarialAv. Presidente Dutra, 298 - Imbiribeira, Recife/ PE

AGOSTO

0808

11-12

ID World Rio de JaneiroWindsor Atlântica HotelAv. Atlântica, 1020, Leme – Rio de Janeiro/RJ

SETEMBRO

26-27

ECMShow 2013 • Expo + ConferenceSão Paulo/SP

OUTUBRO

a de�nir

eventos organizados pela abrid apoio institucional

www.abrid.org.br

Page 5: Revista idigital 13

abril - maio - junho 2013 | 5

o trabalho do Brasil para ter documentos cada vez mais seguros prossegue, e ganhando força. para aju-dar na divulgação de uma identidade segura, a ABRID e o Conselho nacional dos Diretores de Órgãos de Identificação (Conadi) iniciaram este ano a realização do Workshop ImpA - Identificação moderna, proces-sos e Aplicações. serão quatro encontros até o fim do ano. Acompanhe nesta edição os detalhes do primei-ro deles, realizado em maio no Ceará.

o ImpA incluiu uma série de palestra para discu-tir o tema em profundidade, com a análise dos des-dobramentos da identificação moderna não apenas nos poderes públicos, como o executivo e o Judici-ário, mas também para toda a sociedade brasileira. Desta forma, os palestrantes apresentam e analisam temas como a AR Biométrica, a aquisição em mas-sa de acervos pela polícia federal, as possibilidades de aplicação de uma identidade cidadã, as bases de dado do sistema Afis, os padrões de segurança em análise para o RIC (Registro de Identidade Civil) e a visão do Judiciário para o RIC.

Confira o cronograma do ImpA e se organize para participar, a troca de experiências e os contatos no evento são importantíssimos para nosso setor.

Ainda na busca da segurança na forma de identifi-car a população, conheça o projeto do Cartão Cidadão Capixaba, do governo do espírito santo. A intenção é criar, com emissão a partir de 2014, um documento de identidade que, além da proteção contra a fraude, permita o acesso a diversos serviços oferecidos pelo estado ao cidadão, em áreas como educação, saúde e cultura.

Confira também como foi a participação das asso-ciadas ABRID na Cards payment & Identification, em são paulo. De casa nova, no transamerica expo Cen-ter, a Cards 2013 bateu recorde de público. e, duran-te a feira, também foi realizado o seminário nacional de Certificação Digital ICp-Brasil, numa promoção do Instituto nacional de tecnologia da Informação (ItI), com organização nossa, da ABRID.

Boa leitura!

idigital é uma publicação da Associação Brasileira das Empresas de Tecnologia em Identificação Digital (ABRID).

Presidente: Célio RibeiroDiretor de Identificação Digital: Edson RezendeDiretor de Projetos e Informação Tecnológica: Fernando CassinaReportagem: Iara Rabelo e Marcio PeixotoEditor: Marcio Peixoto MTB 4169/DFRevisão: Millena DiasTiragem: 2.500 exemplaresPeriodicidade: trimestralContato: (61) 3326 2828Projeto gráfico e diagramação: Infólio Comunicação - www.infoliocom.com - (61) 3326 3414

(Os cases e artigos assinados não refletem o pensamento nem a linha editorial da revista e são de inteira responsabilidade de seus autores)

PAlAVRA DO PRESIDEnTE

EXPEDIEnTE

RiC

aR

do

Pa

du

E

Page 6: Revista idigital 13
Page 7: Revista idigital 13
Page 8: Revista idigital 13

ImpA

FotoS: LuCy SaLES.

Page 9: Revista idigital 13

IDENTIFICAÇÃO MODERNA EM DEBATEFortaleza (CE) recebe a primeira edição do IMPA – Workshop de Identificação Moderna, Processos e Aplicações,

que será realizado em mais três cidades até novembro

Page 10: Revista idigital 13

10 | digital

Identificação Moderna, Processos e Apli-cações. Este é tema do Workshop IMPA, que começou a ser realizado este ano pela ABRID e Conadi, o Conselho Nacional

dos Diretores de Órgãos de Identificação. A capi-tal cearense, Fortaleza, recebeu a primeira edição, que aconteceu em 23 de maio. As próximas três etapas acontecem em 18 de julho em Belém (PA), 24 de outubro em Brasília (DF) e 28 de novem-bro em São Paulo (SP).

Na abertura do evento, o diretor de Iden-tificação Digital da ABRID, Edson Rezende, agradeceu a presença de todos e o apoio das as-sociadas da ABRID ao IMPA. Já Carlos César de Saraiva, diretor do Instituto de Identificação da Polícia Civil do DF e presidente do Conadi, ressaltou a importância do evento para a área de segurança pública.

Também estiveram presentes na abertura o subsecretário de Segurança Pública do Ceará, coronel Vasconcelos, o secretário de Seguran-ça Pública do Rio Grande do Norte, Aldair da Rocha, o subsecretário de Segurança Pública de Sergipe, João Batista Santos Junior, e os repre-sentantes dos secretários de Segurança Pública do Piauí, Francisco das Chagas Magalhães Ju-nior, e da Paraíba, Fabiano de Abrantes Viei-

ra. Além destes, representantes do Instituto Nacional de Tecnologia da Informação (ITI), Eduardo Lacerda, do Instituto Nacional de Identificação (INI), Ana Lúcia Ferreira Chaves, do Instituto Nacional de Criminalística (INC), Janine Zancanaro da Silva, do Tribunal de Jus-tiça do Paraná, Lidia Maejima, da Celepar, Jair Fernandes, e todos os diretores dos Institutos de Identificação da Região Nordeste participa-ram, além dos representantes dos mesmos ór-gãos no Comitê Gestor do RIC, Newton Tadeu Rocha (II/PR), Sandra de Souza Soares Martins (II/TO) e Carlos Cesar Saraiva (II/DF).

O primeiro palestrante a iniciar os trabalhos (confira detalhes das palestras a partir da pági-na 12) foi Carlos Collodoro, consultor da ABRID, com a palestra “A identificação a serviço do cidadão”, quando ressaltou a necessidade de um serviço de identificação mais eficaz.

Em seguida, o assessor da Presidência do ITI, Eduardo Lacerda, apresentou o projeto da Autoridade de Registro Biométrica, a AR Bio-métrica. Com a palestra voltada para esmiuçar todo o programa piloto em desenvolvimento, Lacerda ainda explicou termos básicos como au-toridades certificadoras, autoridade de registro e certificados digitais.

Edson REzEndE, diREtoR dE idEntificação da aBRid, aBRiu os tRaBalhos do iMPa

Page 11: Revista idigital 13

abril - maio - junho 2013 | 11

Fechando as palestras da manhã, a diretora do INI, Ana Lúcia Chaves, elogiou a iniciativa da ABRID e do Conadi de promover o Workshop, permitindo a divulgação de tantos avanços tecno-lógicos. “As palestras do IMPA são enriquecedoras e contribuem no sentido de preparar o caminho para implementação do RIC”, constatou.

Para divulgar os projetos voltados para o tema do IMPA, o papiloscopista Marcelo Ortega de-talhou programa do INI sobre a digitalização de acervos. Também do INI, Alessandra Ferreira apre-sentou um estudo sobre a revelação de impressões latentes em fitas adesivas demonstrando um estudo bastante completo em atenção à resolução normati-va que trata do assunto. 

Em seguida, o especialista de Sistemas da NEC, Marcos Alberto de Souza, discorreu sobre base de dados biométricos e estações de trabalho integradas para análise forense (impressão, palma, face, laten-tes). Enfatizou que uma base de dados segura para o sistema Afis é o caminho para a identificação segura.

Já Janine Zancanaro, perita criminal Federal do INC, debateu o tema “Base física de documentos de Identidade (itens de segurança)” e explicou que a versão original do RIC, o Registro de Identidade Civil, já foi apresentada com dois tipos de chip, com contato (semelhante aos cartões de crédito) e sem contato - que fica dentro do cartão e se comunica sem fio, apenas por aproximação dos leitores. “É possível que o cartão tenha os dois chips, um deles, ou ainda, um chip que possua as duas interfaces”, explicou.

Por sua vez, a desembargadora do TJPR, Lidia Maejima, defendeu o projeto do RIC, enfatizando a visão do Judiciário sobre o tema. “O RIC tem um

papel social em casos de pessoas que perderam a me-mória, identificação de mendigos e até mesmo de cadáveres”, ressaltou.

Na sequência, o coordenador da Companhia de Tecnologia da Informação e Comunicação do Para-ná (Celepar), Jair Fernandes, apresentou a solução de Identificação de pessoas do estado. O projeto teve como foco a maior segurança na impressão do docu-mento de identidade, uma vez que este era feito de forma manual.

Continuando os trabalhos,  o diretor de Negó-cios da Serasa Experian, André Baretto, demonstrou a importância da certificação de identidade, uma solução com intuito de ter uma confirmação da identidade apresentada. “A prevenção de fraudes é o ponto de partida para essa verificação de identidade, pois é fundamental para identificá-las”, disse.

O diretor do Instituto de identificação do Pa-raná, Newton Rocha, membro do Comitê Gestor do RIC, comentou a discussão do projeto do RIC no âmbito do Comitê. Ele falou como representante dos Institutos de Identificação da região Sul.

A última apresentação do IMPA em Fortaleza ficou por conta do presidente do Conadi, Carlos César de Saraiva. Carlos Saraiva encerrou o ciclo de palestras apresentando a solução biométrica utiliza-da tanto no controle de acesso aos presídios já em funcionamento no DF, como em cartórios. Também apresentou cases da utilização do recurso biométrico em cartórios e a satisfação de quem utilizou a solução.

Foram patrocinadores do Workshop IMPA em Fortaleza as empresas Akiyama, Gemalto, Intelcav, NEC e Serasa Experian. Confira nas páginas seguintes detalhes das palestras apresentadas durante o evento.

o EvEnto contou coM casa chEia duRantE todo o dia

Page 12: Revista idigital 13

12 | digital

» AR BIOMéTRICA é TEMA DE PAlESTRA DO ITI �

Eduardo Lacerda, assessor da presidência do ITI, palestrou sobre a AR Biométrica. Detalhou termos como autoridades certificadoras, autoridade de registro e certificados digitais e apresentou o projeto pilo-to da AR Biométrica, que tem como objetivo analisar e avaliar a utilização da biometria para confirmar a iden-tificação de quem solicita o certifi-cado digital. Um dos pontos impor-tantes da AR Biométrica é verificar, no ato de solicitação do certificado digital ICP-Brasil, a impressão digi-tal do requerente junto à base oficial de emissão do documento de identi-ficação do Estado. Com este projeto, o ITI espera melhorar a questão da identificação digital no Brasil e evitar as fraudes, que são o maior problema enfrentado.

O assessor do ITI também mos-trou os dados obtidos com o piloto da AR Biométrica no Distrito Fede-ral, em que das 806 consultas à base de dados do Instituto de Identifica-ção, 775 obtiveram sucesso na cap-tura dos dados biométricos, o que representa 95% de sucesso. Lacerda ressaltou que, além da segurança, outro benefício da biometria é a agi-lidade, uma vez que todo processo

de leitura de impressão digital e vali-dação leva 20 segundos.

Entre as dificuldades enfrentadas estão a resistência dos requerentes em participar do processo, a dificul-dade de coleta de impressão digital, a necessidade de ajustes de algorit-mos de comparação e no software do sistema central, a necessidade de experiência dos agentes de registro e a base de dados do Distrito Federal, que contém alguns registros antigos.

Finalizando sua exposição, o assessor disse que as proposições retiradas do projeto piloto são no sentido de desburocratizar e reduzir os custos de todo o sistema de AR, ganhando segurança.

» POlíCIA FEDERAl ExPlICA AQuISIçãO EM MASSA DE ACERvOS �

Marcelo Ortega, papiloscopista da Polícia Federal, apresentou pa-lestra sobre a aquisição em massa de acervos – modelo que permite a digitalização de acervos e o uso do sistema Afis. Entre os objetivos do projeto estão inclusão no Afis de impressões digitais que estão em meio físico, constatação de duplici-dades de RG, evitar a duplicidade nas solicitações de novas carteiras de identidade por meio de pesquisa biométrica, fortalecer os institutos de identificação e o acordo de coo-peração com a secretaria de segu-rança pública.

O palestrante explicou o proce-dimento de cadastro do acervo para o sistema Afis desde a ida do mate-

Page 13: Revista idigital 13

abril - maio - junho 2013 | 13

rial do Instituto de Identificação ao sistema Afis até a sua devolução ao local original. Marcelo Ortega falou sobre a possibilidade existente no Instituto Nacional de Identificação (INI) de conversão de acervos que estão hoje em papel para o sistema Afis. “Já existe a parceria com o Ins-tituto de Identificação de Rondônia, onde mais de 50% dos arquivos já foram integrados ao Afis nacional”, exemplificou Ortega.

Ele ainda disponibilizou o ser-viço aos diretores dos Institutos de Identificação e apresentou os benefícios do sistema. Entre eles, a detecção de duplicidade de RGs, arquivo biométrico organizado, descobrir a autoria de vestígios digitais em cenas de crime, forta-lecer os institutos de identificação e valorizar o trabalho do papilos-copista. Ortega explicou ainda como funciona a digitalização dos documentos, bem como o sistema de captura de documentos e tam-bém o banco de dados. O serviço de aquisição em massa foi utilizado na conversão do acervo do INI e foi adquirido pensando na possibi-lidade de aquisição de acervos dos institutos de identificação. O sis-tema conta com cinco scanners de massa com capacidade para digita-lizar 8.000 fichas por dia.

» IDENTIFICAçãO TEM DE ESTAR A SERvIçO DO CIDADãO �

Carlos Collodoro, consultor da ABRID, apresentou a palestra “Identificação a serviço do cidadão”, destacando a urgência de um servi-ço de identificação mais eficaz para a população brasileira. Collodoro apresentou-se dizendo que seu obje-tivo era sair um pouco do ponto de vista dos conceitos técnicos e colo-car algumas ideias e sugestões para conversar a respeito, com uma nova visão da identificação, olhando-a como cidadão, de fora de um ins-

tituto. Dessa maneira, o consultor expôs o tema de maneira didática e compreensível.

A apresentação tratou inicial-mente de um breve histórico sobre a evolução dos projetos de identifi-cação nos três últimos anos e trouxe 2013 como o ano possível para uma quebra de paradigma. A relevância da área de identificação foi apresen-tada por Collodoro contemplando as facilidades e as fraquezas encon-tradas, demonstrando ao final que as áreas eram exploradas de forma inci-piente e subutilizadas por setores do governo e muitas vezes inacessíveis para o cidadão.

Collodoro discorreu sobre o futuro da identificação. Introdu-zindo o tópico, o consultor disse que enxerga os órgãos oficiais de identificação desempenhando dois papéis distintos, o trabalho de identificação civil e o de identifi-cação criminal. O primeiro envol-ve um processo de cadastramento, análise de dados e emissão de do-cumentos com bases em pesquisas biométricas.

Foi tratada a questão da infraes-trutura técnica, tecnológica e até

operacional entre os institutos de identificação do Brasil e as discre-pâncias entre eles. De acordo com Collodoro, há uma necessidade de integração e sincronização entre eles, pois assim ao requerer o primeiro documento de identidade o cidadão já teria o cadastro no banco de dados biométricos.

Outro tópico abordado foi a questão da Infovia descrita como sendo uma estrada de duas vias e duas mãos, na qual a pavimentação começa com os dados biográficos do cidadão. Quem irá fazer tal pavi-mentação seria o instituto de identi-ficação, que começa com a impressão digital, com a imagem de face e, fu-turamente, poderá agregar as outras biometrias. Ao fazer isso, seria possí-vel dar um suporte melhor às forças judiciais do estado. A partir daí, na outra via da estada, se oferecerá mui-to mais segurança ao cidadão na sua identificação.

Fechando a palestra, o consultor reforçou que a identificação é a mola propulsora para a implantação de projetos seguros de governo, viabili-zando a elevação do nível de serviço ao cidadão.

Page 14: Revista idigital 13

14 | digital

» BASE DE DADOS, A ChAvE DO SuCESSO DO SISTEMA AFIS �

Marcos Alberto de Souza, espe-cialista de Sistemas da NEC, pales-trou sobre base de dados biométricos e estações de trabalho integradas para análise forense (impressão, palma, face, latentes) voltadas para o sistema Afis. Segundo ele, a base é o caminho para uma identificação segura.

Souza detalhou também a ideia de revés da chave primária. Na iden-tificação civil, uma pessoa portadora de RG tem uma sequência numéri-ca e, a partir desses dados, é possível buscar informações sobre a quem pertence o documento. Esse número é chamado de chave primária.

Na atuação forense de identifi-cação criminal, onde há vestígios a serem examinados, as chaves primá-rias são as latentes. O investigador possui detalhes minuciosos sobre o indivíduo, mas há a identificação de quem ele é. Partindo dessa premissa, a chave primária deixa de ser um nú-mero e passa a ser uma latente, uma imagem. Desta forma, tem-se o revés da chave primária.

Nesse processo de análise foren-se, o especialista elogiou o sistema

Afis como ferramenta de compara-ção. Para ele, é um sistema muito eficiente e pode acelerar o processo de identificação do sujeito que dei-xou os vestígios.

O palestrante destacou a impor-tância do sistema Afis para o tráfego de dados, uma vez que o banco de dados unifica as informações dos ci-dadãos em um só lugar. Ainda acres-centou que, além de identificar um sujeito de forma rápida e eficaz, um banco de dados bem equipado é ca-paz de analisar a vida pregressa da-quele envolvido na cena do crime e demais dados, como carteira de mo-torista, RG e CPF.

» PADRõES DE SEguRANçA DO RIC SãO TEMA DE PAlESTRA �

Janine Zancanaro, perita crimi-nal federal do INC, apresentou a palestra “Base física de documentos de Identidade (itens de segurança)”. Ela tratou brevemente do RIC e ex-plicou que a versão original do novo documento de identidade do brasi-leiro já foi apresentada com dois ti-pos de chip. Um deles é de contato, semelhante ao dos cartões de crédito, e o segundo sem - fica na parte in-

terna do cartão e se comunica com a leitora por aproximação a uma dis-tância específica visando preservar os dados do cidadão.

Segundo a especialista, os dife-rentes tipos de chip são importantes, pois há informações que só podem ser gravadas em determinado tipo de chip e apenas uma vez, e ainda há outras que podem ser alteradas em um determinado momento.

Para que o processo de certifica-ção ocorra, prosseguiu, existe uma estrutura. A cadeia se inicia com a aplicação da biometria da impressão digital. Esta é captada, armazenada e assinada pelo emissor do cartão. Por sua vez, o emissor do cartão deverá possuir um certificado digital que ateste a validade das informações. O certificado digital deve ser padrão ICP-Brasil atestando veracidade e dando segurança às informações. As-sim, fica constituída a árvore de cer-tificação, o que possibilita trabalhar com um grande volume de dados de forma segura e eficaz.

Janine ainda detalhou a estrutu-ra e as informações que compõem o RIC. Dados como fotografia da face, impressão digital, nome, sexo, data estarão presentes na “capa” do documento e, nos chips, serão pos-síveis aplicações como, por exem-plo, comprovantes de uma votação, dados médicos referentes a vacinas e ainda, haveria a possibilidade de in-cluir dados do próprio usuário. Para que haja confiabilidade e melhor desempenho no processo, concluiu a perita, deve haver um cuidado no momento de coleta de dados, garan-tindo boa qualidade da foto, da im-pressão e dados.

» O RIC NA vISãO DO PODER JuDICIáRIO �

A desembargadora do TJPR, Lí-dia Maejima, apresentou um depoi-mento a favor da necessidade urgente da implementação do RIC no Brasil.

Page 15: Revista idigital 13

abril - maio - junho 2013 | 15

O foco da palestra foi demonstrar a importância do documento para o Poder Judiciário.

Ela citou o artigo 46 da Lei 6.015/73, a lei de registros públicos, que disciplina a lavratura do assento de nascimento de toda pessoa adulta, maior de 16 anos. Em sua redação original, o artigo diz que todo aque-le que não tiver o assento lavrado na ocasião do nascimento, poderia tê-lo mediante despacho do juiz.

Atualmente já houve uma alte-ração no dispositivo que autoriza o cartorário a só mandar o registrando para o juiz se houver alguma suspeita fundamentada de que a pessoa não é quem diz ser. De acordo com a de-sembargadora, essa alteração deixou o sistema ainda mais vulnerável, pois há dificuldade do cartório em reconhe-cer a verossimilhança das informações apresentadas pelo requerente.

Muitas vezes o funcionário do cartório pode não ter o devido cui-dado e lavrar o assento, possibili-tando assim expedição da certidão de nascimento e, a partir daí, o re-querente estará apto a conseguir os documentos subsequentes.

A desembargadora tratou de ca-sos em que o cidadão e órgãos do governo são vítimas das fragilidades do atual documento de identida-de brasileiro. Como exemplo, citou

uma situação em que uma mulher de 38 anos tentava conseguir uma certi-dão de nascimento que lhe atestasse 65, para que assim ela recebesse be-nefícios do INSS. Outro caso citado foi o de uma repórter conhecida em Londrina (PR) que teve seus docu-mentos roubados e, tempos depois, uma estelionatária inseriu sua foto-grafia no RG da repórter e foi pega em uma cidade vizinha aplicando o

golpe do bilhete premiado. Ela foi presa, mas como o crime é afian-çável, a estelionatária, em posse do RG da jornalista, sem antecedentes criminais, pagou a fiança e fugiu. Quando a repórter foi comunicada, ela impetrou habeas corpus, trancan-do a ação, caso não o tivesse feito, responderia por um crime que não cometeu por ter seus documentos roubados, com uma foto nova cola-da amadoramente.

Lídia Maejima ressaltou ainda o papel social do RIC em casos de pessoas que perderam a memória, na identificação de mendigos e até mes-mo de cadáveres.

Concluindo sua apresenta-ção, a desembargadora disse que é urgente a alteração do artigo 46 da Lei 6.015/73, bem como a criação do cadastro único de identifica-ção civil no Brasil. E o RIC é um instrumento que pode possibilitar esse cadastro, além de atestar fi-dedignamente e com segurança as informações do cidadão.

Page 16: Revista idigital 13

16 | digital

» A SOluçãO PARANAENSE PARA IDENTIFICAçãO DE PESSOAS �

Jair Fernandes, coordenador da Companhia de Tecnologia da Infor-mação e Comunicação do Paraná (Celepar), palestrou sobre a solução de Identificação de pessoas do Para-ná. Apresentou a estrutura do proje-to do sistema de base única de dados, estrutura criada para a modernização do Instituto de Identificação do Pa-raná. Agora, há uma base única dis-ponível para diversos órgãos do po-der público.

Inicialmente, o projeto teve seu foco em aumentar a segurança no processo de impressão do documen-to de identidade, que anteriormente era feito manualmente. Para conse-guir o documento de identidade, o primeiro passo do cidadão é fazer um agendamento prévio pela inter-net. Ao fazer o agendamento, o ca-dastro inicial das informações já é feito online. A segunda etapa é com-parecer presencialmente ao posto de identificação. Para isso, o usuário é

alertado do seu compromisso por meio de uma mensagem no dia an-terior ao do comparecimento.

O cidadão precisa levar a certi-dão de nascimento e a foto é tirada no próprio posto. Ao gerar a ficha, ela recebe um código de barras, sen-do transformada em imagem a inte-grar o sistema Afis que checa a quali-dade da captura dos dados biométri-cos e, se estiver dentro dos padrões,

já é gerado um código Afis. Após o cidadão efetuar o pagamento da guia de recolhimento, o sistema recebe a informação de que foi pago e libera para impressão do documento.

O coordenador explicou que existem dois tipos de postos, um só para fazer a conversão de documen-tos em papel e outro totalmente in-formatizado, para fazer a captura dos dados.

Seguindo o mesmo modelo de modernização, o Detran do Paraná também está utilizando o sistema que computa as horas-aula recebidas pelo candidato para liberar o do-cumento do motorista. As clínicas cadastradas fornecem dados sobre quais os exames já foram feitos para que seja liberada a habilitação do condutor.

A gestão do banco de dados, prosseguiu, é do Instituto de Identi-ficação. Atualmente, o II conta com uma base de dados em torno de cin-co milhões de pessoas cadastradas. Fernandes contou que no início do processo foram pegos muitos da-dos de pessoas que tentavam tirar a CNH com nome diferente do RG.

A base de dados única também pode ser utilizada pelo IML para identificação de cadáver, identificação de outros órgãos do governo, identi-�

Page 17: Revista idigital 13

abril - maio - junho 2013 | 17

dade funcional nas escolas, identifica-ção na área de perícia e, ainda, para a informatização de inquéritos. Para Fernandes, o projeto facilitará na im-plementação do RIC no Paraná, de-vido à existência de uma estrutura de suporte para o RIC.

» IDENTIDADE CERTIFICADA, IDENTIDADE SEguRA �

André Baretto, diretor de negó-cios da Serasa Experian, demons-trou a importância da certificação de identidade, uma solução para ter a confirmação da identidade. Este é um método importante tanto para a emissão de ACs (Autoridades Cer-tificadoras) e ARs (Autoridades de Registro) como para órgãos públicos ou privados em que haja a necessi-dade de comprovação da identida-de do cidadão. Empresas, bancos, INSS, empresas de telecomunicação e tantas outras entidades necessitam de uma confiabilidade maior em al-gumas transações. “Antes de saber se a pessoa tem crédito, é importante saber se aquela pessoa é ela mesma”, exemplificou Baretto.

A prevenção de fraudes é o pon-to de partida para essa verificação de identidade. O palestrante apresen-tou uma maneira dos institutos de identificação usufruírem do negócio de consulta de identidade por meio de Parceria Público-Privada (PPP).

Para ele, a modernização do ins-tituto de identificação requer verba. Sendo assim, os IIs poderiam possi-bilitar consultas à base de dados sem que haja a necessidade de venda da mesma. Por meio do uso de um sis-tema integrador, essa consulta pode-ria ser feita a distância. Este sistema funciona como uma infraestrutura em que a consulta parte da origem para o integrador, que faz uma “per-gunta”, e este emite uma resposta.

Para finalizar sua palestra e exem-plificar essa solução, Baretto levou a demonstração do piloto realizado no

Distrito Federal. Edson Rezende, diretor de identificação da ABRID, voluntariou-se para fazer o teste para demonstrar o funcionamento do sis-tema. Rezende teve que fornecer sua digital para consulta biométrica e, num intervalo de quatro segundos, apareceu seu primeiro documento de identidade na tela.  

» RIC, PROJETO EM ANDAMENTO �

Newton Rocha, diretor do Insti-tuto de Identificação do Paraná, in-tegrante do Comitê Gestor do RIC, falou, como representante dos insti-tutos de identificação da região Sul, do andamento do projeto do RIC. Inicialmente, ele enfatizou a impor-tância do trabalho do papiloscopista, profissão pouco conhecida no Brasil e de essencial importância.

Na sequência, o diretor falou so-bre as alterações sofridas na composi-ção do Comitê Gestor do RIC. “Ve-rificamos a importância do processo que se estabeleceu em âmbito federal com a mudança de direção estabele-cida pela doutora Márcia Tancrine na coordenação desse projeto, dou-tor Helvio Peixoto na Secretaria Exe-

cutiva e a participação fundamental da doutora Ana Lúcia Chaves”, disse Rocha. Com a mudança, foi possí-vel uma reavaliação do projeto e o redirecionamento necessário do que havia sido estabelecido anteriormen-te. Rocha afirmou que desde o final do ano passado e o início deste ano, ocorreram ações efetivas com reu-niões, formação de grupos técnicos para que o projeto do RIC tivesse os andamentos necessários.

O diretor concluiu enaltecendo a importância do IMPA para o bom andamento do RIC. “Hoje aqui tam-bém se estabeleceu um norte, porque fez com que desenvolvêssemos um pa-râmetro muito mais apurado na visão técnica”, pontuou. Rocha destacou a importância do trabalho conjunto para efetivar o RIC: “Nós devemos nos conscientizar que esse trabalho não é solitário do Governo Federal, é necessário que os estados cumpram a sua parte, se preparando para se integrar ao sistema RIC. Todos os resultados apresentados hoje devem ser colhidos e disseminados para que haja maior facilidade na evolução do sistema”. Com informações da i9 Assessoria.

Page 18: Revista idigital 13

As exposições de todos os participantes do evento mostraram que a

implementação imediata do RIC no País é fundamental para o combate, eficiente e eficaz, aos diversos crimes

praticados com uso de documentos de identidade ideológica ou

documentalmente falsificados."Lídia Maejima, desembargadora do

Tribunal de Justiça do Paraná

o que eles DIsseRAm soBRe o ImpA

O IMPA se mostrou um evento de qualidade na apresentação de novas tecnologias, adicionando-se a isso o cunho integrador do evento, capaz de gerar sinergia entre os atores presentes na área de identificação do país."Ana Lúcia Ferreira Chaves, diretora do Instituto Nacional de Identificação (INI)

Page 19: Revista idigital 13

Chamou a atenção a diversidade de entes que atuam na identificação humana no Brasil. A presença dos institutos de identificação neste evento demonstra o quanto o Brasil evoluiu e pretende evoluir na coleta inequívoca dos dados biográficos e biométricos dos cidadãos brasileiros. Ao ITI, enquanto Autoridade Certificadora Raiz da Infraestrutura de Chaves Públicas Brasileira e operador do Sistema Nacional de Certificação Digital, coube falar do projeto da AR Biométrica, iniciativa que já demonstrou conferir mais segurança ao processo de emissão de certificados digitais ICP-Brasil."Eduardo Lacerda, assessor técnico da presidência do Instituto Nacional de Tecnologia da Informação (ITI)

A Coordenadoria de Identificação Humana e Perícias Biométricas da Pefoce teve a honra de abrigar, no

Ceará, o importante evento IMPA, da ABRID, reunindo diretores dos

institutos de identificação dos estados do Nordeste brasileiro. Participamos

de palestras de alto nível técnico-científico, onde presenciamos

demonstrações de técnicas avançadas que envolvem a identificação civil e

criminal. O Ceará une-se aos anseios da ABRID na modernização desta

ação jurídica e social que deverá alcançar toda a população brasileira."

Maximiano Chaves, perito Geral da Perícia Forense do Estado do

Ceará (Pefoce)

Page 20: Revista idigital 13

CARDs

Page 21: Revista idigital 13

CARDS 2013Cards Payment & Identification promove 18ª edição em São Paulo e bate recorde de público

Page 22: Revista idigital 13

Casa nova e recorde absoluto de pú-blico. Assim foi a Cards Payment & Identification, que em 2013 chegou à 18ª edição. Realizada pela primei-

ra vez no Transamerica Expo Center, em São Paulo, a feira contou com área 40% maior em relação a 2012 e recebeu mais de sete mil visitan-tes qualificados de 10 a 12 de abril.

A ABRID montou um dos principais stands do maior encontro do país da área de cartões, identificação e meios eletrônicos de pa-gamento. Com 72 metros quadrados, o Espaço ABRID contou com duas salas privativas, que foram utilizadas por associadas para encontros de negócios. O presidente da Associação, Célio Ribeiro, destacou o encontro como essencial para o setor: “A Cards é parada obrigatória no nosso calendário de eventos, tanto que 12 de nossas associadas montaram stands na feira. É um evento com a cara das associadas ABRID, que têm a chance de mostrar ao mercado todo o potencial dos seus produtos e serviços”.

Já o diretor de Identificação Digital da

ABRID, Edson Rezende, reforçou o sucesso da Cards. “A feira é produtiva para as associa-das participantes porque visa apresentar para o público em geral as mais novas tecnologias do mercado e o público só cresce. Vejo isso refleti-do no próprio crescimento do espaço físico da feira”, comentou.

A Cards 2013 contou com nove fóruns para debater temas específicos: ciclo de crédito e cobrança; cartões no varejo; mabile payments; novas tecnologias; tendências para emissores; tendências para bandeiras, credenciadoras e processadoras; ID e segurança; cartões pré-pa-gos; e marketing e vendas.

A área de exposição contou com 130 par-ticipantes de diversos países do mundo. Entre as associadas ABRID, marcaram presença na Cards: Casa da Moeda do Brasil, Certisign, Da-tacard, HID, Infineon, Intelcav, Morpho, NXP, Oberthur, Serasa Experian, Smartrac e Thomas Greg. Confira nas próximas páginas imagens dos stands das associadas. Com informações da I9 Assessoria.

CARDs

EM 2013, a caRds PayMEnt & idEntification foi REalizada PEla PRiMEiRa vEz no tRansaMERica ExPo cEntER, EM são Paulo, E tEvE REcoRdE dE PúBlico

Page 23: Revista idigital 13

CAsA DA moeDA Do BRAsIl

A Casa da Moeda do Brasil apre-sentou o seu portfólio de soluções de segurança que atende ao mercado nacional e internacional em diver-sos segmentos, tais como: meios de pagamento, controle fiscal, postal, autenticidade e rastreamento, identi-ficação, certificação digital, transpor-te, educação, laboratorial, premiação e congratulação. A empresa também apresentou seus cartões em PVC e Policarbonato confeccionados na sua linha de cartões, que conta com equi-pamentos de última geração.

A empresa considerou que a parti-cipação no evento foi muito positiva, pois permitiu que o público em geral conhecesse mais sobre os produtos tradicionais da Casa da Moeda. Além disso, foram feitos diversos contatos comerciais com os demais players do mercado de cartões.

Page 24: Revista idigital 13

CeRtIsIgnComo novidade, a Certisign apresen-

tou na Cards 2012 a solução do Diploma Eletrônico e da Carteira Nacional de Es-tudante com Certificado de Atributo.

A Certisign avaliou que o Fórum de Certificação Digital apresentou novida-des e perspectivas importantes, como a apresentada pela Secretaria de Fazenda de Goiás (GO), que tratou da realidade dos produtores rurais para que os principais fornecedores de Certificado Digital se atentassem para este cenário de um seg-mento importante para o país. Outra pa-lestra a destacar foi a apresentada pela Pe-tronect, empresa do grupo Petrobras, que falou sobre a implementação da solução para a Assinatura Digital de Contratos.

Page 25: Revista idigital 13

DAtACARDA Datacard aproveitou a oportunidade

do evento para comunicar ao mercado que chegou oficialmente ao Brasil com a abertu-ra de escritório no Morumbi, em São Paulo. Os produtos exibidos no stand representam uma pequena amostra do abrangente por-tfólio de soluções em personalização segura em qualquer ambiente.

Destaque para o sistema de emissão ins-tantânea de cartões CE870 de características exclusivas, como múltiplos compartimentos de alimentação de cartões (6 +1 slot para cartões de exceção) e a combinação de duas tecnologias de personalização (direct to card e embossing), que viabiliza a impressão a partir de um cartão em branco com gravação de dados em alto relevo.  Este sistema não leva mais de 90 segundos para as diferentes etapas de personalização que contemplam a impressão da imagem ou logo, codificação de tarja magnética, codificação de chip, gra-vação de dados em alto relevo, aplicação de indent no verso e por fim a cobertura dos dados personalizados com a cor metálica ca-racterística dos cartões com relevo.

A Datacard apresentou ainda o softwa-re CardWizard, que gerencia o processo de emissão de cartões e proporciona controle absoluto da operação, com detalhamentos sobre acessos, produção, estoques, status das impressoras entre vários outros relatórios que atendem às mais criteriosas exigências de auditoria e segurança. A Datacard esteve presente também no Fórum de Novas Tec-nologias, com a palestra “Complementando o Programa de Cartões com NFC”. Nesta oportunidade, a Datacard apresentou o Bu-siness Case do US Bank usando a tecnologia de microSD Device Fidelity e software de personalização Datacard.

A Datacard avaliou a participação na Cards como bastante positiva em termos de branding.  A estratégia de comunicação prévia com os clientes e potenciais clientes refletiu no movimento do stand que tam-bém apresentava alguns atrativos como am-biente convidativo, buffet variado além do exclusivo Café Nespresso. O espaço foi am-plamente utilizado tanto pelo staff da Da-tacard como pelos Parceiros Datacard para reuniões e contatos.

Page 26: Revista idigital 13
Page 27: Revista idigital 13

InfIneonA Infineon Technologies apre-

sentou suas últimas soluções em tec-nologia para cartões inteligentes, tais como: a tecnologia Coil on Module, que permite a produção simplificada de cartões dual-interface; o chip Ci-purse, primeiro produto compatível com o padrão “OSPT” voltado para o mercado de meios de pagamento e bilhetagem eletrônica; e a nova plata-forma de hardware de última geração, a família SLE 78, que possui proces-sador de dois núcleos de 16-bits e segurança digital Integrit Guard ga-rantindo que os dados armazenados e processados no cartão sejam preser-vados de forma segura sem que ne-nhuma informação seja manipulada abertamente.

Para a Infineon, a Cards 2013 foi uma das melhores dos últimos anos devido a maior participação das em-presas e profissionais do seguimento de cartões.

Page 28: Revista idigital 13
Page 29: Revista idigital 13
Page 30: Revista idigital 13
Page 31: Revista idigital 13
Page 32: Revista idigital 13
Page 33: Revista idigital 13
Page 34: Revista idigital 13

thomAs gRegComo patrocinador master, a Thomas

Greg & Sons do Brasil participou da Car-ds com um dos maiores espaços do even-to para recepcionar seus clientes, parceiros e para reforçar que a Thomas Greg visa o futuro; portanto investe cada vez mais em tecnologia para oferecer as melhores e mais completas soluções, incluindo ao seu por-tfólio, inovações em identificação, controle, rastreabilidade e pagamento seguro.

Com o tema “Tecnologia e Inovação em Produtos e Serviços”, apresentou produtos como: PAGUE360 - um shopping e cartei-ra virtual inovador, uma solução que oferece praticidade e segurança para os seus porta-dores transformarem seus cartões de crédito em versões virtuais e realizarem compras nas mais variadas lojas utilizando seus disposi-tivos móveis onde quer que estejam! Um novo canal de vendas para o varejo com um apelo tecnológico único que une segurança e comodidade para seus clientes; Display Cards - que traz a tecnologia de senhas crip-tografadas a qual garante total segurança às transações eletrônicas presenciais assim como através da web; CHAVE360 - sistema de envio de senhas eletrônicas para os por-tadores de cartões de forma prática, rápida e segura, dispensando o uso de papel e o en-vio por correio; Instant Issuing - impressão instantânea de cartões chip ou tarja em local determinado pelo cliente com toda seguran-ça de um bureau de impressão.

A Thomas Greg classificou o evento como uma excelente oportunidade para apresentar toda a tecnologia e inovação que desenvolve para atender as mais variadas ne-cessidades dos clientes.

Page 35: Revista idigital 13
Page 36: Revista idigital 13

CeRtIfICAção DIgItAl

O TEMA é CERTIFICAÇÃO

DIGITAL

FotoS: aSSESSoRia dE imPREnSa do iti

Page 37: Revista idigital 13

Evento paralelo à Cards, o Seminário Nacional de Certificação Digital ICP-Brasil apresenta e discute casos de sucesso no uso da tecnologia

Page 38: Revista idigital 13

Um dia inteiro destinado à troca de experiências sobre os múltiplos usos da certificação digital.

Assim pode ser descrito o Seminá-rio Nacional de Certificação Digital ICP-Brasil, que aconteceu em 11 de abril no Transamerica Expo Center, em São Paulo. Os debates foram re-alizados em paralelo à 18ª Cards. A maior feira do setor de cartões, meios eletrônicos de pagamento, identifica-ção e certificação digital foi realizada no mesmo local, de 10 a 12 abril.

O Seminário foi organizado pela ABRID em parceria com o ITI, o Instituto Nacional de Tecnologia da Informação, e contou com cerca de 300 participantes. Um público espe-cializado, que acompanhou e partici-pou atentamente das discussões.

Na abertura do encontro, o dire-

tor de Infraestrutura de Chaves Públi-cas do ITI, Maurício Coelho, enfati-zou que a intenção é mostrar as apli-cações da certificação digital. “Esse seminário não foge a esse padrão, trazemos pra São Paulo, após 12 anos de aplicação, cases de sucesso e vamos mostrar para a sociedade o que faz parte dessa tecnologia de certificação digital, disseminado novas segmenta-ções, no âmbito da autoridade regula-dora, o ITI”, comentou.

Já o diretor de Identificação Digital da ABRID, Edson Rezen-de, observou que encontros como o Seminário Nacional de Certificação Digital ICP-Brasil são oportunida-des preciosas para que o mercado apresente suas tecnologias. “Nesse ano o seminário está sendo organi-zado pela ABRID com apoio insti-tucional do ITI, em atendimento às

empresas associadas que detêm essa tecnologia e o próprio público-alvo em São Paulo, que tem um mercado grande de certificação digital. Além disso, a ABRID visa contribuir com o ITI na divulgação da utilização dos certificados digitais”, ressaltou.

» PAlESTRASO ponto alto do seminário fo-

ram as palestras temáticas. Os cases foram apresentados por 9 institui-ções, que tiveram 30 minutos cada para detalhar o uso da certificação digital. Abrindo as apresentações, o assessor técnico do ITI, Eduardo Lacerda, relatou a experiência da Autoridade de Registro Biométrica, a AR Biométrica.

O projeto piloto está em curso no Distrito Federal, Bahia, Rio de Janeiro São Paulo. Por meio dele,

a aBRid PaRticiPou do sEMináRio REPREsEntada PElo diREtoR dE idEntificação digital, Edson REzEndE

Page 39: Revista idigital 13

o usuário interessado em adquirir um certificado digital se identifi-ca na Autoridade de Registro por meio da impressão digital, a partir de pesquisa no banco de dados dos Institutos de Identificação. Entre as vantagens do modelo estão com-bate a fraudes, agilidade no aten-dimento, desburocratização no sis-tema de emissão, redução de custo das ARs e incentivo aos estados para investir em um sistema mais robusto de identificação.

A fase de testes da AR Bio-métrica conta com total apoio da ABRID. O modelo ainda não está regulamentado, mas o ITI está em-polgado com os resultados positivos do piloto e pretende normatizar a proposta o quanto antes. Nos testes, 95% dos usuários foram identifica-dos, em pouquíssimos segundos, na pesquisa nos bancos de dados dos Institutos de Identificação.

O segundo palestrante do dia foi o gerente nacional de Certifica-ção Digital da Caixa Econômica,

Wander Blanco. Ele apresentou um novo tema no âmbito do ICP-Brasil: a Autoridade de Carimbo do Tempo (ACT). A Caixa foi a primeira Autoridade Certificadora a credenciar-se na ICP-Brasil como uma ACT. Na definição da ICP-Brasil, o Carimbo do Tempo é um “conjunto de atributos fornecidos pela parte confiável do tempo que, associado a uma assinatura digital, confere provar a sua existência em determinado período”.

Na prática, a iniciativa permi-te o registro oficial – sincronizado com relógios atômicos ligados ao do Observatório Nacional, guar-dião da hora oficial brasileira – do momento preciso em que a assi-natura digital ocorreu. Na Caixa, inicialmente, o Carimbo do Tem-po será utilizado apenas em aplica-ções internas. Entre as vantagens, o banco acredita que a nova tecnolo-gia permite mais segurança, dá ce-leridade e a produtividade aos pro-cessos e reduz custos com papel, impressão, transporte, armazena-mento, mobiliário e espaço físico, além de servir como suporte para implementação de novos serviços.

Na sequência, o gerente de In-formações da Secretaria de Fazen-da de Goiás, Marcelo Mesquita,

Page 40: Revista idigital 13

comentou a utilização do certifi-cado digital como instrumento de melhoria na prestação de serviço ao contribuinte do agronegócio. O estado, que teve PIB de R$ 112 bilhões proveniente do campo em 2012, é o maior produtor nacional de tomate e sorgo, segundo de ca-na-de-açúcar e quarto colocado em rebanho bovino/produção do leite.

Com esse cenário, Goiás vê como um grande desafio levar a cer-tificação digital aos 224 mil produ-tores rurais cadastrados. E os dados mostram que o uso tem crescido. De janeiro a dezembro de 2012, o número de notas fiscais eletrôni-cas emitidas pelo setor passou de 33.784 para 46.544. Já o total de notas avulsas (não eletrônicas), no mesmo período, caiu de 20.852 para 16.046.

O palestrante seguinte, o ge-rente de Produtos de Tecnologia da Imprensa Oficial do Estado de

São Paulo (Imesp), João Paulo Foi-ni, enfatizou a desmaterialização de processos e documentos na estru-tura do governo paulista. A Imesp, que é certificadora digital associada à ABRID, tem 122 anos de exis-tência e hoje conta com 40 milhões de documentos digitalizados desde 2006 e 30 milhões de documentos assinados eletronicamente.

Foini detalhou o amplo uso da certificação digital em São Paulo, passando pelo Ministério Público, polícia científica, Tribunal de Con-tas do estado, Secretaria de Fazenda e Instituto de Coração (Incor), en-tre outros. Vale destacar o sucesso do Diário Oficial Online, que desde 2008 tem 11,2 milhões de páginas disponíveis para consulta e recebe mais de 40 mil visitas por dia.

Ainda tratando de São Paulo como exemplo, o juiz Fernando Tas-so, assessor da Presidência do Tribunal

Page 41: Revista idigital 13

de Justiça do estado (TJSP), destacou que o tribunal é o maior da América Latina, com mais de 41 mil funcio-nários, quase 3 mil juízes de direito e 360 desembargadores. Com uma es-trutura desse tamanho, a certificação digital é muito bem-vinda.

O TJSP já conta com 261 varas digitais e, até dezembro, pretende elevar o número para 887. Este total vai representar 40% de toda a Justiça do estado. O processo eletrônico certificado digitalmen-te revolucionou o cotidiano do TJSP. Agora, processos que antes levavam meses são concluídos em questão de dias. No TJSP, todos os juízes têm certificado digital e, para os servidores, a aquisição é de acordo com a demanda.

Já o assessor da Subsecretaria de Micro e Pequena Empresa da Junta Comercial de São Paulo (Ju-

cesp), André Moulin, comemorou a redução de custos e a desburo-cratização para abertura e fecha-mento de empresas a partir da cer-tificação digital padrão ICP-Bra-sil. Segundo ele, agora a maioria dos empreendimentos na cidade, 95%, pode ser aberto ou fechado em no máximo cinco dias.

Por meio do serviço Via Rápi-da Empresa, o empreendedor pau-listano obtém, de forma segura, os serviços de viabilidade da localiza-ção, registro empresarial, inscrições tributárias e licenças de operação. Moulin ainda listou diversas ati-vidades que podem ser otimizadas com o uso da certificação digital, como a eliminação de papel e o au-mento na integração entre os órgãos envolvidos no processo.

Por sua vez, o analista de TI do Instituto de Tecnologia da Infor-mação e Comunicação do Espírito

Page 42: Revista idigital 13

Santo (Prodest), Alexandre Mata-rangas, detalhou o funcionamento do Cartão Cidadão Capixaba. Para o governo ao estado, a tecnologia é a melhor forma de garantir segurança no processo de autenticação/identi-ficação.

Assim, o projeto prevê a con-fecção de cartões seguros para dar acesso do cidadão aos serviços do es-tado, como transporte, saúde, edu-cação, cultura e lazer. O Cartão Ca-pixaba terá, entre outros itens, chips PKI, Icao e Mifare, efeito íris, dados variáveis impressos a laser, hologra-ma, tinta ultravioleta e relevo tátil.

Dando continuidade ao Semi-nário Nacional de Certificação Di-gital ICP-Brasil, o gerente de Pro-

jetos da Petronect, Gil Carvalho de Freitas, comentou o funcionamento da instituição, que gerencia o portal de compras eletrônico responsável pelas ferramentas para aquisição de bens e serviços das empresas do grupo Petrobras. O portal Petronect utiliza a tecnologia ICP-Brasil para assinatura digital de contratos.

Os números do serviço im-pressionam. São 29 mil usuários registrados na Petrobras e 133 mil empresas cadastradas. O valor mo-vimentado de compras com o uso da tecnologia passou de R$ 45 mi-lhões em 2003, quando foi postada a primeira oportunidade de negó-cio, para R$ 61,7 bilhões em 2012. Por meio do Petronect, é possível fazer cotação, pedido e leilão, tudo de forma eletrônica e com a garantia da certificação digital.

Encerrando as palestras, o as-sessor de Programas Externos da Confederação Nacional do Co-

Page 43: Revista idigital 13

mércio de Bens, Serviços e Turismo (CNC), Miguel Nicoletti, lembrou que desde 2 de abril todos os sindi-catos do Brasil são obrigados a ter certificação digital para fazer uso no relacionamento com o Ministério do Trabalho. A medida, avaliou, é só mais um exemplo da quantida-de de oportunidades abertas para o empreendedorismo digital.

A CNC representa 34 federa-ções e quase mil sindicatos patronais dos municípios brasileiros. Ao todo, passam por entidades ligadas à Con-federação cerca de 60 do PIB (Pro-duto Interno Bruto) e 70% dos em-pregos formais e diretos nacionais. Segundo Nicoletti, a CNC decidiu investir no mercado de certificação digital em função das análises mos-trando crescente tendência de fatu-ramento no setor. É o PIB brasileiro de olho na certificação digital. Com informações do ITI e da i9 Assessoria.

Page 44: Revista idigital 13

IDentIDADe CIDADã

FotoS: divuLgação

Page 45: Revista idigital 13

CARTÃO CAPIXABA, A IDENTIFICAÇÃO CIDADÃ

Espírito Santo espera emitir a partir de 2014 novo documento de identidade voltado para a oferta de serviços ao cidadão com a segurança da certificação digital

iLu

StR

ão

oR

igin

aL:

Fa

biE

n d

En

oE

L

Page 46: Revista idigital 13

Tudo começou com a pro-posta de ampliar a segu-rança da identidade emi-tida aos cidadãos do Es-

pírito Santo. Aí a Secretaria de Edu-cação do estado viu a possibilidade de melhor controlar a frequência dos estudantes. Depois, a Secretaria de Saúde precisou ter o domínio mais eficiente dos prontuários dos pacien-tes. E as demandas foram surgindo. Então, o governo do Espírito Santo juntou todas as necessidades e orga-nizou uma solução única: o Cartão Cidadão Capixaba.

O documento segue os padrões do RIC, o Registro de Identidade Civil, novo documento do brasi-leiro que tem o projeto em fase de reavaliação no Ministério da Justi-ça. O analista de TI do Instituto de Tecnologia da Informação e Co-municação do Esta-do de Espírito Santo (Prodest), Alexandre Ma-

tarangas, que cuida da parte técnica da proposta do Cartão Capixaba, confirma: “Ele começou com uma tentativa do estado ter o cartão RIC e evoluiu porque, à medida que a gente foi conversando com a Secre-taria de Segurança Pública, a gente foi verificando que, além das necessidades da Secretaria de Seguran-ça, tinham ou-tras secretarias que tinham necessidades específicas, a Secretaria de Educação, a Se-cretaria de Saúde. E aí, o que pensamos?

Vamos juntar essas demandas todas em um único cartão”.

Agora, o foco é a prestação de ser-viço. “A intenção estadual aqui é que o cartão seja a interface do cidadão com todos os serviços ofertados pelo

estado, inclusive com um por-tal que vai ser complementar ao cartão onde o cidadão vai

poder fazer vários ser-viços pela internet.

O cartão, o certi-ficado digital, vai ser a chave para ele acessar esse

portal e usufruir desses serviços via

internet”, afirma.

ModElo do caRtão cidadão caPixaBa, quE vai cEntRalizaR o acEsso a divERsos sERviços PúBlicos no EsPíRito santo

Page 47: Revista idigital 13

Tecnicamente, garante Mata-rangas, a iniciativa segue todas as recomendações de segurança do cartão RIC, como certificação di-gital no padrão ICP-Brasil, fundo duplex, efeito íris, dados variáveis impressos a laser, MLI, microtexto, anti-stoke, holograma, tinta ultra-violeta e relevo tátil. Para garantir segurança e ainda o acesso a todos os serviços que devem ser disponi-bilizados, o Cartão Capixaba vai incluir três chips: PKI, Icao e Mi-fare. O PKI é o chip de contato que armazena o certificado digital no cartão. Já o Icao é o chip de apro-ximação para guardar os dados bio-métricos do dono do documento. E o Mifare é o chip de aproximação que conterá as informações neces-sárias para realização dos serviços oferecidos pelo Cartão Cidadão.

Com tantas ferramentas para atestar a segurança, Alexandre Ma-tarangas prevê um amplo leque de utilizações do novo documento. “Para a Secretaria de Educação, a frequência escolar vai ser feita atra-vés do cartão, a entrega da meren-da escolar também. O passe, que a Secretaria de Transporte subsidia para alguns estudantes, vai ser via o próprio cartão. A intenção é que

a gente também unifique todos os cartões de ôni-bus de Vitória no próprio cartão. Então, o cidadão vai carregar o car-tão com passes de ônibus, você vai e leva o seu Cartão Cidadão, carrega e usa. Na Secreta-ria de Saúde, en-trou num hospi-tal, numa emer-gência, ele já vai dar entrada com o Cartão Cida-dão e aí já vai ter os prontuários, todas as informa-ções médicas dele à mão”, enumera.

Na saúde, outro grande facilitar vai ser a aquisição do Sistema AFIS – além do benefício para a Seguran-ça Pública, claro. O Espírito Santo já tem o banco de dados com as im-pressões digitais dos capixabas e está fazendo uma Parceria Público-Pri-vada (PPP, saiba mais no box da pá-gina 49) para aquisição do AFIS. “O Cartão Cidadão, como identifi-cação, ele envolve o AFIS também.

Então, o estado vai ter o AFIS, en-

tão, o cidadão entrou no hospital, até pela digital já vai ser encontra-do o prontuário dele. Vamos dizer, um acidente de moto, o cara chega lá todo estropiado, pegou a digital, botou no leitorzinho, já vai sair lá todas as informações daquele cida-dão, vinculado ao Cartão Cidadão”, adianta.

O Prodest vai iniciar um pilo-to, em parceria com a Secretaria de Educação, em uma escola pública para testar o novo modelo de iden-tificação. Matarangas ressalta que o cartão será emitido apenas pelo Departamento de Identificação Ci-vil e Criminal do Espírito Santo. O documento atual de identidade no Espírito Santo segue o modelo dos demais estados do país, em papel. “O AFIS vai mudar completamente essa realidade. Então, a expectativa é que,

daqui pra frente, tan-to a parte civil quanto a criminal, elas fiquem totalmente isentas da possibilidade de fraudes. Mas o enfoque nosso é, basicamente, serviços, é ofertar serviços para o cidadão, é um cartão de cidadania”, enfatiza.

Assim, prossegue o representante do esta-do, a meta é facilitar a vida da população. “Ou seja, aquilo que hoje ele tem de ir a uma, duas, três repartições públicas diferentes para resolver

siMulação do acEsso ao PoRtal do caRtão caPixaBa EM sMaRtPhonE E taBlEt

siMulação do acEsso ao PoRtal do caRtão caPixaBa EM uM notEBook

Page 48: Revista idigital 13

seRvIços A seRem ACessADos vIA CARtão CIDADão CApIxABA

O governo do Espírito Santo pre-tende disponibilizar facilidades em vá-rias áreas por meio do novo documento de identificação, como saúde, educação, segurança, transportes, cultura, lazer e cidadania. As possibilidades de uso de um cartão com a tecnologia e a seguran-ça oferecidas pelo Capixaba são enormes, mas vale destacar algumas inicialmente previstas pelo projeto:

o problema, ele vai resolver o pro-blema no Faça Fácil. Ele vai poder se dirigir a um Faça Fácil com o cartão dele, obter aquele serviço de forma centralizada e imediata, resolver o problema dele, ou pelo portal na internet, de cara também ele vai poder resolver isso, ou, em últi-

ma análise, ele pelo menos vai ter um caminho que vai ser dado a ele pelo fato dele estar com o cartão na mão, por alguém dentro dessa es-trutura para que ele consiga resol-ver o problema dele. Então, a in-

tenção é serviço. A questão de identificação acabou se juntando, juntou a fome com a vontade de

comer”, brinca o ana-

lista de TI do Instituto de Tecnolo-gia da Informação e Comunicação de Espírito Santo.

Atualmente, os técnicos en-volvidos na iniciativa estão con-cluindo o Termo de Referência do Cartão Capixaba, que deve ser en-viado para consulta técnica no ITI, o Instituto Nacional de Tecnologia da Informação. Depois, a intenção é elaborar o edital para licitar o projeto. A meta do governo do Es-pírito Santo é iniciar a emissão do

Cartão Cidadão Capixaba em março de 2014.

controle de pedidos, agendamento e controle de entrega de medicamentos através das farmácias de atendimento público estaduais

controle de acesso às escolas públicas estaduais;

controle de acesso à merenda escolar nas escolas públicas estaduais

acompanhamento de notas e comunicações da escola

identificação do cidadão

controle de acesso às salas de aula

controle e uso de passes escolares

controle de acesso a hospitais públicos estaduais

identificação funcional para funcionários públicos

carteira de estudante

frequência escolar

AlexAndre MAtArAngAs,

AnAlistA de ti do Prodest

Page 49: Revista idigital 13

ppp, umA novA fRonteIRA pARA A seguRAnçA púBlICA

As Parcerias Público-Privadas (PPPs), comuns em áreas como transportes, energia elétrica e construção de estádios de futebol, começaram a ser implantadas há poucos anos no setor de segurança pú-blica, com especial foco na identificação civil. Atenta à tendência e para melhor esclarecer as associadas sobre o modelo, a ABRID promoveu em maio de 2012, em Brasília, uma palestra sobre o tema.

O palestrante foi o consultor Carlos Collodoro, engenheiro com 25 anos de experiência na concepção de soluções integradas de serviços e tecnologia apli-cáveis à emissão de documentos oficiais de identificação e no planejamento e exe-cução de processos licitatórios de acordo com a lei 8.666/1993, conhecida como lei das licitações. O especialista atuou, in-clusive, no desenvolvimento de projetos integrados, sob a forma de PPP, para os estados do Espírito Santo e de São Paulo - nos dois casos, nas áreas de identificação civil e criminal - e de Minas Gerais - para a implantação das Centrais Integradas de Atendimento ao Cidadão.

Na palestra, Collodoro reconheceu que PPP é uma novidade na segurança: “Quando começamos a falar sobre isso alguns anos atrás, de PPP na segurança pública, as pessoas diziam ‘esse cara está ficando louco’, porque PPP que se co-nhece só existe para metrô, rodovias, hi-droelétricas. Segurança pública não existe referência no mundo para projeto deste tipo. Só que surgiu esse conceito e fize-

mos a primeira em 2005/2006, em São Paulo, mas por razões internas de gover-no não prosperou. E, neste momento, está em andamento uma PPP no Espírito Santo, a gente está assessorando o go-verno do estado no desenvolvimento do projeto”.

Segundo ele, entre as aplicações da PPP na área de segurança, uma das possi-bilidades exige uma mudança de paradig-ma, com a transformação do certificado digital de produto para serviço. Desta forma, a SPE (Sociedade de Propósito Específico, criada para gerir toda PPP) teria receita – a ser divida com o governo – a partir de cada consulta ao certificado digital. “Em vez de vender por X reais o certificado, a empresa vai receber X reais por transação feita com o uso daquele certificado. Estamos propondo uma mu-dança no modelo de negócio mesmo”, comentou na palestra às associadas da ANFIP.

O novo modelo garantiria vantagens para a sociedade como a prevenção e re-dução de crimes de falsidade ideológica praticados com base no documento de identidade – já que a PPP permitiria a implantação de novos documentos de identidade, como o Cartão Cidadão Capixaba. Também haveria aumento da elucidação de crimes e da identificação de cadáveres por meio de fragmentos de impressão digital a partir dos bancos de dados, além da geração de receita com a conferência dos certificados digitais.

Page 50: Revista idigital 13

CAsos

Page 51: Revista idigital 13

CASOSe A r t i g O S

Te

cno

log

ia

Cada empresa tem uma história que reflete a forma

única encontrada por seus sócios, diretores e fun-

cionários na busca por soluções pela implantação

de processos e desenvolvimento de tecnologias.

É a soma de um conjunto de fatores que faz de

cada empresa, cada grupo, cada corporação um

caso de sucesso. Resumir todas essas histórias em

um único texto não seria justo para quem desenvolveu tudo

isso, nem para o leitor, que perderia conteúdo, a essência da

história e a oportunidade de apreender informações que po-

dem provocar mudanças, auxiliar na tomada de decisões, no

planejamento do futuro. É por isso que a revista idigital abre

espaço para que as associadas ABRID dividam seus casos de

sucesso com você.

Boa leitura.

Page 52: Revista idigital 13

52 | digital

RESUMOO atual cenário da sociedade

mostra que mais do que nunca tempo é dinheiro. Todos estão em busca de desburocratizar pro-cessos, sem deixar a questão da validade jurídica de lado, e ain-da ser sustentável. Diante desta realidade, as universidades estão enxergando na Certificação Di-gital uma tecnologia alinhada com os objetivos de redução de custos, validade jurídica, celeri-dade e sustentabilidade, e total-mente aplicável para a assinatura de forma eletrônica dos diplomas digitais dos alunos, além de do-cumentos administrativos como histórico escolar, comprovação de matrícula, entre outros que são disponibilizados aos alunos diariamente em grande volume.

PALAVRAS-CHAVECertificação Digital, Diplo-

ma Digital, assinatura eletrônica, assinatura digital.

ABSTRACTThe current scenario of society

shows that more than ever time is money. Everybody is seeking less bureaucratic processes, with legal validity and sustainable. Given this reality, universities are seeing in Digital Certificate technology aligned with the goals of reducing costs, legal validity, speed and sus-tainability and fully applicable to the signing of the electronic form of digital certificates of the students, and administrative documents such as transcripts , proof of enrollment, among others that are available to students daily in large volume.

KEYWORDSDigital Certification, Digital

Diploma, Digital Authentication.

Page 53: Revista idigital 13

abril - maio - junho 2013 | 53

CAso / ARtIgo

POR JULiO COSEntinO

A primeira vista poderia até parecer estranha a emissão de um diploma universitário de forma

digital. Mas a modernização dos pro-cessos está chegando a todos os cam-pos, inclusive no de educação.

O diploma eletrônico com as-sinatura digital assinado de forma

eletrônica surge em um cenário que vai ao encontro dos objetivos das instituições de educação e dos for-mandos. As universidades buscam por processos ágeis, com validade ju-rídica, que sejam sustentáveis e ainda que promovam redução de custos. Já os formandos necessitam da com-provação de conclusão de curso ra-

BELAS ARTES

Page 54: Revista idigital 13

54 | digital

pidamente. Estão ansiosos para a inserção no mercado de trabalho, por exemplo.

A demora na entrega do diplo-ma impresso muitas vezes atrapalha os recém-formados na inscrição de provas específicas ou candidatu-ras a vagas de emprego, principal-mente aos que se formam médicos, advogados ou contadores, alguns exemplos de profissões que exigem a comprovação da conclusão do curso para emissão das respectivas credenciais de classe.

Com o diploma eletrônico com assinatura digital, não existe demora. Em apenas alguns mi-nutos, o documento é assinado e disponibilizado para os alunos. Como? Com o Certificado Digital ICP-Brasil. Por meio de um sistema em nuvem, o titular do Certificado Digital assina quantos documentos precisar com apenas alguns cliques e com total validade jurídica.

Com a autorização do Conse-lho Estadual de Educação, Belas Artes de São Paulo é uma das pre-cursoras do segmento junto com a Universidade de São Paulo – USP

a utilizar a tecnologia da Certifi-cação Digital para assinar digital-mente os diplomas dos alunos. A Belas Artes, inclusive, oferece aos formandos uma área exclusi-va dentro do sistema em nuvem de assinaturas para que os alunos acessem seus diplomas digitais por meio de um código de validação e verificação individual. Esse código pode ser informado pelo aluno, se desejar, para que terceiros acessem ao diploma, externamente, de for-ma segura, e com toda a compro-vação de veracidade das informa-ções e assinaturas.

Por questões de tradição, o diploma em papel moeda não foi substituído em ambas as uni-versidades e acreditamos que os alunos não abrirão mão do diplo-ma impresso, porém, esse forma-to podemos dizer que será uma “relíquia”. Para o uso de rotinas acadêmicas ou profissionais será usado o diploma eletrônico assi-nado digitalmente, assim como histórico escolar. Prevemos inclu-sive, num futuro próximo, uma funcionalidade em redes sociais

profissionais assegurando a vera-cidade das informações ali posta-das, com link de consulta.

» A CERTIFICAçãO DIgITAlTrata-se da tecnologia que por

meio da criptografia de dados ga-rante autenticidade, confidenciali-dade, integridade e não-repúdio às informações eletrônicas. • Segurança;• Comodidade;• Agilidade;• Desmaterialização de

processos;• Sustentabilidade.

» O CERTIFICADO DIgITAlO Certificado Digital é um

documento que utiliza a Certi-ficação Digital para identificar pessoas, empresas e máquinas no meio eletrônico. • Confere ao titular autentica-

ção em um sistema. • Permite a assinatura de docu-

mentos na esfera digital, com validade jurídica.

• Garante a transparência e con-fidencialidade nos processos.

sistEMa EM nuvEM PERMitE a assinatuRa dE docuMEntos ElEtRônicos dE qualquER

lugaR do Mundo

Page 55: Revista idigital 13

abril - maio - junho 2013 | 55

» COMO SãO ASSINADOS OS DIPlOMAS ElETRôNICOS COM ASSINATuRA DIgITAl

O processo de assinatura de di-plomas eletrônicos com assinatura digital e carimbo do tempo adotado pela Belas Artes é simples e intuitivo. Por meio de um sistema em nuvem de gerenciamento de assinaturas:

P o requisitante faz o upload de documentos;

P encaminha para a assinatura dos signatários indicados pelo administrador;

P a plataforma dispara automa-ticamente um e-mail para os signatários assinarem o docu-mento utilizando o Certificado Digital ICP-Brasil;

P O administrador tem como checar se os signatários já as-sinaram, lembrando que os envolvidos não precisam estar fisicamente no mesmo lugar e ao mesmo tempo;

P Os signatários tem a possibilida-de de assinatura em lotes ou do-cumentos de forma individual.

» PRINCIPAIS FuNCIONAlIDADES DO SISTEMA • Sistema de simples utilização.• Autenticação por meio de Certi-

ficado Digital padrão ICP-Brasil.• Interoperabilidade com todas

Autoridades Certificadoras.• Envio de e-mails assinados para

notificação.• Conta corrente para cada usuá-

rio (PF ou PJ).• Múltiplas assinaturas: assinatu-

ras e coassinaturas digitais, in-dividuais ou em lote.

• Assinatura de Termo de Uso no cadastramento.

• Tarifação por documento.• Controle da ordem de assinatu-

ras por meio do CPF.• Pasta de arquivos do usuário.• Permite à verificação e recupe-

ração do documento original por meio do número de proto-colo, código QR

• Código de barras e link no do-cumento verificado.

• Emissão de laudo na verificação de arquivos.

• Permite baixar o arquivo origi-nal com assinaturas digitais.

• Saldo e extrato em formato de conta corrente.

• Configurações por usuário: re-cebimento ou não de e-mails, e-mails de notificações, tipo pa-drão de documento submetido para assinatura digital e conta preferencial em caso de usuá-rios com conta pessoal e com CPF associado à conta de PJ.

• Assinaturas digitais conforme a Política de Assinatura AD-RB (CADES).

• Cadeias de Certificados válidos da ICP-Brasil.

• Compatível com a cadeia de Certificação V2 da ICP-Brasil.

• Busca de documento por nome.• Consulta à tabela de signatários

cadastrados.• Acompanhamento do anda-

mento das assinaturas dos do-cumentos.

• Permite comentar o processo de assinatura em qualquer etapa.

• Painel de verificação de assina-turas digitais com informações completas sobre as assinaturas,

certificados, políticas e listas de Certificados Revogados (LCR).

» gARANTIA DAS INFORMAçõES

De acordo com o art. 10, da MP n° 2.200-2, os documentos eletrônicos assinados digitalmente com Certificados Digitais emiti-dos no âmbito da ICP-Brasil têm a mesma validade jurídica que os do-cumentos em papel com assinaturas manuscritas.

» SuSTENTABIlIDADEEmbora os diplomas impressos

em papel ainda sejam entregues, não há como negar que a Certifica-ção Digital utilizada na assinatura dos diplomas digitais é uma tec-nologia aliada aos segmentos que buscam a redução de custos e sus-tentabilidade nas ações. O Centro Universitário de Belas Artes, em seu projeto piloto, emitiu cerca de 2000 diplomas eletrônicos com 6 assina-turas cada, em alguns minutos. Isso reduziu o tempo de trabalho dedi-cado às assinaturas, da Reitoria, Di-retoria e Secretarias de cada curso contemplado no projeto.

O uso da tecnologia dispensa a necessidade de compra de papel, gastos com impressão, manuseio, armazenamento, deslocamentos para assinaturas presenciais e auten-ticações adicionais. Todo o proces-so é feito de forma eletrônica e com total validade jurídica.

soBRe o AutoRJulio Cosentino é vice-presiden-

te da Certisign.

Page 56: Revista idigital 13

RESUMOEste estudo examina os có-

digos QR e como eles podem ser usados para atacar tanto as intera-ções humanas quanto os sistemas automáticos. Como a informação codificada é direcionada para ser lida apenas por máquinas, um hu-mano não pode distinguir um có-digo QR válido de um manipula-do maliciosamente. Enquanto os humanos podem cair em ataques de phishing, os leitores automáti-cos são provavelmente mais vul-neráveis às injeções de comando e de SQL (Linguagem de Consulta Estruturada, na sigla em inglês). A nossa contribuição consiste em uma análise do código QR como um vetor de ataque, mostrando as diferentes estratégias de ataque a partir do ponto de vista dos frau-dadores e explorando as suas pos-síveis consequências.

PALAVRAS-CHAVECódigo QR, código de barras,

phishing, vetores de ataque KEYWORDSQR code, barcode, phishing, at-

tack vectors

ABSTRACTThis paper examines QR Codes

and how they can be used to atta-ck both human interaction and automated systems. As the enco-ded information is intended to be machine readable only, a human cannot distinguish between a valid and a maliciously manipulated QR code. While humans might fall for phishing attacks, automated readers are most likely vulnerable to SQL injections and command injections. Our contribution consists of an analysis of the QR Code as an at-tack vector, showing different attack strategies from the attackers point of view and exploring their possible consequences.

Page 57: Revista idigital 13

abril - maio - junho 2013 | 57

POR PEtER KiESEbERg, MAnUEL LEitHnER, MARtin MULAzzAni, LindSAy MUnROE, SEbAStiAn SCHRittwiESER, MAyAnK SinHA E EdgAR wEiPPL

1. INTRODuçãO

Um código QR (“quick response” – “resposta rá-pida”) é um código de barra de duas dimensões

inventado pela empresa japonesa Den-so Wave. A informação é codificada tanto na direção horizontal quanto na

vertical, contendo até várias centenas de vezes mais dados do que num códi-go de barra tradicional (Figura 1). Os dados são acessados através da captura de uma fotografia do código usando uma câmera (ex: embutida num smar-tphone) e do processamento da ima-gem com um leitor de QR.

SEGuRANÇA DO CóDIGO QR

CAso / ARtIgo

Page 58: Revista idigital 13

58 | digital

Os Códigos QR (Figura 2) ga-nharam popularidade internacional rapidamente e foram adotados por toda parte, especialmente no Japão, onde se tornaram mais adequados pela sua habilidade de codificar sím-bolos de Kanji pelo padrão.

Os usos comuns são armazena-mento de URLs, endereços e várias formas de dados em cartazes, le-treiros, cartões de visita, veículos de transporte público, etc. Na verdade, este mecanismo tem um vasto núme-ro de possíveis aplicações [4, 1, 2, 13, 9]. Por exemplo, a marca de esporte Umbro embutiu códigos QR nas go-las das camisas de futebol da Inglater-ra, enviando os fãs para um site se-creto onde é possível ganhar prêmios.

Neste estudo, nós exploramos a estrutura e o processo de criação dos códigos QR, bem como os pos-síveis ataques: seja contra eles ou os utilizando. Oferecemos uma visão geral das capacidades de correção de erro e possíveis maneiras de al-terar tanto os dados de correção de erro quanto da carga de transmis-são de dados (payload), de forma a modificar ou injetar informação em códigos existentes. Ademais, nós exploramos múltiplos vetores que podem habilitar um fraudador a explorar a confiança do usuário no conteúdo embutido no código ou dos processos automáticos no controle de tais códigos.

Nossas principais contribui-ções são:• delinear possíveis modificações

em diferentes partes dos códigos

QR, tais como códigos de corre-ção de erro ou mascaramento; e

• descrever os vetores de ataque re-sultantes, tanto contra humanos (ex: ataques de phishing) quanto contra processos automáticos (ex: injeções de SQL).

2. hISTÓRICOOs códigos QR [11] já ultrapas-

saram o código de barras clássico em popularidade em algumas áreas. Isto se dá, em muitos casos, pelo fato de que um código de barras típico pode conter apenas um máximo de 20 dí-gitos, enquanto o Código QR pode conter até 7.089 caracteres. Com-binado com a diversidade e exten-são oferecidas, isso torna o uso dos códigos QR muito mais atrativo do que dos códigos de barra. Estatisti-camente, os códigos QR são capazes de codificar o mesmo montante de dados em aproximadamente um décimo do espaço de um código de barra tradicional. Uma grande carac-

terística dos códigos QR é que eles não necessitam ser escaneados de um ângulo específico. Podem ser lidos indiferentemente de suas posições. Os leitores de códigos QR são ca-pazes de determinar a forma correta para decodificar a imagem devido a três quadrados específicos que estão posicionados nos cantos do símbolo e aos blocos de alinhamento.

Os códigos QR foram inicial-mente usados por fabricantes de veí-culos para rastrear peças. Após um período, as empresas começaram a ver a variedade de casos para seus dife-rentes usos. O uso comercial mais po-pular dos códigos QR é na indústria da telecomunicação, onde o aumento da adoção de smartphones parece ser o maior motivador de sua popularida-de [13, 5, 6]. Com a tecnologia dos telefones celulares constantemente em evolução, especialmente na área de acesso à internet móvel, os códi-gos QR parecem ser uma ferramenta adequada para comunicar as URLs aos usuários rápida e eficientemente. Isto também permite que a mídia off--line, tais como revistas, jornais, car-tões de visita, veículos de transporte público, letreiros, camisetas ou qual-quer outro meio que possa aceitar a impressão de um código QR, seja usada como portador de propaganda de produtos on-line [7].

Nãocontém

dados

Contém dados

7 8 8 5 8 1 0 1 4 9 7 4

Contémdados

Contém dados

figuRa 1: código dE BaRRas

figuRa 2: código qR

Page 59: Revista idigital 13

abril - maio - junho 2013 | 59

2.1 Códigos QR

Os códigos QR são formados por diferentes áreas que são reser-vadas para propósitos específicos. Abaixo nos referimos à versão 2 dos códigos QR (Figura 3) porque a ver-são 1 não contém todos os padrões.• Padrão Localizador 1 O pa-

drão localizador é formado por três estruturas idênticas que estão localizadas em todos os cantos do código QR, exceto no canto direito inferior. Cada padrão baseia-se numa matriz de módulos pretos cercados por módulos brancos, os quais estão novamente cercados por módulos pretos. Os Padrões Localizadores habilitam o software decodificador a reconhecer o Código QR e determinar a orientação correta.

• Separadores 2 Os separado-res brancos têm a largura de um pixel e melhoram a capacidade de reconhecimento dos Padrões Localizadores porque eles os se-param dos dados reais.

• Padrão de Marcação 3 A al-ternância de módulos brancos e pretos no Padrão de Marcação habilita o software decodificador a determinar a largura de um único módulo.

• Padrões de Alinhamento 4 Os padrões de alinhamento ajudam o software decodifi-cador a compensar distorções moderadas de imagens. A Versão 1 dos códigos QR não tem Padrões de Alinhamento. Com o aumento do tamanho dos códigos mais Padrões de Alinhamento são adicionados.

• Informação de Formato 5 A seção Informação de Formato consiste de 15 bits próximos aos separadores e armazena informa-ção sobre o nível de correção de erro do Código QR e o padrão de mascaramento escolhido.

• Dados 6 Os dados são conver-tidos numa corrente de bits e en-tão armazenados em partes de 8 bits (chamadas palavras-código) na seção de dados.

• Correção de Erro 7 Similar à seção de dados, os códigos de correção de erro são armazena-dos em palavras-código de 8 bits na seção de correção de erro.

• Bits Restantes 8 Esta seção é formada por bits vazios se os bits de correção de erro e os de dados não podem ser divididos em pa-lavras-código de 8 bits sem resto.

1 2

3

4

5

678

figuRa 3: EstRutuRa do código qR vERsão 2

Page 60: Revista idigital 13

60 | digital

Todo o código QR tem que estar cercado por uma, assim chamada, Zona de Silêncio, uma área na mes-ma tonalidade de cor dos módulos brancos, para melhorar o reconheci-mento do código pelo software de-codificador.

2.2 Código de Correção de Erro e de Capacidade

A capacidade de um Código QR depende de vários fatores. Além da versão do código que define o seu tamanho (número de módulos), o nível de correção de erro escolhido e o tipo de dados codificados também influenciam a capacidade. • Versão: As 40 versões diferen-

tes dos códigos QR diferem principalmente no número de módulos. A Versão 1 é forma-da por módulos de 21x21, até 133 (nível de correção de erro mais baixo) dos quais podem ser usados para o armazenamento de dados codificados. O maior código QR (Versão 40) tem o tamanho de 177x177 módulos e pode armazenar até 23.648 mó-dulos de dados.

• Nível de Correção de Erro: A Correção de Erro nos códi-gos QR é baseada nos Códigos Reed-Solomon [14], uma forma específica de códigos de correção de erro BCH [3,8]. Há quatro níveis (Tabela 1) de correção de erro que podem ser escolhidos pelo usuário no momento da criação.

Os níveis mais altos de correção de erro aumentam a percentagem das palavras-código usadas para cor-reção de erro e, portanto, diminuem o montante de dados que podem ser armazenados dentro do código.• Dados Codificados: O Códi-

go QR pode usar diferentes co-dificações de dados (ver Seção 3.2.2 para informações detalha-das sobre modos de codificação de caracteres). A complexidade delas influencia o montante de caracteres reais que pode ser ar-mazenado dentro do código. Por exemplo, a Versão 2 do Código QR com o nível mais baixo de correção de erro pode conter até 77 caracteres numéricos, mas apenas 10 caracteres de kanji.

3. SEguRANçA DOS CÓDIgOS QR

3.1 Modelo de AmeaçaÉ possível distinguir dois modelos

de ameaça diferentes para manipula-ção dos Códigos QR. Primeiro, um fraudador pode inverter qualquer módulo, mudando-o seja de preto para branco ou vice-versa. Segundo, um fraudador mais restrito pode so-mente mudar os módulos brancos para pretos, mas não o contrário.

3.1.1 Ambas as cores

A abordagem mais fácil para atacar um Código QR existente é gerar um adesivo contendo um Có-digo QR manipulado no mesmo es-tilo do Código QR original e posi-cioná-lo sobre o código no anúncio. Naturalmente, isso iria requerer ou

alguma preparação ou uma impressora móvel e aplicati-vos de desenho para um dis-positivo móvel. Ao menos, quando o ataque fosse mas-sivo contra um alvo escolhi-do, o tempo necessário para a preparação não imporia uma limitação séria.

Uma vez que este tipo de ataque é trivial, nós decidimos excluí-lo do escopo deste estudo. Entretanto, acre-ditamos que o uso deste método num ataque contra um anúncio no mundo real é uma opção viável para ataques em grande escala.

3.1.2 Cor única

Neste caso, nós nos restringimos à modificação de apenas uma cor. O pano de fundo para esta restri-ção está no cenário de um frauda-dor buscando modificar em tempo real um único cartaz usando apenas uma caneta (desta forma, reduzindo as possíveis modificações somente à transformação dos módulos brancos para pretos). Esta restrição é a base para os outros ataques que serão enumerados ao longo deste estudo.

3.2 Ataque a partes diferentes

Uma vez que os Códigos QR contêm muitas informações dife-rentes, incluindo metainformação sobre a versão, mascaramentos e co-dificação da fonte, há várias regiões diferentes que podem ser alvo, seja individualmente ou em combinação.

3.2.1 As máscaras

As máscaras são usadas para ge-rar Códigos QR com uma boa dis-tribuição de módulos pretos e bran-cos (aproximadamente 50:50 e bem distribuídos por todo o código). Isto aumenta o contraste da ima-gem e assim ajuda os dispositivos a decodificarem-no. De acordo com o padrão, ao se gerar um Código QR, cada máscara das oito especificadas é aplicada e cada resultado é classifica-do. A máscara que resulta na melhor distribuição de acordo com a classifi-cação é escolhida (o efeito do uso de máscaras corretas pode ser visto na Figura 4. A barra antes mostra o nú-mero de elementos brancos e pretos antes do mascaramento ser aplicado;

taBEla 1: nívEis dE coRREção dE ERRo

L M Q H

7% 15% 25% 30%

Page 61: Revista idigital 13

abril - maio - junho 2013 | 61

e a depois, mostra os números após o uso do melhor mascaramento). Há sempre apenas uma máscara em uso num dado código QR, a qual está codificada junto com a versão num bloco separado do código usando uma forte codificação BCH.

Nas condições na Tabela 2, i se refere à posição do módulo em fi-leira e j à sua posição em coluna. A máscara é preta para cada módulo que a condição seja válida e branca para o resto.

Direcionar a máscara pode mu-dar bastante em toda a parte de cor-reção de erro e dados. Porém, isso ainda pode ser uma base útil para a aplicação adicional de outros mé-todos. Um problema existente ao se mudar o mascaramento é que ele é codificado separadamente, utili-zando um algoritmo de correção de erro forte.

3.2.2 A codificação do caractere (modo)

Há várias fontes diferentes de codificação (Tabela 3) especificadas para a informação contida no código, assim maximizando a capacidade

em troca de uma complexidade aumentada. As mais populares são:• Modo Numérico (apenas co-

difica dígitos, portanto conse-gue guardar muitos dados em uma figura);

• Modo Alfanumérico (um con-junto de caracteres contendo letras em caixa alta e vários ou-tros caracteres como $ ou espa-ço branco);

• Modo de oito bits (capaz de codificar o conjunto JIS de caracteres de oito bits (Latim e Kana) de acor-do com JIS X 0201); ou

• Caracteres Kanji (Conjunto de caracte-res JIS obtidos com a tecla Shift de acordo com JIS X 0208 Annex 1 da Representação Co-dificada em Shift).A codificação de caracte-

re em si é definida no início da parte dos dados pelos pri-meiros quatro bits. A tabela seguinte oferece uma visão geral dos possíveis valores para cada modo:

Mudar o indicador de modo dá aos dados codificados todo um novo significado. Especialmente ao consi-derar o modo Byte de oito bits em vez de outros modos, ou até mesmo o modo alfanumérico em vez de, por exemplo, o modo Numérico, lançando injeções de código (ex: injeções de SQL) poderia se tornar viável (o modo de oito bits permite truques até mais complexos usando caracteres de controle).

150

0

38

75

113

antes depois

BRAN

CO

PRET

O

BRAN

CO

PRET

O

Padrão da Máscara Condição

000 (i + j) mod 2 = 0

001 i mod 2 = 0

010 j mod 3 = 0

011 (i + j) mod 3 = 0

100 ((i/2) + (j/3)) mod 2 = 0

101 (ij) mod 2 + (ij) mod 3 = 0

110 ((ij) mod 2 + (ij) mod 3) mod 2 = 0

111 ((ij) mod 3 + (ij) mod 2) mod 2 = 0

Indicador Modo

0001 Modo Numérico

0010 Modo Alfanumérico

0100 Modo Byte de 8 bits

1000 Modo Kanji

0011 Modo Structured append

0101 FNC1 (primeira posição)

1001 FNC1 (segunda posição)

0000 Terminator

figuRa 4: EfEitos dE MascaRaMEnto taBEla 2: REfERências E condiçõEs do PadRão da MáscaRa

taBEla 3: indicadoREs dE Modo

Page 62: Revista idigital 13

62 | digital

Um ataque avançado contra o modo pode ser montado misturan-do-se modos diferentes num Código QR (veja a seção abaixo).

3.2.3 Indicador de Contagem de Caractere

Logo após o indicador de modo, os próximos bits indicam a conta-gem de caracteres dos dados que se-guem. O tamanho real do indicador de contagem de caractere depende amplamente do modo em uso e da versão do Código de QR (versões mais altas contêm mais dados, por-tanto, o indicador de contagem de caractere é mais longo).

Veja a Tabela 4, abaixo, para o comprimento dos modos mais po-pulares.

Ao olhar para esse alvo, vemos duas abordagens principais para um ataque: produzir buffer overflows, (transbordamento de dados) ou bu-ffer underflows (subtransbordamento de dados).• Buffer underflow: Nós mu-

damos o indicador de conta-gem de caracteres para que ele pareça com um número mais baixo do que no código QR original. Portanto, o dispositivo de decodificação deve apenas decodificar como mensagem as primeiras poucas letras, deixan-do o resto de fora. Isso é espe-

cialmente útil para o caso do link original, que foi codificado, conter sufixos. Uma vez que o tamanho da parte dos dados é fixado, tudo que está além do número de bytes previsto é visto como um segmento novo (ver modos mistos), ou (no caso de um indicador de modo termi-nador [terminator]) como um preenchimento (filler). Uma vez que isso é apenas uma pequena mudança na parte dos dados (apenas o comprimento é modi-ficado), deve, por sua vez, resul-tar apenas numa pequena mu-dança nos valores de correção de erro e ainda pode ser decodifi-cável. Atenção especial também deve ser dada a uma combinação possível deste ataque com outros alvos, no caso de modos mistos serem usados.

• Buffer overflow: Nós mudamos o indicador de contagem de ca-racteres para um número mais alto, de forma que o dispositivo de decodificação tenta decodi-ficar partes do preenchimento como dados (se nós pudermos mudar o preenchimento, ga-nhamos um espaço valioso para a inclusão de dados adicionais). Novamente, uma das desvanta-gens deste método está nas habi-lidades da correção de erro (e es-

pecialmente na detecção de erro) do Código Re-ed-Solomon. Seria par-ticularmente interessante tentar lançar um ataque de injeção de código usando este método.

3.2.4 modos mistos

É possível usar vários modos diferentes dentro de um Código QR (isso é particularmente útil para aumentar a densi-dade ao codificar dife-

rentes tipos de dados). Para realizar isso, vários segmentos de dados com seus próprios indicadores de modo e indicadores de contagem de caracte-res simplesmente se concatenam (ver Figura 5).

Mais uma vez, podemos identifi-car quatro abordagens para a utiliza-ção desta característica dos Códigos QR para ataques: • Mudar os modos de segmen-

tos: Isso funciona como um ata-que ao modo de um Código QR que não usa modos mistos, mas é reduzido a um segmento ape-nas, deixando, portanto, outras partes dos dados intocáveis.

• Inserir novos segmentos: Di-vidir um segmento existente em dois novos, um com o antigo cabeçalho (indicador de modo e indicador de contagem de carac-teres) e um com um cabeçalho recentemente definido.

• Apagar segmentos existentes: sobrescrever o espaço usado pelo indicador de modo e pelo indicador de contagem de ca-ractere com dados adicionais, reduzindo assim o número de segmentos. Adicionalmente, o indicador de contagem de carac-tere do segmento anterior pode ser modificado para permitir que os dados do segmento apagado sejam anexados.

• Structured Append (Anexo Es-truturado): O modo structured append permite a concatenação de até 16 símbolos de Código QR, desta forma, muitos dados podem ser armazenados nesta se-quência de Códigos QR. É pro-jetado de forma que a decodifica-ção seja independente da ordem que os símbolos são lidos.

O problema principal com todos os ataques contra o modo (particular-mente a inserção e o apagamento de segmentos) é que eles normalmente

Vers

ão

Num

éric

o

Alfa

num

éric

o

8-bi

ts

Kanj

i

1-9 10 9 8 8

10-26 12 11 16 10

27-40 14 13 16 12

taBEla 4: coMPRiMEnto do indicadoR dE contagEM dE caRactERE

Page 63: Revista idigital 13

abril - maio - junho 2013 | 63

têm um impacto bem alto nas pala-vras-código de correção de erro. Pro-vavelmente, este ataque pode ser usa-do em combinação com um ataque na própria parte de correção de erro.

Deve-se tentar combinar os modos de mudança de segmentos existentes com mudanças de cores na seção dos dados (e naturalmente na parte de correção de erro), uma vez que isso poderia ser uma ajuda valiosa no caso de não haver módu-los brancos suficientes para a troca (lembre-se que, como um pré-requi-sito, nós consideramos apenas a mu-dança de uma cor para a outra sem a possibilidade de fazer o contrário). Também a troca de modos como o numérico e o alfanumérico para o de 8 bits admitiria de repente caracteres de controle não imprimíveis, como apagar (Figura 5).

3.2.5 parte de dados e correção de erro

A maior parte de um código QR é constituída de partes contendo palavras-código de dados e de corre-ção de erro. A parte dos dados em si

pode consistir de segmentos usando várias codificações diferentes, cada qual com o seu próprio cabeçalho especificando o modo em uso e o comprimento dos dados seguintes (ver acima subseções sobre modos). Para uma dada versão e nível de cor-reção de erro, a parte no Código QR que representa as palavras-código de dados e a parte que representa as palavras-código de correção de erro podem ser definidas facilmente sem codificação, uma vez que o compri-mento da parte de dados não depen-de do real comprimento dos dados (os dados são totalmente preenchi-dos com padrões de enchimento). Para a posição da parte dos dados, veja Figura 3 na Seção 2. O exato comprimento da parte dos dados pode ser originado do padrão.

Pelo design, qualquer mudança nos dados subjacentes reflete dire-tamente tanto na parte de dados quanto na de correção de erro. A codificação Reed-Solomon é capaz de detectar várias mudanças, seja na parte de dados ou na de correção de erro, e fornece decodificação da

mensagem original mesmo após a introdução de um moderado núme-ro de modificações/erros. Isto quer dizer que se Qi indica o código QR 100% correto para a mensagem Mi, então um Código QR Q’i com ape-nas pequenos desvios do código Qi original ainda pode ser decodificado de volta para Mi. Esta característi-ca, embora projetada para proteger a integridade do código o máximo possível, serve como um importan-te pré-requisito para o nosso ata-que: nós não precisamos mudar o significado do Código QR original Qi para combinar exatamente com o Código QR Qj ; i ≠ j contendo nosso Código QR Mj manipulado. Precisamos apenas alcançar um có-digo Q’j que seja decodificado para a mesma mensagem. Em seguran-ça da computação tradicional, isto é análogo a NOP sledge (Nota da Tradutora: literalmente em portu-guês, ‘trenó de não-operação’, uma sequência de instruções de não-ope-ração que “deslizam” pelo fluxo de instruções de execução até atingir seu destino final).

figuRa 5: MEnsagEM contEndo váRios Modos

Segm

ento

1

Indicador de Modo 1

Indicador de Contagem de Caractere 1

Dados

Segm

ento

5

Indicador de Modo 5

Indicador de Contagem de Caractere 5

DadosSe

gmen

to 3

Indicador de Modo 3

Indicador de Contagem de Caractere 3

DadosSe

gmen

to 2

Indicador de Modo 2

Indicador de Contagem de Caractere 2

DadosSe

gmen

to 6

Indicador de Modo 6

Indicador de Contagem de Caractere 6

Dados

Segm

ento

4

Indicador de Modo 4

Indicador de Contagem de Caractere 4

Dados

Segm

ento

n

Indicador de Modo n

Indicador de Contagem de Caractere n

Dados

...

Page 64: Revista idigital 13

64 | digital

A Figura 6 ilustra o esboço deste ataque. Os círculos verdes indicam Códigos QR que representam men-sagens exatas (i.e. livres de erros), os círculos azuis mostram o conjunto de Códigos QR errôneos que são de-codificados para a mesma mensagem devido às características de correção de erro do código Reed-Solomon. F indica o conjunto de Códigos QR que são detectados como incorretos pelo decodificador, porém não po-dem ser corrigidos.

4. CÓDIgOS QR COMO vETORES DE ATAQuE

Nós acreditamos que Códigos QR manipulados podem ser usados para uma grande quantidade de ata-ques. Diferentes cenários, seja para um leitor humano ou um programa automático (ex: em logística), são possíveis e delineados nesta seção.

4.1 Ataque a processos Automáticos

Como os Códigos QR são uma forma padronizada de codificar in-formação, nós acreditamos que a maioria dos desenvolvedores de sof-tware não trata a informação codi-ficada como uma possível entrada de dado insegura. Conforme des-crito em detalhes na seção anterior, as diferentes partes do Código QR podem ser manipuladas de forma a mudar a informação codificada. Dependendo dos programas que processam a informação codificada, sejam eles em logística, transporte público ou numa linha de monta-gem automática, os ataques ao leitor de software bem como ao back-end (N.T.: parte final de um processo) são teoricamente possíveis. Sem hi-gienização adequada, um adversário poderia usar a lista incompleta de ataques descrita abaixo. Ataques si-milares usando chips de RFID e in-jeções de SQL se mostraram eficazes [15], uma vez que a higienização de

entrada de dados não foi empregada nestes exemplos. • Injeção de SQL: Nós

acreditamos que muitos sistemas automáticos armazenam e processam a informação codificada num banco de dados relacional. Ao anexar um ponto e vírgula se-guido por uma consulta SQL tal como ;drop table <tablena-me> à informação codificada, é possível manipular o banco de dados backend (desde que o DBMS [N.T: Database Ma-nagement System - Sistema de Gerenciamento do Banco de Dados] permita consultas múltiplas numa única linha). Isto apagaria a table (mesa) especificada no comando, resultando num ataque por negação-de-serviço. Mais ata-ques específicos podem in-cluir acrescentar um usuário, executar comandos de sistema (ex: utilizando o procedimen-to armazenado xp_cmdshell no Servidor SQL da Microsoft), ou alterar dados tais como preços ou senhas dentro do banco de dados.

• Injeção de comando: Se a in-formação codificada for utilizada como um parâmetro de linha de comando sem ser higienizada,

isso poderia ser facilmente explo-rado para rodar comandos arbi-trários em nome do fraudador, os quais podem ter consequências desastrosas para a segurança do sistema operacional, por exem-plo, instalando rootkits (kits raiz), DoS (Disk Operational System – sistema operacional em disco), ou conectando um programa Shell ao computador remoto sob controle do fraudador.

• Fraude: Mudanças no sistema automático podem ser usadas para cometer fraude enganando o sistema, por exemplo, fazendo-o acreditar que está processando um produto barato A enquanto na verdade está processando um produto B mais caro.

4.2 Ataque à Interação Humana

Os humanos não podem ler o có-digo sem um software de leitura, a in-formação armazenada dentro do có-digo é completamente obscura. Mas ao ler o código QR manipulado, uma vulnerabilidade no software de leitura ou no navegador pode ser acionada.• Phishing e Pharming: Se os

Códigos QR forem usados para links em cenários de realidade aumentada, um fraudador po-deria montar uma website falsa e redirecionar os usuários pela mudança do Código QR. Isto é perigoso se alguma forma de cre-dencial for necessária para aces-

figuRa 6: ataquE às PalavRas-código dE dados

Page 65: Revista idigital 13

abril - maio - junho 2013 | 65

sar a website. O usuário não tem possibilidade de verificar que o link não está modificado.

• Fraude: Os códigos QR são fre-quentemente usados em propa-gandas para direcionar o públi-co-alvo a ofertas especiais ou à informação adicional sobre pro-dutos específicos. Se o Código QR pode ser manipulado para redirecionar o usuário para uma website clonada, um adversário poderia vender o produto solici-tado sem nunca cumprir o con-trato. A vítima implicitamente confia na companhia que colo-cou o anúncio e segue o link.

• Software de leitor de ataque: Diferentes implementações do software leitor nos computa-dores e telefones celulares po-deriam ser atacáveis via injeção de comando ou buffer overflows tradicionais se a informação co-dificada não estiver higienizada. Um fraudador poderia ganhar controle total sobre um smar-tphone, incluindo as informa-ções de contato ou o conteúdo de correspondência da vítima, como e-mail ou SMS.

• Ataque de engenharia social: Aproveitando esses ataques, ou-tros mais específicos como spe-ar phishing (NT: um ataque de Phishing altamente localizado)

ou outras variantes da engenha-ria social são habilitados, depen-dendo do objetivo do fraudador. Deixar um cartaz de um código QR no estacionamento de uma companhia (em vez do ataque tradicional com um dispositivo USB) oferecendo desconto num restaurante próximo é um novo vetor de ataque com probabili-dade de ser bem sucedido.

4.3 Mais PesquisasAs possibilidades de ataques

propostas neste estudo abrem um enorme campo para mais pesqui-sa. A meta principal está na análise apurada e na aplicação prática de um ou mais dos ataques delineados para um dado alvo. Além disso, devem ser investigadas quais as partes de um Código QR que são as mais fáceis de atacar e quais medidas preventi-vas podem ser tomadas para impe-dir ataques como os propostos neste estudo. Até mesmo em termos mais gerais, seria muito interessante des-cobrir medidas métricas que possam ser usadas para medir a vulnerabili-dade dos Códigos QR dependendo do esboço de um dado tipo de ata-que e com respeito a características como distribuição de preto/branco, versão, mascaramento, etc.

Por último, mas não menos im-portante, outros Códigos-2D tais

como Aztec [12] ou DataMatrix [10] precisam ser analisados da mes-ma forma para identificar possíveis vetores de ataque e encontrar medi-das preventivas adequadas.

5. CONCluSãONeste estudo, nós delineamos

os perigos de ataques possíveis uti-lizando Códigos QR manipulados. Uma vez que os Códigos QR estão cada vez mais populares através de seu uso para propósitos de marke-ting, nós esperamos que este tipo de ataque venha a receber mais e mais atenção pela comunidade de hacker no futuro. Além disso, muitos dis-positivos móveis (ex: Smartphones) atualmente são capazes de decodifi-car Códigos QR e acessar as URLs contidas neles. Isso acrescenta uma nova dimensão ao tópico da con-fiança, especialmente porque mui-tos usuários não estão atentos o bas-tante para segurança ao usarem seus telefones móveis (o que também permite o uso de novas técnicas de phishing). Além do phishing uma série de outros métodos de ataques, tanto contra humanos quanto con-tra sistemas automáticos podem ser realizadas usando códigos QR. Isto é verdadeiro particularmente se uma higienização adequada dos dados de entrada não for executada antes do processamento dos dados contidos.

Referências[1] h. s. Al-khalifa. utilizing qr code and mobile

phones for blinds and visually impaired people. In ICChp, pages 1065{1069, 2008.

[2] A. Alapetite. Dynamic 2d-barcodes for multi-device web session migration including mobile phones. personal and ubiquitous Computing, 14(1):45{52, 2010.

[3] R. Bose and D. Ray-Chaudhuri. on a class of er-ror correcting binary group codes*. Information and control, 3(1):68{79, 1960

[4] m. Canadi, W. h�opken, and m. fuchs. Appli-cation of qr codes in online travel distribution. In enteR, pages 137{148, 2010.

[5] J. gao, v. kulkarni, h. Ranavat, l. Chang, and h. mei. A 2d barcode-based mobile payment sys-tem. In mue, pages 320{329, 2009.

[6] J. Z. gao, l. prakash, and R. Jagatesan. unders-

tanding 2d-barcode technology and applications in m-commerce - design and implementation of a 2d barcode processing solution. In CompsAC (2), pages 49{56, 2007.

[7] J. Z. gao, h. veeraragavathatham, s. savanur, and J. xia. A 2d-barcode based mobile adverti-sing solution. In seke, pages 466{472, 2009.

[8] A. hocquenghem. Codes correcteurs d^aAZer-reurs. Chires, 2(147-156):4, 1959.

[9] Y.-p. huang, Y.-t. Chang, and f. e. sandnes. ubiquitous information transfer across dierent platforms by qr codes. J. mobile multimedia, 6(1):3{14, 2010.

[10] Iso 16022:2006. Data matrix bar code symbo-logy specication. Iso, geneva, switzerland.

[11] Iso 18004:2006. qR Code bar code symbology specication. Iso, geneva, switzerland.

[12] Iso 24778:2008. Aztec Code bar code symbo-logy specication. Iso, geneva, switzerland.

[13] s. lisa and g. piersantelli. use of 2d barco-de to access multimedia content and the web from a mobile handset. In gloBeCom, pages 5594{5596, 2008.

[14] I. Reed and g. solomon. polynomial codes over certainnite elds. Journal of the society for Indus-trial and Applied mathematics, 8(2):300{304, 1960.

[15] m. R. Rieback, B. Crispo, and A. s. tanenbaum. Is your cat infected with a computer virus? In peRCom ‘06: proceedings of the fourth An-nual Ieee International Conference on perva-sive Computing and Communications, pages 169{179, Washington, DC, usA, 2006. Ieee Computer society.

Page 66: Revista idigital 13

66 | digital

RESUMOIniciativa de sucesso inclui

assinatura digital em prontuário eletrônico em atendimento am-bulatorial. Integridade, confiabi-lidade, segurança da informação e eliminação de papel foram os principais ganhos.

PALAVRAS-CHAVECertificação digital, assina-

tura digital, desmaterialização de papel, confidencialidade, inte-gridade, autenticidade, validade jurídica.

ABSTRACTSuccessful on the initiative in-

cludes digital signature in electro-nic medical outpatients. Integrity, reliability, information security and disposal of paper were the main gains.

KEYWORDSDigital certificates, digital

signatures, dematerialization of paper, confidentiality, integrity, authenticity, legal validity.

Page 67: Revista idigital 13

abril - maio - junho 2013 | 67

POR JOãO PAULO FOini E MARCO AntOniO gUtiERREz

Para a Imprensa Oficial do Estado de São Paulo, que já certificou digitalmente mais de trinta milhões de

documentos, é parte de sua rotina implantar soluções de assinatura e autenticação com uso de certificação digital. Para o Incor, que é referência latino-americana no desenvolvimen-to e aplicação de tecnologias da in-formação na área da saúde, nenhum desafio é intransponível quando o assunto é garantir a integridade, a

confiabilidade e a segurança das in-formações dos pacientes.

No projeto Prontuário Eletrôni-co no Atendimento Ambulatorial com Certificação Digital, em que a menor indisponibilidade poderia representar risco à vida das pessoas em atendi-mento hospitalar, a experiência acu-mulada por estas duas instituições, ao longo dos anos, foi determinante para o sucesso da iniciativa.

Desenvolvido em parceria pela Imprensa Oficial e o Incor (Instituto

do Coração) do Hospital das Clí-nicas da Faculdade de Medicina da Universidade de São Paulo, o projeto possibilitou a inclusão de assinatu-ra digital – por meio de certificado digital – no sistema de prontuário eletrônico utilizado no atendimento ambulatorial do Incor.

Chamado de SI3 (Sistema In-tegrado de Informações Institucio-nais), o sistema pioneiro desenvol-vido pelo Serviço de Informática do Incor há mais de dez anos, e com informações de mais de 1,3 milhão de pacientes, permite administrar todas as informações geradas no de-

CAso / ARtIgo

CERTIFICAÇÃO DIGITAL GARANTE SEGuRANÇA DA INFORMAÇÃO A PROnTuáRIO ELETRôNICO DE PACIEnTES DO InCOR/SP

Page 68: Revista idigital 13

68 | digital

correr do atendimento do pacien-te, desde prescrições médicas e de enfermagem até imagens e laudos de exames. Faltava apenas a certi-ficação digital para fechar o círculo virtuoso: a informação eletrônica confiável sobre o papel.

Foi com este objetivo que o Incor procurou a experiência da Imprensa Oficial em certificação digital, de ma-neira a agregar ao seu produto, o SI3, o registro eletrônico com validade jurídica. O resultado foi maior confi-dencialidade, integridade e autentici-dade às informações. Além disso, per-mitiu a eliminação da impressão do papel em cada etapa de atendimento para cumprir a exigência legal de assi-natura do responsável.

Para se ter uma ideia do que isso representa, o Incor realiza mais de 250 mil atendimentos ambulatoriais por ano e, em cada atendimento, são geradas, em média, 3 páginas com informações. Portanto, poten-cialmente, por ano, são consumidas cerca de 750 mil páginas, que preci-sam ser armazenadas para atender à legislação, embora todo o conteúdo

exista em formato eletrônico.Na etapa piloto do projeto fo-

ram envolvidos 50 médicos e 1,5 mil atendimentos com assinatura digital. Em 2013 foi iniciada a segunda fase, sendo estendida para 500 profissio-nais. Com isso, todo o atendimento ambulatorial dispensará a impressão do papel.

» MAIS EFICIêNCIA, SEguRANçA E ECONOMIA

Um grande avanço no atendi-mento médico-hospitalar, o Prontuá-rio Eletrônico do Paciente (PEP) per-mitiu unir diferentes tipos de dados

do paciente ao longo de sua vida, pro-duzidos em vários formatos e épocas e coletados em distintos locais. Em termos de saúde pública, a manipu-lação inteligente de dados obtidos em Prontuários Eletrônicos possibilita uma série de ações. Entre elas está a obtenção de informações para moni-toramento de doenças crônicas, a re-alização do acompanhamento do pa-ciente por meio dos serviços de saúde que ele utiliza e efetuar a avaliação de custo-efetividade.

A utilização dos Prontuários Ele-trônicos permite maior abrangência de armazenamento de dados e re-

Page 69: Revista idigital 13

abril - maio - junho 2013 | 69

presenta a oportunidade de prover serviços públicos de saúde de melhor qualidade. Possibilita ainda a redução de custos, aumento da efici-ência da gestão, com ganhos na agilidade e qualidade da informação.

A substituição total dos prontuários baseados em papel por eletrônicos envol-ve questões de extrema im-portância. Dentre elas está a segurança dos dados do paciente. O desenvolvimen-to e a implantação de qual-quer PEP devem ter como premissa fundamental asse-gurar a confidencialidade, a integridade e a autenticida-de aos dados presentes no prontuário. Desta forma, a utilização da tecnologia de certificação digital por parte dos profissionais de saúde que prestam assistência ao paciente é ferramenta fundamental ao possi-bilitar a inclusão de uma assinatura digital em um documento eletrônico com as mesmas garantias jurídicas da assinatura de próprio punho.

Além disso, possibilita uma se-gurança maior que garante a integri-dade e a autenticidade do documen-to, agregando maior confiabilidade a todo processo, possibilitando a substituição total do prontuário em papel pelo eletrônico.

» PROJETO ORIgINAlA originalidade do projeto do

Incor, do ponto de vista técnico, está no desafio de implantar um sis-tema em grande escala, envolvendo milhões de acessos por ano, milha-res de usuários e a garantia de uma transição segura para um sistema de atendimento mais ágil, informatiza-do e distribuído. Os desdobramen-tos desta iniciativa são enormes. A adoção de um sistema eletrônico nos atendimentos ambulatoriais do

SUS (Sistema Único de Saúde) no Estado de São Paulo, se combinada com a adoção dessa informação pe-las farmácias do Estado, permitirá não apenas eliminar completamente a necessidade de impressão de vias adicionais de receituários, como também permitirá maior comodi-dade ao cidadão para obtenção dos medicamentos.

Garantir a segurança dos dados dos pacientes é um fator fundamen-tal para a adoção de prontuários ele-trônicos em larga escala. Para isso, o primeiro passo é garantir que o siste-ma desenvolvido atenda aos requisi-tos que garantem a confidencialida-de, a integridade e a autenticidade das informações. A implantação de assinaturas digitais, associada a uma política de segurança sólida, garante a responsabilidade e o não repúdio. Um sistema com estas características pode tornar-se mais seguro contra ataques do que o próprio prontuário em papel.

O processo permite vários pon-tos de controle e auditoria possibi-litando, desta maneira, garantia e segurança ainda maiores para os pa-cientes. Estas características tornam

a versão digital do prontuário mais segura em relação à versão em papel.

soBRe os AutoResJoão Paulo Foini – especialista

em interatividade digital, portais cor-porativos, certificação digital e soluções de governo eletrônico com 25 anos de atuação no mercado de Tecnologia da Informação. Atualmente é o responsável pela gerência de Produtos de Tecnologia da Imprensa Oficial do Estado de São Paulo, na qual tem atuado em projetos para o Governo do Estado de São Paulo nas áreas de documento eletrônico, cer-tificação digital, gestão eletrônica de do-cumentos, portais e livros digitais.

Marco Antonio Gutierrez – En-genheiro Eletrônico e Doutor em En-genharia Eletrônica pela Universidade de São Paulo. Atualmente é Diretor do Serviço de Informática do Incor, Professor Livre-Docente dos Programas de Pós-graduação em Cardiologia e de Engenharia Biomédica da Universi-dade de São Paulo e de Gestão e In-formática em Saúde da Universidade Federal de São Paulo e Presidente da Sociedade Brasileira de Informática em Saúde (SBIS).

Page 70: Revista idigital 13

RESUMOO artigo trata-se de uma ex-

planação sobre a implantação de sistemas seguros de identifi-cação digital. É um assunto que está sendo bastante discutido no Brasil, uma vez que trará mu-danças significativas no registro do cidadão brasileiro, ao mesmo tempo modernidade, facilidade e segurança na sua identificação. O desafio para as empresas que desenvolvem a tecnologia é gran-de, porque cada unidade federada (UF) tem autonomia para efetuar a contração. O principal objetivo desse artigo é ilustrar quais tecno-logias existem no mercado para captura de elementos biométricos e imagens, verificação no sistema central e emissão do RG digital.

PALAVRAS-CHAVEIdentificação, biometria,

digital, tecnologia, impressão e RIC.

ABSTRACTThe article is an explanation

of safe systems of digital identifi-cation implementation. This issue is being widely discussed in Bra-zil, since it will bring significant changes in the Brazilian identity citizenship, while modernity, rea-diness and safety in their registra-tion. The challenge for companies that develop the technology is huge, because each federal unit of Brazil is empowered to effect contractions. The main objective of this text is to illustrate what are the technologies in the market to capture biometric and images, check the central sys-tem and issue the ID.

KEYWORDSIdentity, biometrics, digital, te-

chnology, print, ID.

Page 71: Revista idigital 13

abril - maio - junho 2013 | 71

CAso / ARtIgo

POR JOSé AUgUStO dE ALMEidA FiLHO E táCitO AUgUStO SiLVA LEitE

Se a implantação de siste-mas seguros de identifica-ção está na ordem do dia em vários países, inclusive

no Brasil, a seleção de uma solução global e integrada que permita a con-secução dos seus objetivos de forma sustentada é desafio nada trivial, es-pecialmente no caso brasileiro onde cada unidade federada (UF) tem au-tonomia para efetuar a contratação.

Este documento aponta fatores importantes que devem ser conside-rados para a escolha dos vários com-ponentes que vão integrar a solução, bem como as alternativas de integra-ção que se colocam, sem a pretensão de esgotá-los ou propor critérios de avaliação. Entendemos que as dife-renças de procedimentos, de alcance e escopo, disponibilidade de recursos de telecomunicações e logísticos, e as

decorrentes estratégias de implan-tação vão moldar a melhor seleção caso a caso.

O objetivo aqui é identificar as tecnologias especializadas disponí-veis no mercado, como componen-tes de captura de elementos biomé-tricos e imagens, verificação no siste-ma central e emissão do documento de identidade.

A opção tecnológica para inte-gração dos sistemas centrais ao pon-to de atendimento ou emissão pode-rá ser manual, com envio de lotes de

SOluÇÕES PARA EMISSÃO DE DOCuMENTOS OFICIAIS COM IDENTIFICAÇÃO DIGITAL BIOMéTRICA

Page 72: Revista idigital 13

72 | digital

fichas de identificação e retorno do documento de identidade pronto, via malotes dos Correios, para loca-lidades sem meios de comunicação. Neste caminho, o documento passa-ria por um posto informatizado, mas com recurso de comunicação limita-do e/ou com baixa demanda, carac-terizando um posto de atendimento off-line até um posto efetivamente on-line com capacidade de comu-nicação suficiente. Também devem ser considerados postos motorizados garantindo mobilidade para o aten-dimento aos públicos com maior di-ficuldade de acesso.

Cada opção precisa ser cuidado-samente avaliada, além dos compro-missos de prazos de atendimento e entrega de documentos ao cidadão, bem como aspectos de segurança, no sentido de proteger tanto espelhos de documentos de identidade ou do-cumentos já personalizados e emiti-dos, para que se evitem furtos.

» MODElO DE REFERêNCIA – MACRO PROCESSOS E FuNCIONAlIDADES

Do ponto de vista de processos e seu desdobramento nas funcio-nalidades de uma solução, não há grandes divergências quanto ao que se observa nas soluções de mercado. Com isso em mente, se apresenta uma visão simplificada de macro processos e funcionalidades como referência:

» ATENDIMENTO A PADRõES E REQuISITOS DE NívEl INTERNACIONAl

Considerando o grau de inte-gração das nações, no que se refere à segurança, padrões e requisitos inter-nacionalmente estabelecidos devem ser atendidos por qualquer solução.

Exemplos podem ser:• Documentos emitidos atendem

às normas/padrões ICAO, ISO, ANSI, NIST, WSQ, IQS etc;

• Processo para a compilação dos dados garante que informações armazenadas possam ser atuali-zadas a qualquer momento uti-lizando procedimentos automa-tizados;

• Precisão dos dados e caracterís-ticas de segurança da solução asseguram que seja emitido um documento único que compro-ve, sem dúvidas, a identidade do portador, com todas as etapas do processo permitindo monitora-ção, gerando trilha de auditoria e registro dos usuários.

Diante disso, é necessário avaliar:• Alinhamento com recomenda-

ções e padrões do Governo Bra-sileiro;

• Capacidade de integração com múltiplos fabricantes de soluções de reconhecimento biométrico (impressões digitais e faciais);

• Capacidade de integração com

múltiplos fabricantes de soluções de personalização convencional e eletrônica dos documentos ofi-ciais de identificação.

Soluções de classe mundial para o reconhecimento automático de impressões digitais (AFIS) ou faciais (FRS) são proprietárias e fechadas. O foco deve estar em que estas soluções sejam amplamente interoperáveis se-gundo os padrões internacionais.

Mesmo tecnologias de uso regu-lar, como sistemas gerenciadores de bases de dados complexas e de gran-de volume, assim como ferramen-tas de integração de sistemas (EAIs, ESBs), devem considerar fornecedo-res sustentáveis e com credenciais em projetos com perfil similar.

A multiplicidade e diversidade de fornecedores para composição da solução global integrada é um fato. Com o foco nas soluções de tecnolo-gia devemos considerar que fornece-dores devem ser capazes de oferecer e suportar tecnicamente, ao longo do tempo, clientes no Brasil e na es-pecífica UF. Caso o façam através de distribuidores locais, estes precisam comprovar capacidade e capacitação, inclusive com autorização expressa do fabricante para cada contratação específica.

Considerando o fato de que, para este tipo específico de solução integrada, haverá componentes pro-prietários, uma vez que incluem van-

Solicitação Verificação Autorização

· Primeiro registro· Renovação

· AFIS· FRS· Outros sistemas

· Papeis· Bloqueio· Segurança· Alertas

Personalização

· Controle de produção· Gestão de estoque· Insumos· Gestão de

desperdícios

Entrega

· Gestão de entrega· Ativação· Gestão do envio

Regras de negócio Segurança Monitoramento Auditorias Estatísticas

Page 73: Revista idigital 13

abril - maio - junho 2013 | 73

tagens competitivas que podem ser considerados segredos industriais, nos parece mais importante que:• Todas as integrações e funções

de interoperabilidade obedeçam a padrões internacionais, sejam de protocolo, sejam de técnica de integração de aplicações;

• A arquitetura e as técnicas de in-tegração estejam alinhadas, tanto quanto possível, aos padrões pre-conizados pelo Governo Federal;

• Que sejam transferidos, sob for-ma de treinamento, os conhe-cimentos necessários a operar e gerir a operação da solução, tanto nos seus aspectos técnicos como administrativos e logís-ticos, mesmo que estes serviços estejam incluídos no escopo da contratação;

• Que a contratação das soluções e produtos esteja amparada por cláusulas adequadas de suporte, manutenção corretiva e evolutiva.

Finalmente há que se prever, es-pecialmente nos casos de contratação por serviços, a manutenção da capa-cidade do estado de continuar a pres-tação, seja por término de contrato seja por algum problema que impli-que em rescisão. Qualquer dos casos implicará na transferência/reversão de propriedade dos ativos que compõem a solução global integrada. Também neste fator devem ser previstas, em contrato, atualizações tanto de ativos como de treinamentos de pessoal, no momento da reversão.

» AS TECNOlOgIAS BIOMéTRICAS A SERvIçO DA IDENTIFICAçãO

Hoje em dia, a aplicação da tec-nologia biométrica em diferentes âmbitos deixou de pertencer à ficção e tornou-se algo habitual e cotidia-no, uma ferramenta que os cidadãos já reconhecem e começam a usar com certa predisposição.

A biometria pode ser conside-rada como um mecanismo eficiente para a disposição das administra-ções para assegurar e controlar a identidade dos indivíduos. É cada vez mais comum entre as empresas a incorporação de tais mecanismos assegurar a informação sensível ou de acesso restrito, proteger o aces-so às zonas controladas, realizar de maneira efetiva o controle de pre-sença dos funcionários e oferecer a autenticação a serviços seguros on-line, tanto a própria pessoa da companhia como a seus clientes, substituindo o mais habitual dos métodos de autenticação como a identificação dos usuários associa-do a uma senha.

Atualmente, os governos dos países mais avançados não somente incorporam diferentes tecnologias biométricas dentro dos passaportes eletrônicos, mas também instituem como indispensável a posse deste tipo de documento para permitir o trânsito internacional. Os passapor-tes eletrônicos de segunda geração já estão sendo expedidos em países pioneiros, como é o caso da Espa-nha, incorporando avançados meca-nismos que protegem ainda mais as novas informações biométricas pre-sentes no chip do documento.

A implementação da nova car-teira de identidade, batizada de Re-gistro de Identidade Civil (RIC), e que deverá ser adotada em todo ter-ritório nacional durante os próximos anos, supõe um grande avanço na adoção de tecnologias biométricas pelo governo brasileiro.

A implementação do RIC será o maior projeto de identificação realizado no mundo e causará um grande impacto, uma vez que di-minuirá a burocracia dos registros civis, aumentará o nível de segu-rança nas fronteiras, além de cons-tituir um banco de dados nacional de registro civil.

Não são escolhas triviais e, por-tanto, precisam ser avaliadas com método e conhecimento. Neste sen-tido, uma Parceria Público Privada traz mais uma contribuição, uma vez que na etapa de manifestação de interesse a iniciativa privada poderá trazer estudos de viabilidade que fa-cilitem o processo de tomada de de-cisão do contratante.

soBRe os AutoResJosé Augusto de Almeida Filho

é gerente sênior de Desenvolvimento de Negócios em Soluções de Tecnologia para os Mercados de Segurança, Transporte e Tráfego e Redes. Mestre em Informática e bacharel em Engenharia Elétrica com especialização em Sistemas pela PUC Rio. Profissionalmente, atuou em Tec-nologia da Informação em setores como Nuclear (Nuclebras), Elétrico (Light), e Telecomunicações (Claro e Oi), bem como fornecedor, com foco em soluções, em empresas como IBM, HP, Bearin-gpoint, Proceda e DBA. Está na Indra desde janeiro de 2008.

Tácito Augusto Silva Leite é diretor-executivo de Mercado de Se-gurança da Indra no Brasil, oficial da Reserva do Exército Brasileiro e vice-presidente da ABSeg. O executi-vo é pós-graduado em Segurança Em-presarial pela Universidad Pontifícia Comillas de Madri; possui MBA em Gestão de Segurança Empresarial pela Universidade Internacional Anhem-bi-Morumbi e MBA em Sistemas de Informação com ênfase em Segurança de Informações pela UnP. É certificado em Gestão de Recursos de Defesa pela Escola Superior de Guerra – ESG e bacharel e licenciado em História pela UFRN; Certificado DSE (Diretor de Segurança Empresarial) pela UPCO – Espanha e Certificado ASE (Analista de Segurança Empresarial) pela As-sociação Brasileira de Profissionais de Segurança - ABSeg. Atua desde 1994 na Indra no Brasil.

Page 74: Revista idigital 13

74 | digital

RESUMOEstamos vivendo um novo momento

onde os dispositivos eletrônicos se torna-ram muito mais inteligentes e, assim, uma ferramenta poderosa nas áreas de entrete-nimento, organização de atividades sociais e financeiras e até mesmo navegação inte-ligente em grandes metrópoles. Esses dis-positivos com tecnologia de paralelismo embarcada e centenas de aplicativos pro-duzem um volume vertiginoso de dados. Sendo produtos de uso pessoal, a escala de dados produzidos criou um novo conceito chamado de BIG DATA, ou Grande Volu-me de Dados. Este conceito representa uma era de desafios e oportunidades ao conver-ter dados brutos, pelo reconhecimento de padrões, em aplicações para uma sociedade mais inteligente nas áreas de energia, mo-bilidade, segurança, saúde entre outras.

PALAVRAS-CHAVEBIG DATA, IP, SmartPhones, Reco-

nhecimento de Padrões, Processamento Analítico, Inteligência.

ABSTRACTWe are living a new moment where the

electronic devices have become much more in-telligent and thus, a powerful tool for people in the areas of entertainment, organization of social and finance activities, including in-telligent navigation in big cities or even in a small parking lot. These new devices with em-barked parallelism technology and hundreds of application produce a huge volume of data. As personal devices, the data scale generated a new concept called BIG DATA. The great volume of data existing today represents an era of challenges and opportunities as conver-ting gross data, by pattern recognition, into applications to a more intelligent society in the areas of energy, mobility, security, health among others.

KEYWORDSBIG DATA, IP, SmartPhones, Pattern

Recognition, Analytical Processing, Intelli-gence

Page 75: Revista idigital 13

abril - maio - junho 2013 | 75

CAso / ARtIgo

POR MARCOS ALbERtO dE SOUzA

A exaustão de endereços IP, que é o identificador de acesso de todos dispositi-vos que acessam a inter-

net, foi o motivador para o desenvol-vimento e massificação do IPv6. Este modelo permitiu a multiplicação de identificadores IP por meio da sub-divisão dos endereços de redes. Desta

forma, tornou-se possível atribuir um endereço IP único para tudo que te-nha acesso a Internet, tal como smar-tphones, TV digital, tocadores blu-ray, telefones IP, notebooks, tablets, câmeras fotográficas e de vigilância, videogames, relógios de medição (elé-tricos e hidráulicos) e refrigeradores, entre outros.

Todos estes equipamentos com seus respectivos firmwares, softwares e aplicações, a maioria para uso in-dividual, produzem uma quantidade avassaladora de dados, que armaze-nados em nuvem permitem determi-nar comportamentos, preferências e posição geográfica, bem como os interesses de uma pessoa ou grupo.

Um exemplo muito recente é o aplicativo Waze para smartphones e

BIG DATA: A nOVA fROnTEIRA PARA InOVAÇÃO, COmPETITIVIDADE E PRODuTIVIDADE

Page 76: Revista idigital 13

76 | digital

tablets. Trata-se de uma ferramenta colaborativa de navegação por GPS que viabiliza a interação entre moto-ristas em vias de tráfego em tempo real, permitindo a análise das notifi-cações destes motoristas, suas respec-tivas posições geodésicas e sua velo-cidade média, além de computar o tempo estimado para chegada ou de-finir rotas alternativas, tudo isso com enorme precisão. Este é um pequeno exemplo do Big Data que identifica padrões a partir de muitos dados e

transforma em informação útil de forma contínua, visto que os dados mudam de instante em instante e o sistema precisa reprocessar e atuali-zar as informações de forma dinâmi-ca. De modo geral, o Big Data diz respeito ao trato de dados em gran-des volumes, em alta velocidade e grande variedade de fontes de dados.

Tão interessantes como ferra-mentas colaborativas e ativas são as modelagens que utilizam sistemas passivos geradores de dados para de-terminar uma condição de interesse. No Japão, por exemplo, onde os con-ceitos de Smart City são concretos, utilizam-se dados gerados por veí-

culos automotores que, quando têm acionado o limpador de para-brisas, enviam um sinal para o departamen-to de tráfego e de alerta de desastres, que, em parceria com outras fontes de informações, conseguem deter-minar a formação de condições ide-ais para ocorrência de bloqueios e até mesmo desastres, levando-se em conta o volume de chuvas represen-tado pelo temporizador de todos os carros em uma via.

No setor de energia, o compor-tamento dos grupos consumidores (indústrias, comércio, população, etc.) associado a variáveis, como as estações do ano, as condições am-bientais atuantes, flutuações econô-micas etc., permite o planejamento para a geração e distribuição equili-brada e inteligente de energia elétri-ca para os polos consumidores, com máxima eficiência.

O tratamento de dados desta na-tureza e com este tipo de propósito envolve novos paradigmas de proces-samento de dados, de programação, de sistema de gerenciamento de ban-co de dados e da capacidade humana

Page 77: Revista idigital 13

abril - maio - junho 2013 | 77

em se dotar sistemas com habilidades (“skill”) para identificar padrões onde existem apenas dados brutos. A pro-priedade de processamento analítico de dados é um valioso bem que algu-mas poucas empresas e governos já possuem e um dos maiores obstáculos para a massificação da computação analítica de objetos.

Na área de segurança pública há um universo muito grande de possi-bilidades de concatenação de dados, representados por identificadores onomásticos da pessoa, somados à sua biometria papilar e prosopográ-fica, Este fator, somado a outras in-formações individuais, tal como um número de telefone, um e-mail, um veículo licenciado, um provedor de TV a cabo e internet, um TAG de passagem em pedágios, um serviço aéreo, permite seguir os passos de um

fugitivo, revelar um falso relato de cri-me, diagnosticar um comportamento suspeito, entre outras vantagens.

É fácil vislumbrar os potenciais de identificação de padrões em um grande universo de dados a serviço das atividades investigativas policiais, sejam na localização de pessoas de in-teresse ou no desvendamento de cri-mes sofisticados, em particular aque-les cometidos com o uso de tecnolo-gia. A propósito está é uma das áreas de grande investimento da Adminis-tração Obama, através do seu Depar-tamento de Defesa que consome US$ 310 milhões por ano sob o conceito de “realização de grandes apostas em grandes volumes de dados”.

Hoje, o maior desafio dentro desta área ainda é a questão da priva-cidade, pois os dados ficam disponí-veis e esparsos em estado bruto. Nes-

te contexto, a legislação atual precisa se adaptar a oferecer amparo jurídico para proteção das pessoas e geração de resultados práticos.

Na próxima edição da idigital serão apresentados, em detalhes, ca-sos práticos do uso do BIG DATA hoje em dia.

soBRe o AutoRMarcos Alberto de Souza é es-

pecialista em arquitetura de computa-dores e algoritmos para processamento numérico de grandezas naturais, com 15 anos de atuação em computação científica para aplicação de Previsão Numérica de Tempo e seis anos em Au-tomação de Sistemas de Identificação. Trabalha para a NEC desde 1987 e atua em projetos de missão crítica e de integração de sistemas.

visualização cRiada PEla iBM MostRa dados oRganizados EM coREs E Posição

Page 78: Revista idigital 13

78 | digital

RESUMOOs eventos de hoje em dia

estão cada vez mais completos e apresentando diversas no-vidades e tecnologias. Certas ferramentas podem ser utiliza-das para identificar quem está no evento, seus gostos, perfil e ainda promover uma inte-ratividade maior com as redes sociais que tornaram parte importante na vida digital dos consumidores.

PALAVRAS-CHAVEIdentificação, Controle de

Acesso, Interatividade e RFID.

ABSTRACTToday events are increasingly

complete and introducing many new features and technologies. Certain tools can be used to iden-tify who is on the event, their tas-tes, and still promote interactivity with social networks that have become an important part in the digital life of consumers.

KEYWORDSIdentification, Access Con-

trol, Interactivity and RFID.

Page 79: Revista idigital 13

abril - maio - junho 2013 | 79

CAso / ARtIgo

POR CLARO PinHEiRO POLiCARPO

Imagine o cenário: você entra em um evento, logo na entrada há uma tela com uma mensa-gem de boas-vindas endereçada

a você e sua entrada é automatica-mente liberada. Ao se aproximar da loja, consegue fazer compras, sem apresentar nenhum cartão de crédito ou débito, apenas aproximando sua

pulseira de acesso em um leitor. Ao chegar à sala VIP, começa a tocar suas músicas preferidas e o garçom te ofe-rece apenas bebidas que agradam seu paladar. Chegando próximo a um ar-tista, celebridade ou algum ponto im-portante do evento, um fotógrafo tira uma foto sua que automaticamente é postada no seu Facebook.

Tudo isso e muito mais é pos-sível ser feito através da sinergia de um sistema, como é o caso do Aces-se 360 e da tecnologia de RFID (do inglês “Radio-Frequency IDentifica-tion”, ou em português Identificação por Radiofrequência).

Em termos mais técnicos, o RFID é um método de identificação automática de objetos que utiliza si-nais para recuperar e armazenar as

MAIOR SINERGIA E InTERATIVIDADE Em EVEnTOS PúBlICOS

Page 80: Revista idigital 13

80 | digital

informações por meio de dis-positivos de-nominados TAG ou etiqueta de RFID. Para o funcionamen-to do sistema é necessário ter uma antena e um transceptor, que faz a leitura do sinal e trans-fere a informação para um dispositi-vo leitor, além de um transponder, ou seja, etiqueta de rádio frequência, com o circuito e a informação a ser transmitida. A antena transmite a informação, por emissão de sinal do circuito integrado ao leitor, que recebe as informações e converte as ondas de rádio do RFID em infor-mações digitais. Após esta codifica-ção as informações poderão ser lidas e decodificadas por um computador para então ter seus dados analisados e aplicados em diversos mecanismos como a identificação ou rastreabili-dade de produtos, pessoas, animais, entre outros.

Toda esta tecnologia pode trazer diversos benefícios e facilidades para o universo dos eventos. O consumi-dor, ao fazer a compra do ingresso de um evento, pode preencher alguns detalhes de suas preferências e cadas-tro de algumas informações pessoais, como: número de telefone e identifi-cação na rede social, que combinada com ações deste evento pode trazer maior interatividade, como as expli-cadas abaixo.

» IDENTIFICAçãO DO PÚBlICOO consumidor retira sua pulseira

na recepção do evento, que no pri-meiro momento parece apenas uma fita de identificação, ou em alguns casos parece uma pulseira plástica.

Dentro desta pulseira há a TAG de RFID, com as informações que ele cadastrou na internet. Ao passar pelo portal de entrada, um sensor instala-do recebe a frequência com as infor-mações e consegue identificar quem está passando pelo leitor. Tendo um painel eletrônico pode ser apresen-tada uma mensagem direcionada e até mesmo com o nome do visitante. Esses leitores podem ser espalhados em diversos outros pontos do even-to, que conseguem identificar as di-versas áreas que a pessoa está visitan-do. Com isso também pode ser feita a rastreabilidade do indivíduo, ou seja, o evento pode ser todo mapea-do e pode ser identificado quem está entrando em determinada área, por quanto tempo ele permanece neste local, se está consumindo algo e se tem permissão para estar nesta área. No quesito de autorização, esta iden-tificação pode fazer com que a pessoa seja até mesmo barrada, como por exemplo, o acesso de menores em determinados locais não permitidos.

» PAgAMENTO COM CRéDITOSPode ser feito o cadastramento

de créditos na pulseira antecipada-mente para facilitar a compra de al-gum artigo dentro do evento, o que pode ocorrer na compra do ingres-so, ou até mesmo em algum posto específico no evento, através do seu

cartão de crédito ou dé-bito, onde ele paga antes pelos créditos. À medida do consumo, os débitos são lançados neste siste-ma que atualiza automa-ticamente a pulseira com

RFID. Para que o valor seja debitado, o consumidor

deverá aproximar sua pulseira do leitor como forma de autorização do pagamento do item desejado. Esta leitura pode ser feita através de um simples leitor de MIFARE, que estará codificado para fazer a tran-sação do débito em questão, o que torna o ambiente mais seguro, pois somente é aprovado o pagamento na aproximação do leitor (leitura feita em no máximo cinco centíme-tros de distância).

» COMPARTIlhANDOO consumidor deverá preencher

seus dados da rede social na mesma fase da compra do ingresso. Preen-chendo os dados, será necessário assinalar uma autorização de acesso à rede. Cadastrando estas informa-ções a pessoa não está divulgando e assim deixando vulnerável sua senha da rede social, pois ela entra cripto-grafada, impossibilitando sua identi-ficação. Para a liberação da postagem da foto na sua conta de rede, basta à pessoa aproximar sua pulseira como uma espécie de autorização, para que a postagem ocorra automaticamen-te.

soBRe o AutoRClaro Pinheiro Policarpo é

diretor de Operações e Marketing da Thomas Greg. Atua há mais de 23 anos na área de Cartões e Meios de Pagamento.

PulsEiRa coM tag dE Rfid

realização organização

BRASÍLIA, 24 DE OUTUBRO

Page 81: Revista idigital 13

realização organização

BRASÍLIA, 24 DE OUTUBRO

Page 82: Revista idigital 13

IMPA FortAlezA (Ce)

FotoS: LuCy SaLES

Mesa com participantes

A partir da esquerda: Ana Lúcia (INI), Maximiano Leite (Pefoce) Lidia Maejima (TJ/PR) e Carlos Saraiva (Conadi)

A partir da esquerda: Israel Aureliano (II/PB), Everett Ferreira (II/SE), Nazareno Medeiros (II/RN), Marcus Vinicius (Intelcav), Jandir Leão (II/PE), Amador Barros (Gemalto) e Cassiano Garcia (Gemalto)

Mesa com participantes

A partir da esquerda: Aldair da Rocha (Secretário de Segurança do RN), Nazareno Medeiros (II/RN), Edson Rezende (ABRID), Joao Batista Santos (SSP/SE) e Carlos Saraiva (Conadi)

Marcelo Ortega (INI/DPF)

Edson Rezende (ABRID)

Alessandra Ferreira (INI/DPF)

Jair Fernandes (Celepar)

Page 83: Revista idigital 13

Participantes

A partir da esquerda: Sandra de Souza (II/TO), Alessandra Ferreirra (INI) e Marcelo Ortega (INI)

Francisco Chagas Magalhães (SSP/PI), Ana Lúcia (INI), Maximiano Leite (Pefoce) e Lidia Maejima (TJ/PR)

A partir da esquerda: Marcos Alberto (NEC), Orlando Arouche (II/MA), Andre Barreto (Serasa), Marcia Moratona (Serasa) e Anders Hartington (Serasa)

A partir da esquerda: Leila Cristiane (II/PI), Socorro de Araújo (II/BA), Sandra de Souza (II/TO), Maria Madalena (II/AL), Aurimar Barreto (II/CE), Ana Lúcia (INI) e Alessandra Ferreira (INI)

Newton Rocha (II/PR)

Carlos Colodoro (ABRID)

Eduardo Lacerda (ITI)

Andre Barreto (Serasa)

Page 84: Revista idigital 13

Marcos Alberto (NEC)

Janine Zancanaro (INC) Marcos Alberto (NEC) e Orlando Arouche (II/MA)Orlando Arouche (II/MA) e Carlos Saraiva (Conadi)em participar do MBA

Carlos Saraiva (Conadi) e cel. João Vasconcelos (SSP/CE)Cel. João Vasconcelos (SSP/CE) e Aldair da Rocha (Secretário de Segurança/RN)

Felipe Itaborahy (Mpog), Edson Rezende (ABRID), Helvio Peixoto (MJ)Aldair da Rocha (Secretário de Segurança/RN)

Ulisses Catunda (SR/DPF/CE), Israel Aureliano (II/PB) e Everett Ferreira (II/SE)Coffee break

A partir da esquerda: Nazareno Medeiros (II/RN), Edson Rezende (ABRID), Orlando Arouche (II/MA), Aldair da Rocha (SSP/RN) e Carlos Saraiva (Conadi)

Page 85: Revista idigital 13

Diretores de IIs (a partir da esquerda - fila superior): Claudio Soares (II/BA), Israel Aureliano (II/PB), Nazareno Medeiros (II/RN), Newton Rocha (II/PR), Carlos Saraiva (II/DF), Orlando Arouche (II/MA), Marcelo Ortega (INI/DPF). Fila inferior: Leila Cristiane (II/PI), Everett Ferreira (II/SE), Socorro de Araújo (II/BA), Sandra de Souza (II/TO), Maria Madalena (II/AL), Aurimar Barreto (II/CE), Ana Lúcia (INI), Alessandra Ferreira (INI) e Jandir Leão (II/PE).

Orlando Arouche (II/MA) e Lidia Maejima (TJ/PR)

Edson Rezende (ABRID) e Francisco Chagas (SSP/PI) Ana Lúcia (INI), Orlando Arouche (II/MA) e Jandir Leão (II/PE)

Coffee break

Edson Rezende (ABRID), cel. João Vasconcelos (SSP/CE) e Carlos Saraiva (Conadi)Orlando Arouche-II/MA e Edson Rezende-ABRID

Edson Rezende (ABRID) e Lidia Maejima (TJ/PR)

Page 86: Revista idigital 13

CArds 2013 são PAulo (sP)

FotoS: divuLgação CaRdS

Page 87: Revista idigital 13
Page 88: Revista idigital 13