idigital - Revista da Associação Brasileira das Empresas de Tecnologia em Identificação Digital - Ano 04 - Número 13 - abril/maio/junho de 2013
Evento da Abrid e do Conadi percorre o país discutindo a aplicação de identidades modernas
CERTIFICAÇÃO EM DEBATE
Seminário discute o modelo de certificação digital no padrão ICP-Brasil
CARDS 2013
Em novo endereço, a feira de cartões e meios de pagamento bate recorde de público
CARTÃO CAPIXABA
Espírito Santo cria novo documento para identificar cidadãos
REVISTA DA ASSOCIAÇÃO BRASILEIRA DAS EMPRESAS DE TECNOLOGIA EM IDENTIFICAÇÃo DIGITAL - ABRID
08 . CAPA
ABRID e Conadi promovem Workshop Identificação Moderna, Processos e Aplicações, IMPA, que reúne especialistas dos setores privado e público numa discussão intensa sobre os usos da tecnologia para identificar pessoas
20 . CARDS
36 . CERTIFICAÇÃO DIGITAL
Sucesso na 18ª edição da Cards Payment & Identification, realizada em novo endereço
Seminário debate o uso do padrão ICP-Brasil de certificação digital
44 . IDENTIDADE CIDADÃ Espírito Santo pretende emitir a partir de 2014 o Cartão Cidadão Capixaba, com acesso a serviços públicos
50 . CASOS 53 . Certsign Belas Artes 57 . GD Segurança do Código QR 67 . Imprensa oficial Certificação digital garante segurança da informação a prontuário eletrônico de pacientes do Incor/SP
71 . INDRA Soluções para Emissão de Documentos Oficiais com Identificação Digital Biométrica 75 . NEC Big Data: A nova fronteira para inovação, competitividade e produtividade 87 . Thomas Greg Maior sinergia E interatividade em eventos públicos
abril - maio - junho 2013 | 3
Próximos eventos
AGOSTO
08 SETEMBRO
11-12 SETEMBRO
26 -27 OUTUBRO
24
OUTUBRO
a definir
NOVEMBRO
28
ECMShow 2013 • Expo + Conference MV Empresarial
Av. Presidente Dutra, 298 - Imbiribeira, Recife/ PE
11º CertForum Centro de Eventos e Convenções Brasil 21
SHS Quadra 06, Lote 01, Conjunto A, Setor Hoteleiro Sul - Brasília/DF
ID World Rio de Janeiro Windsor Atlântica Hotel
Av. Atlântica, 1020, Leme – Rio de Janeiro/RJ
Workshop Identificação Moderna: Processos e Aplicações Brasília/DF
ECMShow 2013 • Expo + Conference São Paulo/SP
Workshop Identificação Moderna: Processos e Aplicações São Paulo/SP
www.abrid.org.br
eventos organizados pela abrid
apoio institucional
PALAVRA DO PRESIDENTE Ricardo Padue
O trabalho do Brasil para ter documentos cada vez mais seguros prossegue, e ganhando força. Para ajudar na divulgação de uma identidade segura, a ABRID e o Conselho Nacional dos Diretores de Órgãos de Identificação (Conadi) iniciaram este ano a realização do Workshop IMPA - Identificação Moderna, Processos e Aplicações. Serão quatro encontros até o fim do ano. Acompanhe nesta edição os detalhes do primeiro deles, realizado em maio no Ceará. O IMPA incluiu uma série de palestra para discutir o tema em profundidade, com a análise dos desdobramentos da identificação moderna não apenas nos poderes públicos, como o Executivo e o Judiciário, mas também para toda a sociedade brasileira. Desta forma, os palestrantes apresentam e analisam temas como a AR Biométrica, a aquisição em massa de acervos pela Polícia Federal, as possibilidades de aplicação de uma identidade cidadã, as bases de dado do sistema Afis, os padrões de segurança em análise para o RIC (Registro de Identidade Civil) e a visão do Judiciário para o RIC. Confira o cronograma do IMPA e se organize para participar, a troca de experiências e os contatos no evento são importantíssimos para nosso setor. Ainda na busca da segurança na forma de identificar a população, conheça o projeto do Cartão Cidadão Capixaba, do governo do Espírito Santo. A intenção é criar, com emissão a partir de 2014, um documento de identidade que, além da proteção contra a fraude, permita o acesso a diversos serviços oferecidos pelo estado ao cidadão, em áreas como educação, saúde e cultura. Confira também como foi a participação das associadas ABRID na Cards Payment & Identification, em São Paulo. De casa nova, no Transamerica Expo Center, a Cards 2013 bateu recorde de público. E, durante a feira, também foi realizado o Seminário Nacional de Certificação Digital ICP-Brasil, numa promoção do Instituto Nacional de Tecnologia da Informação (ITI), com organização nossa, da ABRID. Boa leitura!
EXPEDIENTE idigital é uma publicação da Associação Brasileira das Empresas de Tecnologia em Identificação Digital (ABRID). Presidente: Célio Ribeiro Diretor de Identificação Digital: Edson Rezende Diretor de Projetos e Informação Tecnológica: Fernando Cassina Reportagem: Iara Rabelo e Marcio Peixoto Editor: Marcio Peixoto MTB 4169/DF Revisão: Millena Dias Tiragem: 2.500 exemplares Periodicidade: trimestral Contato: (61) 3326 2828 Projeto gráfico e diagramação: Infólio Comunicação - www.infoliocom.com (61) 3326 3414 (Os cases e artigos assinados não refletem o pensamento nem a linha editorial da revista e são de inteira responsabilidade de seus autores)
abril - maio - junho 2013 | 5
IMPA
Fotos: Lucy Sales.
Identificação moderna em debate Fortaleza (CE) recebe a primeira edição do IMPA – Workshop de Identificação Moderna, Processos e Aplicações, que será realizado em mais três cidades até novembro
Edson Rezende, diretor de identificação da ABRID, abriu os trabalhos do IMPA
I
dentificação Moderna, Processos e Aplicações. Este é tema do Workshop IMPA, que começou a ser realizado este ano pela ABRID e Conadi, o Conselho Nacional dos Diretores de Órgãos de Identificação. A capital cearense, Fortaleza, recebeu a primeira edição, que aconteceu em 23 de maio. As próximas três etapas acontecem em 18 de julho em Belém (PA), 24 de outubro em Brasília (DF) e 28 de novembro em São Paulo (SP). Na abertura do evento, o diretor de Identificação Digital da ABRID, Edson Rezende, agradeceu a presença de todos e o apoio das associadas da ABRID ao IMPA. Já Carlos César de Saraiva, diretor do Instituto de Identificação da Polícia Civil do DF e presidente do Conadi, ressaltou a importância do evento para a área de segurança pública. Também estiveram presentes na abertura o subsecretário de Segurança Pública do Ceará, coronel Vasconcelos, o secretário de Segurança Pública do Rio Grande do Norte, Aldair da Rocha, o subsecretário de Segurança Pública de Sergipe, João Batista Santos Junior, e os representantes dos secretários de Segurança Pública do Piauí, Francisco das Chagas Magalhães Junior, e da Paraíba, Fabiano de Abrantes Viei-
10 |
digital
ra. Além destes, representantes do Instituto Nacional de Tecnologia da Informação (ITI), Eduardo Lacerda, do Instituto Nacional de Identificação (INI), Ana Lúcia Ferreira Chaves, do Instituto Nacional de Criminalística (INC), Janine Zancanaro da Silva, do Tribunal de Justiça do Paraná, Lidia Maejima, da Celepar, Jair Fernandes, e todos os diretores dos Institutos de Identificação da Região Nordeste participaram, além dos representantes dos mesmos órgãos no Comitê Gestor do RIC, Newton Tadeu Rocha (II/PR), Sandra de Souza Soares Martins (II/TO) e Carlos Cesar Saraiva (II/DF). O primeiro palestrante a iniciar os trabalhos (confira detalhes das palestras a partir da página 12) foi Carlos Collodoro, consultor da ABRID, com a palestra “A identificação a serviço do cidadão”, quando ressaltou a necessidade de um serviço de identificação mais eficaz. Em seguida, o assessor da Presidência do ITI, Eduardo Lacerda, apresentou o projeto da Autoridade de Registro Biométrica, a AR Biométrica. Com a palestra voltada para esmiuçar todo o programa piloto em desenvolvimento, Lacerda ainda explicou termos básicos como autoridades certificadoras, autoridade de registro e certificados digitais.
Fechando as palestras da manhã, a diretora do INI, Ana Lúcia Chaves, elogiou a iniciativa da ABRID e do Conadi de promover o Workshop, permitindo a divulgação de tantos avanços tecnológicos. “As palestras do IMPA são enriquecedoras e contribuem no sentido de preparar o caminho para implementação do RIC”, constatou. Para divulgar os projetos voltados para o tema do IMPA, o papiloscopista Marcelo Ortega detalhou programa do INI sobre a digitalização de acervos. Também do INI, Alessandra Ferreira apresentou um estudo sobre a revelação de impressões latentes em fitas adesivas demonstrando um estudo bastante completo em atenção à resolução normativa que trata do assunto. Em seguida, o especialista de Sistemas da NEC, Marcos Alberto de Souza, discorreu sobre base de dados biométricos e estações de trabalho integradas para análise forense (impressão, palma, face, latentes). Enfatizou que uma base de dados segura para o sistema Afis é o caminho para a identificação segura. Já Janine Zancanaro, perita criminal Federal do INC, debateu o tema “Base física de documentos de Identidade (itens de segurança)” e explicou que a versão original do RIC, o Registro de Identidade Civil, já foi apresentada com dois tipos de chip, com contato (semelhante aos cartões de crédito) e sem contato - que fica dentro do cartão e se comunica sem fio, apenas por aproximação dos leitores. “É possível que o cartão tenha os dois chips, um deles, ou ainda, um chip que possua as duas interfaces”, explicou. Por sua vez, a desembargadora do TJPR, Lidia Maejima, defendeu o projeto do RIC, enfatizando a visão do Judiciário sobre o tema. “O RIC tem um
papel social em casos de pessoas que perderam a memória, identificação de mendigos e até mesmo de cadáveres”, ressaltou. Na sequência, o coordenador da Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar), Jair Fernandes, apresentou a solução de Identificação de pessoas do estado. O projeto teve como foco a maior segurança na impressão do documento de identidade, uma vez que este era feito de forma manual. Continuando os trabalhos, o diretor de Negócios da Serasa Experian, André Baretto, demonstrou a importância da certificação de identidade, uma solução com intuito de ter uma confirmação da identidade apresentada. “A prevenção de fraudes é o ponto de partida para essa verificação de identidade, pois é fundamental para identificá-las”, disse. O diretor do Instituto de identificação do Paraná, Newton Rocha, membro do Comitê Gestor do RIC, comentou a discussão do projeto do RIC no âmbito do Comitê. Ele falou como representante dos Institutos de Identificação da região Sul. A última apresentação do IMPA em Fortaleza ficou por conta do presidente do Conadi, Carlos César de Saraiva. Carlos Saraiva encerrou o ciclo de palestras apresentando a solução biométrica utilizada tanto no controle de acesso aos presídios já em funcionamento no DF, como em cartórios. Também apresentou cases da utilização do recurso biométrico em cartórios e a satisfação de quem utilizou a solução. Foram patrocinadores do Workshop IMPA em Fortaleza as empresas Akiyama, Gemalto, Intelcav, NEC e Serasa Experian. Confira nas páginas seguintes detalhes das palestras apresentadas durante o evento.
O evento contou com casa cheia durante todo o dia
abril - maio - junho 2013 | 11
Finalizando sua exposição, o assessor disse que as proposições retiradas do projeto piloto são no sentido de desburocratizar e reduzir os custos de todo o sistema de AR, ganhando segurança.
»» AR Biométrica é tema de palestra do ITI Eduardo Lacerda, assessor da presidência do ITI, palestrou sobre a AR Biométrica. Detalhou termos como autoridades certificadoras, autoridade de registro e certificados digitais e apresentou o projeto piloto da AR Biométrica, que tem como objetivo analisar e avaliar a utilização da biometria para confirmar a identificação de quem solicita o certificado digital. Um dos pontos importantes da AR Biométrica é verificar, no ato de solicitação do certificado digital ICP-Brasil, a impressão digital do requerente junto à base oficial de emissão do documento de identificação do Estado. Com este projeto, o ITI espera melhorar a questão da identificação digital no Brasil e evitar as fraudes, que são o maior problema enfrentado. O assessor do ITI também mostrou os dados obtidos com o piloto da AR Biométrica no Distrito Federal, em que das 806 consultas à base de dados do Instituto de Identificação, 775 obtiveram sucesso na captura dos dados biométricos, o que representa 95% de sucesso. Lacerda ressaltou que, além da segurança, outro benefício da biometria é a agilidade, uma vez que todo processo 12 |
digital
de leitura de impressão digital e validação leva 20 segundos. Entre as dificuldades enfrentadas estão a resistência dos requerentes em participar do processo, a dificuldade de coleta de impressão digital, a necessidade de ajustes de algoritmos de comparação e no software do sistema central, a necessidade de experiência dos agentes de registro e a base de dados do Distrito Federal, que contém alguns registros antigos.
»» Polícia Federal explica aquisição em massa de acervos Marcelo Ortega, papiloscopista da Polícia Federal, apresentou palestra sobre a aquisição em massa de acervos – modelo que permite a digitalização de acervos e o uso do sistema Afis. Entre os objetivos do projeto estão inclusão no Afis de impressões digitais que estão em meio físico, constatação de duplicidades de RG, evitar a duplicidade nas solicitações de novas carteiras de identidade por meio de pesquisa biométrica, fortalecer os institutos de identificação e o acordo de cooperação com a secretaria de segurança pública. O palestrante explicou o procedimento de cadastro do acervo para o sistema Afis desde a ida do mate-
rial do Instituto de Identificação ao sistema Afis até a sua devolução ao local original. Marcelo Ortega falou sobre a possibilidade existente no Instituto Nacional de Identificação (INI) de conversão de acervos que estão hoje em papel para o sistema Afis. “Já existe a parceria com o Instituto de Identificação de Rondônia, onde mais de 50% dos arquivos já foram integrados ao Afis nacional”, exemplificou Ortega. Ele ainda disponibilizou o serviço aos diretores dos Institutos de Identificação e apresentou os benefícios do sistema. Entre eles, a detecção de duplicidade de RGs, arquivo biométrico organizado, descobrir a autoria de vestígios digitais em cenas de crime, fortalecer os institutos de identificação e valorizar o trabalho do papiloscopista. Ortega explicou ainda como funciona a digitalização dos documentos, bem como o sistema de captura de documentos e também o banco de dados. O serviço de aquisição em massa foi utilizado na conversão do acervo do INI e foi adquirido pensando na possibilidade de aquisição de acervos dos institutos de identificação. O sistema conta com cinco scanners de massa com capacidade para digitalizar 8.000 fichas por dia. »» Identificação tem de estar a serviço do cidadão Carlos Collodoro, consultor da ABRID, apresentou a palestra “Identificação a serviço do cidadão”, destacando a urgência de um serviço de identificação mais eficaz para a população brasileira. Collodoro apresentou-se dizendo que seu objetivo era sair um pouco do ponto de vista dos conceitos técnicos e colocar algumas ideias e sugestões para conversar a respeito, com uma nova visão da identificação, olhando-a como cidadão, de fora de um ins-
tituto. Dessa maneira, o consultor expôs o tema de maneira didática e compreensível. A apresentação tratou inicialmente de um breve histórico sobre a evolução dos projetos de identificação nos três últimos anos e trouxe 2013 como o ano possível para uma quebra de paradigma. A relevância da área de identificação foi apresentada por Collodoro contemplando as facilidades e as fraquezas encontradas, demonstrando ao final que as áreas eram exploradas de forma incipiente e subutilizadas por setores do governo e muitas vezes inacessíveis para o cidadão. Collodoro discorreu sobre o futuro da identificação. Introduzindo o tópico, o consultor disse que enxerga os órgãos oficiais de identificação desempenhando dois papéis distintos, o trabalho de identificação civil e o de identificação criminal. O primeiro envolve um processo de cadastramento, análise de dados e emissão de documentos com bases em pesquisas biométricas. Foi tratada a questão da infraestrutura técnica, tecnológica e até
operacional entre os institutos de identificação do Brasil e as discrepâncias entre eles. De acordo com Collodoro, há uma necessidade de integração e sincronização entre eles, pois assim ao requerer o primeiro documento de identidade o cidadão já teria o cadastro no banco de dados biométricos. Outro tópico abordado foi a questão da Infovia descrita como sendo uma estrada de duas vias e duas mãos, na qual a pavimentação começa com os dados biográficos do cidadão. Quem irá fazer tal pavimentação seria o instituto de identificação, que começa com a impressão digital, com a imagem de face e, futuramente, poderá agregar as outras biometrias. Ao fazer isso, seria possível dar um suporte melhor às forças judiciais do estado. A partir daí, na outra via da estada, se oferecerá muito mais segurança ao cidadão na sua identificação. Fechando a palestra, o consultor reforçou que a identificação é a mola propulsora para a implantação de projetos seguros de governo, viabilizando a elevação do nível de serviço ao cidadão. abril - maio - junho 2013 | 13
»» Base de dados, a chave do sucesso do sistema Afis Marcos Alberto de Souza, especialista de Sistemas da NEC, palestrou sobre base de dados biométricos e estações de trabalho integradas para análise forense (impressão, palma, face, latentes) voltadas para o sistema Afis. Segundo ele, a base é o caminho para uma identificação segura. Souza detalhou também a ideia de revés da chave primária. Na identificação civil, uma pessoa portadora de RG tem uma sequência numérica e, a partir desses dados, é possível buscar informações sobre a quem pertence o documento. Esse número é chamado de chave primária. Na atuação forense de identificação criminal, onde há vestígios a serem examinados, as chaves primárias são as latentes. O investigador possui detalhes minuciosos sobre o indivíduo, mas há a identificação de quem ele é. Partindo dessa premissa, a chave primária deixa de ser um número e passa a ser uma latente, uma imagem. Desta forma, tem-se o revés da chave primária. Nesse processo de análise forense, o especialista elogiou o sistema 14 |
digital
Afis como ferramenta de comparação. Para ele, é um sistema muito eficiente e pode acelerar o processo de identificação do sujeito que deixou os vestígios. O palestrante destacou a importância do sistema Afis para o tráfego de dados, uma vez que o banco de dados unifica as informações dos cidadãos em um só lugar. Ainda acrescentou que, além de identificar um sujeito de forma rápida e eficaz, um banco de dados bem equipado é capaz de analisar a vida pregressa daquele envolvido na cena do crime e demais dados, como carteira de motorista, RG e CPF. »» Padrões de segurança do RIC são tema de palestra Janine Zancanaro, perita criminal federal do INC, apresentou a palestra “Base física de documentos de Identidade (itens de segurança)”. Ela tratou brevemente do RIC e explicou que a versão original do novo documento de identidade do brasileiro já foi apresentada com dois tipos de chip. Um deles é de contato, semelhante ao dos cartões de crédito, e o segundo sem - fica na parte in-
terna do cartão e se comunica com a leitora por aproximação a uma distância específica visando preservar os dados do cidadão. Segundo a especialista, os diferentes tipos de chip são importantes, pois há informações que só podem ser gravadas em determinado tipo de chip e apenas uma vez, e ainda há outras que podem ser alteradas em um determinado momento. Para que o processo de certificação ocorra, prosseguiu, existe uma estrutura. A cadeia se inicia com a aplicação da biometria da impressão digital. Esta é captada, armazenada e assinada pelo emissor do cartão. Por sua vez, o emissor do cartão deverá possuir um certificado digital que ateste a validade das informações. O certificado digital deve ser padrão ICP-Brasil atestando veracidade e dando segurança às informações. Assim, fica constituída a árvore de certificação, o que possibilita trabalhar com um grande volume de dados de forma segura e eficaz. Janine ainda detalhou a estrutura e as informações que compõem o RIC. Dados como fotografia da face, impressão digital, nome, sexo, data estarão presentes na “capa” do documento e, nos chips, serão possíveis aplicações como, por exemplo, comprovantes de uma votação, dados médicos referentes a vacinas e ainda, haveria a possibilidade de incluir dados do próprio usuário. Para que haja confiabilidade e melhor desempenho no processo, concluiu a perita, deve haver um cuidado no momento de coleta de dados, garantindo boa qualidade da foto, da impressão e dados. »» O RIC na visão do Poder Judiciário A desembargadora do TJPR, Lídia Maejima, apresentou um depoimento a favor da necessidade urgente da implementação do RIC no Brasil.
O foco da palestra foi demonstrar a importância do documento para o Poder Judiciário. Ela citou o artigo 46 da Lei 6.015/73, a lei de registros públicos, que disciplina a lavratura do assento de nascimento de toda pessoa adulta, maior de 16 anos. Em sua redação original, o artigo diz que todo aquele que não tiver o assento lavrado na ocasião do nascimento, poderia tê-lo mediante despacho do juiz. Atualmente já houve uma alteração no dispositivo que autoriza o cartorário a só mandar o registrando para o juiz se houver alguma suspeita fundamentada de que a pessoa não é quem diz ser. De acordo com a desembargadora, essa alteração deixou o sistema ainda mais vulnerável, pois há dificuldade do cartório em reconhecer a verossimilhança das informações apresentadas pelo requerente. Muitas vezes o funcionário do cartório pode não ter o devido cuidado e lavrar o assento, possibilitando assim expedição da certidão de nascimento e, a partir daí, o requerente estará apto a conseguir os documentos subsequentes. A desembargadora tratou de casos em que o cidadão e órgãos do governo são vítimas das fragilidades do atual documento de identidade brasileiro. Como exemplo, citou
uma situação em que uma mulher de 38 anos tentava conseguir uma certidão de nascimento que lhe atestasse 65, para que assim ela recebesse benefícios do INSS. Outro caso citado foi o de uma repórter conhecida em Londrina (PR) que teve seus documentos roubados e, tempos depois, uma estelionatária inseriu sua fotografia no RG da repórter e foi pega em uma cidade vizinha aplicando o
golpe do bilhete premiado. Ela foi presa, mas como o crime é afiançável, a estelionatária, em posse do RG da jornalista, sem antecedentes criminais, pagou a fiança e fugiu. Quando a repórter foi comunicada, ela impetrou habeas corpus, trancando a ação, caso não o tivesse feito, responderia por um crime que não cometeu por ter seus documentos roubados, com uma foto nova colada amadoramente. Lídia Maejima ressaltou ainda o papel social do RIC em casos de pessoas que perderam a memória, na identificação de mendigos e até mesmo de cadáveres. Concluindo sua apresentação, a desembargadora disse que é urgente a alteração do artigo 46 da Lei 6.015/73, bem como a criação do cadastro único de identificação civil no Brasil. E o RIC é um instrumento que pode possibilitar esse cadastro, além de atestar fidedignamente e com segurança as informações do cidadão.
abril - maio - junho 2013 | 15
»» A solução paranaense para identificação de pessoas Jair Fernandes, coordenador da Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar), palestrou sobre a solução de Identificação de pessoas do Paraná. Apresentou a estrutura do projeto do sistema de base única de dados, estrutura criada para a modernização do Instituto de Identificação do Paraná. Agora, há uma base única disponível para diversos órgãos do poder público. Inicialmente, o projeto teve seu foco em aumentar a segurança no processo de impressão do documento de identidade, que anteriormente era feito manualmente. Para conseguir o documento de identidade, o primeiro passo do cidadão é fazer um agendamento prévio pela internet. Ao fazer o agendamento, o cadastro inicial das informações já é feito online. A segunda etapa é comparecer presencialmente ao posto de identificação. Para isso, o usuário é
alertado do seu compromisso por meio de uma mensagem no dia anterior ao do comparecimento. O cidadão precisa levar a certidão de nascimento e a foto é tirada no próprio posto. Ao gerar a ficha, ela recebe um código de barras, sendo transformada em imagem a integrar o sistema Afis que checa a qualidade da captura dos dados biométricos e, se estiver dentro dos padrões,
16 |
digital
já é gerado um código Afis. Após o cidadão efetuar o pagamento da guia de recolhimento, o sistema recebe a informação de que foi pago e libera para impressão do documento. O coordenador explicou que existem dois tipos de postos, um só para fazer a conversão de documentos em papel e outro totalmente informatizado, para fazer a captura dos dados. Seguindo o mesmo modelo de modernização, o Detran do Paraná também está utilizando o sistema que computa as horas-aula recebidas pelo candidato para liberar o documento do motorista. As clínicas cadastradas fornecem dados sobre quais os exames já foram feitos para que seja liberada a habilitação do condutor. A gestão do banco de dados, prosseguiu, é do Instituto de Identificação. Atualmente, o II conta com uma base de dados em torno de cinco milhões de pessoas cadastradas. Fernandes contou que no início do processo foram pegos muitos dados de pessoas que tentavam tirar a CNH com nome diferente do RG. A base de dados única também pode ser utilizada pelo IML para identificação de cadáver, identificação de outros órgãos do governo, identi-
dade funcional nas escolas, identificação na área de perícia e, ainda, para a informatização de inquéritos. Para Fernandes, o projeto facilitará na implementação do RIC no Paraná, devido à existência de uma estrutura de suporte para o RIC. »» Identidade certificada, identidade segura André Baretto, diretor de negócios da Serasa Experian, demonstrou a importância da certificação de identidade, uma solução para ter a confirmação da identidade. Este é um método importante tanto para a emissão de ACs (Autoridades Certificadoras) e ARs (Autoridades de Registro) como para órgãos públicos ou privados em que haja a necessidade de comprovação da identidade do cidadão. Empresas, bancos, INSS, empresas de telecomunicação e tantas outras entidades necessitam de uma confiabilidade maior em algumas transações. “Antes de saber se a pessoa tem crédito, é importante saber se aquela pessoa é ela mesma”, exemplificou Baretto. A prevenção de fraudes é o ponto de partida para essa verificação de identidade. O palestrante apresentou uma maneira dos institutos de identificação usufruírem do negócio de consulta de identidade por meio de Parceria Público-Privada (PPP). Para ele, a modernização do instituto de identificação requer verba. Sendo assim, os IIs poderiam possibilitar consultas à base de dados sem que haja a necessidade de venda da mesma. Por meio do uso de um sistema integrador, essa consulta poderia ser feita a distância. Este sistema funciona como uma infraestrutura em que a consulta parte da origem para o integrador, que faz uma “pergunta”, e este emite uma resposta. Para finalizar sua palestra e exemplificar essa solução, Baretto levou a demonstração do piloto realizado no
Distrito Federal. Edson Rezende, diretor de identificação da ABRID, voluntariou-se para fazer o teste para demonstrar o funcionamento do sistema. Rezende teve que fornecer sua digital para consulta biométrica e, num intervalo de quatro segundos, apareceu seu primeiro documento de identidade na tela. »» RIC, projeto em andamento Newton Rocha, diretor do Instituto de Identificação do Paraná, integrante do Comitê Gestor do RIC, falou, como representante dos institutos de identificação da região Sul, do andamento do projeto do RIC. Inicialmente, ele enfatizou a importância do trabalho do papiloscopista, profissão pouco conhecida no Brasil e de essencial importância. Na sequência, o diretor falou sobre as alterações sofridas na composição do Comitê Gestor do RIC. “Verificamos a importância do processo que se estabeleceu em âmbito federal com a mudança de direção estabelecida pela doutora Márcia Tancrine na coordenação desse projeto, doutor Helvio Peixoto na Secretaria Exe-
cutiva e a participação fundamental da doutora Ana Lúcia Chaves”, disse Rocha. Com a mudança, foi possível uma reavaliação do projeto e o redirecionamento necessário do que havia sido estabelecido anteriormente. Rocha afirmou que desde o final do ano passado e o início deste ano, ocorreram ações efetivas com reuniões, formação de grupos técnicos para que o projeto do RIC tivesse os andamentos necessários. O diretor concluiu enaltecendo a importância do IMPA para o bom andamento do RIC. “Hoje aqui também se estabeleceu um norte, porque fez com que desenvolvêssemos um parâmetro muito mais apurado na visão técnica”, pontuou. Rocha destacou a importância do trabalho conjunto para efetivar o RIC: “Nós devemos nos conscientizar que esse trabalho não é solitário do Governo Federal, é necessário que os estados cumpram a sua parte, se preparando para se integrar ao sistema RIC. Todos os resultados apresentados hoje devem ser colhidos e disseminados para que haja maior facilidade na evolução do sistema”. Com informações da i9 Assessoria.
abril - maio - junho 2013 | 17
O que eles disseram sobre o IMPA As exposições de todos os participantes do evento mostraram que a implementação imediata do RIC no País é fundamental para o combate, eficiente e eficaz, aos diversos crimes praticados com uso de documentos de identidade ideológica ou documentalmente falsificados." Lídia Maejima, desembargadora do Tribunal de Justiça do Paraná
O IMPA se mostrou um evento de qualidade na apresentação de novas tecnologias, adicionando-se a isso o cunho integrador do evento, capaz de gerar sinergia entre os atores presentes na área de identificação do país." Ana Lúcia Ferreira Chaves, diretora do Instituto Nacional de Identificação (INI)
Chamou a atenção a diversidade de entes que atuam na identificação humana no Brasil. A presença dos institutos de identificação neste evento demonstra o quanto o Brasil evoluiu e pretende evoluir na coleta inequívoca dos dados biográficos e biométricos dos cidadãos brasileiros. Ao ITI, enquanto Autoridade Certificadora Raiz da Infraestrutura de Chaves Públicas Brasileira e operador do Sistema Nacional de Certificação Digital, coube falar do projeto da AR Biométrica, iniciativa que já demonstrou conferir mais segurança ao processo de emissão de certificados digitais ICP-Brasil." Eduardo Lacerda, assessor técnico da presidência do Instituto Nacional de Tecnologia da Informação (ITI)
A Coordenadoria de Identificação Humana e Perícias Biométricas da Pefoce teve a honra de abrigar, no Ceará, o importante evento IMPA, da ABRID, reunindo diretores dos institutos de identificação dos estados do Nordeste brasileiro. Participamos de palestras de alto nível técnicocientífico, onde presenciamos demonstrações de técnicas avançadas que envolvem a identificação civil e criminal. O Ceará une-se aos anseios da ABRID na modernização desta ação jurídica e social que deverá alcançar toda a população brasileira." Maximiano Chaves, perito Geral da Perícia Forense do Estado do Ceará (Pefoce)
CARDS
Cards 2013 Cards Payment & Identification promove 18ª edição em São Paulo e bate recorde de público
CARDS
Em 2013, a Cards Payment & Identification foi realizada pela primeira vez no Transamerica Expo Center, em São Paulo, e teve recorde de público
C
asa nova e recorde absoluto de público. Assim foi a Cards Payment & Identification, que em 2013 chegou à 18ª edição. Realizada pela primeira vez no Transamerica Expo Center, em São Paulo, a feira contou com área 40% maior em relação a 2012 e recebeu mais de sete mil visitantes qualificados de 10 a 12 de abril. A ABRID montou um dos principais stands do maior encontro do país da área de cartões, identificação e meios eletrônicos de pagamento. Com 72 metros quadrados, o Espaço ABRID contou com duas salas privativas, que foram utilizadas por associadas para encontros de negócios. O presidente da Associação, Célio Ribeiro, destacou o encontro como essencial para o setor: “A Cards é parada obrigatória no nosso calendário de eventos, tanto que 12 de nossas associadas montaram stands na feira. É um evento com a cara das associadas ABRID, que têm a chance de mostrar ao mercado todo o potencial dos seus produtos e serviços”. Já o diretor de Identificação Digital da
ABRID, Edson Rezende, reforçou o sucesso da Cards. “A feira é produtiva para as associadas participantes porque visa apresentar para o público em geral as mais novas tecnologias do mercado e o público só cresce. Vejo isso refletido no próprio crescimento do espaço físico da feira”, comentou. A Cards 2013 contou com nove fóruns para debater temas específicos: ciclo de crédito e cobrança; cartões no varejo; mabile payments; novas tecnologias; tendências para emissores; tendências para bandeiras, credenciadoras e processadoras; ID e segurança; cartões pré-pagos; e marketing e vendas. A área de exposição contou com 130 participantes de diversos países do mundo. Entre as associadas ABRID, marcaram presença na Cards: Casa da Moeda do Brasil, Certisign, Datacard, HID, Infineon, Intelcav, Morpho, NXP, Oberthur, Serasa Experian, Smartrac e Thomas Greg. Confira nas próximas páginas imagens dos stands das associadas. Com informações da I9 Assessoria.
Casa da Moeda do Brasil
A Casa da Moeda do Brasil apresentou o seu portfólio de soluções de segurança que atende ao mercado nacional e internacional em diversos segmentos, tais como: meios de pagamento, controle fiscal, postal, autenticidade e rastreamento, identificação, certificação digital, transporte, educação, laboratorial, premiação e congratulação. A empresa também apresentou seus cartões em PVC e Policarbonato confeccionados na sua linha de cartões, que conta com equipamentos de última geração. A empresa considerou que a participação no evento foi muito positiva, pois permitiu que o público em geral conhecesse mais sobre os produtos tradicionais da Casa da Moeda. Além disso, foram feitos diversos contatos comerciais com os demais players do mercado de cartões.
Certisign
Como novidade, a Certisign apresentou na Cards 2012 a solução do Diploma Eletrônico e da Carteira Nacional de Estudante com Certificado de Atributo. A Certisign avaliou que o Fórum de Certificação Digital apresentou novidades e perspectivas importantes, como a apresentada pela Secretaria de Fazenda de Goiás (GO), que tratou da realidade dos produtores rurais para que os principais fornecedores de Certificado Digital se atentassem para este cenário de um segmento importante para o país. Outra palestra a destacar foi a apresentada pela Petronect, empresa do grupo Petrobras, que falou sobre a implementação da solução para a Assinatura Digital de Contratos.
Datacard
A Datacard aproveitou a oportunidade do evento para comunicar ao mercado que chegou oficialmente ao Brasil com a abertura de escritório no Morumbi, em São Paulo. Os produtos exibidos no stand representam uma pequena amostra do abrangente portfólio de soluções em personalização segura em qualquer ambiente. Destaque para o sistema de emissão instantânea de cartões CE870 de características exclusivas, como múltiplos compartimentos de alimentação de cartões (6 +1 slot para cartões de exceção) e a combinação de duas tecnologias de personalização (direct to card e embossing), que viabiliza a impressão a partir de um cartão em branco com gravação de dados em alto relevo. Este sistema não leva mais de 90 segundos para as diferentes etapas de personalização que contemplam a impressão da imagem ou logo, codificação de tarja magnética, codificação de chip, gravação de dados em alto relevo, aplicação de indent no verso e por fim a cobertura dos dados personalizados com a cor metálica característica dos cartões com relevo. A Datacard apresentou ainda o software CardWizard, que gerencia o processo de emissão de cartões e proporciona controle absoluto da operação, com detalhamentos sobre acessos, produção, estoques, status das impressoras entre vários outros relatórios que atendem às mais criteriosas exigências de auditoria e segurança. A Datacard esteve presente também no Fórum de Novas Tecnologias, com a palestra “Complementando o Programa de Cartões com NFC”. Nesta oportunidade, a Datacard apresentou o Business Case do US Bank usando a tecnologia de microSD Device Fidelity e software de personalização Datacard. A Datacard avaliou a participação na Cards como bastante positiva em termos de branding. A estratégia de comunicação prévia com os clientes e potenciais clientes refletiu no movimento do stand que também apresentava alguns atrativos como ambiente convidativo, buffet variado além do exclusivo Café Nespresso. O espaço foi amplamente utilizado tanto pelo staff da Datacard como pelos Parceiros Datacard para reuniões e contatos.
Infineon
A Infineon Technologies apresentou suas últimas soluções em tecnologia para cartões inteligentes, tais como: a tecnologia Coil on Module, que permite a produção simplificada de cartões dual-interface; o chip Cipurse, primeiro produto compatível com o padrão “OSPT” voltado para o mercado de meios de pagamento e bilhetagem eletrônica; e a nova plataforma de hardware de última geração, a família SLE 78, que possui processador de dois núcleos de 16-bits e segurança digital Integrit Guard garantindo que os dados armazenados e processados no cartão sejam preservados de forma segura sem que nenhuma informação seja manipulada abertamente. Para a Infineon, a Cards 2013 foi uma das melhores dos últimos anos devido a maior participação das empresas e profissionais do seguimento de cartões.
Thomas Greg
Como patrocinador master, a Thomas Greg & Sons do Brasil participou da Cards com um dos maiores espaços do evento para recepcionar seus clientes, parceiros e para reforçar que a Thomas Greg visa o futuro; portanto investe cada vez mais em tecnologia para oferecer as melhores e mais completas soluções, incluindo ao seu portfólio, inovações em identificação, controle, rastreabilidade e pagamento seguro. Com o tema “Tecnologia e Inovação em Produtos e Serviços”, apresentou produtos como: PAGUE360 - um shopping e carteira virtual inovador, uma solução que oferece praticidade e segurança para os seus portadores transformarem seus cartões de crédito em versões virtuais e realizarem compras nas mais variadas lojas utilizando seus dispositivos móveis onde quer que estejam! Um novo canal de vendas para o varejo com um apelo tecnológico único que une segurança e comodidade para seus clientes; Display Cards - que traz a tecnologia de senhas criptografadas a qual garante total segurança às transações eletrônicas presenciais assim como através da web; CHAVE360 - sistema de envio de senhas eletrônicas para os portadores de cartões de forma prática, rápida e segura, dispensando o uso de papel e o envio por correio; Instant Issuing - impressão instantânea de cartões chip ou tarja em local determinado pelo cliente com toda segurança de um bureau de impressão. A Thomas Greg classificou o evento como uma excelente oportunidade para apresentar toda a tecnologia e inovação que desenvolve para atender as mais variadas necessidades dos clientes.
CERTIFICAÇÃO DIGITAL
O tema é certificação digital Fotos: Assessoria de Imprensa do ITI
Evento paralelo à Cards, o Seminário Nacional de Certificação Digital ICP-Brasil apresenta e discute casos de sucesso no uso da tecnologia
A ABRID participou do seminário representada pelo diretor de Identificação Digital, Edson Rezende
U
m dia inteiro destinado à troca de experiências sobre os múltiplos usos da certificação digital. Assim pode ser descrito o Seminário Nacional de Certificação Digital ICP-Brasil, que aconteceu em 11 de abril no Transamerica Expo Center, em São Paulo. Os debates foram realizados em paralelo à 18ª Cards. A maior feira do setor de cartões, meios eletrônicos de pagamento, identificação e certificação digital foi realizada no mesmo local, de 10 a 12 abril. O Seminário foi organizado pela ABRID em parceria com o ITI, o Instituto Nacional de Tecnologia da Informação, e contou com cerca de 300 participantes. Um público especializado, que acompanhou e participou atentamente das discussões. Na abertura do encontro, o dire-
tor de Infraestrutura de Chaves Públicas do ITI, Maurício Coelho, enfatizou que a intenção é mostrar as aplicações da certificação digital. “Esse seminário não foge a esse padrão, trazemos pra São Paulo, após 12 anos de aplicação, cases de sucesso e vamos mostrar para a sociedade o que faz parte dessa tecnologia de certificação digital, disseminado novas segmentações, no âmbito da autoridade reguladora, o ITI”, comentou. Já o diretor de Identificação Digital da ABRID, Edson Rezende, observou que encontros como o Seminário Nacional de Certificação Digital ICP-Brasil são oportunidades preciosas para que o mercado apresente suas tecnologias. “Nesse ano o seminário está sendo organizado pela ABRID com apoio institucional do ITI, em atendimento às
empresas associadas que detêm essa tecnologia e o próprio público-alvo em São Paulo, que tem um mercado grande de certificação digital. Além disso, a ABRID visa contribuir com o ITI na divulgação da utilização dos certificados digitais”, ressaltou. »» Palestras O ponto alto do seminário foram as palestras temáticas. Os cases foram apresentados por 9 instituições, que tiveram 30 minutos cada para detalhar o uso da certificação digital. Abrindo as apresentações, o assessor técnico do ITI, Eduardo Lacerda, relatou a experiência da Autoridade de Registro Biométrica, a AR Biométrica. O projeto piloto está em curso no Distrito Federal, Bahia, Rio de Janeiro São Paulo. Por meio dele,
o usuário interessado em adquirir um certificado digital se identifica na Autoridade de Registro por meio da impressão digital, a partir de pesquisa no banco de dados dos Institutos de Identificação. Entre as vantagens do modelo estão combate a fraudes, agilidade no atendimento, desburocratização no sistema de emissão, redução de custo das ARs e incentivo aos estados para investir em um sistema mais robusto de identificação. A fase de testes da AR Biométrica conta com total apoio da ABRID. O modelo ainda não está regulamentado, mas o ITI está empolgado com os resultados positivos do piloto e pretende normatizar a proposta o quanto antes. Nos testes, 95% dos usuários foram identificados, em pouquíssimos segundos, na pesquisa nos bancos de dados dos Institutos de Identificação. O segundo palestrante do dia foi o gerente nacional de Certificação Digital da Caixa Econômica,
Wander Blanco. Ele apresentou um novo tema no âmbito do ICP -Brasil: a Autoridade de Carimbo do Tempo (ACT). A Caixa foi a primeira Autoridade Certificadora a credenciar-se na ICP-Brasil como uma ACT. Na definição da ICP -Brasil, o Carimbo do Tempo é um “conjunto de atributos fornecidos pela parte confiável do tempo que, associado a uma assinatura digital, confere provar a sua existência em determinado período”. Na prática, a iniciativa permite o registro oficial – sincronizado com relógios atômicos ligados ao do Observatório Nacional, guardião da hora oficial brasileira – do momento preciso em que a assinatura digital ocorreu. Na Caixa, inicialmente, o Carimbo do Tempo será utilizado apenas em aplicações internas. Entre as vantagens, o banco acredita que a nova tecnologia permite mais segurança, dá celeridade e a produtividade aos processos e reduz custos com papel, impressão, transporte, armazenamento, mobiliário e espaço físico, além de servir como suporte para implementação de novos serviços. Na sequência, o gerente de Informações da Secretaria de Fazenda de Goiás, Marcelo Mesquita,
comentou a utilização do certificado digital como instrumento de melhoria na prestação de serviço ao contribuinte do agronegócio. O estado, que teve PIB de R$ 112 bilhões proveniente do campo em 2012, é o maior produtor nacional de tomate e sorgo, segundo de cana-de-açúcar e quarto colocado em rebanho bovino/produção do leite. Com esse cenário, Goiás vê como um grande desafio levar a certificação digital aos 224 mil produtores rurais cadastrados. E os dados mostram que o uso tem crescido. De janeiro a dezembro de 2012, o número de notas fiscais eletrônicas emitidas pelo setor passou de 33.784 para 46.544. Já o total de notas avulsas (não eletrônicas), no mesmo período, caiu de 20.852 para 16.046. O palestrante seguinte, o gerente de Produtos de Tecnologia da Imprensa Oficial do Estado de
São Paulo (Imesp), João Paulo Foini, enfatizou a desmaterialização de processos e documentos na estrutura do governo paulista. A Imesp, que é certificadora digital associada à ABRID, tem 122 anos de existência e hoje conta com 40 milhões de documentos digitalizados desde 2006 e 30 milhões de documentos assinados eletronicamente. Foini detalhou o amplo uso da certificação digital em São Paulo, passando pelo Ministério Público, polícia científica, Tribunal de Contas do estado, Secretaria de Fazenda e Instituto de Coração (Incor), entre outros. Vale destacar o sucesso do Diário Oficial Online, que desde 2008 tem 11,2 milhões de páginas disponíveis para consulta e recebe mais de 40 mil visitas por dia. Ainda tratando de São Paulo como exemplo, o juiz Fernando Tasso, assessor da Presidência do Tribunal
de Justiça do estado (TJSP), destacou que o tribunal é o maior da América Latina, com mais de 41 mil funcionários, quase 3 mil juízes de direito e 360 desembargadores. Com uma estrutura desse tamanho, a certificação digital é muito bem-vinda. O TJSP já conta com 261 varas digitais e, até dezembro, pretende elevar o número para 887. Este total vai representar 40% de toda a Justiça do estado. O processo eletrônico certificado digitalmente revolucionou o cotidiano do TJSP. Agora, processos que antes levavam meses são concluídos em questão de dias. No TJSP, todos os juízes têm certificado digital e, para os servidores, a aquisição é de acordo com a demanda. Já o assessor da Subsecretaria de Micro e Pequena Empresa da Junta Comercial de São Paulo (Ju-
cesp), André Moulin, comemorou a redução de custos e a desburocratização para abertura e fechamento de empresas a partir da certificação digital padrão ICP-Brasil. Segundo ele, agora a maioria dos empreendimentos na cidade, 95%, pode ser aberto ou fechado em no máximo cinco dias. Por meio do serviço Via Rápida Empresa, o empreendedor paulistano obtém, de forma segura, os serviços de viabilidade da localização, registro empresarial, inscrições tributárias e licenças de operação. Moulin ainda listou diversas atividades que podem ser otimizadas com o uso da certificação digital, como a eliminação de papel e o aumento na integração entre os órgãos envolvidos no processo. Por sua vez, o analista de TI do Instituto de Tecnologia da Informação e Comunicação do Espírito
Santo (Prodest), Alexandre Matarangas, detalhou o funcionamento do Cartão Cidadão Capixaba. Para o governo ao estado, a tecnologia é a melhor forma de garantir segurança no processo de autenticação/identificação. Assim, o projeto prevê a confecção de cartões seguros para dar acesso do cidadão aos serviços do estado, como transporte, saúde, educação, cultura e lazer. O Cartão Capixaba terá, entre outros itens, chips PKI, Icao e Mifare, efeito íris, dados variáveis impressos a laser, holograma, tinta ultravioleta e relevo tátil. Dando continuidade ao Seminário Nacional de Certificação Digital ICP-Brasil, o gerente de Pro-
jetos da Petronect, Gil Carvalho de Freitas, comentou o funcionamento da instituição, que gerencia o portal de compras eletrônico responsável pelas ferramentas para aquisição de bens e serviços das empresas do grupo Petrobras. O portal Petronect utiliza a tecnologia ICP-Brasil para assinatura digital de contratos. Os números do serviço impressionam. São 29 mil usuários registrados na Petrobras e 133 mil empresas cadastradas. O valor movimentado de compras com o uso da tecnologia passou de R$ 45 milhões em 2003, quando foi postada a primeira oportunidade de negócio, para R$ 61,7 bilhões em 2012. Por meio do Petronect, é possível fazer cotação, pedido e leilão, tudo de forma eletrônica e com a garantia da certificação digital. Encerrando as palestras, o assessor de Programas Externos da Confederação Nacional do Co-
mércio de Bens, Serviços e Turismo (CNC), Miguel Nicoletti, lembrou que desde 2 de abril todos os sindicatos do Brasil são obrigados a ter certificação digital para fazer uso no relacionamento com o Ministério do Trabalho. A medida, avaliou, é só mais um exemplo da quantidade de oportunidades abertas para o empreendedorismo digital. A CNC representa 34 federações e quase mil sindicatos patronais dos municípios brasileiros. Ao todo, passam por entidades ligadas à Confederação cerca de 60 do PIB (Produto Interno Bruto) e 70% dos empregos formais e diretos nacionais. Segundo Nicoletti, a CNC decidiu investir no mercado de certificação digital em função das análises mostrando crescente tendência de faturamento no setor. É o PIB brasileiro de olho na certificação digital. Com informações do ITI e da i9 Assessoria.
IDENTIDADE CIDADÃ
Fotos: divulgação
Cartão Capixaba, a identificação cidadã
ilustração original: Fabien Denoel
Espírito Santo espera emitir a partir de 2014 novo documento de identidade voltado para a oferta de serviços ao cidadão com a segurança da certificação digital
Modelo do Cartão Cidadão Capixaba, que vai centralizar o acesso a diversos serviços públicos no Espírito Santo
T
udo começou com a proposta de ampliar a segurança da identidade emitida aos cidadãos do Espírito Santo. Aí a Secretaria de Educação do estado viu a possibilidade de melhor controlar a frequência dos estudantes. Depois, a Secretaria de Saúde precisou ter o domínio mais eficiente dos prontuários dos pacientes. E as demandas foram surgindo. Então, o governo do Espírito Santo juntou todas as necessidades e organizou uma solução única: o Cartão Cidadão Capixaba. O documento segue os padrões do RIC, o Registro de Identidade Civil, novo documento do brasileiro que tem o projeto em fase de reavaliação no Ministério da Justiça. O analista de TI do Instituto de Tecnologia da Informação e Comunicação do Estado de Espírito Santo (Prodest), Alexandre Ma-
tarangas, que cuida da parte técnica da proposta do Cartão Capixaba, confirma: “Ele começou com uma tentativa do estado ter o cartão RIC e evoluiu porque, à medida que a gente foi conversando com a Secretaria de Segurança Pública, a gente foi verificando que, além das necessidades da Secretaria de Segurança, tinham outras secretarias que tinham necessidades específicas, a Secretaria de Educação, a Secretaria de Saúde. E aí, o que pensamos?
Vamos juntar essas demandas todas em um único cartão”. Agora, o foco é a prestação de serviço. “A intenção estadual aqui é que o cartão seja a interface do cidadão com todos os serviços ofertados pelo estado, inclusive com um portal que vai ser complementar ao cartão onde o cidadão vai poder fazer vários serviços pela internet. O cartão, o certificado digital, vai ser a chave para ele acessar esse portal e usufruir desses serviços via internet”, afirma.
Tecnicamente, garante Matarangas, a iniciativa segue todas as recomendações de segurança do cartão RIC, como certificação digital no padrão ICP-Brasil, fundo duplex, efeito íris, dados variáveis impressos a laser, MLI, microtexto, anti-stoke, holograma, tinta ultravioleta e relevo tátil. Para garantir segurança e ainda o acesso a todos os serviços que devem ser disponibilizados, o Cartão Capixaba vai incluir três chips: PKI, Icao e Mifare. O PKI é o chip de contato que armazena o certificado digital no cartão. Já o Icao é o chip de aproximação para guardar os dados biométricos do dono do documento. E o Mifare é o chip de aproximação que conterá as informações necessárias para realização dos serviços oferecidos pelo Cartão Cidadão. Com tantas ferramentas para atestar a segurança, Alexandre Matarangas prevê um amplo leque de utilizações do novo documento. “Para a Secretaria de Educação, a frequência escolar vai ser feita através do cartão, a entrega da merenda escolar também. O passe, que a Secretaria de Transporte subsidia para alguns estudantes, vai ser via o próprio cartão. A intenção é que
a gente também unifique todos os cartões de ônibus de Vitória no próprio cartão. Então, o cidadão vai carregar o cartão com passes de ônibus, você vai e leva o seu Cartão Cidadão, carrega e usa. Na Secretaria de Saúde, entrou num hospi- Simulação tal, numa emer- do acesso gência, ele já vai ao portal dar entrada com do Cartão o Cartão Cida- Capixaba dão e aí já vai ter em um os prontuários, notebook todas as informações médicas dele à mão”, enumera. Na saúde, outro grande facilitar vai ser a aquisição do Sistema AFIS – além do benefício para a Segurança Pública, claro. O Espírito Santo já tem o banco de dados com as impressões digitais dos capixabas e está fazendo uma Parceria Público-Privada (PPP, saiba mais no box da página 49) para aquisição do AFIS. “O Cartão Cidadão, como identificação, ele envolve o AFIS também. Então, o estado Simulação do acesso ao portal do vai ter o AFIS, enCartão Capixaba em smartphone e tablet
tão, o cidadão entrou no hospital, até pela digital já vai ser encontrado o prontuário dele. Vamos dizer, um acidente de moto, o cara chega lá todo estropiado, pegou a digital, botou no leitorzinho, já vai sair lá todas as informações daquele cidadão, vinculado ao Cartão Cidadão”, adianta. O Prodest vai iniciar um piloto, em parceria com a Secretaria de Educação, em uma escola pública para testar o novo modelo de identificação. Matarangas ressalta que o cartão será emitido apenas pelo Departamento de Identificação Civil e Criminal do Espírito Santo. O documento atual de identidade no Espírito Santo segue o modelo dos demais estados do país, em papel. “O AFIS vai mudar completamente essa realidade. Então, a expectativa é que, daqui pra frente, tanto a parte civil quanto a criminal, elas fiquem totalmente isentas da possibilidade de fraudes. Mas o enfoque nosso é, basicamente, serviços, é ofertar serviços para o cidadão, é um cartão de cidadania”, enfatiza. Assim, prossegue o representante do estado, a meta é facilitar a vida da população. “Ou seja, aquilo que hoje ele tem de ir a uma, duas, três repartições públicas diferentes para resolver
o problema, ele vai resolver o problema no Faça Fácil. Ele vai poder se dirigir a um Faça Fácil com o cartão dele, obter aquele serviço de forma centralizada e imediata, resolver o problema dele, ou pelo portal na internet, de cara também ele vai poder resolver isso, ou, em últi-
ma análise, ele pelo menos vai ter um caminho que vai ser dado a ele pelo fato dele estar com o cartão na mão, por alguém dentro dessa estrutura para que ele consiga resolver o problema dele. Então, a intenção é serviço. A questão de identificação acabou se juntando, juntou a fome com a vontade de comer”, brinca o ana-
lista de TI do Instituto de Tecnologia da Informação e Comunicação de Espírito Santo. Atualmente, os técnicos envolvidos na iniciativa estão concluindo o Termo de Referência do Cartão Capixaba, que deve ser enviado para consulta técnica no ITI, o Instituto Nacional de Tecnologia da Informação. Depois, a intenção é elaborar o edital para licitar o projeto. A meta do governo do Espírito Santo é iniciar a emissão do Cartão Cidadão Capixaba em março de 2014. Alexandre Matarangas, analista de TI do Prodest
Serviços a serem acessados via Cartão Cidadão Capixaba Frequência escolar
Carteira de estudante
Controle de acesso às salas de aula
Identificação do cidadão
Controle de acesso à merenda escolar nas escolas públicas estaduais
O governo do Espírito Santo pretende disponibilizar facilidades em várias áreas por meio do novo documento de identificação, como saúde, educação, segurança, transportes, cultura, lazer e cidadania. As possibilidades de uso de um cartão com a tecnologia e a segurança oferecidas pelo Capixaba são enormes, mas vale destacar algumas inicialmente previstas pelo projeto:
Controle de pedidos, agendamento e controle de entrega de medicamentos através das farmácias de atendimento público estaduais
Controle de acesso às escolas públicas estaduais;
Acompanhamento de notas e comunicações da escola
Controle e uso de passes escolares
Controle de acesso a hospitais públicos estaduais
Identificação funcional para funcionários públicos
PPP, uma nova fronteira para a Segurança Pública As Parcerias Público-Privadas (PPPs), comuns em áreas como transportes, energia elétrica e construção de estádios de futebol, começaram a ser implantadas há poucos anos no setor de segurança pública, com especial foco na identificação civil. Atenta à tendência e para melhor esclarecer as associadas sobre o modelo, a ABRID promoveu em maio de 2012, em Brasília, uma palestra sobre o tema. O palestrante foi o consultor Carlos Collodoro, engenheiro com 25 anos de experiência na concepção de soluções integradas de serviços e tecnologia aplicáveis à emissão de documentos oficiais de identificação e no planejamento e execução de processos licitatórios de acordo com a lei 8.666/1993, conhecida como lei das licitações. O especialista atuou, inclusive, no desenvolvimento de projetos integrados, sob a forma de PPP, para os estados do Espírito Santo e de São Paulo - nos dois casos, nas áreas de identificação civil e criminal - e de Minas Gerais - para a implantação das Centrais Integradas de Atendimento ao Cidadão. Na palestra, Collodoro reconheceu que PPP é uma novidade na segurança: “Quando começamos a falar sobre isso alguns anos atrás, de PPP na segurança pública, as pessoas diziam ‘esse cara está ficando louco’, porque PPP que se conhece só existe para metrô, rodovias, hidroelétricas. Segurança pública não existe referência no mundo para projeto deste tipo. Só que surgiu esse conceito e fize-
mos a primeira em 2005/2006, em São Paulo, mas por razões internas de governo não prosperou. E, neste momento, está em andamento uma PPP no Espírito Santo, a gente está assessorando o governo do estado no desenvolvimento do projeto”. Segundo ele, entre as aplicações da PPP na área de segurança, uma das possibilidades exige uma mudança de paradigma, com a transformação do certificado digital de produto para serviço. Desta forma, a SPE (Sociedade de Propósito Específico, criada para gerir toda PPP) teria receita – a ser divida com o governo – a partir de cada consulta ao certificado digital. “Em vez de vender por X reais o certificado, a empresa vai receber X reais por transação feita com o uso daquele certificado. Estamos propondo uma mudança no modelo de negócio mesmo”, comentou na palestra às associadas da ANFIP. O novo modelo garantiria vantagens para a sociedade como a prevenção e redução de crimes de falsidade ideológica praticados com base no documento de identidade – já que a PPP permitiria a implantação de novos documentos de identidade, como o Cartão Cidadão Capixaba. Também haveria aumento da elucidação de crimes e da identificação de cadáveres por meio de fragmentos de impressão digital a partir dos bancos de dados, além da geração de receita com a conferência dos certificados digitais.
CASOS
Tecnologia
CASOS e a r t i g os
Cada empresa tem uma história que reflete a forma única encontrada por seus sócios, diretores e funcionários na busca por soluções pela implantação de processos e desenvolvimento de tecnologias. É a soma de um conjunto de fatores que faz de cada empresa, cada grupo, cada corporação um caso de sucesso. Resumir todas essas histórias em um único texto não seria justo para quem desenvolveu tudo isso, nem para o leitor, que perderia conteúdo, a essência da história e a oportunidade de apreender informações que podem provocar mudanças, auxiliar na tomada de decisões, no planejamento do futuro. É por isso que a revista idigital abre espaço para que as associadas ABRID dividam seus casos de sucesso com você. Boa leitura.
RESUMO O atual cenário da sociedade mostra que mais do que nunca tempo é dinheiro. Todos estão em busca de desburocratizar processos, sem deixar a questão da validade jurídica de lado, e ainda ser sustentável. Diante desta realidade, as universidades estão enxergando na Certificação Digital uma tecnologia alinhada com os objetivos de redução de custos, validade jurídica, celeridade e sustentabilidade, e totalmente aplicável para a assinatura de forma eletrônica dos diplomas digitais dos alunos, além de documentos administrativos como histórico escolar, comprovação de matrícula, entre outros que são disponibilizados aos alunos diariamente em grande volume.
PALAVRAS-CHAVE Certificação Digital, Diploma Digital, assinatura eletrônica, assinatura digital.
ABSTRACT The current scenario of society shows that more than ever time is money. Everybody is seeking less bureaucratic processes, with legal validity and sustainable. Given this reality, universities are seeing in Digital Certificate technology aligned with the goals of reducing costs, legal validity, speed and sustainability and fully applicable to the signing of the electronic form of digital certificates of the students, and administrative documents such as transcripts , proof of enrollment, among others that are available to students daily in large volume.
KEYWORDS Digital Certification, Digital Diploma, Digital Authentication.
52 |
digital
CASO / ARTIGO
Belas artes Por Julio Cosentino
A
primeira vista poderia até parecer estranha a emissão de um diploma universitário de forma digital. Mas a modernização dos processos está chegando a todos os campos, inclusive no de educação. O diploma eletrônico com assinatura digital assinado de forma
eletrônica surge em um cenário que vai ao encontro dos objetivos das instituições de educação e dos formandos. As universidades buscam por processos ágeis, com validade jurídica, que sejam sustentáveis e ainda que promovam redução de custos. Já os formandos necessitam da comprovação de conclusão de curso raabril - maio - junho 2013 | 53
Sistema em nuvem permite a assinatura de documentos eletrônicos de qualquer lugar do mundo
pidamente. Estão ansiosos para a inserção no mercado de trabalho, por exemplo. A demora na entrega do diploma impresso muitas vezes atrapalha os recém-formados na inscrição de provas específicas ou candidaturas a vagas de emprego, principalmente aos que se formam médicos, advogados ou contadores, alguns exemplos de profissões que exigem a comprovação da conclusão do curso para emissão das respectivas credenciais de classe. Com o diploma eletrônico com assinatura digital, não existe demora. Em apenas alguns minutos, o documento é assinado e disponibilizado para os alunos. Como? Com o Certificado Digital ICP-Brasil. Por meio de um sistema em nuvem, o titular do Certificado Digital assina quantos documentos precisar com apenas alguns cliques e com total validade jurídica. Com a autorização do Conselho Estadual de Educação, Belas Artes de São Paulo é uma das precursoras do segmento junto com a Universidade de São Paulo – USP
54 |
digital
a utilizar a tecnologia da Certificação Digital para assinar digitalmente os diplomas dos alunos. A Belas Artes, inclusive, oferece aos formandos uma área exclusiva dentro do sistema em nuvem de assinaturas para que os alunos acessem seus diplomas digitais por meio de um código de validação e verificação individual. Esse código pode ser informado pelo aluno, se desejar, para que terceiros acessem ao diploma, externamente, de forma segura, e com toda a comprovação de veracidade das informações e assinaturas. Por questões de tradição, o diploma em papel moeda não foi substituído em ambas as universidades e acreditamos que os alunos não abrirão mão do diploma impresso, porém, esse formato podemos dizer que será uma “relíquia”. Para o uso de rotinas acadêmicas ou profissionais será usado o diploma eletrônico assinado digitalmente, assim como histórico escolar. Prevemos inclusive, num futuro próximo, uma funcionalidade em redes sociais
profissionais assegurando a veracidade das informações ali postadas, com link de consulta. »» A Certificação Digital Trata-se da tecnologia que por meio da criptografia de dados garante autenticidade, confidencialidade, integridade e não-repúdio às informações eletrônicas. • Segurança; • Comodidade; • Agilidade; • Desmaterialização de processos; • Sustentabilidade. »» O Certificado Digital O Certificado Digital é um documento que utiliza a Certificação Digital para identificar pessoas, empresas e máquinas no meio eletrônico. • Confere ao titular autenticação em um sistema. • Permite a assinatura de documentos na esfera digital, com validade jurídica. • Garante a transparência e confidencialidade nos processos.
»» Como são assinados os diplomas eletrônicos com assinatura digital O processo de assinatura de diplomas eletrônicos com assinatura digital e carimbo do tempo adotado pela Belas Artes é simples e intuitivo. Por meio de um sistema em nuvem de gerenciamento de assinaturas: PPo requisitante faz o upload de documentos; PPencaminha para a assinatura dos signatários indicados pelo administrador; PPa plataforma dispara automaticamente um e-mail para os signatários assinarem o documento utilizando o Certificado Digital ICP-Brasil; PPO administrador tem como checar se os signatários já assinaram, lembrando que os envolvidos não precisam estar fisicamente no mesmo lugar e ao mesmo tempo; PPOs signatários tem a possibilidade de assinatura em lotes ou documentos de forma individual. »» Principais funcionalidades do sistema • Sistema de simples utilização. • Autenticação por meio de Certificado Digital padrão ICP-Brasil. • Interoperabilidade com todas Autoridades Certificadoras. • Envio de e-mails assinados para notificação. • Conta corrente para cada usuário (PF ou PJ). • Múltiplas assinaturas: assinaturas e coassinaturas digitais, individuais ou em lote.
• Assinatura de Termo de Uso no cadastramento. • Tarifação por documento. • Controle da ordem de assinaturas por meio do CPF. • Pasta de arquivos do usuário. • Permite à verificação e recuperação do documento original por meio do número de protocolo, código QR • Código de barras e link no documento verificado. • Emissão de laudo na verificação de arquivos. • Permite baixar o arquivo original com assinaturas digitais. • Saldo e extrato em formato de conta corrente. • Configurações por usuário: recebimento ou não de e-mails, e-mails de notificações, tipo padrão de documento submetido para assinatura digital e conta preferencial em caso de usuários com conta pessoal e com CPF associado à conta de PJ. • Assinaturas digitais conforme a Política de Assinatura AD-RB (CADES). • Cadeias de Certificados válidos da ICP-Brasil. • Compatível com a cadeia de Certificação V2 da ICP-Brasil. • Busca de documento por nome. • Consulta à tabela de signatários cadastrados. • Acompanhamento do andamento das assinaturas dos documentos. • Permite comentar o processo de assinatura em qualquer etapa. • Painel de verificação de assinaturas digitais com informações completas sobre as assinaturas,
certificados, políticas e listas de Certificados Revogados (LCR). »» Garantia das informações De acordo com o art. 10, da MP n° 2.200-2, os documentos eletrônicos assinados digitalmente com Certificados Digitais emitidos no âmbito da ICP-Brasil têm a mesma validade jurídica que os documentos em papel com assinaturas manuscritas. »» Sustentabilidade Embora os diplomas impressos em papel ainda sejam entregues, não há como negar que a Certificação Digital utilizada na assinatura dos diplomas digitais é uma tecnologia aliada aos segmentos que buscam a redução de custos e sustentabilidade nas ações. O Centro Universitário de Belas Artes, em seu projeto piloto, emitiu cerca de 2000 diplomas eletrônicos com 6 assinaturas cada, em alguns minutos. Isso reduziu o tempo de trabalho dedicado às assinaturas, da Reitoria, Diretoria e Secretarias de cada curso contemplado no projeto. O uso da tecnologia dispensa a necessidade de compra de papel, gastos com impressão, manuseio, armazenamento, deslocamentos para assinaturas presenciais e autenticações adicionais. Todo o processo é feito de forma eletrônica e com total validade jurídica.
sobre o autor Julio Cosentino é vice-presidente da Certisign.
abril - maio - junho 2013 | 55
RESUMO Este estudo examina os códigos QR e como eles podem ser usados para atacar tanto as interações humanas quanto os sistemas automáticos. Como a informação codificada é direcionada para ser lida apenas por máquinas, um humano não pode distinguir um código QR válido de um manipulado maliciosamente. Enquanto os humanos podem cair em ataques de phishing, os leitores automáticos são provavelmente mais vulneráveis às injeções de comando e de SQL (Linguagem de Consulta Estruturada, na sigla em inglês). A nossa contribuição consiste em uma análise do código QR como um vetor de ataque, mostrando as diferentes estratégias de ataque a partir do ponto de vista dos fraudadores e explorando as suas possíveis consequências.
Palavras-chave Código QR, código de barras, phishing, vetores de ataque
ABSTRACT This paper examines QR Codes and how they can be used to attack both human interaction and automated systems. As the encoded information is intended to be machine readable only, a human cannot distinguish between a valid and a maliciously manipulated QR code. While humans might fall for phishing attacks, automated readers are most likely vulnerable to SQL injections and command injections. Our contribution consists of an analysis of the QR Code as an attack vector, showing different attack strategies from the attackers point of view and exploring their possible consequences.
KEYWORDS QR code, barcode, phishing, attack vectors
CASO / ARTIGO
Segurança do Código QR
por Peter Kieseberg, Manuel Leithner, Martin Mulazzani, Lindsay Munroe, Sebastian Schrittwieser, Mayank Sinha e Edgar Weippl
U
1. INTRODUÇÃO m código QR (“quick response” – “resposta rápida”) é um código de barra de duas dimensões inventado pela empresa japonesa Denso Wave. A informação é codificada tanto na direção horizontal quanto na
vertical, contendo até várias centenas de vezes mais dados do que num código de barra tradicional (Figura 1). Os dados são acessados através da captura de uma fotografia do código usando uma câmera (ex: embutida num smartphone) e do processamento da imagem com um leitor de QR. abril - maio - junho 2013 | 57
Figura 1: Código de barras
Não contém dados
788581014974 Contém dados
Os Códigos QR (Figura 2) ganharam popularidade internacional rapidamente e foram adotados por toda parte, especialmente no Japão, onde se tornaram mais adequados pela sua habilidade de codificar símbolos de Kanji pelo padrão. Os usos comuns são armazenamento de URLs, endereços e várias formas de dados em cartazes, letreiros, cartões de visita, veículos de transporte público, etc. Na verdade, este mecanismo tem um vasto número de possíveis aplicações [4, 1, 2, 13, 9]. Por exemplo, a marca de esporte Umbro embutiu códigos QR nas golas das camisas de futebol da Inglaterra, enviando os fãs para um site secreto onde é possível ganhar prêmios. Neste estudo, nós exploramos a estrutura e o processo de criação dos códigos QR, bem como os possíveis ataques: seja contra eles ou os utilizando. Oferecemos uma visão geral das capacidades de correção de erro e possíveis maneiras de alterar tanto os dados de correção de erro quanto da carga de transmissão de dados (payload), de forma a modificar ou injetar informação em códigos existentes. Ademais, nós exploramos múltiplos vetores que podem habilitar um fraudador a explorar a confiança do usuário no conteúdo embutido no código ou dos processos automáticos no controle de tais códigos. Nossas principais contribuições são: • delinear possíveis modificações em diferentes partes dos códigos
58 |
digital
QR, tais como códigos de correção de erro ou mascaramento; e • descrever os vetores de ataque resultantes, tanto contra humanos (ex: ataques de phishing) quanto contra processos automáticos (ex: injeções de SQL). 2. HISTÓRICO Os códigos QR [11] já ultrapassaram o código de barras clássico em popularidade em algumas áreas. Isto se dá, em muitos casos, pelo fato de que um código de barras típico pode conter apenas um máximo de 20 dígitos, enquanto o Código QR pode conter até 7.089 caracteres. Combinado com a diversidade e extensão oferecidas, isso torna o uso dos códigos QR muito mais atrativo do que dos códigos de barra. Estatisticamente, os códigos QR são capazes de codificar o mesmo montante de dados em aproximadamente um décimo do espaço de um código de barra tradicional. Uma grande carac-
terística dos códigos QR é que eles não necessitam ser escaneados de um ângulo específico. Podem ser lidos indiferentemente de suas posições. Os leitores de códigos QR são capazes de determinar a forma correta para decodificar a imagem devido a três quadrados específicos que estão posicionados nos cantos do símbolo e aos blocos de alinhamento. Os códigos QR foram inicialmente usados por fabricantes de veículos para rastrear peças. Após um período, as empresas começaram a ver a variedade de casos para seus diferentes usos. O uso comercial mais popular dos códigos QR é na indústria da telecomunicação, onde o aumento da adoção de smartphones parece ser o maior motivador de sua popularidade [13, 5, 6]. Com a tecnologia dos telefones celulares constantemente em evolução, especialmente na área de acesso à internet móvel, os códigos QR parecem ser uma ferramenta adequada para comunicar as URLs aos usuários rápida e eficientemente. Isto também permite que a mídia off-line, tais como revistas, jornais, cartões de visita, veículos de transporte público, letreiros, camisetas ou qualquer outro meio que possa aceitar a impressão de um código QR, seja usada como portador de propaganda de produtos on-line [7].
Figura 2: Código QR
Contém dados
Contém dados
Figura 3: estrutura do Código QR Versão 2
2
1
5 7 8
2.1 Códigos QR Os códigos QR são formados por diferentes áreas que são reservadas para propósitos específicos. Abaixo nos referimos à versão 2 dos códigos QR (Figura 3) porque a versão 1 não contém todos os padrões. • Padrão Localizador 1 O padrão localizador é formado por três estruturas idênticas que estão localizadas em todos os cantos do código QR, exceto no canto direito inferior. Cada padrão baseia-se numa matriz de módulos pretos cercados por módulos brancos, os quais estão novamente cercados por módulos pretos. Os Padrões Localizadores habilitam o software decodificador a reconhecer o Código QR e determinar a orientação correta.
3 6 4
• Separadores 2 Os separadores brancos têm a largura de um pixel e melhoram a capacidade de reconhecimento dos Padrões Localizadores porque eles os separam dos dados reais. • Padrão de Marcação 3 A alternância de módulos brancos e pretos no Padrão de Marcação habilita o software decodificador a determinar a largura de um único módulo. • Padrões de Alinhamento 4 Os padrões de alinhamento ajudam o software decodificador a compensar distorções moderadas de imagens. A Versão 1 dos códigos QR não tem Padrões de Alinhamento. Com o aumento do tamanho dos códigos mais Padrões de Alinhamento são adicionados.
• Informação de Formato 5 A seção Informação de Formato consiste de 15 bits próximos aos separadores e armazena informação sobre o nível de correção de erro do Código QR e o padrão de mascaramento escolhido. • Dados 6 Os dados são convertidos numa corrente de bits e então armazenados em partes de 8 bits (chamadas palavras-código) na seção de dados. • Correção de Erro 7 Similar à seção de dados, os códigos de correção de erro são armazenados em palavras-código de 8 bits na seção de correção de erro. • Bits Restantes 8 Esta seção é formada por bits vazios se os bits de correção de erro e os de dados não podem ser divididos em palavras-código de 8 bits sem resto. abril - maio - junho 2013 | 59
Todo o código QR tem que estar cercado por uma, assim chamada, Zona de Silêncio, uma área na mesma tonalidade de cor dos módulos brancos, para melhorar o reconhecimento do código pelo software decodificador.
2.2 Código de Correção de Erro e de Capacidade A capacidade de um Código QR depende de vários fatores. Além da versão do código que define o seu tamanho (número de módulos), o nível de correção de erro escolhido e o tipo de dados codificados também influenciam a capacidade. • Versão: As 40 versões diferentes dos códigos QR diferem principalmente no número de módulos. A Versão 1 é formada por módulos de 21x21, até 133 (nível de correção de erro mais baixo) dos quais podem ser usados para o armazenamento de dados codificados. O maior código QR (Versão 40) tem o tamanho de 177x177 módulos e pode armazenar até 23.648 módulos de dados. •
Nível de Correção de Erro: A Correção de Erro nos códigos QR é baseada nos Códigos Reed-Solomon [14], uma forma específica de códigos de correção de erro BCH [3,8]. Há quatro níveis (Tabela 1) de correção de erro que podem ser escolhidos pelo usuário no momento da criação.
Os níveis mais altos de correção de erro aumentam a percentagem das palavras-código usadas para correção de erro e, portanto, diminuem o montante de dados que podem ser armazenados dentro do código. • Dados Codificados: O Código QR pode usar diferentes codificações de dados (ver Seção 3.2.2 para informações detalhadas sobre modos de codificação de caracteres). A complexidade delas influencia o montante de caracteres reais que pode ser armazenado dentro do código. Por exemplo, a Versão 2 do Código QR com o nível mais baixo de correção de erro pode conter até 77 caracteres numéricos, mas apenas 10 caracteres de kanji. 3. SEGURANÇA DOS CÓDIGOS QR
3.1 Modelo de Ameaça É possível distinguir dois modelos de ameaça diferentes para manipulação dos Códigos QR. Primeiro, um fraudador pode inverter qualquer módulo, mudando-o seja de preto para branco ou vice-versa. Segundo, um fraudador mais restrito pode somente mudar os módulos brancos para pretos, mas não o contrário.
3.1.1 Ambas as cores
A abordagem mais fácil para atacar um Código QR existente é gerar um adesivo contendo um Código QR manipulado no mesmo estilo do Código QR original e posicioná-lo sobre o código no anúncio. Naturalmente, isso iria requerer ou alguma preparação ou uma impressora móvel e aplicatiL M Q H vos de desenho para um dispositivo móvel. Ao menos, quando o ataque fosse mas7% 15% 25% 30% sivo contra um alvo escolhido, o tempo necessário para a preparação não imporia uma Tabela 1: Níveis de Correção de limitação séria. Erro 60 |
digital
Uma vez que este tipo de ataque é trivial, nós decidimos excluí-lo do escopo deste estudo. Entretanto, acreditamos que o uso deste método num ataque contra um anúncio no mundo real é uma opção viável para ataques em grande escala.
3.1.2 Cor Única Neste caso, nós nos restringimos à modificação de apenas uma cor. O pano de fundo para esta restrição está no cenário de um fraudador buscando modificar em tempo real um único cartaz usando apenas uma caneta (desta forma, reduzindo as possíveis modificações somente à transformação dos módulos brancos para pretos). Esta restrição é a base para os outros ataques que serão enumerados ao longo deste estudo.
3.2 Ataque a partes diferentes Uma vez que os Códigos QR contêm muitas informações diferentes, incluindo metainformação sobre a versão, mascaramentos e codificação da fonte, há várias regiões diferentes que podem ser alvo, seja individualmente ou em combinação.
3.2.1 As máscaras As máscaras são usadas para gerar Códigos QR com uma boa distribuição de módulos pretos e brancos (aproximadamente 50:50 e bem distribuídos por todo o código). Isto aumenta o contraste da imagem e assim ajuda os dispositivos a decodificarem-no. De acordo com o padrão, ao se gerar um Código QR, cada máscara das oito especificadas é aplicada e cada resultado é classificado. A máscara que resulta na melhor distribuição de acordo com a classificação é escolhida (o efeito do uso de máscaras corretas pode ser visto na Figura 4. A barra antes mostra o número de elementos brancos e pretos antes do mascaramento ser aplicado;
150
Padrão da Condição Máscara
113
antes
PRETO
BRANCO
0
PRETO
38
BRANCO
75
depois
Figura 4: Efeitos de mascaramento
e a depois, mostra os números após o uso do melhor mascaramento). Há sempre apenas uma máscara em uso num dado código QR, a qual está codificada junto com a versão num bloco separado do código usando uma forte codificação BCH. Nas condições na Tabela 2, i se refere à posição do módulo em fileira e j à sua posição em coluna. A máscara é preta para cada módulo que a condição seja válida e branca para o resto. Direcionar a máscara pode mudar bastante em toda a parte de correção de erro e dados. Porém, isso ainda pode ser uma base útil para a aplicação adicional de outros métodos. Um problema existente ao se mudar o mascaramento é que ele é codificado separadamente, utilizando um algoritmo de correção de erro forte.
3.2.2 A codificação do caractere (modo) Há várias fontes diferentes de codificação (Tabela 3) especificadas para a informação contida no código, assim maximizando a capacidade
000
(i + j) mod 2 = 0
001
i mod 2 = 0
010
j mod 3 = 0
011
(i + j) mod 3 = 0
100
((i/2) + (j/3)) mod 2 = 0
101
(ij) mod 2 + (ij) mod 3 = 0
110
((ij) mod 2 + (ij) mod 3) mod 2 = 0
111
((ij) mod 3 + (ij) mod 2) mod 2 = 0
Tabela 2: Referências e Condições do Padrão da Máscara
Mudar o indicador de modo dá em troca de uma complexidade aos dados codificados todo um novo aumentada. As mais populares são: • Modo Numérico (apenas co- significado. Especialmente ao considifica dígitos, portanto conse- derar o modo Byte de oito bits em gue guardar muitos dados em vez de outros modos, ou até mesmo o modo alfanumérico em vez de, uma figura); • Modo Alfanumérico (um con- por exemplo, o modo Numérico, junto de caracteres contendo lançando injeções de código (ex: letras em caixa alta e vários ou- injeções de SQL) poderia se tornar tros caracteres como $ ou espa- viável (o modo de oito bits permite truques até mais complexos usando ço branco); • Modo de oito bits (capaz de caracteres de controle). codificar o conjunto JIS de caracteres de oito bits Indicador Modo (Latim e Kana) de acordo com JIS X 0201); ou 0001 Modo Numérico • Caracteres Kanji 0010 Modo Alfanumérico (Conjunto de caracteres JIS obtidos com a 0100 Modo Byte de 8 bits tecla Shift de acordo com JIS X 0208 Annex 1000 Modo Kanji 1 da Representação Co0011 Modo Structured append dificada em Shift). A codificação de caracte0101 FNC1 (primeira posição) re em si é definida no início da parte dos dados pelos pri1001 FNC1 (segunda posição) meiros quatro bits. A tabela seguinte oferece uma visão 0000 Terminator geral dos possíveis valores Tabela 3: Indicadores de Modo para cada modo: abril - maio - junho 2013 | 61
Um ataque avançado contra o modo pode ser montado misturando-se modos diferentes num Código QR (veja a seção abaixo).
3.2.3 Indicador de Contagem de Caractere
Numérico
Alfanumérico
8-bits
1-9
10
9
8
8
10-26
12
11
16
10
27-40
14
13
16
12
Kanji
Versão
Logo após o indicador de modo, os próximos bits indicam a contagem de caracteres dos dados que seguem. O tamanho real do indicador de contagem de caractere depende amplamente do modo em uso e da versão do Código de QR (versões mais altas contêm mais dados, portanto, o indicador de contagem de caractere é mais longo). Veja a Tabela 4, abaixo, para o comprimento dos modos mais populares. Ao olhar para esse alvo, vemos duas abordagens principais para um ataque: produzir buffer overflows, (transbordamento de dados) ou buffer underflows (subtransbordamento de dados). • Buffer underflow: Nós mudamos o indicador de contagem de caracteres para que ele pareça com um número mais baixo do que no código QR original. Portanto, o dispositivo de decodificação deve apenas decodificar como mensagem as primeiras poucas letras, deixando o resto de fora. Isso é espe-
cialmente útil para o caso do link original, que foi codificado, conter sufixos. Uma vez que o tamanho da parte dos dados é fixado, tudo que está além do número de bytes previsto é visto como um segmento novo (ver modos mistos), ou (no caso de um indicador de modo terminador [terminator]) como um preenchimento (filler). Uma vez que isso é apenas uma pequena mudança na parte dos dados (apenas o comprimento é modificado), deve, por sua vez, resultar apenas numa pequena mudança nos valores de correção de erro e ainda pode ser decodificável. Atenção especial também deve ser dada a uma combinação possível deste ataque com outros alvos, no caso de modos mistos serem usados. • Buffer overflow: Nós mudamos o indicador de contagem de caracteres para um número mais alto, de forma que o dispositivo de decodificação tenta decodificar partes do preenchimento como dados (se nós pudermos mudar o preenchimento, ganhamos um espaço valioso para a inclusão de dados adicionais). Novamente, uma das desvantagens deste método está nas habilidades da correção de erro (e especialmente na detecção de erro) do Código Reed-Solomon. Seria particularmente interessante tentar lançar um ataque de injeção de código usando este método.
Tabela 4: Comprimento do indicador de contagem de caractere 62 |
digital
3.2.4 Modos Mistos É possível usar vários modos diferentes dentro de um Código QR (isso é particularmente útil para aumentar a densidade ao codificar dife-
rentes tipos de dados). Para realizar isso, vários segmentos de dados com seus próprios indicadores de modo e indicadores de contagem de caracteres simplesmente se concatenam (ver Figura 5). Mais uma vez, podemos identificar quatro abordagens para a utilização desta característica dos Códigos QR para ataques: • Mudar os modos de segmentos: Isso funciona como um ataque ao modo de um Código QR que não usa modos mistos, mas é reduzido a um segmento apenas, deixando, portanto, outras partes dos dados intocáveis. • Inserir novos segmentos: Dividir um segmento existente em dois novos, um com o antigo cabeçalho (indicador de modo e indicador de contagem de caracteres) e um com um cabeçalho recentemente definido. • Apagar segmentos existentes: sobrescrever o espaço usado pelo indicador de modo e pelo indicador de contagem de caractere com dados adicionais, reduzindo assim o número de segmentos. Adicionalmente, o indicador de contagem de caractere do segmento anterior pode ser modificado para permitir que os dados do segmento apagado sejam anexados. • Structured Append (Anexo Estruturado): O modo structured append permite a concatenação de até 16 símbolos de Código QR, desta forma, muitos dados podem ser armazenados nesta sequência de Códigos QR. É projetado de forma que a decodificação seja independente da ordem que os símbolos são lidos. O problema principal com todos os ataques contra o modo (particularmente a inserção e o apagamento de segmentos) é que eles normalmente
Dados
Dados
Indicador de Modo 5
Indicador de Modo 6
Indicador de Contagem de Caractere 5 Dados
Indicador de Contagem de Caractere 6 Dados
têm um impacto bem alto nas palavras-código de correção de erro. Provavelmente, este ataque pode ser usado em combinação com um ataque na própria parte de correção de erro. Deve-se tentar combinar os modos de mudança de segmentos existentes com mudanças de cores na seção dos dados (e naturalmente na parte de correção de erro), uma vez que isso poderia ser uma ajuda valiosa no caso de não haver módulos brancos suficientes para a troca (lembre-se que, como um pré-requisito, nós consideramos apenas a mudança de uma cor para a outra sem a possibilidade de fazer o contrário). Também a troca de modos como o numérico e o alfanumérico para o de 8 bits admitiria de repente caracteres de controle não imprimíveis, como apagar (Figura 5).
3.2.5 Parte de dados e correção de erro A maior parte de um código QR é constituída de partes contendo palavras-código de dados e de correção de erro. A parte dos dados em si
Segmento 4
Indicador de Contagem de Caractere 2
Indicador de Modo 3 Indicador de Contagem de Caractere 3 Dados
...
Segmento n
Indicador de Modo 2
Segmento 3
Segmento 2
Indicador de Contagem de Caractere 1
Segmento 6
Segmento 1 Segmento 5
Indicador de Modo 1
Indicador de Modo 4 Indicador de Contagem de Caractere 4 Dados
Indicador de Modo n Indicador de Contagem de Caractere n Dados
pode consistir de segmentos usando várias codificações diferentes, cada qual com o seu próprio cabeçalho especificando o modo em uso e o comprimento dos dados seguintes (ver acima subseções sobre modos). Para uma dada versão e nível de correção de erro, a parte no Código QR que representa as palavras-código de dados e a parte que representa as palavras-código de correção de erro podem ser definidas facilmente sem codificação, uma vez que o comprimento da parte de dados não depende do real comprimento dos dados (os dados são totalmente preenchidos com padrões de enchimento). Para a posição da parte dos dados, veja Figura 3 na Seção 2. O exato comprimento da parte dos dados pode ser originado do padrão. Pelo design, qualquer mudança nos dados subjacentes reflete diretamente tanto na parte de dados quanto na de correção de erro. A codificação Reed-Solomon é capaz de detectar várias mudanças, seja na parte de dados ou na de correção de erro, e fornece decodificação da
Figura 5: Mensagem contendo vários modos
mensagem original mesmo após a introdução de um moderado número de modificações/erros. Isto quer dizer que se Qi indica o código QR 100% correto para a mensagem Mi, então um Código QR Q’i com apenas pequenos desvios do código Qi original ainda pode ser decodificado de volta para Mi. Esta característica, embora projetada para proteger a integridade do código o máximo possível, serve como um importante pré-requisito para o nosso ataque: nós não precisamos mudar o significado do Código QR original Qi para combinar exatamente com o Código QR Qj ; i ≠ j contendo nosso Código QR Mj manipulado. Precisamos apenas alcançar um código Q’j que seja decodificado para a mesma mensagem. Em segurança da computação tradicional, isto é análogo a NOP sledge (Nota da Tradutora: literalmente em português, ‘trenó de não-operação’, uma sequência de instruções de não-operação que “deslizam” pelo fluxo de instruções de execução até atingir seu destino final).
abril - maio - junho 2013 | 63
A Figura 6 ilustra o esboço deste ataque. Os círculos verdes indicam Códigos QR que representam mensagens exatas (i.e. livres de erros), os círculos azuis mostram o conjunto de Códigos QR errôneos que são decodificados para a mesma mensagem devido às características de correção de erro do código Reed-Solomon. F indica o conjunto de Códigos QR que são detectados como incorretos pelo decodificador, porém não podem ser corrigidos. 4. CÓDIGOS QR COMO VETORES DE ATAQUE Nós acreditamos que Códigos QR manipulados podem ser usados para uma grande quantidade de ataques. Diferentes cenários, seja para um leitor humano ou um programa automático (ex: em logística), são possíveis e delineados nesta seção.
4.1 Ataque a processos Automáticos Como os Códigos QR são uma forma padronizada de codificar informação, nós acreditamos que a maioria dos desenvolvedores de software não trata a informação codificada como uma possível entrada de dado insegura. Conforme descrito em detalhes na seção anterior, as diferentes partes do Código QR podem ser manipuladas de forma a mudar a informação codificada. Dependendo dos programas que processam a informação codificada, sejam eles em logística, transporte público ou numa linha de montagem automática, os ataques ao leitor de software bem como ao back-end (N.T.: parte final de um processo) são teoricamente possíveis. Sem higienização adequada, um adversário poderia usar a lista incompleta de ataques descrita abaixo. Ataques similares usando chips de RFID e injeções de SQL se mostraram eficazes [15], uma vez que a higienização de 64 |
digital
Figura 6: Ataque às palavrascódigo de dados
entrada de dados não foi empregada nestes exemplos.
• Injeção de SQL: Nós acreditamos que muitos sistemas automáticos armazenam e processam a informação codificada num banco de dados relacional. Ao anexar um ponto e vírgula seguido por uma consulta SQL tal como ;drop table <tablename> à informação codificada, é possível manipular o banco de dados backend (desde que o DBMS [N.T: Database Management System - Sistema de Gerenciamento do Banco de Dados] permita consultas múltiplas numa única linha). Isto apagaria a table (mesa) especificada no comando, resultando num ataque por negação-de-serviço. Mais ataques específicos podem incluir acrescentar um usuário, executar comandos de sistema (ex: utilizando o procedimento armazenado xp_cmdshell no Servidor SQL da Microsoft), ou alterar dados tais como preços ou senhas dentro do banco de dados. • Injeção de comando: Se a informação codificada for utilizada como um parâmetro de linha de comando sem ser higienizada,
isso poderia ser facilmente explorado para rodar comandos arbitrários em nome do fraudador, os quais podem ter consequências desastrosas para a segurança do sistema operacional, por exemplo, instalando rootkits (kits raiz), DoS (Disk Operational System – sistema operacional em disco), ou conectando um programa Shell ao computador remoto sob controle do fraudador. • Fraude: Mudanças no sistema automático podem ser usadas para cometer fraude enganando o sistema, por exemplo, fazendo -o acreditar que está processando um produto barato A enquanto na verdade está processando um produto B mais caro.
4.2 Ataque à Interação Humana Os humanos não podem ler o código sem um software de leitura, a informação armazenada dentro do código é completamente obscura. Mas ao ler o código QR manipulado, uma vulnerabilidade no software de leitura ou no navegador pode ser acionada. • Phishing e Pharming: Se os Códigos QR forem usados para links em cenários de realidade aumentada, um fraudador poderia montar uma website falsa e redirecionar os usuários pela mudança do Código QR. Isto é perigoso se alguma forma de credencial for necessária para aces-
sar a website. O usuário não tem possibilidade de verificar que o link não está modificado. • Fraude: Os códigos QR são frequentemente usados em propagandas para direcionar o público-alvo a ofertas especiais ou à informação adicional sobre produtos específicos. Se o Código QR pode ser manipulado para redirecionar o usuário para uma website clonada, um adversário poderia vender o produto solicitado sem nunca cumprir o contrato. A vítima implicitamente confia na companhia que colocou o anúncio e segue o link. • Software de leitor de ataque: Diferentes implementações do software leitor nos computadores e telefones celulares poderiam ser atacáveis via injeção de comando ou buffer overflows tradicionais se a informação codificada não estiver higienizada. Um fraudador poderia ganhar controle total sobre um smartphone, incluindo as informações de contato ou o conteúdo de correspondência da vítima, como e-mail ou SMS. • Ataque de engenharia social: Aproveitando esses ataques, outros mais específicos como spear phishing (NT: um ataque de Phishing altamente localizado)
ou outras variantes da engenharia social são habilitados, dependendo do objetivo do fraudador. Deixar um cartaz de um código QR no estacionamento de uma companhia (em vez do ataque tradicional com um dispositivo USB) oferecendo desconto num restaurante próximo é um novo vetor de ataque com probabilidade de ser bem sucedido.
como Aztec [12] ou DataMatrix [10] precisam ser analisados da mesma forma para identificar possíveis vetores de ataque e encontrar medidas preventivas adequadas.
As possibilidades de ataques propostas neste estudo abrem um enorme campo para mais pesquisa. A meta principal está na análise apurada e na aplicação prática de um ou mais dos ataques delineados para um dado alvo. Além disso, devem ser investigadas quais as partes de um Código QR que são as mais fáceis de atacar e quais medidas preventivas podem ser tomadas para impedir ataques como os propostos neste estudo. Até mesmo em termos mais gerais, seria muito interessante descobrir medidas métricas que possam ser usadas para medir a vulnerabilidade dos Códigos QR dependendo do esboço de um dado tipo de ataque e com respeito a características como distribuição de preto/branco, versão, mascaramento, etc. Por último, mas não menos importante, outros Códigos-2D tais
5. CONCLUSÃO Neste estudo, nós delineamos os perigos de ataques possíveis utilizando Códigos QR manipulados. Uma vez que os Códigos QR estão cada vez mais populares através de seu uso para propósitos de marketing, nós esperamos que este tipo de ataque venha a receber mais e mais atenção pela comunidade de hacker no futuro. Além disso, muitos dispositivos móveis (ex: Smartphones) atualmente são capazes de decodificar Códigos QR e acessar as URLs contidas neles. Isso acrescenta uma nova dimensão ao tópico da confiança, especialmente porque muitos usuários não estão atentos o bastante para segurança ao usarem seus telefones móveis (o que também permite o uso de novas técnicas de phishing). Além do phishing uma série de outros métodos de ataques, tanto contra humanos quanto contra sistemas automáticos podem ser realizadas usando códigos QR. Isto é verdadeiro particularmente se uma higienização adequada dos dados de entrada não for executada antes do processamento dos dados contidos.
tanding 2d-barcode technology and applications in m-commerce - design and implementation of a 2d barcode processing solution. In COMPSAC (2), pages 49{56, 2007. [7] J. Z. Gao, H. Veeraragavathatham, S. Savanur, and J. Xia. A 2d-barcode based mobile advertising solution. In SEKE, pages 466{472, 2009. [8] A. Hocquenghem. Codes correcteurs d^aAZerreurs. Chires, 2(147-156):4, 1959. [9] Y.-P. Huang, Y.-T. Chang, and F. E. Sandnes. Ubiquitous information transfer across dierent platforms by qr codes. J. Mobile Multimedia, 6(1):3{14, 2010. [10] ISO 16022:2006. Data Matrix bar code symbology specication. ISO, Geneva, Switzerland. [11] ISO 18004:2006. QR Code bar code symbology specication. ISO, Geneva, Switzerland.
[12] ISO 24778:2008. Aztec Code bar code symbology specication. ISO, Geneva, Switzerland. [13] S. Lisa and G. Piersantelli. Use of 2d barcode to access multimedia content and the web from a mobile handset. In GLOBECOM, pages 5594{5596, 2008. [14] I. Reed and G. Solomon. Polynomial codes over certainnite elds. Journal of the Society for Industrial and Applied Mathematics, 8(2):300{304, 1960. [15] M. R. Rieback, B. Crispo, and A. S. Tanenbaum. Is your cat infected with a computer virus? In PERCOM ‘06: Proceedings of the Fourth Annual IEEE International Conference on Pervasive Computing and Communications, pages 169{179, Washington, DC, USA, 2006. IEEE Computer Society.
4.3 Mais Pesquisas
Referências [1] H. S. Al-Khalifa. Utilizing qr code and mobile phones for blinds and visually impaired people. In ICCHP, pages 1065{1069, 2008. [2] A. Alapetite. Dynamic 2d-barcodes for multidevice web session migration including mobile phones. Personal and Ubiquitous Computing, 14(1):45{52, 2010. [3] R. Bose and D. Ray-Chaudhuri. On a class of error correcting binary group codes*. Information and control, 3(1):68{79, 1960 [4] M. Canadi, W. H opken, and M. Fuchs. Application of qr codes in online travel distribution. In ENTER, pages 137{148, 2010. [5] J. Gao, V. Kulkarni, H. Ranavat, L. Chang, and H. Mei. A 2d barcode-based mobile payment system. In MUE, pages 320{329, 2009. [6] J. Z. Gao, L. Prakash, and R. Jagatesan. Unders-
abril - maio - junho 2013 | 65
RESUMO Iniciativa de sucesso inclui assinatura digital em prontuário eletrônico em atendimento ambulatorial. Integridade, confiabilidade, segurança da informação e eliminação de papel foram os principais ganhos.
PALAVRAS-CHAVE Certificação digital, assinatura digital, desmaterialização de papel, confidencialidade, integridade, autenticidade, validade jurídica.
ABSTRACT Successful on the initiative includes digital signature in electronic medical outpatients. Integrity, reliability, information security and disposal of paper were the main gains.
KEYWORDS Digital certificates, digital signatures, dematerialization of paper, confidentiality, integrity, authenticity, legal validity.
66 |
digital
CASO / ARTIGO
Certificação digital garante segurança da informação a prontuário eletrônico de pacientes do Incor/SP por João Paulo Foini e Marco Antonio Gutierrez
P
ara a Imprensa Oficial do Estado de São Paulo, que já certificou digitalmente mais de trinta milhões de documentos, é parte de sua rotina implantar soluções de assinatura e autenticação com uso de certificação digital. Para o Incor, que é referência latino-americana no desenvolvimento e aplicação de tecnologias da informação na área da saúde, nenhum desafio é intransponível quando o assunto é garantir a integridade, a
confiabilidade e a segurança das informações dos pacientes. No projeto Prontuário Eletrônico no Atendimento Ambulatorial com Certificação Digital, em que a menor indisponibilidade poderia representar risco à vida das pessoas em atendimento hospitalar, a experiência acumulada por estas duas instituições, ao longo dos anos, foi determinante para o sucesso da iniciativa. Desenvolvido em parceria pela Imprensa Oficial e o Incor (Instituto
do Coração) do Hospital das Clínicas da Faculdade de Medicina da Universidade de São Paulo, o projeto possibilitou a inclusão de assinatura digital – por meio de certificado digital – no sistema de prontuário eletrônico utilizado no atendimento ambulatorial do Incor. Chamado de SI3 (Sistema Integrado de Informações Institucionais), o sistema pioneiro desenvolvido pelo Serviço de Informática do Incor há mais de dez anos, e com informações de mais de 1,3 milhão de pacientes, permite administrar todas as informações geradas no deabril - maio - junho 2013 | 67
correr do atendimento do paciente, desde prescrições médicas e de enfermagem até imagens e laudos de exames. Faltava apenas a certificação digital para fechar o círculo virtuoso: a informação eletrônica confiável sobre o papel. Foi com este objetivo que o Incor procurou a experiência da Imprensa Oficial em certificação digital, de maneira a agregar ao seu produto, o SI3, o registro eletrônico com validade jurídica. O resultado foi maior confidencialidade, integridade e autenticidade às informações. Além disso, permitiu a eliminação da impressão do papel em cada etapa de atendimento para cumprir a exigência legal de assinatura do responsável. Para se ter uma ideia do que isso representa, o Incor realiza mais de 250 mil atendimentos ambulatoriais por ano e, em cada atendimento, são geradas, em média, 3 páginas com informações. Portanto, potencialmente, por ano, são consumidas cerca de 750 mil páginas, que precisam ser armazenadas para atender à legislação, embora todo o conteúdo 68 |
digital
exista em formato eletrônico. Na etapa piloto do projeto foram envolvidos 50 médicos e 1,5 mil atendimentos com assinatura digital. Em 2013 foi iniciada a segunda fase, sendo estendida para 500 profissionais. Com isso, todo o atendimento ambulatorial dispensará a impressão do papel. »» Mais eficiência, segurança e economia Um grande avanço no atendimento médico-hospitalar, o Prontuário Eletrônico do Paciente (PEP) permitiu unir diferentes tipos de dados
do paciente ao longo de sua vida, produzidos em vários formatos e épocas e coletados em distintos locais. Em termos de saúde pública, a manipulação inteligente de dados obtidos em Prontuários Eletrônicos possibilita uma série de ações. Entre elas está a obtenção de informações para monitoramento de doenças crônicas, a realização do acompanhamento do paciente por meio dos serviços de saúde que ele utiliza e efetuar a avaliação de custo-efetividade. A utilização dos Prontuários Eletrônicos permite maior abrangência de armazenamento de dados e re-
presenta a oportunidade de prover serviços públicos de saúde de melhor qualidade. Possibilita ainda a redução de custos, aumento da eficiência da gestão, com ganhos na agilidade e qualidade da informação. A substituição total dos prontuários baseados em papel por eletrônicos envolve questões de extrema importância. Dentre elas está a segurança dos dados do paciente. O desenvolvimento e a implantação de qualquer PEP devem ter como premissa fundamental assegurar a confidencialidade, a integridade e a autenticidade aos dados presentes no prontuário. Desta forma, a utilização da tecnologia de certificação digital por parte dos profissionais de saúde que prestam assistência ao paciente é ferramenta fundamental ao possibilitar a inclusão de uma assinatura digital em um documento eletrônico com as mesmas garantias jurídicas da assinatura de próprio punho. Além disso, possibilita uma segurança maior que garante a integridade e a autenticidade do documento, agregando maior confiabilidade a todo processo, possibilitando a substituição total do prontuário em papel pelo eletrônico. »» Projeto original A originalidade do projeto do Incor, do ponto de vista técnico, está no desafio de implantar um sistema em grande escala, envolvendo milhões de acessos por ano, milhares de usuários e a garantia de uma transição segura para um sistema de atendimento mais ágil, informatizado e distribuído. Os desdobramentos desta iniciativa são enormes. A adoção de um sistema eletrônico nos atendimentos ambulatoriais do
SUS (Sistema Único de Saúde) no Estado de São Paulo, se combinada com a adoção dessa informação pelas farmácias do Estado, permitirá não apenas eliminar completamente a necessidade de impressão de vias adicionais de receituários, como também permitirá maior comodidade ao cidadão para obtenção dos medicamentos. Garantir a segurança dos dados dos pacientes é um fator fundamental para a adoção de prontuários eletrônicos em larga escala. Para isso, o primeiro passo é garantir que o sistema desenvolvido atenda aos requisitos que garantem a confidencialidade, a integridade e a autenticidade das informações. A implantação de assinaturas digitais, associada a uma política de segurança sólida, garante a responsabilidade e o não repúdio. Um sistema com estas características pode tornar-se mais seguro contra ataques do que o próprio prontuário em papel. O processo permite vários pontos de controle e auditoria possibilitando, desta maneira, garantia e segurança ainda maiores para os pacientes. Estas características tornam
a versão digital do prontuário mais segura em relação à versão em papel.
Sobre os autores João Paulo Foini – especialista em interatividade digital, portais corporativos, certificação digital e soluções de governo eletrônico com 25 anos de atuação no mercado de Tecnologia da Informação. Atualmente é o responsável pela gerência de Produtos de Tecnologia da Imprensa Oficial do Estado de São Paulo, na qual tem atuado em projetos para o Governo do Estado de São Paulo nas áreas de documento eletrônico, certificação digital, gestão eletrônica de documentos, portais e livros digitais. Marco Antonio Gutierrez – Engenheiro Eletrônico e Doutor em Engenharia Eletrônica pela Universidade de São Paulo. Atualmente é Diretor do Serviço de Informática do Incor, Professor Livre-Docente dos Programas de Pós-graduação em Cardiologia e de Engenharia Biomédica da Universidade de São Paulo e de Gestão e Informática em Saúde da Universidade Federal de São Paulo e Presidente da Sociedade Brasileira de Informática em Saúde (SBIS). abril - maio - junho 2013 | 69
RESUMO O artigo trata-se de uma explanação sobre a implantação de sistemas seguros de identificação digital. É um assunto que está sendo bastante discutido no Brasil, uma vez que trará mudanças significativas no registro do cidadão brasileiro, ao mesmo tempo modernidade, facilidade e segurança na sua identificação. O desafio para as empresas que desenvolvem a tecnologia é grande, porque cada unidade federada (UF) tem autonomia para efetuar a contração. O principal objetivo desse artigo é ilustrar quais tecnologias existem no mercado para captura de elementos biométricos e imagens, verificação no sistema central e emissão do RG digital.
PALAVRAS-CHAVE Identificação, biometria, digital, tecnologia, impressão e RIC.
ABSTRACT The article is an explanation of safe systems of digital identification implementation. This issue is being widely discussed in Brazil, since it will bring significant changes in the Brazilian identity citizenship, while modernity, readiness and safety in their registration. The challenge for companies that develop the technology is huge, because each federal unit of Brazil is empowered to effect contractions. The main objective of this text is to illustrate what are the technologies in the market to capture biometric and images, check the central system and issue the ID.
KEYWORDS Identity, biometrics, digital, technology, print, ID.
CASO / ARTIGO
SOLUÇÕES PARA EMISSÃO DE DOCUMENTOS OFICIAIS COM IDENTIFICAÇÃO DIGITAL BIOMÉTRICA por José Augusto de Almeida Filho e Tácito Augusto Silva Leite
S
e a implantação de sistemas seguros de identificação está na ordem do dia em vários países, inclusive no Brasil, a seleção de uma solução global e integrada que permita a consecução dos seus objetivos de forma sustentada é desafio nada trivial, especialmente no caso brasileiro onde cada unidade federada (UF) tem autonomia para efetuar a contratação.
Este documento aponta fatores importantes que devem ser considerados para a escolha dos vários componentes que vão integrar a solução, bem como as alternativas de integração que se colocam, sem a pretensão de esgotá-los ou propor critérios de avaliação. Entendemos que as diferenças de procedimentos, de alcance e escopo, disponibilidade de recursos de telecomunicações e logísticos, e as
decorrentes estratégias de implantação vão moldar a melhor seleção caso a caso. O objetivo aqui é identificar as tecnologias especializadas disponíveis no mercado, como componentes de captura de elementos biométricos e imagens, verificação no sistema central e emissão do documento de identidade. A opção tecnológica para integração dos sistemas centrais ao ponto de atendimento ou emissão poderá ser manual, com envio de lotes de abril - maio - junho 2013 | 71
fichas de identificação e retorno do documento de identidade pronto, via malotes dos Correios, para localidades sem meios de comunicação. Neste caminho, o documento passaria por um posto informatizado, mas com recurso de comunicação limitado e/ou com baixa demanda, caracterizando um posto de atendimento off-line até um posto efetivamente on-line com capacidade de comunicação suficiente. Também devem ser considerados postos motorizados garantindo mobilidade para o atendimento aos públicos com maior dificuldade de acesso. Cada opção precisa ser cuidadosamente avaliada, além dos compromissos de prazos de atendimento e entrega de documentos ao cidadão, bem como aspectos de segurança, no sentido de proteger tanto espelhos de documentos de identidade ou documentos já personalizados e emitidos, para que se evitem furtos.
»» Atendimento a Padrões e Requisitos de Nível Internacional Considerando o grau de integração das nações, no que se refere à segurança, padrões e requisitos internacionalmente estabelecidos devem ser atendidos por qualquer solução.
»» Modelo de Referência – Macro Processos e Funcionalidades Do ponto de vista de processos e seu desdobramento nas funcionalidades de uma solução, não há grandes divergências quanto ao que se observa nas soluções de mercado. Com isso em mente, se apresenta uma visão simplificada de macro processos e funcionalidades como referência:
Solicitação
Verificação
· Primeiro registro · Renovação
· AFIS · FRS · Outros sistemas
Regras de negócio
72 |
digital
Segurança
Exemplos podem ser: • Documentos emitidos atendem às normas/padrões ICAO, ISO, ANSI, NIST, WSQ, IQS etc; • Processo para a compilação dos dados garante que informações armazenadas possam ser atualizadas a qualquer momento utilizando procedimentos automatizados; • Precisão dos dados e características de segurança da solução asseguram que seja emitido um documento único que comprove, sem dúvidas, a identidade do portador, com todas as etapas do processo permitindo monitoração, gerando trilha de auditoria e registro dos usuários. Diante disso, é necessário avaliar: • Alinhamento com recomendações e padrões do Governo Brasileiro; • Capacidade de integração com múltiplos fabricantes de soluções de reconhecimento biométrico (impressões digitais e faciais); • Capacidade de integração com
Autorização
· · · ·
Papeis Bloqueio Segurança Alertas
Monitoramento
· · · ·
múltiplos fabricantes de soluções de personalização convencional e eletrônica dos documentos oficiais de identificação. Soluções de classe mundial para o reconhecimento automático de impressões digitais (AFIS) ou faciais (FRS) são proprietárias e fechadas. O foco deve estar em que estas soluções sejam amplamente interoperáveis segundo os padrões internacionais. Mesmo tecnologias de uso regular, como sistemas gerenciadores de bases de dados complexas e de grande volume, assim como ferramentas de integração de sistemas (EAIs, ESBs), devem considerar fornecedores sustentáveis e com credenciais em projetos com perfil similar. A multiplicidade e diversidade de fornecedores para composição da solução global integrada é um fato. Com o foco nas soluções de tecnologia devemos considerar que fornecedores devem ser capazes de oferecer e suportar tecnicamente, ao longo do tempo, clientes no Brasil e na específica UF. Caso o façam através de distribuidores locais, estes precisam comprovar capacidade e capacitação, inclusive com autorização expressa do fabricante para cada contratação específica. Considerando o fato de que, para este tipo específico de solução integrada, haverá componentes proprietários, uma vez que incluem van-
Personalização
Entrega
Controle de produção Gestão de estoque Insumos Gestão de desperdícios
· Gestão de entrega · Ativação · Gestão do envio
Auditorias
Estatísticas
tagens competitivas que podem ser considerados segredos industriais, nos parece mais importante que: • Todas as integrações e funções de interoperabilidade obedeçam a padrões internacionais, sejam de protocolo, sejam de técnica de integração de aplicações; • A arquitetura e as técnicas de integração estejam alinhadas, tanto quanto possível, aos padrões preconizados pelo Governo Federal; • Que sejam transferidos, sob forma de treinamento, os conhecimentos necessários a operar e gerir a operação da solução, tanto nos seus aspectos técnicos como administrativos e logísticos, mesmo que estes serviços estejam incluídos no escopo da contratação; • Que a contratação das soluções e produtos esteja amparada por cláusulas adequadas de suporte, manutenção corretiva e evolutiva. Finalmente há que se prever, especialmente nos casos de contratação por serviços, a manutenção da capacidade do estado de continuar a prestação, seja por término de contrato seja por algum problema que implique em rescisão. Qualquer dos casos implicará na transferência/reversão de propriedade dos ativos que compõem a solução global integrada. Também neste fator devem ser previstas, em contrato, atualizações tanto de ativos como de treinamentos de pessoal, no momento da reversão. »» As tecnologias biométricas a serviço da identificação Hoje em dia, a aplicação da tecnologia biométrica em diferentes âmbitos deixou de pertencer à ficção e tornou-se algo habitual e cotidiano, uma ferramenta que os cidadãos já reconhecem e começam a usar com certa predisposição.
A biometria pode ser considerada como um mecanismo eficiente para a disposição das administrações para assegurar e controlar a identidade dos indivíduos. É cada vez mais comum entre as empresas a incorporação de tais mecanismos assegurar a informação sensível ou de acesso restrito, proteger o acesso às zonas controladas, realizar de maneira efetiva o controle de presença dos funcionários e oferecer a autenticação a serviços seguros on-line, tanto a própria pessoa da companhia como a seus clientes, substituindo o mais habitual dos métodos de autenticação como a identificação dos usuários associado a uma senha. Atualmente, os governos dos países mais avançados não somente incorporam diferentes tecnologias biométricas dentro dos passaportes eletrônicos, mas também instituem como indispensável a posse deste tipo de documento para permitir o trânsito internacional. Os passaportes eletrônicos de segunda geração já estão sendo expedidos em países pioneiros, como é o caso da Espanha, incorporando avançados mecanismos que protegem ainda mais as novas informações biométricas presentes no chip do documento. A implementação da nova carteira de identidade, batizada de Registro de Identidade Civil (RIC), e que deverá ser adotada em todo território nacional durante os próximos anos, supõe um grande avanço na adoção de tecnologias biométricas pelo governo brasileiro. A implementação do RIC será o maior projeto de identificação realizado no mundo e causará um grande impacto, uma vez que diminuirá a burocracia dos registros civis, aumentará o nível de segurança nas fronteiras, além de constituir um banco de dados nacional de registro civil.
Não são escolhas triviais e, portanto, precisam ser avaliadas com método e conhecimento. Neste sentido, uma Parceria Público Privada traz mais uma contribuição, uma vez que na etapa de manifestação de interesse a iniciativa privada poderá trazer estudos de viabilidade que facilitem o processo de tomada de decisão do contratante.
Sobre os autores José Augusto de Almeida Filho é gerente sênior de Desenvolvimento de Negócios em Soluções de Tecnologia para os Mercados de Segurança, Transporte e Tráfego e Redes. Mestre em Informática e bacharel em Engenharia Elétrica com especialização em Sistemas pela PUC Rio. Profissionalmente, atuou em Tecnologia da Informação em setores como Nuclear (Nuclebras), Elétrico (Light), e Telecomunicações (Claro e Oi), bem como fornecedor, com foco em soluções, em empresas como IBM, HP, Bearingpoint, Proceda e DBA. Está na Indra desde janeiro de 2008. Tácito Augusto Silva Leite é diretor-executivo de Mercado de Segurança da Indra no Brasil, oficial da Reserva do Exército Brasileiro e vice-presidente da ABSeg. O executivo é pós-graduado em Segurança Empresarial pela Universidad Pontifícia Comillas de Madri; possui MBA em Gestão de Segurança Empresarial pela Universidade Internacional Anhembi-Morumbi e MBA em Sistemas de Informação com ênfase em Segurança de Informações pela UnP. É certificado em Gestão de Recursos de Defesa pela Escola Superior de Guerra – ESG e bacharel e licenciado em História pela UFRN; Certificado DSE (Diretor de Segurança Empresarial) pela UPCO – Espanha e Certificado ASE (Analista de Segurança Empresarial) pela Associação Brasileira de Profissionais de Segurança - ABSeg. Atua desde 1994 na Indra no Brasil. abril - maio - junho 2013 | 73
RESUMO Estamos vivendo um novo momento onde os dispositivos eletrônicos se tornaram muito mais inteligentes e, assim, uma ferramenta poderosa nas áreas de entretenimento, organização de atividades sociais e financeiras e até mesmo navegação inteligente em grandes metrópoles. Esses dispositivos com tecnologia de paralelismo embarcada e centenas de aplicativos produzem um volume vertiginoso de dados. Sendo produtos de uso pessoal, a escala de dados produzidos criou um novo conceito chamado de BIG DATA, ou Grande Volume de Dados. Este conceito representa uma era de desafios e oportunidades ao converter dados brutos, pelo reconhecimento de padrões, em aplicações para uma sociedade mais inteligente nas áreas de energia, mobilidade, segurança, saúde entre outras.
PALAVRAS-CHAVE BIG DATA, IP, SmartPhones, Reconhecimento de Padrões, Processamento Analítico, Inteligência.
ABSTRACT We are living a new moment where the electronic devices have become much more intelligent and thus, a powerful tool for people in the areas of entertainment, organization of social and finance activities, including intelligent navigation in big cities or even in a small parking lot. These new devices with embarked parallelism technology and hundreds of application produce a huge volume of data. As personal devices, the data scale generated a new concept called BIG DATA. The great volume of data existing today represents an era of challenges and opportunities as converting gross data, by pattern recognition, into applications to a more intelligent society in the areas of energy, mobility, security, health among others.
KEYWORDS BIG DATA, IP, SmartPhones, Pattern Recognition, Analytical Processing, Intelligence
74 |
digital
CASO / ARTIGO
Big Data: A nova fronteira para inovação, competitividade e produtividade
por Marcos Alberto de Souza
A
exaustão de endereços IP, que é o identificador de acesso de todos dispositivos que acessam a internet, foi o motivador para o desenvolvimento e massificação do IPv6. Este modelo permitiu a multiplicação de identificadores IP por meio da subdivisão dos endereços de redes. Desta
forma, tornou-se possível atribuir um endereço IP único para tudo que tenha acesso a Internet, tal como smartphones, TV digital, tocadores blu -ray, telefones IP, notebooks, tablets, câmeras fotográficas e de vigilância, videogames, relógios de medição (elétricos e hidráulicos) e refrigeradores, entre outros.
Todos estes equipamentos com seus respectivos firmwares, softwares e aplicações, a maioria para uso individual, produzem uma quantidade avassaladora de dados, que armazenados em nuvem permitem determinar comportamentos, preferências e posição geográfica, bem como os interesses de uma pessoa ou grupo. Um exemplo muito recente é o aplicativo Waze para smartphones e abril - maio - junho 2013 | 75
tablets. Trata-se de uma ferramenta colaborativa de navegação por GPS que viabiliza a interação entre motoristas em vias de tráfego em tempo real, permitindo a análise das notificações destes motoristas, suas respectivas posições geodésicas e sua velocidade média, além de computar o tempo estimado para chegada ou definir rotas alternativas, tudo isso com enorme precisão. Este é um pequeno exemplo do Big Data que identifica padrões a partir de muitos dados e 76 |
digital
transforma em informação útil de forma contínua, visto que os dados mudam de instante em instante e o sistema precisa reprocessar e atualizar as informações de forma dinâmica. De modo geral, o Big Data diz respeito ao trato de dados em grandes volumes, em alta velocidade e grande variedade de fontes de dados. Tão interessantes como ferramentas colaborativas e ativas são as modelagens que utilizam sistemas passivos geradores de dados para determinar uma condição de interesse. No Japão, por exemplo, onde os conceitos de Smart City são concretos, utilizam-se dados gerados por veí-
culos automotores que, quando têm acionado o limpador de para-brisas, enviam um sinal para o departamento de tráfego e de alerta de desastres, que, em parceria com outras fontes de informações, conseguem determinar a formação de condições ideais para ocorrência de bloqueios e até mesmo desastres, levando-se em conta o volume de chuvas representado pelo temporizador de todos os carros em uma via. No setor de energia, o comportamento dos grupos consumidores (indústrias, comércio, população, etc.) associado a variáveis, como as estações do ano, as condições ambientais atuantes, flutuações econômicas etc., permite o planejamento para a geração e distribuição equilibrada e inteligente de energia elétrica para os polos consumidores, com máxima eficiência. O tratamento de dados desta natureza e com este tipo de propósito envolve novos paradigmas de processamento de dados, de programação, de sistema de gerenciamento de banco de dados e da capacidade humana
visualização criadA pela IBM mostra dados organizados em cores e posição em se dotar sistemas com habilidades (“skill”) para identificar padrões onde existem apenas dados brutos. A propriedade de processamento analítico de dados é um valioso bem que algumas poucas empresas e governos já possuem e um dos maiores obstáculos para a massificação da computação analítica de objetos. Na área de segurança pública há um universo muito grande de possibilidades de concatenação de dados, representados por identificadores onomásticos da pessoa, somados à sua biometria papilar e prosopográfica, Este fator, somado a outras informações individuais, tal como um número de telefone, um e-mail, um veículo licenciado, um provedor de TV a cabo e internet, um TAG de passagem em pedágios, um serviço aéreo, permite seguir os passos de um
fugitivo, revelar um falso relato de crime, diagnosticar um comportamento suspeito, entre outras vantagens. É fácil vislumbrar os potenciais de identificação de padrões em um grande universo de dados a serviço das atividades investigativas policiais, sejam na localização de pessoas de interesse ou no desvendamento de crimes sofisticados, em particular aqueles cometidos com o uso de tecnologia. A propósito está é uma das áreas de grande investimento da Administração Obama, através do seu Departamento de Defesa que consome US$ 310 milhões por ano sob o conceito de “realização de grandes apostas em grandes volumes de dados”. Hoje, o maior desafio dentro desta área ainda é a questão da privacidade, pois os dados ficam disponíveis e esparsos em estado bruto. Nes-
te contexto, a legislação atual precisa se adaptar a oferecer amparo jurídico para proteção das pessoas e geração de resultados práticos. Na próxima edição da idigital serão apresentados, em detalhes, casos práticos do uso do BIG DATA hoje em dia.
Sobre o autor Marcos Alberto de Souza é especialista em arquitetura de computadores e algoritmos para processamento numérico de grandezas naturais, com 15 anos de atuação em computação científica para aplicação de Previsão Numérica de Tempo e seis anos em Automação de Sistemas de Identificação. Trabalha para a NEC desde 1987 e atua em projetos de missão crítica e de integração de sistemas.
abril - maio - junho 2013 | 77
RESUMO Os eventos de hoje em dia estão cada vez mais completos e apresentando diversas novidades e tecnologias. Certas ferramentas podem ser utilizadas para identificar quem está no evento, seus gostos, perfil e ainda promover uma interatividade maior com as redes sociais que tornaram parte importante na vida digital dos consumidores.
PALAVRAS-CHAVE Identificação, Controle de Acesso, Interatividade e RFID.
ABSTRACT Today events are increasingly complete and introducing many new features and technologies. Certain tools can be used to identify who is on the event, their tastes, and still promote interactivity with social networks that have become an important part in the digital life of consumers.
KEYWORDS Identification, Access Control, Interactivity and RFID.
78 |
digital
CASO / ARTIGO
Maior sinergia e interatividade em eventos públicos por Claro Pinheiro Policarpo
I
magine o cenário: você entra em um evento, logo na entrada há uma tela com uma mensagem de boas-vindas endereçada a você e sua entrada é automaticamente liberada. Ao se aproximar da loja, consegue fazer compras, sem apresentar nenhum cartão de crédito ou débito, apenas aproximando sua
pulseira de acesso em um leitor. Ao chegar à sala VIP, começa a tocar suas músicas preferidas e o garçom te oferece apenas bebidas que agradam seu paladar. Chegando próximo a um artista, celebridade ou algum ponto importante do evento, um fotógrafo tira uma foto sua que automaticamente é postada no seu Facebook.
Tudo isso e muito mais é possível ser feito através da sinergia de um sistema, como é o caso do Acesse 360 e da tecnologia de RFID (do inglês “Radio-Frequency IDentification”, ou em português Identificação por Radiofrequência). Em termos mais técnicos, o RFID é um método de identificação automática de objetos que utiliza sinais para recuperar e armazenar as abril - maio - junho 2013 | 79
Pulseira com TAG de RFID
informações por meio de dispositivos denominados TAG ou etiqueta de RFID. Para o funcionamento do sistema é necessário ter uma antena e um transceptor, que faz a leitura do sinal e transfere a informação para um dispositivo leitor, além de um transponder, ou seja, etiqueta de rádio frequência, com o circuito e a informação a ser transmitida. A antena transmite a informação, por emissão de sinal do circuito integrado ao leitor, que recebe as informações e converte as ondas de rádio do RFID em informações digitais. Após esta codificação as informações poderão ser lidas e decodificadas por um computador para então ter seus dados analisados e aplicados em diversos mecanismos como a identificação ou rastreabilidade de produtos, pessoas, animais, entre outros. Toda esta tecnologia pode trazer diversos benefícios e facilidades para o universo dos eventos. O consumidor, ao fazer a compra do ingresso de um evento, pode preencher alguns detalhes de suas preferências e cadastro de algumas informações pessoais, como: número de telefone e identificação na rede social, que combinada com ações deste evento pode trazer maior interatividade, como as explicadas abaixo. »» IDENTIFICAÇÃO DO PÚBLICO O consumidor retira sua pulseira na recepção do evento, que no primeiro momento parece apenas uma fita de identificação, ou em alguns casos parece uma pulseira plástica. 80 |
digital
Dentro desta pulseira há a TAG de RFID, com as informações que ele cadastrou na internet. Ao passar pelo portal de entrada, um sensor instalado recebe a frequência com as informações e consegue identificar quem está passando pelo leitor. Tendo um painel eletrônico pode ser apresentada uma mensagem direcionada e até mesmo com o nome do visitante. Esses leitores podem ser espalhados em diversos outros pontos do evento, que conseguem identificar as diversas áreas que a pessoa está visitando. Com isso também pode ser feita a rastreabilidade do indivíduo, ou seja, o evento pode ser todo mapeado e pode ser identificado quem está entrando em determinada área, por quanto tempo ele permanece neste local, se está consumindo algo e se tem permissão para estar nesta área. No quesito de autorização, esta identificação pode fazer com que a pessoa seja até mesmo barrada, como por exemplo, o acesso de menores em determinados locais não permitidos. »» PAGAMENTO COM CRÉDITOS Pode ser feito o cadastramento de créditos na pulseira antecipadamente para facilitar a compra de algum artigo dentro do evento, o que pode ocorrer na compra do ingresso, ou até mesmo em algum posto específico no evento, através do seu
cartão de crédito ou débito, onde ele paga antes pelos créditos. À medida do consumo, os débitos são lançados neste sistema que atualiza automaticamente a pulseira com RFID. Para que o valor seja debitado, o consumidor deverá aproximar sua pulseira do leitor como forma de autorização do pagamento do item desejado. Esta leitura pode ser feita através de um simples leitor de MIFARE, que estará codificado para fazer a transação do débito em questão, o que torna o ambiente mais seguro, pois somente é aprovado o pagamento na aproximação do leitor (leitura feita em no máximo cinco centímetros de distância). »» COMPARTILHANDO O consumidor deverá preencher seus dados da rede social na mesma fase da compra do ingresso. Preenchendo os dados, será necessário assinalar uma autorização de acesso à rede. Cadastrando estas informações a pessoa não está divulgando e assim deixando vulnerável sua senha da rede social, pois ela entra criptografada, impossibilitando sua identificação. Para a liberação da postagem da foto na sua conta de rede, basta à pessoa aproximar sua pulseira como uma espécie de autorização, para que a postagem ocorra automaticamente.
sobre o autor Claro Pinheiro Policarpo é diretor de Operações e Marketing da Thomas Greg. Atua há mais de 23 anos na área de Cartões e Meios de Pagamento.
BRASÍLIA, 24 DE OUTUBRO
realização
organização
IMPA Fortaleza (CE) fotos: Lucy Sales
Edson Rezende (ABRID)
Marcelo Ortega (INI/DPF) Mesa com participantes
A partir da esquerda: Ana Lúcia (INI), Maximiano Leite (Pefoce) Lidia Maejima (TJ/PR) e Carlos Saraiva (Conadi)
Alessandra Ferreira (INI/DPF)
A partir da esquerda: Israel Aureliano (II/PB), Everett Ferreira (II/SE), Nazareno Medeiros (II/RN), Marcus Vinicius (Intelcav), Jandir Leão (II/PE), Amador Barros (Gemalto) e Cassiano Garcia (Gemalto)
Jair Fernandes (Celepar)
Mesa com participantes
A partir da esquerda: Aldair da Rocha (Secretário de Segurança do RN), Nazareno Medeiros (II/RN), Edson Rezende (ABRID), Joao Batista Santos (SSP/SE) e Carlos Saraiva (Conadi)
Participantes
Newton Rocha (II/PR)
Andre Barreto (Serasa)
A partir da esquerda: Sandra de Souza (II/TO), Alessandra Ferreirra (INI) e Marcelo Ortega (INI)
Francisco Chagas Magalhães (SSP/PI), Ana Lúcia (INI), Maximiano Leite (Pefoce) e Lidia Maejima (TJ/PR)
A partir da esquerda: Marcos Alberto (NEC), Orlando Arouche (II/MA), Andre Barreto (Serasa), Marcia Moratona (Serasa) e Anders Hartington (Serasa)
Carlos Colodoro (ABRID)
Eduardo Lacerda (ITI)
A partir da esquerda: Leila Cristiane (II/PI), Socorro de Araújo (II/BA), Sandra de Souza (II/TO), Maria Madalena (II/AL), Aurimar Barreto (II/CE), Ana Lúcia (INI) e Alessandra Ferreira (INI)
Cel. João Vasconcelos (SSP/CE) e Aldair da Rocha (Secretário de Segurança/RN)
Carlos Saraiva (Conadi) e cel. João Vasconcelos (SSP/CE)
Marcos Alberto (NEC)
Orlando Arouche (II/MA) e Carlos Saraiva (Conadi) Janine Zancanaro (INC)
Marcos Alberto (NEC) e Orlando Arouche (II/MA)
em participar do MBA
Felipe Itaborahy (Mpog), Edson Rezende (ABRID), Helvio Peixoto (MJ)
Coffee break
Aldair da Rocha (Secretário de Segurança/RN)
Ulisses Catunda (SR/DPF/CE), Israel Aureliano (II/PB) e Everett Ferreira (II/SE)
A partir da esquerda: Nazareno Medeiros (II/RN), Edson Rezende (ABRID), Orlando Arouche (II/MA), Aldair da Rocha (SSP/RN) e Carlos Saraiva (Conadi)
Orlando Arouche-II/MA e Edson Rezende-ABRID
Edson Rezende (ABRID) e Lidia Maejima (TJ/PR)
Orlando Arouche (II/MA) e Lidia Maejima (TJ/PR)
Edson Rezende (ABRID), cel. João Vasconcelos (SSP/CE) e Carlos Saraiva (Conadi)
Coffee break
Edson Rezende (ABRID) e Francisco Chagas (SSP/PI)
Ana Lúcia (INI), Orlando Arouche (II/MA) e Jandir Leão (II/PE)
Diretores de IIs (a partir da esquerda - fila superior): Claudio Soares (II/BA), Israel Aureliano (II/PB), Nazareno Medeiros (II/RN), Newton Rocha (II/PR), Carlos
Saraiva (II/DF), Orlando Arouche (II/MA), Marcelo Ortega (INI/DPF). Fila inferior: Leila Cristiane (II/PI), Everett Ferreira (II/SE), Socorro de Araújo (II/BA), Sandra de Souza (II/TO), Maria Madalena (II/AL), Aurimar Barreto (II/CE), Ana Lúcia (INI), Alessandra Ferreira (INI) e Jandir Leão (II/PE).
Cards 2013 São Paulo (SP) fotos: divulgação cards