Atualmente temos visto muitas ações de hackers a grandes empresas e instituições governamentais, não somente no Brasil mas também em países desenvolvidos. O grande ponto em voga nessas situações são a proteção dos certificados digitais – o recurso de legitima negociações comerciais na Internet, não somente no caso de fraudes em compras, mas também no uso ilícito de dados roubados (inclusive venda dos mesmos a terceiros). Muito se fala sobre LGPD há alguns anos (você também pode ler mais sobre isso no nosso artigo LGPD: sua empresa está adequada?), e essa questão de cyber segurança está totalmente ligada aos certificados digitais.
O site Programadores do Brasil entrevistou recentemente Leonardo Tocco, especialista em transformação digital do Massachussetts Institute of Technology (MIT) e CTO da Whom?, startup gerenciadora de certificados digitais criada pela Doc9, lawtech líder na gestão de demandas jurídicas e administrativas. Segundo ele, nem sempre um ataque cibernético é realizado por algum hacker do outro lado do mundo, mas cada vez é mais comum que esse dano seja causado por um prestador de serviço ou até mesmo um próprio colaborador. Com isso, a necessidade de realizar treinamentos de equipes, estabelecer passos para gestão de crises (como estudos de dados causados) e adotar medidas de segurança detalhadas são ações que minimizam os cibercrimes.
Leonardo Tocco explica que “o objetivo é ajudar na atuação do compliance, respeitando a LGPD à medida que contemos vazamento de dados, usos indevidos de dados sensíveis e identificamos falhas, avaliamos os riscos aos quais a empresa está submetida, de acordo com o uso do certificado digital”. O compliance digital é uma tendência global, pauta da ONU para o Desenvolvimento Sustentável, para garantir a tomada de decisão responsiva e representativa em todos os níveis, com a adequação das empresas às leis e regulamentos de suas atividades.
Todo cuidado é crucial no tratamento de certificados digitais. Proteja sua senha privada do certificado, evitando deixá-la de fácil acesso aos demais. Crie senhas rigorosas, fortes e seguras: sem números consecutivos, com caracteres variados. Se necessário compartilhar o certificado (evite-o o fazer sempre, e não permita que saia para fora da sua organização), jamais deixe a senha com armazenamento automático no browser – dessa forma você terá que inseri-la a cada ação e terá controle sobre seu uso. Uma vez que alguém tenha acesso ao seu certificado, todos os passos terão sua identificação (dados pessoais/corporativos relevantes e delicados), o que é bastante arriscado e, em dependendo da índole de quem o usa, prejudicial. “É importante entender que o certificado digital é como se fosse uma chave digital que abre muitas portas importantes”, ela terá livre acesso a tudo que diz respeito à sua identificação, define o especialista.
Os certificados digitais possuem uma “trava” como proteção a acessos indevidos, como por exemplo, inserir três vezes a senha errada. Nesses casos, é preciso digitar a PUK (PIN Unlock Key), um código de oito dígitos que funciona como uma ferramenta de recuperação do documento. Porém, caso você também digite erroneamente esse código três vezes, seu certificado é automaticamente bloqueado. Caso você seja vítima de alguma violação no seu certificado digital, ou em caso de bloqueios como explicado há pouco, entre em contato o quanto antes com a Autoridade Certificadora que o emitiu solicitando sua anulação – muitas vezes basta entrar no site da Autoridade e comunicar a primeira senha criada.