Bom dia SathelerQuanto à questão 1, eu também ainda tenho dúvidas a respeito, mas minha idéia principal de implementação é a montagem do registro em forma textual em uma stream, um arquivo em memória por exemplo no formato texto ou xml ou mesmo um pdf, acho interessante uma stream em pdf porque pode conter de forma legível figuras e caracteres fora da faixa latina, e esta stream pode ser transitada para a certificação, deixo aberto aqui uma discussão a respeito de como fazer ou como não fazer. Fazendo desta forma que falei, vc terá o registro validado da mesma forma que um pdf qualquer, mas note que vc terá que guardar algumas informações na base de dados: vc terá que ter a stream armazenada para o caso de em algum momento precisar verificar a autenticiadade dela fazendo no sistema um tipo de link entre o campo e a stream, terá que ter também na base, dados que comprovem a validação da sua stream (informações sobre o certificado raiz, cadeias de certificação, certificados dos signatários, informações de revogação... similar ao item NGS2.02.09 do manual), desta forma vc sabe dizer se o campo está ou não certificado. Porém a maior dúvida na verdade pode ficar em vc saber se um campo deve ou não ser alvo de certificação, veja que no caso de uma anamnese onde o médico assina, todos os campos serão objetos de certificação, mas note que no prontuário em papel fisicamente há muita informação que não necessita assinatura, logo a comissão de prontuários acredito que é a melhor fonte de aprovação do que deve e do que não necessita ter certificação através de um ICP-Brasil, veja por exemplo o caso do atendente de balcão alterar o campo de RG de um paciente, será que este campo deve ser enviado e ter uma certificação através de um certificado digital para dizer que o atendente X foi quem alterou aquele campo ? Pior do que a dúvida principal da questão 1 na verdade é saber o que deve obrigatoriamente ser certificado.
Quanto à questão 2, sim, vc pode usar o componente da Microsoft ou até fazer você mesmo um, mas o componente tem que ser aquele compatível homologado para reconhecer o certificado que tem que ser somente aquele aceito para S-RES do Brasil, ou seja, compatível para certificados digitais padrão ICP-Brasil. Ao que entendo se vc mesmo fizer o seu próprio componente para reconhecer o certificado ICP-Brasil, vc terá que antes de certificar o teu S-RES homologar primeiro o teu componente junto ao ICP-Brasil, veja item NGS2.02.08. Eu não cheguei a pesquisar o site do ICP-BRASIL mas acredito que deva ter algum link para verificar quais são os componentes homologados, de qualquer forma fazendo uma consulta junto ao órgão vc poderá descobrir.
Quanto à questão 3, depende... se o teu sistema for obrigado somente ao nível 1 de segurança, entendo que pode autenticar somente com username e senha, sem usar um certificado digital para fins de autenticação, mas note que se for um usuário que assina digitalmente alguma coisa no sistema, será então obrigado a se autenticar através de um certificado digital. Leia o manual das normas NGS-1 e NGS-2 para melhor esclarecimento, o login deve ser registrado de alguma forma no sistema a dar confiabilidade à auditoria dos logins e logoffs realizados pelos usuários, eu particularmente acho que a forma/método que o usuário se autenticou (com certificado ou sem certficiado) deve ser registrada de qualquer forma, até porque é uma informação fácil de deixar no sistema, o manual fala um pouco sobre os logs que o sistema deve ter..
Roberto Novakosky
----- Original Message -----From: Junior SathelerSent: Tuesday, August 03, 2010 6:44 PMSubject: [sbis_l] Duvidas : Certificados digitais e assinaturas digitais (usando smartcard)Estou usando um smartcard - e-CPF para testes.
Alguém aqui pode me dá uma "palhinha" a respeito de certificação digital para o SRES ? Existe varias empresas vendendo componentes COM+ DOTNET e rotinas JAVA para leitura digital e certificados.... Também existem coisas livres na internet ou mesmo componentes da própria Microsoft (CAPICOM) e outros.
Eu achei varias rotinas em DOTNET e JAVA para assinatura digital e leitura de certificados digitais mas ainda não estou seguro do uso disto na minha aplicação no login e qdo assinar um exame por exemplo.
Eu sei, e até já testei, que qualquer arquivo do meu filesystem pode levar uma assinatura digital.
Então vai a 1a duvida..... Meu banco de dado pode até armazenar por exemplo um exame/prontuario/etc em um arquivo PDF assinado em PKCS e outros formatos (Exemplo: prontuario_maria_da_silva.pdf , exame_pedro_silva.doc, exame_patricia.exe ) e eu até poderia recuperá-lo facilmente do banco de dados sem problemas....... mas como seria, por exemplo, assinar um simples conteúdo (descricao livre) de um campo VARCHAR / CHARACTER em uma tabela do meu banco de dados contendo um exame, prontuário(PEP), etc....... quando este NAO é um arquivo e sim apenas um CAMPO DO BANCO, talvez em formato qualquer ( exemplo: RTF, HTML, etc). É possivel isto ?
2a duvida é .......... é exigência da SBIS que as rotinas de leitura de leitura de certificados e assinaturas digitais sejam de um software/componente vendido pela CERTSIGNER, SERASA e outros fornecedores ou eu poderia usar recursos da propria MICROSOFT no DOTNET e/ou software livres ?
3a duvida e ultima..... no login (exemplo: Porta e-CAD da receita federal --> https://cav.receita.fazenda.gov.br/scripts/CAV/login/login.asp ) pede o PIN qdo acesso... eu precisaria colocar em auditoria de login dados do cartão, validade, etc ?
Obrigado a todos pela atenção
0 comentários:
Postar um comentário