regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

domingo, 9 de novembro de 2014

Nos Mudamos para cryptoid.com.br


O CryptoID nasceu da evolução do Blog Certificação Digital que desde 2010 trata de Certificação Digital, aplicações de uso, normas e padrões.



O CryptoID vem com uma proposta muito mais ampliada. Tratamos de Criptografia e Identificação Digital. Falamos de Certificação Digital, Biometria, Documentos eletrônicos, Assinatura Digital, Certificados SSL etc, com a visão do mercado brasileiro e internacional. Apresentamos cases sobre segurança da informação e uso de tecnologia de identificação digital e contamos com um leque de colunistas que são os maiores especialistas do assunto no Brasil

É um projeto que conta com o apoio de empresas mantenedoras para levar conhecimento aos usuários e trocar experiência entre e os profissionais da tecnologia da informação e especialistas em normatização do uso e aplicações dessas tecnologias.

O CryptoID é dirigido por profissionais com experiência no mercado de Tecnologia da Informação e em especial Certificação Digital.

Susana Taboas, dirige a área de relacionamento e operações, Ivan Marasco é diretor de produtos e eu Regina dirijo a área mais divertida que a  área de conteúdo.

Escrevo esse Blog há muitos anos com paixão pelo tema, mas de forma amadora e agora terei um grande desafio de escrever com mais regularidade, prestar mais atenção em textos e procurar levar ao meus leitores muito mais informações. 

O Blog atual tem muito conteúdo e estamos migrando aos poucos.  Ainda não lançamos oficialmente o CryptoID mas como você já é de casa, dá  uma espiadinha agora lá e se cadastre, ok? Já estou  publicando matérias novas lá.


Me mande suas sugestões! regina@cryptoid.com.br

Regina


sexta-feira, 24 de outubro de 2014

Cheque seu SSL e sua CSR






Cheque sua CSR


 Fonte: SSL TOOLBOX SYMANTEC

Instalação e Manutenção do seu certificado SSL

Aqui você encontra as instruções feitas pela Symantec para a manutenção de seu certificado SSL, bem como alguns erros comuns que ocorrem nas plataformas de software de servidor mais utilizadas no mercado.

Se seu software de servidor não está listado abaixo, consulte a base de conhecimento da Symantec. Outra opção é você procurar diretamente seu fornecedor de servidores web e com certeza ele terá mais conhecimento do seu próprio software.

Apple lança aviso de segurança para o iCloud para ajudar a proteger os usuários



Ao longo dos últimos dias tem havido relatos de uma série de ataques contra o iCloud, com os ataques supostamente vindo da China, e interceptando os usuários que estavam assinando o iCloud na web.

Agora, a Apple emitiu um aviso de segurança dizendo às pessoas para ter atenção, e confirmando que nenhum dos seus servidores do iCloud foram comprometidos durante os ataques.

“A Apple está profundamente empenhada em proteger a privacidade e segurança dos nossos clientes. Estamos cientes dos ataques organizados através de certificação digital insegura para obter informações do usuário, e levamos isso muito a sério. Estes ataques não comprometam servidores do iCloud, e eles não têm impacto no sinal do iCloud nos dispositivos com iOS ou Macs com OS X Yosemite usando o navegador Safari.

O site iCloud é protegido com um certificado digital. Se os usuários recebem um aviso de certificado inválido no seu navegador ao visitar www.icloud.com, eles devem prestar atenção ao aviso e não prosseguir. Os usuários nunca devem digitar seu Apple ID e senha em um site que apresenta um aviso. Para verificar se eles estão conectados ao site autêntico do iCloud, os usuários podem verificar o conteúdo do certificado digital, conforme mostrado abaixo para o Safari, Chrome e Firefox, cada um dos quais fornece tanto informações e advertências.”

Safari


Quando você está conectado ao site autêntico do iCloud no Safari, você verá um ícone de um cadeado verde na barra de ferramentas ao lado de Apple Inc. Escolha o ícone de bloqueio para ver uma mensagem que diz “Safari está usando uma conexão criptografada para www.icloud .com.” Isso indica que a conexão é segura e você pode se inscrever normalmente.


Se você está se conectando a um site que não é seguro, você verá uma mensagem que diz “O Safari não pode verificar a identidade do site.” Se você ver esta mensagem, não prossiga ou tentar entrar.


Chrome

Quando você está conectado ao site autêntico do iCloud no Chrome, você verá um ícone de um cadeado verde na barra de ferramentas ao lado de Apple Inc. Escolha o ícone de bloqueio para ver uma mensagem confirmando que a identidade do site foi verificada.

Se você estiver se conectando a um site que não é seguro, você verá uma mensagem que diz “A sua ligação não é privada.” Se você ver esta mensagem, não prossiga ou tente entrar.


Firefox

Quando você está conectado ao site autêntico do iCloud no Firefox, você verá um ícone de um cadeado verde na barra de ferramentas ao lado de Apple Inc. Escolha o ícone de bloqueio para ver uma mensagem confirmando que a conexão com este site é segura.


Se você está se conectando a um site que não é seguro, você verá uma mensagem que diz “Esta conexão não é confiável.” Se você ver esta mensagem, não prossiga ou tente entrar.


Você pode encontrar mais detalhes sobre o aviso de segurança do iCloud da Apple em seu site de suporte no link abaixo.

Fonte: Apple 
via www.teciber.com

quinta-feira, 23 de outubro de 2014

Como foi o SSL's Day? Confira e não perca o próximo!



O evento foi ótimo! Precisamos repetir!

A SYMANTEC PROMOVEU DIA 22 DE OUTUBRO 
O EVENTO SSL’S DAY

O Evento teve origem em um debate entre Eder Souza e eu no grupo do Linkedin sobre Certificação Digital que gerencio. Eder participa bastante dos debates do grupo. É consultor de segurança da informação e co-fundador da e-Safer, uma empresa de consultoria de segurança que também fornece certificados digitais SSL’s Symantec.

Como atuei por 15 anos em uma Autoridade Certificadora e pelas questões que chegam para mim por meio desse blog, acabo tendo uma visão privilegiada sobre o que acontece nos bastidores das empresas em relação a aquisição dos certificados digitais SSL e resolvi compartilhar essa experiência com o grupo. Eder e eu trabalhamos juntos por muitos anos na Autoridade Certificadora e tomei a liberdade para provoca-lo a montar uma apresentação técnica sobre SSL direcionada aos profissionais de TI.

Nossa intenção era fazer com que os Cios percebessem a importância de voltarem novamente suas atenções para a aquisição e administração dos SSLs, uma vez que surgem a cada semana novas vulnerabilidades. Por desconhecimento em torno dessa tecnologia, por parte dos técnicos que estão à frente da administração dos certificados, as grandes empresas estão expostas e vulneráveis aos ataques.

Quando comecei a trabalhar com SSL da Verisign em 1999 os CIOs dos bancos e das grandes empresas, pessoalmente, tratavam da aquisição dos certificados digitais SSLs e quem conduzia o ciclo de vida e a administração dos certificados dentro das organizações era a área de segurança da informação. Com do tempo, passamos a ter como interlocutores profissionais de outras áreas e com menos conhecimento sobre a tecnologia. E assisti do outro lado do balcão as dificuldades que atualmente estão passando as grandes empresas que utilizam SSLs.

Então montamos o evento e tivemos o apoio da Symantec.

“Nós da Symantec apoiamos o evento porque é importante proporcionar ao mercado um momento de reflexão. Não exploramos apenas o espectro das vulnerabilidades a que a empresas estão expostas. O programa abordou a evolução das funcionalidades incorporadas aos Certificados SSLs ao logo dos anos e os tipos de certificados, seja pelo procedimento de validação ou funcionalidades. Apontamos ainda durante o evento SSL's Day como a prática de procedimentos e atualizações simples, sem nenhum gasto adicional, podem evitar algumas vulnerabilidades. Também como adquirir o certificado SSL correto, significa muitas vezes reduzir investimento sem comprometer a segurança das empresas.” Afirma o anfitrião do evento, Leandro Vicente que fez uma breve apresentação sobre o mercado de SSL brasileiro e mundial com informações de pesquisas realizadas. Leandro Vicente é Senior System Engineer da Symantec.

O evento foi gratuito e teve suas inscrições esgotadas em poucas horas após o convite,. Foi aberto pelo Leandro, por mim e pelo Willian Bergamo, presidente da e-Safer. Em seguida a apresentação foi conduzida por Eder Souza que seguiu a seguinte agenda:

Desvendando os certificados SSL
- A evolução técnica dos certificados SSL/TLS
- Tipos de certificados SSL/TLS por tipo de validação e funcionalidades
- A diferença entre os Certificados Digitais SSL, WildCard, SAN, EV, EV-MDC e MDC.
- Como CSR sem complicações?
- Quais as Instituições internacionais que regulam as regras das boas práticas de segurança dos servidores web.

Vulnerabilidades: HEARTBLEED e POODLE

O que tá rolando e você precisa entender
- Google dará mais relevância para busca orgânica aos sites com criptografia
- Recall de certificados SSL de SHA1 / SHA-2. Quais as ações que você precisa executar?

Eder se aprofundou na questão da geração das CSRs (Certificate Signing Request) e anunciou um aplicativoe que a e-Safer  desenvolveu  e vai disponibilizar para o mercado para a geração da CSR. Falou ainda da diferença do que eles desenvolveram para o que existe atualmente no mercado. O Aplicativo da e-Safer roda na máquina do cliente sem conexão com a internet e os aplicativos que estão disponíveis a CSR é gerada on line, uma super brecha de segurança.

Segundo Willian Bergamo, presidente a e-Safer, “o evento do dia 22 foi uma excelente oportunidade para apresentar ao mercado  problemas reais e soluções simples para que as empresas se preparem para eventualidades de forma correta. Não só apoiamos esta iniciativa como estamos dispostos a criar encontros regulares para trocar experiências entres profissionais de TI, Também faremos a convite da Regina, um treinamento em cima desse tema e já temos a Symantec como apoiadora desses treinamentos. Acertamos isso durante o evento de ontem”.

Aproveitamos, Susana Taboas, Ivan Marasco e eu para laçarmos oficialmente nosso portal CRYPTO ID ( www.cryptoid.com.br) que será a evolução natural do blog Certificação Digital. Não poderíamos ter escolhido melhor oportunidade para esse lançamento uma vez que a pauta foi sem dúvida uma das minhas matérias prediletas – Certificados Digitais SSL!

São descobertas a cada semana novas brechas de segurança que são entendidas por hackers e rapidamente divulgadas na rede. Essas vulnerabilidades permitem que servidores web sejam invadidos por hackers numa velocidade muito maior que as empresas levam para atualizarem seus sistemas de segurança e para blindarem seus servidores.

Precisamos mudar esse quadro rapidamente. E só com a disseminação do conhecimento poderemos vencer essa guerra.

Em breve faremos outra edição do SSL's Day por que o número de inscrições superou, e muito, nossas expectativas.

Meus agradecimentos especiais a todos que compareceram ao evento, ao Marcelo Dossi que nos prestigiou e ao Dyego Vale e Pedro Amaro que organizaram o primeiro SSL's Day!!

SSL Day é um evento gratuito organizado pelo Blog Certificação Digital/ Portal Crypto Id e apoiado pela e-Safer e Symantec.

Se quiser receber informações sobre o próximo eventos, escreva para mim. regina@cryptoid.com.br 

segunda-feira, 20 de outubro de 2014

Primeiro cartão biométrico de impressão digital

Mastercard anuncia primeiro cartão 
biométrico de impressão digital


A Mastercard, uma das maiores bandeiras de cartões de débito e de crédito do mundo, anunciou o lançamento do primeiro cartão de banco biométrico que permite aos usuários fazer pagamentos em lojas usando sua impressão digital.

Após testes bem-sucedidos na Noruega, a companhia disse que está pronta para começar a oferecer os cartões biométricos para bancos do Reino Unido — e diz que o cartão poderá estar na carteira dos correntistas no ano que vem.

Atualmente, os clientes dos bancos britânicos podem pagar compras de até 20 pounds com cartões de pagamento sem contato (contactless), mas são obrigados a inserir o Pin (número de identificação pessoal) de bens que custam mais. Isso, muitas vezes, faz o consumidor desistir da compra por não conseguir lembrar o seu pin.

Os novos cartões, que foram desenvolvidos em conjunto com uma empresa norueguesa chamada Zwipe, permitirá aos usuários colocarem o polegar no leitor especial contido no cartão e movê-lo sobre o terminal contactless. O leitor de impressão digital do polegar estabelece que o titular do cartão quer fazer a compra — sem a necessidade de inserir o Pin — e pagar por itens de qualquer valor.

Os cartões devem atrair principalmente os consumidores jovens adeptos da tecnologia, mas pode ser um benefício real também para os clientes mais velhos que têm dificuldade de lembrar o Pin de segurança. Muitos ainda anotam o número de identificação em papel, ao contrário de todas as recomendações dos bancos, aumentando, assim, o risco de roubo.

"Nossa crença é que devemos ser capazes de nos identificar, sem ter que usar senhas ou Pins. A autenticação biométrica pode nos ajudar a alcançar esse objetivo — o nosso desafio é garantir que a tecnologia ofereça segurança robusta, simplicidade de uso e conveniência para o cliente", disse Ajay Bhalla, presidente de soluções de segurança da Mastercard, ao jornal The Guardian.

O custo extra dos cartões, que não contêm uma bateria, será suportado pelo banco emissor. Mas a promessa de redução dos níveis de fraude provavelmente vai ajudar a compensar o custo.

No início do ano, a Polônia foi o primeiro país da Europa a introduzir uma rede de caixas eletrônicos (ATMs) com ID por impressão digital. Dois mil dos novos ATMs serão abertos em agências bancárias e supermercados em todo o país neste ano, que prometem trazer o "dinheiro para o seu dedo".

Fonte: TIINSIDE

sábado, 18 de outubro de 2014

Fique longe do Dropbox, Facebook e Google, aconselha Edward Snowden



The Virtual Interview: Edward Snowden - The New Yorker Festival

Sua mensagem é dirigida a usuários individuais e reforça que as pessoas devem buscar ferramentas que realmente utilizam a criptografia para manter a privacidade dos dados.  

Na ultima Quarta-feira, 15 de outubro de 2014, Edward Snowden,  mostrou-se  muito preocupado com a privacidade das pessoas.  Durante uma entrevista em vídeo na noite de sábado para The New Yorker Festival com o The New Yorker  a Jane Mayer, ele aconselhou que as pessoas devem evitar Dropbox, Facebook e Google, a fim de evitar ataques de privacidade nesta era da tecnologia da informação.

Em sua mensagem  ele diz  para que as pessoas fiquem longe  dos serviços web populares como Facebook, Google e Dropbox. Esses serviços podem comprometer sua privacidade.

Enquanto conversava com público Snowden aconselhou que as pessoas "procurem os serviços de comunicação criptografados."

Ele sugeriu que as pessoas devem usar serviços de armazenamento alternativo de alta segurança, como SpiderOak  https://spideroak.com  que criptografa arquivos.

Ele também aconselhou a voltar-se para garantir serviços como Silent Circle https://silentcircle.com/.

Também  recomendou o  aplicativo RedPhone que o envia de textos criptografados através de telefones celulares. RedPhone é um aplicativo para Android que permite a realização de chamadas telefônicas de graça para aparelhos que usam o serviço. Focado em segurança, ele se destaca com uma ferramenta para comunicações de forma privada, no qual duas pessoas podem se falar em segredo. As chamadas são criptografadas e feitas usando a conexão wi-fi de através do pacote de dados, que permite o acesso à internet. 

Assim, sua principal mensagem foi a de que em um nível individual, as pessoas devem buscar ferramentas criptografadas antes de parar de usar os serviços que podem comprometer a sua privacidade. 


Snowden disse ainda que apesar do Facebook e Google têm melhorado muito suas medidas de segurança, eles ainda são serviços perigosos.

sexta-feira, 17 de outubro de 2014

Certificados digitais: atenção a renovação

Cerca de 650 mil documentos emitidos em 2011 e com validade de três anos terão que ser trocados no último trimestre de 2014; mídia usada para armazená-los também será substituída












Certificados digitais precisarão de renovação
Foto: Fotos públicas

São Paulo - Uma estimativa feita pela Boa Vista, administradora do Serviço Central de Proteção ao Crédito (SCPC), aponta que, no último trimestre de 2014, cerca de 650 mil certificados digitais emitidos em 2011, e com validade de três anos, devem ser renovados.

A previsão foi feita com base em dados divulgados pelo Instituto Nacional de Tecnologia da Informação (ITI). A substituição das mídias (cartão e token) também foi ressaltada pela companhia em relação à renovação.

De acordo com Angelo Tonin, diretor de Identidade Digital da Boa Vista, a maior parte das empresas que adquiriu certificados em 2011 era composta por 20 ou mais empregados e precisou se adequar ao uso do certificado digital, em atendimento às normas da Caixa Econômica Federal para a transmissão de arquivos de Recolhimento do FGTS (Fundo de Garantia por Tempo de Serviço) e da Previdência Social (SEFIP e GFIP).

"Há três anos houve um pico de emissões de certificados digitais para atender à obrigatoriedade da Caixa. Como a maioria era de certificados tipo A3, com validade de três anos, estimamos que mais de 650 mil certificados estejam no período de renovação", afirmou Tonin.

"Neste momento, também é importante observar a necessidade da troca da mídia usada para armazenar o certificado, ou seja, cartão e token, pois houve uma atualização na tecnologia dos certificados digitais (cadeia V2), e as mídias em uso antes desta data precisam ser substituídas", complementou o diretor de Identidade Digital da Boa Vista.

Escolha do melhor

Para empresas e escritórios de contabilidade, a Boa Vista sugere o uso do e-CNPJ tipo A3. Para os funcionários vinculados a essas empresas e que trabalharão com as transmissões das informações de FGTS (procuradores), a Boa Vista recomenda informar o PIS nos novos certificados digitais, que devem ser e-CPF.

Para profissionais autônomos, a recomendação também é do e-CPF, desde que tenha o CEI (obrigatório). A empresa recomenda ainda que antes da renovação seja levado em consideração o custo-benefício dos certificados digitais disponíveis no mercado, para que a escolha contemple o que mais se ajusta às necessidades da companhia.

Como fazer

A renovação ou aquisição do certificado digital pode ser feita no www.certificadoboavista.com.br. No portal é possível comprar, agendar o dia e horário para a validação presencial e ainda obter suporte técnico por meio de chat, se necessário. Ao fazer a compra de um certificado digital da Boa Vista, o solicitante recebe por e-mail a confirmação do pedido e os dados do agendamento para a validação presencial.

Ao comparecer ao ponto de atendimento na data agendada, com os documentos obrigatórios, o responsável já sai com o certificado digital pronto para ser usado de imediato. Caso não saiba a validade do certificado digital, o usuário pode acessar o site da Boa Vista também e testar seu certificado acessando o menu inferior da página para obter essa informação, independentemente de qual tenha sido o fornecedor do certificado anteriormente.

Fonte: http://www.dci.com.br/economia/

quinta-feira, 16 de outubro de 2014

Download at your own risk: Bitcoin mine



Recently we have seen an emerging trend among malware distributors - Bitcoin miners being integrated into installers of game repacks.


This type of system hijacking is just one of the many ways to exploit a user by utilizing their system's computing resources to earn more cash. Malware is easily bundled with game installers that are then uploaded and shared with unsuspecting users using torrent download sites. Once a machine is infected, a downloaded Bitcoin miner silently carries out mining operations without the user's consent.


We have seen this technique used by Trojan:Win32/Maener.A. This threat is dropped byTrojanDropper:Win32/Maener.A as a bundle with some games. Some of the torrent files names we have seen bundled with this threat are:


Tom Clancy's Ghost Recon.Future Soldier.Deluxe Edition.v 1.7 + 3 DLC.(Новый Диск).(2012).RepackDon't Starve.(2013) [Decepticon] RePackKings Bounty Dark Side by xatabSniper_Elite_III_8_DLC_RePack_MAXAGENTTROPICO_5Ghost_Recon_Future_Soldier_v1.8_RepackTrials.Fusion.RePack.R.G.FreedomKing's Bounty Dark Side.(2014) [Decepticon] RePackWatch Dogs.(2014) [Decepticon] RePack


These files can be easily acquired by anyone who downloads games from a torrent website. The games are repacked to further lure gamers to download the compressed files for free. The installer that we detect as TrojanDropper:Win32/Maener.A is available in Russian and English languages only. It seems to be primarily affecting Russian users, as shown by its infection telemetry.

Figure 1: The five countries with the highest number of detections


An example of the game installer execution is depicted in Figure 2. When the installer application (setup.exe) is run, Trojan:Win32/Maener.A also executes in the background and downloads its Bitcoin mining components.



Figure 2: An example of a game installer. When run, the installer also executes the malware payload
Trojan:Win32/Maener.A can be found running under the filename ActivateDesktop.exe. It uses this reputable file name in order to hide its true identity. When run, it connects to a remote server, eventually downloading a Bitcoin miner and installing it on the system.


The Bitcoin miner is installed as connost.exe and can be launched with the command prompt:Connost.exe -a m7 -o stratum+tcp://:port -u -p .
We have also seen this miner use the file names minerd.exe, svchost.exe and winhost.exe.
Trojan:Win32/Maener.A also adds the following registry entry to enable its automatic execution at every system startup:


HKCU\Software\Microsoft\CurrentVersion\RunGoogleUpdate_CF4A51A46014ACCDC56E3A64BAC64B76 = c:\Trash-100\ActivateDesktop.exe
To help stay protected, we recommend you to install an up-to-date, real-time protection security product such as Microsoft Security Essentials, or Windows Defender for Windows 8.1. And, most importantly, only download from legitimate and reputable sources.
Donna SibanganMMPC
SHA1s3e4c9449d89c29f4e10186cc1b073d45d33c5f83ebcd1aa912dfe00cb2d41de7097dedd1f9ab9127f6b98be4091d108c6195ac543bf949ba3cffb8bf

Particularidades da petição inicial e defesa no PJe-JT



Em 2006, os órgãos do Poder Judiciário foram autorizados a desenvolver sistemas eletrônicos para o processamento de ações judiciais, utilizando a rede mundial de computadores, com a sanção da Lei Federal 11.419. A lei abrange os processos cível, penal e trabalhista, bem como os juizados especiais, em todas as instâncias, trazendo para o Poder Judiciário a tecnologia necessária para acompanhar o desenvolvimento mundial e suas novas modalidades de organização e comunicação.

Algumas normas de cunho processual tiveram de ser relativizadas e modificadas, a fim de atender as necessidades do meio eletrônico, como a assinatura, a comunicação dos atos processuais e os prazos processuais.

A assinatura, tanto do advogado quanto a do magistrado ou servidor, passou a ser aceita na forma eletrônica, desde que baseada em certificado digital emitido pela autoridade certificadora credenciada e com cadastro de usuário no Poder Judiciário.

A comunicação dos atos processuais passou a ser feita através de publicação nos Diários da Justiça eletrônicos, criados pelos tribunais, que substituíram qualquer outro meio de publicação oficial, salvo os casos que exigem intimação ou vista pessoal.

O diário é disponibilizado em um dia e, no dia seguinte, considera-se a sua publicação, iniciando a contagem do prazo no primeiro dia útil seguinte e finalizando apenas às 24h do dia final para o prazo, uma vez que o protocolo também passou a ser eletrônico, através da internet.

Especificamente no âmbito da Justiça do Trabalho, cada tribunal regional passou a desenvolver seu próprio sistema para protocolos e consultas das ações judiciais, mesmo que os processos permanecessem físicos.

De acordo com os recursos e organização de cada regional, foram surgindo portais para protocolo e consulta de ações. Posteriormente, buscando a evolução dos sistemas e com o intuito de unificar o procedimento eletrônico utilizado na Justiça do Trabalho, foi desenvolvido um sistema processual capaz de tornar plenamente eletrônico o processo trabalhista, o PJe.

O Conselho Superior da Justiça do Trabalho, em 23 de março de 2012, através da Resolução 94, instituiu o Sistema Processo Judicial Eletrônico da Justiça do Trabalho (PJe-JT) como sistema de processamento de informações e prática de atos processuais, estabelecendo os parâmetros para sua implementação e funcionamento.

A Vara do Trabalho pioneira na utilização do PJe-JT foi a 1ª Vara do Trabalho de Caucaia(CE), que enfrentou os desafios de uma mudança brusca, quando, do dia para noite, deixou de processar autos físicos, como já fazia há décadas, para desbravar a atuação em processo completamente eletrônico.

Gradativamente, o PJe-JT foi se estabelecendo de vara em vara, até chegar à segunda instância e Tribunal Superior do Trabalho, trazendo inovações e consequentes desafios diários com o uso da tecnologia.

Além dos desafios de ordem tecnológica e de informática, os operadores do direito do trabalho (servidores, juízes e advogados) tiveram (e ainda têm) de enfrentar batalhas para adequar o processo do trabalho às particularidades encontradas no procedimento eletrônico.

A iniciativa no processo do trabalho é dada através da petição inicial ou reclamação, conforme intitulação dada no artigo 840 da CLT. A petição inicial, assim, é a materialização do ato (no sentido de manifestação da vontade) de se exercitar o direito de ação e é, ao mesmo tempo, o ato introdutório do processo.

Antes de instituído o processo eletrônico na Justiça do Trabalho, podia ser visualizado mais facilmente as determinações do artigo 840 da CLT quanto à forma de apresentação da reclamação. A petição inicial deverá conter duas vias, pois uma delas será a peça inaugural e a outra a contrafé, isto é, a peça que será entregue ao réu juntamente à notificação citatória. Havendo pluralidade de réus, a petição inicial deverá conter o número de vias correspondentes.

No processo eletrônico, há a distribuição e emissão de recibo e ciência da vara para qual foi distribuída, número do processo gerado e, na maioria das vezes, ciência da data da audiência marcada. Uma vez que o comprovante do protocolo se dá com a consulta processual em si, não é necessária a contrafé, antigamente carimbada como protocolo da exordial.

Escolhida a opção pela apresentação da petição inicial escrita devem ser atendidos os requisitos entabulados no artigo 840 da CLT, quais sejam: (i) a designação do juiz a quem for dirigida, (ii) a qualificação do reclamante e do reclamado, (iii) uma breve exposição dos fatos, (iv) o pedido, (v) a data e a assinatura do reclamante ou de seu representante.

O primeiro requisito visa a aferição da autoridade competente para processar e julgar a reclamação. Nas localidades em que existem mais de uma vara competente, deve-se deixar espaço em branco, pois o processo será ainda distribuído, o que hoje ocorre na forma eletrônica e seguido do protocolo digital.

A qualificação das partes deve conter para o autor (pessoa física) o nome completo, nacionalidade, estado civil, profissão e endereço completo. Com o PJe, como os dados do processo são preenchidos por quem o ajuíza, acaba por ser obrigatório acrescentar ao cadastro da petição inicial, o CEP, que localizará o endereço e ao menos um documento de identificação, que normalmente é o CPF, uma vez que o sistema está interligado com a Receita Federal, que fornece a qualificação restante.

Para qualificação da parte adversa, normalmente pessoa jurídica, deve-se informar a razão social da empresa, a personalidade jurídica de direito público ou privado, o CNPJ e endereço completo, sendo desnecessária nesse momento processual, a indicação dos sócios da empresa. No cadastro da inicial no PJe, ainda existe a possibilidade de indicar que a reclamada está em local incerto e não sabido, capaz de ensejar a notificação por edital, a depender do rito do processo.

A qualificação das partes deixou de ser apenas um requisito da exordial, passando, com o PJe, a ser condição essencial para ajuizamento da ação, uma vez que, sem o preenchimento da qualificação completa, é impossível prosseguir com o protocolo da inicial no sistema.

Em seguida, exige-se a exposição dos fatos, de maneira breve, clara e precisa, capaz de indicar os motivos do pedido, não sendo obrigatória a exposição dos fundamentos jurídicos do pedido.

Em relação ao Sistema PJe, cumpre ressaltar que é necessária a indicação da matéria da petição que se pretende protocolar, que não deixa de ser uma extensão da exposição fática e dos pedidos, também precípua para prosseguimento do protocolo eletrônico.

Por fim, o último requisito expresso da CLT, é a data e a assinatura. Ou seja, a data em que foi elaborada e/ou apresentada a petição inicial e a assinatura do reclamante, quando do exercício do jus postulandi, e do patrono do autor.

Em relação à assinatura, cumpre ressaltar que, com a chegada do processo eletrônico, a assinatura deve ser na forma eletrônica, ou seja, baseada em certificado digital, emitido por autoridade certificadora credenciada, bem como mediante cadastro de usuário no Poder Judiciário.

Na petição inicial ou qualquer outra incidental só é necessário que o patrono tenha procuração nos autos e a assinatura na forma digital, posta pelo próprio sistema de protocolo, com base nas informações do certificado digital, válida com os mesmos efeitos da assinatura física. A assinatura digital do advogado, confere aos documentos anexados ao processo eletrônico autenticidade, não necessitando agora da autenticação em cartório.

Contudo, recomenda-se que os originais dos documentos digitalizados deverão ser preservados pelo seu detentor até o trânsito em julgado da sentença ou, até o final do prazo para propositura de ação rescisória, caso admitida, de acordo com o artigo 13, parágrafo 2º da referida lei.

Por fim, por mais que não seja requisito essencial elencado pela CLT, o valor da causa passou a ser obrigatório no protocolo de inicial no sistema PJe, uma vez que é campo de preenchimento obrigatório para finalizar o cadastro do processo no sistema.

Os requisitos da petição inicial no processo do trabalho, enfim, possuem caráter simplório, tanto pela natura da ação, quanto pela possibilidade de o próprio trabalhador, ajuizar a demanda sozinho, sem a assistência de advogado.

Além do que, existem certas varas que se negam a atender partes sozinha a fim de reclamar, alegando que existe campo próprio para isso no Sistema PJe. Assim, diante das barreiras encontradas, principalmente para os reclamantes que pretendem se utilizar do jus postulandi, esse direito garantido cai cada vez mais em desuso.

Dessa forma, alguns requisitos precípuos da petição inicial desde a entrada em vigor da Consolidação das Leis do Trabalho tiveram de ser relativizados, com a estrutura alterada, ao menos em parte, buscando a maior celeridade e eficácia processual.

Em atenção ao contraditório, da petição inicial é oferecida ao réu a oportunidade de resposta, a contestação. A contestação deve observar os mesmos padrões da inicial, mas na forma verbal, em audiência, no prazo de vinte minutos, conforme artigo 847 da CLT. Todavia, usualmente a contestação é apresentada na forma escrita, devendo ser juntada, teoricamente, em audiência, segundo o mesmo artigo da CLT.

Com o PJe, os advogados devem apresentar as contestações e documentos até antes da audiência, não mais na própria seção. Todavia, diante das indisponibilidades do sistema, apresentadas principalmente no início da implantação do sistema, alguns juízes utilizaram do bom senso para aceitar as defesas, mesmo que impressas ou digitalizadas na audiência, ou até mesmo concedido prazo para juntada posterior.

O prazo para apresentação da exceção é o mesmo da defesa, mas por razões lógicas, antes dela, visto que se trata de defesa indireta, antes de adentrar no mérito da causa, o que será feito diretamente pela contestação.

Entretanto, no PJe, por questões procedimentais, tanto a exceção quanto a contestação são apresentadas juntas, impossibilitando uma prerrogativa do reclamado de só adentrar no mérito da causa em momento posterior à decisão da exceção, já que a peça contestatória fica disponibilizada nos autos eletrônicos junto da exceção.

Ademais, tendo em vista que no PJe a defesa é anexada aos autos antes da audiência, a parte contrária já tem acesso a toda documentação e argumentos de defesa antes mesmo da audiência, o que pode gerar transtornos para as partes, que são motivos de controvérsias a ser estudados pela doutrina.

Uma das controvérsias é a possibilidade ou não de desistência da ação pelo reclamante após a apresentação (e juntada, já que imediata no processo eletrônico) de defesa pela parte reclamada, uma vez que o parágrafo 4º do artigo 267 do CPC, prescreve que “depois de decorrido o prazo para a resposta, o autor não poderá, sem o consentimento do réu, desistir da ação”.

Sobre o sigilo, cabe ressaltar que foi sim uma prerrogativa trazida pelo sistema PJe, no artigo22 da Resolução Normativa 94 do CSJT, para tentar sanar o vício da disponibilização da defesa e documentos antes da audiência, entretanto, muitos magistrados de primeiro grau assim não entenderam, fazendo recomendações expressas de que os advogados não se utilizassem dessa opção na defesa, sob pena de ser inclusive considerado revel.

Tanto é assim que alguns tribunais emitiram recomendações, no quadro de avisos do PJe, para que as partes não se utilizassem do recurso de sigilo em defesa, devendo utilizá-lo apenas se a matéria fosse relativa ao segredo de Justiça.

Esses e mais alguns desafios estão sendo enfrentados nas varas do trabalho diariamente e necessitam de tempo para que os entendimentos e interpretações sejam pacificados.

Importante destacar que, embora enfrente dificuldades de adaptação, a inovação do PJe trouxe ganhos indescritíveis à celeridade e qualidade do processo trabalhista. As críticas existem e mostram que ainda existe muito que evoluir, tanto na jurisprudência quanto doutrinariamente, sobre o tema, todavia toda mudança traz consigo desafios, que só o tempo e ocaso concreto poderão trazer soluções adequadas.

Enfim, a economia processual e facilidade de acesso ao processo são benefícios cristalinos trazidos com o PJe, que, por si só, já são bastantes para que o sistema não só permaneça, como também seja implantado nos outros ramos de processo do país.

Fonte: http://www.conjur.com.br/ 
13 de outubro de 2014, 7h24
Por Fernanda Brandão

segunda-feira, 13 de outubro de 2014

Tipos de Certificados SSL para proteger seu site

Vale a pena ler de novo!
Matéria Publicada em 2013

Apesar de todos os avanços tecnológicos, incluindo o crescimento das transações comerciais no ambiente virtual, a questão da segurança para usuários e empresas ainda é um fator preocupante, pois muitos consumidores ainda não sabem identificar uma loja idônea daquela que pode prejudicá-los.

Porém, para ajudar neste momento e não perder vendas, os varejistas da internet já podem contar com os Certificados Digitais, ferramentas que identificam pessoas, empresas, equipamentos, aplicações e sites. Para plataformas de e-commerce a solução traz até mais de uma função. “Para os sites, o Certificado Digital tem duas funções: identificar de forma inquestionável o site e estabelecer uma conexão segura entre o visitante e os servidores do site por meio de um canal de criptografia”, evidencia Regina Tupinambá, Diretora Comercial e Marketing da Certisign Certificadora Digital ao E-Commerce News.

Regina
Regina explica ainda que no segmento de e-commerce, os Certificados para Servidores Web ou simplesmente Certificados SSL/TLS, são os que identificam os web sites e garantem a autenticidade, privacidade e a integridade dos dados de um portal na rede, proporcionando aos visitantes a garantia de que estão realmente acessando um site original e seguro, e não a uma cópia operada por criptografia, possibilita a prática do comércio eletrônico de forma segura e é sinalizado pelo Selo Site Seguro – cadeado que aparece fechado na barra inferior do browser; “S” na URL HTTPS ou a barra do navegador na cor verde.

Quando você está em uma página com SSL, por exemplo, observe a barra de endereços.

O HTTP:// mostra HTTPS://. Desta forma, ao acessar um site, o internauta deve atentar para essas características, pois, estes sinais atestam que a comunicação entre o usuário e o site é protegida por criptografia e não pode ser interceptada por terceiros Ou seja: é um ambiente seguro para efetuar compras e navegar tranquilamente”, assegura a diretora.

De acordo com ela, existem três classes de Certificados SSL, e vale aos varejistas, observar que a classificação está diretamente relacionada à forma como a titularidade do certificado é verificada e validada. “O valor do Certificado Digital SSL –Secure Sockets Layer, está no processo de validação das credenciais da organização para a qual será emitido o certificado. A diferença entre os certificados, fundamentalmente, é a validação de propriedade do domínio para o qual será emitido o certificado”, esclarece.

São eles:

Auto-assinados (self-signed) - Certificados gerados pela própria empresa. São de uso interno e não possuem interoperabilidade com os navegadores de internet.

Validação de Domínio (domain validated) – A Autoridade Certificadora apenas valida, de forma automática, a existência do domínio. A validação é feita com base nos dados cadastrados na entidade responsáveis pelo registro de domínio.

Validação de Organização (fully authenticated) – A Autoridade Certificadora valida se a empresa solicitante do Certificado SSL é proprietária do domínio configurado na solicitação do Certificado, se a entidade é legalmente constituída e se a pessoa que solicitou certificado tem poder para efetuar o pedido.

Para as operações no comércio eletrônico, os certificados com Validação de Organização (fully authenticated) são os mais indicados por proporcionarem maior segurança à empresa, aos usuários e aos clientes. “Além de certificar que a empresa está legalmente constituída, assegura que a mesma está em operação e que o domínio do Certificado é de sua propriedade”, justifica Regina Tupinambá

É possível encontrá-los em duas categorias:

Certificados SSL/TLS – se apresenta por meio da figura de uma chave ou cadeado na barra do browser para indicar a comunicação segura.

Certificado SSL/TLS EV (Extended Validation) – se apresenta por meio das cores nos navegadores da web: verde para seguro e vermelho para sites com algum problema de identidade.

A diretora enfatiza ainda que estes certificados são acompanhados pelo selo de segurança das Autoridades Certificadoras emissoras, mas, adverte que apenas o selo não é garantia de proteção. “O visitante deve verificar se o selo é verdadeiro.

A verificação leva menos de 5 segundos e, as empresas precisam entender o quanto a ação de educar os clientes e usuários a verificarem os selos pode beneficiá-las. O clique e verifique dá muito conforto aos visitantes e faz com que pesquisas transformem-se em compras”, garante.

Atenção redobrada na escolha:

É importante observar também que os Certificados Digitais de Validação de Domínio (domain validated) não trazem valor às relações de confiança na internet. Pelo contrário, confundem os visitantes que imaginam estar seguros pela presença da criptografia. “Na verdade, a criptografia pode estar levando os dados diretamente para hackers. São certificados muito frágeis pela falta de processo de verificação de propriedade, pois só faz a criptografia dos dados, não cumprindo a função fundamental de um Certificado Digital que é identificar a titularidade para o qual o Certificado é emitido.

Os Certificados de validação de domínios são utilizados por sites muito pequenos e por empresas que iniciam no e-commerce. O preço de mercado é muito inferior aos SSLs, pois é emitido por máquinas sem nenhuma interação humana”, orienta.

Outro tipo de Certificado não recomendável ao e-commerce são os chamados Certificados WildCards, pois permitem que uma única chave seja instalada em mais de um servidor. “Não é utilizado por empresas que movimentam muitas informações sensíveis de clientes, pois segue na direção contrária das boas práticas de segurança da informação. Mesmo as pequenas empresas só utilizam em servidores internos, nunca nos servidores que abrigam os sites da organização. Não é comum, mas algumas empresas de porte utilizam este tipo de certificado em servidores internos, porém possuem políticas de segurança de alto nível e fazem o gerenciamento das chaves com rigorosos processos de segurança lógica e física”, justifica.

Ainda existem os Certificados Digitais para os Múltiplos Domínios, que é um Certificado SSL desenvolvido principalmente para o uso em soluções baseadas em Comunicações Unificadas (Unified Communications), como por exemplo, Microsoft Exchange (2007 ou superior), Live Communications Server (2005 ou superior). “Uma das características deste certificado é permitir a inclusão, no campo Subject Alternative Name (SAN), vários endereços de internet, intranet e IP’s adicionais. Com este certificado, as soluções baseadas em Comunicações Unificadas conseguem estabelecer conexões seguras (SSL/TLS) com todos os endereços e/ou IP’s que estão presentes no Certificado (Campos:Common Name e SAN)”, assegura.

Para finalizar a diretora comercial e marketing da Certisign Certificadora Digital, reforça que, diante de tantas peculiaridades é muito importante que ao decidir por um Certificado Digital os varejistas verifiquem se a Autoridade Certificadora responsável pela comercialização do Certificado SSL segue as boas práticas de segurança e se é auditada por terceiros de “boa fé”.

“A Certificação Digital é baseada numa cadeia de confiança até chegar ao usuário final, mas, muitas Certificadoras criadas recentemente para baratear o preço dos Certificados SSL e ganhar mercado, emitem os certificados sem verificação de propriedade do uso de domínio”, sintetiza Regina Tupinambá

Fonte: e-commerce | E-Commerce News
Regina Tupinamba - Autora do Blog Certificação Digital

Desde 1995 se dedica ao comércio eletrônico em especial ao segmento da Certificação Digital.
Formada em Publicidade e Propaganda pela PUC Rio.

Trabalhou por 14 anos na Certisign Certificadora Digital como diretora responsável pelas áreas de Marketing e Comercial.
Hoje é CEO da Insania Publicidade, agência de marketing interativo.
e-mail regina@insania.com.br