regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sábado, 23 de agosto de 2014

Documentos eletrônicos no setor de saúde


Necessidade de organização de prontuários médicos, informações para pesquisas clínicas e documentos corporativos fazem setor de saúde buscar por serviços de Gestão Documental

Investimentos da P3Image oferece ao setor maior durabilidade para os arquivos, espaço apropriado para a guarda de documentos e soluções que garantem mais funcionalidade no processo documental

Já imaginou quantos documentos um hospital movimenta? São milhares de prontuários médicos que chegam a conter mais de 500 folhas, dependendo do tempo de internação do paciente, arquivos de pesquisas clínicas que geram estudos de novos tratamentos e drogas, documentos exigidos por órgãos reguladores e que atestam certificações de qualidade ou capacidade, além de arquivos corporativos relacionados ao negócio da instituição.

Preservar o patrimônio documental das atividades do setor de saúde torna-se um instrumento estratégico nos processos administrativos, de planejamento, acompanhamento e controle das informações para aperfeiçoar a funcionalidade das operações. “Os prontuários médicos em papel, por exemplo, precisam ter guarda vitalícia. Como é um documento útil para diversos fins, jurídicos, de pesquisa científica, evolução do tratamento e da doença do paciente, a unidade hospitalar tem que, por normais legais, garantir a preservação e acesso a estes documentos”, explica Marcelo Araújo, Diretor Geral da P3Image, empresa com dez anos de atuação na área de BPO (Business Process Outsourcing) para gestão de documentos.

É a partir desta necessidade de mercado, que a P3 estruturou-se para atender desde consultórios médicos, clínicas especializadas e especialmente grandes hospitais que necessitam da maior durabilidade, organização profissional dos arquivos e local apropriado para preservação dos mesmos, o que possibilita a instituição um destino mais produtivo para o espaço antes utilizado para a guarda documental. A P3Image contratou programadores, implantou Data Centers próprios e investiu em tecnologias que garantem a segurança do documento, mesmo em situações de incêndio, para que a exigência da guarda vitalícia seja realmente atendida. A ferramenta destaque para este mercado foi a plataforma All Store, que armazena todos os documentos on-line e permite uma localização rápida e exata de qualquer informação contida nos documentos médicos ou corporativos.A empresa faz a guarda dos documentos originais, com tecnologia de código de barras para facilitar a localização nos galpões apropriados, e depois os digitalizam para armazená-los na plataforma.

“Por conta da alta movimentação de documentos deste mercado, a procura pelos serviços de Gestão Documental por este mercado esta cada vez mais rotineira. Nossos programadores são frequentemente acionados para criarmos soluções flexíveis o que fortalece ainda mais a nossa expertise para o setor. Um documento de regularização, por exemplo, deve ser armazenado em local seguro e de fácil acessibilidade, para o caso da fiscalização solicitar inesperadamente a comprovação de algum fato. Para garantir segurança aos nossos parceiros, implantamos em nossos serviços o envio do documento original para a empresa, em no máximo três horas, o que está sendo bastante funcional para esta classe. Estes pontos demonstram a importância da Gestão Documental, alinhada à tecnologia, cada vez mais necessária para o setor”, completa Araújo ao descrever as soluções criadas pela P3 que beneficiam tanto a área de negócios quanto os processos médicos, conferindo valor histórico e científico aos documentos:

Guarda Gerenciada de documentos - Quem controla o conteúdo das caixas é a P3STORE. Ao recepcionar os documentos, cada um recebe uma etiqueta de identificação com um código de barras, e passa por um leitor, que informará ao sistema ALL STORE a caixa em que o documento se encontra e a posição dentro dela. Diante da necessidade de algum documento, o cliente o solicita por meio de uma O.S. (Ordem de Serviço) por meio do nosso Portal. Nessa modalidade, o cliente pode escolher entre guarda gerenciada com digitalização e guarda gerenciada sem digitalização, ou ainda uma aplicação híbrida baseada em regras pré-estabelecidas. Por meio do portal ALL STORE, o cliente acompanha desde o recebimento do documento até o seu efetivo armazenamento. Ao solicitar uma entrega o cliente receberá o documento e não a caixa. Todos os documentos, enviados posteriormente pelo cliente, são armazenados com o original.

Digitalização de documentos - Transforma informações originalmente criadas em papel, microfilme e microficha em arquivos digitais. Essa tecnologia possibilita o armazenamento digital de grandes volumes de documentos em um ambiente seguro e acessível ao cliente. Pode ser realizado nos birôs da P3IMAGE para onde o cliente envia os seus documentos ou “in company" (nas instalações do cliente).

Guarda de Mídias - A "Sala Cofre" da P3 conta com toda infraestrutura necessária para guarda de mídias, tais como fitas, microfichas, microfilmes, cartuchos, CD's, DVD's, ou quaisquer outros documentos cuja guarda exija requisitos de segurança.

Guarda na web - Conhecendo a variedade de necessidades que envolvem o universo do Gerenciamento Eletrônico de Documentos, a P3 disponibiliza para os seus clientes o serviço de Guarda na WEB "Hosting", em que o cliente não precisa se preocupar com investimento em estrutura física e hardware para guardar as suas imagens, dados e arquivos eletrônicos. O backup é gerado e mantido na Sala Cofre. A Guarda na web da P3 ainda permite redundância no Storage em Itupeva, que eleva anda mais o padrão de segurança dos dados armazenados, assim, em caso de qualquer problema com o servidor de São Paulo, todas as informações estão seguras no storage de redundância. Todos os servidores são próprios, bem como a equipe responsável pela segurança e desenvolvimento de sistemas.

Organização arquivística - Por meio de um conjunto de procedimentos, os arquivos são organizados de acordo com o detalhamento do projeto. O objetivo é criar instrumentos de controle e monitoramento do armazenamento e tráfego de documentos nas empresas.

Sobre a P3 - Atua há mais de dez anos na área de BPO (Business Process Outsourcing) para gestão de documentos. Elaborar projetos inteligentes, atendendo necessidades individuais para o gerenciamento de documentos de empresas de todos os segmentos e portes é a especialidade da empresa. Para isso, dispõe de tecnologia avançada, iniciativas de segurança como Sala Cofre e monitoramento 24 horas por dia em galpões nas cidades de São Paulo, Rio de Janeiro e Itupeva (SP), que totalizam mais de 12.000 m² . Além do portal All Store, pioneiro no segmento, o site institucional - www.p3image.com.br – reúne informações sobre os serviços e simulação de orçamento.

Fonte: http://www.segs.com.br/

quarta-feira, 20 de agosto de 2014

ALERTA PARA OS CIOS DE GRANDES ORGANIZAÇÕES – SSL/TLS


CIOS, RETOMEM PARA SI A SELEÇÃO DOS CERTIFICADOS SSL/TLS E A ESCOLHA DO FORNECEDOR OU PREPAREM SUAS EQUIPES PARA QUE NÃO ADQUIRAM CERTIFICADOS INADEQUADOS.









Resolvi compartilhar com os senhores minha visão do outro lado do balcão onde convivi com muitos enganos no momento da compra de certificados digitais SSL/TLS. Coisas que acontecem no andar de baixo e os Cios sequer desconfiam de tantos enganos. Meu intuito não é desmerecer seus profissionais, muito pelo contrário, mas apontar que esses profissionais precisam de mais atenção, apoio e conhecimento sobre o tema que a empresa deve lhes prover.

Cios, retomem para si a seleção dos certificados SSL/TLS e a escolha do fornecedor que apoiará sua equipe desde o entendimento do que sua empresa precisa, passando pela instalação dos certificados e principalmente, atenção se esse fornecedor saberá lhe apoiar em caso de incidentes.

Incidentes internos ou fruto do surgimento de novas vulnerabilidades que são entendidas por hackers e rapidamente divulgadas na rede. Quando isso acontece, você deve ter a seu lado um fornecedor que entenda o que está acontecendo, tenha agilidade e disponibilidade para lhe orientar e em quem você confie que não se aproveitará da situação para fazer você gastar mais do que precisa.

Sua atenção é necessária porque de um lado sua equipe não tem conhecimento e do outro, muitos novos fornecedores de certificados digitais SSL entraram no mercado sem ter preparo técnico para prestar o serviço de suporte. Também os antigos fornecedores tinham profissionais mais sêniores próximos ao suporte técnico que lhe prestava atendimento e isso não é mais a realidade do mercado.

Se acreditou por um longo tempo que comprar certificados digitais SSL era como comprar commodities. Mas devido aos recentes incidentes, o mercado está entendendo que comprar certificados digitais é contratar serviço e conhecimento técnico.

Lamentável mesmo é quando o comprador oficial de SSL/ TLS é a área de compras.

Quando a empresa delega a seleção do fornecedor a área de compra, ai sim o problema é mais sério. Por que? Os técnicos não são certeiros no que precisam comprar e os compradores compram os certificados mais baratos ou os mais caros, sem se importar muito com o entorno do que estão comprando. Compram os SSLs como compram mouses ou vassouras. Não temos condições de explicar a diferença do que querem adquirir e o que realmente precisam. Compram e depois precisam cancelar a compra, revogar os certificados, refazer contratos, retificar nota fiscal etc etc etc. Pensam que isso acontece só de vez em quando? Não, isso acontece rotineiramente. São as maiores vendas, uma vez que as empresas menores não têm essa área de compras tão mecanizada e emburrecida. E isso acontece com tíquetes acima dos 100 mil reais.

São exigidas alterações nas cláusulas dos contratos, mas nunca sequer ouviram falar em DPC. E é o que de fato vale no caso de um sinistro. O contrato é mera formalização entre o pedido e o pagamento. Leia o que é DPC neste artigo - CERTIFICAÇÃO DIGITAL - CRYPTO ID: O que é DPC ...

Quando comecei a trabalhar com SSL em 1999, meu target eram os CIOs. Eles decidiam e compravam pessoalmente os certificados. Com o tempo passamos a ter como interlocutores profissionais menos sêniores e com o passar dos tempos menos seniores ainda.

Só que as ofertas de SSl evoluíram além dos certificados 40 ou 128 bits, validação Full ou apenas validação de domínios. (TIPOS DE CERTIFICADOS SSL PARA PROTEGER SEU SITE).

Voltando ao que falava, surgiram outras opções como os certificados sub domínios, e o polêmico e temido wildcard, enfim, foi descoberto pelo mercado comprador.

Essa moçada não acompanha todas essas novidades, não há bibliografia disponível com facilidade.  Por exemplo, nem as novas regras de domínios e subdomínios ditadas pelo ICANN são divulgadas adequadamente e isso acaba gerando um problema sério no momento de comprar os certificados para esses servidores internos.

Não conseguem distinguir a variedade de ofertas dos tipos de certificados digitais SSL/TLS, muito menos entende sua personalizada arquitetura de segurança da informação. Chegam a comprar certificados Evs para servidores internos. Não estou falando de meia dúzia não, estou falando de mais 200 certificados.

Algumas regras foram sugeridas e/ou impostas ao mercado por organizações com a CA/Browser Fórum (https://cabforum.org) e daí nasceram os certificados digitais EV. Incrível, mas muitos técnicos não entendem que os certificados EVs são tecnicamente iguais aos outros certificados, o que muda é existe um ou dois passos a mais na validação (por isso o nome validação estendida!!!) e um campo especial para os navegadores reconhecerem e sinalizarem o verde ou vermelho para os visitantes dos sites. Esses certificados são muito mais caros mesmo, não por que sejam superiores tecnicamente, mas por que a validação é um dos componentes de custo mais significativos na composição do preço do certificado digital.

Quando falamos de soluções em nuvem, a coisa complica mais um pouco, por que desenham a estrutura e só depois pensam como vão aplicar os SSLs. Parece brincadeira? Mas não é. Muitas empresas enfrentam esse problema na prática.

Mantenho no Linkedin um grupo com o nome CERTIFICAÇÃO DIGITAL, um grupo pequeno com 1.200 participantes do mercado que trabalha com essa tecnologia. Ontem dia 18 de agosto, num dos calorosos debates sobre SSL, lancei um desafio ao Eder Souza da e-Safer ele topou na hora. Pedi que eles me ajudem a fazer uma pesquisa sobre o conhecimento dos administradores de redes sobre os certificados SSL/TLS.

O objetivo seria a realização de uma pesquisa de mercado aplicada por um instituto de pesquisa sobre o índice de conhecimento sobre o tema e as principais dificuldades que enfrentam esses profissionais. Logo após a pesquisa faremos uma palestra sobre os certificados digitais SSLs. Como escolher a melhor solução para sua empresa e os pontos críticos que devem ser observados antes de adquirirem os certificados.

Conheço o pessoal da e-Safer porque trabalhamos juntos por muitos anos. Eder Souza e Willian Bergamo me apoiaram muitas vezes para resolver graves problemas na Autoridade Certificadora em que trabalhávamos. Eles eram para mim o suporte nível 5 dentro da Cia. Estou muito à vontade em envolve-los nesse meu projeto de pesquisa para o Blog e esclarecimento sobre o tema, porque hoje não tenho nenhuma ligação comercial com os SSLs e apesar da minha vivência nesse mercado, não detenho o conhecimento técnico suficiente para tocar esse projeto sozinha.

Pretendo fazer o evento sem custos para os participantes, assim como mantenho esse blog desde 2009 sem nenhuma ajuda financeira, mas para realizar o evento gratuito precisarei contar com apoiadores.
Vamos agora preparar esse projeto e divulgarei em breve aqui pelo blog.

Sugestões e apoio, rtupinamba@gmail.com.

Sobre Regina Desde 1995 se dedica ao comércio eletrônico em especial ao segmento da Certificação Digital. Formada em Publicidade e Propaganda pela PUC Rio. Trabalhou por 14 anos na Certisign Certificadora Digital como diretora responsável pelas áreas de Marketing e Comercial.
Hoje é CEO da Agência de propaganda Insania Publicidade (www.insania.com.br), autora do Blog Certificação Digital e gerência um seleto grupo do Linkedin com esse mesmo nome. E-mail rtupinamba@gmail.com

Sobre e-Safer A e-Safer possui larga e sólida experiência no fornecimento de soluções de Segurança da Informação, com amplo atendimento a distintos setores da economia, como financeiro, telco, utilities, público, indústria, educação, varejo, transporte e logística. www.e-safer.com.br

Leia também:

Substituindo certificados com Algoritmo SHA-1 por SHA-2

Sites que usam criptografia serão mais bem rankeados pelo Google


Edward Joseph Snowden

Dear Mr Edward Joseph Snowden
Please contact me!
I need to discuss about cryptography and related subjects.

Machete: A nova arma dos hackers na espionagem cibernética


A Kaspersky Lab divulgou nesta quarta-feira, 20/08, a descoberta 
de uma campanha de espionagem cibernética na América Latina.











Apelidada de "Machete", ela tem feito vítimas consideradas de "alto perfil" como governos, militares, embaixadas e órgãos governamentais há, pelo menos, quatro anos. A maioria dos alvos parece estar na Venezuela, Equador e Colômbia - mas há outros países afetados, incluindo Rússia, Peru, Cuba e Espanha. O objetivo dos espiões é sequestrar informações sensíveis das organizações comprometidas - até agora eles conseguiram gigabytes de dados confidenciais.

"Apesar da simplicidade das ferramentas utilizadas nesta campanha, ela foi muito eficaz, dado os resultados. Parece que os autores de ameaças na América Latina estão adotando as técnicas de campanhas semelhantes em nível global.", diz Dmitry Bestuzhev, diretor da Equipe de Pesquisa e Análise Global da Kaspersky Lab na América Latina.

"Nossa previsão é que o nível tecnológico das operações de ciberespionagem locais aumente muito. Por isso, provavelmente, novas campanhas APT podem ser muito semelhantes, do ponto de vista técnico, às principais no mundo. Nosso conselho é pensar sobre cibersegurança de maneira global e deixar de supor que países latino-americanos estão livres dessas ameaças", afirma.

De acordo com a kaspersky Lab, ao que tudo indica, a Machete começou em 2010 e foi atualizada em 2012. 

Os atacantes usaram técnicas de engenharia social para distribuir o malware. Em alguns casos, enviaram mensagens de phishing combinadas com blogs falsos especialmente preparados. No momento, não há indicações de exploits usando vulnerabilidades 0-day (falhas em software ainda desconhecidas).

A parte técnica da campanha (como ferramentas de ciberespionagem e código no lado do cliente) têm baixa sofisticação técnica em comparação com campanhas do tipo. Apesar dessa simplicidade, a Kaspersky Lab identificou 778 vítimas no mundo. Com base nas descobertas, os especialistas concluíram que os atacantes parecem ser de língua espanhola, e são originários da América Latina. Adicionalmente, os alvos dos ataques estao em sua maioria em paises latino-americanos. Às vezes, o alvo fora da região estava conectado com a AL.

Por exemplo, na Rússia, a meta parecia ser a embaixada de um país latino-americano. A ferramenta de ciberespionagem encontrada em computadores infectados é capaz de executar várias funções, como copiar arquivos para um servidor remoto ou um dispositivo USB especial (se estiver inserido), sequestrar o conteúdo da área de transferência (clipboard), registrar a digitação, capturar o áudio no microfone do computador, tirar screenshots, obter dados de geolocalização e fazer fotos com a webcam da máquina.

A campanha tem uma característica técnica incomum: arquivos executáveis compilados com a linguagem Python. Isso não tem qualquer vantagem para os atacantes, exceto a facilidade de codificação. As ferramentas não mostram sinais de serem multi-plataforma, pois o código é fortemente orientado para o Windows. No entanto, os especialistas descobriram pistas mostrando que os atacantes preparam a infra-estrutura para vítimas que usam sistemas OSX e Unix. Além do Windows, também foram encontrados sinais de componentes móveis para Android.

*Com informações da Kaspersky do Brasil
:: Convergência Digital :: 20/08/2014

segunda-feira, 18 de agosto de 2014

Obter uma cópia de certidão de nascimento, casamento e óbito agora ficará mais fácil em todo o Brasil.












Obter uma cópia de certidão de nascimento, casamento e óbito agora ficará mais fácil em todo o Brasil. 

No último sábado (16), em São Paulo, foi lançada oficialmente a Central Nacional de Informações do Registro Civil (CRC Nacional), sistema que vai funcionar como uma espécie de banco de dados de certidões dos brasileiros.

A novidade vai permitir ao cidadão localizar um registro e solicitar certidões seja de onde estiver, sem a necessidade de se deslocar até o cartório onde se encontra o registro original ou pagar por serviços de despachantes para conseguir esses documentos. Ou seja, o CRC vai possibilitar que o usuário tenha acesso a suas certidões em qualquer cartório do país.

 Imagem da campanha criada pela
Insania Publicidade para
ARPEN SP
A plataforma já está disponível em São Paulo desde 2013 e responde por cerca de 10% das certidões emitidas pelos cartórios em todo o Estado - um aumento de mais de 360% em apenas um ano e meio. 

Agora, o projeto será expandido para todo o Brasil por meio do Provimento nº 38 do Conselho Nacional de Justiça (CNJ), que prevê a integração de todos os Estados brasileiros ao novo sistema no prazo máximo de um ano a partir da data de lançamento, neste sábado.

Além de São Paulo, Santa Catarina, Espírito Santo e Acre já aderiram integralmente ao sistema e são os primeiros Estados a estarem totalmente interligados à CRC Nacional, já permitindo a solicitação interestadual de certidões.

Outra novidade instituída pelo Provimento é a expansão do projeto para todos os consulados brasileiros, por meio de parceria a ser firmada com o Ministério das Relações Exteriores (MRE), possibilitando ao cidadão que nasceu no exterior e foi registrado em um consulado brasileiro solicitar a segunda via de seu registro em qualquer cartório em território nacional.

Além do sistema de emissão de certidões eletrônicas, o projeto também prevê a expansão do projeto de certidões digitais, que são solicitadas pela internet e enviadas diretamente para o e-mail do usuário pelos mais de 8 mil cartórios de Registro Civil distribuídos em todos os municípios brasileiros. Compõe ainda o projeto de expansão as Unidades Interligadas em maternidades, o sistema de solicitação de papéis para certidões e de fiscalização pelo Poder Judiciário.

Por fim, a plataforma eletrônica de certidões vai permitir ao Poder Judiciário e ao Poder Executivo o fácil acesso à pesquisa de óbitos, visando à extinção de processos ou mesmo de benefícios irregulares pagos pela Previdência Social, além da rápida localização e solicitação de quaisquer outras certidões de registro civil por qualquer cidadão.



O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.