Rio do Sul (47) 3531-3500 | São José (48) 3241-8697
Área do Cliente
Logomarca
Logomarca

BLOG

Portal único do governo traz riscos de segurança ao cidadão, alertam especialistas

Imagem Destaque Portal único do governo traz riscos de segurança ao cidadão, alertam especialistas

Portal único do governo traz riscos de segurança ao cidadão, alertam especialistas
Portal Contábil SC

Acesso ao Gov.br sem criptografia e concentração de diversos serviços em um único portal preocupa diante de ataques hackers em órgãos públicos

Uma das iniciativas do Governo Federal em desburocratizar e digitalizar os serviços públicos oferecidos aos cidadãos foi a criação do portal Gov.br, instituído pelo Decreto nº 9.756, de 11 de abril de 2019, pela Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia. Desde a publicação do ato, foram implementados novos serviços e níveis de acesso diferenciados.

A Lei 14.063, de 23 de setembro de 2020, regulamentou o uso de assinaturas eletrônicas em interações com entes públicos, em atos de pessoas jurídicas e em questões de saúde e estabeleceu três tipos de assinaturas digitais: simples, avançada e qualificada.

A assinatura eletrônica simples permite identificar quem está assinando e anexa ou associa seus dados a outros dados em formato eletrônico. A assinatura eletrônica avançada utiliza certificados não emitidos pela Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil ou outro meio de comprovação da autoria e da integridade de documentos em forma eletrônica, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento. É o caso da assinatura Gov.br. Já a assinatura eletrônica qualificada utiliza certificado digital ICP-Brasil, nos termos do § 1º do art. 10 da Medida Provisória nº 2.200-2, de 24 de agosto de 2001.

Entre os documentos que podem ser assinados no Gov.br, estão: contratos de prestação de serviço, de compra e venda; relatórios, cartas; formulários de benefícios, como: de vale-transporte, plano de saúde, seguro de vida; declarações de imposto de renda, de dependentes, e de aposentadoria; contrato de suspensão do trabalho; aviso e recibo de férias; termos de confidencialidade, entre outros. Também é possível acessar a Central de Protesto do Estado de São Paulo (Cenprot-SP), plataforma que reúne os serviços digitais de 420 cartórios paulistas.

Recentemente, no dia 9 de janeiro, um novo pacote de aplicações integradas ao Portal e-CAC disponibilizou novas formas de acesso a serviços digitais da Receita Federal com a conta Gov.br, que antes eram acessados exclusivamente mediante o uso de certificado digital. Agora, microempreendedores individuais, empresários e procuradores, uma vez autenticados, já podem acessar todas as informações e utilizar serviços em nome de suas empresas e clientes, independentemente da forma de acesso (CPF e senha, por exemplo).

Segundo o presidente-executivo da Associação das Autoridades de Registro do Brasil (AARB), Edmar Araújo, há risco na assinatura eletrônica avançada, como a inexistência de obrigatoriedade de processos claros e credenciamento de empresas certificadoras pelo Estado. “Qualquer empresa ou mesmo pessoa pode disponibilizar sistema de assinaturas eletrônicas avançadas”, diz. “É exatamente a ausência do estado brasileiro neste universo de assinaturas eletrônicas avançadas que põe em risco a celebração de negócios jurídicos complexos, como a transferência de veículos e a compra e venda de imóveis, muitas vezes os únicos patrimônios conquistados a duras penas pelo cidadão”.

As assinaturas avançadas, apesar de seu reconhecimento pela legislação, têm limitações em relação às qualificadas, diz o empresário e diretor da Associação, Bruno Linhares. “O forte arcabouço legal e técnico das assinaturas qualificadas não é utilizado na emissão das assinaturas avançadas, reduzindo o nível de segurança alcançado”.

Sequestro de dados

Outra preocupação é a concentração de grande quantidade de informações sensíveis de milhares de pessoas e empresas. Ataques de hackers exigindo resgate dos dados sequestrados (ransomware) são os mais comuns.

Em agosto de 2022, o Tribunal de Contas da União concluiu, em um levantamento, que mais da metade dos órgãos públicos federais estão vulneráveis a ciberataques. A apuração menciona o aumento de ataques de ransomware, em função da crescente utilização de modelo de comercialização em que criminosos se concentram na obtenção e venda do acesso inicial às redes a serem atacadas. Também se destacou no relatório os indicadores que apontam aumento na atividade de botnets (que podem ser usadas para executar ataques, roubar dados, enviar spam e permitir que o invasor acesse o dispositivo e sua conexão) para ataque a dispositivos IoT (Internet das coisas), o que pode se agravar com a chegada da tecnologia 5G. O resultado da investigação do Tribunal está no Acórdão 1768/22.

Reportagem da revista VEJA em junho de 2020 citou a vulnerabilidade dos sistemas públicos diante dos hackers. Segundo levantamento do Gabinete de Segurança Institucional (GSI), apenas em 2019, foram registrados 2.404 casos de invasão e tentativas de invasão aos computadores oficiais — uma média de seis incidentes por dia.

Na opinião de especialistas ouvidos pelo portal UOL, os órgãos públicos viraram alvos recentes porque não recebem grandes investimentos em segurança da informação, dão acesso a um vasto banco de dados, e esses dados podem ser monetizados rapidamente.

Alguns órgãos importantes do governo já foram vítimas de hackers, como o Tribunal Regional Federal da 3ª Região (TRF-3), Superior Tribunal de Justiça, Supremo Tribunal Federal, Tribunal Regional Federal da 1ª Região (TRF-1) e Tesouro Nacional. Todas as ações impediram o acesso aos sistemas e processos ou mesmo ficaram fora do ar em 13 estados mais o Distrito Federal, como no caso do TRF-1.

O Ministério da Saúde foi o caso mais emblemático. Em 2021, a emissão do certificado de vacinação ficou indisponível por dias, pois o ConectSUS foi o principal sistema prejudicado.

“A imprensa, com algumas exceções, tem dado pouco destaque à vulnerabilidade dos sistemas do governo, em especial para os serviços disponibilizados pelo Gov.br e a coleta institucionalizada de contratos, documentos e dados importantes de pessoas e empresas pelo governo brasileiro. O levantamento do TCU e os casos que vieram a público deveriam preocupar as autoridades e os especialistas em segurança da informação para o que pode vir acontecer não no futuro, mas a qualquer momento”, alerta Bruno Linhares.

Até ataques terroristas cibernéticos, que visam desestabilizar a infraestrutura de alguma localidade ou de determinado órgão público, deveriam dar o alerta, diz. “Os ataques de ransomware são muito preocupantes, mas não podemos esquecer que a derrubada de um sistema também traz sérios prejuízos, tendo em vista que a dependência dos serviços centralizados em uma única ferramenta pode inviabilizar os negócios das empresas e a vida do cidadão, que pode precisar de um documento público em caráter de urgência. Por exemplo, em agosto de 2022 a Prefeitura do Rio do Janeiro sofreu um ataque hacker. Foram mais de dois meses com 37 sistemas fora do ar. Como se calcula um prejuízo deste para a população?”, lembra Linhares.

Login único

O próprio Governo Federal, através do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos, recomendou, neste mês de janeiro, uma série de ações às autarquias e órgãos públicos para evitar vazamento de credenciais e senhas. Entre as medidas para mitigar os riscos está a adesão ao projeto login único do Serpro no portal Gov.br.

“Como os próprios autores da recomendação reconhecem, sistemas baseados em login e senha são inseguros. Então, recomendam a adoção de uma mesma solução que visam combater. Exceto pelo acesso nível ouro, o Gov.br mantém a mesma fragilidade e em casos de fraude nesse sistema teremos efeitos amplificados”, diz o diretor da AARB.

“O Banco Mundial avaliou o Brasil como o 2º lugar no ranking em maturidade de governo digital entre 198 países. Não há dúvida que a facilidade de acesso aos serviços digitais traz ganhos para a economia e na vida da população, mas é preciso que este avanço venha atrelado com a segurança. Infelizmente o mundo virtual também se tornou inseguro, mas temos ferramentas eficazes, seguras, com validade jurídica e não repúdio como o certificado digital ICP-Brasil”, diz Edmar Araújo.

Segundo ele, o custo-benefício precisa ser calculado diante dos prejuízos com a falta de investimento em segurança. “Não é uma crítica que fazemos, e sim um alerta para que o poder público, que concentra a vida de milhares de cidadãos, não seja pego de surpresa. É preciso ampliar os serviços com segurança e não ampliar os acessos baseados em login e senha, há muito ultrapassados pelas novas ameaças”, finaliza.

 

 

Powered by WPeMatico

Categorias

Powered by  GDPR Cookie Compliance
Política de Privacidade

  1. Introdução

Nós somos comprometidos com a segurança dos seus Dados Pessoais e da sua privacidade durante toda a sua jornada dentro do Beatriz Madeiras, desde quando você realiza o cadastro na nossa plataforma até o suporte quando você se torna nosso cliente! O tratamento de seus dados pessoais é condição necessária para que possamos prestar a você os nossos serviços e ao continuar utilizando esta plataforma você está ciente e concorda com o tratamento de seus dados pessoais de acordo e nos termos desta Política de Privacidade ("Política"). Você, ao aceitar os termos desta Política, concorda, expressamente, em fornecer apenas dados pessoais verdadeiros, atuais e precisos na utilização dos nossos produtos ou serviços. Você será responsável pelos danos, diretos ou indiretos, que cause fornecendo dados falsos ao Beatriz Madeiras ou a terceiros. Para saber mais informações acerca das condutas esperadas dos usuários Beatriz Madeiras acesse nosso Termos e Condições de Uso.

Esta Política se aplica à todos Usuários do Beatriz Madeiras. O acesso ou uso da plataforma Beatriz Madeiras por menores de 18 anos não emancipados é expressamente proibido. Ao utilizar o Beatriz Madeiras você garante que é capaz de exercer pessoalmente os atos da vida civil.

  1. Quais dados nós coletamos?

A Lei Geral de Proteção de Dados Pessoais - LGPD considera dados pessoais aqueles que identificam ou tornam uma pessoa identificável. Nós coletamos os dados pessoais necessários para prestar nossos serviços e ofertar produtos a você. Para isso coletamos: Dados de identificação – São os dados que identificam você como o seu nome completo, e-mail, telefone, endereço, CEP, CPF, RG, data de nascimento e senha. Dados de navegação – São os dados que são gerados através do uso de nossas plataformas, como: endereço IP, provedor de navegação, conexão de rede, cookies, dados de geolocalização quando autorizados em seu dispositivo, sistema operacional de seu dispositivo, desempenho do provedor, da rede e do dispositivo, serviços acessados, interações realizadas e ID do seu dispositivo. Dados de terceiros – São os dados que podemos obter através de fontes públicas, prestadores de serviços ou de nossos parceiros, sempre de acordo com a legislação brasileira, por exemplo: seu histórico de crédito, scores gerados por bureaus de crédito, restrições financeiras, dados necessários para viabilizar operações financeiras, realizar a complementação de dados informados e atender às suas demandas. Você pode consultar as Políticas de Privacidade dos terceiros com os quais interage nos próprios websites desses. Dados biométricos – São os dados necessários para garantir a validação da sua identidade e prevenir que não ocorram fraudes em seu nome, por exemplo: a selfie que pedimos que você tire junto ao seu documento oficial para certificarmos a sua identidade. Os dados biométricos são considerados dados sensíveis e quando formos realizar o tratamento desses dados avisaremos você.

  1. Para que nós utilizamos os seus dados?

Para identificar e autenticar você adequadamente em nossa plataforma. Para manter seu cadastro atualizado e contatarmos você por telefone, e-mail, WhatsApp ou outros meios de comunicação.• Para cumprir com os termos e condições desta Política bem como os Termos de Uso de nossos produtos e serviços.• Para atender às suas solicitações e dúvidas em nossos canais de atendimento.• Para informar você sobre as novidades, novas funcionalidades, conteúdos, notícias e demais eventos relevantes do Beatriz Madeiras.• Para enviar mensagens sobre os nossos produtos ou serviços que possam ser do seu interesse.• Para conhecer você, continuar inovando, aprimorando e desenvolvendo nossos produtos.• Para informar você sobre mudanças em nossos termos, serviços ou políticas (incluindo esta Política). • Para melhorar cada vez mais a sua experiência de uso em nossas plataformas.• Para produzirmos estatísticas, estudos, pesquisas e levantamentos apropriados e necessários para oferecer à você nossos serviços, sendo que, sempre que possível, os seus dados serão anonimizados para essas finalidades.• Para exibir publicidade a você nas nossas plataformas ou em sites terceiros.• Para customizar os conteúdos e a publicidade que mostramos em nossas plataformas.• Para recomendar a você nossos serviços e produtos, incluindo serviços de terceiros que possam ser do seu interesse.• Para criar um perfil sobre você, personalizando a sua experiência em nossos serviços.• Para monitorar atividades e tendências de uso.• Para mensurar interações e audiência dos Serviços.• Para reconhecer e acompanhar a sua navegação.• Para cumprir com obrigações legais ou regulatórias, bem como exercer direitos em processos judiciais, administrativos ou arbitrais.

  1. Dados pessoais necessários para a prestação de nossos serviços e ofertar produtos

  • Para confirmar e completar os seus dados, conforme a relação estabelecida com você.
  • Para prevenir fraudes e garantir a você segurança na prestação de nossos serviços e no oferecimento de nossos produtos.
  • Para execução dos contratos ou para procedimentos pré-contratuais.
  • Para atender suas demandas relacionadas a execução de nossos produtos ou serviços.
  • Para cumprir com obrigações legais ou regulatórias, bem como, exercer direitos em processos judiciais, administrativos ou arbitrais.

  1. Com quem seus dados podem ser compartilhados? 

O Beatriz Madeiras poderá compartilhar os seus dados com terceiros que possuem padrões de segurança e confidencialidade adequados e aptos para proteger os seus dados. Entre esses terceiros estão: Parceiros de negócio – Podemos compartilhar os seus dados com nossos parceiros para ofertar nossos serviços à você, ampliar e desenvolver nossos negócios. Prestadores de serviços de marketing – Utilizamos serviços de marketing para oferecer à você anúncios que sejam do seu interesse, enviar e-mail marketing, telemarketing, mensagens pelo aplicativo WhatsApp, notificação instantânea de push, entre outros canais de comunicação. Prestadores de serviços de tecnologia – Podemos compartilhar seus dados para aprimorar nossas plataformas, armazenar dados e para obter suporte técnico e operacional aos nossos serviços. Bureaus de crédito, provedores de meios de pagamento, integradores de meios de pagamento e empresas de cartões de crédito – Utilizamos esses serviços para processar pagamentos realizados em decorrência do uso de nossos serviços ou produtos, cumprir com obrigações contratuais, prevenir atividades ilegais, suspeitas ou fraudulentas, garantir a prevenção à fraude e a segurança dos nossos usuários. Autoridades Governamentais – Seus dados poderão ser compartilhados para cumprir com obrigações legais ou regulatórias, para execução de contratos, para o exercício de direitos em processos judiciais, administrativos ou arbitrais e para garantir a prevenção à fraude. Você – Para garantir o atendimento aos seus requerimentos e nossa transparência sobre como tratamos os seus dados pessoais.

  1. Seus direitos e como exercê-los

Confirmação de tratamento – Você pode solicitar ao Beatriz Madeiras a confirmação do tratamento de seus dados pessoais. Acesso aos dados – Você pode solicitar ao Beatriz Madeiras o acesso aos dados pessoais que possuímos relacionados a você. Correção de dados pessoais – Você pode solicitar ao Beatriz Madeiras a correção de dados que estão incompletos, inexatos ou desatualizados, podendo corrigi-los ou complementá-los. Para realizar a correção poderemos requerer que você apresente um documento comprovando a veracidade dos novos dados informados. Anonimização, bloqueio ou eliminação – Caso os seus dados estejam sendo tratados de forma desnecessária, em excesso para a finalidade do tratamento ou em desconformidade com as disposições da LGPD, você poderá solicitar que o Beatriz Madeiras realize a anonimização, bloqueio ou eliminação dos dados. Para isso, deverá restar comprovado de fato que houve excesso, ausência de necessidade ou desconformidade com a LGPD nas atividades de tratamento do Beatriz Madeiras. A eliminação de dados essenciais para o uso da plataforma implicará no término de seu cadastro junto ao Beatriz Madeiras. Eliminação dos dados tratados com o consentimento – Você pode solicitar a eliminação dos dados tratados com base no seu consentimento, sendo que esses serão eliminados desde que não sejam necessários para a prestação dos nossos serviços ou para o cumprimento de obrigações legais ou regulatórias. Informação acerca do compartilhamento – Você pode solicitar ao Beatriz Madeiras informações das entidades públicas e privadas com as quais tenha sido realizado o compartilhamento dos seus dados. Informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa – Caso seja indispensável o seu consentimento para acessar determinado produto ou serviço do Beatriz Madeiras, você pode solicitar a nós informação sobre a possibilidade de não fornecer o consentimento e quais são as negativas decorrentes desta ação. Revogação do consentimento – Caso você tenha fornecido o seu consentimento para o tratamento de dados, você poderá revogá-lo a qualquer tempo. Destacamos que isso não quer dizer que nós não podemos mais tratar os seus dados, estes poderão ser tratados de forma anonimizada ou com base em outra hipótese autorizativa legal que respalde o tratamento. Decisões automatizadas – Você pode solicitar a revisão de decisões tomadas unicamente com base no tratamento automatizado de dados e a indicação dos critérios utilizados nessas decisões, observados sempre os segredos comercial e industrial do Beatriz Madeiras. Portabilidade de dados – Após a regulamentação desse direito pela Autoridade competente segundo a LGPD, você poderá solicitar a portabilidade dos seus dados pessoais a outro fornecedor de serviço ou produto. Caso você queira exercer algum desses direitos acima expostos, entre em contato conosco através do nosso canal. Estamos sempre à disposição para esclarecer suas dúvidas e colocar você no controle dos seus dados pessoais.

  1. Por quanto tempo guardamos seus dados?

Nós guardamos os seus dados pelo período necessário para desempenhar as finalidades pelas quais foram coletados, cumprir com obrigações legais ou regulatórias e exercer direitos em processos judiciais, administrativos ou arbitrais. Caso o Beatriz Madeiras não tenha a necessidade de manter os seus dados armazenados, eles serão objeto de anonimização ou exclusão. 

  1. Segurança dos dados

Adotamos medidas técnicas e organizacionais para proteger seus dados da forma mais íntegra possível. Além do compromisso dos nossos colaboradores com o sigilo e da seleção criteriosa e do monitoramento de nossos prestadores de serviço, também garantimos a proteção de seus dados através da implementação de procedimentos físicos, eletrônicos e administrativos adequados para mantê-los seguros aqui no Beatriz Madeiras. Também, sempre que possível, os seus dados serão tratados de forma anônima, o que quer dizer que não será possível identificá-lo no conjunto de dados que estamos tratando.

  1. Transferência Internacional de Dados

Alguns dos dados pessoais que coletamos, ou todos eles, poderão ser objeto de transferência internacional, por exemplo, para o compartilhamento e o armazenamento em servidores de computação em nuvem localizados fora do Brasil. O Beatriz Madeiras observa todas as diretrizes estabelecidas pela legislação vigente e adota as melhores práticas de segurança e privacidade para garantir a integridade e confidencialidade dos seus dados pessoais.

  1. Entre em contato conosco

Nós somos o Controlador dos dados pessoais que tratamos, de acordo com a LGPD, estamos identificados como: Beatriz Madeiras. Entre em contato conosco através do nosso canal de atendimento. Estamos sempre à disposição para esclarecer suas dúvidas, receber comentários ou reclamações. Caso você não queira mais receber nossas comunicações de marketing por e-mail, basta você clicar no link “unsubscribe” que está disposto ao final dos e-mails que enviamos para você. Você também pode gerenciar as mensagens que recebe através do nosso gerenciador de notificações disponível tanto no aplicativo quanto na web. Lembre-se de que, mesmo desativando o recebimento de comunicações de marketing, ainda poderemos continuar entrando em contato com você para realizar demais comunicações referentes à produtos ou serviços Beatriz Madeiras que você utiliza.

  1. Mudanças na Política de Privacidade

Buscamos constantemente melhorar nossa Política e aprimorar nossos produtos e serviços para você, essas mudanças poderão ser refletidas nesta página. Por isso, antes de usar os nossos serviços dê sempre uma olhadinha aqui! Nós avisaremos você sobre as alterações que fizermos, seja através do envio de e-mail, mensagem pelo aplicativo Whatsapp, notificação instantânea (push) ou por outros meios. Isso implica que você está ciente e têm conhecimento dos termos aqui dispostos.