Estrutura de segurança

Introdução

A plataforma Smart Certificate baseia-se em tecnologias seguras (por exemplo, Blockchain) e protocolos totalmente conformes com as leis de privacidade e a estrutura da GDPR que garante a integridade dos documentos (carimbo de data e assinatura), autenticidade (garantia da identidade do emissor do documento) e validade (o documento ainda é válido, não foi revogado ou a sua data de expiração não foi atingida).

Assim, a plataforma Smart Certificate torna a fraude impossível para qualquer documento digital e permite uma verificação 100% segura.

Além da encriptação de bases de dados, e como parte do nosso sistema de protecção de dados, os dados para cada destinatário de documentos são também encriptados com uma chave específica para cada conjunto de dados até que o destinatário aceite os termos e condições para activar os documentos concedidos (método patenteado). Os dados para os documentos concedidos são então desencriptados e os documentos são gerados (com esses dados desencriptados) mas permanecem num ambiente seguro (servidores dedicados).

Passámos e mantemos em curso uma auditoria de dados pessoais e actividades de supervisão para assegurar uma conformidade consistente com a GDPR. Temos um DPO para supervisionar as actividades.

Estamos a proceder regularmente ao TESTE PEN por SECTIGO e monitorizados freqentemente por SECURITY SCORECARD .

Especificações técnicas: melhores práticas

A plataforma Smart Certificate foi concebida e desenvolvida pela nossa equipa de I&D que, para além da formação técnica e tecnológica fornecida, adquiriu ao longo dos anos a experiência e competências específicas para a desmaterialização e segurança de dados e documentos.

Todos os desenvolvimentos da plataforma Smart Certificate seguem uma abordagem de qualidade respeitada por todos os envolvidos no processo de análise, concepção, desenvolvimento e teste. A nossa abordagem de desenvolvimento está centrada no cliente e nas suas necessidades. Optamos por uma metodologia de desenvolvimento ágil onde as funcionalidades são priorizadas de acordo com as necessidades do cliente e de acordo com a gestão de risco no desenvolvimento da plataforma. Cada ciclo de desenvolvimento de no máximo um mês de calendário inclui as fases clássicas de análise, validação do cliente, concepção técnica, desenvolvimento, testes e integração.

Além disso, a plataforma Smart Certificate, os procedimentos operacionais e os Termos e Condições da plataforma (listas dos artigos das condições gerais que regem a utilização da plataforma Smart Certificate e que devem ser aprovadas por qualquer utilizador) estão em conformidade com a estrutura da GDPR e da privacidade.

ESTRUTRA & TECNOLOGIAS

A plataforma Smart Certificate baseia-se na estrutura/tecnologias Microsoft (.NET) para o back end, e na estrutura VUE JS para o front end, e está em conformidade com as normas de mercado em termos de desenvolvimento web, mas também em termos de implantação e configuração.

Aqui está uma visão geral da plataforma Smart Certificate que cumpre todos os padrões de arquitectura esperados, particularmente em termos de segurança da informação: A infra-estrutura é compatível com a norma ISO27001.

BASE DE DADOS

A plataforma está ligada a uma base de dados Microsoft SQL Server com as seguintes características:

  • Base de dados relacional respeitando o padrão de esquematização
  • Identificadores artificiais para entidades relacionais
  • Os documentos relacionados com os destinatários são armazenados num servidor de ficheiros fora da base de dados. A ligação entre os destinatários e os seus ficheiros é mantida na base de dados. Os documentos são nomeados utilizando apenas o GUID para preservar o seu anonimato.
  • O controlo da privacidade é garantido por um sistema de encriptação/descriptação individual utilizando um procedimento certificado. Desde que os destinatários não tenham activado os seus documentos, os dados pessoais são totalmente cifrados com uma chave de cifragem única e pessoal. O protocolo de encriptação utilizado garante a privacidade dos destinatários.
  • Ao utilizar o método de algoritmo avançado de encriptação Rijndael Standard com o algoritmo de hash SHA1 e um tamanho de chave de 256 bits, a encriptação de dados sensíveis assegura que, mesmo na improvável eventualidade de uma intrusão directamente na base de dados, a informação aí encontrada será inútil porque é encriptada segundo os padrões mais elevados.
  • É fundamental mencionar que a abordagem de encriptação/descriptação para todos os documentos emitidos pela plataforma Smart Certificate é precisamente a abordagem mais fiável e eficiente para a emissão de documentos, especialmente para documentos que contêm dados privados; de facto, uma vez que estes documentos são encriptados até ao momento da sua activação pelos próprios destinatários (aceitando as Condições Gerais de Utilização), a abordagem "encriptação/descriptação" é a única abordagem real para respeitar as regras de privacidade (direito europeu). Qualquer outra abordagem ou processo equivaleria a comprometer as regras relativas à comunicação, entrega, partilha, de dados privados sensíveis. Portanto, apenas os destinatários têm a possibilidade de desencriptar os seus documentos (gerando-os através da activação da ligação segura que lhes é enviada) e a entidade emissora através de uma interface onde a sua palavra-passe (ligada à chave privada segura encriptada) deve ser integrada.

Visão Geral da Segurança

A plataforma Smart Certificate utiliza algumas das tecnologias mais avançadas para a segurança da Internet. Consciente da sensibilidade dos dados que possui, o fluxo de trabalho Smart Certificate inclui uma abordagem de segurança de 360°, canais de comunicação e instalações de armazenamento.

  • Canais seguros: os canais de comunicação entre a plataforma e todos os interessados (emissores, destinatários) são protegidos pelo Certificado SSL de Validação Estendida Classe 3. Esta é a plataforma mais fiável e segura para a segurança do sítio web em termos de Certificado SSL. Utiliza um mínimo de 128-bits e até 256-bits de encriptação SSL, permitindo uma forte encriptação de quaisquer dados comunicados de e para a plataforma. Isto irá protegê-la e aos seus utilizadores de quaisquer interceptores dispostos a apanhar informações em trânsito entre a plataforma e os seus clientes.
  • Verificação de Identidade Segura dos emissores: Qualquer pessoa pode afirmar ser o representante de qualquer organização. Pusemos em prática um processo manual de autenticação de qualquer cliente disposto a criar uma conta. Qualquer cliente disposto a abrir uma conta e a conceder um documento certificado terá de passar por este processo.
  • Armazenamento Seguro: a nossa base de dados não está apenas num servidor seguro, todos os dados sensíveis (nomes, endereços de correio electrónico, números de telefone, etc.) são nativamente encriptados dentro da nossa base de dados utilizando o método Padrão Avançado de Encriptação: Algoritmo Rijndael com algoritmo de hash SHA1 e chave de 256 bits. A encriptação de dados sensíveis garantirá que mesmo no caso improvável de um intruso aceder directamente à nossa base de dados, a informação que será encontrada será inútil porque encriptada com os padrões mais elevados.
  • Privacidade de Dados Protegida: Para além do armazenamento seguro de dados sensíveis, a plataforma Smart Certificate implementou um processo interno para assegurar o controlo da privacidade dos dados dos destinatários e das informações dos documentos. Este processo assegura que nenhum dado pessoal será alguma vez acessível à plataforma sem o consentimento do emissor.
  • Documentos securizados: No caso particular da geração de documentos, a plataforma Smart Certificate reforça a segurança ao garantir o conteúdo do documento e assinar digitalmente e proteger todos os documentos PDF na blockchain (Bitcoin) emitindo um hash criptográfico (SHA256) para qualquer documento, de modo a garantir independentemente um carimbo de data/hora seguro para cada documento.

Graças a estas inovações, a plataforma Smart Certificate é capaz de garantir:

  • A identidade da instituição
  • O conteúdo de cada documento certificado
  • Respeito pela privacidade dos destinatários
  • A inalterabilidade dos documentos Smart Certificate

Protecção especial de dados privados

A segurança e a protecção da privacidade têm sido sempre prioritárias N°1 desde a concepção da plataforma Smart Certificate, através de uma arquitectura específica para proteger os dados privados dos destinatários e os seus documentos.

O âmbito da arquitectura proposta torna possível proteger os documentos até serem activados pelo destinatário, mantendo-os encriptados e assegurando que as chaves de desencriptação não sejam armazenadas no servidor emissor. Esta restrição garante:

  • a propriedade dos dados permanece nas mãos da organização e do destinatário.
  • qualquer intrusão externa (mesmo improvável) só poderia alguma vez dar acesso a dados encriptados com algoritmos de encriptação fortes.
  • respeitar o quadro legislativo europeu no domínio do direito dos dados privados.

A arquitectura implementada permite também fornecer um documento autenticado, permitindo ao verificador terceiro assegurar-se de que o documento recebido pelo destinatário foi efectivamente emitido pela plataforma Smart Certificate e não foi subsequentemente modificado.

Para além da arquitectura de segurança implementada para proteger dados privados, a plataforma Smart Certificate utiliza as mais avançadas tecnologias de segurança da Internet. Conscientes da sensibilidade dos dados tratados pela plataforma, especificámos e implementámos um baluarte de segurança em torno do nosso processamento de dados, canais de comunicação e sistema de armazenamento.