Assinatura Digital de Contratos de Câmbio Banrisul Utilização dos certificados digitais para a Assinatura de Contratos de Câmbio Banrisul. Manual Descritivo Índice 1. Introdução 1.1. Objetivo. 1.2. Escopo. 1.3. Definições, Siglas e Abreviaturas. 2. Descrição Geral. 3. Identificação do Ambiente Operacional. 3.1. Sistema Operacional. 3.2. Versão do Navegador. 3.3. Segurança no Navegador. 4. Procedimentos necessários. 4.1. Driver do Cartão ou token. 4.2. Driver da Leitora do Cartão. 4.3. Origem do Certificado. 4.4. Tipos de Certificados. 4.5. Cadeia de Certificados da AC. 4.6. Cadeia de Certificados do Componente. 4.7. Teste de reconhecimento do Cartão e/ou token pelo Windows. 4.7.1. Utilizando o Internet Explorer (navegador obrigatório). 4.7.2. Utilizando o utilitário de gerenciamento de certificados disponíveis no Windows. 4.8. A instalação do Componente de Assinatura Digital. 4.8.1. A instalação direta pelo site do Banrisul. 4.8.2. A instalação administrativa utilizando o aplicativo de instalação. 4.9. Assinatura do Contrato de Câmbio. Especificação do Manual Descritivo 1. Introdução 1.1. Objetivo Neste documento serão definidos os passos necessários para utilização dos certificados digitais para a Assinatura de Contratos de Câmbio. 1.2. Escopo Esta especificação descreve os passos necessários, utilização e gerenciamento das informações do projeto “Infraestrutura de Certificados Digitais Banrisul”. 1.3. Definições, Siglas e Abreviaturas Não se aplica. Abreviatura Descrição ICP-Brasil Órgão brasileiro que regulamenta e controla as empresas autorizadas à emitir certificados digitais. AC Autoridade Certificadora (authority certification) responsável pela emissão do certificado digital. CSP Provedor de Serviços de criptografia (Cryptographic Service Provider) responsável por criptografar as informações gravadas no dispositivo cartão/token. Cartão ou Token Dispositivo de armazenamento contendo uma região de armazenamento de informações Drivers Aplicativos desenvolvidos especificamente para um dispositivo (hardware) para que o Windows possa utilizá-lo. UAC User Account Control é uma infraestrutura de tecnologia e segurança introduzida nos sistemas operacionais da Microsoft Windows Vista, Windows Server 2008 e Windows 7 ou superior . Sua função é aumentar a segurança do Microsoft Windows limitando as modificações de sistema aos usuários do grupo administrador. EvalCryptoCom Componente de Assinatura Digital AR Autoridade registradora de certificados digitais * *O Banrisul é uma AR e registra o certificado digital no próprio cartão de conta corrente com chip Banrisul. 2. Descrição Geral Objetivo: Este documento descreverá as verificações necessárias da estrutura de hardware e software para a utilização dos certificados digitais para assinatura dos contratos de câmbio. CONSIDERAÇÃO IMPORTANTE: Toda esta instalação DEVE SER executada como Administrador Local da máquina, principalmente para as versões mais atualizadas do Windows (Vista, WIN7 e Win8), pois somente este usuário gravará as informações de forma correta e dará direitos aos demais usuários. Esta é uma restrição do Windows (UAC) e NÃO do componente de assinatura. 3. Identificação do Ambiente Operacional 3.1. Sistema Operacional Objetivo: Apresentar a dependência dos componentes físicos para acesso ao certificado digital. Ter a certeza que o usuário esta trabalhando com um Sistema Operacional compatível com a aplicação. Identificar a versão do Sistema Operacional do computador em que o usuário está utilizando. Os seguintes sistemas operacionais são compatíveis com a aplicação: .Microsoft Windows XP SP3 32bits e 64bits .Microsoft Windows Vista 32bits e 64bits .Microsoft Windows 7 32bits e 64bits Verificar a versão do Windows: Acessar o Windows Explorer e selecionar a opção “Computador”. Com botão direito, selecionar a opção “Propriedades”. Desta forma, será apresentada a versão do sistema operacional. Verificar a versão do navegador: clicar sobre a opção Ajuda – Sobre o Internet Explorer, conforme exemplo abaixo. A versão do navegador será apresentada: 4.3.3. Segurança no Navegador Objetivo: Ter a certeza que o site do Banrisul é considerado como site seguro no navegador. Abrir o navegador “Internet Explorer”, na mesma barra “Ajuda”, e escolha o sub-menu “Ferramentas” e Opções da Internet. No formulário que abrir, escolha a aba “Segurança” e selecione o ícone “Sites Confiáveis”. Por padrão, do navegador “Internet Explorer”, colocar o botão de segurança na posição “médio”. Evite alterar a opção, ao mesmo que seja indicado pelo administrador da rede do cliente. Clique no botão “Sites”, que aparece à direita logo e abaixo dos ícones. Em seguida será exibido a tela de cadastramento de “Sites Confiáveis”. Adicione o endereço do site do Banrisul https://ww7.banrisul.com.br. Selecione a opção “Exigir verificação do servidor (https:) para todos os site desta zona” Clique sobre o botão “Adicionar”. 4. Procedimentos necessários 4.1. Driver do Cartão ou token Objetivo: Ter a certeza que o driver de acesso ao cartão esteja instalado. Também conhecido como CSP (Cryptographic Service Provider), este driver é diferente para cada fornecedor de cartão e/ou token, pois define como as informações serão gravadas nele. Cada Autoridade Certificadora (AC) pode utilizar um ou mais CSP´s diferentes, pois depende da compra de lotes de cartões feito aos fornecedores fabricantes destes dispositivos. Ora pode comprar do fornecedor “X”, ora do fornecedor “Y”. Cada um fornece seu CSP. 4.2. Driver da Leitora do Cartão Objetivo: Ter a certeza que o driver da leitora do cartão esteja instalado. Aqui estamos falando da parte de software que fará com que o Windows entenda que há um novo dispositivo de leitor de cartões. NÃO É O MESMO DRIVER DO CSP. São drivers diferentes. Gerenciador de dispositivos Os dispositivos do tipo Token normalmente são conectados nas portas USB. Estes dispositivos tem sua funcionalidade de leitura semelhante a um pendrive, mas seu funcionamento é totalmente diferente. Alguns necessitam de instalação de CSP. Outros, o próprio Windows interpreta automaticamente. 4.3. Origem do Certificado Objetivo: Ter certeza que o certificado utilizado no cartão, token ou outro dispositivo seja ICP-Brasil. Neste caso, o certificado deve ter sido emitido por uma das AC credenciadas, como CertSign, Serasa, Receita Federal, Caixa Econômica, entre outras. Veja estrutura completa no link http://www.iti.gov.br/icp-brasil 4.4 Tipos de Certificados Objetivo: Saber o tipo de certificado utilizado pelo usuário assinante. Na ICP-Brasil estão previstos oito tipos de certificado. São duas séries de certificados, com quatro tipos cada. A série A (A1, A2, A3 e 4) reúne os certificados de assinatura digital, utilizados na confirmação de identidade na Web, em e-mail, em redes privadas virtuais (VPN) e em documentos eletrônicos com verificação da integridade de suas informações. A série S (S1, S2, S3 e S4) reúne os certificados de sigilo, que são utilizados na codificação de documentos, de bases de dados, de mensagens e de outras informações eletrônicas sigilosas. Os oito tipos são diferenciados pelo uso, pelo nível de segurança e pela validade. Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no próprio computador do usuário. Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e as informações referentes ao seu certificado ficam armazenadas em um hardware criptográfico – cartão inteligente (smart card) ou cartão de memória (token USB ou pen drive). Para acessar essas informações você usará uma senha pessoal determinada no momento da compra. Os certificados mais comuns são: A1: de menor nível de segurança, é gerado e armazenado no computador do usuário. Os dados são protegidos por uma senha de acesso. Somente com essa senha é possível acessar, mover e copiar a chave privada a ele associada, e A3: de nível de segurança médio a alto, é gerado e armazenado em um hardware criptográfico, que pode ser um cartão inteligente ou um token. Apenas o detentor da senha de acesso pode utilizar a chave privada, e as informações não podem ser copiadas ou reproduzidas. Download da Hierarquia de Certificados AC 4.5. Cadeia de Certificados da AC Objetivo: Ter a certeza que toda a Cadeia de certificados da AC, fornecedor do certificado, esteja instalada corretamente. Algumas AC´s NÃO INCLUEM no cartão ou token, toda a cadeia de certificados necessários para a utilização do certificado. Assim, pode ser que mesmo conseguindo ler do cartão, o certificado pode estar inválido pela falta da cadeia completa. Nas versões atuais do Windows, há um serviço automático de atualização das cadeias de certificados, executando a atualização conforme programado, mas alguns administradores de rede podem desabilitar esta funcionalidade por norma de segurança da TI. Assim haverá a necessidade de verificar se a cadeia está atualizada de acordo com as instruções da AC emissora do certificado. Normalmente no site da AC existe um procedimento para atualização correta desta cadeia. 4.6. Cadeia de Certificados do Componente Objetivo: Ter a certeza que toda a Cadeia de certificados do Componente de Assinatura esteja instalada corretamente. Para garantir a segurança de procedência dos aplicativos de assinatura necessários para o processo, o componente de assinatura também é assinado digitalmente e deve ter sua assinatura validada. Para isto, a estrutura de certificados abaixo deve estar disponível: Esta estrutura pode ser acessado pelo utilitário de Gerenciamento de Certificados “certmgr.msc”, responsável por apresentar a lista de certificados instalados no computador. A primeira estrutura a ser verificada é o Certificado Raiz da “Global Sign” que deve estar instalado no grupo de certificados “Autoridades de certificação de raiz” -> “Certificados”. A segunda estrutura a ser verificada é o Certificado Intermediário “Global Sign Domain Validation CA – G2” que deve estar instalado no grupo de certificados “Autoridades de certificação Intermediária” -> “Certificados”. 4.7. Teste de reconhecimento do Cartão e/ou token pelo Windows Objetivo: Testar se o Windows esta acessando o cartão e/ou token, podendo ler o certificado. Para executar estes passos, tenha a certeza que os passos anteriores foram executados corretamente. Para isto, podemos fazer estes testes: 4.7.1 Utilizando o Internet Explorer. Abra o Internet Explorer e utilize o menu “Ferramentas -> Opções de Internet -> Aba “Conteúdo”. Tem o botão “Certificados” que deve mostrar o certificado disponível no cartão. Se o certificado não aparece na lista, repita os três primeiros passos. Um teste simples de atualização de leitura pode ser executado removendo o cartão da leitora e teclar “F5” para atualizar esta tela. Se o certificado “desaparecer”, o Windows esta lendo corretamente a leitora, o driver do cartão e o certificado nele contido. Ao colocar o cartão novamente, aperte “F5” e o Windows deverá reler o certificado e mostrá-lo na tela. Obs.: Algumas versões do Sistema Operacional, mesmo removendo o cartão da leitora, podem manter em “cache” as informações de tela, ou seja, mesmo removendo da leitora o cartão, pode ser que o certificado fique aparecendo, mesmo após telar “F5”. Neste caso, se clicar “duas vezes” sobre o certificado mostrado, provavelmente, pedirá que insira o cartão na leitura para mostrar corretamente. O procedimento semelhante pode ser feito com o token. 4.7.2 Utilizando o utilitário de gerenciamento de certificados disponíveis no Windows. Utilize o menu do Windows “Iniciar Executar” digite “certmgr.msc” e pressione “enter”. Este utilitário apresentará uma tela semelhante a tela apresentada pelo Internet Explorer descrito acima. Acesse, na tela da direita, a pasta “Pessoal Certificados”. O certificado disponível no cartão deve aparecer na tela da direita. Um teste simples de atualização de leitura pode ser executado removendo o cartão da leitora e teclar “F5” para atualizar esta tela. Se o certificado “desaparecer”, o Windows esta lendo corretamente a leitora, o driver do cartão e o certificado nele contido. Ao colocar o cartão novamente, aperte “F5” e o Windows deverá reler o certificado e mostrá-lo na tela. Os.: Algumas versões do Sistema Operacional, mesmo removendo o cartão da leitora, podem manter em “cache” as informações de tela, ou seja, mesmo removendo da leitora o cartão, pode ser que o certificado fique aparecendo, mesmo após telar “F5”. Neste caso, se clicar “duas vezes” sobre o certificado mostrado, provavelmente pedirá que insira o cartão na leitura para mostrar corretamente. O procedimento semelhante pode ser feito com o token. 4.8. A instalação do Componente de Assinatura Digital Objetivo: Instalar o componente de assinatura. Se todos os componentes anteriores estão configurados orretamente. Podemos fazer de duas formas: 4.8.1. A instalação direta pelo site do Banrisul Quando o usuário abre a página para assinar um contrato, a própria aplicação (site) verifica se existem todos os componentes necessários do assinador digital “EvalCryptoCom”. Não existindo o componente, o navegador “Internet Explorer” apresenta a mensagem de instalação: Quando o usuário clica sobre a mensagem apresentada, a opção de “Instalar este Complemento para Todos os Usuários deste Computador” é apresentada. É importante confirmar se a Cadeia de Certificados do componente, indicada no passo 4.6, foi instalada corretamente. Caso não tenha sido, a mensagem abaixo é apresentada: Note que o texto “E-VAL (editor não verificado)”, indicando que mesmo que instalado, este componente não é válido para o navegador. Assim não será possível assinar documentos. Se a Cadeia de Certificados do Componente esta correta, a tela abaixo é apresentada: Clicando no botão “Mais opções”, um conjunto de opções é apresentado: Selecione a opção “Sempre instalar software proveniente de “EVAL TECNO...””. Após a confirmação, o componente é automaticamente instalado no navegador para sua utilização. Neste caso, não é adicionado qualquer parâmetro de configuração do componente, ficando desativado qualquer log de execução. 4.8.2 A instalação administrativa utilizando o aplicativo de instalação. Este procedimento pode ser baixado do site do Banrisul para a execução do aplicativo de instalação, tanto para a versão 32bits quanto para 64bits. Site Banrisul > Para sua Empresa > Câmbio > Assinatura Digital de contrato de Câmbio > Links Relacionados Após a instalação, devemos verificar: a. A criação do diretório de parâmetros e log localizado em “C:\evallog”. b. Neste diretório ficam os arquivos de parâmetros “config.xml” e os log gerados durante as tentativas de assinaturas . c. Os logs somente são gerados se no arquivo de configuração “config.xml” estiver ativada a flag de geração de log, conforme manual específico. d. Quaisquer erros gerados serão gravados nos logs, se estes estiverem ativos. Estrutura do arquivo “config.xml” . Estrutura do arquivo “config.xml” <config> <interface> <titulo></titulo> <texto></texto> <caminho></caminho> </interface> <comunicacao> <proxy></proxy> <tsa></tsa> </comunicacao> <log> <dir>C:\\eValLog\\</dir> Diretório de localização <error>1</error> Ativa o registro de erros <alert>1</alert> Ativa o registro de alertas <info>1</info> Ativa o registro de informações <debug>1</debug> Ativa o registro de todos os comandos executados. </log> </config 4.9. Assinatura do Contrato de Câmbio Uma vez realizadas com sucessos as etapas anteriores, o usuário deverá testar a assinatura de um contrato de câmbio. Devemos lembrar que deverá existir uma procuração e uma alçada válida para este usuário/empresa, registradas no Banrisul, para que a assinatura funcione corretamente. Outro fator importante a ser destacado: A pessoa que assina o contrato de câmbio com o certificado ICP-Brasil deve ser a mesma que entra no Office Banking (mesmo CPF). Para mais informações referente a certificação digital e baixa da cadeia de certificados, consulte o site do Banrisul, menu Para Sua Empresa >Certificado Digital > Arquivos Relacionados > Links relacionados