Poderemos contar com o suo de assinaturas digitais dos consumidores para transações on-line?

Poderemos contar com o uso de assinaturas digitais dos consumidores para as transações on-line?

As empresas hoje trabalham com três ambientes distintos para executar suas transações on-line: interno, business-to-business e business-to-consumer. Cada ambiente necessita de uma tecnologia e política de segurança diferenciada. No ambiente interno, o controle de acesso às transações é feito através de facilidades do sistema operacional e do banco de dados. No ambiente business-to-business, com transações entre fornecedores e revendedores, as transações devem ser protegidas através de assinaturas digitais e certificados que autenticam o site. No ambiente business-to-consumer, onde as transações são realizadas por um número muito grande de consumidores, os certificados de autenticação do site do vendedor são praticamente obrigatórios. Porém, será que poderemos contar com o uso de assinaturas digitais dos consumidores?

As transações on-line dentro das empresas feitas por funcionários possuem um controle rígido através de facilidades do sistema operacional, do sistema de segurança dos bancos de dados ou por um software de segurança externo. A política de segurança é conhecida por toda a comunidade de funcionários e existem penalidades para quem não as segui-las. Nesse ambiente, é atribuído a cada funcionário um perfil de acesso, definindo as transações que ele pode acessar de acordo com suas funções. Quando o funcionário troca de função seu perfil de acesso é alterado. Como o controle de segurança é centralizado e integrado ao banco de dados de recursos humanos, o controle é rígido e efetivo.

No ambiente business-to-business, mesmo tratando-se de um ambiente fora da empresa, é possível introduzir um eficiente controle de acesso às transações. Dentro contrato firmado entre as empresas deve conter clausulas que definam a política de segurança que será seguida pelas empresas. Um exemplo é a obrigatoriedade do uso de certificados de autenticação do site através de uma empresa externa, tipo a VeriSign e o uso de assinaturas digitais.

A assinatura digital é o meio mais seguro para garantir a integridade na troca de informação entre duas partes, através do uso de chaves de criptografia públicas e privadas. As chaves são obtidas através de uma empresa idônea e independente que define as chaves de criptografia. A parte pública é distribuída indistintamente para todas as empresas que iram trocas informações. A chave privada é usada para criptografar uma mensagem que só será decifrada através da chave pública. Se a mensagem for decifrada pela chave pública existe a certeza de quem enviou a mensagem foi a empresa correta. Como o algoritmo de geração das chaves é extremamente complexo, a quebra das chaves acaba sendo quase impossível. Além da parte técnica existe a parte burocrática de registro em cartório das assinaturas.

A questão que se coloca é se devemos exigir que cada consumidor tenha uma assinatura digital para fazer transações no comércio eletrônico. Certamente, o processo ficaria mais seguro transmitindo mais confiança aos consumidores. Porém, estaríamos criando mais um obstáculo para o crescimento do comércio eletrônico. Os processos atuais utilizam a criptografia através do SSL, desenvolvido pela Netscape. A maioria dos bancos utiliza o SSL, inclusive para transações de transferência de dinheiro entre uma conta e outra.

Em minha opinião devemos assumir os riscos de fazer as transações para consumidores sem assinatura digital e continuar a aperfeiçoar os mecanismos de segurança.