Aproveitando o último dia do Fórum Mobile+ em São Paulo nessa última quarta-feira, 1º, a brasileira eSEC lançou o site para desenvolvedores incorporarem a primeira solução de certificação eletrônica nacional para ser usada por dispositivos móveis, a Certillion. Como utiliza plataforma web, os interessados não precisam baixar kit de desenvolvimento de software (SDK), apenas testar e colocar em produção. A novidade foi desenvolvida ao longo de três anos pela eSEC, com apoio da Finep, e será adotada inicialmente pela goiana Soluti, uma das poucas autoridades certificadoras privadas do País.
A cobrança será feita por assinatura digital feita, com o preço variando de acordo com o volume. É diferente da praxe do mercado de certificação digital, em que geralmente se cobra uma licença única para uso ilimitado. O presidente do conselho administrativo da Soluti, Vinícius Sousa, explica que isso é uma prática "mais justa para o usuário e para as organizações que querem consumir essas assinaturas – e, por ser flexível, encaixa-se melhor em nichos do mercado". O preço, diz Sousa, varia de R$ 0,10 a R$ 3 por assinatura, de acordo com o volume contratado. "Mas temos feito propostas bem agressivas. Queremos ver a tecnologia nas mãos das pessoas, queremos ter massa crítica", diz.
De acordo com o diretor de tecnologia da eSEC, Rodrigo Sodré, a empresa está negociando pilotos com empresas, bancos e fornecedores. "Para ter a aplicação imediata, mais prática, desenvolvedores e provedores de serviço podem solicitar transações assinadas (com o certificado), e o próprio usuário com assinatura digital pode instalar no celular e instalar no computador – o Certillion permite transferir para o celular para usar o certificado como um tolken virtual", disse ele.
A solução utiliza dois níveis de certificação, nas camadas de software e hardware, identificando se o aparelho é legítimo da mesma forma como bancos fazem com aplicações que precisam que os telefones sejam liberados. Assim, a Certillion pode bloquear o acesso ao backup do dispositivo se ele não for autenticado, por exemplo. No caso de um smartphone Android, a solução permite até a blindagem do ambiente. "Se tem um vírus, ele bloqueia e não consegue capturar a tela e recuperar a chave", diz Sodré. O aplicativo está disponível também para iOS, Java e BlackBerry.
A interface no smartphone funciona de maneira simples, exigindo autenticação por senha uma vez que o dispositivo esteja com o certificado. Sodré explica que comparar esse recurso com outras plataformas de autenticação, como a biométrica (sem o certificado), é uma troca da segurança pela conveniência. "Eu acho isso uma abordagem estranha. Todo mundo sabe que certificação digital é o modelo mais forte, só que ninguém levanta a bandeira porque é complexo e tem custo. Em vez de oferecermos mecanismos mais frágeis, estamos oferecendo um melhor e ultrapassando essa barreira", diz. "O mercado é que vai dizer qual tecnologia vai vingar".
Na visão dele, a grande vantagem é que a certificação digital pode ser usada com outras aplicações. "Serve como pagamento, para médico assinar laudo, contadores assinarem balanço contábil… Não vejo uma situação na qual a certificação não seja a tecnologia ideal", diz.