Certificação Digital do Médico no Brasil
Área(s) de Atuação	Certificação digital, Segurança da informação, Proteção de dados, Comunicação Segura, Autenticação de identidade, Controlo de autoria
Entidade(s) Criadora(s)
Entidade(s) Gestora(s)	Instituto Nacional de Tecnologia da Informação, Infraestrutura de Chaves Públicas Brasileira
Data de Lançamento

O que é um Certificado Digital

O Certificado Digital é um documento eletrônico que identifica uma pessoa física ou jurídica no mundo virtual. Equivale a nossa impressão digital no mundo eletrônico.

Tem por objetivo promover a validade jurídica dos documentos assinados no meio digital e apresenta várias vantagens, como:

Permitir a comunicação segura entre dois sistemas;
Autenticar a identidade de quem assinou o documento;
Proteger a integridade dos dados;
Permitir prova ou demonstração de quem participou da transação ou realizou a assinatura digital, evitando negação da autoria.

No Brasil, o uso do Certificado Digital vem crescendo a cada ano e são múltiplos os exemplos tanto na esfera pública quanto privada da sua aplicação:

PROUNI (Programa Universidade para Todos),
SIPREV (Sistema Integrado de Informações Previdenciárias),
Sistema Bancário,
INPI (Instituto Nacional da Propriedade Industrial),
SIDOF (Serviço de Documentos Oficiais),
Receita Federal,
Nota Fiscal Eletrônica,
INSS (Instituto Nacional do Seguro Social),
Sistema Judiciário,
TISS (Troca de Informações de Saúde Suplementar),
TICS (Tecnologia de Informação e Comunicação em Saúde-CFM),
Carteiras de Identidade Profissional, etc.

O Papel da Criptografia na Certificação Digital

A tecnologia da Certificação Digital foi desenvolvida graças aos avanços que ocorreram nas últimas décadas na área da criptografia.

O padrão criptográfico para cifrar ou decifrar a mensagem é chamado de chave.

Quando a mesma chave é usada para cifrar e decifrar a mensagem temos a criptografia simétrica ou de chave privada, utilizada em computadores isolados ou em redes privadas.

Quando são utilizadas 2 chaves distintas mas inter-relacionadas temos a criptografia assimétrica ou de chave pública, que pode ser utilizada na internet. (http://www.aldemario.adv.br/infojur/conteudo13texto.htm)

No Brasil, a Certificação Digital é feita através do processo de criptografia assimétrica. A chave privada pertence a um único proprietário e deve ser mantida em sigilo, é usada para assinar o documento eletrônico enquanto a chave pública se encontra disponível nos diretórios públicos da internet e serve para verificar a assinatura. Uma mensagem cifrada com a chave pública pode ser somente decifrada com chave privada correspondente (confidencialidade).

O caminho inverso, onde a mensagem cifrada com a chave privada é decifrada pela chave pública, garante autenticidade ao texto, pois somente o proprietário da chave privada seria capaz de cifrar aquele texto.

Assinatura Digital

Na assinatura digital, o mesmo processo de criptografia de chave assimétrica/pública é utilizado, mas acrescido de uma função resumo, conhecida como função hash. Utilizam-se resumos criptográficos no processo de autenticação, tornando o processo mais rápido, homogêneo e eficiente, pois não depende do tamanho do documento a ser assinado.

Em junho de 2001, a Medida Provisória N° 2.200 garantiu a validade jurídica aos documentos eletrônicos assinados digitalmente e a utilização dos certificados digitais para atribuir autenticidade e integridade a estes documentos.

Infraestrutura de Chaves Públicas Brasileiras: ICP-Brasil

A MP N° 2.200-2/2001 instituiu a Infraestruturas de Chaves Públicas Brasileiras (ICP-Brasil).

A ICP-Brasil é uma cadeia hierárquica e de confiança que viabiliza a emissão de certificados digitais para identificação virtual do cidadão.
O Instituto Nacional de Tecnologia da Informação (ITI), autarquia vinculada a Casa Civil da Presidência da República, tem por objetivo manter a ICP- Brasil em funcionamento. O ITI é também a Autoridade Certificadora Raiz (AC Raiz), com o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditorias dos processos.

O ITI é fiscalizado pelo Comite Gestor (CG) que é a autoridade máxima que aprova normas e resoluções.
O CG da ICP-Brasil é a autoridade gestora das políticas relacionadas ao tema Tecnologia da Informação. É composto por cinco representantes da sociedade civil, integrantes de setores interessados designados pela Presidente da República e representantes do Ministério da Justiça; Ministério da Fazenda; Ministério do Desenvolvimento, Indústria e Comércio Exterior; Ministério do Planejamento, Orçamento e Gestão; Ministério da Ciência e Tecnologia; Casa Civil da Presidência da República e Gabinete de Segurança Institucional da Presidência da República.

A Autoridade Certificadora (AC) é uma entidade pública ou privada, subordinada `a hierarquia da ICP-Brasil responsável por emitir, distribuir, renovar, revogar e gerenciar os certificados digitais. Cria e assina digitalmente o certificado do assinante.
O certificado emitido pela AC representa a declaração de identidade do titular que possui um par único de chaves (público/privada). Algumas das entidades cadastradas como Autoridades Certificadoras na ICP-Brasil: Presidência da República (AC-PR), SERASA, CERTISIGN, Secretaria da Receita Federal, Caixa Econômica Federal, SERPRO, Correios, Imprensa Oficial do Estado de São Paulo, Judiciário (AC-JUS), Casa da Moeda do Brasil, etc.

Hierarquia ICP-Brasil

A Autoridade de Registro (AR) é responsável pela interface entre o usuário e a AC e tem por objetivo o recebimento, validação e encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação de forma presencial de seus solicitantes (http://www.iti.gov.br/icp-brasil).

A chave privada do Certificado Digital pode ser armazenada de forma segura em um smartcard (similar a um cartão de crédito com chip), token (lembra um pendrive) ou HSM (hardware criptográfico capaz de armazenar milhares de assinaturas ao mesmo tempo).

Smartcard e Token

Um Certificado Digital traz as seguintes informações:

O nome da pessoa ou entidade a ser associada à chave pública,
Período de validade do certificado,
A chave pública,
O nome e assinatura da entidade que assinou o certificado,
O número de série.

CRM Digital

O CRM Digital é a nova carteira de identificação do médico na forma de um smartcard, confeccionada de acordo com as especificações estabelecidas pelo Instituto de Tecnologia da Informação (ITI), além de servir como documento de identidade em todo o território brasileiro, permite ao médico introduzir a Certificação Digital.
A nova carteira vem sendo distribuída de forma gradual pelo Conselho Federal de Medicina (CFM), com o objetivo de estimular o uso do certificado digital por todos os médicos no Brasil. O pedido para obtenção do CRM digital deve ser feito no conselho Regional de Medicina no qual o médico está inscrito e o acompanhamento pode ser feito pela internet (http://portal.cfm.org.br/crmdigital/).

A Resolução CFM 1821/2007 estabelece que o CFM é a Autoridade Certificadora (AC) dos médicos no Brasil, sendo responsável pela distribuição do CRM-Digital no padrão do certificado digital ICP-Brasil.

A Resolução CFM 1983/2012 normatiza o CRM Digital para vigorar como identidade dos médicos inscritos nos Conselhos Regionais de Medicina (http://www.portalmedico.org.br/resolucoes/cfm/2007/1821_2007.htm).

A nova cédula de identidade médica possui um sistema antifraude e um chip criptografado para a Certificação Digital.
Apresenta 2 senhas de segurança: PIN e PUK.

O PIN (Personal Identification Number) é a senha de utilização do cartão, que é alterada pelo médico no momento da validação.

O PUK (Personal Unlocking Key) é uma senha de emergência utilizada apenas para desbloqueio do PIN.

Caso esqueça o PIN e erre o número 3 vezes, a senha será bloqueada e só poderá ser desbloqueada com a utilização do PUK.

Ao receber o CRM digital, o médico poderá usá-lo como identidade, mas para utilizá-lo nos sistemas de informação é necessário ativar o chip, procurando uma Autoridade Certificadora (AC) capaz de inserir o certificado digital no padrão ICP-Brasil. Atualmente o CFM estabeleceu uma cooperação técnica com algumas Autoridades Certificadoras com condições diferenciadas para médicos (para detalhes ver o site do CFM.
Após inserir a certificação digital na nova cédula do CRM digital, ainda são necessários os seguintes passos:

Dispor de uma leitora de cartão inteligente,
Instalar o driver do seu hardware criptográfico (leitora de cartão inteligente) fornecido pelo fabricante do equipamento,
Instalar o software do gerenciador criptográfico (SafeSign) que se encontra disponível no site do CFM.

O certificado digital terá a validade inicial de um e-CPF A3, ou seja, um certificado digital ICP-Brasil para pessoa física válido por 3 anos.

CRM Digital: mecanismos de segurança

Cuidados com CRM Digital

A nova cédula de identidade não deve ser plastificada para não comprometer a imagem latente, um dos itens de segurança do novo documento,
Não emprestar a cédula/certificado digital para terceiros,
O CRM digital tem validade jurídica, é pessoal e intransferível,
Guardar o PIN/PUK em local seguro para que não seja copiado ou usado por terceiros,
Não emitir certificado digital fora da hierarquia da ICP-Brasil, pois não tem validade jurídica no Brasil.

Uso Profissional

Sistemas de Prontuário Eletrônico do Paciente (PEP) por meio certificação digital,
Serviços do Conselho de Medicina no Portal Médico.

Uso Pessoal

Assinar contratos digitais,
Efetuar transações bancárias,
Emitir certidões e acessar serviços online da Receita Federal,
Gerar procurações eletrônicas,
Enviar impostos pela internet.

Sobre o Uso de Atestados Médicos com Certificação Digital

Em 2012, o Instituto Nacional do Seguro Social (INSS) começou a implantar, em todo o Brasil, o atestado médico eletrônico. O objetivo é reduzir o tempo de espera dos pacientes que necessitam de perícia médica.
O médico assistente, após avaliação do segurado, pode emitir atestado eletrônico no site da Previdência Social, com uso do Certificado digital ICP-Brasil. O período de afastamento deve ser entre 16 e 60 dias. Desta forma o benefício será concedido automaticamente e o segurado não precisará agendar perícia médica, exceto no caso de acidente de trabalho (http://www5.dataprev.gov.br/PortalSibeInternet/faces/pages/atestado/autenticacao.xhtml#sibe).

Em 2013, a Associação Paulista de Medicina passou a oferecer atestados médicos registrados com o uso do certificado digital no padrão ICP-Brasil. A medida tem o objetivo de coibir a venda de atestados médicos falsificados (http://www.apm.org.br/atestadodigital).

No Distrito Federal (DF), a legislação determina a obrigatoriedade da emissão de atestados médicos digitais em toda rede hospitalar, pública e privada: Lei nº 5.526/2015, publicada no Diário Oficial do DF no dia 27/08/15. O objetivo é reduzir a emissão de atestados médicos falsos. No DF, cerca de 15 a 20 mil documentos são falsificados por mês 9.