CyBOK: Capítulo 3 - Leis e Regulamentações - Parte 8

CyBOK: Capítulo 3 - Leis e Regulamentações - Parte 8

Este artigo explora a oitava parte do Capítulo 3 do CyBOK, focando na validade legal de assinaturas eletrônicas, responsabilidades de emissoras de certificados, requisitos de segurança específicos da indústria e restrições de exportação para tecnologias de cibersegurança. Aborda questões cruciais para a segurança digital e conformidade legal.

MundiX News·21 de maio de 2026·15 min de leitura·👁 15 views

CyBOK: Capítulo 3 - Leis e Regulamentações - Parte 8

Este artigo continua a série dedicada ao Cybersecurity Body of Knowledge (CyBOK), um compêndio de conhecimento em cibersegurança. O Capítulo 3 do CyBOK aborda as principais normas regulatórias e princípios do direito internacional relevantes para a cibersegurança, que podem ser aplicados na avaliação de riscos cibernéticos, gestão de segurança da informação e investigação de incidentes cibernéticos. Esta é a oitava parte da análise do Capítulo 3, focando em questões como a validade legal de assinaturas eletrônicas e a responsabilidade dos emissores de certificados, requisitos específicos da indústria em segurança da informação e restrições de exportação para tecnologias de cibersegurança.

3.10 Documentos Eletrônicos e Serviços de Autenticação

Com o aumento da digitalização, surgiu a necessidade de transferir para o formato eletrônico os métodos tradicionais de garantir a autenticidade e integridade de documentos em papel, como assinaturas, selos e tinta indelével. A resposta foram as tecnologias de proteção, muitas vezes baseadas em PKI (Infraestrutura de Chave Pública), cuja aplicação gerou uma série de novas questões legais: validade legal de documentos eletrônicos, suporte legal para comunicações digitais, direitos e obrigações na prestação e utilização de serviços eletrônicos.

3.10.1 Admissibilidade de documentos eletrônicos como prova

A aceitação de documentos eletrônicos como prova em processos judiciais é agora generalizada. Tribunais e legisladores permitem o uso de ferramentas forenses projetadas para verificar a autenticidade e integridade dos dados. A legislação de diferentes países pode exigir procedimentos especiais para reconhecer provas em formato eletrônico, mas as regras geralmente coincidem com os requisitos para evidências documentais de outros tipos.

3.10.2 Requisitos de forma e risco de inaplicabilidade das normas legais

O requisito legal de forma é expresso no fato de que algumas comunicações podem ser objeto de aplicação da lei somente se tiverem uma forma predeterminada. O não cumprimento dos requisitos legais aplicáveis ​​à forma acarreta o risco de que o assunto (substância) da comunicação perca sua força legal. Diferentes países aplicam diferentes requisitos de forma, que podem incluir o cumprimento das seguintes regras aproximadas para reconhecer documentos como legalmente válidos:

  • Algumas notificações legais devem ser enviadas por escrito (na forma de um documento em papel);
  • Certos contratos devem ser assinados à mão;
  • Alguns apelos a órgãos governamentais podem ser emitidos apenas em um formulário especial;
  • Alguns itens de contratos que afetam a responsabilidade de uma das partes devem ser emitidos com destaque visual (por exemplo, usando letras maiúsculas, uma fonte notável, etc.) e assinados por uma das partes;
  • Um testamento deve ser escrito e assinado na presença de testemunhas;
  • Um documento de transferência de direitos de propriedade deve ser assinado na presença de um funcionário público, que então carimba o documento.

Os sistemas de comércio eletrônico, que surgiram na década de 1960, contornaram alguns dos requisitos formais para o registro de documentos, assinando um contrato-quadro em papel, que continha uma lista de regras da plataforma de comércio eletrônico e sua relação com obrigações legais - como resultado, mensagens de texto estruturadas no sistema de comércio eletrônico tornaram-se comunicações legalmente significativas entre os participantes do comércio. No entanto, as plataformas de negociação modernas impõem muito menos requisitos formais aos participantes da negociação (pessoas físicas e jurídicas - vendedores e compradores). Em 1996, a UNCITRAL (UNCITRAL) assinou uma lei modelo da ONU sobre comércio eletrônico para facilitar o uso de plataformas de Internet para fins comerciais e remover obstáculos legais, adotando a regra da equivalência de documentos em papel e eletrônicos. Por sua vez, estados individuais começaram a adotar leis que fornecem uma estrutura legal para interação online, incluindo comércio, transferência de informações financeiras e relatórios, regras de litígio, etc. No entanto, certas questões sensíveis em muitos países ainda não foram traduzidas para o formato eletrônico - incluindo, por exemplo, a transferência de direitos de propriedade ou questões de herança. Na Rússia, no entanto, a maioria das questões pode ser resolvida através do portal de Serviços Públicos, o que gera certos riscos materiais e consequências legais para os cidadãos: por exemplo, através dos Serviços Públicos, você pode emitir um empréstimo ou vender imóveis - é por isso que é importante saber sobre a possibilidade de estabelecer uma auto-proibição de obter empréstimos e uma proibição de ações com imóveis sem a participação pessoal do proprietário.

3.10.3 Assinatura eletrônica e serviços de autenticação

O desenvolvimento do setor de comércio eletrônico ocorreu simultaneamente com a disseminação de serviços de autenticação (em inglês, identity trust services), incluindo aqueles que emitem certificados digitais que vinculam uma determinada pessoa à sua chave pública no âmbito da infraestrutura PKI. À medida que esses serviços de verificação de autenticidade se desenvolveram, dois tópicos de discussão surgiram: primeiro, em que medida a validade legal de uma assinatura manuscrita em papel corresponde a uma assinatura digital; em segundo lugar, qual é o escopo dos direitos e obrigações das pessoas que atendem e usam esses serviços. A primeira questão foi resolvida na maioria dos estados, onde, sob certas condições, a assinatura digital é equiparada à assinatura manuscrita: por exemplo, na Rússia, de acordo com as normas da Lei Federal "Sobre Assinatura Eletrônica" nº 63-FZ de 06.04.2011, assinaturas eletrônicas simples (PEP, o par "login-senha" ou um código único do SMS/aplicativo), assinaturas eletrônicas não qualificadas (NEP, o par de chave pública-privada e certificado), bem como assinaturas eletrônicas qualificadas aprimoradas (UKEP/KEP, emitidas por centros de certificação credenciados, SKZI certificados) são aplicadas. A questão dos direitos e obrigações dos serviços de autenticação é mais complexa: é necessário determinar a medida da responsabilidade do emissor por certificados digitais emitidos incorretamente e por falhas no sistema de verificação de sua validade, pela comprometimento da chave privada do centro de certificação raiz, pela violação da disponibilidade do serviço e incidentes cibernéticos. Além disso, é importante determinar as regras de responsabilidade do signatário, que pode comprometer sua chave privada ou perder o acesso ao dispositivo para criar uma assinatura - essas questões são regulamentadas pela legislação setorial de um determinado país e são consideradas para cada cenário de uso específico (por exemplo, ao usar sistemas de pagamento eletrônico). Ao usar sistemas de emissão de certificados, surgem tarefas de troca de informações entre a entidade que aceita o certificado e a parte que confia nele, o usuário-signatário e o centro de certificação que emite e confirma a validade do certificado. As regras gerais tornaram-se as seguintes normas, apresentadas em vários atos legislativos de alguns países:

  • A obrigatoriedade de reconhecer assinaturas digitais como prova legal;
  • A obrigatoriedade de reconhecer assinaturas digitais como equivalentes à assinatura manuscrita, sujeitas ao cumprimento de uma série de requisitos técnicos para garantir a autenticidade e integridade;
  • Os juízes são recomendados a não se recusarem a reconhecer assinaturas digitais como legalmente significativas apenas porque estão em formato eletrônico;
  • A obrigação do emissor do certificado de garantir a devida confiabilidade e cautela em relação a terceiros que confiam no certificado emitido;
  • Imposição de responsabilidade ao emissor do certificado na questão da confirmação da confiabilidade das operações (em vez da obrigação da parte lesada que confiou no certificado emitido de provar independentemente a negligência do emissor);
  • Implementação de estruturas para melhorar os padrões de qualidade técnicos e não técnicos na emissão de certificados;
  • Fornecer aos emissores de certificados a capacidade de limitar sua responsabilidade financeira, especificando as restrições aplicáveis ​​em formato de texto no corpo do próprio certificado;
  • Fornecer aos emissores de certificados a capacidade de excluir sua responsabilidade, especificando exclusões em formato de texto no corpo do próprio certificado.

Além desses princípios, é importante levar em consideração a questão jurídica da confiança dos usuários finais nos emissores de certificados - isso se aplica, entre outras coisas, aos usuários de navegadores de Internet e empregadores que instalam certificados raiz corporativos em dispositivos de funcionários, garantindo a inspeção autorizada do tráfego criptografado.

3.10.4 Conflito de leis no uso de assinaturas eletrônicas e serviços de autenticação

Conflitos legais surgem com o uso transfronteiriço de certificados - por exemplo, se o emissor do certificado estiver em um estado, o signatário em outro e a pessoa que confia na autenticidade do certificado em um terceiro. Se estamos falando da transferência de direitos de propriedade, que pode estar fisicamente em um quarto estado, então as normas legais desse estado serão aplicadas. De acordo com a lei da UE "Roma I" (Regulamento 593/2008), um mecanismo unificado de aplicação da lei foi desenvolvido para obrigações contratuais, que prevê a pré-seleção da jurisdição pelas partes do contrato para resolver disputas, e em caso de reclamações do comprador, um contrato transfronteiriço com o vendedor só pode ser reconhecido como válido se for válido no país de residência do consumidor. Casos igualmente complexos podem surgir, por exemplo, em casos em que o emissor do certificado usou os princípios de limitação de sua própria responsabilidade de acordo com as normas de seu país de residência, e a pessoa que foi prejudicada pela imprudência ou insegurança das ações do emissor entra com uma ação em outro país (no qual está registrado).

3.11 Outras questões regulatórias

3.11.1 Requisitos da indústria e Diretiva NIS

Além dos órgãos governamentais, vários reguladores da indústria também desenvolvem seus próprios requisitos para cibersegurança - por exemplo, no setor financeiro, prática jurídica, saúde, as normas sobre relatórios e notificações de incidentes de acesso não autorizado a dados podem ser aplicadas. O aumento do nível de riscos cibernéticos, especialmente para infraestruturas críticas nacionais, levou ao desenvolvimento de vários requisitos estatais no campo da cibersegurança. Por exemplo, a UE opera a Diretiva 2016/1148 ("NIS") e a Diretiva 2022/2555 ("NIS 2"), dedicadas a medidas para garantir a cibersegurança de redes e sistemas de informação (Network and Information Systems, abreviado NIS). Os requisitos da Diretiva "NIS 2" aplicam-se a 18 setores de infraestrutura crítica - energia, transporte, abastecimento de água, saúde, ciência, indústria química e alimentícia, setores financeiro e digital, esfera da administração pública. As disposições da Diretiva "NIS 2" incluem:

  • A responsabilidade dos chefes diretos das organizações pelo cumprimento dos requisitos da Diretiva;
  • A necessidade de implementar processos de gestão de riscos cibernéticos, incidentes cibernéticos, continuidade dos negócios, segurança da cadeia de suprimentos (incluindo provedores de serviços);
  • Enviar notificações ao centro regional CSIRT (Computer Security Incident Response Team, grupo de resposta a incidentes de segurança cibernética) dentro de 24 horas após a detecção do incidente e dentro de 72 horas após a análise inicial do incidente (indicando o perigo e os danos, listando os indicadores de comprometimento), fornecendo um relatório final sobre o incidente o mais tardar 1 mês depois;
  • As sanções por não conformidade com os requisitos da Diretiva "NIS 2" são de até 10 milhões de euros ou até 2% do volume de negócios anual da empresa infratora.

Nos EUA, os principais atos regulatórios no campo da cibersegurança são:

  • Lei Federal de Gerenciamento de Segurança da Informação (FISMA - Federal Information Security Management Act) de 2002, conforme alterada em 2014;
  • Lei de Compartilhamento de Informações de Cibersegurança (CISA - Cybersecurity Information Sharing Act) de 2015;
  • Lei para Fortalecer a Cibersegurança Americana (Strengthening American Cybersecurity Act) de 2022;
  • Lei de Relatórios de Incidentes Cibernéticos para Infraestrutura Crítica (CIRCIA - Cyber Incident Reporting for Critical Infrastructure Act) de 2022.

3.11.2 Melhorando a cibersegurança de bens e serviços

O desenvolvimento da Internet das Coisas e dos serviços em nuvem cria riscos aumentados de violação da confidencialidade dos dados de compradores e empresas privadas, e, portanto, os órgãos reguladores de vários países estão desenvolvendo regras legais para a certificação de conformidade com os padrões de segurança da informação para produtos e serviços. Por exemplo, a UE opera a Lei de Cibersegurança (EU Cybersecurity Act, Regulamento 2019/881), que foi desenvolvida para melhorar a cibersegurança do mercado digital e é uma estrutura de certificação voluntária para produtos, serviços, processos de TI e atribuindo-lhes um dos três níveis de avaliação de confiabilidade. Nos EUA, a Lei de Melhoria da Cibersegurança da Internet das Coisas (IoT Cybersecurity Improvement Act) de 2020 está em vigor, no âmbito da qual o instituto americano NIST está trabalhando na padronização para garantir os principais requisitos da lei (gerenciamento de vulnerabilidades e atualizações de dispositivos IoT, proibição do uso de credenciais codificadas, cumprimento pelos fabricantes dos requisitos básicos de segurança da informação).

3.11.3 Restrições de exportação para tecnologias de cibersegurança

O regime de restrições de exportação se aplica a vários produtos de dupla utilização, incluindo funções criptográficas como parte do software e hardware. Até 2000, os EUA aplicavam restrições bastante rígidas à exportação para outros países de produtos com funções criptográficas integradas - por exemplo, os primeiros lançamentos estáveis ​​do navegador Netscape Navigator em 1995 foram distribuídos nos EUA e Canadá em uma versão com suporte total para chaves RSA assimétricas com um comprimento de 1024 bits e o algoritmo de criptografia de fluxo simétrico RC4 com chaves de 128 bits de comprimento, enquanto nas versões de exportação apenas chaves RSA de 512 bits e chaves RC4 de apenas 40 bits eram suportadas, o que significava sua baixa resistência à criptografia. Finalmente, em 2000, por decisão judicial, os EUA estabeleceram que a proibição da distribuição do código-fonte de programas e algoritmos violava o princípio da liberdade de expressão (Primeira Emenda da Constituição dos EUA), e o governo atualizou os requisitos de exportação, que começaram a impor restrições significativamente menos amplas à funcionalidade criptográfica. No entanto, atualmente, o controle sobre a exportação e importação de equipamentos criptográficos é mantido: por exemplo, o Centro de Licenciamento, Certificação e Proteção de Segredos de Estado (CLSZ) do Serviço Federal de Segurança da Rússia realiza o registro de notificações sobre as características de produtos contendo meios criptográficos (criptográficos) - tal permissão deve ser obtida ao importar vários dispositivos importados para a Federação Russa que implementam certas funções criptográficas (por exemplo, criptografando o tráfego). O controle da exportação de bens e tecnologias russas de dupla utilização, incluindo meios criptográficos, já é realizado pelo FSTEC da Rússia.

3.11.4 Questões de proteção de segredos de estado

Especialistas em segurança da informação que trabalham em instituições governamentais podem enfrentar a aplicação de requisitos legislativos para a proteção de dados secretos ou segredos de estado. Na maioria das vezes, esses tipos de informações estão relacionados à capacidade de defesa do estado, à realização de investigações e ao trabalho das agências de aplicação da lei, à segurança de indivíduos, etc. As leis de proteção de segredos de estado podem ser usadas para classificar trabalhos de pesquisa e desenvolvimento de terceiros, e especialistas em segurança da informação podem estar sujeitos a essas leis ao trabalhar com alguns dados de análise de ameaças cibernéticas (inteligência cibernética). A violação dos requisitos da legislação sobre a proteção de segredos de estado pode acarretar consequências muito sérias.

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.