NF-e: Segurança no armazenamento
A falsa sensação de segurança em manter documentos fiscais eletrônicos nos sistemas ‘in-house’
Muito tem se debatido a respeito de sistemas que tratam os documentos fiscais eletrônicos. Depois de atendida as exigências do Conselho Nacional de Política Fazendária (Confaz), que obriga a emissão de notas fiscais eletronicamente, as empresas agora enfrentam outro paradigma: como tratar estes documentos com a segurança necessária, para que não haja vazamentos de informação e dificuldades futuras com auditorias e fiscalização, sem um aumento significativo nos custos?
Para muitas empresas, a regra sempre foi manter os documentos fiscais em ambientes internos, e controlados, que, por meio de sistemas de gestão parametrizáveis, estabelecem quando e quais usuários podem ter acesso às informações, tidas como vitais para a garantia da vantagem competitiva frente à concorrência.
O problema é que, com a adoção do novo modelo fiscal eletrônico brasileiro, há a necessidade de transitar, via internet, seja para envio ou recepção, a Nota Fiscal Eletrônica (NF-e), o Conhecimento de Transporte Eletrônico (CT-e) e outros documentos fiscais eletrônicos, o que abre uma brecha nos sistemas de segurança da informação, em empresas que continuam replicando este modelo. Vale ressaltar que a NF-e pode ter caráter sigiloso, portanto, ressalvado por políticas do SOX (Lei Sarbanes-Oxley) e, assim, invalidando o uso de meios de comunicação falíveis e passíveis de tentativas de ações fraudulentas.
Grandes companhias têm aversão a manter seus documentos fiscais eletrônicos fora de seus sistemas internos, porém, enviam e recebem diariamente milhares de NF-es via e-mail, sem proteção alguma. Dados publicados dão conta de que no ano de 2009, foram encontrados cerca de 2,5 milhões de ameaças virtuais e a projeção para 2010 é de impressionantes 3 milhões, sendo grande parte deles, com único objetivo de roubar informações.
Outra possibilidade, apoiada pela lei, é a de disponibilizar os documentos eletrônicos em sites ou portais próprios, o que, em teoria, bloqueia o acesso à área interna dos ambientes de informações. Mas, esta alternativa já se mostra ineficiente, pois os custos para se implementar uma solução com softwares, hardware e operação são proibitivos.
Tracemos um exemplo de uma empresa com cerca de meio milhão de documentos emitidos ou recebidos por mês, admitindo que ela tenha cerca de 20 mil (clientes ou fornecedores) usuários de um portal próprio. Para operá-lo, a empresa precisa ter uma equipe mínima de quatro pessoas, entre operadores, programadores e help desk, isto sem falar do atendimento ao público. Se esta mesma empresa tiver 5% de documentos com problemas (falta de XML, restrições na Secretaria de Fazenda, ou dificuldades de acesso ao portal), teremos então 25 mil chamadas para o SAC do portal. Neste cenário, o número de profissionais sobe para no mínimo 16, sem mencionar outras dificuldades como ataques de rackers e adequação a modificações na legislação.
Pensando do lado das empresas de médio e pequeno porte, além da dificuldade em obter e operar sistemas de gestão, seja pela falta de capacidade financeira, seja pela falta de profissionais habilitados, imagine ter de gerenciar centenas de logins e senhas, para entrar nos portais de seus fornecedores e recuperar seus documentos fiscais? Ou pior, como guardar estes documentos de forma segura e recuperá-los rapidamente, quando solicitado seu reenvio pelo cliente ou pela fiscalização?
Segundo mostram os últimos dados de mercado, do universo total das empresas obrigadas a emitirem a NF-e, cerca de 70% ainda não se adequaram. E, do restante, mais de 50% está atendendo as exigências apenas parcialmente, ou seja, emitindo, mas não enviando ou disponibilizando o XML.
O certo é que, quando a fiscalização começar (lembrando que ela sempre se inicia pela ponta mais fraca) teremos a real dimensão da problemática da custódia dos documentos fiscais emitidos e recebidos, e, neste aspecto, as empresas que estiverem mais preparadas, contando com serviços especializados na guarda e gerenciamento do ciclo de vida desses documentos, não sofrerão com custos adicionais, seja por autuações ou perda de competitividade.
Por Renato Lui é sócio-diretor da CCDE in TI Inside– Fonte: Blog Jose Adriano