ACBRNFe: Exclusão de certificado A3?

[Leao]

Mauricio, já ocorreu isso aqui em pelo menos três empresas, não depende da certificadora, mas isso é algo a ver com a porta usb, energia essas coisas, solução é comprar e solicite, pessoalmente por e-mail por carta e ete, o A1.

 

Leão

[Mauricio Bragaia]

Graça, Leao e demais interessados

O certificado é A3, leitora e cartão da CertSign. Ele usa em um computador com Windows XP Sp3

Voltei a falar com o cliente para poder analisar melhor o ocorrido.

Temos que considerar também que o cliente geralmente não conta a historia toda. Depois de tortura-lo ele revelou que o antivírus Avast bloqueou o programa de email Outlook Express tentando excluir o Certificado. Ele não prestou muita atenção na mensagem e clicou em prosseguir e mandou o certificado para o espaço

É possível que seja ação de algum vírus embora o Avast não tenha detectado vírus e sim a tentativa de exclusão do certificado. Se não fosse esse bloqueio o certificado seria excluído silenciosamente como é possível ter acontecido com outros usuários. 

Isso demonstra a fragilidade desse tipo de media e certificado e que como já citado aqui por outros colegas, a falta de respeito ao consumidor pelas empresas que comercializam esses produtos.

Agradeço todo e qualquer depoimento sobre o assunto, assim como sugestões para poder orientar melhor nossos clientes.

Abraços

 

Editado

Encontrei dois posts no ReclameAqui onde as empresas CertiSign e Valid restituem o tempo de validade faltante ao cliente. Talvez seja um caminho de minimizar o prejuizo:

http://www.reclameaqui.com.br/11388705/certisign/certificado-sumiu-do-cartao-monopolio-da-certisign-pessimo/

http://www.reclameaqui.com.br/12585552/valid-certificadora-digital/certificado-sumiu-do-cartao/

 

[Gr@c@]

Eu não indico o certificado de leitora cartão para meus clientes. E o Valid de forma alguma. Mas recomendo o CertiSign de token. Quanto ao Avast não recomendo a ninguém, nem pro meu cachorro, porque vira e mexe ele exclui aplicativos Delphi e ícones de atalho. O antivírus que indico é o TrendMicro corporativo.

[Italo Giurizzato Junior]

Bom dia a todos,

Com a refatoração foi criado as classes ACBrDFe e a leitura do certifica se encontra nessas classes.

Os componentes ACBrNFe, ACBrCTe, ACBrMDFe, ACBrNFSe, ... resumindo todos os componentes que emitem Documentos Fiscais Eletrônicos e usam certificado se utilizam das classes ACBrDFe e estas fazem acesso como somente leitura no certificado, portanto é impossível um componente ACBr alterar ou apagar um certificado.

Quanto ao ACBrMonitor Plus, lembrem-se que ele se utiliza das versões mais atuais dos componentes citados acima, sendo assim também o acesso ao certificado é somente leitura.

Só para constar essa alteração na forma de acesso ao certificado se não me falha a memória foi feita a 2 anos atrás.

Se esse problema ainda esta ocorrendo o culpado é outro.

Tenho um cliente que utiliza certificado A3 CertiSign (cartão) a quase 3 anos sem nenhum problema.

[Mauricio Bragaia]

Obrigado ao Italo pela confirmação de que o ACBrMonitor Plus acessa o Certificado de forma correta, sendo somente leitura.

Obrigado a Graça e ao Leao pelas dicas.

Ficou claro no caso desse cliente que o comando para apagar o certificado veio do Outlook Express. Eu concordo com a Graça quanto ao Avast, mas nesse caso foi ele que bloqueou a tentativa e apresentou uma mensagem na tela pedindo confirmação mas o usuário desatento permitiu a exclusão do Certificado.

O cliente relatou que após esse fato houve nova tentativa de exclusão do agora novo Certificado partindo do OE e o Avast bloqueou. O usuário respondeu ao Avast para não permitir e o Certificado foi preservado.

Tem algum vírus, programa malicioso ou algo estranho no computador do cliente e que precisa ser verificado. De qualquer forma isso prova a fragilidade pela facilidade de se excluir o Certificado. Por outro lado mostra que isso não parte do ACBrMonitor Plus o que nos dá a segurança de utiliza-lo e me leva a agradecer toda a equipe pela responsabilidade e seriedade desse projeto.  

Abraços

 

[Agnaldo Prates]

Exclusão do certificado. Assunto recorrente não somente aqui no fórum, mas pela rede mundial esse debate é corriqueiro. Em um primeiro momento, seu aplicativo vai ser o primeiro culpado, claro, o que o cliente usa o tempo inteiro, nada mais obvio do que “ele” imaginar que o software de gestão vai excluir o certificado.

Agora, por quais razões esse software preguiçoso apagaria esse certificado? Desejo próprio, raiva do operador, algum tipo de vingança contra o criador, rebeldia? Claro, nenhuma das alternativas. Isso porque, software programado para uma dada tarefa vai executar exatamente aquilo. Se for somente leitura, não é possível mudar esse procedimento a bel prazer, é necessária nova programação.

Por outro lado, há de haver um culpado, e, como nesse caso assumir a culpa é algo distante demais para clientes os admitam, pronto! Seu aplicativo apagou o certificado. Mas isso não é tudo, na dúvida vem a certificadora e afirma que foi exatamente o aplicativo. Há, façam-me o favor!

Galera, em breve teremos nos cercar de cuidados para que um dia não sejamos responsabilizados judicialmente por um aplicativo rebelde que anda fazendo as coisas às escondidas, especialmente divergente daquilo para qual foi programado.

[alansst]

Amigos, Nos últimos 30 dias três clientes meus tiveram o certificado apagado do cartão. Responsabilizam o software da minha empresa. Afinal, de quem é a culpa? Quem vai pagar pelos prejuízos? O que fazer? Qual a garantia de que o ACBr não é o culpado? É culpa do antivirus? É culpa do windows 7?

Tá difícil ficar sem respostas diante do questionamento dos clientes que são prejudicados.!!!!

Editado 5 Maio, 2016 por alansst

[ArbSis]

@alansst você leu todos os comentários deste tópico de 4 páginas?

Já ficou mais que esclarecido que o ACBr acessa o certificado em modo leitura! Solicito que vc faça uma nova revisão das 4 páginas deste tópico e olhe todas as dicas que são dados, como por exemplo: o Windows é Original, possui antivirus comercial, tem nobreak na máquina, a USB da maquina não possui defeitos...

Outro ponto que foi levantando em todos os comentários é que basta ligar para a empresa do certificado e afirmar que o cliente está correto que eles irão pagar outro certificado pro cliente, basta insistir com eles que você conseguirá...

Uma outra dica é fazer com que seus clientes parem de usar o A3 para evitar qualquer tipo de dor de cabeça OU como eu faço em minha empresa é eles assinarem um termo de responsabilidade por usarem esse tipo de certificado - nunca mais tive dor de cabeça...

[alansst]

13 minutos atrás, ArbSis disse:

@alansst você leu todos os comentários deste tópico de 4 páginas?

Já ficou mais que esclarecido que o ACBr acessa o certificado em modo leitura! Solicito que vc faça uma nova revisão das 4 páginas deste tópico e olhe todas as dicas que são dados, como por exemplo: o Windows é Original, possui antivirus comercial, tem nobreak na máquina, a USB da maquina não possui defeitos...

Outro ponto que foi levantando em todos os comentários é que basta ligar para a empresa do certificado e afirmar que o cliente está correto que eles irão pagar outro certificado pro cliente, basta insistir com eles que você conseguirá...

Uma outra dica é fazer com que seus clientes parem de usar o A3 para evitar qualquer tipo de dor de cabeça OU como eu faço em minha empresa é eles assinarem um termo de responsabilidade por usarem esse tipo de certificado - nunca mais tive dor de cabeça...

Querido, muito obrigado por responder. Estaremos tomando estas providencias. A3, enquanto for possível ser excluído, jamais!

[Gr@c@]

Se vocês pesquisarem na Internet, existe uma gama de reclamações a respeito de perda de certificado. O Reclame Aqui tem reclamações aos montes. Gente que nem sabe o que é ACBr. Contabilistas que perdem o certificado ao emitir guias pela internet, com aplicativos da Receita. Existe inclusive muita suspeita recaindo em cima do  Mozilla, Avast, Avira. 

[Leao]

Então, por isso que devemos exigir ao adquirir certificado, solicite o tipo A1, muitas vantagens: Deixe uma copia no e-mail, em pendrivers, em outros computadores,

precisando é só instalar novamente, imagine a empresa precisar emitir nfe, em vários computadores, é só instalar, e se for um caixa de supermercado, basta instalar em cada computador, se o hd danificar é só instalar, se roubarem o computador, é só instalar em outro claro. Dê a palavra final A1.

Só para reforça, semana passada um certificado da certising, A3 token, simplesmente limpou, apagou, dessa natureza, a empresa levou o mesmo na empresa que vende, simplesmente copia outras informações para o mesmo, daí tire suas conclusões...

 

Obrigado,

Leão

Editado 7 Maio, 2016 por Leao
esqueci detalhe

[Fabio Lima]

Boa tarde a todos,

sou analista de suporte e lido diariamente com esses incidentes de exclusões de chaves e certificados em Tokens e Cartões... Notei que todos os clientes que tem esse problema de exclusão são aqueles que usam emissores privados (todos os tipos de emissores ofertados por empresas terceiras) ao contrário de quem usa o emissor NF-e 3.10 ou CTE da receita nunca tivemos uma reclamação de exclusão em clientes que usam esse emissor... no começo quando comecei a me deparar com esse problema a informação do André Ferreira de Moraes lá na primeira pagina fez mais sentido sobre não ser o emissor e talvez algo com o safesign pelo fato do mesmo ter programação e permissão para exclusão.

Eu cheguei a achar que era algum problema com a versão 3.0.87 do safesign que é a versão distribuída pela maioria das certificadoras, porém, também vemos aqui com menos frequência incidentes de exclusão de chaves e certificado com Tokens safenet que usam um gerenciador do mesmo nome, e também ocorre com mídias da Boa Vista e VALID que é chamada de A3 ID FLEX que usa um gerenciador chamado ID Protect Client.

Em todos esses casos aquela questão de 100% desses cliente que tem chaves e certificados excluídos usarem emissores privados e não há um caso onde um cliente que usa o emissor nf-e da receita ter esse problema exclusão.

Alguém tem ideia do que possa ser... nunca me atendei a vírus ou antivírus especifico mas em 100% dos casos são cliente com esse tipo de emissor privado

 

[Juliomar Marchetti]

Bom não sei se mexe com desenvolvimento!

mas se mexer por favor confere o código onde o mesmo somente faz a leitura do certificado e está obrigatório em modo de leitura!

então ao meu conhecimento isso é problema com certificado!

já pegou um pen drive e no caso perdeu ele em uma usb de computador?  se já lhe ocorreu isso então já deve ter noção do que estou falando!

e veja que no caso que falo um pen drive simplesmente se perde e não tem software no meio !

[velmer]

Boa noite a Todos

Ótimo tópico e boas soluções, aconteceu hoje em meu cliente a assinatura sumiu do certificado,

observei que na unit ACBrDFeCapicom, estava com a linha:

signedKey := xmldsig.sign(dsigKey, $00000002),

fiz a troca para   signedKey := xmldsig.sign(dsigKey, $00000000).

existe mais alguma coisa que posso fazer para confirmar se a leitura do certificado está somente leitura.

Obrigado a Todos.

 

Editado 11 Agosto, 2016 por velmer
Marcar ao responder

[Alexandre Faustinoni]

Boa tarde amigos.

Também tenho uma centena de clientes utilizando dentre todos os certificados o A3. 

Ocorre que nestes últimos 2 meses pelo menos 4 clientes perderam o certificado e a subsidiaria da Certisign aqui na minha cidade falou que foi culpa do sistema. Só que hora eles colocam a culpa no nosso sistema, hora no sistema de busca e guarda de xmls, que também não é comum em todos os meus clientes. Por uma rápida pesquisa liguei para alguns contatos e amigos, diversos clientes tiveram seu certificado A3 (principalmente eCNPJ) removidos do cartão.

Aguem tem alguma condição de explicar o que pode estar ocorrendo, uma vez que não temos acesso ao cartão ou alguma forma de defesa sobre a acusação da certisign ?

Obrigado.

[André Ferreira de Moraes]

5 minutos atrás, Alexandre Faustinoni disse:

Boa tarde amigos.

Também tenho uma centena de clientes utilizando dentre todos os certificados o A3. 

Ocorre que nestes últimos 2 meses pelo menos 4 clientes perderam o certificado e a subsidiaria da Certisign aqui na minha cidade falou que foi culpa do sistema. Só que hora eles colocam a culpa no nosso sistema, hora no sistema de busca e guarda de xmls, que também não é comum em todos os meus clientes. Por uma rápida pesquisa liguei para alguns contatos e amigos, diversos clientes tiveram seu certificado A3 (principalmente eCNPJ) removidos do cartão.

Aguem tem alguma condição de explicar o que pode estar ocorrendo, uma vez que não temos acesso ao cartão ou alguma forma de defesa sobre a acusação da certisign ?

Obrigado.

O ônus da prova é sempre de quem acusa, solicite um laudo para a CertSign mostrando que foi seu aplicativo que excluiu o certificado, se eles não quiserem fazer, não passa de ACHISMO, ou como popularmente, tirar da reta.

[Alexandre Faustinoni]

Olá André

Também concordo, principalmente porque tem outras softhouses com a mesma situação.

Se fosse somente minha aplicação eu ficaria mais preocupado.

Quanto a subsidiaria da Certisign daqui não fico nenhum pouco preocupado.

Minha principal preocupação é com os meus clientes que tem que arcar com os custos de um novo certificado e ainda ouvir isso.

O mais duro é quando pega algum cliente "xucro" que não entende nada, o camarada vem que vem bufando querendo um ressarcimento, pois é o principal argumento da certificadora. Vai atras do seu programador. 

Blz obrigado pela ajuda. 

[Gr@c@]

Você tá falando de certificado A3 em cartão. Tenho clientes que já perderam dados de certificado em cartão (nenhum deles é Certisign). Mas nenhum perdeu certificado em token. Então, comece a suspeitar desse tipo de certificado (combinação de leitora+cartão+manuseio). Não indique esse tipo de certificado a seus clientes. Coloque em letras garrafais no seu aplicativo emissor de NF-e que o desenvolvedor recomenda somente o uso de certificados digitais do tipo A1 (pfx) e A3 Token.

Agora, eu queria entender por quê esses suportes de credenciadoras de certificado não colocam a culpa neles mesmos, no Windows, no antivirus, no aplicativo emissor gratuito do SEFAZ. Por que o culpado tem que ser o nosso aplicativo emissor? Isso se chama "falta de ética profissional". Eles não tem o direito de colocar a culpa no sistema. E, se o fizerem, tem que dar provas cabíveis. Se o conteúdo do certificado pode ser apagado, então a culpa é de quem criou um certificado que não tem segurança contra perda de dados. Se os dados podem ser apagados por um aplicativo, esse aplicativo pode ser qualquer um, um virus, um malware, um aplicativo bancário, um jogo, um antivirus. Qualquer um. Esse é o argumento que eu apresento. 

[Alexandre Faustinoni]

Boa tarde Graça,

Falou tudo. Obrigado pela dica sobre o certificado, vou colocar isso até no nosso contrato.

Valeu.

[Victor H. Gonzales - Panda]

Tive alguns casos (3 ou 4) reportados em Barretos com essa mesma situação, onde a certificadora (certisign) e o vendedor local deles, afirmam que é o software house que por linha de comando está excluindo o certificado;

Estamos ciente que não é o componente, e nós no papel de desenvolvedor em bom uso de suas faculdades mentais, não excluiria algo que é vital para o seu software funcionar consumindo os webservices;

mas eles estão sendo anti-éticos, jogar a culpa nas costas dos outros é mais fácil do que achar o que realmente é o erro;

Eu sou a favor de só usar A1;

[Marceloal]

Novamente ocorreu com o mesmo cliente (terceira vez) e afirmaram que foi nosso software, mas quando pedimos o "laudo" eles simplesmente emitem novamente o certificado A3 sem custo para o cliente. Disseram que se voltasse a ocorrer não iriam mais emitir, mas novamente emitiram para não ter que apresentar a prova.

[Victor H. Gonzales - Panda]

1 hora atrás, Marceloal disse:

Novamente ocorreu com o mesmo cliente (terceira vez) e afirmaram que foi nosso software, mas quando pedimos o "laudo" eles simplesmente emitem novamente o certificado A3 sem custo para o cliente. Disseram que se voltasse a ocorrer não iriam mais emitir, mas novamente emitiram para não ter que apresentar a prova.

O desfecho do ultimo caso ocorrido em 23/08/2016 com a Certisign foi este mesmo cenário seu, eles encaminharam um voucher para compra de um novo certificado, após nós no papel de software house solicitar um laudo onde consta que nós que apagamos o mesmo.

Mas não foi uma conversa de 5 minutos, foi uma conversa longa, desgastante, e quem fica com a impressão ruim sempre é a softwarehouse, e o cliente com todo o transtorno de emissão e demais serviços paralisados no momento.

Igual fiz uma reclamação na ouvidoria da empresa, onde os atendentes dela passa essa informação ao cliente, colocando a softwarehouse como a causadora do problema. Jogar a culpa no colo do próximo isso é fácil, e se for procurar mais a fundo, acho que isso até é passível de danos morais, pois estão acusando de algo sem prova do fato (evidencias);

[Victor H. Gonzales - Panda]

Me deparei com uma mensagem no site da SERASA digamos não comum, que retrata bem nosso caso;

O programa do certificado em algum momento pede a inicialização do cartão e exclui os dados contidos no mesmo.

E nós no papel de software house que somos responsabilizados por tabela do ocorrido de algo que sabemos que não fomos nós que excluímos;

Forte abraço a todos

[...]

posta o link completo que mostra a imagem

[Victor H. Gonzales - Panda]

https://serasa.certificadodigital.com.br/instalacao/