A assinatura digital tem o mesmo valor jurídico da assinatura manuscrita em documentos impressos – desde que obedeça as normas gerais e específicas de cada setor. Por isso, antes de utilizar essa tecnologia na sua empresa, é preciso conhecer os diferentes tipos de assinatura digital, bem como padrões e artefatos relacionados a elas. Desta forma, não corre o risco de sofrer possíveis consequências pelo mal uso do recurso.

As diretrizes padrão, estabelecidas pela ICP-Brasil no DOC-ICP-15, são fundamentais porque garantem tanto a interoperabilidade entre os sistemas de assinatura digital quanto a segurança e validade, facilitando a adoção e a consolidação do uso desta tecnologia.

Neste post, confira quais são os tipos, padrões e artefatos das assinaturas digitais. Acompanhe!



Quais são os tipos de assinatura para o meio eletrônico?

Segundo a ICP-Brasil, todo conjunto de dados eletrônicos associado a outro conjunto de dados eletrônicos que confira autenticidade ou autoria ao primeiro é uma assinatura eletrônica. Em bom português, isso significa que assinatura eletrônica é toda forma de subscrição que possa ser vinculada a um signatário. Nesse escopo, estão incluídos biometria, login e senha e o que chamamos de assinatura digital: todos eles identificam alguém.

Por isso, até a publicação da MP 983/2020, sempre mencionávamos a diferença entre os conceitos de assinatura eletrônica e assinatura digital – esta seria produzida exclusivamente por meio de criptografia assimétrica associada a certificados digitais, enquanto aquela seria um conceito mais amplo.

A MP 983/2020 é voltada apenas para a relação com órgãos públicos, e traz uma nova classificação das assinaturas eletrônicas por nível de complexidade, segurança e confiabilidade. Mas todas com validade jurídica, desde que atendam sua respectiva política. Veja os detalhes:

1. Assinatura eletrônica simples

É o que se entende por assinatura eletrônica sem certificado digital, isto é, que permite a identificação de seu signatário associando um conjunto de dados eletrônicos a outro conjunto de dados associados a ele, como CPF, PIN, biometria, versão digitalizada da assinatura manual, senhas, token, geolocalização e e-mail, por exemplo.

2. Assinatura eletrônica avançada 

Aqui já elevamos o nível de segurança. A assinatura eletrônica avançada é associada univocamente a seu signatário – por meio de um certificado digital corporativo (não emitido pela ICP-Brasil), por exemplo -, criada com dados que ele pode operar com controle exclusivo e relacionada a dados de tal modo que qualquer modificação posterior seja detectável.

A validade jurídica deste tipo de assinatura já era amparada pela MP 2.200-2/2001, na admissão do certificado como válido pelas partes ou por quem ele foi apresentado.

3. Assinatura eletrônica qualificada

E por fim, a assinatura eletrônica qualificada é aquela realizada com um certificado digital no padrão da ICP-Brasil, o nível máximo de qualificação.

 

Padrões de assinatura da ICP-Brasil

Para a confiabilidade da validação e interoperabilidade entre sistemas, as assinaturas digitais ou assinatura eletrônicas avançadas e qualificadas seguem padrões específicos, seguidos pelas plataformas de assinatura digital. 

Os padrões de assinatura digital definidos pela ICP-Brasil são:

  • CAdES (para qualquer tipo de arquivo): a principal vantagem deste padrão é que ele permite a assinatura de qualquer tipo de documento. A assinatura pode ficar em um arquivo separado ou unificada com o documento original, entretanto, neste último caso, o arquivo gerado não consegue ser visualizado sem utilizar um verificador de assinaturas compatível. 
  • XAdES (em arquivos XML): padrão com as vantagens da linguagem XML, permite também a assinatura parcial de documentos.
  • PAdES (próprio para arquivos PDF): visualização e troca facilitadas, permite representação visual da assinatura.



Formatos de assinatura digital de acordo com seus artefatos

Derivados dos padrões de assinatura digital, existem os artefatos das políticas de assinaturas digitais, ou seja, informações adicionais contidas na assinatura, necessárias para sua validação. Estes dão origem a cinco formatos de assinatura digital, tal como exposto no DOC-ICP-15

Confira quais são os formatos de acordo com os cenários indicados:

Curto prazo 

Se você precisa de uma assinatura simples para ser validada apenas em curtíssimo prazo, pode utilizar o AD-RB (referência básica), que contém um Identificador da Política de Assinatura usada na criação e verificação da assinatura, os dados da assinatura e a sequência de código.

 

Longo prazo

Se você precisa que a assinatura possa ser validada também no longo prazo, deve escolher no mínimo a AD-RT (referência de tempo), pois esta tem referência básica mais um Carimbo do Tempo, que garante uma referência temporal segura.

 

Validação completa 

Se você quer ter mais certeza que todas as informações que você precisa para validar uma assinatura estejam disponíveis quando você precisar, utilize a AD-RV (referências para validação), que possui referência de tempo, da cadeia de certificação, assim como referências de revogação (Listas de Certificados Revogados – LCR ou respostas de Online Certificate Status Protocol – OCSP). As referências adicionais são importantes para facilitar a identificação segura dos artefatos adicionais que são usados para a validação da assinatura. 

Outra opção também é a AD-RC (referências completas): tem referências para validação e todos os demais dados usados na validação armazenados. Todos artefatos adicionais necessários para a validação da assinatura são incluídos no pacote de assinatura, garantindo a viabilidade de verificação da assinatura mesmo que alguns artefatos não estejam mais disponíveis online.

Arquivamento 

Já se você precisa conservar uma assinatura por muitos anos ou décadas deve escolher o AD-RA (referências para arquivamento). Ele contém todos os anteriores, com segurança de arquivamento por longos períodos. Todos dados são protegidos por carimbo(s) de tempo adicional(is), para proteção por longos períodos de tempo (anos/décadas). Ou seja: é possível adicionar carimbos de tempo periodicamente para proteger a assinatura até mesmo contra o possível enfraquecimento dos algoritmos utilizados.

 

Normas específicas para assinatura digital de documentos e contratos

Cada tipo de documento, assim como o compromisso envolvido nele, tem suas normas próprias de assinatura e pode exigir um tipo de assinatura, padrão e formato específicos.

Veja alguns exemplos:

  • A assinatura de contratos de aluguel, procurações, termos de uso, contratos de prestação de serviços advocatícios, operadoras de saúde e compra e venda de itens que não exijam escritura pública podem ser assinados por meio de assinatura eletrônica simples.
  • Um contrato de câmbio, por exemplo, só possui  validade jurídica quando assinado no padrão CAdES com referência básica (AD-RB) ou CAdES com referência de tempo (AD-RT).
  • Documentos de prontuário eletrônico do paciente (PEP) necessitam da assinatura no padrão CAdES ou XAdES.
  • Notas fiscais eletrônicas utilizam o padrão XMLDSig.

Para garantir mais segurança e validade jurídica nas suas operações virtuais, busque informações sobre qual padrão específico cada tipo de documento eletrônico exige e as políticas necessárias. Fale com nossos especialistas para conhecer as soluções de assinatura digital mais adequadas para a sua empresa ou faça um teste grátis no BRy Cloud, nossa ferramenta de certificação digital em nuvem.