Padrões de assinatura digital: o que é a ICP-Brasil?
Conheça todos os tipos de certificado digital, seus padrões, relação com a ICP-Brasil e saiba como eles podem ser usados para realizar uma assinatura digital de um documento.
A ICP-Brasil, sigla para Infraestrutura de Chaves Públicas Brasileiras, foi criada pela MP 2.200-2/2001, que instituiu as normas para a emissão dos diferentes tipos de certificados digitais no país. Nessa legislação, foram estabelecidas as regras quanto a segurança, autenticidade, tipos e entes envolvidos nesse processo.
O principal órgão da ICP-Brasil é o Instituto Nacional de Tecnologia da Informação (ITI), uma autarquia federal que responde à Casa Civil da Presidência da República e tem como função manter e executar suas políticas de certificação digital.
Para explicar de maneira mais detalhada o que é a ICP-Brasil, as características e quais tipos de certificados digitais são oferecidos por ela, preparamos este texto para você. Confira!
O que é ICP-Brasil?
Trata-se de uma cadeia hierárquica composta por organizações públicas e privadas que regulamentam e realizam a emissão de certificados digitais de maneira que seja possível associá-los a pessoas físicas ou jurídicas que os detêm com segurança.
Para isso, no Brasil é usada uma infraestrutura de chaves públicas conhecida como certificação com raiz única. Nela, todo o certificado é composto por um par de chaves criptográficas — uma pública e outra privada — para que seja válido.
Esse sistema de confirmação é conhecido como criptografia assimétrica. Cada usuário recebe dois códigos ao criar um certificado de assinatura digital. O primeiro é um certificado público, que deve ser compartilhado. Já o segundo se trata de um certificado privado que deve ser mantido em segurança. Assim, quando um documento é codificado com a chave pública, ele só pode ser decodificado com a chave privada correspondente.
Qual a hierarquia da ICP-Brasil?
É composta por vários níveis de autoridade, com funções diferentes dentro do processo de emissão, autorização e validação dos certificados digitais usados para as assinaturas eletrônicas avançadas no país. A ordem do mais alto ao mais baixo nível é:
1º - Comitê Gestor (CG);
2º - Autoridade Certificadora Raiz (AC Raiz);
3º - Autoridades Certificadoras (ACs) de 1º e 2º nível;
4º - Autoridades de Registros (ARs);
5º - Usuário final.
O Comitê Gestor é quem aprova as resoluções e fiscaliza a Autoridade Certificadora Raiz, cujas funções são executadas pelo Instituto Nacional de Tecnologia da Informação, sendo, portanto, a autoridade máxima e a responsável por executar as políticas de garantia relativas aos certificados, assim como as normas técnicas e operacionais, além de credenciar e fiscalizar as Autoridades Certificadoras de ambos os níveis.
Na sequência estão as ACs, que são organizações públicas ou privadas responsáveis por emitir, distribuir, renovar, revogar e gerenciar todos os certificados vinculados a elas. Além disso, checam se o titular possui a chave privada correspondente à pública.
Cabe ainda ressaltar que a Autoridade Certificadora do Tempo é quem atesta a questão temporal da transação e faz a validação do conteúdo juridicamente. Também fazem parte da hierarquia as Autoridades de Registro vinculadas às Autoridades Certificadoras, cuja função é criar a interface e facilitar o contato entre usuários e ACs. Basicamente são as unidades de atendimento.
Por fim, há o usuário final, podendo ser uma pessoa física ou jurídica que utiliza o certificado digital para assinar documentos nos quais esse tipo de autenticação é necessária e, até mesmo, obrigatória.
Tipos de certificados digitais da ICP-Brasil: quais são
Os tipos de certificados digitais variam de acordo com sua aplicação e nível de segurança exigida. Como cada um pode ser usado para várias atividades, é importante conhecê-los antes de solicitar o formato e, principalmente, saber qual se encaixa melhor na sua demanda.
Certificado tipo A
É o certificado mais comum, sendo utilizado para assinaturas digitais de uma variada gama de documentos, pois está atrelado ao e-CPF ou ao e-CNPJ do usuário. É indicado para profissionais autônomos, empresas e órgãos públicos que têm uma grande demanda de arquivos e precisam de validações rápidas para otimizar seu tempo e reduzir custos. Podem ser subdivididos em 3 tipos: A1, A3 e A4.
Certificado A1
Esses certificados têm validade por um ano. Seu par de chaves criptográficas é gerado por um software protegido por senha, que precisa ser digitada nesse momento. Após a emissão, é criado um arquivo contendo o número do pedido do certificado A1 no hardware em que foram criadas.
Podem ser salvos em computadores, smartphones, tablets, notebooks, pen drives, em nuvem ou no navegador de internet. Diante dessas possibilidades, é importante escolher um local seguro e também manter uma cópia de segurança.
Certificado A3
Nos certificados tipo A3, as chaves são geradas e armazenadas em uma mídia exclusiva para isso, como cartão com chip, token criptográfico — pen-drive com uso específico e de alta segurança — ou em nuvem.
O A3 tem grande mobilidade, pois pode ser transportado para qualquer lugar e validar a autenticidade da assinatura digital a partir de qualquer hardware. Nessa modalidade de certificado, a validade varia entre 12 e 36 meses, o que afeta o preço do certificado. Quanto maior o tempo de duração, mais desconto.
Certificado A4
Os certificados do tipo A4 são mais robustos e mais seguros que os A3. No primeiro caso, trata-se da diferença entre os tamanhos mínimos das chaves — 2048 bits para A4 e 1024 bits do tipo 3. Já sobre a segurança, ele utiliza um módulo HSM para a geração e o armazenamento da chave privada, que requer uma identificação adicional.
Certificado tipo S
Indicado para documentos sigilosos e confidenciais, esse certificado só permite a codificação e a decodificação do arquivo, de mensagens e de dados, garantindo que ela seja feita somente por pessoas autorizadas.
Ótima opção para documentos e transações que exigem segurança máxima, é muito útil para acordos cujas informações — como valor monetário, dados pessoais e cláusulas da negociação entre as partes — são extremamente sigilosos.
Certificado tipo T
Conhecido como carimbo do tempo, esse documento eletrônico serve como evidência de data e hora para as transações digitais. Ele garante que essas informações fiquem presentes nos documentos sem a possibilidade de serem alteradas. Seu uso é aconselhável em conjunto com outros certificados.
Quais são os níveis de segurança dos certificados da ICP-Brasil?
Os certificados da ICP-Brasil visam assegurar que a validade jurídica dos documentos seja preservada, assim como evitar a ocorrência de fraudes e garantir a inviolabilidade de informações. Para isso, durante o processo de emissão, os membros da hierarquia prezam pela autenticidade das assinaturas digitais e pela proteção de dados. Nesse sentido, os níveis de segurança são fundamentais.
Segurança tipo A, S ou T 1
Apesar de todos os certificados da ICP- Brasil contarem com um sistema altamente seguro, o tipo 1 é considerado o mais baixo. O que deixa esse formato acessível não é a forma criptografada, mas como as chaves são geradas. Todo processo é feito por um software no computador, que pode ser acessado com um usuário e senha. Por isso, tem validade menor.
Segurança tipo A, S ou T 3
Os certificados de segurança tipo 3 são gerados e armazenados em um hardware criptográfico, ou seja, em um local exclusivo para isso. Dessa forma, o acesso fica restrito apenas a pessoas autorizadas, o que deixa as operações mais seguras em comparação com o modelo 1.
Segurança tipo A, S ou T 4
O formato mais seguro oferecido pela ICP-Brasil utiliza o módulo de segurança criptográfico chamado HSM. A chave privada do tipo 4 é gerada e armazenada dentro desse hardware que só permite uma cópia de segurança para outro HSM. Popularmente é conhecido como cofre digital por ser inviolável e apagar todas as informações em caso de invasão.
Por que usá-los na empresa?
As companhias de diversos setores estão sempre lidando com uma grande quantidade de dados e informações confidenciais. Por isso, a melhor forma de manter tudo seguro, mesmo com o alto fluxo de documentos, é comprando o certificado digital para o seu negócio. Esse documento eletrônico possibilita que os arquivos circulem pela internet sem o risco de serem corrompidos ou extraviados.
Além disso, desde que em 2018, com a versão NF-e 4.0, o governo brasileiro criou uma forma de emitir documentos fiscais que substituiu a impressão de papel. Assim, o modelo eletrônico passou a ser o padrão nacional, exigindo algumas alterações nas emissões desses documentos. Entre elas, está a necessidade de usar o certificado digital.
Ele é o responsável por autenticar as movimentações feitas entre o computador da empresa e os servidores da Receita Federal. A ideia por trás dessa atualização é permitir que todos os dados possam ser consultados por ambas as partes e facilitar a fiscalização pelo fisco.
Como a Docusign pode ajudar?
A Docusign oferece um conjunto soluções que auxilia no gerenciamento de documentos com foco na assinatura eletrônica e digital de documentos. É possível que o cliente crie, faça cópias, armazene, assine, edite e processe os arquivos de forma prática, reduzindo os custos e otimizando o tempo.
Não é mais necessário trabalhar com logística, transporte, papéis, tinta, estoque para guardar os documentos: todo o processo é feito de forma virtual, e o usuário tem total controle dos acessos, realiza assinaturas digitais. Além disso, todas as alterações feitas são registradas no sistema.
Como preconiza a ICP-Brasil, a Docusign utiliza um alto padrão de criptografia, práticas de retenção e armazenamento capazes de oferecer maior segurança para os dados e as transações e garantir a irretroatividade, a integridade e a autenticidade do documento.
Caso se interesse em criar um certificado digital, é importante que pesquise para saber se a autoridade certificadora é filiada à ICP-Brasil e se suas credenciais são confiáveis ou não. Também devemos ficar atentos ao tipo de certificado que vamos implementar e buscar o que melhor se encaixa ao negócio.
A tendência é aumentar o uso deles, uma vez que ajudam a desburocratizar os processos para assinatura de documentos e garantem a segurança e o sigilo de todas as informações presentes no arquivo. Como vimos, já existe a obrigação de emitir notas fiscais dessa forma. Independentemente do tamanho da empresa, realizar negociações on-line é uma grande vantagem.
Para gerenciar todos os seus documentos, a melhor solução é contratar um software de assinatura eletrônica e digital que atenda aos padrões da ICP-Brasil. A Docusign oferece uma plataforma completa para atender às suas necessidades. Que tal conferir tudo o que ela faz? Então, entre em contato conosco e converse com um de nossos consultores sobre as vantagens de unir o sistema à ICP-Brasil com nossa ajuda.
Diego Lopes é um Gerente Senior de Marketing de produto na Docusign. Com mais de 14 anos de experiência em gestão de produtos, com foco em soluções digitais para Business Intelligence, Insights, Mídia e campanhas; Bacharel em Comunicação pela Universidade de São Paulo (ECA-USP) e Pós-graduado em Gestão Empresarial pela Escola Superior de Propaganda e Marketing (ESPM);
Publicações relacionadas