Quanto à legislação e às regulamentações das Assinaturas Eletrônicas, desde 2020, o Brasil busca igualar-se a Europa. A lei 14.063/2020 espelha-se no padrão europeu eIDAs1 para classificar as espécies de Assinaturas Eletrônicas Simples, Avançadas e Qualificadas.
Por Marcelo Buz
Para cada uma especificação técnica existe um nível de exigência mínimo, um nível de segurança que seja apropriado.
No que tange às Assinaturas Qualificadas, observa-se que os requisitos técnicos mais elevados as oportunizam efeitos legais singulares, como a Inversão do Ônus da Prova, Não Repúdio e Presunção de Validade Jurídica.
Estes valiosos efeitos e diferenciais jurídicos derivam justamente dos requisitos técnicos, físicos, lógicos e procedimentais.
No mundo inteiro, um dos requisitos para uma chave criptográfica ser Qualificada é a exigência de ser gerada e armazenada em hardware criptográfico (dispositivos para guarda com alto grau de segurança). O Certificado Digital ICP-Brasil do tipo A1, gerado em software, é uma heresia quando se fala de infraestruturas de chaves públicas qualificadas.
O fato dele poder ser copiado, duplicado e armazenado em qualquer lugar fere os princípios elementares da custódia, gestão e governança das infraestruturas qualificadas. Mesmo que tecnicamente não se possa afirmar que esse modelo de certificado é qualificado, para o direito brasileiro é, e ponto.
As relações comerciais internacionais impõem ao ambiente de negócio mundial a geração de documentos nato-digitais que precisam ter validade para além das fronteiras nacionais.
O Brasil mesmo, por exemplo, é percursos e signatário de acordos internacionais de reconhecimento mútuo de assinaturas eletrônicas dos países signatários. Uma realidade nas relações internacionais no âmbito do Mercosul, Peru e logo para Europa. O reconhecimento internacional oficial de assinaturas em documentos eletrônicos transfronteiriços, se dá exclusivamente através das infraestruturas qualificadas, aqui a ICP-Brasil, uma vez que somente elas podem atestar padrões, métodos, rotinas consequencite segurança jurídica.
Entretando, em 2024 haverá um fato relevante na ICP-Brasil: uma nova Cadeia Criptográfica será lançada. Com vista de substituir a V5, comumente usada para emissão de mais de 90% dos Certificados Digitais, e que está se aproximando de seu ciclo de vida final, uma vez que, em 2029, ela expira, e a próxima cadeia criptográfica, provavelmente a V13, será publicada.
Esta é uma oportunidade única para aumentarmos os requisitos da nossa ICP qualificada e aumentarmos a competitividade da indústria brasileira. Antes disso acontecer, a continuidade de um certificado digital gerado e armazenado em arquivo, com a possibilidade de ser copiado, continuar fazendo parte das Assinaturas Qualificadas deve ser amplamente discutida e com altivez descartada.
A V13 tende a substituir o A1 pelo Selo Eletrônico. Tecnicamente, muito parecido com o Certificado Digital, porém desvinculado do CPF e sem a prerrogativa de assinatura. Apenas como um “carimbo da empresa”, suficiente para emissão de notas fiscais.
Este novo selo eletrônico para CNPJs deve ser inquestionavelmente um selo qualificado, gerado e armazenado em hardware criptográfico para que não haja nenhum descompasso do Brasil e assim podermos aproveitar, por exemplo, nossas notas fiscais eletrônicas para a exportação com burocracias nato digitais e validade jurídica transfronteiriças.
Será um grande avanço no ambiente de negócios brasileiro Comitê Gestor da ICP-Brasil oferecer ao Brasil uma infraestrutura de selos qualificados que tenham padrões de geração, armazenamento, custódia e controle do uso da chave seguindo boas práticas internacionais. Esses padrões reforçariam o Brasil como país reconhecido por sua notoriedade assinatura eletrônica, e o deixaria apto para relações internacionais por meio digital.
Pix vs. Drex: as diferenças entre eles, segundo uma das empresas responsáveis pela segurança do Pix
Nota do Crypto ID sobre eIDAS
- O eIDAS é um regulamento da União Europeia (UE) que estabelece um conjunto de normas para a identificação eletrônica e os serviços de confiança para transações eletrônicas no mercado único europeu. O eIDAS entrou em vigor em 2016 e substituiu a Diretiva de Assinatura Eletrônica (Diretiva 1999/93/EC).
O eIDAS define três tipos de identificação eletrônica:
Identificação eletrônica simples: É a forma mais básica de identificação eletrônica. Não requer nenhuma autenticação adicional e é usada para transações de baixo risco.
Identificação eletrônica avançada: É um nível mais alto de identificação eletrônica que requer algum tipo de autenticação, como uma senha ou um token de segurança. É usada para transações de médio risco.
Identificação eletrônica qualificada: É o nível mais alto de identificação eletrônica. Requer autenticação forte, como um certificado digital qualificado. É usada para transações de alto risco.
O eIDAS também define quatro tipos de serviços de confiança:
Assinatura eletrônica: É um processo que permite que um indivíduo ou entidade assine um documento eletrônico de forma segura e verificável.
Selo eletrônico: É um processo que permite que uma organização assine um documento eletrônico de forma segura e verificável.
Marcação de tempo: É um processo que registra a data e a hora de um documento eletrônico.
Serviços de validação: São serviços que permitem verificar a validade de uma assinatura eletrônica, um selo eletrônico ou uma marcação de tempo. ↩︎
Sobre a DINAMO NETWORKS
DINAMO NETWORKS é especialista em segurança digital e criptografia. Possui a maior biblioteca de APIs de alto nível e tem participado dos principais projetos de segurança do País como: Piloto do DREX (Real Digital), Anonimização de Dados para conformidade a Lei Geral de Proteção de Dados (LGPD), assinatura e processamento do PIX, Sistema de Pagamento Brasileiro (SPB), Processamento de Cartões, Assinatura do Prontuário Eletrônico do Paciente (PEP), IR pela Internet, Nota Fiscal Eletrônica, entre vários outros. Fábrica diferentes modelos de appliances de segurança, ou Hardware Security Module (HSMs), todos com certificação internacional FIPS 140-2, nível 3, utilizados pelos principais bancos brasileiros, incluindo o Banco Central do Brasil (em especial para a criptografia do PIX) e pelas empresas dos mais diversos segmentos de forma On-Premise ou em nuvem (Cloud). Recentemente, lançou a primeira plataforma de soluções de criptografia com pagamento por uso disponível no mercado mundial, a DINAMO SuperCloud.
Leia outros artigos sobre a Dinamo aqui!
Para saber mais sobre a Dinamo Networks acesse: https://www.dinamonetworks.com/
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.