Erfahren Sie mehr über die Unterschiede zwischen elektronischen Dokumentsignaturen

Das im September letzten Jahres verabschiedete Gesetz 14.063, das die Bürokratie reduziert elektronische Signaturen von Dokumenten zur Erweiterung des Zugangs zu digitalen öffentlichen Diensten brachte Unternehmen im öffentlichen und privaten Sektor eine Reihe von Vorteilen. Die Vorteile reichen von der Vereinfachung digitaler Signaturen in öffentlichen Dokumenten bis hin zur Kostensenkung im Zusammenhang mit der Verwendung digitaler Signaturen in verschiedenen Bereichen wie dem Gesundheitswesen, der Industrie, der Buchhaltung und dergleichen.

Das neue Gesetz sieht drei Arten elektronischer Signaturen für die Kommunikation mit öffentlichen Stellen vor: einfache, fortgeschrittene und qualifizierte. Es ist anzumerken, dass diese elektronischen Signaturen jedoch nicht für Gerichtsverfahren, für Interaktionen, bei denen Anonymität bestehen kann, für Ombudssysteme öffentlicher Stellen, für Hilfsprogramme für bedrohte Opfer und Zeugen und für Fälle verwendet werden, in denen die Wahrung der Vertraulichkeit erforderlich ist.

Nachfolgend erfahren Sie, was die einzelnen Signaturtypen sind und wann sie gelten:

Einfache Signatur

Eine einfache Signatur, auch als grundlegende elektronische Signatur bezeichnet, dient zum Unterzeichnen von Dokumenten, die kein hohes Maß an Sicherheit erfordern und auf die Verwendung digitaler Zertifikate einer Zertifizierungsstelle verzichten. Es verwendet Sicherheitsmethoden, die mit Informationen wie ID, CPF, Geolokalisierung usw. verknüpft sind.

Die Regierung schätzt, dass 48 % der verfügbaren öffentlichen Dienste über eine einfache elektronische Signatur abgerufen werden können, beispielsweise Informationsanfragen, die Planung von Gutachten, Arztterminen oder anderen Diensten.

Erweitertes Abonnement

Bei Vorgängen und Transaktionen mit Behörden kommt die fortgeschrittene Signatur zum Einsatz. Es garantiert dem Inhaber exklusiven Zugriff und ermöglicht die Nachverfolgung von Änderungen am signierten Dokument. Die fortgeschrittene Signatur kann beispielsweise im Prozess der Firmeneröffnung, Firmenänderung und Firmenschließung zum Einsatz kommen.

Es handelt sich um eine Form der Signatur, die die Verwendung eines digitalen Zertifikats erfordert. Dieses muss jedoch nicht von ICP-Brasil stammen. Es reicht aus, wenn es sich um Zertifikate handelt, die von einer Unternehmenszertifizierungsstelle des Unternehmens selbst oder einer anderen Unternehmensstelle erstellt wurden.

Bei der fortgeschrittenen Signatur werden digitale Zertifikate des Typs e-CNPJ ou e-CPF zur Unterzeichnung von Dokumenten, zur Ausstellung elektronischer Rechnungen, zur Unterzeichnung von Urkunden durch Staatsoberhäupter der Republik, zu Interaktionen, die das Verfassungs-, Rechts- oder Steuergeheimnis betreffen. Damit können alle Anwendungsfälle der erweiterten und einfachen Signatur abgedeckt werden.

Es ist anzumerken, dass bei dieser Signaturkategorie bereits ein höheres Maß an Sicherheit besteht, da die Informationen des Unterzeichners zuvor überprüft und mithilfe kryptografischer Schlüssel validiert werden müssen.

Unternehmensautorität bei fortgeschrittenen Signaturen

Für die Ausstellung digitaler Zertifikate, die nicht den Standard verwenden ICP-BrasilienDas Unternehmen kann seine eigene Schlüsselinfrastruktur (PKI) erstellen oder sogar eine spezialisierte Organisation mit der Erstellung und Verwaltung einer Infrastruktur beauftragen.

Lokale oder Cloud-Lösungen können die Nutzung aller qualifizierten Abonnements unterstützen und erleichtern, beispielsweise:

Stellen Sie Signatursoftware bereit, die sich in eine vorhandene PKI integrieren lässt.
Versehen Sie das gesamte PKI-System mit einer Signaturlösung, die durch kryptografische Hardware geschützt ist.

Qualifizierte Signatur

Die qualifizierte Signatur findet Anwendung bei Vorgängen und Transaktionen mit Behörden. Es handelt sich um die einzige Form der Geheimhaltung, die bei Interaktionen mit öffentlichen Behörden zulässig ist, bei denen es um die Wahrung des Verfassungs-, Rechts- oder Steuergeheimnisses geht. bei der Übertragung und Registrierung von Immobilien; bei der Unterzeichnung von Gesetzen durch Machthaber, Minister und Leiter von Gremien; und bei der Rechnungsstellung, mit Ausnahme von Einzelpersonen und MEIs (einzelne Kleinstunternehmer).

Die qualifizierte Signatur garantiert den exklusiven Zugriff des Inhabers und ermöglicht die Nachverfolgung von Änderungen am signierten Dokument.

Das neue Gesetz legt fest, dass es den Staatsoberhäuptern der einzelnen föderalen Einheiten obliegt, das erforderliche Mindestsicherheitsniveau für die elektronische Signatur von Dokumenten und Transaktionen festzulegen.

Eine qualifizierte elektronische Signatur besteht aus einer Unterschrift, die ein digitales Zertifikat verwendet. Davon gibt es wiederum zwei Arten:

A1-Bescheinigung, das auf dem Computer oder Mobilgerät (Smartphone oder Tablet) ausgestellt und gespeichert wird und 1 Jahr gültig ist;

A3-Bescheinigung, das auf kryptografischen Medien (Smartcard, Token oder Cloud) ausgestellt und gespeichert wird und eine Gültigkeit von 1 bis 5 Jahren hat.

Da A1-Zertifikate keine kryptografischen Medien erfordern und an verschiedene Orte kopiert werden können, verteilen Unternehmen letztendlich dasselbe Zertifikat an mehrere Personen, was zu einem Missbrauch des qualifizierten Signaturvorgangs führt und den Sicherheitsanforderungen und -grundsätzen des ITI – Information Technology Institute widerspricht.

A3-Zertifikate verhindern durch die erforderliche Verwendung eines kryptografischen Geräts das unberechtigte Kopieren, da sie nur für ein Gerät ausgestellt werden. Letztlich kommt es jedoch dazu, dass sich die Token gegenseitig verleihen oder sogar verlieren. Dadurch wird die Ausgabe weiterer Zertifikate erforderlich, was für die Unternehmen mit hohen Kosten verbunden ist.

Eine Möglichkeit, beide Szenarien zu lösen, ist die Verwendung einer zentralisierten Infrastruktur. Hardware kryptografisch genehmigt durch die ITI, auf das alle Anwendungen zugreifen und jedem Zertifikatsinhaber Benutzer zuweisen sowie eine Authentifizierungsrichtlinie einschließlich Zwei-Faktor-Authentifizierung durchsetzen können.

Diese Art von Infrastruktur kann vor Ort oder sogar in der Cloud vorhanden sein und bietet verschiedene Möglichkeiten, darunter:

Massensignatur von Dokumenten in verschiedenen Formaten wie PaDES, CaDES und Xades;

Autorisierung von Regierungssystemen;

Native Integration mit den bekanntesten Zertifikatsausstellern (AC – Certification Authority) auf dem Markt, was Kostensenkung und Anbietervielfalt ermöglicht;

Automatisierte und zentralisierte Ausstellung, wodurch die Komplexität und Verwendung von Zertifikaten reduziert wird.