去年 14.063 月批准的第 XNUMX 号法律旨在减少官僚主义 电子签名 文件以扩大数字公共服务的访问,为公共和私营部门的公司带来了一系列好处。其好处包括简化公共文件中的数字签名,以及降低医疗保健、工业、会计等各个领域使用数字签名的相关成本。
新法律在与公共实体的通信中创建了三种电子签名类型:简单、高级和合格。值得注意的是,这些电子签名不会用于法律诉讼、可能存在匿名的互动、公共实体的监察员系统、受威胁受害者和证人的援助计划以及需要保密的案件。
请参阅下文了解每种签名的类型及其适用情况:
简单签名
简单签名也称为基本电子签名,是一种用于签署不需要高级别安全性的文档的类型,无需使用认证机构颁发的数字证书。它使用与 ID、CPF、地理位置等信息相关的安全方法。
政府估计,48% 的公共服务可以通过简单的电子签名获得,例如信息请求、安排专家评估、医疗预约或其他服务。
高级订阅
高级签名适用于与公共当局的流程和交易。它保证持有人的独占访问权,并允许跟踪对签署文件所做的更改。例如,高级签名可以用于公司开设、变更和关闭的过程中。
这是一种需要使用数字证书的签名形式,但它不需要来自 ICP-Brasil,只要是由公司本身的企业认证机构或其他企业机构创建的证书就足够了。
高级签名利用以下类型的数字证书 电子CNPJ ou 电子公积金 用于签署文件、开具电子发票、共和国权力首脑签署的行为、涉及宪法、法律或财政保密的互动。它可以满足高级和简单签名的所有用途。
值得注意的是,此签名类别已经具有更高程度的安全性,因为需要事先验证签名者的信息并使用加密密钥对其进行验证。
高级签名中的企业权限
对于颁发不使用标准的数字证书 巴西ICP,公司可以创建自己的密钥基础设施(PKI),甚至可以聘请专门的组织来创建和管理基础设施。
本地或云解决方案可以支持和促进所有合格订阅的使用,例如:
- 提供与现有 PKI 集成的签名软件;
- 为整个PKI体系提供受密码硬件保护的签名解决方案。
合格签名
合格签名适用于与公共当局的流程和交易。这是在涉及宪法、法律或财政保密的与公共当局互动中唯一被授权的类型;房地产转让、登记行为;各权力机关首脑、部长和机构负责人签署法案;以及开具发票,但个人和个体微型企业家除外。
合格的签名保证持有人的独占访问权,并允许跟踪对签名文件所做的更改。
新法律规定,每个联邦实体的权力首脑将负责制定文件和交易电子签名所需的最低安全级别。
合格的电子签名包括使用数字证书的签名。这又有两种类型:
- A1证书,发行并存储在计算机或移动设备(智能手机或平板电脑)上,有效期为1年;
- A3证书,以加密介质(智能卡、令牌或云)形式发行和存储,有效期为1至5年。
对于A1证书,由于它们不需要加密介质并且可以复制到不同位置,公司最终会将同一份证书分发给多个人,从而导致合格签名操作的不当使用,这违反了ITI(信息技术研究所)的安全要求和原则。
A3 证书要求使用加密设备,可以防止不当复制,因为它们仅为一个设备颁发。但最终的结果是,人们互相借出代币,甚至丢失代币,从而需要发行其他通证,这对企业来说成本很高。
解决这两种情况的一种方法是使用集中式基础设施。 硬件 密码学 经批准 ITI所有应用程序都可以访问它并可以为每个证书所有者分配用户,并强制执行包括双因素身份验证在内的身份验证策略。
这种类型的基础设施可以位于本地,甚至可以位于云端,提供多种设施,包括:
- 以 PaDES、CaDES 和 Xades 等不同格式进行批量文档签名;
- 政府系统授权;
- 与市场上最知名的证书颁发机构(AC - 认证机构)进行本地集成,从而降低成本并实现供应商多样性;
- 自动化、集中化颁发,减少证书的复杂性和使用。
