Se a assinatura digital faz parte do dia a dia da sua empresa, é provável que você já tenha ouvido falar no ITI verificador, que agora se chama VALIDAR.
O serviço é disponibilizado pelo Instituto Nacional de Tecnologia da Informação (ITI) desde 2014 para que seus usuários verifiquem se uma assinatura feita com certificado ICP-Brasil é válida.
Vale pontuar que estamos em um cenário de digitalização de processos e transformação digital que demanda, em muitos casos, o uso deste tipo de certificado.
Por ser uma ferramenta que confere maior segurança às assinaturas, ela tornou-se ainda mais comum no ambiente corporativo. Neste contexto, é preciso verificar sua conformidade por meio do validador ITI.
No presente artigo, você saberá mais sobre o que é o ITI verificador de conformidade (bem como o VALIDAR), como ele funciona e muito mais.
Acompanhe!
O que é ITI verificador?
O ITI verificador é um recurso pelo qual o cidadão ou a organização pública ou privada pode confirmar se um arquivo assinado com certificado ICP-Brasil ou com assinatura eletrônica avançada está em conformidade com as normas brasileiras.
Em 2023, com o advento da Portaria ITI nº 22, ele se tornou VALIDAR, o novo serviço de validação de assinaturas eletrônicas. O objetivo, porém, não foi alterado.
A diferença é que o VALIDAR também valida “assinaturas eletrônicas qualificadas de infraestruturas de chaves-públicas oficiais de outros países com os quais o Brasil mantêm algum acordo de reconhecimentos de assinaturas eletrônicas ou digitais”.
As assinaturas realizadas com certificado ICP-Brasil são reguladas pela Resolução CG ICP-Brasil n° 182/2021.
As assinaturas eletrônicas avançadas (plataforma “gov.br”) são reguladas pelas seguintes normas: Decreto nº 10.543/2020, Lei nº 14.063/2020 (Lei da Assinatura Digital) e Portaria Conjunta ITI/CC/PR SGD/SEDGG/ME nº 1/2021.
Já as assinaturas eletrônicas qualificadas estrangeiras (Mercosul) são amparadas pelo Acordo de Reconhecimento Mútuo de Certificados de Assinaturas Digitais, de dezembro de 2019.
Se você quer saber como verificar autenticidade de assinatura digital, basta usar o atual VALIDAR, ok?
E vale pontuar: o Instituto Nacional de Tecnologia da Informação, atualmente, unificou no VALIDAR inclusive o validador específico para documentos digitais de saúde.
Vamos conhecer como funciona o verificador do ITI?
Como funciona o verificador de conformidade do ITI?
Quem busca saber como verificar autenticidade de assinatura digital se depara com frequência com a ferramenta do ITI/ICP-Brasil, atualmente conhecida como VALIDAR.
A validação da assinatura é um processo simples, em que se compara a base de dados da ICP-Brasil e o arquivo assinado para se chegar a uma conclusão sobre a assinatura.
O processo atual, pelo VALIDAR, envolve:
- Validar o estado criptográfico da assinatura eletrônica;
- Verificar se a cadeia de confiança de certificação, incluindo o certificado digital do titular, estava válida quando a assinatura foi criada;
- Confirmar a validade da assinatura eletrônica da Autoridade Certificadora que emitiu o certificado e de toda a cadeia de certificação.
- Atender ao Padrão Brasileiro de Assinatura Digital (PBAD) da ICP-Brasil.
A seguir, apresentamos o funcionamento do validador ITI, que era bastante semelhante.
Tipos de verificação
Os arquivos assinados por um usuário com certificado digital traz, em qualquer caso, dados sobre o nome do assinante e o hash (resumo criptográfico). Porém, ele pode apresentar também o carimbo de tempo e o código para verificação.
Feito esse reforço sobre o que consta em um documento assinado digitalmente, como verificar a autenticidade da assinatura digital?
O validador ITI executava dois tipos de verificação:
- Simplificada: a análise traz como resultado apenas o caminho de certificação dos arquivos de assinatura.
- Completa: a análise traz como resultado dados mais completos, como atributos, carimbos do tempo, políticas de assinatura, entre outros.
Critérios avaliados
Além dos dois tipos de verificação, a ferramenta analisava três critérios que garantem a idoneidade do documento: assinaturas, certificado digital utilizado e validade das informações.
Assinaturas
Se você utiliza o verificador de conformidade ITI, seu desejo é saber como verificar a autenticidade de assinatura digital, certo?
As assinaturas são um dos critérios avaliados pela ferramenta. Ao assinar eletronicamente um documento, o software utilizado cria um hash para ela, além do hash próprio do documento original.
Se as duas “funções” são coerentes, é a garantia que a assinatura foi feita para aquele determinado documento.
Ou seja, em um processo reverso de criptografia, o ITI verificador de conformidade valida os hashs criados para garantir a integridade das assinaturas.
Certificado digital utilizado
Outro critério avaliado pela ferramenta ITI/ICP-Brasil é o certificado digital. Essa avaliação ocorre em três aspectos: validade, revogação e Autoridade Certificadora (AC).
Em primeiro lugar, verifica-se se o certificado está válido na data de assinatura do documento.
Em seguida, é feita a consulta da lista dos certificados revogados publicada pela instituição emissora para verificar se o recurso utilizado não foi revogado.
Por fim, avalia-se a Autoridade Certificadora para saber se ela é confiável e segue os critérios internacionais e os padrões da ICP-Brasil.
Validade das informações
Por fim, o último critério analisado é a validade das informações do documento. A verificação das assinaturas digitais é, também, assegurar que esses dados não foram alterados.
Essa verificação ocorre quando a assinatura é feita sem a anexação do documento original e também quando este documento é anexado à assinatura digital.
Em ambos os casos, o validador ITI atesta que o documento não foi alterado sem a ciência dos signatários.
Entendeu como verificar a autenticidade da assinatura digital? Apesar de seguir uma lógica segura, muitos gestores se perguntam se a ferramenta é confiável.
O verificador do ITI é confiável?
Sim, o verificador do ITI é confiável.
Primeiramente, é importante lembrar que tanto as plataformas anteriores quanto o VALIDAR são serviços desenvolvidos pelo Instituto Nacional de Tecnologia da Informação.
A autarquia federal é vinculada à Casa Civil da Presidência da República e mantém a ICP-Brasil, sendo a primeira autoridade da cadeia de certificação.
Portanto, estamos falando de uma ferramenta de autoridade.
Em termos técnicos, o serviço também é confiável e seguro. Isso porque a validação ocorre sem que as informações dos documentos sejam lidas ou armazenadas.
Afinal, sua única função é atestar a integridade do documento, do signatário e do certificado digital.
Mas o recurso possui algumas limitações, e uma delas é o tipo de assinatura digital.
Que tipo de assinatura digital pode ser validada pelo ITI?
O ITI verificador de assinatura digital consegue validar três padrões de assinatura: CAdES, XAdES e PAdES.
São protocolos de assinatura eletrônica que trazem segurança às transações digitais e também são considerados formatos de arquivos, como se vê a seguir.
Quais formatos de arquivos são aceitos?
Os principais formatos de arquivos aceitos são CAdES, XAdES e PAdES, que estão previstos na Resolução CG ICP-Brasil nº 182/2021:
- XAdES (XML Advanced Electronic Signatures): serve para a assinatura de arquivos em XML, sendo por isso um formato de arquivo compatível com vários sistemas e flexível.
- PAdES (PDF Advanced Electronic Signature): padrão aberto de assinatura eletrônica cujo objetivo é fornecer um padrão para criar e validar assinaturas eletrônicas em documentos PDF. É recomendado unicamente para este tipo de documento.
- CAdES (CMS Advanced Electronic Signatures): assina por completo qualquer tipo de arquivo digital, mas seu uso é voltado principalmente a documentos binários, como arquivos vetoriais, executáveis (extensão .exe) e documentos do Word ou Excel.
Há, ainda, outras modalidades previstas no DOC-ICP-15, que é um documento que traz os demais formatos de arquivos da ICP-Brasil.
É importante ressaltar que o verificador atesta a conformidade somente dos tipos de arquivos previstos no DOC ICP-15.
Eventuais invalidades verificadas devem ser informadas ao provedor do assinador digital. Mas isso não significa que o documento seja inválido, ok? Apenas que ele não segue as especificações do DOC em referência.
Se você submete ao validador o arquivo de uma Nota Fiscal Eletrônica, o resultado traz a inconformidade, pois este tipo de documento não está previsto no DOC ICP-15.
No VALIDAR, recomenda-se arquivos com as extensões .p7s, .xml e .pdf.
Por que é importante validar assinaturas digitais?
No ambiente empresarial, os profissionais lidam com documentos diariamente. Para otimizar a rotina de gestão documental, a adoção de tecnologias é fundamental, especialmente das plataformas de assinatura eletrônica.
Mas é preciso garantir a segurança neste processo, de modo que o conteúdo não seja alterado, e o aceite das partes se mantenha válido.
Na prática, lembre-se de que a assinatura é um “ok” para um negócio, seja um contrato de trabalho ou um termo de acordo.
Por isso, saber como verificar autenticidade de assinatura digital é garantir que a vontade das partes ou a concordância de alguém com um documento represente a verdade.
O passo a passo para usar o ITI verificador (VALIDAR)
Lembra que falamos que as duas plataformas anteriores viraram uma só? Na prática, a função central ainda pode ser executada de forma simples.
Ou seja, quem deseja realizar a verificação de assinatura digital e eletrônica avançada pelo VALIDAR não terá dificuldades, pois o passo a passo é bem simples. Veja:
- Acesse o VALIDAR pelo site.
- Escolha uma das opções disponíveis (“Ler QR code”, “Escolher arquivo”, “Colar URL” ou “Assinatura destacada”);
- Concorde com os termos de uso e política de privacidade;
- Clique em “VALIDAR”;
- Aguarde o resultado, que pode ser “Aprovado”, “Reprovado” ou “Indeterminado”.
Imagine que uma pessoa forjou uma assinatura utilizando o editor de imagens. Neste caso, que é um exemplo de assinatura falsa, o sistema retornará a seguinte mensagem em vermelho:
“Documento com assinaturas reprovadas”
Por outro lado, em caso de assinaturas verdadeiras, a tela mostrará em verde “Documento com assinaturas válidas”.
Por fim, é possível acessar o relatório de conformidade para conferir as informações técnicas mais detalhadas sobre a validação do documento. Ele pode ser acessado na página de “Resultado”.
Quais são os status das avaliações do VALIDAR?
Imagine que você utilizou o VALIDAR e se deparou com um resultado diferente do esperado. De fato, para entender o funcionamento da ferramenta, é preciso saber os status das avaliações feitas nela.
Ao utilizar o verificador de conformidade, você pode se deparar com o resultado:
- Aprovado: assinatura em conformidade com as normas da ICP-Brasil (assinatura digital) ou do GOV.BR (assinaturas eletrônicas avançadas);
- Reprovado: assinatura que não mantém conformidade com as normas e padrões da ICP Brasil ou do GOV.BR, ou ainda que a âncora de confiança do país não está disponível (assinaturas eletrônicas produzidas por infraestruturas estrangeiras);
- Indeterminado: resultado inconclusivo, em que é possível definir, diante das informações disponíveis, se há uma conclusão específica sobre a conformidade com a ICP-Brasil ou com o GOV.BR.
Diante de um resultado adverso, acione o responsável pela elaboração do arquivo e o provedor do sistema de assinatura. Isso não quer dizer que o arquivo assinado foi aprovado ou reprovado.
Como escolher uma assinatura digital em conformidade com a lei?
Após entender mais sobre a ferramenta do ITI/ICP-Brasil, você deve estar se perguntando como escolher uma assinatura digital em conformidade com as normas brasileiras, certo?
Em primeiro lugar, recomenda-se o uso de um certificado digital válido da ICP-Brasil sempre que for necessário, como em documentos que precisam de alto nível de segurança.
A emissão deste recurso é feita por AC confiáveis que seguem os padrões da ICP-Brasil, o que garante sua eficácia. Dessa forma, sua assinatura será igualmente eficaz.
Mas lembre que há casos em que as assinaturas eletrônicas simples e avançadas são suficientes.
Além disso, há outras práticas para ter uma assinatura digital conforme a lei:
- Utilize sistemas de assinatura digital e eletrônica que seguem as normas da LGPD e façam o armazenamento seguro dos documentos;
- Prefira plataformas que gerem relatórios que comprovem a integridade da criptografia do ato e arquivos P7S, conforme as políticas da ICP-Brasil;
- Observe as leis que regem o objeto do documento que será assinado, uma vez que há casos que exigem assinaturas específicas. A assinatura digital, por exemplo, é a única que serve para documentos que devem ser assinados com fé pública.
Com esses cuidados, você terá em mãos uma assinatura conforme as leis.
Para facilitar as práticas que possibilitam um processo de assinatura eletrônica seguro e simples, é recomendado usar uma plataforma adequada e segura, como o TOTVS Assinatura Eletrônica.
Valide sua assinatura eletrônica com o TAE
Você já pensou no tempo despendido para validar todos os seus documentos no site do VALIDAR? O grande volume gerado diariamente e a limitação da ferramenta pode atrasar bastante o fluxo de trabalho.
Uma saída é incorporar o código-fonte do verificador de forma gratuita em um bom software de assinatura feita digitalmente, como no TOTVS Assinatura Eletrônica.
A ferramenta da maior empresa de tecnologia do Brasil foi criada com o propósito de dar aos profissionais um recurso que agiliza e otimiza os fluxos de trabalho relacionados aos documentos empresariais.
A verificação das assinaturas eletrônicas é feita de forma ágil e produtiva por meio da ferramenta.
Além disso, o gestor conta com segurança e validade jurídica da coleta da assinatura ao armazenamento do documento, o que ajuda na gestão eletrônica de documentos.
Conheça já e experimente grátis por 30 dias o TOTVS Assinatura Eletrônica!
Conclusão
O ITI verificador, atual VALIDAR, é um serviço para atestar a integridade e a validade de arquivos por meio da comparação entre a assinatura e a base de dados da ICP-Brasil.
Sua importância é essencial para o ambiente empresarial, motivo pelo qual deve fazer parte da rotina para garantir a segurança das transações.
Caso queira agilizar o dia a dia, é possível utilizar um sistema de assinatura eletrônica, como a TOTVS Assinatura Eletrônica, para garantir maior produtividade.
Além de verificar assinaturas, a ferramenta possibilita o armazenamento seguro de documentos e um aplicativo, o que confere maior mobilidade aos profissionais. Veja como escolher uma plataforma de assinatura digital!
Deixe aqui seu comentário