Ligamos para você

Verificador de conformidade: o que é e como funciona?

Equipe TOTVS | 15 fevereiro, 2024

O verificador de conformidade é uma ferramenta que vem se tornando cada vez mais importante no ambiente empresarial, e o motivo é o aumento significativo no uso de assinaturas eletrônicas nos últimos anos. 

Para se ter uma ideia, a previsão de crescimento do mercado global de verificação de assinaturas é de um CAGR de 25,3% até 2026. 

Com uma rotina repleta de documentos digitais, de contratos de trabalho a acordos financeiros, as organizações utilizam plataformas de assinatura para otimizar este processo. Mas como verificar a assinatura digital? Ela foi feita corretamente?  

Essa é uma pergunta válida. Afinal, estamos tratando de negócios que dependem de validade jurídica. Para evitar eventuais fraudes, foi criado um verificador ICP-Brasil.

Você sabe o que é verificador de conformidade? Como fazer a validação do certificado digital? Esclarecemos algumas questões sobre o tema, acompanhe!

Nova call to action

O que é o verificador de conformidade? Qual é a sua função?

O verificador de conformidade é um serviço disponibilizado pelo Instituto Nacional de Tecnologia da Informação (ITI) que permite ao usuário confirmar se determinado arquivo assinado com certificado ICP-Brasil ou com assinatura eletrônica avançada está conforme as normas brasileiras.

A norma referente à assinatura com certificado ICP-Brasil é Resolução CG ICP-Brasil n° 182/2021

Já no caso das assinaturas eletrônicas avançadas providas na plataforma “gov.br”, temos a Lei nº 14.063/2020 (Lei da Assinatura Digital), o Decreto nº 10.543/2020 e a Portaria Conjunta ITI/CC/PR SGD/SEDGG/ME nº 1/2021

Ele pode ser utilizado por qualquer cidadão e por organizações públicas e privadas.

E como verificar se a assinatura é verdadeira?

Como o verificador de conformidade funciona?

Com a ferramenta do ITI/ICP-Brasil, verificar assinatura digital ou eletrônica se tornou algo simples. É a validação da assinatura. Basicamente, há uma comparação entre o arquivo assinado e a base de dados da ICP-Brasil para atestar a validade da assinatura.

O sistema verifica os seguintes padrões de assinatura: CAdES, XAdES e PAdES. Explicaremos melhor sobre eles adiante. 

Neste momento, basta entender que existem dois tipos de verificação:

  • Simplificada: o resultado da análise retorna somente o caminho de certificação dos arquivos de assinatura. 
  • Completa: o resultado da análise traz dados mais completos, como políticas de assinatura, carimbos do tempo, atributos, entre outros.

Veja, a seguir, o que é avaliado pelo verificador de conformidade.

O que é avaliado pelo verificador para atestar a integridade de um documento?

O arquivo assinado traz informações sobre o nome do assinante e o hash (resumo criptográfico), mas pode apresentar também o código para verificação e o carimbo de tempo.

Vamos ver o que é avaliado pelo validador de assinaturas para garantir a idoneidade do documento?

Validade das informações 

Conforme as normas da ICP-Brasil, verificar assinatura digital envolve assegurar a integridade das informações do documento para concluir que ele não foi alterado. 

Existem duas situações para essa verificação. A primeira diz respeito à assinatura realizada sem a anexação do documento original. A segunda ocorre quando o documento original é anexado à assinatura digital.

Nos dois casos, ocorre a validação para atestar que o documento não foi modificado sem a ciência dos signatários.

Assinaturas

O que é verificador de conformidade? Uma ferramenta para atestar a conformidade das assinaturas, certo? Nada mais justo, então, verificá-las!

No momento da assinatura eletrônica do documento, o software cria um hash para ela, e o documento original também possui um hash próprio. 

Essas duas “funções” devem ser coerentes, pois é o que garante que a assinatura foi feita para aquele documento específico.

Então, o verificador de conformidade valida os hashs criados em um processo reverso de criptografia para garantir a integridade da assinatura.

Certificado digital utilizado

Por fim, o verificador ICP-Brasil também avalia o certificado digital em três aspectos:

  • Validade: a validade do certificado é comparada à data de assinatura do documento.
  • Eventual revogação: a lista de certificados revogados publicada pela instituição emissora é consultada para saber se o certificado utilizado não foi revogado.
  • Autoridade Certificadora (AC): a instituição emissora é avaliada para saber se segue os padrões da ICP-Brasil e os critérios internacionais. Ou seja, se sua cadeia certificadora é confiável.

Quais formatos de arquivos podem ter a validade testada pelo verificador?

São passíveis de verificação os arquivos nos formatos CAdES, XAdES e PAdES previstos na Resolução CG ICP-Brasil nº 182/2021.

Além deles, há outras modalidades embarcadas ou destacadas no DOC-ICP-15 (documento com os demais formatos de arquivos da ICP-Brasil).

Conheça os três principais!

CAdES

O CAdES (CMS Advanced Electronic Signatures) assina qualquer tipo de arquivo digital por completo.

No entanto, seu uso é voltado principalmente a documentos binários, como arquivos vetoriais (como os projetos arquitetônicos), imagens, vídeos e músicas (registro de direito autoral), executáveis (extensão .exe) e documentos do Word ou Excel, por exemplo. 

Veja outras características:

  • É o formato de arquivo requisitado para o envio de obrigações à Secretaria da Fazenda.
  • Produz um arquivo p7s (criptografados com assinaturas digitais), que não é visualizado em todos os programas.
  • Foi criado para prover as assinaturas digitais de informações que permitam validação por longo prazo, mas pode demandar dados adicionais (carimbo do tempo, por exemplo).

XAdES 

O XAdES (XML Advanced Electronic Signatures) é um formato de arquivo flexível e compatível com vários sistemas, pois serve para a assinatura de arquivos em XML. 

Ou seja, permite a assinatura de arquivos binários, em formato de texto, e também a assinatura parcial de um documento eletrônico. 

Com algoritmos modernos de criptografia e a possibilidade de inclusão de atributos adicionais na assinatura, é uma boa opção para as assinaturas. 

Por fim, o XAdES suporta a geração de chaves embutidas na assinatura eletrônica. Na prática, isso permite que ela seja verificada sem precisar de sistemas externos. 

PAdES

O PAdES (PDF Advanced Electronic Signature) é um padrão aberto de assinatura eletrônica aceito pela ICP-Brasil. Seu objetivo é fornecer um padrão na criação e validação de assinaturas eletrônicas em documentos PDF.

Veja algumas características:

  • Não é indicado em sistemas customizados;
  • Recomendado unicamente para documentos em PDF;
  • Pode ser verificado usando qualquer programa que ofereça suporte aos formatos de assinatura existentes. 
  • Permite o uso de imagens e outras informações do usuário para representar visualmente a assinatura no documento (pode se assemelhar à assinatura manual).

Quais padrões de assinaturas digitais podem ser validados pelo verificador de conformidade?

O verificador de conformidade pode validar os padrões CAdES, XAdES e PAdES, como acabamos de demonstrar. 

Esses protocolos de assinatura eletrônica trazem segurança às transações digitais. 

Quais são os resultados possíveis da verificação?

Na verificação de assinatura digital, nem sempre o usuário terá o retorno de um resultado positivo. Em outras palavras, pode ser que não haja conformidade com as normas da ICP-Brasil.

Ao utilizar o verificador de conformidade, o usuário pode se deparar com os seguintes resultados:

  • Aprovado: a assinatura eletrônica do arquivo está em conformidade com a regulamentação da ICP-Brasil (assinatura digital) ou com a regulamentação do GOV.BR (assinatura eletrônica avançada);
  • Reprovado: a assinatura do arquivo não mantém conformidade com as normas e padrões da ICP Brasil ou do GOV.BR;
  • Indeterminado: não há uma conclusão específica sobre a conformidade ou não com a ICP-Brasil ou do GOV.BR diante das informações disponíveis.

Diante de eventuais resultados adversos, recomenda-se acionar o responsável pela elaboração do arquivo, bem como as organizações relacionadas à assinatura digital. 

Porém, isso não implica que o arquivo assinado foi aprovado ou reprovado, ou ainda que o signatário e as declarações constantes nele são verdadeiras ou não.

O verificador de conformidade é seguro? 

O validador de conformidade do ITI é seguro. O processo de validação ocorre sem o armazenamento ou a leitura das informações dos documentos, pois o sistema objetiva unicamente conferir a integridade do documento, do signatário e do certificado digital.

No entanto, apesar da segurança, ele conta com algumas limitações, como:

  • certificar apenas documentos com a autenticação no padrão ICP-Brasil, ou seja, não abrange assinaturas de agentes estrangeiros.
  • não conferir elementos que não se inserem na cobertura da parte assinada, que se inserem sem percepção visual ou que possam sofrer alterações externas não cobertas pela assinatura digital.

As organizações podem simplesmente entrar no site do verificador ICP-Brasil e validar seus documentos. Porém, devido ao grande volume de documentos gerados nas empresas e às limitações da ferramenta, é possível também incorporar o código-fonte do verificador de forma gratuita nos softwares de assinatura digital. 

Assim, as assinaturas realizadas na plataforma já serão automaticamente validadas. No caso do TOTVS Assinatura Eletrônica, por exemplo, a verificação de assinatura digital e eletrônica é acompanhada da segurança na hora de armazenar os documentos.

Como acessar o verificador de conformidade?

O usuário pode realizar a verificação de assinatura digital e eletrônica avançada na ferramenta do ITI de maneira bem simples. Veja o passo a passo:

  • Acesse o verificador de conformidade no site do ITI;
  • Aceite os termos de uso para utilizar o sistema;
  • No lado direito da tela, escolha a opção de relatório (pdf. ou html)
  • Salve o arquivo desejado e clique em “Verificar conformidade”. 
  • O sistema retornará um relatório com as informações sobre o documento e apontará se a assinatura é válida ou não.

Se uma assinatura for falsa, o sistema retornará a seguinte mensagem: “Pelo menos um arquivo selecionado não é reconhecido como arquivo de assinatura. Por favor, selecione os arquivos válidos”.

Se as assinaturas forem verdadeiras, a tela retornará com status “Aprovado” e “Em conformidade com o padrão”.

Por fim, o usuário poderá imprimir o relatório de conformidade se desejar para fins de registro.

10 Dicas para uma assinatura digital em conformidade com a legislação

Você viu como verificar assinatura digital, os padrões aceitos pelo verificador ICP-Brasil e as normas que regulam esse processo.

Agora, é preciso ter atenção na hora de assinar um documento digitalmente, de modo que o processo cumpra a legislação. Para tanto, apontamos algumas recomendações a seguir:

  1. Evite usar dois sistemas de assinatura diferentes.
  2. Evite autorizar o uso do seu certificado digital por terceiros.
  3. Prefira assinar documentos com certificado digital ICP-Brasil.
  4. Ao fim do processo de assinatura, confira os documentos “original e assinado” e valide o arquivo P7S no verificador de conformidade.
  5. Opte por sistemas que, preferencialmente, façam o armazenamento seguro dos documentos, o que facilita o acesso posterior.
  6. Confira todos os documentos empresariais que comprovam a legitimidade dos signatários em representar a organização que compõe a outra parte.
  7. Saiba as situações que permitem o uso de assinaturas eletrônicas simples e avançadas (sem certificados digitais ou com certificados sem padrão ICP-Brasil).
  8. Escolha um sistema de assinatura eletrônica que gere relatórios comprovando a integridade da criptografia do ato e arquivos P7S, de acordo com as políticas da ICP-Brasil. 
  9. Dê preferência às assinaturas de padrões diferentes. Ou seja, se uma parte assinar com certificado digital, a outra deve seguir o mesmo padrão. O risco de problemas, se o ato não exige fé pública, é baixo, mas é preferível padronizar para afastar eventual confusão jurídica.
  10. Observe as leis relativas ao objeto do documento que será assinado, pois podem existir exigências específicas quanto à assinatura. Documentos que devem ser assinados com fé pública só permitem o uso da assinatura digital, realizada com certificados digitais ICP-Brasil.

A adoção de todos esses cuidados proporciona um processo de assinatura eletrônica seguro e simples, especialmente se o usuário opta por uma plataforma adequada, como o TOTVS Assinatura Eletrônica.

Mais segurança com a TOTVS Assinatura Eletrônica

A tecnologia no processo de assinatura eletrônica é uma grande aliada da segurança, validade jurídica, agilidade e produtividade.

A TOTVS, maior empresa de tecnologia do Brasil, sabe disso e criou o TOTVS Assinatura Eletrônica com este propósito: dar aos profissionais uma ferramenta para aprimorar os fluxos de trabalho relacionados aos documentos empresariais.

Da coleta da assinatura ao armazenamento do documento, o usuário terá um dashboard intuitivo para fazer uma gestão mais eficiente.

Além disso, a plataforma da TOTVS permite a validação de assinatura digital com poucos cliques e usa um padrão de criptografia avançada em todo o processo.

Você ainda pode armazenar documentos na TOTVS Cloud e usar o app Minha Assinatura Eletrônica para ter mais mobilidade.

Conheça já e experimente grátis por 30 dias o TOTVS Assinatura Eletrônica!

Conclusão

O verificador de conformidade é uma ferramenta fundamental para atestar a integridade e a validade de arquivos. A comparação entre a assinatura e a base de dados da ICP-Brasil envolve vários elementos para atestar essa validade.

Por isso, é uma prática que deve integrar a rotina empresarial para garantir a segurança das transações.

O usuário pode optar por usar o sistema do ITI, mas pode também utilizar um sistema de assinatura eletrônica, como a ferramenta da TOTVS.

A vantagem deste sistema é contar com uma tecnologia segura de armazenamento de documentos e um aplicativo, o que confere maior produtividade aos profissionais.

Ficou interessado? Saiba como escolher uma plataforma de assinatura digital!

Artigos Relacionados

Contrato freelancer: como funciona, o que diz a lei e modelo

No atual momento do mercado de trabalho, empresas de ponta buscam constantemente soluções pragmá...

Continue Lendo
Conheça as principais regras para a assinatura de documentos

Os aceites em documentos são o elo final de validação em um ciclo de negócios. Há poucos anos,...

Continue Lendo
Como funciona a assinatura da TOTVS? Tire suas dúvidas!

Se sua empresa utiliza a tecnologia para otimizar os processos internos, provavelmente já parou pa...

Continue Lendo
Documento hábil: o que é, para que serve e quais são os principais

Se você está familiarizado com o universo da contabilidade e da documentação empresarial, sabe ...

Continue Lendo
Contrato intermitente: como funciona, direitos garantidos e mais

Quando se trata de flexibilidade no mercado de trabalho brasileiro, é essencial entender como func...

Continue Lendo
Documento KYC: o que significa a sigla, importância e métodos de verificação

A tecnologia e a segurança da informação caminham lado a lado no mundo corporativo contemporâne...

Continue Lendo

Deixe aqui seu comentário

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


Usamos cookies para fornecer os recursos e serviços oferecidos em nosso site para melhorar a experência do usuário. Ao continuar navegando neste site, você concorda com o uso destes cookies. Leia nossa Política de Cookies para saber mais.