Guia de legalidade de assinaturas eletrônicas

Perspectiva da OneSpan

As informações fornecidas nesta seção foram preparadas pela OneSpan. Elas resumem as práticas recomendadas para conformidade jurídica ao implementar as assinaturas eletrônicas e explica como o OneSpan Sign cumpre os requisitos de assinaturas legais em países que já promulgaram leis relacionadas a assinaturas eletrônicas.

A OneSpan tem se envolvido ativamente com vários órgãos governamentais para ajudar a estimular a aceitação de assinaturas eletrônicas pelo mundo. A OneSpan também participa de atividades de divulgação, incluindo workshops e conferências, para ajudar as empresas que estão se adaptando às leis e regulamentações globais relacionadas a assinaturas eletrônicas.

Conformidade de assinaturas eletrônicas

A possibilidade de executar contratos vinculantes on-line tem benefícios atraentes, incluindo uma melhor experiência do cliente, uma posição jurídica e de conformidade mais forte, maior produtividade da equipe e maior eficiência operacional. Apesar de assinaturas eletrônicas serem comprovadamente superiores às assinaturas físicas em vários aspectos, ainda há dúvidas sobre a conformidade das assinaturas eletrônicas.

Geralmente, existem três formas de assinaturas eletrônicas reconhecidas pelo mundo: Simples, Avançadas e Qualificadas.

 

Assinaturas eletrônicas simples (AES)

Assinaturas eletrônicas avançadas (AEA)

Assinaturas eletrônicas qualificadas (AEQ)

Uma SES pode ser qualquer forma de mensagem eletrônica associada a uma pessoa física (isso pode incluir assinaturas digitadas, blocos de e-mails, etc.).

Uma AEA é uma assinatura eletrônica associada exclusivamente a um indivíduo e vinculado aos dados para que qualquer alteração posterior aos dados seja facilmente identificável.

Uma AEQ é gerada por um dispositivo qualificado de criação de assinaturas eletrônicas (com um certificado emitido por um prestador de serviços confiáveis qualificado) e tem a mesma validade de uma assinatura à mão.

Assinaturas eletrônicas simples têm os requisitos mínimos de comprovação de identidade do signatário, enquanto as assinaturas qualificadas têm os requisitos mais altos e são as equivalentes legais a uma assinatura à mão. Diferentes tipos de casos de uso e transações exigem diferentes tipos de assinaturas eletrônicas, conforme determinado pelas regulamentações legais.

O OneSpan Sign foi criado para cumprir os requisitos dos três tipos de assinaturas eletrônicas e pode ser usado em diversos casos de uso empresariais, que vão desde processos internos simples de assinaturas entre empresas até transações mais complexas com clientes.

 

OneSpan Sign:

  • Capta um ato ou processo e armazena as informações como o bloco de dados da assinatura eletrônica e na trilha de auditoria no arquivo do documento assinado.
  • Usa uma assinatura digital para associar o bloco/dados da assinatura eletrônica ao documento assinado eletronicamente de forma segura. Essa associação não pode ser quebrada ou copiada para outro documento;
  • Fornece diversas abordagens de autenticação para identificar e atribuir a assinatura eletrônica ao signatário;
  • Captura uma assinatura ao solicitar que o signatário clique para assinar ou desenhe sua assinatura em um dispositivo. Qualquer uma das abordagens é ativada ao clicar em um botão localizado no documento, no local onde a assinatura apareceria normalmente. Isso garante que a intenção do signatário seja estabelecida, assim como em assinaturas físicas.

Prestadores de serviços confiáveis (PSCs)

O OneSpan Sign fornece opções de serviços de gerenciamento de identidade nativos e de terceiros por meio de integrações com Prestadores de serviços confiáveis (PSCs) em todo o mundo. PSCs se especializam em serviços de identidade eletrônica e confiáveis para oferecer assinaturas eletrônicas avançadas e qualificadas por meio do OneSpan Sign. Nossos PSCs parceiros estão na Lista de Confiáveis da UE, permitindo o reconhecimento internacional de assinaturas eletrônicas em todos os países membros da UE.

Nossos PSCs parceiros globais incluem:

Asseco Firmaprofesional aruba it Uanataca logo
TrustPro Itsme logo Swisscom logo  

 

Certificados digitais locais e remotos

Um certificado digital é um documento eletrônico fornecido por um Prestador de serviços confiável (PSC) ou Autoridade de certificação (AC). Ele contém a chave pública para uma assinatura digital e especifica a identidade associada à chave, como o nome de um indivíduo ou empresa. O certificado é usado para confirmar que a chave pública pertence ao indivíduo ou empresa específica.

O OneSpan Sign é compatível com diversos certificados digitais locais e em servidor que atendem aos padrões globais. Isso inclui a interoperabilidade instantânea com o X.509 PKI (tecnologia de certificados e assinaturas digitais) emitido por PSCs e ACs, e certificados digitais armazenados em Cartões de Acesso Comum (CAC) do governo dos EUA e cartões PIV (Verificação de Identidade Pessoal). O resultado é um PDF eletronicamente assinado seguro e inviolável, com uma trilha de auditoria detalhada integrada diretamente ao documento.

Certificados digitais locais

  • A assinatura eletrônica com certificados de assinatura locais pode ser realizada com estes passos simples:
  • Insira seu smart card no notebook, dispositivo móvel ou leitor de smart card.
  • Abra o documento que você precisa assinar eletronicamente.
  • Quando o documento for exibido e estiver pronto para ser assinado, clique no bloco de assinatura e confirme sua assinatura.
  • Selecione o certificado adequado na lista. Se solicitado, insira a senha associada ao certificado selecionado. Depois que a senha for confirmada, o OneSpan Sign vai gerar um conjunto dos seus dados no momento da assinatura (nome, data, horário, endereço IP e certificado usado para assinar o documento), além dos dados únicos do documento em si.

Assista a este vídeo para mais informações sobre como assinar documentos eletronicamente utilizando um certificado de assinatura local.

Certificados digitais remotos

A assinatura eletrônica com certificados em nuvem emitidos pelos nossos PSCs parceiros pode ser realizada seguindo estes passos:

  • Crie uma transação com assinatura eletrônica no OneSpan Sign e selecione PSC como o método de assinatura.
  • Os signatários acessam o documento por meio de uma experiência web ou móvel integrada ou por meio de um link enviado por e-mail.
  • Após a identificação do signatário, a autorização para assinar é solicitada e uma senha de uso único será enviada ao signatário pelo OneSpan Sign.
  • Depois da assinatura, o OneSpan Sign vai gerar um conjunto dos dados do signatário no momento da assinatura (nome, data, horário, endereço IP e certificado usado para assinar o documento), além dos dados únicos do documento em si.

Veja um exemplo do fluxo para signatários conhecidos (p. ex., clientes existentes para quem sua empresa já emitiu credenciais) e desconhecidos (p. ex., solicitantes novos cuja identidade ainda não foi verificada e que ainda não têm credenciais) no OneSpan Sign:

Signing-Process-PT

Registro qualificado de data e hora

Documentos assinados eletronicamente incluem detalhes como o certificado digital do signatário (p. ex., um certificado de assinatura local ou em servidor), registro de data e hora e as informações do signatário (endereço de e-mail e endereço IP). Embora a maioria das soluções de assinaturas eletrônicas apliquem um registro padrão de data e hora para indicar a data e a hora associada ao processo de assinatura, em alguns casos (p. ex., de alto risco, transações de alto valor) as empresas preferem um "registro qualificado de data e hora", um registro gerado por um terceiro confiável para cada assinatura.

O OneSpan Sign fornece registros de data e hora, conectando-se a um servidor de registros qualificados, vinculando os dados da assinatura eletrônica a um registro confiável para provar de forma independente quando uma transação específica foi realizada. O registro de data e hora resultante fortalece ainda mais a integridade da assinatura eletrônica.

Garantia de identidade

A garantia de identidade é uma medida de certeza (ou um grau de confiança) de que uma pessoa é quem diz ser. A garantia de identidade é usada para responder à pergunta: "Qual o nível de certeza que você tem de que o indivíduo certo foi quem assinou eletronicamente pela transação?" Diferentes níveis de garantia de identidade permitem que as empresas e serviços governamentais realizem transações de acordo com o nível de risco. Para alguns serviços, o nível de risco é baixo (NdG1, ou Nível de Garantia 1); para outros, ele é mais alto (NdG4, ou Nível de Garantia 4).

A NIST estabeleceu uma infraestrutura para determinar orientações sobre como cumprir esses níveis de garantia de identidade. Consulte as diretrizes de identidade digital da NIST para mais informações.

Um componente essencial de uma transação com assinatura eletrônica é a forma como as empresas identificam os signatários. O OneSpan Sign oferece vários métodos de autenticação e verificação de identidade para confirmar a identidade do signatário, seja ele conhecido ou desconhecido para a empresa. Nós não ditamos a opção usada. Nós nos adaptamos ao modelo que funciona melhor para nossos clientes e seus casos de uso.

As opções incluem:

  • As funções de verificação de identidade do OneSpan Sign permitem que as empresas verifiquem automaticamente a autenticidade do documento de identidade emitido pelo governo de um signatário. Quando combinado à comparação biométrica facial e detecção de vivacidade, as empresas podem estabelecer se o signatário é a pessoa que diz ser com um alto nível de garantia. Acesse nosso mapa de cobertura de verificação de identidade para ver os tipos de documentos de identidade que contam com nosso suporte separados por país.
  • Certificados de assinatura locais e remotos (veja acima)
  • Senha de uso único (SMS)
  • Segredo compartilhado (Q&A)
  • Autenticação baseada em conhecimento (KBA)
  • Cartões de Acesso Comum (CAC) e cartões de Verificação de Identidade Pessoal (PIV) emitidos pelo governo dos EUA
  • Anexos de signatário, que exigem que o signatário envie um documento de identidade oficial para verificação antes da assinatura (p. ex., carteira de habilitação ou passaporte)
  • API do OneSpan Sign, que permite a integração de verificação de identidade personalizada

Retenção e validade

Com o OneSpan Sign, documentos em PDF assinados eletronicamente são disponibilizados para download para todos os participantes das transações com assinaturas eletrônicas. As empresas não precisam armazenar o registro assinado eletronicamente no OneSpan Sign. Esse registro pode navegar de forma segura por qualquer sistema de e-mail, armazenamento ou arquivo (p. ex., SharePoint, eOriginal, CDC Arkhineo, Box, Laserfiche, etc.) sem ser corrompido e sem necessidade de qualquer programação adicional. Os documentos assinados eletronicamente podem ser indexados, armazenados e recuperados no sistema de registros escolhido. Nossos clientes determinam as políticas de retenção de suas contas, incluindo a opção de excluir as transações com assinaturas eletrônicas. Isso fornece o nível necessário de flexibilidade para gerenciar registros assinados eletronicamente de uma forma que cumpra as políticas de retenção de registros de longo prazo.

A validade dos documentos em PDF assinados eletronicamente é garantida com a aplicação de uma assinatura digital ao documento com cada assinatura eletrônica. Assinaturas digitais são uma forma de tecnologia de criptografia que garante a integridade dos dados armazenados no arquivo do documento, de forma que qualquer alteração aos dados do documento invalide a(s) assinatura(s) eletrônica(s). Os dados da assinatura eletrônica e digital são armazenados no arquivo do documento PDF para que a veracidade do documento sempre possa ser verificada, de qualquer lugar, a qualquer momento.

Para verificar a integridade do documento, o OneSpan Sign oferece a assinatura com um clique e a verificação do documento. Se o processo de verificação for muito incômodo, as partes podem presumir equivocadamente que o documento e as assinaturas são válidas, sem a verificação adequada. Ao verificar um documento que foi assinado eletronicamente com o OneSpan Sign, os participantes clicam no bloco da assinatura. Isso abre a trilha de auditoria e verifica automaticamente a autenticação do signatário e a validade do documento. Se um documento assinado com o OneSpan Sign for modificado ou adulterado de qualquer forma, a tecnologia de assinatura digital subjacente detectará e o leitor de PDF invalidará o documento visivelmente. O PDF assinado eletronicamente exibirá um X vermelho indicando que não se deve confiar no documento. Trilhas de auditoria detalhadas acompanham todas as transações com assinaturas eletrônicas.

OneSpan eSignature

Um processo de um clique como esse simplifica a experiência do usuário, gerando uma maior confiança no processo de assinatura eletrônica e a garantia de que qualquer erro ou atitude fraudulenta será detectada.

Trilhas de auditoria

As trilhas de auditoria das assinaturas eletrônicas são registros digitais que identificam quando um documento foi enviado, aberto e assinado, além dos nomes, endereços de e-mail, endereços de IP e identificadores de assinatura única dos signatários. As trilhas de auditoria são comprovadamente eficazes na autenticação de um registro eletrônico para demonstrar que a assinatura eletrônica realmente pertence ao signatário.

As trilhas de auditoria ajudam a responder a perguntas como:

  • O signatário passou pelas etapas necessárias de autenticação e/ou verificação de identidade?
  • O signatário recebeu as informações necessárias?
  • Ele assinou em todos os locais exigidos nos documentos para indicar adequadamente a intenção?
  • Os procedimentos adequados foram seguidos em todos os estágios do processo?

A OneSpan Sign oferece uma única trilha de auditoria de todo o processo do contrato que capta todas as ações de assinaturas eletrônicas (p. ex., o que foi assinado, quando e onde), além dos eventos de autenticação e verificação de identidade que provam como o signatário foi identificado. A trilha de auditoria é integrada ao documento assinado eletronicamente e disponibilizada em um Relatório de Resumo de Evidências. O Relatório de Resumo de Evidências pode ser baixado e visualizado a qualquer momento. Ele é disponibilizado para todos os participantes da transação, tanto como download individual como parte da transação concluída.

Residência de dados

Conforme a nuvem é cada vez mais utilizada, surge a necessidade de garantir que os dados sejam protegidos e em conformidade com as leis locais de residência e proteção de dados de uma empresa. Indústrias regulamentadas e com grandes preocupações de conformidade, como o setor bancário, de seguros, do governo e da saúde, muitas vezes requerem transparência e controle sobre onde os dados pessoais são armazenados.

Atualmente, a OneSpan mantém quatro instâncias de seu serviço de assinatura eletrônica, um em cada um dos seguintes locais: EUA, Canadá, UE (Irlanda e Alemanha) e Austrália. Quando a OneSpan fornece uma conta a um cliente, ele pode escolher a região desejada. Isso determina onde seus documentos assinados eletronicamente serão processados e armazenados.

Ao utilizar redes de centros de dados globais de nossos parceiros de tecnologia (Amazon Web Services, IBM Cloud e Microsoft Azure), o OneSpan Sign oferece opções de SaaS e de implementação privada da nuvem para o OneSpan Sign. A capacidade do OneSpan Sign de cumprir as exigências de residência de dados se estende aos aplicativos de terceiros com que nos integramos. Por exemplo, o OneSpan Sign para Salesforce fornece às empresas a flexibilidade de se conectar a qualquer instância global do OneSpan Sign.

O OneSpan Sign também se tornou a primeira solução de assinaturas eletrônicas Autorizada para Operação (ATO) sob o Programa de Gerenciamento de Riscos e Autorização Federal dos EUA (FedRAMP) em 2016. As organizações governamentais dos EUA que buscam implementar assinaturas eletrônicas agora têm acesso imediato a uma nuvem segura e em conformidade com o FedRAMP, hospedado na infraestrutura de nuvem de qualidade internacional Azure, da Microsoft.

Acesse o Centro de Confiança do OneSpan Sign para mais informações sobre as medidas de segurança que utilizamos para cumprir e exceder as exigências de conformidade e controle de segurança de nossos clientes em todo o mundo.

Para empresas que buscam o máximo controle, o OneSpan Sign pode ser implementado e gerenciado localmente, por trás da infraestrutura e firewall próprios da empresa.

Comece a usar assinaturas eletrônicas

Experimente uma demonstração rápida para conhecer a experiência com assinaturas eletrônicas.