Quando o assunto é ICP-Brasil, é importante lembrar que, ao longo das últimas décadas, percebemos que os constantes processos de transformação digital vêm revolucionando as nossas vidas em vários níveis diferentes, sobretudo no que diz respeito às nossas formas de comunicação.
Seguindo essa onda crescente, podemos notar que uma parte significativa das informações e dos processos formais ocorrem hoje também em âmbito digital.
Se antes vivíamos à mercê de um monte de papéis, nos dias de hoje a coisa mudou de figura – já é plenamente possível garantir a legitimidade de dados sobre pessoas físicas e jurídicas através de certificados e assinaturas digitais disponibilizados por modernos sistemas eletrônicos.
A fim de salvaguardar a segurança das mais diversas transações de cunho trabalhista, fiscal, contábil e jurídico ocorridas em espaço virtual, foi criada a Infraestrutura de Chaves Públicas Brasileira, também conhecida como ICP-Brasil.
Ao longo deste artigo, vamos destrinchar o assunto e esclarecer tudo o que você precisa saber a respeito desse importante órgão público. Vamos lá?
O que é ICP-Brasil?
A ICP-Brasil (Infraestrutura de Chaves Públicas Brasileiras) é um serviço disponibilizado gratuitamente pelo ITI e criado em 2001 por meio da Medida Provisória 2.200-2 para viabilizar a emissão de certificados digitais.
Oficializado pelo Decreto 3.996 de 2001, pela Lei 11.419 de 2006 e composto por uma grande variedade de órgãos e recursos, a ICP-Brasil é um sistema nacional brasileiro de certificação digital, ou seja, é o órgão público brasileiro responsável pela gestão de infraestrutura de chaves públicas.
Assim, ele tem como principal finalidade possibilitar a validação de documentos e contratos digitais, garantindo ao usuário que estes ofereçam a mesma excelência e confiabilidade que observamos em documentos físicos.
Esse processo ocorre através da prática sistemática de certos procedimentos específicos e também de um conjunto especial de tecnologias aplicadas.
Como funciona a ICP-Brasil?
Agora vejamos a ICP-Brasil é realmente operado.
Hierarquia da ICP-Brasil
Hierarquicamente falando, a Infraestrutura de Chaves Públicas Brasileiras é composta pelos seguintes níveis:
- Comitê Gestor (CG);
- Autoridade Certificadora Raiz (AC-Raiz);
- Autoridades Certificadoras de 1º e 2º nível (ACs);
- Autoridades de Registros (ARs);
- Usuário final.
A seguir, vamos falar de forma mais detalhada sobre cada um deles.
Autoridade Certificadora Raiz
Diretamente vinculado à Casa Civil da Presidência da República, está o Instituto Nacional de Tecnologia da Informação (ITI).
Na qualidade de autoridade máxima da ICP-Brasil, o ITI não apenas cumpre o papel de Autoridade Certificadora Raiz (ou AC-Raiz), como também é o responsável por realizar o credenciamento e descredenciamento dos demais participantes da cadeia, além da supervisão e auditoria de seus processos.
Quando as Políticas de Certificados são aprovadas pelo Comitê Gestor da ICP-Brasil, cabe à Autoridade Certificadora Raiz a execução dessas normas técnicas e operacionais.
Autoridades Certificadoras (AC)
As Autoridades Certificadoras são entidades, tanto públicas quanto privadas, com a responsabilidade direta de emitir, distribuir, renovar e revogar certificados.
Além desse trabalho de gerenciamento, a elas cabe também a execução da chamada criptografia assimétrica – quando um certificado é gerado, o solicitante recebe dois códigos: o certificado público, que deve ser compartilhado, e o certificado privado, que precisa ser mantido em segurança.
A criptografia assimétrica nada mais é do que o método que confere se um código corresponde ao outro, garantindo a segurança e a confiabilidade necessárias ao processo de certificação digital.
Autoridade de Registro (AR)
Diretamente ligada às Autoridades Certificadoras, a Autoridade de Registro é aquela instância que tem como principal função a criação e a condução da interface de integração entre os usuários, as ACs e a Autoridade Certificadora do Tempo (uma AC especialmente responsável pelo aspecto temporal e pela validação legal do procedimento).
O que exatamente é um certificado digital?
Por definição, um certificado digital nada mais é do que o documento virtual de identidade de uma pessoa física ou jurídica, que possibilita que transações sejam validadas através da assinatura digital, e associando um par de chaves criptográficas a uma determinada entidade, pessoa, processo ou servidor.
Como dito anteriormente, o certificado digital é criado e assinado por uma entidade governamental chamada Autoridade Certificadora, mediante um efetivo processo de verificação dos dados pessoais do solicitante.
O fato é que a certificação digital é uma ferramenta não apenas valiosíssima, como indispensável, para a garantia de um nível satisfatório de segurança no trânsito de informações pela Internet.
O processo de certificação digital permite que, por meio de recursos criptográficos, mensagens e conteúdos importantes possam ser codificados de maneira a tornarem-se incompreensíveis, a não ser que a pessoa em posse dos mesmos possua a chave correta para transformá-lo, novamente, em um texto legível.
Esses procedimentos de segurança digital evitam a interferência de hackers nas comunicações realizadas virtualmente, de forma que dados importantes e de caráter confidencial só possam ser lidos por pessoas autorizadas.
Outra vantagem da certificação digital faz com que as origens de mensagens e documentos tornem-se fáceis de identificar, uma vez que permite que a identidade do emissor sempre se faça acessível.
Além disso, certificados digitais também podem ser utilizados no lugar de nome de usuário e senha, o que pode ser bem útil por evitar problemas e contratempos gerados por falta de cuidado com uso e armazenamento de senhas por parte de usuários mais incautos.
Por fim, é também graças à certificação digital que documentos assinados digitalmente passam a ter total validade jurídica, contando tanto quanto se tivessem sido assinados no papel.
Diferentes tipos de certificado digital
Agora passamos para os certificados digitais que existem.
Certificado tipo A: Assinatura Digital
Assinatura digital é o certificado que, por definição, atesta a autoria e a autenticidade de um documento virtual, conferindo integridade, confiabilidade e segurança ao mesmo.
Muito usado em assinaturas de documentos, esse tipo de certificado é especialmente indicado para profissionais autônomos, bem como para empresas e órgãos públicos em que há uma grande circulação de arquivos, e a demanda por soluções mais ágeis e otimizadas se faz flagrante.
Dentro desse contexto, existem três variações diferentes sob as quais podemos classificar as assinaturas eletrônicas:
- A1: com validade máxima de um ano, esses certificados são gerados por um software e fica armazenados no computador;
- A3: com validade máxima de três anos, o armazenamento dessas assinaturas se dá em um hardware criptográfico, como um token, por exemplo;
- A4: utilizando um módulo de segurança especial que pede um documento de identificação adicional, esse é o mais seguro dentre os tipos de assinatura digital existentes.
Vale lembrar que, apesar da constante confusão gerada pela semelhança entre os nomes, assinatura digital e assinatura digitalizada não são a mesma coisa.
Há, entre ambas, uma sutil, porém importante, diferença: enquanto a assinatura digitalizada não passa de uma assinatura manuscrita passada para o ambiente virtual, uma assinatura digital é realizada diretamente em âmbito eletrônico.
A primeira, por poder ser facilmente copiada ou alterada, não pode garantir total integridade alguma ao um documento virtual. Já a segunda, por contar com certificados ICP Brasil em sua emissão, possuem a mesma validade jurídica que documentos manuscritos.
Certificado tipo T: Tempo (Time stamping)
Um certificado de tempo, como o nome já sugere, serve basicamente para atestar o dia e o horário em que ocorreu a assinatura de um documento eletrônico.
Certificado tipo S: Sigilo ou Confidencialidade
Esse é o tipo de certificado que garante que o conteúdo de um determinado documento seja mantido em total sigilo e absoluta segurança, utilizando-se de tecnologia de criptografia de dados e tornando as informações inacessíveis a hackers e pessoal não autorizado.
⚠️ Confira também estes artigos relacionados 👇
➡️ Saiba como fazer uma assinatura com certificado digital
➡️ Entenda para que serve um verificador de assinatura digital
➡️ O que é contrato digital e como adotar um para a sua empresa
Quais são os níveis de segurança da ICP-Brasil?
Os níveis da ICP-Brasil são projetados para assegurar a validade jurídica dos documentos, prevenir fraudes e proteger informações. Vamos explorar cada um desses níveis detalhadamente.
Segurança tipo A, S ou T 1
O nível básico de segurança oferecido pela ICP-Brasil é o tipo 1. Este nível, embora apresente um alto padrão de segurança, é considerado o mais acessível entre os disponíveis. A principal característica que define este nível é o método de geração das chaves, realizado através de um software instalado no computador do usuário.
Este software é protegido por um sistema de autenticação de usuário e senha. Devido à sua natureza mais acessível e ao risco potencialmente maior de segurança, os certificados do tipo 1 têm uma validade mais curta.
Segurança tipo A, S ou T 3
Avançando para um nível intermediário de segurança, encontramos os certificados tipo 3. A distinção principal deste nível em relação ao anterior é o método de armazenamento das chaves criptográficas.
No tipo 3, as chaves são geradas e armazenadas em um hardware criptográfico dedicado. Este hardware é projetado especificamente para essa função, o que restringe o acesso às chaves a apenas pessoas autorizadas.
Esta camada adicional de segurança torna o tipo 3 mais seguro em comparação com o tipo 1, sendo uma escolha adequada para organizações e indivíduos que necessitam de um equilíbrio entre acessibilidade e segurança reforçada.
Segurança tipo A, S ou T 4
No topo da hierarquia de segurança está o tipo 4, o nível mais seguro oferecido pela ICP-Brasil. Os certificados desse tipo utilizam um Módulo de Segurança Criptográfico (HSM) para a geração e armazenamento de chaves privadas.
O HSM é conhecido por sua robustez e segurança, sendo frequentemente comparado a um cofre digital. Este dispositivo é praticamente inviolável e é projetado para apagar todas as informações no caso de tentativas de invasão. A chave privada do tipo 4 só pode ser copiada para outro HSM, garantindo a máxima proteção e confiabilidade.
Este nível é ideal para situações que exigem a mais alta segurança, como transações financeiras críticas e proteção de dados sensíveis.
Cada nível de segurança dos certificados da ICP-Brasil atende a diferentes necessidades e contextos, proporcionando flexibilidade e segurança para os usuários no ambiente digital brasileiro.
Como obter seu certificado digital pela ICP-Brasil
A obtenção de um certificado digital consiste em um processo composto por quatro etapas, que você poderá conferir a seguir:
1 – O primeiro passo a ser dado para obter o seu certificado digital é escolher, de acordo com a sua necessidade, uma das Autoridades Certificadoras (ACs) da ICP-Brasil dentre as enumeradas neste link.
2 – Uma vez escolhida a AC, você deve ir até o site da mesma e fazer a solicitação da emissão do seu certificado digital, sendo você uma pessoa física ou uma pessoa jurídica. Durante esta etapa, todas as informações pertinentes ao processo lhe deverão ser informadas pela própria Autoridade Certificadora.
3 – Após o contato com a Autoridade Certificadora, é chegado o momento de agendar uma data e um horário para comparecer à Autoridade de Registro – AR, munido de seus documentos obrigatórios. Nesta etapa, você deverá validar os dados preenchidos na solicitação, fazendo o cadastro por biometria, além da coleta da sua foto de rosto e das suas impressões digitais.
4 – Tendo sido devidamente conferidos todos os documentos e a identidade do solicitante, o seu certificado já estará pronto, devidamente validado e com a mesma autenticidade de um arquivo físico.
Cabe lembrar que todo e qualquer certificado digital possui prazo de validade – é preciso estar atento e renová-lo periodicamente, atualizando a chave privada para novas versões. Qualquer mudança nos dados do usuário também pede que o documento seja renovado.
Agora que você entende melhor o que é a ICP-Brasil, sua importância e seu funcionamento, que tal conhecer a ferramenta de assinatura digital da ZapSign para facilitar os seus processos? Basta clicar aqui para conhecê-la!
