Autoridade certificadora: o que é e como escolher?
Se você já leu sobre os benefícios de um certificado digital e precisa adquirir um para exercer seu trabalho, o primeiro passo para isso é entender o que exatamente é uma autoridade certificadora e como escolher a mais adequada para atender as suas necessidades.
Essa é uma decisão importante e não pode ser negligenciada por profissionais que usam certificados digitais, pois a autoridade certificadora precisa oferecer o suporte necessário quando o usuário se deparar com eventuais problemas e dúvidas em relação ao uso do certificado.
Neste artigo, explicaremos o que é essa autoridade e qual é o papel dela, diferenciaremos suas funções das outras autoridades e ainda traremos um passo a passo para escolher a melhor para você. Boa leitura!
O que é uma autoridade certificadora?
Uma autoridade certificadora (AC) é uma organização responsável pela emissão, renovação, revogação e administração dos certificados digitais por ela emitidos, e sua natureza pode ser tanto pública como privada.
Essa entidade cria e assina digitalmente o certificado do usuário, declarando a identidade do titular. Outra funcionalidade essencial é a responsabilidade de averiguar se o dono do certificado detém a chave privada que corresponde à chave pública do certificado emitido.
A AC também deve emitir uma Lista de Certificados Revogados (LCR) e manter registros de suas operações observando as práticas previstas na Declaração de Práticas de Certificação (DPC).
As autoridades certificadoras podem ser divididas em dois níveis: o primeiro e o segundo. As de primeiro nível são aquelas que podem emitir certificados para outras ACs, que são consideradas de segundo nível ou ACs Finais. Estas últimas são responsáveis pela emissão de certificados digitais para pessoas físicas, jurídicas e até equipamentos.
Qual é a diferença dos demais tipos de autoridade?
Existe uma cadeia complexa com diferentes órgãos com seus respectivos papéis na emissão de um certificado digital, tudo para garantir que essa ferramenta seja segura e confiável.
Essas demais instituições têm nome similar à autoridade certificadora, mas é importante saber as diferenças entre elas para que você conheça como funciona toda a cadeia de emissão do certificado digital e não confunda suas atuações. Conheça as entidades a seguir:
Autoridade Certificadora Raiz
A Autoridade Certificadora Raiz (AC-Raiz) é o Instituto Nacional de Tecnologia da Informação (ITI) — autoridade máxima do tema no país. O ITI é uma autarquia federal vinculada à Casa Civil da Presidência da República e publica as normas sobre o certificado digital que devem ser seguidas pelas demais entidades.
Ele faz parte da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) e consiste na entidade inicial da rede de certificação. É de sua competência a emissão, expedição, distribuição, revogação e gerenciamento dos certificados de ACs de níveis inferiores ao seu, que são conhecidas como ACs Intermediárias de Primeiro Nível.
A entidade também cumpre as políticas de certificados, regulamentos e normas emitidas pelo comitê gestor da ICP-Brasil. A AC-Raiz também emite a lista de certificados revogados, fiscaliza e audita as ACs, autoridades de registro e outras prestadoras de serviços habilitadas pela ICP-Brasil.
Dessa forma, ela verifica se as ACs estão atuando conforme estabelecido nas normas de segurança e criptografia da ICP-Brasil, revogando os certificados se necessário.
Como se trata de um órgão excepcionalmente importante, as chaves privadas das autoridades são guardadas em ambientes de altíssima segurança, conhecidas como salas-cofre. As chaves não têm nenhum contato com ambiente externo, e há rígidos procedimentos de segurança para acessar o ambiente.
Autoridade de Registro
Para emitir um certificado digital, a AC deve verificar os documentos físicos de quem está adquirindo o certificado. Mas essa atividade é transferida para as Autoridades de Registro (AR), que estão espalhadas por todo o Brasil. As ARs funcionam como uma intermediária, que faz a comunicação entre o usuário e a AC.
As Autoridades de Registro são vinculadas a uma AC e têm como finalidade receber, validar e encaminhar a solicitação de emissão ou revogação de certificados digitais à AC.
Também é de sua responsabilidade a manutenção do registro de suas operações. É possível que o estabelecimento da AR esteja localizado dentro de uma AC, em outra localidade distinta ou ainda ser uma organização de registro remoto (a distância).
A AR exige a presença do titular do certificado digital para realizar a validação presencial e assinatura do termo de titularidade. Nesse documento, o titular se compromete a zelar pela segurança do certificado.
Nesse momento, é realizada a confirmação da identidade da pessoa que solicitou o certificado digital, seja ela física ou jurídica. A presença dela garante que a assinatura digital seja dotada de autenticidade, que é uma das qualidades fundamentais do certificado digital — as demais são: integridade, confiabilidade e não repúdio.
Autoridade Certificadora do Tempo
Existe outro tipo de entidade chamada de Autoridade Certificadora do Tempo (ACT). Sua responsabilidade é de fornecer o Carimbo de Tempo, que é um selo que confirma a data e hora exata que um documento recebeu a assinatura digital.
A validade jurídica do selo é dificilmente contestada, pois confirma que as informações do documento não sofreram adulterações no período entre a assinatura e a consulta ao arquivo.
Dessa forma, a ACT não atesta apenas a qualidade temporal da transação mas também a integridade do seu conteúdo. Ressalta-se que o carimbo somente pode ser emitido por uma ACT devidamente credenciada pelo ITI.
Como escolher uma autoridade certificadora?
A lei não proíbe que entidades não vinculadas à ICP-Brasil emitam seus próprios certificados e criem suas diretrizes de segurança. Por exemplo, é possível criar certificados destinados à validação de documentos dentro de uma empresa ou de um órgão público.
Porém, para que um certificado digital seja seguro para atividades de forma ampla (sem ser no âmbito interno de uma empresa), ele deve ser devidamente emitido por uma AC confiável, que é aquela autorizada e normatizada pelo ITI.
Um profissional contábil que utiliza certificados constantemente na sua rotina de trabalho, como acesso ao eSocial, ReceitaNet, Siscomex e SPED, e ainda repassa informações aos órgãos públicos precisará ser ainda mais exigente na sua decisão.
A escolha ideal para esses profissionais é selecionar a AC que forneça suporte completo, como instalação, instruções de uso, fácil renovação, revogação, tenha um ambiente para que teste o certificado e ainda esteja presente nas principais redes sociais para possibilitar um rápido atendimento.
Um exemplo de entidade dotada de todas as qualidades mencionadas é a Valid Certificadora. A empresa oferece certificados para profissionais de vários ramos (como o jurídico, da saúde, de contabilidade e de transporte) e ainda fornece e-CPF, e-CNPJ, NF-e, e-Diploma, entre outras diversas tecnologias inovadoras e vantajosas.
Saber escolher a autoridade certificadora mais adequada para satisfazer as suas necessidades é muito importante para os profissionais que a utilizam várias vezes na sua jornada de trabalho, pois a qualidade do suporte fará toda a diferença em momentos de necessidade.
Gostou de entender mais sobre o que é uma autoridade certificadora? Então, não deixe de assinar a nossa newsletter para receber novos conteúdos como este diretamente em seu e-mail!