Carimbo de tempo: confiança e validade ao Certificado Digital!

Carimbo de tempo: confiança e validade ao certificado digital!

O mundo foi digitalizado, e atividades que até pouco tempo eram totalmente analógicas hoje dependem de recursos tecnológicos que as tornam mais simples e acessíveis. Esse é o caso das lojas virtuais, dos documentos e das certificações, por exemplo.

No entanto, uma grande mudança como essa nunca vem desacompanhada. Com o surgimento das certificações digitais, também apareceu a necessidade de validar as informações que são transmitidas de forma eletrônica — uma função do carimbo de tempo (ou timestamp, em inglês).

Neste post, você vai entender como o carimbo de tempo funciona e por que ele é tão importante na validação de certificações digitais. Você também vai aprender a garantir a segurança das informações da sua empresa, trabalhar em conformidade com a lei e conferir mais credibilidade aos seus documentos — tudo isso para gerar ainda mais valor para o seu negócio.

Preparado para aprender sobre o assunto? Então, continue com a leitura.

O que é e para que serve o carimbo de tempo?

O carimbo de tempo serve para comprovar que um evento eletrônico — uma certificação digital, por exemplo — aconteceu em um determinado momento. Ele pode ser usado para registrar qualquer assinatura digital, transação ou evento realizado no meio eletrônico em que a tempestividade seja fundamental para o negócio.

Alguns exemplos de uso comuns são:

  • acordos;
  • apólices de seguro;
  • assinatura digital de contratos;
  • cobranças;
  • procurações.

O carimbo de tempo também pode ser usado em notificações eletrônicas que exijam uma resposta formal ou comprovação de entrega.

Embora os carimbos do tempo não sejam obrigatórios segundo a legislação brasileira vigente, eles são altamente recomendados para conferir maior confiabilidade aos documentos.

Além disso, ao receber o carimbo de tempo, o documento eletrônico fica protegido contra alterações, garantindo que as informações presentes nele são o conteúdo final daquele dia e horário. Ou seja, é como se o carimbo de tempo “congelasse” esse conteúdo, comprovando que os dados contidos nele são verdadeiros.

Tecnicamente falando, um carimbo de tempo nada mais é do que uma sequência de caracteres. São justamente esses caracteres que indicam a data e o horário exatos em que um determinado evento aconteceu. Em termos de validade, isso só é possível graças à presença das Autoridades Certificadoras do Tempo (ACTs).

As ACTs são as entidades brasileiras responsáveis pela emissão de carimbos de tempo. Elas seguem normas e padrões determinados pelo Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira (CGICP-Brasil), e a precisão das informações é realmente impressionante. O horário registrado pelos carimbos de tempo é sincronizado aos relógios dos Servidores de Carimbo do tempo (SCTs). Estes, por sua vez, são auditados e sincronizados por Sistemas de Auditoria e Sincronismo (SAS).

Todas esses órgãos e siglas podem dar a impressão de que o processo é complicado demais. Porém, o fato de contar com diferentes entidades normativas no processo garante a confiabilidade máxima das informações. Já o uso de um carimbo de tempo em si é razoavelmente simples, conforme explicaremos ao longo deste artigo.

Há algum tipo de risco relacionado ao uso do timestamp?

Em geral, os perigos relacionados ao uso dos carimbos de tempo são muito pequenos quando comparados aos benefícios. Costumam estar associados a invasões por crackers (usuários mal intencionados) ou ao uso de carimbos de tempo ruins.

De todo modo, é bom ficar atento a alguns riscos em potencial, como:

  • o uso do carimbo de tempo pode gerar provas ou evidências que permitam rastrear as atividades de alguém que usa o computador, por exemplo;
  • se um invasor decidir manipular o relógio do computador por algum motivo, ele pode facilmente comprometer as atividades dos softwares baseados em carimbo de tempo. Isso invalidaria o processo global de assinatura;
  • um carimbo de tempo inseguro pode expor as organizações e as empresas a problemas ou desafios relacionados às leis. Apesar disso, no Brasil isso é pouco comum, já que o uso dotimestamp é facultativo;
  • mesmo depois de chaves de assinatura privadas e os certificados foram revogados, os usuários ainda podem ter acesso a eles. Sem um carimbo de tempo seguro, as organizações não são capazes de provar se as assinaturas foram criadas antes ou depois do momento em que um certificado foi revogado.

Portanto, por menores que sejam os riscos, a melhor forma de se proteger contra eles é utilizando um carimbo de tempo seguro e confiável. Isso pode ser feito contratando plataformas de assinatura digital renomadas, que atuem em sincronia e em conformidade com as entidades que regulamentam a prática.

Quais são os principais benefícios do carimbo do tempo?

Temporalidade

É o estado de algo que é provisório. Nesse caso, a temporalidade tem a ver com o período de tempo e com o gerenciamento de documentos eletrônicos, já que o timestamp determina o ciclo de vida do documento.

Tempestividade

A palavra “tempestividade” é bastante usada no meio jurídico, servindo como um sinônimo para dizer que algo está “dentro do prazo”. Aplicada no meio digital, a tempestividade registra o momento exato do ato praticado, comprovando que uma determinada ação ocorreu dentro de um dia e horário específico.

Segurança

Com um carimbo de tempo, o documento se torna uma fonte confiável de informação sobre a data e a hora. Isso porque todo carimbo deve ser homologado pelo Observatório Nacional (ON), fornecendo a hora legal e oficial do Brasil.

Eficácia probatória

O carimbo de tempo produz uma uma evidência técnica e legal, podendo ser usado como prova para qualquer perícia ou auditoria que venha a ser necessária no futuro.

Redução de custos

Uma vez que você usa o carimbo de tempo, todas as suas assinaturas podem ser feitas digitalmente, já que serão tão ou mais seguras e confiáveis do que as cópias em papel. Isso reduz os gastos com papel e com o armazenamento de documentos.

Diversas empresas ainda possuem salas ou armários só para guardar papéis, e a tendência é que isso diminua cada vez mais. Além disso, documentos digitais são muito mais fáceis e rápidos de encontrar, economizando tempo e agilizando processos.

Confiabilidade

No mundo analógico, todos os documentos importantes são assinados com data — é assim com todos os tipos de contratos, por exemplo. Então por que seria diferente no meio digital?

No computador é extremamente fácil adulterar uma data por meio de softwares de edição de imagem. Por causa disso, um documento sem carimbo de tempo pode perder sua validade facilmente. Vamos trazer um exemplo para entender por que o timestamp dá mais confiabilidade a uma assinatura digital.

Digamos que João Pedro de Souza assinou digitalmente um contrato eletrônico no dia 01/01/2016, às 15h. Em seguida, o próprio João Pedro ou alguém de sua equipe gerou um carimbo de tempo. Esse carimbo associou uma série de dados em conjunto:

  • primeiramente, o contrato eletrônico;
  • em segundo lugar, o certificado digital de João Pedro de Souza;
  • e, finalmente, a data e hora legal brasileira — neste caso, digamos, 01/01/2016 às 15h00min47seg.

O objetivo do uso do carimbo de tempo é garantir e dar a confiabilidade temporal a qualquer evento que ocorra no mundo digital. A data e a hora pode ser facilmente adulterada ou gerada com alguma inconsistência, uma vez que ela é normalmente extraída de um computador.

O carimbo de tempo utiliza a data e a hora legal brasileira, garantindo confiabilidade temporal ao documento e eliminando qualquer possibilidade de inconsistência ou adulteração de dados. Nesse exemplo, não temos dúvidas sobre quem assinou o contrato nem sobre o momento exato em que isso foi feito. No caso, o documento foi assinado digitalmente por João Pedro de Souza, às 15h00min47seg do dia 01/01/2016.

O que fazer para ter um carimbo do tempo?

O processo de aplicação dos carimbos em certificações ou assinaturas digitais é feito por meio das ACTs. Na prática, o documento é produzido e tem seu conteúdo criptografado. Na sequência, esse mesmo documento recebe os atributos relacionados à data:

  • ano;
  • mês;
  • dia;
  • hora;
  • minuto;
  • e segundo.

Assim, a assinatura com certificado digital é atestada, servindo para comprovar sua autenticidade. Além da questão temporal da transação, a ACT garante também a autenticidade do conteúdo.

Porém, existem plataformas e empresas que atuam como certificadoras digitais em conjunto com as ACTs, auxiliando e facilitando o processo. Dessa forma, podemos dividir a certificação com carimbo de tempo em 4 etapas sequenciais:

  • o cliente acessa o portal ou software de certificação digital e assina digitalmente o documento eletrônico desejado;
  • depois de fazer a assinatura digital, o programa solicita um carimbo de tempo diretamente à ACT vinculada;
  • a ACT emite um carimbo de tempo contendo a hora legal do Brasil daquele momento, garantindo a confirmação do dia a horário;
  • o programa ou a plataforma de certificação digital recebe o carimbo de tempo e o aplica na assinatura digital que acabou de ser feita.

Quais instituições estão autorizadas a emitir carimbos do tempo?

As únicas instituições autorizadas a emitir carimbos de tempo são as ACTs. Essas entidades têm como obrigação legal disseminar a Hora Legal Brasileira (HLB). Além disso, para estar apta a utilizar a HLB em seus carimbos de tempo, a ACT deve ser homologada pelo ON, que é justamente o órgão responsável por controlar o horário oficial do nosso país.

O que as empresas de assinatura ou certificação digital fazem é integrar a assinatura eletrônica com o carimbo de tempo de forma automatizada, para que você não precise se preocupar ou ter trabalho extra por conta disso. Desse modo, fica mais fácil e rápido atribuir o timestamp para qualquer documento.

Que outras instituições estão envolvidas no processo detimestamp?

Observatório Nacional (ON/MCTI)

Há mais de 150 anos, é o órgão responsável por manter a Hora Legal Brasileira (HLB). A HLB atualmente é disponibilizada pela internet, possibilitando que instituições tenham acesso à sincronização aos seus relógios atômicos. Para isso, o Observatório Nacional utiliza a mais alta precisão técnica. O ON foi criado por D. Pedro I em 1827.

Segundo o artigo 6º do decreto nº 4.264, de 10 de junho de 2002:

É da competência do Observatório Nacional, unidade de pesquisa do Ministério da Ciência e Tecnologia, gerar a Hora Legal do Brasil, bem como disseminá-la pelos meios de comunicação, observado o disposto na legislação vigente e nos tratados, acordos e atos internacionais de que o Brasil seja parte.

Rede de Carimbo de Tempo Certificada da Hora Legal Brasileira (ReTemp/HLB)

É atualmente a única solução existente no Brasil que garante:

  • a realização de uma transação financeira em meio eletrônico;
  • a inviolabilidade do registro cronológico da emissão de um documento.

Qualquer assinatura ou documento digital que tenha um carimbo de tempo só é válido se a data e o horário forem referenciados a Sistema de Autenticação e Sincronismo (SAS).

Não só isso: o SAS deve produzir um certificado que confirme a rastreabilidade à Hora Legal Brasileira, possibilitando que o documento seja auditado e consultado a qualquer momento pelas partes interessadas.

Quais são os critérios de aceitação de um timestamp pelo ICP-Brasil?

Enquanto uma ACT é responsável por emitir carimbos de tempo, a AC-Raiz da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) é a responsável pela regulamentação e credenciamento das ACTs que desejam integrar a estrutura.

Esse controle é baseado em uma série de critérios estabelecidos nos documentos que regulamentam o assunto. Depois de credenciadas, as ACTs os certificados digitais para seus equipamentos junto às Autoridades Certificadoras da ICP-Brasil.

Os principais critérios atuais de aceitação de um timestamp pelo ICP-Brasil são:

  • as entidades credenciadas (ACTs e PSSs) devem obedecer à Política de Segurança da ICP-Brasil. Todas as ACTs devem ser auditadas antes do seu credenciamento. Além disso, essa audição se repete anualmente para verificar se os requisitos de segurança e procedimentos operacionais estabelecidos pela ICP-Brasil estão sendo cumpridos;
  • as entidades credenciadas devem permitir que a AC-Raiz da ICP-Brasil fiscalize suas operações a qualquer momento;
  • os equipamentos das entidades credenciadas que compõem a Rede de Carimbo do tempo da ICP-Brasil devem estar sincronizados à UTC (do inglês Universal Time Coordinated ou Tempo Universal Coordenado, em português). Somente assim receberão os seus respectivos alvarás;
  • a ACT deve ser responsabilizar pela implementação, suporte e segurança dos servidores utilizados no processo e pelo fornecimento e atualização dos aplicativos que forem necessários para o carimbo de tempo;
  • o formato das solicitações e respostas dos carimbos de tempo, assim como os protocolos que são usados para o seu transporte, devem atender ao disposto na RFC 3.161;
  • os procedimentos para solicitação e recebimento dos carimbos de tempo devem estar relatados nas Declarações de Práticas de Carimbo do Tempo de cada entidade ACT;
  • devem ser verificadas a identidade da ACT e do respectivo SCT, o respeito à política de emissão do carimbo e a a validade dos certificados digitais;
  • cada ACT deve publicar no seu próprio website as Políticas de Carimbo do Tempo (PCT), além dos procedimentos para verificação de timstamp que constam nas Declarações de Práticas de Carimbo do Tempo;
  • só são aceitos na ICP-Brasil carimbos do tempo que tiverem sido emitidos por SCT, contando com alvarás de sincronismo fornecidos por Sistemas de Auditoria e Sincronismo.

Assim como as ACTs documentam suas atividades na Declaração de Práticas de Certificação (DPC), as ACTs também têm suas atividades documentadas. O documento usado para esse fim é chamado de Declaração de Práticas de Carimbo do Tempo (DPCT).

O DPCT está baseado nas normas as RFC 3.628 e 3.161, da ICP-Brasil, no IETF e no documento TS 101.861 do ETSI. A estrutura da DPCT toma como base o DOC-ICP-12, material do Comitê Gestor da ICP-Brasil. Além disso, as ACTs seguem um processo rigoroso processo de credenciamento, passando auditorias operacionais e até mesmo pré-operacionais.

Mais informações e critérios de aceitação de timestamp pela ICP-Brasil podem ser conferidos nos documentos oficiais:

  • Doc-ICP-11;
  • Doc-ICP-12;
  • Doc-ICP-13;
  • e Doc-ICP-14.

Afinal, vale a pena contratar um carimbo do tempo para minha empresa?

Se a sua empresa deseja ter mais agilidade ao lidar com documentos, definitivamente um carimbo de tempo pode ser útil. Afinal, com ele, um documento digital tem o mesmo valor que um analógico. Assim, você poupa tempo e papel, já que não precisa lidar com impressoras ou aparelhos escâner. Também economiza em tinta para impressoras e até na própria manutenção, já que qualquer aparelho sofre desgaste e precisa de reparos de vez em quando.

Além disso, o metro quadrado nas grandes cidades está cada vez mais caro, seja para aluguel ou para compra. Com isso, armazenar documentos em papel faz com que sua empresa desperdice um recurso extremamente importante: o espaço. Pode até parecer que isso não faz diferença nesse momento, mas imagine daqui a 2, 5 ou até 10 anos. Quanto antes você migrar da documentação em papel para as assinaturas digitais, antes poderá organizar esse processo.

Outro ponto a considerar é que, para alguns casos específicos, o momento de uma assinatura digital é fundamental. É o caso de:

  • negociações de ações;
  • emissão de bilhetes de loteria
  • alvarás de soltura;
  • além dos mais diversos tipos de processos judiciais.

Glossário do universo do carimbo de tempo

Autoridade de Carimbo de Tempo (ACT)

Entidade que emite e responde pelo fornecimento do carimbos de tempo. Além disso, também tem é responsável pela operação de pelo menos uma SCT — podendo ser conectadas à Autoridade Certificadora Raiz da ICP-Brasil ou à ReTemp/HLB —, que gera carimbos e assina em nome da ACT.

Autoridade Certificadora (AC)

Instituição que emite, revoga ou renova certificados digitais de outras ACs ou de titulares finais. Na estrutura de carimbo de tempo da ICP-Brasil, a AC emite os certificados digitais que são usados nos usados nos Servidores de Carimbo do Tempo (SCT) e nas EAT. Além disso, emite os demais certificados que são usados nos processos relacionados ao timestamp.

Autoridade Certificadora Raiz da ICP-Brasil

É a entidade que audita, credencia e fiscaliza as demais entidades da ICP-Brasil. Ela assina seu próprio certificado, assim como os certificados das ACs que estiverem imediatamente abaixo dela.

Calibração temporal do Relógio

Nada mais é do que um processo de sincronia entre 2 relógios diferentes. Por meio da calibração, os 2 relógios passam a indicar o mesmo horário em horas, minutos e segundos.

Disseminação

É o processo que permite que um grande número usuários possa rastrear uma informação, como a Hora Legal Brasileira. Isso é feito por meio de uma cadeia metrológica, como o Comitê Brasileiro de Metrologia.

Fonte Confiável de Tempo (FCT)

É o nome dado ao Relógio Atômico que está localizado no Observatório Nacional (ON) e também no ITI.

Observatório Nacional (ON)

É um órgão vinculado ao Ministério da Ciência e Tecnologia e que também faz parte do Sistema Nacional de Metrologia (Sinmetro). O Observatório Nacional é responsável pela geração, conservação e disseminação da Hora Legal Brasileira, além de manter e operar o Relógio Atômico, a partir do qual a HLB é determinada.

Tempo Universal Coordenado (UTC)

É a escala de tempo que foi adotada como padrão de Tempo Oficial Internacional. Atualmente a UTC é utilizada pelo sistema de Metrologia Internacional, pela Convenção do Metro, além de ser disseminada pela Autoridade Internacional do Tempo (AIT). Também é utilizada para determinar diferentes fusos horários ao redor do mundo.

Servidor de Carimbo de Tempo (SCT)

É um aparelho único, como um computador, formado por hardware e software. Esse dispositivo é responsável por gerar os carimbos do tempo, sempre sob o gerenciamento da ACT. O SCT deve possuir um HSM que possua um relógio, já que a partir dele serão emitidos os carimbos do tempo. É também no HSM que são realizadas as funções criptográficas de geração de assinaturas digitais e chaves.

Usuários

São as empresas privadas ou públicas que contratam os serviços de uma ACT.

Conclusão

Esperamos que este post tenha sido útil para esclarecer suas principais dúvidas sobre carimbo de tempo. Desde o seu funcionamento até os benefícios que ele proporciona para os usuários. Sem dúvida nenhuma, otimestamp traz muitas vantagens para diversas empresas e instituições em termos de segurança e confiabilidade, e seu uso só tende a aumentar cada vez mais com o passar dos anos.

E você, pretende adotar o carimbo de tempo no seu dia a dia de trabalho? Deixe seu comentário abaixo, vamos adorar saber qual é a sua opinião!