Tipos de certificados digitais ICP Brasil: Guia completo
Intrusões não autorizadas, violações de conformidade e ataques cibernéticos são ações cada vez mais comuns nas redes corporativas e nos demais canais utilizados para facilitar a comunicação e a troca de mensagens entre cidadãos, empresas e governos.
Portanto, o uso de ferramentas de validação de dados passou a ser a alavanca para assegurar a autenticidade dos fatos. Informações sigilosas, transações bancárias, entrega de obrigações acessórias e demais dados trafegados na internet passaram a contar com inúmeras tecnologias, como é o caso dos certificados digitais e as chaves criptográficas.
A certificação digital funciona basicamente como uma “carteira de identidade eletrônica”, com validade jurídica e que garante a proteção e a identificação das partes envolvidas. A tecnologia foi desenvolvida para facilitar a vida de todos os usuários, evitando que se perca tempo com fatos presenciais e que possam ser resolvidos de forma on-line, de maneira rápida e segura.
Com a identificação e assinatura digital, tanto pessoas físicas quanto jurídicas podem realizar, de qualquer lugar do mundo e a qualquer hora, transações eletrônicas e outros tipos de serviços via internet com mais segurança e agilidade.
Mas quem é que confere a autenticidade, a integridade e a validade jurídica aos documentos eletrônicos? Vejamos a relação da chamada Infraestrutura de Chaves Públicas Brasileira (ICP Brasil) e os certificados Digitais. Acompanhe:
O que é uma Infraestrutura de Chaves Públicas Brasileira
Criada em 2001 por meio da medida provisória nº 2.200-2, a Infraestrutura de Chaves Públicas Brasileira (ICP Brasil) é um conjunto de tecnologias (técnicas, práticas e procedimentos) que garante às transações e aos documentos eletrônicos a segurança por meio do uso de um par de chaves. Uma delas é pública (de conhecimento geral), e a outra, privada (de conhecimento somente do proprietário), cujos dados estão consolidados em um “certificado digital”.
A tramitação de documento eletrônico oficial somente acontecerá quando devidamente certificado por entidade integrante da infraestrutura governamental e classificado quanto ao nível de segurança.
Vale destacar que a certificação digital não exclui nem se torna superior aos documentos tradicionais. Ou seja, o sistema de certificação eletrônica não introduz novos conceitos às transações eletrônicas, apenas estabelece equivalência e isonomia entre os documentos gerados eletronicamente e os documentos firmados em papel, desde que sejam certificados digitais ICP Brasil.
As entidades certificadoras não vinculadas à ICP Brasil
Certificações realizadas por entidades não vinculadas à ICP Brasil poderão continuar sendo feitas. Porém, ao certificar determinado documento, tais entidades atestam a sua autenticidade e a sua integridade de modo semelhante a uma testemunha.
Já no caso de empresas certificadoras habilitadas ao sistema ICP Brasil, os documentos certificados gozarão de uma autenticidade derivada de lei.
Importante
Os titulares dos certificados digitais respondem integralmente pelos atos que forem assinados com seus respectivos certificados, mesmo que tenha sido emprestado ou compartilhado.
A medida provisória nº 2.200-2/2001 é bem clara quando direciona — exclusivamente — ao seu titular a responsabilidade do certificado digital e o que for assinado com ele.
Além disso, vale o alerta para quem utiliza certificados digitais de terceiros, pois isso implica em crime de falsidade ideológica.
A hierarquia da ICP Brasil
A hierarquia existente da ICP Brasil leva em consideração os componentes:
- Comitê Gestor (CG);
- Autoridade Certificadora (AC Raiz);
- as Autoridades Certificadoras (ACs) de 1º e 2º nível;
- as Autoridades de Registros (ARs)
- e, finalmente, o usuário final.
Vejamos:
Comitê Gestor (CG)
Responsável pela aprovação das normas e resoluções. Além disso, fiscaliza a AC Raiz, que é o Instituto Nacional de Tecnologia da Informação (ITI) — autoridade máxima.
Autoridade Certificadora Raiz da ICP Brasil (AC Raiz)
É a 1ª autoridade da hierarquia de certificação, responsável por realizar as políticas aprovadas pelo Comitê Gestor da ICP Brasil no que diz respeito aos certificados e às normas técnicas e operacionais.
Compete a AC-Raiz a emissão, a expedição, a distribuição, a revogação e o gerenciamento dos certificados das autoridades certificadoras de nível superior ao seu.
Outra importante função da AC-Raiz é a emissão dos certificados revogados (LCR) e de fiscalizar e auditar as ACs, ARs e demais entidades habilitadas pela ICP Brasil.
Autoridades Certificadoras (ACs) de 1º e 2º nível
São entidades credenciadas à AC-Raiz, cuja função se estende a emitir, expedir, distribuir, revogar e gerenciar os certificados digitais, vinculando pares de chaves criptográficas aos titulares dos certificados, bem como colocar à disposição dos usuários a listagem de certificados revogados e outras informações.
As ACs também são responsáveis por manter registro de todas as suas operações. No caso do par de chaves criptográficas, serão sempre geradas pelos próprios titulares, sendo sua chave privada de uso, controle e conhecimento exclusivos.
Importante
É a autoridade certificadora que vai gerenciar os certificados de chave pública em todo o ciclo de vida. Ou seja, será responsável pela emissão, agendamento da data de expiração do certificado e pela publicação dos certificados revogados na Lista de Certificados Revogados (LCR).
Autoridade Registradora (AR)
São entidades vinculadas a uma determinada autoridade certificadora, cuja função é implementar uma interface entre o usuário e a autoridade certificadora. A principal função da AR é a identificação dos usuários, validação da solicitação e a submissão da solicitação de certificado à autoridade certificadora.
Entre alguns conceitos importantes se destacam:
Certificação digital
É a tecnologia que adota mecanismos de segurança, por meio da utilização de algoritmos matemáticos, capazes de garantir a autenticidade, confiabilidade, integridade e não repúdio às informações e aos documentos eletrônicos.
Certificado digital
É um arquivo eletrônico que permite conhecer o titular da mensagem, seja para outros usuários ou para o próprio sistema de informação.
De modo geral, o arquivo eletrônico é armazenado em um meio digital com todos os dados do seu titular (pessoa física ou jurídica), sendo utilizado para:
- relacionar tal pessoa a uma chave criptográfica;
- atestar a identidade;
- garantir a confiabilidade, a autenticidade e o não repúdio nas transações financeiras e comerciais assinadas;
- trocar informações e documentos com integridade, sigilo e segurança.
Assinatura digital
É uma forma eficaz de garantir autoria dos documentos eletrônicos, garantindo validade jurídica aos documentos eletrônicos assinados digitalmente. Vale destacar que a utilização de certificados digitais atribui a autenticidade e integridade aos documentos, o que significa dizer que tal fato tornou a assinatura digital uma técnica válida juridicamente.
Quais são os tipos de certificado
Os certificados digitais ICP Brasil são classificados de acordo com a sua aplicabilidade e os requisitos de segurança de proteção da chave privativa.
Quanto à aplicação:
Tipo A: Certificado de Assinatura Digital
É o tipo de certificado digital mais comum, utilizado para assinatura de documentos, transações eletrônicas, entre outras aplicações. Sua principal função é provar a autenticidade e a autoria por parte do emissor/autor, garantindo também a integridade do documento.
Exemplo
O emissor de determinado documento eletrônico utiliza a sua chave privada para assiná-lo digitalmente e enviá-lo ao receptor, que vai usa a chave pública do emissor para confirmar a autenticidade da assinatura. Qualquer pessoa que tenha acesso à chave pública pode realizar a verificação.
Tipo S: Certificado de Sigilo/Confidencialidade
Este tipo de certificado digital é utilizado exclusivamente para oferecer sigilo ou a criptografia de dados. Ou seja, o conteúdo dos documentos enviados e/ou armazenado é protegido contra acessos não permitidos, sem expor o teor do que está sendo trafegado.
Exemplo
O emissor utiliza a chave pública do receptor para proteger e enviar os dados ao receptor. No entanto, para acessá-los, o receptor terá que utilizar a sua chave privada, pois apenas ela possibilitará a decodificação dos dados protegidos.
Tipo T: Certificado de Tempo
Também conhecido como time stamping, o Certificado de Tempo é o serviço de certificação da hora e do dia em que foi assinado o documento eletrônico, com a devida identificação do seu autor. Este tipo de certificado é essencial para garantir a temporalidade e a tempestividade de documentos importantes.
Quanto à sua forma de armazenamento:
Certificados A1
Os certificados A1 são aqueles cuja chave privada é gerada em um software, ficando armazenada em um computador ou programa de computador. Além disso, é possível (e recomendado) que o utilizador do certificado faça uma cópia de segurança do certificado.
Os dados são protegidos por meio de uma senha de acesso, sendo que apenas por meio dela é possível acessar, mover e copiar a chave privada a ele associada. A validade máxima do certificado A1 é de 1 ano.
Certificados A3
Os certificados A3 são gerados e armazenados em um hardware criptográfico, que pode ser um cartão inteligente ou um token. O titular do Certificado A3 é o único que pode usar a chave privada, de posse da sua senha de acesso.
Além disso, as informações não podem ser copiadas ou reproduzidas, e também não é possível fazer cópia de segurança. A validade máxima do certificado A3 é de 3 anos.
Importante
Os equipamentos utilizados para a geração e armazenamento da chave privada devem ser, obrigatoriamente, homologados pela ICP Brasil.
Certificados A4
Utiliza um Módulo de Segurança Criptográfico (HSM), cuja chave privada do certificado A4 é gerada e armazenada. Este tipo de certificado permite cópia de segurança para outro HSM.
Vale destacar que a segurança criptográfica do A4 é superior aos certificados A1 e A3, ou seja, o tamanho da chave é maior. Neste caso, o processo de validação da solicitação exige documento de identificação adicional.
Importante
Os equipamentos utilizados para a geração e armazenamento da chave privada devem ser, obrigatoriamente, homologados pela ICP Brasil.
De forma simplificada:
Tipo | Tamanho da chave | Forma de armazenamento | Validade máxima do certificado |
A1/S1. | 2048. | Software. | 1 ano. |
A3/S3. | 2048. | Hardware. | Até 5 anos. |
A4/S4. | 4096. | Hardware. | Até 6 anos. |
Quando à sua utilidade:
Acesso ao Conectividade Social-ICP
É obrigatório a adoção de certificado digital tipo A3 - pessoa jurídica para acesso e envio dos dados do FGTS.
Programa Juros Zero
Empresas inovadoras com faturamento anual de até R$ 10,5 milhões podem receber aporte da Financiadora de Estudos e Projetos (Finep). Contudo, para participar, é necessário possuir certificado digital de pessoa jurídica.
Instituto Nacional da Propriedade Intelectual (Inpi)
O certificado digital é utilizado para o registro da marca e para acesso ao sistema de vista eletrônica de petições.
Receita Federal do Brasil (RFB)
Entre as principais aplicações do órgão que devem ser utilizados certificados digitais se destacam:
- Centro Virtual de Atendimento ao Contribuinte (e-CAC);
- Sistema Público de Escrituração Digital (Sped);
- Escrita Contábil Digital (ECD);
- Escrita Fiscal Digital (EFD);
- contribuições PIS e Cofins;
- e-social (folha de pagamento);
- obrigações acessórias (Dimed, Dirf, DCTF, Dacon).
- Nota Fiscal Eletrônica (NF-e);
- Conhecimento de Transporte Eletrônico (CT-e) e o Manifesto de Documentos Fiscal Eletrônico (MDF-e);
- Declaração Anual de Imposto de Renda de Pessoa Física (IRPF);
- Cadastro Geral de Empregados e Desempregados (Caged);
- e-DOC;
- Relação Anual de Informações Sociais (Rais).
Como obter um certificado digital?
Em geral, o processo de emissão de um certificado digital passa pelas seguintes etapas:
Solicitação do certificado
Esta etapa pode ser realizada, geralmente, no próprio site da autoridade certificadora. O solicitante vai preencher um formulário eletrônico com seus dados, submetendo-o à AC e agendando, posteriormente, uma data e hora para a validação presencial. Vale destacar que é nesta etapa que o interessado deverá escolher o tipo e a validade do certificado e, em seguida, efetuar a operação de compra.
Identificação presencial
Após realizar a solicitação, o interessado deverá providenciar os documentos necessários para a emissão do tipo de certificado escolhido. Após este procedimento, poderá agendar uma visita em uma autoridade de registro para realizar a identificação presencial.
Documentos necessários para a certificação digital pessoal jurídica:
Documentos referentes à empresa | Documentos referentes ao representante legal |
Documento de constituição (estatuto, contrato social ou requerimento); se houver, alteração contratual. Todos os documentos devem estar devidamente registrados nos órgãos competentes. | Documento de identificação (RG, carteira de motorista, passaporte, ou registro profissional). |
Se houver, documento de eleição da diretoria vigente. | CPF. |
Cartão CNPJ atualizado. | Comprovante de endereço emitido há, no máximo, 3 meses. |
Inscrição no Cadastro Específico do INSS (opcional). | Foto 3x4 atualizada. |
Comprovante de inscrição no PIS/Pasep/CI-NIS (opcional). | |
Título de eleitor (opcional). | |
Cadastro específico do INSS-CEI (opcional). |
No caso de pessoa física, deverá apresentar:
Documentos obrigatórios | Documentos opcionais |
Documento de identificação (RG, carteira de motorista, passaporte, ou registro profissional). | Título de eleitor. |
CPF. | Cadastro específico do INSS-CEI. Ele é obrigatório caso o interessado queira que conste no certificado para acessar as aplicações do Conectividade Social da Caixa Econômica Federal. |
Comprovante de endereço emitido há, no máximo, 3 meses. | Comprovante de inscrição no PIS/Pasep/CI-NIS. Ele se torna obrigatório caso o interessado queira que conste no certificado para acessar as aplicações do Conectividade Social da Caixa Econômica Federal. |
Foto 3x4 atualizada. |
Emissão do certificado
Após a apresentação da documentação, o interessado deverá guardar o processo de validação e verificação da entidade de registro. Caso esteja tudo em conformidade, é liberada a emissão do certificado digital.
É importante destacar que a emissão é apenas liberada quando 2 agentes de registro confirmam que a validação presencial ocorreu sem quaisquer irregularidades.
Em algumas ACs, o processo de conferência e liberação já ocorre no momento da validação presencial, sendo que o titular do certificado já sai da AR com um cartão ou com um token contendo o certificado.
Instalação do certificado
Quando a emissão do certificado ocorre posterior à validação presencial, a instalação do certificado digital emitido consiste na última etapa do processo de emissão.
A Autoridade Certificadora informa, por e-mail, que o certificado já está disponível para ser instalado. Este é o caso dos certificados A1, que são instalados diretamente no computador do usuário logo após a validação presencial.
Diferença entre e-CPF e e-CNPJ
O e-CPF
O e-CPF é um documento para pessoa física que tem a mesma função e validade jurídica do tradicional CPF. Porém, ele não pode ser utilizado para a emissão de NF-e.
O e-CPF é um documento digital que garante a autenticidade e assegura que as informações e dados dos remetentes e destinatários possam trafegar pela internet com segurança.
Além disso, o e-CPF também pode ser utilizado como assinatura digital, ou seja, permite a verificação da identidade do signatário com a garantia de que o documento não foi alterado após a assinatura.
Com ele, é possível:
- realizar a entrega da declaração do Imposto de Renda (DIPJ);
- acessar os serviços e as informações do site da Receita Federal;
- assinar documentos eletrônicos com validade jurídica;
- autenticar-se em sites e sistemas com segurança;
- acessar outros serviços do governo (poder judiciário, saúde, educação etc.);
- verificar autenticidade das informações do diário oficial;
- participar de pregões eletrônicos do governo;
- utilizar escrituração digital;
- gerar procuração eletrônica para o seu contador;
- cumprir a IN 969, que determina que todas as empresas com impostos calculados pelo lucro real, presumido e arbitrário devem utilizar o certificado digital para enviar DIPJ.
O e-CNPJ
Já o e-CNPJ é uma versão digital do CNPJ. Na versão eletrônica em formato de certificado digital, o e-CNPJ passa a garantir a autenticidade das transações realizadas pela internet por pessoas jurídicas.
É possível utilizá-lo em diversas soluções e aplicações de negócio e em vários ramos de atividade, permitindo a simplificação e a desmaterialização de processos, além da otimização do tempo e redução dos custos legais e operacionais.
Com ele, é possível:
- entregar o IRPJ, a DCTF e a DIPJ;
- ter acesso aos serviços e às informações do site da Receita Federal (e-CAC, DIPJ, certidões etc.);
- assinar documentos eletrônicos com validade jurídica;
- autenticar-se em sites e em sistemas com segurança;
- acessar outros serviços do governo (poder judiciário, saúde, educação etc.);
- verificar a autenticidade das informações do diário oficial;
- participar de pregões eletrônicos do governo;
- utilizar escrituração digital;
- gerar procuração eletrônica para o seu contador;
- cumprir a IN 969, que determina que todas as empresas com impostos calculados pelo lucro real, presumido e arbitrário, utilizem certificado digital para enviar DIPJ;
- acessar o sistema de conectividade social ICP da CAIXA (FGTS);
- fazer a Redarf;
- acessar o Sistema Integrado de Comércio Exterior (Siscomex).
A NF-e
A Nota Fiscal Eletrônica (NF-e) é a versão eletrônica do documento tradicional Nota Fiscal. É por meio da NF-que é possível manter o registro de toda a movimentação de mercadorias.
A NF-e tem validade jurídica e fiscal, garantida pela assinatura digital do remetente com o uso de um certificado digital no padrão ICP Brasil. A grande vantagem do certificado NF-e é que ele pode ser utilizado por qualquer funcionário da empresa e não apenas pelo representante legal, proporcionando maleabilidade na sua aplicação.
É o certificado digital que garante à Nota Fiscal Eletrônica a integridade e autoria das informações prestadas.
Cada empresa deve analisar quais tipos de certificados digitais se enquadram à sua atividade e necessidades.
Vejamos algumas informações acerca de aplicações:
Descrição | Sped Fiscal (EFD). | Sped Contábil (ECD). | Nota Fiscal Eletrônica (NF-e). |
Tipo de certificado | e-CNPJ, e-CPF, e-PJ. | e-CPF. | e-CNPJ, e-PJ (e-NFe). |
Forma de armazenamento | A1 e A3. | A3. | A1 ou A3. |
Responsável | Representante legal ou procuradores. | Contabilista e representantes da empresa perante à junta comercial. | Pessoa jurídica emissora do documento fiscal. |
Importante
O microempreendedor individual (MEI) não é obrigado a emitir a NF-e. Porém, caso ele opte voluntariamente por emiti-la, será necessário adquirir o certificado digital.
Conclusão
Os certificados emitidos pela ICP Brasil são os instrumentos mais confiáveis para uso nas transações e documentações eletrônicas, pois possuem amparo legal (a já citada medida provisória nº 2.200-2/2001).
Tais certificados garantem aos titulares a veracidade das informações prestadas, uma vez que a assinatura digital vinculada aos documentos possui a identidade emitida por uma autoridade certificadora afiliada à ICP Brasil.
É fundamental que o interessado pelo certificado digital verifique se a autoridade certificadora pertence à ICP Brasil. Se a AC for afiliada, as credenciais emitidas pela autoridade podem ser confiáveis; por outro lado, caso a AC não seja afiliada, é fundamental que o interessado busque informações sobre as políticas e os procedimentos utilizados para a emissão de certificados.
É inegável a importância do certificado digital ao dia a dia de pessoas, organizações, governo e demais interessados, desburocratizando uma série de processos e garantindo as transações e documentos eletrônicos a autenticidade e sigilo das informações que trafegam na rede.
Você gostou deste post? Então por que você não continua com a visita em nosso blog e acessa o post “Certificado digital para e-mail: por que sua empresa precisa ter?”?