Conformidade eIDAS para PME: a checklist completa 2026

O regulamento europeu eIDAS (UE nº 910/2014, em breve alterado pelo eIDAS 2.0) regula a assinatura eletrônica em toda a União Europeia. Para uma PME, estar em conformidade não é apenas uma caixa a marcar: é a garantia de que seus contratos são oponíveis, que seus dados de assinatura estão protegidos, e que ela se protege contra riscos jurídicos que podem ser muito caros. Aqui está a checklist 2026 em 12 pontos concretos para verificar se sua PME está perfeitamente em conformidade com eIDAS.

Ponto 1: escolher o nível correto de assinatura

Primeiro reflexo: mapeie seus tipos de contratos e associe um nível alvo. Contratos comerciais padrão (orçamentos, pedidos de compra, NDA simples): SES é suficiente. Contratos de trabalho, arrendamentos, NDAs sensíveis, acordos estratégicos: AES no mínimo, de preferência com OTP SMS. Atos regulados (advogado, notário, contratos públicos acima de um limite): QES obrigatório. Sem este mapeamento, você corre o risco de subdimensionamento (contrato recusado) ou superdimensionamento (custo excessivo).

Ponto 2: verificar a qualificação do prestador

Seu prestador deve ser um prestador de serviços de confiança (QTSP) ou apoiar-se em um QTSP para os níveis AES/QES. Consulte a Lista de Serviços de Confiança publicada pela ANSSI (eidas.ssi.gouv.fr) e a Lista de Confiança europeia (webgate.ec.europa.eu/tl-browser). Os QTSP franceses de referência: Certigna, Docaposte, Certinomis, Universign. Para SES/AES via plataforma (Certyneo, Yousign, etc.), verifique sua conformidade eIDAS explicitamente documentada.

Ponto 3: testar a trilha de auditoria

Assine uma envelopeaude teste e recupere a trilha de auditoria (geralmente um PDF separado). Ela deve conter: identidade e email do signatário, timestamp de cada etapa (envio, abertura, validação, assinatura), endereço IP, agente do usuário, hash do documento, validação de OTP se AES. Se algum desses elementos faltar, o valor de prova é prejudicado. Certyneo fornece a trilha de auditoria completa mesmo no plano gratuito.

Ponto 4: controlar o timestamp

O timestamp deve ser emitido por uma Time Stamp Authority (TSA) compatível com RFC 3161. Um timestamp simplesmente originário de um servidor NTP da empresa não é suficiente. Abra o PDF assinado no Adobe Reader: aba Assinaturas → Detalhes → Timestamp. Você deve ver um certificado TSA válido e um relógio certificado. Se o PDF não tiver um timestamp certificado, reconsidere a escolha do prestador.

Ponto 5: arquivar 10 anos no mínimo

O Código Comercial (artigo L. 123-22) impõe conservação de 10 anos para documentos comerciais. O Código do Trabalho impõe 5 anos para contratos de trabalho após rescisão. O arquivamento deve preservar integridade (hash, lacre) e acesso. Ideal: formato PDF/A (ISO 19005), armazenamento duplo (primário + backup fora do local), cofre eletrônico qualificado (CFE) para máxima prova. Certyneo arquiva 10 anos por padrão e oferece exportação para CFE parceiros.

Ponto 6: verificar a localização dos dados

Onde seus dados de assinatura estão hospedados? Para uma PME francesa tratando contratos sensíveis, privilegie hospedagem na França ou UE. Solicite ao seu prestador a lista de subcontratados e sua localização (artigo 28 LGPD). Evite soluções submetidas ao Cloud Act americano para contratos estratégicos. Certyneo é hospedado na França, sem dependência do Cloud Act. Veja nosso artigo sobre /blog/cloud-act-signature-electronique.

Ponto 7: articular com a LGPD

Assinatura e LGPD estão intimamente conectadas: cada envelope contém dados pessoais (nome, email, IP, telefone). Certifique-se de que seu registro de tratamentos (art. 30 LGPD) inclua assinatura eletrônica, que os prazos de conservação sejam coerentes (10 anos), e que os direitos das pessoas sejam implementáveis (acesso, retificação, portabilidade). Se você solicitar muitas assinaturas, um DPO é recomendado. Veja nosso artigo /blog/signature-electronique-rgpd.

Ponto 8: identificar os signatários antecipadamente

Para um AES sólido, a identificação não começa na assinatura: ela começa na coleta de dados. Verifique emails (sem alias, sem listas de distribuição), números de telefone (sem linha compartilhada), e mantenha registro da fonte de identificação (documento de identidade para contratos pesados, KYC de cliente existente para contratos contínuos). Esta diligência torna a prova sólida em caso de litígio.

Ponto 9: treinar as equipes

Suas equipes comerciais, RH, jurídicas devem entender as regras: nunca forçar um signatário a usar dispositivo de terceiros, nunca reenviarpdf assinado modificado, nunca colar imagem de assinatura digitalizada no lugar de uma verdadeira assinatura. Uma hora de treinamento por equipe é suficiente para ancorar os bons reflexos. Certyneo fornece um guia completo para compartilhar internamente (/ressources).

Ponto 10: verificar os contratos dos prestadores

Os Termos de Uso/Condições do prestador de assinatura devem: garantir conformidade eIDAS, especificar durações de arquivamento, incluir acordo de subcontratação LGPD (art. 28), documentar subcontratados, fornecer plano de reversibilidade em caso de encerramento. Solicite também SOC 2 Tipo II ou equivalente se você tratar volumes importantes. Para Certyneo, esses documentos estão disponíveis em /legal e /security.

Ponto 11: preparar eIDAS 2.0 e a EUDI Wallet

O regulamento eIDAS 2.0 (UE 2024/1183) entra em vigor progressivamente e exige dos Estados-Membros implantar uma EUDI Wallet antes do final de 2026. Esta carteira de identidade digital permitirá acessar QES remotamente sem escritório de registro físico. Prepare sua PME: verifique se seu prestador tem roadmap de EUDI Wallet, acompanhe as comunicações da ANSSI e da Comissão Europeia. Veja /blog/eidas-2-nouveau-reglement-2026.

Ponto 12: auditar anualmente

Conformidade não é um status adquirido: é uma abordagem contínua. Agende uma auditoria anual (interna ou externa) para verificar: mudanças regulatórias, evoluções do prestador, mapeamento atualizado de tipos de contrato, conservação efetiva, treinamento de novas contratações. Uma auditoria leve leva meia jornada para uma PME e evita muitas surpresas. Comece criando uma conta Certyneo gratuita em certyneo.com/signup para testar a conformidade concreta, depois consulte nosso guia eIDAS para aprofundar (/guide/eidas).