As 7 camadas de segurança de uma assinatura eletrônica em conformidade com eIDAS
Entenda o que acontece nos bastidores quando você assina um documento: 7 camadas criptográficas empilhadas, cada uma com seu padrão de referência (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Critérios Comuns EAL4+). Sem uma única delas, a assinatura não é oponível.
As 7 camadas da pilha de segurança
Cada camada fornece uma garantia específica. Para que uma assinatura seja em conformidade com eIDAS e oponível, as 7 devem estar presentes e adequadamente implementadas. Certyneo é certificado em cada uma.
Identificação do signatário
Certyneo certificadoAntes de qualquer assinatura, o signatário é identificado via código SMS, leitura de ID ou certificado qualificado (QES). Esta é a camada que responde a "quem assinou?".
📜 eIDAS Annexe II §1.b
Sem identificação confiável, a assinatura não tem valor probante (Código Civil 1367).
Segurança do transporte
Certyneo certificadoTLS 1.3 em todas as comunicações cliente ↔ servidor. Nenhum downgrade para TLS 1.0/1.1 permitido. Certificados EV com rotação trimestral.
📜 TLS 1.3 (RFC 8446)
Impede a interceptação do documento entre o emissor e o signatário (ataque MITM).
Assinatura criptográfica (PAdES)
Certyneo certificadoApposição da assinatura no formato PAdES (PDF Advanced Electronic Signature) conforme ETSI EN 319 142. Assinatura vinculada ao documento, não a um wrapper externo.
📜 ETSI EN 319 142 (PAdES)
Garante que a assinatura não pode ser destacada e colada em outro documento.
Carimbo de tempo qualificado
Certyneo certificadoIntegração de um carimbo de tempo RFC 3161 emitido por uma autoridade qualificada (TSA) inscrita na EU LOTL. Precisão ao milissegundo.
📜 RFC 3161 + ETSI EN 319 421
Prova que a assinatura existe em um instante T preciso, não reconstruído posteriormente.
Módulo HSM (Hardware Security Module)
Certyneo certificadoAs chaves privadas de assinatura são armazenadas em um HSM certificado Critérios Comuns EAL4+ e FIPS 140-2 nível 3. As chaves nunca saem do HSM em texto plano.
📜 Critères Communs EAL4+ / FIPS 140-2
Impede o roubo de chave mesmo em caso de comprometimento do servidor aplicativo.
Trilha de auditoria eIDAS
Certyneo certificadoRegistro imutável de cada evento do ciclo de assinatura (criação, envio, assinatura, lacre) com IP, carimbo de tempo, identidade. Formato conforme ETSI EN 319 102-1.
📜 ETSI EN 319 102-1
Fornece a prova completa exigida por um tribunal em caso de litígio.
Arquivamento probatório
Certyneo certificadoArmazenamento do documento assinado + trilha de auditoria + certificado por no mínimo 10 anos em um sistema conforme AFNOR NF Z42-013. Re-carimbo de tempo periódico para contrariar a obsolescência criptográfica.
📜 AFNOR NF Z42-013
Preserva o valor probatório do documento ao longo do prazo prescricional civil.
As 4 principais ameaças e sua mitigação
Uma arquitetura de assinatura sólida é concebida para resistir a 4 ataques clássicos. Aqui estão quais são e qual camada as neutraliza.
Usurpação de identidade — "outro assinou em meu lugar"
Autenticação por SMS / digitalização de ID + registo de IP e geolocalização. Para atos de alto risco, certificado QES emitido por um PSCo qualificado.
Camada 1 (Identificação)
Alteração do documento — "o conteúdo assinado foi modificado"
Hash SHA-256 do documento assinado pela chave HSM. Qualquer modificação posterior invalida o hash e a assinatura.
Camadas 3 e 5 (Assinatura + HSM)
Ataque man-in-the-middle — "um terceiro interceptou"
TLS 1.3 obrigatório com certificados EV + HSTS preload em todos os domínios.
Camada 2 (Transporte)
Repúdio — "nunca assinei / não nesta data"
Registo de auditoria imutável + marcação temporal qualificada RFC 3161 + arquivamento probatório AFNOR. O ónus da prova passa para o signatário.
Camadas 4, 6 e 7 (Marcação temporal + Auditoria + Arquivamento)
Metodologia
As 7 camadas descritas correspondem à arquitetura de segurança Certyneo, em conformidade com o regulamento eIDAS de 2014 (UE 910/2014), com as normas ETSI EN 319 (séries Signature e Seals), com o Referencial Geral de Segurança (RGS**) da ANSSI e com a norma AFNOR NF Z42-013 para arquivamento probatório. Cada camada é auditada anualmente por um terceiro independente.
Para saber mais
Uma assinatura eletrônica criptograficamente selada
As 7 camadas acima são implementadas por padrão em todos os planos Certyneo, incluindo o plano gratuito.