Ir para o conteúdo principal
Certyneo
Infografia da arquitetura

As 7 camadas de segurança de uma assinatura eletrônica em conformidade com eIDAS

Entenda o que acontece nos bastidores quando você assina um documento: 7 camadas criptográficas empilhadas, cada uma com seu padrão de referência (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Critérios Comuns EAL4+). Sem uma única delas, a assinatura não é oponível.

As 7 camadas da pilha de segurança

Cada camada fornece uma garantia específica. Para que uma assinatura seja em conformidade com eIDAS e oponível, as 7 devem estar presentes e adequadamente implementadas. Certyneo é certificado em cada uma.

Camada 1

Identificação do signatário

Certyneo certificado

Antes de qualquer assinatura, o signatário é identificado via código SMS, leitura de ID ou certificado qualificado (QES). Esta é a camada que responde a "quem assinou?".

📜 eIDAS Annexe II §1.b

Sem identificação confiável, a assinatura não tem valor probante (Código Civil 1367).

Camada 2

Segurança do transporte

Certyneo certificado

TLS 1.3 em todas as comunicações cliente ↔ servidor. Nenhum downgrade para TLS 1.0/1.1 permitido. Certificados EV com rotação trimestral.

📜 TLS 1.3 (RFC 8446)

Impede a interceptação do documento entre o emissor e o signatário (ataque MITM).

Camada 3

Assinatura criptográfica (PAdES)

Certyneo certificado

Apposição da assinatura no formato PAdES (PDF Advanced Electronic Signature) conforme ETSI EN 319 142. Assinatura vinculada ao documento, não a um wrapper externo.

📜 ETSI EN 319 142 (PAdES)

Garante que a assinatura não pode ser destacada e colada em outro documento.

Camada 4

Carimbo de tempo qualificado

Certyneo certificado

Integração de um carimbo de tempo RFC 3161 emitido por uma autoridade qualificada (TSA) inscrita na EU LOTL. Precisão ao milissegundo.

📜 RFC 3161 + ETSI EN 319 421

Prova que a assinatura existe em um instante T preciso, não reconstruído posteriormente.

Camada 5

Módulo HSM (Hardware Security Module)

Certyneo certificado

As chaves privadas de assinatura são armazenadas em um HSM certificado Critérios Comuns EAL4+ e FIPS 140-2 nível 3. As chaves nunca saem do HSM em texto plano.

📜 Critères Communs EAL4+ / FIPS 140-2

Impede o roubo de chave mesmo em caso de comprometimento do servidor aplicativo.

Camada 6

Trilha de auditoria eIDAS

Certyneo certificado

Registro imutável de cada evento do ciclo de assinatura (criação, envio, assinatura, lacre) com IP, carimbo de tempo, identidade. Formato conforme ETSI EN 319 102-1.

📜 ETSI EN 319 102-1

Fornece a prova completa exigida por um tribunal em caso de litígio.

Camada 7

Arquivamento probatório

Certyneo certificado

Armazenamento do documento assinado + trilha de auditoria + certificado por no mínimo 10 anos em um sistema conforme AFNOR NF Z42-013. Re-carimbo de tempo periódico para contrariar a obsolescência criptográfica.

📜 AFNOR NF Z42-013

Preserva o valor probatório do documento ao longo do prazo prescricional civil.

As 4 principais ameaças e sua mitigação

Uma arquitetura de assinatura sólida é concebida para resistir a 4 ataques clássicos. Aqui estão quais são e qual camada as neutraliza.

  • Usurpação de identidade — "outro assinou em meu lugar"

    Autenticação por SMS / digitalização de ID + registo de IP e geolocalização. Para atos de alto risco, certificado QES emitido por um PSCo qualificado.

    Camada 1 (Identificação)

  • Alteração do documento — "o conteúdo assinado foi modificado"

    Hash SHA-256 do documento assinado pela chave HSM. Qualquer modificação posterior invalida o hash e a assinatura.

    Camadas 3 e 5 (Assinatura + HSM)

  • Ataque man-in-the-middle — "um terceiro interceptou"

    TLS 1.3 obrigatório com certificados EV + HSTS preload em todos os domínios.

    Camada 2 (Transporte)

  • Repúdio — "nunca assinei / não nesta data"

    Registo de auditoria imutável + marcação temporal qualificada RFC 3161 + arquivamento probatório AFNOR. O ónus da prova passa para o signatário.

    Camadas 4, 6 e 7 (Marcação temporal + Auditoria + Arquivamento)

Metodologia

As 7 camadas descritas correspondem à arquitetura de segurança Certyneo, em conformidade com o regulamento eIDAS de 2014 (UE 910/2014), com as normas ETSI EN 319 (séries Signature e Seals), com o Referencial Geral de Segurança (RGS**) da ANSSI e com a norma AFNOR NF Z42-013 para arquivamento probatório. Cada camada é auditada anualmente por um terceiro independente.

Para saber mais

Uma assinatura eletrônica criptograficamente selada

As 7 camadas acima são implementadas por padrão em todos os planos Certyneo, incluindo o plano gratuito.