PAPERLESSassinatura digital de um jeito simples
Começar agora
Voltar para homeConformidade

Conformidade legal

Esta página resume como o Paperless atende a normas e regulamentos relacionados à assinatura digital e proteção de dados. As informações são mantidas pela equipe do Paperless e podem ser atualizadas conforme evolução dos requisitos legais e técnicos.

ICP-Brasil

O ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) define padrões técnicos e certificação digital no Brasil. Assinaturas realizadas com certificados ICP-Brasil possuem validade jurídica nos termos da Lei 14.063/2020 e são reconhecidas em todo o território nacional.

Status: Em conformidade

21 CFR Part 11

A norma 21 CFR Part 11 é um regulamento da FDA (Food and Drug Administration) que estabelece os critérios para que assinaturas eletrônicas e registros digitais sejam considerados confiáveis, equivalentes a registros em papel e assinaturas manuscritas. Ele aborda requisitos como validação de sistemas, auditoria, controle de acesso, assinaturas únicas e vinculação de registros.

Status: Em conformidade

LGPD

A Lei Geral de Proteção de Dados (Lei 13.709/2018) estabelece regras para coleta, armazenamento, uso e compartilhamento de dados pessoais no Brasil. O Paperless adota práticas de segurança, controle de acesso e criptografia para auxiliar na observância da LGPD.

Status: Em conformidade

Conformidade com E-Sign

ESIGN Act (Estados Unidos)

O Electronic Signatures in Global and National Commerce Act (ESIGN Act) é uma lei federal dos Estados Unidos promulgada em 2000. Ela garante que assinaturas e registros eletrônicos tenham a mesma validade jurídica que documentos em papel e assinaturas manuscritas no comércio interestadual e internacional.

Principais requisitos

RequisitoDescrição
Intenção de assinarOs signatários devem demonstrar clara intenção de assinar o documento.
ConsentimentoTodas as partes devem concordar em realizar a transação eletronicamente.
Divulgação ao consumidorEm transações com consumidores, divulgações específicas devem ser fornecidas antes da obtenção do consentimento.
Retenção de registrosOs registros eletrônicos devem ser preservados com precisão e ficar acessíveis para consulta posterior.
AssociaçãoA assinatura deve estar associada ao registro que está sendo assinado.

Exclusões

O ESIGN Act não se aplica a determinados tipos de documentos, incluindo:

  • Testamentos, codicilos e fideicomissos testamentários
  • Documentos de direito de família (adoção, divórcio)
  • Ordens judiciais e documentos oficiais de tribunais
  • Cancelamento de serviços de utilidade pública
  • Documentos relacionados ao transporte de materiais perigosos

UETA (Estados Unidos)

O Uniform Electronic Transactions Act (UETA) é uma lei-modelo adotada por 49 estados dos EUA (todos, exceto Nova York, que possui sua própria Electronic Signatures and Records Act). O UETA fornece um arcabouço jurídico para assinaturas e registros eletrônicos em nível estadual.

Relação com o ESIGN

O UETA e o ESIGN Act possuem requisitos e objetivos semelhantes. A lei federal ESIGN permite que estados modifiquem ou substituam determinadas disposições do ESIGN se adotarem o UETA ou uma lei equivalente. Na prática, os requisitos para assinaturas eletrônicas em ambas as leis são bastante alinhados.

Principais requisitos

  • Intenção de assinar demonstrada pelo signatário
  • Consentimento para realizar transações eletronicamente
  • Retenção dos registros em sua forma eletrônica original
  • Atribuição da assinatura ao signatário

eIDAS (União Europeia)

O regulamento Electronic Identification, Authentication and Trust Services (eIDAS) rege as assinaturas eletrônicas em todos os estados-membros da União Europeia. O eIDAS estabelece três níveis de assinaturas eletrônicas, cada um com requisitos e efeitos jurídicos distintos.

Níveis de assinatura

NívelDescriçãoEfeito jurídico
Simples (SES)Assinatura eletrônica básica, sem requisitos técnicos específicos.Admissível como prova; o efeito jurídico varia conforme o uso.
Avançada (AES)Vinculada de forma única ao signatário, capaz de identificá-lo e sob seu controle exclusivo.Maior peso probatório do que a SES.
Qualificada (QES)AES criada com um dispositivo qualificado de criação de assinatura, baseada em um certificado qualificado.Equivalente a uma assinatura manuscrita em toda a União Europeia.

Assinaturas eletrônicas simples (SES)

A SES é o nível básico. Quaisquer dados em formato eletrônico anexados a — ou logicamente associados a — outros dados eletrônicos, usados pelo signatário para assinar, qualificam-se como SES. Não há requisitos técnicos específicos além da demonstração da intenção de assinar.

Assinaturas eletrônicas avançadas (AES)

A AES deve atender a critérios adicionais:

  • Estar vinculada de forma única ao signatário
  • Permitir a identificação do signatário
  • Ser criada com dados de criação de assinatura sob o controle exclusivo do signatário
  • Estar vinculada aos dados assinados de modo a detectar alterações posteriores

Assinaturas eletrônicas qualificadas (QES)

A QES exige:

  • Um certificado qualificado emitido por um prestador qualificado de serviços de confiança
  • Criação por meio de um dispositivo qualificado de criação de assinatura eletrônica
  • Verificação de identidade em conformidade com os requisitos do eIDAS

A QES tem o mesmo valor jurídico de uma assinatura manuscrita em todos os estados-membros da União Europeia.

Outras jurisdições

Leis sobre assinatura eletrônica existem na maioria dos países. Veja abaixo alguns exemplos:

JurisdiçãoArcabouço legalObservações
BrasilICP-Brasil / Lei 14.063/2020Reconhece assinaturas eletrônicas com certificados ICP-Brasil em todo o território nacional.

Normas e Regulamentos

PDF/A para Arquivamento

O PDF/A é uma versão do PDF padronizada pela ISO, projetada para o arquivamento de longo prazo de documentos eletrônicos. Ao contrário dos PDFs padrão, os arquivos PDF/A são autossuficientes e não dependem de recursos externos.

Principais características:

  • Todas as fontes devem estar incorporadas
  • Não são permitidas referências a conteúdo externo
  • Sem criptografia que impeça o acesso futuro
  • Metadados devem estar incorporados no formato XMP
  • Espaços de cores devem ser independentes de dispositivo ou incluir perfis ICC

O PDF/A possui vários níveis de conformidade (PDF/A-1, PDF/A-2, PDF/A-3) com capacidades crescentes. O PDF/A-3, por exemplo, permite a incorporação de formatos de arquivo arbitrários como anexos.

Para documentos assinados destinados ao armazenamento de longo prazo, o PDF/A garante que o documento permaneça legível e verificável anos ou décadas após a assinatura.

PAdES (Assinaturas Eletrônicas Avançadas em PDF)

O PAdES é um conjunto de normas (ETSI EN 319 142) que define perfis para assinaturas eletrônicas em documentos PDF. Ele se baseia nas capacidades de assinatura PDF definidas na ISO 32000 e adiciona requisitos para validade a longo prazo.

Perfis de assinatura:

PerfilDescrição
PAdES-BAssinatura básica com certificado de assinatura.
PAdES-TAdiciona um carimbo de tempo confiável.
PAdES-LTAdiciona dados de validação (certificados, informações de revogação).
PAdES-LTAAdiciona carimbos de tempo para arquivamento de longo prazo.

Cada nível se baseia no anterior, sendo que o PAdES-LTA oferece as garantias mais robustas para a validade da assinatura a longo prazo. A inclusão de dados de validação e carimbos de tempo de arquivamento permite que as assinaturas sejam verificadas mesmo após a expiração dos certificados ou o encerramento das operações das Autoridades Certificadoras (ACs).

ISO 32000 (Padrão PDF)

A ISO 32000 é a norma internacional que define o formato PDF. Ela especifica a base técnica para assinaturas digitais em documentos PDF. Recursos de assinatura relevantes definidos na ISO 32000:

  • Dicionários de campos de assinatura e fluxos de aparência
  • Manipuladores de assinatura criptográfica
  • Incorporação de certificados e carimbos de tempo
  • Atualizações incrementais para preservação da assinatura
  • Detecção de modificação do documento

A norma ISO 32000-2 (PDF 2.0) introduziu recursos adicionais, incluindo suporte a mais algoritmos de assinatura e opções aprimoradas de criptografia.

Certificados X.509

O X.509 é o formato padrão para certificados de chave pública utilizados em assinaturas digitais. Esses certificados vinculam uma chave pública a uma identidade e são emitidos por Autoridades Certificadoras (ACs).

Um certificado X.509 típico contém:

  • Sujeito (informações de identidade)
  • Emissor (a AC que emitiu o certificado)
  • Chave pública
  • Período de validade (datas de início e fim da validade)
  • Número de série
  • Algoritmo de assinatura
  • Extensões (uso da chave, políticas, etc.)

Para a assinatura de documentos, os certificados geralmente incluem a extensão de uso de chave “assinatura digital”. Certificados qualificados, conforme os regulamentos eIDAS, possuem requisitos adicionais e oferecem níveis mais elevados de garantia.

A validação do certificado envolve verificar:

  1. A cadeia de certificados até uma AC raiz confiável
  2. Se nenhum certificado na cadeia expirou
  3. O status de revogação via CRL ou OCSP

RFC 3161 (Carimbo de Tempo)

A RFC 3161 define o Protocolo de Carimbo de Tempo (TSP) para a Infraestrutura de Chaves Públicas X.509 da Internet. Carimbos de tempo comprovam que um documento existia em um estado específico em um determinado momento.

Um token de carimbo de tempo contém:

  • Hash dos dados assinados
  • Hora da emissão (proveniente de uma fonte de tempo confiável)
  • Identificador da Autoridade de Carimbo de Tempo (TSA)
  • Assinatura digital da TSA

Os carimbos de tempo servem a dois propósitos na assinatura de documentos:

  1. Prova de existência: Demonstra que o documento foi assinado antes de um determinado momento
  2. Extensão da validade da assinatura: Permite a verificação da assinatura após a expiração do certificado de assinatura

Sem um carimbo de tempo confiável, uma assinatura só pode ser verificada enquanto o certificado de assinatura permanecer válido. Com um carimbo de tempo, a assinatura permanece verificável enquanto o carimbo de tempo puder ser validado.

O que o Paperless implementa

O Paperless implementa assinaturas digitais com as seguintes características:

  • Assinaturas PDF: Os documentos são assinados utilizando os recursos de assinatura PDF definidos na norma ISO 32000
  • Certificados X.509: As assinaturas utilizam certificados X.509 para a identificação do signatário
  • Carimbos de tempo: Carimbos de tempo em conformidade com a RFC 3161 podem ser aplicados às assinaturas
  • Visualização da assinatura: Documentos assinados incluem representações visuais da assinatura

Implantações auto-hospedadas podem configurar seus próprios certificados de assinatura e autoridades de carimbo de tempo para atender a requisitos específicos de conformidade.

Relacionado

Para saber mais sobre as normas e regulamentos aplicáveis à assinatura digital, consulte também as seções sobre E-Sign Compliance, UETA, eIDAS e Other Jurisdictions nesta página.

Certificações e Conformidade Regulatória

Visão Geral do Status de Conformidade

CertificaçãoStatus
21 CFR Part 11Em conformidade (Enterprise)
SOC 2Em conformidade
ISO 27001Planejado
HIPAAEm conformidade (Enterprise)
Status: Em conformidade (Licença Enterprise)

21 CFR Part 11

A norma 21 CFR Part 11 é um regulamento da FDA que estabelece critérios para registros e assinaturas eletrônicas, visando garantir sua autenticidade, integridade e confidencialidade nos setores farmacêutico, de dispositivos médicos e outras indústrias regulamentadas pela FDA.

A norma 21 CFR Part 11 exige controles rígidos de validação, auditoria e gestão de acessos para garantir a autenticidade, integridade e confidencialidade dos registros digitais.

Principais Requisitos:

  • Verificações robustas de identidade para cada assinatura
  • Rastreabilidade de assinaturas e trilhas de auditoria
  • Gerenciamento de acesso de usuários
  • Documentação de garantia da qualidade
Status: Em conformidade

SOC 2

O SOC 2 é uma estrutura (framework) para gerenciar e auditar a segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade de dados em organizações de serviços de TI e nuvem, estabelecida pelo American Institute of Certified Public Accountants (AICPA).

O Paperless mantém controles e processos alinhados aos critérios do SOC 2 para segurança, disponibilidade e confidencialidade.

Status: Planejado

ISO 27001

A ISO 27001 é uma norma internacional para gestão da segurança da informação, que especifica requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI).

A certificação ISO 27001 está no roadmap do Paperless e será implementada conforme a evolução dos requisitos de segurança.

Status: Em conformidade

HIPAA

A HIPAA (Health Insurance Portability and Accountability Act) é uma lei dos EUA criada para proteger a privacidade e a segurança das informações de saúde dos pacientes e para melhorar a eficiência e a eficácia do sistema de saúde.

O Paperless oferece recursos e configurações para auxiliar organizações na observância dos requisitos de privacidade e segurança da HIPAA.