A digitalização dos processos empresariais requer um equivalente eletrônico confiável de assinaturas manuscritas para executar contratos e acordos. Com a adoção de fluxos de trabalho sem papel por indivíduos e organizações, a adoção de assinaturas digitais explodiu nos últimos anos.
No entanto, a legalidade e a aceitação de diferentes padrões de assinatura digital variam amplamente entre as regiões. Este guia abrangente examina a validade de PKIleis e regulamentos de assinatura digital baseados em assinatura digital nos principais mercados globais.
Estados Unidos
Visão geral
Nos Estados Unidos, as assinaturas digitais gozam de plena validade legal e aplicabilidade nos níveis federal e estadual.
, promulgada pelo Congresso em 2000, concede oficialmente aos contratos eletrônicos e às assinaturas digitais o mesmo status legal que os documentos tradicionais em papel e as assinaturas manuscritas. Esta lei fornece a estrutura básica para assinaturas eletrônicas legalmente válidas nos EUA.
Além disso, quase todos os estados promulgaram legislação que reconhece a legalidade das assinaturas digitais para transações comerciais e governamentais dentro da sua jurisdição. Qualquer PKIO método de assinatura digital baseado em ESIGN pode ser legalmente válido nos EUA, desde que atenda aos critérios específicos de autenticação e segurança descritos no ESIGN.
Padrões de assinatura digital
O padrão mais comum usado para assinaturas digitais nos EUA é:
: AATL fornece diretrizes do setor e especificações técnicas para emissão e assinaturas de certificados digitais. A maioria das autoridades de certificação está em conformidade com as regras da AATL para que seus certificados funcionem perfeitamente com produtos Adobe e fluxos de trabalho de assinatura de desktop.
As assinaturas aplicadas usando certificados compatíveis com AATL e produtos Adobe como o Acrobat são consideradas seguras e legalmente aplicáveis sob ESIGN nos níveis estadual e federal.
Todos os certificados de assinatura digital SSL.com são compatíveis com a estrutura de confiança da Adobe pronta para uso. Contratos, acordos e outros documentos assinados com nossos certificados são confiáveis para o software Adobe e ganham validade legal de acordo com a legislação dos EUA. O serviço de assinatura em nuvem eSigner do SSL.com também se integra nativamente ao Adobe Sign.
É importante notar que enquanto SSL.com os certificados são compatíveis com AATL e são totalmente compatíveis com os critérios ESIGN, SSL.comO serviço de assinatura em nuvem da eSigner pode ser utilizado com qualquer certificado de assinatura de documento de qualquer outra autoridade de certificação confiável que adira a outros padrões reconhecidos, como o padrão europeu eIDAS. Isto garante que as organizações possam utilizar um amplo espectro de soluções de assinatura digital com a garantia de validade legal.
Europa
Visão geral
A legalidade das assinaturas eletrônicas e dos contratos digitais é unificada em todo o mundo.
O regulamento eIDAS, adotado pelo parlamento da UE em 2014, define padrões para métodos de identificação eletrónica, serviços de confiança e transações eletrónicas que todos os estados membros devem adotar. Garante a validade jurídica transfronteiriça de certos tipos de assinaturas digitais seguras em todo o mercado único.
Padrões de assinatura digital
eIDAS define PKI padrões para assinaturas digitais avançadas e qualificadas. Aqui estão os tipos de assinatura reconhecidos pela legislação da UE:
Assinaturas Eletrônicas Avançadas (AES): AES refere-se a todas as assinaturas digitais que atendem aos requisitos técnicos relativos à autenticação do signatário e à integridade do documento. Eles fornecem garantia de que a assinatura pertence à pessoa que assina e que o documento não mudou desde a assinatura.
Assinaturas Eletrônicas Qualificadas (QES): QES refere-se a assinaturas digitais avançadas que são criadas usando um Certificado de Assinatura Qualificada emitido por um provedor de serviços de confiança credenciado e auditado. Devido ao elevado nível de segurança e verificação de identidade exigidos, os QES gozam de total equivalência jurídica com assinaturas manuscritas ao abrigo da legislação da UE.
O QES vem em três formatos padrão reconhecidos em toda a UE para facilitar as transações digitais multilaterais transfronteiriças:
PAdES: QES para documentos PDF
XAdES: QES para documentos XML
CAdES: um padrão CMS aprimorado para assinatura avançada
Assim, qualquer assinatura digital aplicada em conformidade com estas especificações utilizando um certificado de assinatura qualificado tem validade idêntica a uma assinatura húmida na UE.
Trabalhamos em estreita colaboração com parceiros europeus para garantir que a assinatura na nuvem seja perfeita em toda a UE. Embora os nossos certificados sejam concebidos para serem compatíveis com o padrão PAdES para assinaturas digitais na Europa, atualmente não somos auditados quanto à conformidade com o eIDAS. No entanto, o serviço de assinatura em nuvem eSigner pode ser usado com certificados de assinatura de documentos de qualquer outra autoridade de certificação, incluindo aqueles que estejam em conformidade com os padrões europeus de assinatura digital.
Reino Unido
Após o Brexit, os regulamentos de assinatura eletrónica no Reino Unido divergiram ligeiramente dos da UE, embora ainda mantenham elevados padrões de segurança e aplicabilidade.
As assinaturas digitais avançadas (AES) e qualificadas (QES) que atendem às especificações técnicas do eIDAS continuam válidas no Reino Unido, mesmo que as chaves de assinatura utilizadas residam na UE.
Região pacífica da Ásia
Na Ásia-Pacífico, a legalidade das assinaturas digitais varia amplamente entre os diferentes países. Aqui está uma visão geral dos requisitos nos principais mercados da APAC:
China
A China desenvolveu algoritmos de criptografia de forma independente e PKI padrões distintos do resto do mundo. Esses incluem:
Algoritmo de criptografia SM2
GM/T 0013 – padrões para assinaturas eletrônicas usando criptografia de chave pública/privada SM2.
Na China, as assinaturas digitais aplicadas usando certificados de Autoridade de Certificação com algoritmo SM2 são legalmente válidas e aplicáveis de acordo com a lei de assinatura eletrônica do país. Visitantes estrangeiros podem precisar obter certificados CA COMPATÍVEIS para validade legal.
Índia
A Índia promulgou uma das primeiras leis nacionais que regem as assinaturas digitais em 2000, com o , 2000. Isto concede validade legal às assinaturas digitais usando CAs indianas licenciadas.
Uma atualização da lei em 2008 reconheceu adicionalmente as assinaturas eletrónicas que satisfazem determinados critérios técnicos como legalmente válidas. No entanto, apenas as assinaturas digitais emitidas por um Controlador de Autoridade Certificadora licenciado pelo Ministério de TI da Índia têm plena legitimidade legal no país.
Japão
O Japão também foi um dos pioneiros na lei de assinatura digital. Artigo 3º do aprovado em 2001, concede às assinaturas eletrônicas avançadas geradas usando criptografia de chave pública a mesma validade legal que as assinaturas manuscritas.
Portanto, as assinaturas digitais aplicadas usando CAs emissoras japonesas licenciadas que atendem às especificações de segurança relacionadas à autenticação do assinante são consideradas totalmente vinculativas do ponto de vista jurídico no país.
Singapore
De acordo com o , as assinaturas digitais têm valor legal idêntico às assinaturas em tinta úmida, desde que sejam geradas usando certificados emitidos por Autoridades de Certificação licenciadas.
O país designou padrões em diferentes setores verticais que especificam os requisitos técnicos que as assinaturas digitais devem cumprir para obter validade jurídica nesse setor ou tipo de transação. Estas estruturas específicas do setor operam em alinhamento com a lei abrangente sobre Transações Eletrônicas.
América latina
Muitos países latino-americanos promulgaram leis sobre transações eletrônicas que concedem às assinaturas digitais validade idêntica às assinaturas manuais:
México
O México atualizou o Código de Comércio Mexicano em 2003, permitindo expressamente que indivíduos e empresas utilizem assinaturas eletrônicas e certificados digitais para assinar digitalmente todos os tipos de acordos, contratos e transações comerciais.
Assinaturas digitais avançadas ou confiáveis – nos termos do Artigo 89 do Código de Comércio – têm total equivalência jurídica com assinaturas à tinta se determinadas verificações técnicas e de segurança forem atendidas, incluindo:
Exclusividade para o signatário
Capacidade de ser verificada de forma independente
Detecção de alterações subsequentes
Peru
Os padrões legislativos para certificações digitais e assinaturas eletrônicas foram estabelecidos no Peru em 2000. O Decreto Supremo N° 019-2002-JUS estabelece critérios técnicos que as assinaturas digitais geradas usando CAs peruanas licenciadas devem atender para obter plena validade legal.
A lei exige que as assinaturas usem o padrão de criptografia de chave pública/privada X.509 versão 3 e a função hash SHA-1. Assinaturas digitais qualificadas, capazes de demonstrar a identidade, autenticidade e integridade do signatário, gozam de validade idêntica às assinaturas manuais.
Colômbia
Na Colômbia, a Lei 527, promulgada em 1999, afirma explicitamente que tanto pessoas físicas quanto jurídicas podem celebrar acordos jurídicos vinculativos por meio do uso de assinaturas digitais, garantindo validade idêntica às assinaturas manuscritas.
O governo colombiano também estabeleceu um Sistema Nacional de Certificação Eletrônica para regular as autoridades emissoras autorizadas a gerar IDs e certificados digitais usados para assinaturas digitais legalmente válidas no país.
Argentina
foi promulgado em 2001. Estabelece uma estrutura legal que rege as Autoridades de Certificação licenciadas e autorizadas a emitir certificados para assinatura digital no país.
As assinaturas digitais ou eletrônicas aplicadas usando esses certificados regulamentados e atendendo aos padrões técnicos estipulados gozam de total equivalência jurídica com contratos em papel assinados sob as leis de assinatura tradicionais.
Conclusão
Há uma tendência global clara no sentido de reconhecer as assinaturas electrónicas como legalmente válidas tanto nos países desenvolvidos como nos países em desenvolvimento.
Embora as especificidades variem entre os países, PKI padrões como certificados digitais, criptografia de chave pública/privada, funções hash, verificação de identidade confiável e evidências de adulteração fornecem a base técnica para obter validade legal na maioria das jurisdições.
<p classe=”md-end-bloco md-p”>
