SEI - Assinatura de documentos com login e senha e com certificado digital
-
Francisco Luciano de Souza
4 de Agosto de 2016 às 11:36Prezados,
Há um tópico que, para mim, ainda não há muita clareza. Que documentos devem ser assinados com login e senha e quais outros devem ser assinados por meio de certificado digital? Há uma diretriz clara e inequívoca a este respeito? Quanto de norma e quanto de decisão gerencial se tem neste tema? Em seus órgãos, possuem normas, procedimentos ou orientações que tratem deste assunto?
Luciano de Souza
Gerência de projetos
Comissão de Valores Mobiliários
11 2146-2080 -
4 de Agosto de 2016 às 11:49Caro Francisco,
Pesquisando nas listas de discussão no Portal do SPB, este tema já foi bastante discutido aqui:
https://softwarepublico.gov.br/archives/thread/sei-negocio/decreto-85392015-uso-de-certificado-digital-apenas-para-digitalizacoes
https://softwarepublico.gov.br/archives/thread/sei-negocio/certificado-digital-para-usuarios-externos
https://softwarepublico.gov.br/archives/thread/sei-negocio/autenticacao-de-documentos-externos-no-sei
Com a norma superveniente disposta no § 1º do art. 6º do Decreto 8.539/2015, basicamente, tem-se apenas a obrigação legal de uso de Certificado Digital para autenticação de digitalizações. No mais, pode utilizar a assinatura cadastrada (login e senha) para as demais assinaturas.
Lembrando que, pelas definições do mencionado Decreto, documentos nato-digitais são originais para todos os efeitos e, assim, não precisam ser assinados e muito menos autenticados, sendo o bastante as regras do sistema para garantia de sua integridade e formalismo dentro do processo no qual foi inserido.
De: sei-negocio [mailto:sei-negocio-bounces@listas.softwarepublico.gov.br] Em nome de Francisco Luciano de Souza
Enviada em: quinta-feira, 4 de agosto de 2016 08:36
Para: sei-negocio@listas.softwarepublico.gov.br
Assunto: [sei-negocio] SEI - Assinatura de documentos com login e senha e com certificado digital -
4 de Agosto de 2016 às 11:58Obrigado, Nei, ajudou muitíssimo. Era precisamente aquilo de que necessitava.
De: Nei Jobson da Costa Carneiro [mailto:neijobson@anatel.gov.br]
Enviada em: quinta-feira, 4 de agosto de 2016 08:49
Para: Francisco Luciano de Souza; sei-negocio@listas.softwarepublico.gov.br
Assunto: RES: SEI - Assinatura de documentos com login e senha e com certificado digitalPara: sei-negocio@listas.softwarepublico.gov.br -
4 de Agosto de 2016 às 12:16PrezadoLuciano,
Acreditoque a legislação mais “específica” sobre isso seja o Decreton° 8.539, de 8 de outubro de 2015, que dispõesobre o uso do meio eletrônico para a realização do processoadministrativo no âmbito dos órgãos e das entidades daadministração pública federal direta, autárquica e fundacional, eno seu art. Art. 6ºcita que
“Aautoria, a autenticidade e a integridade dos documentos e daassinatura,nos processos administrativos eletrônicos, poderão ser obtidas pormeio de certificado digital emitido no âmbito da Infraestrutura deChaves Públicas Brasileira - ICP-Brasil, observados os padrõesdefinidos por essa Infraestrutura.§1º O disposto no caput não obsta a utilizaçãode outro meio de comprovação da autoria e integridade de documentosem forma eletrônica, inclusive os que utilizem identificação pormeio de nome de usuário e senha.”
Deforma geral, o que eu vejo éque a maioria das instituições estão partindo da ideia de usarassinatura digital, principalmente quando se realiza a digitalizaçãode documentos, afinal, os dispositivoslegais (Decreto n° 8.539, Lei 12.682, etc) citam a assinaturadigital como sinônimo de autenticidade(o que é um equívoco).Assinaturadigital em documentos digitalizados não garante autenticidade.Autenticidade só é presumida através de um conjunto de elementos(gerenciais e tecnológicos) aplicadosaos sistemas informatizados e aos repositórios de documentos. Paramaior esclarecimentos sobre os conceitos de autenticidade,autenticação, uso de assinaturas digitas, recomendo a análise daResolução n° 37/2012 do Conselho Nacional de Arquivos, que tratada Presunção de Autenticidade de Documentos ArquivísticosDigitais. O documento é bem sucinto e esclarece muito bem essaquestão de uso das assinaturas.
Atenciosamente,
Murilo Schäfer - ArquivistaUniversidade Federal da Fronteira Sul - UFFSChapecó-SC
Em Quinta-feira, 4 de Agosto de 2016 8:36, Francisco Luciano de Souza
Prezados, Há um tópico que, para mim, ainda não há muita clareza. Que documentos devem ser assinados com login e senha e quais outros devem ser assinados por meio de certificado digital? Há uma diretriz clara e inequívoca a este respeito? Quanto de norma e quanto de decisão gerencial se tem neste tema? Em seus órgãos, possuem normas, procedimentos ou orientações que tratem deste assunto? Luciano de Souza Gerência de projetos Comissão de Valores Mobiliários 11 2146-2080
_______________________________________________
sei-negocio mailing list -
6 de Junho de 2017 às 20:24Apesar das opiniões apresentadas, ainda estou em dúvida e inseguro, continuo achando que login e senha é um recurso muito frágil para autenticar qualquer coisa.
O artigo abaixo apresenta alguns argumentos que reforçam minha opinião.
http://www.iti.gov.br/noticias/indice-de-noticias/4113-validade-juridica-de-documentos-publicos-eletronicos-e-garantida-com-certificado-digital
Existem fatores técnicos que precisam ser analisados.
Pelo que entendo o sistema SEI não assina um documento do tipo PDF(ou digitalizado). Os dados são armazenados em um campo de uma tabela no banco de dados( embora que por definição também pode ser considerado um documento), as assinaturas ficam em outra tabela.
Quando o documento é exibido, é apresentado o texto junto com a assinatura(formato html). Tipo 2 em 1.
“É como ter um cheque de um milhão e a assinatura na outra folha grampeada, e dizer pode confiar que isso é seguro.”
No mundo onde senhas são quebradas a todo momento, acho muito arriscado permitir login e senha para assinar qualquer tipo de documento.
Penso que até o momento, apenas o certificado digital pode dar uma segurança.
Senhas ficam armazenadas no sistema e trafegam pela rede.
Mas o que mais me assusta é pensar que um texto pode ser alterado, ou que pode ocorrer uma perda de integridade entre a assinatura e o texto. Sistema 100% robusto?Marcos Palma
Analista de Sistemas -
6 de Junho de 2017 às 21:36
-
Marcos Paulo Ferreira Rebello
7 de Junho de 2017 às 12:28Prezado Marcos, (xará)
Já tentei me aprofundar nessa discussão algumas vezes - não só nos grupos
do SEI, como aqui em Jundiaí com o grupo de Segurança da Informação da
Prefeitura, e até no fórum da unicamp que tratou de processos eletrônicos.
A situação atual é:
A validade jurídica 'real' da assinatura digital só se dá mediante
certificação digital pelo IPC. Ponto.
Porém, lembre-se de que a assinatura digital tem 'data de validade'. Ou
seja, a não ser que seja utilizado um carimbador de tempo em conjunto com o
certificado digital, TODOS os documentos assinados digitalmente são
automaticamente 'invalidados' no momento em que vence a validade do
certificado ou o mesmo for revogado.
Um carimbador de tempo válido no IPC (aí não valem os serviços gratuitos
oferecidos em alguns países) não sairá por menos de uns R$ 100.000,00.
Sendo assim, é inviável possuir hoje a assinatura digital ideal para a
maioria dos órgãos públicos.
Por esse motivo, ainda não implantei nenhum processo que necessite de
guarda de documentos a longo prazo aqui no IPREJUN (instituto de
previdência, onde um processo de aposentadoria deve ser guardado, no
mínimo, até a morte do último pensionista).
Porém, sendo prático, acredito que a segurança digital, mesmo que por login
e senha, seja mais confiável do que uma mera assinatura em papel em um
documento em papel - que creio ser muito mais fácil de adulterar o
documento/falsificar uma assinatura do que com os processos em meio digital.
Essas preocupações creio que virão à tona apenas quando os 'problemas'
surgirem.
Então, no momento, recomendo:
- tenha o termo de responsabilidade dos usuários pelo uso de sua senha
assinados em papel
- tenha o backup dos dados do SEI
- tenha uma cópia dos fontes do SEI para poder acessar os documentos (em
conjunto com o bakcup dos dados) caso tenha algum problema na continuidade
de uso do SEI pela entidade -- lembrando que essa cópia do sistema 'ainda'
é 'ilegal' pelos termos de acordo do uso do SEI
[image: IPREJUN]
*MARCOS PAULO FERREIRA REBELLO*
*Analista de Gestão - Informática*📧 mrebello@jundiai.sp.gov.br ☏ +55 11
4589-8987
*Instituto de Previdência do Município de Jundiaí*
Em 6 de junho de 2017 17:40, Marcos Palma -
7 de Junho de 2017 às 16:33Complementando a discussão sobre este tema (aparentemente não háum consenso, embora seja de absoluta importância) o ITI seposicionou desfavorável ao uso de login e senha para assinardocumentos digitais, conforme consta no Novo Manual de Perguntas eRespostas Jurídicas da ICP-Brasil:
http://www.iti.gov.br/publicacoes/manuais#r43
(Coincidentemente hoje o Manual está fora do ar).
No meu comentário anterior, tentei demonstrar que, de forma geral,se tivermos um ambiente controlado de produção de documentosdigitais (um SIGAD) há recursos (trilhas de auditoria, metadados,controle de acesso, etc.) que permitem presumir a autenticidade dosdocumentos, mesmo sem o uso de certificados digitais. Mas veja quepara isso precisamos ter um cenário no qual os sistemas sejam SIGADs(aderentes ao e-Arq ou ao Moreq-Jus)…. Coisa que ainda nãoacontece na maioria dos casos. Além disso, há casos e situaçõesem que mesmo tendo um SIGAD, pode-se ou deve-se utilizar certificadosdigitais, como, por exemplo, se o documento sai do ambientecontrolado, ou se o documento envolve decisões críticas querequeiram um elevado grau de controle e comprovação, etc.
É interessante notar que o Decreto n° 8.539 trouxe essapossibilidade de uso do login e senha, mas como a maioria daslegislações recentes sobre essa temática deixa tudo muito vago enão considera situações pontuais. O seu questionamento refletemuito bem sobre a necessidade das instituições avaliarem até queponto é dispensável o uso do certificado digital sem comprometer a segurança e a autenticidade dos documentos, e não levar emconta apenas o fator “economia”.Em Terça-feira, 6 de Junho de 2017 17:40, Marcos PalmaPelo que entendo o sistema SEI não assina um documento do tipo PDF(ou digitalizado). Os dados são armazenados em um campo de uma tabela no banco de dados( embora que por definição também pode ser considerado um documento), as assinaturas ficam em outra tabela. -
27 de Novembro de 2017 às 13:09O Serpro e a Bry comercializam carimbos de tempo no padrão ITI por custos bastante acessíveis. Os padrões de assinatura digital utilizando hardware criptográfico em conjunto com carimbo de tempo oferecem um nível de garantia que dificilmente podem ser contestados judicialmente.
Nei Jobson da Costa Carneiro
Murilo Schafer
Marcos Palma
Fabiano Kuss