Assinaturas eletrônicas e documentos digitais são mais seguros?
Por Ramon de Souza • Editado por Claudio Yuge |
Qualquer profissional que já tenha sido obrigado a lidar com um grande número de documentos impressos sabe o quão desagradável é a experiência de vasculhar dezenas — ou centenas, dependendo do caso — de gavetas metálicas recheadas de arquivos. Acredite ou não, mas esse trabalho dispendioso não é apenas desgastante, mas efetivamente causa uma série de prejuízos financeiros para a empresa ou órgão como um todo.
- Como agir após cair em um golpe cibernético?
- Quais cuidados tomar ao usar o internet banking?
- Engenharia social: o que é e como não ser vítima?
De acordo com uma pesquisa feita pela IDC em 2017, as corporações que insistem em manter suas operações de forma “analógica” gastam nove horas semanais criando documentos físicos, além de cinco horas procurando papéis, quatro horas assinando e três horas preenchendo formulários físicos. Seria desnecessário dizer que esse tempo significa produtividade perdida para seus colaboradores, mas a Gartner e a PwC foram além.
Segundo os institutos, algo entre 2% e 5% dos documentos físicos são extraviados ou perdidos ao longo de sua vida útil, e, em média, as empresas gastam US$ 20 para arquivar um único papel, US$ 120 para encontrá-lo caso haja algum erro no processo de arquivamento e US$ 220 para recriá-lo caso seja perdido para sempre. No meio de tudo isso, temos a incrível média de que 40% das impressões são desnecessárias.
Para o lado do consumidor final, o uso de documentos impressos também é incômodo — quem nunca se estressou ao ter que assinar várias vias de um contrato (por exemplo, de aluguel) e ainda se dirigir ao cartório (ou enviar via motoboy) para autenticar firma? Tratam-se de pequenas burocracias que, em nossa rotina cada vez mais frenética e cansativa, só servem para desperdiçar preciosas horas de nossas vidas.
As vantagens da digitalização
Felizmente, o uso de documentos digitais está se tornando cada vez mais comum, e eles possuem diversas vantagens sobre o papel físico:
- Não ocupam espaço físico: torna-se desnecessário o uso de gavetas, armários e arquivos para guardar toda aquela papelada. Se você possui um escritório físico, isso se traduz em um melhor aproveitamento do seu espaço;
- São mais fáceis de encontrar: chega a ser absurdo comparar a dificuldade de se encontrar um contrato físico guardado há dez anos e encontrar o mesmo documento digitalizado em um servidor ou serviço de armazenamento na nuvem. Basta digitar algumas palavras-chaves e o sistema se encarrega do resto;
- Têm vida útil maior: no geral, o papel é um meio frágil de se armazenar informações. Derrube uma xícara de café sobre um contrato importante que já tenha sido assinado e reconhecido… Será necessário refazer todo o processo. Isso sem contar, é claro, do envelhecimento natural das folhas, que muitas vezes levam à perda da informação.
Mas, no fim das contas, o que todo mundo quer saber é: os documentos digitais são seguros?
É seguro... Se você protegê-los
Depende. Estruturalmente falando, sim, eles podem ser — mas vai depender de como você os armazena. É indiscutível que o acesso a um relatório físico guardado em uma gaveta de um escritório pode ser acessado por agentes não-autorizados com extrema facilidade: basta que ele invada aquele espaço e use alguma ferramenta para arrombar o armário. Já no meio digital, o mais importante é garantir que boas práticas de segurança cibernética estejam sendo seguidas.
Primeiramente, onde os documentos serão armazenados? Em um servidor próprio? Em um data center remoto? Em um serviço comercial de armazenamento na nuvem (Dropbox, Google Drive etc.)? Em qualquer um desses casos, é preciso prestar atenção à questão dos privilégios de acesso, garantindo que somente as pessoas autorizadas poderão acessar aquele ambiente online de forma segura, utilizando login, senha e preferencialmente uma autenticação de dois fatores.
Hoje em dia, já existem sistemas de segurança que adotam a filosofia da confiança zero (zero trust). Neles, os usuários fazem a autenticação em um ambiente digitalizado que verifica continuamente, usando inteligência artificial, a identidade do colaborador com base em seu comportamento, dispositivo com o qual ele está acessando e outros algoritmos diversos — tudo para garantir que aquele internauta não seja um criminoso que se apossou das credenciais do funcionário real, por exemplo.
O uso da criptografia também é uma peça chave. Criptografar os documentos at rest (ou seja, em seu armazenamento, sabendo que eles não serão usados durante um bom tempo) e só descriptografá-los quando for efetivamente necessário faz com que, mesmo caso algum agente malicioso consiga invadir o ambiente em que eles estão guardados, aquela informação continue segura. Afinal, o atacante não conseguirá decifrar nada do que está escrito.
Assinaturas eletrônicas vs digitais
A esta altura do campeonato, você certamente já se convenceu de que os documentos digitais são mais práticos e seguros — claro, se você adotar as medidas adequadas de proteção —, mas e sobre a validade jurídica de um contrato criado integralmente no meio virtual? Bom, para isso, existem as assinaturas digitais e eletrônicas, que, diferente do que muita gente acredita, não são a mesma coisa.
A assinatura eletrônica é o termo usado para se referir a essencialmente qualquer forma eletrônica de validar um documento e substituir a assinatura e a rubrica físicas feitas com caneta. Já a assinatura digital é tipo específico de assinatura eletrônica que adota uma série de controles — certificados digitais, autenticidade de identidade via confirmação de dados pessoais, imagem digitalizada da assinatura física, recolhimento do endereço IP etc. — para garantir validade jurídica sobre um contrato digital.
No Brasil, temos a Medida Provisória nº 2.200-2/2001, que instituiu a Infra-Estrutura de Chaves Públicas Brasileira (ICP-Brasil), um padrão de certificado para comprovação de autoria e integridade de uma assinatura eletrônica. A MP, porém, afirma: “não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.”
Isso significa que o certificado da ICP-Brasil não é o único válido para dar validade jurídica a um documento. Hoje em dia, existem diversas plataformas de assinatura eletrônica que facilitam muito esse processo e atuam como órgãos certificadores independentes, provendo seus próprios meios para comprovar que aquele contrato é juridicamente válido.
Uma das plataformas mais famosas do Brasil, por exemplo, utiliza hashes criptográficas SHA-2 de 512 bits (projetadas pela Agência de Segurança Nacional dos EUA) para criar uma “impressão digital” de cada documento assinado digitalmente. Caso o arquivo seja modificado posteriormente, essas hashes deixam de ter validade; ou seja, se você assina um contrato de aluguel sob o valor de R$ 900 mensais e alguém tenta alterar o documento para você pagar R$ 950, há formas de comprovar que esta segunda versão não foi aquela que você assinou.
Também são disponibilizados diversos recursos para garantir o não-repúdio de uma assinatura (sua contestação perante os órgãos competentes), já que todas as ações são registradas em eventos. Um evento pode conter o carimbo de dia e horário em que a assinatura foi feita, tal como o endereço IP de quem assinou e outros detalhes que facilitam uma eventual perícia, caso haja necessidade.
O descarte correto de documentos impressos
Levando em conta todos esses aspectos, temos um último adendo para as empresas (e até mesmo pessoas físicas) que se convenceram dos benefícios da digitalização de documentos: o correto descarte dos documentos físicos. Vale lembrar que, conforme a Lei Geral de Proteção de Dados (LGPD), a proteção de informações pessoais e sensíveis é válida não apenas para o meio digital, mas também para o meio físico — logo, é preciso tomar cuidado com a forma como os papéis serão descartados.
Ao Canaltech, Marcelo Carreira, diretor de marketing da Access, explica que a maioria das empresas ainda são obrigadas a manter um formato de armazenamento híbrido. “Isso porque, apesar dos documentos digitais já terem a mesma validade dos físicos, a versão em papel não pode ser imediatamente descartada, tendo que, antes, obedecer a uma tabela de temporalidade, que especifica três diferentes critérios para definir o prazo de guarda, com base em documentos permanentes, intermediários ou secundários”, explica.
Segundo Marcelo, grande parte dos documentos ainda precisa ser armazenada durante, no mínimo, de cinco a dez anos, sendo que se desfazer de papéis contendo informações sensíveis pode ser cabível de punição pela Autoridade Nacional de Proteção de Dados (ANPD).
“A saída para escapar da canetada vem sendo os serviços de guarda e gestão documental. Mais do que um espaço físico emprestado para as empresas, esses centros possuem todos os requisitos de segurança e, mais, controlam também os prazos específicos de cada documento para, posteriormente, realizar o descarte segundo a legislação, com a destruição total dos dados, sejam eles papéis, arquivos de mídia ou documentos digitais”, conclui o executivo.
Fonte: DocuSign, IDC (via Diamond Inc.), Governo Federal, E-VAL Tecnologia, Rapidoo, Access