Portaria ITI nº 22, publicada no Diário Oficial da União desta segunda (02/10), regulamenta os procedimentos de utilização do serviço de Validação de Assinaturas Eletrônicas, denominado VALIDAR, oferecido pelo Instituto Nacional de Tecnologia da Informação – ITI.
A norma reúne as funções, características, requisitos e diretrizes do serviço, além de apresentar, em anexo, o Termo de Responsabilidade e Política de Privacidade ora vigente.
O documento destaca que o VALIDAR destina-se aos usuários, pessoas físicas e/ou os representantes de organizações públicas e privadas, que desejarem consultar o status das assinaturas dos documentos assinados eletronicamente. O serviço possui as seguintes funções:
-
Validação de assinaturas eletrônicas;
-
Verificação de cadeia de confiança;
-
Verificação da conformidade com o Padrão brasileiro de Assinatura Digital, regulamentado no âmbito da ICP-Brasil;
-
Garantia de autenticidade e integridade dos documentos;
-
Emissão de relatórios.
Com isso os usuários passam a contar com orientações normativas importantes sobre alguns dos procedimentos que envolvem, por exemplo, aceitar ou não um documento que não tenha sido validado ou sobre os procedimentos para validação de documentos com QR Codes.
O Validar é um serviço desenvolvido e gerenciado pelo ITI que pode ser utilizado gratuitamente através do site (https://validar.iti.gov.br), do aplicativo VALIDAR – QR CODE ou por meio da integração com sites de outros órgãos públicos.
DIÁRIO OFICIAL DA UNIÃO
Publicado em: 02/10/2023 | Edição: 188 | Seção: 1 | Página: 2
Órgão: Presidência da República/Casa Civil/Instituto Nacional de Tecnologia da Informação
PORTARIA ITI Nº 22, DE 28 DE SETEMBRO DE 2023
Regulamenta e estabelece os procedimentos a serem seguidos para utilização do serviço VALIDAR.
O DIRETOR-PRESIDENTE SUBSTITUTO DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso da atribuição que lhe confere o art. 1º do ANEXO I do Decreto nº 11.206, de 26 DE SETEMBRO de 2022 e
CONSIDERANDO a Lei nº 14.063, de 23 de setembro de 2020, que dispõe sobre o uso de assinaturas eletrônicas em interações com entes públicos, em atos de pessoas jurídicas e em questões de saúde e sobre as licenças de softwares desenvolvidos por entes públicos;
CONSIDERANDO que, consoante o art. 13 da Medida Provisória nº 2.200-2, de 24 de agosto de 2001, o ITI é a Autoridade Certificadora Raiz da ICP-Brasil;
CONSIDERANDO a Portaria nº 016, de 02 de abril de 2020, que estabelece os procedimentos a serem adotados para a revisão e a consolidação dos atos normativos inferiores a decreto, no âmbito do ITI;
CONSIDERANDO que o Ministério da Economia editou a Portaria nº 2.154, de 23 de fevereiro de 2021, estabelecendo os níveis mínimos de exigência para as assinaturas em interações eletrônicas com entes públicos;
CONSIDERANDO a Portaria conjunta ITI/CC/PR SGD/SEDGG/ME nº 1, de 8 de setembro de 2021, que estabelece os padrões criptográficos referenciais para as assinaturas eletrônicas avançadas nas comunicações que envolvam a administração pública federal direta, autárquica e fundacional; e
CONSIDERANDO o conjunto normativo que cria o Padrão Brasileiro de Assinaturas Eletrônicas da ICP-Brasil, definido pela Resolução CG ICP-BRASIL nº 182, de 18 de novembro de 2021 e seus anexos, resolve:
Art. 1º Esta Portaria regulamenta os procedimentos de utilização do serviço de Validação de Assinaturas Eletrônicas, denominado VALIDAR, oferecido pelo Instituto Nacional de Tecnologia da Informação – ITI.
§ 1º O VALIDAR é um serviço desenvolvido pelo Instituto Nacional de Tecnologia da Informação (ITI) com vistas à verificação do status das assinaturas eletrônicas regulamentadas e que pode ser utilizado gratuitamente através de site (www.validar.iti.gov.br), do aplicativo VALIDAR – QR CODE ou por meio da integração com sites de outros órgãos públicos.
§ 2º São consideradas para efeito desta portaria, as seguintes assinaturas eletrônicas:
I – assinaturas eletrônicas qualificadas emitidas por meio de certificados digitais da ICP-Brasil;
II – assinaturas eletrônicas avançadas emitidas a partir do portal GOV.BR, por meio do serviço provido pelo ITI, disponível em https://assinador.iti.br; e
III – assinaturas eletrônicas providas por infraestruturas de chaves públicas nacionais e oficiais de outros países que mantenham acordos de reconhecimento mútuo de assinaturas eletrônicas ou outros termos equivalentes que assegurem o mesmo tratamento às assinaturas eletrônicas produzidas no âmbito da ICP-Brasil no outro país.
Art. 2º O serviço destina-se aos usuários, pessoas físicas e/ou os representantes de organizações públicas e privadas, que desejarem consultar o status das assinaturas dos documentos assinados eletronicamente, conforme funções, características, requisitos e diretrizes, a saber:
§ 1º O serviço possui as seguintes funções:
I – validação de assinaturas eletrônicas;
II – verificação de cadeia de confiança;
III – verificação da conformidade com o Padrão brasileiro de Assinatura Digital, regulamentado no âmbito da ICP-Brasil;
IV – garantia de autenticidade e integridade dos documentos; e
V – emissão de relatórios.
§ 2º Ao término do processo de submissão de um documento eletrônico, o VALIDAR se caracteriza por mostrar o status das assinaturas, não sendo possível reconhecer assinaturas não-ancoradas em uma das Autoridades Certificadoras Raiz reconhecidas pelo serviço, cabendo ao usuário decidir sobre o aceite ou não de um documento submetido ao serviço, e para isso deve analisar o resultado individual de cada assinatura e, consultar o Relatório de Conformidade, para maior detalhamento sobre eventuais inconsistências.
§ 3º Os requisitos para validação das assinaturas são aqueles definidos no conjunto normativo da ICP-Brasil, ou da plataforma GOV.BR ou, ainda, dos padrões internacionais adotados e reconhecidos pelo ITI, para o caso de assinaturas eletrônicas produzidas por infraestruturas de chaves públicas oficiais de outros países com os quais o Brasil mantem algum tipo de acordo.
§ 4º O ITI define e divulga suas próprias diretrizes para a criação de QR Codes que sejam compatíveis com o serviço e não se responsabiliza por instruir os desenvolvedores sobre como gerar tais QR Codes ou por eventuais danos causados pela inobservância às orientações.
Art. 3º O ITI reserva-se o direito de divulgar guias e requisitos, inclusive para a criação de QR Codes, com orientações que, se adotadas, garantem segurança e evitam erros e falhas, além de contribuir para o uso de práticas adequadas.
Parágrafo único. As orientações de que trata o caput não implicam ao ITI quaisquer responsabilidades por instruir os usuários, inclusive os desenvolvedores sobre como gerar tais QR Codes ou por eventuais danos causados pela inobservância às orientações.
Art. 4º O canal de atendimento aos usuários para esclarecimento de dúvidas é o FALA.BR, sendo que o ITI, reserva-se o direito de não prestar orientações de cunho técnico.
Art. 5º O Termo de Uso e Política de Privacidade ora vigente está disposto no ANEXO e se encontra disponível no seguinte endereço eletrônico: www.validar.iti.gov.br, podendo ser atualizado a qualquer tempo.
Art. 6º O serviço objeto desta Portaria não é de uso obrigatório, cabendo às entidades públicas ou privadas, ou ainda, usuários de forma geral, conhecerem as funções, características, requisitos e diretrizes do VALIDAR e decidirem sobre sua utilização.
Parágrafo único. A utilização do serviço de que trata esse caput poderá consistir na obtenção de resultados que não implicam, necessariamente, que o documento e seu conteúdo assinado digitalmente seja aprovado ou reprovado ou que as declarações nele constantes e seu signatário sejam verdadeiros ou não, sendo de inteira e exclusiva responsabilidade do interessado utilizar ou não tais resultados para tomada de decisão.
Art. 7º Esta Portaria entra em vigor na data de sua publicação.
MAURICIO AUGUSTO COELHO
anexo
TERMO DE USO E POLÍTICA DE PRIVACIDADE
INFORMAÇÕES NESSE DOCUMENTO
Neste Termo, o usuário do serviço VALIDAR encontrará informações sobre:
• Aceitação do Termo;
• Descrição do serviço;
• Legislação aplicável;
• Tratamento de dados;
• Resultados obtidos;
• Responsabilidades do usuário;
• Garantias do ITI;
• Responsabilidades do ITI.
ACEITAÇÃO DO TERMO
Ao utilizar o serviço, você confirma que leu, compreendeu o Termo de Uso e Política de Privacidade aplicáveis ao serviço solicitado e concorda em ficar a eles vinculado.
DESCRIÇÃO DO SERVIÇO
Lançado em 19 de dezembro de 2022, o VALIDAR unifica e substitui outros dois portais de serviços: o www.assinaturadigital.iti.gov.br e o www.verificador.iti.gov.br.
O serviço permite conferir apenas o status de uma assinatura eletrônica, seja ela do tipo avançada ou qualificada, quanto à integridade e autoria, em documentos assinados digitalmente por certificados emitidos no âmbito da ICP-Brasil ou por outras infraestruturas que sejam oficialmente reconhecidas no Brasil, como a assinatura avançada produzida no âmbito do portal GOV.BR, não sendo possível conferir a veracidade do conteúdo dos documentos submetidos.
Este serviço também compreende a submissão de documentos cujas assinaturas eletrônicas tenham sido providas por infraestruturas de chaves públicas oficiais de outros países.
LEGISLAÇÃO APLICÁVEL
O VALIDAR atende os dispositivos legais, tal como a regulamentação da ICP-Brasil e as definições contidas tanto na Medida Provisória nº 2.200-2, de 24 de agosto de 2001, quanto na Lei nº 14.063, de 23 de setembro de 2020 e no Decreto nº 10.543, de 13 de novembro de 2020. Obedece ainda ao Acordo de Reconhecimento Mútuo de Assinaturas Digitais do Mercosul e a eventuais outros acordos, convênios e tratados de reconhecimento técnico de assinaturas eletrônicas de que o Brasil seja signatário
Ressalta-se ainda que o serviço também considera as assinaturas providas por certificados digitais procedentes da cadeia de confiança da Adobe. Isso acontece porque o ITI representa o Brasil no programa Adobe Approved Trust List, conforme acordo assinado entre ITI e aquela empresa.
Além disso, apenas são passivéis de verificação os arquivos produzidos nos formatos CMS CAdES, XAdES e PAdES nas modalidades embarcadas ou destacadas, conforme previsto na Resolução CG ICP-Brasil nº 182, de 18 de fevereiro de 2021 e na Portaria Conjunta ITI/CC/PR SGD/SEDGG/ME nº 1, de 08 de setembro de 2021.
A Resolução CG ICP-Brasil 182/2021 traz uma visão geral sobre assinaturas digitais, define os principais conceitos e lista os demais documentos que compõem as normas da ICP-Brasil sobre o assunto. Já a Portaria Conjunta ITI/CC/PR SGD/SEDGG/ME 1/2021 estabelece os padrões criptográficos referenciais para as assinaturas eletrônicas avançadas nas comunicações que envolvam a administração pública federal direta, autárquica e fundacional.
TRATAMENTO DE DADOS
Durante a navegação, o portal VALIDAR utiliza cookies próprios (primários), ou seja, dos domínios validar.iti.gov.br e validar.iti.br, para registrar as configurações e preferências de navegação dos usuários e gerar relatórios estatísticos através do Google Analytics, e também cookies de terceiros para complementar essas estatísticas. A configuração do Google Analytics para os domínios citados não permite que dados pessoais e o documento assinado objeto de validação sejam armazenados e/ou repassados a terceiros.
O serviço descarta o documento submetido à verificação tão logo finalize a validação das assinaturas e, para isso, precisa calcular o hash (resumo criptográfico) do documento e compará-lo com o hash da assinatura. Dados obtidos através de documentos enviados por usuários através dos canais de atendimento, entre os quais Fala.BR e e-mail institucional do ITI, são tratados exclusivamente para analisar a dúvida do usuário e descartados na sequência.
Para a finalidade de informar o resultado da verificação dos documentos assinados eletronicamente, o portal VALIDAR realiza o tratamento dos seguintes dados pessoais dos documentos enviados pelos usuários:
• Nome;
• CPF;
• Registro Profissional, quando o documento contiver atributo de identificação profissional.
O ITI se compromete a apresentar o CPF do(s) signatário(s) de forma anonimizada a fim de proteger os dados do cidadão.
RESULTADOS OBTIDOS
O resultado bem-sucedido da verificação de arquivo assinado digitalmente com certificado ICP-Brasil ou GOV.BR, quando submetido ao VALIDAR, poderá resultar nas seguintes situações: Aprovado, Reprovado ou Indeterminado, em conformidade com a norma ETSI EN 319 102-1 V1.1.1. (2016-05), e legislação aplicável, sendo:
Aprovado: Assinatura em conformidade com a regulamentação da ICP-Brasil, no caso de assinaturas eletrônicas qualificadas, ou em conformidade com a regulamentação GOV.BR para assinaturas eletrônicas avançadas;
Reprovado: Assinatura não mantém conformidade com a regulamentação da ICP Brasil, no caso de assinaturas eletrônicas qualificadas, ou não mantém conformidade com a regulamentação GOV.BR para assinaturas eletrônicas avançadas;
Indeterminado: Informações disponíveis são insuficientes para afirmar se a assinatura está em conformidade ou não com as regulamentações da ICP-Brasil, no caso de assinaturas eletrônicas qualificadas, ou com a regulamentação GOV.BR para assinaturas eletrônicas avançadas.
A consulta poderá resultar nas seguintes mensagens de erro:
• Documento sem assinatura ou com assinatura corrompida;
• QR Code gerado com erro;
• O formato de arquivo não é suportado, por favor envie um arquivo no formato pdf, xml ou p7s;
• A API está fora do ar, por favor tente novamente mais tarde.
Os documentos eletrônicos em formato PDF admitem o recurso Modification Detection and Prevention (DocMDP) determinado pela ISO-32000-1/2008 (Document management – Portable document format, Part 1: PDF 1.7), que, quando corretamente implementado, permite verificar se o documento foi ou não modificado após a assinatura. Por isso, caso o software utilizado para assinar documentos PDF não tenha implementado esse recurso, o resultado poderá ser reconhecido como “Indeterminado” pelo VALIDAR.
Ressaltamos que essa capacidade de indeterminar a assinatura de um documento modificado após assinatura foi inserida em março de 2022 no antigo serviço https://verificador.iti.gov.br de modo opcional. No entanto, com a extinção do Verificador (e sua unificação ao Validar) tal critério, antes opcional, passou a ser obrigatório. Com isso, é possível que assinaturas antes consideradas válidas passem a obter, como resultado, a mensagem “assinatura indeterminada”
Esses resultados não implicam, necessariamente, que o arquivo assinado digitalmente seja aprovado ou reprovado ou que as declarações nele constantes e seu signatário sejam verdadeiros ou não.
RESPONSABILIDADES DO USUÁRIO
O usuário se responsabiliza pela conformidade dos documentos, dados e procedimentos e reconhece que a imprecisão destes poderá causar a impossibilidade de se obter a validação de documentos eletrônicos através do serviço.
Durante a utilização do serviço, a fim de não sobrecarregar o serviço de informação ao cidadão, o usuário se compromete a consultar se as suas dúvidas já foram sanadas e disponibilizadas no link: https://validar.iti.gov.br/duvidas.html.
O usuário compreende que os documentos só poderão ser validados se procederem de certificados digitais ICP-Brasil que tenham validade no momento da submissão ou assinaturas GOV.BR ou que provenham de acordos transfronteiriços. O usuário do serviço também se compromete à leitura e atendimento dos requisitos constantes na Cartilha de Uso e no Guia de Boas Práticas, sendo responsável pelas consequências no descuido ou erros decorrentes da sua não-observância.
O usuário é responsável pela reparação de todos e quaisquer danos, diretos ou indiretos (inclusive decorrentes do desrespeito de quaisquer direitos de outros usuários, de terceiros, inclusive direitos de propriedade intelectual, de segredo e de personalidade), que sejam causados ao ITI, à Administração Pública, a qualquer outro usuário, ou, ainda, a qualquer terceiro, inclusive no ato do descumprimento do estabelecido nestes Termos de Uso ou de qualquer ato praticado a partir de seu acesso ao serviço.
GARANTIAS DO ITI
O Instituto Nacional de Tecnologia da Informação – ITI, como provedor do serviço, se isenta de garantias expressas ou tácitas, incluindo, sem limitações, quaisquer garantias implícitas de comerciabilidade relacionada ao arquivo contendo assinatura eletrônica qualificada ou avançada submetida ao serviço.
O usuário que aceita este termo fica ciente da forma como o serviço se apresenta, independentemente da versão disponibilizada, não podendo reclamar por falhas ou falta de função, sendo que qualquer pedido de correção devidamente evidenciada poderá ser encaminhado ao ITI, que fará análises, sem, entretanto, garantir a alteração ou prestação de suporte técnico.
RESPONSABILIDADES DO ITI
O ITI se compromete em cumprir todas as legislações relativas ao uso correto dos dados pessoais do cidadão, bem como a garantir todos os direitos e garantias legais dos usuários.
Se compromete ainda a divulgar, em local de fácil acesso, no âmbito de suas competências, informações de interesse coletivo ou geral produzidas ou custodiadas.
O ITI não se responsabiliza pelo conteúdo do documento eletrônico submetido ao portal VALIDAR ou comprometimentos que dele resultem, ou pela eventual atualização das bases de dados de terceiros, quando disponíveis, para complementar alguma informação relevante contida nos documentos submetidos.
Em nenhuma hipótese o ITI será responsável por quaisquer danos diretos, indiretos, incidentais, especiais, exemplares ou consequentes, (incluindo, sem limitação, fornecimento de bens ou serviços substitutos, perda de uso ou dados, lucros cessantes ou interrupção de atividades), causados por quaisquer motivos e sob qualquer teoria de responsabilidade, seja responsabilidade contratual, restrita, ilícito civil, ou qualquer outra, como decorrência de uso do VALIDAR, mesmo que tenham sido avisados da possibilidade de tais danos
O VALIDAR se destina ao uso aberto e livre de ônus tanto para pessoas físicas quanto para pessoas jurídicas, não implicando em compromisso ou vínculo comercial entre as entidades envolvidas.
Ao aceitar esse Termo, o usuário declara ciência de possíveis indisponibilidades ou instabilidades decorrentes de manutenções, ajustes ou mesmo correções, realizadas sem a necessidade de aviso prévio, justificativa de motivos e prazos a fim de corrigir falhas e para verificar a conformidade ao Padrão Brasileiro de Assinaturas Digitais (PBAD), descrito no normativo DOC-ICP15-x, padrões correlatos e legislações aplicáveis.
O usuário que aceita este termo toma ciência da forma como o VALIDAR se apresenta, independentemente da versão disponibilizada. Por isso, não pode reclamar por falhas ou falta de função, sendo que qualquer pedido de correção devidamente evidenciada poderá ser encaminhado ao ITI. Nesses casos, o Instituto buscará fazer análises, sem, entretanto, garantir a alteração ou prestação de suporte técnico.
O ITI resguarda-se no direito de propor quaisquer ações cíveis, penais e administrativas relacionadas ao não cumprimento do disposto neste Termo. Fica eleito, desde já, o foro federal da cidade de Brasília-DF, em detrimento de qualquer outro, por mais especial que seja.
Fica, por fim, reservado ao ITI o direito de alterar o presente Termo a qualquer momento sem prévio aviso.
Confira aqui a publicação no DOU
Com informações do ITI