Hoje, participei de um rápido debate sobre assinatura eletrônica, digital (com certificado digital), carimbo do tempo e o futuro das transações 100% digitais.

Em um determinado momento, um advogado me perguntou sobre a necessidade quanto a contratação de uma carimbadora do tempo homologada pelo ON (observatório nacional) ou ICP-Brasil – uma briga boa e que não é foco deste post – e a minha resposta foi que:

“carimbo do tempo não é necessário quando a empresa que fornece o serviço de assinatura eletrônica ou digital atualiza os relógios de seus servidores com o ntp.br”…

… porém, este fornecedor de serviços terá que apresentar as melhores práticas quanto a este processo.

Mas porque desta minha resposta ?

Primeiro, o que é carimbo do tempo ?

O carimbo de tempo (ou timestamp) é um documento eletrônico emitido por uma parte confiável, que serve como evidência de que uma informação digital existia numa determinada data e hora no passado.

Segundo, para que serve o carimbo do tempo ?

O carimbo de tempo destina-se a associar a um determinado hash, o qual não é o dna do documento, de um documento assinado eletronicamente ou não, uma determinada hora e data de existência. Ressalta-se que o carimbo de tempo oferece a informação de data e hora de registro deste documento quando este chegou à entidade emissora, e não a data de criação deste documento.

Terceiro, qual arquitetura criada para fornecer este serviço, via ON ?

Vejam, a ON sincroniza a hora  com o relógio atômico brasileiro — bacana..

Quarto, como é fornecido o serviço da NTP.br ?

O projeto NTP.br tem por objetivo oferecer condições para que os servidores Internet no Brasil estejam sincronizados com a Horal Legal Brasileira. Para isso foi firmado um acordo entre o Observatório Nacional (ON) e o NIC.br.

O ON tem como atribuição legal a geração, conservação e disseminação da Hora Legal Brasileira. Rastreado ao Bureau International des Poids et Mesures (BIPM), na França, participa do Tempo Universal Coordenado (TUC ou UTC), juntamente com os órgãos disseminadores de tempo e freqüência dos demais países.

Pelos termos do acordo o ON disponibiliza, sem qualquer ônus, ao Núcleo de Informação e Coordenação do Ponto BR – NIC.br, o sincronismo à Hora Legal Brasileira, seguro, confiável, rastreável e auditável, e o NIC.br disponibiliza, sem qualquer ônus, ao ON um conjunto de equipamentos necessários à manutenção da infra-estrutura de sincronismo.

Interessante..

Quinto e último, como é a estrutura de sincronização dos relógios do NTP.br?

Conclusão

A hora fornecida, e de forma gratuita, pelo NTP.br é feita graças a uma parceria com a ON. Sendo assim, quem sincroniza com o ntpb.br automaticamente está sincronizando com o ON, e repetindo, sem custo.

Então, para que a carimbadora do tempo e o custo que ela trás serve mesmo ?

Caso a resposta seja um terceiro de confiança, aí vc cai na mesma discussão que eu tive com o advogado. A empresa provedora do serviço de assinatura eletrônica e/ou digital terá que demonstrar, via seus processos e possível auditoria, que os relógios de seus servidores e sistemas, os quais compõem a solução referida, são atualizados com o ntp.br

P.S.: No final, os advogados concordaram.. heheh

E vc, concorda ?

P.S.S.: uma coisa que pode ser feita, e via sistema, é puxar a hora do ntp.br toda vez que um documento for assinado, tanto eletronicamente como digitalmente, eliminando de uma vez por todas o carimbo do tempo da ON ou do ITI.

P.S.S.S.: e dá para assegurar o ntp dos seus servidores contra ataques.. já avisando..

Atualização:

O engraçado disso tudo é ver a lista de empresas cadastradas ao ICP-Brasil, quanto a emissão de carimbos do tempo, versus as cadastradas junto à ON.

Lista das empresas cadastradas na ICP-Brasil:

Nome da Empresa                           Nome da ACT                            Data de Credenciamento
Caixa Econômica Federal ACT CAIXA Credenciada em 28/01/2013
Serviço Federal de Processamento de Dados – Serpro ACT SERPRO Credenciada em 15/10/2013
Certisign Certificadora Digital S.A. ACT CERTISIGN Credenciada em 29/01/2014
Valid Certificadora Digital ACT VALID Credenciada em 14/04/2014

 

Lista de empresas cadastradas no ON:

1) Empresas autorizadas – ACTs (Autoridade de Carimbo do Tempo) em ordem alfabética:
BOA VISTA Serviços S.A.
BRADESCO S.A.
BRy Tecnologia S.A.
Comprova.com Informática S.A.
Diretriz Consultoria em Informática Ltda.
IDTRUST Tecnologia de Software Ltda.
QualiSign Informática Ltda.

2) Equipamentos certificados em ordem alfabética:
BRy Tecnologia

Não seria mais fácil deixar tudo pelo ON, já que é ele que cuida da hora nacional ?
O desenho da arquitetura abaixo, da própria ICP-Brasil, diz isso:

Compartilhar:

Este post tem 4 comentários

  1. Gustavo, não concordo. Veja, o carimbo de tempo é uma evidência temporal que é anexada ao documento digital assinado e pode ser consultado anos após a assinatura. Já a infraestrutura do provedor pode sofrer mudanças drásticas meses após o documento ser assinado e assim não é possível comprovar mais nada em uma auditoria. Existem documentos que possuem validade após décadas e empresas que desaparecem em alguns anos, como saber se a referencia temporal do documento é confiável se eu nem posso mais auditar a empresa? O por esse motivo o atributo Signing Time não é tão confiável. Isso quando não achamos aplicações mal desenvolvidas que permitem ao assinante manipular a hora da assinatura, colocando todo o processo em risco. Com isso, se a empresa quer tranquilidade jurídica, melhor mesmo usar um carimbo de tempo emitido por um terceiro que mantém seus equipamentos e processos alinhados com ON. Abs!

  2. Eder, descordo do seu ponto de vista..

  3. Gustavo, você discorda do ponto de vista do Éder e “pronto”???
    Digo que não defendo a cobrança do “carimbador de tempo” em cada documento (isto foi coisa de quem imaginou ganhar dinheiro como se carimba “autenticações” país afora… uma jabuticaba digital, diria eu…
    Entretanto, as colocações do Éder fazem parte do arcabouço de argumentos (tecnológicos e não jurídicos) que justificam CARIMBOS e “protocolizadoras” não cartoriais mas sob a égide de algum tipo de terceiro confiável vinculado à ICP-Brasil. É legítimo afirmar que o ON poderia fazer esta atividade, ENTRETANTO, não seria apropriado colocar esta função nas costas do ON (IMNSHO). E deixar que “quem quiser que forneça ou pegue o tempo de quem quer que seja” não parece ser uma solução, minimamente, segura. Ou você discorda é de tudo isto?

  4. Evandro, sim, discordo e ponto. Seria redundante se eu o explicasse, pois eu já tinha postado sobre o assunto.
    Outrossim é que vc fez fez uma excelente e sensata colocação.

Deixe uma resposta

Fechar Menu