Posso criar meu próprio Certificado de Assinatura Digital (DSC)?

No cenário de negócios cada vez mais digital de hoje, a necessidade de transações digitais seguras e verificáveis nunca foi tão alta. Os Certificados de Assinatura Digital (DSCs) desempenham um papel fundamental na facilitação da comunicação digital segura. No entanto, uma pergunta que profissionais e proprietários de pequenas empresas frequentemente fazem é: “Posso criar meu próprio DSC?”

Para responder a essa pergunta de forma abrangente, precisamos entender o que é um DSC, o que os regulamentos locais permitem e se é tecnicamente e legalmente viável para um indivíduo criar uma assinatura digital por conta própria.

O que é um Certificado de Assinatura Digital (DSC)?

Um Certificado de Assinatura Digital é uma chave digital segura emitida por uma Autoridade Certificadora (CA) para confirmar a identidade do titular. Ele contém informações como o nome do usuário, endereço de e-mail, país e chave pública. Os DSCs são usados principalmente para assinar documentos digitalmente e verificar a identidade dos signatários em transações online.

Em países como Índia, Hong Kong, Cingapura e outras regiões do Sudeste Asiático, a validade dos DSCs geralmente exige estrita adesão às autoridades certificadoras locais e estruturas legais, como a Lei de Tecnologia da Informação da Índia ou a Lei de Transações Eletrônicas (Capítulo 553) em Hong Kong.

É legal criar meu próprio DSC?

A capacidade de criar seu próprio DSC é regida pelas leis locais de assinatura eletrônica em muitas jurisdições, incluindo Hong Kong, Cingapura e Malásia.

Por exemplo, de acordo com a lei de Hong Kong (Capítulo 553), uma assinatura digital só é considerada válida se for emitida por uma Autoridade Certificadora reconhecida e atender aos requisitos de um certificado reconhecido. Hong Kong Post é uma dessas CAs oficialmente reconhecidas. Da mesma forma, a Lei de Transações Eletrônicas de Cingapura estipula que assinaturas digitais confiáveis devem ser emitidas por uma CA licenciada.

Portanto, para responder diretamente à pergunta:

Sim, tecnicamente você pode criar um certificado digital autoassinado, mas não, ele não será legalmente reconhecido para transações formais envolvendo governo, entidades legais, registros regulatórios ou conformidade corporativa, a menos que seja emitido por uma CA certificada.

Aqui está um gráfico importante para ajudar a entender essa distinção:

O que é um DSC autoassinado?

Quando as pessoas se referem a “criar seu próprio DSC”, geralmente estão falando sobre certificados autoassinados. Ferramentas como OpenSSL, Keytool, etc., permitem que os usuários gerem seus próprios pares de chaves pública e privada e até mesmo assinem seus próprios certificados digitais.

Embora os certificados autoassinados possam ser úteis em ambientes de desenvolvimento, sistemas internos ou processos informais, eles não têm validade legal em ambientes regulamentados. Os sistemas ou navegadores clientes geralmente não confiam nesses certificados, a menos que sejam explicitamente configurados para isso.

Filipinas, Cingapura e Malásia: os regulamentos locais são importantes

Nesses países do Sudeste Asiático, o uso de assinaturas digitais está se tornando cada vez mais difundido à medida que as declarações governamentais, as submissões de licitações e os contratos do setor privado passam por uma transformação digital. No entanto, as estruturas legais locais especificam claramente que “assinaturas digitais certificadas” emitidas por autoridades certificadoras reconhecidas nacionalmente devem ser usadas.

Por exemplo:

• Cingapura: A IMDA mantém uma lista de Autoridades Certificadoras confiáveis.
• Malásia: A Lei de Assinaturas Digitais de 1997 define estritamente as assinaturas digitais como aquelas emitidas por uma CA licenciada.
• Filipinas: De acordo com a Lei de Comércio Eletrônico, a autenticação e a confiabilidade das assinaturas digitais devem depender de unidades de emissão confiáveis.

Portanto, embora você possa gerar um certificado digital para uso pessoal do ponto de vista técnico, a validade legal e o reconhecimento do sistema só podem ser alcançados por meio de uma autoridade autorizada.

Quando você pode usar certificados de assinatura digital feitos em casa?

Embora os certificados caseiros não tenham status legal no governo ou no mundo dos negócios, eles ainda têm seus usos em alguns cenários:

1. Processos internos da empresa: para aplicativos internos que nunca saem da rede, como aprovação interna de documentos, testes de fase de desenvolvimento ou comunicação criptografada entre servidores e clientes.
2. Uso pessoal não legal: por exemplo, assinar documentos PDF antes de enviá-los por e-mail ou marcar documentos informais.
3. Cenários educacionais e de desenvolvimento: aprender princípios ou realizar testes de aplicativos.

Mas é preciso entender que, mesmo para uso interno da empresa, as empresas estão cada vez mais propensas a usar certificados com certificação legal, pois esses certificados podem ser integrados aos sistemas de software da empresa e garantir a conformidade.

Alternativas confiáveis: por que não usar uma autoridade autorizada?

Dada a falta de validade legal e reconhecimento universal dos DSCs caseiros, é altamente recomendável que empresas e indivíduos priorizem certificados emitidos por autoridades certificadoras autorizadas. Esses certificados atendem à conformidade regional, aos padrões de criptografia e são amplamente aceitos por vários portais governamentais e sistemas de negócios.

Por exemplo, a conclusão de declarações fiscais, a assinatura de contratos comerciais ou a participação em licitações de projetos governamentais exigem um DSC legal de uma CA autorizada.

Quais aspectos do DSC ainda posso controlar?

Mesmo que você não possa emitir seu próprio DSC legalmente válido, muitas autoridades certificadoras e provedores de serviços ainda permitem que você personalize e controle até certo ponto:

• Escolha algoritmos de criptografia, como RSA ou ECC;
• Defina o comprimento da chave para atender aos requisitos de segurança;
• Armazene chaves em chaves criptográficas USB ou módulos de segurança de hardware (HSM);
• Gerencie a renovação do certificado e os níveis de autenticação multifator.

Portanto, embora você não possa criar um certificado de forma “totalmente independente”, ainda pode ter um alto grau de controle sobre sua infraestrutura de identidade digital dentro dos limites permitidos pelos regulamentos.

Recomendações para Hong Kong e Sudeste Asiático: use ferramentas eSignGlobal que atendam aos regulamentos locais

Para usuários localizados em Hong Kong ou no Sudeste Asiático, o eSignGlobal oferece uma solução preferencial compatível, rápida e localizada, superior a muitos provedores de serviços internacionais. O eSignGlobal está em conformidade com as leis locais e tem capacidade de coordenação global, tornando-o uma opção legal e eficiente.

Se você é um profissional que envia documentos governamentais ou uma empresa que realiza assinaturas de contratos seguros, o eSignGlobal garante que sua assinatura digital não seja apenas segura, mas também legalmente válida e reconhecida regionalmente.

Conclusão

Então, posso criar meu próprio certificado de assinatura digital? Tecnicamente, sim. Mas você pode usá-lo legalmente para documentos governamentais, legais ou comerciais? Não, a menos que seja emitido por uma autoridade certificadora. Para economizar tempo, evitar riscos legais e aumentar a eficiência dos negócios, especialmente ao operar em Hong Kong ou no Sudeste Asiático, é recomendável escolher um provedor de serviços reconhecido, como o eSignGlobal.

Assinatura segura!