Como assinar envelopes dentro de DocuSign com o Certificado Digital
A ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) funciona como uma identidade virtual que viabiliza a identificação segura do autor de uma transação feita em meios eletrônicos. A certificação, além de representar digitalmente pessoas e entidades, garante validade jurídica aos atos praticados com seu uso, em conformidade com a legislação atual – e a ampla plataforma da DocuSign, é claro, aceita documentos assinados com este certificado digital.
Porém, nenhum fabricante de browsers permite o acesso direto ao par de chaves contido em certificados pessoais (como o ICP-Brasil), dificultando a assinatura de documentos digitalmente. Por conta disso, a DocuSign desenvolveu o Agente de Assinatura, que funciona como um facilitador para assinaturas online que cria pontes rápidas entre os browsers e os certificados.
O que são certificados pessoais?
Certificados pessoais são certificados que podem estar tanto instalados nos computadores dos usuários (A1) quanto armazenados em smartcards (cartões inteligentes) e tokens USB. Usuários de smartcards devem instalar os drivers de seus smartcards bem como de suas respectivas leitoras. Já usuários de tokens devem instalar apenas o driver do token.
Alguns países como Brasil, Bélgica e EUA, e setores específicos como a indústria farmacêutica norte-americana, exigem que seus usuários assinem documentos usando certificados pessoais.
Certificados pessoais carregam consigo três itens principais:
- Certificado X.509
- Chave pública anexada ao certificado
- Chave privada anexada ao certificado
A informação contida em um certificado pessoal é emitida e assinada por um provedor conhecido e confiável, e permite que os usuários se identifiquem para acessar espaços físicos ou imprimir sua identidade em documentos através de assinaturas digitais.
A DocuSign é uma plataforma de gerenciamento de transações digitais que está disponível via browsers e aplicativos móveis que permite aos usuários, dentre muitas outras ações, assinar documentos. Em virtude disso, tornou-se necessário criar a possibilidade de acessar tais certificados e permitir seu uso dentro da plataforma.
O que é o Agente de Assinatura?
O Agente de Assinatura é um componente atualmente escrito em JAVA que funciona como uma ponte entre os browsers e os certificados pessoais. Este componente roda no computador do usuário e executa duas operações principais:
- Listar os certificados pessoais encontrados no computador do usuário que não estejam expirados e cujo uso da chave seja igual a “Assinatura Digital” ou “Não-Recusa”;
- Realizar assinaturas digitais utilizando certificados pessoais.
O Agente de Assinatura funciona no Windows com Chrome, Firefox e IE. Funciona também no Mac com Chrome, Firefox e Safari, mas com algumas restrições - por exemplo, algumas mensagens de erro são indevidamente exibidas caso o JAVA não esteja instalado.
Como o Agente de Assinatura funciona?
O Agente de Assinatura funciona de formas diferentes e requer diversos requisitos de acordo com o browser utilizado pelo usuário. Isto acontece porque o NPAPI - tecnologia anteriormente utilizada para acessar certificados pessoais - não é mais suportado pelo Google Chrome nem pelo Firefox. A instalação do JAVA é obrigatória para todos os browsers.
Google Chrome/Firefox
Como o Google Chrome e o Firefox não suportam mais o NPAPI, a DocuSign desenvolveu um novo mecanismo para acessar certificados pessoais. A solução atual inclui a instalação de uma extensão de browser e de uma aplicação nativa (.exe para Windows e .pkg para Mac).
Os requisitos para realizar uma assinatura no Google Chrome/Firefox são:
- Driver do token USB/smartcard
- Driver da leitora do smartcard
- Extensão do Chrome/Firefox
- Aplicação nativa DocuSign PKI
- JAVA
Para instalar a extensão, é necessário abrir um envelope para que a DocuSign verifique se o computador está preparado para realizar assinaturas digitais. Caso não esteja, será exibido um modal contendo as seguintes instruções:
Inicialmente, será instalada a extensão do browser:
E em seguida, será instalada a aplicação nativa:
Durante a instalação da aplicação nativa, a plataforma DocuSign verificará se o JAVA está instalado. Se não estiver, a plataforma interromperá a instalação da aplicação nativa, redirecionará o usuário para o site do JAVA e solicitará que o JAVA seja instalado. Depois disso, o usuário deverá retornar à DocuSign e iniciar a instalação da aplicação nativa novamente.
Uma vez que o JAVA, a extensão do browser e a aplicação nativa estejam instalados, basta clicar em ‘Continuar’ e o Agente de Assinatura listará todos os certificados pessoais encontrados em seu computador pessoal. A instalação destes componentes ocorrerá apenas uma vez.
Internet Explorer/Safari
Como o IE e o Safari ainda suportam o NPAPI, os usuários não precisarão instalar extensões de browser ou aplicações nativas.
Os requisitos para assinar utilizando IE/Safari são:
- Driver do token USB/smartcard
- Driver da leitora do smartcard
- JAVA
O usuário abrirá o envelope, clicará em ‘Continuar’ e a plataforma DocuSign listará os certificados pessoais. Se o JAVA não estiver instalado, o IE mostrará o seguinte popup:
O usuário deve então clicar em ‘OK’ e, de forma proativa, acessar o site do JAVA para realizar o download e instalar o JAVA.
Obs: Como browser Safari não exibirá nenhuma mensagem, seus usuários devem identificar se o JAVA está instalado ou não, e acessar o site do JAVA para realizar seu download e instalá-lo caso seja necessário.
Uma vez que o JAVA estiver instalado, o usuário deve reabrir o envelope e reiniciar a cerimônia de assinatura clicando em ‘Continuar’. Em seguida, o Agente de Assinatura listará todos os certificados pessoais encontrados em seu computador pessoal.
Como o Agente de Assinatura lista certificados?
É importante que os usuários tenham previamente instalado ou conectado seus certificados pessoais e suas leitoras a seus computadores. A plataforma DocuSign não é responsável por instalar drivers de certificados ou de leitoras. Como lembrete, a DocuSign exibirá um modal assim que os usuários abrirem um envelope:
Depois da instalação de todos os requisitos necessários, o Agente de Assinatura listará todos os certificados pessoais encontrados no computador do usuário:
O usuário pode visualizar os detalhes dos certificados clicando no ícone ao lado de cada certificado listado. Além disso, pode atualizar os certificados caso não tenha instalado ou conectado o seu próprio.
Como o Agente de Assinatura realiza assinaturas?
O usuário poderá selecionar um certificado da lista de certificados, clicará em ‘Continuar’ e informará o PIN:
Obs: O usuário pode não ter que informar o PIN caso esteja usando certificados pessoais que foram instalados em seus computadores, em vez de tokens USB ou smartcards.
A plataforma DocuSign exibirá mensagens de erro para avisar que o usuário pode bloquear seu certificado pessoal caso o PIN seja informado mais que a quantidade de vezes permitida para o certificado.
Se o PIN estiver correto, o Agente de Assinatura realizará a assinatura e em seguida realizará sua validação.
Como o Agente de Assinatura valida assinaturas?
Durante o processo de validação, a plataforma DocuSign deve garantir que:
- O certificado digital utilizado para assinar e todos os certificados que fazem parte de sua cadeia não estão expirados. Um certificado digital não está expirado quando sua data de validade é maior ou igual à hora/data da validação.
- O certificado digital utilizado para assinar e todos os certificados que fazem parte de sua cadeia não estão revogados. Um certificado digital não está revogado quando ele e todos os certificados contidos em sua cadeia não fazem parte da LCR (lista de certificados revogados) de suas respectivas ACs (autoridades de certificação) na data/hora da validação.
- O certificado digital utilizado para assinar foi emitido por uma autoridade de certificação confiável.
- A assinatura digital é íntegra, isto é, o hash do documento original e o hash do documento contido dentro da assinatura são iguais.
Se uma ou mais das condições acima falhar, ou se um erro inesperado acontecer, a assinatura estará inválida e a DocuSign exibirá uma mensagem de erro apropriada. Se todas as condições acima forem bem-sucedidas, a assinatura digital será considerada válida e a plataforma DocuSign encerrará a cerimônia de assinatura.
Qual é o resultado de uma assinatura realizada pelo Agente de Assinatura?
O formato PAdES (PDF Advanced Electronic Signature) é um formato específico para assinaturas realizadas sobre o padrão PDF ISO 32000-1, que foi criado com o objetivo de prover assinaturas digitais que permitam sua validação por longo prazo. O Agente de Assinatura gera assinaturas PAdES. O resultado é um arquivo PDF que contém nativamente todas as assinaturas bem como suas representações gráficas em posições pré-determinadas no documento, o que torna a experiência do usuário mais amigável. Ao abrir um PDF assinado pelo Agente de Assinatura, o usuário visualizará a assinatura conforme a figura abaixo:
Documento assinado na nova experiência da DocuSign exibindo os detalhes da assinatura na aba de assinaturas do leitor.
Obs: Para mais informações sobre assinaturas PAdES, clique aqui.