Recursos

Segurança

Esta página descreve o que o Signater faz para proteger seus documentos, com a precisão que um jurídico ou um time de segurança espera — e nada além do que a plataforma entrega.

Da conexão ao arquivo guardado: TLS em trânsito, documentos cifrados e replicados em múltiplas zonas, selagem PAdES no PDF assinado, carimbo do tempo do Signater e uma trilha de auditoria que só cresce.

Fundamentos da plataforma

O recurso de assinatura mais sofisticado vale pouco em uma plataforma frágil. Estas são as proteções de base, da conexão ao banco de dados.

TLS em trânsito, com HSTS

Todo acesso, pelo navegador ou pela API, passa por HTTPS/TLS na borda, com HSTS impedindo que a conexão caia para HTTP sem criptografia.

Arquivos cifrados em repouso

Os documentos ficam em object storage com criptografia AES-256 do provedor e replicação automática em múltiplas zonas e regiões geográficas.

AES-256-GCM para segredos

Tokens de API, códigos de MFA, senhas de certificado digital e credenciais de SMTP ficam cifrados em repouso, com nonce aleatório por valor.

Senhas com PBKDF2

O banco guarda apenas uma derivação PBKDF2 com salt individual; a senha em si nunca é armazenada.

2FA com aplicativo autenticador

Segundo fator TOTP para quem opera a conta, com códigos de recuperação para você não ficar trancado fora ao trocar de aparelho.

Turnstile contra automação

O desafio do Cloudflare Turnstile barra bots nas telas de autenticação, sem pedir que pessoas reais decifrem quebra-cabeças de imagem.

Armazenamento

Arquivos guardados com criptografia e redundância

Os documentos ficam em object storage com criptografia em repouso AES-256 gerenciada pelo provedor — nenhum arquivo é gravado sem cifra.

Cada arquivo é replicado automaticamente entre múltiplos dispositivos, zonas de disponibilidade e regiões geográficas: a falha de um equipamento não compromete seus documentos.

Exclusões passam pela lixeira, com restauração pelo titular da conta antes da remoção definitiva.

Disponibilidade e durabilidade

SLA de 99,9% e arquivos que não se perdem

O armazenamento opera com Acordo de Nível de Serviço (SLA) de 99,9% de disponibilidade.

Os arquivos são replicados pelo provedor em múltiplas regiões geográficas, com durabilidade projetada de 99,999999999% ao ano — onze noves. Na prática, a perda de um arquivo é um evento estatisticamente desprezível.

E camadas adicionais de backup, em região distinta, protegem os documentos além da replicação do provedor.

Padrão de assinatura

Assinatura PAdES embutida no PDF

A assinatura criptográfica fica dentro do próprio arquivo, no padrão PAdES, reconhecível por validadores de assinatura do mercado. O documento carrega a própria prova, em vez de depender de um registro externo.

Depois da assinatura, o documento é selado: qualquer alteração posterior quebra o selo e é apontada pelos leitores de PDF, como o Adobe Reader.

O hash da assinatura usa SHA-256, SHA-384 ou SHA-512, e o trilha de auditoria registra o SHA-256 de cada arquivo para conferência de integridade.

Momento da assinatura

Carimbo do tempo em cada assinatura

Junto com a assinatura, o documento recebe um carimbo do tempo emitido pelo Signater como Autoridade de Carimbo do Tempo: uma prova criptográfica de quando a assinatura aconteceu.

O momento registrado deixa de depender do relógio do computador de quem assinou. Se alguém questionar a data de um contrato, o carimbo do Signater atesta criptograficamente o momento exato — verificável no próprio documento.

Validação de longo prazo

Válido hoje, verificável daqui a anos

Toda assinatura digital é conferida contra um certificado, e certificado expira. Sem preparo, a validação de um documento antigo pode falhar anos depois, mesmo que a assinatura fosse válida no dia.

Com a validação de longo prazo (LTV), o documento embarca a cadeia de certificados completa e os dados de revogação vigentes no momento da assinatura. A prova viaja dentro do arquivo e não depende de consultas externas no futuro.

Evidências

Auditoria imutável

Cada ação no envelope vira um registro novo: nada é editado, nada é apagado. A trilha só cresce, e é isso que a torna confiável como evidência.

O registro é forense: IP, geolocalização e dispositivo a cada evento, além de todas as tentativas de MFA, inclusive as incorretas. Quem errou o código antes de acertar deixou isso escrito.

Ao final, o histórico completo é consolidado no arquivo certificado que acompanha o envelope.

Perguntas frequentes

A assinatura tem validade jurídica?

Sim. No Brasil, a MP 2.200-2/2001 e a Lei nº 14.063/2020 reconhecem a validade jurídica de assinaturas eletrônicas. O Signater produz assinatura eletrônica avançada baseada em certificado digital: vínculo ao signatário, autenticação multifator, integridade por hash, selagem do documento e trilha de auditoria do ato.

Qual a diferença entre assinatura avançada e qualificada?

A avançada identifica o signatário e garante a integridade do documento por meios criptográficos, sem exigir que ele possua certificado ICP-Brasil. A qualificada é feita com o certificado ICP-Brasil do próprio signatário.

Precisa de assinatura qualificada?

O Signater produz assinatura eletrônica avançada baseada em certificado digital, no padrão PAdES. Quando o signatário assina com o próprio certificado ICP-Brasil (A1), com carimbo do tempo qualificado e validação de longo prazo, a assinatura atende aos requisitos da assinatura eletrônica qualificada.

O que é carimbo do tempo (TSA)?

É uma prova criptográfica emitida por uma Autoridade de Carimbo do Tempo que atesta o momento exato em que a assinatura existia. A data do documento deixa de depender do relógio do computador de quem assinou.

O que é LTV e quando preciso dele?

LTV (validação de longo prazo) embarca no documento a cadeia de certificados e os dados de revogação do momento da assinatura. Sem isso, a validação pode falhar quando o certificado do signatário expirar. Vale a pena para documentos que precisam ser verificáveis por anos, como contratos de longa duração e atos societários.

Como os arquivos ficam armazenados?

Os documentos ficam em object storage com criptografia em repouso AES-256 gerenciada pelo provedor, replicados entre múltiplas zonas e regiões geográficas, com SLA de 99,9% de disponibilidade, durabilidade projetada de 99,999999999% ao ano e camadas adicionais de backup. Exclusões passam pela lixeira, com restauração pelo titular da conta.

Como vocês armazenam senhas e segredos?

Senhas de acesso nunca ficam em texto puro: armazenamos uma derivação PBKDF2 com salt individual por senha. Segredos que a plataforma precisa ler de volta, como tokens de API, códigos de MFA, senhas de certificado digital e credenciais de SMTP, são cifrados com AES-256-GCM, com nonce aleatório por valor.

Pessoas em frente a um laptop analisando sua tela

Fale com a equipe

Traga seu checklist de segurança

Avaliando fornecedores? Nossa equipe responde item por item: criptografia, padrão de assinatura e evidências. Tire suas dúvidas direto no WhatsApp.