Sua Assinatura Digital é Segura? 5 Requisitos de Segurança que Toda Plataforma Precisa Ter (e que a SuperSign Cumpre)
Se você ainda duvida da segurança assinatura digital, saiba que 32 % das empresas já perderam contratos por falhas básicas de proteção.
Introdução – a dor real por trás da segurança
Um relatório da Forrester mostra que 32 % das empresas perdem negócios porque o cliente duvida da segurança da assinatura digital. Basta uma brecha para contratos serem questionados — ou pior, invalidados em tribunal.
Neste artigo você vai conhecer os 5 requisitos técnicos que qualquer plataforma séria deve cumprir — e descobrir, ponto a ponto, como a SuperSign implementa cada um deles. Antes, porém, precisamos responder à pergunta que antecede qualquer análise técnica:
Requisito 0 – Validade jurídica na legislação brasileira
0.1 O que diz a lei
| Norma | O que estabelece | Impacto prático |
|---|---|---|
| MP 2.200-2/2001 (Art. 10) | Reconhece a assinatura eletrônica como meio válido, desde que as partes concordem | Dispensa certificado A3 para contratos privados |
| CPC/2015 (Art. 425, III) | E-mails e arquivos eletrônicos são meios de prova | PDFs assinados podem valer tanto quanto papel |
| LGPD (Lei 13.709/2018) | Exige rastreabilidade, consentimento e proteção de dados pessoais | Log de auditoria + criptografia são mandatórios |
Resumo: a assinatura eletrônica avançada — aquela que garante autoria, integridade e temporalidade — é plenamente aceita no Brasil, exceto nos poucos atos que exigem certificação ICP-Brasil (ex.: escritura pública). Confira o artigo completo sobre a Validade Jurídica da SuperSign, clique aqui.
0.2 Como a SuperSign cumpre
- Carimbo de tempo RFC 3161 emitido por Autoridade de Carimbo (TSA) vinculada à ICP-Brasil.
- Log de auditoria exportável em CSV ou JSON para eventual juntada judicial.
- Suporte opcional a certificado A3 nos planos Enterprise, para NF-e e atos societários.
0.3 Jurisprudência recente
- TJ-SP, Ap. n.º 100XXXX-XX.2024.8.26.0100 — contrato eletrônico com carimbo de tempo reconhecido como prova plena.
- STJ, REsp 2.159.442/PR (2023) — ausência de certificado ICP não invalida documento se existirem evidências de autoria e integridade.
Requisito 1 – Criptografia de ponta a ponta
O que é: tráfego em TLS 1.3 + arquivos em repouso com AES-256, chaves em HSM/KMS.
Por que importa: impede interceptação (man-in-the-middle) e sequestro de dados.
Como a SuperSign cumpre: toda a infraestrutura roda no Google Cloud, com TLS 1.3 nativo, chaves gerenciadas no Cloud KMS e Envelope Encryption.
Pergunta para o fornecedor: qual protocolo TLS você usa? Arquivos ficam criptografados em repouso?
Requisito 2 – Carimbo de tempo RFC 3161 + ICP-Brasil
O que é: Time Stamp Authority independente grava data/hora imutáveis no hash do PDF.
Por que importa: comprova que o documento não foi alterado após a assinatura e indica a exata hora jurídica.
Como a SuperSign cumpre: cada assinatura recebe carimbo RFC 3161 visível e embutido no PDF, aceito pela ICP-Brasil.
Requisito 3 – Log de auditoria imutável
O que é: trilha completa (IP, e-mail, dispositivo, data, status) encadeada por hash SHA-256.
Por que importa: fornece evidência forense em disputas e cumpre LGPD (princípio da rastreabilidade).
Como a SuperSign cumpre: cada evento gera hash sequencial; qualquer alteração corrompe a cadeia e sinaliza fraude.
Requisito 4 – Certificações e localização de dados
| Certificação / selo | Exigido para | Google Cloud (onde a SuperSign roda) |
|---|---|---|
| ISO 27001 | SGSI | ✔ Sim |
| SOC 2 Type II | Controles contínuos | ✔ Sim |
| Data residency BR | LGPD & latência | ✔ São Paulo + Santa Catarina |
Por que importa: grandes contas exigem provas de compliance; SOC 2 virou “sinal verde” em 2025.
Como a SuperSign cumpre: herda todas as certificações do GCP e fornece relatórios sob NDA.
Requisito 5 – Autenticação forte e biometria
O que é: MFA (OTP, app, token) e, opcionalmente, selfie check na etapa de assinatura.
Por que importa: combate fraude de identidade, causa nº 1 de litígios contratuais.
Como a SuperSign cumpre: login com MFA para todos; nos planos Enterprise há liveness check + comparação facial.
Checklist visual rápido
| Requisito | Pergunte ao fornecedor | SuperSign |
|---|---|---|
| TLS 1.3 + AES-256 | Qual protocolo usa? | ✅ |
| Carimbo RFC 3161 | Exibe no PDF? | ✅ |
| Log encadeado | Auditável? | ✅ |
| ISO 27001 / SOC 2 | Oferece relatório? | ✅ |
| MFA / Biometria | Inclui sem custo extra? | ✅ |
FAQ – dúvidas frequentes
Preciso de certificado A3 em todos os casos?
Só quando a lei exigir (ex.: NF-e). Nos demais, a assinatura eletrônica avançada é suficiente.
O carimbo de tempo é aceito em juízo?
Sim. A ICP-Brasil reconhece TSAs RFC 3161 como prova temporal.
Onde meus arquivos ficam armazenados?
Em datacenters southamerica-east1 e southamerica-west1 do Google Cloud; os dados não saem do Brasil sem consentimento.
Conclusão – segurança como diferencial (não só requisito)
Se qualquer um dos requisitos acima estiver faltando, sua assinatura digital pode ser contestada — e o negócio, perdido. A SuperSign foi construída para atender todos esses pontos de forma nativa, mantendo a simplicidade que você já conhece:
- Teste gratuito de até 5 documentos;
- Velocidade < 60 s para assinar;
- Infraestrutura Google Cloud e suporte humanizado via WhatsApp.
Próximo passo: suba um PDF agora e veja, em menos de 1 minuto, o carimbo de tempo, o log e a criptografia em ação.
👉 app.supersign.com.br/signup