Assinatura eletrônica em escala na grande empresa

Política corporativa de assinatura: o que definir e como manter

A política corporativa de assinatura é o documento que governa como a assinatura eletrônica é usada na organização — quem pode assinar, em que nível, com qual alçada de aprovação prévia. Sem política, cada área decide por conta própria e o processo se fragmenta.

O que a política precisa definir:

1. Nível de assinatura por categoria de documento: para cada tipo de contrato ou documento (prestação de serviço, compra, RH, locação, financeiro), qual nível de assinatura é obrigatório — simples, avançada ou qualificada com certificado ICP-Brasil. Essa definição é validada pelo jurídico e pelo compliance.
2. Alçadas de aprovação antes da assinatura externa: quais contratos precisam de aprovação interna antes de serem enviados para assinatura do parceiro externo, e quais aprovadores são necessários por faixa de valor ou tipo de comprometimento.
3. Quem está autorizado a assinar em nome da empresa: lista de procuradores e representantes legais com seus limites de alçada. O gestor administrativo mantém essa lista atualizada — cargos mudam, procurações vencem.
4. Como a política é comunicada e atualizada: canal de divulgação, frequência de revisão (anual é razoável como mínimo), responsável pela atualização.

A política não precisa ser um documento complexo — uma tabela de nível por categoria e uma lista de autorizados com alçadas já resolve a maior parte das inconsistências operacionais.

Integração obrigatória em escala: GED, ERP, sistema de contratos e RH

Na grande empresa, a integração da plataforma de assinatura com os sistemas corporativos não é um projeto de otimização — é um requisito operacional. O volume de documentos torna inviável qualquer etapa manual entre a assinatura e o arquivamento ou atualização de status.

As quatro integrações prioritárias e o que cada uma resolve:

1. GED (Gestão Eletrônica de Documentos): o documento assinado vai diretamente para o repositório correto, com metadados definidos — tipo de documento, data, partes, área responsável, prazo de validade se aplicável. O GED não precisa ser atualizado manualmente e a rastreabilidade é completa.
2. ERP: contratos de compra e venda gerados no ERP são enviados automaticamente para a plataforma de assinatura quando aprovados; ao serem assinados, o status é atualizado no ERP e o arquivo é arquivado. O departamento financeiro e o de compras não precisam verificar o status da assinatura manualmente.
3. Sistema de contratos: o ciclo de vida do contrato — da minuta à aprovação interna, ao envio para assinatura, ao arquivamento com alertas de vencimento — é gerenciado de ponta a ponta. Contratos próximos do vencimento geram alertas automáticos para renovação ou encerramento.
4. Sistema de RH: documentos trabalhistas — termos de admissão, aditivos salariais, acordo de banco de horas, documentos de desligamento — são enviados, assinados e arquivados dentro do processo de RH, sem sair para e-mail manual ou download individual.

O gestor administrativo é responsável por levantar os requisitos de cada integração — o que precisa ir para onde, com quais metadados e qual status — antes que a área de TI configure a integração técnica.

Controle de SLA de assinatura: como monitorar sem depender de verificação manual

O SLA de assinatura é o tempo máximo definido por tipo de documento para que todas as partes assinem. Sem SLA definido e monitorado, documentos ficam pendentes indefinidamente sem que ninguém saiba — ou perceba o problema só quando gera um impacto operacional.

Como estruturar o controle de SLA:

1. Definir o SLA por tipo de documento: como orientação prática de mercado, contratos simples de baixo valor costumam ter SLA de 3 a 5 dias úteis; contratos de maior complexidade ou valor, de 7 a 10 dias úteis; documentos trabalhistas podem ter prazos específicos definidos pelo processo de RH. Esses parâmetros são configurados na plataforma.
2. Configurar alertas de prazo: a plataforma envia lembretes automáticos para signatários que não assinaram — geralmente em 50% e em 80% do prazo. Quando o SLA é violado, o responsável pelo documento recebe alerta para acionar o signatário diretamente.
3. Definir escalada: quando o SLA é violado e o contato direto não resolve, qual é o próximo nível de escalada — gerente da área, gestor administrativo, jurídico. Essa escalada deve estar documentada na política.
4. Monitorar por painel: o painel centralizado mostra documentos por status, tempo médio de ciclo por tipo de documento e taxa de cumprimento do SLA por área. O gestor revisa periodicamente — mensal é adequado para ajuste de processo; semanal para operações críticas.

Conformidade com LGPD e segurança da informação em operação corporativa

Na grande empresa, a conformidade da plataforma de assinatura com a LGPD faz parte do processo formal de avaliação de fornecedores que tratam dados pessoais — e o DPO é envolvido antes da contratação.

O que a avaliação formal precisa cobrir:

• A plataforma tem política de privacidade clara e DPO identificado.
• O contrato com a plataforma inclui cláusulas de proteção de dados que definem o papel da plataforma como operadora dos dados dos signatários.
• Os dados são armazenados em servidores com localização conhecida; se houver transferência internacional, há salvaguardas adequadas.
• A plataforma tem processo para atender pedidos de exclusão de dados de signatários.
• A área de segurança da informação avaliou os controles técnicos da plataforma.

O processo de assinatura também deve estar incluído no ROPA (Registro de Operações de Tratamento de Dados) da empresa, com as informações sobre tipos de dados coletados, finalidade, base legal e prazo de retenção.

Gestão de certificados digitais em escala

Quando a empresa usa certificados ICP-Brasil para assinatura qualificada, o controle operacional dos certificados é crítico — um certificado vencido impede a assinatura e pode paralisar um processo.

O que controlar operacionalmente:

1. Inventário de certificados: lista de todos os e-CPFs e e-CNPJs ativos, com o nome do titular, a data de vencimento e o responsável pela renovação.
2. Alertas de vencimento: o certificado deve ser renovado antes do vencimento — um alerta com 60 dias de antecedência é suficiente para conduzir o processo sem urgência.
3. Processo de renovação: quem renova, como renova (autoridade certificadora, processo de agendamento), quem aprova o custo. Em empresas com muitos certificados, o processo de renovação pode ser terceirizado para uma autoridade certificadora com serviço de gestão.
4. Acesso e custódia: quem tem acesso ao certificado digital e em qual dispositivo ele está instalado. O certificado em token físico precisa de controle de custódia — ele não pode ficar em gaveta sem responsável identificado.