Como este tema funciona na sua empresa
Poucos usuários precisam certificado (CEO, gerente financeiro). Escolha: tipo A3 (token, mais seguro) ou A1 (arquivo, mais conveniente). Desafio: renovação anual é fácil de esquecer — alertas são críticos. Fornecedor local é importante (suporte próximo). Custo: R$ 300-500/ano por certificado. Solução: delegar renovação para um responsável; agendar renovação 2 meses antes de vencimento.
Múltiplos certificados (gerentes, aprovadores, assinantes de contrato). Desafios: renovação em massa, integração com sistemas, revogação se colaborador sai. Abordagem: uso de tipo A1 (mais fácil gerenciar) ou A3 com política de segurança clara. Plataforma de gerenciamento centralizada (alguns AC oferecem). Integração com IAM é desejável. Custo: R$ 2-3k/ano por 10-15 certificados.
Infraestrutura de certificado é crítica. Pode ter centenas ou milhares de certificados. Desafios: automação de ciclo de vida (emissão, renovação, revogação), compliance com ISO 27001, integração com Active Directory, auditoria. Solução: PKI corporativa dedicada (Thales, Gemalto) ou managed service. Custo: R$ 50k-500k dependendo escala e complexidade.
ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) é o padrão de criptografia e assinatura digital estabelecido por decreto presidencial no Brasil, regulado pelo Instituto Nacional de Tecnologia da Informação (ITI). Certifi cados ICP-Brasil têm presunção legal de autenticidade e são aceitos em processos judiciais[1].
Como funciona certificado digital: PKI em resumo
Certificado digital usa criptografia assimétrica: dois códigos matematicamente relacionados (chave pública + chave privada). Chave pública é vista por todos; chave privada é secreta sua.
Quando você assina documento com certificado:
- Sistema calcula hash (impressão digital) do documento
- Hash é criptografado com sua chave privada — resultado é assinatura digital
- Documento + assinatura + certificado (que contém chave pública) é enviado para receptor
- Receptor usa chave pública do certificado para descriptografar assinatura e verificar que é autentica
- ICP-Brasil valida que certificado é legítimo (foi emitido por AC autorizada)
Presunção legal: se assinado com certificado ICP-Brasil, presumese que foi assinado por você. Você não pode negar depois ("não foi eu").
Tipos de certificado: A1 vs. A3
ICP-Brasil oferece dois tipos principais de certificado para pessoa:
- A1 (arquivo digital): certificado armazenado em arquivo (.pfx ou .p12) protegido por senha. Validade: 1 ano. Vantagem: conveniente, pode entrar em qualquer computador. Desvantagem: menos seguro (arquivo em laptop pode ser roubado se laptop for hackeado); exige backup cuidadoso.
- A3 (token ou smartcard): certificado armazenado em hardware físico (token USB, smartcard). Validade: até 3 anos. Vantagem: mais seguro (token não sai do bolso); arquivo não pode ser copiado. Desvantagem: menos conveniente (precisa carregar token); alguns sistemas não suportam bem.
Recomendação prática: use A3 para documentos críticos (contratos, procurações); A1 para comunicações de rotina (nota fiscal eletrônica). Grande empresa: A3 por política; PME: A1 por simplicidade.
Autoridades Certificadoras autorizadas no Brasil
Apenas AC credenciadas pelo ITI podem emitir certificados ICP-Brasil válidos em lei. Principais:
- Serasa Experian: maior AC do Brasil, variedade de certificados
- Certisign: especializada em certificado digital
- Valid: ACs múltiplas sob marca Valid
- SERPRO: Serviço Federal de Processamento de Dados, fornece a governo
Escolha depende de: suporte local (importante para PME), preço, integração com seu sistema. Todas as ACs oferecem produtos similares; diferença é serviço.
Ciclo de vida: obtenção, uso, renovação, revogação
Processo completo de um certificado:
- Requisição: você preenche formulário na AC (dados, escolhe A1 ou A3)
- Validação de identidade: AC valida que você é quem diz ser (presencialmente em maioria dos casos, mas tem opções remotas)
- Emissão: AC gera certificado. Se A1, você recebe arquivo com senha. Se A3, você recebe token na mão.
- Uso: você assina documentos. Certificado é válido por 1 ano (A1) ou 3 anos (A3)
- Renovação: 30-60 dias antes de vencer, AC envia aviso (email). Você novamente passa por validação (geralmente simplificada). Novo certificado é gerado. Importante: documentos assinados com certificado vencido perdem presunção legal.
- Revogação: se você saiu da empresa, certificado foi comprometido, ou você quer cancelar, você pode revogar. Revogação é imediata e irreversível.
Certificado é para poucos (1-3 pessoas). Abordagem manual: cada pessoa obtém certificado próprio, anota data de vencimento em calendário, renova antes de vencer. Custo: R$ 300-500/ano per certificado. Solução: delegar responsabilidade para uma pessoa (geralmente RH ou secretária).
5-20 certificados. Abordagem: spreadsheet com lista de certificados, datas de vencimento, responsável por renovação. Automatizar alertas (ical, email). Integração com sistema de assinatura eletrônica (DocuSign, etc.) reduz precisão de gerenciar individualmente. Custo: R$ 1-3k/ano.
50+ certificados. Abordagem: PKI corporativa com plataforma de gerenciamento. Integração com Active Directory (certificado sincronizado com usuário corporativo). Automação de renovação 3-6 meses antes de vencer. Auditoria de acesso a certificados. Custo: R$ 50-100k/ano em plataforma + equipe de 1-2 pessoas.
Segurança: práticas recomendadas
Certificado digital é ativo valioso. Segurança exige:
- A1 (arquivo): armazenar em local seguro (não em email, não em Dropbox público). Backup criptografado. Senha forte. Se suspeita de compromisso, revogar imediatamente.
- A3 (token): manter token fisicamente seguro (não perder, não compartilhar). Se perder, revogar e obter novo. PIN de acesso deve ser memorizado (não escrito em post-it).
- Ambos: revogar quando colaborador sai da empresa. Não reutilizar certificado para nova pessoa.
Integração com sistemas e conformidade
Certificado ICP-Brasil é usualmente integrado com:
- Sistemas de assinatura eletrônica: DocuSign, Adobe Sign, plataformas brasileiras (Docsign, BRQ) oferecem integração com certificado ICP-Brasil
- Nota fiscal eletrônica (NF-e): exigência legal usar certificado para assinar NF-e
- E-mail seguro: alguns clientes de e-mail permitem assinar/criptografar com certificado
- Processos judiciais: documentos assinados com certificado ICP-Brasil são aceitos em tribunal
Para conformidade: ISO 27001 exige proteção de ativos criptográficos; LGPD exige que operações com dados pessoais sejam auditadas. Certificado é ferramenta para compliance.
Sinais de que você precisa estruturar certificado digital
Se você se reconhece em três ou mais cenários abaixo, implementar certificado ICP-Brasil trará conformidade e eficiência.
- Você assina documentos legais (contrato, procuração, autorização) e quer presunção legal
- Você emite nota fiscal eletrônica (NF-e) e precisa certificado para assinar
- Múltiplos colaboradores precisam assinar documentos e você quer rastreabilidade
- Você não tem processo de assinatura digital — assina papel ainda
- Auditoria pediu para demonstrar autenticidade de documentos digitais
- Você envia contrato por email e não tem prova de quem assinou
- Compliance LGPD exige auditoria de quem acessou dado sensível
Caminhos para implementar certificado digital
Pode começar simples (obtenção manual) ou estruturar (plataforma de gerenciamento).
Viável para PME com poucos certificados.
- Perfil necessário: pessoa de RH ou TI para gerenciar ciclo de vida
- Tempo estimado: 2-3 semanas para obter primeiros certificados; automação de alertas em 1 semana
- Faz sentido quando: empresa tem até 20 certificados; pode ser manual
- Risco principal: renovação pode ser esquecida; certificado vencido perde valor legal
Indicado para grandes empresas ou integração complexa.
- Tipo de fornecedor: Consultoria de Segurança, Implementador de PKI
- Vantagem: desenha arquitetura de certificado; integra com Active Directory; automação completa
- Faz sentido quando: empresa tem 50+ certificados; exige integração com diretório corporativo
- Resultado típico: em 2-3 meses, PKI operacional com automação de renovação, auditoria, revogação
Precisa estruturar gerenciamento de certificado digital na sua empresa?
Se implementar certificado ICP-Brasil é prioridade de conformidade, o oHub conecta você gratuitamente a consultores de segurança. Em menos de 3 minutos, descreva seu cenário e receba propostas de implementação, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que é ICP-Brasil?
ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) é padrão legal estabelecido por decreto presidencial para assinatura digital no Brasil. Gerenciada pelo Instituto Nacional de Tecnologia da Informação (ITI), garante que certificados digitais e assinaturas são válidas em lei. Documentos assinados com certificado ICP-Brasil têm presunção de autenticidade (você não pode negar ter assinado depois).
Como obter um certificado digital ICP-Brasil?
Escolha uma Autoridade Certificadora (AC) credenciada (Serasa Experian, Certisign, Valid, SERPRO). Preencha formulário com dados. Valide identidade (presencialmente ou via vídeo chamada). AC emite certificado em arquivo (A1) ou token (A3). Custo: R$ 300-800/ano para PJ. Tempo: 3-10 dias.
Qual é a diferença entre tipo A1 e A3 de certificado?
A1: arquivo digital (.pfx/.p12) com senha, validade 1 ano. Conveniente (usa em qualquer PC) mas menos seguro (arquivo pode ser copiado). A3: token/smartcard físico, validade 3 anos. Mais seguro (token não sai do bolso) mas menos conveniente (carrega sempre). Recomendação: A3 para documentos críticos, A1 para rotina.
Como gerenciar certificados digitais em grande escala?
Manual: spreadsheet com datas de vencimento. Melhor: plataforma de gerenciamento (alguns ACs oferecem). Ideal: PKI corporativa integrada com Active Directory, automação de renovação, auditoria. Custo: de R$ 0 (manual) a R$ 100k/ano (PKI complexa). Escolha depende de escala e criticidade.
Qual é o custo de um certificado digital?
ICP-Brasil: R$ 300-800/ano para PJ, R$ 150-500/ano para pessoa física. Varia por AC e tipo (A1 é mais barato que A3). Custo adicional se usar plataforma de gerenciamento (R$ 5-10k/ano para empresas). Não confundir com certificado SSL para site (outra coisa, mais barato).
Como renovar um certificado digital?
AC envia aviso de vencimento 30-60 dias antes. Você acessa portal da AC e solicita renovação. AC valida identidade novamente (geralmente simplificado se renovação anterior passou). Novo certificado é emitido. Importante: marcar renovação em calendário; se vencer, documento assinado perde presunção legal. Automação (alertas via email, calendário) é recomendada.