Como é assegurada na sua Organização a veracidade dos documentos electrónicos durante o seu ciclo de vida? Sabia que já existe legislação específica em Portugal para regulamentar a utilização e gestão de documentos electrónicos, no comércio electrónico?

É bem visível no dia-a-dia das organizações a crescente utilização de documentos electrónicos como forma de suporte das suas operações. Esta adopção é o resultado de inúmeras vantagens, como por exemplo: a redução de custos de manter e gerir os documentos em papel; a utilização de documentos electrónicos associada a Sistemas de Gestão Documental que aumenta a eficiência e eficácia dos processos, amplia a cooperação entre os colaboradores e permite dar melhor serviço ao cliente final. No nosso quotidiano, como clientes, existem já muitos exemplos de utilização de documentos electrónicos, nomeadamente, a factura electrónica da electricidade e das telecomunicações, ou inclusive, o extracto bancário.

O Estado Português, em consonância com o crescente peso dos documentos electrónicos nas empresas e organizações estatais, tem, desde 1999 e em alinhamento com o quadro legal Europeu, criado legislação para responder a este novo desafio. O Decreto-Lei n.º 290-D/99 de 2 de Agosto é a génese do regime jurídico aplicável aos documentos electrónicos e assinatura digital. A legislação existente em Portugal, permite em certas condições, equiparar a assinatura electrónica à assinatura manuscrita.

Na vertente tecnológica, e sempre dentro deste quadro legislativo, foram aceites e aprovadas uma série de normas para a assinatura electrónica que especificam como criar, verificar, e inclusivamente, arquivar documentos assinados digitalmente, proporcionando-se o cenário legal e tecnológico para a inclusão da assinatura electrónica em todos os processos e procedimentos, tanto no âmbito da administração pública como no da empresa privada.

Com este cenário tecnológico e legal, a assinatura electrónica proporciona uma via para a passagem do mundo do documento em papel para o documento electrónico. Da mesma forma que, num documento em papel, podemos imprimir datas e assinaturas, num documento electrónico podemos levar a cabo o mesmo processo com todas as garantias legais e também efectuar verificações dos mesmos.

Por último, é necessário guardar os documentos que estejam sujeitos por lei a um período de arquivo, estes documentos devem ser custodiados num formato seguro. Se um processo judicial os requerer dentro de vários anos, eles devem estar disponíveis e ser considerados como verídicos. Assim, a partir do momento em que se assina ou se cria uma prova, é necessário pensar na sua custódia.

A Plataforma de Custódia de Documentos Electrónicos

A inovadora Plataforma de Custódia da CESCE SI permite a salvaguarda e custódia de documentos electrónicos com base em políticas definidas. A plataforma de forma pré-programada e automatizada re-sela as assinaturas com o fim de manter a sua validade ao longo do tempo. A chave é tornar independente a validade e preservar os mecanismos de prova. Isto exige manter e demonstrar toda a cadeia de confiança ao longo do tempo. Além disso, a assinatura não garante que o documento não se altera, é por isso, necessário protegê-lo, garantir a sua integridade lógica e física, evitar o acesso e a possibilidade de alteração por pessoas não autorizadas.

Mas, o que implica, exactamente, custodiar no mundo electrónico?

- A possibilidade de comprovar a integridade e a validade de forma independente.
- Fazê-lo em qualquer momento futuro, inclusive a longo prazo.
- Garantir (e não só comprovar) a integridade lógica e física.
- Evitar acessos, alterações e destruições não autorizadas.
- A garantia de vinculação ou de localização do documento.
- Deixar os registos necessários para auditoria.

Estas funções são definidas na política de custódia, associada ao objecto custodiado. As funções da plataforma de custódia são:

- Incorporação/Registo: A custódia começa com a recepção do documento, verifica a validade da assinatura, incorpora um selo de tempo ou qualquer outro processo necessário de digitalização certificada ou de certificação electrónica que implicará, por exemplo, a emissão de um novo selo por uma entidade certificadora para o documento electrónico.

- Localizador: controlo de acesso: O recibo ou identificador é utilizado para solicitar o acesso ao documento custodiado quando seja necessário, aplica também mecanismos de controlo de acesso que estão definidos em políticas e informações que podem ser custodiados juntamente com os metadados para sua indexação e localização.

- Preservação: Uma vez entregue o documento, a plataforma ocupa-se da preservação activa do documento, aplica uma política de retenção e implementa os standards que existem para a custódia de assinaturas como o XAdES e o CAdES.

- Migração: Neste período de custódia pode ser necessário aplicar migrações de dados para o que se requer que o sistema forneça os interfaces de carregamento e transformação necessários.

- Virtualização: O armazenamento pode ser virtual para a aplicação, de forma a serem utilizados diferentes repositórios (bases de dados, sistemas Content Archive Storage ou outros menos dispendiosos) em função do ciclo de vida do documento.

- Custódia física: A plataforma utiliza sistemas de custódia física Content Archive Storage que se ocupam da não alterabilidade do documento.

- Auditoria: O sistema deve produzir registos para auditoria e fornecer todas as funções de auditoria necessárias.

Com a supressão do papel, torna-se necessário ter a mesma confiança nos documentos electrónicos do que a que depositamos nos meios tradicionais. A assinatura electrónica é um mecanismo capacitante, mas tem dependências e uma vigência temporal que fazem com que não seja suficiente, no momento de garantir a força probatória de uma prova digital. A custódia electrónica e a sua implementação numa plataforma de custódia é a solução para garantir esta força probatória durante o prazo necessário e proteger os documentos electrónicos.