Registo de auditoria da assinatura eletrónica: o que é e por que é importante

Se um documento assinado for alguma vez contestado, o que é que realmente tem de provar para demonstrar que era legítimo? A maioria das equipas assume que a própria assinatura é a prova. Não é. A assinatura é apenas o último passo. A prova é o registo completo de tudo o que levou até lá e de tudo o que aconteceu depois.

Esse registo é o registo de auditoria. É o que transforma um PDF assinado em algo que pode defender em tribunal, entregar a um regulador ou usar para depurar um signatário que jurou que a ligação nunca funcionou. A maioria das plataformas de assinatura eletrónica anuncia que tem um. Muito poucas são transparentes sobre o que realmente inclui.

Este guia percorre o que um registo de auditoria completo de assinatura eletrónica capta, porque é que a profundidade varia tanto entre plataformas, e o que procurar quando estiver a avaliar qualquer fornecedor, não apenas Firma.dev.

O que um registo de auditoria realmente é

Um registo de auditoria é um registo cronológico, resistente a adulteração, de todas as ações realizadas numa solicitação de assinatura. Quem visualizou o documento, quando, a partir de que endereço IP, que campos tocou, quando assinou, o que recusou e que ações de administração foram tomadas pelo caminho.

É fácil confundir o registo de auditoria com o Certificado de Conclusão, mas não são a mesma coisa. O certificado é um resumo em PDF de uma página que é anexado ao documento assinado. É útil como referência rápida e é normalmente o que é enviado aos signatários. O registo de auditoria é o registo subjacente de eventos a partir do qual o certificado é gerado. Cada evento, em sequência, com metadados. Essa é a peça que resiste à análise.

Uma boa imagem mental: o certificado é o recibo, o registo de auditoria é a filmagem da câmara de segurança.

Porque é importante

O registo de auditoria justifica-se em quatro situações.

Prova jurídica. Se uma assinatura for alguma vez contestada, o registo de auditoria é o que apresenta. Leis como o ESIGN Act, a UETA e o eIDAS exigem prova de intenção e consentimento. Um registo com carimbo temporal que mostra o signatário a abrir o documento, ler os termos, aceitá-los e depois assinar é assim que fornece essa prova. A própria assinatura não prova intenção. A sequência de ações à sua volta é que prova.

Conformidade regulamentar. Ambientes HIPAA, serviços financeiros e fluxos de trabalho FDA 21 CFR Part 11 exigem registos rastreáveis de quem fez o quê e quando. Não pode passar uma auditoria de um formulário de admissão de cuidados de saúde se não puder mostrar quem assinou e de onde. O registo de auditoria é o principal artefacto que os reguladores analisam.

Depuração de problemas do signatário. Esta é subvalorizada. Quando um destinatário diz “a ligação não funcionou” ou “não consegui concluir o formulário”, o registo de auditoria diz-lhe exatamente o que aconteceu. Abriu-o? Passou na verificação OTP? Focou um campo e desistiu? Deslocou-se para além da página dois? Sem o registo, está a adivinhar. Com ele, pode ver o ponto de desistência e corrigir o fluxo ou orientá-lo.

Responsabilização interna. Os registos de auditoria também cobrem eventos de administração. Quem enviou o pedido, quem o cancelou, quem reenviou um lembrete, que chave API foi usada. Isso é importante para controlos internos, especialmente se mais de uma pessoa na sua equipa puder enviar pedidos de assinatura.

O que um registo de auditoria completo capta

Eis onde a maioria das plataformas é vaga. Dir-lhe-ão que registam “todas as ações no documento”. O que isso realmente significa na prática varia bastante.

Um registo de auditoria adequado capta eventos em cinco categorias. Isto é o que a Firma.dev regista em todos os pedidos de assinatura por defeito.

Ciclo de vida do documento

Estes são os eventos de visão geral: o documento ser aberto, visualizado, abandonado, reaberto, fechado, assinado, guardado, concluído. Os eventos do ciclo de vida dão-lhe a forma da sessão do signatário. Dizem-lhe se alguém abriu a ligação imediatamente, esperou três dias e depois assinou, ou se a abriu cinco vezes sem concluir.

Os eventos incluem documento aberto, visualizado, guardado, concluído, assinado, oculto (saiu da página), visível (regressou à página) e fechado.

Assinatura e verificação

Estes são os eventos que atestam especificamente a identidade e a intenção. Assinatura finalizada, assinatura recusada, termos aceites, OTP verificado, certificado descarregado. Cada um é um registo discreto com carimbo temporal.

O evento OTP é particularmente importante para casos de utilização de maior garantia. Se estiver a usar palavras-passe de uso único por email ou SMS como verificação adicional de identidade, o registo de auditoria deve registar que o código foi introduzido e verificado. Sem esse evento, não tem prova de que a pessoa certa estava do outro lado da ligação.

Interações com campos

É aqui que a granularidade separa um registo de auditoria decente de um defensável. Cada campo no documento gera o seu próprio fluxo de eventos: focado, concluído, modificado, limpo, perda de foco. Cada evento transporta metadados: tipo de campo, a ação específica, quantas vezes o signatário interagiu com o campo e quanto tempo passou nele.

Esta granularidade importa porque, quando surge uma disputa, a questão muitas vezes não é “assinou” mas “compreendeu o que estava a assinar”. Se um signatário passou onze segundos num campo complexo e modificou a resposta duas vezes, isso é contexto. Se clicou no campo de assinatura, o limpou, esperou e depois o concluiu, isso também é contexto. Um registo de eventos ao nível do campo capta tudo isso. Um certificado não capta nada disso.

Navegação

Página visualizada, documento deslocado, ações de navegação (página seguinte, página anterior, saltar para a página), alterações de zoom, interações com modais. Estes são os eventos que mostram envolvimento com o próprio documento.

Os eventos de navegação são o que lhe permite responder a perguntas como “o signatário chegou realmente à página quatro” ou “alguma vez viu o apêndice”. Para documentos longos, isto importa. Um signatário que se deslocou diretamente para o bloco de assinatura sem ver as páginas intermédias conta uma história diferente de alguém que passou dois minutos em cada página.

Eventos repetitivos consecutivos como o deslocamento são automaticamente condensados com um indicador de contagem, para que a linha temporal continue legível sem perder dados.

Atividade administrativa

A última categoria cobre tudo o que acontece do lado do remetente. Criação do pedido de assinatura, edições, envio, cancelamento, reenvio. Cada evento de administração regista se veio do painel ou da API e, se foi pela API, que chave API foi usada.

Para equipas, é assim que estabelece quem fez o quê dentro da sua própria organização. Para programadores individuais, é assim que distingue entre ações automatizadas desencadeadas pela sua aplicação e ações manuais realizadas no painel.

A diferença entre um Certificado de Conclusão e um registo de auditoria completo

A maioria das plataformas de assinatura eletrónica dá-lhe um Certificado de Conclusão e fica-se por aí. Normalmente é um PDF de uma página anexado ao documento assinado, com o nome do signatário, email, endereço IP, um carimbo temporal da assinatura e talvez mais um ou dois outros eventos.

Útil para verificação rápida. Não é suficiente quando as coisas se tornam sérias.

Um certificado pode dizer-lhe que a Alice assinou às 10:07 de terça-feira. Um registo de auditoria completo pode dizer-lhe que a Alice recebeu a ligação às 9:58, a abriu às 10:02, leu os termos, aceitou-os, focou o campo de assinatura às 10:05, o limpou uma vez, voltou a assinar e depois descarregou a sua cópia do certificado. Se mais tarde a Alice disser “Nunca vi essa cláusula”, tem a sequência completa da sua interação com a página onde ela está.

As três situações em que isto mais importa:

1. Um signatário contesta ter assinado. Com um certificado, mostra o evento de assinatura. Com um registo de auditoria completo, mostra todo o percurso, incluindo o endereço IP, a verificação OTP, se exigida, e as interações ao nível do campo que levaram à assinatura final.

2. Um signatário afirma que não conseguiu concluir o fluxo. Um certificado não oferece nada aqui. Um registo de auditoria mostra exatamente onde ficou bloqueado, o que é útil tanto para resolver o problema imediato como para melhorar o fluxo da próxima vez.

3. Uma ação administrativa interna é questionada. Quem cancelou o pedido? Quem o reenviou? Um certificado não rastreia eventos administrativos de todo. Um registo de auditoria capta todos eles com a identidade do agente.

A maioria das plataformas não expõe este nível de detalhe. Algumas captam-no internamente mas mostram apenas o resumo no certificado. Algumas captam apenas o resumo desde o início, o que significa que mesmo que peça ao suporte os dados subjacentes, eles não existem.

Onde encontrar o seu registo de auditoria na Firma.dev

Todos os pedidos de assinatura no painel da Firma.dev têm um separador Registo de Auditoria. Verá uma linha temporal cronológica com as ações do signatário e as ações administrativas visualmente distinguidas. Os eventos repetitivos são agrupados para que a linha temporal se mantenha legível.

Para acesso programático, o histórico completo de eventos está disponível através da API. Se estiver a criar painéis internos, relatórios de conformidade ou simplesmente a enviar os dados para o seu próprio sistema de registo, a API de registo de auditoria devolve a lista completa de eventos de qualquer pedido de assinatura.

Se quiser notificações em tempo real em vez de sondagem, a Firma.dev também suporta webhooks para os eventos principais.

Uma nota sobre conformidade

Os mesmos dados do registo de auditoria suportam a conformidade com os principais quadros. A Firma.dev foi concebida para ambientes ESIGN Act, UETA, eIDAS (SES e AdES), HIPAA e FDA 21 CFR Part 11. O registo de auditoria fornece a camada de evidência que todos estes quadros exigem: quem, o quê, quando, onde e como.

Para detalhes de conformidade e tratamento de dados, a página de segurança e o acordo de tratamento de dados cobrem o lado arquitetónico: infraestrutura alojada na UE, alinhamento com o RGPD e transparência dos subcontratantes.

Uma coisa que vale a pena notar. Se estiver a operar um SaaS multi-inquilino em que cada um dos seus clientes tem a sua própria atividade de assinatura isolada, Espaços de Trabalho do Cliente dão a cada cliente o seu próprio espaço particionado com o respetivo registo de auditoria, separado de forma limpa dos restantes.

O que procurar ao avaliar qualquer plataforma

Se estiver a comparar fornecedores de assinatura eletrónica, faça três perguntas sobre o registo de auditoria.

Primeiro, que eventos capta? Se a resposta for “assinatura, carimbo temporal, endereço IP”, isso é um certificado, não um registo de auditoria. Pergunte especificamente sobre interações ao nível do campo, visualizações de página e eventos administrativos.

Segundo, consegue aceder-lhe de forma programática? Se a única forma de obter o registo de auditoria for descarregar um PDF de um painel, não consegue criar relatórios de conformidade nem integrá-lo nos seus próprios sistemas. Um registo de auditoria adequado deve estar disponível via API.

Terceiro, é resistente a adulteração? O objetivo é que o registo possa ser confiável como prova independente. Isso significa que os carimbos temporais devem ser fiáveis, os eventos devem ser imutáveis depois de escritos e a sequência deve ser verificável.

Um registo de auditoria completo não é uma funcionalidade vistosa. É a parte de uma plataforma de assinatura eletrónica que a maioria das pessoas nunca analisa até realmente precisar dela. É nesse momento que a diferença entre um certificado e um registo completo de eventos se torna dispendiosa.

Começar

Cada conta Firma.dev recebe o registo de auditoria completo desde o primeiro dia, por 0,029 € por envelope (cerca de 3 cêntimos de USD) com sem mínimos, sem contratos e com 25 envelopes grátis para experimentar.

Comece a usar a Firma.dev gratuitamente, sem necessidade de cartão de crédito.