Registo de auditoria da assinatura eletrónica: o que é e por que é importante

Se um documento assinado for alguma vez contestado, o que é que tem realmente de provar para demonstrar que foi legítimo? A maioria das equipas assume que a própria assinatura é a prova. Não é. A assinatura é apenas o último passo. A prova é o registo completo de tudo o que levou até ela e de tudo o que aconteceu depois.

Esse registo é o registo de auditoria. É o que transforma um PDF assinado em algo que pode defender em tribunal, entregar a um regulador ou usar para depurar um signatário que jurou que a ligação nunca funcionou. A maioria das plataformas de assinatura eletrónica anuncia que tem um. Muito poucas são transparentes quanto ao que realmente contém.

Este guia explica o que um registo de auditoria completo de assinatura eletrónica captura, porque é que a profundidade varia tanto entre plataformas e o que deve procurar quando estiver a avaliar qualquer fornecedor, não apenas a Firma.dev.

O que é, na realidade, um registo de auditoria

Um registo de auditoria é um registo cronológico e resistente a adulterações de cada ação realizada numa solicitação de assinatura. Quem viu o documento, quando, a partir de que endereço IP, que campos tocou, quando assinou, o que recusou e que ações de administração foram realizadas ao longo do processo.

É fácil confundir o registo de auditoria com o Certificado de Conclusão, mas não são a mesma coisa. O certificado é um resumo em PDF de uma página que é anexado ao documento assinado. É útil como referência rápida e é normalmente o que é enviado aos signatários. O registo de auditoria é o registo de eventos subjacente a partir do qual o certificado é gerado. Cada evento, em sequência, com metadados. É essa a parte que resiste a escrutínio.

Um bom modelo mental: o certificado é o recibo, o registo de auditoria é a gravação da câmara de segurança.

Porque é importante

O registo de auditoria ganha relevância em quatro situações.

Prova legal. Se uma assinatura for alguma vez contestada, é o registo de auditoria que apresenta. Normas como a ESIGN Act, a UETA e a eIDAS exigem todas provas de intenção e consentimento. Um registo com carimbo temporal que mostre que o signatário abriu o documento, leu os termos, os aceitou e depois assinou é a forma de fornecer essa prova. A própria assinatura não prova a intenção. A sequência de ações à sua volta é que a prova.

Conformidade regulamentar. Ambientes HIPAA, serviços financeiros e fluxos de trabalho da FDA 21 CFR Part 11 exigem todos registos rastreáveis de quem fez o quê e quando. Não pode passar uma auditoria de um formulário de admissão de cuidados de saúde se não conseguir mostrar quem assinou e de onde. O registo de auditoria é o principal artefacto que os reguladores analisam.

Depuração de problemas do signatário. Esta é subvalorizada. Quando um destinatário diz "o link não funcionou" ou "não consegui concluir o formulário", o registo de auditoria diz-lhe exatamente o que aconteceu. Abriu-o? Passou a verificação OTP? Concentrou-se num campo e desistiu? Deslocou-se para além da segunda página? Sem o registo, está a adivinhar. Com ele, pode ver o ponto de abandono e corrigir o fluxo ou guiá-lo durante o processo.

Responsabilização interna. Os registos de auditoria também abrangem eventos de administração. Quem enviou o pedido, quem o cancelou, quem reenviou um lembrete, que chave de API foi usada. Isso é importante para controlos internos, especialmente se mais do que uma pessoa da sua equipa puder enviar pedidos de assinatura.

O que um registo de auditoria completo captura

É aqui que a maioria das plataformas se torna vaga. Dir-lhe-ão que registam "cada ação no documento". O que isso realmente significa na prática varia bastante.

Um registo de auditoria adequado captura eventos em cinco categorias. Isto é o que a Firma.dev regista em cada pedido de assinatura de forma nativa.

Ciclo de vida do documento

Estes são os eventos de visão geral: o documento ser aberto, visualizado, abandonado, reaberto, fechado, assinado, guardado, concluído. Os eventos do ciclo de vida dão-lhe a forma da sessão do signatário. Dizem-lhe se alguém abriu a ligação de imediato, esperou três dias e depois assinou, ou abriu-a cinco vezes sem concluir.

Os eventos incluem documento aberto, visualizado, guardado, concluído, assinado, oculto (saiu da página), visível (regressou à página) e fechado.

Assinatura e verificação

Estes são os eventos que atestam especificamente identidade e intenção. Assinatura finalizada, assinatura recusada, termos aceites, OTP verificado, certificado descarregado. Cada um é um registo discreto com carimbo temporal.

O evento OTP é particularmente importante para casos de utilização com maior garantia. Se estiver a usar palavras-passe de uso único por email ou SMS como verificação adicional de identidade, o registo de auditoria deve registar que o código foi introduzido e verificado. Sem esse evento, não tem prova de que a pessoa certa estava do outro lado da ligação.

Interações com campos

É aqui que a granularidade separa um registo de auditoria decente de um que seja defensável. Cada campo no documento gera o seu próprio fluxo de eventos: focado, concluído, modificado, limpo, blur. Cada evento inclui metadados: tipo de campo, ação específica, quantas vezes o signatário interagiu com o campo e quanto tempo passou nele.

Esta granularidade importa porque, quando surge uma disputa, a questão muitas vezes não é "assinou?", mas "entendeu o que estava a assinar?". Se um signatário passou onze segundos num campo complexo e modificou a resposta duas vezes, isso é contexto. Se clicou no campo da assinatura, o limpou, esperou e depois o concluiu, isso também é contexto. Um registo de eventos ao nível do campo capta tudo isso. Um certificado não capta nada disso.

Navegação

Página visualizada, documento deslocado, ações de navegação (página seguinte, página anterior, saltar para a página), alterações de zoom, interações com modais. Estes são os eventos que mostram o envolvimento com o próprio documento.

Os eventos de navegação são o que lhe permite responder a perguntas como "o signatário chegou realmente à página quatro" ou "alguma vez viu o anexo". Para documentos longos, isso importa. Um signatário que se deslocou diretamente para o bloco de assinatura sem ver as páginas intermédias conta uma história diferente de alguém que passou dois minutos em cada página.

Eventos repetitivos consecutivos, como deslocar-se, são automaticamente condensados com um indicador de contagem, para que a linha temporal continue legível sem perder dados.

Atividade de administração

A última categoria cobre tudo o que acontece do lado de quem envia. Criação do pedido de assinatura, edições, envio, cancelamento, reenvio. Cada evento administrativo regista se veio do painel ou da API e, se for da API, que chave de API foi usada.

Para equipas, é assim que se estabelece quem fez o quê dentro da sua própria organização. Para programadores individuais, é assim que se distingue entre ações automatizadas acionadas pela sua aplicação e ações manuais realizadas no painel.

A diferença entre um Certificado de Conclusão e um registo de auditoria completo

A maioria das plataformas de assinatura eletrónica dá-lhe um Certificado de Conclusão e fica por aí. Normalmente, é um PDF de uma página anexado ao documento assinado, com o nome do signatário, email, endereço IP, um carimbo temporal da assinatura e talvez mais um ou dois eventos.

Útil para verificação rápida. Não chega quando as coisas se tornam sérias.

Um certificado pode dizer-lhe que a Alice assinou às 10:07 de terça-feira. Um registo de auditoria completo pode dizer-lhe que a Alice recebeu a ligação às 9:58, a abriu às 10:02, leu os termos, aceitou-os, focou-se no campo da assinatura às 10:05, o limpou uma vez, voltou a assinar e depois descarregou a sua cópia do certificado. Se mais tarde a Alice disser "nunca vi essa cláusula", tem a sequência completa da sua interação com a página em que ela está.

As três situações em que isto mais importa:

1. Um signatário contesta ter assinado. Com um certificado, mostra o evento de assinatura. Com um registo de auditoria completo, mostra todo o percurso, incluindo o endereço IP, a verificação OTP se tiver sido exigida e as interações ao nível do campo que levaram à assinatura final.

2. Um signatário afirma que não conseguiu concluir o fluxo. Um certificado não ajuda aqui. Um registo de auditoria mostra exatamente onde ficou bloqueado, o que é útil tanto para resolver o problema imediato como para melhorar o fluxo na próxima vez.

3. Uma ação de um administrador interno é questionada. Quem cancelou o pedido? Quem o reenviou? Um certificado não regista eventos administrativos de todo. Um registo de auditoria captura todos eles com a identidade do interveniente.

A maioria das plataformas não expõe este nível de detalhe. Algumas capturam-no internamente, mas apenas apresentam o resumo no certificado. Algumas capturam apenas o resumo desde o início, o que significa que, mesmo que peça ao suporte os dados subjacentes, estes não existem.

Onde encontrar o seu registo de auditoria na Firma.dev

Cada pedido de assinatura no painel da Firma.dev tem um separador de Registo de Auditoria. Verá uma linha temporal cronológica com as ações do signatário e as ações administrativas distinguidas visualmente. Os eventos repetitivos são agrupados para que a linha temporal permaneça legível.

Para acesso programático, o histórico completo de eventos está disponível através da API. Se estiver a criar painéis internos, relatórios de conformidade ou simplesmente a encaminhar os dados para o seu próprio sistema de registo, a API do registo de auditoria devolve a lista completa de eventos para qualquer pedido de assinatura.

Se quiser notificações em tempo real em vez de sondagem, a Firma.dev também suporta webhooks para os principais eventos.

Uma nota sobre conformidade

Os mesmos dados do registo de auditoria suportam a conformidade com as principais estruturas. A Firma.dev foi concebida para ambientes ESIGN Act, UETA, eIDAS (SES e AdES), HIPAA e FDA 21 CFR Part 11. O registo de auditoria fornece a camada de evidência que todas estas estruturas exigem: quem, o quê, quando, onde e como.

Para detalhes específicos sobre conformidade e tratamento de dados, a página de segurança e o acordo de tratamento de dados cobrem o lado arquitetural: infraestrutura alojada na UE, alinhamento com o RGPD e transparência dos subcontratantes.

Uma coisa que vale a pena notar. Se estiver a operar uma SaaS multi-inquilino em que cada cliente tem a sua própria atividade de assinatura isolada, os Espaços de Cliente dão a cada cliente o seu próprio espaço particionado com o seu próprio registo de auditoria, claramente separado dos outros.

O que procurar ao avaliar qualquer plataforma

Se estiver a comparar fornecedores de assinatura eletrónica, faça três perguntas sobre o registo de auditoria.

Primeiro, que eventos é que captura? Se a resposta for "assinatura, carimbo temporal, endereço IP", isso é um certificado, não um registo de auditoria. Pergunte especificamente sobre interações ao nível do campo, visualizações de página e eventos administrativos.

Segundo, consegue aceder-lhe programaticamente? Se a única forma de obter o registo de auditoria for descarregar um PDF de um painel, não consegue criar relatórios de conformidade nem integrá-lo nos seus próprios sistemas. Um registo de auditoria adequado deve estar disponível através da API.

Terceiro, é resistente a adulterações? O objetivo é precisamente que o registo possa ser considerado prova independente fiável. Isso significa que os carimbos temporais devem ser fiáveis, os eventos devem ser imutáveis depois de escritos e a sequência deve ser verificável.

Um registo de auditoria completo não é uma funcionalidade vistosa. É a parte de uma plataforma de assinatura eletrónica que a maioria das pessoas nunca analisa até realmente precisar dela. É nesse momento que a diferença entre um certificado e um registo completo de eventos se torna dispendiosa.

Comece já

Cada conta Firma.dev inclui o registo de auditoria completo desde o primeiro dia, a 0,029 € por envelope (cerca de 3 cêntimos de dólar americano), sem mínimos, sem contratos e com 25 envelopes gratuitos para experimentar.

Comece já com a Firma.dev gratuitamente, sem necessidade de cartão de crédito.