Requisitos Legais para Assinaturas Eletrónicas: Um Checklist para Desenvolvedores

Este é o documento de referência. Adicione aos favoritos, volte a ele, verifique a sua implementação em relação a ele.

Se está a construir funcionalidade de assinatura eletrónica na sua aplicação, o seu sistema precisa de satisfazer requisitos legais específicos para que essas assinaturas sejam aplicáveis. Não é "agradável de ter." Requisitos.

Aqui está exatamente o que precisa.

Os 4 Requisitos Centrais para uma Assinatura Eletrónica Legalmente Válida

Sob a lei dos EUA (ESIGN Act e UETA), cada assinatura eletrónica deve cumprir quatro critérios:

1. Intenção de assinar

• O assinante tomou uma ação deliberada para assinar

• A ação foi inequívoca (clique no botão, assinatura desenhada, nome digitado)

• A interface deixou claro que estavam a assinar, não apenas a reconhecer

2. Consentimento para processo eletrónico

• Todas as partes concordaram em conduzir negócios eletronicamente

• Para B2B: pode ser implícito a partir do contexto

• Para B2C: requer divulgação explícita de direitos (opção em papel, processo de retirada, requisitos de hardware/software)

3. Associação com o registo

• A assinatura está vinculada à versão específica do documento

• Pode provar qual documento foi assinado

• Quaisquer alterações após a assinatura são detetáveis

4. Retenção de registo

• O documento assinado pode ser reproduzido com precisão

• Todas as partes podem aceder à sua cópia

• Os registos permanecem disponíveis durante o período legalmente exigido

Se a sua implementação abranger todos os quatro, está em conformidade com a lei federal dos EUA para a maioria das transações comerciais.

O Que o Seu Rastro de Auditoria Precisa Capturar

Esta é a seção para capturar. Para cada evento de assinatura, registe:

Identificação do signatário

• Endereço de email (verificado antes de assinar)

• Endereço IP ao momento da assinatura

• Carimbo de data/hora com fuso horário (formato ISO 8601)

• String do agente de usuário

• Impressão digital do dispositivo/navegador (opcional, mas útil)

• Método de autenticação usado (link por email, código SMS, SSO, etc.)

Integridade do documento

• Hash do documento no momento da assinatura (SHA-256)

• Identificador da versão do documento

• Tamanho do ficheiro e contagem de páginas

• Mecanismo de deteção de adulteração

Captura de consentimento

• Carimbo de data/hora do consentimento para transações eletrónicas

• Registo do que foi revelado (termos, direitos, processo de retirada)

• Ação de opt-in explícita (não caixas pré-marcadas)

Evento de assinatura

• Carimbo de data/hora exato da ação de assinatura

• Tipo de assinatura (clique, desenhar, digitar, carregar)

• Imagem ou dados da assinatura (se aplicável)

• Coordenadas de tela ou dados de interação (opcional)

Cadeia de custódia

• Carimbo de data/hora da criação do documento

• Cada evento de visualização com carimbo de data/hora e visualizador

• Cada evento de assinatura em ordem

• Eventos de download e encaminhamento

• Carimbo de data/hora de conclusão

Armazene os registros de auditoria de forma imutável. Bases de dados apenas de anexação, encadeamento criptográfico ou armazenamento de escrita única. Se alguém puder editar o rastro de auditoria, não é um rastro de auditoria.

Tipos de Documentos que Ainda Exigem Assinaturas Manuais

Assinaturas eletrónicas não funcionam para tudo. Estas categorias são excluídas do ESIGN e UETA:

Sempre excluídos (todos os estados dos EUA):

• Testamentos, codicilos, fideicomissos testamentários

• Ordens do tribunal e documentos oficiais do tribunal

• Papéis de adoção

• Decretos de divórcio

Frequentemente excluídos (verifique o seu estado):

• Poderes de advogado

• Títulos de imóveis (varia significativamente por estado)

• Procuradores de saúde

• Ordens de não ressuscitar

Excluídos especificamente do ESIGN:

• Avisos de cancelamento de serviços públicos

• Avisos de cancelamento de seguro

• Avisos de recall de produtos

• Avisos de inadimplência ou execução hipotecária

• Documentos exigidos para transportar materiais perigosos

Se a sua aplicação lidar com algum destes tipos de documentos, consulte com aconselhamento jurídico antes de habilitar assinaturas eletrónicas. As leis estaduais variam e errar nesta questão cria uma responsabilidade real.

Assinaturas Transfronteiriças: Quais Regras se Aplicam?

Quando os assinantes estão em jurisdições diferentes, siga o padrão mais rigoroso.

Apenas nos EUA: Requisitos ESIGN/UETA (os quatro critérios acima)

Envolvimento da UE: Adicionar requisitos eIDAS

• Para validade básica: Funciona assinatura eletrónica simples (SES)

• Para garantia mais forte: objetivo de critérios de Assinatura Eletrónica Avançada (AdES)

• Assinatura unicamente vinculada ao signatário

• Signatário identificável a partir da assinatura

• Assinatura criada com dados sob o controlo exclusivo do signatário

• Documento à prova de adulteração após assinatura

Regra prática: Se construir de acordo com os padrões AdES, satisfaz automaticamente os requisitos dos EUA e da maioria das frameworks internacionais. O esforço extra é mínimo e a cobertura é mais ampla.

A residência de dados importa: Utilizadores da UE podem exigir armazenamento de dados na UE para conformidade com o GDPR. Saiba onde seus documentos e registros de auditoria estão hospedados.

Erros Comuns que Invalidam Assinaturas Eletrónicas

Estes são os erros que levam a assinaturas a serem anuladas em tribunal:

Falta de captura de consentimento

O usuário assinou, mas você nunca registrou que ele concordou com transações eletrônicas.

Correção: Adicione etapa de consentimento explícito antes da primeira assinatura. Armazene o carimbo de data/hora e o que foi divulgado.

Nenhum rastro de auditoria

Você tem o PDF assinado, mas nenhum registro de quem assinou, quando ou como.

Correção: Registe tudo listado na seção de rastro de auditoria acima. Torne os registros imutáveis.

Retenção de registo quebrada

Os documentos foram armazenados, mas os links expiraram ou os ficheiros foram excluídos.

Correção: Implemente políticas de retenção alinhadas com o tipo de documento. Os contratos normalmente precisam de mais de 7 anos. Nunca exclua automaticamente sem uma política explícita.

Identidade do signatário não clara

Qualquer pessoa com o link poderia ter assinado. Nenhuma verificação de que o signatário nomeado era a pessoa real.

Correção: Requerer verificação por email no mínimo. Adicione códigos SMS, SSO, ou autenticação baseada em conhecimento para documentos de maior risco.

Documentos editáveis após assinatura

O documento assinado pode ser modificado sem deteção.

Correção: Hash dos documentos no momento da assinatura. Armazene o hash no seu rastro de auditoria. Verifique o hash na recuperação.

Caixas de consentimento pré-marcadas

O consentimento foi "capturado", mas o usuário nunca optou ativamente.

Correção: Exigir ação afirmativa. Caixas desmarcadas que o usuário deve marcar ou botões "Concordo" explícitos.

Falta de carimbo de data/hora ou fuso horário errado

Você registrou "assinado às 15h00", mas não em qual fuso horário.

Correção: Use o formato ISO 8601 com offset de fuso horário ou armazene tudo em UTC com o fuso horário do signatário notado separadamente.

Como a Firma.dev Gere a Conformidade por Si

Construir tudo isto a partir do zero leva tempo. A Firma.dev gere a infraestrutura de conformidade para que possa focar-se na sua aplicação.

Rastros de auditoria integrados: Cada evento de assinatura gera um registo imutável com identidade do signatário, carimbos de data/hora, endereços IP, hashes de documentos e captura de consentimento. Os registos não podem ser modificados ou excluídos.

Documentos à prova de adulteração: Documentos assinados incluem verificação criptográfica. Qualquer modificação após a assinatura é detetável.

Residência de dados na UE: Todos os dados são armazenados, por padrão, em centros de dados na UE. Simplifica a conformidade com o GDPR para transações transfronteiriças.

Captura de consentimento: Fluxos de consentimento eletrónico integrados no processo de assinatura. Regista o que foi revelado e quando o signatário concordou.

Retenção de registo: Os documentos são armazenados de forma segura com controlos de acesso. Sem eliminação automática. Recuperável via API ou dashboard.

Detalhes técnicos completos na documentação de segurança e nos documentos da API.

Comece já com a Firma.dev gratuitamente, sem necessidade de cartão de crédito.