- Informações
- Dúvidas
Sumário
Informações Gerais
O que é o VALIDAR?
O VALIDAR é um serviço de validação de assinaturas eletrônicas criado pelo ITI para ajudar o cidadão a verificar se a assinatura de um documento assinado digitalmente é verdadeira. Com o VALIDAR, qualquer pessoa pode checar, por exemplo, se a assinatura digital de um contrato, um atestado médico ou um receituário são válidas, entre outras utilidades.
Eu preciso baixar o VALIDAR?
Não. Você pode utilizar o VALIDAR, seu validador de assinaturas eletrônicas, no navegador do seu dispositivo. O serviço é gratuito e exige apenas o acesso à internet.
Como faço para acessar o VALIDAR?
O acesso é simples e pode ser feito através do novo site do serviço, no endereço https://validar.iti.gov.br. Em caso de dúvidas, você pode acessar a Cartilha de uso para conhecer o passo a passo do VALIDAR.
Como funciona o VALIDAR?
O VALIDAR funciona de modo instantâneo. Ao acessar o serviço, o usuário enviará o documento com a assinatura digital e receberá automaticamente o status de verificação da assinatura. Além disso, é emitido um RELATÓRIO DE CONFORMIDADE com informações detalhadas ao usuário.
Qual a diferença entre o VALIDAR e o antigo Validador de Assinaturas Digitais?
O Validador de Assinaturas Digitais é um antigo serviço, já desabilitado, que o ITI disponibilizou aos cidadãos através do endereço https://assinaturadigital.iti.gov.br/ desde abril de 2020 e que foi criado em razão da pandemia da COVID-19, permitindo a validação de prescrições eletrônicas de saúde. Já o VALIDAR é uma versão mais moderna, amigável e que busca colocar o usuário no centro, atendendo, assim, às diretrizes nacionais e internacionais de transformação digital. Clique aqui para saber mais sobre as diferenças entre os sites antigos e os novos.
Quem pode acessar o VALIDAR?
Qualquer cidadão pode ter acesso ao serviço de validação de assinaturas eletrônicas do ITI, mas você só poderá utilizar o VALIDAR se tiver um documento em PDF, link ou um QRCode de um documento que tenha sido assinado digitalmente por meio de um certificado ICP-Brasil ou via o portal GOV.BR.
Por que devo utilizar o VALIDAR?
Porque essa é a única forma de garantir que um documento assinado com certificado ICP-Brasil ou GOV.BR esteja em conformidade com as normas e leis que regulamentam o tema. E, claro, a forma mais segura de garantir a integridade e a autoria da assinatura do documento.
Quais as extensões dos arquivos que devo submeter ao VALIDAR?
É recomendado que os arquivos com assinaturas digitais ICP-Brasil sejam gerados com as extensões .p7s, .xml e .pdf. No caso de arquivos com assinaturas eletrônicas avançadas providas no âmbito da plataforma GOV.BR, a extensão deve ser pdf. Entretanto, o software tentará verificar qualquer tipo de arquivo independente de extensão, caso detecte que o mesmo contém uma assinatura digital.
Validação de Assinaturas
Que tipos de assinaturas eu consigo verificar pelo VALIDAR?
Apenas as assinaturas eletrônicas emitidas por certificadoras autorizadas pela ICP-Brasil ou produzidas via o portal GOV.BR. Para conhecer as certificadoras autorizadas, confira a lista de Autoridades Credenciadas ICP-Brasil.
A utilização do VALIDAR é obrigatória?
Não. A utilização do serviço de validação de assinaturas eletrônicas é optativa.
Eu posso aceitar um documento cuja verificação através do VALIDAR tenha falhado?
Aceitar ou não um documento que, após ter sido submetido ao VALIDAR, tenha sido considerado “inválido” o “indeterminado” é uma opção do cidadão. Afinal, um documento pode ter sido considerado “indeterminado” apenas porque o certificado digital expirou. Por isso, antes de tomar qualquer decisão sobre aceitar ou não uma assinatura, o ITI recomenda ao usuário acessar o RELATÓRIO DE CONFORMIDADE.
O que acontece se eu tentar utilizar o VALIDAR para verificar uma assinatura digitalizada?
Nada. O VALIDAR reconhece apenas assinaturas eletrônicas (ou digitais). Enquanto a assinatura digitalizada se trata de uma SIMPLES IMAGEM (foto) de uma assinatura manuscrita passada para o ambiente virtual, uma assinatura eletrônica é criada diretamente em âmbito eletrônico por meio de algoritmos criptográficos. Ou seja, nesse caso, o serviço vai limitar-se a informar que não existe assinatura eletrônica.
Recebi um documento impresso que foi assinado eletronicamente. Como faço para submeter esse documento ao VALIDAR?
Não é possível validar a assinatura eletrônica de um documento que tenha sido impresso a menos que ele tenha um QR Code compatível. Você precisará fazer o download do documento digital que deseja validar.
Não estou conseguindo validar um documento com assinatura eletrônica porque quando envio o arquivo aparece uma mensagem dizendo que eu submeti um documento sem assinatura ou com assinatura corrompida. O que devo fazer?
Em primeiro lugar, verifique se o seu documento possui uma assinatura ICP-Brasil ou GOV.BR. Caso positivo, solicite ao emissor o envio de um novo documento com uma assinatura válida e volte a submeter ao VALIDAR. É possível que o documento tenha sido corrompido pelo software utilizado para assinar o documento ou pelo formato de download e compartilhamento empregados. Consulte o nosso Guia de Boas Práticas para saber como evitar inconsistências nas assinaturas.
O resultado da minha submissão foi "documento com assinaturas indeterminadas" e o serviço informa que o documento foi alterado após a assinatura. O que isso significa?
Os documentos eletrônicos em formato PDF admitem o recurso Modification Detection and Prevention (DocMDP) determinado pela ISO-32000-1/2008 (Document management - Portable document format, Part 1: PDF 1.7), que, quando corretamente implementado pelo assinador, permite verificar a posteriori se o documento foi ou não modificado após a assinatura. Por isso, caso o software utilizado para assinar documentos PDF não tenha implementado esse recurso, o resultado poderá ser reconhecido como “Indeterminado” pelo VALIDAR.
Ressaltamos que essa verificação mais criteriosa da assinatura de um documento modificado após assinatura foi inserida em março de 2022 no antigo serviço https://verificador.iti.gov.br de modo opcional. No entanto, com a extinção do Verificador (e sua unificação ao Validar) tal critério, antes opcional, passou a ser obrigatório. Com isso, é possível que assinaturas antes consideradas válidas passem a obter, como resultado, a mensagem "assinatura indeterminada". Esse mesmo critério também já havia sido aplicado no serviço de validação de documentos em saúde (https://assinaturadigital.iti.gov.br), desde abril de 2020.
A implementação desse critério visa evitar que alterações ou adulterações ocorram, e possam permitir eventual fraude em um documento eletrônico. O formato PDF é muito versátil, e admite muitos recursos visuais, como inserção de informações ou outros objetos gráficos, em camadas, alterando o visual do conteúdo. Assim, é fundamental observar as orientações ( Guia de Orientação aos Desenvolvedores ), a fim de evitar essa vulnerabilidade.
Nessas situações, o serviço VALIDAR não tem condições de analisar os documentos eletrônicos assinados no passado, ou anteriores a março de 2023.
O resultado da minha submissão foi "documento com assinaturas indeterminadas" e o Relatório de Conformidade informa que nenhum método implementado (FieldMDP ou DocMDP) para verificação de modificações incrementais pelo autor da primeira assinatura do documento foi definido. O que isso significa?
Em se tratando de documentos em PDF e em conformidade com a ISO-32000-1/2008 (Document management - Portable document format, Part 1: PDF 1.7), o VALIDAR procura, necessariamente, as variáveis FieldMDP ou DocMDP para validar a assinatura digital e, na ausência das mesmas, o resultado será considerado indeterminado. Caso isso tenha ocorrido com seu documento, sugerimos que o assinador volte a assinar o documento e o submeta novamente ao VALIDAR.
Submeti um documento ao VALIDAR e embora o resultado tenha sido Aprovado, o serviço não reconheceu uma das assinaturas. O que pode ter acontecido?
Nessas situações, é possível que o certificado tenha sido considerado revogado, o que ocorre, por exemplo, em razão do falecimento do assinador. Orientamos que o interessado consulte a autoridade certificadora ou o portal GOV.BR para identificar o motivo da revogação e saber como agir nessas situações
Submeti um documento e recebi uma resposta de “Error code: 500”. O que isso significa e o que devo fazer?
Erros na API podem acontecer, mas são facilmente percebidos e corrigidos. Por isso, se você visualizou essa mensagem deve apertar F5 para atualizar a página ou tentar novamente em 30 minutos. Se mesmo depois assim o problema persistir, entre em contato conosco através do Fale conosco para verificar se o problema já foi resolvido.
Não estou conseguindo validar um documento porque o serviço informa que há uma falha na API. O que devo fazer?
Se esse problema aconteceu com você, orientamos que volte a usar o serviço em 30 minutos, Se mesmo assim o problema persistir, entre em contato conosco através do Fale conosco
Meu certificado digital ICP-Brasil expirou. Isso afeta documentos que eu tenha assinado anteriormente?
Não, desde que as assinaturas tenham sido geradas durante o período de vigência do certificado digital, considerando a fonte de tempo utilizada no momento da assinatura.
Ao utilizar o serviço, aparece uma mensagem informando que apenas algumas assinaturas foram validadas porque há assinaturas em excesso. Por que isso acontece e o que devo fazer?
Caso seu documento contenha assinaturas eletrônicas em excesso é possível que o tempo de validação ultrapasse o limite de processamento de 3 minutos e, consequentemente, a validação não poderá ser feita integralmente. Geralmente isso acontece quando o documento possui assinaturas repetidas. Consulte nosso Guia de Boas Práticas para saber como evitar erros e falhas.
Ao submeter um documento, notei que no resultado da submissão consta a informação de que há assinatura(s) desconhecida(s), mas não entendi o que isso significa. O que devo fazer? É seguro aceitar esse documento?
Essa informação de “Assinatura Desconhecida” aparece quando o serviço identifica a existência, no documento, de uma assinatura eletrônica, mas desconhece sua âncora de confiança e, por isso, não pode apresentar seus dados ou verificar seu status. Isso acontece porque uma das funções do serviço VALIDAR descritas no Artigo 2º, § 1º, da Portaria ITI Nº 22, de 28 de setembro de 2023, é justamente a verificação da cadeia de confiança. No entanto, ressaltamos que a decisão sobre aceitar ou não um documento que contenha uma assinatura desconhecida é discricionária, ou seja, cabe apenas ao usuário final.
Submeti um documento ao VALIDAR, mas o serviço não reconhece uma ou mais assinaturas. O que está acontecendo?
O VALIDAR entende como "assinatura desconhecida" aquelas assinaturas que não atendem aos critérios definidos na Portaria ITI Nº 22, de 28 de setembro de 2023. É possível que se trate de um modelo de assinatura que possua outras âncoras de confiança não válidas no Brasil. O serviço também não reconhece a assinatura feita através da prática de "envelopamento" de assinaturas, o que geralmente ocorre quando uma pessoa jurídica assina por cima das demais assinaturas (não permitindo que o VALIDAR verifique tais assinaturas diretamente) . Em suma, nesse caso, o serviço VALIDAR vai apresentar apenas a assinatura da pessoa jurídica, que tecnicamente é quem assinou o documento eletrônico.
Tentei validar uma assinatura, mas o sistema entendeu que a segunda assinatura é uma modificação da primeira. O que devo fazer para evitar que isso aconteça?
O padrão PDF (Portable Document File), criado pela empresa Adobe, e padronizado pela ISO (Organização Internacional para Padronização), é muito versátil, por isso há necessidade de proteger as informações já assinadas.
Para isso, o padrão admite o recurso MDP (Modification Detection and Prevention), representado pelo acrônimo DocMDP. Esse recurso, quando corretamente implementado, define se o documento poderá ou não ter alterações incrementais ou subsequentes à assinatura digital.
Caso o software utilizado para assinar documentos em formato PDF não implemente o recurso, o serviço Validar poderá apresentar o resultado “Assinatura Indeterminada”.
Consulte o Guia de Orientações aos Desenvolvedores para conhecer as recomendações técnicas e exemplo de uso do recurso DocMDP
Assinaturas Eletrônicas
Como faço para saber se o documento que desejo submeter possui assinatura normal (anexada) ou destacada?
Você não terá dificuldades para saber qual é a assinatura. Se você tiver apenas um arquivo, muito provavelmente a sua assinatura será normal (ou anexada), ou seja, tanto a assinatura quanto o conteúdo estão inseridos no mesmo arquivo. Mas se você possui dois arquivos: um com assinatura, normalmente em formato .p7s, e o outro documento com o conteúdo, podendo ser de qualquer formato (ex: pdf, xml, etc), trata-se de uma assinatura destacada.
QR code
Como faço para VALIDAR um QR Code?
É muito simples, você só precisa acessar o VALIDAR e autorizar o uso da câmera do seu dispositivo desktop ou mobile. Aponte a câmera do seu dispositivo para o QR Code e aguarde (pode demorar alguns instantes) até que o leitor feche, pois isso significará que a leitura foi feita corretamente. Depois que seu QR Code for reconhecido você precisará inserir um código/senha, também chamado de “secret code” no espaço indicado. Esse código foi gerado no momento da criação do QR Code e é composto por um conjunto de caracteres alfanuméricos com variável de 0 a 64 caracteres.
Minha webcam está quebrada. Nesse caso, como posso usar o VALIDAR para ler um QR Code?
Nesse caso você usará o VALIDAR utilizando o PDF do documento assinado eletronicamente. Ou seja, terá que fazer o download e upload do documento.
É mais vantajoso para mim utilizar o VALIDAR com QR Code?
Sim, pois permite o acesso rápido ao documento que você quer validar, sem necessidade de fazer o download e upload do arquivo. Dessa forma, tendo a versão física, digital ou apenas o QR Code em mãos, a validação do documento poderá ser feita. Mas em termos de segurança, vale destacar que tanto o QR Code quanto o PDF ou link são igualmente seguros.
O VALIDAR permite conferir se um documento com QR Code foi assinado digitalmente?
Sim. Se o documento que você tem em mãos possui um QR Code é possível que ele tenha sido assinado digitalmente. Mas para conferir isso, você precisa utilizar o VALIDAR.
O que fazer quando o QR Code de um documento aprensentar erro?
Informe o provedor do documento ou sistema de prescrição sobre o problema para que os técnicos responsáveis possam corrigir através de geração de um novo QR Code que atenda aos requisitos constantes em nosso Guia de Orientações aos Desenvolvedores.
Estou tentando validar um documento com QR Code mas não possuo um código. O que devo fazer?
Por questão de segurança, o VALIDAR não permite a submissão de documentos assinados que não contenham um código/senha (secret code). Em se tratando de documentos de saúde, esses códigos aparecem geralmente próximo ao QR Code e possuem até 64 caracteres. Caso você não localize o código, será necessário gerar um novo QR Code que contenha um Secret Code. As orientações sobre como gerar o QR Code estão disponíveis no Guia de orientações aos desenvolvedores
Como faço para gerar um QR Code com código “secret code”?
Se você é um desenvolvedor, o VALIDAR dispõe de um Guia de orientações aos desenvolvedores para auxiliá-lo nesse processo. Caso você seja um usuário comum, precisará repassar essas orientações a um desenvolvedor ou questionar a plataforma utilizada para gerar seu QR Code.
Submeti um documento e recebi uma resposta indicando que é possível que seu QR Code tenha sido gerado com erro. O que isso significa e o que devo fazer?
É possível que seu QR Code tenha sido gerado com erro. Nesse caso, solicite aos desenvolvedores responsáveis pela geração do seu QR Code que consultem nosso Guia de orientações aos desenvolvedores