Emissão de regulamentos de auditoria técnica para assinaturas eletrônicas e serviços confiáveis: garantindo a segurança e aumentando a confiança no espaço digital

A Circular é uma importante base legal para padronizar os processos de auditoria técnica, garantindo que os sistemas e organizações que fornecem e utilizam assinaturas eletrônicas estejam em conformidade com os padrões técnicos e de segurança da informação, contribuindo para fortalecer a confiança das pessoas, empresas e órgãos gestores no ambiente de transações digitais.

De acordo com os regulamentos, esta Circular se aplica a organizações e indivíduos que participam ou estão relacionados a atividades de auditoria técnica para sistemas de informação, processos para fornecimento de serviços seguros de assinatura eletrônica, certificados seguros de assinatura eletrônica, assinaturas digitais, certificados de assinatura digital e outros serviços confiáveis.

Em particular, agências e organizações que criam e utilizam assinaturas eletrônicas seguras são incentivadas a conduzir auditorias técnicas proativamente para autoavaliar a conformidade e a segurança de seus sistemas e processos de prestação de serviços. Este é um passo importante, que demonstra o espírito de prevenção proativa de riscos de segurança cibernética, em vez de apenas lidar com incidentes quando ocorrem violações.

Os provedores de serviços confiáveis ​​são obrigados a realizar auditorias técnicas a cada dois anos para garantir que os sistemas e processos de prestação de serviços sejam mantidos em um estado seguro e estável e atendam aos requisitos técnicos de acordo com os padrões nacionais.

De acordo com a Circular, a base para a avaliação da auditoria técnica são os requisitos específicos para sistemas de informação e processos de prestação de serviços especificados em regulamentos técnicos, normas técnicas e requisitos técnicos aplicáveis ​​a assinaturas eletrônicas, certificados eletrônicos e serviços confiáveis.

As atividades de auditoria técnica são realizadas em duas etapas principais: avaliação de informações e documentos durante o processo de planejamento e avaliação efetiva na organização auditada. Todo o conteúdo deve ser objetivo, transparente e estar de acordo com o plano e o escopo previamente acordados.

A duração máxima de uma auditoria é de 6 meses, podendo ser prorrogada por até 45 dias, se necessário, para a conclusão de ações corretivas. Após a conclusão, com base nos resultados da avaliação e nas ações corretivas (se houver), a organização auditora considerará a emissão de um certificado com um Relatório Técnico de Auditoria para a organização auditada. Caso os requisitos não sejam atendidos, a organização auditora deverá notificar a empresa por escrito, justificando o ocorrido e anexando o Relatório Técnico de Auditoria.

A Circular também detalha o conteúdo obrigatório no Relatório de Auditoria Técnica, incluindo: Informações gerais sobre a auditoria, tempo de implementação, método de avaliação, resultados da análise de risco de segurança da informação, resultados dos testes do sistema, recomendações técnicas e base para decisões de certificação.

Os prestadores de serviços confiáveis ​​devem enviar Relatórios de Auditoria Técnica ao Ministério da Ciência e Tecnologia , por meio do Centro Nacional de Autenticação Eletrônica (NEAC), ponto focal para sintetizar, monitorar e atender ao trabalho de gestão estadual.

Relatórios regulares não apenas ajudam a avaliar o status operacional de provedores de serviços confiáveis, mas também criam um banco de dados unificado para formulação de políticas, gerenciamento de riscos e dão suporte às agências estaduais na melhoria da qualidade e segurança da infraestrutura nacional de transações digitais.

A Circular estipula que as organizações de auditoria técnica são responsáveis ​​por exercer seus direitos e obrigações de acordo com as disposições da lei sobre normas e regulamentos técnicos; garantindo independência, objetividade e total conformidade com os procedimentos de auditoria técnica de acordo com os regulamentos sobre qualidade de produtos e bens e segurança da informação da rede.

O Comitê Nacional de Normas, Metrologia e Qualidade do Ministério da Ciência e Tecnologia é o ponto focal para receber e avaliar dossiês de registro para designação de organizações de auditoria técnica e submetê-los ao Ministro da Ciência e Tecnologia para decisão de designar organizações qualificadas de acordo com a lei de normas e qualidade.

Enquanto isso, o Centro Nacional de Autenticação Eletrônica é responsável por receber e sintetizar relatórios de auditoria técnica de organizações auditadas, reportando periodicamente ao Ministro da Ciência e Tecnologia para atender à gestão estadual da prestação de serviços confiáveis.

A emissão da Circular sobre auditoria técnica de assinaturas eletrônicas e serviços confiáveis ​​é considerada um passo importante para a conclusão do corredor jurídico nacional sobre segurança da informação, autenticação eletrônica e transformação digital.

A Circular contribui para padronizar o sistema de avaliação independente, fortalecer o controle de riscos, melhorar a autonomia tecnológica e criar confiança digital para os usuários no processo de transação, assinatura e troca de dados eletrônicos.

A Circular entra em vigor em 1º de janeiro de 2026, marcando um novo passo à frente na gestão técnica e garantindo a segurança e a confiabilidade da infraestrutura nacional de assinatura eletrônica, rumo ao objetivo de construir um governo digital, uma economia digital e uma sociedade digital seguros, transparentes e desenvolvidos de forma sustentável.