Autenticou Signer — Assinatura Digital A1 ICP-Brasil
A presente Política de Privacidade descreve como a extensão Autenticou Signer coleta, usa, armazena e protege as informações dos usuários da plataforma autenticou.com. Esta Política é aplicável a todos os usuários que instalam e utilizam a Extensão em seus navegadores.
A Extensão foi desenvolvida para facilitar a assinatura digital de documentos com certificados A1 ICP-Brasil, em conformidade com a Medida Provisória n.º 2.200-2, de 24 de agosto de 2001, que institui a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
A Extensão acessa, exclusivamente mediante solicitação explícita do usuário, a lista de certificados X.509 instalados no repositório de certificados do sistema operacional:
O acesso limita-se à leitura dos dados públicos do certificado: nome do titular, CPF/CNPJ, emissor, validade e fingerprint SHA-1. Nenhuma chave privada é lida, copiada, transmitida ou armazenada fora do dispositivo do usuário.
Quando o usuário solicita a assinatura de um documento, a Extensão envia o hash SHA-256 do documento ao processo nativo (autenticou_signer.py). O processo nativo utiliza as APIs do sistema operacional para realizar a operação criptográfica localmente. O sistema operacional pode solicitar a senha ou PIN do certificado diretamente ao usuário por meio de diálogo nativo.
As informações acessadas pela Extensão são utilizadas exclusivamente para:
O processo nativo grava um log de auditoria no dispositivo do usuário, localizado em:
O log contém: data e hora da operação (UTC), tipo de comando executado e fingerprint SHA-1 do certificado utilizado.
O log não contém: conteúdo do documento, dados do destinatário, informações pessoais além do fingerprint, ou qualquer dado transmitido à Autenticou.com.
A Extensão utiliza a API chrome.storage exclusivamente para armazenar o status da conexão com o processo nativo entre aberturas do popup. Nenhum dado pessoal, certificado ou conteúdo de documento é armazenado neste mecanismo.
A assinatura digital gerada (envelope PKCS#7 ou assinatura raw) juntamente com o certificado público do assinante (DER) é enviada ao servidor autenticou.com após a operação. Esta transmissão é realizada por HTTPS e contém apenas os dados necessários para o registro e validação jurídica da assinatura. Nenhuma chave privada é transmitida.
A Autenticou.com não vende, aluga ou compartilha dados pessoais dos usuários com terceiros para fins comerciais. Os dados da assinatura digital podem ser compartilhados com:
O tratamento de dados pessoais fundamenta-se nas seguintes hipóteses da Lei n.º 13.709/2018 (LGPD):
Na forma da LGPD, o usuário possui os seguintes direitos em relação aos seus dados pessoais:
| Direito | Descrição |
|---|---|
| Acesso | Obter confirmação e acesso aos dados que tratamos sobre você |
| Retificação | Corrigir dados incompletos, inexatos ou desatualizados |
| Eliminação | Solicitar a exclusão de dados desnecessários ou excessivos |
| Portabilidade | Receber seus dados em formato estruturado e interoperável |
| Informação | Saber com quem compartilhamos seus dados |
| Revogação | Revogar o consentimento a qualquer momento |
Para exercer estes direitos, entre em contato: privacidade@autenticou.com
A Extensão não utiliza cookies, pixels de rastreamento, tecnologias de fingerprinting ou qualquer mecanismo de rastreamento de comportamento do usuário.
Esta Política pode ser atualizada periodicamente. Alterações substanciais serão comunicadas com antecedência mínima de 15 dias por meio de notificação na plataforma autenticou.com. O uso continuado da Extensão após a data de vigência implica a aceitação da nova versão.
O encarregado pelo tratamento de dados pessoais (DPO) pode ser contactado pelo mesmo e-mail acima.
Autenticou Signer — ICP-Brasil A1 Digital Signing
This Privacy Policy describes how the Autenticou Signer extension accesses, uses, stores, and protects user information on the autenticou.com platform. This Policy applies to all users who install and use the Extension in their web browsers.
The Extension was developed to facilitate digital document signing with A1 ICP-Brasil certificates, in compliance with Brazilian Provisional Measure No. 2,200-2 of August 24, 2001, which establishes the Brazilian Public Key Infrastructure (ICP-Brasil).
The Extension accesses, exclusively upon explicit user request, the list of X.509 certificates installed in the operating system's certificate store:
Access is limited to reading the public certificate data: holder name, CPF/CNPJ (Brazilian tax IDs), issuer, validity period, and SHA-1 fingerprint. No private key is read, copied, transmitted, or stored outside the user's device.
When the user requests to sign a document, the Extension sends the SHA-256 hash of the document to the native host process (autenticou_signer.py). The native host uses operating system APIs to perform the cryptographic operation locally. The OS may prompt the user for the certificate password or PIN through a native dialog.
The certificate's private key is never exposed to the Extension, the browser, or any external server. The signing operation takes place entirely on the user's device.
Information accessed by the Extension is used exclusively to:
The native host process writes an audit log on the user's device, located at:
The log contains: operation date and time (UTC), type of command executed, and SHA-1 fingerprint of the certificate used.
The log does NOT contain: document content, recipient information, personal data beyond the fingerprint, or any data transmitted to Autenticou.com.
The Extension uses the chrome.storage API solely to store the native host connection status between popup openings. No personal data, certificate information, or document content is stored through this mechanism.
The generated digital signature (PKCS#7 envelope or raw signature), along with the signer's public certificate (DER), is sent to the autenticou.com server after the signing operation. This transmission is performed over HTTPS and contains only the data necessary for the legal registration and validation of the signature. No private key is transmitted.
Autenticou.com does not sell, rent, or share users' personal data with third parties for commercial purposes. Digital signature data may be shared with:
The processing of personal data is based on the following grounds under the Brazilian General Data Protection Law (LGPD — Lei n.° 13,709/2018) and, where applicable, the GDPR:
Under applicable data protection law, users have the following rights:
| Right | Description |
|---|---|
| Access | Obtain confirmation and access to the data we hold about you |
| Rectification | Correct inaccurate or incomplete data |
| Erasure | Request deletion of unnecessary or excessive data |
| Portability | Receive your data in a structured, interoperable format |
| Information | Know with whom we share your data |
| Objection | Object to certain types of processing |
| Withdraw consent | At any time, without affecting prior lawful processing |
To exercise these rights, contact us at: privacy@autenticou.com
The Extension does not use cookies, tracking pixels, fingerprinting technologies, or any user behavior tracking mechanism.
This Policy may be updated periodically. Material changes will be communicated at least 15 days before taking effect via notification on the autenticou.com platform. Continued use of the Extension after the effective date constitutes acceptance of the updated Policy.
Our Data Protection Officer (DPO) can be reached at the email address above.
This Extension complies with the Chrome Web Store Developer Program Policies. Specifically:
nativeMessaging permission to communicate with a locally installed helper process (autenticou_signer.py) that interfaces with the OS certificate store. This process is open source, runs only on the user's machine, and never transmits private keys to any server.