{"id":611,"date":"2026-03-01T17:40:22","date_gmt":"2026-03-01T17:40:22","guid":{"rendered":"https:\/\/soludu.com.br\/index.php\/2026\/03\/01\/arquivo-digital-token-ou-nuvem-qual-o-ideal\/"},"modified":"2026-03-01T17:40:22","modified_gmt":"2026-03-01T17:40:22","slug":"arquivo-digital-token-ou-nuvem-qual-o-ideal","status":"publish","type":"post","link":"https:\/\/soludu.com.br\/index.php\/2026\/03\/01\/arquivo-digital-token-ou-nuvem-qual-o-ideal\/","title":{"rendered":"Arquivo digital, token ou nuvem: qual o ideal?"},"content":{"rendered":"

A discuss\u00e3o sobre arquivo digital, token ou nuvem<\/strong><\/strong> deixou de ser apenas t\u00e9cnica: ela virou uma decis\u00e3o pr\u00e1tica que impacta custo, mobilidade, conformidade e at\u00e9 a continuidade do trabalho. \u00c0 medida que servi\u00e7os p\u00fablicos e privados aceleram a digitaliza\u00e7\u00e3o, escolher o \u201cformato\u201d do certificado e da autentica\u00e7\u00e3o virou parte da estrat\u00e9gia operacional.<\/p>\n

No Brasil, esse debate ganhou for\u00e7a com movimentos recentes como o an\u00fancio do ITI de \u201ccertificado digital em nuvem\u201d no celular<\/em> com emiss\u00e3o 100% eletr\u00f4nica e meta de gratuidade para pessoa f\u00edsica (21\/03\/2025), al\u00e9m do Serpro rebatizando seu certificado em nuvem para SerproID<\/em> e destacando que ele dispensa token f\u00edsico (25\/03\/2024). Ao mesmo tempo, h\u00e1 casos em que a exig\u00eancia regulat\u00f3ria aponta para o caminho oposto, como a demanda por A3 (m\u00eddia f\u00edsica ou em nuvem) em acessos ao INSS a partir de 24\/11\/2025, motivada por refor\u00e7o de seguran\u00e7a ap\u00f3s apura\u00e7\u00f5es de fraudes (23\/10\/2025).<\/p>\n

1) O que est\u00e1 em jogo: identidade, assinatura e confian\u00e7a digital<\/h2>\n

Quando falamos em \u201ccertificado digital\u201d, falamos de um mecanismo formal de identifica\u00e7\u00e3o e de assinatura digital. No vocabul\u00e1rio da ICP-Brasil\/ITI, os certificados de assinatura s\u00e3o tipificados como A1, A2, A3 e A4<\/strong>, e essa classifica\u00e7\u00e3o costuma orientar como a chave privada \u00e9 armazenada e utilizada.<\/p>\n

Na pr\u00e1tica, a forma de armazenamento da chave (arquivo, hardware\/token ou ambiente remoto\/nuvem) altera o equil\u00edbrio entre tr\u00eas fatores: seguran\u00e7a<\/strong> (resist\u00eancia a roubo\/uso indevido), usabilidade<\/strong> (mobilidade e facilidade) e governan\u00e7a<\/strong> (controle, auditoria e adequa\u00e7\u00e3o a requisitos de \u00f3rg\u00e3os e sistemas).<\/p>\n

Esse equil\u00edbrio importa porque a demanda por identidade digital tende a crescer. Estat\u00edsticas de mercado citadas com base no ITI indicam um cen\u00e1rio de escala: proje\u00e7\u00e3o de mais de 12,8 milh\u00f5es de certificados emitidos em 2026<\/strong> e cerca de 15,7 milh\u00f5es ativos<\/strong> em jan\/2026 (fonte secund\u00e1ria). Quanto maior o volume, maior a press\u00e3o por modelos mais simples de emitir, operar e recuperar.<\/p>\n

2) Arquivo (A1): agilidade e custo menor , com responsabilidade maior<\/h2>\n

O modelo \u201carquivo\u201d costuma se associar ao A1<\/strong>: um certificado instalado no computador\/servidor (ou em reposit\u00f3rio gerenciado), normalmente com chave privada export\u00e1vel<\/em> para backup\/migra\u00e7\u00e3o. Ele \u00e9 escolhido por quem precisa de automa\u00e7\u00e3o, integra\u00e7\u00e3o com sistemas e rapidez no dia a dia.<\/p>\n

Do ponto de vista de risco, diretrizes modernas de autentica\u00e7\u00e3o como o NIST SP 800-63B-4<\/strong> (01\/08\/2025) ajudam a entender a diferen\u00e7a entre chaves export\u00e1veis<\/strong> e n\u00e3o export\u00e1veis<\/strong>. Em termos gerais, quando a chave pode ser copiada, ela tamb\u00e9m pode ser copiada por um atacante caso haja comprometimento (malware, vazamento de backup, acesso indevido ao armazenamento).<\/p>\n

Isso n\u00e3o significa que o A1 seja \u201cruim\u201d, mas que ele exige controles equivalentes ao valor do que est\u00e1 sendo assinado: criptografia de disco, prote\u00e7\u00e3o de esta\u00e7\u00e3o\/servidor, segrega\u00e7\u00e3o de fun\u00e7\u00f5es, cofre de segredos quando aplic\u00e1vel, backup seguro e procedimentos claros de revoga\u00e7\u00e3o. Para empresas com maturidade de TI, o A1 pode ser ideal; para quem depende de notebooks pessoais pouco controlados, o risco sobe.<\/p>\n

3) Token\/cart\u00e3o (A3): seguran\u00e7a tang\u00edvel e fric\u00e7\u00e3o operacional<\/h2>\n

O A3<\/strong> \u00e9 historicamente associado a token USB<\/strong> ou cart\u00e3o com leitora<\/strong>. O valor central desse modelo \u00e9 manter a chave privada em um elemento controlado, frequentemente tratado como n\u00e3o export\u00e1vel<\/em> na pr\u00e1tica, o que reduz a superf\u00edcie de c\u00f3pia da chave.<\/p>\n

O lado dif\u00edcil aparece na rotina: depend\u00eancia de driver, compatibilidade com sistemas, log\u00edstica de entrega, risco de perda f\u00edsica, custo de reposi\u00e7\u00e3o e limita\u00e7\u00f5es em ambientes m\u00f3veis. Em cen\u00e1rios de alto volume (escrit\u00f3rios cont\u00e1beis, departamentos jur\u00eddicos, opera\u00e7\u00f5es distribu\u00eddas), essas fric\u00e7\u00f5es podem virar gargalo.<\/p>\n

Mesmo assim, h\u00e1 contextos em que o A3 continua sendo a rota exigida ou preferida. Uma reportagem setorial apontou requisito de \u201cA3 (m\u00eddia f\u00edsica ou em nuvem)\u201d<\/strong> para acesso a sistemas do INSS a partir de 24\/11\/2025<\/strong>, em movimento associado a refor\u00e7o de seguran\u00e7a ap\u00f3s apura\u00e7\u00f5es de fraudes (com men\u00e7\u00e3o ao of\u00edcio SEI n\u00ba 238\/2025\/DTI-INSS). Isso ilustra um ponto importante: \u00e0s vezes, o \u201cideal\u201d \u00e9 simplesmente o que o \u00f3rg\u00e3o aceita.<\/p>\n

4) Nuvem: mobilidade, emiss\u00e3o digital e o avan\u00e7o do \u201csem m\u00eddia\u201d<\/h2>\n

Os an\u00fancios recentes refor\u00e7am uma dire\u00e7\u00e3o clara: reduzir depend\u00eancia de m\u00eddia f\u00edsica. Em 21\/03\/2025, o ITI anunciou \u201ccertificado digital em nuvem<\/a>\u201d no celular<\/strong>, com emiss\u00e3o 100% eletr\u00f4nica<\/strong> e meta de gratuidade para pessoa f\u00edsica<\/strong>. Na mesma linha de simplifica\u00e7\u00e3o, o presidente do ITI, Enylson Camolesi<\/strong>, defendeu que \u201cum certificado que n\u00e3o tem uma m\u00eddia<\/strong>\u201d reduz custo e aumenta a facilidade de uso, destacando a mobilidade no celular.<\/p>\n

Antes disso, em 25\/03\/2024, o Serpro rebatizou seu certificado digital em nuvem<\/a> para SerproID<\/strong> e enfatizou que a solu\u00e7\u00e3o dispensa token f\u00edsico<\/strong>, com uso em m\u00faltiplos dispositivos<\/strong> (mobile e desktop). Esse tipo de experi\u00eancia tende a ser mais amig\u00e1vel para quem assina em mais de um local, trabalha remoto ou precisa alternar entre computador e celular.<\/p>\n

Do ponto de vista t\u00e9cnico, o NIST SP 800-63B-4 descreve tamb\u00e9m a ideia de \u201csyncable authenticators\u201d<\/strong> (autenticadores sincroniz\u00e1veis), conectando a no\u00e7\u00e3o de que credenciais\/chaves podem ser protegidas e disponibilizadas via provedor com requisitos adicionais. Em outras palavras: \u201cnuvem\u201d n\u00e3o \u00e9 automaticamente menos segura , ela muda o modelo de confian\u00e7a e exige controles fortes de ciclo de vida, recupera\u00e7\u00e3o e prote\u00e7\u00e3o contra sequestro de conta.<\/p>\n

5) \u201cToken\u201d tamb\u00e9m \u00e9 conceito: tokens, assertions e cadeia de confian\u00e7a<\/h2>\n

No vocabul\u00e1rio de identidade digital, \u201ctoken\u201d n\u00e3o \u00e9 s\u00f3 o hardware USB: tamb\u00e9m pode significar tokens de autentica\u00e7\u00e3o<\/strong> e assertions<\/strong> emitidos por provedores (por exemplo, para acesso a sistemas). Essa vis\u00e3o \u00e9 importante porque muitas solu\u00e7\u00f5es em nuvem dependem de tokens e sess\u00f5es para funcionar com boa experi\u00eancia.<\/p>\n

O NIST IR 8587<\/strong> (draft, 22\/12\/2025) discute recomenda\u00e7\u00f5es para proteger \u201ctokens e assertions\u201d contra falsifica\u00e7\u00e3o, roubo e mau uso, com foco em ag\u00eancias e provedores de nuvem. A mensagem pr\u00e1tica \u00e9 que, em ecossistemas cloud, n\u00e3o basta proteger a chave: \u00e9 preciso proteger tamb\u00e9m emiss\u00e3o, valida\u00e7\u00e3o, expira\u00e7\u00e3o, revoga\u00e7\u00e3o e monitoramento de abuso.<\/p>\n

Na decis\u00e3o \u201carquivo vs token vs nuvem\u201d, esse detalhe muda o olhar: voc\u00ea n\u00e3o est\u00e1 escolhendo s\u00f3 onde a chave mora, mas como todo o ecossistema vai lidar com autentica\u00e7\u00e3o, autoriza\u00e7\u00e3o, recupera\u00e7\u00e3o de acesso e resposta a incidentes. O ideal tende a ser o modelo em que sua organiza\u00e7\u00e3o consegue operar esses controles de ponta a ponta.<\/p>\n

6) Passkeys, resist\u00eancia a phishing e por que isso importa na escolha<\/h2>\n

Uma press\u00e3o global em seguran\u00e7a \u00e9 reduzir depend\u00eancia de senhas e elevar a resist\u00eancia a phishing. Em 08\/2024, comunica\u00e7\u00f5es no ecossistema de seguran\u00e7a (CISA\/FBI via divulga\u00e7\u00e3o FIDO) refor\u00e7aram o movimento por autentica\u00e7\u00e3o resistente a phishing<\/strong> por padr\u00e3o, usando passkeys<\/strong>.<\/p>\n

Em 22\/04\/2024, a FIDO Alliance discutiu o reconhecimento, pelo NIST, de passkeys sincronizadas<\/strong> e sua resist\u00eancia a phishing nas diretrizes. Isso conversa diretamente com o tema \u201cnuvem\u201d: sincroniza\u00e7\u00e3o pode coexistir com metas de seguran\u00e7a, desde que o autenticador e o provedor atendam requisitos (prote\u00e7\u00e3o do dispositivo, recupera\u00e7\u00e3o segura, mitiga\u00e7\u00e3o de tomada de conta).<\/p>\n

Na pr\u00e1tica, ao avaliar solu\u00e7\u00f5es em nuvem para assinatura\/autentica\u00e7\u00e3o, vale perguntar: o acesso ao uso do certificado depende de fatores resistentes a phishing? H\u00e1 prote\u00e7\u00e3o por biometria\/PIN local, pol\u00edticas de risco, detec\u00e7\u00e3o de anomalia, amarra\u00e7\u00e3o a dispositivo e fluxos de recupera\u00e7\u00e3o robustos? Esses pontos podem ser t\u00e3o importantes quanto a \u201cm\u00eddia\u201d em si.<\/p>\n

7) O fator \u201c\u00f3rg\u00e3o p\u00fablico\u201d: conformidade e prazos mudam o ideal<\/h2>\n

O \u201cideal\u201d frequentemente \u00e9 ditado por exig\u00eancias e transi\u00e7\u00f5es regulat\u00f3rias. Exemplo: a Receita Federal publicou a Instru\u00e7\u00e3o Normativa RFB n\u00ba 2.270\/2025<\/strong> (04\/07\/2025), com prazos at\u00e9 31\/12\/2025<\/strong> e mudan\u00e7a a partir de 01\/01\/2026<\/strong>, ilustrando como servi\u00e7os evoluem em janelas de vig\u00eancia e adapta\u00e7\u00e3o.<\/p>\n

Outro exemplo \u00e9 a atualiza\u00e7\u00e3o de conte\u00fado da Receita Federal sobre o Programa Confia<\/strong> (19\/12\/2025), com refer\u00eancia a normas de 2025 e cronograma 2026. Programas assim tendem a refor\u00e7ar a depend\u00eancia de infraestrutura digital e, por consequ\u00eancia, a necessidade de uma identidade\/assinatura que seja aceita, audit\u00e1vel e operacionalmente sustent\u00e1vel.<\/p>\n

Somado ao caso do INSS com requisito A3 (f\u00edsico ou em nuvem) a partir de 24\/11\/2025, fica claro que a decis\u00e3o n\u00e3o \u00e9 apenas \u201cqual \u00e9 mais moderno\u201d, mas \u201cqual ser\u00e1 aceito nos sistemas cr\u00edticos que eu preciso acessar\u201d. Mapear esses requisitos antes de comprar\/emitir evita retrabalho e custos.<\/p>\n

8) Como decidir: um roteiro pr\u00e1tico por perfil de uso<\/h2>\n

Se o seu foco \u00e9 automa\u00e7\u00e3o<\/strong> (rotinas em servidor, assinaturas em lote, integra\u00e7\u00f5es), o \u201carquivo\u201d (tipicamente A1) costuma ser o mais eficiente , desde que voc\u00ea tenha controles de seguran\u00e7a equivalentes ao risco e evite que a chave circule por m\u00e1quinas pessoais ou backups desprotegidos.<\/p>\n

Se o seu foco \u00e9 seguran\u00e7a com controle local<\/strong> e voc\u00ea aceita fric\u00e7\u00e3o (uso em um posto espec\u00edfico, pol\u00edtica r\u00edgida, menor mobilidade), o token\/cart\u00e3o (A3) ainda \u00e9 uma escolha forte e, em certos contextos, pode ser exig\u00eancia de acesso. Ele tende a reduzir o risco de c\u00f3pia da chave, mas n\u00e3o elimina riscos como engenharia social e uso indevido quando o token est\u00e1 conectado.<\/p>\n

Se o seu foco \u00e9 mobilidade e experi\u00eancia<\/strong> (assinar no celular, usar em m\u00faltiplos dispositivos, reduzir log\u00edstica), a nuvem vem ganhando tra\u00e7\u00e3o no Brasil , com exemplos como o an\u00fancio do ITI (21\/03\/2025) e o SerproID (25\/03\/2024). Aqui, o ideal \u00e9 avaliar cuidadosamente o provedor e os mecanismos de autentica\u00e7\u00e3o, recupera\u00e7\u00e3o de conta, auditoria e prote\u00e7\u00e3o contra phishing, porque a seguran\u00e7a depende do todo.<\/p>\n

N\u00e3o existe uma resposta \u00fanica para \u201carquivo digital, token ou nuvem<\/strong>: qual o ideal?\u201d. O ideal \u00e9 o que equilibra exig\u00eancia do \u00f3rg\u00e3o, risco aceit\u00e1vel e capacidade de opera\u00e7\u00e3o: o A1 favorece velocidade e integra\u00e7\u00e3o, o A3 favorece controle e prote\u00e7\u00e3o contra c\u00f3pia de chave, e a nuvem favorece mobilidade e escala, reduzindo a depend\u00eancia de m\u00eddia f\u00edsica.<\/p>\n

Com iniciativas como o certificado em nuvem anunciado pelo ITI e a consolida\u00e7\u00e3o de ofertas como o SerproID, al\u00e9m de exig\u00eancias setoriais como A3 (f\u00edsico ou em nuvem) no INSS, a tend\u00eancia \u00e9 que o mercado conviva com modelos h\u00edbridos. Para escolher bem, mapeie onde voc\u00ea assina e acessa, valide os requisitos dos sistemas (hoje e nos pr\u00f3ximos prazos) e priorize implementa\u00e7\u00f5es com autentica\u00e7\u00e3o forte, governan\u00e7a e recupera\u00e7\u00e3o segura.<\/p>\n","protected":false},"excerpt":{"rendered":"

A discuss\u00e3o sobre arquivo digital, token ou nuvem deixou de ser apenas t\u00e9cnica: ela virou uma decis\u00e3o pr\u00e1tica que impacta custo, mobilidade, conformidade e at\u00e9 a continuidade do trabalho. \u00c0 medida que servi\u00e7os p\u00fablicos e privados aceleram a digitaliza\u00e7\u00e3o, escolher o \u201cformato\u201d do certificado e da autentica\u00e7\u00e3o virou parte da estrat\u00e9gia operacional. No Brasil, esse […]<\/p>\n","protected":false},"author":1,"featured_media":612,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[1],"tags":[],"class_list":["post-611","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/soludu.com.br\/wp-content\/uploads\/sites\/3\/2026\/03\/arquivo-digital-token-ou-nuvem-qual-o-ideal.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/soludu.com.br\/index.php\/wp-json\/wp\/v2\/posts\/611","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/soludu.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soludu.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soludu.com.br\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/soludu.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=611"}],"version-history":[{"count":0,"href":"https:\/\/soludu.com.br\/index.php\/wp-json\/wp\/v2\/posts\/611\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soludu.com.br\/index.php\/wp-json\/wp\/v2\/media\/612"}],"wp:attachment":[{"href":"https:\/\/soludu.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=611"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soludu.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=611"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soludu.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=611"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}