Licitei - Plataforma de licitações públicasEntrarÍcone de login
assinatura digital

Assinatura digital e segurança: por que a Licitei tem uma das mais seguras do mercado

Publicado em 6 de julho de 2026 - 8 min de leitura

Assinatura digital e segurança: por que a Licitei tem uma das mais seguras do mercado

Toda plataforma de licitação oferece assinatura digital. Poucas explicam o que acontece com o seu certificado digital e a senha dele no momento em que você assina.

No modelo mais comum, você envia o certificado A1 e a senha para a plataforma, e ela assina os documentos no servidor. A senha do seu certificado, que autoriza uma assinatura com valor jurídico em nome da sua empresa, passa a trafegar pela infraestrutura de outra empresa.

A Licitei adota o modelo oposto. A assinatura é executada inteiramente no seu navegador: a senha do certificado nunca chega ao nosso servidor, e o certificado nunca é usado fora do seu dispositivo. É essa decisão de arquitetura que coloca a assinatura da Licitei entre as mais seguras do mercado, e este post é um mergulho no porquê.

O que define a segurança de uma assinatura

A segurança de uma assinatura digital se decide em três pontos concretos: onde o certificado é usado para assinar e quem tem acesso à senha, se a assinatura atinge o maior nível de validade jurídica previsto na legislação brasileira, e se o documento pode ser verificado de forma independente, sem depender da plataforma que o gerou. A assinatura da Licitei responde os três no nível mais alto.

O certificado é usado no seu navegador, não no servidor

A assinatura acontece no lado do cliente, dentro do seu navegador. Ao assinar uma proposta ou uma declaração de habilitação, a Licitei carrega o seu certificado, e a senha que você digita libera a assinatura localmente, na memória da aba. A operação criptográfica é executada no seu dispositivo, e o servidor recebe de volta apenas o PDF já assinado. A senha do certificado não trafega pela rede.

Isso é possível porque o navegador moderno expõe a Web Crypto API, que executa as operações de criptografia diretamente no cliente e produz a assinatura sem intermediar um servidor.

O certificado fica armazenado, porém cifrado. A Licitei guarda o arquivo .pfx do seu certificado em um bucket privado, para você assinar de qualquer dispositivo sem recadastrá-lo a cada uso. O ponto central é o que o servidor faz com esse arquivo: nada além de guardá-lo. Ele nunca recebe a sua senha e nunca faz o parse do certificado. O arquivo A1 é um container PKCS#12 cifrado, que só pode ser aberto com a senha do certificado. Como a senha existe apenas no seu dispositivo, o que fica no bucket é um arquivo que o servidor não tem como abrir.

Esse desenho muda onde o risco se concentra. O NIST SP 800-57, referência internacional de gestão de credenciais criptográficas, recomenda que as credenciais de assinatura permaneçam sob controle exclusivo do titular e protegidas contra divulgação. O mesmo documento é explícito quanto ao custo de uma falha: expor essas credenciais torna suspeitas a integridade e a irretratabilidade de todos os documentos já assinados com elas.

Uma plataforma que assina no servidor precisa, em algum momento, do certificado e da senha juntos, e é aí que o risco se acumula. No modelo da Licitei, um vazamento do bucket exporia apenas arquivos cifrados, inúteis para assinar: falta a senha do certificado, que nunca sai do dispositivo do titular.

Validade jurídica de assinatura qualificada ICP-Brasil

O certificado A1 é um certificado digital ICP-Brasil, e a legislação brasileira lhe atribui o maior peso jurídico. Documentos assinados com certificado ICP-Brasil têm a mesma validade jurídica de um documento em papel com assinatura de próprio punho, nos termos do art. 10 da MP 2.200-2/2001. A Lei 14.063/2020 classifica essa como assinatura eletrônica qualificada, a categoria mais alta entre as três previstas (simples, avançada e qualificada) e a única que exige certificado ICP-Brasil.

O ITI, autoridade responsável pela ICP-Brasil, destaca que a assinatura digital nesse âmbito garante autenticidade, integridade, confiabilidade e não repúdio. Em licitação isso é decisivo, porque proposta, declarações e documentos de habilitação precisam permanecer defensáveis diante de qualquer questionamento. Uma imagem de assinatura inserida no PDF não oferece nenhuma dessas garantias.

Assinatura PAdES, verificável de forma independente

A assinatura gerada pela Licitei segue o padrão PAdES, que embute a assinatura no próprio arquivo PDF. Ela trafega dentro do documento que você envia na disputa, e não como um comprovante à parte dependente de um link externo.

O pregoeiro, o órgão ou qualquer parte interessada pode submeter o PDF assinado ao validador oficial do governo, em validar.iti.gov.br, e conferir a assinatura sem depender de nenhum servidor da Licitei. Cada carimbo de assinatura aplicado ao PDF referencia esse validador e a base legal (MP 2.200-2/2001, Lei 14.063/2020), para orientar quem recebe o arquivo.

A senha nunca é registrada em log nem trafega pela rede

A senha do certificado é tratada como dado sensível de ponta a ponta. Ela libera a assinatura com o certificado A1 localmente, no instante em que você assina, e não aparece em log, em mensagem de erro ou em requisição de rede. Concluída a validação do certificado, o material sensível é descartado da memória da página.

Segurança no padrão mais alto

A assinatura da Licitei adota o maior padrão disponível para assinatura no Brasil, o ICP-Brasil, o mesmo tipo de assinatura eletrônica que o próprio governo usa e reconhece como nível mais forte.

O cuidado não termina na assinatura. O arquivo do certificado é mantido em um bucket privado, fora da internet aberta, e o acesso a ele é liberado apenas por uma URL assinada temporária, válida por poucos minutos no momento de assinar. Fora dessa janela, o arquivo não fica exposto.

Comparando os dois modelos

Os dois modelos produzem uma assinatura válida. O que muda é o risco no caminho.

Assinatura no servidor (modelo comum) Assinatura no navegador (Licitei)
Onde a assinatura é gerada No servidor da plataforma No navegador, no seu dispositivo
Onde fica a senha do certificado Enviada ao servidor para assinar Apenas no seu dispositivo
O que o servidor pode acessar Certificado e senha, para assinar Só o .pfx cifrado, nunca a senha
Quem pode assinar por você A plataforma, enquanto tem a senha Somente o titular
Validade jurídica Depende do certificado usado Qualificada ICP-Brasil (A1)
Verificação do documento Varia PAdES, no validar.iti.gov.br

Assinatura em lote, sem custo por documento

O modelo tem um efeito colateral positivo. Sem servidor de assinatura nem custódia de certificado e senha para operar, a assinatura não tem custo marginal por documento. E uma licitação raramente envolve um único arquivo: proposta, declarações e anexos de habilitação somam dezenas de documentos por disputa. Na Licitei, você informa a senha uma vez e assina o lote inteiro, na mesma tela e dentro do prazo do pregão, sem pagar por documento assinado.

Perguntas frequentes

Por que assinar no navegador é mais seguro do que assinar no servidor? Porque a senha do certificado nunca chega ao servidor e o certificado só é usado no seu dispositivo. No modelo de servidor, a plataforma precisa do certificado e da senha para assinar, concentrando as credenciais de muitos clientes em um único ponto. Na Licitei, esse ponto não existe.

A Licitei tem acesso ao meu certificado ou à minha senha? A Licitei armazena o arquivo do certificado em um bucket privado, para você assinar de qualquer dispositivo, mas nunca recebe a sua senha e nunca faz o parse do arquivo no servidor. O .pfx é um container PKCS#12 cifrado: sem a senha do certificado, que só existe no seu dispositivo, ele não pode ser aberto nem utilizado para assinar.

A assinatura tem validade jurídica? Sim, no nível máximo. É assinatura eletrônica qualificada com certificado ICP-Brasil (A1), equiparada à assinatura de próprio punho pela MP 2.200-2/2001 e classificada como qualificada pela Lei 14.063/2020.

Como o órgão verifica a assinatura? O documento é PAdES, com a assinatura embutida no próprio PDF. Qualquer pessoa pode validá-lo no site oficial do governo, validar.iti.gov.br, sem depender da Licitei.

Funciona com certificado A3 (token ou cartão)? O fluxo atual é feito para o certificado A1 em arquivo .pfx ou .p12. Certificados A3 em token ou cartão dependem de drivers e assinadores próprios do dispositivo.

Preciso enviar o certificado a cada assinatura? Não. Você cadastra o A1 uma vez e informa a senha apenas no momento de assinar. A Licitei ainda notifica antes do vencimento do certificado.

Continue lendo

A Licitei é parceira do Montte, que desenvolveu a tecnologia de assinatura por trás da plataforma e detalhou o lado de engenharia dessa arquitetura:


A criptografia de uma assinatura é a parte simples, um hash assinado em microssegundos. O que separa uma assinatura segura de uma arriscada é o que a plataforma faz com o seu certificado e a senha dele. A Licitei nunca recebe a sua senha e nunca usa o seu certificado no servidor, e a assinatura é feita apenas por você, dentro do seu navegador, sem qualquer perda de validade jurídica. É por isso que a assinatura digital da Licitei está entre as mais seguras do mercado.

Criar conta grátis →