Assinatura digital e segurança: por que a Licitei tem uma das mais seguras do mercado
Publicado em 6 de julho de 2026 - 8 min de leitura

Toda plataforma de licitação oferece assinatura digital. Poucas explicam o que acontece com o seu certificado digital e a senha dele no momento em que você assina.
No modelo mais comum, você envia o certificado A1 e a senha para a plataforma, e ela assina os documentos no servidor. A senha do seu certificado, que autoriza uma assinatura com valor jurídico em nome da sua empresa, passa a trafegar pela infraestrutura de outra empresa.
A Licitei adota o modelo oposto. A assinatura é executada inteiramente no seu navegador: a senha do certificado nunca chega ao nosso servidor, e o certificado nunca é usado fora do seu dispositivo. É essa decisão de arquitetura que coloca a assinatura da Licitei entre as mais seguras do mercado, e este post é um mergulho no porquê.
O que define a segurança de uma assinatura
A segurança de uma assinatura digital se decide em três pontos concretos: onde o certificado é usado para assinar e quem tem acesso à senha, se a assinatura atinge o maior nível de validade jurídica previsto na legislação brasileira, e se o documento pode ser verificado de forma independente, sem depender da plataforma que o gerou. A assinatura da Licitei responde os três no nível mais alto.
O certificado é usado no seu navegador, não no servidor
A assinatura acontece no lado do cliente, dentro do seu navegador. Ao assinar uma proposta ou uma declaração de habilitação, a Licitei carrega o seu certificado, e a senha que você digita libera a assinatura localmente, na memória da aba. A operação criptográfica é executada no seu dispositivo, e o servidor recebe de volta apenas o PDF já assinado. A senha do certificado não trafega pela rede.
Isso é possível porque o navegador moderno expõe a Web Crypto API, que executa as operações de criptografia diretamente no cliente e produz a assinatura sem intermediar um servidor.
O certificado fica armazenado, porém cifrado. A Licitei guarda o arquivo .pfx do seu certificado em um bucket privado, para você assinar de qualquer dispositivo sem recadastrá-lo a cada uso. O ponto central é o que o servidor faz com esse arquivo: nada além de guardá-lo. Ele nunca recebe a sua senha e nunca faz o parse do certificado. O arquivo A1 é um container PKCS#12 cifrado, que só pode ser aberto com a senha do certificado. Como a senha existe apenas no seu dispositivo, o que fica no bucket é um arquivo que o servidor não tem como abrir.
Esse desenho muda onde o risco se concentra. O NIST SP 800-57, referência internacional de gestão de credenciais criptográficas, recomenda que as credenciais de assinatura permaneçam sob controle exclusivo do titular e protegidas contra divulgação. O mesmo documento é explícito quanto ao custo de uma falha: expor essas credenciais torna suspeitas a integridade e a irretratabilidade de todos os documentos já assinados com elas.
Uma plataforma que assina no servidor precisa, em algum momento, do certificado e da senha juntos, e é aí que o risco se acumula. No modelo da Licitei, um vazamento do bucket exporia apenas arquivos cifrados, inúteis para assinar: falta a senha do certificado, que nunca sai do dispositivo do titular.
Validade jurídica de assinatura qualificada ICP-Brasil
O certificado A1 é um certificado digital ICP-Brasil, e a legislação brasileira lhe atribui o maior peso jurídico. Documentos assinados com certificado ICP-Brasil têm a mesma validade jurídica de um documento em papel com assinatura de próprio punho, nos termos do art. 10 da MP 2.200-2/2001. A Lei 14.063/2020 classifica essa como assinatura eletrônica qualificada, a categoria mais alta entre as três previstas (simples, avançada e qualificada) e a única que exige certificado ICP-Brasil.
O ITI, autoridade responsável pela ICP-Brasil, destaca que a assinatura digital nesse âmbito garante autenticidade, integridade, confiabilidade e não repúdio. Em licitação isso é decisivo, porque proposta, declarações e documentos de habilitação precisam permanecer defensáveis diante de qualquer questionamento. Uma imagem de assinatura inserida no PDF não oferece nenhuma dessas garantias.
Assinatura PAdES, verificável de forma independente
A assinatura gerada pela Licitei segue o padrão PAdES, que embute a assinatura no próprio arquivo PDF. Ela trafega dentro do documento que você envia na disputa, e não como um comprovante à parte dependente de um link externo.
O pregoeiro, o órgão ou qualquer parte interessada pode submeter o PDF assinado ao validador oficial do governo, em validar.iti.gov.br, e conferir a assinatura sem depender de nenhum servidor da Licitei. Cada carimbo de assinatura aplicado ao PDF referencia esse validador e a base legal (MP 2.200-2/2001, Lei 14.063/2020), para orientar quem recebe o arquivo.
A senha nunca é registrada em log nem trafega pela rede
A senha do certificado é tratada como dado sensível de ponta a ponta. Ela libera a assinatura com o certificado A1 localmente, no instante em que você assina, e não aparece em log, em mensagem de erro ou em requisição de rede. Concluída a validação do certificado, o material sensível é descartado da memória da página.
Segurança no padrão mais alto
A assinatura da Licitei adota o maior padrão disponível para assinatura no Brasil, o ICP-Brasil, o mesmo tipo de assinatura eletrônica que o próprio governo usa e reconhece como nível mais forte.
O cuidado não termina na assinatura. O arquivo do certificado é mantido em um bucket privado, fora da internet aberta, e o acesso a ele é liberado apenas por uma URL assinada temporária, válida por poucos minutos no momento de assinar. Fora dessa janela, o arquivo não fica exposto.
Comparando os dois modelos
Os dois modelos produzem uma assinatura válida. O que muda é o risco no caminho.
| Assinatura no servidor (modelo comum) | Assinatura no navegador (Licitei) | |
|---|---|---|
| Onde a assinatura é gerada | No servidor da plataforma | No navegador, no seu dispositivo |
| Onde fica a senha do certificado | Enviada ao servidor para assinar | Apenas no seu dispositivo |
| O que o servidor pode acessar | Certificado e senha, para assinar | Só o .pfx cifrado, nunca a senha |
| Quem pode assinar por você | A plataforma, enquanto tem a senha | Somente o titular |
| Validade jurídica | Depende do certificado usado | Qualificada ICP-Brasil (A1) |
| Verificação do documento | Varia | PAdES, no validar.iti.gov.br |
Assinatura em lote, sem custo por documento
O modelo tem um efeito colateral positivo. Sem servidor de assinatura nem custódia de certificado e senha para operar, a assinatura não tem custo marginal por documento. E uma licitação raramente envolve um único arquivo: proposta, declarações e anexos de habilitação somam dezenas de documentos por disputa. Na Licitei, você informa a senha uma vez e assina o lote inteiro, na mesma tela e dentro do prazo do pregão, sem pagar por documento assinado.
Perguntas frequentes
Por que assinar no navegador é mais seguro do que assinar no servidor? Porque a senha do certificado nunca chega ao servidor e o certificado só é usado no seu dispositivo. No modelo de servidor, a plataforma precisa do certificado e da senha para assinar, concentrando as credenciais de muitos clientes em um único ponto. Na Licitei, esse ponto não existe.
A Licitei tem acesso ao meu certificado ou à minha senha?
A Licitei armazena o arquivo do certificado em um bucket privado, para você assinar de qualquer dispositivo, mas nunca recebe a sua senha e nunca faz o parse do arquivo no servidor. O .pfx é um container PKCS#12 cifrado: sem a senha do certificado, que só existe no seu dispositivo, ele não pode ser aberto nem utilizado para assinar.
A assinatura tem validade jurídica? Sim, no nível máximo. É assinatura eletrônica qualificada com certificado ICP-Brasil (A1), equiparada à assinatura de próprio punho pela MP 2.200-2/2001 e classificada como qualificada pela Lei 14.063/2020.
Como o órgão verifica a assinatura? O documento é PAdES, com a assinatura embutida no próprio PDF. Qualquer pessoa pode validá-lo no site oficial do governo, validar.iti.gov.br, sem depender da Licitei.
Funciona com certificado A3 (token ou cartão)?
O fluxo atual é feito para o certificado A1 em arquivo .pfx ou .p12. Certificados A3 em token ou cartão dependem de drivers e assinadores próprios do dispositivo.
Preciso enviar o certificado a cada assinatura? Não. Você cadastra o A1 uma vez e informa a senha apenas no momento de assinar. A Licitei ainda notifica antes do vencimento do certificado.
Continue lendo
A Licitei é parceira do Montte, que desenvolveu a tecnologia de assinatura por trás da plataforma e detalhou o lado de engenharia dessa arquitetura:
- SignatureKit × Licitei: assinar com A1 no navegador, sem cobrar por assinatura. Como o fluxo de assinatura no cliente funciona, com custo marginal zero.
- Assinatura digital na Licitei: assine documentos com certificado A1. O passo a passo para cadastrar o certificado e assinar propostas e declarações.
A criptografia de uma assinatura é a parte simples, um hash assinado em microssegundos. O que separa uma assinatura segura de uma arriscada é o que a plataforma faz com o seu certificado e a senha dele. A Licitei nunca recebe a sua senha e nunca usa o seu certificado no servidor, e a assinatura é feita apenas por você, dentro do seu navegador, sem qualquer perda de validade jurídica. É por isso que a assinatura digital da Licitei está entre as mais seguras do mercado.
Gostou? Compartilhe
Conteúdos relacionados

Robô de Lances Configurável: valor mínimo, estratégia e portais na Licitei
02/07/26

Notificações push de licitações: alerta em tempo real no celular e no navegador
01/07/26

Como a gente classifica milhões de itens
26/06/26
