Glossário de Identidade Digital: Conceitos, padrões e regulamentações essenciais

A identidade digital está transformando a forma como empresas verificam a identidade dos seus interlocutores, trazendo consigo um novo vocabulário que pode ser difícil de acompanhar.

Este glossário oferece explicações em linguagem simples para os termos que você mais encontrará ao ler sobre credenciais digitais, identidade verificada e os quadros regulatórios criados por governos e pela indústria. Organizamos as definições em quatro seções:

• Conceitos fundamentais: os elementos básicos que explicam como funciona a identidade digital.
• Papéis no triângulo de confiança: quem faz o quê na emissão, posse e verificação de uma credencial.
• Padrões e formatos: especificações técnicas que sustentam as credenciais.
• Regulamentações e estruturas de confiança: as leis e estruturas de governança que determinam a credenciação e o uso de identidade digital.

Conceitos fundamentais

Veja os conceitos e termos essenciais para o funcionamento da identidade digital.

Identidade digital: Versão eletrônica de uma pessoa, organização ou coisa, usada em interações online. Uma identidade digital reúne informações como nome, data de nascimento, endereço ou diplomas, que definem quem somos em determinado contexto.

Credencial digital: Registro eletrônico que atesta uma informação sobre uma pessoa ou organização. Pode ser um atributo de identidade (idade, nacionalidade), uma qualificação (diploma universitário) ou uma autorização (licença profissional). Uma credencial digital é emitida por uma organização de confiança e compartilhada em formato eletrônico, em vez do papel ou escaneada.

Credencial verificável: Uma credencial digital que pode ser verificada criptograficamente, ou seja, a organização que a recebe pode confirmar quem a emitiu e se ela não foi alterada desde sua emissão. Credenciais verificáveis dispensam checagem manual e são validadas instantaneamente, sem precisar contatar o emissor. Elas são baseadas em padrões abertos, como o W3C Verifiable Credentials Data Model.

Saiba mais sobre credenciais verificáveis e como elas funcionam.

Atributo de identidade: Informação específica sobre uma pessoa, como nome completo, data de nascimento, endereço ou nacionalidade. Uma credencial geralmente reúne vários atributos, mas algumas se concentram em apenas um, como a comprovação de idade.

Verificação de identidade (vs. autenticação): São conceitos relacionados, mas diferentes. Verificação de identidade é uma checagem única para confirmar que alguém é realmente quem diz ser ao criar sua identidade numa organização. Autenticação é a verificação feita a cada acesso, para garantir que a pessoa usando o serviço é quem teve a identidade verificada no início.

Divulgação seletiva: É a capacidade de compartilhar apenas as informações estritamente necessárias com o verificador, sem expor todos os dados de uma credencial ou documento. Por exemplo, provar que você tem mais de 18 anos sem revelar toda a sua data de nascimento. A divulgação seletiva é uma das características fundamentais de privacidade das credenciais verificáveis.

Carteira de identidade digital: Aplicativo seguro, geralmente em um dispositivo móvel, que permite ao titular armazenar suas credenciais digitais. As credenciais ficam armazenadas no dispositivo, e não em um banco de dados central, e o titular decide quando e com quem compartilhar.

Saiba mais sobre carteiras de identidade digital.

Identidade descentralizada: Abordagem em que o indivíduo possui e controla suas próprias credenciais, em vez de delegar isso a uma organização central. As credenciais são apresentadas diretamente ao verificador, que confirma sua autenticidade via criptografia, sem precisar contatar o emissor original. Isso reduz a circulação de dados pessoais e elimina grandes bancos centrais de identidade.

Para saber mais, veja nossa explicação sobre identidade descentralizada.

Triângulo de confiança: Modelo de três partes que descreve o processo de emissão, posse e verificação de credenciais digitais. Os três papéis são: emissor (organização confiável que cria a credencial), titular (pessoa ou organização a quem ela pertence) e verificador (quem precisa validá-la). Cada papel interage com os demais, formando a base do funcionamento das credenciais digitais.

Interoperabilidade: Capacidade de credenciais emitidas por uma organização serem aceitas e verificadas por outra, independentemente do sistema, setor ou país. A interoperabilidade permite que uma credencial seja útil além do seu contexto original, dependendo de padrões compartilhados, não de integrações pontuais entre fornecedores específicos.

Papéis no triângulo de confiança

Cada credencial digital passa por três agentes antes de ser reconhecida como confiável, segundo o triângulo de confiança. Veja os três papéis que o compõem.

Emissor: Organização que cria uma credencial digital e garante a exatidão das informações nela contidas. Exemplos: órgãos públicos que emitem documentos de identidade, universidades que concedem diplomas, conselhos profissionais que concedem licenças. O emissor adiciona uma assinatura digital para que, posteriormente, seja possível verificar a origem e a integridade da credencial.

Titular: Pessoa ou organização que possui a credencial, a armazena e compartilha. Em geral, o titular guarda a credencial no próprio dispositivo e escolhe quando e com quem compartilhar. Ele não pode modificar a credencial.

Verificador (ou parte confiável): Organização que precisa validar uma credencial antes de oferecer um serviço, concluir uma transação ou cumprir uma obrigação regulatória. O verificador confere a assinatura digital da credencial para confirmar se ela foi emitida por uma fonte confiável e não foi alterada. Dependendo da legislação, também pode ser chamado de “parte confiável”.

Confira nossa explicação detalhada sobre o triângulo de confiança.

Padrões e formatos

As regras técnicas abertas que permitem que as credenciais digitais funcionem de forma consistente em todos os sistemas e provedores. Não é preciso dominar esses detalhes, mas seus nomes sempre aparecem em textos profissionais ou jurídicos.

Verifiable Credentials Data Model: Padrão aberto do World Wide Web Consortium (W3C) que define como estruturar, assinar e apresentar credenciais verificáveis. Flexível o suficiente para contemplar diversos tipos, é um dos dois principais formatos citados em especificações europeias e setoriais.

mdoc: Formato de credencial definido na norma internacional ISO/IEC 18013-5 para guardar documentos de identidade em dispositivos móveis. Um mdoc é assinado com criptografia e pode ser compartilhado via Bluetooth, NFC ou online para verificações remotas. Criado especialmente para documentos de identificação, já é utilizado em programas governamentais no mundo todo.

mDL: Carteira de motorista digital (Mobile Driver's License). Uma mDL é um tipo específico de mdoc: versão digital da carteira de motorista física, pode ser armazenada em uma carteira de identidade digital e compartilhada online. Diversos estados nos EUA, Austrália e outros países já emitem mDLs, frequentemente usadas para verificar idade ou identidade em aeroportos.

Credenciais com divulgação seletiva (SD-JWT VC): Formato baseado no padrão JSON Web Token (JWT), ao qual se adiciona a divulgação seletiva. O titular pode compartilhar apenas a informação necessária para o verificador. Esse formato está cada vez mais adotado no ecossistema europeu, em complemento aos padrões do W3C e ISO, e foi citado nos atos de execução do eIDAS 2.0.

OpenID for Verifiable Credential Issuance (OID4VCI): Protocolo que define como o emissor entrega uma credencial digital para a carteira do titular. O OID4VCI é baseado no OAuth 2.0, bastante usado entre desenvolvedores, e funciona com todos os principais formatos. É um dos protocolos de referência nas especificações europeias e setoriais.

Infraestrutura de chave pública (PKI): Tecnologia criptográfica fundamental para a criação e verificação de assinaturas digitais. A PKI usa pares de chaves privadas e públicas para provar que um documento veio do dono da chave privada e não foi alterado. A maioria das soluções de identidade digital e serviços de confiança usam PKI, inclusive para assinaturas eletrônicas avançadas e qualificadas sob eIDAS.

Regulamentações e estruturas de confiança

As leis e normas que regem a credenciação e o uso da identidade digital. Ainda que variem entre países, todas caminham para: prestadores credenciados, credenciais usáveis internacionalmente e mais controle para o usuário sobre seus dados.

Digital Identity Services Trust Framework (DISTF): Estrutura regulatória da Nova Zelândia para credenciais de serviços de identidade digital, estabelecida pela lei Digital Identity Services Trust Framework Act 2023. O DISTF define os requisitos para emitir ou aceitar credenciais digitais verificadas no país, e conta com autoridade independente para gerir o sistema.

eIDAS 2.0: Regulamento (UE) 2024/1183, que atualiza o quadro europeu de identidade digital, assinaturas eletrônicas e serviços de confiança. Sua principal novidade é a introdução da carteira europeia de identidade digital, que todos os países-membros da UE deverão oferecer aos seus cidadãos. O eIDAS 2.0 também define três níveis de assinatura eletrônica (SES, AES e QES) e as regras para os provedores qualificados que as emitem.

Saiba mais sobre o eIDAS 2.0.

Assinatura eletrônica simples (SES): Tipo mais básico de assinatura prevista no eIDAS. Inclui digitar o nome ao final de um documento, clicar em “Aceito” ou inserir uma imagem de assinatura. A SES é aceita na maioria dos contratos comuns que não exigem autenticação forte.

Assinatura eletrônica avançada (AES): Assinatura eletrônica com mais garantias do que a SES. Segundo o eIDAS, uma AES deve ser vinculada de forma única ao signatário, permitir sua identificação, ser criada sob seu controle exclusivo e detectar qualquer alteração posterior. Muito utilizada em contratos comerciais que exigem rastreabilidade.

Assinatura eletrônica qualificada (QES): Nível mais alto de assinatura eletrônica no eIDAS, e o único equivalente legal à assinatura manuscrita na UE. Para ser QES, a assinatura deve usar um certificado qualificado emitido por um prestador qualificado de confiança e empregada por meio de dispositivo seguro certificado. Com o eIDAS 2.0, a carteira europeia deve facilitar muito o acesso à QES.

NIST SP 800-63: Digital Identity Guidelines do Instituto Nacional de Padrões e Tecnologia dos EUA, um dos guias técnicos mais citados sobre validação de identidade, autenticação e federação. Ainda que seja feito para agências federais americanas, influencia vários outros referenciais internacionais.

Prestador de serviço de confiança: Organização credenciada para oferecer serviços de identidade ou confiança, como emissão de certificados, validação de assinaturas ou gestão de identidades digitais. Na UE, um “prestador qualificado” (QTSP) cumpre todas as exigências do eIDAS 2.0 e pode emitir assinaturas eletrônicas qualificadas.

Registro de confiança: Lista mantida pelo órgão de credenciação que apresenta os emissores e verificadores autorizados dentro de uma determinada estrutura. Registros fornecem um meio confiável de checar se uma credencial vem de uma fonte credenciada, permitindo governança consistente em todo o ecossistema.