DOCUMENTO DE DECLARAÇÃO BÁSICA:
CARACTERÍSTICAS E REQUERIMENTOS Entidade
Certificadora Comum do Estado – ECCE Entidade
Certificadora do CEGER
SISTEMA DE CERTIFICAÇÃO ELECTRÓNICA DO ESTADO (SCEE) INFRA-ESTRUTURA DE
CHAVES PÚBLICAS
OID: 2.16.620.1.1.1.2.2
Versão 1.1, 2012.05.25
PDS_ECCE_V1.1 / 2012.05.25
Página 1 de 8
ADVERTÊNCIA: O presente documento apenas é de circulação digital, estando a sua última versão localizada em suporte digital. Qualquer cópia física ou digital do mesmo não garante a sua autenticidade nem que o mesmo seja obsoleto. 1 Introdução Este texto constituí unicamente um extrato das características e requerimentos da PKI da ENTIDADE
CERTIFICADORA COMUM DO ESTADO (ECCE), os quais se descrevem de forma completa na
Política de Certificação (PCert) e nas correspondentes Declarações de Práticas de Certificação
(DPCert), aplicáveis ao certificado que se esteja a solicitar ou com o qual se esteja a operar
É recomendável a leitura da PCert e das DPCert aplicáveis, com o intuito de se ter uma ideia clara
dos objetivos, especificações, normas, direitos, obrigações e responsabilidades que regem a
prestação do serviço de certificação.
Esta Declaração Básica foi elaborada conforme a especificação técnica “ETSI TS 101 456: Policy
Requirements for certification authorities issuing qualified certificates”. Concretamente, o que
recomenda o seu anexo B para o “PKI Disclosure Statement”.
2 Glossário EC: Entidade de Certificação.
LCR: Lista de Certificados Revogados.
DPC: Declaração de Práticas de Certificação.
PC: Política de Certificação.
PIN: Código secreto com o qual se protege o uso do cartão criptográfico.
PKI: Infra-estrutura de Chave Pública.
3 Dados de contacto da Entidade Certificadora Esta Entidade Certificadora é administrada pelo Centro de Gestão da Rede Informática do Governo
sendo as Politicas de Certificados geridas pelo Conselho Gestor do Sistema de Certificação
Eletrónica do Estado.
Nome
Centro de Gestão da Rede Informática do Governo - CEGER
Endereço e-mail
[email protected]
Endereço
www.ecce.gov.pt
Internet
Morada
Rua Almeida Brandão nº7 1200-602 Lisboa
Telefone
Fax
213 923 400
213 923 499
Nome Documento
Nome Fichero
http://www.ecce.g
Documento de Declaração de Práticas
DPCert_ECCE_vX_Y.pdf
de Certificação
Política de Certificados da SCEE e
http://www.ecee.go
PCert SCEE vX Y pdf
PDS_ECCE_V1.1 / 2012.05.25
Página 2 de 8
ADVERTÊNCIA: O presente documento apenas é de circulação digital, estando a sua última versão localizada em suporte digital. Qualquer cópia física ou digital do mesmo não garante a sua autenticidade nem que o mesmo seja obsoleto. 4 Tipos de certificado, procedimentos de validação e uso A ECCE emite os seguintes tipos de certificados pessoais:
Autenticação: a sua finalidade é servir de procedimento de comprovação da identidade do titular
perante os sistemas de informação.
Assinatura: a sua finalidade é a assinatura de documentos eletrónicos, correio eletrónico e
transações Electronicas. A assinatura eletrónica de um documento garante a identidade do
assinante, a integridade do documento, ou seja que seu conteúdo não foi modificado após a
oposição da sua assinatura, e seu não repúdio, isto é, que o assinante não pode negar sua autoria.
Os certificados de assinatura cumprem os requisitos legais para serem considerados de assinatura
eletrónica qualificada, ou seja, com força probatória legal, nos termos da lei.
Confidencialidade: a sua finalidade é a cifra de documentos eletrónicos e de correio eletrónico.
Existe um arquivo das chaves de cifra sob controlo multi-pessoa para que em caso de necessidade a
chave possa ser recuperável.
Servidor SSL: A sua finalidade é a cifra de comunicações entre clientes e servidores (SSL).
Todos os certificados pessoais são utilizados em cartão criptográfico (Smart Card). Está vedado aos
seus titulares exportar as suas chaves privadas para fora do mesmo.
A verificação do estado dos certificados pode realizar-se mediante consulta da última CRL em:
WEB: http://crls.ecce.gov.pt/crls/crl.crl
5 Limitações na fiabilidade Limitações
Os certificados devem ser utilizados apenas para as funções e finalidades estabelecidas nas
correspondentes Políticas de Certificados.
Os serviços de certificação disponibilizados pela ECCE, não foram desenhados, concebidos, nem
autorizados para ser utilizados em atividades de alto risco ou que requeiram uma atividade a prova de
erros, como as relativas ao funcionamento de instalações nos hospitais, nucleares, de controlo de
tráfego aéreo ou ferroviário, ou qualquer outra onde um erro pudesse comportar a morte, lesões
pessoais ou danos graves ao meio ambiente.
PDS_ECCE_V1.1 / 2012.05.25
Página 3 de 8
ADVERTÊNCIA: O presente documento apenas é de circulação digital, estando a sua última versão localizada em suporte digital. Qualquer cópia física ou digital do mesmo não garante a sua autenticidade nem que o mesmo seja obsoleto. Os certificados emitidos pela ECCE só podem ser utilizados para os fins estabelecidos na PCert e na
DPCert respetiva.
Conservação da Informação
A informação de registro e de gestão dos certificados será conservada durante 15 anos.
6 Obrigações dos Titulares É obrigação dos titulares dos certificados emitidos pela ECCE:
1 Limitar e adequar a utilização dos certificados de acordo com as utilizações previstas nas Politicas
de Certificado;
2 Tomar todos os cuidados e medidas necessárias para garantir a posse da sua chave privada;
3 Solicitar, de imediato, a revogação de um certificado em caso de ter conhecimento ou suspeita de
compromisso da chave privada correspondente à chave pública contida no certificado;
4 Não utilizar um certificado digital que tenha perdido a sua eficácia, quer por ter sido revogado,
suspendido ou por ter expirado o período de validade;
5 Submeter, às Entidade de Registo, a informação que considerem exata e completa com relação aos
dados que estas solicitem para realizar o processo de registo. Deve informar a EC de qualquer
modificação desta informação;
6 Não monitorizar, manipular ou realizar atos de “engenharia inversa” sobre a implementação técnica
(hardware e software) dos serviços de certificação, sem autorização prévia por escrito da Entidade
Certificadora;
7 Conhecer e aceitar as condições de utilização dos certificados, em particular as contidas na DPCert
e PCert que se apliquem, assim como as modificações das mesmas.
8 O processo de obtenção dos certificados exige a escolha, pessoal, de um PIN de controlo do cartão
criptográfico e de ativação das chaves privadas. É responsabilidade do titular manter sob seu
exclusivo conhecimento o valor do PIN;
9 Não transferir, nem delegar, a um terceiro, as responsabilidades sobre o certificado que lhe tenha
sido atribuído; 10 Qualquer outra que derive da norma aplicável, à DPC ou as Políticas de
Certificação.
PDS_ECCE_V1.1 / 2012.05.25
Página 4 de 8
ADVERTÊNCIA: O presente documento apenas é de circulação digital, estando a sua última versão localizada em suporte digital. Qualquer cópia física ou digital do mesmo não garante a sua autenticidade nem que o mesmo seja obsoleto. 7 Obrigações das terceiras partes É obrigação das terceiras partes que aceitam e confiam nos certificados emitidos pela ECCE:
1 Limitar a fiabilidade dos certificados às utilizações permitidas para os mesmos em conformidade
com o expresso na Politica de Certificado correspondente;
2 Verificar a validade dos certificados no momento de realizar qualquer operação baseada nos
mesmos;
3 Assumir a responsabilidade na correta verificação das assinaturas digitais;
4 Assumir a responsabilidade na comprovação da validade, revogação, ou suspensão dos
certificados em que confia;
5 Ter pleno conhecimento das garantias e responsabilidades aplicáveis na aceitação e uso de
certificados em que confia e aceitar sujeitar-se às mesmas;
6 Notificar qualquer acto ou situação anómala relativa ao certificado e que possa ser considerada
como causa de revogação do mesmo, utilizando os meios que a EC publique no seu sítio da internet
www.ecce.gov.pt
8 Limitação de responsabilidades A ECCE não assumirá responsabilidade alguma em relação ao uso dos Certificados emitidos por
esta e o par de chaves privada/pública associado a seus titulares para qualquer atividade não
especificada na DPCert ou nas correspondentes Políticas de Certificados.
A ECCE, enquanto Prestador de Serviços de Certificação, não se responsabiliza pelo conteúdo dos
documentos assinados com seus certificados, nem de qualquer outro uso dos seus certificados, tais
como os processos de cifra de mensagens e de comunicações.
A ECCE só responderá dos danos e prejuízos causados pelo uso indevido do certificado, quando se
tenha consignado nele ou na sua Política de Certificado associada, de forma claramente reconhecível
por terceiros, o limite quanto a seu possível uso ou ao importe do valor das transações válidas que
podem realizar-se.
A ECCE não representa, de forma alguma, os titulares nem a terceiras partes dos certificados que
emite.
PDS_ECCE_V1.1 / 2012.05.25
Página 5 de 8
ADVERTÊNCIA: O presente documento apenas é de circulação digital, estando a sua última versão localizada em suporte digital. Qualquer cópia física ou digital do mesmo não garante a sua autenticidade nem que o mesmo seja obsoleto. 9 Acordos, Declaração de Práticas de Certificação e Políticas de
Certificação aplicáveis Todos os acordos, Declaração de Práticas de Certificação e Políticas de Certificados aplicáveis
encontram-se no sítio da internet www.ecce.gov.pt. Em particular cabe destacar os seguintes
documentos:
Nome
Endereço e-mail
Endereço
Internet
Morada
Telefone
Nome Documento
Centro de Gestão da Rede Informática do Governo - CEGER
[email protected]
www.ecce.gov.pt
Rua Almeida Brandão nº7 1200-602 Lisboa
Fax
213 923 400
Nome Fichero
213 923 499
URL
t/d
htt //
X.Y indica a versão em vigor de cada documento
10 Protecção de dados pessoais É de aplicação à Política de Proteção de Dados Pessoais da ECCE, o estabelecido na legislação de
proteção de dados pessoais.
Sem menosprezo pelas outras obrigações, as Entidades de Registro que se constituam na
subordinação da ECCE verificarão que o solicitante de um certificado é informado e dá o seu
consentimento ao tratamento dos seus dados pessoais, bem como a finalidade desta recolha, aos
destinatários dos mesmos e sua inclusão no arquivo declarado para o efeito pela ECEE.
O titular dos dados poderá exercer os direitos de acesso, retificação, cancelamento e oposição,
dirigindo-se à direção de contacto identificada neste documento, no seu ponto 3.
Os dados contidos no Diretório seguro de Certificados têm a consideração de dados de carácter
pessoal, para efeito do disposto na legislação de proteção de dados pessoais, estando permitido o
acesso aos certificados unicamente a titulares de certificados e com o propósito de utilizá-los apenas
para estabelecer comunicações seguras com seus titulares.
Não obstante, coloca-se à disposição dos titulares dos certificados e outras terceiras partes as listas
de certificados revogados (que não contém dados pessoais) para o cumprimento diligente
PDS_ECCE_V1.1 / 2012.05.25
Página 6 de 8
ADVERTÊNCIA: O presente documento apenas é de circulação digital, estando a sua última versão localizada em suporte digital. Qualquer cópia física ou digital do mesmo não garante a sua autenticidade nem que o mesmo seja obsoleto. dos serviços de certificação. O utilizador destas listas unicamente poderá utilizar informação que
contêm de acordo com essas finalidades.
11 Taxas Sempre que forem aplicadas taxas sobre o serviço de certificação da ECCE, estas serão atualizadas
e disponibilizadas aos utilizadores finais.
12 Legislação e normas aplicável As operações e funcionamento da ECCE, assim como a Declaração de Práticas de Certificação e as
Políticas de Certificado aplicáveis para cada tipo de certificado, estarão submissas à legislação e
normas que lhe seja aplicável e especialmente a:
•
Decreto Regulamentar n.º 25/2004, de 15 de Julho de 2004, que aprova o regime jurídico
dos documentos eletrónicos e da assinatura digital.
•
Decreto-Lei n.º 62/2003, de 3 de Abril de 2003, que altera o Decreto-Lei n.º 290-D/99, de
2 de Agosto, que aprova o regime jurídico dos documentos eletrónicos e da assinatura digital.
•
Decreto-Lei n.º 290-D/1999, de 2 de Agosto, que Aprova o regime jurídico dos
documentos eletrónicos e da assinatura digital.
•
Directiva 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro de
1999, Quadro legal comunitário para as assinaturas eletrónicas.
13 Reclamações e jurisdição Todas reclamações entre utilizadores e ECCE deverão ser comunicadas pela parte em disputa ao
Conselho Gestor do Sistema de Certificação Eletrónico do Estado, com o fim de tentar resolvê-lo
entre as mesmas partes.
Para a resolução de qualquer conflito que possa surgir com relação a esta DPCert, as partes, com
renúncia a qualquer outro privilégio que pudesse corresponder-lhes, submetem-se à Jurisdição do
Contencioso Administrativa
14Auditorias,certificações standards de segurança da EC e repositórios PDS_ECCE_V1.1 / 2012.05.25
Página 7 de 8
ADVERTÊNCIA: O presente documento apenas é de circulação digital, estando a sua última versão localizada em suporte digital. Qualquer cópia física ou digital do mesmo não garante a sua autenticidade nem que o mesmo seja obsoleto. Auditorias
Serão levadas a cabo auditorias periódicas do funcionamento da ECCE, de acordo com o Plano
de Auditorias. Desta forma garantir-se-á a adequação do seu funcionamento e operação de
acordo com a as estipulações incluídas na DPCert e na PCert
Standards
Os certificados pessoais de assinatura eletrónica qualificada emitidos pela ECCE cumprem
todos os requisitos técnicos e organizacionais estabelecidos em:
•
ETSI TS 101 456 – Requisitos Aplicáveis à Entidade de Certificação que Emite Certificados
Qualificados
•
ETSI TS 101 042 – Requisitos Aplicáveis à Entidade de Certificação que Emite Certificados
de Chave Pública
•
ETSI TS 101 862 v1.3.2 (2004-06) –Perfil do Certificado Qualificado
•
CWA 14167 – Requisitos de Segurança para Sistemas Confiáveis que Giram Certificados
para Assinaturas Electronicas
•
CWA 14169 – Dispositivo Seguro de Criação de Assinaturas“EAL4+”
FIM DO DOCUMENTO PDS_ECCE_V1.1 / 2012.05.25
Página 8 de 8
ADVERTÊNCIA: O presente documento apenas é de circulação digital, estando a sua última versão localizada em suporte digital. Qualquer cópia física ou digital do mesmo não garante a sua autenticidade nem que o mesmo seja obsoleto.