DOCUMENTO DE DECLARAÇÃO BÁSICA:
CARACTERÍSTICAS E REQUERIMENTOS
Entidade Certificadora da Assembleia da República
(ECAR)
SISTEMA DE CERTIFICAÇÃO ELECTRÓNICA DO ESTADO (SCEE)
INFRA-ESTRUTURA DE CHAVES PÚBLICAS
OID: 2.16.620.1.1.1.2.5
Versão 1.1, 2007.03.01
Classificação: Público
ÍNDICE DO DOCUMENTO
1.
INTRODUÇÃO ................................................................................................................................. 3
2.
GLOSSÁRIO..................................................................................................................................... 3
3.
DADOS DE CONTACTO DA ENTIDADE CERTIFICADORA ................................................ 3
4.
TIPOS DE CERTIFICADO, PROCEDIMENTOS DE VALIDAÇÃO E USO .......................... 3
5.
LIMITAÇÕES NA FIABILIDADE ................................................................................................ 4
6.
LIMITAÇÕES NA FIABILIDADE ................................................................................................ 4
7.
OBRIGAÇÕES DAS TERCEIRAS PARTES................................................................................ 5
8.
LIMITAÇÃO DE RESPONSABILIDADES .................................................................................. 6
9.
ACORDOS, DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO E POLÍTICAS DE
CERTIFICAÇÃO APLICÁVEIS ............................................................................................................. 6
10.
PROTECÇÃO DE DADOS PESSOAIS..................................................................................... 6
11.
TAXAS .......................................................................................................................................... 7
12.
LEGISLAÇÃO E NORMAS APLICÁVEIS ............................................................................. 7
13.
RECLAMAÇÕES E JURISDIÇÃO ........................................................................................... 7
14.
AUDITORIAS, CERTIFICAÇÕES E STANDARDS DE SEGURANÇA DA EC E
REPOSITÓRIOS........................................................................................................................................ 8
ECAR - DECLARAÇÃO BÁSICA
Versão: 1.1, 2007.03.01
Página 2 de 8
Classificação: Público
1. Introdução
Este texto constituí unicamente um extracto das características e requerimentos da
PKI da ENTIDADE CERTIFICADORA DA ASSEMBLEIA DA REPÚBLICA (ECAR), os quais
se descrevem de forma completa na Política de Certificação (PCert) do SISTEMA DE
CERTIFICAÇÃO ELECTRÓNICA DO ESTADO (SCEE) e nas Declarações de Práticas de
Certificação (DPCert), aplicáveis ao certificado que se esteja a solicitar ou com o qual
se esteja a operar.
É recomendável a leitura da PCert e das DPCert aplicáveis, com o intuito de se ter
uma ideia clara dos objectivos, especificações, normas, direitos, obrigações e
responsabilidades que regem a prestação do serviço de certificação.
Esta Declaração Básica foi elaborada conforme a especificação técnica “ ETSI TS 101
456: Policy Requirements for certification authorities issuing qualified certificates ”.
Concretamente, o que recomenda o seu anexo B para o “ PKI Disclosure Statement”.
2. Glossário
EC: Entidade de Certificação.
LCR: Lista de Certificados Revogados.
DPC: Declaração de Práticas de Certificação.
PC: Política de Certificação.
PIN: Código secreto com o qual se protege o uso do cartão criptográfico.
PKI: Infra-estrutura de Chave Pública.
3. Dados de contacto da Entidade Certificadora
Esta Entidade Certificadora é administrada pelo Centro de Informática da Assembleia
da República (CINF) sendo as Políticas de Certificados geridas pelo mesmo e
aprovadas pelo Conselho Gestor do Sistema de Certificação Electrónico do Estado.
Nome
Endereço e-mail
Endereço Internet
Morada
Telefone
Fax
Centro de Informática da Assembleia da República
[email protected]
www.ecar.parlamento.pt
Palácio de S.Bento 1249-068 LISBOA
+351 21 391 9000 - Ext. 11888
+351 21 391 7439
4. Tipos de certificado, procedimentos de validação e uso
A ECAR emite os seguintes tipos de certificados pessoais:
Autenticação: a sua finalidade é servir de procedimento de comprovação da
identidade do titular perante os sistemas de informação.
ECAR - DECLARAÇÃO BÁSICA
Versão: 1.1, 2007.03.01
Página 3 de 8
Classificação: Público
Assinatura: a sua finalidade é a assinatura de documentos electrónicos, correio
electrónico e transacções electrónicas. A assinatura electrónica de um documento
garante a identidade do assinante, a integridade do documento, ou seja que seu
conteúdo não foi modificado após a oposição da sua assinatura, e seu não repúdio,
isto é, que o assinante não pode negar sua autoria. Os certificados de assinatura
cumprem os requisitos legais para serem considerados de assinatura electrónica
qualificada, ou seja, com força probatória legal, nos termos da lei.
Todos os certificados pessoais são utilizados em cartão criptográfico (SmartCard). Está
vedado aos seus titulares exportar as suas chaves privadas para fora do mesmo.
A verificação do estado dos certificados pode realizar-se mediante consulta da última
LCR em: http://www.ecar.parlamento.pt/repositorio/crl.crl
5. Limitações na fiabilidade
Limitações
Os certificados devem ser utilizados apenas para as funções e finalidades
estabelecidas nas correspondentes Políticas de Certificados.
Os serviços de certificação disponibilizados pela ECAR, não foram desenhados,
concebidos, nem autorizados para ser utilizados em actividades de alto risco ou que
requeiram uma actividade a prova de erros, como as relativas ao funcionamento de
instalações nos hospitais, nucleares, de controle de tráfego aéreo ou ferroviário, ou
qualquer outra onde um erro pudesse comportar a morte, lesões pessoais ou danos
graves ao meio ambiente.
Os certificados emitidos pela ECAR só podem ser utilizados para os fins estabelecidos
na PCert e na DPCert respectiva.
Conservação da Informação
A informação de registro e de gestão dos certificados será conservada durante 20
anos.
6. Limitações na fiabilidade
É obrigação dos titulares dos certificados emitidos pela ECAR:
1. Limitar e adequar a utilização dos certificados de acordo com as utilizações
previstas nas Políticas de Certificado;
2. Tomar todos os cuidados e medidas necessárias para garantir a posse da sua
chave privada;
3. Solicitar, de imediato, a revogação de um certificado em caso de ter
conhecimento ou suspeita de compromisso da chave privada do certificado
ou do PIN de controle do cartão criptográfico;
ECAR - DECLARAÇÃO BÁSICA
Versão: 1.1, 2007.03.01
Página 4 de 8
Classificação: Público
4. Não utilizar um certificado digital que tenha perdido a sua eficácia, quer por
ter sido revogado, suspenso ou por ter expirado o período de validade;
5. Submeter, às Entidade de Registo, a informação que considerem exacta e
completa com relação aos dados que estas solicitem para realizar o processo
de registo. Deve informar a ECAR de qualquer modificação desta informação;
6. Não monitorizar, manipular ou realizar actos de “engenharia inversa” sobre a
implementação técnica (hardware e software) dos serviços de certificação,
sem autorização prévia por escrito da ECAR;
7. Conhecer e aceitar as condições de utilização dos certificados, em particular as
contidas na DPCert e PCert que se apliquem, assim como as modificações das
mesmas.
8. Manter sob seu exclusivo conhecimento o valor do PIN;
9. Não transferir, nem delegar, a um terceiro, as responsabilidades sobre o
certificado que lhe tenha sido atribuído;
10. Qualquer outra que derive da norma aplicável, à DPC ou as Políticas de
Certificação.
7. Obrigações das terceiras partes
É obrigação das terceiras partes que aceitam e confiam nos certificados emitidos pela
ECAR:
1. Limitar a fiabilidade dos certificados às utilizações permitidas para os mesmos
em conformidade com o expresso na Política de Certificado correspondente;
2. Verificar a validade dos certificados no momento de realizar qualquer
operação baseada nos mesmos;
3. Assumir a responsabilidade na correcta verificação das assinaturas digitais;
4. Assumir a responsabilidade na comprovação da validade, revogação, ou
suspensão dos certificados em que confia;
5. Ter pleno conhecimento das garantias e responsabilidades aplicáveis na
aceitação e uso de certificados em que confia e aceitar sujeitar-se às mesmas;
6. Notificar qualquer acto ou situação anómala relativa ao certificado e que
possa ser considerada como causa de revogação do mesmo, utilizando os
meios que a EC publique no seu sitio da Internet www.ecar.parlamento.pt.
ECAR - DECLARAÇÃO BÁSICA
Versão: 1.1, 2007.03.01
Página 5 de 8
Classificação: Público
8. Limitação de responsabilidades
A ECAR não assumirá responsabilidade alguma em relação ao uso dos Certificados
emitidos por esta e o par de chaves privada/pública associado a seus titulares para
qualquer actividade não especificada na DPCert ou nas correspondentes Políticas de
Certificados.
A ECAR, enquanto Prestador de Serviços de Certificação, não se responsabiliza pelo
conteúdo dos documentos assinados com seus certificados, nem de qualquer outro
uso dos seus certificados, tais como os processos de cifra de mensagens e de
comunicações.
A ECAR só responderá dos danos e prejuízos causados pelo uso indevido do
certificado, quando se tenha consignado nele ou na sua Política de Certificado
associada, de forma claramente reconhecível por terceiros, o limite quanto a seu
possível uso ou ao importe do valor das transacções válidas que podem realizar-se.
A ECAR não representa, de forma alguma, os titulares nem a terceiras partes dos
certificados que emite.
9. Acordos, Declaração de Práticas de Certificação e Políticas
de Certificação aplicáveis
Todos os acordos, Declaração de Práticas de Certificação e Políticas de Certificados
aplicáveis encontram-se no sítio da Internet www.ecar.parlamento.pt. Em particular
cabe destacar os seguintes documentos:
Nome Documento
Documento de Declaração de
Práticas de Certificação
Política de Certificados da SCEE e
Requisitos Mínimos de Segurança
URL
http://www.ecar.parlamento.pt/repositorio/DPC-ECAR.pdf
http://www.ecar.parlamento.pt/repositorio/PCert_SCEE.pdf
10. Protecção de dados pessoais
É de aplicação à Política de Protecção de Dados Pessoais da ECAR, o estabelecido na
legislação de protecção de dados pessoais.
Sem menosprezo pelas outras obrigações, as Entidades de Registro que se
constituam na subordinação da ECAR verificarão que o solicitante de um certificado é
informado e dá o seu consentimento ao tratamento dos seus dados pessoais, bem
como à finalidade desta recolha e sua inclusão no arquivo declarado para o efeito
pela ECAR.
ECAR - DECLARAÇÃO BÁSICA
Versão: 1.1, 2007.03.01
Página 6 de 8
Classificação: Público
O titular dos dados poderá exercer os direitos de acesso, rectificação, cancelamento e
oposição, dirigindo-se à direcção de contacto identificada neste documento, no seu
ponto 3.
Os dados contidos no Directório seguro de Certificados são tratados tendo em
consideração o disposto na legislação de protecção de dados pessoais.
Não obstante, coloca-se à disposição dos titulares dos certificados e outras partes, as
listas de certificados revogados (que não contém dados pessoais) para o
cumprimento diligente dos serviços de certificação. O utilizador destas listas
unicamente poderá utilizar a informação que contêm de acordo com essas
finalidades.
11. Taxas
Sempre que forem aplicadas taxas sobre o serviço de certificação da ECAR, estas
serão actualizadas e disponibilizadas aos utilizadores finais.
12. Legislação e normas aplicáveis
As operações e funcionamento da ECAR, assim como a Declaração de Práticas de
Certificação e as Políticas de Certificado aplicáveis para cada tipo de certificado,
estarão submissas à legislação e normas que lhes sejam aplicáveis, e especialmente a:

Decreto Regulamentar n.º 25/2004, de 15 de Julho de 2004, que aprova o
regime jurídico dos documentos electrónicos e da assinatura digital.

Decreto-Lei n.º 62/2003, de 3 de Abril de 2003, que altera o Decreto-Lei n.º
290-D/99, de 2 de Agosto, que aprova o regime jurídico dos documentos
electrónicos e da assinatura digital.

Decreto-Lei n.º 290-D/1999, de 2 de Agosto, que Aprova o regime jurídico
dos documentos electrónicos e da assinatura digital.

Directiva 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de
Dezembro de 1999, Quadro legal comunitário para as assinaturas
electrónicas.
13. Reclamações e jurisdição
Todas reclamações entre utilizadores e a ECAR deverão ser comunicadas pela parte
em disputa ao Conselho Gestor do Sistema de Certificação Electrónico do Estado,
com o fim de tentar resolvê-lo entre as mesmas partes.
Para a resolução de qualquer conflito que possa surgir em relação à DPCert, as
partes, com renúncia a qualquer outro privilégio que pudesse corresponder-lhes,
submetem-se à Jurisdição do Contencioso Administrativo.
ECAR - DECLARAÇÃO BÁSICA
Versão: 1.1, 2007.03.01
Página 7 de 8
Classificação: Público
14. Auditorias, certificações e standards de segurança da EC e
repositórios
Auditorias
Serão levadas a cabo auditorias periódicas do funcionamento da ECAR, de acordo
com o Plano de Auditorias. Desta forma garantir-se-á a adequação do seu
funcionamento e operação de acordo com a as estipulações incluídas na DPCert e
na PCert.
Standards
Os certificados pessoais de assinatura electrónica qualificada emitidos pela ECAR
cumprem todos os requisitos técnicos e organizacionais estabelecidos em:

ETSI TS 101 456 – Requisitos Aplicáveis à Entidade de Certificação que Emite
Certificados Qualificados

ETSI TS 101 042 – Requisitos Aplicáveis à Entidade de Certificação que Emite
Certificados de Chave Pública

ETSI TS 101 862 v1.3.2 (2004-06) – Perfil do Certificado Qualificado

CWA 14167 – Requisitos de Segurança para Sistemas Confiáveis que Giram
Certificados para Assinaturas Electrónicas

CWA 14169 – Dispositivo Seguro de Criação de Assinaturas“EAL4+”.
ECAR - DECLARAÇÃO BÁSICA
Versão: 1.1, 2007.03.01
Página 8 de 8
Classificação: Público