DOCUMENTO DE DECLARAÇÃO BÁSICA: CARACTERÍSTICAS E REQUERIMENTOS Entidade Certificadora da Assembleia da República (ECAR) SISTEMA DE CERTIFICAÇÃO ELECTRÓNICA DO ESTADO (SCEE) INFRA-ESTRUTURA DE CHAVES PÚBLICAS OID: 2.16.620.1.1.1.2.5 Versão 1.1, 2007.03.01 Classificação: Público ÍNDICE DO DOCUMENTO 1. INTRODUÇÃO ................................................................................................................................. 3 2. GLOSSÁRIO..................................................................................................................................... 3 3. DADOS DE CONTACTO DA ENTIDADE CERTIFICADORA ................................................ 3 4. TIPOS DE CERTIFICADO, PROCEDIMENTOS DE VALIDAÇÃO E USO .......................... 3 5. LIMITAÇÕES NA FIABILIDADE ................................................................................................ 4 6. LIMITAÇÕES NA FIABILIDADE ................................................................................................ 4 7. OBRIGAÇÕES DAS TERCEIRAS PARTES................................................................................ 5 8. LIMITAÇÃO DE RESPONSABILIDADES .................................................................................. 6 9. ACORDOS, DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO E POLÍTICAS DE CERTIFICAÇÃO APLICÁVEIS ............................................................................................................. 6 10. PROTECÇÃO DE DADOS PESSOAIS..................................................................................... 6 11. TAXAS .......................................................................................................................................... 7 12. LEGISLAÇÃO E NORMAS APLICÁVEIS ............................................................................. 7 13. RECLAMAÇÕES E JURISDIÇÃO ........................................................................................... 7 14. AUDITORIAS, CERTIFICAÇÕES E STANDARDS DE SEGURANÇA DA EC E REPOSITÓRIOS........................................................................................................................................ 8 ECAR - DECLARAÇÃO BÁSICA Versão: 1.1, 2007.03.01 Página 2 de 8 Classificação: Público 1. Introdução Este texto constituí unicamente um extracto das características e requerimentos da PKI da ENTIDADE CERTIFICADORA DA ASSEMBLEIA DA REPÚBLICA (ECAR), os quais se descrevem de forma completa na Política de Certificação (PCert) do SISTEMA DE CERTIFICAÇÃO ELECTRÓNICA DO ESTADO (SCEE) e nas Declarações de Práticas de Certificação (DPCert), aplicáveis ao certificado que se esteja a solicitar ou com o qual se esteja a operar. É recomendável a leitura da PCert e das DPCert aplicáveis, com o intuito de se ter uma ideia clara dos objectivos, especificações, normas, direitos, obrigações e responsabilidades que regem a prestação do serviço de certificação. Esta Declaração Básica foi elaborada conforme a especificação técnica “ ETSI TS 101 456: Policy Requirements for certification authorities issuing qualified certificates ”. Concretamente, o que recomenda o seu anexo B para o “ PKI Disclosure Statement”. 2. Glossário EC: Entidade de Certificação. LCR: Lista de Certificados Revogados. DPC: Declaração de Práticas de Certificação. PC: Política de Certificação. PIN: Código secreto com o qual se protege o uso do cartão criptográfico. PKI: Infra-estrutura de Chave Pública. 3. Dados de contacto da Entidade Certificadora Esta Entidade Certificadora é administrada pelo Centro de Informática da Assembleia da República (CINF) sendo as Políticas de Certificados geridas pelo mesmo e aprovadas pelo Conselho Gestor do Sistema de Certificação Electrónico do Estado. Nome Endereço e-mail Endereço Internet Morada Telefone Fax Centro de Informática da Assembleia da República [email protected] www.ecar.parlamento.pt Palácio de S.Bento 1249-068 LISBOA +351 21 391 9000 - Ext. 11888 +351 21 391 7439 4. Tipos de certificado, procedimentos de validação e uso A ECAR emite os seguintes tipos de certificados pessoais: Autenticação: a sua finalidade é servir de procedimento de comprovação da identidade do titular perante os sistemas de informação. ECAR - DECLARAÇÃO BÁSICA Versão: 1.1, 2007.03.01 Página 3 de 8 Classificação: Público Assinatura: a sua finalidade é a assinatura de documentos electrónicos, correio electrónico e transacções electrónicas. A assinatura electrónica de um documento garante a identidade do assinante, a integridade do documento, ou seja que seu conteúdo não foi modificado após a oposição da sua assinatura, e seu não repúdio, isto é, que o assinante não pode negar sua autoria. Os certificados de assinatura cumprem os requisitos legais para serem considerados de assinatura electrónica qualificada, ou seja, com força probatória legal, nos termos da lei. Todos os certificados pessoais são utilizados em cartão criptográfico (SmartCard). Está vedado aos seus titulares exportar as suas chaves privadas para fora do mesmo. A verificação do estado dos certificados pode realizar-se mediante consulta da última LCR em: http://www.ecar.parlamento.pt/repositorio/crl.crl 5. Limitações na fiabilidade Limitações Os certificados devem ser utilizados apenas para as funções e finalidades estabelecidas nas correspondentes Políticas de Certificados. Os serviços de certificação disponibilizados pela ECAR, não foram desenhados, concebidos, nem autorizados para ser utilizados em actividades de alto risco ou que requeiram uma actividade a prova de erros, como as relativas ao funcionamento de instalações nos hospitais, nucleares, de controle de tráfego aéreo ou ferroviário, ou qualquer outra onde um erro pudesse comportar a morte, lesões pessoais ou danos graves ao meio ambiente. Os certificados emitidos pela ECAR só podem ser utilizados para os fins estabelecidos na PCert e na DPCert respectiva. Conservação da Informação A informação de registro e de gestão dos certificados será conservada durante 20 anos. 6. Limitações na fiabilidade É obrigação dos titulares dos certificados emitidos pela ECAR: 1. Limitar e adequar a utilização dos certificados de acordo com as utilizações previstas nas Políticas de Certificado; 2. Tomar todos os cuidados e medidas necessárias para garantir a posse da sua chave privada; 3. Solicitar, de imediato, a revogação de um certificado em caso de ter conhecimento ou suspeita de compromisso da chave privada do certificado ou do PIN de controle do cartão criptográfico; ECAR - DECLARAÇÃO BÁSICA Versão: 1.1, 2007.03.01 Página 4 de 8 Classificação: Público 4. Não utilizar um certificado digital que tenha perdido a sua eficácia, quer por ter sido revogado, suspenso ou por ter expirado o período de validade; 5. Submeter, às Entidade de Registo, a informação que considerem exacta e completa com relação aos dados que estas solicitem para realizar o processo de registo. Deve informar a ECAR de qualquer modificação desta informação; 6. Não monitorizar, manipular ou realizar actos de “engenharia inversa” sobre a implementação técnica (hardware e software) dos serviços de certificação, sem autorização prévia por escrito da ECAR; 7. Conhecer e aceitar as condições de utilização dos certificados, em particular as contidas na DPCert e PCert que se apliquem, assim como as modificações das mesmas. 8. Manter sob seu exclusivo conhecimento o valor do PIN; 9. Não transferir, nem delegar, a um terceiro, as responsabilidades sobre o certificado que lhe tenha sido atribuído; 10. Qualquer outra que derive da norma aplicável, à DPC ou as Políticas de Certificação. 7. Obrigações das terceiras partes É obrigação das terceiras partes que aceitam e confiam nos certificados emitidos pela ECAR: 1. Limitar a fiabilidade dos certificados às utilizações permitidas para os mesmos em conformidade com o expresso na Política de Certificado correspondente; 2. Verificar a validade dos certificados no momento de realizar qualquer operação baseada nos mesmos; 3. Assumir a responsabilidade na correcta verificação das assinaturas digitais; 4. Assumir a responsabilidade na comprovação da validade, revogação, ou suspensão dos certificados em que confia; 5. Ter pleno conhecimento das garantias e responsabilidades aplicáveis na aceitação e uso de certificados em que confia e aceitar sujeitar-se às mesmas; 6. Notificar qualquer acto ou situação anómala relativa ao certificado e que possa ser considerada como causa de revogação do mesmo, utilizando os meios que a EC publique no seu sitio da Internet www.ecar.parlamento.pt. ECAR - DECLARAÇÃO BÁSICA Versão: 1.1, 2007.03.01 Página 5 de 8 Classificação: Público 8. Limitação de responsabilidades A ECAR não assumirá responsabilidade alguma em relação ao uso dos Certificados emitidos por esta e o par de chaves privada/pública associado a seus titulares para qualquer actividade não especificada na DPCert ou nas correspondentes Políticas de Certificados. A ECAR, enquanto Prestador de Serviços de Certificação, não se responsabiliza pelo conteúdo dos documentos assinados com seus certificados, nem de qualquer outro uso dos seus certificados, tais como os processos de cifra de mensagens e de comunicações. A ECAR só responderá dos danos e prejuízos causados pelo uso indevido do certificado, quando se tenha consignado nele ou na sua Política de Certificado associada, de forma claramente reconhecível por terceiros, o limite quanto a seu possível uso ou ao importe do valor das transacções válidas que podem realizar-se. A ECAR não representa, de forma alguma, os titulares nem a terceiras partes dos certificados que emite. 9. Acordos, Declaração de Práticas de Certificação e Políticas de Certificação aplicáveis Todos os acordos, Declaração de Práticas de Certificação e Políticas de Certificados aplicáveis encontram-se no sítio da Internet www.ecar.parlamento.pt. Em particular cabe destacar os seguintes documentos: Nome Documento Documento de Declaração de Práticas de Certificação Política de Certificados da SCEE e Requisitos Mínimos de Segurança URL http://www.ecar.parlamento.pt/repositorio/DPC-ECAR.pdf http://www.ecar.parlamento.pt/repositorio/PCert_SCEE.pdf 10. Protecção de dados pessoais É de aplicação à Política de Protecção de Dados Pessoais da ECAR, o estabelecido na legislação de protecção de dados pessoais. Sem menosprezo pelas outras obrigações, as Entidades de Registro que se constituam na subordinação da ECAR verificarão que o solicitante de um certificado é informado e dá o seu consentimento ao tratamento dos seus dados pessoais, bem como à finalidade desta recolha e sua inclusão no arquivo declarado para o efeito pela ECAR. ECAR - DECLARAÇÃO BÁSICA Versão: 1.1, 2007.03.01 Página 6 de 8 Classificação: Público O titular dos dados poderá exercer os direitos de acesso, rectificação, cancelamento e oposição, dirigindo-se à direcção de contacto identificada neste documento, no seu ponto 3. Os dados contidos no Directório seguro de Certificados são tratados tendo em consideração o disposto na legislação de protecção de dados pessoais. Não obstante, coloca-se à disposição dos titulares dos certificados e outras partes, as listas de certificados revogados (que não contém dados pessoais) para o cumprimento diligente dos serviços de certificação. O utilizador destas listas unicamente poderá utilizar a informação que contêm de acordo com essas finalidades. 11. Taxas Sempre que forem aplicadas taxas sobre o serviço de certificação da ECAR, estas serão actualizadas e disponibilizadas aos utilizadores finais. 12. Legislação e normas aplicáveis As operações e funcionamento da ECAR, assim como a Declaração de Práticas de Certificação e as Políticas de Certificado aplicáveis para cada tipo de certificado, estarão submissas à legislação e normas que lhes sejam aplicáveis, e especialmente a: Decreto Regulamentar n.º 25/2004, de 15 de Julho de 2004, que aprova o regime jurídico dos documentos electrónicos e da assinatura digital. Decreto-Lei n.º 62/2003, de 3 de Abril de 2003, que altera o Decreto-Lei n.º 290-D/99, de 2 de Agosto, que aprova o regime jurídico dos documentos electrónicos e da assinatura digital. Decreto-Lei n.º 290-D/1999, de 2 de Agosto, que Aprova o regime jurídico dos documentos electrónicos e da assinatura digital. Directiva 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro de 1999, Quadro legal comunitário para as assinaturas electrónicas. 13. Reclamações e jurisdição Todas reclamações entre utilizadores e a ECAR deverão ser comunicadas pela parte em disputa ao Conselho Gestor do Sistema de Certificação Electrónico do Estado, com o fim de tentar resolvê-lo entre as mesmas partes. Para a resolução de qualquer conflito que possa surgir em relação à DPCert, as partes, com renúncia a qualquer outro privilégio que pudesse corresponder-lhes, submetem-se à Jurisdição do Contencioso Administrativo. ECAR - DECLARAÇÃO BÁSICA Versão: 1.1, 2007.03.01 Página 7 de 8 Classificação: Público 14. Auditorias, certificações e standards de segurança da EC e repositórios Auditorias Serão levadas a cabo auditorias periódicas do funcionamento da ECAR, de acordo com o Plano de Auditorias. Desta forma garantir-se-á a adequação do seu funcionamento e operação de acordo com a as estipulações incluídas na DPCert e na PCert. Standards Os certificados pessoais de assinatura electrónica qualificada emitidos pela ECAR cumprem todos os requisitos técnicos e organizacionais estabelecidos em: ETSI TS 101 456 – Requisitos Aplicáveis à Entidade de Certificação que Emite Certificados Qualificados ETSI TS 101 042 – Requisitos Aplicáveis à Entidade de Certificação que Emite Certificados de Chave Pública ETSI TS 101 862 v1.3.2 (2004-06) – Perfil do Certificado Qualificado CWA 14167 – Requisitos de Segurança para Sistemas Confiáveis que Giram Certificados para Assinaturas Electrónicas CWA 14169 – Dispositivo Seguro de Criação de Assinaturas“EAL4+”. ECAR - DECLARAÇÃO BÁSICA Versão: 1.1, 2007.03.01 Página 8 de 8 Classificação: Público