Declaração Básica de Práticas de Certificação da ECAR
CIRC N.º 001/ECAR/2010D e clar aç ão B ási ca d e Pr áticas d e C e rtif ic aç ão d a E CAR
META INFORMAÇÃO DO DOCUMENTO
Título Declaração Básica de Práticas de Certificação da ECAR Referência CIRC N.º 001/ECAR/2010
Data 16-02-2011
Classificação Público
Tipo Circular (CIRC)
Estado Aprovado
Páginas 12
Assunto / Projecto
Autor(es): Margarida Matos;Alexandre Miguel Aniceto Revisto por
Aprovado por Grupo de Gestão da ECAR Distribuição
Versão 2.0
OID
Ficheiro CIRC_001_ECAR_2010
Histórico do Documento
Versão Data Principais Alterações Revisto por
Direito de Propriedade
As informações contidas no presente documento, bem como o formato do mesmo, são propriedade da Assembleia da República, não podendo ser reproduzidas, no seu todo e/ou em parte, sem prévia e
D e clar aç ão B ási ca d e Pr áticas d e C e rtif ic aç ão d a E CAR
Índice
1. INTRODUÇÃO ... 4 2. GLOSSÁRIO ... 43. DADOS DE CONTACTO DA ENTIDADE CERTIFICADORA ... 4
4. TIPOS DE CERTIFICADO, PROCEDIMENTOS DE VALIDAÇÃO E USO ... 5
5. LIMITAÇÕES NA FIABILIDADE ... 6
6. OBRIGAÇÃO DOS TITULARES ... 6
7. OBRIGAÇÕES DAS TERCEIRAS PARTES ... 7
8. LIMITAÇÃO DE RESPONSABILIDADES ... 7
9. ACORDOS, DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO E POLÍTICAS DE CERTIFICAÇÃO APLICÁVEIS ... 8
10. PROTECÇÃO DE DADOS PESSOAIS ... 8
11. PERÍODO DE RETENÇÃO DOS REGISTOS DE AUDITORIA ... 9
12. TAXAS ... 9
13. LEGISLAÇÃO E NORMAS APLICÁVEIS ... 9
14. RECLAMAÇÕES E JURISDIÇÃO ... 10
15. AUDITORIAS, CERTIFICAÇÕES E STANDARDS DE SEGURANÇA DA EC E REPOSITÓRIOS ... 10
D e clar aç ão B ási ca d e Pr áticas d e C e rtif ic aç ão d a E CAR
1. Introdução
Este texto é um extracto das características e requisitos da infra-estrutura de chaves públicas da ENTIDADE CERTIFICADORA DA ASSEMBLEIA DA REPÚBLICA (ECAR).
A ECAR encontra-se integrada no Sistema de Certificação Electrónica do Estado Português (SCEE) pelo que:
. Os certificados de autenticação e de assinatura electrónica qualificada emitidos pela ECAR, obedecem à Política de Certificação do SCEE;
. Os certificados de infra-estutura emitidos pela ECAR regem-se por política própria; . A actividade da ECAR rege-se por Declarações de Práticas de Certificação próprias, aplicáveis ao tipo do certificado que se esteja a solicitar, ou com o qual se esteja a operar. É recomendável a leitura da Política de Certificação da SCEE, da Política de Certificados de Infra-estrutura da ECAR e das Declarações de Práticas de Certificação, referentes ao tipo de certificado, com o intuito de se ter uma ideia clara dos objectivos, especificações, normas, direitos, obrigações e responsabilidades que regem a prestação do serviço de certificação da ECAR
Esta Declaração Básica foi elaborada conforme a especificação técnica “ETSI TS 101 456: Policy
Requirements for certification authorities issuing qualified certificates”. Concretamente, o que
recomenda o seu anexo B para o “PKI Disclosure Statement”.
2. Glossário
EC: Entidade de Certificação. ERL: Entidade de Registo Local. LCR: Lista de Certificados Revogados. DPC: Declaração de Práticas de Certificação. PC: Política de Certificação.
PIN: Código secreto com o qual se protege o uso do cartão criptográfico. PKI: Infra-estrutura de Chave Pública.
3. Dados de contacto da Entidade Certificadora
A ECAR é administrada pelo Centro de Informática da Assembleia da República (CINF) sendo as DPC e PC próprias geridas e aprovadas pelo Grupo de Gestão da Entidade Certificadora da Assembleia da República (GGECAR).
D e clar aç ão B ási ca d e Pr áticas d e C e rtif ic aç ão d a E CAR
Nome Centro de Informática da Assembleia da República
Endereço e-mail cinf.correio@ar.parlamento.pt
Endereço Internet www.ecar.parlamento.pt
Morada Palácio de S.Bento 1249-068 LISBOA
Telefone +351 21 391 9000 - Ext. 11888
Fax +351 21 391 7439
4. Tipos de certificado, procedimentos de validação e uso
A ECAR não emite certificados para o público. Apenas podem solicitar certificados à ECAR as seguintes entidades:
. A Assembleia da República (AR);
. Os organismos autónomos que funcionam junto da AR; . As Assembleias Legislativas Regionais
A ECAR emite os seguintes tipos de certificados:
Autenticação: o certificados de autenticação permite comprovar a identidade do titular
perante os sistemas de informação.
Assinatura: a sua finalidade é a assinatura de documentos electrónicos, correio electrónico e
transacções electrónicas. A assinatura electrónica de um documento garante a identidade do assinante, a integridade do documento, ou seja que o seu conteúdo não foi modificado após a aposição da sua assinatura, e o seu não repúdio, isto é, que o assinante não pode negar a sua autoria. Os certificados de assinatura cumprem os requisitos legais para serem considerados de assinatura electrónica qualificada, ou seja, com força probatória legal, nos termos da lei. Os certificados de autenticação e de assinatura são distribuídos e utilizados em cartão criptográfico (SmartCard). Está vedado aos seus titulares exportar as suas chaves privadas para fora do mesmo.
Infra-estrutura: este certificado proporciona um nível de segurança acrescido na identificação
de utilizadores perante os sistemas e na comunicação entre aplicações. Estes certificados contribuem para o desenvolvimento de aplicações e serviços electrónicos seguros, contribuindo para a desmaterialização de processos e desenvolvimento da sociedade da informação.
D e clar aç ão B ási ca d e Pr áticas d e C e rtif ic aç ão d a E CAR
A verificação do estado dos certificados pode realizar-se mediante consulta da última LCR em:
http://www.ecar.parlamento.pt/repositorio/ECAR parlamento.crl
5. Limitações na fiabilidade
Limitações
Os certificados devem ser utilizados apenas para as funções e finalidades estabelecidas nas correspondentes Políticas de Certificados.
Os serviços de certificação disponibilizados pela ECAR não foram desenhados, concebidos, nem autorizados para serem utilizados em actividades de alto risco ou que requeiram uma actividade à prova de erros, como as relativas ao funcionamento de instalações nos hospitais, nucleares, de controlo de tráfego aéreo ou ferroviário, ou qualquer outra onde um erro pudesse comportar a morte, lesões pessoais ou danos graves ao meio ambiente.
Os certificados emitidos pela ECAR só podem ser utilizados para os fins estabelecidos na Política de Certificados e na Declaração de Práticas de Certificação respectiva.
Conservação da Informação
A informação de registo e de gestão dos certificados será conservada durante 20 anos.
6. Obrigação dos titulares
É obrigação dos titulares dos certificados emitidos pela ECAR:
1. Limitar e adequar a utilização dos certificados de acordo com as utilizações previstas
nas Políticas de Certificado e na Declaração de Práticas de Certificação;
2. Tomar todos os cuidados e medidas necessários para garantir a integridade da sua
chave privada;
3. Solicitar, de imediato, a revogação de um certificado em caso de ter conhecimento ou
suspeita de compromisso da chave privada do certificado ou do PIN do cartão criptográfico;
4. Não utilizar um certificado digital que tenha perdido a sua eficácia, quer por ter sido
revogado, suspenso ou por ter expirado o período de validade;
5. Submeter, às Entidade de Registo, a informação que considerem exacta e completa
com relação aos dados que estas solicitem para realizar o processo de registo. Deve informar a ECAR de qualquer modificação desta informação;
D e clar aç ão B ási ca d e Pr áticas d e C e rtif ic aç ão d a E CAR
6. Não monitorizar, manipular ou realizar actos de “engenharia inversa” sobre a
implementação técnica (hardware e software) dos serviços de certificação, sem autorização prévia por escrito da ECAR;
7. Conhecer e aceitar as condições de utilização dos certificados, em particular as
contidas na DPC e PC que se apliquem, assim como as modificações das mesmas.
8. Manter sob seu exclusivo conhecimento o valor do PIN;
9. Não transferir, nem delegar, a um terceiro, as responsabilidades sobre o certificado
que lhe tenha sido atribuído;
10. Solicitar, de imediato, à ECAR a revogação ou suspensão do seu certificado sempre que
terminar, ou suspender, respectivamente, o vínculo que detém com a AR, ou se adquirir novas funções para as quais não é necessário o uso do certificado;
11. Qualquer outra que derive de norma aplicável, da DPC ou das Políticas de Certificação.
7. Obrigações das terceiras partes
É obrigação das terceiras partes que aceitam e confiam nos certificados emitidos pela
ECAR:
1. Limitar a fiabilidade dos certificados às utilizações permitidas para os mesmos em
conformidade com o expresso na Política de Certificado correspondente;
2. Verificar a validade dos certificados no momento de realizar qualquer operação
baseada nos mesmos;
3. Assumir a responsabilidade na correcta verificação das assinaturas digitais;
4. Assumir a responsabilidade na comprovação da validade, revogação, ou suspensão dos
certificados em que confia;
5. Ter pleno conhecimento das garantias e responsabilidades aplicáveis na aceitação e
uso de certificados em que confia e aceitar sujeitar-se às mesmas;
6. Notificar qualquer acto ou situação anómala relativa ao certificado e que possa ser
considerada como causa de revogação do mesmo, utilizando os meios que a EC publique no seu site da Internet - www.ecar.parlamento.pt.
D e clar aç ão B ási ca d e Pr áticas d e C e rtif ic aç ão d a E CAR
8. Limitação de responsabilidades
A ECAR não assumirá responsabilidade alguma em relação ao uso dos Certificados emitidos por esta e o par de chaves privada/pública associado aos seus titulares para qualquer actividade não especificada na DPCert ou nas correspondentes Políticas de Certificados. A ECAR, enquanto Prestador de Serviços de Certificação, não se responsabiliza pelo conteúdo dos documentos assinados com seus certificados, nem de qualquer outro uso dos seus certificados, tais como os processos de cifra de mensagens e de comunicações.
A ECAR só responderá pelos danos e prejuízos causados pelo uso indevido do certificado, quando se tenha consignado nele ou na sua Política de Certificado associada, de forma claramente reconhecível por terceiros, o limite quanto ao seu possível uso ou ao importe do valor das transacções válidas que podem realizar-se.
A ECAR não representa, de forma alguma, os titulares, nem as terceiras partes dos certificados que emite.
9. Acordos, Declaração de Práticas de Certificação e Políticas de
Certificação aplicáveis
Todos os acordos, Declaração de Práticas de Certificação e Políticas de Certificados aplicáveis encontram-se no site da Internet em www.ecar.parlamento.pt. Em particular cabe destacar os seguintes documentos: Documento URL Declaração de Práticas de Certificação de Assinatura Electrónica Qualificada e de Autenticação http://www.ecar.parlamento.pt/repositorio/DPC-ECAR.pdf Declaração de Práticas de Certificação de Infra-estrutura http://www.ecar.parlamento.pt/repositorio/DPCert_ECAR_Infra estrutura_vx.pdf Política de Certificados da SCEE e Requisitos Mínimos de Segurança http://www.ecar.parlamento.pt/repositorio/PCert_SCEE.pdf
D e clar aç ão B ási ca d e Pr áticas d e C e rtif ic aç ão d a E CAR Infra-estrutura trutura_vx.pdf
10. Protecção de dados pessoais
A ECAR dispõe de uma Política de Protecção de Dados Pessoais, a qual está em conformidade com o estabelecido na legislação nacional de protecção de dados pessoais.
Sem menosprezo pelas outras obrigações, as Entidades de Registo que se constituam na subordinação da ECAR verificarão que o solicitante de um certificado é informado e dá o seu consentimento ao tratamento dos seus dados pessoais, bem como à finalidade desta recolha e sua inclusão no arquivo declarado para o efeito pela ECAR.
O titular dos dados poderá exercer os direitos de acesso, rectificação, cancelamento e oposição, dirigindo-se à direcção de contacto identificada neste documento, no seu ponto 3. No caso de entidades exteriores à AR, deve dirigir-se à respectiva ERL.
Os dados contidos no Directório seguro de Certificados são tratados tendo em consideração o disposto na legislação de protecção de dados pessoais.
Não obstante, coloca-se à disposição dos titulares dos certificados e outras partes, as listas de certificados revogados (que não contém dados pessoais) para o cumprimento diligente dos serviços de certificação. O utilizador destas listas unicamente poderá utilizar as informações que contêm de acordo com a finalidade enunciada.
11. Período de retenção dos registos de auditoria
Será aplicada a política de retenção dos registos de auditoria que refere que os registos devem ser mantidos nos sistemas por um período de 3 meses e, após serem arquivados, devem ser conservados por um período mínimo de 20 anos.
12. Taxas
Sempre que forem aplicadas taxas sobre o serviço de certificação da ECAR, estas serão actualizadas e disponibilizadas aos utilizadores finais.
13. Legislação e normas aplicáveis
As operações e funcionamento da ECAR, assim como a Declaração de Práticas de Certificação e as Políticas de Certificado aplicáveis a cada tipo de certificado, estarão submissas à legislação e normas que lhes sejam aplicáveis, e especialmente a:
D e clar aç ão B ási ca d e Pr áticas d e C e rtif ic aç ão d a E CAR
Decreto-Lei nº 290-D/99, de 2 de Agosto, republicado pelo Decreto-Lei n.º 88/2009, de 9 de Abril, com os critérios de adequação da aplicação do disposto no n.º 1 do Artigo 40.º-A, estabelecidos pela Autoridade Credenciadora;
Decreto-Lei n.º 88/2009, de 9 de Abril; Portaria nº 597/2009, de 4 de Junho;
Decreto Regulamentar nº25/2004, de 15 de Julho;
Estatuto dos Deputados, Lei nº 7/93, de 1 de Março, com as alterações introduzidas pela Lei nº 24/95, de 18 de Agosto, Lei nº 55/98, de 18 de Agosto, Lei nº 8/99, de 10 de Fevereiro, Lei nº 45/99, de 16 de Junho, Lei nº 3/2001, de 23 de Fevereiro (rectificada pela Declaração de Rectificação n.º 9/2001, de 13 de Março), Lei n.º 24/2003, de 4 de Julho, Lei n.º 52-A/2005, de 10 de Outubro, Lei n.º 44/2006, de 25 de Agosto, Lei n.º 45/2006, de 25 de Agosto, Lei n.º 43/2007, de 24 de Agosto e Lei n.º 16/2009, de 1 de Abril.
14. Reclamações e jurisdição
Todas reclamações entre utilizadores e a ECAR deverão ser comunicadas pela parte em disputa ao Grupo de Gestão da Entidade Certificadora da Assembleia da República, com o fim de tentar resolvê-lo entre as mesmas partes.
Para a resolução de qualquer conflito que possa surgir em relação à DPC, as partes, com renúncia a qualquer outro privilégio que pudesse corresponder-lhes, submetem-se à Jurisdição do Contencioso Administrativo.
15. Auditorias, certificações e standards de segurança da EC e
repositórios
Auditorias
Serão levadas a cabo auditorias periódicas ao funcionamento da ECAR, de acordo com o Plano de Auditorias. Desta forma garantir-se-á a adequação do seu funcionamento e operação de acordo com o estipulado na Declaração de Práticas de Certificação e na Política de Certificados.
Standards
Os certificados pessoais de assinatura electrónica qualificada emitidos pela ECAR cumprem todos os requisitos técnicos e organizacionais estabelecidos em:
D e clar aç ão B ási ca d e Pr áticas d e C e rtif ic aç ão d a E CAR
ETSI TS 101 456 – Requisitos Aplicáveis à Entidade de Certificação que Emite
Certificados Qualificados
ETSI TS 101 042 – Requisitos Aplicáveis à Entidade de Certificação que Emite
Certificados de Chave Pública
ETSI TS 101 862 v1.3.2 (2004-06) – Perfil do Certificado Qualificado
CWA 14167 – Requisitos de Segurança para Sistemas Confiáveis que Giram
Certificados para Assinaturas Electrónicas
CWA 14169 – Dispositivo Seguro de Criação de Assinaturas“EAL4+”.
28-06-2012
X
Margarida Matos Administrador de Segurança da ECARMargarida
Matos
Assinado de forma digital por Margarida Matos DN: email=Margarida.Matos@ar.parlamento.pt, c=PT, o=Assembleia da República, ou=CINF, cn=Margarida Matos
D e clar aç ão B ási ca d e Pr áticas d e C e rtif ic aç ão d a E CAR Fim do documento