PT
PT
PT
COMISSÃO DAS COMUNIDADES EUROPEIAS
Bruxelas, 5.10.2009 C(2009) 7476 final
DECISÃO DA COMISSÃO de 5.10.2009
que altera a Decisão da Comissão (C(2008) 8657 final) que estabelece uma política de certificação como previsto nas especificações técnicas relativas às normas para os dispositivos de segurança e dados biométricos dos passaportes e documentos de viagem
emitidos pelos Estados-Membros
(Apenas fazem fé os textos nas línguas alemã, búlgara, checa, eslovaca, eslovena, espanhola, estónia, finlandesa, francesa, grega, húngara, italiana, letã, lituana, maltesa,
neerlandesa, polaca, portuguesa, romena e sueca)
PT
2PT
DECISÃO DA COMISSÃO de 5.10.2009
que altera a Decisão da Comissão (C(2008) 8657 final) que estabelece uma política de certificação como previsto nas especificações técnicas relativas às normas para os dispositivos de segurança e dados biométricos dos passaportes e documentos de viagem
emitidos pelos Estados-Membros
A COMISSÃO DAS COMUNIDADES EUROPEIAS,
Tendo em conta o Regulamento (CE) n.° 2252/2004 do Conselho, de 13 de Dezembro de 2004, que estabelece normas para os dispositivos de segurança e dados biométricos dos passaportes e documentos de viagem emitidos pelos Estados-Membros1 e, nomeadamente o seu artigo 2.°, alínea b),
Considerando o seguinte:
(1) Em conformidade com a Decisão da Comissão C (2006) 2909, de 28 de Junho de 2006, foi adoptada uma política de certificação em 22 de Dezembro de 20082.
(2) A política de certificação assumiu a forma de documentos de referência complementares, que não têm qualquer impacto sobre o prazo de aplicação do Regulamento (CE) n.° 2252/2004 que estabelece normas para os dispositivos de segurança e dados biométricos dos passaportes e documentos de viagem emitidos pelos Estados-Membros.
(3) Quando a política de certificação foi aplicada pela primeira vez, ao ser instituída a inclusão de impressões digitais nos passaportes, por razões práticas fez-se sentir a necessidade de alterar esta política de certificação, a fim de criar um ponto de contacto único (SPOC – single point of contact) em cada Estado-Membro para o intercâmbio de certificados de autenticação de terminal.
(4) Os certificados de autenticação de terminal são necessários para autorizar o leitor a aceder às imagens de impressões digitais que figuram no chip. O procedimento de emissão de passaportes não é afectado por esta alteração.
(5) A presente decisão constitui um desenvolvimento das disposições do acervo de Schengen no qual o Reino Unido não participa, em conformidade com a Decisão 2000/365/CE do Conselho, de 29 de Maio de 2000, sobre o pedido do Reino Unido da Grã-Bretanha e da Irlanda do Norte para participar em algumas das disposições do
1 JO L 385 de 29.12.2004, p. 1.
2 C (2008) 8657 final.
acervo de Schengen3. Por conseguinte, o Reino Unido não participa na sua adopção, não ficando por ela vinculado nem sujeito à sua aplicação.
(6) A presente decisão constitui um desenvolvimento das disposições do acervo de Schengen em que a Irlanda não participa, em conformidade com a Decisão 2002/192/CE do Conselho, de 28 de Fevereiro de 2002, sobre o pedido da Irlanda para participar em algumas das disposições do acervo de Schengen4. Por conseguinte, a Irlanda não participa na sua adopção, não ficando por ela vinculada nem sujeita à sua aplicação.
(7) Nos termos dos artigos 1.° e 2.° do Protocolo relativo à posição da Dinamarca, anexo ao Tratado da União Europeia e ao Tratado que institui a Comunidade Europeia, a Dinamarca não participou na adopção do Regulamento (CE) n.° 2252/2004, não estando por ele vinculada nem sujeita à sua aplicação. Contudo, uma vez que este regulamento se destina a desenvolver o acervo de Schengen em aplicação da Parte III, Título IV, do Tratado que institui a Comunidade Europeia, a Dinamarca, nos termos do artigo 5.º do referido Protocolo, notificou por carta de 6 de Junho de 2005 que procedeu à sua transposição para o seu direito nacional. Está por conseguinte vinculada à aplicação da presente decisão. A Dinamarca deve, portanto, receber uma cópia da presente decisão.
(8) No que diz respeito à Islândia e à Noruega, a presente decisão constitui um desenvolvimento das disposições do acervo de Schengen na acepção do Acordo celebrado pelo Conselho da União Europeia e a República da Islândia e o Reino da Noruega relativo à associação destes Estados à execução, à aplicação e ao desenvolvimento do acervo de Schengen, o qual é abrangido pelo domínio referido no artigo 1.º, ponto B, da Decisão 1999/437/CE do Conselho, de 17 de Maio de 1999, relativa a determinadas regras de aplicação desse Acordo5.
(9) Em relação à Suíça, a presente decisão constitui um desenvolvimento das disposições do acervo de Schengen na acepção do Acordo celebrado entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação deste Estado à execução, à aplicação e ao desenvolvimento do acervo de Schengen, o qual é abrangido pelo domínio referido no artigo 1.º, ponto A, da Decisão 1999/437/CE do Conselho, em articulação com o artigo 3.º das Decisões 2008/146/CE6 e 2008/149/JAI do Conselho7.
(10) No que diz respeito ao Liechtenstein, a presente decisão constitui um desenvolvimento das disposições do acervo de Schengen na acepção do Protocolo entre a União Europeia, a Comunidade Europeia, a Confederação Suíça e o Principado do Liechtenstein relativo à adesão do Principado do Liechtenstein ao Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de Schengen, o qual é abrangido pelo domínio referido no artigo 1.º, ponto A, da Decisão 1999/437/CE do Conselho, em articulação com o artigo 3.º da Decisão 2008/261/CE
3 JO L 131 de 1.6.2000, p. 43.
4 JO L 64 de 7.3.2002, p. 20.
5 JO L 176 de 10.7.1999, p. 1.
6 JO L 53 de 27.2.2008, p. 1.
7
PT
4PT
do Conselho, de 28 de Fevereiro de 2008, respeitante à assinatura, em nome da Comunidade Europeia, e à aplicação provisória de certas disposições do Protocolo entre a União Europeia, a Comunidade Europeia, a Confederação Suíça e o Principado do Liechtenstein relativo à adesão do Principado do Liechtenstein ao Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de Schengen8.
(10) As medidas previstas na presente decisão são conformes com o parecer do comité instituído pelo artigo 6.º do Regulamento (CE) n.º 1683/95 do Conselho, de 29 de Maio de 1995, que estabelece um modelo-tipo de visto9,
ADOPTOU A PRESENTE DECISÃO:
Artigo 1.º
O Anexo I da Decisão C (2008) 8657 final é alterado do seguinte modo:
1. É aditado o seguinte parágrafo ao ponto 1:
«Para cumprir os requisitos desta política de certificação é necessário implementar uma infra-estrutura de comunicação fiável para a comunicação regular internacional relativa à emissão de certificados VD. O protocolo definido na norma ČSN 36 9791, versão 1.0, DEVE SER utilizado para os intercâmbios de dados correntes relativos à EAC-PKI.»
2. É aditado o ponto 1.3.4a) ao ponto 1.3:
«1.3.4a). SPOC – Ponto de contacto único
Os SPOC servem de interface de comunicação entre os Estados-Membros. Permitem uma comunicação em linha eficiente para executar tarefas regulares associadas à gestão das chaves. Os dados técnicos relativos aos SPOC são definidos na norma ČSN 36 9791, versão 1.0.»
3. O ponto 9.11. passa a ter a seguinte redacção:
«9.11. Todas as tarefas associadas à gestão das chaves DEVEM ser realizadas através de canais de comunicações fiáveis.
No que diz respeito às comunicações entre países, todas as CVCA e todos os VD DEVEM estar em condições de as assegurar através de um SPOC, tal como definido na norma ČSN 36 9791, versão 1.0. Outros meios de comunicação em linha ou fora de linha PODEM ser utilizados de comum acordo, nomeadamente para fazer face às situações em que o canal de comunicação do SPOC não está disponível.
8 JO L 83 de 26.3.2008, p. 3.
9 JO L 164 de 14.7.1995, p. 1.
Em caso de perturbação dos canais de comunicação normais, a CVCA DEVE indicar aos VD subscritores um canal de substituição através do qual possam apresentar os pedidos de certificados. DEVE fazê-lo num prazo que permita reduzir ao mínimo o risco de caducidade dos certificados em curso.
Os SPOC DEVEM obedecer aos requisitos suplementares previstos no Apêndice C.»
4. É aditado um Apêndice C, cujo texto figura no anexo da presente decisão.
Artigo 2.º
São destinatários da presente decisão o Reino da Bélgica, a República da Bulgária, a República Checa, a República Federal da Alemanha, a República da Estónia, a República Helénica, o Reino de Espanha, a República da Finlândia, a República Francesa, a República Italiana, a República de Chipre, a República da Letónia, a República da Lituânia, o Grão-Ducado do Luxemburgo, a República da Hungria, a República de Malta, o Reino dos Países Baixos, a República da Áustria, a República da Polónia, a República Portuguesa, a Roménia, a República da Eslovénia, a República da Eslováquia e o Reino da Suécia. A presente decisão deve ser transmitida ao Reino da Dinamarca, à República da Islândia, ao Reino da Noruega, ao Principado do Lichtenstein e à Confederação Suíça.
Feito em Bruxelas, em 5.10.2009.
Pela Comissão
Jacques BARROT
Vice-Presidente
PT
6PT
ANEXO
1. «APÊNDICE C-REQUISITOS RELATIVOS AOS SPOC 1.1. Registo inicial dos SPOC
Antes de iniciar a comunicação com outros SPOC, o novo SPOC DEVE registar-se junto desses outros SPOC. Os dados de registo DEVEM SER trocados por um canal fiável, segundo as mesmas modalidades que as utilizadas para o registo inicial dos VD. Devem ser comunicados os seguintes dados aquando do registo:
• dados físicos de contacto do organismo responsável pelo funcionamento do SPOC;
• nome do organismo;
• endereço postal;
• número de telefone;
• número de fax (FACULTATIVO);
• política de certificação da autoridade de certificação raiz (AC) do SPOC;
• certificado da autoridade de certificação raiz do SPOC;
• endereço electrónico do SPOC;
• URL do SPOC (para informações mais pormenorizadas, consultar a norma ČSN 36 9791, versão 1.0).
1.2. Requisitos aplicáveis à armazenagem das chaves privadas do SPOC
As chaves privadas utilizadas para as comunicações do SPOC DEVEM ser armazenadas num módulo criptográfico protegido. Este módulo DEVE cumprir os requisitos definidos no Apêndice B.1.
1.3. Requisitos aplicáveis à AC do SPOC 1.3.1. Garantia e conteúdo dos certificados
A AC que emite os certificados de comunicação do SPOC DEVE estar sob controlo do Estado. Os certificados emitidos pela AC do SPOC DEVEM satisfazer os requisitos (denominação, uso das chaves, extensões) definidos na norma ČSN 36 9791, versão 1. A política da AC do SPOC DEVE garantir que os OID que identificam os certificados do SPOC só sejam atribuídos aos certificados pertencentes ao SPOC.
1.3.2. Informações relativas à revogação dos certificados
Os certificados DEVEM conter uma extensão CDP válida. Pelo menos um ponto de distribuição DEVE ser acessível via HTTP. A CRL DEVE ser publicada pelo menos de três em três meses; em caso de revogação de um certificado, a CLR que inclui o certificado
revogado DEVE ser publicada o mais tardar 72 horas após a revogação do certificado. Não é aconselhado conservar muito tempo a CLR numa memória cache.
1.3.3. Requisitos técnicos e organizacionais
A AC do SPOC DEVE satisfazer o mesmo nível de exigências que a CVCA, tal como definidas no ponto «5. Controlos de gestão, operacionais e físicos» e no ponto «6. Controlos técnicos de segurança».
1.3.4. Períodos de validade
• Período de validade dos certificados da AC – 5 a 10 anos
• Período de validade dos certificados do SPOC – 6 a 18 meses 1.4. Pedido fiável recebido pelo SPOC
Se o emissor da mensagem for validado (autenticação de cliente TLS), o pedido de certificação VD recebido DEVE ser considerado como aprovado pelo emissor, já que provém do VD habilitado para solicitar um certificado no estrangeiro (em conformidade com o ponto 3.3.1 b) do presente documento).
1.5. Prioridades de comunicação
Sempre que for possível, DEVE ser utilizada uma interface de serviço web automatizada para a troca de dados. Sempre que a interface de serviço web de um SPOC estiver indisponível durante mais de 72 horas, o cliente (na origem da conexão TCP) DEVE contactar o SPOC utilizando os dados de registo para encontrar uma solução para os pedidos de comunicação urgentes.
1.6. Envio de notificações
O SPOC DEVE ser utilizado para o envio da notificação. Uma mensagem geral, tal como definida na norma ČSN 36 9791, versão 1.0, DEVE ser utilizada para transmitir a notificação.
É RECOMENDADA a utilização das fórmulas mencionadas no quadro abaixo para indicar o assunto e o corpo da mensagem.
Referência à CP Assunto Corpo da mensagem [EUCP] ponto 9.11 Perturbação do canal de
comunicação da CVCA
A interface nacional do serviço web do SPOC não estará operacional de [data, hora] até [data, hora].
Durante este período, use o correio electrónico.
[EUCP] ponto 9.11.6 Suspensão dos serviços da CVCA
Os serviços da CVCA serão suspensos de [data] até [data].
[EUCP] pontos 4.5 e 5.7.3
Chave privada [IS|VD|CVCA]
[perdida/roubada/compro metida]
A chave privada pertencente a [referência do titular do certificado] foi [perdida/roubada/comprometida] em [data].
[EUCP] ponto 4.5 Dados de activação da
chave privada [DV|CVCA]
comprometidos
Os dados de activação da chave pertencente a [referência do titular do certificado] foram comprometidos em [data].
PT
8PT
Referência à CP Assunto Corpo da mensagem
[EUCP] ponto 4.5 Certificado inexacto O certificado em anexo foi considerado inexacto.
[EUCP] ponto 5.8 Cessação de actividades [CVCA|DV]
A (o) [CVCA|VD] identificado(a) por [referência do titular do certificado] cessará as suas actividades em [data]. Para mais informações, contactar [dados de contacto].
[EUCP] ponto 8 DV não conforme O VD [referência do titular do certificado] deixou de respeitar os requisitos da PC da UE.
