Decreto regulamentar n.° 25/2004, de 15 de julho (Regulamenta o DL n.° 290-D/99, de 2 de Agosto, que aprova o regime jurídico dos documentos electrónicos e da assinatura digital)

Autor:Almeida & Leitão, Lda
Páginas:47-61

Page 47

Em execução do regime jurídico que disciplina a validade, eficácia e valor probatório dos documentos electrónicos, a assinatura electrónica e a actividade de credenciação das entidades certificadoras estabelecidas em Portugal, constante do Decreto-Lei n.° 290-D/99, de 2 de Agosto, com as alterações que lhe foram introduzidas pelo Decreto-Lei n.° 62/2003, de 3 de Abril, o presente diploma visa aprovar as regras técnicas e de segurança exigíveis às entidades certificadoras que emitem certificados qualificados, regulamentando ainda alguns aspectos específicos relacionados com a credenciação das entidades certificadoras.

Prevê-se que, no exercício da sua actividade, a entidade certificadora utilize processos, sistemas e produtos relacionados com as assinaturas electrónicas de acordo com normas constantes das listas publicadas no Jornal Oficial das Comunidades Europeias, nos termos previstos no n.° 5 do artigo 3.° da Directiva n.° 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, e, na sua falta, com as normas desenvolvidas no âmbito da Iniciativa Europeia de Normalização da Assinatura Electrónica (European Electronic Signature Standardisation Initiative, ou EESSI), para suporte da implementação da Directiva n.° 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, publicadas pelo Instituto Europeu de Normalização para as Telecomunicações (European Telecommunications Standards Institute, ou ETSI), ou pelo Comité Europeu de Normalização (Comité Européen de Normalisation, ou CEN).

Aprovam-se regras precisas relativas aos vários serviços de certificação prestados pela entidade certificadora, como o registo, emissão, distribuição, gestão de revogação e fornecimento de dispositivos seguros de criação de assinaturas e validação cronológica, bem como o respectivo regime de subcontratação.

Prevêem-se ainda normas específicas relativas aos direitos e obrigações da entidade certificadora e dos requerentes e titulares dos certificados e estabelecem-se requisitos operacionais e de gestão, onde se incluem exigências particulares relativas à segurança, política de pessoal, auditorias, cessação da actividade e arquivo de informação.

Compreendendo o âmbito de aplicação do diploma todas as entidades certificadoras que emitem certificados qualificados, entidades essas que podem vir a solicitar a credenciação, prevê-se ainda em sede de regulamentação algumas exigências específicas para as entidades credenciadas que se prendem essencialmente com o reforço das garantias exigíveis face ao valor probatório que é conferido às assinaturas electrónicas emitidas por entidades certificadoras credenciadas.

Neste contexto e no âmbito da demonstração dos meios técnicos e humanos exigíveis às entidades certificadoras que solicitem credenciação junto da autoridade credenciadora, é exigida avaliação prévia da conformidade dos processos e dos componentes técnicos que utiliza no exercício da sua actividade de certificação com os requisitos técnicos e de segurança estabelecidos, efectuada por organismos acreditados, ficando sujeita a atribuição de credenciação à apresentação dos respectivos relatórios de avaliação e certificados de conformidade.

Estabelecendo o presente diploma requisitos de natureza essencialmente técnica, sem prejuízo da neutralidade tecnológica assumida pelo regime jurídico consignado no Decreto-Lei n.° 290-D/99, de 2 de Agosto, na sua redacção em vigor, os requisitos técnicos e de segurança ora estabelecidos estão baseados na utilização de criptografia assimétrica (criptografia de chave pública) como suporte das assinaturas electrónicas.

A actual solução de regulamentação de utilização da criptografia de chave pública não prejudica a necessária revisão das normas do presente diploma quando tal apareça justificado pela evolução da tecnologia que venha a verificar-se neste domínio. Page 48

Foi ouvida a Autoridade Nacional de Segurança. Assim: Ao abrigo do disposto no artigo 39.° do Decreto-Lei n.° 290-D/99, de 2 de Agosto, com a redacção que lhe foi dada pelo Decreto-Lei n.° 62/2003, de 3 de Abril, e nos termos da alínea c) do artigo 199.° da Constituição, o Governo decreta o seguinte:

Capítulo I - Disposições gerais
Artigo 1 ° - Objecto e âmbito

1 - O presente diploma regulamenta o Decreto-Lei n.° 290-D/99, de 2 de Agosto, com a redacção que lhe foi dada pelo Decreto-Lei n.° 62/2003, de 3 de Abril.

2 - Do presente diploma constam, designadamente, as regras técnicas e de segurança aplicáveis às entidades certificadoras estabelecidas em Portugal na emissão de certificados qualificados destinados ao público.

Artigo 2 ° - Normas técnicas

1 - A entidade certificadora utiliza obrigatoriamente, no exercício da sua actividade, processos, sistemas e produtos relacionados com as assinaturas electrónicas em conformidade com o disposto no presente diploma e com normas, especificações e outra documentação técnica, aplicáveis consoante o seu âmbito, tais como:

a) As constantes das listas publicadas no Jornal Oficial das Comunidades Europeias nos termos previstos no n.° 5 do artigo 3.° da Directiva n.° 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, quando existentes;

b) As desenvolvidas no âmbito da Iniciativa Europeia de Normalização da Assinatura Electrónica (European Electronic Signature Standardisation Initiative, ou EESSI), para suporte da implementação da Directiva n.° 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, publicadas pelo Instituto Europeu de Normalização para as Telecomunicações (European Telecommunications Standards Institute, ou ETSI), ou pelo Comité Europeu de Normalização (Comité Européen de Normalisation, ou CEN), em matérias sobre as quais não existam as normas, especificações e outra documentação técnica previstas na alínea anterior;

c) Outras largamente reconhecidas como aplicáveis a produtos de assinatura electrónica.

2 - A autoridade credenciadora publica, em aviso, na 2..a série do Diário da República, as listas de referências publicadas no Jornal Oficial das Comunidades Europeias das normas a que se refere a alínea

a) do número anterior. 3 - As normas a que se referem as alíneas b) e c) do n.° 1 são as aprovadas pela autoridade credenciadora, que publica na 2..a série do Diário da República as respectivas referências.

4 - As normas previstas no n.° 1, relativas a processos, sistemas e produtos, aplicam-se a:

a) Serviços e processos das entidades certificadoras respeitantes à gestão da infra-estrutura de chave pública, à gestão da segurança da informação e à gestão do ciclo de vida dos certificados qualificados;

b) Sistemas de informação utilizados na emissão e gestão dos certificados qualificados;

c) Módulos criptográficos para operações de assinatura;

d) Aplicações de criação e de verificação de assinaturas;

e) Dispositivos seguros de criação de assinatura;

f) Serviços de validação cronológica.

5 - Sempre que estejam envolvidas matérias classificadas, aplicam-se as regras de credenciação de segurança de matérias classificadas e respectiva credenciação, da competência da Autoridade Nacional de Segurança. Page 49

Artigo 3 ° - Avaliação da conformidade

1 - A conformidade com o disposto no artigo anterior dos processos, sistemas e produtos relacionados com as assinaturas electrónicas qualificadas é certificada, quando exigido nos termos do presente diploma, por organismos de certificação acreditados de acordo com o disposto no artigo 37.° do Decreto-Lei n.° 290-D/99, de 2 de Agosto.

2 - A avaliação da conformidade dos produtos de assinatura electrónica qualificada é efectuada segundo os critérios comuns para a verificação e avaliação da segurança nas tecnologias da informação (Common Criteria for Information Technology Security Evaluation), ISO/IEC 15408, para os níveis de avaliação de segurança e grau de robustez exigidos nas normas, especificações e outra documentação técnica aplicável nos termos do artigo 2.°.

3 - Do certificado de conformidade referente à segurança dos produtos...

Para continuar a ler

PEÇA SUA AVALIAÇÃO