Declaração de Práticas de Certificação Enterprise

Declaração de Práticas de Certificação Enterprise

Certificate Policy - Certificate Practice Statement

CÓDIGO DO DOCUMENTO ICERT-INDI-MO-ENT

VERSÃO 3.3

DATA 09/04/2018

Declaração de Práticas de Certificação ICERT-INDI-MO-ENT VERSÃO 3.3 – 09/04/2018

SUMÁRIO

1 INTRODUÇÃO ....................................................................................................................................... 7

1.1 Quadro geral .................................................................................................................................................. 7 1.2 Nome e código de identificação do documento ............................................................................................. 7 1.3 Participantes e responsabilidade ................................................................................................................... 8 1.3.1 Certification Authority – Autoridade de Certificação .................................................................. 8 1.3.2 Registration authority – Autoridade de Registo (RA)................................................................. 9 1.3.3 Assinante ................................................................................................................................. 10 1.3.4 Utilizador .................................................................................................................................. 10 1.3.5 Requerente .............................................................................................................................. 10 1.3.6 Autoridade ................................................................................................................................ 10 1.4 Uso do certificado ........................................................................................................................................ 11 1.4.1 Usos permitidos ....................................................................................................................... 11 1.4.2 Usos não permitidos ................................................................................................................ 11 1.5 Administração da Declaração de Práticas de Certificação ......................................................................... 11 1.5.1 Contactos ................................................................................................................................. 11 1.5.2 Entidades responsáveis pela aprovação da Declaração de Práticas de Certificação ............ 11 1.5.3 Procedimentos de aprovação .................................................................................................. 12 1.6 Definições e acrónimos ............................................................................................................................... 12 1.6.1 Definições ................................................................................................................................ 12 1.6.2 Acrónimos e abreviações ........................................................................................................ 15

2 PUBLICAÇÃO E ARQUIVAMENTO ................................................................................................ 18 2.1 Arquivamento ............................................................................................................................................... 18 2.2 Publicação das informações sobre a certificação ....................................................................................... 18 2.2.1 Publicação da Declaração de Práticas de Certificação ........................................................... 18 2.2.2 Publicação dos certificados ..................................................................................................... 18 2.2.3 Publicação das listas de revogação e suspensão ................................................................... 18 2.3 Período ou frequência de publicação .......................................................................................................... 18 2.3.1 Frequência de publicação da Declaração de Práticas de Certificação ................................... 18 2.3.2 Frequência de publicação das listas de revogação e suspensão ........................................... 19 2.4 Controlo dos acessos aos arquivos públicos .............................................................................................. 19

3 IDENTIFICAÇÃO E AUTENTICAÇÃO ............................................................................................ 20 3.1 Denominação ............................................................................................................................................... 20 3.1.1 Tipos de nomes ....................................................................................................................... 20 3.1.2 Necessidade que o nome tenha um significado ...................................................................... 20 3.1.3 Anonimato e pseudonímia dos requerentes ............................................................................ 20 3.1.4 Regras de interpretação dos tipos de nomes .......................................................................... 20 3.1.5 Univocidade dos nomes .......................................................................................................... 20 3.1.6 Reconhecimento, autenticação e funções das marcas registadas ......................................... 20 3.2 Validação inicial da identidade .................................................................................................................... 21 3.2.1 Método de comprovação da posse de chave privada ............................................................. 21 3.2.2 Autenticação da identidade de uma organização .................................................................... 21 3.2.3 Identificação da pessoa singular ............................................................................................. 21 3.2.4 Identificação da pessoa coletiva .............................................................................................. 25 3.2.5 Informações sobre o Assinante ou Requerente não verificadas ............................................. 25 3.2.6 Validação da autoridade .......................................................................................................... 25 3.3 Identificação e autenticação para a renovação de chaves e certificados ................................................... 25 3.3.1 Identificação e autenticação para a renovação de chaves e certificados ............................... 25 3.4 Identificação e autenticação para os pedidos de revogação ou suspensão ............................................... 25 3.4.1 Pedido por parte do Assinante ................................................................................................ 25


3.4.2 Pedido por parte do Requerente ............................................................................................. 26 4 REQUISITOS OPERACIONAIS ........................................................................................................ 27

4.1 Pedido de certificado ................................................................................................................................... 27 4.1.1 Quem pode pedir um certificado.............................................................................................. 27 4.1.2 Processo de registo e responsabilidades ................................................................................ 27 4.2 Processamento do pedido ........................................................................................................................... 28 4.2.1 Informações que o Assinante deve fornecer ........................................................................... 28 4.2.2 Execução das funções de identificação e autenticação .......................................................... 28 4.2.3 Aprovação ou rejeição do pedido de certificado...................................................................... 29 4.2.4 Tempo máximo para o processamento do pedido de certificado ............................................ 29 4.3 Emissão do certificado ................................................................................................................................. 29 4.3.1 Ações da CA durante a emissão do certificado ....................................................................... 29 4.3.2 Notificação aos requerentes de que o certificado foi emitido .................................................. 29 4.3.3 Ativação ................................................................................................................................... 29 4.4 Aceitação do certificado ............................................................................................................................... 29 4.4.1 Comportamentos concludentes de aceitação do certificado ................................................... 29 4.4.2 Publicação do certificado pela Autoridade de Certificação ..................................................... 30 4.4.3 Notificação a outras entidades de que o certificado foi publicado .......................................... 30 4.5 Utilização do par de chaves e do certificado ............................................................................................... 30 4.5.1 Utilização da chave privada e do certificado pelo Assinante .................................................. 30 4.5.2 Utilização da chave pública e do certificado pelos Utilizadores Finais ................................... 30 4.5.3 Limites de utilização e de valor................................................................................................ 30 4.6 Renovação do certificado ............................................................................................................................ 32 4.6.1 Motivos para a renovação ....................................................................................................... 32 4.6.2 Quem pode pedir a renovação ................................................................................................ 32 4.6.3 Processamento do pedido de renovação do certificado ......................................................... 32 4.7 Reemissão do certificado ............................................................................................................................ 32 4.8 Modificação do certificado ........................................................................................................................... 32 4.9 Revogação e suspensão do certificado ....................................................................................................... 32 4.9.1 Motivos para a revogação ....................................................................................................... 32 4.9.2 Quem pode pedir a revogação ................................................................................................ 33 4.9.3 Procedimentos para pedir a revocação ................................................................................... 33 4.9.4 Período de tolerância do pedido de revogação ....................................................................... 34 4.9.5 Tempo máximo de processamento do pedido de revogação ................................................. 34 4.9.6 Requisitos para a verificação da revogação ............................................................................ 34 4.9.7 Frequência de publicação da CRL .......................................................................................... 34 4.9.8 Latência máxima da CRL ........................................................................................................ 34 4.9.9 Requisitos dos serviços em linha de verificação ..................................................................... 35 4.9.10 Outras formas de revogação ................................................................................................... 35 4.9.11 Requisitos específicos rekey em caso de comprometimento ................................................. 35 4.9.12 Serviços em linha de verificação do estado de revogação do certificado ............................... 35 4.9.13 Motivos para a suspensão ....................................................................................................... 35 4.9.14 Quem pode pedir a suspensão ................................................................................................ 35 4.9.15 Procedimentos para pedir a suspensão .................................................................................. 35 4.9.16 Limites ao período de suspensão ............................................................................................ 37 4.10 Serviços referentes ao estado do certificado .............................................................................................. 37 4.10.1 Características operacionais ................................................................................................... 37 4.10.2 Disponibilidade do serviço ....................................................................................................... 37 4.10.3 Características opcionais ......................................................................................................... 37 4.11 Cancelamento dos serviços da CA.............................................................................................................. 37 4.12 Depósito junto de terceiros e recuperação da chave .................................................................................. 37

5 MEDIDAS DE SEGURANÇA E CONTROLOS ................................................................................ 38 5.1 Segurança física .......................................................................................................................................... 38 5.1.1 Posição e construção da estrutura .......................................................................................... 38 5.1.2 Acesso físico ............................................................................................................................ 39 5.1.3 Sistema elétrico e ar condicionado .......................................................................................... 39


5.1.4 Prevenção e proteção contra inundações ............................................................................... 40 5.1.5 Prevenção e proteção contra incêndios .................................................................................. 40 5.1.6 Suportes de memorização ....................................................................................................... 40 5.1.7 Eliminação de resíduos ........................................................................................................... 41 5.1.8 Cópia de segurança em instalações externas ......................................................................... 41 5.2 Controlos de procedimentos ........................................................................................................................ 41 5.2.1 Perfis-chave ............................................................................................................................. 41 5.3 Controlo do pessoal ..................................................................................................................................... 41 5.3.1 Requisitos de qualificações, experiência e autorizações ........................................................ 41 5.3.2 Procedimentos de verificação de experiências anteriores ...................................................... 41 5.3.3 Requisitos de formação ........................................................................................................... 42 5.3.4 Frequência de atualização da formação ................................................................................. 42 5.3.5 Frequência na rotação dos turnos de trabalho ........................................................................ 42 5.3.6 Sanções para ações não autorizadas ..................................................................................... 42 5.3.7 Controlos sobre o pessoal não funcionário ............................................................................. 43 5.3.8 Documentação que o pessoal deve fornecer .......................................................................... 43 5.4 Gestão do registo de auditoria..................................................................................................................... 43 5.4.1 Tipos de eventos memorizados ............................................................................................... 43 5.4.2 Frequência de tratamento e de memorização do registo de auditoria .................................... 43 5.4.3 Período de retenção do registo de auditoria ........................................................................... 43 5.4.4 Proteção do registo de auditoria .............................................................................................. 43 5.4.5 Procedimentos para cópia de segurança do registo de auditoria ........................................... 44 5.4.6 Sistema de memorização do registo de auditoria ................................................................... 44 5.4.7 Notificação em caso de identificação de vulnerabilidade ........................................................ 44 5.4.8 Avaliações de vulnerabilidade ................................................................................................. 44 5.5 Arquivamento de relatórios .......................................................................................................................... 44 5.5.1 Tipos de relatórios arquivados ................................................................................................. 44 5.5.2 Proteção dos relatórios ............................................................................................................ 44 5.5.3 Procedimentos para cópia de segurança dos relatórios ......................................................... 44 5.5.4 Requisitos para a marcação temporal dos relatórios .............................................................. 44 5.5.5 Sistema de memorização dos arquivos ................................................................................... 45 5.5.6 Procedimentos para obter e verificar as informações contidas nos arquivos ......................... 45 5.6 Substituição da chave privada da CA .......................................................................................................... 45 5.7 Comprometimento da chave privada da CA e recuperação em caso de desastres (disaster recovery) .................................................................................................................................................................. 45 5.7.1 Procedimentos para a gestão dos acidentes .......................................................................... 45 5.7.2 Corrupção das máquinas, do software ou dos dados ............................................................. 45 5.7.3 Procedimentos em caso de comprometimento da chave privada da CA ............................... 46 5.7.4 Fornecimento dos serviços de CA em caso de desastres ...................................................... 46 5.8 Cessação do serviço da CA ou da RA ........................................................................................................ 46

6 CONTROLOS TECNOLÓGICOS DE SEGURANÇA ....................................................................... 47 6.1 Instalação e geração do par de chaves de certificação ............................................................................. 47 6.1.1 Geração do par de chaves do Assinante ................................................................................ 47 6.1.2 Entrega da chave privada ao Requerente ............................................................................... 48 6.1.3 Entrega da chave pública à CA ............................................................................................... 48 6.1.4 Entrega da chave pública aos utilizadores .............................................................................. 48 6.1.5 Algoritmo e tamanho das chaves ............................................................................................ 48 6.1.6 Controlos de qualidade e geração da chave pública............................................................... 48 6.1.7 Finalidade de utilização da chave............................................................................................ 48 6.2 Proteção da chave privada e controlos tecnológicos do módulo criptográfico ........................................... 49 6.2.1 Controlos e padrão do módulo criptográfico ............................................................................ 49 6.2.2 Controlo de várias pessoas da chave privada de CA ............................................................. 49 6.2.3 Depósito junto de terceiros da chave privada de CA .............................................................. 49 6.2.4 Cópia de segurança da chave privada de CA ......................................................................... 49 6.2.5 Arquivamento da chave privada de CA ................................................................................... 49 6.2.6 Transferência da chave privada de um módulo ou para um módulo criptográfico ................. 49


6.2.7 Memorização da chave privada em módulo criptográfico ....................................................... 49 6.2.8 Método de ativação da chave privada ..................................................................................... 49 6.2.9 Método de desativação da chave privada ............................................................................... 50 6.2.10 Método de destruição da chave privada da CA ....................................................................... 50 6.2.11 Classificação dos módulos criptográficos ................................................................................ 50 6.3 Outros aspetos da gestão das chaves ........................................................................................................ 50 6.3.1 Arquivamento da chave pública ............................................................................................... 50 6.3.2 Período de validade do certificado e do par de chaves .......................................................... 50 6.4 Dados de ativação da chave privada .......................................................................................................... 50 6.5 Controlos sobre a segurança informática .................................................................................................... 51 6.5.1 Requisitos de segurança específicos dos computadores ....................................................... 51 6.6 Operacionalidade nos sistemas de controlo ................................................................................................ 51 6.7 Controlos de segurança da rede ................................................................................................................. 51 6.8 Sistema de selos temporais ......................................................................................................................... 52

7 FORMATO DO CERTIFICADO, DA CRL E DO OCSP ................................................................. 53 7.1 Formato do certificado ................................................................................................................................. 53 7.1.1 Número de versão ................................................................................................................... 53 7.1.2 Extensões do certificado .......................................................................................................... 53 7.1.3 OID do algoritmo de assinatura ............................................................................................... 53 7.1.4 Formas de nomes .................................................................................................................... 53 7.1.5 Vínculos aos nomes ................................................................................................................ 53 7.1.6 OID do certificado .................................................................................................................... 53 7.2 Formato da CRL .......................................................................................................................................... 53 7.2.1 Número de versão ................................................................................................................... 54 7.2.2 Extensões da CRL ................................................................................................................... 54 7.3 Formato do OCSP ....................................................................................................................................... 54 7.3.1 Número de versão ................................................................................................................... 54 7.3.2 Extensões do OCSP ................................................................................................................ 54

8 CONTROLOS E AVALIAÇÕES DE CONFORMIDADE ................................................................ 55 8.1 Frequência ou circunstâncias para a avaliação de conformidade .............................................................. 55 8.2 Identidade e qualificações de quem efetua o controlo ................................................................................ 55 8.3 Relações entre a InfoCert e o CAB ............................................................................................................. 55 8.4 Aspetos objeto da avaliação ........................................................................................................................ 56 8.5 Ações em caso de não conformidade ......................................................................................................... 56

9 OUTROS ASPETOS LEGAIS E DE NEGÓCIOS ............................................................................. 57 9.1 Tarifas .......................................................................................................................................................... 57 9.1.1 Tarifas para a emissão dos certificados .................................................................................. 57 9.1.2 Tarifas para o acesso aos certificados .................................................................................... 57 9.1.3 Tarifas para o acesso às informações sobre o estado de suspensão e revogação dos certificados ............................................................................................................................................... 57 9.1.4 Tarifas para outros serviços .................................................................................................... 57 9.1.5 Políticas para o reembolso ...................................................................................................... 57 9.2 Responsabilidade financeira ........................................................................................................................ 58 9.2.1 Cobertura de seguro ................................................................................................................ 58 9.2.2 Outras atividades ..................................................................................................................... 58 9.2.3 Garantia ou cobertura de seguro para as entidades finais ..................................................... 58 9.3 Confidencialidade das informações de negócios ........................................................................................ 58 9.3.1 Âmbito de aplicação das informações confidenciais ............................................................... 58 9.3.2 Informações não abrangidas pelo âmbito de aplicação das informações confidenciais ........ 58 9.3.3 Responsabilidade de proteção das informações confidenciais ............................................... 58 9.4 Privacidade .................................................................................................................................................. 58 9.4.1 Programa de privacidade ......................................................................................................... 59 9.4.2 Dados que são tratados como pessoais ................................................................................. 59 9.4.3 Dados não considerados como pessoais ................................................................................ 59 9.4.4 Responsável pelo tratamento dos dados pessoais ................................................................. 59 9.4.5 Declaração de privacidade e consentimento para o tratamento dos dados pessoais ............ 59


9.4.6 Divulgação dos dados a seguir a uma solicitação por parte da autoridade ............................ 59 9.4.7 Outros motivos de divulgação ................................................................................................. 60 9.5 Propriedade intelectual ................................................................................................................................ 60 9.6 Representação e garantias .......................................................................................................................... 60 9.7 Limitações de garantia ................................................................................................................................. 60 9.8 Limitações de responsabilidade .................................................................................................................. 61 9.9 Indemnizações ............................................................................................................................................. 61 9.10 Término e resolução .................................................................................................................................... 62 9.10.1 Término .................................................................................................................................... 62 9.10.2 Resolução ................................................................................................................................ 62 9.10.3 Efeitos da resolução ................................................................................................................ 63 9.11 Canais de comunicação oficiais .................................................................................................................. 63 9.12 Revisão da Declaração de Práticas de Certificação ................................................................................... 63 9.12.1 História das revisões ............................................................................................................... 65 9.12.2 Procedimentos de revisão ....................................................................................................... 65 9.12.3 Período e mecanismo de notificação ...................................................................................... 66 9.12.4 Casos nos quais o OID deve mudar ........................................................................................ 66 9.13 Resolução de litígios .................................................................................................................................... 66 9.14 Foro competente .......................................................................................................................................... 66 9.15 Lei aplicável ................................................................................................................................................. 66 9.16 Disposições várias ....................................................................................................................................... 67 9.17 Outras disposições ...................................................................................................................................... 67 Certificado qualificado de pessoa singular com identificadores e chaves semânticas em QSCD ......................... 70 Certificado qualificado de pessoa singular SEM identificadores e chaves semânticas em QSCD emitido pela CA “InfoCert Qualified Electronic Signature CA 3” .......................................................................................... 70 Certificado qualificado de pessoa singular SEM identificadores e chaves semânticas em QSCD emitido pela CA “InfoCert Qualified Electronic Signature CA 3” .......................................................................................... 70 Advertência ............................................................................................................................................................... 73

ÍNDICE DAS FIGURAS

Figura 1 - Localização do Centro de Dados InfoCert e sítio de Recuperação em caso de Desastres .................................................................................................................................................... 39


1 INTRODUÇÃO

1.1 Quadro geral

Um certificado vincula a chave pública a um conjunto de informações que identificam a entidade que possui a chave privada correspondente: tal pessoa singular ou coletiva é o Assinante do certificado. O certificado é utilizado por outras pessoas para obter a chave pública, distribuída com o certificado, e verificar a assinatura eletrónica qualificada aposta ou associada a um documento. O certificado garante a correspondência entre a chave pública e o Assinante. O grau de fiabilidade desta associação depende de vários fatores: o método utilizado pela Autoridade de Certificação para emitir o certificado, as medidas de segurança adotadas, as obrigações assumidas pelo Assinante para a proteção da sua chave privada, as garantias oferecidas. Este documento é a Declaração de Práticas de Certificação (DPC) do Prestador de Serviços de Confiança InfoCert (Trust Service Provider) que, entre os serviços de confiança, fornece também serviços de assinatura eletrónica qualificada, e aplica-se aos processos de emissão de certificados qualificados para os procedimentos de assinatura remota Enterprise: estes certificados qualificados são utilizados no âmbito dos processos de assinatura de documentos eletrónicos em vários contextos de mercado, com a finalidade de simplificar os processos de business, e são utilizáveis tecnicamente apenas no contexto do domínio informático no qual foram emitidos. Por brevidade, na continuação do documento far-se-á referência a tais certificados com o termo LongTerm. O documento regulamenta também os métodos de emissão dos certificados OneShot: trata-se de certificados válidos para um breve período de tempo, cujo par de chaves tem uma utilização restrita exclusivamente à transação de assinatura para a qual foram emitidos e no âmbito de um determinado domínio informático.

O manual contém as políticas e práticas seguidas no processo de identificação e emissão do certificado qualificado, as medidas de segurança adotadas, as obrigações, as garantias e as responsabilidades, e em geral de tudo o que torna um certificado qualificado fiável, em conformidade com as normas em vigor em matéria de serviços de confiança, assinatura eletrónica qualificada e assinatura digital. Mediante a publicação da presente Declaração de Práticas de Certificação (DPC) e inserindo as referências a tal documento nos certificados, permite-se aos utilizadores avaliar as características e a fiabilidade do serviço de certificação e, portanto, do vínculo entre chave e Assinante. O conteúdo baseia-se nas normas em vigor na data de emissão e acolhe as recomendações do documento “Request for Comments: 3647 – Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework” © Internet Society 2003.

1.2 Nome e código de identificação do documento

Este documento é denominado “Prestador de Serviços de Confiança InfoCert – Declaração de


Práticas de Certificação” e é caracterizado pelo código de documento: ICERT-INDI-MO-ENT. A versão e o nível de release estão indicados no fim de todas as páginas.

A versão 3.0 deste documento dá continuidade e substitui as Declarações de Práticas de Certificação anteriores denominadas:

- ICERT-INDI-MO-REMOTE, versão 1.3 de 03/11/2016, para as partes que regulam a emissão de certificados qualificados de assinatura remota LongTerm utilizáveis no âmbito de um domínio informático;

- ICERT-INDI-MO-SHOT, versão 2.2 de 03/11/2016, para as partes que regulam a emissão de certificados qualificados de assinatura remota OneShot

descrevendo num único documento as políticas e procedimentos para a gestão dos certificados qualificados segundo o regulamento EIDAS [1].

Ao documento são associados os Identificadores de Objeto (OID), descritos a seguir, que são referenciados na extensão CertificatePolicy dos certificados, segundo a utilização à qual eles se destinam. O significado dos OIDs é o seguinte:

O identificador de objeto (OID) que identifica InfoCert é 1.3.76.36

Declaração-de-Práticas-de-Certificação-certificado qualificado emitido a pessoa singular para assinatura remota em dispositivo qualificado

1.3.76.36.1.1.35/1.3.76.36.1.1.65 em conformidade com a policy QCP-n-qscd 0.4.0.194112.1.2

Declaração-de-Práticas-de-Certificação-certificado qualificado emitido a pessoa singular para assinatura remota em dispositivo qualificado de tipo one-shot

1.3.76.36.1.1.34/1.3.76.36.1.1.64 em conformidade com a policy QCP-n-qscd 0.4.0.194112.1.2

OIDs adicionais podem estar presentes no certificado para indicar a existência de restrições de uso. Tais OIDs estão indicados no parágrafo 4.5.3. A presença das restrições de uso não modifica de nenhuma forma as regras estabelecidas no resto da Declaração de Práticas de Certificação. Este documento é publicado em formato eletrónico no sítio web do Prestador de Serviços de Confiança, no endereço: http://www.firma.infocert.it, secção “Documentazione” (Documentação).

1.3 Participantes e responsabilidade

1.3.1 Certification Authority – Autoridade de Certificação

A Autoridade de Certificação é a entidade terceira e de confiança que emite os certificados qualificados de assinatura eletrónica qualificada, assinando-os com a sua chave privada, denominada chave de CA ou chave de raiz. InfoCert é a Autoridade de Certificação (CA) que emite, publica no registo e revoga os Certificados Qualificados, atuando em conformidade com as regras técnicas promulgadas pela Autoridade Supervisora e de acordo com o prescrito pelo Regulamento eIDAS [1] e pelo Código da Administração Digital [2].


Os dados completos da organização que exerce a função de CA são os seguintes:

Denominação social InfoCert – Sociedade por ações

Sociedade sujeita à direção e coordenação da Tecnoinvestimenti S.p.A.

Sede legal Piazza Sallustio n.º 9, 00187, Roma (RM)

Sede operativa Via Marco e Marcelliano n.º 45, 00147, Roma (RM)

Representante legal Danilo Cattaneo

Na qualidade de Diretor Geral

Número de telefone 06 836691

Número de Inscrição no Registo das Empresas

Código italiano de pessoa coletiva 07945211006

N.º de registo para os efeitos do IVA

07945211006

Sítio Web https://www.infocert.it

1.3.2 Registration authority – Autoridade de Registo (RA)

As Registration Authorities ou Autoridades de Registo são entidades às quais a CA conferiu um mandato específico com representação mediante o qual confia a realização de uma ou mais atividades próprias do processo de registo, como por exemplo:

▪ a identificação do Assinante ou do Requerente, ▪ o registo dos dados do Assinante, ▪ o encaminhamento dos dados do Assinante aos sistemas da CA, ▪ a receção do pedido de certificado qualificado, ▪ a distribuição e/ou inicialização do dispositivo de geração dos códigos OTP, se previsto pelo

processo e conforme regulado pelo contrato, ▪ a ativação do processo de certificação da chave pública, ▪ o fornecimento de apoio ao Assinante, ao Requerente e à CA nas possíveis etapas de

revogação e suspensão dos certificados. Em termos práticos, a Autoridade de Registo desempenha todas as atividades de interface entre a Autoridade de Certificação e o Assinante ou o Requerente, com base nos acordos entre as partes. O mandato com representação, denominado “Convenção RAO”, regulamenta o tipo de atividades confiadas pela CA à RA e os métodos operacionais de execução delas. As RAs são ativadas pela CA a seguir a um treino adequado do pessoal empregado; a CA verifica se os procedimentos utilizados cumprem o que foi estabelecido nesta DPC.

https://www.infocert.it/


1.3.2.1 Encarregado do Registo (IR)

A RA pode nomear, utilizando formulários específicos, pessoas singulares ou coletivas a quem confiar a realização das atividades de identificação do Assinante. Os Encarregados do Registo atuam com base nas instruções recebidas da RA, à qual fazem referência e que exerce funções de fiscalização da exatidão dos procedimentos adotados.

1.3.3 Assinante

É a pessoa singular titular do certificado qualificado, no interior do qual estão introduzidos os dados de identificação fundamentais. Nalgumas partes deste Documento e nalguns limites de uso pode ser definido também Titular.

1.3.4 Utilizador

É a entidade que recebe um documento eletrónico assinado com o certificado digital do Assinante, e que utiliza a validade do certificado (e/ou na assinatura eletrónica qualificada nele presente) para avaliar a exatidão e a validade do próprio documento, nos contextos em que ele é utilizado.

1.3.5 Requerente

É a pessoa singular ou coletiva que solicita à CA a emissão de certificados digitais para um Assinante, arcando eventualmente com os custos e assumindo a faculdade de suspender ou revogar os referidos certificados. A função, quando presente, também pode ser assumida pela RA. Nomeadamente, identificam-se os seguintes casos:

▪ Pode coincidir com o Assinante se ele for uma pessoa singular; ▪ Pode ser a pessoa coletiva que solicita o certificado para pessoas singulares ligadas a ela

por relações comerciais, ou seja, no âmbito de organizações. A menos que se especifique algo em contrário na documentação contratual, o Requerente coincide com o Assinante.

1.3.6 Autoridade

1.3.6.1 Agência para Itália Digital - AgID

A Agência para Itália Digital (AgID, acrónimo de Agenzia per l'Italia Digitale) é a entidade supervisora que deve supervisionar os prestadores de serviços de confiança, nos termos do artigo 17.º do Regulamento eIDAS. Nesta qualidade, a AgID supervisiona os prestadores qualificados de serviços de confiança estabelecidos no território italiano com a finalidade de garantir que cumpram os requisitos estabelecidos pelo Regulamento.

1.3.6.2 Organismo de avaliação da conformidade - Conformity Assessment Body

O organismo de avaliação da conformidade (CAB, acrónimo de Conformity Assessment Body) é um organismo acreditado de acordo com o previsto pelo Regulamento eIDAS, que é competente para realizar a avaliação da conformidade do prestador qualificado de serviços de confiança e dos serviços de confiança qualificados prestados por ele com as normas e padrões aplicáveis.


1.4 Uso do certificado

1.4.1 Usos permitidos

Os certificados emitidos pela CA InfoCert, segundo as modalidades indicadas na presente Declaração de Práticas de Certificação, são Certificados Qualificados nos termos do Código de Administração Digital (CAD, acrónimo de Codice di Amministrazione Digitale) e do artigo 28.º do Regulamento eIDAS.

O certificado emitido pela CA será usado para verificar a assinatura qualificada do Assinante ao qual o certificado pertence.

A CA InfoCert põe à disposição para a verificação das assinaturas o produto descrito no Appendice C. No mercado, podem estar disponíveis outros produtos de verificação com funções e restrições de acordo com as indicações do fornecedor.

1.4.2 Usos não permitidos

É proibida a utilização do certificado fora dos limites e dos contextos especificados na Declaração de Práticas de Certificação e nos contratos, e de qualquer forma violando os limites de uso e de valor (key usage, extended key usage, user notice) indicados no certificado.

1.5 Administração da Declaração de Práticas de Certificação

1.5.1 Contactos

A InfoCert é responsável pela definição, publicação e atualização deste documento. Perguntas, reclamações, comentários e pedidos de esclarecimento relativamente à presente Declaração de Práticas de Certificação deverão ser encaminhados ao endereço e à pessoa indicados a seguir:

InfoCert S.p.A. Responsável pelo Serviço de Certificação Digital Piazza Luigi da Porto n.º 3 35131 Padova (Italia) Telefone: + 39 06 836691 Fax: + 39 049 0978914 Call Center: 199.500.130 Sítio Web: https://www.firma.infocert.it e-mail: [email protected]

O Assinante ou o Requerente podem solicitar cópia da documentação a eles relativa, preenchendo e enviando o formulário disponível no sítio web www.firma.infocert.it e seguindo o procedimento ali indicado. A documentação será enviada em formato eletrónico ao endereço de correio eletrónico indicado no formulário.

1.5.2 Entidades responsáveis pela aprovação da Declaração de Práticas de

https://www.firma.infocert.it/


Certificação

A presente Declaração de Práticas de Certificação é verificada pelo Responsável pela Segurança e pelas Políticas, pelo Responsável pela Privacidade, pelo Responsável pelo Serviço de Certificação, pelo Departamento Legal e pela Área de Consultoria, e aprovada pela direção da empresa.

1.5.3 Procedimentos de aprovação

A redação e aprovação da DPC segue os procedimentos previstos pelo Sistema de Gestão para a Qualidade da Empresa ISO 9001:2008. Com frequência não superior a um ano, o Prestador de Serviços de Confiança efetua um controlo de conformidade da presente Declaração de Práticas de Certificação com o próprio processo de fornecimento do serviço de certificação.

1.6 Definições e acrónimos

1.6.1 Definições

Indicam-se de seguida as definições utilizadas na redação do presente documento. Para os termos definidos pelo Regulamento eIDAS [1] e pelo CAD [2], remete-se o leitor às definições estabelecidas nos referidos documentos. Onde apropriado, é indicado entre colchetes o termo em inglês correspondente, geralmente utilizado em publicações, normas e documentos técnicos.

Termo Definição

CAB – Conformity Assessment Body (Organismo de avaliação da conformidade)

Organismo acreditado nos termos do Regulamento eIDAS como competente para realizar a avaliação da conformidade do prestador qualificado de serviços de confiança e dos serviços de confiança qualificados prestados por ele. Redige o CAR.

CAR – Conformity Assessment Report (Relatório de avaliação da conformidade)

Relatório mediante o qual o organismo de avaliação da conformidade confirma que o prestador de serviços de confiança qualificados e que os próprios serviços de confiança cumprem os requisitos do Regulamento (cf. eIDAS [1]).

Certificado de assinatura eletrónica Um atestado eletrónico que associa os dados de validação da assinatura eletrónica a uma pessoa singular e confirma, pelo menos, o seu nome ou pseudónimo (cf. eIDAS [1]).

Certificado qualificado de assinatura eletrónica

Um certificado de assinatura eletrónica, que seja emitido por um prestador qualificado de serviços de confiança e satisfaça os requisitos estabelecidos no anexo I do Regulamento eIDAS (cf. eIDAS [1]).

Certificado LongTerm O certificado qualificado de assinatura eletrónica qualificada para procedimento remoto disciplinado na presente Declaração de Práticas de Certificação, utilizável para assinar no âmbito de um domínio informático, durante todo o seu período de validade.


Termo Definição

Certificado OneShot Entende-se o certificado qualificado de assinatura eletrónica qualificada para procedimento remoto disciplinado na presente Declaração de Práticas de Certificação cujas chaves, uma vez geradas, ficam disponíveis apenas no âmbito de um domínio informático e exclusivamente para a transação de assinatura para a qual foi emitido. Imediatamente após a sua utilização, a chave privada é destruída (conhecido também como certificado on-the-fly).

Chave de certificação ou chave de raiz Par de chaves de encriptação utilizadas pela CA para assinar os certificados e listas dos certificados revogados ou suspendidos.

Chave privada O elemento do par de chaves assimétricas, utilizado pelo Assinante, mediante o qual se apõe a assinatura eletrónica qualificada no documento eletrónico (cf. CAD [2]).

Chave pública O elemento do par de chaves assimétricas destinado a ser tornado público, com o qual se verifica a assinatura eletrónica qualificada aposta no documento eletrónico pelo Assinante (cf. CAD [2]).

Código de emergência (ERC) Código de segurança entregue ao Assinante para encaminhar o pedido de suspensão de um certificado nos portais do prestador de serviços de confiança (TSP).

Validação O processo pelo qual é verificada e confirmada a validade de uma assinatura eletrónica (cf. eIDAS [1]).

Dados de validação Dados que são utilizados para validar uma assinatura eletrónica (cf. eIDAS [1]).

Dados de identificação pessoal Um conjunto de dados que permitam determinar a identidade de uma pessoa singular ou coletiva ou de uma pessoa singular que represente uma pessoa coletiva (cf. eIDAS [1]).

Dados para a criação de uma assinatura eletrónica

O conjunto único de dados que é utilizado para criar uma assinatura eletrónica (cf. eIDAS [1]).

Dispositivo de criação de assinaturas eletrónicas

Software ou hardware configurados, utilizados para criar assinaturas eletrónicas (cf. eIDAS [1]).

Dispositivo de criação de assinaturas eletrónicas qualificadas (SSCD – secure system creation device ou QSCD)

O dispositivo de criação de assinaturas eletrónicas que cumpra os requisitos estabelecidos no anexo II do Regulamento eIDAS (cf. eIDAS [1]). A letra Q inicial indica que o dispositivo é qualificado.

Documento eletrónico Qualquer conteúdo armazenado em formato eletrónico, nomeadamente texto ou gravação sonora, visual ou audiovisual (cf. eIDAS [1]).

Domínio informático Identifica-se com as páginas web relativas às aplicações por intermédio das quais o certificado qualificado é emitido ao Assinante e no interior das quais o Assinante pode utilizar o certificado para a assinatura de documentos eletrónicos. As páginas web podem ser geridas diretamente pelo Certificador ou então pelo Requerente e podem conter também disposições especiais adicionais em função do procedimento de identificação adotado para a emissão do certificado qualificado.

Assinatura automática Um procedimento informático especial de assinatura eletrónica efetuado sob prévia autorização do signatário que mantém o controlo exclusivo das suas chaves de assinatura, na ausência de vigilância pontual e contínua por parte dele.


Termo Definição

Assinatura digital (digital signature) Um tipo especial de assinatura eletrónica avançada que se baseia num certificado qualificado e num sistema de chaves de encriptação, uma pública e uma privada, correlacionadas entre si, que permite ao Assinante, mediante a chave privada, e ao destinatário, mediante a chave pública, respetivamente, tornar conhecida e verificar a origem e integridade de um documento eletrónico ou de um conjunto de documentos eletrónicos (cf. CAD [2]).

Assinatura eletrónica Dados em formato eletrónico que se ligam ou estão logicamente associados a outros dados em formato eletrónico e que sejam utilizados pelo signatário para assinar (cf. eIDAS [1]).

Assinatura eletrónica avançada Uma assinatura eletrónica que obedeça aos requisitos estabelecidos no artigo 26.º do Regulamento eIDAS (cf. eIDAS [1]).

Assinatura eletrónica qualificada Uma assinatura eletrónica avançada criada por um dispositivo qualificado de criação de assinaturas eletrónicas e que se baseie num certificado qualificado de assinatura eletrónica (cf. eIDAS [1]).

Assinatura remota Procedimento especial de assinatura eletrónica qualificada ou de assinatura digital, gerada em HSM, que permite garantir o controlo exclusivo das chaves privadas por parte dos titulares delas (cf. Decreto do Presidente do Conselho dos Ministros italiano DPCM [5]).

Signatário A pessoa singular que cria uma assinatura eletrónica (cf. eIDAS [1]).

Registo de auditoria O registo de auditoria consiste no conjunto de registos, efetuados automática ou manualmente, dos eventos previstos pelas Regras Técnicas [5].

Identificação eletrónica O processo de utilização dos dados de identificação pessoal em formato eletrónico que representam de modo único uma pessoa singular ou coletiva ou uma pessoa singular que represente uma pessoa coletiva (cf. eIDAS [1]).

Lista de certificados revogados ou suspensos [Certificate Revocation List - CRL]

É uma lista de certificados que foram tornados “não válidos” antes do vencimento natural deles. A operação é denominada revogação se for definitiva ou suspensão se for temporária. Quando um certificado é revogado ou suspenso, o seu número de série é adicionado à CRL, que é então publicada no registo público.

Declaração de Práticas de Certificação [Certificate practice statement]

A Declaração de Práticas de Certificação define os procedimentos que a CA aplica para a realização do serviço. Para a redação da DPC foram respeitadas as indicações expressas pela Autoridade supervisora e as indicações da literatura internacional.

Meios de identificação eletrónica Uma unidade material e/ou imaterial que contenha os dados de identificação pessoal e que seja utilizada para autenticação de um serviço em linha (cf. eIDAS [1]).

Online Certificate Status Protocol (OCSP) Protocolo definido pelo IETF no RFC 6960, permite às aplicações verificar a validade do certificado de maneira mais rápida e pontual relativamente à CRL, da qual partilha os dados.

OTP - One Time Password: Uma One-Time Password (senha utilizada apenas uma vez) é uma senha que é válida para apenas uma transação. A OTP é gerada e disponibilizada ao Assinante num momento imediatamente antecedente à aposição da assinatura eletrónica qualificada. Pode se basear em dispositivos hardware ou em procedimentos software.

Utilizador Uma pessoa singular ou coletiva que utiliza a identificação eletrónica ou o serviço de confiança (cf. eIDAS [1]).


Termo Definição

Prestador de serviços de confiança A pessoa singular ou coletiva que preste um ou mais do que um serviço de confiança quer como prestador qualificado quer como prestador não qualificado de serviços de confiança (cf. eIDAS [1]).

Prestador qualificado de serviços de confiança

O prestador de serviços de confiança que preste um ou mais do que um serviço de confiança qualificado e ao qual é concedido o estatuto de qualificado pela entidade supervisora (cf. eIDAS [1]).

Produto Hardware ou software, ou componentes pertinentes de hardware ou software, que se destinem a ser utilizados para a prestação de serviços de confiança (cf. eIDAS [1]).

Oficial público Entidade que, no âmbito das atividades exercidas, está habilitada a atestar, com base na lei de referência, a identidade de pessoas singulares.

Registo público [Directory] O Registo público é um arquivo que contém:

▪ todos os certificados emitidos pela CA cuja publicação tenha sido solicitada pelo Assinante;

▪ a lista de certificados revogados e suspensos (CRL).

Revogação ou suspensão de um certificado

É a operação com a qual a CA anula a validade do certificado antes do seu vencimento natural.

Serviço de confiança Um serviço eletrónico geralmente prestado mediante remuneração, que consiste:

a) na criação, verificação e validação de assinaturas eletrónicas, selos eletrónicos ou selos temporais, serviços de envio registado eletrónico e certificados relacionados com estes serviços; ou

b) na criação, verificação e validação de certificados para a autenticação de sítios web; ou

c) na preservação das assinaturas, selos ou certificados eletrónicos relacionados com esses serviços (cf. eIDAS [1]).

Serviço de confiança qualificado Um serviço de confiança que satisfaça os requisitos aplicáveis estabelecidos no Regulamento (cf. eIDAS [1]).

Estado-Membro Estado-Membro da União Europeia

Hora Universal Coordenada [Coordinated Universal Time]

Escala de tempos com precisão do segundo conforme definido em ITU-R Recommendation TF.460-5.

Selos temporais Os dados em formato eletrónico que vinculam outros dados em formato eletrónico a uma hora e data específicas, criando uma prova de que esses outros dados existiam naquele momento (cf. eIDAS [1]).

Selos temporais qualificados Um selo temporal que satisfaça os requisitos estabelecidos no artigo 42.º do Regulamento eIDAS (cf. eIDAS [1]).

WebCam Videocâmara de dimensões reduzidas, destinada a transmitir imagens em streaming por via Internet e capturar imagens fotográficas. Ligada a um PC ou integrada em dispositivos móveis, é utilizada para videochats ou para videoconferências.

1.6.2 Acrónimos e abreviações

Acrónimo


Acrónimo

AgID Agenzia per l'Italia Digitale – Agência para Itália Digital: Autoridade Supervisora que deve supervisionar os Prestadores de Serviços de Confiança

CA Certification Authority

CAB Conformity Assessment Body – Organismo de avaliação da conformidade

CAD Codice dell’Amministrazione Digitale – Código da Administração Digital italiano

CAR Conformity Assessment Report – Relatório de avaliação da conformidade

CC Common Criteria

CIE Carta di Identità Elettronica – Bilhete de identidade eletrónico italiano

CMS Card Management System

CNS – TS-CNS Carta Nazionale dei Servizi – Cartão nacional de serviços italiano

Cartão Sanitário – Carta Nazionale dei Servizi

CRL Certificate Revocation List

DMZ Demilitarized Zone

DN Distinguish Name

EAL Evaluation Assurance Level

eID Electronic Identity

eIDAS Electronic Identification and Signature Regulation

ERC Emergency Request Code

ETSI European Telecommunications Standards Institute;

FIPS Federal Information Processing Standard

HSM Hardware Secure Module: é um dispositivo seguro para a criação da assinatura, com funções análogas àquelas dos cartões inteligentes, porém com características superiores de memória e desempenho;

http HyperText Transfer Protocol

IETF Internet Engineering Task Force

IR Incaricato alla Registrazione – Encarregado do Registo

ISO International Organization for Standardization: fundada no ano de 1946, a ISO é uma organização internacional constituída por organismos nacionais para a padronização

ITU International Telecommunication Union: fundada no ano de 1865, é a organização internacional que se encarrega de definir os padrões nas telecomunicações


Acrónimo

IUT Identificação Unívoca do Titular: é um código associado ao Assinante que o identifica inequivocamente junto da CA; o Assinante tem códigos diferentes para cada certificado do qual é titular

LDAP Lightweight Directory Access Protocol: protocolo utilizado para aceder ao registo dos certificados

LoA Level of Assurance

NTR Code National Trade Register Code

OID Object Identifier: é constituído por uma sequência de números, registada segundo o procedimento indicado na norma ISO/IEC 6523, que identifica um determinado objeto no interior de uma hierarquia

OTP OneTime Password

PEC Posta Elettronica Certificata – Correio Eletrónico Certificado

PIN Personal Identification Number: código associado a um dispositivo seguro de assinatura, utilizado pelo Assinante para aceder às funções do próprio dispositivo

PKCS Public-Key Cryptography Standards

PKI Public Key Infrastructure (infraestrutura de chave pública): conjunto de recursos, processos e meios tecnológicos que permitem a terceiros de confiança verificar e/ou avalizar a identidade de um assinante, como também associar uma chave pública a um assinante

RA Registration Authority – Autoridade de Registo

RFC Request for Comment: documento que contém informações ou especificações referentes a novas investigações, inovações e metodologias no âmbito informático, apresentado à comunidade pelos redatores para avaliação

RSA Deriva das iniciais dos inventores do algoritmo: River, Shamir, Adleman

SGSI Sistema de Gestão de Segurança da Informação

SPID Sistema Pubblico di Identità Digitale – Sistema Público de Identidade Digital

SSCD - QSSCD Secure Signature Creation Device: dispositivo de criação de assinaturas eletrónicas

Qualified Secure Signature Creation Device: dispositivo qualificado de criação de assinaturas eletrónicas

TIN Tax Identification Number

URL Uniform Resource Locator

VAT Code Value Added Tax Code

X.500 Padrão ITU-T para os serviços LDAP e diretórios

X.509 Padrão ITU-T para as PKIs


2 PUBLICAÇÃO E ARQUIVAMENTO

2.1 Arquivamento

Os certificados publicados, as CRLs e as DPCs são publicados e ficam disponíveis 24 por dia, 7 dias por semana.

2.2 Publicação das informações sobre a certificação

2.2.1 Publicação da Declaração de Práticas de Certificação

A presente Declaração de Práticas de Certificação, a lista dos certificados das chaves de certificação e as outras informações relativas à CA previstas pela lei são publicadas na lista dos certificadores (no link https://eidas.agid.gov.it/TL/TSL-IT.xml) e no sítio web da Autoridade de Certificação (cf. parágrafo 1.5.1).

2.2.2 Publicação dos certificados

Não está prevista a possibilidade de tornar públicos os certificados emitidos no âmbito da presente Declaração de Práticas de Certificação.

2.2.3 Publicação das listas de revogação e suspensão

As listas de revogação e suspensão são publicadas no registo público dos certificados acessível mediante protocolo LDAP no endereço: ldap://ldap.infocert.it ou mediante protocolo http no endereço http://crl.infocert.it. O referido acesso pode ser efetuado mediante os softwares colocados à disposição pela CA e/ou as funcionalidades presentes nos produtos disponíveis no mercado, que interpretam os protocolos LDAP e/ou HTTP.

A CA poderá disponibilizar outros métodos além daquele indicado para consultar a lista dos certificados publicados e a respetiva validade.

2.3 Período ou frequência de publicação

2.3.1 Frequência de publicação da Declaração de Práticas de Certificação

A DPC é publicada com frequência variável se for submetida a alterações. Se as alterações forem significativas, a CA deverá submeter-se à auditoria de um CAB acreditado, apresentar o relatório de certificação (CAR – Conformity Assessment Report) e a DPC à Autoridade Supervisora (AgID) e aguardar a autorização para a publicação.

https://eidas.agid.gov.it/TL/TSL-IT.xml


2.3.2 Frequência de publicação das listas de revogação e suspensão

As CRLs são publicadas de hora em hora.

2.4 Controlo dos acessos aos arquivos públicos

As informações relativas aos certificados publicados, às CRLs e às DPCs são públicas, a CA não colocou restrições ao acesso em leitura e adotou todas as medidas aptas a impedir modificações/eliminações não autorizadas.


3 IDENTIFICAÇÃO E AUTENTICAÇÃO

3.1 Denominação

3.1.1 Tipos de nomes

O assinante no certificado é identificado com o atributo Distinguished Name (DN) que, portanto, deve ser preenchido e estar em conformidade com o padrão X.500. Os certificados são emitidos segundo as normas do ETSI para a emissão dos certificados qualificados e de acordo com as indicações presentes no Decreto do Presidente do Conselho dos Ministros italiano (DPCM) [5].

3.1.2 Necessidade que o nome tenha um significado

O atributo do certificado Distinguished Name (DN) identifica inequivocamente o assinante para o qual o certificado foi emitido.

3.1.3 Anonimato e pseudonímia dos requerentes

O Assinante não tem a faculdade de solicitar à CA que o certificado contenha um pseudónimo no lugar dos seus dados reais.

3.1.4 Regras de interpretação dos tipos de nomes

A InfoCert respeita o padrão X.500.

3.1.5 Univocidade dos nomes

Para garantir a univocidade do Assinante, no certificado deve ser indicado o nome, apelido e um código de identificação unívoco, ou seja, o TIN – Tax Identification Number. O TIN pode ter sido atribuído pelas autoridades competentes do País de nacionalidade do Assinante ou então do País em que se encontra a sede da organização na qual ele trabalha. Para os italianos, o código de identificação unívoco é o Codice Fiscale, equivalente ao Número de Contribuinte ou NIF (Número de Identificação Fiscal). Na falta do TIN ou do código de identificação fiscal italiano (Codice Fiscale), no certificado poderá ser introduzido um código de identificação obtido de um documento de identidade válido, utilizado no âmbito dos procedimentos de reconhecimento.

3.1.6 Reconhecimento, autenticação e funções das marcas registadas

O Assinante e o Requerente, quando pedem um certificado à CA, garantem que operam respeitando as normas nacionais e internacionais referentes à propriedade intelectual.

A CA não efetua verificações relativas à utilização de marcas, e pode recusar a geração ou pode


pedir a revogação de um certificado envolvido numa disputa.

3.2 Validação inicial da identidade

Este capítulo descreve os procedimentos utilizados para identificar o Assinante ou o Requerente na altura do pedido de emissão do certificado qualificado.

O procedimento de identificação acarreta a necessidade de o Assinante ser reconhecido pela CA, também através da RA ou de um seu encarregado, que irá verificar a respetiva identidade mediante uma das modalidades definidas na Declaração de Práticas de Certificação.

3.2.1 Método de comprovação da posse de chave privada

A InfoCert estabelece que o requerente possui ou tem o controlo da chave privada correspondente à chave pública por certificar, verificando a assinatura do pedido de certificado mediante a chave privada correspondente à chave pública por certificar.

3.2.2 Autenticação da identidade de uma organização

N/A

3.2.3 Identificação da pessoa singular

Ressalvada a responsabilidade da CA, a identidade do Assinante pode ser averiguada pelas entidades habilitadas a executar o reconhecimento, mediante as seguintes modalidades:

Modalidades Entidades habilitadas a efetuar a identificação

Instrumentos de autenticação de apoio à fase de identificação

1 LiveID • Certification Authority (CA)

• Registration Authority (RA)

• Encarregado do Registo

• Oficial Público

• Entidade patronal para a identificação dos seus funcionários, colaboradores, agentes

N/A

2 AMLID • Entidades destinatárias das obrigações de prevenção do branqueamento de capitais nos termos das normas que transpõem a Diretiva 2005/60/CE do Parlamento Europeu e do Conselho relativa à prevenção da utilização do sistema financeiro para efeitos de branqueamento de capitais e de financiamento do terrorismo, e das normas comunitárias seguintes de execução

N/A


Modalidades Entidades habilitadas a efetuar a identificação

Instrumentos de autenticação de apoio à fase de identificação

3 SignID • Certification Authority (CA)



Utilização de uma assinatura eletrónica qualificada emitida por um prestador qualificado de serviços de confiança.

4 AutID • Certification Authority (CA)



• Utilização de um meio de identificação eletrónica pré-existente

• Identificação mediante as credenciais de autenticação forte concedidas para a emissão de um certificado OneShot anterior1.

• Utilização de uma identidade proveniente de outros sistemas de identificação informática considerados em conformidade com os requisitos do SPID, no âmbito de processos de recuperação de identidade pregressas

5 VideoID • Certification Authority (CA)



N/A

3.2.3.1 Reconhecimento efetuado segundo a modalidade 1 - LiveID

A modalidade de identificação LiveID prevê um encontro pessoal entre o Assinante maior de idade e uma das entidades habilitadas a executar o reconhecimento. O Assinante exibe ao encarregado da CA, que recebeu formação específica, um ou mais documentos de identificação, em original e válidos, incluídos na lista dos documentos aceites publicada no sítio web da CA2. Para garantir a univocidade do Assinante e do respetivo nome, este último deve possuir também o código de identificação unívoco referido no parágrafo Errore. L'origine riferimento non è stata trovata.. A entidade habilitada a efetuar o reconhecimento pode solicitar a exibição de documentos que comprovem a titularidade do referido código de identificação unívoco. As Registration Authorities que atuam no exterior ou que, de qualquer maneira, identificam Assinantes residentes no exterior, podem ser autorizadas pela InfoCert a aceitar documentos de identidade emitidos por autoridades de Países pertencentes à União Europeia, incluídos na lista dos documentos aceites publicada no sítio web da CA. A identificação pode ser efetuada também por um Oficial Público com base no disposto pelas normas que disciplinam as respetivas atividades. O Assinante preenche o pedido de Certificação e assina-o na presença de um Oficial Público, fazendo autenticar a sua assinatura nos termos das normas em vigor. O pedido é então apresentado à CA junto de uma das Autoridades de Registo convencionadas.

1 Modalidade aplicável unicamente para a emissão de certificados OneShot.

2 A lista dos documentos de reconhecimento aceites é redigida pela CA prévia análise dos documentos e das respetivas características objetivas de certeza da identidade e segurança no processo de emissão por parte das Autoridades Emissoras. A lista é notificada à AgID e atualizada sempre que for modificada.


A identificação já efetuada pela entidade patronal, para os efeitos da estipulação do contrato de trabalho, é considerada válida pela CA em conformidade com a seguinte modalidade de reconhecimento, prévia verificação dos procedimentos operativos de identificação e autenticação. Analogamente, é considerada válida, em conformidade com a seguinte modalidade de reconhecimento, a identificação efetuada pela entidade patronal no âmbito da ativação de relações de agência, prévia verificação dos procedimentos operativos de identificação e autenticação. Esta modalidade de identificação prevê que a CA outorgue um mandato de representação à entidade patronal, que atua assim como RA3. Os Certificados emitidos segundo a referida modalidade de identificação podem ser utilizados apenas para as finalidades de trabalho para as quais foram concedidos, e contêm um limite de uso específico. Os dados de registo para a modalidade de identificação LiveID são arquivados pela CA em formato analógico ou em formato eletrónico.

3.2.3.2 Reconhecimento efetuado segundo a modalidade 2 - AMLID

Na modalidade 2 - AMLID a CA serve-se da identificação efetuada por uma das entidades destinatárias das obrigações de Identificação e Adequada Verificação, nos termos das normas em vigor nos vários momentos, que transpõem a Diretiva 2005/60/CE do Parlamento Europeu e do Conselho relativa à prevenção da utilização do sistema financeiro para efeitos de branqueamento de capitais e de financiamento do terrorismo, e das demais normas comunitárias seguintes de atualização e execução. Com referência específica ao contexto italiano, os dados utilizados para o reconhecimento são fornecidos pelo Assinante nos termos do Decreto Legislativo da República Italiana D.Lgs. 231/2007 e sucessivos aditamentos e alterações, segundo o qual os clientes são obrigados a fornecer, sob a sua responsabilidade, todas as informações necessárias para permitir às Entidades destinatárias das Obrigações cumprir as obrigações de identificação dos clientes. Esta modalidade de identificação prevê que a CA outorgue um mandato de representação à entidade destinatária das obrigações, que atua assim como RA. Os dados de identificação do Assinante recolhidos na altura do reconhecimento são arquivados pela CA normalmente no formato eletrónico e também podem ser conservados no formato analógico.

3.2.3.3 Reconhecimento efetuado segundo a modalidade 3 - SignID

Na modalidade 3 SignID a CA InfoCert baseia-se no reconhecimento já efetuado por uma outra CA que emite certificados qualificados. O Assinante já possui um certificado qualificado ainda válido, que apresenta à InfoCert. Neste caso, os dados de registo são arquivados exclusivamente no formato eletrónico.

3.2.3.4 Reconhecimento efetuado segundo a modalidade 4 - AUTID

Na modalidade 4 AutID a CA baseia-se num meio de identificação eletrónica pré-existente:

• Notificado pelo Estado-Membro nos termos do Regulamento eIDAS, de nível elevado

• Notificado pelo Estado-Membro nos termos do artigo 24.º do Regulamento eIDAS, de nível

3 Antes da outorga do mandato, a CA realiza uma avaliação atenta da segurança dos procedimentos de identificação do funcionário e dos métodos de atribuição e gestão dos instrumentos de identificação pessoal nos sistemas informáticos aos quais o funcionário (ou agente, ou funcionário reformado) acede para pedir à CA o certificado de assinatura eletrónica qualificada. Tais casos serão comunicados à Autoridade Supervisora.


significativo, desde que forneça uma garantia, sob o perfil da fiabilidade, equivalente à presença física

• Não notificado, porém emitido por autoridades públicas e válido legalmente, desde que forneça uma garantia equivalente à presença física sob o perfil da fiabilidade e que esta seja confirmada por um organismo de avaliação da conformidade

• Não notificado e emitido por uma entidade pública ou privada, desde que forneça uma garantia equivalente à presença física sob o perfil da fiabilidade e que esta seja confirmada por um organismo de avaliação da conformidade

Os meios de identificação eletrónica utilizáveis pela CA e pelas RAs estão indicados na lista publicada no sítio web da CA e notificada à AgID. Com referência específica ao contexto italiano, são considerados meios de identificação eletrónica o cartão CNS (Carta Nazionale dei Servizi) ou o cartão TS-CNS (Tessera Sanitaria – Carta Nazionale dei Servizi), a CIE (Carta di Identità Elettronica) e as identidades emitidas no contexto do sistema SPID (Sistema Pubblico di Identità Digitale). Apenas para a emissão de certificados OneShot, a InfoCert pode basear-se no reconhecimento já efetuado aquando da emissão de um primeiro certificado OneShot. O Assinante, que já possua as credenciais de autenticação forte fornecidas pela CA aquando da primeira emissão, autentica-se no portal da CA ou da RA e solicita a emissão de um novo certificado, confirmando ou atualizando os dados de registo. Considera-se coerente com a presente modalidade de identificação a utilização de uma identidade proveniente de outros sistemas de identificação informática considerados conformes aos requisitos do SPID, cuja utilização para os efeitos da obtenção de uma identidade SPID tenha sido previamente autorizada pela AgID segundo os procedimentos previstos. Nestes casos, os dados de registo são arquivados exclusivamente no formato eletrónico.

3.2.3.5 Reconhecimento efetuado segundo a modalidade 5 - VideoID

Na modalidade 5 VideoID exige-se que o Assinante possua um dispositivo capaz de se ligar à Internet (PC, smartphone, tablet, etc.), uma webcam e um sistema áudio eficiente. O Encarregado do Registo, adequadamente formado, verifica a identidade do Assinante mediante a comparação com um ou mais documentos de reconhecimento válidos, desde que providos de fotografia recente e reconhecível e indicados na lista dos documentos aceites publicada no sítio web da CA4. As RAs que atuam no exterior ou que, de qualquer maneira, identificam Assinantes residentes no exterior, podem ser autorizadas pela InfoCert a aceitar documentos de identidade emitidos por autoridades de Países pertencentes à União Europeia, prévia análise dos documentos e das

4 A lista dos documentos de reconhecimento aceites é redigida pela CA prévia análise dos documentos e das respetivas características objetivas de certeza da identidade e segurança no processo de emissão por parte das Autoridades Emissoras. A lista é notificada à AgID e atualizada sempre que for modificada. Por razões de segurança e procedimentos antifraude, o tipo de documentos aceites por esta modalidade é restrito aos documentos de identidade mais difusos.


respetivas características objetivas de certeza da identidade e segurança no processo de emissão por parte das Autoridades Emissoras, como também formação específica5. É faculdade do Requerente, da RA ou do Encarregado do Registo excluir a admissibilidade do documento utilizado pelo Assinante se for considerado carente das características indicadas. Os dados de registo, constituídos por ficheiro áudio-vídeo e metadados estruturados em formato eletrónico, são arquivados de forma protegida.

3.2.4 Identificação da pessoa coletiva

N/A

3.2.5 Informações sobre o Assinante ou Requerente não verificadas

N/A

3.2.6 Validação da autoridade

A CA ou então a RA verificam as informações necessárias, definidas nos parágrafos 3.2.3 e 3.2.4, para a identificação e validam o pedido.

3.3 Identificação e autenticação para a renovação de chaves e certificados

3.3.1 Identificação e autenticação para a renovação de chaves e certificados

O certificado contém no seu interior a indicação do período de validade no campo "validade" (validity) com os atributos "válido a partir de" (not before) e “válido até” (not after). Fora deste intervalo de datas, incluindo as horas, minutos e segundos, o certificado deve ser considerado não válido. Não é possível executar a renovação do certificado.

3.4 Identificação e autenticação para os pedidos de revogação ou suspensão

A revogação ou suspensão do certificado pode acontecer a pedido do Assinante ou do Requerente ou então por iniciativa da CA.

3.4.1 Pedido por parte do Assinante

O Assinante pode pedir a revogação ou suspensão do certificado preenchendo e assinando, também digitalmente, o formulário presente no sítio web da CA.

O pedido de suspensão pode ser efetuado mediante um formulário Internet, e neste caso o Assinante autentica-se fornecendo o código de emergência entregue aquando da emissão do certificado, ou com um outro sistema de autenticação descrito na documentação contratual entregue no momento do registo.

Se o pedido for feito à Autoridade de Registo, a autenticação do Assinante é feita por intermédio das modalidades previstas para a identificação.

5 Tais casos serão comunicados à Autoridade Supervisora.


3.4.2 Pedido por parte do Requerente

O Requerente que pede a revogação ou suspensão do certificado do Assinante autentica-se nos portais disponibilizados pela CA, também mediante serviços aplicativos, e atua segundo as modalidades descritas na documentação contratual.


4 REQUISITOS OPERACIONAIS

4.1 Pedido de certificado

4.1.1 Quem pode pedir um certificado

O certificado qualificado para uma pessoa singular pode ser pedido:

▪ Pelo Assinante o contactando diretamente a CA no sítio web www.firma.infocert.it, ou então o contactando uma Autoridade de Registo

▪ Pelo Requerente por conta do Assinante o contactando diretamente a CA mediante o sítio web www.firma.infocert.it ou

estipulando um acordo comercial com a CA o contactando uma Autoridade de Registo o subscrevendo o mandato com representação com a CA e tornando-se Autoridade

de Registo

4.1.2 Processo de registo e responsabilidades

O processo de registo inclui: o pedido feito pelo Assinante/Requerente, a criação do par de chaves, o pedido de certificação da chave pública e a assinatura dos contratos, não necessariamente nesta ordem. No processo, os vários atores têm responsabilidades diferentes e concorrem conjuntamente para o bom êxito da emissão:

• o Assinante tem a responsabilidade de fornecer informações corretas e verdadeiras sobre a sua identidade, ler atentamente o material colocado à disposição pela CA, também através da RA, seguir as instruções da CA e/ou da RA ao apresentar o pedido de certificado qualificado;

• o Requerente, se presente, tem a responsabilidade de informar o Assinante, por conta do qual está a pedir o certificado, acerca das obrigações derivantes do certificado, fornecer informações corretas e verdadeiras sobre a identidade do Assinante, seguir os processos e indicações da CA e/ou da RA;

• a Autoridade de Registo, quando presente e também por intermédio do Encarregado do Registo, tem a responsabilidade de identificar com certeza o Assinante e o Requerente, informar as várias partes envolvidas sobre as obrigações derivantes do certificado e seguir detalhadamente os processos definidos pela CA;

• a Autoridade de Certificação é a última responsável pela identificação do Assinante e pelo bom êxito do processo de inscrição do certificado qualificado.

http://www.firma.infocert.it/

http://www.firma.infocert.it/


4.2 Processamento do pedido

Para obter um certificado de assinatura, o Assinante e/ou o Requerente devem: ▪ ler a documentação contratual e qualquer outra documentação de informação

suplementar; ▪ seguir os procedimentos de identificação adotados pela Autoridade de Certificação,

conforme descritos no parágrafo 3.2.3; ▪ fornecer todas as informações necessárias para a identificação, acompanhadas, quando

solicitado, de documentação idónea; ▪ assinar o pedido de registo e certificação aceitando as condições contratuais que

disciplinam o fornecimento do serviço, nos formulários analógicos ou eletrónicos preparados pela CA.

4.2.1 Informações que o Assinante deve fornecer

Para o pedido de um certificado qualificado de assinatura, o Assinante ou o Requerente que pede o certificado da pessoa singular deve fornecer obrigatoriamente as seguintes informações:

▪ Apelido e Nome; ▪ Data e local de nascimento; ▪ Código TIN (código de identificação fiscal italiano no contexto italiano) ou, na falta dele,

código de identificação análogo, tal como o número do documento de identidade; ▪ Dados do documento de identificação apresentado para a identificação, tais como tipo,

número, entidade emissora e data de emissão do documento; ▪ Pelo menos um dado de contacto para o envio das comunicações por parte da CA ao

Assinante, entre o Endereço de residência; o Endereço de correio eletrónico;

▪ número de telefonia móvel para a transmissão da OTP se tal tecnologia for adotada.

4.2.2 Execução das funções de identificação e autenticação

Durante a etapa de registo inicial e recolha do pedido de registo e certificação são entregues ao Assinante os códigos de segurança que lhe permitem proceder à ativação do procedimento de assinatura e/ou ao eventual pedido de suspensão do certificado (código ERC ou código análogo, se for previsto pelo contrato). Os códigos de segurança são entregues em envelope de segurança, transmitidos no interior de ficheiros cifrados se forem eletrónicos, ou então, nalguns casos, coincidem com os códigos que o Assinante já possui. A CA pode prever que o PIN de assinatura seja escolhido autonomamente pelo Assinante: nestes casos, é responsabilidade do Assinante lembrar o PIN. A CA pode prever também que o certificado possa ser utilizado mediante um sistema de autenticação fornecido pela RA, que tenha um nível de segurança pelo menos significativo ou fornecido, prévia análise das características do próprio sistema, no âmbito do perímetro de certificação do dispositivo seguro de assinatura.


4.2.3 Aprovação ou rejeição do pedido de certificado

Após o registo inicial, a CA ou a RA podem recusar-se de levar a cabo a emissão do certificado de assinatura se faltarem informações ou se elas forem incompletas, em caso de verificações de coerência e consistência das informações fornecidas, de verificações antifraude, se houver dúvidas quanto à identidade do Assinante ou do Requerente, etc.

4.2.4 Tempo máximo para o processamento do pedido de certificado

O tempo que transcorre entre o momento do pedido de registo e o momento da emissão do certificado depende da modalidade de pedido escolhida pelo Assinante (ou Requerente) e da necessidade, se houver, de recolher informações adicionais.

4.3 Emissão do certificado

4.3.1 Ações da CA durante a emissão do certificado

4.3.1.1 Emissão do certificado em dispositivo de assinatura remota (HSM)

O Assinante ou Requerente acedem em modo seguro aos serviços ou às aplicações colocadas à disposição da RA pela CA.

A RA envia à Autoridade de Certificação o pedido de certificação da chave pública em formato PKCS#10, que é assinado digitalmente com o certificado qualificado de assinatura para procedimento automático autorizado especificamente para tal finalidade.

A Autoridade de Certificação, uma vez verificadas a validade da assinatura no PKCS#10 e a titularidade da entidade encarregada de encaminhar o pedido, procede à criação do certificado qualificado, que é memorizado no próprio HSM.

4.3.2 Notificação aos requerentes de que o certificado foi emitido

A CA notifica ao Requerente, mediante um procedimento automatizado, que o certificado do Assinante foi emitido. O Requerente encarrega-se de informar o Assinante segundo as formas e modos previstos pelo contrato. Se for prevista a notificação por parte da CA ao Assinante, a informação pode ser partilhada também com o Requerente.

4.3.3 Ativação

O certificado é emitido já ativo e utilizável.

4.4 Aceitação do certificado

4.4.1 Comportamentos concludentes de aceitação do certificado

N/A


4.4.2 Publicação do certificado pela Autoridade de Certificação

Com o bom êxito do procedimento de certificação, o certificado será introduzido no registo de referência dos certificados e não será tornado público.

4.4.3 Notificação a outras entidades de que o certificado foi publicado

N/A

4.5 Utilização do par de chaves e do certificado

4.5.1 Utilização da chave privada e do certificado pelo Assinante

O Assinante deve conservar de maneira segura os instrumentos e/ou os códigos de autenticação

para a assinatura remota; deve guardar as informações de habilitação ao uso da chave privada

separadamente dos instrumentos ou códigos de autenticação. Deve garantir a proteção da

confidencialidade e a conservação do código de emergência necessário para a suspensão do

certificado, se presente, deve utilizar o certificado no âmbito do domínio informático definido pelo

contrato e unicamente para as modalidades previstas pela Declaração de Práticas de Certificação e

pelas leis nacionais e internacionais em vigor.

Não deve apor assinaturas eletrónicas servindo-se de chaves privadas para as quais o certificado

tenha sido revogado ou suspenso e não deve apor assinaturas eletrónicas servindo-se de

certificado emitido por CA revogada.

4.5.2 Utilização da chave pública e do certificado pelos Utilizadores Finais

O Utilizador Final deve conhecer o âmbito de utilização do certificado indicado na Declaração de

Práticas de Certificação e no próprio certificado. Deve verificar a validade do certificado antes de

usar a chave pública nele contida e deve se assegurar de que o certificado não resulte suspenso ou

revogado controlando as listas correspondentes no registo dos certificados; deve ainda verificar a

existência e o conteúdo de possíveis limites de utilização do par de chaves.

4.5.3 Limites de utilização e de valor

Os certificados qualificados de assinatura para procedimento automático contêm os limites de utilização previstos pela Autoridade Supervisora, como outras Políticas de Certificação, identificados pelos seguintes OID:

1.3.76.36.1.1.23 Os titulares utilizam o certificado apenas para as finalidades de trabalho para as quais ele foi emitido. The certificate holder must use the certificate only for the purposes for which it is issued.


1.3.76.36.1.1.25 “A utilização do certificado é limitada às relações com” seguido da indicação do nome da entidade com a qual o certificado pode ser utilizado. “The certificate may be used only for relations with the” followed by the name of the subject with which the certificate can be used.

Para além disso, os certificados disciplinados pela presente DPC são limitados exclusivamente à utilização no domínio informático especificado pelo contrato, para a assinatura dos documentos eletrónicos colocados à disposição do Assinante pela CA ou pelo Requerente ao qual se refere o domínio específico. Os documentos eletrónicos podem ser inerentes a relações entre o próprio Requerente e o Assinante, ou então podem ser documentos de terceiros, sempre ligados à relação entre Requerente e Assinante.

Portanto, no certificado LongTerm pode ser indicado um dos seguintes limites de utilização:

▪ O certificado pode ser utilizado unicamente nas relações entre titular e requerente. The certificate can be used only in the relationships between the holder and the requestor (máx. 200 caracteres).

▪ Certificado para a assinatura de produtos e serviços colocados à disposição por [Nome da Entidade]. Certificate to subscribe product and services made available by [Nome da Entidade] (máx. 200 caracteres).

No certificado OneShot está indicado o seguinte limite de utilização:

▪ A utilização do certificado é limitada tecnicamente à assinatura dos documentos em que a assinatura é aposta. The use of the certificate is technically limited to the signature of the underlying documents.

Os certificados emitidos com base na identificação de tipo 4-AutID, utilizando identidades digitais SPID de nível 2, contêm o seguinte limite de utilização:

▪ O certificado não pode ser utilizado para solicitar uma identidade digital SPID de nível 3. The certificate must not be used to apply for digital identity SPID level 3.

Para todos os certificados emitidos em virtude da presente Declaração de Práticas de Certificação, é faculdade do Assinante ou do Requerente solicitar à Autoridade de Certificação a introdução no certificado de limites de utilização personalizados (máx. 200 caracteres), ou de limites de valor que indiquem um limite de valor dos documentos unilaterais ou dos contratos para os quais o próprio certificado pode ser utilizado. Os valores devem ser expressos como números inteiros positivos, sem indicação de cifras decimais. A solicitação de introduzir outros limites de utilização específicos será avaliada pela CA em termos de aspetos legais, técnicos e de interoperabilidade, e valorizada consequentemente. A CA não é responsável pelos danos derivantes da utilização de um certificado qualificado que exceda os limites impostos por ele ou derivantes da superação do valor limite.

Ressalvada a responsabilidade da CA referida no CAD (art. 30), é responsabilidade do Utilizador verificar o respeito dos limites de utilização e de valor introduzidos no certificado.


4.6 Renovação do certificado

4.6.1 Motivos para a renovação

Não é prevista a renovação dos certificados emitidos em virtude da presente Declaração de Práticas de Certificação.

4.6.2 Quem pode pedir a renovação

N/A

4.6.3 Processamento do pedido de renovação do certificado

N/A

4.7 Reemissão do certificado

N/A

4.8 Modificação do certificado

N/A

4.9 Revogação e suspensão do certificado

A revogação ou a suspensão de um certificado removem a validade dele antes do vencimento estabelecido e tornam inválidas as assinaturas apostas a seguir ao momento da publicação da revogação. Os certificados revogados ou suspensos são introduzidos numa lista de revogação e suspensão (CRL) assinada pela CA que os emitiu, publicada no registo dos certificados com frequência preestabelecida. A CA pode forçar uma emissão não programada da CRL em circunstâncias especiais. A revogação e suspensão são eficazes a partir do momento da publicação da lista, atestado pela data aposta no registo do evento no Registo de Auditoria da Autoridade de Certificação.

4.9.1 Motivos para a revogação

As condições para as quais deve ser efetuado o pedido de revogação do certificado são as seguintes:

1. a chave privada foi comprometida, ou seja, estiver presente um dos seguintes casos: ▪ deixou de existir a confidencialidade da chave ou do seu código de ativação ou o

dispositivo OTP foi comprometido ou perdido; ▪ ocorreu um evento qualquer que comprometeu o nível de fiabilidade da chave;

2. ocorreu uma alteração dos dados do Assinante presentes no certificado capaz de tornar


tais dados não mais corretos e/ou verdadeiros; 3. terminou a relação entre o Assinante e a CA, ou então entre o Requerente e a CA; 4. ocorreu uma condição substancial de não cumprimento da presente Declaração de Práticas

de Certificação.

4.9.2 Quem pode pedir a revogação

A revogação pode ser pedida pelo Assinante em qualquer momento e por qualquer um dos motivos. Para além disso, a revogação do certificado pode ser pedida também pelo Requerente, pelos motivos e nas modalidades previstas pela presente Declaração de Práticas de Certificação. Por fim, o certificado pode ser revogado pela CA por sua iniciativa.

4.9.3 Procedimentos para pedir a revocação

O pedido de revogação é efetuado com modalidades diferentes em função da entidade que o pratica.

4.9.3.1 Revogação pedida pelo Assinante

O Assinante deve assinar o pedido de revogação, utilizando o formulário presente no sítio web da InfoCert, entregá-lo à RA ou enviá-lo diretamente à CA por carta registada, correio eletrónico certificado (PEC) ou fax, acompanhado de uma fotocópia de um documento de identidade válido.

A CA ou a RA verificam a autenticidade do pedido e a CA procede à revogação do certificado, comunicando tal revogação imediatamente ao Assinante e, se presente, ao Requerente.

4.9.3.2 Revogação pedida pelo Requerente

O Requerente pode pedir a revogação do certificado do Assinante autenticando-se nos sistemas disponibilizados pela CA, também mediante serviços aplicativos, e atuando segundo as modalidades descritas na documentação contratual.

O Requerente também pode pedir a revogação do certificado do Assinante preenchendo o formulário específico colocado à disposição no sítio web da CA e junto das RAs, fornecendo o motivo do pedido, juntando a documentação correspondente, se presente, e especificando os dados do Assinante do certificado comunicados à CA aquando da emissão do certificado. O pedido deve ser apresentado por escrito.

A CA ou a RA verificam a autenticidade do pedido. Em seguida, a CA procede à revogação do certificado e, por fim, comunica tal revogação ao Assinante utilizando o sistema de comunicação estabelecido aquando do pedido do certificado.

Modalidades adicionais e alternativas para o pedido de revogação feito pelo Requerente ou pelo Terceiro Interessado poderão ser especificadas nos possíveis acordos estipulados com a CA.

4.9.3.3 Revogação por iniciativa da Autoridade de Certificação

Caso ocorra tal necessidade, a CA tem a faculdade de revogar o certificado, informando previamente o Assinante, fornecendo o motivo da revogação e também a data e hora a partir da


qual o certificado será considerado revogado.

A CA, se o contrato relativo ao certificado objeto da revogação o prever, encarregar-se-á de comunicar a revogação ocorrida também ao Requerente.

4.9.4 Período de tolerância do pedido de revogação

O período de tolerância da CRL é o período de tempo que transcorre entre o momento da publicação por parte da CA da CRL seguinte e o momento em que caduca a CRL atual. Para não causar perturbações a cada uma das partes envolvidas, este período é mais longo do que o período de tempo de que a CA precisa para criar e publicar uma nova CRL. Deste modo, a CRL atual permanece válida pelo menos até ser substituída pela nova CRL.

4.9.5 Tempo máximo de processamento do pedido de revogação

Ao pedido é dado seguimento no prazo de uma hora, a não ser que sejam necessárias verificações adicionais sobre a autenticidade dele. Se o pedido for autenticado corretamente, ele será processado imediatamente; do contrário, proceder-se-á à suspensão do certificado enquanto se espera por efetuar demais averiguações sobre a autenticidade do pedido recebido.

4.9.6 Requisitos para a verificação da revogação

n/a

4.9.7 Frequência de publicação da CRL

Os certificados revogados ou suspensos são introduzidos em uma lista de revogação e suspensão (CRL) assinada pela CA e publicada no Registo público. A CRL é publicada de forma programada de uma em uma hora (emissão normal). Em circunstâncias especiais, a CA pode forçar uma emissão não programada da CRL (emissão extraordinária imediata), por exemplo se a revogação ou a suspensão de um certificado acontecer devido à suspeita de comprometimento da confidencialidade da chave privada (revogação ou suspensão imediata). A CRL é emitida sempre integralmente. O momento da publicação da CRL é atestado mediante a utilização, como referência de tempo, da data fornecida pelo sistema de Time Stamping Authority InfoCert e tal registo é indicado no registo de auditoria. Cada elemento da lista CRL contém, na extensão específica, a data e hora de revogação ou suspensão. A CA reserva-se a possibilidade de publicar separadamente outras CRLs, subconjuntos da CRL mais geral, com a finalidade de aligeirar a carga de rede. A aquisição e consulta da CRL fica a cargo dos utilizadores. A CRL que deve ser consultada para o certificado específico está indicada no próprio certificado segundo as normas em vigor.

4.9.8 Latência máxima da CRL

O tempo de espera entre o pedido de revogação ou de suspensão e a sua realização mediante publicação da CRL é de uma hora no máximo.


4.9.9 Requisitos dos serviços em linha de verificação

Ver o apêndice B

4.9.10 Outras formas de revogação

n/a

4.9.11 Requisitos específicos rekey em caso de comprometimento

n/a

4.9.12 Serviços em linha de verificação do estado de revogação do certificado

Para além da publicação da CRL nos registos LDAP e http, a InfoCert coloca à disposição também um serviço OCSP para a verificação do estado do certificado. O URL do serviço está indicado no certificado. O serviço fica disponível 24 horas por dia, 7 dias por semana.

4.9.13 Motivos para a suspensão

A suspensão do certificado deve ser efetuada caso se apresentem as seguintes condições:

1. foi efetuado um pedido de revogação sem a possibilidade de averiguar a autenticidade do pedido em tempo útil;

2. o Assinante, o Requerente, a RA ou a CA adquiriram elementos de dúvida relativamente à validade do certificado;

3. surgiram dúvidas sobre a segurança do dispositivo OTP, se presente; 4. é necessária uma interrupção temporária da validade do certificado.

Nos casos citados, será pedida a suspensão do certificado especificando a duração dela; quando expirar tal período, à suspensão seguirá uma revogação definitiva ou então a retomada da validade do certificado.

4.9.14 Quem pode pedir a suspensão

A suspensão do certificado pode ser pedida pelo Assinante em qualquer momento e por qualquer um dos motivos. Para além disso, a suspensão do certificado pode ser pedida também pelo Requerente, pelos motivos e nas modalidades previstas pela presente Declaração de Práticas de Certificação. Por fim, o certificado pode ser suspenso pela CA por sua iniciativa.

4.9.15 Procedimentos para pedir a suspensão

O pedido de suspensão é efetuado com modalidades diferentes em função da entidade que o pratica. A suspensão tem sempre uma duração limitada no tempo. A suspensão termina às 24:00:00 horas do último dia do período solicitado.


4.9.15.1 Suspensão pedida pelo Assinante

O Assinante deve pedir a suspensão com uma das seguintes modalidades: 1. utilizando a função de suspensão disponível no sítio web da CA, comunicando os dados

solicitados e utilizando o código de emergência fornecido aquando da emissão do certificado, se conhecido;

2. utilizando (se disponível) a função de suspensão com OTP disponível no sítio Web indicado na documentação contratual fornecida na altura do Registo;

3. telefonando ao Call Center da CA e fornecendo as informações solicitadas. Na falta do código de emergência e somente se se tratar de um pedido de suspensão por comprometimento de chave, o Call Center, depois de verificar o número de proveniência da chamada telefónica, ativa uma suspensão imediata do certificado com duração de 10 (dez) dias solares, enquanto espera pela receção do pedido escrito do Assinante; se a CA não receber o pedido assinado no prazo indicado, procederá à reativação do certificado;

4. mediante a Autoridade de Registo, que solicita os dados necessários e efetua todas as verificações do caso, e depois solicita a suspensão à CA. O Assinante deve assinar o pedido de suspensão e entregá-lo à RA ou enviá-lo diretamente à CA por carta comum, correio eletrónico certificado (PEC) ou por fax, acompanhado de uma fotocópia de um documento de identidade válido.

A CA, se o contrato relativo ao certificado objeto da suspensão o prever, encarregar-se-á de comunicar a suspensão ocorrida também ao Requerente.

4.9.15.2 Suspensão pedida pelo Requerente

O Requerente pode pedir a suspensão do certificado do Assinante autenticando-se nos sistemas disponibilizados pela CA, também mediante serviços aplicativos, e atuando segundo as modalidades descritas na documentação contratual.

O Requerente também pode pedir a suspensão do certificado do Assinante preenchendo o formulário específico colocado à disposição no sítio web da CA e junto da RA, fornecendo o motivo do pedido, juntando a documentação correspondente, se presente, e especificando os dados do Assinante comunicados à CA aquando da emissão do certificado.

A CA verifica a autenticidade do pedido, comunica tal suspensão ao Assinante segundo as modalidades de comunicação estabelecidas aquando do pedido do certificado e procede à suspensão. Modalidades adicionais e alternativas para o pedido de suspensão feito pelo Requerente ou pelo Terceiro Interessado poderão ser especificadas nos possíveis acordos estipulados entre este último e a CA.

4.9.15.3 Suspensão por iniciativa da CA

A CA, salvo os casos de urgência, comunica previamente ao Assinante a intenção de suspender o certificado, fornecendo o motivo da suspensão, a data a partir da qual o certificado será suspenso e a data de término da suspensão. De qualquer forma, estas últimas informações serão comunicadas o mais rapidamente possível ao Assinante.


A CA, se o contrato relativo ao certificado objeto da suspensão o prever, encarregar-se-á de comunicar a suspensão ocorrida também ao Requerente.

4.9.16 Limites ao período de suspensão

Ao expirar o período de suspensão solicitado, a validade do certificado é restabelecida mediante a remoção do certificado da lista de revogação e suspensão (CRL). A ativação acontece no prazo das 24 horas seguintes à data de término da suspensão. Se o dia de expiração da suspensão coincidir com o dia de vencimento do certificado ou for sucessivo a ele, a suspensão é transformada em revogação, com efeito a partir do início da suspensão.

É possível pedir a reativação do certificado antes da data de término da suspensão enviando o formulário assinado, que se encontra no sítio web da InfoCert, acompanhado de um documento de identidade. Pode ser enviado por correio eletrónico certificado ou FAX.

4.10 Serviços referentes ao estado do certificado

4.10.1 Características operacionais

As informações sobre o estado dos certificados estão disponíveis mediante CRL e serviço OCSP. O número de série de um certificado revogado permanece na CRL mesmo depois do término da validade do certificado e pelo menos até ao vencimento do certificado da CA. As informações fornecidas pelo serviço OCSP para os certificados são atualizadas à última CRL publicada.

4.10.2 Disponibilidade do serviço

O serviço OCSP e as CRLs ficam disponíveis 24 horas por dia, 7 dias por semana.

4.10.3 Características opcionais

4.11 Cancelamento dos serviços da CA

A relação do Assinante e/ou do Requerente com a Autoridade de Certificação termina quando o certificado vence ou é revogado, salvo casos especiais definidos contratualmente.

4.12 Depósito junto de terceiros e recuperação da chave

N/A


5 MEDIDAS DE SEGURANÇA E

CONTROLOS

O prestador de serviços de confiança (TSP) InfoCert realizou um sistema de segurança do sistema de informação relativo ao serviço de certificação digital. O sistema de segurança implementado articula-se em três níveis:

• um nível físico que visa garantir a segurança dos ambientes em que a CA gere o serviço,

• um nível de procedimentos, com aspetos tipicamente organizacionais,

• um nível lógico, mediante a implementação de medidas tecnológicas de tipo hardware e software que enfrentam os problemas e riscos relacionados com o tipo de serviço prestado e com a infraestrutura utilizada.

O referido sistema de segurança é realizado para evitar riscos derivantes do mau funcionamento dos sistemas, da rede e das aplicações, para além da intercetação não autorizada ou da modificação dos dados.

Um extrato da política de segurança da InfoCert está disponível mediante solicitação enviada ao endereço de correio eletrónico certificado [email protected].

5.1 Segurança física

As medidas adotadas fornecem garantias de segurança adequadas relativamente a:

• Características do edifício e da construção;

• Sistemas anti-intrusão ativos e passivos;

• Controlo dos acessos físicos;

• Alimentação de energia elétrica e ar condicionado;

• Proteção contra incêndios;

• Proteção contra inundações;

• Métodos de arquivamento dos suportes magnéticos;

• Locais de arquivamento dos suportes magnéticos.

5.1.1 Posição e construção da estrutura

O Centro de Dados da InfoCert situa-se na sede operativa de Pádua. O sítio de Recuperação em caso de Desastres (Disaster Recovery) situa-se em Modena e está ligado ao Centro de Dados acima citado mediante uma ligação dedicada e redundante em dois circuitos diferentes MPLS de 10 Gbit/s, com possibilidade de aumento a até 100 Gbit/s.

No interior de ambos os sítios foram realizados locais protegidos com os mais elevados níveis de segurança, quer físicos quer lógicos, dentro dos quais estão instalados os equipamentos

mailto:[email protected]


informáticos que constituem o coração dos serviços de certificação digital, marcação temporal, assinatura remota e automática.

Figura 1 - Localização do Centro de Dados InfoCert e sítio de Recuperação em caso de Desastres

5.1.2 Acesso físico

O acesso ao Centro de Dados é regulado pelos procedimentos InfoCert de segurança. No interior do Centro de Dados está presente a área bunker em que estão colocados os sistemas da CA, para os quais é requerido um fator de segurança suplementar.

5.1.3 Sistema elétrico e ar condicionado

O local que aloja o Centro de Dados da InfoCert em Pádua, embora não seja certificado, tem as características de um Centro de Dados de categoria Tier 3.

As salas técnicas estão providas de um sistema de alimentação de energia elétrica projetado com a finalidade de prevenir avarias e, sobretudo, maus funcionamentos. A alimentação dos sistemas inclui as mais modernas tecnologias com o intuito de incrementar a fiabilidade e garantir a redundância das funcionalidades mais críticas para os efeitos dos serviços fornecidos.

A infraestrutura encarregada da alimentação inclui:

• Unidades de alimentação ininterrupta, equipadas com acumuladores, em corrente alternada (UPS);

• Disponibilidade de tensão alternada (220-380 Vca);

• Armários alimentados em redundância com linhas protegidas e dimensionadas para a absorção concordada;


• Serviço de geradores de emergência;

• Sistema de comutação automática e sincronização entre geradores, rede e baterias (STS).

Cada armário tecnológico instalado no Centro de Dados utiliza duas linhas elétricas que garantem o funcionamento do HA em caso de interrupção de uma das duas linhas disponíveis.

O armário tecnológico é monitorizado à distância; são efetuados controlos constantes do estado da linha elétrica (ON/OFF) e das potências elétricas absorvidas (cada linha não deve exceder 50% da carga).

A área técnica é mantida normalmente a uma temperatura entre 20 e 27 °C, com uma taxa de humidade relativa entre 30 e 60%. As instalações estão providas de baterias condensantes com sistema de recolha e descarga dos condensados lacrado e controlado por sondas anti-inundação. Todo o sistema de ar condicionado é alimentado por geradores de emergência em caso de falta de energia elétrica. Garante-se a capacidade frigorífica por armário com uma carga máxima prevista de 10 kW e máximo de 15 kW em dois armários instalados lado a lado.

5.1.4 Prevenção e proteção contra inundações

A zona em que o imóvel se situa não apresenta riscos ambientais decorrentes da proximidade de instalações “perigosas”. Durante o projeto do edifício foram adotadas medidas adequadas para isolar os locais potencialmente perigosos, como aqueles que contêm o grupo eletrogéneo e a sala térmica. A área que aloja os equipamentos situa-se ao rés do chão, numa posição sobrelevada relativamente ao nível da rua.

5.1.5 Prevenção e proteção contra incêndios

No Centro de Dados está presente um sistema de deteção de fumaça gerido por central analógica endereçada NOTIFIER com sensores óticos instalados no ambiente e no forro, e sensores de amostragem do ar instalados sob o pavimento e nas canalizações de ar. O sistema de deteção automática de incêndio está ligado a equipamentos de extinção automáticos que utilizam gases ecológicos NAFS125 e PF23 e, nalgumas salas, com sistemas de supressão por aerossol. No caso de intervenção simultânea de dois detetores na mesma zona, é comandada a descarga do agente de extinção na zona em questão. Para cada compartimento de combate a incêndio está previsto um equipamento de extinção dedicado. Também estão presentes extintores portáteis em conformidade com as leis e normas em vigor. As canalizações do ar primário que servem as salas dos equipamentos estão providas, junto dos atravessamentos dos compartimentos de combate a incêndio, de comportas corta-fogo acionadas pelo sistema automático de deteção de incêndios.

5.1.6 Suportes de memorização

Relativamente à plataforma de armazenamento, a solução existente prevê para a parte NAS a


utilização de sistemas NetApp (FAS 8060). Por outro lado, para a parte SAN foi implementada uma estrutura baseada em tecnologias EMC2 que incluem VNX 7600, VNX 5200, XtremIO, geridas mediante a camada de virtualização de storage VPLEX. A referida estrutura é gerida mediante ViPR.

5.1.7 Eliminação de resíduos

A InfoCert é certificada ISO 14001 para a gestão ambiental sustentável do seu ciclo produtivo, incluindo a recolha seletiva e a eliminação sustentável dos resíduos. Para o que se refere ao conteúdo de informação dos resíduos eletrónicos, todos os meios, antes da respetiva desativação, são limpos segundo os procedimentos previstos ou então servindo-se de empresas de sanificação certificadas.

5.1.8 Cópia de segurança em instalações externas

É realizada no sítio de Recuperação em caso de Desastres, com um dispositivo EMC Data Domain 4200, em que o Data Domain primário do sítio de Pádua duplica os dados de cópia de segurança.

5.2 Controlos de procedimentos

5.2.1 Perfis-chave

Os perfis-chave são cobertos por figuras que possuem os requisitos necessários de experiência, profissionalismo e competência técnica e jurídica, que são verificados continuamente mediante avaliações anuais. A lista dos nomes e o organograma das figuras que ocupam posições de perfil-chave foram depositados na AgID aquando da primeira acreditação e são mantidos constantemente atualizados para acompanhar a evolução natural da organização corporativa.

5.3 Controlo do pessoal

5.3.1 Requisitos de qualificações, experiência e autorizações

Uma vez efetuado o planeamento anual dos Recursos Humanos, o Responsável pela Função/Estrutura Organizacional identifica as características e as competências da pessoa a inserir no quadro de funcionários (job profile). Em seguida, de acordo com o responsável pela seleção, é ativado o processo de procura e seleção.

5.3.2 Procedimentos de verificação de experiências anteriores

Os candidatos identificados participam do processo de seleção passando por uma primeira entrevista de conhecimento-motivacional com o responsável pela seleção e uma entrevista técnica seguinte com o responsável pela Função/Estrutura Organizacional, que visa verificar as


competências declaradas pelo candidato. Outras ferramentas de verificação são representadas por exercitações e testes.

5.3.3 Requisitos de formação

Para garantir que nenhuma pessoa possa individualmente comprometer ou alterar a segurança global do sistema ou efetuar atividades não autorizadas, foi previsto confiar a gestão operacional do sistema a pessoas diferentes, com incumbências separadas e bem definidas. As pessoas encarregadas da conceção e fornecimento do serviço de certificação são funcionários subordinados da InfoCert e foram selecionadas com base na experiência em conceção, realização e condução de serviços informáticos, com características de fiabilidade e discrição. São planeados cursos de formação periódicos para desenvolver no pessoal a plena consciência da importância das incumbências que lhe são atribuídas. Nomeadamente, antes de inserir o pessoal na atividade operativa, são realizados cursos de formação que visam fornecer todas as competências (técnica, organizacional e de procedimentos) necessárias às funções que deverá desempenhar.

5.3.4 Frequência de atualização da formação

Todo início de ano é efetuada a análise das exigências de formação propedêutica para a definição das atividades de formação que devem ser realizadas no decorrer do ano. A análise é estruturada da seguinte forma:

▪ Encontro com a Direção para a recolha dos dados relativos às exigências de formação necessárias para atingir os objetivos corporativos;

▪ Entrevista aos Responsáveis para estabelecer as exigências de formação específicas das respetivas áreas;

▪ Restituição dos dados recolhidos à Direção Corporativa para o encerramento e aprovação do Plano de Formação.

Até ao mês de fevereiro, o Plano de Formação definido segundo este procedimento é partilhado e divulgado.

5.3.5 Frequência na rotação dos turnos de trabalho

A presença na sede é regulada mediante um plano de rotação de turnos que é preparado pelo responsável da unidade organizacional mensalmente, com uma antecedência de pelo menos 10 dias. Cada turno dura 8 horas de trabalho. Ressalvada a posse dos requisitos técnicos e profissionais necessários, a Empresa encarrega-se de revezar no trabalho em turnos o maior número possível de trabalhadores, dando prioridade aos funcionários que o solicitem. Não são previstos turnos de presença na sede durante os horários noturnos. Os turnos de presença na sede respeitam uma faixa horária que vai das 07:00 às 21:00 horas, de segunda a sexta-feira, e das 07:00 às 12:00 horas no sábado.

5.3.6 Sanções para ações não autorizadas

Faz-se referência ao contrato coletivo de trabalho italiano dos trabalhadores do setor


metalomecânico e de instalação de equipamentos na indústria privada (“CCNL Metalmeccanici e installazione impianti industria privata”) para o procedimento de aplicação das sanções.

5.3.7 Controlos sobre o pessoal não funcionário

N/A

5.3.8 Documentação que o pessoal deve fornecer

No momento da contratação, o funcionário deve fornecer uma cópia de um documento de identidade válido, uma cópia do cartão sanitário válido e uma fotografia tipo passe para o crachá de acesso aos locais. Em seguida, deverá preencher e assinar o consentimento para o tratamento dos dados pessoais e o compromisso de não divulgar notícias e/ou documentos confidenciais. Por fim, deverá ler o Código Ético e de Netiqueta da InfoCert.

5.4 Gestão do registo de auditoria

Os eventos relacionados com a gestão da CA e com a vida do certificado são recolhidos no registo de auditoria conforme previsto pelo Regulamento e pelas regras técnicas [5].

5.4.1 Tipos de eventos memorizados

São registados eventos de segurança, arranque e fecho, crash de sistema e avarias em hardware, atividades de firewall e routers e tentativas de acesso ao sistema PKI. São conservados todos os dados e documentos utilizados durante a etapa de identificação e aceitação do pedido do requerente: cópia de documento de identidade, contratos, certidão de teor da Câmara de Comércio, etc. São registados os eventos relacionados com o registo e o ciclo de vida do certificado: os pedidos de emissão e renovação de certificado, os registos do certificado, a produção, difusão e revogação/suspensão, se houver. São registados todos os eventos relativos às personalizações do dispositivo de assinatura. Cada evento é memorizado com data e hora de sistema do evento.

5.4.2 Frequência de tratamento e de memorização do registo de auditoria

O tratamento e agrupamento dos dados, como também a memorização no sistema de arquivamento nos termos da norma InfoCert, acontecem mensalmente.

5.4.3 Período de retenção do registo de auditoria

O registo de auditoria é conservado durante 20 anos pela CA.

5.4.4 Proteção do registo de auditoria

A proteção do registo de auditoria é garantida pelo Sistema de Conservação dos documentos eletrónicos da InfoCert, acreditado junto da AgID segundo as normas em vigor.


5.4.5 Procedimentos para cópia de segurança do registo de auditoria

O Sistema de Conservação dos documentos eletrónicos atua uma política e um procedimento para a realização de cópia de segurança, conforme previsto pelo manual da segurança do referido sistema.

5.4.6 Sistema de memorização do registo de auditoria

A recolha dos registos dos eventos é efetuada mediante procedimentos automáticos concebidos especificamente para tal finalidade. A memorização acontece segundo os modos previstos pelo sistema de conservação em conformidade com a norma da InfoCert e descritos no manual de segurança do referido sistema.

5.4.7 Notificação em caso de identificação de vulnerabilidade

N/A

5.4.8 Avaliações de vulnerabilidade

A InfoCert realiza periodicamente avaliações relativas à vulnerabilidade do Sistema (vulnerability assessment) e testes de intrusão (penetration test). Com base nos resultados obtidos, adota todas as contramedidas para garantir a segurança das aplicações.

5.5 Arquivamento de relatórios

5.5.1 Tipos de relatórios arquivados

São redigidos e arquivados relatórios relativos aos eventos mais importantes de uma Autoridade de Certificação. Os relatórios são conservados durante 20 anos pela Autoridade de Certificação no Sistema de Conservação dos documentos da InfoCert.

5.5.2 Proteção dos relatórios

A proteção é garantida pelo Sistema de Conservação dos documentos da InfoCert, acreditado na AgID.

5.5.3 Procedimentos para cópia de segurança dos relatórios

O sistema de conservação, em conformidade com as normas, atua uma política e um procedimento para a realização de cópia de segurança, conforme previsto pelo manual da segurança do referido sistema.

5.5.4 Requisitos para a marcação temporal dos relatórios

N/A


5.5.5 Sistema de memorização dos arquivos

A recolha dos relatórios é efetuada mediante procedimentos automáticos concebidos especificamente para tal finalidade. A memorização acontece segundo os modos previstos pelo sistema de conservação em conformidade com a norma da InfoCert e descritos no manual de segurança do referido sistema.

5.5.6 Procedimentos para obter e verificar as informações contidas nos arquivos

Foram implementados procedimentos e sistemas automáticos para o controlo do estado do sistema de certificação e de toda a infraestrutura técnica da CA.

5.6 Substituição da chave privada da CA

A CA efetua os procedimentos de substituição periódica da chave privada de certificação, utilizada para a assinatura dos certificados, para que o Assinante possa utilizar o certificado em sua posse até ao momento da renovação. Cada substituição acarretará uma modificação na presente DPC e uma comunicação à Autoridade Supervisora (AgID).

5.7 Comprometimento da chave privada da CA e recuperação em caso de desastres

(disaster recovery)

5.7.1 Procedimentos para a gestão dos acidentes

A CA descreveu os procedimentos de gestão dos acidentes no âmbito do SGSI certificado ISO 27000. Cada eventual acidente, assim que descoberto, é submetido a uma análise pontual, identificação das contramedidas de correção e registo em relatório por parte do responsável pelo serviço. O relatório é assinado digitalmente e enviado ao Sistema de Conservação da InfoCert; uma cópia é enviada também à AgID, juntamente com a declaração das ações de intervenção que visam eliminar as causas que possam ter representado a origem do acidente, se estiverem sob o controlo da InfoCert em conformidade com o artigo 19.º do regulamento.

5.7.2 Corrupção das máquinas, do software ou dos dados

Em caso de avaria do dispositivo seguro de assinatura HSM que contém as chaves de certificação, faz-se recurso à cópia de reserva da chave de certificação, devidamente guardada e conservada, e não há a necessidade de revogar o certificado correspondente da CA.

São feitas cópias de segurança regulares dos softwares e dos dados, conforme previsto pelos procedimentos internos.


5.7.3 Procedimentos em caso de comprometimento da chave privada da CA

O comprometimento da chave de certificação é considerado um evento particularmente crítico, porque tornaria inválidos os certificados assinados com tal chave. Presta-se, portanto, uma atenção especial à proteção da chave de certificação e a todas as atividades de desenvolvimento e manutenção do sistema que possam ter impacto sobre ela. A InfoCert descreveu o procedimento que deve ser seguido em caso de comprometimento da chave, no âmbito do SGSI certificado ISO 27000, pondo-o em evidência também junto à AgID e ao CAB.

5.7.4 Fornecimento dos serviços de CA em caso de desastres

A InfoCert adotou os procedimentos necessários para garantir a continuidade do serviço mesmo em situações de criticidade elevada ou de desastre.

5.8 Cessação do serviço da CA ou da RA

Caso a atividade de certificação venha a cessar, a InfoCert comunicará esta intenção à Autoridade Supervisora (AgID) e ao organismo de certificação (CAB) com uma antecedência de pelo menos 6 meses, indicando, se for o caso, o certificador que irá substituí-la e o depositário do registo dos certificados e da relativa documentação. Com a mesma antecedência, a InfoCert comunicará a cessação das atividades a todos os titulares de certificados emitidos por ela. Na comunicação, caso não tenha sido indicado um certificador substituto, será especificado claramente que todos os certificados ainda não vencidos na altura da cessação das atividades da CA serão revogados.


6 CONTROLOS TECNOLÓGICOS DE

SEGURANÇA

6.1 Instalação e geração do par de chaves de certificação

Para desempenhar a sua atividade, a Autoridade de Certificação necessita gerar o par de chaves de certificação para a assinatura dos certificados dos Assinantes.

As chaves são geradas somente por pessoal explicitamente encarregado desta função. A geração das chaves e da assinatura acontece no interior de módulos criptográficos dedicados e certificados, conforme exigido pelas normas em vigor.

A proteção das chaves privadas da CA é realizada pelo módulo criptográfico de geração e utilização da própria chave. A chave privada pode ser gerada unicamente na presença simultânea de dois operadores encarregados da geração. A geração das chaves acontece na presença do responsável pelo serviço.

As chaves privadas da CA são duplicadas, com a única finalidade da respetiva recuperação em caso de rotura do dispositivo seguro de assinatura, segundo um procedimento controlado que prevê a subdivisão da chave e do contexto em mais de um dispositivo, conforme previsto pelos critérios de segurança do dispositivo HSM.

O módulo de criptografia utilizado para a geração das chaves e para a assinatura tem os requisitos capazes de garantir:

▪ a correspondência do par aos requisitos impostos pelos algoritmos de geração e de verificação utilizados;

▪ a igual probabilidade de geração de todas as cópias possíveis; ▪ a identificação da entidade que ativa o procedimento de geração; ▪ que a geração da assinatura aconteça no interior do dispositivo de modo que não seja

possível intercetar o valor da chave privada utilizada.

6.1.1 Geração do par de chaves do Assinante

As chaves assimétricas são geradas no interior de um Dispositivo Seguro para a Criação da Assinatura SSCD ou então QSCD de tipo HSM utilizando as funções nativas oferecidas pelos próprios dispositivos. Se o dispositivo não for colocado à disposição pela CA, o Requerente deve assegurar que o dispositivo respeite as normas em vigor, apresentando documentação específica. A CA procederá à realização de auditorias periódicas.


6.1.2 Entrega da chave privada ao Requerente

A chave privada está contida no dispositivo criptográfico, seja ele um SSCD ou um QSCD que, para os certificados objeto da presente Declaração de Práticas de Certificação, é sempre um HSM. Com a entrega ao Assinante dos códigos ou dos eventuais dispositivos de autenticação previstos, ele assume a plena titularidade da chave privada, que pode utilizar unicamente mediante o uso do PIN, do qual tem conhecimento exclusivo e que, em geral, escolhe autonomamente no momento da inscrição. Em caso de processo de registo realizado na presença do Assinante, os possíveis dispositivos de autenticação são entregues a ele assim que as chaves são geradas. Em caso de processo de registo realizado não na presença do Assinante, os possíveis dispositivos de autenticação são entregues a ele segundo as modalidades estipuladas no contrato, tendo sempre o cuidado que os dispositivos e as informações para a sua utilização viajem em canais diferentes, ou seja, segam entregues ao Assinante em dois momentos temporalmente diferentes. Nalguns casos, os dispositivos já podem estar na disponibilidade do Assinante, entregues previamente segundo procedimentos seguros e com prévia identificação do próprio Assinante.

6.1.3 Entrega da chave pública à CA

N/A

6.1.4 Entrega da chave pública aos utilizadores

A chave pública da CA está contida no certificado da CA. O certificado da CA é disponibilizado aos utilizadores de maneira a impedir a possibilidade de substituição.

6.1.5 Algoritmo e tamanho das chaves

O par de chaves assimétricas de certificação é gerado no interior de um dispositivo criptográfico hardware citado acima. É utilizado o algoritmo assimétrico RSA com chaves de tamanho não inferior a 4096 bits. Para as chaves do Assinante, o algoritmo de criptografia assimétrica utilizado é o RSA e o tamanho das chaves é não inferior a 2048 bits.

6.1.6 Controlos de qualidade e geração da chave pública

Os dispositivos utilizados são certificados segundo elevados padrões de segurança (ver o parágrafo 6.2.1) e garantem que a chave pública seja correta e randómica. A CA, antes de emitir o certificado, verifica se a chave pública já não foi utilizada.

6.1.7 Finalidade de utilização da chave

A finalidade de utilização da chave privada é determinada pela extensão KeyUsage como definida no padrão X509. Para os certificados descritos nesta DPC, a única utilização permitida é de “não repúdio”, ou seja, podem ser utilizados exclusivamente para assinar.


6.2 Proteção da chave privada e controlos tecnológicos do módulo criptográfico

6.2.1 Controlos e padrão do módulo criptográfico

Os módulos criptográficos utilizados pela InfoCert para as chaves de certificação (CA) e para o respondedor OCSP são validados FIPS 140 Level 3 e Common Criteria (CC) Information Technology Security Evaluation Assurance Level (EAL) EAL 4 + Type 3 (EAL 4 Augmented by AVA_VLA.4 and AVA_MSU.3) em Europa. Os módulos criptográficos utilizados pela InfoCert para as chaves de assinatura remota do Assinante são validados FIPS 140 Level 3 e Common Criteria (CC) Information Technology Security Evaluation Assurance Level EAL 4.

6.2.2 Controlo de várias pessoas da chave privada de CA

O acesso aos dispositivos que contêm as chaves de certificação acontece apenas com duas pessoas autenticadas simultaneamente.

6.2.3 Depósito junto de terceiros da chave privada de CA

N/A

6.2.4 Cópia de segurança da chave privada de CA

A cópia de segurança das chaves está contida num cofre cujo acesso é permitido apenas ao pessoal que não tem acesso aos dispositivos HSM. Uma eventual restauração, portanto, exige a presença quer do pessoal que tem acesso aos dispositivos, quer de quem tem acesso ao cofre.

6.2.5 Arquivamento da chave privada de CA

N/A

6.2.6 Transferência da chave privada de um módulo ou para um módulo

criptográfico

N/A

6.2.7 Memorização da chave privada em módulo criptográfico

A chave de certificação é gerada e memorizada numa área protegida do dispositivo criptográfico gerido pelo Certificador, que impede a respetiva exportação. Para além disso, caso a proteção seja forçada, o sistema operativo do dispositivo bloqueia-o ou torna-o ilegível.

6.2.8 Método de ativação da chave privada

A chave privada de certificação é ativada pelo software da CA em dual control, isto é, duas pessoas


com funções específicas e na presença do responsável pelo serviço. O Assinante ou o Requerente representante legal da pessoa coletiva é responsável por proteger a sua chave privada com uma senha robusta para prevenir a utilização não autorizada. Para ativar a chave privada, o Assinante deve autenticar-se.

6.2.9 Método de desativação da chave privada

N/A

6.2.10 Método de destruição da chave privada da CA

O pessoal da InfoCert ao qual esta função foi atribuída encarrega-se de destruir a chave privada quando o certificado vencer ou for revogado, segundo os procedimentos de segurança previstos pelas políticas de segurança e as especificações do fabricante do dispositivo.

6.2.11 Classificação dos módulos criptográficos

N/A

6.3 Outros aspetos da gestão das chaves

N/A

6.3.1 Arquivamento da chave pública

N/A

6.3.2 Período de validade do certificado e do par de chaves

O período de validade do certificado é estabelecido com base:

▪ no estado da tecnologia; ▪ no estado da arte dos conhecimentos criptográficos; ▪ na utilização prevista para o próprio certificado.

O intervalo de validade do certificado está expresso no interior dele no modo indicado no parágrafo 3.3.1.

Atualmente, o certificado da CA tem uma duração de 16 anos, os certificados emitidos a pessoa singular ou coletiva têm validade não superior a 3 anos.

6.4 Dados de ativação da chave privada

Remete-se o leitor aos parágrafos 4.2 e 6.3.


6.5 Controlos sobre a segurança informática

6.5.1 Requisitos de segurança específicos dos computadores

O sistema operativo dos computadores utilizados nas atividades de certificação para a geração das chaves, a geração dos certificados e a gestão do registo dos certificados, são tornados seguros (hardening), ou seja, são configurados de maneira a minimizar o impacto de possíveis vulnerabilidades eliminando todas as funcionalidades que não são necessárias para o funcionamento e a gestão da CA.

O acesso por parte dos Administradores de sistema, nomeados para tal efeito em conformidade com o prescrito pelas normas em vigor, acontece mediante a aplicação de root on demand que permite a utilização dos privilégios do utilizador root somente após identificação individual. Os acessos são rastreados, registados e conservados durante 12 meses.

6.6 Operacionalidade nos sistemas de controlo

A InfoCert atribui uma importância estratégica ao tratamento seguro das informações e reconhece a necessidade de desenvolver, controlar e melhorar constantemente um Sistema de Gestão da Segurança da Informação (SGSI), em conformidade com a norma ISO/IEC 27001. A InfoCert é certificada ISO/IEC 27001:2005 desde março de 2011 para as atividades EA:33-35. Em março de 2015 foi certificada para a nova versão da norma ISO/IEC 27001:2013.

No SGSI, estão previstos procedimentos e controlos para:

• Gestão dos Assets;

• Controlo dos Acessos;

• Segurança Física e Ambiental;

• Segurança das Atividades Operacionais;

• Segurança das Comunicações;

• Aquisição, Desenvolvimento e Manutenção dos Sistemas;

• Gestão dos Acidentes;

• Continuidade Operacional.

Todos os procedimentos são aprovados pelos relativos responsáveis e partilhados internamente no sistema de gestão de documentos da InfoCert.

6.7 Controlos de segurança da rede

A InfoCert idealizou, para o serviço de certificação, uma infraestrutura de segurança da rede baseada na utilização de mecanismos de firewalling e do protocolo SSL com a finalidade de realizar um canal seguro entre as Autoridades de Registo e o sistema de certificação, como também entre


este último e os administradores/operadores.

Os sistemas e as redes da InfoCert estão ligados à Internet de modo controlado por sistemas firewall que permitem subdividir a ligação em áreas com segurança progressivamente maior: rede Internet, redes DMZ (Demilitarized Zone) ou Perimetrais, Redes Internas. Todo o tráfego que flui entre as várias áreas é submetido a aceitação por parte do firewall, com base num conjunto de regras estabelecidas. As regras definidas nos sistemas de firewall são concebidas com base nos princípios de "default deny" (o que não for expressamente permitido é proibido na condição predefinida, ou seja, as regras permitem somente o que for estritamente necessário para o funcionamento correto da aplicação) e "defense in depth” (são organizados níveis sucessivos de defesa, primeiro a nível de rede, mediante barreiras sucessivas de firewall, e por fim o hardening a nível de sistema).

6.8 Sistema de selos temporais

A Infocert fornece um serviço qualificado de selos temporais. Para a marcação temporal, consultar a Declaração de Práticas de Certificação ICERT-INDI-TSA presente no sítio web do prestador de serviços de confiança InfoCert.


7 FORMATO DO CERTIFICADO, DA CRL E DO OCSP

7.1 Formato do certificado

No certificado aparecem as informações indicadas no pedido de certificação. O formato do certificado produzido está em conformidade com o Regulamento eiDAS e com a Deliberação CNIPA (Centro nazionale per l'informatica nella pubblica amministrazione) Errore. L'origine riferimento non è stata trovata.; desta forma, garante-se a total legibilidade e possibilidade de verificação no contexto das normas e dos certificadores europeus. A InfoCert utiliza o padrão ITU X.509, versão 3, para toda a estrutura PKI. Em 0 a pista dos certificados da raiz e dos assinantes, sejam eles pessoas singulares ou coletivas.

7.1.1 Número de versão

Todos os certificados emitidos pela InfoCert são X.509 versão 3.

7.1.2 Extensões do certificado

Os certificados qualificados são caracterizados pelas extensões presentes nos qcStatement clause 3.2.6 of IETF RFC 3739. A utilização deles é regulada pela norma ETSI 319 412-5. Para o que se refere às extensões, ver Appendice C.

7.1.3 OID do algoritmo de assinatura

Os certificados são assinados com o seguinte algoritmo: sha256WithRSAEncryption [iso(1) member‐body(2) us(840) rsadsi(113549) pkcs(1) pkcs‐1(1) 11].

7.1.4 Formas de nomes

Cada certificado contém um número de série unívoco no interior da CA que o emitiu.

7.1.5 Vínculos aos nomes

Relativamente a tal argumento, consultar o parágrafo 3.1.

7.1.6 OID do certificado

Relativamente a tal argumento, consultar o parágrafo 1.2.

7.2 Formato da CRL

Para formar as listas de revogação CRLs, a InfoCert utiliza o perfil RFC5280 “Internet X.509 Public Key Infrastructure Certificate R-evocation List (CRL)” e acrescenta ao formato de base as extensões definidas pelo RFC 5280: “Authority Key Identifier”, “CRL Number”, “Issuing Distribution Point” e


“expiredCertsOnCRL”.


Todas as CRLs emitidas pela InfoCert são X.509 versão 2.

7.2.2 Extensões da CRL

Para o que se refere às extensões da CRL, consultar o Apêndice C.

7.3 Formato do OCSP

Para permitir determinar o estado de revogação do certificado sem consultar a CRL, a InfoCert disponibiliza serviços OCSP em conformidade com o perfil RFC6960 “X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP”. Este protocolo especifica os dados que devem ser trocados entre uma aplicação que pretende verificar o estado do certificado e o serviço OCSP.


O protocolo OCSP utilizado pela InfoCert está em conformidade com a versão 1 da RFC6960.

7.3.2 Extensões do OCSP

Para o que se refere às extensões do OCSP, ver Appendice C.


8 CONTROLOS E AVALIAÇÕES DE CONFORMIDADE

Para obter a qualificação de prestador de serviços de confiança qualificados e não qualificados, em conformidade com o Regulamento EIDAS, é necessário levar a cabo o processo previsto pelo artigo 21.º do referido Regulamento. A InfoCert apresentou à AgID a solicitação específica para obter o reconhecimento de “prestador do serviço de confiança qualificado” juntando um relatório da avaliação de conformidade com o Regulamento (Conformity Assesment Report - CAR) emitido por um organismo de avaliação autorizado pelo organismo nacional competente (CAB), que em Itália é ACCREDIA. A InfoCert presta o Serviço como prestador de serviços de confiança qualificados nos termos do Regulamento (UE) N.º 910/2014 de 23/07/2014, com base numa avaliação de conformidade efetuada pelo Organismo de Avaliação da Conformidade CSQA Certificazioni S.r.l., nos termos do referido Regulamento e da Norma ETSI EN 319 401, segundo o esquema de avaliação eIDAS definido por ACCREDIA face as normas ETSI EN 319_403 e UNI CEI EN ISO/IEC 17065:2012.

8.1 Frequência ou circunstâncias para a avaliação de conformidade

A avaliação de conformidade é repetida de dois em dois anos, porém todos os anos o CAB efetua uma auditoria de supervisão.

8.2 Identidade e qualificações de quem efetua o controlo

O controlo é efetuado por:

Denominação social CSQA Certification S.r.l.

Sede legal Via S. Gaetano n. 74, 36016 Thiene (VI)

Número de telefone +39 0445 313011

Número de Inscrição no Registo das Empresas

Código italiano de pessoa coletiva 02603680246

Registo das Empresas VI n.º 02603680246 / Repertório Económico Administrativo (REA) n.º 258305

N.º de registo para os efeitos do IVA

02603680246

Sítio Web http://www.csqa.it

8.3 Relações entre a InfoCert e o CAB

A InfoCert e a CSQA não têm interesses financeiros nem relações de negócios. Não há atualmente relações comerciais ou de parceria que possam criar preconceitos a favor ou

http://www.csqa.it/


contra a InfoCert na avaliação objetiva da CSQA.

8.4 Aspetos objeto da avaliação

Ao CAB compete avaliar a conformidade relativamente à Declaração de Práticas de Certificação, ao Regulamento e às normas aplicáveis dos procedimentos adotados, da organização da CA, da organização dos perfis, da formação do pessoal, da documentação contratual.

8.5 Ações em caso de não conformidade

Em caso de não conformidade, o CAB decidirá se enviar de qualquer maneira o relatório à AgID, ou se reservar-se a faculdade de efetuar uma nova auditoria uma vez sanada a não conformidade. A InfoCert compromete-se a resolver todas as não conformidades prontamente, praticando todas as ações de melhoramento e adequação necessárias.


9 OUTROS ASPETOS LEGAIS E DE

NEGÓCIOS

9.1 Tarifas

9.1.1 Tarifas para a emissão dos certificados

Em geral, os custos para a emissão do certificado são arcados pelo Requerente e não pelo Assinante, com base em tarifas definidas no contrato de serviços entre o Requerente e a InfoCert. De qualquer maneira, o contrato com o Assinante pode prever tarifas específicas também para o que se refere ao Assinante.

9.1.2 Tarifas para o acesso aos certificados

N/A

9.1.3 Tarifas para o acesso às informações sobre o estado de suspensão e

revogação dos certificados

O acesso à lista dos certificados revogados ou suspensos é livre e gratuito.

9.1.4 Tarifas para outros serviços

As tarifas estão disponíveis nos sítios web https://www.firma.infocert.it/ e http://ecommerce.infocert.it, ou junto das Autoridades de Registo.

A CA pode estipular acordos comerciais com as RAs e/ou com os Requerentes, aplicando tarifas específicas.

9.1.5 Políticas para o reembolso

Caso o contrato não estabeleça diferentemente, em geral o Assinante consumidor renuncia ao direito de rescindir o contrato dentro do prazo de 14 dias a contar da data de conclusão do contrato.


9.2 Responsabilidade financeira

9.2.1 Cobertura de seguro

O prestador de serviços de confiança (TSP) InfoCert estipulou uma apólice de seguro para a cobertura dos riscos relacionados com a atividade e dos danos causados a terceiros, cujo texto foi examinado e aceito pela AgID, que tem como limites de indenização:

• 3 milhões de euros por sinistro individual;

• 6 milhões de euros por anualidade.

9.2.2 Outras atividades

N/A

9.2.3 Garantia ou cobertura de seguro para as entidades finais

Consultar o parágrafo 9.2.1.

9.3 Confidencialidade das informações de negócios

9.3.1 Âmbito de aplicação das informações confidenciais

No âmbito da atividade objeto da presente DPC não está prevista a gestão de informações confidenciais.

9.3.2 Informações não abrangidas pelo âmbito de aplicação das informações

confidenciais

N/A

9.3.3 Responsabilidade de proteção das informações confidenciais

N/A

9.4 Privacidade

As informações relativas ao Assinante e ao Requerente que são adquiridas pela CA durante o exercício das suas atividades típicas devem ser consideradas, salvo consentimento expresso, confidenciais e não publicáveis, com exceção daquelas explicitamente destinadas a uso público {chave pública, certificado (se solicitado pelo Assinante), datas de revogação e de suspensão do certificado}. Nomeadamente, os dados pessoais são tratados pela InfoCert em conformidade com o indicado no Decreto Legislativo de 30 de junho de 2003, n.º 196, e no Regulamento Europeu 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das


pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, plenamente vinculante a partir do dia 25 de maio de 2018 [4].

9.4.1 Programa de privacidade

A InfoCert adota um conjunto de políticas mediante as quais implementa e integra a proteção dos dados pessoais no interior do seu Sistema de Gestão da Segurança da Informação certificado ISO 27001, partilhando com este último sistema o processo de melhoramento contínuo.

9.4.2 Dados que são tratados como pessoais

São tratados como dados pessoais os dados que são abrangidos pela definição correspondente referida nas normas em vigor [4]; portanto, por dado pessoal entende-se qualquer informação relativa a uma pessoa singular, identificada ou identificável, também indiretamente, mediante referência a qualquer outra informação, incluindo um número de identificação pessoal.

9.4.3 Dados não considerados como pessoais

Os dados para os quais está previsto que sejam tornados públicos pela gestão técnica da CA, ou seja chave pública, certificado (se solicitado pelo Assinante), datas de revogação e de suspensão do certificado, não são considerados dados pessoais.

9.4.4 Responsável pelo tratamento dos dados pessoais

InfoCert S.p.A. Sede operativa Via Marco e Marcelliano 45 00147 Roma [email protected]

9.4.5 Declaração de privacidade e consentimento para o tratamento dos dados

pessoais

A declaração de privacidade está disponível no sítio web www.infocert.it. Declarações específicas podem estar presentes no sítio web do Requerente, que recolhe o consentimento para o tratamento por conta da InfoCert. Antes de efetuar qualquer tratamento de dados pessoais, a InfoCert recolhe o consentimento para o tratamento nos modos e nas formas previstas pela lei [4].

9.4.6 Divulgação dos dados a seguir a uma solicitação por parte da autoridade

A divulgação de dados a pedido das Autoridades é obrigatória e é efetuada nas modalidades estabelecidas a cada vez pela própria Autoridade.

http://www.infocert.it/


9.4.7 Outros motivos de divulgação

Não previstos.

9.5 Propriedade intelectual

O direito de autor sobre o presente documento é da InfoCert S.p.A. Todos os direitos são reservados.

9.6 Representação e garantias

A InfoCert mantém a responsabilidade pelo cumprimento dos procedimentos prescritos na sua política de segurança das informações, mesmo quando algumas funções forem delegadas a uma outra entidade, nos termos do art. 2.4.1. do Anexo ao Regulamento de execução UE 2015/1502 da Comissão. Neste último caso, a representação é exercida mediante mandato outorgado pela InfoCert à Autoridade de Registo (doravante também “Registration Authority” ou “RA”) no qual são definidos o regime de responsabilidades e as obrigações das partes. Nomeadamente, a Autoridade de Registo compromete-se a desempenhar a atividade de registo respeitando as normas em vigor e os procedimentos referidos nas Declarações de Práticas de Certificação, com referência especial à identificação pessoal certa de quem assina o pedido de certificação digital, e a transmitir os resultados das referidas atividades à InfoCert. O Titular é responsável pela veracidade dos dados comunicados no Pedido de Registo e Certificação. Se ele, na altura da identificação, também mediante a utilização de documentos não verdadeiros, tiver ocultado a própria identidade real ou declarado falsamente ser outra pessoa ou, de qualquer maneira, agido de forma a comprometer o processo de identificação e os respetivos dados indicados no certificado, será considerado responsável por todos os danos causados ao Certificador e/ou a terceiros decorrentes da inexatidão das informações contidas no certificado, com obrigação de garantir e manter indemne o Certificador de possíveis pedidos de ressarcimento de danos. O Titular e o Requerente respondem também pelos danos causados ao Certificador e/ou a terceiros em caso de atraso, por parte deles, na ativação dos procedimentos previstos no ponto 4.9. da presente DPC (revogação e suspensão do certificado) .

9.7 Limitações de garantia

O Certificador não presta qualquer garantia (i) sobre o funcionamento e sobre a segurança dos equipamentos hardware e dos softwares utilizados pelo Titular; (ii) sobre os usos da chave privada, e/ou do certificado de assinatura, que sejam diferentes relativamente aos previstos pelas normas em vigor e pela presente Declaração de Práticas de Certificação; (iii) sobre o funcionamento regular e contínuo de linhas elétricas e telefónicas nacionais e/ou internacionais; (iv) sobre a validade e relevância, também probatória, do certificado de assinatura – ou de qualquer mensagem, termo ou documento a ele associado ou confecionado mediante as chaves


às quais o certificado se refere, – ressalvando a eficácia de assinatura manuscrita reconhecida à assinatura eletrónica qualificada, nos termos do art. 25.º do Regulamento (UE) n.º 910/2014; (v) sobre a confidencialidade e/ou integridade de qualquer mensagem, termo ou documento associado ao certificado de assinatura ou confecionado mediante as chaves às quais o certificado se refere (no sentido que possíveis violações desta última são, normalmente, identificáveis pelo Titular ou pelo destinatário mediante procedimento específico de verificação). O Certificador garante unicamente o funcionamento do Serviço, segundo os níveis mínimos indicados no parágrafo 9.17 da Declaração de Práticas de Certificação.

9.8 Limitações de responsabilidade

O Certificador não assume qualquer obrigação de supervisão em relação ao conteúdo, ao tipo ou ao formato eletrónico dos documentos transmitidos para a assinatura, nem assume qualquer responsabilidade em relação à validade e à efetiva vontade de utilização deles por parte do Titular. O Certificador não assume qualquer responsabilidade em relação aos hashes dos documentos enviados para o procedimento de assinatura, se forem calculados por um procedimento informático indicado pelo Requerente ou pelo Titular, diferente das plataformas fornecidas pela InfoCert. Ressalvado o caso de dolo ou culpa, o Certificador não assume qualquer responsabilidade por danos diretos e indiretos sofridos pelos Titulares e/ou por terceiros em consequência da utilização ou da não utilização dos certificados de assinatura emitidos com base nas previsões da presente DPC e das Condições Gerais dos Serviços de Certificação. A InfoCert não é responsável por qualquer dano direto e/ou indireto decorrente, também alternativamente, (i) da perda, (ii) da conservação imprópria, (iii) de uma utilização imprópria dos instrumentos de identificação e de autenticação e/ou (iv) do não cumprimento do acima exposto por parte do Titular. E ainda, o Certificador, desde a fase de formação do Contrato para os serviços de Certificação (doravante também “Contrato”), e também no decorrer da sua execução, não responde por possíveis danos e/ou atrasos causados por mau funcionamento ou bloqueio do sistema informático e da rede internet. A InfoCert, salvo o caso de dolo ou culpa grave, não será onerada por encargos ou responsabilidades por danos diretos ou indiretos de qualquer natureza e entidade que venham a ser causados ao Titular, ao Requerente e/ou a terceiros decorrentes de violações ou intervenções no serviço ou nas aparelhagens efetuadas por terceiros não autorizados pela InfoCert.

9.9 Indemnizações

A InfoCert é responsável pelos possíveis danos causados diretamente, com dolo ou por negligência, a qualquer pessoa singular ou coletiva, em consequência de um não cumprimento das obrigações referidas no Regulamento (UE) N.º 910/2014 do Parlamento Europeu e do Conselho de 23 de julho de 2014 e da falta de adoção, por parte da InfoCert, de todas as medidas aptas a evitar o referido dano.


No caso citado no parágrafo anterior, o Requerente ou o Titular terão o direito de obter, a título de ressarcimento dos danos sofridos diretamente em consequência do comportamento referido no parágrafo anterior, um montante que, em todo caso, não poderá ser superior aos valores máximos previstos, para cada sinistro e por ano, pelo art. 3.º, alínea 7, do Regulamento anexo à Determinação 185/2017. O reembolso não poderá ser solicitado se a não fruição for imputável à utilização imprópria do serviço de certificação ou ao gestor da rede de telecomunicações, ou então derivante de caso fortuito, força maior ou causas de qualquer maneira não imputáveis à InfoCert, tais como, a título de exemplo, greves, rebeliões, terramotos, atos de terrorismo, tumultos populares, sabotagem organizada, eventos químicos e/ou bacteriológicos, guerra, inundações, medidas promulgadas pelas autoridades competentes em matéria ou inadequação das estruturas, dos equipamentos hardware e/ou dos softwares utilizados pelo Requerente.

9.10 Término e resolução

9.10.1 Término

No término da relação entre a CA e o Assinante, entre a CA e a RA, entre a CA e o Requerente, o certificado é revogado. O Contrato de certificação entre o Certificador e o Assinante tem duração igual àquela do certificado de assinatura indicado no campo “validade (validity)” dele.

9.10.2 Resolução

A eficácia do Contrato é condicionada de modo suspensivo ao êxito positivo da identificação do Titular. Portanto, se o êxito da identificação for negativo, o certificado digital não será emitido pelo Certificador ou, se for emitido, será considerado ineficaz desde o momento da sua emissão e o Contrato será entendido resolvido por direito. Para além disso, o Contrato será resolvido por direito, com a consequente revogação do Certificado, em caso de cessação por qualquer motivo da relação entre o Titular e o Requerente, sem que o Titular nada possa pretender do Certificador em consequência de tal resolução. O Contrato é resolvido automaticamente, com a consequente interrupção do Serviço, em caso de revogação do certificado. Para além disso, o Certificador tem a faculdade de resolver o Contrato, revogando o certificado emitido, nos casos previstos pelo parágrafo 4.9.3.3. da presente Declaração de Práticas de Certificação e/ou se o Titular se tornar não cumpridor de uma das obrigações previstas a seu cargo pelas Condições Gerais do Contrato, como também no caso de falta de pagamento por parte do Requerente da remuneração pelos serviços ou nas outras hipóteses previstas pelas presentes Condições. Se o Titular for um consumidor, os litígios civis inerentes ao Contrato estipulado pelo consumidor serão transferidos à competência territorial inapelável do juiz do local de residência ou domicílio dele. O consumidor pode servir-se, voluntariamente, dos métodos de resolução extrajudicial dos


litígios previstos pelo Código de Consumo italiano e pelas outras normas legais aplicáveis em matéria. Informa-se também que nos termos e para os efeitos do Regulamento UE n.º 524/2013, para resolver os litígios relativos aos contratos em linha e aos serviços oferecidos em linha, existe a possibilidade de recorrer ao procedimento de Online Dispute Resolution (ODR), previsto pela Comissão Europeia e acessível mediante a seguinte ligação: https://webgate.ec.europa.eu/odr/. Em todos os casos de não cumprimento por parte do Titular ou do Requerente das obrigações assumidas, o Certificador poderá suspender o fornecimento do Serviço, também mediante a suspensão do Certificado. Nomeadamente, em caso de falta de pagamento da remuneração pelo Serviço, a InfoCert terá o direito de dissolver o Contrato com o Requerente e o Titular em qualquer momento, sem nenhum aviso prévio e sem ónus, e consequentemente revogar quaisquer certificados emitidos. Em todos os casos de resolução, cessação da eficácia do Contrato e sua dissolução, ficarão ressalvados os efeitos produzidos pelo Contrato até tal momento. O Titular reconhece que, em caso de cessação do Contrato, por qualquer causa ela aconteça, não será mais possível usufruir do Serviço.

9.10.3 Efeitos da resolução

A resolução acarreta a revogação imediata do certificado.

9.11 Canais de comunicação oficiais

Remete-se o leitor aos canais de contacto indicados no parágrafo 1.5.1.

9.12 Revisão da Declaração de Práticas de Certificação

A CA reserva-se a faculdade de efetuar variações no presente documento por exigências técnicas ou devido a modificações nos procedimentos ocorridas quer em decorrência da promulgação de normas legais ou regulamentos, quer para otimizações do ciclo de trabalho. Cada nova versão da Declaração de Práticas de Certificação anula e substitui as versões anteriores, que todavia permanecem aplicáveis aos certificados emitidos durante a sua vigência e até ao primeiro vencimento deles.

Variações que não tiverem um impacto significativo sobre os utilizadores acarretam o incremento do número de release do documento, enquanto variações com um impacto significativo sobre os utilizadores (tais como, por exemplo, modificações relevantes nos procedimentos operativos) acarretam o incremento do número de versão do documento. Em todo caso, o documento será publicado prontamente e disponibilizado segundo as modalidades previstas. Todas as modificações técnicas ou de procedimento efetuadas nesta Declaração de Práticas de Certificação serão comunicadas prontamente às RAs. Se as modificações forem relevantes, a CA deverá submeter-se à auditoria de um CAB acreditado, apresentar o relatório de certificação (CAR – Conformity Assessment Report) e a Declaração de

https://webgate.ec.europa.eu/odr/


Práticas de Certificação à Autoridade Supervisora (AgID) e aguardar a autorização para a publicação.

Versão/Release n.º: 3.3

Data da Versão/Release:

09/04/2018

Descrição das modificações:

Cap. 1 Correção de “assinatura digital” em “assinatura eletrónica qualificada”.

Algumas correções de tipo terminológico para melhorar a compreensão, adição de algumas definições de termos utilizados no documento

§ 3.1.5 Reescritura parcial do parágrafo para melhorar a compreensibilidade

§ 3.2.3 Reescritura de tabela e subparágrafos para melhorar a clareza do conteúdo e contextualização nos mercados europeus. Extensão da modalidade 4 AutID a outros meios de identificação eletrónica. Definição de um documento específico com tipos de documentos e meios de identificação eletrónica aceitos

§ 4.2 Reescritura parcial do parágrafo para melhorar a compreensibilidade e contextualização nos mercados europeus

§ 4.2.2 Sistemas de identificação adicionais

§ 4.3.3. Correção de erro

§ 4.5.3 Introdução de limite de uso adicional

§ 9.4 Adição de referências ao GDPR (RGPD)

§ 9.6, § 9.7, § 9.8, § 9.9, § 9.10 reescritura dos parágrafos para melhor contextualização Certificados do utilizador: corrigidos alguns erros, completadas extensões que faltavam

Motivos:



02/05/2017



Adicionadas informações relativas à CA “Infocert Firma Qualificata 2” Adicionados alguns OIDs relativos à CA “Infocert Firma Qualificata 2” Correção de forma e ortografia Corrigida a definição de one-shot Generalizada a revogação/suspensão também para certificado oneshot

Motivos: Acreditação da “Infocert Firma Qualificata 2”



27/01/2017


§3.2.3 eliminadas todas as referências ao SPID como instrumento de autenticação para a identificação

§3.2.3.1 pormenorizado o reconhecimento por parte da entidade patronal

§ 4.9.12 descrita a modalidade de reativação da suspensão

§ 4.5.3 especificado o limite de uso para o certificado OneShot

Motivos: -



12/12/2016


n/a

Motivos: primeira emissão do documento

9.12.1 História das revisões

Por ser a primeira emissão do documento, ainda não está presente uma história das revisões.

9.12.2 Procedimentos de revisão

Os procedimentos de revisão da Declaração de Práticas de Certificação são análogos aos procedimentos de redação. As revisões são implementadas de acordo com o Responsável pelo Serviço de Certificação, o Responsável pela Segurança, o Responsável pela Privacidade, o Departamento Legal e a Área de Consultoria, e aprovadas pela direção.


9.12.3 Período e mecanismo de notificação

A Declaração de Práticas de Certificação é publicada:

• em formato eletrónico no sítio web do prestador de serviços de confiança (TSP) (endereço: http://www.firma.infocert.it/doc/manuali.htm);

• em papel, podendo ser solicitado ao contacto para os utilizadores finais referidos no parágrafo 1.5.1.;

• em formato eletrónico na lista pública dos certificados mantida pela AgID;

• em formato eletrónico no sítio web da Autoridade de Registo e/ou do Requerente.

9.12.4 Casos nos quais o OID deve mudar

N/A

9.13 Resolução de litígios

Remete-se o leitor aos documentos contratuais que regulamentam o serviço para o que se refere aos pormenores das modalidades de resolução dos litígios.

9.14 Foro competente

Para os consumidores, o foro competente é o tribunal da cidade de domicílio do consumidor. Para as entidades diferentes dos consumidores, o foro competente é o de Roma. Nos acordos entre a CA e a RA, entre a CA e o Requerente ou entre a CA e o Assinante pode ser definido um foro competente diferente.

9.15 Lei aplicável

A lei aplicável à presente Declaração de Práticas de Certificação é a lei italiana.

De seguida fornece-se uma lista não completa das principais referências normativas aplicáveis:

[1] Regulamento UE N.º 910/2014 do Parlamento Europeu e do Conselho de 23 de julho de 2014 relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a diretiva 1999/93/CE (referenciado também como Regulamento eIDAS).

[2] Decreto Legislativo de 7 de março de 2005, n.º 82 (Gazzetta Ufficiale n.º 112 de 16 de maio de 2005) – Código da administração digital (referenciado também como CAD) e sucessivos aditamentos e modificações

[3] não utilizado [4] Decreto Legislativo de 30 de junho de 2003, n.º 196 (Gazzetta Ufficiale n.º 174 de 29 de

julho de 2003) – Código Privacy e sucessivos aditamentos e modificações e Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à


livre circulação desses dados (vigente a partir de 25 de maio de 2018) [5] Decreto do Presidente do Conselho italiano (DPCM) de 22 de fevereiro de 2013 (Gazzetta

Ufficiale n.º 117 de 21-5-2013) - Regras técnicas em matéria de geração, aposição e verificação de assinaturas eletrónicas avançadas, qualificadas e digitais, nos termos dos artigos 20, alínea 3, 24, alínea 4, 28, alínea 3, 32, alínea 3, letra b), 35, alínea 2, 36, alínea 2, e 71.

[6] não utilizado [7] Diretiva 2011/83/UE do Parlamento Europeu e do Conselho de 25 de outubro de 2011,

relativa aos direitos dos consumidores e respetivas normas nacionais de transposição [8] Verificação preliminar - 24 de setembro de 2015 [4367555] Tratamento de dados pessoais

no âmbito do “Processo de emissão com reconhecimento mediante webcam” para assinatura eletrónica qualificada ou digital

[9] Deliberação CNIPA (Centro nazionale per l'informatica nella pubblica amministrazione) n.º 45 de 21 de maio de 2009, como modificada pelas determinações seguintes.

[10] “Pedido de esclarecimentos em relação à utilização da assinatura digital em determinados âmbitos fechados de utilizadores” – carta da AgID às CAs de 7 de junho de 2016

[11] Determinação AgID N.º 189/2017

Aplicam-se também todas as circulares e deliberações da Autoridade Supervisora6, como também os atos de execução previstos pelo Regulamento eIDAS [1].

9.16 Disposições várias

Remete-se o leitor aos documentos contratuais que regulamentam o serviço para o que se refere a qualquer outra disposição não incluída na presente DPC.

9.17 Outras disposições

Os horários de fornecimento do serviço são (salvo acordos contratuais diferentes):

Serviço Horário

Acesso ao arquivo público dos certificados (inclui os certificados e as CRLs).

Das 0:00 às 24:00

7 dias por semana

Revogação e suspensão dos certificados. Das 0:00 às 24:00

7 dias por semana

Outras atividades: registo, geração, publicação, renovação7.

Das 8:00 às 18:00

de segunda a sexta-feira, excluindo os feriados

Das 8:00 às 13:00

6 Disponíveis no sítio web http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/firme-elettroniche.


no sábado

Pedido e/ou verificação de marca temporal. 24hx7d

(disponibilidade mínima 95%)

7 A atividade de registo é realizada junto das Autoridades de Registo que podem escolher horários diferentes de atendimento. Em todo caso, a InfoCert garante o fornecimento do seu serviço nos horários indicados acima.


Appendice A Root CA


Appendice B Certificados

Certificado qualificado de pessoa singular com identificadores e chaves semânticas

em QSCD

Certificado qualificado de pessoa singular SEM identificadores e chaves

semânticas em QSCD emitido pela CA “InfoCert Qualified Electronic Signature CA

3”

Field Value

Certificado qualificado de pessoa singular SEM identificadores e chaves semânticas em QSCD emitido pela CA “InfoCert Qualified Electronic Signature CA 3”


Appendice C Valores e extensões para CRL e OCSP As CRLs têm as seguintes extensões

Extension Value Authority Key Identifier

O valor do digest 160-bit SHA-1 de issuerPublicKey

CRL number O número unívoco da CRL atribuído pela CA ExpiredCertsOnCRL A data em formato GeneralizedTime a partir da qual os certificados

expirados são mantidos em CRL. O valor é definido igual à data de emissão

Issuing Distribution Point

Identifica o ponto de distribuição das CRLs e o âmbito: indica se a CRL é gerada apenas para certificados de CA, apenas certificados de atributo ou da entidade

Invalidity Date Data em formato UTC que indica a data a partir da qual se considera que o certificado seja inválido

A solicitação OCSP contém os seguintes campos:

Field Value Hash Algorithm sha‐1 [1 3 14 3 2 26] OR sha‐256 [2 16 840 1 101 3 4 2 1]

Issuer Name Hash Hash do DN do emissor

Issuer Key Hash Hash da chave pública do emissor

Serial Number Número de série do certificado

A resposta OCSP contém os seguintes campos:

Field Value Response Status Estado da resposta OCSP Response Type id-pkix-ocsp-basic [1 3 6 1 5 5 7 48 1 1] Responder ID Subject DN do certificado da resposta OCSP Produced at Data em formato GeneralizedTime de quando a resposta foi

gerada Hash Algorithm sha‐1 [1 3 14 3 2 26] OR sha‐256 [2 16 840 1 101 3 4 2 1] Subject Certificate Name Hash

Hash do subject’s DN do certificado verificado

Subject Certificate Key Hash

Hash da chave pública do certificado verificado

Serial Number Número de série verificado thisUpdate A data de verificação do estado do certificado em formato

GeneralizedTime nextUpdate A data em que o estado do certificado verificado mudou Issuer Signature Algorithm

sha‐256WithRSAEncryption [1 2 840 113549 1 1 11]


Issuer’s Signature [OCSP response Signature] Issuer certificate [OCSP response signing certificate]

A solicitação OCSP contém as seguintes extensões:

Extension Value nonce Um número arbitrário que pode ser utilizado uma única vez.

Criptograficamente, vincula uma solicitação à resposta para prevenir ataques de réplica. Está contido numa requestExtensions no caso da solicitação, ao passo que no caso da resposta pode estar contido numa responseExtensions.


Appendice D Instrumentos e modalidades para a verificação da assinatura eletrónica qualificada A InfoCert coloca à disposição um produto (denominado “Dike”) que pode ser descarregado gratuitamente pelos Assinantes do sítio web www.firma.infocert.it para permitir a verificação da assinatura aposta em documentos assinados digitalmente segundo os formatos definidos pelos atos de implementação específicos do Regulamento.

As informações sobre os ambientes em que o produto Dike opera, os pré-requisitos de hardware e software, como também todas as indicações para a instalação do produto podem ser encontradas no endereço web acima indicado. As instruções para a utilização do produto estão incluídas no próprio produto e podem ser consultadas mediante a função de Ajuda. A possibilidade de visualizar o ficheiro depende da disponibilidade na estação de trabalho do utilizador de um software de visualização adequado.

Para a utilização dos certificados qualificados emitidos em virtude da presente DPC, a InfoCert coloca à disposição serviços e plataformas para a assinatura dos documentos.

Os documentos eletrónicos assinados com certificados emitidos pela InfoCert também podem ser verificados mediante outros instrumentos, capazes de interpretar os formatos de assinatura previstos. Tais instrumentos estão fora da responsabilidade da InfoCert.

Em geral, os documentos assinados utilizando os certificados emitidos em virtude da presente DPC, em formato PAdES, são verificáveis com a ferramenta Adobe Reader®.

Advertência Alguns formatos permitem introduzir o código executável (macros ou comandos) no interior do documento sem que isso altere a sua estrutura binária e são capazes de ativar funcionalidades que podem modificar os atos, os factos ou os dados representados no documento. Os ficheiros assinados digitalmente que contêm tais estruturas não produzem os efeitos referidos no artigo 25.º, alínea 2, do Regulamento [1], ou seja, a assinatura deles não pode ser considerada equivalente a uma assinatura manuscrita. Compete ao Titular certificar-se, mediante as funcionalidades típicas de cada produto, da ausência do referido código executável.

Documents

Declaração de Práticas de Certificação Enterprise