Com a publicação do Decreto-Lei 116-A/2006, de 16 de Junho, a Autoridade Nacional de Segurança (ANS) foi designada como entidade competente para a credenciação e a fiscalização das Entidades Certificadoras (EC) estabelecidas em Portugal, funções e competências até então cometidas ao Instituto das Tecnologias da Informação da Justiça (ITIJ).
A atribuição destas funções à ANS justificou-se pela especial aptidão que esta entidade possui para actuar como Autoridade Credenciadora (AC), bem como pelo facto de se encontrar integrada na Presidência do Conselho de Ministros (PCM) e garantir forte hierarquia de segurança.
Dado o contexto, a ANS exerce as suas atribuições de modo a garantir que as EC, públicas ou privadas, estabelecidas em Portugal, cumprem os requisitos aplicáveis à prestação de serviços de certificação electrónica.
A assinatura electrónica, em documento susceptível de representação como declaração escrita, só é válida se o mesmo for enviado por via electrónica, para que o receptor a possa verificar.
Importa que o meio de comunicação "seja adoptado pelas partes ao abrigo de válida convenção sobre prova ou seja aceite pela pessoa a quem for oposto o documento" (transcrição parcial do §4 do Artigo 3º do Decreto-Lei n.º 62/2003, de 3 de Abril).
Prestação de Serviços de Certificação Electrónica
As EC que disponibilizam certificados electrónicos qualificados, de modo a suportar a produção de assinaturas electrónicas qualificadas, têm de cumprir obrigatoriamente os requisitos mínimos definidos nas disposições legais e regulamentares em vigor (ver GNS\NT-D 03), disponibilizando para o efeito um conjunto de funções/serviços nucleares e opcionalmente determinados serviços suplementares.
São serviços nucleares: o Registo; Emissão; Distribuição; Estado das revogações e Gestão das revogações. Os serviços suplementares são o fornecimento do Dispositivo Seguro de Criação de Assinaturas e o de Validação Cronológica.
No âmbito das funções da Autoridade Credenciadora, destacam-se as seguintes actividades:
Registo de Entidades Certificadoras
De acordo com o n.º 2 do Artigo 9.º do Decreto-Lei n.º 62/2003, de 3 de
Abril, “(…) as entidades certificadoras que emitam certificados qualificados
devem proceder ao seu registo junto da entidade credenciadora (…)”. Sem
este procedimento, a EC não pode emitir certificados qualificados.
O pedido de registo é realizado mediante o preenchimento de formulário
próprio (Formulário para pedido de registo/credenciação de EC que emitem
certificados qualificados). Este pedido pode ser apresentado na AC, em
papel, directamente, ou remetido pelo correio, sob registo, ou por via
electrónica desde que ao mesmo seja aposta uma assinatura electrónica
qualificada e os documentos que acompanham o pedido sejam remetidos à
AC no prazo de três dias subsequentes.
Após o Registo, a EC fica sob fiscalização/supervisão da AC que tomará
as medidas que considerar adequadas, com vista à verificação de
conformidade face às determinações em vigor.
As EC que efectuaram o Registo passam a constar naTrusted List.
Credenciação de Entidades Certificadoras
As EC que emitam certificados qualificados, podem solicitar a sua
credenciação. Este procedimento é especialmente relevante, uma vez que
só as assinaturas electrónicas qualificadas emitidas por uma EC
credenciada pela AC têm a força probatória de documento particular
assinado, nos termos do artigo 376.º do Código Civil.
A Credenciação de EC elabora-se de acordo com o estatuído no Artigo
12.º do Decreto-Lei n.º 62/2003, de 3 de Abril.
As EC credenciadas são inscritas automaticamente na Trusted List .
Credenciação de Auditores de Segurança (AS) de
Entidades Certificadoras
O AS é uma pessoa singular ou colectiva, independente da EC, de
reconhecida idoneidade, experiência e qualificações comprovadas na área
da segurança da informação e na execução de auditorias de segurança,
devidamente credenciado pela ANS.
O processo de credenciação de AS é desenvolvido de acordo com o
definido na Norma Técnica do Gabinete Nacional de Segurança (GNS)
NT-D 01.
Os AS credenciados pelo GNS são os que constam na respectiva listagem
(“Lista dos Auditores de Segurança de Entidades Certificadoras”)
disponibilizada neste sítio Web.
Formação
Curso de Especialização de Auditores de Segurança de Entidades
Certificadoras.
Este Curso encontra-se em preparação.
Avaliação de Produtos / Sistemas de Certificação
Electrónica
O GNS efectua, a pedido dos interessados, a avaliação de produtos para
assinatura electrónica (para gestão do ciclo de vida dos certificados),
utilizando como referencial, os requisitos de segurança definidos no
documento CWA 14167-1, “Security Requirements for Trustworthy Systems
Managing Certificates for Electronic Signatures - Part 1: System Security
Requirements”, de Junho de 2003.
Formulários e Relações
Legislação
- Decreto-Lei nº 170/2007, de 3 de Maio (Lei Orgânica do GNS)
- Decreto-Lei nº. 290-D/99, de 2 de Agosto (Republicado pelo Decreto-Lei nº 88/2009, de 9 de Abril)
- Decreto Regulamentar nº. 25/2004, de 15 de Julho
Decreto-Lei nº. 116-A/2006, de 16 de Junho (Republicado pelo Deceto-Lei nº 88/2009, de 9 de Abril)
- Decreto-Lei nº. 18/2008, de 29 de Janeiro
- Declaração de Rectificação nº. 18-A/2008, de 28 de Março
Portaria nº. 701-A/2008, de 29 de Julho
- Portaria nº. 701-G/2008, de 29 de Julho
Normas Técnicas
Perguntas Frequentes
Como verificar a validade e o valor probatório de uma assinatura
electrónica qualificada?
De acordo com a Legislação Nacional em vigor, uma assinatura
electrónica qualificada é uma assinatura digital ou outra modalidade
de assinatura electrónica avançada que satisfaça as exigências de
segurança idênticas às da assinatura digital, baseadas num
certificado qualificado e criadas através de um dispositivo seguro de
criação de assinatura.
A verificação de uma assinatura electrónica qualificada envolve a
confirmação de determinados aspectos... (clique aqui)