Legislação e Normas Técnicas | Avaliação de Software

O Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno, mais conhecido por regulamento eIDAS, entrou em vigor em 17/09/2014 e o essencial do seu articulado passou a ser aplicado desde 01/07/2016.
O citado regulamento revogou a Diretiva n.º 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de dezembro de 1999, relativa a um quadro legal comunitário para as assinaturas eletrónicas.
O eIDAS tem como objetivo principal, estabelecer uma base europeia comum para uma interação eletrónica segura, aumentando a confiança e segurança das transações online na União Europeia, promovendo uma maior utilização de serviços online por parte dos cidadãos, operadores económicos e administração pública.
O eIDAS estabelece um conjunto alargado de serviços de confiança, bem como o reconhecimento mútuo transfronteiriço dos meios de identificação eletrónica (eID). A partir de 29 de setembro de 2018, um cidadão da UE com um cartão eID (notificado de acordo com o regulamento eIDAS), poderá aceder a qualquer serviço público online a partir de qualquer Estado-Membro da EU.
Com o regulamento eIDAS é estabelecida uma nova arquitetura institucional e de governança em matéria de segurança dos meios de identificação eletrónica e dos serviços de confiança, a qual passa pela existência das seguintes entidades:
- Entidade supervisora (Gabinete Nacional de Segurança), cuja função principal é a de supervisionar os prestadores qualificados de serviços de confiança estabelecidos no território nacional, no sentido de verificar se os prestadores e os serviços de confiança qualificados por eles prestados cumprem os requisitos estabelecidos no regulamento eIDAS;
- Entidade gestora das listas de confiança (Gabinete Nacional de Segurança), que é responsável pela elaboração, conservação, atualização e publicação das listas de confiança nacionais;
- Organismos de avaliação de conformidade, entidades competentes para realizar a avaliação da conformidade de prestadores qualificados de serviços de confiança e dos serviços de confiança qualificados prestados. Estes organismos são obrigatoriamente acreditados pelo organismo nacional de acreditação (o Instituto Português de Acreditação, I.P.);
- Prestador de serviços de confiança, que é a pessoa singular ou coletiva que presta um ou mais do que um serviço de confiança, quer como prestador qualificado quer como prestador não qualificado de serviços de confiança;
- Agência da União Europeia para a segurança das redes e da informação (ENISA), que recebe anualmente da entidade supervisora um resumo das notificações de violações da segurança e de perda de integridade que tenha recebido dos prestadores de serviços de confiança;
- Autoridade responsável pela proteção de dados (Comissão Nacional de Proteção de Dados), que recebe informação da entidade supervisora sobre auditorias ou dos resultados das auditorias realizadas a prestadores qualificados de serviços de confiança, quando haja suspeita de terem sido violadas as regras de proteção dos dados pessoais, assim como é notificada pelos prestadores de serviços de confiança de todas as violações da segurança ou perdas de integridade que tenham um impacto significativo sobre os dados pessoais por eles conservados.
O eIDAS estabelece os seguintes serviços de confiança:
- Assinaturas eletrónicas;
- Selos eletrónicos;
- Selos temporais;
- Serviços de envio registado eletrónico;
- Autenticação de websites.
Os serviços de confiança previstos no regulamento são disponibilizados ao público por prestadores de serviços de confiança.
O artigo 21.º do regulamento eIDAS define que, quando os prestadores de serviços de confiança pretendam começar a prestar serviços de confiança qualificados, apresentam à entidade supervisora uma notificação da sua intenção, acompanhada de um relatório de avaliação da conformidade emitido por um organismo de avaliação da conformidade.
Pode ser descarregado a seguir, o modelo para a notificação referida.
PDF - Formulário para notificação de início/manutenção de serviço de confiança qualificado
MS Word - Formulário para notificação de início/manutenção de serviço de confiança qualificado
O documento “Formulário para notificação de início/manutenção de serviço de confiança qualificado”, estabelece as regras para a referida notificação, bem como para a elaboração do obrigatório Relatório de Avaliação de Conformidade. O referido documento tem particular interesse para o Prestadores de Serviços de Confiança e Organismos de Avaliação de Conformidade (obrigatoriamente acreditados pelo IPAC – www.ipac.pt).
Os Prestadores e respetivos Serviços de Confiança Qualificados são inscritos na Trusted List Nacional.
Validação de assinaturas eletrónicas: No link seguinte pode verificar o tipo de assinatura eletrónica que está aposta num documento, nomeadamente, assinatura eletrónica avançada (AdES), assinatura eletrónica avançada baseada em certificado qualificado (AdES/QC) ou assinatura eletrónica qualificada (QES).
European Commission Digital Signature Service (DSS)