GUIA IDENTIFICAÇÃO ELECTRÓNICA AUTENTICAÇÃO E ASSINATURA ELECTRÓNICA

Tamanho: px
Começar a partir da página:

Download "GUIA IDENTIFICAÇÃO ELECTRÓNICA AUTENTICAÇÃO E ASSINATURA ELECTRÓNICA"

Transcrição

1 GUIA IDENTIFICAÇÃO ELECTRÓNICA AUTENTICAÇÃO E ASSINATURA ELECTRÓNICA versão de Maio de 2009 Agência para a Modernização Administrativa, IP Rua Abranches Ferrão n.º 10, 3º G LISBOA telefone: fax:

2 Folha de Controlo Nome do Documento: Evolução do Documento Versão Autor Data Comentários 0.9 AMA Versão inicial para discussão pública. Documentos Relacionados Nome do documento Tipo Documento Descrição Controlo de Aprovações Entidade Nomes Data _v09.doc Página 2 de 53

3 Índice 1. RESUMO EXECUTIVO ÂMBITO OBJECTIVO ABRANGÊNCIA APLICABILIDADE & REGULAMENTAÇÃO ENQUADRAMENTO ESTRUTURA DO DOCUMENTO METODOLOGIA DE UTILIZAÇÃO CONCEITOS E CONSIDERAÇÕES GERAIS MÉTODOS DE IDENTIFICAÇÃO/AUTENTICAÇÃO ELECTRÓNICA Utilizador e Palavra-Chave Token de Autenticação Certificado Digital não Qualificado Assinatura /Certificado Digital Qualificado Dados biométricos SMART CARDS SINGLE SIGN ON INFRA-ESTRUTURA DE CHAVE PÚBLICA MODELO DE REFERÊNCIA PARA IDENTIFICAÇÃO ELECTRÓNICA CARTÃO DE CIDADÃO Certificados Digitais do Cartão de Cidadão Identificação através do método de Match-On-Card Identificação através de One-Time-Password OTP (EMV-CAP) FORNECEDOR DE AUTENTICAÇÃO DO CARTÃO DE CIDADÃO INFRA-ESTRUTURA DE CHAVE PÚBLICA DO CARTÃO DE CIDADÃO SERVIÇOS DE APOIO À VERIFICAÇÃO Serviços de Apoio à Verificação dos Certificados Digitais do Cartão de Cidadão Verificação através do método de Match-On-Card Serviços a Disponibilizar NORMAS & ESPECIFICAÇÕES TÉCNICAS CERTIFICADOS DIGITAIS DE AUTENTICAÇÃO CERTIFICADOS DIGITAIS DE ASSINATURA ELECTRÓNICA MATCH-ON-CARD EXEMPLO ANEXOS ANEXO I TERMOS E ABREVIATURAS ANEXO II ATRIBUTOS DO CERTIFICADO DO CARTÃO DE CIDADÃO _v09.doc Página 3 de 53

4 1. RESUMO EXECUTIVO Este documento tem por objectivo apresentar as linhas orientadoras para a identificação e autenticação de um Cidadão ou Empresa perante as Entidades da Administração Pública. Neste âmbito, são detalhados os conceitos de identificação e autenticação e assumido como pressuposto fundamental a utilização do Cartão de Cidadão enquanto mecanismo essencial neste processo de identificação/autorização do Cidadão. São focados em abstracto conceitos e considerações relativamente aos métodos de identificação/autenticação electrónica existentes, nomeadamente: Utilizador e Palavra-Chave; Token de Autenticação; Certificado Digital não Qualificado; Assinatura / Certificado Digital Qualificado; Dados biométricos. Em maior detalhe, são apresentados os mecanismos para identificação do Cidadão existentes no Cartão de Cidadão e efectuada a sua associação com os conceitos anteriormente expostos, bem como os serviços de apoio à verificação dos mesmos. Deste modo, os mecanismos existentes no Cartão de Cidadão são: Certificados Digitais que abrangem dois modelos: Certificados de Autenticação e Certificados de Assinatura ; Identificação através do método de Match-on-Card; Identificação através do método de One-Time Password. São ainda apresentadas recomendações e directrizes para a selecção do(s) método(s) de autenticação a empregar segundo o canal de atendimento utilizado pela Entidade interessada. Associadas a esta selecção são referidas as normas e especificações técnicas a assegurar para a correcta utilização dos processos escolhidos. Por fim é apresentado um quadro com os Termos e Abreviaturas referidas ao longo deste Guia. _v09.doc Página 4 de 53

5 2. ÂMBITO 2.1. Objectivo Com a rápida expansão dos serviços electrónicos disponibilizados pelos Organismos da Administração Pública e com a consolidação do Cartão de Cidadão como principal documento identificador dos cidadãos nacionais torna-se premente regulamentar sobre as normas a aplicar na identificação e autenticação electrónica. Alinhado a este facto encontram-se as recomendações efectuadas pela União Europeia sobre a necessidade de definir regras relativamente à Assinatura Digital de documentos no espaço Europeu. É objectivo deste guia ir ao encontro da solução destas problemáticas e regulamentar normas e recomendações neste âmbito a serem aplicadas pelos Organismos da Administração Pública Abrangência As normas aqui apresentadas referem-se à identificação electrónica dos cidadãos perante os Organismos da Administração Pública Aplicabilidade & Regulamentação Em termos de aplicabilidade das normas e recomendações apresentadas foi definido o seguinte: Estas normas apresentam carácter vinculativo para os Organismos da Administração Pública, sendo que são fortemente recomendadas para as restantes Entidades Privadas; São vinculativas para novos serviços e sistemas que venham a ser implementados. Nestes casos é obrigatória a existência exclusiva de mecanismos de autenticação e identificação através do Cartão de Cidadão; _v09.doc Página 5 de 53

6 São vinculativas para os serviços e sistemas actuais, onde estes têm que ser adaptados de modo a englobar mecanismos de autenticação e identificação através do Cartão de Cidadão. Serão definidos os prazos para estas adaptações serem efectuadas. Para os serviços e sistemas existentes, os actuais métodos de identificação podem-se manter em funcionamento em paralelo com os mecanismos a implementar para o Cartão de Cidadão. São agora expostos os métodos a implementar por canal de atendimento. Recomenda-se a utilização de um dos métodos ou a combinação de um ou mais métodos tendo em conta os vários canais de atendimento que uma Entidade disponibiliza ao Cidadão/Empresa e o nível de segurança que pretende dar à informação ou ao serviço. A definição dos níveis de segurança deve ter em conta os impactos que podem surgir devido à apropriação indevida da identidade de uma pessoa no acesso à informação ou ao serviço, nomeadamente: Perda de integridade; Perda de disponibilidade; Perda de confidencialidade; Risco da segurança pessoal; Perda financeira. Quanto mais severas forem as consequências desta apropriação indevida e do acesso à informação ou ao serviço, maior deve ser o nível de segurança a aplicar para as transacções a efectuar, tendo em conta os vários riscos associados, nomeadamente: Falsificação de identidade; Roubo do token de acesso; Roubo da identidade real; Intercepção ou revelação de informação secreta de autenticação; Registo de informação secreta de autenticação em sistemas não confiáveis; Uso não autorizado do token de acesso; _v09.doc Página 6 de 53

7 Uso de uma credencial comprometida; Uso de uma credencial alterada/modificada; Uso de uma credencial para um intuito indevido; Invalidação de uma credencial sem uma causa válida; Uso fraudulento de uma credencial; Ataque de um hacker; Registo disperso da informação. Tendo em conta os vários impactos e riscos descritos e de acordo com as politicas de segurança existentes nesta área, podem ser definidos quatro níveis de criticidade no acesso à informação e serviços disponibilizados: Nível 1 acesso a informação e a serviços do âmbito público; Nível 2 acesso a informação e a serviços do âmbito público, onde se assume que possa ocorrer algum dano para a Organização, sem nunca comprometer as entidades (cidadãos/empresas) que a Organização serve; Nível 3 acesso de leitura a informação e a elegibilidade de serviços do âmbito privado de uma determinada entidade (cidadão/empresa); Nível 4 acesso de alteração da informação e execução de serviços do âmbito privado de uma determinada entidade (cidadão/empresa). _v09.doc Página 7 de 53

8 As tabelas seguintes descrevem as recomendações e obrigações para as Entidades da Administração Pública na utilização de cada um dos métodos de identificação/autenticação em cada um dos canais, tendo em conta o nível de criticidade da informação/serviços acedidos, com a seguinte nomenclatura: Interdito Método de autenticação que não poderá, em caso algum, ser usado para o nível de criticidade da informação/serviço em causa; Não Recomendado Método de autenticação não aconselhado para nível de criticidade da informação/serviço em causa. A sua utilização poderá por em causa o nível de segurança da informação ou serviço, podendo o organismo ser responsabilizado por esse facto; Recomendado Método de autenticação que poderá ser usado para nível de criticidade da informação/serviço em causa; Obrigatório Método de autenticação que terá de ser usado para nível de criticidade da informação/serviço em causa; Opcional Método de autenticação que poderá alternativamente (ao recomendado) ser usado para nível de criticidade da informação/serviço em causa. A sua utilização não sendo obrigatória, poderá ser usada para assegurar um nível de segurança no acesso à informação ou serviço similar; Não Aplicável Método de autenticação não aplicável para o nível de criticidade da informação/serviço em causa. _v09.doc Página 8 de 53

9 Métodos de Autenticação para o canal presencial Nível de criticidade da informação/serviços Método de Identificação Comparação visual de fotografia titular Nível 1 Nível 2 Nível 3 Nível 4 recomendado obrigatório obrigatório obrigatório Assinatura Digital do Cartão de Cidadão não recomendado não recomendado Opcional Opcional On-Time-Password do Cartão de Cidadão não recomendado não recomendado Opcional Opcional Autenticação com Certificado Digital do Cartão de Cidadão não recomendado opcional Opcional Opcional Match-On-Card do Cartão de Cidadão não recomendado não recomendado opcional Opcional Utilizador e Palavra Chave não recomendado opcional interdito interdito Métodos de Autenticação para o canal telefónico Nível de segurança de identificação/autenticação Método de Identificação Assinatura Digital do Cartão de Cidadão On-Time-Password do Cartão de Cidadão Autenticação com Certificado Digital do Cartão de Cidadão Match-On-Card do Cartão de Cidadão Utilizador e Palavra Chave Nível 1 Nível 2 Nível 3 Nível 4 não aplicável não aplicável não aplicável não aplicável opcional opcional recomendado obrigatório não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável _v09.doc Página 9 de 53

10 Métodos de Autenticação para o canal web (sites) Nível de segurança de identificação/autenticação Método de Identificação Assinatura Digital do Cartão de Cidadão On-Time-Password do Cartão de Cidadão Autenticação com Certificado Digital do Cartão de Cidadão Nível 1 Nível 2 Nível 3 Nível 4 não aplicável não aplicável não aplicável não aplicável opcional opcional opcional opcional opcional opcional recomendado obrigatório Match-On-Card do Cartão de Cidadão não recomendado não recomendado não recomendado não recomendado Utilizador e Palavra Chave opcional opcional não recomendado interdito Métodos de Autenticação de funcionários em Sistemas de Informação Nível de criticidade da informação/serviços Método de Identificação Assinatura Digital do Cartão de Cidadão On-Time-Password do Cartão de Cidadão Autenticação com Certificado Digital do Cartão de Cidadão Match-On-Card do Cartão de Cidadão Utilizador e Palavra Chave Nível 1 Nível 2 Nível 3 Nível 4 opcional opcional opcional recomendado opcional opcional opcional opcional opcional opcional recomendado obrigatório opcional opcional opcional opcional opcional opcional interdito interdito _v09.doc Página 10 de 53

11 Métodos de Assinatura de Documentos e Transacções Nível de criticidade da informação/serviços Método de Identificação Assinatura Digital do Cartão de Cidadão On-Time-Password do Cartão de Cidadão Autenticação com Certificado Digital do Cartão de Cidadão Match-On-Card do Cartão de Cidadão Utilizador e Palavra Chave Nível 1 Nível 2 Nível 3 Nível 4 obrigatório obrigatório obrigatório obrigatório não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável _v09.doc Página 11 de 53

12 3. ENQUADRAMENTO No âmbito da modernização da Administração Pública particularmente na interacção entre os seus Organismos e o Cidadão, a identificação electrónica é um dos alicerces da administração electrónica, pois permite identificar e autenticar de forma electrónica os Cidadãos e Empresas perante a Administração Pública, potenciando dessa forma a utilização de serviços electrónicos. Para identificar e autenticar um dado Cidadão é necessário responder às seguintes questões: Quem é a pessoa que se pretende identificar e autenticar? Como saber que a pessoa é quem diz ser? De forma a responder a estas questões, a identificação electrónica disponibiliza os seguintes mecanismos: Identificação: responde à primeira questão e consiste em determinar a identidade de um Cidadão com base num atributo ou conjunto de atributos de diferentes origens; Autenticação: responde à segunda questão e consiste em garantir que a identidade fornecida por um determinado Cidadão pertence a esse Cidadão. Através da utilização conjunta destes dois mecanismos, garante-se a identidade do Cidadão para o acesso e execução de serviços, electrónicos ou físicos, consoante o canal de atendimento. No presente introduziram-se vários mecanismos de suporte à identificação e autenticação electrónica de um Cidadão descrevendo os conceitos técnicos associados a cada um deles. Este documento tem como principal audiência as diversas entidades da Administração Pública que pretendam utilizar os mecanismos de identificação electrónica dos Cidadãos. Contudo, o âmbito da mesma estende-se ao sector privado, pelo que a informação aqui apresentada também deve servir _v09.doc Página 12 de 53

13 como uma referência para as entidades privadas que pretendam utilizar os serviços de identificação electrónica disponibilizados pela Administração Pública. _v09.doc Página 13 de 53

14 4. ESTRUTURA DO DOCUMENTO O documento de Guia para a Identificação encontra-se nos próximos capítulos estruturado em: Metodologia de utilização: apresenta a forma de aplicação e utilização do documento, enumerando um conjunto de critérios que devem ser considerados na utilização dos métodos de identificação electrónica apresentados no âmbito deste documento; Conceitos e Considerações Gerais: descreve vários conceitos e considerações gerais na área da identificação e assinatura electrónica, que devem ser do conhecimento da entidade que pretende utilizar o documento; Modelo de referência: anuncia um modelo de referência de um sistema desta natureza, onde são apresentados os métodos de identificação electrónica mais recorrentes; Recomendações: enumera um conjunto de referências e recomendações que devem ser consideradas para a aplicação do conteúdo do documento e para a continuidade e evolução do mesmo, servindo de complemento à metodologia de utilização, conceitos e considerações gerais e ao próprio modelo de referência; Especificações Técnicas: apresenta um conjunto de standards técnicos que devem ser aplicados para dar suporte aos mecanismos enunciados no modelo de referência; Anexos: conjunto de referências a informação auxiliar que complementam o documento. _v09.doc Página 14 de 53

15 5. METODOLOGIA DE UTILIZAÇÃO Para identificação/autenticação de um Cidadão perante uma Entidade, da Administração Pública, existem vários métodos de autenticação que se encontram classificados em três grupos: Algo que o Cidadão sabe: neste grupo encontram-se os métodos de autenticação que se baseiam em algo que a Cidadão conhece ou sabe, como por exemplo uma palavra-chave, um número único de identificação (PIN) ou uma frase de segurança; Algo que o Cidadão tem: neste grupo encontram-se os métodos de autenticação que se baseiam em algo que o Cidadão possui, como por exemplo um token de segurança, um certificado digital ou smartcard; Algo que o Cidadão é: neste grupo encontram-se os métodos de autenticação que se baseiam em informação biométrica do Cidadão, como por exemplo a sua impressão digital, o padrão da sua retina, o padrão da sua voz ou a sua forma de escrever. Apesar de cada um dos métodos fornecer as capacidades para identificação e autenticação de um determinado Cidadão, o nível de segurança associado a cada um dos níveis varia, pelo que a escolha de qual o método a utilizar deve ter em conta o nível de segurança que se pretende ter. Contudo, por vezes, a utilização de apenas um método de autenticação não fornece o nível de segurança necessária, pelo que a combinação de vários métodos de autenticação é uma das formas de fortalecer a segurança dos processos de identificação e autenticação. A aplicação de cada método depende do nível de segurança que se pretende ter no processo de autenticação de uma determinada entidade. Tal como descrito anteriormente, os vários métodos de identificação/autenticação oferecem níveis de segurança que se encontram classificados nos seguintes grupos: _v09.doc Página 15 de 53

16 Fraco: métodos de identificação/autenticação em que os níveis de segurança oferecidos estão dependentes apenas do conhecimento de uma determinada entidade e do sigilo daquilo que esta conhece e que é utilizado para se autenticar; Forte: métodos de identificação/autenticação em que os níveis de segurança oferecidos não dependem somente do conhecimento de uma determinada entidade mas que também depende de alguma característica sua ou de algo que ela possui. Tipicamente os métodos de autenticação forte combinam dois ou mais métodos de autenticação. Assim sendo, no âmbito de cada projecto de implementação na área da Identificação, cabe à Entidade determinar quais os mecanismos e os requisitos que considera como obrigatórios e quais os que considera como opcionais, considerando o indicado no capítulo de Aplicabilidade & Regulamentação 1 onde é apresentada a matriz de utilização de cada um dos métodos por canal de interacção com o Cidadão classificados por nível de segurança. 1 Para maior detalhe consultar capítulo Aplicabilidade & Regulamentação _v09.doc Página 16 de 53

17 6. CONCEITOS E CONSIDERAÇÕES GERAIS Neste capítulo são apresentados os métodos de Identificação/Autenticação electrónica existentes, sendo efectuada uma explicação acerca do seu funcionamento bem como a sua classificação segundo o nível de segurança a ele associado Métodos de Identificação/Autenticação A presente secção descreve os vários métodos de identificação/autenticação electrónica existentes. Para cada método é apresentada uma explicação do seu modo de funcionamento e dos mecanismos de suporte envolvidos Utilizador e Palavra-Chave Método de identificação que se baseia no princípio de que o utilizador e a Entidade que fornece o serviço ou recurso possuem conhecimento mútuo de uma palavra-chave estática (que pode ser um palavra, um número ou uma frase) que o utilizador deve fornecer em conjunto com um ou mais dados de identificação não confidenciais (exemplo: nome de utilizador) à Entidade, sempre que pretender aceder a recursos desta. Para validar a identidade do utilizador, a Entidade deve verificar se a palavra-chave fornecida é igual à palavra-chave que conhece. O nível de segurança deste mecanismo de autenticação dependente de vários factores como o sigilo, a complexidade e a possibilidade de a palavra-chave poder ser adivinhada e/ou calculada por outros que não o utilizador Personal Identification Number (PIN) Um caso particular da autenticação por Palavra-Chave é a utilização de um Personal Identification Number (PIN). Este método de identificação baseia-se no princípio de que o utilizador e a Entidade que fornece o serviço ou recurso possuem conhecimento mútuo de um número que o utilizador _v09.doc Página 17 de 53

18 deve fornecer à Organização em conjunto com um ou mais dados de identificação não confidenciais (exemplo: nome de utilizador), sempre que pretender aceder a recursos desta. Para validar a identidade do utilizador, a Entidade deve verificar se a número fornecido é igual ao número que conhece, para os dados de identificação conhecidos. O nível de segurança deste mecanismo de autenticação está dependente de vários factores como o sigilo, a complexidade e a possibilidade de o número poder ser adivinhado e/ou calculado por outros que não o utilizador Token de Autenticação Método de autenticação que consiste, tipicamente na utilização dois factores 2 ou chaves para a identificação do utilizador para além dos dados de identificação não confidenciais (exemplo: nome de utilizador): uma palavra-chave estática e uma palavra-chave dinâmica (chave), esta última gerada por um mecanismo externo (token) na posse do utilizador. A palavra-chave dinâmica obtém-se através de um dispositivo de autenticação autónomo o token que armazena chaves, ou possui a capacidade de gerar/calcular uma chave única no tempo (One Time Password OTP), que é utilizada no processo de autenticação, ou tem capacidade de participar em esquemas de challenge/response com o servidor de autenticação. Geralmente o token necessita da inserção de uma palavra-chave estática para produzir a chave dinâmica. Por questões de segurança, recomenda-se que a transmissão da chave dinâmica obtida através do token seja efectuada através de um meio de comunicação seguro (por exemplo, uma ligação SSL). Sempre que pretender aceder aos recursos de uma Entidade, o utilizador deve fornecer os dados de identificação não confidenciais (exemplo: nome de utilizador) e a chave dinâmica, sendo esta 2 Os métodos baseados em dois factores de identificação/autenticação utilizam uma combinação de dois elementos entre os seguintes: algo que o utilizador é (por exemplo: validação de íris ou impressão digital), algo que o utilizador tem (por exemplo: um gerador de tokens), algo que o utilizador sabe (por exemplo: uma palavra-chave). Trata-se de um método mais seguro do que métodos baseados apenas em algo que o utilizador sabe, como a identificação/autenticação por palavra-chave. _v09.doc Página 18 de 53

19 obtida através do token após a inserção da palavra-chave estática neste dispositivo. Por seu turno, a Entidade deve verificar se a chave dinâmica fornecida é válida para o utilizador em questão. O nível de segurança do método de autenticação por token gerador de chaves dinâmicas depende do grau de complexidade do token utilizado, como por exemplo o tipo de criptografia aplicado Certificado Digital não Qualificado Um certificado digital de chave pública não qualificado, doravante designado por certificado digital, é um documento electrónico que funciona como credencial, relacionando uma chave pública com a identidade de uma Entidade, Pessoa ou Organização. Trata-se de uma credencial electrónica emitida por uma Entidade de Certificação fidedigna e que contém a informação necessária para identificar e autenticar uma determinada Entidade (Pessoa ou Organização) perante outra. Para além da credencial, o certificado digital possui um par de chaves criptográficas: Chave privada: chave do conhecimento do detentor do certificado digital e pode ser utilizada para cifrar dados e/ou para assinar digitalmente documentos electrónicos; Chave pública: chave conhecida e comunicada às Entidades com as quais o detentor do certificado se pretende relacionar e que é utilizada para decifrar dados e/ou validar a assinatura digital de documentos electrónicos. A chave pública é associada aos atributos que identificam o detentor do certificado. Quando o detentor do certificado pretender aceder aos recursos de uma Entidade, deve fornecerlhe o seu certificado digital, sendo a Entidade que disponibiliza os recursos responsável por verificar se o certificado fornecido é válido junto da Entidade Emissora do Certificado. _v09.doc Página 19 de 53

20 Actualmente o nível de segurança deste método de autenticação pode ser considerado como seguro quando a Entidade Certificadora é reconhecida pelos seus participantes como uma entidade fidedigna, tal como numa Infra-estrutura de Chave Pública (PKI) Assinatura /Certificado Digital Qualificado Uma assinatura electrónica pode ser definida como um processo de criptografia electrónico recorrendo a um par de chaves, tipicamente contidas num certificado digital, através do qual é gerada uma sequencia de bytes cujo valor não tem significado fora do contexto de um algoritmo especifico e que acompanha o documento assinado como anexo. A assinatura do documento implica uma aprovação dos termos e/ou de um documento electrónico pelo signatário, de forma análoga a uma assinatura física tradicional. Para além destas características, a assinatura electrónica de um documento assegura a integridade do mesmo, ou seja, assegura que o documento não foi alterado desde que foi assinado, bem como a não repudiação do documento, ou seja, garante que o documento foi assinado pelo signatário cuja assinatura consta no documento. A assinatura digital baseia-se em dois processos criptográficos que recorrem às chaves criptográficas e dos algoritmos de hashing: Resumo criptográfico do documento a enviar (hash) A geração do resumo criptográfico do documento consiste na aplicação de algoritmos de hashing ao documento, como MD5 4, SHA-1 5, SHA-256 6, que o reduzem a um resumo de dimensão constante; A cifra do resumo. Associado a uma assinatura electrónica existem sempre dois procedimentos a considerar: 3 Para mais informações sobre PKI, consultar a secção 6.4 deste documento _v09.doc Página 20 de 53

21 Geração da assinatura Procedimento segundo o qual o signatário produz a sequência de bytes (assinatura) a partir do documento e de informação secreta ou privada (a chave privada). Este procedimento deve assegurar as propriedades requeridas para a assinatura: autenticidade, integridade e não repudiação do documento; Verificação da assinatura Procedimento segundo o qual o destinatário do documento assinado consegue assegurar-se de que a sequência de bytes que recebe como assinatura é um valor válido, gerado pelo signatário para esse fim. Actualmente o nível de segurança deste método de identificação e autenticação pode ser considerado como seguro quando a Entidade que emite o certificado que dá suporte à assinatura digital é reconhecida pelos seus participantes como uma entidade fidedigna Dados biométricos A identificação e autenticação através de dados biométricos baseia-se nas características humanas de uma pessoa como a impressão digital, voz, face, íris, entre outras, considerando que essas características são únicas. Para a utilização deste método de autenticação, a Entidade que fornece os seus recursos deve efectuar previamente a recolha dos dados biométricos que pretende utilizar para identificar o utilizador. Quando o utilizador pretender aceder aos recursos da Entidade, deve permitir a obtenção dos seus dados biométricos pela Entidade, que deve verificar se os dados fornecidos são iguais aos dados recolhidos anteriormente A assinatura digital tem o valor legal conferido pela lei, nomeadamente no Decreto-Lei nº 290-D/99, de 2 de Agosto, republicado pelo Decreto-Lei nº 62/2003, de 3 de Abril e alterado pelos Decretos-Lei nºs 165/2004, de 6 de Julho e 116- A/2006, de 16 de Junho _v09.doc Página 21 de 53

22 Dependo da característica humana que é utilizada para a identificação, actualmente este método de autenticação pode ser considerado como um método de identificação seguro, dependendo da verificação presencial da pessoa que se pretende identificar e autenticar Smart Cards Os smart cards são o suporte físico (em formato de cartões) para a informação utilizada para alguns dos métodos de autenticação referidos anteriormente, nomeadamente a autenticação através de token, certificados digitais ou dados biométricos. Este tipo de cartões possui o hardware e o software necessário para a realização de operações importantes na área de identificação electrónica, nomeadamente: Guardar e aceder de forma segura os certificados digitais, fornecendo as capacidades necessárias para autenticação através de certificados digitais; Guardar e validar de forma segura os dados biométricos, fornecendo as capacidades necessárias para a autenticação através de dados biométricos; Gerar chaves únicas, fornecendo as capacidades necessárias para a autenticação através de tokens; Assinar e cifrar documentos em formato digital, utilizando os certificados digitais contidos no cartão, fornecendo as capacidades necessárias para assinatura electrónica de documentos. Tal como referido anteriormente, a combinação de mais que um método de autenticação permite fortalecer a segurança do acto de autenticação Single Sign On O mecanismo de Single Sign On (SSO) é o mecanismo através do qual, numa única acção de identificação e autenticação, permite a um utilizador adquirir acesso a vários recursos _v09.doc Página 22 de 53

23 (computadores, sistemas, serviços, informações) que requerem identificação e respectiva autenticação e para os quais o utilizador tem permissões de acesso, sem que seja necessário repetir a acção de identificação e/ou autenticação para cada recurso específico. Com este mecanismo, a identificação e autenticação do utilizador é efectuada numa única entidade, designada por entidade fornecedora de autenticação ou servidor de autenticação, o qual emite um certificado de autenticação 8, após a identificação e autenticação do cidadão através de métodos de identificação electrónica com nível de segurança adequado ao tipo de recursos a que pretende aceder. As credenciais indicadas pelo utilizador nunca saem da entidade fornecedora de autenticação. Ao invés, todos os recursos a que o utilizador pode aceder utilizando SSO devem confiar na entidade fornecedora de autenticação e no certificado por ela emitido, validando-o sempre que o utilizador pretenda interagir com cada um dos recursos Infra-estrutura de Chave Pública Uma infra-estrutura de chave pública PKI ou public key infrastructure é o conjunto formado pela arquitectura, organização, técnicas, práticas, procedimentos e serviços que, no seu todo, suporta a implementação, fornecimento e gestão de certificados X para criptografia de chave pública. Estes certificados identificam o indivíduo a quem o certificado diz respeito e ligam-na a um determinado par de chaves pública/privada. Uma infra-estrutura de chave pública é composta por quatro componentes fundamentais: 8 Nota: os fornecedores de autenticação podem emitir diferentes tipos de artefactos que permitam a cada um dos recursos identificar e autenticar o utilizador: certificado de autenticação ou certificados X.509, token ou ticket one-time passord, token ou ticket baseados em criptografia (kerberos), cookies. No âmbito do presente documento são considerados apenas os certificados de autenticação. 9 Para a documentação completa da norma X.509, consultar _v09.doc Página 23 de 53

TIC.GOV.PT Medida 12 Lisboa, 31 de março de 2015

TIC.GOV.PT Medida 12 Lisboa, 31 de março de 2015 TIC.GOV.PT Medida 12 Lisboa, 31 de março de 2015 AGENDA COLABORAR SIMPLIFICAR INOVAR Cartão de cidadão uma identidade autenticação e assinatura digital um sistema Segurança em cenários de identidade Tendências

Leia mais

O VALOR DA SEGURANÇA

O VALOR DA SEGURANÇA O VALOR DA SEGURANÇA O cartão do cidadão em portugal REdBOA São paulo 8 novembro 2013 CONCEITO Segurança dos cidadãos Confiança na relação dos cidadãos com o Estado e a sociedade civil Garante direitos

Leia mais

Declaração de Práticas de Certificação da EC de Assinatura Digital Qualificada do Cartão de Cidadão

Declaração de Práticas de Certificação da EC de Assinatura Digital Qualificada do Cartão de Cidadão Declaração de Práticas de Certificação da EC de Assinatura Digital Qualificada do Cartão de Cidadão Políticas MULTICERT_PJ.CC_24.1.1_0002_pt_.doc Identificação do Projecto: Cartão de Cidadão Identificação

Leia mais

Declaração Básica de Práticas de Certificação da ECAR

Declaração Básica de Práticas de Certificação da ECAR CIRC N.º 001/ECAR/2010 Classificação: Público Versão:2.0 META INFORMAÇÃO DO DOCUMENTO Título Declaração Básica de Práticas de Certificação da ECAR Referência CIRC N.º 001/ECAR/2010 Data 16-02-2011 Classificação

Leia mais

DOCUMENTO DE DECLARAÇÃO BÁSICA:

DOCUMENTO DE DECLARAÇÃO BÁSICA: DOCUMENTO DE DECLARAÇÃO BÁSICA: CARACTERÍSTICAS E REQUERIMENTOS Entidade Certificadora Comum do Estado ECCE Entidade Certificadora do CEGER SISTEMA DE CERTIFICAÇÃO ELECTRÓNICA DO ESTADO (SCEE) INFRA-ESTRUTURA

Leia mais

Política de Certificado de Validação on-line OCSP emitido pela EC AuC

Política de Certificado de Validação on-line OCSP emitido pela EC AuC Política de Certificado de Validação on-line OCSP emitido pela EC Políticas PJ.CC_24.1.2_0012_pt_.pdf Identificação do Projecto: Cartão de Cidadão Identificação da CA: Nível de Acesso: Público Data: 28/06/2012

Leia mais

Declaração de Divulgação de Princípios

Declaração de Divulgação de Princípios Declaração de Divulgação de Princípios Política MULTICERT_PJ.CA3_24.1_0001_pt.doc Identificação do Projecto: 03 Identificação da CA: Nível de Acesso: Público Data: 25/03/2009 Aviso Legal Copyright 2002-2008

Leia mais

Cartão de Cidadão. Autenticação com o Cartão de Cidadão AMA. 20 de Novembro de 2007. Versão 1.6

Cartão de Cidadão. Autenticação com o Cartão de Cidadão AMA. 20 de Novembro de 2007. Versão 1.6 Cartão de Cidadão Autenticação com o Cartão de Cidadão 20 de Novembro de 2007 Versão 1.6 AMA ÍNDICE 1. I TRODUÇÃO... 3 Modelo base de Autenticação... 3 Modelo de Autenticação Federado... 4 2. AUTE TICAÇÃO

Leia mais

A Segurança da Informação no Cartão do Cidadão Português

A Segurança da Informação no Cartão do Cidadão Português Catarina Veloso Maria Almeida A Segurança da Informação no Cartão do Cidadão Português Draft report Faculdade de Engenharia da Universidade do Porto Mestrado em Ciência da Informação Dezembro 2009 Sumário

Leia mais

FAQs Projecto Factura Electrónica Índice

FAQs Projecto Factura Electrónica Índice FAQs Projecto Factura Electrónica Índice 1) O que é a factura electrónica?... 2 2) O que significa a certificação legal nestas facturas?... 2 3) Como se obtém a assinatura digital e que garantias ela nos

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Curso de Tecnologia em Redes de Computadores Disciplina: Tópicos Avançados II 5º período Professor: José Maurício S. Pinheiro AULA 2: Padrão X.509 O padrão X.509

Leia mais

Certificação. Conceitos de Segurança da Informação José Carlos Bacelar Almeida (jba@di.uminho.pt) Outra informação contida nos certificados:

Certificação. Conceitos de Segurança da Informação José Carlos Bacelar Almeida (jba@di.uminho.pt) Outra informação contida nos certificados: Certificação Conceitos de Segurança da Informação José Carlos Bacelar Almeida (jba@di.uminho.pt) Certificados digitais de chave pública Documento assinado contendo uma associação entre uma dada entidade

Leia mais

POLÍTICA DE CERTIFICADO DA SERASA AUTORIDADE CERTIFICADORA GLOBAL PARA CERTIFICADOS DE SERVIDOR

POLÍTICA DE CERTIFICADO DA SERASA AUTORIDADE CERTIFICADORA GLOBAL PARA CERTIFICADOS DE SERVIDOR POLÍTICA DE CERTIFICADO DA SERASA AUTORIDADE CERTIFICADORA GLOBAL PARA CERTIFICADOS DE SERVIDOR (PC SERASA AC GLOBAL) Autor: Serasa S.A. Edição: 20/01/2009 Versão: 1.3 1 INTRODUÇÃO 1.1 Visão Geral Esta

Leia mais

Política de Certificados de Servidor Web

Política de Certificados de Servidor Web Política de Certificados de Servidor Web Políticas PJ.CC_24.1.2_0008_pt_.pdf Identificação do Projecto: Cartão de Cidadão Identificação da CA: Nível de Acesso: Público Data: 10/03/2010 Identificador do

Leia mais

Política de Certificado de Validação Cronológica

Política de Certificado de Validação Cronológica Política de Certificado de Validação Cronológica Políticas MULTICERT_PJ.CA3_24.1.2_0004_pt.doc Identificação do Projeto: ECRaiz Identificação da CA: Nível de Acesso: Público Data: 01/08/2014 Identificador

Leia mais

I T I. AC Raiz. Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal. Receita Federal SERASA SERPRO CAIXA CERT PRIVADA

I T I. AC Raiz. Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal. Receita Federal SERASA SERPRO CAIXA CERT PRIVADA I T I AC Raiz Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal Receita Federal SERASA SERPRO CAIXA CERT AC PRIVADA AR Autoridade Registradora AR Autoridade Registradora Certificado

Leia mais

Segurança da Informação

Segurança da Informação Resumos Volume 1, Julho de 2015 Segurança da Informação POPULARIZAÇÃO DA INFORMÁTICA Com a popularização da internet, tecnologias que antes eram restritas a profissionais tornaram-se abertas, democratizando

Leia mais

EAP (Extensible Authentication Protocol) RFC 3748

EAP (Extensible Authentication Protocol) RFC 3748 EAP (Extensible Authentication Protocol) RFC 3748 Redes de Comunicação Departamento de Engenharia da Electrónica e Telecomunicações e de Computadores Instituto Superior de Engenharia de Lisboa EAP (Extensible

Leia mais

Política de Certificado de Autenticação

Política de Certificado de Autenticação Política de Certificado de Autenticação Políticas PJ.CC_24.1.2_0011_pt_.pdf Identificação do Projecto: Cartão de Cidadão Identificação da CA: Nível de Acesso: Público Data: 28/06/2012 Identificador do

Leia mais

Política de Certificado de Assinatura Digital Tipo A3. da Autoridade Certificadora SAT SEFAZ SP PC A3 DA AC SAT SEFAZ SP

Política de Certificado de Assinatura Digital Tipo A3. da Autoridade Certificadora SAT SEFAZ SP PC A3 DA AC SAT SEFAZ SP Política de Certificado de Assinatura Digital Tipo A3 da Autoridade Certificadora SAT SEFAZ SP PC A3 DA AC SAT SEFAZ SP Versão 1.2-30 de março de 2015 ÍNDICE 1. INTRODUÇÃO... 5 1.1.VISÃO GERAL... 5 1.2.IDENTIFICAÇÃO...

Leia mais

Gestão de chaves assimétricas

Gestão de chaves assimétricas Gestão de chaves assimétricas SEGURANÇA INFORMÁTICA E NAS ORGANIZAÇÕES SEGURANÇA INFORMÁTICA E NAS ORGANIZAÇÕES 1 Problemas a resolver Assegurar uma geração apropriada dos pares de chaves Geração aleatória

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Conceitos básicos de segurança

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Conceitos básicos de segurança Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Conceitos básicos de segurança Fernando Correia Capitão-de-fragata EN-AEL 2 de Novembro

Leia mais

WatchKey. WatchKey USB PKI Token. Versão Windows. Manual de Instalação e Operação

WatchKey. WatchKey USB PKI Token. Versão Windows. Manual de Instalação e Operação WatchKey WatchKey USB PKI Token Manual de Instalação e Operação Versão Windows Copyright 2011 Watchdata Technologies. Todos os direitos reservados. É expressamente proibido copiar e distribuir o conteúdo

Leia mais

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Aula 4 Introdução aos Sistemas Biométricos 1. Identificação, Autenticação e Controle

Leia mais

Entendendo a Certificação Digital

Entendendo a Certificação Digital Entendendo a Certificação Digital Novembro 2010 1 Sumário 1. Introdução... 3 2. O que é certificação digital?... 3 3. Como funciona a certificação digital?... 3 6. Obtendo certificados digitais... 6 8.

Leia mais

Política de Certificados de Servidor Web

Política de Certificados de Servidor Web Política de Certificados de Servidor Web Políticas MULTICERT_PJ.CC_24.1.2_0008_pt_.doc Identificação do Projecto: Cartão de Cidadão Identificação da CA: Nível de Acesso: Público Data: 07/09/2007 Aviso

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Curso de Tecnologia em Redes de Computadores Disciplina: Tópicos Avançados II 5º período Professor: José Maurício S. Pinheiro Aula 1 Introdução à Certificação

Leia mais

Relatório de Segurança em Sistemas Informáticos

Relatório de Segurança em Sistemas Informáticos Relatório de Segurança em Sistemas Informáticos Autenticação em cartões electrónicos Cartão do Cidadão Bruno Duarte ei07136 Pedro Barbosa ei08036 Rúben Veloso ei11001 Índice Índice...2 Introdução...1 Cartão

Leia mais

Escola Secundária Eça de Queiroz

Escola Secundária Eça de Queiroz Escola Secundária Eça de Queiroz Curso de Instalação e Manutenção de Sistemas Informáticos Certificação digital de serviço universal Home Banking e ética na sua utilização. Autor: Daniel Filipe Inácio

Leia mais

Política de Certificado de Assinatura Digital Qualificada

Política de Certificado de Assinatura Digital Qualificada Política de Certificado de Assinatura Digital Qualificada Políticas PJ.CC_24.1.2_0009_pt_.pdf Identificação do Projecto: Cartão de Cidadão Identificação da CA: Nível de Acesso: Público Data: 28/06/2012

Leia mais

Infoestrutura: Autenticação e Assinatura Digital

Infoestrutura: Autenticação e Assinatura Digital Infoestrutura: Autenticação e Assinatura Digital 1. Introdução No mundo físico, é fácil reconhecer quem é quem, seja vendo, escutando ou reconhecendo a caligrafia da pessoa. Entretanto, no mundo digital,

Leia mais

SEGURANÇA DA INFORMAÇÃO 2015/12/01

SEGURANÇA DA INFORMAÇÃO 2015/12/01 SEGURANÇA DA INFORMAÇÃO 2015/12/01 SEGURANÇA DO CARTÃO DE CIDADÃO: u9lização nas autarquias locais 1. Apresentação do trabalho SUMÁRIO 2. Cartão de Cidadão: apresentação e aspectos legais 2.1. Apresentação

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação ICP e Certificados Digitais Prof. João Henrique Kleinschmidt Santo André, junho de 2013 Criptografia de chave pública Oferece criptografia e também uma maneira de identificar

Leia mais

MATRÍCULA ELECTRÓNICA. Manual do Utilizador

MATRÍCULA ELECTRÓNICA. Manual do Utilizador MATRÍCULA ELECTRÓNICA Manual do Utilizador ÍNDICE 1 PREÂMBULO... 2 2 UTILIZAÇÃO PELOS ENCARREGADOS DE EDUCAÇÃO... 3 2.1 Matrícula Electrónica - Acesso através do Portal das Escolas... 3 2.2 Registo de

Leia mais

POLÍTICA DE CERTIFICADOS DO SCEE

POLÍTICA DE CERTIFICADOS DO SCEE POLÍTICA DE CERTIFICADOS DO SCEE e Requisitos Mínimos de Segurança 10 DE JULHO DE 2015 scee@scee.gov.pt Página 1 de 118 Política de Certificados APROVAÇÃO E ASSINATURA De acordo com o estipulado no ponto

Leia mais

POLÍTICA DE CERTIFICADOS DA SCEE

POLÍTICA DE CERTIFICADOS DA SCEE POLÍTICA DE CERTIFICADOS DA SCEE e Requisitos mínimos de Segurança Versão 1.0, de 14 de Julho de 2006 OID: 2.16.620.1.1.1.2.1.1.0 ÍNDICE 1. INTRODUÇÃO...11 1.1. Enquadramento...11 1.1.1. Âmbito...11 1.1.2.

Leia mais

PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 103/2013

PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 103/2013 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL PRESIDÊNCIA PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 103/2013 Assunto: Estabelece

Leia mais

Conceitos de Segurança em Sistemas Distribuídos

Conceitos de Segurança em Sistemas Distribuídos Conceitos de Segurança em Sistemas Distribuídos Francisco José da Silva e Silva Laboratório de Sistemas Distribuídos (LSD) Departamento de Informática / UFMA http://www.lsd.ufma.br 30 de novembro de 2011

Leia mais

PROJECTO DE LEI N.º 112/IX ADOPTA MEDIDAS LEGAIS TENDENTES A INSTITUIR E VIABILIZAR O CARTÃO DO CIDADÃO

PROJECTO DE LEI N.º 112/IX ADOPTA MEDIDAS LEGAIS TENDENTES A INSTITUIR E VIABILIZAR O CARTÃO DO CIDADÃO PROJECTO DE LEI N.º 112/IX ADOPTA MEDIDAS LEGAIS TENDENTES A INSTITUIR E VIABILIZAR O CARTÃO DO CIDADÃO 1 Através da Resolução n.º 77/2001, de 5 de Julho, o Conselho de Ministros desencadeou o processo

Leia mais

Certificados Digitais

Certificados Digitais Guia de utilização Outubro 2008 Índice Índice...1 Preâmbulo...2 Acesso à Plataforma Vortal...3 Solicitar...4 Instalação do Certificado Digital...8 Anexos... 19 Configuração do Internet Explorer Versão

Leia mais

SEGURANÇA EM SISTEMAS INFORMÁTICOS

SEGURANÇA EM SISTEMAS INFORMÁTICOS SEGURANÇA EM SISTEMAS INFORMÁTICOS SENHAS DE UTILIZAÇÃO ÚNICA GRUPO 12 DAVID RIBEIRO FÁBIO NEVES EI06053@FE.UP.PT EI06102@FE.UP.PT Porto, 7 de Dezembro de 2010 Índice Resumo O presente relatório tem como

Leia mais

SPTD Sistema Português do Tacógrafo Digital. Política da Autoridade Portuguesa. Página 1 de 45

SPTD Sistema Português do Tacógrafo Digital. Política da Autoridade Portuguesa. Página 1 de 45 SPTD Sistema Português do Tacógrafo Digital Política da Autoridade Portuguesa Página 1 de 45 Controlo de versão Versão Data Acção Nomes 1.0 Março 2006 Elaboração Submetido para aprovação pela Autoridade

Leia mais

Certificados Digitais Qualificados. Fevereiro/ 2009

Certificados Digitais Qualificados. Fevereiro/ 2009 Certificados Digitais Qualificados Fevereiro/ 2009 Agenda 1. O que é a Certificação Digital? 2. Certificado digital qualificado - Legislação 3. Certificado digital qualificado MULTICERT 4. Outros serviços

Leia mais

Sistema de Certificação de Competências TIC

Sistema de Certificação de Competências TIC Sistema de Certificação de Competências TIC Portal das Escolas Manual de Utilizador INDICE 1 Introdução... 5 1.1 Sistema de formação e certificação de competências TIC...6 1.1.1 Processo de certificação

Leia mais

Política de Certificado de Assinatura Digital Tipo A1. da Autoridade Certificadora SINCOR. para Corretores de Seguros

Política de Certificado de Assinatura Digital Tipo A1. da Autoridade Certificadora SINCOR. para Corretores de Seguros Política de Certificado de Assinatura Digital Tipo A1 da Autoridade Certificadora SINCOR para Corretores de Seguros PC CORRETOR A1 DA AC SINCOR Versão 3.1 30 de Novembro de 2011 ÍNDICE 1. INTRODUÇÃO...6

Leia mais

UM ESTUDO SOBRE CERTIFICADOS DIGITAIS COMO SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO

UM ESTUDO SOBRE CERTIFICADOS DIGITAIS COMO SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO UM ESTUDO SOBRE CERTIFICADOS DIGITAIS COMO SOLUÇÃO DE SEGURANÇA DA INFORMAÇÃO Emerson Henrique Soares Silva Prof. Ms. Rodrigo Almeida dos Santos Associação Paraibana de Ensino Renovado - ASPER Coordenação

Leia mais

O QUE É CERTIFICAÇÃO DIGITAL?

O QUE É CERTIFICAÇÃO DIGITAL? O QUE É CERTIFICAÇÃO DIGITAL? Os computadores e a Internet são largamente utilizados para o processamento de dados e para a troca de mensagens e documentos entre cidadãos, governo e empresas. No entanto,

Leia mais

Projecto de Engenharia de Software e Sistemas Distribuídos 2009-10. Requisitos para a 3ª entrega do projecto. FeaRSe.

Projecto de Engenharia de Software e Sistemas Distribuídos 2009-10. Requisitos para a 3ª entrega do projecto. FeaRSe. Departamento de Engenharia Informática Engenharia de Software, Sistemas Distribuídos Requisitos para a 3ª entrega do projecto FeaRSe 6 de Maio de 2010 Índice Índice... 1 1 Sumário... 2 2 Requisitos...

Leia mais

Formação Ordem dos Notários

Formação Ordem dos Notários Formação Ordem dos Notários Principais aspetos relacionados com as obrigações dos Notários como Entidades de Registo e o Processo de Emissão de Certificados Digitais Qualificados Agenda Módulo I 1. Certificação

Leia mais

Autoridades de Certificação: importância e necessidade para uma infra-estrutura de chave pública (PKI) *

Autoridades de Certificação: importância e necessidade para uma infra-estrutura de chave pública (PKI) * Autoridades de Certificação: importância e necessidade para uma infra-estrutura de chave pública (PKI) * Francisco de Assis Noberto Galdino de Araújo 1 Suzilaine Sbroglio 2 José Manuel Magalhães Cruz (Orientador)

Leia mais

Certificados Digitais

Certificados Digitais Guia de utilização Janeiro 2009 Índice Índice...1 Preâmbulo...2 Acesso à Plataforma Vortal...3 Solicitar...4 Instalação do Certificado Digital...8 Exportação do Certificado de cliente... 16 Anexos... 23

Leia mais

Sumário. Parte I Introdução... 19. Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21. Capítulo 2 Conceitos necessários...

Sumário. Parte I Introdução... 19. Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21. Capítulo 2 Conceitos necessários... Agradecimentos... 7 O autor... 8 Prefácio... 15 Objetivos do livro... 17 Parte I Introdução... 19 Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21 Introdução à ICP... 21 Serviços oferecidos

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes Autoria Esta apresentação foi desenvolvida por Ricardo Campos, docente do Instituto Politécnico de Tomar. Encontra-se disponível na página web do autor no link Publications ao abrigo da seguinte licença:

Leia mais

Certificado Digital e-cpf

Certificado Digital e-cpf Certificado Digital e-cpf Parabéns! Ao ter em mãos esse manual, significa que você adquiriu um certificado digital AC Link. Manual do Usuário 1 Índice Apresentação... 03 O que é um Certificado Digital?...

Leia mais

Departamento de Engenharia Informática Engenharia de Software, Sistemas Distribuídos. Requisitos para a 3ª entrega do projecto.

Departamento de Engenharia Informática Engenharia de Software, Sistemas Distribuídos. Requisitos para a 3ª entrega do projecto. Departamento de Engenharia Informática Engenharia de Software, Sistemas Distribuídos Requisitos para a 3ª entrega do projecto Loja Virtual 5 de Maio de 2008 Índice Índice...2 1 Sumário...3 2 Requisitos...3

Leia mais

Processo para transformar a mensagem original em uma mensagem ilegível por parte de uma pessoa não autorizada

Processo para transformar a mensagem original em uma mensagem ilegível por parte de uma pessoa não autorizada Criptografia Processo para transformar a mensagem original em uma mensagem ilegível por parte de uma pessoa não autorizada Criptografia Onde pode ser usada? Arquivos de um Computador Internet Backups Redes

Leia mais

Factura Electrónica. Diminua os custos do processo de facturação da empresa. Factura Electrónica. Página 1

Factura Electrónica. Diminua os custos do processo de facturação da empresa. Factura Electrónica. Página 1 Diminua os custos do processo de facturação da empresa Página 1 O software PHC é uma ferramenta imprescindível na gestão diária de uma empresa. Trata-se de um software cuidadosamente estudado por utilizadores

Leia mais

Carta de Segurança da Informação

Carta de Segurança da Informação Estrutura Nacional de Segurança da Informação (ENSI) Fevereiro 2005 Versão 1.0 Público Confidencial O PRESENTE DOCUMENTO NÃO PRESTA QUALQUER GARANTIA, SEJA QUAL FOR A SUA NATUREZA. Todo e qualquer produto

Leia mais

O que é a iniciativa de marcação de consultas pela Internet eagenda? Simplificar e melhorar o acesso a cuidados de saúde. O que é o eagenda?

O que é a iniciativa de marcação de consultas pela Internet eagenda? Simplificar e melhorar o acesso a cuidados de saúde. O que é o eagenda? O que é a iniciativa de marcação de consultas pela Internet Simplificar e melhorar o acesso a cuidados de saúde Pedir Receitas A de pela Internet, no âmbito do Programa Simplex, surge no seguimento do

Leia mais

Criptografia de chaves públicas

Criptografia de chaves públicas Marcelo Augusto Rauh Schmitt Maio de 2001 RNP/REF/0236 Criptografia 2001 RNP de chaves públicas Criptografia Introdução Conceito É a transformação de um texto original em um texto ininteligível (texto

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA

Leia mais

Leiaute dos Certificados Digitais da Secretaria da Receita Federal do Brasil

Leiaute dos Certificados Digitais da Secretaria da Receita Federal do Brasil Leiaute dos Certificados Digitais da Secretaria da Receita Federal do Brasil Versão 4.1 Sumário 1. Leiaute do Certificado de Autoridade Certificadora... 3 1.1. Requisitos de Certificado... 3 1.2. Extensões

Leia mais

www.e-law.net.com.br certificação digital 1 de 5 Introdução

www.e-law.net.com.br certificação digital 1 de 5 Introdução www.e-law.net.com.br certificação digital 1 de 5 Introdução Cada pessoa cria sua assinatura de forma totalmente livre e a utiliza com significado de expressa concordância com os conteúdos dos documentos

Leia mais

Especificação Técnica ACSS

Especificação Técnica ACSS Especificação Técnica ACSS ET.ACSS.011-2011 Serviço de Registo de Requisições de MCDT Interface para recepção de requisições electrónicas ICS DESCRITORES Sistema de recepção de requisições de meios complementares

Leia mais

Segurança e Privacidade em Sistemas de Armazenamento e Transporte de Dados

Segurança e Privacidade em Sistemas de Armazenamento e Transporte de Dados Universidade do Minho Mestrado Sistemas Dados e Processamento Analítico Segurança e Privacidade em Sistemas de Armazenamento e Transporte de Dados Ano Lectivo de 2006/2007 Certificados Digitais Sistema

Leia mais

TERMO DE REFERÊNCIA. ANEXO l

TERMO DE REFERÊNCIA. ANEXO l TERMO DE REFERÊNCIA ANEXO l 1. OBJETO Aquisição de certificados digitais para pessoa física e jurídica, para servidores WEB, incluindo opcionalmente serviços de validação on site, leitoras, cartões inteligentes

Leia mais

Manual do usuário Certificado Digital e-cpf. Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD

Manual do usuário Certificado Digital e-cpf. Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD Manual do usuário Certificado Digital e-cpf Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD Índice Apresentação 03 O que é um Certificado Digital? 04 Instalando

Leia mais

Politica de Certificado da raiz auto-assinada da EC MULTICERT

Politica de Certificado da raiz auto-assinada da EC MULTICERT Politica de Certificado da raiz auto-assinada da EC MULTICERT Políticas MULTICERT_PJ.CA3_24.1.2_0001_pt.pdf Identificação do Projecto: 03 Identificação da CA: Nível de Acesso: Público Data: 13/01/2009

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação (Extraído da apostila de Segurança da Informação do Professor Carlos C. Mello) 1. Conceito A Segurança da Informação busca reduzir os riscos de vazamentos, fraudes, erros, uso indevido,

Leia mais

Certificado Digital e-cpf

Certificado Digital e-cpf Página1 Certificado Digital e-cpf Manual do Usuário Página2 Índice Apresentação... 03 O que é um Certificado Digital?... 03 Instalando o Certificado... 04 Conteúdo do Certificado... 07 Utilização, guarda

Leia mais

Segurança em Sistemas Informáticos

Segurança em Sistemas Informáticos Segurança em Sistemas Informáticos Politicas de Segurança Quando é que se torna necessário uma política de segurança? Quando existe um Bem com Valor Se o Bem se situa permanentemente ou temporariamente

Leia mais

Paper presentation Security in grid computing: A review and synthesis Grid Security: Next Steps

Paper presentation Security in grid computing: A review and synthesis Grid Security: Next Steps Computação GRID Paper presentation Security in grid computing: A review and synthesis Grid Security: Next Steps Miguel Lobo nº 200707399 Pedro Oliveira nº 200501071 Paper Security in grid computing: A

Leia mais

INFORMÁTICA PROF. RAFAEL ARAÚJO

INFORMÁTICA PROF. RAFAEL ARAÚJO INFORMÁTICA PROF. RAFAEL ARAÚJO CERTIFICADO DIGITAL O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Este arquivo pode

Leia mais

Definição e Implementação de Metodologia, Modelo e Ferramentas para Avaliação de Projectos e Despesas TIC

Definição e Implementação de Metodologia, Modelo e Ferramentas para Avaliação de Projectos e Despesas TIC Definição e Implementação de Metodologia, Modelo e Ferramentas para Avaliação de Projectos e Despesas TIC Overview do Processo de Avaliação de Projectos e Despesas TIC www.ama.pt Índice 1. Enquadramento

Leia mais

Criptografia e Certificação Digital Sétima Aula. Prof. Frederico Sauer, D.Sc.

Criptografia e Certificação Digital Sétima Aula. Prof. Frederico Sauer, D.Sc. Criptografia e Certificação Digital Sétima Aula Prof. Frederico Sauer, D.Sc. Segurança na Web A Internet é considerada essencial nos Planos de Negócios das empresas para alavancar lucros O ambiente capilar

Leia mais

Autoridade de Certificação

Autoridade de Certificação Segurança em Sistemas Informáticos Autoridade de Certificação João Brito - 070509052 João Coelho - 070509118 2 Índice Índice... 3 Introdução... 4 Problema... 5 Objectivos... 5 Enquadramento Teórico...

Leia mais

5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados

5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados 5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados A proteção jurídica das bases de dados em Portugal é regulada pelo Decreto-Lei n.º 122/2000, de 4 de Julho, que transpõe

Leia mais

Certificado Digital Modelo NF-e. Manual do Usuário

Certificado Digital Modelo NF-e. Manual do Usuário Certificado Digital Modelo NF-e Manual do Usuário Parabéns! Você acaba de adquirir o seu Certificado Digital Serasa Experian. Este manual é composto por informações importantes para que você possa usar

Leia mais

TERMO DE REFERÊNCIA. ANEXO l

TERMO DE REFERÊNCIA. ANEXO l TERMO DE REFERÊNCIA ANEXO l 1. OBJETO Aquisição de certificados digitais para pessoa física e jurídica, para servidores WEB, incluindo opcionalmente serviços de validação on site, leitoras, cartões inteligentes

Leia mais

Cartilha: Certificado Digital

Cartilha: Certificado Digital Certificação de Entidades Beneficientes de Assistência Social - CEBAS - 1 - Ministério da Educação Secretaria Executiva Secretaria de Educação Continuada, Alfabetizada e Diversidade Diretoria de Tecnologia

Leia mais

Medidas intersectoriais 2010/11

Medidas intersectoriais 2010/11 Medidas intersectoriais 2010/11 IS01 BALCÃO DO EMPREENDEDOR DISPONIBILIZAÇÃO DE SERVIÇOS Objectivos: Inventariar, introduzir e manter permanentemente actualizados no Balcão do Empreendedor vários serviços,

Leia mais

67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado

67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado Carreira Policial Mais de 360 aprovados na Receita Federal em 2006 67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado Apostila

Leia mais

Política de Certificado de Assinatura Digital Tipo S4 da Autoridade Certificadora Imprensa Oficial SP

Política de Certificado de Assinatura Digital Tipo S4 da Autoridade Certificadora Imprensa Oficial SP Política de Certificado de Assinatura Digital Tipo S4 da Autoridade Certificadora Imprensa Oficial SP PC S4 DA AC Imprensa Oficial SP Versão 2.0-10 de Agosto de 2006 ÍNDICE 1. INTRODUÇÃO...6 1.1.VISÃO

Leia mais

Certificados Digitais

Certificados Digitais Certificados Digitais Cert-JUS Roteiro para obtenção de certificados digitais Cert-JUS emitidos pela AC CAIXA-JUS Certificado Digital Cert-JUS 1. O que é. O certificado digital é um documento eletrônico

Leia mais

CONCEITOS DE SEGURANÇA

CONCEITOS DE SEGURANÇA CONCEITOS DE SEGURANÇA Com sistemas em rede, há que dotar estes sistemas de mecanismos de segurança suportados por tecnologias e ferramentas apropriadas, que garantam a protecção da informação e de outros

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

POLÍCIA DE SEGURANÇA PÚBLICA

POLÍCIA DE SEGURANÇA PÚBLICA POLÍCIA DE SEGURANÇA PÚBLICA DIRECÇÃO NACIONAL Plataforma eletrónica Versão 1.0 Departamento de Segurança Privada Abril de 2012 Manual do Utilizador dos Serviços Online do SIGESP Versão 1.0 (30 de abril

Leia mais

Princalculo Contabilidade e Gestão

Princalculo Contabilidade e Gestão COMUNICAÇÃO EXTERNA Junho/2013 REGIME DOS BENS EM CIRCULAÇÃO A obrigação é a partir de quando? 1 de Julho de 2013 Quem está obrigado? Os que no ano anterior tiveram um volume de negócios superior a 100.000

Leia mais

DOCUMENTO DE DECLARAÇÃO DE PRÁTICAS

DOCUMENTO DE DECLARAÇÃO DE PRÁTICAS Entidade Certificadora Electrónica Raiz SISTEMA ELECTRÓNICA DO ESTADO (SCEE) INFRA-ESTRUTURA DE CHAVES PÚBLICAS OID: 2.16.620.1.1.1.2 Versão 1.0, 2006.07.20 ÍNDICE DO DOCUMENTO 1.1 ENQUADRAMENTO...7 1.2

Leia mais

1 Infra-estrutura de chaves públicas (PKI Public Key Infrastructure)

1 Infra-estrutura de chaves públicas (PKI Public Key Infrastructure) 1 Infra-estrutura de chaves públicas (PKI Public Key Infrastructure) 1.1 Assinatura Digital Além de permitir a troca sigilosa de informações, a criptografia assimétrica também pode ser utilizada para outros

Leia mais

Política de Certificado de Sigilo Tipo S3. da Autoridade Certificadora Instituto Fenacon. PC S3 DA AC Instituto Fenacon

Política de Certificado de Sigilo Tipo S3. da Autoridade Certificadora Instituto Fenacon. PC S3 DA AC Instituto Fenacon Política de Certificado de Sigilo Tipo S3 da Autoridade Certificadora Instituto Fenacon PC S3 DA AC Instituto Fenacon Versão 3.0-24 de Julho de 2014 ÍNDICE 1. INTRODUÇÃO... 6 1.1.VISÃO GERAL... 6 1.2.IDENTIFICAÇÃO...

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Curso de Engenharia Informática (2º Ciclo) Teste nº 2 (frequência), 19/Dez/2009 Segurança em Sistemas e Redes de Computadores SSRC-0910-EN-2.1.

Curso de Engenharia Informática (2º Ciclo) Teste nº 2 (frequência), 19/Dez/2009 Segurança em Sistemas e Redes de Computadores SSRC-0910-EN-2.1. Departamento de Informática Faculdade de Ciências e Tecnologia UNIVERSIDADE NOVA DE LISBOA Curso de Engenharia Informática (2º Ciclo) Teste nº 2 (frequência), 19/Dez/2009 Segurança em Sistemas e Redes

Leia mais

GUIA INTEGRAÇÃO ELECTRÓNICA PLATAFORMA DE INTEROPERABILIDADE DA ADMINISTRAÇÃO PÚBLICA

GUIA INTEGRAÇÃO ELECTRÓNICA PLATAFORMA DE INTEROPERABILIDADE DA ADMINISTRAÇÃO PÚBLICA GUIA INTEGRAÇÃO ELECTRÓNICA PLATAFORMA DE INTEROPERABILIDADE DA ADMINISTRAÇÃO PÚBLICA versão 0.9 25 de Maio de 2009 Agência para a Modernização Administrativa, IP Rua Abranches Ferrão n.º 10, 3º G 1600-001

Leia mais

Certificação Digital - Previsão Legal

Certificação Digital - Previsão Legal Certificação Digital - Previsão Legal De acordo com o Art. 18 da Portaria GM/MS nº 53, de 16/01/13, o SIOPS passou a adotara Certificação Digital no processo de interface dos usuários. Art. 18. Seráadotada

Leia mais

Editoria e Diagramação Núcleo de Imagem Ascom TJPE. Ilustração Gerência de Atendimento Técnico

Editoria e Diagramação Núcleo de Imagem Ascom TJPE. Ilustração Gerência de Atendimento Técnico Conceitos de Segurança da Informação, Certificação Digital e suas Aplicações no TJPE 3ª Edição - Maio/2013 Elaboração Núcleo de Segurança da Informação SETIC Editoria e Diagramação Núcleo de Imagem Ascom

Leia mais

M3D4 - Certificados Digitais Aula 4 Certificado Digital e suas aplicações

M3D4 - Certificados Digitais Aula 4 Certificado Digital e suas aplicações M3D4 - Certificados Digitais Aula 4 Certificado Digital e suas aplicações Prof. Fernando Augusto Teixeira 1 Agenda da Disciplina Certificado Digital e suas aplicações Segurança Criptografia Simétrica Criptografia

Leia mais