GUIA IDENTIFICAÇÃO ELECTRÓNICA AUTENTICAÇÃO E ASSINATURA ELECTRÓNICA

Tamanho: px
Começar a partir da página:

Download "GUIA IDENTIFICAÇÃO ELECTRÓNICA AUTENTICAÇÃO E ASSINATURA ELECTRÓNICA"

Transcrição

1 GUIA IDENTIFICAÇÃO ELECTRÓNICA AUTENTICAÇÃO E ASSINATURA ELECTRÓNICA versão de Maio de 2009 Agência para a Modernização Administrativa, IP Rua Abranches Ferrão n.º 10, 3º G LISBOA telefone: fax:

2 Folha de Controlo Nome do Documento: Evolução do Documento Versão Autor Data Comentários 0.9 AMA Versão inicial para discussão pública. Documentos Relacionados Nome do documento Tipo Documento Descrição Controlo de Aprovações Entidade Nomes Data _v09.doc Página 2 de 53

3 Índice 1. RESUMO EXECUTIVO ÂMBITO OBJECTIVO ABRANGÊNCIA APLICABILIDADE & REGULAMENTAÇÃO ENQUADRAMENTO ESTRUTURA DO DOCUMENTO METODOLOGIA DE UTILIZAÇÃO CONCEITOS E CONSIDERAÇÕES GERAIS MÉTODOS DE IDENTIFICAÇÃO/AUTENTICAÇÃO ELECTRÓNICA Utilizador e Palavra-Chave Token de Autenticação Certificado Digital não Qualificado Assinatura /Certificado Digital Qualificado Dados biométricos SMART CARDS SINGLE SIGN ON INFRA-ESTRUTURA DE CHAVE PÚBLICA MODELO DE REFERÊNCIA PARA IDENTIFICAÇÃO ELECTRÓNICA CARTÃO DE CIDADÃO Certificados Digitais do Cartão de Cidadão Identificação através do método de Match-On-Card Identificação através de One-Time-Password OTP (EMV-CAP) FORNECEDOR DE AUTENTICAÇÃO DO CARTÃO DE CIDADÃO INFRA-ESTRUTURA DE CHAVE PÚBLICA DO CARTÃO DE CIDADÃO SERVIÇOS DE APOIO À VERIFICAÇÃO Serviços de Apoio à Verificação dos Certificados Digitais do Cartão de Cidadão Verificação através do método de Match-On-Card Serviços a Disponibilizar NORMAS & ESPECIFICAÇÕES TÉCNICAS CERTIFICADOS DIGITAIS DE AUTENTICAÇÃO CERTIFICADOS DIGITAIS DE ASSINATURA ELECTRÓNICA MATCH-ON-CARD EXEMPLO ANEXOS ANEXO I TERMOS E ABREVIATURAS ANEXO II ATRIBUTOS DO CERTIFICADO DO CARTÃO DE CIDADÃO _v09.doc Página 3 de 53

4 1. RESUMO EXECUTIVO Este documento tem por objectivo apresentar as linhas orientadoras para a identificação e autenticação de um Cidadão ou Empresa perante as Entidades da Administração Pública. Neste âmbito, são detalhados os conceitos de identificação e autenticação e assumido como pressuposto fundamental a utilização do Cartão de Cidadão enquanto mecanismo essencial neste processo de identificação/autorização do Cidadão. São focados em abstracto conceitos e considerações relativamente aos métodos de identificação/autenticação electrónica existentes, nomeadamente: Utilizador e Palavra-Chave; Token de Autenticação; Certificado Digital não Qualificado; Assinatura / Certificado Digital Qualificado; Dados biométricos. Em maior detalhe, são apresentados os mecanismos para identificação do Cidadão existentes no Cartão de Cidadão e efectuada a sua associação com os conceitos anteriormente expostos, bem como os serviços de apoio à verificação dos mesmos. Deste modo, os mecanismos existentes no Cartão de Cidadão são: Certificados Digitais que abrangem dois modelos: Certificados de Autenticação e Certificados de Assinatura ; Identificação através do método de Match-on-Card; Identificação através do método de One-Time Password. São ainda apresentadas recomendações e directrizes para a selecção do(s) método(s) de autenticação a empregar segundo o canal de atendimento utilizado pela Entidade interessada. Associadas a esta selecção são referidas as normas e especificações técnicas a assegurar para a correcta utilização dos processos escolhidos. Por fim é apresentado um quadro com os Termos e Abreviaturas referidas ao longo deste Guia. _v09.doc Página 4 de 53

5 2. ÂMBITO 2.1. Objectivo Com a rápida expansão dos serviços electrónicos disponibilizados pelos Organismos da Administração Pública e com a consolidação do Cartão de Cidadão como principal documento identificador dos cidadãos nacionais torna-se premente regulamentar sobre as normas a aplicar na identificação e autenticação electrónica. Alinhado a este facto encontram-se as recomendações efectuadas pela União Europeia sobre a necessidade de definir regras relativamente à Assinatura Digital de documentos no espaço Europeu. É objectivo deste guia ir ao encontro da solução destas problemáticas e regulamentar normas e recomendações neste âmbito a serem aplicadas pelos Organismos da Administração Pública Abrangência As normas aqui apresentadas referem-se à identificação electrónica dos cidadãos perante os Organismos da Administração Pública Aplicabilidade & Regulamentação Em termos de aplicabilidade das normas e recomendações apresentadas foi definido o seguinte: Estas normas apresentam carácter vinculativo para os Organismos da Administração Pública, sendo que são fortemente recomendadas para as restantes Entidades Privadas; São vinculativas para novos serviços e sistemas que venham a ser implementados. Nestes casos é obrigatória a existência exclusiva de mecanismos de autenticação e identificação através do Cartão de Cidadão; _v09.doc Página 5 de 53

6 São vinculativas para os serviços e sistemas actuais, onde estes têm que ser adaptados de modo a englobar mecanismos de autenticação e identificação através do Cartão de Cidadão. Serão definidos os prazos para estas adaptações serem efectuadas. Para os serviços e sistemas existentes, os actuais métodos de identificação podem-se manter em funcionamento em paralelo com os mecanismos a implementar para o Cartão de Cidadão. São agora expostos os métodos a implementar por canal de atendimento. Recomenda-se a utilização de um dos métodos ou a combinação de um ou mais métodos tendo em conta os vários canais de atendimento que uma Entidade disponibiliza ao Cidadão/Empresa e o nível de segurança que pretende dar à informação ou ao serviço. A definição dos níveis de segurança deve ter em conta os impactos que podem surgir devido à apropriação indevida da identidade de uma pessoa no acesso à informação ou ao serviço, nomeadamente: Perda de integridade; Perda de disponibilidade; Perda de confidencialidade; Risco da segurança pessoal; Perda financeira. Quanto mais severas forem as consequências desta apropriação indevida e do acesso à informação ou ao serviço, maior deve ser o nível de segurança a aplicar para as transacções a efectuar, tendo em conta os vários riscos associados, nomeadamente: Falsificação de identidade; Roubo do token de acesso; Roubo da identidade real; Intercepção ou revelação de informação secreta de autenticação; Registo de informação secreta de autenticação em sistemas não confiáveis; Uso não autorizado do token de acesso; _v09.doc Página 6 de 53

7 Uso de uma credencial comprometida; Uso de uma credencial alterada/modificada; Uso de uma credencial para um intuito indevido; Invalidação de uma credencial sem uma causa válida; Uso fraudulento de uma credencial; Ataque de um hacker; Registo disperso da informação. Tendo em conta os vários impactos e riscos descritos e de acordo com as politicas de segurança existentes nesta área, podem ser definidos quatro níveis de criticidade no acesso à informação e serviços disponibilizados: Nível 1 acesso a informação e a serviços do âmbito público; Nível 2 acesso a informação e a serviços do âmbito público, onde se assume que possa ocorrer algum dano para a Organização, sem nunca comprometer as entidades (cidadãos/empresas) que a Organização serve; Nível 3 acesso de leitura a informação e a elegibilidade de serviços do âmbito privado de uma determinada entidade (cidadão/empresa); Nível 4 acesso de alteração da informação e execução de serviços do âmbito privado de uma determinada entidade (cidadão/empresa). _v09.doc Página 7 de 53

8 As tabelas seguintes descrevem as recomendações e obrigações para as Entidades da Administração Pública na utilização de cada um dos métodos de identificação/autenticação em cada um dos canais, tendo em conta o nível de criticidade da informação/serviços acedidos, com a seguinte nomenclatura: Interdito Método de autenticação que não poderá, em caso algum, ser usado para o nível de criticidade da informação/serviço em causa; Não Recomendado Método de autenticação não aconselhado para nível de criticidade da informação/serviço em causa. A sua utilização poderá por em causa o nível de segurança da informação ou serviço, podendo o organismo ser responsabilizado por esse facto; Recomendado Método de autenticação que poderá ser usado para nível de criticidade da informação/serviço em causa; Obrigatório Método de autenticação que terá de ser usado para nível de criticidade da informação/serviço em causa; Opcional Método de autenticação que poderá alternativamente (ao recomendado) ser usado para nível de criticidade da informação/serviço em causa. A sua utilização não sendo obrigatória, poderá ser usada para assegurar um nível de segurança no acesso à informação ou serviço similar; Não Aplicável Método de autenticação não aplicável para o nível de criticidade da informação/serviço em causa. _v09.doc Página 8 de 53

9 Métodos de Autenticação para o canal presencial Nível de criticidade da informação/serviços Método de Identificação Comparação visual de fotografia titular Nível 1 Nível 2 Nível 3 Nível 4 recomendado obrigatório obrigatório obrigatório Assinatura Digital do Cartão de Cidadão não recomendado não recomendado Opcional Opcional On-Time-Password do Cartão de Cidadão não recomendado não recomendado Opcional Opcional Autenticação com Certificado Digital do Cartão de Cidadão não recomendado opcional Opcional Opcional Match-On-Card do Cartão de Cidadão não recomendado não recomendado opcional Opcional Utilizador e Palavra Chave não recomendado opcional interdito interdito Métodos de Autenticação para o canal telefónico Nível de segurança de identificação/autenticação Método de Identificação Assinatura Digital do Cartão de Cidadão On-Time-Password do Cartão de Cidadão Autenticação com Certificado Digital do Cartão de Cidadão Match-On-Card do Cartão de Cidadão Utilizador e Palavra Chave Nível 1 Nível 2 Nível 3 Nível 4 não aplicável não aplicável não aplicável não aplicável opcional opcional recomendado obrigatório não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável _v09.doc Página 9 de 53

10 Métodos de Autenticação para o canal web (sites) Nível de segurança de identificação/autenticação Método de Identificação Assinatura Digital do Cartão de Cidadão On-Time-Password do Cartão de Cidadão Autenticação com Certificado Digital do Cartão de Cidadão Nível 1 Nível 2 Nível 3 Nível 4 não aplicável não aplicável não aplicável não aplicável opcional opcional opcional opcional opcional opcional recomendado obrigatório Match-On-Card do Cartão de Cidadão não recomendado não recomendado não recomendado não recomendado Utilizador e Palavra Chave opcional opcional não recomendado interdito Métodos de Autenticação de funcionários em Sistemas de Informação Nível de criticidade da informação/serviços Método de Identificação Assinatura Digital do Cartão de Cidadão On-Time-Password do Cartão de Cidadão Autenticação com Certificado Digital do Cartão de Cidadão Match-On-Card do Cartão de Cidadão Utilizador e Palavra Chave Nível 1 Nível 2 Nível 3 Nível 4 opcional opcional opcional recomendado opcional opcional opcional opcional opcional opcional recomendado obrigatório opcional opcional opcional opcional opcional opcional interdito interdito _v09.doc Página 10 de 53

11 Métodos de Assinatura de Documentos e Transacções Nível de criticidade da informação/serviços Método de Identificação Assinatura Digital do Cartão de Cidadão On-Time-Password do Cartão de Cidadão Autenticação com Certificado Digital do Cartão de Cidadão Match-On-Card do Cartão de Cidadão Utilizador e Palavra Chave Nível 1 Nível 2 Nível 3 Nível 4 obrigatório obrigatório obrigatório obrigatório não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável não aplicável _v09.doc Página 11 de 53

12 3. ENQUADRAMENTO No âmbito da modernização da Administração Pública particularmente na interacção entre os seus Organismos e o Cidadão, a identificação electrónica é um dos alicerces da administração electrónica, pois permite identificar e autenticar de forma electrónica os Cidadãos e Empresas perante a Administração Pública, potenciando dessa forma a utilização de serviços electrónicos. Para identificar e autenticar um dado Cidadão é necessário responder às seguintes questões: Quem é a pessoa que se pretende identificar e autenticar? Como saber que a pessoa é quem diz ser? De forma a responder a estas questões, a identificação electrónica disponibiliza os seguintes mecanismos: Identificação: responde à primeira questão e consiste em determinar a identidade de um Cidadão com base num atributo ou conjunto de atributos de diferentes origens; Autenticação: responde à segunda questão e consiste em garantir que a identidade fornecida por um determinado Cidadão pertence a esse Cidadão. Através da utilização conjunta destes dois mecanismos, garante-se a identidade do Cidadão para o acesso e execução de serviços, electrónicos ou físicos, consoante o canal de atendimento. No presente introduziram-se vários mecanismos de suporte à identificação e autenticação electrónica de um Cidadão descrevendo os conceitos técnicos associados a cada um deles. Este documento tem como principal audiência as diversas entidades da Administração Pública que pretendam utilizar os mecanismos de identificação electrónica dos Cidadãos. Contudo, o âmbito da mesma estende-se ao sector privado, pelo que a informação aqui apresentada também deve servir _v09.doc Página 12 de 53

13 como uma referência para as entidades privadas que pretendam utilizar os serviços de identificação electrónica disponibilizados pela Administração Pública. _v09.doc Página 13 de 53

14 4. ESTRUTURA DO DOCUMENTO O documento de Guia para a Identificação encontra-se nos próximos capítulos estruturado em: Metodologia de utilização: apresenta a forma de aplicação e utilização do documento, enumerando um conjunto de critérios que devem ser considerados na utilização dos métodos de identificação electrónica apresentados no âmbito deste documento; Conceitos e Considerações Gerais: descreve vários conceitos e considerações gerais na área da identificação e assinatura electrónica, que devem ser do conhecimento da entidade que pretende utilizar o documento; Modelo de referência: anuncia um modelo de referência de um sistema desta natureza, onde são apresentados os métodos de identificação electrónica mais recorrentes; Recomendações: enumera um conjunto de referências e recomendações que devem ser consideradas para a aplicação do conteúdo do documento e para a continuidade e evolução do mesmo, servindo de complemento à metodologia de utilização, conceitos e considerações gerais e ao próprio modelo de referência; Especificações Técnicas: apresenta um conjunto de standards técnicos que devem ser aplicados para dar suporte aos mecanismos enunciados no modelo de referência; Anexos: conjunto de referências a informação auxiliar que complementam o documento. _v09.doc Página 14 de 53

15 5. METODOLOGIA DE UTILIZAÇÃO Para identificação/autenticação de um Cidadão perante uma Entidade, da Administração Pública, existem vários métodos de autenticação que se encontram classificados em três grupos: Algo que o Cidadão sabe: neste grupo encontram-se os métodos de autenticação que se baseiam em algo que a Cidadão conhece ou sabe, como por exemplo uma palavra-chave, um número único de identificação (PIN) ou uma frase de segurança; Algo que o Cidadão tem: neste grupo encontram-se os métodos de autenticação que se baseiam em algo que o Cidadão possui, como por exemplo um token de segurança, um certificado digital ou smartcard; Algo que o Cidadão é: neste grupo encontram-se os métodos de autenticação que se baseiam em informação biométrica do Cidadão, como por exemplo a sua impressão digital, o padrão da sua retina, o padrão da sua voz ou a sua forma de escrever. Apesar de cada um dos métodos fornecer as capacidades para identificação e autenticação de um determinado Cidadão, o nível de segurança associado a cada um dos níveis varia, pelo que a escolha de qual o método a utilizar deve ter em conta o nível de segurança que se pretende ter. Contudo, por vezes, a utilização de apenas um método de autenticação não fornece o nível de segurança necessária, pelo que a combinação de vários métodos de autenticação é uma das formas de fortalecer a segurança dos processos de identificação e autenticação. A aplicação de cada método depende do nível de segurança que se pretende ter no processo de autenticação de uma determinada entidade. Tal como descrito anteriormente, os vários métodos de identificação/autenticação oferecem níveis de segurança que se encontram classificados nos seguintes grupos: _v09.doc Página 15 de 53

16 Fraco: métodos de identificação/autenticação em que os níveis de segurança oferecidos estão dependentes apenas do conhecimento de uma determinada entidade e do sigilo daquilo que esta conhece e que é utilizado para se autenticar; Forte: métodos de identificação/autenticação em que os níveis de segurança oferecidos não dependem somente do conhecimento de uma determinada entidade mas que também depende de alguma característica sua ou de algo que ela possui. Tipicamente os métodos de autenticação forte combinam dois ou mais métodos de autenticação. Assim sendo, no âmbito de cada projecto de implementação na área da Identificação, cabe à Entidade determinar quais os mecanismos e os requisitos que considera como obrigatórios e quais os que considera como opcionais, considerando o indicado no capítulo de Aplicabilidade & Regulamentação 1 onde é apresentada a matriz de utilização de cada um dos métodos por canal de interacção com o Cidadão classificados por nível de segurança. 1 Para maior detalhe consultar capítulo Aplicabilidade & Regulamentação _v09.doc Página 16 de 53

17 6. CONCEITOS E CONSIDERAÇÕES GERAIS Neste capítulo são apresentados os métodos de Identificação/Autenticação electrónica existentes, sendo efectuada uma explicação acerca do seu funcionamento bem como a sua classificação segundo o nível de segurança a ele associado Métodos de Identificação/Autenticação A presente secção descreve os vários métodos de identificação/autenticação electrónica existentes. Para cada método é apresentada uma explicação do seu modo de funcionamento e dos mecanismos de suporte envolvidos Utilizador e Palavra-Chave Método de identificação que se baseia no princípio de que o utilizador e a Entidade que fornece o serviço ou recurso possuem conhecimento mútuo de uma palavra-chave estática (que pode ser um palavra, um número ou uma frase) que o utilizador deve fornecer em conjunto com um ou mais dados de identificação não confidenciais (exemplo: nome de utilizador) à Entidade, sempre que pretender aceder a recursos desta. Para validar a identidade do utilizador, a Entidade deve verificar se a palavra-chave fornecida é igual à palavra-chave que conhece. O nível de segurança deste mecanismo de autenticação dependente de vários factores como o sigilo, a complexidade e a possibilidade de a palavra-chave poder ser adivinhada e/ou calculada por outros que não o utilizador Personal Identification Number (PIN) Um caso particular da autenticação por Palavra-Chave é a utilização de um Personal Identification Number (PIN). Este método de identificação baseia-se no princípio de que o utilizador e a Entidade que fornece o serviço ou recurso possuem conhecimento mútuo de um número que o utilizador _v09.doc Página 17 de 53

18 deve fornecer à Organização em conjunto com um ou mais dados de identificação não confidenciais (exemplo: nome de utilizador), sempre que pretender aceder a recursos desta. Para validar a identidade do utilizador, a Entidade deve verificar se a número fornecido é igual ao número que conhece, para os dados de identificação conhecidos. O nível de segurança deste mecanismo de autenticação está dependente de vários factores como o sigilo, a complexidade e a possibilidade de o número poder ser adivinhado e/ou calculado por outros que não o utilizador Token de Autenticação Método de autenticação que consiste, tipicamente na utilização dois factores 2 ou chaves para a identificação do utilizador para além dos dados de identificação não confidenciais (exemplo: nome de utilizador): uma palavra-chave estática e uma palavra-chave dinâmica (chave), esta última gerada por um mecanismo externo (token) na posse do utilizador. A palavra-chave dinâmica obtém-se através de um dispositivo de autenticação autónomo o token que armazena chaves, ou possui a capacidade de gerar/calcular uma chave única no tempo (One Time Password OTP), que é utilizada no processo de autenticação, ou tem capacidade de participar em esquemas de challenge/response com o servidor de autenticação. Geralmente o token necessita da inserção de uma palavra-chave estática para produzir a chave dinâmica. Por questões de segurança, recomenda-se que a transmissão da chave dinâmica obtida através do token seja efectuada através de um meio de comunicação seguro (por exemplo, uma ligação SSL). Sempre que pretender aceder aos recursos de uma Entidade, o utilizador deve fornecer os dados de identificação não confidenciais (exemplo: nome de utilizador) e a chave dinâmica, sendo esta 2 Os métodos baseados em dois factores de identificação/autenticação utilizam uma combinação de dois elementos entre os seguintes: algo que o utilizador é (por exemplo: validação de íris ou impressão digital), algo que o utilizador tem (por exemplo: um gerador de tokens), algo que o utilizador sabe (por exemplo: uma palavra-chave). Trata-se de um método mais seguro do que métodos baseados apenas em algo que o utilizador sabe, como a identificação/autenticação por palavra-chave. _v09.doc Página 18 de 53

19 obtida através do token após a inserção da palavra-chave estática neste dispositivo. Por seu turno, a Entidade deve verificar se a chave dinâmica fornecida é válida para o utilizador em questão. O nível de segurança do método de autenticação por token gerador de chaves dinâmicas depende do grau de complexidade do token utilizado, como por exemplo o tipo de criptografia aplicado Certificado Digital não Qualificado Um certificado digital de chave pública não qualificado, doravante designado por certificado digital, é um documento electrónico que funciona como credencial, relacionando uma chave pública com a identidade de uma Entidade, Pessoa ou Organização. Trata-se de uma credencial electrónica emitida por uma Entidade de Certificação fidedigna e que contém a informação necessária para identificar e autenticar uma determinada Entidade (Pessoa ou Organização) perante outra. Para além da credencial, o certificado digital possui um par de chaves criptográficas: Chave privada: chave do conhecimento do detentor do certificado digital e pode ser utilizada para cifrar dados e/ou para assinar digitalmente documentos electrónicos; Chave pública: chave conhecida e comunicada às Entidades com as quais o detentor do certificado se pretende relacionar e que é utilizada para decifrar dados e/ou validar a assinatura digital de documentos electrónicos. A chave pública é associada aos atributos que identificam o detentor do certificado. Quando o detentor do certificado pretender aceder aos recursos de uma Entidade, deve fornecerlhe o seu certificado digital, sendo a Entidade que disponibiliza os recursos responsável por verificar se o certificado fornecido é válido junto da Entidade Emissora do Certificado. _v09.doc Página 19 de 53

20 Actualmente o nível de segurança deste método de autenticação pode ser considerado como seguro quando a Entidade Certificadora é reconhecida pelos seus participantes como uma entidade fidedigna, tal como numa Infra-estrutura de Chave Pública (PKI) Assinatura /Certificado Digital Qualificado Uma assinatura electrónica pode ser definida como um processo de criptografia electrónico recorrendo a um par de chaves, tipicamente contidas num certificado digital, através do qual é gerada uma sequencia de bytes cujo valor não tem significado fora do contexto de um algoritmo especifico e que acompanha o documento assinado como anexo. A assinatura do documento implica uma aprovação dos termos e/ou de um documento electrónico pelo signatário, de forma análoga a uma assinatura física tradicional. Para além destas características, a assinatura electrónica de um documento assegura a integridade do mesmo, ou seja, assegura que o documento não foi alterado desde que foi assinado, bem como a não repudiação do documento, ou seja, garante que o documento foi assinado pelo signatário cuja assinatura consta no documento. A assinatura digital baseia-se em dois processos criptográficos que recorrem às chaves criptográficas e dos algoritmos de hashing: Resumo criptográfico do documento a enviar (hash) A geração do resumo criptográfico do documento consiste na aplicação de algoritmos de hashing ao documento, como MD5 4, SHA-1 5, SHA-256 6, que o reduzem a um resumo de dimensão constante; A cifra do resumo. Associado a uma assinatura electrónica existem sempre dois procedimentos a considerar: 3 Para mais informações sobre PKI, consultar a secção 6.4 deste documento _v09.doc Página 20 de 53

21 Geração da assinatura Procedimento segundo o qual o signatário produz a sequência de bytes (assinatura) a partir do documento e de informação secreta ou privada (a chave privada). Este procedimento deve assegurar as propriedades requeridas para a assinatura: autenticidade, integridade e não repudiação do documento; Verificação da assinatura Procedimento segundo o qual o destinatário do documento assinado consegue assegurar-se de que a sequência de bytes que recebe como assinatura é um valor válido, gerado pelo signatário para esse fim. Actualmente o nível de segurança deste método de identificação e autenticação pode ser considerado como seguro quando a Entidade que emite o certificado que dá suporte à assinatura digital é reconhecida pelos seus participantes como uma entidade fidedigna Dados biométricos A identificação e autenticação através de dados biométricos baseia-se nas características humanas de uma pessoa como a impressão digital, voz, face, íris, entre outras, considerando que essas características são únicas. Para a utilização deste método de autenticação, a Entidade que fornece os seus recursos deve efectuar previamente a recolha dos dados biométricos que pretende utilizar para identificar o utilizador. Quando o utilizador pretender aceder aos recursos da Entidade, deve permitir a obtenção dos seus dados biométricos pela Entidade, que deve verificar se os dados fornecidos são iguais aos dados recolhidos anteriormente A assinatura digital tem o valor legal conferido pela lei, nomeadamente no Decreto-Lei nº 290-D/99, de 2 de Agosto, republicado pelo Decreto-Lei nº 62/2003, de 3 de Abril e alterado pelos Decretos-Lei nºs 165/2004, de 6 de Julho e 116- A/2006, de 16 de Junho _v09.doc Página 21 de 53

22 Dependo da característica humana que é utilizada para a identificação, actualmente este método de autenticação pode ser considerado como um método de identificação seguro, dependendo da verificação presencial da pessoa que se pretende identificar e autenticar Smart Cards Os smart cards são o suporte físico (em formato de cartões) para a informação utilizada para alguns dos métodos de autenticação referidos anteriormente, nomeadamente a autenticação através de token, certificados digitais ou dados biométricos. Este tipo de cartões possui o hardware e o software necessário para a realização de operações importantes na área de identificação electrónica, nomeadamente: Guardar e aceder de forma segura os certificados digitais, fornecendo as capacidades necessárias para autenticação através de certificados digitais; Guardar e validar de forma segura os dados biométricos, fornecendo as capacidades necessárias para a autenticação através de dados biométricos; Gerar chaves únicas, fornecendo as capacidades necessárias para a autenticação através de tokens; Assinar e cifrar documentos em formato digital, utilizando os certificados digitais contidos no cartão, fornecendo as capacidades necessárias para assinatura electrónica de documentos. Tal como referido anteriormente, a combinação de mais que um método de autenticação permite fortalecer a segurança do acto de autenticação Single Sign On O mecanismo de Single Sign On (SSO) é o mecanismo através do qual, numa única acção de identificação e autenticação, permite a um utilizador adquirir acesso a vários recursos _v09.doc Página 22 de 53

23 (computadores, sistemas, serviços, informações) que requerem identificação e respectiva autenticação e para os quais o utilizador tem permissões de acesso, sem que seja necessário repetir a acção de identificação e/ou autenticação para cada recurso específico. Com este mecanismo, a identificação e autenticação do utilizador é efectuada numa única entidade, designada por entidade fornecedora de autenticação ou servidor de autenticação, o qual emite um certificado de autenticação 8, após a identificação e autenticação do cidadão através de métodos de identificação electrónica com nível de segurança adequado ao tipo de recursos a que pretende aceder. As credenciais indicadas pelo utilizador nunca saem da entidade fornecedora de autenticação. Ao invés, todos os recursos a que o utilizador pode aceder utilizando SSO devem confiar na entidade fornecedora de autenticação e no certificado por ela emitido, validando-o sempre que o utilizador pretenda interagir com cada um dos recursos Infra-estrutura de Chave Pública Uma infra-estrutura de chave pública PKI ou public key infrastructure é o conjunto formado pela arquitectura, organização, técnicas, práticas, procedimentos e serviços que, no seu todo, suporta a implementação, fornecimento e gestão de certificados X para criptografia de chave pública. Estes certificados identificam o indivíduo a quem o certificado diz respeito e ligam-na a um determinado par de chaves pública/privada. Uma infra-estrutura de chave pública é composta por quatro componentes fundamentais: 8 Nota: os fornecedores de autenticação podem emitir diferentes tipos de artefactos que permitam a cada um dos recursos identificar e autenticar o utilizador: certificado de autenticação ou certificados X.509, token ou ticket one-time passord, token ou ticket baseados em criptografia (kerberos), cookies. No âmbito do presente documento são considerados apenas os certificados de autenticação. 9 Para a documentação completa da norma X.509, consultar _v09.doc Página 23 de 53

TIC.GOV.PT Medida 12 Lisboa, 31 de março de 2015

TIC.GOV.PT Medida 12 Lisboa, 31 de março de 2015 TIC.GOV.PT Medida 12 Lisboa, 31 de março de 2015 AGENDA COLABORAR SIMPLIFICAR INOVAR Cartão de cidadão uma identidade autenticação e assinatura digital um sistema Segurança em cenários de identidade Tendências

Leia mais

DOCUMENTO DE DECLARAÇÃO BÁSICA:

DOCUMENTO DE DECLARAÇÃO BÁSICA: DOCUMENTO DE DECLARAÇÃO BÁSICA: CARACTERÍSTICAS E REQUERIMENTOS Entidade Certificadora Comum do Estado ECCE Entidade Certificadora do CEGER SISTEMA DE CERTIFICAÇÃO ELECTRÓNICA DO ESTADO (SCEE) INFRA-ESTRUTURA

Leia mais

Cartão de Cidadão. Autenticação com o Cartão de Cidadão AMA. 20 de Novembro de 2007. Versão 1.6

Cartão de Cidadão. Autenticação com o Cartão de Cidadão AMA. 20 de Novembro de 2007. Versão 1.6 Cartão de Cidadão Autenticação com o Cartão de Cidadão 20 de Novembro de 2007 Versão 1.6 AMA ÍNDICE 1. I TRODUÇÃO... 3 Modelo base de Autenticação... 3 Modelo de Autenticação Federado... 4 2. AUTE TICAÇÃO

Leia mais

Declaração Básica de Práticas de Certificação da ECAR

Declaração Básica de Práticas de Certificação da ECAR CIRC N.º 001/ECAR/2010 Classificação: Público Versão:2.0 META INFORMAÇÃO DO DOCUMENTO Título Declaração Básica de Práticas de Certificação da ECAR Referência CIRC N.º 001/ECAR/2010 Data 16-02-2011 Classificação

Leia mais

Declaração de Práticas de Certificação da EC de Assinatura Digital Qualificada do Cartão de Cidadão

Declaração de Práticas de Certificação da EC de Assinatura Digital Qualificada do Cartão de Cidadão Declaração de Práticas de Certificação da EC de Assinatura Digital Qualificada do Cartão de Cidadão Políticas MULTICERT_PJ.CC_24.1.1_0002_pt_.doc Identificação do Projecto: Cartão de Cidadão Identificação

Leia mais

Segurança da Informação

Segurança da Informação Resumos Volume 1, Julho de 2015 Segurança da Informação POPULARIZAÇÃO DA INFORMÁTICA Com a popularização da internet, tecnologias que antes eram restritas a profissionais tornaram-se abertas, democratizando

Leia mais

FAQs Projecto Factura Electrónica Índice

FAQs Projecto Factura Electrónica Índice FAQs Projecto Factura Electrónica Índice 1) O que é a factura electrónica?... 2 2) O que significa a certificação legal nestas facturas?... 2 3) Como se obtém a assinatura digital e que garantias ela nos

Leia mais

POLÍTICA DE CERTIFICADO DA SERASA AUTORIDADE CERTIFICADORA GLOBAL PARA CERTIFICADOS DE SERVIDOR

POLÍTICA DE CERTIFICADO DA SERASA AUTORIDADE CERTIFICADORA GLOBAL PARA CERTIFICADOS DE SERVIDOR POLÍTICA DE CERTIFICADO DA SERASA AUTORIDADE CERTIFICADORA GLOBAL PARA CERTIFICADOS DE SERVIDOR (PC SERASA AC GLOBAL) Autor: Serasa S.A. Edição: 20/01/2009 Versão: 1.3 1 INTRODUÇÃO 1.1 Visão Geral Esta

Leia mais

Declaração de Divulgação de Princípios

Declaração de Divulgação de Princípios Declaração de Divulgação de Princípios Política MULTICERT_PJ.CA3_24.1_0001_pt.doc Identificação do Projecto: 03 Identificação da CA: Nível de Acesso: Público Data: 25/03/2009 Aviso Legal Copyright 2002-2008

Leia mais

Política de Certificado de Validação on-line OCSP emitido pela EC AuC

Política de Certificado de Validação on-line OCSP emitido pela EC AuC Política de Certificado de Validação on-line OCSP emitido pela EC Políticas PJ.CC_24.1.2_0012_pt_.pdf Identificação do Projecto: Cartão de Cidadão Identificação da CA: Nível de Acesso: Público Data: 28/06/2012

Leia mais

O VALOR DA SEGURANÇA

O VALOR DA SEGURANÇA O VALOR DA SEGURANÇA O cartão do cidadão em portugal REdBOA São paulo 8 novembro 2013 CONCEITO Segurança dos cidadãos Confiança na relação dos cidadãos com o Estado e a sociedade civil Garante direitos

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Curso de Tecnologia em Redes de Computadores Disciplina: Tópicos Avançados II 5º período Professor: José Maurício S. Pinheiro Aula 1 Introdução à Certificação

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Curso de Tecnologia em Redes de Computadores Disciplina: Tópicos Avançados II 5º período Professor: José Maurício S. Pinheiro AULA 2: Padrão X.509 O padrão X.509

Leia mais

I T I. AC Raiz. Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal. Receita Federal SERASA SERPRO CAIXA CERT PRIVADA

I T I. AC Raiz. Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal. Receita Federal SERASA SERPRO CAIXA CERT PRIVADA I T I AC Raiz Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal Receita Federal SERASA SERPRO CAIXA CERT AC PRIVADA AR Autoridade Registradora AR Autoridade Registradora Certificado

Leia mais

WatchKey. WatchKey USB PKI Token. Versão Windows. Manual de Instalação e Operação

WatchKey. WatchKey USB PKI Token. Versão Windows. Manual de Instalação e Operação WatchKey WatchKey USB PKI Token Manual de Instalação e Operação Versão Windows Copyright 2011 Watchdata Technologies. Todos os direitos reservados. É expressamente proibido copiar e distribuir o conteúdo

Leia mais

SEGURANÇA DA INFORMAÇÃO 2015/12/01

SEGURANÇA DA INFORMAÇÃO 2015/12/01 SEGURANÇA DA INFORMAÇÃO 2015/12/01 SEGURANÇA DO CARTÃO DE CIDADÃO: u9lização nas autarquias locais 1. Apresentação do trabalho SUMÁRIO 2. Cartão de Cidadão: apresentação e aspectos legais 2.1. Apresentação

Leia mais

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1

Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Curso de Sistemas de Informação 8º período Disciplina: Tópicos Especiais Professor: José Maurício S. Pinheiro V. 2009-1 Aula 4 Introdução aos Sistemas Biométricos 1. Identificação, Autenticação e Controle

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Conceitos básicos de segurança

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Conceitos básicos de segurança Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Conceitos básicos de segurança Fernando Correia Capitão-de-fragata EN-AEL 2 de Novembro

Leia mais

SEGURANÇA EM SISTEMAS INFORMÁTICOS

SEGURANÇA EM SISTEMAS INFORMÁTICOS SEGURANÇA EM SISTEMAS INFORMÁTICOS SENHAS DE UTILIZAÇÃO ÚNICA GRUPO 12 DAVID RIBEIRO FÁBIO NEVES EI06053@FE.UP.PT EI06102@FE.UP.PT Porto, 7 de Dezembro de 2010 Índice Resumo O presente relatório tem como

Leia mais

O que é a iniciativa de marcação de consultas pela Internet eagenda? Simplificar e melhorar o acesso a cuidados de saúde. O que é o eagenda?

O que é a iniciativa de marcação de consultas pela Internet eagenda? Simplificar e melhorar o acesso a cuidados de saúde. O que é o eagenda? O que é a iniciativa de marcação de consultas pela Internet Simplificar e melhorar o acesso a cuidados de saúde Pedir Receitas A de pela Internet, no âmbito do Programa Simplex, surge no seguimento do

Leia mais

Formação Ordem dos Notários

Formação Ordem dos Notários Formação Ordem dos Notários Principais aspetos relacionados com as obrigações dos Notários como Entidades de Registo e o Processo de Emissão de Certificados Digitais Qualificados Agenda Módulo I 1. Certificação

Leia mais

Escola Secundária Eça de Queiroz

Escola Secundária Eça de Queiroz Escola Secundária Eça de Queiroz Curso de Instalação e Manutenção de Sistemas Informáticos Certificação digital de serviço universal Home Banking e ética na sua utilização. Autor: Daniel Filipe Inácio

Leia mais

5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados

5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados 5. Bases de dados: as questões de segurança, de criptografia e de proteção de dados A proteção jurídica das bases de dados em Portugal é regulada pelo Decreto-Lei n.º 122/2000, de 4 de Julho, que transpõe

Leia mais

Política de Certificados de Servidor Web

Política de Certificados de Servidor Web Política de Certificados de Servidor Web Políticas PJ.CC_24.1.2_0008_pt_.pdf Identificação do Projecto: Cartão de Cidadão Identificação da CA: Nível de Acesso: Público Data: 10/03/2010 Identificador do

Leia mais

Sistema de Certificação de Competências TIC

Sistema de Certificação de Competências TIC Sistema de Certificação de Competências TIC Portal das Escolas Manual de Utilizador INDICE 1 Introdução... 5 1.1 Sistema de formação e certificação de competências TIC...6 1.1.1 Processo de certificação

Leia mais

Certificado Digital e-cpf

Certificado Digital e-cpf Certificado Digital e-cpf Parabéns! Ao ter em mãos esse manual, significa que você adquiriu um certificado digital AC Link. Manual do Usuário 1 Índice Apresentação... 03 O que é um Certificado Digital?...

Leia mais

Manual do usuário Certificado Digital e-cpf. Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD

Manual do usuário Certificado Digital e-cpf. Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD Manual do usuário Certificado Digital e-cpf Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD Índice Apresentação 03 O que é um Certificado Digital? 04 Instalando

Leia mais

A Segurança da Informação no Cartão do Cidadão Português

A Segurança da Informação no Cartão do Cidadão Português Catarina Veloso Maria Almeida A Segurança da Informação no Cartão do Cidadão Português Draft report Faculdade de Engenharia da Universidade do Porto Mestrado em Ciência da Informação Dezembro 2009 Sumário

Leia mais

Princalculo Contabilidade e Gestão

Princalculo Contabilidade e Gestão COMUNICAÇÃO EXTERNA Junho/2013 REGIME DOS BENS EM CIRCULAÇÃO A obrigação é a partir de quando? 1 de Julho de 2013 Quem está obrigado? Os que no ano anterior tiveram um volume de negócios superior a 100.000

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Cartilha: Certificado Digital

Cartilha: Certificado Digital Certificação de Entidades Beneficientes de Assistência Social - CEBAS - 1 - Ministério da Educação Secretaria Executiva Secretaria de Educação Continuada, Alfabetizada e Diversidade Diretoria de Tecnologia

Leia mais

Regras gerais. Entidades Utilizadoras de produto de software de prescrição electrónica de medicamentos no Sistema de Saúde

Regras gerais. Entidades Utilizadoras de produto de software de prescrição electrónica de medicamentos no Sistema de Saúde Entidades Utilizadoras de produto de software de prescrição electrónica de medicamentos no Sistema de Saúde Unidade Operacional de Normalização e Certificação de Sistemas e Tecnologias da Informação Os

Leia mais

Certificação. Conceitos de Segurança da Informação José Carlos Bacelar Almeida (jba@di.uminho.pt) Outra informação contida nos certificados:

Certificação. Conceitos de Segurança da Informação José Carlos Bacelar Almeida (jba@di.uminho.pt) Outra informação contida nos certificados: Certificação Conceitos de Segurança da Informação José Carlos Bacelar Almeida (jba@di.uminho.pt) Certificados digitais de chave pública Documento assinado contendo uma associação entre uma dada entidade

Leia mais

Parte F REGULAMENTOS SOBRE A UTILIZAÇÃO E MANUTENÇÃO DE SISTEMAS DE GESTÃO DE CONTA À DISTÂNCIA

Parte F REGULAMENTOS SOBRE A UTILIZAÇÃO E MANUTENÇÃO DE SISTEMAS DE GESTÃO DE CONTA À DISTÂNCIA REGULAMENTOS SOBRE A UTILIZAÇÃO E MANUTENÇÃO DE SISTEMAS DE GESTÃO DE CONTA À DISTÂNCIA Termos utilizados nos Regulamentos: Utilizador o Cliente que solicitou ou utiliza o Sistema de Gestão de Conta à

Leia mais

Certificados Digitais Qualificados. Fevereiro/ 2009

Certificados Digitais Qualificados. Fevereiro/ 2009 Certificados Digitais Qualificados Fevereiro/ 2009 Agenda 1. O que é a Certificação Digital? 2. Certificado digital qualificado - Legislação 3. Certificado digital qualificado MULTICERT 4. Outros serviços

Leia mais

Certificado Digital e-cpf

Certificado Digital e-cpf Página1 Certificado Digital e-cpf Manual do Usuário Página2 Índice Apresentação... 03 O que é um Certificado Digital?... 03 Instalando o Certificado... 04 Conteúdo do Certificado... 07 Utilização, guarda

Leia mais

MATRÍCULA ELECTRÓNICA. Manual do Utilizador

MATRÍCULA ELECTRÓNICA. Manual do Utilizador MATRÍCULA ELECTRÓNICA Manual do Utilizador ÍNDICE 1 PREÂMBULO... 2 2 UTILIZAÇÃO PELOS ENCARREGADOS DE EDUCAÇÃO... 3 2.1 Matrícula Electrónica - Acesso através do Portal das Escolas... 3 2.2 Registo de

Leia mais

Serviços de Certificação Pública para Indivíduos GUIA DO USUÁRIO

Serviços de Certificação Pública para Indivíduos GUIA DO USUÁRIO Serviços de Certificação Pública para Indivíduos GUIA DO USUÁRIO Associação das Províncias pela JPKI (JPKI: Infraestrutura de Chaves Públicas Japonesa) (Revisado em outubro de 2008) Sobre a Associação

Leia mais

www.e-law.net.com.br certificação digital 1 de 5 Introdução

www.e-law.net.com.br certificação digital 1 de 5 Introdução www.e-law.net.com.br certificação digital 1 de 5 Introdução Cada pessoa cria sua assinatura de forma totalmente livre e a utiliza com significado de expressa concordância com os conteúdos dos documentos

Leia mais

Infoestrutura: Autenticação e Assinatura Digital

Infoestrutura: Autenticação e Assinatura Digital Infoestrutura: Autenticação e Assinatura Digital 1. Introdução No mundo físico, é fácil reconhecer quem é quem, seja vendo, escutando ou reconhecendo a caligrafia da pessoa. Entretanto, no mundo digital,

Leia mais

A certificação electrónica

A certificação electrónica A certificação electrónica jose.miranda@multicert.com 04 de Novembro 2005 1 AGENDA Desafio dos novos processos electrónicos na Sociedade de Informação Certificação Digital e timestamping: o que é e para

Leia mais

Factura Electrónica. Diminua os custos do processo de facturação da empresa. Factura Electrónica. Página 1

Factura Electrónica. Diminua os custos do processo de facturação da empresa. Factura Electrónica. Página 1 Diminua os custos do processo de facturação da empresa Página 1 O software PHC é uma ferramenta imprescindível na gestão diária de uma empresa. Trata-se de um software cuidadosamente estudado por utilizadores

Leia mais

Manual de Utilização de Certificados Digitais. Microsoft Word 2003

Manual de Utilização de Certificados Digitais. Microsoft Word 2003 Manual de Utilização de Certificados Digitais Microsoft Página 2 de 11 CONTROLO DOCUMENTAL REGISTO DE MODIFICAÇÕES Versão Data Motivo da Modificação 1.9 08/02/2013 Actualização do conteúdo do manual de

Leia mais

Medidas intersectoriais 2010/11

Medidas intersectoriais 2010/11 Medidas intersectoriais 2010/11 IS01 BALCÃO DO EMPREENDEDOR DISPONIBILIZAÇÃO DE SERVIÇOS Objectivos: Inventariar, introduzir e manter permanentemente actualizados no Balcão do Empreendedor vários serviços,

Leia mais

Entendendo a Certificação Digital

Entendendo a Certificação Digital Entendendo a Certificação Digital Novembro 2010 1 Sumário 1. Introdução... 3 2. O que é certificação digital?... 3 3. Como funciona a certificação digital?... 3 6. Obtendo certificados digitais... 6 8.

Leia mais

INFORMÁTICA PROF. RAFAEL ARAÚJO

INFORMÁTICA PROF. RAFAEL ARAÚJO INFORMÁTICA PROF. RAFAEL ARAÚJO CERTIFICADO DIGITAL O certificado digital é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade. Este arquivo pode

Leia mais

Processo de declaração de conformidade de software PEM

Processo de declaração de conformidade de software PEM Processo de declaração de conformidade de software PEM Dezembro, 2012 Versão 1,0 Os direitos de autor deste trabalho pertencem à SPMS e a informação nele contida é confidencial. Este trabalho não pode

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação ICP e Certificados Digitais Prof. João Henrique Kleinschmidt Santo André, junho de 2013 Criptografia de chave pública Oferece criptografia e também uma maneira de identificar

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Política de Certificado de Assinatura Digital Tipo A3. da Autoridade Certificadora SAT SEFAZ SP PC A3 DA AC SAT SEFAZ SP

Política de Certificado de Assinatura Digital Tipo A3. da Autoridade Certificadora SAT SEFAZ SP PC A3 DA AC SAT SEFAZ SP Política de Certificado de Assinatura Digital Tipo A3 da Autoridade Certificadora SAT SEFAZ SP PC A3 DA AC SAT SEFAZ SP Versão 1.2-30 de março de 2015 ÍNDICE 1. INTRODUÇÃO... 5 1.1.VISÃO GERAL... 5 1.2.IDENTIFICAÇÃO...

Leia mais

Tiago Maciel Sidney Medeiros

Tiago Maciel Sidney Medeiros 2º Encontro dos membros do projeto de pesquisa em E-commerce/B2B Tiago Maciel Sidney Medeiros 2º Encontro dos membros do projeto de pesquisa em E-commerce e B2B Objetivos Expor modelagem inicial do sistema

Leia mais

Criptografia de chaves públicas

Criptografia de chaves públicas Marcelo Augusto Rauh Schmitt Maio de 2001 RNP/REF/0236 Criptografia 2001 RNP de chaves públicas Criptografia Introdução Conceito É a transformação de um texto original em um texto ininteligível (texto

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA

Leia mais

Sumário. Parte I Introdução... 19. Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21. Capítulo 2 Conceitos necessários...

Sumário. Parte I Introdução... 19. Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21. Capítulo 2 Conceitos necessários... Agradecimentos... 7 O autor... 8 Prefácio... 15 Objetivos do livro... 17 Parte I Introdução... 19 Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21 Introdução à ICP... 21 Serviços oferecidos

Leia mais

67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado

67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado Carreira Policial Mais de 360 aprovados na Receita Federal em 2006 67 das 88 vagas no AFRF no PR/SC 150 das 190 vagas no TRF no PR/SC 150 das 190 vagas no TRF Conquiste sua vitória ao nosso lado Apostila

Leia mais

Processo para transformar a mensagem original em uma mensagem ilegível por parte de uma pessoa não autorizada

Processo para transformar a mensagem original em uma mensagem ilegível por parte de uma pessoa não autorizada Criptografia Processo para transformar a mensagem original em uma mensagem ilegível por parte de uma pessoa não autorizada Criptografia Onde pode ser usada? Arquivos de um Computador Internet Backups Redes

Leia mais

o Digital ao serviço da Advocacia

o Digital ao serviço da Advocacia Segurança: o Digital ao serviço da Advocacia A Internet e o Exercício da Advocacia Seminário Paulo Trezentos ADETTI / ISCTE 07/12/2002 Porto Agenda Alguns conceitos Assinaturas digitais Certificação e

Leia mais

Conceitos de Segurança em Sistemas Distribuídos

Conceitos de Segurança em Sistemas Distribuídos Conceitos de Segurança em Sistemas Distribuídos Francisco José da Silva e Silva Laboratório de Sistemas Distribuídos (LSD) Departamento de Informática / UFMA http://www.lsd.ufma.br 30 de novembro de 2011

Leia mais

PROJETO DE REDES www.projetoderedes.com.br

PROJETO DE REDES www.projetoderedes.com.br PROJETO DE REDES www.projetoderedes.com.br Curso de Tecnologia em Redes de Computadores Disciplina: Tópicos Avançados II 5º período Professor: José Maurício S. Pinheiro AULA 3: Políticas e Declaração de

Leia mais

Política de Certificado de Autenticação

Política de Certificado de Autenticação Política de Certificado de Autenticação Políticas PJ.CC_24.1.2_0011_pt_.pdf Identificação do Projecto: Cartão de Cidadão Identificação da CA: Nível de Acesso: Público Data: 28/06/2012 Identificador do

Leia mais

SPTD Sistema Português do Tacógrafo Digital. Política da Autoridade Portuguesa. Página 1 de 45

SPTD Sistema Português do Tacógrafo Digital. Política da Autoridade Portuguesa. Página 1 de 45 SPTD Sistema Português do Tacógrafo Digital Política da Autoridade Portuguesa Página 1 de 45 Controlo de versão Versão Data Acção Nomes 1.0 Março 2006 Elaboração Submetido para aprovação pela Autoridade

Leia mais

Declaração de Práticas

Declaração de Práticas Declaração de Práticas acingov Registo da revisão Versão Data Responsável Descrição 1.0 24-03-2014 Ricardo Garcês Versão Inicial 2.0 09-10-2014 Ricardo Garcês 3.0 13-10-2014 Ricardo Garcês 4.0 17-10-2014

Leia mais

Prof. Paulo Barbosa duvidas@paulobarbosa.com.br

Prof. Paulo Barbosa duvidas@paulobarbosa.com.br Prof. Paulo Barbosa duvidas@paulobarbosa.com.br Esse material pode ser denominado Notas de Aulas. Ele não é autodidático, não o utilize como fonte única de consulta para estudos para préconcurso. Use-o

Leia mais

Especificação Técnica ACSS

Especificação Técnica ACSS Especificação Técnica ACSS ET.ACSS.011-2011 Serviço de Registo de Requisições de MCDT Interface para recepção de requisições electrónicas ICS DESCRITORES Sistema de recepção de requisições de meios complementares

Leia mais

PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 103/2013

PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 103/2013 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL PRESIDÊNCIA PRESIDÊNCIA 29/07/2013 RESOLUÇÃO Nº 103/2013 Assunto: Estabelece

Leia mais

Sistemas Informáticos

Sistemas Informáticos Sistemas Informáticos Sistemas Distribuídos Eng.ª Sistemas de Informação Escola Superior de Tecnologia e Gestão - IPVC Ano Lectivo 2005-2006 1.º Semestre 1 - nos Sistemas Distribuídos - Necessidade de

Leia mais

Sistemas Distribuídos Introdução a Segurança em Sistemas Distribuídos

Sistemas Distribuídos Introdução a Segurança em Sistemas Distribuídos Sistemas Distribuídos Introdução a Segurança em Sistemas Distribuídos Departamento de Informática, UFMA Graduação em Ciência da Computação Francisco José da Silva e Silva 1 Introdução Segurança em sistemas

Leia mais

Política de Certificado de Validação Cronológica

Política de Certificado de Validação Cronológica Política de Certificado de Validação Cronológica Políticas MULTICERT_PJ.CA3_24.1.2_0004_pt.doc Identificação do Projeto: ECRaiz Identificação da CA: Nível de Acesso: Público Data: 01/08/2014 Identificador

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Gestão de chaves assimétricas

Gestão de chaves assimétricas Gestão de chaves assimétricas SEGURANÇA INFORMÁTICA E NAS ORGANIZAÇÕES SEGURANÇA INFORMÁTICA E NAS ORGANIZAÇÕES 1 Problemas a resolver Assegurar uma geração apropriada dos pares de chaves Geração aleatória

Leia mais

A implementação do balcão único electrónico

A implementação do balcão único electrónico A implementação do balcão único electrónico Departamento de Portais, Serviços Integrados e Multicanal Ponte de Lima, 6 de Dezembro de 2011 A nossa agenda 1. A Directiva de Serviços 2. A iniciativa legislativa

Leia mais

Tema 4a A Segurança na Internet

Tema 4a A Segurança na Internet Tecnologias de Informação Tema 4a A Segurança na Internet 1 Segurança na Internet Segurança Ponto de Vista da Empresa Ponto de vista do utilizador A quem Interessa? Proxy Firewall SSL SET Mecanismos 2

Leia mais

Segurança e Privacidade em Sistemas de Armazenamento e Transporte de Dados

Segurança e Privacidade em Sistemas de Armazenamento e Transporte de Dados Universidade do Minho Mestrado Sistemas Dados e Processamento Analítico Segurança e Privacidade em Sistemas de Armazenamento e Transporte de Dados Ano Lectivo de 2006/2007 Certificados Digitais Sistema

Leia mais

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura.

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. Módulo 14 Segurança em redes Firewall, Criptografia e autenticação Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. 14.1 Sistemas

Leia mais

Canal Direto. O banco no sistema da sua empresa!

Canal Direto. O banco no sistema da sua empresa! Canal Direto O banco no sistema da sua empresa! ÍNDICE 1. CARACTERIZAÇÃO DO SERVIÇO PÁG. 3 2. FUNCIONALIDADES ATUALMENTE DISPONÍVEIS PÁG. 4 3. VANTAGENS PÁG. 5 4. CUSTOS PÁG. 6 5. ADESÃO PÁG. 7 6. SUBSCRIÇÃO

Leia mais

Enunciado de apresentação do projecto

Enunciado de apresentação do projecto Engenharia de Software Sistemas Distribuídos 2 o Semestre de 2009/2010 Enunciado de apresentação do projecto FEARSe Índice 1 Introdução... 2 2 Cenário de Enquadramento... 2 2.1 Requisitos funcionais...

Leia mais

CERTIFICAÇÃO DIGITAL

CERTIFICAÇÃO DIGITAL Autenticidade Digital CERTIFICAÇÃO DIGITAL Certificação Digital 1 Políticas de Segurança Regras que baseiam toda a confiança em um determinado sistema; Dizem o que precisamos e o que não precisamos proteger;

Leia mais

PORTARIA TC Nº 382, DE 29 DE SETEMBRO DE 2014. CAPÍTULO I

PORTARIA TC Nº 382, DE 29 DE SETEMBRO DE 2014. CAPÍTULO I PORTARIA TC Nº 382, DE 29 DE SETEMBRO DE 2014. Disciplina a utilização dos certificados digitais no âmbito interno, pelos funcionários do Tribunal de Contas do Estado de Pernambuco TCE-PE e demais usuários

Leia mais

Relatório de Segurança em Sistemas Informáticos

Relatório de Segurança em Sistemas Informáticos Relatório de Segurança em Sistemas Informáticos Autenticação em cartões electrónicos Cartão do Cidadão Bruno Duarte ei07136 Pedro Barbosa ei08036 Rúben Veloso ei11001 Índice Índice...2 Introdução...1 Cartão

Leia mais

POLÍTICA DE CERTIFICADOS DO SCEE

POLÍTICA DE CERTIFICADOS DO SCEE POLÍTICA DE CERTIFICADOS DO SCEE e Requisitos Mínimos de Segurança 10 DE JULHO DE 2015 scee@scee.gov.pt Página 1 de 118 Política de Certificados APROVAÇÃO E ASSINATURA De acordo com o estipulado no ponto

Leia mais

Manual de Utilização de Certificados Digitais. Microsoft Word 2010

Manual de Utilização de Certificados Digitais. Microsoft Word 2010 Manual de Utilização de Certificados Digitais Microsoft Página 2 de 11 CONTROLO DOCUMENTAL REGISTO DE MODIFICAÇÕES Versão Data Motivo da Modificação 1.1 08/02/2013 Alteração do conteúdo do manual de suporte

Leia mais

Centro de Gestão da Rede Informática do Governo Data de emissão Entrada em vigor Classificação Elaborado por Aprovação Ver. Página

Centro de Gestão da Rede Informática do Governo Data de emissão Entrada em vigor Classificação Elaborado por Aprovação Ver. Página 2002-02-27 Imediata AT CEGER/FCCN GA 2 1 de 11 Tipo: NORMA Revoga: Versão 1 Distribuição: Sítio do CEGER na Internet. Entidades referidas em IV. Palavras-chave: gov.pt. Registo de sub-domínios de gov.pt.

Leia mais

SOLICITAÇÃO DO CERTIFICADO DIGITAL

SOLICITAÇÃO DO CERTIFICADO DIGITAL SOLICITAÇÃO DO CERTIFICADO DIGITAL 1. Como é feita a entrega do Certificado Digital? Resposta: O certificado digital é entregue ao cliente após o procedimento de Validação Presencial, o qual consiste na

Leia mais

Autoridade Certificadora CAIXA Pessoa Física CONTRATO DE ASSINANTE A1

Autoridade Certificadora CAIXA Pessoa Física CONTRATO DE ASSINANTE A1 TERMO DE CONTRATO DE PRESTAÇÃO DE SERVIÇOS DE CERTIFICAÇÃO DIGITAL que entre si fazem, de um lado, como contratada a CAIXA ECONÔMICA FEDERAL, Empresa Pública de Direito Privado, inscrita no CNPJ/MF sob

Leia mais

Política de Certificados de Servidor Web

Política de Certificados de Servidor Web Política de Certificados de Servidor Web Políticas MULTICERT_PJ.CC_24.1.2_0008_pt_.doc Identificação do Projecto: Cartão de Cidadão Identificação da CA: Nível de Acesso: Público Data: 07/09/2007 Aviso

Leia mais

Requisitos para a Federação de um serviço web. Serviço Utilizador RCTS Janeiro de 2010

Requisitos para a Federação de um serviço web. Serviço Utilizador RCTS Janeiro de 2010 Requisitos para a Federação de um serviço web Serviço Utilizador RCTS Janeiro de 2010 15 de Janeiro de 2010 Requisitos para a Federação de um serviço web Serviço Utilizador RCTS Janeiro de 2010 EXT/2010/Serviço

Leia mais

Segurança Informática

Segurança Informática Cadeira de Tecnologias de Informação Ano lectivo 2009/10 Segurança Informática TI2009/2010_SI_1 Tópicos 1. O que é segurança? 2. Problemas relacionados com segurança 3. Criptografia 4. Assinatura digital

Leia mais

CERTIFICAÇÃO DIGITAL. Certificado Digital Assinatura Digital

CERTIFICAÇÃO DIGITAL. Certificado Digital Assinatura Digital CERTIFICAÇÃO DIGITAL Certificado Digital Assinatura Digital CERTIFICADO e ASSINATURA DIGITAL CERTIFICADO Éo documento eletrônico de identidade emitido por Autoridade Certificadora credenciada pela AC Raiz

Leia mais

Parecer N. 02/P/2011/GPDP

Parecer N. 02/P/2011/GPDP Parecer N. 02/P/2011/GPDP Assunto: Criação do sistema de consulta online do Título de Identificação de Trabalhador Não-Residente (TI/TNR) pelo Corpo de Polícia de Segurança Pública O Corpo de Polícia de

Leia mais

Autenticação de dois fatores no SonicOS

Autenticação de dois fatores no SonicOS Autenticação de dois fatores no SonicOS 1 Observações, cuidados e advertências OBSERVAÇÃO: uma OBSERVAÇÃO indica informações importantes que ajudam a usar seu sistema da melhor forma. CUIDADO: um CUIDADO

Leia mais

soluções transversais SOLUÇÕES segurança

soluções transversais SOLUÇÕES segurança soluções transversais SOLUÇÕES segurança RESUMO DA SOLUÇÃO single sign-on acessos prevenção autenticação Os serviços de segurança são implementados como um layer do tipo Black Box, utilizável pelos canais

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro Revisando As transações eletrônicas demandam mecanismos de segurança que garantam: Autenticidade Confidencialidade Integridade

Leia mais

I Seminário sobre Segurança da Informação e Comunicações CRIPTOGRAFIA

I Seminário sobre Segurança da Informação e Comunicações CRIPTOGRAFIA I Seminário sobre Segurança da Informação e Comunicações CRIPTOGRAFIA OBJETIVO Conhecer aspectos básicos do uso da criptografia como instrumento da SIC.. Abelardo Vieira Cavalcante Filho Assistente Técnico

Leia mais

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes Autoria Esta apresentação foi desenvolvida por Ricardo Campos, docente do Instituto Politécnico de Tomar. Encontra-se disponível na página web do autor no link Publications ao abrigo da seguinte licença:

Leia mais

O QUE É CERTIFICAÇÃO DIGITAL?

O QUE É CERTIFICAÇÃO DIGITAL? O QUE É CERTIFICAÇÃO DIGITAL? Os computadores e a Internet são largamente utilizados para o processamento de dados e para a troca de mensagens e documentos entre cidadãos, governo e empresas. No entanto,

Leia mais

EAP (Extensible Authentication Protocol) RFC 3748

EAP (Extensible Authentication Protocol) RFC 3748 EAP (Extensible Authentication Protocol) RFC 3748 Redes de Comunicação Departamento de Engenharia da Electrónica e Telecomunicações e de Computadores Instituto Superior de Engenharia de Lisboa EAP (Extensible

Leia mais

POLÍTICA DE CERTIFICADOS DA SCEE

POLÍTICA DE CERTIFICADOS DA SCEE POLÍTICA DE CERTIFICADOS DA SCEE e Requisitos mínimos de Segurança Versão 1.0, de 14 de Julho de 2006 OID: 2.16.620.1.1.1.2.1.1.0 ÍNDICE 1. INTRODUÇÃO...11 1.1. Enquadramento...11 1.1.1. Âmbito...11 1.1.2.

Leia mais

4- O comerciante necessita de adquirir um certificado digital de servidor para poder usar a solução? Sim, um certificado SSL comum.

4- O comerciante necessita de adquirir um certificado digital de servidor para poder usar a solução? Sim, um certificado SSL comum. Perguntas mais frequentes 1- O que é a Solução? Solução que permite a aceitação segura dos cartões dos sistemas Visa e MasterCard. A solução possibilita a autenticação inequívoca de todos os intervenientes

Leia mais