Declaração de Práticas de Validação Cronológica

Transcrição

1 Declaração de Práticas de Validação Cronológica Políticas PJ.CC_24.1.1_0005_pt.doc Identificação do Projeto: Cartão de Cidadão Identificação da CA: Nível de Acesso: Público Data: 25/03/2014

2 Identificador do documento: PJ.CC_24.1.1_0005_pt.doc Palavras-chave: Cartão de Cidadão, Tipologia documental: Políticas Título: Língua original: Português Língua de publicação: Português Nível de acesso: Público Data: 25/03/2014 Versão atual: 1.0 Identificação do Projeto: Cartão de Cidadão Identificação da CA: Cliente: Ministério da Justiça Histórico de Versões N.º de Versão Data Detalhes Autor(es) /12/2013 Versão inicial. MULTICERT S.A /03/2014 Versão Aprovada Grupo de Gestão Documentos Relacionados ID Documento Detalhes Autor(es) PJ.CC_24.1.1_0001_pt_.pdf Declaração de Práticas de Certificação do Cartão de Cidadão MULTICERT S.A. PJ.CC_24.1.2_0007_pt_.pdf Política de Certificado de Validação Cronológica MULTICERT S.A.

3 Resumo Executivo Decorrente da implementação de vários programas públicos e privados para a promoção das tecnologias de informação e comunicação e a introdução de novos processos de relacionamento em sociedade, entre cidadãos, empresas, organizações não, governamentais e o Estado, com vista ao fortalecimento da sociedade de informação, do governo eletrónico (egovernment) e do comércio eletrónico, os selos temporais (time-stamps) emitidos pela Entidade de Certificação do Cartão de Cidadão, credenciada pela Autoridade Credenciadora (conforme previsto na legislação europeia e nacional), fornecem os mecanismos necessários para comprovar que um datum (conjunto de informação em formato eletrónico) existia na data da aposição do selo temporal. A infraestrutura da Entidade de Certificação do Cartão de Cidadão fornece selos temporais e mecanismos de validação cronológica, de acordo com a legislação nacional e europeia, conforme com o standard ETSI TS [4]. A Entidade de Certificação do Cartão de Cidadão está devidamente credenciada pela Autoridade Nacional de Segurança ( conforme previsto na legislação portuguesa e europeia, estando deste modo habilitada legalmente a emitir todo o tipo de selos temporais, incluindo os selos temporais emitidas por Entidades de Certificação que emitem certificados digitais qualificados (certificados digitais de mais elevado grau de segurança previsto na legislação). Este documento define os procedimentos e práticas utilizadas pela Entidade de Certificação do Cartão de Cidadão no suporte à sua atividade de emissão de selos temporais e fornecimento de mecanismos de validação cronológica, sendo referenciado como o documento de Declaração de Práticas de Validação Cronológica da Entidade de Certificação do Cartão de Cidadão. Copyright Cartão de Cidadão - Todos os direitos reservados. Página 3 de 50

4 Sumário Utilização adequada Utilização não autorizada Entidade de Validação Cronológica Subscritor Partes Confiantes Outros participantes Fonte Legal de Tempo Autoridade Credenciadora Auditor de Segurança Entidade responsável pela gestão do documento Contato Entidade responsável pela determinação da conformidade da DPVC relativamente à Política Procedimentos para Aprovação da DPVC Acrónimos Definições Localização física e tipo de construção Acesso físico ao local Energia e ar condicionado Exposição à água Prevenção e proteção contra incêndio Salvaguarda de suportes de armazenamento Eliminação de resíduos Instalações externas (alternativa) para recuperação de segurança Grupos de Trabalho Número de pessoas exigidas por tarefa Funções que requerem separação de responsabilidades Requisitos relativos às qualificações, experiência, antecedentes e credenciação Procedimento de verificação de antecedentes Requisitos de formação e treino Frequência e requisitos para ações de reciclagem Frequência e sequência da rotação de funções Sanções para ações não autorizadas Requisitos para prestadores de serviços Documentação fornecida ao pessoal Tipo de eventos registados Frequência da auditoria de registos Período de retenção dos registos de auditoria Proteção dos registos de auditoria Procedimentos para a cópia de segurança dos registos Sistema de recolha de registos (Interno / Externo) Copyright Cartão de Cidadão - Todos os direitos reservados. Página 4 de 50

5 5.4.7 Notificação de agentes causadores de eventos Avaliação de vulnerabilidades Tipo de dados arquivados Período de retenção em arquivo Proteção dos arquivos Procedimentos para as cópias de segurança do arquivo Requisitos para validação cronológica dos registos Sistema de recolha de dados de arquivo (Interno / Externo) Procedimentos de recuperação e verificação de informação arquivada Procedimentos em caso de incidente ou comprometimento Corrupção dos recursos informáticos, do software e/ou dos dados Capacidade de continuidade da atividade em caso de desastre Geração do par de chaves Dimensão das chaves Geração dos parâmetros da chave pública e verificação da qualidade Algoritmos de assinatura do selo temporal Normas e medidas de segurança do módulo criptográfico Gestão do ciclo de vida do módulo criptográfico Cópia de segurança da chave privada Processo para ativação da chave privada Processo para desativação da chave privada Fim de período de vida da chave privada Emissão do certificado digital Arquivo da chave pública Períodos de validade do certificado e das chaves Renovação de certificado com geração de novo par de chaves Requisitos técnicos específicos Avaliação/nível de segurança Medidas de desenvolvimento do sistema Medidas para a gestão da segurança Ciclo de vida das medidas de segurança Taxas por emissão de selo temporal Taxas para outros serviços Política de reembolso Seguro de cobertura Outros recursos Seguro ou garantia de cobertura para utilizadores Âmbito da confidencialidade da informação Informação fora do âmbito da confidencialidade da informação Responsabilidade de proteção da confidencialidade da informação Medidas para garantia da privacidade Informação privada Informação não protegida pela privacidade Responsabilidade de proteção da informação privada Notificação e consentimento para utilização de informação privada Copyright Cartão de Cidadão - Todos os direitos reservados. Página 5 de 50

6 9.4.6 Divulgação resultante de processo judicial ou administrativo Outras circunstâncias para revelação de informação Representação e garantias das entidades de validação cronológica Representação e garantias dos subscritores Representação e garantias das partes confiantes Representação e garantias das Fontes Legais de Tempo Termo Substituição e revogação da DPVC Consequências da cessação de atividade Procedimento para alterações Prazo e mecanismo de notificação Motivos para mudar de OID Acordo completo Independência Severidade Execuções (taxas de advogados e desistência de direitos) Força Maior Copyright Cartão de Cidadão - Todos os direitos reservados. Página 6 de 50

7 Introdução Objetivos O objetivo deste documento é definir os procedimentos e práticas utilizadas pela Entidade de Certificação do Cartão de Cidadão (EC do Cartão de Cidadão) no suporte à sua atividade de emissão de selos temporais e fornecimento de mecanismos de validação cronológica. Público-Alvo Este documento deve ser lido por, Recursos humanos atribuídos aos grupos de trabalho da EC do Cartão de Cidadão; Terceiras partes, encarregues de auditar a EC Cartão do Cidadão; Todo o público, em geral. Estrutura do Documento Assume-se que o leitor é conhecedor dos conceitos de criptografia, infraestruturas de chave pública, assinatura eletrónica e selo temporal. Caso esta situação não se verifique recomenda-se o aprofundar de conceitos e conhecimento nos tópicos anteriormente focado antes de proceder com a leitura do documento. Os primeiros sete capítulos são dedicados a descrever os procedimentos e práticas mais importantes no âmbito dos serviços de Validação Cronológica da EVC do Cartão de Cidadão. O capítulo oito descreve auditorias de conformidade e outras avaliações. O capítulo nove descreve matérias legais. Copyright Cartão de Cidadão - Todos os direitos reservados. Página 7 de 50

8 1 Introdução O presente documento é uma, ou DPVC, cujo objetivo se prende com a definição de um conjunto de práticas para a emissão de selos temporais e fornecimento de mecanismos de validação cronológica, para a garantia de fiabilidade desses mesmos selos. Não se pretende nomear regras legais ou obrigações, mas antes informar, pelo que se pretende que este documento seja simples, direto e entendido por um público alargado. Este documento descreve as práticas gerais seguidas pela Entidade de Certificação do Cartão de Cidadão (EC do Cartão de Cidadão) na emissão de selos temporais e fornecimento de mecanismos de validação cronológica e, explica o que um selo temporal fornece e significa, assim como os procedimentos que deverão ser seguidos por Partes Confiantes e por qualquer outra pessoa interessada para confiarem nos selos emitidos pela EC do Cartão de Cidadão. Este documento pode sofrer atualizações regulares. Os selos emitidos pela EC do Cartão de Cidadão contêm uma referência ao DPVC de modo a permitir que Partes confiantes e outras pessoas interessadas possam encontrar informação sobre o selo e sobre a entidade que o emitiu. 1.1 Selo Temporal Ao criar evidências/comprovativos digitais que sejam confiáveis e passíveis de validação, torna-se necessário utilizar um método standard para associar a data/hora ao datum (conjunto de informação em formato eletrónico), de modo a que possam ser validados posteriormente. A qualidade destas evidências é baseada no processo de criação e gestão da estrutura de dados que representa os eventos (neste caso, o registo da data/hora), assim como na qualidade dos pontos mensuráveis (neste caso, o processo como o registo da data/hora é aplicado) que ancoram as evidências ao mundo real. Adicionalmente, para verificar uma assinatura eletrónica pode ser necessário provar que a assinatura digital do datum, efetuada pelo titular do certificado digital, foi efetuada enquanto o certificado era válido. Esta verificação é necessária em duas circunstâncias: 1) durante o período de validade do certificado, caso a chave privada tenha sido comprometida e, portanto, revogada por esse motivo; 2) após o final do período de validade do certificado, já que as Entidades de Certificação não revogam certificados após o final do período de validade do certificado. Um modo de resolver este problema passa pela utilização do selo temporal que permite provar que um datum existia antes de um determinado tempo. Esta técnica permite provar que a assinatura foi gerada antes da data/hora contida na estrutura de dados que forma o selo temporal. As práticas e políticas utilizadas na emissão e validação do selo temporal são a principal razão para a elaboração do presente documento. No entanto, convém salientar que estas práticas e políticas permitem a resolução de outras necessidades. O selo temporal caracterizado também no ETSI Electronic Signature Format standard TS [2] criado com base no RFC 3161 Time-Stamp Protocol [13]. Estes documentos identificam os requisitos mínimos de segurança e de qualidade necessários para a garantir a validação confiável de assinaturas eletrónicas de longo prazo. A Diretiva 1999/93/EC do Parlamento Europeu, define prestador de serviços de certificação como "uma entidade ou uma pessoa singular ou coletiva que emite certificados ou presta outros serviços relacionados com assinaturas eletrónicas". Um exemplo de um prestador de serviços de certificação é uma Entidade de Validação Cronológica (Time-Stamping Authority). Copyright Cartão de Cidadão - Todos os direitos reservados. Página 8 de 50

9 1.1.1 Utilização adequada Os requisitos e regras definidos neste documento, aplicam-se a todos os selos temporais emitidos pela EVC do Cartão de Cidadão. Os selos temporais são emitidos a pedido dos subscritores e de acordo com o RFC 3161 [13] e são também utilizadas pelas Partes Confiantes para validação da associação da data/hora ao datum Utilização não autorizada Os selos temporais apenas poderão ser utilizados na extensão do que é permitido pela legislação aplicável. Não poderão ser utilizadas para qualquer função fora do âmbito das utilizações descritas anteriormente. Os serviços de certificação oferecidos pela EC do Cartão de Cidadão, não foram desenhados nem estão autorizados a ser utilizados em atividades de alto risco ou que requeiram um atividade isenta de falhas, como as relacionadas com o funcionamento de instalações hospitalares, nucleares, controlo de tráfego aéreo, controlo de tráfego ferroviário, ou qualquer outra atividade onde uma falha possa levar à morte, lesões pessoais ou danos graves para o meio ambiente. 1.2 Visão Geral As práticas de emissão de selos temporais e fornecimento de mecanismos de validação cronológica levadas a cabo por uma Entidade de Validação Cronológica (EVC) são fundamentais para garantir a fiabilidade e confiança no selo aposto a qualquer datum. Esta DPVC aplica-se especificamente à EVC do Cartão de Cidadão que respeita e implementa os seguintes standards: ETSI TS : Electronic Signatures and Infrastructures (ESI); Policy requirements for timestamping authorities, v1.2.2 [4]; RFC 3161 Internet X.509 Public Key Infrastructure - Time-Stamp Protocol (TSP) [13]; e cumpre com os requisitos definidos nos documentos: ETSI TS : Time stamping profile, v1.3.1 [3]; CWA : Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures Part 1: System Security Requirements [1]. Este documento especifica as práticas e políticas de operação e gestão da EVC do Cartão de Cidadão, de modo a que os subscritores do serviço e partes confiantes possam ter confiança na operação dos serviços de emissão de selo temporal e validação cronológica. 1.3 Designação e Identificação do Documento Este documento é a da EC do Cartão de Cidadão, sendo o valor do OID associado a este documento o Este documento é identificado pelos dados constantes na seguinte tabela: INFORMAÇÃO DO DOCUMENTO Versão do Documento Versão 1.0 Estado do Documento Aprovado Copyright Cartão de Cidadão - Todos os direitos reservados. Página 9 de 50

10 OID Data de Emissão Março de 2014 Validade Localização Não aplicável Participantes na Validação Cronológica Entidade de Validação Cronológica A EC do Cartão de Cidadão é uma entidade certificadora credenciada pela Autoridade Nacional de Segurança ( conforme previsto na legislação portuguesa e europeia, estando deste modo habilitada legalmente a emitir todo o tipo de selos temporais, incluindo as emitidas por Entidades de Certificação que emitem certificados digitais qualificados (certificados digitais de mais elevado grau de segurança previsto na legislação). A Entidade em que os utilizadores (i.e., subscritores e partes confiantes) dos serviços de validação cronológica confiam para a emissão de selos temporais é designada por Entidade de Validação Cronológica (EVC). A EVC tem a responsabilidade de fornecer os serviços de selo temporal, que podem ser decompostos em duas componentes (independentemente do modo como estes serviços estejam implementados): Emissão de selo temporal esta componente do serviço gera os selos temporais; Gestão dos serviços de validação cronológica esta componente monitoriza e controla a operação dos serviços de validação cronológica, de modo a garantir que os mesmos são fornecidos conforme especificado neste documento de práticas e políticas. Esta componente tem a responsabilidade da ativação e desativação do serviço de emissão de selo temporal por exemplo, para garantir que o relógio, utilizado na emissão do selo temporal, está corretamente sincronizado com o tempo UTC. A EVC tem a responsabilidade de operar uma ou mais TSU (time-stamping unit) que cria e assina selos temporais em nome da EVC, cada uma com a sua chave distinta de assinatura. A EVC pode utilizar serviços de outras partes no fornecimento dos serviços de validação cronológica, sendo contudo sempre responsável por garantir o cumprimento das práticas e políticas definidas neste documento. No caso da EVC do Cartão de Cidadão, o relógio utilizado para emitir selos temporais está sincronizado com pelo menos os relógios atómicos do Observatório Astronómico de Lisboa (OAL) instituição que tem a incumbência legal de manter e distribuir a Hora Legal em Portugal. A EVC do Cartão de Cidadão é um prestador de serviços de certificação, conforme definido no artigo 2(11) da Diretiva 1999/93/EC do Parlamento Europeu, que emite selos temporais Subscritor O subscritor é o Cidadão, detentor de um Cartão de Cidadão da República Portuguesa, válido. O Cidadão é responsável pelo cumprimento das suas obrigações, conforme secção Copyright Cartão de Cidadão - Todos os direitos reservados. Página 10 de 50

11 1.4.3 Partes Confiantes As partes confiantes ou destinatários são pessoas singulares, entidades ou equipamentos que confiam na validade dos mecanismos e procedimentos utilizados no processo de associação de um selo temporal ao datum, ou seja confiam na veracidade do selo temporal. Nesta DPVC, considera-se uma parte confiante, aquela que confia no teor, validade e aplicabilidade do selo temporal emitida pela EC do Cartão de Cidadão Outros participantes Fonte Legal de Tempo O relógio utilizado para emitir selos temporais está sincronizado com pelo menos os relógios atómicos do Observatório Astronómico de Lisboa (OAL) instituição que tem a incumbência legal de manter e distribuir a Hora Legal em Portugal Autoridade Credenciadora A Autoridade Credenciadora é a entidade competente para a credenciação e fiscalização das entidades certificadoras e entidades de validação cronológica. De uma forma geral o papel da Autoridade Credenciadora, exercida em Portugal pela Autoridade Nacional de Segurança (ANS), está relacionado com a auditoria/inspeção de conformidade, no sentido de aferir se os processos utilizados pelas EC nas suas atividades de prestação de serviços de certificação, estão conformes, de acordo com os requisitos mínimos estabelecidos na legislação portuguesa e europeia, assim como com o estabelecido nesta DPVC. A Autoridade Credenciadora é uma das peças que contribui para a confiabilidade dos selos temporais, pelas competências que exerce sobre as EVC que os emitem. No âmbito das suas funções, a Autoridade Credenciadora, exerce os seguintes papéis relativamente às EVC: a) Credenciação: procedimento de aprovação da EVC para exercer a sua atividade, com base numa avaliação feita a parâmetros tão diversificados como a segurança física, o HW e SW, os procedimentos de acesso e de operação; b) Registo: procedimento sem o qual a EVC não poderá emitir selos temporais, na qualidade de EC que emite Certificados Qualificados; c) Fiscalização: procedimento assente em inspeções efetuadas às EVC, com vista a regularmente verificar parâmetros de conformidade; d) Credenciação do Auditor de Segurança, figura independente do círculo de influência da EVC e que lhe é exigida Auditor de Segurança Figura independente do círculo de influência da Entidade de Certificação, exigida pela Autoridade Credenciadora. A sua missão é auditar a infraestrutura da Entidade de Certificação e Entidade de Validação Cronológica, no que respeita a equipamentos, recursos humanos, processos, políticas e regras, tendo que submeter um relatório anual, em Março, à Autoridade Credenciadora. A lista de Auditores de Segurança de Entidades Certificadoras credenciados pela Entidade Credenciadora podem ser encontrados em Copyright Cartão de Cidadão - Todos os direitos reservados. Página 11 de 50

12 1.5 Política de Validação Cronológica Uma política de validação cronológica é um conjunto de regras que indica a aplicabilidade de um selo temporal a uma comunidade particular e/ou conjunto de aplicações com os mesmos requisitos comuns de segurança. O presente documento define a política e práticas de validação cronológica seguidas pela EVC do Cartão de Cidadão na emissão de selos temporais, baseada em certificados digitais e com uma precisão de um segundo. A EVC do Cartão de Cidadão emite selos temporais qualificadas de acordo com as regras e requisitos da Diretiva 1999/93/CE [9] para validade de longo prazo (como definido na TS [2]), mas é aplicável a qualquer uso, que tenha uma exigência de qualidade equivalente. Os selos temporais avançados não necessitam de seguir as regras e requisitos da Diretiva 1999/93/CE, mas como a EVC do Cartão de Cidadão utiliza a mesma infraestrutura tecnológica para emitir os dois tipos de selos temporais, decidiu-se que não seriam publicadas duas políticas diferentes, uma para cada tipo de selo temporal. Deste modo, apenas existe uma única política para todos os selos temporais. Adicionalmente, as políticas e práticas de Validação Cronológica foram fundidas num único documento este documento,. O selo temporal emitida pela EVC do Cartão de Cidadão inclui o OID da política de Validação Cronológica adequada, garantido a subscritores e partes confiantes a conformidade com essa política. 1.6 Gestão das Políticas Entidade responsável pela gestão do documento A gestão desta política de certificados é da responsabilidade do Grupo de Políticas da EC do Cartão de Cidadão Contato NOME Morada: Correio eletrónico: Grupo de Políticas da EC do Cartão de Cidadão IRN I.P. DCC Av. D. João II, nº D Edifício H Campus da Justiça Apartado Lisboa cartaodecidadao@dgrn.mj.pt Telefone: Entidade responsável pela determinação da conformidade da DPVC relativamente à Política O Grupo de Políticas determina a conformidade e aplicação interna desta DPVC (e/ou respetivas PCs), submetendo-a de seguida ao Grupo de Gestão para aprovação. Copyright Cartão de Cidadão - Todos os direitos reservados. Página 12 de 50

13 1.6.4 Procedimentos para Aprovação da DPVC A validação desta DPVC (e/ou respetivas PCs) e seguintes correções (ou atualizações) deverão ser levadas a cabo pelo Grupo de Políticas. Correções (ou atualizações) deverão ser publicadas sob a forma de novas versões desta DPVC (e/ou respetivas PCs), substituindo qualquer DPVC (e/ou respetivas PCs) anteriormente definida. O Grupo de Políticas deverá ainda determinar quando é que as alterações na DPVC (e/ou respetivas PCs) darão origem a uma alteração nos identificadores dos objetos (OID) da DPVC (e/ou respetivas PCs). Após a fase de validação, a DPVC (e/ou respetivas PCs) é submetida ao Grupo de Gestão, que é a entidade responsável pela aprovação e autorização de modificações neste tipo de documentos. 1.7 Definições e acrónimos Acrónimos Acrónimo ANSI American National Standards Institute CA Certification Authority (o mesmo que EC) CRL Ver LRC DL Decreto Lei DN Distinguished Name DPVC EAL Evaluation Assurance Level EC Entidade de Certificação EVC Entidade de Validação Cronológica GMT Tempo Médio de Greenwich (Greenwich Mean Time) LRC Lista de Revogação de Certificados MAC Message Authentication Codes OCSP Online Certificate Status Protocol Copyright Cartão de Cidadão - Todos os direitos reservados. Página 13 de 50

14 OID Identificador de Objecto PC Política de Validação Cronológica PKCS Public-Key Cryptography Standards PKI Public Key Infrastructure (Infra-estrutura de Chave Pública) SHA Secure Hash Algorithm SSCD Secure Signature-Creation Device TSA Time-Stamping Authority (o mesmo que EVC) Definições Definição Assinatura digital Modalidade de assinatura eletrónica avançada baseada em sistema criptográfico assimétrico composto de um algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma das quais privada e outra pública, permitindo ao titular usar a chave privada para declarar a autoria do documento eletrónico, ao qual a assinatura é aposta e concordância com o seu conteúdo e, ao destinatário, usar a chave pública para verificar se a assinatura foi criada mediante o uso da correspondente chave privada e se o documento eletrónico foi alterado depois de aposta a assinatura. Assinatura eletrónica Resultado de um processamento eletrónico de dados, suscetível de constituir objeto de direito individual e exclusivo e de ser utilizado para dar a conhecer a autoria de um documento eletrónico. Assinatura eletrónica avançada Assinatura eletrónica que preenche os seguintes requisitos: i) Identifica de forma unívoca o titular como autor Copyright Cartão de Cidadão - Todos os direitos reservados. Página 14 de 50

15 do documento; ii) A sua aposição ao documento depende apenas da vontade do titular; iii) É criada com meios que o titular pode manter sob seu controlo exclusivo; iv) A sua conexão com o documento permite detetar toda e qualquer alteração superveniente do conteúdo deste. Assinatura eletrónica qualificada Assinatura digital, ou outra modalidade de assinatura eletrónica avançada que satisfaça exigências de segurança idênticas às da assinatura digital, baseadas num certificado qualificado e criadas através de um dispositivo seguro de criação de assinatura. Autoridade credenciadora Entidade competente para a credenciação e fiscalização das entidades certificadoras. Certificado Documento eletrónico que liga os dados de verificação de assinatura ao seu titular e confirma a identidade desse titular. Certificado qualificado Certificado que contém os elementos referidos no artigo 29.º do DL 62/2003 [7] e é emitido por entidade certificadora que reúne os requisitos definidos no artigo 24.º do DL 62/2003. Chave privada Elemento do par de chaves assimétricas destinado a ser conhecido apenas pelo seu titular, mediante o qual se apõe a assinatura digital no documento eletrónico, ou se decifra um documento eletrónico previamente cifrado com a correspondente chave pública. Chave pública Elemento do par de chaves assimétricas destinado a ser divulgado, com o qual se verifica a assinatura digital aposta no documento eletrónico pelo titular do par de chaves assimétricas, ou se cifra um documento eletrónico a transmitir ao titular do mesmo par de chaves. Copyright Cartão de Cidadão - Todos os direitos reservados. Página 15 de 50

16 Credenciação Ato pelo qual é reconhecido a uma entidade que o solicite e que exerça a atividade de entidade certificadora o preenchimento dos requisitos definidos no presente diploma para os efeitos nele previstos. Dados de criação de assinatura Conjunto único de dados, como chaves privadas, utilizado pelo titular para a criação de uma assinatura eletrónica. Dados de verificação de assinatura Conjunto de dados, como chaves públicas, utilizado para verificar uma assinatura eletrónica. Datum Conjunto de informações em formato eletrónico. Dispositivo de criação de assinatura Suporte lógico ou dispositivo de equipamento utilizado para possibilitar o tratamento dos dados de criação de assinatura. Dispositivo seguro de criação de assinatura Dispositivo de criação de assinatura que assegure, através de meios técnicos e processuais adequados, que, i) Os dados necessários à criação de uma assinatura, utilizados na sua geração, só possam ocorrer uma única vez e que a confidencialidade desses dados se encontre assegurada; ii) Os dados necessários à criação de uma assinatura, utilizados na sua geração, não possam, com um grau razoável de segurança, ser deduzidos de outros dados e que a assinatura esteja protegida contra falsificações, realizadas através das tecnologias disponíveis; iii) Os dados necessários à criação de uma assinatura utilizados, na sua geração, possam ser eficazmente protegidos pelo titular contra a utilização ilegítima por terceiros; iv) Os dados que careçam de assinatura não sejam modificados e possam ser apresentados ao titular, antes do processo de assinatura. Documento eletrónico Documento elaborado mediante processamento Copyright Cartão de Cidadão - Todos os direitos reservados. Página 16 de 50

17 eletrónico de dados. Endereço eletrónico Identificação de um equipamento informático adequado para receber e arquivar documentos eletrónicos. Estampilha Temporal Estrutura de dados que liga a representação eletrónica de um datum com uma data/hora particular, estabelecendo evidência de que o datum existia nessa data/hora. Parte confiante Recetor de um selo temporal que confia na mesma. Selo Temporal O mesmo que Estampilha temporal Sistema TSA (TSA system) Composição de produtos IT e componentes, organizados de modo a suportar o fornecimento de serviços de validação cronológica. Subscritor Entidade que requer os serviços de uma EVC e explícita ou implicitamente concorda com os termos e condições dos mesmos. TSU (time-stamping unit) Conjunto de hardware e software que é gerido como uma unidade e tem uma única chave de assinatura de selo temporal ativa num determinado momento. UTC (Coordinated Universal Time) Escala de tempo baseada no segundo, como definido na ITU-R Recommendation TF [10]. UTC(k) Escala de tempo fornecida pelo laboratório k que garante ±100 ns em relação ao UTC (conforme ITU-R Recommendation TF [11]) Validação cronológica Declaração de uma EVC que atesta a data e hora da criação, expedição ou receção de um documento eletrónico. Copyright Cartão de Cidadão - Todos os direitos reservados. Página 17 de 50

18 2 Responsabilidade de Publicação e Repositório 2.1 Repositórios O Cartão de Cidadão é responsável pelas funções de repositório da EC do Cartão de Cidadão e da EVC do Cartão de Cidadão, publicando, entre outras, informação relativa às práticas adotadas. A plataforma tecnológica do repositório está configurada de acordo com os seguintes indicadores e métricas: disponibilidade de serviços da plataforma de 99,5%, em período 24hx7d, excluindo manutenções necessárias efetuadas em horário de menor utilização, garantindo-se durante o tempo da disponibilidade: o mínimo de 99,990% de respostas a pedidos do documento da DPVC; número máximo de pedidos de selos temporais: 40 pedidos/minuto; número médio de pedidos de selos temporais: 10 pedidos/minuto; número máximo de pedidos simultâneos de selos temporais: 20 pedidos; número médio de pedidos simultâneos de selos temporais: 2 pedidos; número máximo anual de pedidos da DPVC: pedidos/ano. O acesso à informação disponibilizada pelo repositório é efetuado através do protocolo HTTPS e HTTP, estando implementado os seguintes mecanismos de segurança: DPVC só pode ser alterada através de processos e procedimentos bem definidos, a plataforma tecnológica do repositório encontra-se devidamente protegida pelas técnicas mais atuais de segurança física e lógica, os recursos humanos que gerem a plataforma têm formação e treino adequado para o serviço em questão. 2.2 Publicação de informação de validação cronológica A EVC do Cartão de Cidadão, disponibiliza sempre a seguinte informação pública on-line: cópia eletrónica desta DPVC e Políticas mais atuais da EVC do Cartão de Cidadão, assinada eletronicamente, por indivíduo devidamente autorizado: o DPVC da EC do Cartão de Cidadão disponibilizada no URI: certificados digitais com chave pública de validação cronológica (validação do selo temporal) no URI: outra informação relevante URI: - que inclui: o descrição de compromisso ou suspeita de compromisso da chave privada de assinatura dos selos temporais, assim como perda de calibração UTC do(s) relógio(s) utilizado(s), Copyright Cartão de Cidadão - Todos os direitos reservados. Página 18 de 50

19 o informação que permita identificar os selos temporais que podem ter sido afetadas, em caso de compromisso das operações da EVC do Cartão de Cidadão ou perda de calibração UTC do(s) relógio(s) utilizado(s). Adicionalmente, serão conservadas todas as versões anteriores das DPVC da EVC do Cartão de Cidadão, disponibilizando-as a quem as solicite (desde que justificado), ficando no entanto, fora do repositório público de acesso livre. 2.3 Periodicidade de publicação As atualizações a esta DPVC e/ou respetivas PC serão publicadas imediatamente após a sua aprovação pelo Grupo de Gestão, de acordo com a secção Controlo de acesso aos repositórios A informação publicada está disponível na Internet, sendo sujeita a mecanismos de controlo de acesso (acesso somente para leitura). A EVC do Cartão de Cidadão implementou medidas de segurança lógica e física para impedir que pessoas não autorizadas possam adicionar, apagar ou modificar registos do repositório. Copyright Cartão de Cidadão - Todos os direitos reservados. Página 19 de 50

20 3 Declaração de Divulgação de Princípios O conteúdo desta secção está descrito no documento Declaração de Divulgação de Princípios de Validação Cronológica, disponível em Nesta secção, a EVC divulga a todos os seus subscritores e potenciais partes confiantes, os termos e condições da utilização dos serviços de validação cronológica, numa linguagem fácil de entender. Esta secção não deverá ser vista como um resumo de todas as práticas e políticas seguidas pela EVC, mas como um resumo de alguns dos pontos mais importantes, pelo que a leitura desta secção deve ser complementada com a leitura do restante documento. 3.1 Informação de contato Conforme secção 1.1. da DDVC - Declaração de Divulgação de Princípios de Validação Cronológica (disponível em Tipo de Selo Temporal e sua utilização Conforme secção 1.2. da DDVC - Declaração de Divulgação de Princípios de Validação Cronológica (disponível em Limites de confiança Conforme secção 1.3. da DDVC - Declaração de Divulgação de Princípios de Validação Cronológica (disponível em Obrigação dos subscritores Conforme secção Obrigação das partes confiantes Conforme secção Limites de responsabilidade Conforme secções 9.7, e Acordos e Declaração de Práticas aplicável É aplicável a presente Declaração de Práticas. Copyright Cartão de Cidadão - Todos os direitos reservados. Página 20 de 50

21 3.8 Privacidade dos dados pessoais Conforme secção Indemnizações Conforme secção Legislação aplicável e Disposições para resolução de conflitos Conforme secções 9.13, 9.14 e Auditoria Conforme secção 8. Copyright Cartão de Cidadão - Todos os direitos reservados. Página 21 de 50

22 4 Validação Cronológica 4.1 Selo Temporal A EVC do Cartão de Cidadão garante que os selos temporais são emitidos de forma segura e incluem a hora/data correta. Em particular: a) o selo temporal inclui um identificador da política de validação cronológica; b) cada selo temporal tem um identificador único; c) os valores de hora/data que a TSU utiliza no selo temporal podem ser rastreados até pelo menos um valor real de tempo distribuído por um dos laboratórios identificados na secção ; d) a hora/data incluída no selo temporal está sincronizada com o tempo UTC, com a precisão definida neste documento; e) se for detetado que o relógio fornecedor do tempo a incluir no selo temporal não está dentro da precisão indicada, o selo temporal não será emitido, sendo que a EVC devolverá um erro indicando que a fonte de tempo não está disponível, tal como previsto no RFC 3161 [13]; f) o selo temporal inclui uma representação (valor hash) do datum, conforme fornecido pelo subscritor; g) o selo temporal é assinado por uma chave privada gerada exclusivamente para esse fim (assinatura de selos temporais); h) o selo temporal inclui: identificador do país onde a EVC está estabelecida, identificador da EVC, identificador da unidade (TSU) que emite o selo temporal. 4.2 Sincronização do relógio A EVC do Cartão de Cidadão garante que o(s) relógio(s) que fornece a hora/data a incluir no selo temporal está sincronizada com o tempo UTC, com a precisão indicada. Em particular: a) a calibração do relógio é mantida de tal modo a que não seja expetável que o mesmo não se encontre dentro da precisão definida; b) o relógio está protegido contra ameaças que possam resultar numa alteração, não detetada, ao relógio que tenha como resultado uma alteração à precisão definida; c) são detetadas as situações em que o tempo indicado n o selo temporal contêm desvios para a precisão definida; d) a sincronização do relógio é mantida quando é introduzido um segundo intercalar, de acordo com o notificado pelos laboratórios identificados na secção Processamento do pedido de selo temporal O processamento do pedido de selo temporal, efetuada pelo subscritor, é satisfeito de imediato pela EVC do Cartão de Cidadão, de acordo com os limites indicados na secção 3.3. Copyright Cartão de Cidadão - Todos os direitos reservados. Página 22 de 50

23 Em caso de compromisso de operações da TSU (por exemplo, compromisso da chave de assinatura), suspeita de compromisso ou perca de calibração TSU, a TSU não emitirá selos temporais até que seja reposto o estado normal de operação. Copyright Cartão de Cidadão - Todos os direitos reservados. Página 23 de 50

24 5 Medidas de segurança física, de gestão e operacionais A EVC do Cartão de Cidadão implementou várias regras e políticas incidindo sobre controlos físicos, procedimentais e humanos, que suportam os requisitos de segurança constantes desta DPVC. Esta secção descreve sucintamente os aspetos, não técnicos, de segurança que possibilitam, de modo seguro, realizar as funções de emissão de selos temporais, auditorias e arquivo. Todos estes controlos, não técnicos, de segurança são críticos para garantir a confiança nos selos temporais, pois qualquer falta de segurança pode comprometer as operações da EVC. 5.1 Medidas de segurança física Localização física e tipo de construção As instalações da EC do Cartão de Cidadão são desenhadas de forma a proporcionar um ambiente capaz de controlar e auditar o acesso aos sistemas de certificação, estando fisicamente protegidas do acesso não autorizado, dano, ou interferência. A arquitetura utiliza o conceito de defesa em profundidade, ou seja, por níveis de segurança, garantindo-se que o acesso a um nível de segurança mais elevado só é possível quando previamente se tenha alcançado o nível imediatamente anterior, nunca sendo possível, em qualquer local das instalações, aceder ao nível de segurança (n) a partir de outro que não seja o nível (n-1). As operações da EC do Cartão de Cidadão são realizadas numa sala numa zona de alta segurança, inserida noutra zona também de alta segurança e, dentro de um edifício que reúne diversas condições de segurança, nomeadamente o controlo total de acessos que previne, deteta e impede acessos não autorizados, baseado em múltiplos níveis de segurança física. As duas zonas de alta segurança são áreas que obedecem às seguintes caraterísticas: e) Paredes em alvenaria, betão ou tijolo; f) Teto e pavimento com construção similar à das paredes; g) Inexistência de janelas; h) Porta de segurança, com chapa em aço, com as dobradiças fixas e ombreira igualmente em aço, com fechadura de segurança acionável eletronicamente, caraterísticas corta fogo e funcionalidade antipânico. Adicionalmente, as seguintes condições de segurança são garantidas no ambiente da EC do Cartão de Cidadão: Perímetros de segurança claramente definidos; Paredes, chão e teto em alvenaria, sem janelas, que impedem acessos não autorizados; Trancas e fechaduras anti roubo de alta segurança, nas portas de acesso ao ambiente de segurança. O perímetro do edifício é estanque na medida em que não existem portas, janelas ou outras brechas não controladas, que possibilitem acessos não autorizados; Acesso ao ambiente passa obrigatoriamente por áreas de controlo humano, e por outros meios de controlo que restringem o acesso físico apenas a pessoal devidamente autorizado. Copyright Cartão de Cidadão - Todos os direitos reservados. Página 24 de 50

25 5.1.2 Acesso físico ao local Os sistemas da EC do Cartão de Cidadão estão protegidos por um mínimo de 4 níveis de segurança física hierárquicos (edifício em si, bloco de alta segurança, área de alta segurança, sala de alta segurança), garantindo-se que o acesso a um nível de segurança mais elevado só é possível quando previamente se tenha alcançado os privilégios necessários ao nível imediatamente anterior. Atividades operacionais sensíveis da EC, criação e armazenamento de material criptográfico, quaisquer atividades no âmbito do ciclo de vida do processo de certificação como autenticação, verificação e emissão ocorrem dentro da zona mais restrita de alta segurança. O acesso a cada nível de segurança requer o uso de um cartão magnético de autenticação (amarelo para o edifício, e vermelho para os outros níveis). Acessos físicos são automaticamente registados e gravados em circuito fechado de TV para efeitos de auditorias. O acesso ao cartão de identificação vermelho, obriga a um duplo controlo de autenticação de acesso individual. Não é permitida a entrada e permanência em áreas de segurança, a pessoal não acompanhado, incluindo colaboradores ou visitantes não autenticados. É obrigatória a utilização do respetivo cartão de acesso, de modo visível. O acesso à zona mais restrita de alta segurança requer controlo duplo, cada um deles utilizando dois fatores de autenticação, incluindo autenticação biométrica. O hardware criptográfico e tokens físicos seguros, dispõem de proteção adicional, sendo guardados em cofres e armários seguros cujo acesso é restrito, de acordo com as necessidades de segregação de responsabilidades dos vários Grupos de Trabalho Energia e ar condicionado O ambiente seguro do Cartão de Cidadão possui equipamento redundante, que garante condições de funcionamento 24 horas por dia / 7 dias por semana, de, alimentação de energia, garantindo alimentação contínua ininterrupta com a potência suficiente para manter autonomamente a rede elétrica durante períodos de falta de corrente e para proteger os equipamentos face a flutuações elétricas que os possam danificar (o equipamento redundante consiste em baterias de alimentação ininterrupta de energia, e geradores de eletricidade a diesel), e refrigeração/ventilação/ar condicionado, que controlam os níveis de temperatura e humidade, garantindo condições adequadas para o correto funcionamento de todos os equipamentos eletrónicos e mecânicos presentes dentro do ambiente. Um sensor de temperatura ativa um alerta GSM, sempre que a temperatura atinge valores anormais. Este alerta GSM, consiste em telefonemas com uma mensagem previamente gravada, para os elementos da equipa de manutenção Exposição à água As zonas de alta segurança têm instalado os mecanismos devidos (detetores de inundação) para minimizar o impacto de inundações nos sistemas da EC do Cartão de Cidadão Prevenção e proteção contra incêndio O ambiente seguro do Cartão de Cidadão tem instalado os mecanismos necessários para evitar e apagar fogos ou outros incidentes derivados de chamas ou fumos. Estes mecanismos estão em conformidade com os regulamentos existentes: sistemas de deteção e alarme de incêndio, estão instalados nos vários níveis físicos de segurança, equipamento fixo e móvel de extinção de incêndios, estão disponíveis e colocados em sítios estratégicos e de fácil acesso, permitindo a sua utilização de forma rápida e eficaz, Copyright Cartão de Cidadão - Todos os direitos reservados. Página 25 de 50

26 procedimentos de emergência bem definidos, em caso de incêndio Salvaguarda de suportes de armazenamento Todos os suportes de informação sensível contendo software e dados de produção, informação para auditoria, arquivo ou cópias de segurança são guardados em cofres e armários de segurança dentro da zona de alta segurança, assim como num ambiente distinto externo ao edifício com controlos de acessos físicos e lógicos apropriados para restringir o acesso apenas a elementos autorizados dos Grupos de Trabalho. Para além das restrições de acessos, também tem implementado mecanismos de proteção contra acidentes (e.g., causados por água ou fogo). Quando, para efeito de arquivo de cópias de segurança, informação sensível é transportada da zona de alta segurança para o ambiente externo, o processo é executado sob supervisão de pelo menos 2 (dois) elementos do Grupo de Trabalho que têm por obrigação garantir o transporte seguro da informação até ao local de destino. A informação (ou o token de transporte da informação) deverá estar sempre sob controlo visual dos membros do Grupo de Trabalho. Em situações que implique a deslocação física de hardware de armazenamento de dados (i.e., discos rígidos,...) para fora da zona de alta segurança, por motivos que não o arquivo de cópias de segurança, cada elemento do hardware deverá ser verificado para garantir que não contém dados sensíveis. Nestas situações, a informação tem de ser eliminada usando todos os meios necessários para o efeito (formatar o disco rígido, reset do hardware criptográfico ou mesmo destruição física do equipamento de armazenamento) Eliminação de resíduos Documentos e materiais em papel que contenham informação sensível, cujo seu ciclo de vida tenha terminado, deverão ser eliminados através de método que não permita a sua reconstrução (ex. trituradora). É garantido que não é possível recuperar nenhuma informação dos suportes de informação utilizados para armazenar ou transmitir informação sensível (através de formatação segura de baixo nível ou destruição física), antes dos mesmos serem eliminados. Equipamentos criptográficos ou chaves físicas de acesso lógico são fisicamente destruídos ou seguem as recomendações de destruição do respetivo fabricante, antes da sua eliminação. Outros equipamentos de armazenamento (discos rígidos, tapes,...) deverão ser devidamente limpos, de modo a não ser possível recuperar nenhuma informação (através de formatações seguras, ou destruição física dos equipamentos) Instalações externas (alternativa) para recuperação de segurança Todas as cópias de segurança, são guardados em ambiente seguro em instalações externas, ficando alojadas em cofres e armários seguros situados em zonas com controlos de acesso físicos e lógicos, de modo a restringir o acesso apenas a pessoal autorizado, garantindo também a proteção contra danos acidentais (e.g., causados por água ou fogo). 5.2 Medida de segurança dos processos A atividade de uma Entidade Certificadora e de uma Entidade de Validação Cronológica depende da intervenção coordenada e complementar de um extenso elenco de recursos humanos, nomeadamente porque: Dados os requisitos de segurança inerentes ao funcionamento de uma EC/EVC é vital garantir uma adequada segregação de responsabilidades, que minimize a importância individual de cada um dos intervenientes, Copyright Cartão de Cidadão - Todos os direitos reservados. Página 26 de 50

27 É necessário garantir que a EC/EVC apenas poderá ser sujeita a ataques do tipo denial-of-service mediante o conluio de um número significativo de intervenientes. Pelo exposto, nesta secção, descrevem-se os requisitos necessários para reconhecer os papéis de confiança e responsabilidades associadas a cada um desses papéis. Esta secção inclui também a separação de deveres, em termos dos papéis que não podem ser executados pelos mesmos indivíduos Grupos de Trabalho Conforme secção da Declaração de Práticas de Certificação da EC do Cartão de Cidadão Número de pessoas exigidas por tarefa Conforme secção da Declaração de Práticas de Certificação da EC do Cartão de Cidadão Funções que requerem separação de responsabilidades Conforme secção da Declaração de Práticas de Certificação da EC do Cartão de Cidadão. 5.3 Medidas de Segurança de Pessoal Conforme secção 5.3 da Declaração de Práticas de Certificação da EC do Cartão de Cidadão Requisitos relativos às qualificações, experiência, antecedentes e credenciação Conforme secção da Declaração de Práticas de Certificação da EC do Cartão de Cidadão Procedimento de verificação de antecedentes Conforme secção da Declaração de Práticas de Certificação da EC do Cartão de Cidadão Requisitos de formação e treino Conforme secção da Declaração de Práticas de Certificação da EC do Cartão de Cidadão Frequência e requisitos para ações de reciclagem Conforme secção da Declaração de Práticas de Certificação da EC do Cartão de Cidadão Frequência e sequência da rotação de funções Conforme secção da Declaração de Práticas de Certificação da EC do Cartão de Cidadão Sanções para ações não autorizadas Conforme secção da Declaração de Práticas de Certificação da EC do Cartão de Cidadão. Copyright Cartão de Cidadão - Todos os direitos reservados. Página 27 de 50