DECLARAÇÃO DE DIVULGAÇÃO DE PRÍNCIPIOS DA ENTIDADE CERTIFICADORA DA GTS Glbal Trusted Sign Referência d Dcument DP04_GTS_V3 1 DP04_GTS_V3
ÍNDICE 1. REFERÊNCIAS... 3 2. DOCUMENTOS ASSOCIADOS... 3 3. LISTA DE DISTRIBUIÇÃO... 3 4. HISTÓRICO DO DOCUMENTO... 3 5. CLASSIFICAÇÃO DO DOCUMENTO... 3 6. REGISTO DA REVISÃO... 3 7. INTRODUÇÃO... 4 7.1. Objetiv... 4 7.2. Públic Alv... 4 7.3. Estrutura d Dcument... 4 8. CONTACTOS DA ENTIDADE CERTIFICADORA DA GTS... 5 9. TIPOS DE CERTIFICADOS, PROCEDIMENTOS DE VALIDAÇÃO E UTILIZAÇÃO... 5 9.1. Utilizaçã d Certificad... 5 9.2. Prcediments de Validaçã... 6 10. LIMITAÇÃO DE CONFIANÇA NOS CERTIFICADOS... 7 10.1. Utilizaçã ds certificads... 7 10.2. Regists de auditria... 7 11. RESPONSABILIDADES DOS TITULARES... 8 12. VERIFICAÇÃO DO ESTADO DOS CERTIFICADOS EMITIDOS PELA EC GTS... 9 13. LIMITAÇÕES E RESPONSABILIDADES... 9 14. ACORDOS, DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO E POLITICAS DE CERTIFICAÇÃO... 10 15. POLÍTICA DE PRIVACIDADE... 10 16. LEGISLAÇÃO APLICÁVEL E FORO COMPETENTE... 10 17. INDEMNIZAÇÕES... 10 18. LEGISLAÇÃO E NORMAS... 10 19. AUDITORIAS E NORMAS DE SEGURANÇA... 11 20. ACRÓNIMOS... 11 2 DP04_GTS_V3
1. Referências Regulamentaçã Eurpeia Nº 910/2014 ETSI 319 411-1 ETSI 319 412 ETSI 319 401 RFC 5280: Internet X.509 PKI - Certificate and CRL Prfile, 2008 CA/Brwser Frum: Baseline Requirements fr the Issuance and Management f Publicly-Trusted Certificates, v.1.4.7; ETSI TS 102 042: Electrnic Signatures and Infrastructures (ESI); Plicy requirements fr certificatin authrities issuing public key certificates, v2.4.1 2. Dcuments Assciads DP01_GTS - Declaraçã de Práticas de Certificaçã da Rt CA GTS 3. Lista de Distribuiçã Partes interessadas da hierarquia de cnfiança da GTS 4. Históric d Dcument 01-07-2017 Versã 1 29-12-2017 Versã 2 16-04-2018 Versã 3 5. Classificaçã d Dcument 6. Regist da Revisã N.º da Versã 3 Elabrad Aprvad 16-04-2018 16-04-2018 Administraçã de Segurança Rdrig Freitas Grup de Gestã Tlentin Pereira Mtiv Alteraçã da estrutura da hierarquia de cnfiança 3 DP04_GTS_V3
7. Intrduçã 7.1. Objetiv Este dcument pretende resumir, de frma simples e acessível, as características descritas nas Plíticas de Certificad e Declaraçã de Plíticas de Certificaçã da Infraestrutura de chave pública da Entidade de Certificaçã da Glbal Trusted Sign (adiante designada pr Entidade Certificadra da GTS u EC GTS). A infraestrutura da EC GTS frnece uma hierarquia de cnfiança, que prmve a segurança eletrónica d titular d certificad digital. A EC GTS estabelece uma estrutura de cnfiança eletrónica que prprcina a realizaçã de transações eletrónicas seguras, autenticaçã frte, um mei de assinar eletrnicamente transações u infrmações e dcuments eletrónics, assegurand a sua autria, integridade e nã repúdi, e assegurand a cnfidencialidade das transações u infrmaçã. A Entidade Certificadra da GTS (EC GTS) é uma entidade certificadra credenciada pel Gabinete Nacinal de Segurança (http://www.gns.gv.pt/trusted-lists.aspx), cnfrme previst na legislaçã prtuguesa e eurpeia, encntrand-se assim legalmente habilitada a emitir diverss tips de certificads digitais. A EC GTS é assinada pela Rt CA GTS, inserind-se assim numa hierarquia de cnfiança, representada na seguinte figura: Rt CA GTS EC GTS EVC GTS 7.2. Públic-Alv Legenda: 1 Rt CA GTS - Entidade Certificadra Raiz da GTS 2 EC GTS Entidade Certificadra da GTS 3 EVC GTS Entidade Certificadra de Sels Temprais da GTS O presente dcument deve ser lid pels titulares e futurs subscritres de certificads emitids pela EC GTS. 7.3. Estrutura d Dcument O presente dcument encntra-se rganizad em cnfrmidade cm a nrma ETSI EN 319 411-1. 4 DP04_GTS_V3
8. Cntacts da Entidade Certificadra da GTS Nme Grup de Gestã da Entidade Certificadra da GTS Mrada Crrei eletrónic ACIN iclud Slutins Estrada Reginal 104 Nº42-A 9350-203 Ribeira Brava Madeira Prtugal inf@glbaltrustedsign.cm Telefne 707 451 451 Os pedids de Suspensã/Revgaçã devem ser efetuads através d prtal dispnibilizad para efeit: https://www.glbaltrustedsign.cm. 9. Tips de certificads, prcediments de validaçã e utilizaçã 9.1. Utilizaçã d Certificad Os certificads qualificads de autenticaçã de sítis Web emitids pela EC GTS sã utilizads pels diverss titulares, sistemas, aplicações, mecanisms e prtcls, cm bjetiv de estabelecer cmunicaçã de dads Web através de prtlcs SSL/TLS. Garantem-se assim cmunicações eletrónicas eficientes e seguras, a mesm temp que as precupações ds utilizadres cm a cnfiança ds certificads é endereçada. 9.1.1. Utilizaçã Adequada Os requisits e regras definidas neste dcument aplicam-se a tds s certificads emitids pela EC GTS. Estes certificads têm cm bjetiv: Identificar a entidade cletiva que cntrla um síti web: frnece garantia razável a utilizadr de um navegadr Internet que síti web que utilizadr está a aceder é cntrlad pr uma entidade cletiva que está identificada n certificad através d nme, sede scial, inscriçã n Institut de Regists e Ntariad, u utra infrmaçã desambiguadra. Permitir cmunicações cifradas cm um síti Web: facilita a trca de chaves de cifra de md a permitir a cmunicaçã de infrmaçã cifrada através da Internet, entre utilizadr de um navegadr Internet e um síti web. A frnecer um prcess de verificaçã de identidade mais fiável e infrmaçã da sede scial da empresa, s certificads de Extended Validatin (EV) pdem ajudar a: 5 DP04_GTS_V3
Dificultar s ataques de phishing e utrs de fraude de identidade que utilizam certificads Apiar as empresas que pssam ter sid alv de um ataque de phishing u fraude de identidade a dispnibilizar uma ferramenta para a sua identificaçã perante s utilizadres Apiar as frças de segurança nas suas investigações de phishing e utrs ataques de fraude de identidade, apiand, quand aplicável, cntact, investigaçã, e ações legais cntra Titular. As Partes Cnfiantes pdem verificar a cadeia de cnfiança de um certificad emitid pela EC GTS, garantind assim a autenticidade e identidade d titular. 9.1.2. Utilizaçã nã autrizada Os certificads qualificads para autenticaçã de sítis Web emitids pela EC GTS estã fcads na identidade d Titular d certificad, e nã n seu cmprtament. Deste md, um certificad de autenticaçã Web nã dá quaisquer garantias sbre: O Titular identificad n certificad está efetivamente a prestar serviç; O Titular identificad n certificad está em cnfrmidade cm a legislaçã aplicável; Titular identificad n certificad é cnfiável, hnest u étic na execuçã d seu negóci; Que é segur estabelecer uma relaçã cmercial cm Titular identificad n certificad. 9.2. Prcediments de Validaçã Os certificads qualificads para autenticaçã de sítis Web emitids pela EC GTS sã cnfiáveis n espaç públic e cumprem cm estipulad ns seguintes dcuments: Declaraçã de Práticas de Certificaçã da EC GTS: Define as práticas seguidas pela EC GTS para a gestã d cicl de vida ds certificads (OID: 1.3.6.1.4.1.50302.1.1.1.2.1.0) Plíticas de Certificads da EC GTS: SSL EV: define perfil ds Certificads de Autenticaçã de Sítis Web cm Extended Validatin (OID: 1.3.6.1.4.1.50302.1.1.2.2.1.0) SSL OV: define perfil ds Certificads de Autenticaçã de Sítis Web cm Organizatin Validatin (OID: 1.3.6.1.4.1.50302.1.1.2.4.1.0) As LRC pdem ser acedidas em https://pki.glbaltrustedsign.cm/index.html, garantind a sua dispnibilidade 24 hras pr dia, 7 dias pr semana, excet na crrência de alguma paragem de manutençã prgramada e devidamente cmunicada às partes envlvidas. 6 DP04_GTS_V3
10. Limitaçã de cnfiança ns certificads 10.1. Utilizaçã ds certificads A utilizaçã ds certificads emitids para s titulares deve bedecer a descrit nas respetivas pliticas de certificads dispníveis em https://www.pki.glbaltrustedsign.cm/index.html. Os certificads emitids pela EC GTS sã também utilizads pelas Partes Cnfiantes para verificaçã da cadeia de cnfiança de um certificad emitid pela EC GTS, assim cm para garantir a autenticidade e identidade d emissr de uma assinatura digital gerada pela chave privada crrespndente à chave pública cntida num certificad. Os certificads pderã ser utilizads nutrs cntexts apenas na extensã d que é permitid pela legislaçã aplicável. Os certificads emitids pela EC GTS nã pderã ser utilizads para qualquer funçã fra d âmbit das utilizações descritas anterirmente. Os serviçs qualificads de cnfiança ferecids pela EC GTS, nã fram cncebids nem estã autrizads a ser utilizads em atividades de alt risc u que necessitem uma atividade isenta de falhas, cm: Funcinament de instalações hspitalares; Funcinament de instalações nucleares; Cntrl de tráfeg aére; Cntrl de tráfeg ferrviári; Ou qualquer utra atividade nde uma falha pssa levar à mrte, lesões pessais u dans graves para mei ambiente. 10.2. Regists de auditria Ds events significativs geradres de regists auditáveis sã cnsiderads s seguintes: Events relacinads cm segurança, incluind: Tentativas de acess (cm e sem sucess) a recurss sensíveis da EC GTS; Operações realizadas pr membrs ds Grups de Trabalh; Dispsitivs físics de segurança de entrada / saída ds váris níveis de segurança. Pedids de emissã de certificads; Atualizaçã das LRC; As entradas ns regists incluem a infrmaçã seguinte: Categria d event; Data e hra d event; 7 DP04_GTS_V3
Descriçã d event; Identidade d sujeit que causu event; Númer de série d event. Os regists de auditria sã mantids dispníveis durante pel mens 1 mês após prcessament, e depis arquivads em cnfrmidade cm a legislaçã nacinal. 11. Respnsabilidades ds Titulares Os titulares de certificads utilizarã a sua chave privada apenas e só para fim a que estas se destinam (cnfrme estabelecid n camp d certificad keyusage) e sempre cm prpósits legais. A utilizaçã ds certificads apenas é permitida: A quem estiver designad n camp Subject d certificad e, Enquant certificad se mantiver válid (estad ativ) e nã estiver na LRC da EC GTS. O titular d certificad deve slicitar a revgaçã de um determinad certificad, sempre que haja cnheciment u suspeita d cmprmetiment da respetiva chave privada, u qualquer utr at que recmende esta açã. A EC GTS guarda tda a dcumentaçã utiliza para a verificaçã da identidade e autenticidade da entidade que efetua pedid de revgaçã. Um certificad pde ser revgad, se alguma das seguintes cndições se verificar: Cmprmetiment u suspeita de cmprmetiment da chave privada u da senha de acess à chave privada; Perda da chave privada; Imprecisões graves ns dads frnecids; Cmprmetiment u suspeita de cmprmetiment da chave privada da EC GTS u da Rt CA GTS; Incumpriment pr parte da Entidade de Certificaçã u titular das respnsabilidades previstas; Sempre que existam razões credíveis que indiciem que s serviçs de certificaçã pssam ter sid cmprmetids, de tal frma que clquem em causa a fiabilidade ds certificads; Pr resluçã judicial u administrativa. Na utilizaçã d certificad e da respetiva chave pública, titular deve ser garantir cumpriment das seguintes cndições: Ter cnheciment e perceber a utilizaçã e funcinalidades prprcinadas pela criptgrafia de chave pública; Ser respnsável pela sua crreta utilizaçã; 8 DP04_GTS_V3
Ler e entender s terms e cndições descrits nas Pliticas e práticas de certificaçã; Verificar e validar a cadeias de cnfiança ds certificads; Verificar as Listas de Revgaçã de Certificads (LRC) tend especial atençã às suas extensões marcadas cm críticas e prpósit d certificad (keyusage) em questã; Cnfiar ns certificads, utilizand-s sempre que estes estejam válid 12. Verificaçã d Estad ds Certificads emitids pela EC GTS Outras partes que cnfiam ns certificads emitids pela Entidade de Certificaçã da GTS devem: Utilizar s mecanisms de cnsulta das LRC indicadas anterirmente, e verificar estad d certificad n mment da sua utilizaçã. É da sua respnsabilidade essa verificaçã; Obedecer a especificad nas Pliticas de Certificad d certificad em causa (https://www.pki.glbaltrustedsign.cm/index.html); Utilizar certificad adequadamente de acrd cm s bjetivs da sua emissã. 13. Limitações e Respnsabilidades A EC GTS: a) Respnde pels dans e prejuízs que cause a qualquer pessa em exercíci da sua atividade de acrd cm Art.º 26 d DL 62/2003. b) Respnde pels prejuízs que cause as titulares u a terceirs pela falta u atras na inclusã d serviç de cnsulta sbre a vigência ds certificads, da revgaçã u suspensã dum certificad, uma vez que tenha cnheciment dele. c) Assume a respnsabilidade sbre s riscs que s particulares sfram sempre que sejam cnsequência d nrmal, u anrmal funcinament ds seus serviçs. d) Apenas respnde pels dans e prejuízs causads pel us indevid de certificads recnhecids quand s limites quant a pssível us nã estejam definids ns certificads, de frma clara recnhecida pr terceirs. e) Nã respnde quand titular superar s limites que figuram n certificad quant às suas pssíveis utilizações, de acrd cm as cndições estabelecidas e cmunicadas a titular. f) Nã respnde se destinatári ds dcuments assinads eletrnicamente nã s cmprvar e tiver em cnta as restrições que figuram n certificad quant às suas pssíveis utilizações. g) Nã assume qualquer respnsabilidade n cas de perca u prejuíz: Ds serviçs que prestam, em cas de guerra, desastres naturais u qualquer utr mtiv de frça mair. 9 DP04_GTS_V3
Prprcinads pel us ds certificads quand estes excedam s limites estabelecids pels mesms na Plitica de Certificads e Declaraçã de Práticas de Certificaçã. Prprcinads pel us indevid u fraudulent ds certificads u das LRCs emitidas pr ela. 14. Acrds, Declaraçã de Práticas de Certificaçã e Pliticas de Certificaçã Tds s acrds aplicáveis, Declarações de Práticas de Certificaçã, Plíticas de Certificad e Plítica de Privacidade encntram-se dispníveis em https://www.pki.glbaltrustedsign.cm/index.html. 15. Plítica de Privacidade A EC GTS implementa medidas que garantem a privacidade ds dads pessais, de acrd cm a legislaçã prtuguesa, garantind que a infrmaçã d titular, slicitada para a emissã ds respetivs certificads digitais, nã se encntra publicada send prcessada de acrd cm as Pliticas de Certificads da ROOT CA GTS. 16. Legislaçã Aplicável e Fr Cmpetente Qualquer litígi decrrente da interpretaçã u aplicaçã deste dcument regem-se pela lei prtuguesa. Para regular esses litígis, as partes elegem fr judicial da Cmarca de Funchal, cm exclusã de qualquer utr. 17. Indemnizações A EC GTS assumirá a sua respnsabilidade n tcante a eventuais indemnizações, de acrd cm a legislaçã aplicável em vigr. 18. Legislaçã e Nrmas A EC GTS exerce a sua atividade de emissã de certificads de acrd cm as seguintes nrmas/regulaments: Regulament (UE) n. 910/2014 d Parlament Eurpeu e d Cnselh de 23 de julh de 2014 relativ à identificaçã eletrónica e as serviçs de cnfiança para as transações eletrónicas n mercad intern e que revga a Diretiva 1999/93/CE d Parlament Eurpeu e d Cnselh de 13 de dezembr de 1999, relativa a um quadr legal cmunitári para as assinaturas eletrónicas) ETSI EN 319 401 General Plicy Requirements fr Trust Service Prviders, e s standards relacinads cm s serviçs qualificads de cnfiança CA/Brwser Frum, Baseline Requirements fr the Issuance and Management f Publicly- Trusted Certificates, v.1.4.2 Outra legislaçã nacinal e eurpeia relacinada cm a atividade de prestaçã de serviçs de cnfiança qualificads. 10 DP04_GTS_V3
19. Auditrias e Nrmas de Segurança Tdas as intervenções realizadas à Entidade de Certificaçã da GTS sã validadas pr auditres interns. A Entidade de Certificaçã da GTS é auditada pr um auditr independente da esfera de influência da Entidade de Certificaçã, send esta independência uma exigência pela Entidade Supervisra. A sua missã é auditar a infraestrutura da Entidade de Certificaçã, n que respeita a equipaments, recurss humans, prcesss, pliticas e regras, tend que submeter um relatóri anual, à Entidade Supervisra. 20. Acrónims OSCP Online Certificate Status Prtcl LRC Lista de Revgaçã de Certificads VPN Virtual Private Netwrk EC Entidade de Certificaçã DL Decret Lei DPC Divulgaçã de Princípis de Certificaçã UE Uniã Eurpeia 11 DP04_GTS_V3