Declaração de Práticas de Certificação da EC do Cidadão

Declaraçã de Práticas de Certificaçã da EC d Cidadã Plíticas PJ.CC_24.1.1_0001_pt_.pdf Identificaçã d Prjet: Cartã de Cidadã Identificaçã da CA: Nível de Acess: Públic Data: 19/05/2014

Identificadr d dcument: PJ.CC_24.1.1_0001_pt_.pdf Palavras-chave: Cartã de Cidadã, Declaraçã de Práticas de Certificaçã, EC d Cidadã Tiplgia dcumental: Plíticas Títul: Língua riginal: Prtuguês Língua de publicaçã: Prtuguês Nível de acess: Públic Data: 19/05/2014 Versã atual: 1.3 Identificaçã d Prjet: Cartã de Cidadã Identificaçã da CA: Cliente: Ministéri da Justiça Dcuments Relacinads ID Dcument Detalhes Autr(es) PJ.CC_24.1.2_0001_pt_.pdf Plítica de Certificads da EC d Cidadã MULTICERT S.A. PJ.CC_24.1.2_0002_pt_.pdf Plítica de Certificads da EC de Assinatura Digital Qualificada d Cartã de Cidadã MULTICERT S.A. PJ.CC_24.1.2_0003_pt_.pdf Plítica de Certificads da EC de Autenticaçã d Cartã de Cidadã MULTICERT S.A. PJ.CC_24.1.2_0004_pt_.pdf Plítica de Certificads da EC de Cntrl de Acesss d Cartã de MULTICERT S.A. Cidadã PJ.CC_24.1.2_0005_pt_.pdf Plítica de Certificads da Entidade Certificadra de Dcuments MULTICERT S.A. PJ.CC_24.1.2_0006_pt_.pdf Plítica de Certificads de Validaçã n-line OCSP emitids pela EC d MULTICERT S.A. Cidadã PJ.CC_24.1.2_0007_pt_.pdf Plítica de Certificads de Validaçã Crnlógica MULTICERT S.A. Apêndices ID Dcument Detalhes Autr(es) PJ.CC_53.2.1_0001_pt_.dc Frmulári de emissã de certificad de EC subrdinada da EC d MULTICERT S.A. Cartã de Cidadã PJ.CC_53.2.4_0001_pt_.dc PJ.CC_53.2.1_0002_pt_.dc PJ.CC_53.2.4_0002_pt_.dc PJ.CC_53.2.2_0001_pt_.dc Frmulári de receçã de certificad de EC subrdinada da EC d Cartã de Cidadã Frmulári de emissã de certificad de equipament tecnlógic pela EC d Cartã de Cidadã Frmulári de receçã de certificad de equipament tecnlógic emitid pela EC d Cartã de Cidadã Frmulári de revgaçã de certificad emitid pela EC d Cartã de Cidadã MULTICERT S.A. MULTICERT S.A. MULTICERT S.A. MULTICERT S.A.

Resum Executiv Decrrente da implementaçã de váris prgramas públics para a prmçã das tecnlgias de infrmaçã e cmunicaçã e a intrduçã de nvs prcesss de relacinament em sciedade, entre cidadãs, empresas, rganizações nã-gvernamentais e Estad, cm vista a frtaleciment da sciedade de infrmaçã e d gvern eletrónic (egvernment), Cartã de Cidadã frnece s mecanisms necessáris para a autenticaçã digital frte da identidade d Cidadã perante s serviçs da Administraçã Pública, assim cm as assinaturas eletrónicas indispensáveis as prcesss de desmaterializaçã que estã a ser dispnibilizads pel Estad. A infraestrutura da Entidade de Certificaçã d Cartã de Cidadã (u Entidade de Certificaçã d Cidadã) frnece uma hierarquia de cnfiança, que prmverá a segurança eletrónica d Cidadã n seu relacinament cm Estad. A Entidade de Certificaçã d Cidadã estabelece uma estrutura de cnfiança eletrónica que prprcina a realizaçã de transações eletrónicas seguras, a autenticaçã frte, um mei de assinar eletrnicamente transações u infrmações e dcuments eletrónics, assegurand a sua autria, integridade e nã repúdi, e assegurand a cnfidencialidade das transações u infrmaçã. A hierarquia de cnfiança da Entidade de Certificaçã d Cartã de Cidadã encntra-se englbada na hierarquia d Sistema de Certificaçã Eletrónica d Estad Prtuguês 1 (SCEE) Infra-Estrutura de Chaves Públicas d Estad. A Entidade de Certificaçã d Cartã de Cidadã esta devidamente credenciada pela Autridade Nacinal de Segurança, encntrand-se seu regist na Lista de Serviçs de Cnfiança (TSL - Trust Service List), emitida pr esta entidade, cm previst na legislaçã prtuguesa e eurpeia. O URL nde pderá ser validada esta infrmaçã é: http://www.gns.gv.pt/media/1891/tslpthr.pdf. Este dcument define s prcediments e práticas utilizadas pela Entidade de Certificaçã d Cartã de Cidadã n suprte à sua atividade de certificaçã digital, send referenciad cm dcument de Declaraçã de Práticas de Certificaçã da EC d Cidadã. 1 cf. SCEE 2.16.620.1.1.1.2.1.1.0. 2006, Plítica de Certificads da SCEE e Requisits mínims de Segurança. Página 3 de 95

Sumári... 1 Resum Executiv... 3 Sumári... 4 Intrduçã... 11 Objetivs... 11 Públic-Alv... 11 Estrutura d Dcument... 11 1 Cntext Geral... 12 1.1 Visã Geral... 12 1.2 Designaçã e Identificaçã d Dcument... 12 1.3 Participantes na InfraEstrutura de Chave Pública... 13 1.3.1 Entidades Certificadras... 13 1.3.1.1 A EC Raiz d Estad... 14 1.3.1.2 As ECEstad... 14 1.3.1.3 As SubECEstad... 15 1.3.1.3.1 EC AsC... 15 1.3.1.3.2 EC AuC... 15 1.3.1.3.3 EC de Cntrl de Acesss.... 15 1.3.2 Entidades de Regist... 15 1.3.3 Titulares de Certificads... 15 1.3.3.1 Patrcinadr... 16 1.3.4 Partes Cnfiantes... 16 1.3.5 Outrs participantes... 16 1.3.5.1 Cnselh Gestr... 16 1.3.5.2 Autridade Credenciadra... 17 1.3.5.3 Autridades de Validaçã... 18 1.4 Utilizaçã d Certificad... 18 1.4.1 Utilizaçã adequada... 18 1.4.2 Utilizaçã nã autrizada... 19 1.5 Gestã das Plíticas... 19 1.5.1 Entidade respnsável pela gestã d dcument... 19 1.5.2 Cntact... 19 1.5.3 Entidade respnsável pela determinaçã da cnfrmidade da DPC relativamente à Plítica... 20 1.5.4 Atualizaçã da DPC... 20 1.5.5 Prcediments para Aprvaçã da DPC... 20 1.6 Definições e Acrónims... 20 2 Respnsabilidade de Publicaçã e Repsitóri... 21 2.1 Repsitóris... 21 2.2 Publicaçã de infrmaçã de certificaçã... 21 Página 4 de 95

2.3 Peridicidade de publicaçã... 23 2.4 Cntrl de acess as repsitóris... 23 3 Identificaçã e Autenticaçã... 24 3.1 Atribuiçã de Nmes... 24 3.1.1 Tips de nmes... 24 3.1.2 Necessidade de nmes significativs... 25 3.1.3 Annimat u pseudónim de titulares... 25 3.1.4 Interpretaçã de frmat de nmes... 25 3.1.5 Unicidade de nmes... 25 3.1.6 Recnheciment, autenticaçã, e funçã das marcas registadas... 25 3.2 Validaçã de Identidade n regist inicial... 26 3.2.1 Métd de cmprvaçã da psse de chave privada... 26 3.2.2 Autenticaçã da identidade de patrcinadr u representante... 26 3.2.3 Certificad de EC subrdinada... 26 3.2.4 Certificad de equipament tecnlógic... 27 3.2.5 Autenticaçã da identidade de uma pessa singular... 28 3.2.6 Infrmaçã de subscritr/titular nã verificada... 28 3.2.7 Validaçã de Autridade... 28 3.2.8 Critéris para interperabilidade... 28 3.3 Identificaçã e autenticaçã para pedids de renvaçã de chaves... 28 3.3.1 Identificaçã e autenticaçã para renvaçã de chaves, de rtina... 29 3.3.2 Identificaçã e autenticaçã para renvaçã de chaves, após revgaçã... 29 3.4 Identificaçã e autenticaçã para pedid de revgaçã... 29 4 Requisits Operacinais d Cicl de Vida d Certificad... 31 4.1 Pedid de Certificad... 31 4.1.1 Quem pde subscrever um pedid de certificad... 31 4.1.2 Prcess de regist e respnsabilidades... 31 4.2 Prcessament d pedid de certificad... 32 4.2.1 Prcess para a identificaçã e funções de autenticaçã... 32 4.2.2 Aprvaçã u recusa de pedids de certificad... 32 4.2.3 Praz para prcessar pedid de certificad... 33 4.3 Emissã de Certificad... 33 4.3.1 Prcediment para a emissã de certificad... 33 4.3.2 Ntificaçã da emissã d certificad a titular... 34 4.4 Aceitaçã d Certificad... 34 4.4.1 Prcediment para a aceitaçã de certificad... 34 4.4.2 Publicaçã d certificad... 34 4.4.3 Ntificaçã da emissã de certificad a utras entidades... 35 4.5 Us d certificad e par de chaves... 35 4.5.1 Us d certificad e da chave privada pel titular... 35 4.5.2 Us d certificad e da chave pública pelas partes cnfiantes... 35 4.6 Renvaçã de Certificads... 36 4.6.1 Mtivs para renvaçã de certificad... 36 4.6.2 Quem pde submeter pedid de renvaçã de certificad... 36 Página 5 de 95

4.6.3 Prcessament d pedid de renvaçã de certificad... 36 4.6.4 Ntificaçã de emissã de nv certificad a titular... 36 4.6.5 Prcediments para aceitaçã de certificad... 36 4.6.6 Publicaçã de certificad após renvaçã... 36 4.6.7 Ntificaçã da emissã d certificad a utras entidades... 37 4.7 Renvaçã de certificad cm geraçã de nv par de chaves... 37 4.7.1 Mtiv para a renvaçã de certificad cm geraçã de nv par de chaves... 37 4.7.2 Quem pde submeter pedid de certificaçã de uma nva chave pública... 37 4.7.3 Prcessament d pedid de renvaçã de certificad cm geraçã de nv par de chaves... 37 4.7.4 Ntificaçã da emissã de nv certificad a titular... 37 4.7.5 Prcediments para aceitaçã de um certificad renvad cm geraçã de nv par de chaves 38 4.7.6 Publicaçã de certificad renvad cm geraçã de nv par de chaves... 38 4.7.7 Ntificaçã da emissã de certificad renvad a utras entidades... 38 4.8 Mdificaçã de certificads... 38 4.8.1 Mtivs para alteraçã d certificad... 38 4.8.2 Quem pde submeter pedid de alteraçã de certificad... 38 4.8.3 Prcessament d pedid de alteraçã de certificad... 38 4.8.4 Ntificaçã da emissã de certificad alterad a titular... 38 4.8.5 Prcediments para aceitaçã de certificad alterad... 39 4.8.6 Publicaçã d certificad alterad... 39 4.8.7 Ntificaçã da emissã de certificad alterad a utras entidades... 39 4.9 Suspensã e revgaçã de certificad... 39 4.9.1 Mtivs para revgaçã... 39 4.9.2 Quem pde submeter pedid de revgaçã... 40 4.9.3 Prcediment para pedid de revgaçã... 40 4.9.4 Prduçã de efeits da revgaçã... 41 4.9.5 Praz para prcessar pedid de revgaçã... 41 4.9.6 Requisits de verificaçã da revgaçã pelas partes cnfiantes... 41 4.9.7 Peridicidade da emissã da lista de certificads revgads (LRC)... 41 4.9.8 Períd máxim entre a emissã e a publicaçã da LRC... 41 4.9.9 Dispnibilidade de verificaçã n-line d estad / revgaçã de certificad... 41 4.9.10 Requisits de verificaçã n-line de revgaçã... 42 4.9.11 Outras frmas para divulgaçã de revgaçã dispníveis... 42 4.9.12 Requisits especiais em cas de cmprmetiment de chave privada... 42 4.9.13 Mtivs para suspensã... 42 4.9.14 Quem pde submeter pedid de suspensã... 42 4.9.15 Prcediments para pedid de suspensã... 42 4.9.16 Limite d períd de suspensã... 42 4.10 Serviçs sbre estad d certificad... 42 4.10.1 Características peracinais... 42 4.10.2 Dispnibilidade d serviç... 43 4.10.3 Características pcinais... 43 4.11 Fim de subscriçã... 43 4.12 Retençã e recuperaçã de chaves (Key escrw)... 43 Página 6 de 95

4.12.1 Plíticas e práticas de recuperaçã de chaves... 43 4.12.2 Plíticas e práticas de encapsulament e recuperaçã de chaves de sessã... 44 5 Medidas de segurança física, de gestã e peracinais... 45 5.1 Medidas de segurança física... 45 5.1.1 Lcalizaçã física e tip de cnstruçã... 45 5.1.2 Acess físic a lcal... 46 5.1.3 Energia e ar cndicinad... 46 5.1.4 Expsiçã à água... 47 5.1.5 Prevençã e prteçã cntra incêndi... 47 5.1.6 Salvaguarda de suprtes de armazenament... 47 5.1.7 Eliminaçã de resídus... 48 5.1.8 Instalações externas (alternativa) para recuperaçã de segurança... 48 5.2 Medida de segurança ds prcesss... 48 5.2.1 Grups de Trabalh... 49 5.2.1.1 Grup de Gestã de Infrmaçã... 49 5.2.1.2 Grup de Trabalh da Plítica... 49 5.2.1.3 Grup de Trabalh de Auditria... 50 5.2.1.4 Grup de Trabalh de Operaçã... 50 5.2.1.5 Grup de Trabalh de Autenticaçã... 51 5.2.1.6 Grup de Trabalh de Inicializaçã... 52 5.2.1.7 Grup de Trabalh de Gestã... 53 5.2.1.8 Grup de Trabalh de Custódia... 53 5.2.2 Númer de pessas exigidas pr tarefa... 53 5.2.3 Funções que requerem separaçã de respnsabilidades... 54 5.3 Medidas de Segurança de Pessal... 55 5.3.1 Requisits relativs às qualificações, experiência, antecedentes e credenciaçã... 55 5.3.2 Prcediment de verificaçã de antecedentes... 55 5.3.3 Requisits de frmaçã e trein... 55 5.3.4 Frequência e requisits para ações de reciclagem... 56 5.3.5 Frequência e sequência da rtaçã de funções... 56 5.3.6 Sanções para ações nã autrizadas... 56 5.3.7 Requisits para prestadres de serviçs... 56 5.3.8 Dcumentaçã frnecida a pessal... 57 5.4 Prcediments de auditria de segurança... 57 5.4.1 Tip de events registads... 57 5.4.2 Frequência da auditria de regists... 58 5.4.3 Períd de retençã ds regists de auditria... 58 5.4.4 Prteçã ds regists de auditria... 58 5.4.5 Prcediments para a cópia de segurança ds regists... 58 5.4.6 Sistema de reclha de regists (Intern / Extern)... 58 5.4.7 Ntificaçã de agentes causadres de events... 59 5.4.8 Avaliaçã de vulnerabilidades... 59 5.5 Arquiv de regists... 59 5.5.1 Tip de dads arquivads... 59 Página 7 de 95

5.5.2 Períd de retençã em arquiv... 60 5.5.3 Prteçã ds arquivs... 60 5.5.4 Prcediments para as cópias de segurança d arquiv... 60 5.5.5 Requisits para validaçã crnlógica ds regists... 60 5.5.6 Sistema de reclha de dads de arquiv (Intern / Extern)... 60 5.5.7 Prcediments de recuperaçã e verificaçã de infrmaçã arquivada... 60 5.6 Renvaçã de chaves... 61 5.7 Recuperaçã em cas de desastre u cmprmetiment... 61 5.7.1 Prcediments em cas de incidente u cmprmetiment... 61 5.7.2 Crrupçã ds recurss infrmátics, d sftware e/u ds dads... 61 5.7.3 Prcediments em cas de cmprmetiment da chave privada da entidade... 62 5.7.4 Capacidade de cntinuidade da atividade em cas de desastre... 62 5.8 Prcediments em cas de extinçã de EC u ER... 62 6 MEDIDAS DE SEGURANÇA TÉCNICAS... 64 6.1 Geraçã e instalaçã d par de chaves... 64 6.1.1 Geraçã d par de chaves... 64 6.1.2 Entrega da chave privada a titular... 64 6.1.3 Entrega da chave pública a emissr d certificad... 64 6.1.4 Entrega da chave pública da EC às partes cnfiantes... 65 6.1.5 Dimensã das chaves... 65 6.1.6 Geraçã ds parâmetrs da chave pública e verificaçã da qualidade... 65 6.1.7 Fins a que se destinam as chaves (camp key usage X.509 v3)... 65 6.2 Prteçã da chave privada e características d módul criptgráfic... 65 6.2.1 Nrmas e medidas de segurança d módul criptgráfic... 66 6.2.2 Cntrl multi-pessal (n de m) para a chave privada... 67 6.2.3 Retençã da chave privada (key escrw)... 67 6.2.4 Cópia de segurança da chave privada... 68 6.2.5 Arquiv da chave privada... 68 6.2.6 Transferência da chave privada para/d módul criptgráfic... 68 6.2.7 Armazenament da chave privada n módul criptgráfic... 68 6.2.8 Prcess para ativaçã da chave privada... 68 6.2.9 Prcess para desativaçã da chave privada... 68 6.2.10 Prcess para destruiçã da chave privada... 69 6.2.11 Avaliaçã/nível d módul criptgráfic... 69 6.3 Outrs aspets da gestã d par de chaves... 69 6.3.1 Arquiv da chave pública... 69 6.3.2 Períds de validade d certificad e das chaves... 69 6.4 Dads de ativaçã... 70 6.4.1 Geraçã e instalaçã ds dads de ativaçã... 70 6.4.2 Prteçã ds dads de ativaçã... 70 6.4.3 Outrs aspets ds dads de ativaçã... 70 6.5 Medidas de segurança infrmáticas... 71 6.5.1 Requisits técnics específics... 71 6.5.2 Avaliaçã/nível de segurança... 71 Página 8 de 95

6.6 Cicl de vida das medidas técnicas de segurança... 71 6.6.1 Medidas de desenvlviment d sistema... 71 6.6.2 Medidas para a gestã da segurança... 71 6.6.3 Cicl de vida das medidas de segurança... 71 6.7 Medidas de Segurança da rede... 72 6.8 Validaçã crnlógica (Time-stamping)... 72 7 PERFIS DE CERTIFICADO, CRL, E OCSP... 73 7.1 Perfil de Certificad... 73 7.2 Perfil da lista de revgaçã de certificads... 73 7.3 Perfil OCSP... 74 8 AUDITORIA E AVALIAÇÕES DE CONFORMIDADE... 75 8.1 Frequência u mtiv da auditria... 75 8.2 Identidade e qualificações d auditr... 75 8.3 Relaçã entre auditr e a Entidade Certificadra... 75 8.4 Âmbit da auditria... 76 8.5 Prcediments após uma auditria cm resultad deficiente... 76 8.6 Cmunicaçã de resultads... 77 9 OUTRAS SITUAÇÕES E ASSUNTOS LEGAIS... 78 9.1 Taxas... 78 9.1.1 Taxas pr emissã u renvaçã de certificads... 78 9.1.2 Taxas para acess a certificad... 78 9.1.3 Taxas para acess a infrmaçã d estad d certificad u de revgaçã... 78 9.1.4 Taxas para utrs serviçs... 78 9.1.5 Plítica de reembls... 78 9.2 Respnsabilidade financeira... 78 9.2.1 Segur de cbertura... 78 9.2.2 Outrs recurss... 79 9.2.3 Segur u garantia de cbertura para utilizadres... 79 9.3 Cnfidencialidade da infrmaçã prcessada... 79 9.3.1 Âmbit da cnfidencialidade da infrmaçã... 79 9.3.2 Infrmaçã fra d âmbit da cnfidencialidade da infrmaçã... 79 9.3.3 Respnsabilidade de prteçã da cnfidencialidade da infrmaçã... 80 9.4 Privacidade ds dads pessais... 80 9.4.1 Medidas para garantia da privacidade... 80 9.4.2 Infrmaçã privada... 80 9.4.3 Infrmaçã nã prtegida pela privacidade... 80 9.4.4 Respnsabilidade de prteçã da infrmaçã privada... 80 9.4.5 Ntificaçã e cnsentiment para utilizaçã de infrmaçã privada... 80 9.4.6 Divulgaçã resultante de prcess judicial u administrativ... 81 9.4.7 Outras circunstâncias para revelaçã de infrmaçã... 81 9.5 Direits de prpriedade intelectual... 81 9.6 Representações e garantias... 81 9.6.1 Representaçã e garantias das entidades certificadras... 81 9.6.2 Representaçã e garantias das Entidades de Regist... 82 Página 9 de 95

9.6.3 Representaçã e garantias ds titulares... 82 9.6.4 Representaçã e garantias das partes cnfiantes... 83 9.6.5 Representaçã e garantias de utrs participantes... 83 9.7 Renúncia de garantias... 83 9.8 Limitações às brigações... 84 9.9 Indemnizações... 84 9.10 Term e cessaçã da atividade... 85 9.10.1 Term... 85 9.10.2 Substituiçã e revgaçã da DPC... 85 9.10.3 Cnsequências da cessaçã de atividade... 85 9.11 Ntificaçã individual e cmunicaçã as participantes... 86 9.12 Alterações... 86 9.12.1 Prcediment para alterações... 86 9.12.2 Praz e mecanism de ntificaçã... 86 9.12.3 Mtivs para mudar de OID... 87 9.13 Dispsições para resluçã de cnflits... 87 9.14 Legislaçã aplicável... 87 9.15 Cnfrmidade cm a legislaçã em vigr... 88 9.16 Prvidências várias... 88 9.16.1 Acrd cmplet... 88 9.16.2 Independência... 88 9.16.3 Severidade... 88 9.16.4 Execuções (taxas de advgads e desistência de direits)... 88 9.16.5 Frça Mair... 88 9.17 Outras prvidências... 88 Cnclusã... 89 Referências Bibligráficas... 90 Anex A Definições e Acrónims... 91 Acrónims... 91 Definições... 92 Aprvaçã d Cnselh Gestr... 95 Página 10 de 95

Intrduçã Objetivs O bjetiv deste dcument é definir s prcediments e práticas utilizadas pela Entidade de Certificaçã d Cartã de Cidadã n suprte à sua atividade de certificaçã digital. Públic-Alv Este dcument deve ser lid pr: Recurss humans atribuíds as grups de trabalh da EC d Cidadã, Terceiras partes encarregues de auditar a EC d Cidadã, Td públic, em geral. Estrutura d Dcument Assume-se que leitr é cnhecedr ds cnceits de criptgrafia, infraestruturas de chave pública e assinatura eletrónica. Cas esta situaçã nã se verifique recmenda-se aprfundar de cnceits e cnheciment ns tópics anterirmente fcad antes de efetuar a leitura d dcument. Este dcument segue a estrutura definida e prpsta pel grup de trabalh PKIX d IETF, n dcument RFC 3647 2, de acrd também cm a estrutura recmendada pel SCEE 1. Os primeirs it capítuls sã dedicads a descrever s prcediments e práticas mais imprtantes n âmbit da certificaçã digital da EC d Cidadã. O capítul 8 descreve auditrias de cnfrmidade e utras avaliações. O capítul 9 descreve matérias legais. 2 cf. RFC 3647. 2003, Internet X.509 Public Key Infrastructure Certificate Plicy and Certificatin Practices Framewrk. Página 11 de 95

1 Cntext Geral O presente dcument é uma Declaraçã de Práticas de Certificaçã, u DPC, cuj bjetiv prende-se cm a definiçã de um cnjunt de práticas para a emissã e validaçã de Certificads e para a garantia de fiabilidade. Nã se pretende nmear regras legais u brigações, mas antes infrmar, pretendend-se assim que este dcument seja simples, diret e entendid pr um públic alargad, incluind pessas sem cnheciments técnics u legais. Este dcument descreve as práticas gerais de emissã e gestã de Certificads seguidas pela Entidade de Certificaçã d Cartã de Cidadã (EC CC) e, explica que um Certificad frnece, assim cm s prcediments que deverã ser seguids pr Partes Cnfiantes e pr qualquer utra pessa interessada, para cnfiarem ns Certificads emitids pela EC CC. Este dcument pde sfrer atualizações regulares. Os Certificads emitids pela EC CC cntêm uma referência à DPC de md a permitir que Partes cnfiantes e utras pessas interessadas pssam encntrar infrmaçã sbre certificad e sbre a entidade que emitiu. 1.1 Visã Geral As práticas de criaçã, assinatura e de emissã de Certificads, assim cm de revgaçã de certificads inválids levadas a cab pr uma Entidade de Certificaçã (EC) sã fundamentais para garantir a fiabilidade e cnfiança de uma Infraestrutura de Chaves Públicas (u PKI Public Key Infrastructure). Esta DPC aplica-se especificamente à EC CC (Entidade de Certificaçã d Cartã de Cidadã, de acrd cm a estrutura recmendada pel SCEE 1 ) e respeita e implementa s seguintes standards: RFC 3647: Internet X.509 Public Key Infrastructure Certificate Plicy and Certificatin Practices Framewrk; RFC 5280: Internet X.509 PKI - Certificate and CRL Prfile. Esta DPC satisfaz s requisits impsts pela Declaraçã de Práticas de Certificaçã da SCEE 1 e específica cm implementar s seus prcediments e cntrls, e ainda cm a EC CC atinge s requisits especificads. 1.2 Designaçã e Identificaçã d Dcument Este dcument é a Declaraçã de Práticas de Certificaçã da EC CC. A DPC é representada num certificad através de um númer únic designad de identificadr de bjet (OID), send valr d OID assciad a este dcument 2.16.620.1.1.1.2.4.0.7. Este dcument é identificad pels dads cnstantes na seguinte tabela: INFORMAÇÃO DO DOCUMENTO Nme d Dcument Página 12 de 95

INFORMAÇÃO DO DOCUMENTO Versã d Dcument Versã 1.3 Estad d Dcument Aprvad OID 2.16.620.1.1.1.2.4.0.7 Data de Emissã Mai de 2014 Validade Lcalizaçã 1 an http://pki.cartadecidada.pt/public/pliticas/dpc/cc_ec_cidada_dpc.html 1.3 Participantes na InfraEstrutura de Chave Pública 1.3.1 Entidades Certificadras A EC CC insere-se na hierarquia de cnfiança da SCEE (Sistema de Certificaçã Electrónica d Estad), cnstituind-se numa Entidade Certificadra d Estad, send seu certificad assinad pela entidade certificadra de tp da cadeia de certificaçã da SCEE 1 (i.e., pela Entidade Certificadra Raiz d Estad Prtuguês - ECRaizEstad). Deste md, a EC CC encntra-se n nível imediatamente abaix da EC Raiz d Estad Prtuguês. Esquematicamente: A principal funçã da EC CC é prvidenciar a gestã de serviçs de certificaçã: emissã, peraçã, suspensã, revgaçã para s seus subscritres. A EC CC emite certificads de: Entidade de Certificaçã subrdinada, i.e., certificads para entidades certificadras subrdinadas n âmbit d Cartã de Cidadã, Página 13 de 95

Serviçs d Cartã de Cidadã, i.e., certificads para serviçs, necessáris n âmbit d Cartã de Cidadã: Entidade Certificadra de Dcuments, Validaçã n-line OCSP, Validaçã crnlógica, 1.3.1.1 A EC Raiz d Estad A EC Raiz d Estad é a entidade de Certificaçã de primeir nível. Tem cm funçã estabeleciment da raiz da cadeia de cnfiança da infraestrutura de chaves públicas (ICP) d Estad Prtuguês, denminada de Entidade de Certificaçã Eletrónica d Estad (ECEE). O certificad da ECRaizEstad pderá ser cnsultad em http://www.scee.gv.pt/ecee/pt/ecertificadras/ A infrmaçã previamente descrita cnsta n certificad SCEE. Vist nã ter existid qualquer alteraçã à data de aprvaçã desta DPC tds s pressupsts referids anterirmente mantêm-se válids. 1.3.1.2 As ECEstad As ECEstad sã as entidades que se encntram n nível imediatamente abaix da ECRaizEstad. A sua funçã principal é a gestã de serviçs de certificaçã: emissã, suspensã e revgaçã de certificads para s seus destinatáris. Send a EC CC uma EC Estad, seu certificad é assinad pela ECRaizEstad e a sua funçã é a gestã ds serviçs de certificaçã das SubECEstad a si subrdinadas. EC CC é detentra de seis certificads X509 v3, send a distribuiçã ds mesms realizada em cnsnância cm s seus respetivs bjetivs: 3 (três) certificads aut-assinads; EC CC 001 (aut-assinad) EC CC 002 (aut-assinad) EC CC 003 (aut-assinad) 3 (três) certificads assinads pela ECEE, pdend ser cnsultads em: https://pki.cartadecidada.pt/public/certificad/cc_ec_cidada/ A EC CC 001 e a EC CC 002, têm cm finalidade, emitir certificad digital em frmat X509 v3 para Serviç de Validaçã OCSP e a emissã e assinatura da Lista de Certificads Revgads, servind de âncra de validaçã para s certificads de SubECEstad que fram emitids pr elas; Apenas a EC CC 003, emite s certificads digitais, em frmat X509 v3, para as SubECEstad EC de Autenticaçã d Cartã de Cidadã (EC AuC), EC de Assinatura Digital Qualificada d Cartã de Cidadã (EC Página 14 de 95

AsC) e EC de Cntrl de Acesss, emite e assina digitalmente a sua Lista de Certificads Revgads e é, adicinalmente, respnsável pela emissã ds seguintes certificads digitais, em frmat X509 v3, específics: certificads para assinatura digital de dads clcads n chip d Cartã de Cidadã, a ser utilizada pela Entidade de Certificaçã de Dcuments d Cartã de Cidadã (ECD); certificads para Serviç de Validaçã OCSP; certificads para Serviç de Validaçã Crnlógica. 1.3.1.3 As SubECEstad Estas entidades encntram-se n nível imediatamente abaix das ECEstad e têm cm funçã a prestaçã de serviçs de certificaçã para utilizadr final. O seu certificad é assinad pr uma ECEstad. 1.3.1.3.1 EC AsC Esta EC é respnsável pela emissã ds certificads digitais de assinatura qualificada, em frmat X509 v3, a cnstar em cada Cartã de Cidadã. 1.3.1.3.2 EC AuC Esta EC é respnsável pela emissã ds certificads digitais de autenticaçã, em frmat X509 v3, a cnstar em cada Cartã de Cidadã. 1.3.1.3.3 EC de Cntrl de Acesss. Esta EC é respnsável pela emissã de certificads digitais para Organisms Públics, em frmat CVC, a utilizar em perações de external authenticatin que permitam distinguir a área de cnfiança a que pertence a aplicaçã externa para cntrl de acesss à infrmaçã residente n chip d cartã. 1.3.2 Entidades de Regist Nada a assinalar. 1.3.3 Titulares de Certificads N cntext deste dcument, s utilizadres finais detentres de certificads emitids pela EC CC serã serviçs dispnibilizads pela mesma. Desta frma, a emissã deste tip de certificads é sempre cntrlada pels Patrcinadres (ver secçã 1.3.3.1). Página 15 de 95

1.3.3.1 Patrcinadr A emissã de certificads para equipaments tecnlógics é efetuada sempre sb respnsabilidade humana, send esta entidade designada pr patrcinadr. O patrcinadr aceita certificad e é respnsável pela sua crreta utilizaçã, bem cm pela prteçã e salvaguarda da sua chave privada. A EC CC emite s seguintes certificads de equipament tecnlógic: Certificads de Entidade Certificadra de Dcuments; Validaçã n-line OCSP e; Validaçã crnlógica. 1.3.4 Partes Cnfiantes As partes cnfiantes u destinatáris sã pessas singulares, entidades u equipaments que cnfiam na validade ds mecanisms e prcediments utilizads n prcess de assciaçã d nme d titular cm a sua chave pública, u seja cnfiam que certificad crrespnde na realidade a quem diz pertencer. Nesta DPC, cnsidera-se uma parte cnfiante, aquela que cnfia n ter, validade e aplicabilidade d certificad emitid n ram da EC CC da hierarquia de cnfiança da SCEE, pdend ser titular de certificads da cmunidade SCEE u nã. 1.3.5 Outrs participantes 1.3.5.1 Cnselh Gestr O Cnselh Gestr 30 é a entidade respnsável pela gestã glbal e administraçã de tda a Infraestrutura de Chaves Públicas, pela aprvaçã da integraçã das Entidades Certificadras d Estad, e a quem cabe prnunciarse sbre as plíticas e práticas de certificaçã das entidades certificadras que integram a SCEE. Cmpete especialmente a Cnselh Gestr: a) Definir e aprvar, de acrd cm as nrmas u especificações internacinalmente recnhecidas, as plíticas e as práticas de certificaçã a bservar pelas Entidades Certificadras que integram a SCEE; b) Garantir que as declarações de práticas de certificaçã das várias Entidades Certificadras d Estad, incluind a Entidade Certificadra Raiz, estã em cnfrmidade cm as Plíticas de Certificad da SCEE; c) Definir e publicar s critéris para aprvaçã das entidades certificadras que pretendam integrar a SCCE; Página 16 de 95

d) Aprvar a integraçã na SCEE das Entidades Certificadras d Estad que bedeçam as requisits estabelecids n presente diplma e que se enquadrem ns critéris previamente estabelecids e referids na alínea anterir; e) O Cnselh Gestr deverá bter da Autridade Credenciadra um parecer de auditria e cnfrmidade sbre as Entidades Certificadras que se pretendam cnstituir cm Entidades Certificadras d Estad; f) Aferir da cnfrmidade ds prcediments seguids pelas Entidades Certificadras d Estad cm as plíticas e diretivas aprvadas, sem prejuíz das cmpetências legalmente cmetidas à Autridade Credenciadra; g) Decidir pela exclusã da SCEE das Entidades Certificadras d Estad em cas de nã cnfrmidade cm as plíticas e práticas aprvadas, cmunicand tal fact à Autridade Credenciadra; h) Prnunciar-se sbre as melhres práticas internacinais n exercíci das atividades de certificaçã eletrónica e prpr a sua aplicaçã. Cmpete ainda Cnselh Gestr a prmçã e crdenaçã das atividades para estabeleciment de acrds de interperabilidade, cm base em certificaçã cruzada, cm utras Infraestruturas de Chaves Públicas, de natureza privada u pública, nacinais u internacinais, nmeadamente: a) Dar indicações à Entidade Certificadra Raiz d Estad para atribuiçã e revgaçã de certificads emitids cm base em certificaçã cruzada; b) Definir s terms e cndições para iníci, suspensã u finalizaçã as prcesss de interperabilidade cm utras infraestruturas de chaves públicas. A definiçã d detalhe, cmpsiçã e funcinament estã definids em dcumentaçã e legislaçã própria. 1.3.5.2 Autridade Credenciadra De uma frma geral papel da Autridade Credenciadra, n dmíni da SCEE, está relacinad cm a dispnibilizaçã de serviçs de auditria/inspeçã de cnfrmidade, n sentid de aferir se s prcesss utilizads pelas EC nas suas atividades de certificaçã, estã cnfrmes, de acrd cm s requisits mínims estabelecids em [1] e cm estabelecid nesta DPC. Assim, cnsideram-se cm principais atribuições as seguintes: a) Cnduçã de auditrias; b) Gestã d cntrl de qualidade de td prcess de certificaçã; c) Fixaçã ds prcediments e dcumentaçã relativa às auditrias; d) Gestã ds relatóris de auditria, nmeadamente, na elabraçã e receçã (quand efetuads pr pessal extern); e) Fixaçã de plans de medidas crretivas aplicáveis às entidades certificadras da SCEE; f) Fixaçã e acmpanhament de metas para indicadres de qualidade que deverá prpr para aprvaçã d Cnselh Gestr n cntext de bjetivs estratégics previamente fixads pel Cnselh Gestr; Página 17 de 95

g) Gestã da blsa de auditres; h) Apresentaçã a Cnselh Gestr de prpsta de regist e de rescisã de regist de entidades certificadras na SCEE; i) Prmçã da cmpetência técnica ds auditres. 1.3.5.3 Autridades de Validaçã As Autridades de Validaçã (AV), têm cm funçã cmprvar estad ds certificads emitids, através da utilizaçã d prtcl Online Certificate Status Prtcl 3 (OCSP), de frma a determinar estad atual d certificad a pedid de uma entidade sem necessidade de recrrer à verificaçã d estad através da cnsulta das LRC. 1.4 Utilizaçã d Certificad Os certificads emitids n dmíni da EC CC sã utilizads, pels diverss sistemas, aplicações, mecanisms e prtcls, cm bjetiv de garantir s seguintes serviçs de segurança: a) Integridade; b) Autenticaçã. Estes serviçs sã btids cm recurs à utilizaçã de criptgrafia de chave pública, através da sua utilizaçã na estrutura de cnfiança que a EC CC e SCCE prprcinam. 1.4.1 Utilizaçã adequada Os requisits e regras definids neste dcument, aplicam-se a tds s certificads emitids pela EC CC. Os certificads emitids para equipaments tecnlógics, têm cm bjetiv a sua utilizaçã em serviçs de autenticaçã e n estabeleciment de canais cifrads. Os certificads emitids para efeits de utilizaçã pr serviçs de cnfidencialidade, emitids cm base nas regras aqui definidas, pdem ser utilizads para prcessar infrmaçã classificada até grau de RESERVADO quand utilizads sbre redes públicas (p.e. Internet). Na sua utilizaçã em redes prprietárias, grau de classificaçã da infrmaçã deverá ser definid pel rganism nacinal cm respnsabilidades n âmbit d tratament da infrmaçã/matéria classificada. Os certificads emitids pela EC CC sã também utilizads pelas Partes Cnfiantes para verificaçã da cadeia de cnfiança de um certificad emitid sb a EC CC, assim cm para garantir a autenticidade e identidade d emissr de uma assinatura digital gerada pela chave privada crrespndente à chave pública cntida num certificad emitid sb a EC CC. 3 cf. RFC 2560. 1999, X.509 Internet Public Key Infrastructure Online Certificate Status Prtcl OCSP. Página 18 de 95

1.4.2 Utilizaçã nã autrizada Os certificads pderã ser utilizads nutrs cntexts apenas na extensã d que é permitid pelas regras da SCEE 1 e pela legislaçã aplicável. Os certificads emitids pela EC CC nã pderã ser utilizads para qualquer funçã fra d âmbit das utilizações descritas anterirmente. Os serviçs de certificaçã ferecids pela EC CC, nã fram desenhads nem estã autrizads a ser utilizads em atividades de alt risc u que requeiram um atividade isenta de falhas, cm as relacinadas cm funcinament de instalações hspitalares, nucleares, cntrl de tráfeg aére, cntrl de tráfeg ferrviári, u qualquer utra atividade nde uma falha pssa levar à mrte, lesões pessais u dans graves para mei ambiente. 1.5 Gestã das Plíticas 1.5.1 Entidade respnsável pela gestã d dcument A gestã desta plítica de certificads é da respnsabilidade d Ministéri da Justiça. 1.5.2 Cntact Nme: Mrada: Crrei Eletrónic: MINISTÉRIO DA JUSTIÇA IRN I.P. DCC Av. D. Jã II, nº 1.8.01D Edifíci H Campus da Justiça Apartad 8295 1803-001 Lisba cartadecidada@dgrn.mj.pt Telefne: 707 200 886 Página 19 de 95

1.5.3 Entidade respnsável pela determinaçã da cnfrmidade da DPC relativamente à Plítica O Grup de Trabalh de Plíticas, em cnjunt cm Grup de Gestã de Infrmaçã, determina a cnfrmidade e aplicaçã interna desta DPC (e/u respetivas PCs) n que diz respeit a legislaçã e nrmas aplicáveis. 1.5.4 Atualizaçã da DPC O Grup de Trabalh de Plíticas é respnsável pela cnstante atualizaçã desta DPC garantind que a mesma é revista pel mens 1 vez pr an. Sempre que fr registada necessidade de alterações, as mesmas devem ser feitas pel Grup de Trabalh de Pliticas e analisadas pel Grup de Gestã de Infrmaçã. 1.5.5 Prcediments para Aprvaçã da DPC A aprvaçã interna desta DPC (e/u respetivas PCs) e seguintes crreções (u atualizações) deverã ser levadas a cab pels Grups de Trabalh de Plíticas e Gestã da Infrmaçã. Crreções (u atualizações) deverã ser publicadas sb a frma de nvas versões desta DPC (e/u respetivas PCs), substituind qualquer DPC (e/u respetivas PCs) anterirmente definida. O Grup de Trabalh da Plítica deverá ainda determinar quand é que as alterações na DPC (e/u respetivas PCs) levam a uma alteraçã ns identificadres ds bjets (OID) da DPC (e/u respetivas PCs). Após a aprvaçã interna, a DPC (e/u respetivas PCs) é submetid a Grup de Gestã. Pr sua vez Grup de Gestã deve submeter mesm dcument, após a sua aprvaçã, a Cnselh Gestr órgã cmpetente para determinar a adequaçã das DPC (e/u respetivas PCs) das diversas entidades, cm a Plítica de Certificads definida pela SCEE para aprvaçã. 1.6 Definições e Acrónims Ver Anex A. Página 20 de 95

2 Respnsabilidade de Publicaçã e Repsitóri 2.1 Repsitóris O Ministéri da Justiça é respnsável pelas funções de repsitóri da EC CC, publicand, entre utras, infrmaçã relativa às práticas adtadas e estad ds certificads emitids (LRC). A platafrma tecnlógica d repsitóri está cnfigurada de acrd cm s seguintes indicadres e métricas: Dispnibilidade de serviçs da platafrma de 99,5%, em períd 24hx7d, excluind manutenções necessárias efetuadas em hrári de menr utilizaçã, garantind-se durante temp da dispnibilidade: Mínim de 99,990% de respstas a pedids de btençã da LRC; Mínim de 99,990% de respstas a pedids d dcument da DPC; Númer máxim de pedids de LRC: 50 pedids/minut; Númer máxim de pedids da DPC: 50 pedids/minut; Númer médi de pedids de LRC: 20 pedids/minut; Númer médi de pedids da DPC: 20 pedids/minut. O acess à infrmaçã dispnibilizada pel repsitóri é efetuad através d prtcl HTTPS e HTTP, estand implementad s seguintes mecanisms de segurança: LRC e DPC só pdem ser alterads através de prcesss e prcediments bem definids; Platafrma tecnlógica d repsitóri encntra-se devidamente prtegida pelas técnicas mais atuais de segurança física e lógica; Os recurss humans que gerem a platafrma têm frmaçã e trein adequad para serviç em questã. 2.2 Publicaçã de infrmaçã de certificaçã O Ministéri da Justiça mantém um repsitóri em ambiente Web, permitind que as Partes Cnfiantes efetuem pesquisas n-line relativas à revgaçã e utra infrmaçã referente a estad ds Certificads. A SCEE 1 dispnibiliza a sua plítica de certificad em http://www.scee.gv.pt/pcert; O Ministéri da Justiça dispnibiliza 24hx7d a seguinte infrmaçã pública n-line: Página 21 de 95

Cópia eletrónica desta DPC e Plíticas de Certificads (PC) mais atuais da EC CC, assinada eletrnicamente pel Grup de Gestã: DPC da EC CC dispnibilizada n URI: http://pki.cartadecidada.pt/public/pliticas/dpc/cc_ec_cidada_dpc.html, PC de certificad da EC CC dispnibilizada n URI: http://pki.cartadecidada.pt/public/pliticas/pc/cc_ec_cidada_pc.html, PC de certificad da EC subrdinada de Autenticaçã d Cartã de Cidadã dispnibilizada n URI: http://pki.cartadecidada.pt/public/pliticas/pc/cc_subec_cidada_autenticaca_pc.html, PC de certificad da EC subrdinada de Assinatura Digital Qualificada d Cartã de Cidadã dispnibilizada n URI: http://pki.cartadecidada.pt/public/pliticas/pc/cc_subec_cidada_assinatura_pc.html, PC de certificad da EC subrdinada de Cntrl de Acesss d Cartã de Cidadã dispnibilizada n URI: http://pki.cartadecidada.pt/public/pliticas/pc/cc_subec_cidada_acesss_pc.html, PC de certificad de Entidade Certificadra de Dcuments dispnibilizada n URI: http://pki.cartadecidada.pt/public/pliticas/pc/cc_ecd_pc.html, PC de certificad de Validaçã n-line OCSP dispnibilizada n URI: http://pki.cartadecidada.pt/public/pliticas/pc/cc_ocsp_pc.html, PC de certificad de Validaçã Crnlógica dispnibilizada n URI: http://pki.cartadecidada.pt/public/pliticas/pc/cc_timestamp_pc.html, LRC da EC CC URI: http://pki.cartadecidada.pt/public/lrc/cc_ec_cidada_crl<id_ca>_crl.crl; Certificad da EC CC URI: http://pki.cartadecidada.pt/public/certificad/cc_ec_cidada; Outra infrmaçã relevante URI: http://pki.cartadecidada.pt/public/inf/cc_ec_cidada. Adicinalmente, serã cnservadas tdas as versões anterires das PCs e DPC da EC CC, dispnibilizand-as a quem as slicite (desde que justificad), ficand, n entant fra d repsitóri públic de acess livre. Relativamente às EC subrdinadas criadas, Ministéri da Justiça garante que será dispnibilizada sempre a seguinte infrmaçã pública n-line, utilizand s mesms prtcls e garantind a mesma dispnibilidade d repsitóri da EC CC: Cópia eletrónica da DPC e PC mais atuais de cada EC subrdinada, assinada eletrnicamente, pr individu devidamente autrizad URI a ser identificad pela EC subrdinada; LRC de cada EC subrdinada URI a ser identificad pela EC subrdinada; Certificads da EC subrdinada e certificads emitids pr cada EC subrdinada, de acrd cm a plítica definida pela EC subrdinada na sua DPC. Página 22 de 95

2.3 Peridicidade de publicaçã As atualizações a esta DPC e respetivas PCs serã publicadas imediatamente após a sua aprvaçã pel Cnselh Gestr 30, de acrd cm a secçã 9.12. Será cnsiderad cm praz máxim para atualizaçã da infrmaçã desta DPC, 1 an. O certificad da EC CC é publicad imediatamente após a emissã. A LRC da EC CC será publicada, n mínim, uma vez pr mês. 2.4 Cntrl de acess as repsitóris A infrmaçã publicada pel Ministéri da Justiça estará dispnível na Internet, send sujeita a mecanisms de cntrl de acess (acess smente para leitura). O Ministéri da Justiça implementu medidas de segurança lógica e física para impedir que pessas nã autrizadas pssam adicinar, apagar u mdificar regists d repsitóri. Página 23 de 95

3 Identificaçã e Autenticaçã 3.1 Atribuiçã de Nmes A atribuiçã de nmes segue a cnvençã determinada pel SCEE 1, send atribuíd as certificads de equipaments tecnlógics nme qualificad d dmíni e/u âmbit da sua utilizaçã ( Serviçs d Cartã de Cidadã ). A peraçã ds certificads emitids pela EC CC está sempre na dependência d Ministéri da Justiça. O patrcinadr ds certificads de equipaments tecnlógics será um clabradr devidamente identificad de um rganism na dependência d Ministéri da Justiça. 3.1.1 Tips de nmes O certificad da EC CC, assim cm s certificads emitids pela EC CC, é identificad pr um nme únic (DN Distinguished Name) de acrd cm standard X.500. O nme únic destes certificads está identificad nas respetivas Plíticas de Certificads: Tip de Certificad OID da Plítica de Certificads EC CC 2.16.620.1.1.1.2.4.0.1.1 4 EC subrdinada de Autenticaçã d Cartã de Cidadã EC subrdinada de Assinatura Digital Qualificada d Cartã de Cidadã EC subrdinada de Cntrl de Acesss d Cartã de Cidadã 2.16.620.1.1.1.2.4.0.1.3 5 2.16.620.1.1.1.2.4.0.1.2 6 2.16.620.1.1.1.2.4.0.1.4 7 Entidade Certificadra de Dcuments 2.16.620.1.1.1.2.4.0.1.5 8 Validaçã n-line OCSP emitids pela EC d Cidadã 2.16.620.1.1.1.2.4.0.1.6 9 Validaçã Crnlógica 2.16.620.1.1.1.2.4.0.1.7 10 4 cf. PJ.CC_24.1.2_0001_pt_.pdf. 2013, Plítica de Certificads da EC d Cidadã. 5 cf. PJ.CC_24.1.2_0003_pt_.pdf. 2013, Plítica de Certificads da EC de Autenticaçã d Cartã de Cidadã. 6 cf. PJ.CC_24.1.2_0002_pt_.pdf, 2013, Plítica de Certificads da EC de Assinatura Digital Qualificada d Cartã de Cidadã. 7 cf. PJ.CC_24.1.2_0004_pt_.pdf. 2013, Plítica de Certificads da EC de Cntrl de Acesss d Cartã de Cidadã. 8 cf. PJ.CC_24.1.2_0005_pt_.pdf. 2013, Plítica de Certificads da Entidade Certificadra de Dcuments. 9 cf. PJ.CC_24.1.2_0006_pt_.pdf. 2013, Plítica de Certificads de Validaçã n-line OCSP. 10 cf. PJ.CC_24.1.2_0007_pt_.pdf. 2013, Plítica de Certificads de Validaçã Crnlógica. Página 24 de 95

3.1.2 Necessidade de nmes significativs A EC CC irá assegurar, dentr d seu ram da hierarquia de cnfiança d SCEE: a nã existência de certificads que, tend mesm nme únic identifiquem entidades (equipament) distintas; a relaçã entre titular e a rganizaçã a que pertence é a mesma que cnsta n certificad e é facilmente percetível e identificável pels Humans. 3.1.3 Annimat u pseudónim de titulares Nã é permitida a emissã de certificads cm base n cnceit de annimat u de pseudónim. 3.1.4 Interpretaçã de frmat de nmes As regras utilizadas pela EC CC para interpretar frmat ds nmes seguem estabelecid n RFC 5280 11, assegurand que tds s atributs DirectryString ds camps issuer e subject d certificad sã cdificads numa UTF8String, cm exceçã ds atributs cuntry e serialnumber que sã cdificads numa PrintableString. 3.1.5 Unicidade de nmes Os identificadres d tip DN sã únics para cada titular de certificad emitid dentr da EC CC e de cada uma das suas Entidades de Certificaçã subrdinadas, nã induzind em ambiguidades. De acrd cm s seus prcesss de emissã, a EC CC e as suas EC subrdinadas rejeitam, dentr de cada EC, a emissã de certificads cm mesm DN para titulares distints. Quand crrer tal situaçã, é permitid a adiçã de caracteres numérics a nme riginal de cada entidade, de frma a assegurar a unicidade d camp, desde que tal nã induza uma parte cnfiante em ambiguidade. 3.1.6 Recnheciment, autenticaçã, e funçã das marcas registadas As entidades requisitantes de certificads, devem demnstrar que têm direit à utilizaçã d nme requisitad, nã pdend as designações usadas ns certificads emitids pela EC CC e pelas EC subrdinadas infringir s direits de prpriedade intelectual de utrs indivídus u entidades. N prcediment de autenticaçã e identificaçã d titular d certificad, prévi à emissã d mesm, a entidade requisitante d certificad terá que apresentar s dcuments legais que demnstrem direit à utilizaçã d nme requisitad. 11 cf. RFC 5280. 2008, Internet X.509 Public Key Infrastructure Certificate and Certificate Revcatin List (CRL) Prfile. Página 25 de 95

3.2 Validaçã de Identidade n regist inicial Para s certificads emitids n dmíni da SCEE 1, é brigatóri que regist inicial seja efetuad presencialmente, u seja, a validaçã inicial da identidade d requerente é feita pel métd de cara-a-cara. Nesta DPC sã descrits tds s passs necessáris, desde iníci d pedid de certificad até à atribuiçã d certificad digital a seu representante. 3.2.1 Métd de cmprvaçã da psse de chave privada Para as Entidades de certificaçã subrdinadas da EC CC, é cnsiderad um mecanism aceitável cm métd de cmprvaçã da psse de chave privada a utilizaçã d Certificate Management Prtcl (CMP) definid n RFC 4210 12. Na EC CC a cmprvaçã da psse da chave privada será garantida através da presença física de um representante autrizad da entidade subrdinada, na cerimónia de emissã desse tip de certificads. Nessa cerimónia, representante da entidade subrdinada apresentará pedid de certificad n frmat PKCS#10 13. N cas d equipament tecnlógic, a cmprvaçã da psse da chave privada será garantida através da presença física d patrcinadr (ver 1.3.3.1), que apresentará pedid de certificad n frmat PKCS#10, cf. secçã 3.2.2. 3.2.2 Autenticaçã da identidade de patrcinadr u representante O prcess de autenticaçã da identidade d patrcinadr u representante u patrcinadr de uma pessa cletiva, deve brigatriamente garantir que a pessa cletiva para quem vai ser emitid certificad é quem na realidade diz ser e que a criaçã de assinatura, através de dispsitiv de criaçã de assinatura, exige a intervençã de pessas singulares que, estatutariamente, representam essa pessa cletiva. 3.2.3 Certificad de EC subrdinada O Ministéri da Justiça guarda tda a dcumentaçã utilizada para verificaçã da identidade da entidade subrdinada, garantind a verificaçã da identidade ds seus representantes legais, pr mei legalmente recnhecid, e garantind, n cas ds seus representantes legais nã se encntrarem na cerimónia de emissã de certificad, s pderes bastantes d representante nmead pela entidade para a referida emissã. O dcument 14 que serve de base a regist da entidade subrdinada cntém, entre utrs, s seguintes elements: 12 cf. RFC 4210. 2005, Internet X.509 Public Key Infrastructure Certificate Management Prtcl (CMP). 13 cf. RFC 2986. 2000, PKCS #10: Certificatin Request Syntax Specificatin, versin 1.7. 14 cf. PJ.CC_53.2.1_0001_pt_.dc. 2013, Frmulári de emissã de certificad de EC subrdinada da EC d Cartã de Cidadã Página 26 de 95

a) Denminaçã legal; b) Númer de pessa cletiva, sede, bjet scial, nme ds titulares ds crps sciais e de utras pessas cm pderes para a brigarem e númer de matrícula na cnservatória d regist cmercial; c) Nme cmplet, númer d bilhete de identidade u qualquer utr element que permita a identificaçã inequívca das pessas singulares que, estatutária u legalmente, a representam; d) Endereç e utras frmas de cntact; e) Indicaçã de que certificad é emitid para a entidade, enquant entidade de certificaçã subrdinada da EC CC, na hierarquia de cnfiança da SCEE, de acrd cm a presente DPC; f) Nme únic (DN) a ser atribuíd a certificad de EC subrdinada; g) Infrmaçã, se necessári, relativas à identificaçã e as pderes d(s) representante(s) nmeads pela entidade para estarem presentes na cerimónia de emissã d certificad de EC subrdinada; h) Outras infrmações relativas a frmat d pedid de certificad a serem apresentadas na cerimónia de emissã d certificad de EC subrdinada. 3.2.4 Certificad de equipament tecnlógic O Ministéri da Justiça guarda tda a dcumentaçã utilizada para verificaçã da identidade d patrcinadr, garantind que mesm tem s pderes bastantes de representante nmead pela entidade para a emissã d certificad digital. O dcument 15 que serve de base a regist d pedid d certificad de equipament tecnlógic cntém, entre utrs, s seguintes elements: a) Denminaçã legal da pessal cletiva (i.e., rganism da dependência d Ministéri da Justiça); b) Númer de pessa cletiva, sede, bjet scial, nme ds titulares ds crps sciais e de utras pessas cm pderes para a brigarem e númer de matrícula na cnservatória d regist cmercial; c) Nme cmplet, númer d bilhete de identidade u qualquer utr element que permita a identificaçã inequívca da pessa singular que estatutária u legalmente a representa; d) Endereç e utras frmas de cntact; e) Indicaçã de que certificad digital de equipament tecnlógic é emitid para a entidade, na hierarquia de cnfiança da SCEE, de acrd cm a presente DPC; f) Nme únic (DN) a ser atribuíd a certificad; g) Infrmaçã relativas à identificaçã e as pderes d(s) patrcinadr(es) nmeads pela entidade para efetuar em presencialmente pedid d certificad digital de equipament tecnlógic (apresentad mediante preenchiment de frmulári própri 15 e d frneciment d pedid de certificad n frmat PKCS#10); 15 cf. PJ.CC_53.2.1_0002_pt_.dc. 2013, Frmulári de emissã de certificad de equipament tecnlógic pela EC d Cartã de Cidadã. Página 27 de 95

h) Outras infrmações relativas a frmat d pedid de certificad, assim cm a cnteúd d DN d certificad. O certificad e restantes dads necessáris serã entregues a patrcinadr pel métd cara-a-cara, send tal at registad através d preenchiment e assinatura de frmulári 16 que é arquivad pela EC CC. 3.2.5 Autenticaçã da identidade de uma pessa singular Nada a assinalar. 3.2.6 Infrmaçã de subscritr/titular nã verificada Tda a infrmaçã descrita ns pnts 3.2.3 e 3.2.4 é verificada. 3.2.7 Validaçã de Autridade Nada a assinalar. 3.2.8 Critéris para interperabilidade Ns prcesss relativs a acrds de interperabilidade, tend pr base certificaçã cruzada cm Infraestruturas de Chaves Públicas externas, será analisada, pel Grup de Gestã, n mínim a seguinte dcumentaçã: a) A Plítica de Certificads; b) O ultim relatóri de auditria, demnstrand a ttal cnfrmidade cm estabelecid na PC e na DPC; c) Os parâmetrs respeitantes a validaçã técnica da certificaçã cruzada; d) Cnfrmidade cm dcument SCEE Regulament para a interperabilidade. 3.3 Identificaçã e autenticaçã para pedids de renvaçã de chaves A identificaçã e autenticaçã para a renvaçã de certificads sã realizadas utilizand s prcediments para a autenticaçã e identificaçã inicial. 16 cf. PJ.CC_53.2.4_0002_pt_.dc. 2013, Frmulári de receçã de certificad de equipament tecnlógic emitid pela EC d Cartã de Cidadã. Página 28 de 95

3.3.1 Identificaçã e autenticaçã para renvaçã de chaves, de rtina Nã existe renvaçã de chaves, de rtina. A renvaçã de certificads utiliza s prcediments para a autenticaçã e identificaçã inicial, nde sã gerads nvs pares de chaves. 3.3.2 Identificaçã e autenticaçã para renvaçã de chaves, após revgaçã Após revgaçã de certificad, a geraçã de nv par de chaves e respetiva emissã de certificad segue s prcediments para a autenticaçã e identificaçã inicial. 3.4 Identificaçã e autenticaçã para pedid de revgaçã Qualquer entidade integrada n dmíni da SCEE, pde slicitar a revgaçã de um determinad certificad, havend cnheciment u suspeita de cmprmiss da chave privada d titular u qualquer utr act que recmende esta acçã 1. A EC CC guarda tda a dcumentaçã utilizada para verificaçã da identidade e autenticidade da entidade que efetua pedid de revgaçã, que pdem ser, entre utrs: Titular d certificad, n cas de certificads de pessa singular; Patrcinadr nmead pela entidade, n cas de certificad de equipament tecnlógic; Representante legal d Ministéri da Justiça, cm pderes de representaçã para pedid de revgaçã de certificads; Parte cnfiante, sempre que demnstre que certificad fi utilizad cm fins diferente ds prevists. Um frmulári própri 17 serve de base a pedid de revgaçã de certificad e cntém, entre utrs, s seguintes elements de identificaçã da entidade que inicia pedid de revgaçã: a) Denminaçã legal; b) Númer de pessa cletiva, sede, bjet scial, nme ds titulares ds crps sciais e de utras pessas cm pderes para a brigarem e númer de matrícula na cnservatória d regist cmercial; c) Nme cmplet, númer d bilhete de identidade u qualquer utr element que permita a identificaçã inequívca da entidade (u seu representante) que inicia pedid de revgaçã; d) Endereç e utras frmas de cntact; 17 cf. PJ.CC_53.2.2_0001_pt_.dc. 2007, Frmulári de revgaçã de certificad emitid pela EC d Cartã de Cidadã. Página 29 de 95