Seleção de mecanismos de identificação e assinatura eletrônica

Assinatura eletrônica e mecanismos de identificação

Aquando da operacionalização de um procedimento eletrónico, pondera-se repetidamente qual o critério a seguir para decidir quais os mecanismos de identificação e assinatura eletrónica que os cidadãos podem utilizar para se relacionarem com uma administração pública, sobretudo tendo em conta as alterações regulamentares que ocorrem constantemente nesta matéria .

Os mecanismos de identificação e assinatura eletrónica que, em síntese, podem ser utilizados pelos interessados são (para mais informações consultar os artigos 9.º e 10.º da Lei 39/2015, de 1 de outubro, sobre o Procedimento Administrativo Comum das administrações públicas):

Certificados eletrônicos qualificados de assinatura eletrônica emitidos por provedores incluídos na "Lista confiável de provedores de serviços de certificação".
Certificados eletrônicos qualificados de selo eletrônico emitidos por prestadores incluídos na “Lista de Prestadores de Serviços de Certificação Confiáveis”.
Qualquer outro sistema que as administrações públicas considerem válido, desde que tenham um registo prévio como utilizador que lhes permita garantir a sua identidade.

Mecanismos baseados em certificados qualificados (anteriores pontos aib)"devem ser aceitos", em conformidade com o Regulamento nº. Despacho n.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho, relativo aos serviços de identificação eletrónica e confiança (ReIdAS) e a própria Lei n.º 39/2015, de 1 de outubro, enquanto os restantes sistemas (alínea c)”eles podem Ser aceito”, tendo sempre em conta o nível de segurança que oferecem.

Critérios de candidatura

O Regime Nacional de Segurança (Real Decreto 311/2022, de 3 de maio, adiante ENS) prevê que os mecanismos de identificação e assinatura eletrónica podem ter três níveis de segurança, bem como os critérios a seguir para os estabelecer em cada caso. Também estabelece os critérios para determinar o nível que um sistema ou ação específica requer.

Assim, para definir o nível de segurança exigido pelos sistemas de cada Administração Pública e, em particular, o tipo de credencial admissível para identificação e assinatura eletrónica para uma ação específica, há que ter em conta o que a ENS expõe e encontre o equilíbrio entre segurança e usabilidade (expandido na próxima seção).

Nesse sentido, os serviços oferecidos pelo Consórcio AOC permitem que os cidadãos se identifiquem e assinem documentos tanto com certificados eletrônicos qualificados quanto usando os sistemas baseados no envio de senhas de uso único Cl@ve e idCAT Mòbil, de modo que cada administração do usuário possa decidir em que casos podem ser aceites.

Na área da Generalitat da Catalunha, por exemplo, essa decisão é definida por Ordem VPD/93/2022, de 28 de abril, pela qual é aprovado o Catálogo de Sistemas de Identificação e Assinatura Eletrónica, designadamente pela Pedido PRE/158/2022, de 30 de junho, que aprova o Guia para o uso de sistemas de identificação e assinatura eletrônica na área da Administração da Generalitat. Esta última Ordem estabelece em seu segundo ponto e, em geral, que todos os mecanismos do catálogo são aceitos para todos os procedimentos e serviços. O mesmo guia estabelece um procedimento para excluir este critério e limitar a aceitação de qualquer um dos mecanismos seja pela existência de:

Risco jurídico: tratando-se de procedimento específico, avaliação da existência de risco que impeça a garantia da viabilidade e segurança jurídica do procedimento por eventual fraude na assinatura do documento ou falsificação de identidade de interessados, que tenha como origem a falta de robustez dos sistemas de identificação ou assinatura eletrônica.
Risco de cibersegurança ou proteção de dados: avaliação da necessidade de medidas específicas mais restritivas que sejam determinadas com base no nível de risco ou classificação da informação, serviço ou procedimento ou o possível tratamento de dados pessoais derivados do procedimento ou serviço a respeito do qual espera-se que use o sistema de identificação ou assinatura eletrônica.

Níveis de segurança dos mecanismos de identificação e assinatura

Conforme referido, a ENS prevê três níveis de segurança (baixo, médio e alto) e os critérios que devem ser seguidos para os estabelecer em cada caso, nomeadamente no Anexo I, ponto três.

A mesma EN, no seu Anexo II, define os critérios para a atribuição de um nível de segurança a um mecanismo de identificação e assinatura eletrónica.

Assim, o ponto relativo ao enquadramento operacional (ponto 4.2.5 sobre Mecanismo de autenticação [controlo op.acc.5]) define os requisitos que devem ser cumpridos pelos mecanismos de identificação eletrônica que deverá empregar cidadãos, entendidos como usuários externos à organização, para cada nível de segurança. Em resumo, para cada nível são aceitos:

NÍVEL BAIXO: Qualquer mecanismo de identificação aceito pela legislação vigente, como senhas, senha de usuário mais senha de uso único, certificado qualificado ou certificados de dispositivo físico (por exemplo, cartão).
NÍVEL MÉDIO: Requer o uso de pelo menos senhas únicas como segundo fator de autenticação.
ALTO NÍVEL: Os requisitos são os mesmos do nível médio.

Por outro lado, os níveis a aplicar no que diz respeito mecanismos de assinatura eletrônica (definidas no ponto 5 Medidas de proteção [mp], concretamente no ponto 5.7.3 Assinatura eletrónica [controlo mp.info.3]), que em síntese aceitam:

NÍVEL BAIXO: Qualquer mecanismo de assinatura eletrônica aceito pela legislação vigente
NÍVEL MÉDIO: Caso seja utilizada assinatura eletrônica avançada baseada em certificados eletrônicos, estes devem ser qualificados. Será necessário utilizar algoritmos e parâmetros autorizados pelo Centro Criptográfico Nacional ou por um esquema nacional ou europeu que seja aplicável.
ALTO NÍVEL: A assinatura avançada baseada em certificados qualificados usando um segundo fator de autenticação é necessária para a ativação de sua chave privada.

O que o Consórcio AOC oferece?

O Serviço VALID do Consórcio AOC permite que as administrações públicas catalãs aceitem idCAT Mòbil e Cl@ve e certificados qualificados em processos de identificação eletrônica e oferece um mecanismo comum de assinatura eletrônica vinculado à credencial apresentada. As administrações podem, portanto, decidir se aceitam todos ou apenas alguns desses mecanismos, e têm diferentes configurações para fazê-lo de acordo com cada necessidade específica.

No caso do serviço e-NOTUM, que dispõe de um portal para o cidadão efetuar notificações eletrónicas, o tipo de credencial a aceitar pode ser definido para cada notificação específica.

Links Relacionados

Quando usar um sistema de identificação ou um sistema de assinatura? Casos de uso.

https://suport-50ombres.aoc.cat/hc/ca/articles/4417825198993-Quan-cal-utilitzar-un-sistema-d-identificaci%C3%B3-o-un-sistema-de-signatura-Casos-d-%C3%BAs-

A assinatura eletrônica de faturas

https://suport-efact.aoc.cat/hc/ca/articles/4414477358353-La-signatura-electr%C3%B2nica-de-les-factures

Seleção de mecanismos de identificação e assinatura eletrônica

Entradas relacionadas

Assine o boletim informativo AOC