keyboard_tab EIDAS 2014/0910 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artigo 7.o Elegibilidade para notificação dos sistemas de identificação eletrónica
- 1 Artigo 19.o Requisitos de segurança aplicáveis aos prestadores de serviços de confiança
- 1 Artigo 32.o Requisitos aplicáveis à validade das assinaturas eletrónicas qualificadas
- 3 Artigo 44.o Requisitos aplicáveis aos serviços qualificados de envio registado eletrónico
CAPÍTULO I
DISPOSIÇÕES GERAIS
CAPÍTULO II
IDENTIFICAÇÃO ELETRÓNICA
CAPÍTULO III
SERVIÇOS DE CONFIANÇA
SECÇÃO 1
Disposições gerais
SECÇÃO 2
Supervisão
SECÇÃO 3
Serviços qualificados de confiança
SECÇÃO 4
Assinaturas eletrónicas
SECÇÃO 5
Selos eletrónicos
SECÇÃO 6
Selos temporais
Secção 7
Serviço de envio registado eletrónico
SECÇÃO 8
Autenticação de sítios web
CAPÍTULO IV
DOCUMENTOS ELETRÓNICOS
CAPÍTULO V
DELEGAÇÕES DE PODER E DISPOSIÇÕES DE EXECUÇÃO
CAPÍTULO VI
DISPOSIÇÕES FINAIS
- eletrónica 19
- artigo 18
- identificação 18
- dados 16
- no 15
- para 15
- confiança 15
- serviços 13
- segurança 12
- assinatura 11
- requisitos 11
- execução 10
- qualificados 9
- estado-membro 9
- notificante 8
- sistema 8
- refere 8
- serem 7
- atos 7
- integridade 7
- envio 7
- normas 6
- pelo 6
- meios 6
- qualificado 6
- não 6
- prestadores 6
- são 6
- validação 5
- pessoa 5
- utilizador 5
- perda 5
- entidade 5
- mais 5
- receção 5
- autenticação 5
- serviço 5
- momento 5
- conformidade 4
- singular 4
- esses 4
- coletiva 4
- pode 4
- certificado 4
- aplicáveis 4
- nível 4
- medidas 4
- meio 4
- público 4
- estados-membros 4
Artigo 7.o
Elegibilidade para notificação dos sistemas de identificação eletrónica
Os sistemas de identificação eletrónica podem ser notificados nos termos do artigo 9.o, n.o 1, se estiverem reunidas todas as seguintes condições:
| a) | Os meios de identificação eletrónica que integram o sistema de identificação eletrónica serem produzidos:
|
| b) | Os meios de identificação eletrónica que integram o sistema de identificação eletrónica poderem ser utilizados para aceder pelo menos a um serviço prestado por um organismo público que exija identificação eletrónica no Estado-Membro notificante; |
| c) | O sistema de identificação eletrónica e os meios de identificação eletrónica por ele produzidos preencherem os requisitos de pelo menos um dos níveis de garantia estabelecidos no ato de execução a que se refere o artigo 8.o, n.o 3; |
| d) | O Estado-Membro notificante garantir que os dados de identificação que representam de modo único a pessoa em causa são atribuídos, em conformidade com as especificações técnicas, as normas e os procedimentos para o nível de garantia pertinente definido no ato de execução a que se refere o artigo 8.o, n.o 3, à pessoa singular ou coletiva referida no artigo 3.o, ponto 1, no momento em que os meios de identificação eletrónica que integram o sistema forem produzidos; |
| e) | A parte que produz os meios de identificação eletrónica que integram o sistema garantir que os mesmos meios de identificação são atribuídos à pessoa singular ou coletiva a que se refere a alínea d), do presente artigo, em conformidade com as especificações técnicas, as normas e os procedimentos para o nível de garantia pertinente definido no ato de execução a que se refere o artigo 8.o, n.o 3; |
| f) | O Estado-Membro notificante garantir a possibilidade de autenticação em linha, para que qualquer utilizador estabelecido no território de outro Estado-Membro possa confirmar os dados de identificação recebidos em formato eletrónico. Para os utilizadores que não sejam organismos públicos, o Estado-Membro notificante pode definir termos de acesso à referida autenticação. Este tipo de autenticação transfronteiriça é gratuito se for realizado para acesso a um serviço em linha prestado por um organismo público. Os Estados-Membros não podem impor requisitos técnicos específicos desproporcionados aos utilizadores que pretendam executar essa autenticação, se esses requisitos impedirem ou dificultarem significativamente a interoperabilidade dos sistemas de identificação eletrónica notificados; |
| g) | No mínimo seis meses antes da notificação prevista no artigo 9.o, n.o 1, o Estado-Membro notificante fornecer aos outros Estados-Membros para cumprimento da obrigação estabelecida no artigo 12.o, n.o 5, uma descrição do sistema, de acordo com as modalidades processuais definidas pelos atos de execução a que se refere o artigo 12.o, n.o 7; |
| h) | O sistema de identificação eletrónica cumprir os requisitos definidos no ato de execução mencionado no artigo 12.o, n.o 8. |
Artigo 19.o
Requisitos de segurança aplicáveis aos prestadores de serviços de confiança
1. Os prestadores qualificados e não qualificados de serviços de confiança tomam as medidas de caráter técnico e organizativo que forem adequadas para gerir os riscos que se colocam à segurança dos serviços de confiança que prestam. Tendo em conta a evolução tecnológica mais recente, essas medidas assegurarão um nível de segurança proporcional ao grau de risco existente. Em particular, são tomadas medidas para impedir ou reduzir ao mínimo o impacto dos incidentes de segurança e informar as partes interessadas dos efeitos adversos dos eventuais incidentes.
2. Os prestadores, qualificados e não qualificados, de serviços de confiança notificam, sem demora indevida, mas sempre no prazo de 24 horas após terem tomado conhecimento do ocorrido, a entidade supervisora e, se necessário, outras entidades, como a entidade nacional competente em matéria de segurança da informação ou a autoridade responsável pela proteção de dados, de todas as violações da segurança ou perdas de integridade que tenham um impacto significativo sobre o serviço de confiança prestado ou sobre os dados pessoais por ele conservados.
Se a violação da segurança ou perda de integridade constatada for suscetível de prejudicar a pessoa singular ou coletiva a quem o serviço de confiança tiver sido prestado, o prestador dos serviços de confiança notifica também sem demora indevida a referida pessoa singular ou coletiva da violação da segurança ou da perda de integridade.
Se necessário, em particular se a violação da segurança ou a perda de integridade disserem respeito a dois ou mais Estados-Membros, a entidade supervisora notificada informa do facto as entidades supervisoras dos outros Estados-Membros em causa e a ENISA.
A entidade supervisora notificada informa o público ou exige que o prestador do serviço de confiança o faça, se considerar que a divulgação da violação da segurança ou perda de integridade é do interesse público.
3. A entidade supervisora fornece uma vez por ano à ENISA um resumo das notificações de violações da segurança e de perda de integridade que tenha recebido dos prestadores de serviços de confiança.
4. A Comissão pode, por meio de atos de execução:
| a) | Especificar mais as medidas referidas no n.o 1, e |
| b) | Definir os formatos e os procedimentos, incluindo os prazos, aplicáveis para efeitos de cumprimento do disposto no n.o 2. |
Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
SECÇÃO 3
Serviços qualificados de confiança
Artigo 32.o
Requisitos aplicáveis à validade das assinaturas eletrónicas qualificadas
1. O processo de validação de uma assinatura eletrónica qualificada confirma a validade desta na condição de:
| a) | No momento da assinatura, o certificado que lhe serve de suporte ser um certificado qualificado de assinatura eletrónica conforme com o disposto no anexo I; |
| b) | O certificado qualificado ter sido emitido por um prestador qualificado de serviços de confiança e ser válido no momento da assinatura; |
| c) | Os dados para a validação da assinatura corresponderem aos dados fornecidos ao utilizador; |
| d) | O conjunto único de dados que representam o signatário no certificado serem corretamente fornecidos ao utilizador; |
| e) | A utilização de um pseudónimo no momento da assinatura ser claramente indicada ao utilizador; |
| f) | A assinatura eletrónica ter sido criada por um dispositivo qualificado de criação de assinatura eletrónica; |
| g) | A integridade dos dados assinados não ter sido afetada; |
| h) | Os requisitos previstos no artigo 26.o se encontrarem preenchidos no momento da assinatura; |
2. O sistema utilizado para validar a assinatura eletrónica qualificada fornece ao utilizador o resultado correto do processo de validação e permite-lhe detetar eventuais problemas de segurança.
3. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas para a validação de assinaturas eletrónicas qualificadas. A validação de assinaturas eletrónicas qualificadas que seja conforme com as referidas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
Artigo 44.o
Requisitos aplicáveis aos serviços qualificados de envio registado eletrónico
1. Os serviços qualificados de envio registado eletrónico satisfazem os seguintes requisitos:
| a) | serem efetuados por um ou mais prestadores qualificados de serviços de confiança; |
| b) | Garantirem, com um elevado nível de confiança, a identificação do remetente; |
| c) | Garantir a identificação do destinatário antes da entrega dos dados; |
| d) | O envio e a receção dos dados serem securizados por uma assinatura eletrónica avançada ou um selo eletrónico avançado do prestador qualificado de serviços de confiança, de modo a tornar impossível a alteração dos dados de forma não detetável; |
| e) | Qualquer alteração a que devam ser sujeitos para o seu envio ou receção ser claramente indicada ao remetente e ao destinatário dos dados; |
| f) | A data e a hora do envio e da receção, assim como as eventuais alterações dos dados, serem indicadas por meio de um selo temporal qualificado; |
Se os dados forem transferidos entre dois ou mais prestadores qualificados de serviços de confiança, os requisitos das alíneas a) a f) serem aplicados a todos eles.
2. A Comissão pode, por meio de atos de execução, estabelecer os números de referência das normas relativas aos processos de envio e receção de dados. O processo de envio e receção de dados que esteja conforme com as referidas normas beneficia da presunção de conformidade com os requisitos estabelecidos no n.o 1. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 48.o, n.o 2.
SECÇÃO 8
Autenticação de sítios web
whereas