Saltar para o conteúdo

EIDAS

Origem: Wikipédia, a enciclopédia livre.
O selo de confiança da União Europeia para serviços de confiança qualificados.

O sistema europeu de reconhecimento de identidades eletrónicas (conhecido por suas siglas em inglês eIDASelectronic IDentification, Authentication and trust Services—) é um Regulamento da União Européia (UE) sobre / um conjunto de normas para a identificação eletrónica e os serviços de confiança para transações eletrónicas no mercado único europeu. Estabeleceu-se no REGULAMENTO (UE) Nº 910/2014 DO PARLAMENTO EUROPEU E DO CONSELHO de 23 de julho de 2014 relativo à identificação eletrónica e os serviços de confiança para as transações eletrónicas no mercado interior e pela que se derroga a Diretiva 1999/93/CE.[1][2]

Aspectos regulados em transações eletrónicas

[editar | editar código-fonte]
O mercado único digital da União Europeia e a facilitação dos serviços públicos através das fronteiras

O Regulamento fornece o ambiente regulatório para os seguintes aspetos importantes relacionados às transações eletrónicas:[1]

  • Assinatura eletrónica avançada: uma assinatura eletrónica considera-se avançada se cumpre com certos requisitos:
    • Proporciona informação de identificação única que a vincula a seu assinante.
    • O assinante tem o controle exclusivo dos dados utilizados para criar a assinatura eletrónica.
    • Deve ser capaz de identificar se os dados que acompanham a mensagem têm sido manipulados após ter sido assinados. Se os dados assinados têm mudado, a assinatura marca-se como não válida.
    • Há um certificado de assinatura eletrónica, prova eletrónica que confirma a identidade do assinante e vincula os dados de validação da assinatura eletrónica a essa pessoa.
    • As assinaturas eletrónicas avançadas podem implementar-se tecnicamente, seguindo os regulares para assinaturas digitais XAdES, PAdES, CAdES ou ASiC Baseline Profile, especificados por ETSI.[3]
  • Assinatura eletrónica qualificada, uma assinatura eletrónica avançada que se cria mediante um dispositivo qualificado de criação de assinaturas eletrónicas e que se baseia num certificado qualificado de assinatura eletrónica.
  • Certificado qualificado de assinatura eletrónica, um certificado que acredite a autenticidade de uma assinatura eletrónica qualificada que tem sido emitida por um prestador qualificado de serviços de confiança.
  • Serviço de confiança, um serviço eletrónico que cria, valida e verifica assinaturas eletrónicas, selos de tempo, selos e certificados. Ademais, um serviço de confiança pode proporcionar a autenticação do sitio site e a conservação das assinaturas eletrónicas, os certificados e os selos criados. É manejado por um prestador de serviços de confiança.

Evolução e envolvimentos legais

[editar | editar código-fonte]

O Regulamento eIDAS surgiu da Diretiva 1999/93/CE, que estabelece o objetivo a alcançar pelos Estados-Membros da UE no domínio das assinaturas eletrónicas. Os Estados mais pequenos encontravam-se entre os primeiros a começar a adotar a assinatura e a identificação digitais; por exemplo, a primeira assinatura digital estónia teve lugar em 2002 e a primeira assinatura letã em 2006. A sua experiência serviu para desenvolver um regulamento, agora a nível da UE, que se tornou um direito vinculativo em toda a UE desde 1 de julho de 2016.[4] A diretiva tornou os Estados-Membros da UE responsáveis pela criação de leis que lhes permitam cumprir o objetivo de criar um sistema de assinatura eletrónica na UE. A diretiva também permitiu a cada Estado-Membro interpretar a lei e impor restrições, impedindo assim uma verdadeira interoperabilidade e conduzindo a um cenário fragmentado.[5] Ao contrário desta diretiva, o eIDAS assegura o reconhecimento mútuo da identificação eletrónica para efeitos de autenticação entre os Estados-Membros,[6] alcançando assim o objetivo do Mercado Único Digital.

O eIDAS oferece uma abordagem gradual do valor jurídico. Exige que nenhuma assinatura eletrónica seja negada aos efeitos jurídicos ou à admissibilidade em tribunal pelo simples facto de não se tratar de uma assinatura eletrónica avançada ou qualificada.[7] As assinaturas eletrónicas qualificadas devem ter o mesmo efeito jurídico que as assinaturas manuscritas.[8]

No caso dos selos eletrónicos (versão das assinaturas das pessoas jurídicas), aborda-se explicitamente o valor probatório, já que os selos devem gozar da presunção de integridade e da correção da origem dos dados adjuntos.[9]

Número de identidade

[editar | editar código-fonte]

A informação do banco de dados tem que estar vinculada a algum tipo de número de identidade. Certificar que uma pessoa tem direito a aceder a certa informação pessoal implica vários passos.

Ligar a uma pessoa com um número, o que pode se fazer mediante métodos desenvolvidos num país, como os certificados digitais.

Ligar um número a uma informação específica, o que se faz em bancos de dados.

Para o eIDAS é necessário ligar o número utilizado por um país que tem informação, com o número utilizado pelo país que emite os certificados digitais.

O eIDAS tem como conceito mínimo de identidade, o nome e a data de nascimento. Mas para aceder a informação mais sensível, precisa-se algum tipo de certificação de que os números de identidade emitidos por dois países se referem à mesma pessoa.[10]

Vulnerabilidades

[editar | editar código-fonte]

Em outubro de 2019, investigadores de segurança descobriram duas falhas de segurança.[11] Ambas vulnerabilidades foram corrigidas para a versão 2.3.1 de eIDAS-Node, o pacote de software oficial que se executa em servidores públicos e privados.[11][12]

Referências

  1. a b Parlamento Europeo y Consejo de la Unión Europea (ed.). «Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE». EUR-Lex (em inglês). Consultado em 28 de junho de 2018 
  2. Turner, Dawn. Cryptomathic, ed. «Understanding eIDAS» (em inglês). Consultado em 28 de junho de 2018 
  3. Turner, Dawn. Cryptomathic, ed. «The Difference Between an Electronic Signature and a Digital Signature» (em inglês). Consultado em 7 de janeiro de 2019 
  4. «Regulations, Directives and other acts». Europa.eu (em inglês). The European Union. Consultado em 18 de março de 2016. Cópia arquivada em 12 de dezembro de 2013 
  5. «Understanding eIDAS – All you ever wanted to know about the new EU Electronic Signature Regulation». Legal Technology (em inglês). Consultado em 1 de março de 2016. Arquivado do original em 17 de janeiro de 2018 
  6. «A Big Step Toward the European Digital Single Market» (PDF) (em inglês). Inside Magazine. Consultado em 27 de março de 2019. Arquivado do original (PDF) em 27 de março de 2019 
  7. Articles 25 (1) and definitions in article 3 (10) to 3 (12)
  8. Article 25 (2)
  9. Article 35 (2)
  10. Hur skapar du en koppling mellan svenska och utländska eID:n? Erro na predefinição wayback: Verifique |url= value. Vazio. (in Swedish. Title translation: How to connect Swedish and foreign eID?)
  11. a b Cimpanu (29 de outubro de 2019). «Major vulnerability patched in the EU's eIDAS authentication system». ZDNet (em inglês). Consultado em 28 de outubro de 2019. Cópia arquivada em 29 de outubro de 2019. Vulnerability would have allowed attackers to pose as any EU citizen or business. 
  12. «eIDAS-Node integration package». Comisión Europea (em inglês). Consultado em 28 de outubro de 2019. Cópia arquivada em 10 de junho de 2019. The eIDAS-Node software contains the necessary modules to help Member States to communicate with other eIDAS-compliant counterparts in a centralised or distributed fashion. 

Ligações externas

[editar | editar código-fonte]