1 Certificados Digitais de Autenticação
1.1 O que é um Certificado Digital?
O Certificado Digital é o meio electrónico utilizado para identificar inequivocamente uma pessoa numa plataforma ou num sistema digital. A melhor correspondência ao Certificado é o Bilhete de Identidade (BI) ou o Número de Identificação de Pessoa Colectiva (NIPC), que são utilizados actualmente para identificar uma pessoa ou entidade, respectivamente.
O Certificado Digital é especificado por um padrão internacional (ITU-T x.509 v3) que estipula o formato e as regras que devem ser utilizados na emissão e gestão dos mesmos.
1.2 Quais as principais funcionalidades do Certificado Digital?
As principais funcionalidades do Certificado Digital são a identificação, como substituto do BI ou de outro documento de identificação, no meio electrónico, a assinatura, como substituto de uma assinatura em documentos e a criptografia que permite a protecção de informações sigilosas. O Certificado Digital reúne uma série de funcionalidades que permitem substituir os recursos utilizados actualmente em papel para garantir autenticidade aos processos electrónicos.
1.3 O que contém um Certificado Digital?
O Certificado Digital contém 3 partes principais: os Dados da Pessoa portadora do Certificado Digital, uma Chave Criptográfica Privada e uma Chave Criptográfica Pública unicamente relacionada com a chave Privada.
Todos os Certificados Digitais são assinados electronicamente por uma Entidade Certificadora, que garante que estas 3 partes são única e exclusivamente pertencentes à pessoa à qual o Certificado se relaciona.
1.4 O que é uma Entidade Certificadora?
Uma Entidade Certificadora é uma entidade que emite Certificados Digitais e garante que os Certificados Digitais emitidos pertencem à pessoa que foi acreditada no processo de emissão do Certificado Digital.
É responsabilidade da Entidade Certificadora garantir a autenticidade das informações apresentadas em cada um dos Certificados.
1.5 Como é que um Certificado Digital pode ser aceite como um meio fidedigno para a identificação de uma pessoa?
Os Decretos-Lei n.º 290-D/99 e n.º 62/2003) regulamentam a utilização dos Certificados Digitais através de assinaturas electrónicas, conferindo assim um valor probatório aos documentos assinados utilizando estes recursos. Desta forma, todos os documentos ou processos assinados electronicamente tem validade legal e podem ser utilizados da mesma forma que um documento assinado em papel.
1.6 Já uso a plataforma há algum tempo e sempre bastou ter um utilizador e palavra-chave. Porque é que agora me solicitam um Certificado Digital para Autenticação?
A 1 de Janeiro de 2009 entrou em vigor a Portaria 701-G/2008, de 29 de Julho de 2008, a qual estabelece a obrigatoriedade da autenticação com certificado digital.
|
Portaria 701-G/2008
Artigo 26º – Autenticação da identidade dos utilizadores
1 – A identificação de todos os utilizadores perante as plataformas electrónicas efectua-se mediante a utilização de certificados digitais.
2 — Os utilizadores podem, para efeitos de autenticação, utilizar certificados digitais próprios ou utilizar certificados disponibilizados pelas plataformas electrónicas.
4 — As plataformas electrónicas estão adaptadas para permitir o acesso exclusivo dos utilizadores às mesmas, através de autenticação forte baseada na utilização de certificados digitais. |
Ou seja, a partir de 1 de Janeiro de 2009, tornou-se obrigatória a autenticação forte para o acesso a plataformas electrónicas de contratação pública.
1.7 Sou cliente do econstroi. Necessito de certificados digitais para continuar a utilizar a plataforma?
Sim, caso pretenda aceder na sua área privada a informação referente a contratação pública. Se apenas pretende aceder a informação de mercados privados, a utilização de certificados digitais para autenticação e assinatura de documentos é dispensada.
1.8 Quais as Características do Certificado Digital Vortal de Autenticação?
Para que os utilizadores possam aceder à informação de contratação pública na sua área privada nas plataformas electrónicas de contratação da Vortal, é necessário que se autentiquem na plataforma com um certificado digital Vortal de autenticação.
Os certificados digitais Vortal de autenticação são certificados avançados que têm as seguintes características:
1. Acreditação do utilizador: O processo de solicitação de um certificado digital da Vortal é o momento utilizado pela Vortal para efectuar a acreditação dos seus utilizadores, garantindo dessa forma que os dados de identificação de cada utilizador são correctos.
2. Intransmissibilidade: Cada certificado digital emitido pela Vortal é pessoal e intransmissível.
3. Gratuitidade: Os certificados digitais emitidos pela Vortal são gratuitos, bastando o preenchimento correcto do formulário de solicitação.
4. Standard: Os Certificados Digitais emitidos pela Vortal são emitidos de acordo com o padrão ITU-T x.509 v3 (padrão internacional que específica os requisitos técnicos de um Certificado Digital).
É a combinação destas características que faz com que a Vortal tenha tornado obrigatório que todos os utilizadores das suas plataformas tenham um certificado digital Vortal de autenticação.
1.9 Como é que Obtenho o meu Certificado Digital de Autenticação?
O certificado digital Vortal de autenticação obtém-se directamente nas Plataformas de contratação electrónica da Vortal.
Pode solicitá-lo das seguintes formas:
• Se já é cliente da Vortal da plataforma:
o A partir da janela de login com autenticação, escolhendo a opção "Solicitar Certificado" e preenchendo correctamente o formulário.
o A partir da sua área de manutenção, seleccionando no menu "certificação – solicitar certificado digital Vortal de autenticação" e preenchendo correctamente o formulário. • Se ainda não é cliente da Vortal:
o O processo de adesão ao Acesso Universal inclui a solicitação do certificado digital Vortal de autenticação para o primeiro utilizador da entidade.
o Os restantes utilizadores solicitam o certificado digital pelo processo descrito acima para os utilizadores da plataforma. A emissão do certificado digital Vortal de autenticação é efectuada de forma gratuita, no prazo de 5 a 10 dias úteis após a recepção do formulário de solicitação devidamente preenchido e assinado.
Até dia 31 de Janeiro de 2009 a Vortal permite que os utilizadores acedam à informação com autenticação simples, mas a partir de 1 de Fevereiro de 2009 será obrigatória a autenticação forte com certificado digital.
1.10 Como funciona o processo de criação do Certificado Digital Vortal?
Todo o processo de criação das chaves criptográficas bem como dos certificados é realizado no computador do solicitante, sendo que a Vortal em nenhum momento tem acesso às partes privadas do seu certificado.
Durante o processo de criação do certificado, é gerada uma requisição de certificado digital e enviada para a Vortal. É através dela que posteriormente a Vortal valida os dados da entidade e do utilizador.
Após a validação dos dados e acreditação do utilizador e da entidade, a Vortal, através da sua entidade certificadora, assina a requisição de certificado digital enviada, sendo disponibilizada nas plataformas electrónicas da Vortal para posterior instalação.
1.11 Agora que já tenho o Certificado Digital Vortal para Autenticação, posso utilizá-lo noutras aplicações?
Apesar de os Certificados Digitais da Vortal serem compatíveis com todos os processos que utilizem o mesmo padrão (X.509 v3) a Vortal emite-os única e exclusivamente para a autenticação dos seus utilizadores nas suas plataformas electrónicas, não dando suporte para qualquer outra utilização que seja realizada.
1.12 Já tenho o certificado digital Vortal de autenticação. Preciso de mais algum certificado?
A Vortal possui um elevado nível de cuidado com as informações dos seus clientes. Os processos de acreditação dos utilizadores e emissão de certificados digitais efectuam-se em consonância com os mais altos padrões internacionais, para garantir o máximo de segurança para os utilizadores das suas plataformas, de acordo com a certificação em segurança da informação ISO27001 que a Vortal detém.
No entanto, a entrada em vigor da Portaria 701-G/2008 vem exigir regras específicas para as assinaturas de procedimentos, candidaturas, propostas e soluções.
Dado que a Vortal não é uma entidade certificadora qualificada, os certificados digitais avançados por si emitidos apenas têm validade nas plataformas da Vortal, para efeitos de autenticação e encriptação de documentos.
Assim, se a sua função na plataforma vai implicar a assinatura de procedimentos ou propostas, necessita de obter um certificado qualificado. Se não realizar nenhuma destas actividades de aprovação do de assinatura de propostas, apenas necessita de obter o certificado digital Vortal de autenticação.
1.13 Quantos Certificados Digitais Vortal a minha entidade pode ter?
As entidades não têm certificados digitais associados, são os seus utilizadores que têm, neste sentido os utilizadores da plataforma deverão ter pelo menos um certificado para se autenticarem na mesma.
A única limitação imposta pela Vortal é que o primeiro certificado digital de autenticação emitido para a sua entidade seja emitido pela Vortal. A partir desse momento, é disponibilizado a cada utilizador uma área de Gestão de Certificados, onde pode associar outros certificados digitais para autenticação nas plataformas Vortal.
1.14 Que cuidados devo ter com o meu Certificado Digital Vortal?
Compete a cada utilizador assumir as responsabilidades e os cuidados inerentes ao certificado digital, de acordo com as Condições Gerais de Emissão e Utilização de Certificados Digitais Vortal que aceita na solicitação da sua emissão.
A Vortal recomenda que cada utilizador realize uma cópia de segurança (backup) do certificado após o processo ter sido concluído, podendo posteriormente utilizá-lo em outros computadores e garantir que não o perderá durante toda a sua validade.
Caso tenha dificuldades ou dúvidas em qualquer um destes processos, a Vortal disponibiliza manuais para auxiliá-lo, os quais estão disponíveis na sua área pessoal. Poderá também contactar o nosso serviço Gestão de Clientes, disponível nos dias úteis, das 09h às 19h.
1.15 Mais alguém pode ter acesso ao meu Certificado Digital Vortal?
Para que o seu certificado digital não possa ser acedido por terceiros, é fundamental removê-lo de qualquer computador que possa ser partilhado com terceiros.
É importante lembrar que o Certificado Digital Vortal é o instrumento utilizado para o autenticar perante as plataformas electrónicas da Vortal.
Se alguém conseguir ter acesso ao seu Certificado e tiver forma de obter a sua palavra-chave, conseguirá autenticar-se perante a plataforma em seu nome e a responsabilidade por todos os actos efectuados por esse alguém ser-lhe-ão imputados a si.
1.16 Perdi meu certificado digital Vortal, e agora?
Deverá imediatamente proceder à revogação do seu certificado (este processo pode ser efectuado online junto da entidade certificadora).
Deverá também solicitar a emissão de um novo certificado para se poder continuar a autenticar nas plataformas electrónicas da Vortal.
2 Certificados Digitais Qualificados
2.1 O que é uma assinatura electrónica?
De acordo com o Decreto-Lei 290-D/1999, uma assinatura electrónica é "resultado de um processamento electrónico de dados susceptível de constituir objecto de direito individual e exclusivo e de ser utilizado para dar a conhecer a autoria de um documento electrónico ao qual seja aposta, de modo que:
i) Identifique de forma unívoca o titular como autor do documento;
ii) A sua aposição ao documento dependa apenas da vontade do titular;
iii) A sua conexão com o documento permita detectar toda e qualquer alteração superveniente do conteúdo deste." No mesmo documento pode ler-se que uma assinatura digital é um "processo de assinatura electrónica baseado em sistema criptográfico assimétrico composto de um algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma das quais privada e outra pública, e que permite ao titular usar a chave privada para declarar a autoria do documento electrónico ao qual a assinatura é aposta e concordância com o seu conteúdo, e ao declaratário usar a chave pública para verificar se a assinatura foi criada mediante o uso da correspondente chave privada e se o documento electrónico foi alterado depois de aposta a assinatura."
2.2 Como é que as plataformas electrónicas garantem níveis de segurança semelhantes ao processo tradicional de contratação?
Os procedimentos públicos de contratação tradicionais estão de acordo com uma série de controlos que garantiam a transparência do processo de aquisição. O Código dos Contratos Públicos exige que todos estes controlos sejam mantidos nas plataformas que são utilizadas pelas entidades adjudicantes, mantendo as mesmas garantias de transparência necessária ao processo tradicional.
Estes controlos estão implementados nas plataformas electrónicas da Vortal, para garantir ainda mais segurança do que a imposta ao processo tradicional.
Através da utilização de selos de validação cronológica (TimeStamp) e de certificados digitais são implementados controlos para garantir que apenas os Júris definidos pela entidade adjudicante tem acesso às propostas na data e hora marcada para tal.
2.3 Tenho um certificado digital emitido por uma Entidade Certificadora do Sistema de Certificação Electrónica do Estado. Necessito de mais algum certificado?
Sim. Para efeitos de autenticação nas plataformas da Vortal necessita ter um certificado digital Vortal de autenticação. Se depois quiser, pode aceder à Gestão de Certificados e associar ao seu utilizador o seu certificado digital emitido por uma entidade certificadora do Sistema de Certificação Electrónica do Estado e utilizá-lo para efectuar o login.
Para efeitos de assinatura não necessita de mais nenhum certificado, os certificados digitais emitidos por uma entidade certificadora do Sistema de Certificação Electrónica do Estado respeitam todos os requisitos para serem considerados equivalentes a um certificado digital qualificado de representação.
2.4 Já sou Cliente da Vortal. O que preciso fazer para ter um Certificado Digital Qualificado?
A Vortal não emite certificados digitais qualificados, pois não está acreditada para exercer essa actividade. No entanto, fruto de uma parceria estabelecida com a empresa DigitalSign, a Vortal disponibiliza aos seus utilizadores meios para adquirirem certificados digitais qualificados de representação junto desta empresa, em condições particularmente vantajosas.
Para solicitar a emissão do seu certificado digital qualificado de representação junto da DigitalSign, deve aceder a “Certificados” – "Certificados Digitais Qualificados de Representação".
Como estas condições são apenas para clientes da Vortal, é necessário efectuar o login na plataforma para poder solicitar o seu certificado e depois proceder conforme indicado no formulário.
2.5 Qual a vantagem do certificado digital qualificado de representação face a um certificado digital qualificado simples?
O "Certificado Digital Qualificado" é emitido por uma entidade certificadora credenciada, e certifica a titularidade de uma pessoa singular.
O "Certificado Digital Qualificado de Representação" é um certificado digital qualificado tal como definido acima, englobando na sua informação do seu titular relativa à organização/empresa e aos respectivos poderes de representação.
A representatividade do certificado digital qualificado tem a característica de relacionar directamente o assinante com a sua função e poder de assinatura na plataforma electrónica de contratação, evitando que o concorrente tenha que submeter à plataforma um documento electrónico oficial indicando o poder de representação e assinatura do assinante, tal como previsto no Artigo 27.º, n.º 3, da portaria 701-G/2008.
2.6 Quais as funcionalidades associadas à utilização de um certificado digital qualificado de representação?
| Funcionalidades associadas ao certificado digital qualificado de representação |
Certificado Digital Qualificado de Representação |
Certificado Digital Qualificado |
Certificado Digital Vortal de Autenticação |
| Assinatura Electrónica Qualificada com garantia de integridade de Documentos |
 |
|
|
| Reconhecimento automático e legal da assinatura electrónica em Portugal e em toda a Comunidade Europeia (Directiva 1999/93/CE) |
|
|
|
| Cumprimento dos requisitos legais do Código dos Contratos Públicos para assinatura de documentos electrónicos (Art.ºs 18º e 27º da Portaria 701-G/2008) |
|
|
|
| Identificação da Qualidade de um Representante legal |
|
|
|
| Assinatura e Encriptação de emails |
|
|
|
| Não-Repúdio de documentos, assinaturas e mensagens |
|
|
|
| Autenticação Segura em Sistemas incluindo as Plataformas de Concursos Públicos |
|
|
|
| Integração com múltiplas plataformas de software (formato de certificado padrão X.509 V3) |
|
|
|
| Protecção forte de chave privada (Cartão SmartCard e tokens certificados em EAL4+) |
|
|
|
| Identificação electrónica segura e unívoca de uma pessoa |
|
|
|
| Armazenamento de múltiplos certificados em um mesmo cartão |
|
|
|
| Reconhecimento automático do Certificado Digital pelo Web Browser. |
|
|
|
2.7 Quem é a entidade certificadora que emite o certificado digital qualificado de representação?
Os certificados digitais qualificados de representação são emitidos pela DigitalSign, em parceria com British Telecomunications Plc, entidade credenciada segunda a directiva 1999/93/CE, mais detalhes.
- A British Telecomunications Plc (BT) é uma entidade credenciada junto das entidades do Reino Unido pela tScheme.
- O reconhecimento da credenciação da BT, pela Comissão Europeia encontra-se on-line no site da própria comissão em:
- A Directiva 1999/93/CE, de 13 de Dezembro, no seu artigo 4 º, define:
Artigo 4 º
Princípios relativos ao mercado interno
1. Cada Estado-Membro aplicará as disposições nacionais que adoptar de acordo com a presente directiva aos prestadores de serviços de certificação estabelecidos no seu território e aos serviços por eles prestados. Os Estados-Membros não podem restringir a prestação de serviços de certificação com origem noutro Estado-Membro nos domínios abrangidos pela presente directiva.
2. Os Estados-Membros assegurarão que os produtos de assinatura electrónica que sejam conformes com a presente directiva possam circular livremente no mercado interno.
-
O Decreto-Lei 290-D/99, de 2 de Agosto com a nova redacção dada pelo Decreto-Lei 62/2003, de 3 de Abril, que transpõem para a ordem jurídica interna a Directiva 1999/93/CE do Parlamento Europeu e do Conselho, de 13 de Dezembro, no seu artigo 38º, define:
Artigo 38 º
Certificados de outros Estados1. As assinaturas electrónicas qualificadas certificadas por entidade certificadora credenciada em outro Estado-Membro da União Europeia são equiparadas às assinaturas electrónicas qualificadas certificadas por entidade certificadora credenciada nos termos deste diploma. 2. Os certificados qualificados emitidos por entidade certificadora sujeita a sistema de fiscalização de outro Estado-Membro da União Europeia são equiparados aos certificados qualificados emitidos por entidade certificadora estabelecida em Portugal. 3 — Os certificados qualificados emitidos por entidades certificadoras estabelecidas em Estados terceiros são equiparados aos certificados qualificados emitidos por entidade certificadora estabelecida em Portugal desde que se verifique alguma das seguintes circunstâncias:
a) A entidade certificadora preencha os requisitos estabelecidos pela Directiva n.º 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, e tenha sido credenciada num Estado membro da União Europeia;
b) O certificado esteja garantido por uma entidade certificadora estabelecida na União Europeia que cumpra os requisitos estabelecidos na directiva referida na alínea anterior;
c) O certificado ou a entidade certificadora seja reconhecida com base num acordo internacional que vincule o Estado Português. 4 — A autoridade credenciadora divulgará, sempre que possível e pelos meios de publicidade que considerar adequados, e facultará aos interessados, a pedido, as informações de que dispuser acerca das entidades certificadoras credenciadas em Estados estrangeiros. 5 — É igualmente aplicável às entidades referidas nos n.os 1, 2 e 3 que exerçam actividade em Portugal a obrigação de registo a que se refere o n.º 2 do artigo 9.º, por forma a garantir a demonstração de que estas se encontram plenamente equiparadas às entidades certificadoras nos termos do presente decreto -lei. 6 — A obrigação de registo referida no número anterior é extensível às entidades nacionais que prestem serviços de certificação electrónica com recurso a certificados qualificados emitidos pelas entidades referidas nos n.os 1, 2 e 3.
-
Os selos temporais (validação cronológica) são emitidos pela Certipost e são reconhecidos pelas autoridades Belgas, como TimeStamps Qualificados, válidos segundo a Directiva 1999/93/CE em toda a União Europeia, nos mesmos termos e condições dispostos nos pontos anteriores.
- http://www.mineco.fgov.be/information_society/e-signatures/list_e_signature_fr.pdf
|
2.8 Que suportes físicos existem para o certificado digital Qualificado?
Existem diversos suportes físicos devidamente homologados para suportar certificados digitais qualificados. As diversas opções (USBToken ou SmartCard, sendo para o SmartCard necessário um leitor USB, PCMCIA ou ExpressCard) podem ser consultadas na página de adesão para utilizadores da plataforma vortalGOV ou em http://www.digitalsign.pt/.
2.9 Qual o procedimento para obtenção do certificado qualificado de Representação?
O procedimento para obtenção do certificado qualificado de representação é muito simples:
1. A partir das plataformas da Vortal, deverá seguir o processo de subscrição do certificado digital qualificado, a partir da página "Certificados Digitais Qualificados de Representação", disponível a partir do menu “Certificação”;
2. No final do processo, deverá imprimir o formulário de subscrição e proceder ao pagamento através da referência multibanco fornecida;
3. O formulário impresso deverá ser assinado e reconhecido notarialmente (ou equivalente);
4. Deverá então remeter o formulário e os documentos comprovativos solicitados para:
DigitalSign – Certificadora Digital, Lda.
Largo Pe. Bernardino Ribeiro Fernandes, 26
4835-489 Nespereira – Guimarães 5. Após a recepção dos documentos devidamente preenchidos, com reconhecimento da assinatura e com o pagamento efectuado com sucesso, a entidade certificadora procederá à emissão do certificado, e ao seu envio.
Qualquer dúvida no processo de solicitação do certificado qualificado de representação deverá ser esclarecida directamente junto da DigitalSign, através do Departamento de Apoio ao Cliente da DigitalSign, através do endereço de correio electrónico suporte@digitalsign.pt , do fax 253 560 639 ou dos telefones 253 560 650/1.
2.10 Qual o prazo para emissão do certificado?
O prazo mínimo para emissão do certificado qualificado de representação é de 2 dias úteis (após a recepção dos documentos devidamente preenchidos, com reconhecimento da assinatura e com o pagamento efectuado com sucesso).
A Vortal estima que entre o momento da solicitação do certificado e a sua recepção decorram 5 a 10 dias úteis:
• 1 a 2 dias para preenchimento do formulário de solicitação de certificado, assinatura do formulário, reconhecimento do mesmo em notário e pagamento
• 1 a 3 dias para envio dos documentos para DigitalSign
• 2 dias para verificação dos documentos e emissão do certificado pela DigitalSign. Envio dos códigos de acesso para o e-mail do solicitante e do certificado para a morada do solicitante
• 1 a 3 dias para recepção do certificado digital e sua instalação
NOTA: Os prazos indicados são apenas estimativas. Quanto mais tempo o utilizador demorar na execução das tarefas a seu cargo (reconhecimento da procuração em notário e envio da documentação para a DigitalSign), mais lento será o processo de emissão do certificado.
Eventuais atrasos no envio do certificado para o utilizador não podem ser imputados à DigitalSign, dado que são da responsabilidade dos CTT.
2.11 Já tenho o cartão do cidadão. Preciso adquirir um certificado digital qualificado de representação?
A legislação em vigor (Portaria 701-G/2008, artigo 27.º) apenas exige que o certificado digital utilizado para assinar os documentos em plataforma electrónica de contratação seja um certificado digital qualificado.
|
Portaria 701-G/2008
Artigo 27.º – Assinatura electrónica
1 — Todos os documentos carregados nas plataformas electrónicas deverão ser assinados electronicamente mediante a utilização de certificados de assinatura electrónica qualificada.
2 — Para efeitos da assinatura electrónica, as entidades referidas no n.º 3 do artigo anterior devem utilizar certificados digitais emitidos por uma entidade certificadora do Sistema de Certificação Electrónica do Estado.
3 — Nos casos em que o certificado digital não possa relacionar directamente o assinante com a sua função e poder de assinatura, deve a entidade interessada submeter à plataforma um documento electrónico oficial indicando o poder de representação e assinatura do assinante. |
Na medida em que o cartão do cidadão é um certificado digital qualificado poderá utilizá-lo para assinar documentos nas plataformas electrónicas, logo não necessita de adquirir um certificado qualificado de representação.
Contudo, o número 3 do artigo 27.º da portaria 701-G/2008, especifica que se o certificado digital não conseguir determinar a função e poder de assinatura do assinante, é necessário que cada vez que utilize um certificado nessas condições se anexe igualmente um documento electrónico oficial, emitido por entidade oficial ou pelos representantes legais da entidade que está a representar, reconhecendo poderes de representação para assinar documentos em nome da entidade.
Se tiver um certificado digital qualificado de representação, dado que este já tem incorporados os poderes de representação do utilizador, não necessita anexar nenhum documento adicional quando o utiliza para assinar documentos na plataforma electrónica. Esta característica do certificado digital de representação elimina o risco de desqualificação da proposta por falta de documento oficial anexo ou por lapso na correlação entre a assinatura e o documento oficial que atesta a representação da mesma, pelo que é uma solução com menos risco.
2.12 Sou um cidadão espanhol e possuo o Documento Nacional de Identidad (DNI). Preciso adquirir um certificado digital qualificado de representação?
O Ministério da Presidência do Governo de Portugal e o Ministério da Presidência do Governo de Espanha assinaram um protocolo de colaboração, no dia 22 de Setembro de 2009, em Madrid, para a prestação de serviços de validação dos certificados electrónicos emitidos pelos prestadores de serviços de certificação reconhecidos por ambos os Estados.
Com este protocolo os Governos de Portugal e Espanha visam estimular a colaboração mútua no que se refere a meios de identificação electrónicos seguros e mutuamente reconhecidos.
Pretende-se, assim, que os cidadãos portugueses possam realizar qualquer procedimento administrativo junto da Administração Pública espanhola utilizando o seu certificado português. O mesmo se aplica aos cidadãos espanhóis junto da Administração Pública portuguesa.
Contudo, o número 3 do artigo 27.º da portaria 701-G/2008, especifica que se o certificado digital não conseguir determinar a função e poder de assinatura do assinante, é necessário que cada vez que utilize um certificado nessas condições se anexe igualmente um documento electrónico oficial, emitido por entidade oficial ou pelos representantes legais da entidade que está a representar, reconhecendo poderes de representação para assinar documentos em nome da entidade.
Se tiver um certificado digital qualificado de representação, dado que este já tem incorporados os poderes de representação do utilizador, não necessita anexar nenhum documento adicional quando o utiliza para assinar documentos na plataforma electrónica. Esta característica do certificado digital de representação elimina o risco de desqualificação da proposta por falta de documento oficial anexo ou por lapso na correlação entre a assinatura e o documento oficial que atesta a representação da mesma, pelo que é uma solução com menos risco.
2.13 Posso utilizar o certificado digital qualificado noutras plataformas electrónicas de contratação?
Sim. O certificado digital qualificado fornecido pela DigitalSign (cuja entidade certificadora é a British Telecom) pode ser utilizado em qualquer outra plataforma electrónica de contratação ou para qualquer outro efeito onde se possa utilizar um certificado digital.
2.14 Qual o preço do certificado digital qualificado de representação?
O protocolo promocional que a Vortal estabeleceu com a DigitalSign permite a subscrição do certificado qualificado, em condições muito vantajosas, pelo valor de 125€* (o PVP actual é de 145€* e não inclui o pacote de validação cronológica PAC50).
Este valor inclui:
- Acreditação da empresa e do titular do cartão;
- Certificado digital qualificado, incluindo a primeira anuidade;
- Atestado de representatividade da assinatura: relaciona directamente o assinante com a sua função e poder para obrigar a empresa, evitando que tenha que ser submetido à plataforma, em todos os procedimentos, um documento electrónico oficial indicando o poder de representação e assinatura do assinante;
- Oferta do leitor do certificado (leitor smartcard), ou desconto na subscrição de um pacote com outro suporte físico;
- Oferta de um pacote de validação cronológica PAC50, no valor de 40€.
NOTA: Este pacote de créditos é válido para utilização exclusiva nas plataformas electrónicas da Vortal, até ao dia 31/03/2009 e garante a aposição de todos os selos temporais necessários durante este período.
* A este valor acresce IVA à taxa legal de 20%.
2.15 Se adquirir o certificado digital qualificado junto da DigitalSign tenho melhores condições?
Não. A Vortal e a DigitalSign estabeleceram um protocolo que visa a aplicação de condições especiais para os utilizadores das plataformas Vortal. O preço de venda ao público da DigitalSign para o certificado digital qualificado de representação é de 100€. Para além do certificado, é ainda obrigatória a compra de SmartCard ou outro dispositivo criptográfico e respectivo leitor de smartcard (PVP no mercado é de 30€). Na DigitalSign, o preço do certificado digital + leitor de smartcard + pacote de validação cronológica tem o valor de 170€ (no primeiro ano). O preço especial de 125€ representa um desconto de 22% face ao PVP da DigitalSign (48% se considerado o valor do pacote de créditos de validação cronológica, não incluído no PVP da DigitalSign).
NOTA: O certificado digital qualificado que a DigitalSign vende por 75€ é um certificado digital qualificado não representativo e não inclui o custo do leitor do cartão.
2.16 Qual a periodicidade do pagamento do certificado digital qualificado de representação?
A subscrição do certificado digital qualificado de representação tem periodicidade anual. A cada dois anos é necessário voltar a fazer a acreditação do titular do certificado bem como da sua representação.
A anuidade da subscrição do certificado digital qualificado de representação é de 100€.
2.17 Pretendo assinar propostas submetidas por um consórcio de empresas. Como devo fazer?
A solução recomendada pela Vortal consiste em que todos os membros do consórcio efectuem uma procuração dando poderes ao líder do consórcio para assinar a proposta em nome do consórcio. Esta procuração deverá ser anexada à proposta no momento da sua submissão e a proposta deverá ser assinada na plataforma por um utilizador do líder do consórcio com poderes para representar a entidade.
2.18 Quantos certificados digitais qualificados a minha entidade / empresa pode ter?
As entidades não têm certificados digitais associados, são os seus utilizadores que têm e não existe qualquer limitação imposta pelas plataformas da Vortal.
Tipicamente todos os utilizadores que assinem documentos e/ou troquem mensagens com outros operadores económicos nas plataformas electrónicas de contratação da Vortal deverão ter acesso a um certificado digital qualificado.
2.19 Que cuidados devo ter com o meu Certificado Digital Qualificado?
Os principais cuidados que deverá ter com o seu certificado digital são:
- Em caso de perda do smartcard ou token, deverá proceder à revogação imediata do seu certificado (este processo pode ser efectuado online junto da entidade certificadora);
- Guardar os códigos PIN/PUK em lugar seguro: o acesso aos dispositivos criptográficos é efectuado através de código PIN - várias tentativas falhadas podem bloquear o acesso;
- Evitar a formatação do cartão/token: O certificado e as correspondentes chaves criptográficas são geradas e armazenadas no cartão/token, pelo que não existe qualquer cópia de segurança (proibida por lei) – apenas deverá utilizar as ferramentas de formatação quando o seu certificado estiver expirado ou revogado;
- Evitar danos físicos no suporte no certificado digital: tal como exposto anteriormente, as suas chaves são únicas, pelo que qualquer dano físico no cartão/token poderá inviabilizar a sua utilização.
A re-emissão ou substituição de um certificado acarreta custos.
2.20 Mais alguém pode ter acesso ao meu Certificado digital Qualificado?
Os certificados digitais qualificados são emitidos e armazenados em dispositivos criptográficos (smartcard ou token), pelo que estão protegidos (através de código PIN) contra acesso e/ou utilizações indevidas.
Assim, desde que garanta a confidencialidade do PIN e mantenha sempre o cartão/token em seu poder, não necessitará de cuidados adicionais.
2.21 Perdi meu certificado digital qualificado, e agora?
Deverá imediatamente proceder à revogação do seu certificado (este processo pode ser efectuado online junto da entidade certificadora, em http://www.digitalsign.pt/).
Apenas após o pedido de revogação do certificado é que qualquer assinatura produzida é legalmente inválida.
Deverá também solicitar a emissão de um novo certificado para continuar a operar nas plataformas electrónicas da Vortal.
2.22 Como posso renovar ou revogar o meu Certificado Digital Qualificado?
O processo de renovação ou revogação pode ser efectuado online junto da entidade certificadora, em http://www.digitalsign.pt/. No caso da renovação, irá ser alertado por e-mail algum tempo antes do seu certificado expirar.
3 Selos Temporais
3.1 Em que consiste o serviço de validação cronológica?
Considera-se como "validação cronológica" a declaração de uma entidade certificadora que atesta a data e hora da criação, expedição ou recepção de um documento electrónico.
A validação cronológica é um requisito previsto na legislação em vigor.
|
Portaria 701-G/2008
Artigo 28.º – Validação cronológica
1 — Todos os documentos carregados nas plataformas electrónicas são sujeitos à aposição de selos temporais emitidos por uma entidade certificadora que preste serviços de validação cronológica.
2 — Todos os actos que, nos termos do CCP, devam ser praticados dentro de um determinado prazo são sujeitos à aposição de selos temporais emitidos por uma entidade certificadora que preste serviços de validação cronológica.
3 — A entidade certificadora que preste serviços de validação cronológica deve cumprir o definido na legislação aplicável às entidades certificadoras que emitam certificados qualificados.
4 — As plataformas electrónicas guardam e associam ao procedimento todos os selos temporais originados pelos documentos ou transacções. |
Para obter esta validação, a plataforma envia um código criptográfico à entidade certificadora, que retorna uma prova digital (TimeStamp), devidamente assinada, que garante a data e hora legal. A entidade certificadora tem acesso apenas ao código criptográfico, garantindo-se a confidencialidade dos dados.
3.2 Como Funciona o TimeStamp?
O TimeStamp é um processo matemático público (que utiliza os mesmos modelos da assinatura electrónica) em que são utilizados certificados digitais e uma terceira parte confiável (uma entidade que não faz parte das entidades que apresentam propostas nem da entidade adjudicante) que garante a data e hora em que determinada acção foi efectuada.
No caso das plataformas electrónicas de contratação é o que permite, entre outros, garantir a data da submissão das propostas dos concorrentes e que a abertura das propostas apenas é efectuada na hora determinada pelo Júri.
Adicionalmente as plataformas electrónicas de contratação pública da Vortal disponibilizam a todo o tempo um relógio na área de trabalho dos utilizadores, para que possam visualizar a hora real.
3.3 A plataforma já tinha um serviço de validação cronológica. Porque é que preciso de recorrer à validação cronológica qualificada assegurada por uma terceira entidade?
A validação cronológica, segundo o Art.º 28.º da Portaria 701-G/2008, terá que ser assegurada por uma "entidade certificadora que preste serviços de validação cronológica" e que cumpra "o definido na legislação aplicável às entidades certificadoras que emitam certificados qualificados".
A Vortal não é uma entidade certificada para a emissão de certificados digitais qualificados e validação cronológica qualificada, pelo que estes serviços têm que ser contratados junto de outra entidade certificada para o efeito.
A Vortal assegura a parte que a legislação lhe obriga, que é a guarda dos selos temporais apostos aos documentos e transacções que lhes deram origem.
3.4 Então mas a utilização das plataformas electrónicas não é gratuita? Porque tenho que pagar pelos selos temporais?
Sim, a Vortal assegura que utilização da plataforma electrónica é gratuita. No entanto, dados os requisitos legais impostos para esta actividade, o serviço de validação cronológica não é assegurado pela Vortal, pelo que este serviço é contratado junto de outra entidade certificada para o efeito.
3.5 Em que momentos é feita a aposição de validação cronológica na plataforma?
Cada vez que o concorrente submete uma candidatura, solução ou proposta, anexa um documento ou troca uma mensagem com a entidade adjudicante (todos os actos que devam ser praticados dentro de um determinado prazo) é obrigatória a aposição de validação cronológica segundo o Art. 28.º da Portaria 701-G/2008.
Da mesma forma, cada vez que uma entidade adjudicante pública um procedimento ou uma nova versão do procedimento ou cada vez que troca uma mensagem com os operadores económicos, também nesses casos é aposta validação cronológica.
3.6 Quem é a entidade certificadora que assegura o serviço de validação cronológica?
A validação cronológica nas plataformas electrónicas da Vortal é assegurada pela Certipost, que é reconhecida pelas autoridades Belgas e pela Comissão Europeia, como emissora de Selos Temporais Qualificados, válidos segundo a Directiva 1999/93/CE em toda a União Europeia.
3.7 Qual o preço do serviço de validação cronológica?
O serviço é pago em função da utilização que a empresa (concorrente) faz das plataformas electrónicas de contratação da Vortal e é adquirido sob a forma de pacote de créditos de validação cronológica.
O preço dos pacotes é o seguinte:
| Total de créditos do pacote |
Custo do pacote |
Custo unitário do crédito |
| PAC50: 50 créditos |
60,00 € |
1,20 € |
| PAC120: 120 créditos |
120,00 € |
1,00 € |
| PAC205: 205 créditos |
180,00 € |
0,90 € |
Cada tipo de procedimento terá um número variável de selos temporais (por existirem mais ou menos propostas, documentos, esclarecimentos, aditamentos, etc.).
Para facilitar o controlo dos consumos de selos temporais na plataforma vortalGOV, foi criada a figura do "crédito de validação cronológica". O crédito de validação cronológica garante a aposição de todos os selos temporais necessários por cada tipo de procedimento:
| Tipo de procedimento |
Créditos de validação cronológica utilizados |
| Ajuste Directo |
1 |
| Concurso Público |
5 |
| Concurso limitado por prévia qualificação |
5 |
| Procedimento de Negociação |
5 |
| Diálogo Concorrencial |
5 |
Assim, sempre que o concorrente responda a um ajuste directo, ser-lhe-á descontado um crédito; sempre que responder a um concurso público ser-lhe-ão descontados 5 créditos e assim sucessivamente.
Até 31 de Março de 2009, a título de campanha promocional, a Vortal oferece aos seus clientes o serviço de validação cronológica. A partir desta data, os pacotes de validação cronológica terão que ser adquiridos pelas entidades utilizadoras das plataformas da Vortal.
3.8 Como posso controlar o consumo de créditos de validação cronológica?
O controlo de crédito de validação cronológica é feito por empresa / concorrente. Sempre que for feita a compra de um pacote de validação cronológica, o respectivo número de créditos será creditado na ficha de conta corrente disponível na área de trabalho dos utilizadores.
Sempre que um utilizador da empresa / concorrente responda a um procedimento público de aquisição, será descontado o número de créditos respectivo. A ficha de conta corrente listará os procedimentos respondidos e número de créditos utilizado.
3.9 O meu pacote de créditos de validação cronológica pode ser utilizado noutras plataformas electrónicas de contratação?
Cada plataforma electrónica de contratação terá que garantir que todas transacções efectuadas têm aposto um selo temporal quando necessário e definido por lei.
A aposição de selos temporais não depende de uma acção explícita do utilizador, sendo antes garantida aplicacionalmente para evitar falhas e desqualificações de concorrentes.
Assim, o serviço de validação cronológica é despoletado aplicacionalmente pela plataforma sempre que a empresa / concorrente tenha crédito de validação cronológica para o efeito. Os créditos são geridos nas plataformas electrónicas da Vortal, pelo que não poderão ser utilizados para validação cronológica noutras plataformas.
3.10 Posso escolher a entidade que me fornece os selos temporais?
Sim, é possível seleccionar o fornecedor de selos temporais entre a lista de fornecedores homologados pela Vortal.
3.11 Sou cliente do econstroi. Também preciso adquirir pacotes de créditos de validação cronológica?
Apenas necessita de adquirir estes pacotes se pretender responder a procedimentos públicos de aquisição. Para operação nos mercados privados não é necessário adquirir pacotes de créditos de validação cronológica. 4. O que é a certificação ISO 27001?
4.1 O que é a certificação ISO 27001?
A norma ISO 27001 é um padrão internacionalmente reconhecido de gestão da segurança da informação, baseado na melhoria contínua e no modelo administrativo PDCA (Plan, Do, Check, Act). Através desta sistemática são considerados todos os riscos e incidentes de segurança, mudanças corporativas e objectivos de negócio de uma forma contínua.
A certificação neste padrão demonstra as organizações possuem um sistema de gestão da protecção da informação com mecanismos adequados às suas necessidades e realidade.
4.2 O que é um Sistema de Gestão de Segurança da Informação?
É um sistema de controlo de segurança integrada que pode ser concretizado em qualquer organização. Este sistema consiste num conjunto de mecanismos de protecção, de cariz tecnológico, processual, estrutural e humano.
Este sistema procura garantir a confidencialidade, a integridade de informações e a continuidade de negócio e diminuir o impacto de eventuais incidentes de segurança.
Além da ISO 27001, as organizações que pretendem certificar-se deverão procurar conformidade com um guia de boas práticas constituído por 133 controlos, divididos por 11 domínios, organizados no ISO 27002.
4.3 Quem desenvolveu a ISO 27001?
Originalmente, o standard foi elaborado por uma comité do Instituto Britânico de standards (BSI), formado por representantes de vários sectores da indústria e serviços.
As últimas versões tiveram contributos de muitos países, tais como a Austrália, Brasil, Alemanha, Noruega, Reino Unido e EUA. A norma ISO 27001 está harmonizada com outros standards, tais como o ISO 9001, ISO 14001 e ISO 20000 (ITIL).
4.4 Como ocorre a certificação de empresas na ISO 27001?
O processo de certificação é realizado através de auditorias independentes conduzidas por empresas acreditadas para esta finalidade.
Mais informações: IAF e EA
Acreditation Bodies: UKAS e IPAC
Certification Bodies: BSI, DNV, Bureau Veritas, TUV e SGS
4.5 Que empresas já são certificadas?
Actualmente estão certificadas mais de 4.000 empresas em todo mundo, sendo a maioria no Japão, UK e Índia. Entre as empresas certificadas estão a Ericsson, a Nextel e a T-Systems na Espanha, Telefónica, Unisys e CIP (Câmara Interbancária de Pagamentos) no Brasil e a Vortal, a TV Cabo e os Jogos Santa Casa em Portugal.
|