eIDAS
O comércio eletrónico promoveu um grande crescimento comercial, permitindo às empresas expandir os seus mercados internacionalmente. Mas como é possível verificar com quem estão a lidar?
O comércio eletrónico promoveu um grande crescimento comercial, permitindo às empresas expandir os seus mercados internacionalmente. Mas como é possível verificar com quem estão a lidar?
A pessoa ou empresa é mesmo quem diz ser? Para solucionar estas incertezas, muitos países começaram a implementar legislação nacional, com diretrizes e regras rigorosas relativamente à forma como as transações eletrónicas devem ser autenticadas e assinadas.
Confrontada com quase tantos regulamentos nacionais sobre a estrutura legal para a assinatura eletrónica quantos os países que a compõem, a União Europeia procurou a harmonização. O Regulamento eIDAS, que revê e substitui a anterior diretiva 1999/93/CE sobre a assinatura eletrónica, define as normas que os produtos, soluções e serviços associados a assinatura eletrónica, selos eletrónicos, carimbos temporais, serviços de entrega eletrónica e autenticação em websites devem respeitar visando a conformidade. O objetivo geral é garantir uma interação eletrónica integrada entre cidadãos, empresas e autoridades públicas, tornando as transações e o acesso aos serviços cómodos e seguros.
As entidades reguladoras eIDAS também mantêm uma lista de todas as empresas que prestam Serviços de confiança qualificados. Para fazerem parte desta lista de Prestadores de serviços de confiança qualificados, as empresas são sujeitas a uma auditoria para certificar a conformidade com as regras estabelecidas.
O Regulamento eIDAS utiliza vários níveis de garantia para definir a segurança oferecida por uma assinatura eletrónica:
Uma Assinatura eletrónica qualificada, ou QES (Qualified Electronic Signature), corresponde ao nível de garantia mais elevado. Tem as mesmas características que uma AdES, com a diferença de se basear num certificado digital qualificado (emitido por um QTSP), que é utilizado em conjunto com um Dispositivo de criação de assinaturas qualificado (QSCD - Qualified Signature Creation Device). As assinaturas QES não são refutáveis, uma vez que têm o mesmo valor jurídico que as assinaturas manuscritas.
As assinaturas qualificadas oferecem o nível de garantia mais elevado, sendo por isso a escolha preferencial ou obrigatória para transações de elevado valor. Os legisladores nacionais podem decidir impor a Assinatura eletrónica avançada e/ou a Assinatura eletrónica qualificada para fins específicos.
Tal significa que todas as empresas que ofereçam serviços de assinatura eletrónica na UE terão de realizar processos de auditoria para conformidade com o Regulamento eIDAS ou subcontratar a sua solução a um QTSP, para que estas assinaturas sejam juridicamente vinculativas.