[email protected]              (+351) 213 243 750

Repositório de Regulação

Glossário

Contactos

Processamento Transfronteiras de Documentos

Feb 11, 2021 | Identificação Electrónica, Legislação

Decisão 2011/130/EU, de 25 de Fevereiro – Processamento Transfronteiras de Documentos.

Estabelece requisitos mínimos para o processamento transfronteiras de documentos assinados electronicamente pelas autoridades competentes nos termos da Directiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno.

https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32011D0130&from=PT

A COMISSÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia,

Tendo em conta a Directiva 2006/123/CE do Parlamento Eu­ropeu e do Conselho, de 12 de Dezembro de 2006, relativa aos serviços no mercado interno ( 1 ), nomeadamente o seu artigo 8.o , n.o 3,

Considerando o seguinte:

(1) Os prestadores de serviços cujos serviços se encontram abrangidos pela Directiva 2006/123/CE devem poder cumprir os procedimentos e formalidades necessários ao acesso às suas actividades e ao seu exercício através de balcões únicos e electronicamente. Dentro dos limites previstos no artigo 5. o , n. o 3, da Directiva 2006/123/CE, poderá ainda haver situações em que os prestadores de serviços têm de entregar documentos originais, cópias autenticadas ou traduções autenticadas originais para cumprirem esses procedimentos e formalidades. Nestas circunstâncias, os prestadores de serviços poderão ter de entregar documentos assinados electronicamente pelas autoridades competentes.

(2) A utilização transfronteiras de assinaturas electrónicas avançadas baseadas num certificado qualificado é prevista na Decisão 2009/767/CE da Comissão, de 16 de Outu­bro de 2009, que determina medidas destinadas a facili­tar a utilização de procedimentos informatizados através de «balcões únicos», nos termos da Directiva 2006/123/CE do Parlamento Europeu e do Conselho relativa aos serviços no mercado interno ( 2 ) que, nomea­damente, impõe aos Estados-Membros a obrigatoriedade de realizarem uma avaliação dos riscos antes de exigirem aos prestadores de serviços tais assinaturas electrónicas e estabelece as regras de aceitação pelos Estados-Membros de assinaturas electrónicas avançadas baseadas num cer­tificado qualificado, criadas com ou sem um dispositivo seguro de criação de assinaturas. No entanto, a Decisão 2009/767/CE não aborda a questão dos formatos das assinaturas electrónicas em documentos emitidos por autoridades competentes que têm de ser entregues pelos prestadores de serviços no cumprimento dos procedi­mentos e formalidades em questão.

( 1 ) JO L 376 de 27.12.2006, p. 36.

( 2 ) JO L 274 de 20.10.2009, p. 36.

(3) Como as autoridades competentes nos Estados-Membros utilizam actualmente diferentes formatos de assinaturas electrónicas avançadas para assinar electronicamente os seus documentos, os Estados-Membros que recebem e têm de processar estes documentos poderão enfrentar dificuldades técnicas decorrentes da variedade de forma­tos de assinaturas existentes. Para permitir aos prestado­res de serviços cumprir transfronteiras os seus procedi­mentos e formalidades electronicamente, é necessário ga­rantir que pelo menos um determinado número de for­matos de assinaturas electrónicas avançadas são suporta­dos tecnicamente pelos Estados-Membros quando rece­bem documentos assinados electronicamente pelas auto­ridades competentes de outros Estados-Membros. A defi­nição de um certo número de formatos de assinaturas electrónicas avançadas que os Estados-Membros destina­tários devem poder suportar tecnicamente contribuirá para uma maior automatização e uma melhor interope­rabilidade transfronteiras dos procedimentos electrónicos.

(4) Os Estados-Membros cujas autoridades competentes uti­lizam assinaturas electrónicas em formatos diferentes dos formatos mais comuns poderão dispor de meios de va­lidação estabelecidos que permitam que as suas assinatu­ras sejam verificadas também nos outros países. Sempre que for esse o caso e para que os Estados-Membros destinatários possam confiar nesses instrumentos de va­lidação, é necessário disponibilizar informações sobre tais ferramentas de forma facilmente acessível, a não ser que a informação necessária esteja disponível directamente nos documentos electrónicos, nas assinaturas electrónicas ou nos suportes dos documentos electrónicos.

(5) A presente decisão não afecta a forma como os Estados­-Membros determinam o que constitui um documento original, uma cópia autenticada ou uma tradução auten­ticada. Limita-se a tentar facilitar o processo de verifica­ção das assinaturas electrónicas caso elas sejam utilizadas nos documentos originais, nas cópias autenticadas ou nas traduções autenticadas que os prestadores de serviços poderão ter de entregar através dos balcões únicos.

(6) Para permitir aos Estados-Membros estabelecerem as fer­ramentas técnicas necessárias, é conveniente que a pre­sente decisão entre em vigor a partir de 1 de Agosto de 2011.

(7) As medidas previstas na presente decisão estão em con­formidade com o parecer do Comité da Directiva Servi­ços.

ADOPTOU A PRESENTE DECISÃO:

Artigo 1.º

Formato de referência para as assinaturas electrónicas

1. Os Estados-Membros devem estabelecer os meios técnicos necessários que lhes permitam processar documentos assinados electronicamente entregues pelos prestadores de serviços no cumprimento de procedimentos e formalidades através de bal­cões únicos, nos termos do artigo 8.o da Directiva 2006/123/CE, e que sejam assinados pelas autoridades compe­tentes de outros Estados-Membros com uma assinatura electró­nica avançada XML ou CMS ou PDF no formato BES ou EPES que satisfaça as especificações técnicas descritas no anexo.

2. Os Estados-Membros cujas autoridades competentes assi­nam os documentos referidos no n.o1 com assinaturas elec­trónicas em formatos diferentes dos referidos no mesmo nú­mero devem informar a Comissão acerca das formas de valida­ção existentes que permitam aos restantes Estados-Membros validar gratuitamente, em linha e de forma compreensível para falantes não nativos, as assinaturas electrónicas recebidas, a não ser que a informação necessária já esteja incluída no docu­mento, na assinatura electrónica ou no suporte do documento electrónico. A Comissão disponibilizará esta informação a todos os Estados-Membros.

Artigo 2.º

Aplicação

A presente decisão é aplicável a partir de 1 de Agosto de 2011.

Artigo 3.o

Destinatários

Os Estados-Membros são os destinatários da presente decisão.

Feito em Bruxelas, em 25 de Fevereiro de 2011.

ANEXO

Especificações que uma assinatura electrónica avançada em XML, CMS ou PDF deve cumprir para ser suportada
tecnicamente pelo Estado-Membro destinatário

Na parte do documento que se segue as palavras-chave «DEVE», «NÃO DEVE», «OBRIGATÓRIO», «DEVERÁ», «NÃO DEVERÁ», «DEVERIA», «NÃO DEVERIA», «RECOMENDADO», «PODE» e «FACULTATIVO» devem ser interpretadas tal como descritas no RFC 2119 ( 1 ).

SECÇÃO 1 – XAdES-BES/EPES

A assinatura está em conformidade com as especificações de assinaturas XML do W3C ( 2 )

A assinatura DEVE pelo menos estar no formato de assinatura XAdES-BES (ou -EPES), de acordo com a especificação técnica ETSI TS 101 903 para XAdES ( 3 ) e em conformidade com as especificações adicionais seguintes:

O ds:CanonicalizationMethod que especifica o algoritmo de canonicalização aplicado ao elemento SignedInfo antes de efectuados os cálculos da assinatura identifica apenas um dos algoritmos seguintes:

Canonical XML 1.0 (omite comentários):  http://www.w3.org/TR/2001/REC-xml-c14n-20010315

Canonical XML 1.1 (omite comentários): http://www.w3.org/2006/12/xml-c14n11

Exclusive XML Canonicalization 1.0 (omite comentários): http://www.w3.org/2001/10/xml-exc-c14n#

NÃO DEVERIAM ser utilizados outros algoritmos ou as versões «Com comentários» dos algoritmos acima referidos para criar a assinatura, mas DEVERIAM ser suportados para assegurar uma interoperabilidade mínima para efeitos de verifi­cação da assinatura.

O MD5 (RFC 1321) NÃO DEVE ser usado como algoritmo digest. Os signatários são remetidos para a legislação nacional aplicável e, para efeitos das orientações, para a especificação técnica ETSI TS 102 176 ( 4 ) e o relatório ECRYPT2 D.SPA.x ( 5 ), onde encontrarão mais recomendações sobre algoritmos e parâmetros elegíveis para assinaturas electrónicas.

Só podem ser utilizadas as transformadas a seguir enumeradas:

Transformada de canonicalizações: Consultar as especificações relevantes acima indicadas;

Codificação Base64 (http://www.w3.org/2000/09/xmldsig#base64)

Filtros:

XPath (http://www.w3.org/TR/1999/REC-xpath-19991116): para efeitos de compatibilidade e conformidade com XMLDSig

Filtro XPath 2.0 (http://www.w3.org/2002/06/xmldsig-filter2): que substituiu o XPath devido a problemas de eficácia

Transformada da assinatura envolvida (Enveloped): (http://www.w3.org/2000/09/xmldsig#enveloped-signature) Transformada XSLT (style sheet).

O elemento ds:KeyInfo DEVE incluir o certificado digital X.509 v3 do signatário (ou seja, o seu valor e não apenas uma referência ao valor).

A propriedade da assinatura assinada do «SigningCertificate» DEVE incluir o valor digest (CertDigest) e o IssuerSerial do certificado do signatário guardado em ds:KeyInfo e o URI opcional no campo «SigningCertificate» NÃO DEVE ser usado.

Está presente a propriedade SigningTime da assinatura assinada e inclui o UTC expresso no formato xsd:dateTime (http://www.w3.org/TR/xmlschema-2/#dateTime).

O elemento DataObjectFormat DEVE estar presente e incluir o sub-elemento MimeType.

Se as assinaturas utilizadas pelos Estados-Membros se basearem num certificado qualificado, os objectos PKI (cadeia de certificados, dados de validade, marca temporal) incluídos nas assinaturas podem ser confirmados, nos termos da Decisão 2009/767/CE da Comissão, através das listas aprovadas do Estado-Membro que controla ou acredita o PSC que emitiu o certificado do signatário.

O Quadro 1 resume as especificações que uma assinatura XAdES-BES/EPES deve cumprir para ser suportada tecnicamente pelo Estado-Membro destinatário.

( 1 ) IETF RFC 2119: «Key words for use in RFCs to indicate Requirements Levels».

( 2 ) W3C, XML Signature Syntax and Processing, (Version 1.1), http://www.w3.org/TR/xmldsig-core1/.
W3C, XML Signature Syntax and Processing, (Second Edition), http://www.w3.org/TR/xmldsig-core/
W3C, XML Signature Best Practices, http://www.w3.org/TR/xmldsig-bestpractices/

( 3 ) ETSI TS 101 903 v1.4.1: XML Advanced Electronic Signatures (XAdES).

( 4 ) ETSI TS 102 176: Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms; Part 2: «Secure channel protocols and algorithms for signature creation devices».

( 5 ) A versão mais recente é D.SPA.13 ECRYPT2 Yearly Report on Algorithms and Key sizes (2009-2010), de 30 de Março de 2010 (http://www.ecrypt.eu.org/documents/D.SPA.13.pdf).

XAdES – BES (EPES)                                                                          Requisitos minimos comuns
(a especificação técnica ETSI TS 103 903 aplica-se com os seguintes elementos)
0-Obrigatório; F=Facultativo, R=Recomendado; N-Não utilizado
ds: Signature ID O
ds: Signedlnfo O
ds: CanonicalizationMethod O Todos os algoritmos seguintes DEVEM ser suportados para verificação do assinatura; a criação DEVERIA

restringir-se a um destes:

– Exclusive XML canonicalization 1.0: http://www.w3.org/TR/xml-exc-c14n/

– Canonical XML 1.0: http://www.w3.org/TR/2001/REC-XML-c14n-20010315

– Canonical XML 1.1: http://www.w3.org/2006/12/xml-cl4n11

NÃO DEVERIAM ser utilizados outros métodos ou versões “#WithComments”dos métodos acima referidos.

ds: SignatureMethod O Algoritmos: Consultar legislação nacional aplicável e, para efeitos das orientações, ver a especificação técnica ETSI TS 102 176 e o relatório ECRYPT2 D.SPA.7 para mais recomendações.
ds: Reference      URI
ds: Transforms
O F Uma referência a cada objecto de dados original a assinar (os URI também podem apontar para objectos

externos) + referência ao elemento SignedProperties

As aplicações de verificação DEVEM suportar todos as transformadas seguintes, enquanto os aplicações de

criação de assinaturas DEVERIAM limitar-se a utilizaras transformadas seguintes:

– Transformadas de canonicalização: ver acima

– Codificação Base64

– XPoth e XPath Filter 2.0

– Transformada da assinatura envolvida (Enveloped)

– Transformadas XSLT

ds: DigestMethod O Algoritmos: Consultar legislação nacional aplicável e, para efeitos das orientações, vera especificação técnica ETSI TS 102 176 e o relatório ECRYPT2 D.SPA.7 para mais recomendações.
ds: DigestValue O
/ds: Reference
/ds: Signedlnfo
ds: SignatureValue
ds: Keylnfo
O O DEVE incluir o certificado X509 (a propriedade assinada do SigningCertificate DEVE conter o valor digest do certificado do signatário)

RECOMENDA-SE que a cadeia de certificação do certificado do signatário seja fornecida como ajuda ao processo de validação (neste caso, DEVEM ser fornecidos certificados X.509).

ds: Object
QualifyingProperties O
SignedProperties O O
SignedSignatureProperties
SigningTime
O O O

UTC (xsd: dateTime).

SigningCertificate O DEVE conter o valor digest do certificado do signatário guardado em ds:Keylnfo e o URI facultativo é omitido (As aplicações PODEM procurar/encontrar o certificado do signatário em ds:Keylnfo, com base na equivalência hash).
SignaturePolicyldentifier F apenas para o formato EPES (e para formatos superiores construídos a partir do formato EPES)
Signature ProductionPlace F
SignerRole

/SignedSignatureProperties

F
SignedDataObjectProperties F
DataObjectFormat O Quando este campo é utilizado, as aplicações DEVEM assegurar que os objectos de dados são apresentados

ao utilizador desta forma.

Quando utilizado, DEVE ser usado um elemento-filho MimeType.

CommitmentTypelndication F
AllDataObjectsTimeStamp IndividualDataObjectTimeStamp F F
/SignedDataObjectProperties
/SignedProperties
UnsignedProperties F
UnsignedSignatureProperties
CounterSignature F
/UnsignedSignatureP roperties
/UnsignedProperties
/Qua lifyingP roperties
/ds: Object
/ds: Signature
Tipos de assinatura – Agrupamento de ficheiros originais assinados e assinaturas
SignatureEnveloped Todos DEVEM ser suportados
SignatureEnveloping
SignatureDetached

L 53/70                   PT                                           Jornal Oficial da União Europeia     26.2.2011

SECÇÃO 2 – CAdES-BES/EPES

A assinatura cumpre as especificações para as assinaturas Cryptographic Message Syntax (CMS) ( 1 ).

A assinatura utiliza atributos de assinatura CAdES-BES (ou -EPES), como estabelecido na especificação técnica ETSI TS 101 733 para CAdES ( 2 ), e cumpre as especificações adicionais, indicadas no Quadro 2 seguinte.

Todos os atributos da CAdES incluídos nos cálculos de hash da marca temporal do ficheiro (ETSI TS 101 733 V1.8.1, Anexo K) DEVEM estar em código DER e os restantes podem ser em BER para simplificar o processamento da CAdES com uma única passagem.

O MD5 (RFC 1321) NÃO DEVE ser utilizado como um algoritmo digest. Os signatários são remetidos para a legislação nacional aplicável e, para efeitos das orientações, para a especificação técnica ETSI TS 102 176 ( 3 ) e o relatório ECRYPT2 D.SPA.x ( 4 ), onde encontrarão mais recomendações sobre algoritmos e parâmetros elegíveis para assinaturas electrónicas.

Os atributos assinados DEVEM incluir uma referência ao certificado digital X.509 v3 do signatário (RFC 5035) e o campo SignedData.certificates DEVE incluir o respectivo valor.

O atributo assinado SigningTime DEVE estar presente e DEVE incluir o UTC expresso tal como em http://tools.ietf.org/ html/rfc5652#section-11.3.

O atributo assinado ContentType DEVE estar presente e contém dados de identificação (http://tools.ietf.org/html/ rfc5652#section-4) em que o tipo de conteúdo de dados visa referir-se a cadeias de octetos arbitrários, como texto com codificação UTF-8 ou ZIP com sub-elemento MimeType.

Se as assinaturas utilizadas pelos Estados-Membros se basearem num certificado qualificado, os objectos PKI (cadeia de certificados, dados de validade, marca temporal) incluídos nas assinaturas podem ser confirmados, nos termos da Decisão 2009/767/CE da Comissão, através das listas aprovadas do Estado-Membro que controla ou acredita o PSC que emitiu o certificado do signatário.

( 1 ) IETF, RFC 5652, Cryptographic Message Syntax (CMS), http://tools.ietf.org/html/rfc5652.

IETF, RFC 5035, Enhanced Security Services (ESS) Update: Adding CertID Algorithm Agility, http://tools.ietf.org/html/rfc5035.

IETF, RFC 3161, Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP), http://tools.ietf.org/html/rfc3161

( 2 ) ETSI TS 101 733 v.1.8.1: CMS Advanced Electronic Signatures (CAdES).

( 3 ) ETSI TS 102 176: Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms; Part 2: «Secure channel protocols and algorithms for signature creation devices».

( 4 ) A versão mais recente é D.SPA.13 ECRYPT2 Yearly Report on Algorithms and Key sizes (2009-2010), de 30 de Março de 2010 (http://www.ecrypt.eu.org/documents/D.SPA.13.pdf).

Quadro 2

SECÇÃO 3 – PAdES-PARTE 3 (BES/EPES):

A assinatura DEVE usar uma extensão de assinatura PAdES-BES (ou -EPES), de acordo com a especificação técnica ETSI TS 102 778, Parte 3, para PAdES ( 1 ) e cumpre as especificações adicionais seguintes:

O MD5 (RFC 1321) NÃO DEVE ser utilizado como um algoritmo digest. Os signatários são remetidos para a legislação nacional aplicável e, para efeitos das orientações, para a especificação técnica ETSI TS 102 176 ( 2 ) e o relatório ECRYPT2 D.SPA.x ( 3 ), onde encontrarão mais recomendações sobre algoritmos e parâmetros elegíveis para assinaturas electrónicas.

Os atributos assinados DEVEM incluir uma referência ao certificado digital X.509 v3 do signatário (RFC 5035) e o campo SignedData.certificates DEVE incluir o respectivo valor.

( 1 ) ETSI TS 102 778-3 v1.2.1: PDF Advanced Electronic Signatures (PAdES), PAdES Enhanced – PAdES-Basic Electronic Signatures and PAdES-Explicit Policy Electronic Signatures Profiles.

( 2 ) ETSI TS 102 176: Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms; Part 2: «Secure channel protocols and algorithms for signature creation devices».

( 3 ) A versão mais recente é D.SPA.13 ECRYPT2 Yearly Report on Algorithms and Key sizes (2009-2010), de 30 de Março de 2010 (http://www.ecrypt.eu.org/documents/D.SPA.13.pdf).

A hora da assinatura é indicada pelo valor na entrada M no dicionário da assinatura.

Se as assinaturas utilizadas pelos Estados-Membros se basearem num certificado qualificado, os objectos PKI (cadeia de certificados, dados de validade, marca temporal) incluídos nas assinaturas podem ser confirmados, nos termos da Decisão 2009/767/CE, através das listas aprovadas do Estado-Membro que controla ou acredita o PSC que emitiu o certificado do signatário.

Share This