Certificação digital é um mecanismo de segurança que garante a autenticidade, confidencialidade e a integridade das transacções electrónicas.
O cerne do mecanismo de certificação digital é um certificado digital, que contém nome, chave pública e muitos outros dados que identificam intervenientes numa transacção electrónica.
O SCDM, que se aplica a pessoas singulares, colectivas e privadas, será gerido por uma estrutura de confiança integrada pelos seguintes órgãos:
- Comité Gestor, presidido pelo Primeiro-ministro;
- Autoridade Certificadora Raiz do Estado, administrada pelo INTIC;
- Entidades Certificadoras; e
- Entidades de Registo vinculadas às Entidades Certificadoras.
Primeiro-Ministro preside ao Comité Gestor do SCDM
O Primeiro-Ministro é o Presidente do Comité Gestor do Sistema de Certificação Digital de Moçambique (SCDM) e tem como Vice-Presidente o ministro que superintende a área das TIC.
O Comité é ainda integrado pelas seguintes figuras:
O Ministro que superintende a área das finanças;
O Ministro que superintende a área de Defesa;
O Ministro que superintende a área da Ordem e Segurança;
O Ministro que superintende a área da Administração Estatal e Função Pública;
O Ministro que superintende a área da Justiça;
O Ministro que superintende a área de Indústria e Comércio;
O Director-geral do Instituto Nacional de Tecnologias de Informação e Comunicação (INTIC).
Entre as competências deste órgão destacam-se as seguintes:
- Elaborar e propor ao Conselho de Ministros políticas e práticas de certificação a observar por entidades certificadoras, registo e demais prestadoras de serviços integrados no sistema;
- Garantir que as declarações de práticas de certificação estejam em conformidade com a política de certificação em vigor;
- Propor ao Conselho de Ministros os critérios de aprovação de pedidos de entidades certificadoras para a integração no sistema;
- Propor ao Conselho de Ministros a admissão de entidades certificadoras públicas no sistema;
- Aferir a conformidade dos procedimentos seguidos por entidades certificadoras integradas no sistema;
- Propor a exclusão de entidades certificadoras que não estão em conformidade com as políticas e práticas aprovadas;
- Propor ao Conselho de Ministros a actualização de políticas e práticas no âmbito do sistema.
INTIC no topo do SCDM
O regulamento do SCDM coloca o INTIC no topo da cadeia do sistema, como administradora da Autoridade Certificadora Raiz do Estado, cabendo-lhe garantir o cumprimento das políticas e directrizes emitidas pelo Comité Gestor.
Autoridade Certificadora Raiz do Estado é entidade responsável pela avaliação e certificação da conformidade de processos, sistemas e produtos de assinatura digital, assim como pela supervisão de Entidades Certificadoras, públicas e privadas.
Nesta qualidade, compete ao INTIC:
- Fazer o registo, a credenciação e fiscalização das Entidades Certificadoras;
- Admitir a integração das Entidades Certificadoras que obedeçam aos requisitos estabelecidos no presente Decreto;
- Prestar os serviços de certificação às Entidades Certificadoras no nível hierárquico imediatamente inferior ao seu na cadeia de certificação;
- Garantir o cumprimento e a implementação enquanto Autoridade Certificadora de todas as regras e procedimentos estabelecidos no documento de políticas de certificação e na declaração de práticas de certificação do SCDM;
- Implementar as políticas e práticas aprovadas para o efeito pelo Comité Gestor do SCDM;
- Gerir toda a infra-estrutura e os recursos que compõem e garantem o funcionamento da Autoridade Certificadora Raiz do Estado, nomeadamente o pessoal, os equipamentos e as instalações;
- Gerir todas as actividades relacionadas com a gestão do ciclo de vida dos certificados por si emitidos para as Entidades Certificadoras de nível imediatamente inferior ao seu;
- Garantir que o acesso às suas instalações principal e alternativa é efectuado apenas por pessoal devidamente autorizado e credenciado;
- Gerir o recrutamento de pessoal tecnicamente habilitado para a realização das tarefas de gestão e operação da Autoridade Certificadora Raiz do Estado;
- Comunicar qualquer incidente, nomeadamente anomalias ou falhas de segurança, ao Comité Gestor do SCDM.
- A Autoridade Credencia dora pode, no exercício das suas competências, solicitar outras Entidades Públicas ou Privadas toda a colaboração que julgar necessária.
Serviços no âmbito do SCDM
No âmbito do SCDM, estão previstos os seguintes serviços, entre outros:
- Registo de Entidades Certificadoras integradas no SCDM;
- Geração de certificados e gestão de ciclo de vida;
- Disseminação de certificados, políticas e práticas de certificação;
- Gestão de revogação de certificados;
- Auditorias operacionais a Entidades Certificadoras a si subordinadas.
Credenciação e requisitos para exercício da actividade de certificação
As entidades que queiram exercer a actividade de certificação ficam integradas no SCDM e subordinam-se à Autoridade Certificadora Raiz do Estado, sejam elas públicas ou privadas.
De acordo com artigo 59, da Lei n.º 3/2017, de 9 de Janeiro, a credenciação para o exercício de certificação está dependente de cumprimento dos seguintes requisitos:
- Demonstrar a segurança necessária para a prestação de serviços de certificação;
- Garantir a operação de um directório rápido e seguro e de serviços de revogação imediatos;
- Garantir que a data e hora em que um certificado é emitido ou revogado pode ser determinada com precisão;
- Verificar, através de meios adequados de acordo com as leis nacionais, a identidade, e, caso seja aplicável, quaisquer atributos especiais da pessoa a favor de quem é emitido o certificado qualificado;
- Contratar pessoal que tenha conhecimento, experiência e qualificações necessárias para os serviços prestados, em particular com competência a nível de gestão, conhecimento em tecnologia de assinatura electrónica e familiarização com os procedimentos de segurança adequados, devendo, ainda, aplicar procedimentos administrativos e de gestão que sejam adequados e que correspondam a padrões reconhecidos;
- Utilizar sistemas e produtos fiáveis, que são protegidos contra modificações e que garantem a segurança técnica e de codificação do processo apoiado pelos mesmos;
- Tomar medidas contra a falsificação de certificados e, em casos em que o provedor de serviços de certificação gere dados de criação de assinatura, garantir a confidencialidade durante o processo de geração dos referidos dados;
- Mantiver recursos financeiros suficientes para operar em conformidade com os requisitos estabelecidos pela presente Lei, em particular no que concerne à assunção de responsabilidade por danos, dispondo de seguros adequados;
- Registar, electronicamente, toda a informação relevante relativa a um certificado qualificado para um período de tempo apropriado, com o objectivo de fornecer provas da certificação para efeitos de procedimentos legais;
- Não armazenar ou copiar dados de criação de assinaturas da pessoa a quem o provedor de serviços de certificação presta serviços chave de gestão;
- Antes de entrar numa relação contratual com a pessoa que procura um certificado que apoie a sua assinatura electrónica, informar a pessoa em causa, através de um meio de comunicação duradoiro, dos termos e condições precisos acerca da utilização do certificado, incluindo quaisquer limitações à sua utilização, a existência de um esquema voluntário de acreditação e os procedimentos para queixas e resolução de disputas. As informações referidas neste artigo podem ser transmitidas electronicamente, por escrito e em linguagem prontamente compreensível, podendo ser disponibilizadas a pedido de terceiros com base no certificado; ou
- Utilizar sistemas fiáveis para armazenar os certificados de uma forma verificável, por forma a:
- Só pessoas autorizadas poderem aceder para fazer introduções e alterações;
- A informação poder ser verificada no que concerne a autenticidade;
- Os certificados estarem publicamente disponíveis para acesso só nos casos em que o consentimento do portador do certificado tenha sido obtido;
- Quaisquer alterações técnicas que comprometam os requisitos de segurança sejam aparentes para o operador.
As entidades credenciadas para o exercício de certificação podem recorrer à subcontratação de terceiros para a prestação dos serviços mediante acordos por escrito, desde que a chave utilizada para gerar os certificados seja sempre identificada como pertencendo a essas entidades certificadoras, que assumam a inteira responsabilidade pelo cumprimento de todos os requisitos legais por parte das entidades subcontratadas.
Taxas e multas
As taxas devidas por registo, credenciação e renovação de credencial serão cobradas na base de salário mínimo em vigor na Função Pública, multiplicado por 40, 75 e 60 respectivamente. A competência de alteração das taxas é do titular da pasta de finanças, sob proposta do ministro que superintende a área das TIC.
A não observância de requisitos de certificação digital implica multas que variam entre 30 e 50 salários mínimos da Função Pública.
Comments are closed here.