Governo aprova Regulamento de Certificação Digital

Governo aprova Regulamento de Certificação Digital

Certificação digital é um mecanismo de segurança que garante a autenticidade, confidencialidade e a integridade das transacções electrónicas.

O cerne do mecanismo de certificação digital é um certificado digital, que contém nome, chave pública e muitos outros dados que identificam intervenientes numa transacção electrónica.

O SCDM, que se aplica a pessoas singulares, colectivas e privadas, será gerido por uma estrutura de confiança integrada pelos seguintes órgãos:

  • Comité Gestor, presidido pelo Primeiro-ministro;
  • Autoridade Certificadora Raiz do Estado, administrada pelo INTIC;
  • Entidades Certificadoras; e
  • Entidades de Registo vinculadas às Entidades Certificadoras.

Primeiro-Ministro preside ao Comité Gestor do SCDM

O Primeiro-Ministro é o Presidente do Comité Gestor do Sistema de Certificação Digital de Moçambique (SCDM) e tem como Vice-Presidente o ministro que superintende a área das TIC.

O Comité é ainda integrado pelas seguintes figuras:

O Ministro que superintende a área das finanças;

O Ministro que superintende a área de Defesa;

O Ministro que superintende a área da Ordem e Segurança;

O Ministro que superintende a área da Administração Estatal e Função Pública;

O Ministro que superintende a área da Justiça;

O Ministro que superintende a área de Indústria e Comércio;

O Director-geral do Instituto Nacional de Tecnologias de Informação e Comunicação (INTIC).

Entre as competências deste órgão destacam-se as seguintes:

  1. Elaborar e propor ao Conselho de Ministros políticas e práticas de certificação a observar por entidades certificadoras, registo e demais prestadoras de serviços integrados no sistema;
  2. Garantir que as declarações de práticas de certificação estejam em conformidade com a política de certificação em vigor;
  3. Propor ao Conselho de Ministros os critérios de aprovação de pedidos de entidades certificadoras para a integração no sistema;
  4. Propor ao Conselho de Ministros a admissão de entidades certificadoras públicas no sistema;
  5. Aferir a conformidade dos procedimentos seguidos por entidades certificadoras integradas no sistema;
  6. Propor a exclusão de entidades certificadoras que não estão em conformidade com as políticas e práticas aprovadas;
  7. Propor ao Conselho de Ministros a actualização de políticas e práticas no âmbito do sistema.

INTIC no topo do SCDM

O regulamento do SCDM coloca o INTIC no topo da cadeia do sistema, como administradora da Autoridade Certificadora Raiz do Estado, cabendo-lhe garantir o cumprimento das políticas e directrizes emitidas pelo Comité Gestor.

Autoridade Certificadora Raiz do Estado é entidade responsável pela avaliação e certificação da conformidade de processos, sistemas e produtos de assinatura digital, assim como pela supervisão de Entidades Certificadoras, públicas e privadas.

Nesta qualidade, compete ao INTIC:

  1. Fazer o registo, a credenciação e fiscalização das Entidades Certificadoras;
  2. Admitir a integração das Entidades Certificadoras que obedeçam aos requisitos estabelecidos no presente Decreto;
  3. Prestar os serviços de certificação às Entidades Certificadoras no nível hierárquico imediatamente inferior ao seu na cadeia de certificação;
  4. Garantir o cumprimento e a implementação enquanto Autoridade Certificadora de todas as regras e procedimentos estabelecidos no documento de políticas de certificação e na declaração de práticas de certificação do SCDM;
  5. Implementar as políticas e práticas aprovadas para o efeito pelo Comité Gestor do SCDM;
  6. Gerir toda a infra-estrutura e os recursos que compõem e garantem o funcionamento da Autoridade Certificadora Raiz do Estado, nomeadamente o pessoal, os equipamentos e as instalações;
  7. Gerir todas as actividades relacionadas com a gestão do ciclo de vida dos certificados por si emitidos para as Entidades Certificadoras de nível imediatamente inferior ao seu;
  8. Garantir que o acesso às suas instalações principal e alternativa é efectuado apenas por pessoal devidamente autorizado e credenciado;
  9. Gerir o recrutamento de pessoal tecnicamente habilitado para a realização das tarefas de gestão e operação da Autoridade Certificadora Raiz do Estado;
  10. Comunicar qualquer incidente, nomeadamente anomalias ou falhas de segurança, ao Comité Gestor do SCDM.
  11. A Autoridade Credencia dora pode, no exercício das suas competências, solicitar outras Entidades Públicas ou Privadas toda a colaboração que julgar necessária.

Serviços no âmbito do SCDM

No âmbito do SCDM, estão previstos os seguintes serviços, entre outros:

  1. Registo de Entidades Certificadoras integradas no SCDM;
  2. Geração de certificados e gestão de ciclo de vida;
  3. Disseminação de certificados, políticas e práticas de certificação;
  4. Gestão de revogação de certificados;
  5. Auditorias operacionais a Entidades Certificadoras a si subordinadas.

Credenciação e requisitos para exercício da actividade de certificação

As entidades que queiram exercer a actividade de certificação ficam integradas no SCDM e subordinam-se à Autoridade Certificadora Raiz do Estado, sejam elas públicas ou privadas.

De acordo com artigo 59, da Lei n.º 3/2017, de 9 de Janeiro, a credenciação para o exercício de certificação está dependente de cumprimento dos seguintes requisitos:

  1. Demonstrar a segurança necessária para a prestação de serviços de certificação;
  2. Garantir a operação de um directório rápido e seguro e de serviços de revogação imediatos;
  3. Garantir que a data e hora em que um certificado é emitido ou revogado pode ser determinada com precisão;
  4. Verificar, através de meios adequados de acordo com as leis nacionais, a identidade, e, caso seja aplicável, quaisquer atributos especiais da pessoa a favor de quem é emitido o certificado qualificado;
  5. Contratar pessoal que tenha conhecimento, experiência e qualificações necessárias para os serviços prestados, em particular com competência a nível de gestão, conhecimento em tecnologia de assinatura electrónica e familiarização com os procedimentos de segurança adequados, devendo, ainda, aplicar procedimentos administrativos e de gestão que sejam adequados e que correspondam a padrões reconhecidos;
  6. Utilizar sistemas e produtos fiáveis, que são protegidos contra modificações e que garantem a segurança técnica e de codificação do processo apoiado pelos mesmos;
  7. Tomar medidas contra a falsificação de certificados e, em casos em que o provedor de serviços de certificação gere dados de criação de assinatura, garantir a confidencialidade durante o processo de geração dos referidos dados;
  8. Mantiver recursos financeiros suficientes para operar em conformidade com os requisitos estabelecidos pela presente Lei, em particular no que concerne à assunção de responsabilidade por danos, dispondo de seguros adequados;
  9. Registar, electronicamente, toda a informação relevante relativa a um certificado qualificado para um período de tempo apropriado, com o objectivo de fornecer provas da certificação para efeitos de procedimentos legais;
  10. Não armazenar ou copiar dados de criação de assinaturas da pessoa a quem o provedor de serviços de certificação presta serviços chave de gestão;
  11. Antes de entrar numa relação contratual com a pessoa que procura um certificado que apoie a sua assinatura electrónica, informar a pessoa em causa, através de um meio de comunicação duradoiro, dos termos e condições precisos acerca da utilização do certificado, incluindo quaisquer limitações à sua utilização, a existência de um esquema voluntário de acreditação e os procedimentos para queixas e resolução de disputas. As informações referidas neste artigo podem ser transmitidas electronicamente, por escrito e em linguagem prontamente compreensível, podendo ser disponibilizadas a pedido de terceiros com base no certificado; ou
  12. Utilizar sistemas fiáveis para armazenar os certificados de uma forma verificável, por forma a:
  13. Só pessoas autorizadas poderem aceder para fazer introduções e alterações;
  14. A informação poder ser verificada no que concerne a autenticidade;
  15. Os certificados estarem publicamente disponíveis para acesso só nos casos em que o consentimento do portador do certificado tenha sido obtido;
  16. Quaisquer alterações técnicas que comprometam os requisitos de segurança sejam aparentes para o operador.

As entidades credenciadas para o exercício de certificação podem recorrer à subcontratação de terceiros para a prestação dos serviços mediante acordos por escrito, desde que a chave utilizada para gerar os certificados seja sempre identificada como pertencendo a essas entidades certificadoras, que assumam a inteira responsabilidade pelo cumprimento de todos os requisitos legais por parte das entidades subcontratadas.

Taxas e multas

As taxas devidas por registo, credenciação e renovação de credencial serão cobradas na base de salário mínimo em vigor na Função Pública, multiplicado por 40, 75 e 60 respectivamente. A competência de alteração das taxas é do titular da pasta de finanças, sob proposta do ministro que superintende a área das TIC.

A não observância de requisitos de certificação digital implica multas que variam entre 30 e 50 salários mínimos da Função Pública.

Comments are closed here.