eIDAS - eIDAS

A marca de confiança da UE para serviços de confiança qualificados.

O mercado único digital da UE e a facilitação dos serviços públicos além-fronteiras.

eIDAS ( E lectronic ID entification , A uthentication and trust S ervices) é um regulamento da UE sobre identificação eletrónica e serviços de confiança para transações eletrónicas no Mercado Único Europeu . Foi estabelecido no Regulamento da UE 910/2014 de 23 de julho de 2014 sobre identificação eletrónica e revoga 1999/93 / CE de 13 de dezembro de 1999.

Entrou em vigor em 17 de setembro de 2014 e é aplicável a partir de 1 de julho de 2016, exceto para determinados artigos, que estão listados no seu Artigo 52. Todas as organizações que prestam serviços digitais públicos em um estado-membro da UE devem reconhecer a identificação eletrônica de todos os estados-membros da UE a partir de 29 de setembro , 2018.

Descrição

O eIDAS supervisiona a identificação eletrónica e os serviços de confiança para as transações eletrónicas no mercado interno da União Europeia . Ele regula assinaturas eletrônicas , transações eletrônicas, órgãos envolvidos e seus processos de incorporação para fornecer uma maneira segura para os usuários conduzirem negócios online, como transferência eletrônica de fundos ou transações com serviços públicos . Tanto o signatário quanto o destinatário podem ter mais comodidade e segurança . Em vez de depender de métodos tradicionais, como correio ou fax , ou comparecer pessoalmente para enviar documentos em papel, eles agora podem realizar transações internacionais, como a tecnologia " 1-Click ".

A eIDAS criou padrões para os quais assinaturas eletrônicas, certificados digitais qualificados , selos eletrônicos , carimbos de data / hora e outras provas de mecanismos de autenticação permitem transações eletrônicas, com o mesmo status legal das transações realizadas em papel.

O regulamento entrou em vigor em julho de 2015, como meio de facilitar as transações eletrónicas seguras e ininterruptas na União Europeia. Os Estados membros são obrigados a reconhecer as assinaturas eletrônicas que atendem aos padrões do eIDAS.

Visão

O eIDAS é o resultado do enfoque da Comissão Europeia na Agenda Digital da Europa. Com a supervisão da Comissão, o eIDAS foi implementado para estimular o crescimento digital na UE.

A intenção do eIDAS é impulsionar a inovação. Ao aderir às diretrizes definidas para a tecnologia no eIDAS, as organizações são incentivadas a usar níveis mais elevados de segurança da informação e inovação . Além disso, o eIDAS se concentra no seguinte:

• Interoperabilidade : os Estados-Membros são obrigados a criar um quadro comum que reconheça as identidades eletrónicas de outros Estados-Membros e garanta a sua autenticidade e segurança. Isso torna mais fácil para os usuários conduzirem negócios além-fronteiras.
• Transparência : eIDAS fornece uma lista clara e acessível de serviços confiáveis ​​que podem ser usados ​​dentro da estrutura de assinatura centralizada. Isso permite que as partes interessadas em segurança possam dialogar sobre as melhores tecnologias e ferramentas para proteger assinaturas digitais.

Aspectos regulamentados em transações eletrônicas

O Regulamento fornece o ambiente regulatório para os seguintes aspectos importantes relacionados às transações eletrônicas:

• Identidade digital : um quadro europeu para autenticação digital de cidadãos, com validade legal. Nove princípios de identidade digital da UE foram definidos: escolha do usuário, privacidade, interoperabilidade e segurança, confiança, conveniência, consentimento do usuário e proporcionalidade de controle, conhecimento de contrapartida e escalabilidade global.
• Assinatura eletrônica avançada : uma assinatura eletrônica é considerada avançada se atender a determinados requisitos:
  • Ele fornece informações de identificação exclusivas que o vinculam ao seu signatário.
  • O signatário tem controle exclusivo sobre os dados usados ​​para criar a assinatura eletrônica.
  • Deve ser capaz de identificar se os dados que acompanham a mensagem foram adulterados após a assinatura. Se os dados assinados foram alterados, a assinatura é marcada como inválida.
  • Existe um certificado de assinatura eletrônica, prova eletrônica que confirma a identidade do signatário e vincula os dados de validação da assinatura eletrônica a essa pessoa.
  • As assinaturas eletrônicas avançadas podem ser implementadas tecnicamente, seguindo o padrão XAdES , PAdES , CAdES ou ASiC Baseline Profile ( Associated Signature Containers ) para assinaturas digitais, especificado pelo ETSI .
• Assinatura eletrônica qualificada , uma assinatura eletrônica avançada criada por um dispositivo de criação de assinatura eletrônica qualificado com base em um certificado qualificado para assinaturas eletrônicas.
• Certificado digital qualificado para assinatura eletrônica , um certificado que atesta a autenticidade de uma assinatura eletrônica qualificada emitida por um provedor de serviços de confiança qualificado.
• Certificado de autenticação de site qualificado , um certificado digital qualificado ao abrigo dos serviços de confiança definidos no Regulamento eIDAS.
• Serviço de confiança , um serviço eletrônico que cria, valida e verifica assinaturas eletrônicas , carimbos de data / hora , selos e certificados . Além disso, um serviço de confiança pode fornecer autenticação de site e preservação de assinaturas eletrônicas, certificados e selos criados. Ele é tratado por um provedor de serviços de confiança .

Evolução e implicações legais

O Regulamento eIDAS evoluiu da Diretiva 1999/93 / EC, que definiu uma meta que os Estados-Membros da UE deveriam alcançar no que diz respeito à assinatura eletrônica. Os países europeus menores foram um dos primeiros a começar a adotar assinaturas digitais e identificação, por exemplo, a primeira assinatura digital da Estônia foi concedida em 2002 e a primeira assinatura digital da Letônia foi concedida em 2006. Sua experiência foi usada para desenvolver um modelo agora em toda a UE regulamento , que se tornou obrigatório como lei em toda a UE desde primeiro de julho de 2016. A diretiva tornou os estados membros da UE responsáveis ​​por criar leis que lhes permitiriam cumprir o objetivo de criar um sistema de assinatura eletrônica dentro da UE. A diretiva também permitiu que cada estado membro interpretasse a lei e impusesse restrições, evitando assim a interoperabilidade real e levando a um cenário fragmentado. Em contraste com esta diretiva, o eIDAS garante o reconhecimento mútuo da identidade eletrônica para autenticação entre os Estados membros, alcançando assim o objetivo do Mercado Único Digital .

eIDAS fornece uma abordagem em camadas de valor legal. Exige que nenhuma assinatura eletrônica tenha seus efeitos jurídicos ou admissibilidade negados em tribunal apenas porque não é uma assinatura eletrônica avançada ou qualificada. As assinaturas eletrônicas qualificadas devem ter o mesmo efeito legal que as assinaturas manuscritas.

Para os selos eletrônicos (versão das assinaturas das pessoas jurídicas), o valor probatório é explicitamente abordado, pois os selos devem gozar da presunção de integridade e da exatidão da origem dos dados anexados.

Número de identificação

As informações do banco de dados devem estar vinculadas a algum tipo de número de identidade. Certificar que uma pessoa tem o direito de acessar algumas informações pessoais envolve várias etapas.

• Conectar uma pessoa a um número, o que pode ser feito por meio de métodos desenvolvidos em um país, como certificados digitais.
• Conectando um número a informações específicas, feito em bancos de dados.
• Para o eIDAS, é necessário conectar o número usado por um país que possui as informações, ao número usado pelo país que emite os certificados digitais.

O eIDAS tem como conceito mínimo de identidade, o nome e a data de nascimento. Mas, para acessar informações mais sensíveis, é necessário algum tipo de certificação de que os números de identidade emitidos por dois países se referem à mesma pessoa.

Vulnerabilidades

Em outubro de 2019, duas falhas de segurança no eIDAS-Node (uma implementação de amostra do eID eIDAS Profile fornecido pela Comissão Europeia) foram descobertas por pesquisadores de segurança; ambas as vulnerabilidades foram corrigidas para a versão 2.3.1 do eIDAS-Node.

Estrutura Europeia de Identidade Soberana

A União Europeia está a criar um Quadro Europeu de Identidade Auto-Soberana (ESSIF) compatível com o eIDAS.

Veja também

• PAdES
• Autenticação multifator

Referências

links externos

• "REGULAMENTO (UE) No 910/2014 DO PARLAMENTO EUROPEU E DO CONSELHO, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93 / CE" . - O texto do regulamento eIDAS da UE.