eIDAS 2.0

Alicio

Alicio

eidas 2.0

Desde o seu lançamento em 2016, o eIDAS tem aumentado gradualmente o nível de confiança nas transacções electrónicas e, consequentemente, a segurança das transacções em linha. No entanto, a interoperabilidade desejada não foi alcançada.

Se há algumas semanas atrás analisámos as 6 questões-chave para a compreensão do eIDAS, hoje vamos mais longe para compreender o que faltava no eIDAS e como pretende compensá-lo com o eIDAS 2.0.

O que é eIDAS 2.0?

Em suma, o eIDAS é um quadro regulamentar para a identificação digital e serviços de confiança na Europa.

O eIDAS 2.0 é a adaptação do eIDAS ao contexto actual de descentralização e ao paradigma do ISS. Evidentemente, também tem em conta as áreas de melhoria identificadas, principalmente relacionadas com a eID (outros serviços de confiança relacionados com a eID são também acrescentados).

Além disso, introduz o conceito de carteira de identidade digital, que visa reunir os documentos de identidade dos cidadãos europeus e torná-los válidos em qualquer Estado Membro.

É importante esclarecer que o eIDAS 2.0 não substitui o eIDAS tal como o conhecemos, mas é uma normalização da regulamentação para estabelecer um quadro único para a identidade digital na Europa.

O eIDAS 2.0 deverá estar operacional até 2025. Para tal, a UE fornecerá aos Estados-Membros todas as ferramentas necessárias para a emissão, utilização, verificação, etc. de credenciais.

O objectivo final é que até 2030, a maioria dos cidadãos europeus terá um sistema de identificação chamado “e-ID”, uma forma simples e segura de partilhar informações de identificação em vários contextos, desde cartas de condução a diplomas profissionais e certificados médicos. O sistema funcionará com carteiras digitais europeias, disponíveis em telemóveis.

As principais novidades do eIDAS 2.0: QTSP e carteira

Contexto dos serviços de confiança

O artigo 3(16) do Regulamento eIDAS define os serviços fiduciários como “serviços electrónicos prestados mediante remuneração, que consistem em :

  • (a) a criação, verificação e validação de assinaturas electrónicas, selos electrónicos ou carimbos horários, serviços de entrega electrónica certificados e certificados relacionados com esses serviços; ou
  • (b) a criação, verificação e validação de certificados para a autenticação de websites; ou
  • (c) A retenção de assinaturas electrónicas, selos ou certificados relacionados com esses serviços.

Os Serviços de Confiança (TS) garantem a segurança das transacções electrónicas.

O resultado da assinatura electrónica de um documento é um conjunto de bits e bytes. Nenhum documento físico é obtido. Os serviços de confiança nasceram para ultrapassar estas deficiências, operando através de fornecedores oficiais (fornecedores de serviços de confiança ou fornecedores de serviços de confiança qualificados) de acordo com as normas da UE.

Como o eIDAS 2.0 introduz um nível de segurança mais elevado, a utilização de um Fornecedor de Serviços de Confiança Qualificado (QTSP) deve ser envolvida para a sua paz de espírito. Definimo-lo abaixo.

O que é um Serviço de Fideicomisso Qualificado (QTSP)?

O acrónimo QTSP significa Qualified Trust Service Provider (Provedor de Serviços de Confiança Qualificado). Em inglês, significa um prestador de serviços de confiança qualificado.

Em geral, um QTP é uma entidade (também pode ser uma pessoa singular) que fornece serviços fiduciários qualificados. Para poder prestar estes serviços, os PQT são colocados sob o controlo e supervisão de um organismo nacional.

O QTSP é um rótulo de qualidade que cumpre requisitos de segurança muito rigorosos reconhecidos pela eIDAS.

A marca de confiança da UE é reservada a certos fornecedores e serviços, que têm de ser submetidos a auditorias extensivas a fim de obterem o estatuto de fornecedor qualificado. Isto significa que são fornecedores e serviços de confiança em que pode confiar para realizar as suas transacções online em segurança.

Características do QWPS

  1. Os PSQT e os serviços que prestam são regidos por rigorosos requisitos de qualidade e segurança. Por conseguinte, são muito seguros.
  2. Com um PSQT, é muito difícil falsificar ou manipular o sistema, já que quaisquer alterações à configuração são feitas por dois indivíduos de confiança, localizados em instalações fisicamente seguras.
  3. A STQP oferece o serviço mais flexível e adaptável. Por exemplo, ao fazer negócios em diferentes Estados Membros, cumprirá sempre os requisitos de todos os países.
  4. Apenas os QTSP aprovados estão incluídos na Lista de Confiança da UE.

Qual é a diferença entre um TSP e um RQTH?

A principal diferença entre um Fornecedor de Serviços de Confiança Genérico (TSP) e um Fornecedor de Serviços de Confiança Qualificado (QTSP) é a segurança.

O QTSP deve cumprir os requisitos estabelecidos no eIDAS e ser objecto de auditoria independente quanto à segurança, confiança e qualidade do serviço.

Os TSP e os QTSP devem cumprir o eIDAS e ser acreditados como Provedores de Serviços Confiáveis (TSP) pelos seus organismos nacionais competentes.

Que serviços de confiança são reconhecidos pela eIDAS?

Segundo o eIDAS, os serviços fiduciários são os seguintes:

  • (1) Assinatura electrónica
  • (2) Selos electrónicos
  • (3) Carimbo electrónico de tempo
  • (4) Serviço de entrega electrónica certificado
  • (5) Autenticação do website

eIDAS 2.0 alarga os serviços de confiança acrescentando o mais alto nível de segurança, conhecido como serviços “qualificados”. Estes novos serviços incluem serviços de arquivo electrónico de documentos, atestado electrónico de atributos e livros-razão electrónicos. Como acima mencionado, os serviços fiduciários estão relacionados com a identificação electrónica.

O que é uma carteira digital?

A carteira cumpre o objectivo final de criar uma identidade digital europeia. Visa dar aos cidadãos e empresas europeias acesso aos seus dados pessoais através dos seus telemóveis.

Também lhe permite gerir todo o tipo de documentos oficiais e informações sensíveis, tais como cartas de condução, diplomas, contratos, prescrições médicas, etc.

A carteira é a digitalização da nossa carteira física. Com esta ferramenta virtual, os cidadãos da UE poderão armazenar os seus cartões virtualmente.

Quando falamos de uma carteira, estamos a falar de uma aplicação móvel instalada no nosso dispositivo que suporta todas as funções necessárias.

O objectivo da carteira é identificar indivíduos e facilitar transacções, tais como

  • Inscrição e matrícula nos serviços
  • Autenticação
  • Pagamentos e acesso a serviços financeiros
  • Assinaturas electrónicas
  • Acreditação de informação sensível (idade, estado civil, educação, etc.)

Ao mesmo tempo, protege a privacidade dos utilizadores, uma vez que só eles têm acesso às suas informações.

A carteira dá ao utilizador final o controlo total sobre os seus dados. Eles decidem quais as informações a partilhar com um determinado serviço.

Como funciona a carteira?

A carteira digital funciona da mesma forma que a sua contraparte física.

Tal como temos o nosso bilhete de identidade, carta de condução, cartões de pagamento, etc. na nossa carteira física, podemos armazenar a mesma informação na carteira digital, mas esta é armazenada na nuvem.

Cada carteira será única e associada a um indivíduo ou a um representante de uma entidade jurídica. Por outras palavras, terá um número de identificação único no mundo, que o representará sem dar quaisquer dados pessoais.

A carteira permite-nos confirmar quem somos, que somos maiores de idade, que temos uma carta de condução B, que fomos vacinados contra Covid, que estudámos numa determinada escola, etc.

Assim, se um utilizador precisar de fornecer provas do seu certificado de recenseamento, por exemplo, pode aceder directamente ao registo civil e carregar a sua informação.

A carteira, juntamente com o eIDAS 2.0, promove a autogestão da identidade europeia a fim de devolver aos cidadãos europeus a propriedade dos seus dados e impedir a utilização descontrolada de informações pessoais. Está, evidentemente, equipada com as mais rigorosas medidas de segurança.

Porque é que a carteira é útil para o utilizador?

Porque simplifica a burocracia e devolve a propriedade dos dados pessoais aos seus proprietários.

A carteira armazena tudo. Tal como com uma carteira física, se o proprietário a perder, terá de cancelar todos os seus cartões e solicitar novamente a maioria dos documentos.

A carteira armazena com segurança todas as informações pessoais de um indivíduo, tais como

  • Cartão de identidade
  • Contas bancárias
  • Assinaturas de serviços
  • Acesso biométrico

Se gostou, partilhe-o em

Ver todas as entradas

Também pode estar interessado em

EBA_PT

Abril 4, 2023

Autoridade Bancária Europeia (EBA) rejeita a biometria em dispositivos móveis como método para uma forte autenticação do cliente (SCA)

A Autoridade Bancária Europeia (EBA) exige uma forte autenticação do cliente (SCA) para os pagamentos electrónicos, a fim de aumentar a segurança. No entanto, a biometria no dispositivo já não é considerada um método válido a ser utilizado como segundo factor de autenticação, a EBA decidiu a 31 de Janeiro de 2023. No entanto, nem […]

 Detecção de ataques por apresentação facial

Março 29, 2023

Detecção de ataques de apresentação facial, uma visão geral.

A tecnologia de reconhecimento facial revolucionou a forma como identificamos as pessoas numa variedade de ambientes, desde desbloquear os nossos telefones à obtenção de acesso a áreas de alta segurança. No entanto, como qualquer tecnologia, não é imune a ataques maliciosos. A Detecção de Ataque de Apresentação (PAD) é um aspecto crítico da tecnologia de […]

Março 8, 2023

Qual é a diferença entre CDD e EDD?

Customer Due Diligence (CDD) é o processo de recolha de informações sobre um cliente para avaliar o risco de uma relação comercial. Este processo inclui a identificação do cliente e a verificação da sua identidade, bem como a recolha de informações sobre a sua actividade comercial; O Enhanced Due Diligence (EDD) é um processo mais […]