O que é o regulamento eIDAS?

Quem e o que são afetados pela regulamentação eIDAS?

Em termos gerais, o eIDAS impacta:

• Cidadãos de países da UE.
• Organizações sediadas na UE ou que lidam com outras organizações e/ou cidadãos da UE.
• Os prestadores de serviços de confiança (TSPs) da UE protegem as transações da UE através de uma rede pública, especialmente as que dizem respeito a questões comerciais ou jurídicas em que a autenticação da identificação digital é importante. Um TSP inclui qualquer entidade envolvida na criação, validação e preservação de identificação eletrônicas, assinaturas eletrônicas, selos eletrônicos ou certificados digitais.

Aqui está uma lista não exaustiva de transações digitais cobertas pelo eIDAS:

• Transações relacionadas a viagens
• Faturamento eletrônico business-to-business
• Serviços governamentais, como cédulas de votação ou declaração de impostos
• Contratos bancários, investimentos e empréstimos
• Autenticação de site
• Serviços de pagamento de terceiros

O regulamento eIDAS exige que o governo e os serviços comerciais públicos reconheçam formatos de assinatura padrão e identificação pan-europeias. Por outras palavras, a identificação eletrônica de um cidadão deve ser igualmente reconhecida em qualquer estado-membro da UE. Notavelmente, o ônus da conformidade recai diretamente sobre os TSPs – e não sobre os próprios consumidores.

Quais são os benefícios da IDaaS?

A introdução de serviços de identificação eletrônica e de confiança pode ter muitas vantagens. De acordo com a Comissão Europeia, os benefícios incluem:

1. Melhor experiência do usuário: Os tipos de serviços de autenticação habilitados pelo eIDAS garantem uma entrega tranquila de produtos aos consumidores. Mais importante ainda, aumentam a confiança e a satisfação, proporcionando aos clientes um nível mais elevado de segurança durante o processo de transação.
2. Aumento da segurança: O eIDAS permite que os indivíduos acessem convenientemente uma ampla gama de serviços on-line sem comprometer suas informações. As empresas estão sujeitas a requisitos de proteção de dados mais rigorosos, garantindo que tratam os dados pessoais dos consumidores com o máximo cuidado e em conformidade com as suas obrigações legais.
3. Simplifique a eficiência internacional: Com o eIDAS, as organizações não precisam de navegar em esquemas complexos e variados que diferem consoante a localização, o que costumava ser um problema comum para o comércio eletrônico internacional. Agora, as empresas podem realizar transações independentemente do estado-membro da UE em que se encontrem.

É claro que o eIDAS também gerou um impacto socioeconômico positivo. O regulamento promove o crescimento econômico digital, eliminando barreiras ao comércio eletrônico que, de outra maneira, complicariam os serviços on-line.

Uma identificação eletrônica, ou “eID,” é um meio eletrônico de verificação da identidade digital de alguém. Segundo a Comissão Europeia, uma identificação eletrônica segura é essencial para a vida quotidiana no mundo digital.

Ele pode ser usado para verificar e-mails, fazer compras on-line, desbloquear dispositivos e muitas outras atividades regulares. A identificação eletrónica também pode garantir a identificação inequívoca de uma pessoa, assegurando que o serviço correto é prestado à pessoa que efetivamente tem direito a ele. Por sua vez, os eIDs são um aspecto vital da banca on-line e de outras transacções digitais sensíveis.

Níveis de garantia eIDAS

O termo “nível de garantia” refere-se ao grau de certeza que um prestador de serviços pode ter de que a identificação reivindicada por uma pessoa é precisa. Em outras palavras, é o grau de confiança que você tem de que alguém é quem diz ser ao usar um eID para acessar um serviço on-line.

No eIDAS, um esquema de eID deve ser classificado de acordo com três níveis de garantia:

1. Baixo: O esquema eID utiliza autenticação simples, como senhas, com poucas verificações de identificação durante o processo de registro.
2. Substancial: O esquema utiliza autenticação de dois fatores com verificações extras durante o processo de registro.
3. Alto: O mais alto nível de garantia utiliza mecanismos sofisticados de autenticação multifatorial com verificações de identificação compreensivas.

Todos os três níveis dependem muito da autenticação, que é essencialmente o processo de verificação de uma identificação eletrônica. Isto envolve a recolha de dados de identidade relevantes, que são informações sobre um indivíduo ou entidade que apenas a pessoa real poderia compartilhar. Geralmente, os métodos de autenticação usam três fatores de comprovação de identificação:

1. Autenticação baseada no conhecimento: O signatário fornece algo que só ele saberia, como uma senha ou código.
2. Autenticação baseada em posse: O signatário fornece algo que só ele teria, como um documento de identidade ou cartão inteligente.
3. Autenticação baseada em biometria: O signatário é verificado por suas características físicas, como impressão digital ou reconhecimento facial.

Notavelmente, o regulamento eIDAS não especifica quais tecnologias ou métodos de autenticação são necessários para atender a cada nível de garantia. É por esta razão que os países da UE desenvolvem os seus próprios sistemas de identificação eletrônica. Embora se baseiem nos princípios do eIDAS, cada estado é livre para projetar seu próprio sistema de uma forma que reflita o seu panorama tecnológico único.

Um estudo de 2022 esclarece como os estados membros da UE criam seus esquemas. De acordo com os resultados:

• Os esquemas de identificação eletrônica de 25 países apoiam uma garantia elevada.
• 20 apoiam uma garantia substancial.
• 12 de baixo apoio.

Como podem ver, a UE aposta numa maior garantia, sublinhando a importância da identificação eletrônica segura.

Os serviços de confiança referem-se a uma ampla gama de atividades de autenticação e assinatura para proteger transações eletrônicas. Alguns dos serviços de confiança mais comuns incluem:

• Certificados: Um método para garantir a identidade de alguém é uma autoridade terceirizada emitir um certificado digital. Resumindo, um certificado é um arquivo que comprova a autenticidade de um dispositivo, servidor, usuário ou entidade por meio de criptografia de chave pública. Funciona contendo uma cópia de uma chave pública do titular do certificado, que deve corresponder a uma chave privada correspondente para verificar se é real.
• Carimbo de data e hora eletrônico: O carimbo de data/hora é um processo pelo qual uma data e hora são vinculadas eletronicamente e criptograficamente a um documento, sua assinatura e outras informações, certificando assim sua existência em um determinado momento. A precisão da data e hora é garantida pelo prestador de serviços de confiança, não podendo ser comprometida por terceiros. Isto pode ser juridicamente importante por muitas razões, mas é especialmente útil quando acordos contratuais estão em disputa.
• Assinatura e selo eletrônico: Uma assinatura eletrônica, assim como sua contraparte manuscrita, é uma forma de certificar a autenticidade de um documento legal e estabelecer a intenção de se vincular aos termos nele contidos. Um selo eletrônico, por outro lado, representa uma organização inteira e não uma pessoa.
• Assinatura digital: Uma assinatura digital é um tipo de assinatura eletrônica criada usando um certificado digital e uma chave de assinatura privada. Como as assinaturas digitais são à prova de falsificação, elas garantem que um documento não seja alterado depois de assinado.

Qualquer organização que facilite qualquer um dos itens acima é considerada um prestador de serviços de confiança e, portanto, está sujeita à conformidade com o eIDAS.

eIDAS defines three types of electronic signatures that a service provider can offer:

1. Assinatura eletrônica simples

A Comissão Europeia considera uma assinatura eletrônica simples como a mais básica das três. É definido como “dados em formato eletrônico anexados ou logicamente associados a outros dados em formato eletrônico e que são usados pelo signatário para assinar”. Em essência, algo tão fácil como rabiscar seu nome em um documento eletrônico pode constituir uma simples assinatura eletrônica.

2. Assinatura eletrônica avançada

Uma assinatura eletrônica avançada possui requisitos mais precisos. Por exemplo, deve ser:

• Exclusivamente vinculado e capaz de identificar o signatário
• Criado de uma forma que permite ao signatário permanecer no controle
• Vinculado documento para que qualquer alteração posterior seja detectada

Normalmente, uma assinatura eletrônica avançada é criada utilizando certificados digitais e chaves criptográficas, o que significa que também pode ser considerada uma assinatura digital. No entanto, também podem utilizar biometria, códigos de acesso e outros meios eletrônicos.

3. Assinatura eletrônica qualificada

Sendo a mais sofisticada das três, uma assinatura eletrônica qualificada oferece o mais alto nível de garantia. No entanto, existem dois requisitos adicionais a serem considerados:

1. Uma assinatura eletrônica qualificada só pode ser criada através de um dispositivo de criação de assinatura qualificada (QSCD). Um QSCD é um tipo de hardware criptográfico, como um módulo de segurança de hardware (HSM), que passou por um processo de certificação eIDAS.
2. Uma assinatura qualificada também deve ser baseada em um certificado qualificado. No âmbito do eIDAS, um certificado qualificado segue requisitos mais rigorosos do que um certificado digital típico. Além disso, só pode ser emitido por um provedor de serviços de confiança qualificado (QSTP), como a Entrust. QSTPs são organizações que foram auditadas e receberam status qualificado por uma autoridade nacional competente, conforme refletido na lista confiável da UE.

Na Entrust, sabemos que navegar pela conformidade não é fácil e a regulamentação eIDAS não é diferente. Quer seja uma organização da UE ou um prestador de serviços de confiança, a intenção é proporcionar aos consumidores uma experiência de transação segura e contínua, independentemente de quando ou onde ela ocorre.

Organizações da UE: Gere assinaturas e selos avançados e qualificados com a Entrust

A Entrust é membro fundador do Cloud Signature Consortium, uma autoridade de certificação globalmente confiável, membro da Adobe Approved Trust List e Provedor de Serviços de Confiança qualificado pela EU eIDAS. Podemos ajudá-lo a configurar serviços de assinaturas eletrônicas com base em nossas assinaturas avançadas e qualificadas eIDAS.

Confira nosso portal de assinatura e teste gratuitamente em signhost.com.

Provedores de serviço seguro: Crie um serviço confiável eIDAS

A execução de seus serviços de confiança exigirá uma root of trust forte. A Entrust pode ajudá-lo a implantar um dispositivo de criação de assinatura qualificada com certificação eIDAS com HSMs nShield combinados com o módulo de ativação de assinatura da Entrust.

Nossos HSMs permitem que os TSPs maximizem a confiança e possibilitem transações juridicamente vinculativas entre fronteiras, ao mesmo tempo que reforçam a segurança. Os provedores de serviços podem aproveitar os HSMs nShield para emitir certificados digitais, carimbos de data/hora ou assinaturas digitais como parte de suas soluções compatíveis com eIDAS.

A Entrust também pode fornecer mecanismos de assinatura digital para a geração de assinaturas digitais alinhadas ao eIDAS. Combinado com as soluções PKI da Entrust e as soluções de gerenciamento de identificação e acesso da Entrust, você terá tudo o que precisa para configurar seu próprio serviço de assinatura.