eIDAS 2: Tudo o que você precisa saber

Identificação eletrônica (eID) é um método digital de comprovar a identidade de uma pessoa. Ela permite que indivíduos acessem serviços online, realizem transações eletrônicas e interajam com plataformas governamentais com segurança. Um sistema de identidade eletrônica garante que o indivíduo que usa os serviços seja quem ele afirma ser, reduzindo o risco de roubo de identidade e fraude.

Como uma forma de verificação de identidade digital, as identidades eletrônicas dependem sobremaneira de vários autenticadores. Em resumo, autenticação é o processo que garante que a identidade reivindicada por um usuário ou dispositivo é válida.

Normalmente, a verificação de identidade digital usa uma combinação de até três fatores de autenticação:

1. Autenticação baseada no conhecimento: O usuário fornece algo que só ele saberia, como uma senha ou código.
2. Autenticação baseada em posse: O usuário fornece algo que só ele teria, como um documento eletrônico, passaporte ou cartão inteligente.
3. Autenticação biométrica: As características físicas do usuário são verificadas por meio de impressão digital ou reconhecimento facial.

Após a verificação, o indivíduo recebe acesso aos serviços online desejados e sua identidade digital pode ser usada para verificações subsequentes.

Isso é perceptivelmente mais eficiente do que os processos tradicionais baseados em papel. Em vez de realizar verificações manuais ou presenciais, as organizações podem otimizar o fluxo de trabalho e eliminar erros humanos. Isso não apenas cria uma experiência de usuário mais conveniente, mas também oferece suporte ao gerenciamento de riscos e à proteção de dados em escala.

Casos de uso de identificação eletrônica

Diversos setores estão utilizando a identificação digital para autenticar clientes, cidadãos e funcionários de forma rápida e contínua.

• Bancos onlines: Os sistemas de identidade eletrônica permitem que as instituições financeiras garantam que somente indivíduos autorizados possam acessar as contas, protegendo contra possíveis fraudes.
• Setor público: Os serviços de identidade digital permitem que os cidadãos acessem serviços governamentais essenciais on-line, como declaração de impostos, solicitação de benefícios sociais e acesso a registros pessoais. Isso elimina a necessidade de visitas físicas aos escritórios do governo, reduzindo encargos administrativos e melhorando a prestação geral de serviços.
• Serviços profissionais: Advogados, contadores e outros profissionais podem usar a identidade eletrônica para verificar as identidades dos clientes remotamente, garantindo a conformidade com os requisitos legais e regulatórios. Este processo de verificação seguro agiliza a integração do cliente, a assinatura de documentos e o provisionamento de serviços confidenciais, aumentando a confiança nos relacionamentos profissionais.
• Lojas on-line: Ao verificar a identidade dos clientes durante transações digitais, a identidade eletrônica garante que as compras sejam autorizadas. Também simplifica os processos de finalização da compra, permitindo que os clientes concluam transações de forma rápida e segura, sem precisar inserir informações pessoais repetidamente. Essa experiência aprimorada do usuário pode gerar maior satisfação e fidelidade do cliente.

eIDAS é o acrônimo de Serviços eletrônicos de identificação, autenticação e confiança. Como uma regulamentação que abrange UE, unifica todos os serviços europeus de identidade eletrônica e de confiança sob uma estrutura legal comum.

Antes da eIDAS, não havia uma abordagem consistente para verificar identidades eletrônicas. Cada Estado-Membro da UE tinha os seus próprios requisitos legais e infraestrutura de serviços de confiança, mas estes não funcionavam em outros países. Esse cenário fragmentado dificultou a proteção de transações internacionais, prejudicando a eficácia dos serviços online e das plataformas de comércio eletrônico.

A Comissão Europeia aprovou a Regulamentação eIDAS em 2014, estabelecendo três princípios unificadores:

1. Reconhecimento mútuo: De acordo com a eIDAS, todos os países da UE têm obrigação legal de reconhecer os sistemas de identidade eletrônica uns dos outros. Isso significa que um documento de identidade eletrônico nacional ou serviço de confiança emitido em um Estado-Membro da UE deve ser aceito em todos os outros.
2. Interoperabilidade: A eIDAS também garante a compatibilidade entre diferentes soluções de identificação eletrônica. Indivíduos e organizações podem usar a mesma identidade digital em várias plataformas e serviços sem nenhum obstáculo.
3. Segurança: A regulamentação também garante que as identidades digitais e as transações eletrônicas sejam protegidas contra fraudes e ameaças cibernéticas, proporcionando um ambiente seguro e confiável em toda a UE.

Esta regulamentação da UE aplica-se a todos os 27 Estados-Membros. A conformidade também é obrigatória para organizações da UE com ofertas digitais que exigem identificação segura, como serviços bancários ou de comércio eletrônico. Da mesma forma, aplica-se a qualquer provedor de serviços de confiança (TSP) que opere na União Europeia, que deve obter a certificação de um órgão de supervisão designado, confirmando que os serviços da organização atendem aos padrões do eIDAS.

O que é um provedor de serviços de confiança?

Um provedor de serviços confiáveis é uma pessoa física ou jurídica que cria, verifica e preserva assinaturas eletrônicas, selos e certificados. Os TSPs também garantem a confidencialidade e a non-repudiation das informações e autenticam sites ou signatários.

Seus serviços fornecem os mecanismos necessários para verificar a autenticidade e integridade de um documento eletrônico, identidade ou comunicação. Eles são um componente crucial da Regulamentação eIDAS, garantindo que as interações online sejam tão seguras e confiáveis quanto suas contrapartes no papel.

Consequentemente, os serviços de confiança eIDAS podem incluir:

1. Assinaturas eletrônicas
   Uma assinatura eletrônica funciona da mesma forma que uma assinatura manuscrita. É usada para assinar documentos digitalmente, fornecendo uma maneira segura e verificável de garantir que o signatário é quem ele afirma ser e que o documento não foi alterado desde que a assinatura foi aplicada. A eIDAS classifica essas assinaturas em três níveis:

   • Assinatura eletrônica simples: Oferece segurança básica adequada para aplicações de baixo risco.
   • Assinatura eletrônica avançada: Fornece um nível mais alto de segurança ao vincular a assinatura exclusivamente ao signatário e permitir a detecção de quaisquer alterações feitas nos dados assinados.
   • Assinatura eletrônica qualificada: Emite o mais alto nível de segurança e é legalmente equivalente a uma assinatura manuscrita. Deve ser criado usando um dispositivo qualified signature creation device com base em um certificado digital qualificado.

   Um QSCD é um tipo de hardware criptográfico, como um módulo de segurança de hardware (HSM), que passou por um processo de certificação eIDAS.
    

2. Selos eletrônicos
   Um selo eletrônico é semelhante a uma assinatura eletrônica, mas é usado por pessoas jurídicas (por exemplo, empresas) e não pessoas físicas. Garantem a origem e a integridade de um documento, verificando se ele foi emitido por uma entidade específica e não foi alterado.
3. Carimbos de data/hora
   Um carimbo de data/hora prova que um documento eletrônico específico ou um dado existiu em um determinado momento. É uma maneira segura de estabelecer a origem da criação, envio ou recebimento de um documento, adicionando outra camada de integridade e confiança.
4. Certificados digitais
   Resumindo, um certificado é um arquivo que comprova a autenticidade de um dispositivo, servidor, usuário ou entidade por meio de criptografia de chave pública. Contém uma cópia de uma chave pública do titular do certificado, que deve ser associado a uma chave privada correspondente para verificar a proveniência.

A Regulamentação Europeia de Identidade Digital, também conhecida como eIDAS 2, é uma versão atualizada da legislação original da eIDAS. Foi publicada no Diário Oficial da União Europeia em abril de 2024 e entrou em vigor um mês depois.

Embora a primeira iteração tenha sido bem-sucedida em muitos aspectos, ainda havia muito progresso a ser feito. Notavelmente, a estrutura original de identidade digital teve níveis variados de adoção em cada Estado-Membro da UE, levando a inconsistências e dificuldades no uso de identidades eletrônicas e serviços de confiança. Em 2021, apenas 59% dos residentes da UE podiam usar uma identidade eletrônica confiável além das fronteiras.

A eIDAS 2 aborda essas deficiências introduzindo uma série de mudanças significativas.

A Carteira Europeia de Identidade Digital (Carteira EUDI)

Anteriormente, os países da UE podiam notificar voluntariamente os sistemas nacionais de identidade eletrônica, que outras nações eram obrigadas a reconhecer. No entanto, isso não forçava nenhum país a criar um sistema de identificação eletrônica se ainda não tivesse um – daí as taxas de adoção variáveis.

Agora, todos os Estados-Membros devem oferecer uma carteira digital segura às empresas e aos cidadãos, que podem vincular a identidade eletrônica nacional com comprovantes de outros dados pessoais, como carteira de habilitação, diplomas e contas bancárias. Isso permite a criação de uma Carteira de Identidade Digital universal da UE, que permite que indivíduos armazenem, gerenciem e compartilhem seletivamente dados pessoais, credenciais e atributos.

O objetivo é dar aos europeus controle total sobre seus dados ao usar serviços online, reduzindo o compartilhamento desnecessário de dados. Os provedores de serviços que verificam as identidades dos clientes devem aceitar essas carteiras para autenticação.

Fundamentalmente, a Carteira de Identidade Digital da UE tem três características principais:

1. Segurança: A atualização está alinhada às leis de segurança cibernética existentes, como o Regulamento Geral de Proteção de Dados (RGPD), que exige conformidade com esses padrões. Também permite que órgãos públicos emitam certificações eletrônicas, ajudando organizações a reconhecer credenciais em toda a Europa e, ao mesmo tempo, priorizando a privacidade dos dados.
2. Comodidade: A Carteira EUDI facilita o acesso dos cidadãos a serviços públicos, a candidatura a empregos ou a viagens pela Europa. Eles podem usar essa ferramenta para compartilhar detalhes de identidade com organizações para fins de autenticação, simplificando o acesso a atividades internacionais essenciais.
3. Interoperabilidade: A regulamentação também promove uma abordagem unificada, facilitando a ampla aceitação de identidades digitais em toda a UE. Oferece uma estrutura técnica comum e padrões para cidadãos e provedores de serviços online. Essa harmonização garante que as soluções de identidade digital sejam reconhecidas e confiáveis em toda a UE.

Os Estados-Membros devem disponibilizar uma carteira nacional de identidade digital aos cidadãos até 2026.

Um escopo expandido

A Regulamentação Europeia de Identidade Digital melhora significativamente a estrutura para provedores de serviços de confiança qualificados (QTSPs) – entidades certificadas para oferecer serviços de confiança seguros e confiáveis. Os QTSPs devem aderir a padrões regulatórios rigorosos, que incluem ordens para implementar protocolos de segurança, passar por auditorias regulares e obter certificação de um órgão de supervisão designado.

Além disso, a eIDAS 2 expandiu o escopo da regra para incluir três novos serviços de confiança qualificados:

1. Serviços de arquivamento eletrônico: O arquivamento fornece armazenamento seguro de documentos e dados eletrônicos. Esses serviços garantem que os dados arquivados permaneçam autênticos e inalterados ao longo do tempo. Os serviços qualificados de arquivamento eletrônico, introduzidos pela eIDAS 2, devem aderir a padrões rigorosos para preservar a integridade e o valor legal dos documentos eletrônicos durante todo o seu período de guarda.
2. Livros-razão eletrônicos: Este serviço utiliza a tecnologia blockchain para fornecer um registro seguro e imutável de transações e dados. Isso garante que os dados eletrônicos possam ser rastreados e verificados de forma confiável, dando suporte a várias aplicações e casos de uso, como transações financeiras, gerenciamento da cadeia de suprimentos e muito mais.
3. Gerenciamento de dispositivos remotos de criação de assinaturas e selos eletrônicos: Este serviço de confiança permite que fornecedores de assinatura eletrônica gerenciem processos de assinatura e selos remotamente, de forma segura, e isso garante que os signatários mantenham controle total do processo de assinatura, mesmo que não estejam realizando a assinatura fisicamente.

A conformidade com a eIDAS será diferente dependendo se você é uma organização da UE ou um provedor de serviços de confiança. Veja aqui ferramentas essenciais que qualquer parte pode usar para simplificar os requisitos regulatórios:

Empresas da UE

Organizações com serviços que exigem verificação de identidade devem implementar um esquema de autenticação robusto. Para as empresas europeias em particular, seja focadas em uma solução local específica, em uma estratégia regional ou em uma abordagem global, o cenário regulatório da UE está mudando rapidamente – com a harmonização como objetivo final. Isso envolve o uso de certificados eIDAS e assinaturas eletrônicas qualificadas, que são atestados que confirmam a identidade e verificam a autenticidade. Os processos de verificação digital devem ser integrados às operações da empresa para agilizar a integração e a autenticação de transações, garantindo que apenas indivíduos autorizados possam acessar serviços e dados confidenciais.

Provedores de serviço de confiança

Os TSPs devem usar QSCDs para criar assinaturas eletrônicas qualificadas. Esses dispositivos garantem que os dados de criação de assinaturas (como chaves privadas) sejam gerados, gerenciados e armazenados em um ambiente seguro, impedindo acesso não autorizado.

Os provedores de serviços também devem implementar uma infraestrutura de chave pública (PKI) robusta para gerenciar certificados digitais e chaves criptográficas. A PKI permite a emissão, distribuição e verificação seguras de certificados digitais, garantindo que assinaturas eletrônicas e outros serviços sejam confiáveis. Os TSPs devem garantir que suas operações de PKI estejam em conformidade com os requisitos da eIDAS, incluindo a manutenção de práticas seguras de gerenciamento de chaves.

Os sistemas de gerenciamento de identificação e acesso (IAM) também são cruciais para que os TSPs gerenciem as identidades dos usuários e controlem o acesso aos seus serviços. Esses sistemas devem incorporar métodos de autenticação fortes, como autenticação multifator (MFA), para verificar as identidades dos usuários. As soluções de IAM também podem garantir que somente indivíduos autorizados possam realizar operações confidenciais, como emitir certificados ou criar assinaturas eletrônicas.

Como membro fundador do Cloud Signature Consortium e fornecedor de soluções de infraestrutura para a implantação de serviços confiáveis, a Entrust está à disposição para ajudar você a atingir a conformidade com a eIDAS. Nossas soluções permitem que você gere assinaturas qualificadas e crie serviços confiáveis em conformidade com uma base sólida e segura.