Perguntas frequentes

Neste FAQ, você encontrará as perguntas mais frequentes sobre nossos serviços. Se você não encontrar uma resposta correspondente, entre em contato conosco diretamente através do formulário de contato. Digite um termo na caixa de pesquisa e role lentamente para baixo. Todas as perguntas e respostas que contêm sua palavra de pesquisa serão destacadas em amarelo.

A | Padrões de erro

O que significa a mensagem de erro “Incompatibilidade de número de série. Aconselhamos vivamente que passe pelo processo de pré-assinatura para obter o número de série StepUp real ” . Esta mensagem de erro indica que em um processo PWD / OTP a senha foi redefinida e selecionada novamente sem realizar uma nova identificação com o processo de step-up correspondente de acordo com o Guia de Referência.

Eu autentiquei corretamente com PWD / OTP, Mobile ID ou Mobile ID App – mas a assinatura não funcionou … qual poderia ser o motivo?

As causas são:

  • Você definiu uma nova senha para o procedimento PWD / OTP. Isso só pode ser realizado em situações excepcionais em uma autoridade de registro interna e, caso contrário, deve sempre ocorrer como parte de uma nova identificação.
  • Você já havia se autenticado anteriormente com PWD / OTP e agora ativou seu MobileID com um número de celular suíço ou internacional, usando um aplicativo Mobile ID. Nesse caso, uma nova identificação também deve ocorrer porque o meio de autenticação pertencente à identidade foi alterado.
  • Você alterou o SIM ou a operadora de celular. Como resultado, a autenticação MobileID mudou ao usar um MobileID. Uma nova identificação também é necessária para isso.
  • Se nenhuma dessas causas estiver presente, você deve abrir um tíquete.

Freqüentemente, as mensagens referem-se à falta de integridade, ou seja, o documento mostra as alterações após a assinatura do documento. Por exemplo, elementos da rede foram baixados e inseridos posteriormente. Isso pode ser evitado usando consistentemente a versão mais recente do PADES padrão PDF / A para a assinatura. Para criar documentos PADES corretos, siga este link aqui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Deve-se notar que os validadores da UE estão longe de estar harmonizados. Isso significa que os portais de teste podem apresentar uma assinatura eletrônica qualificada como “inválida”, embora atenda aos requisitos para datação eIDAS. A harmonização está a ser trabalhada pela UE.

“A assinatura é válida, mas a validade da identidade do signatário não pôde ser verificada” é a declaração da Adobe se nenhum formato LTV foi usado. O pano de fundo é que a Adobe tenta verificar a validade de um certificado de 10 minutos. Se nenhum formato de validação de longo prazo foi utilizado, que armazena as informações de validade no momento da assinatura, eles não podem mais ser acessados após algum tempo. Portanto, assinaturas com certificados de curto prazo (mas também assinaturas com comprovação de longo prazo) devem sempre ser salvas no formato LTV. Você pode encontrar mais dicas aqui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Esta mensagem é acionada em dois casos:

a) Caso você tenha acabado de ser identificado com o aplicativo Swisscom RA e uma alteração tenha ocorrido antes com seu método de autenticação (cartão SIM / alteração de contrato, Mobile ID reset, senha para a assinatura foi alterada, altere de PWD / OTP para Mobile ID )

Nesse caso, está tudo OK e você pode continuar a se inscrever normalmente até o nível qualificado.

b) No caso de novos Termos e Condições disponíveis que devem ser aceitos e uma alteração ocorreu com seu método de autenticação desde a última assinatura bem-sucedida (cartão SIM / alteração de contrato, Mobile ID redefinir, senha para a assinatura foi alterada, alternando de PWD / OTP para Mobile ID)

Neste caso, você deve ser identificado novamente para poder fazer assinaturas qualificadas.

A chamada de verificação que verifica se uma pessoa é conhecida no RA-Service retorna o seguinte código de erro:

{

“StatusCode”: 404,

“Mensagem”: “Não é possível verificar a jurisdição de usuário desconhecido com msisdn XXXXXXXXX”,

“ExceptionClass”: “EvidenceVerificationException”

}

Isso significa que a pessoa é desconhecida do RA-Service. Pode ser que essa pessoa provavelmente esteja identificada, mas não aceitou o SMS com os Termos de Uso. Após um curto período (cerca de 2 semanas), os dados da pessoa serão excluídos.

B | Identificação em geral

Na Suíça, a Swisscom expande continuamente as possibilidades para permitir a identificação nas lojas da Swisscom. Faremos um relatório sobre isso nesta página principal da web. No exterior, a identificação só será possível por meio de parceiros que a oferecem. A médio prazo, a Swisscom está procurando uma conexão com identidades existentes (por exemplo, verificação de identidade online por um banco ou um eID estadual, como o Personalausweis alemão ou SwissID).

Durante a identificação, o meio de autenticação (por exemplo, especificamente o número do telefone celular) é consultado. Com isso, uma primeira assinatura já é executada (autenticação step-up), normalmente a assinatura dos termos de uso que foram aceitos. Esta assinatura é transferida para o All-in Signing Service. Isso significa que o All-in Signing System conhece exatamente os meios de autenticação.

Uma agência de RA está associada a uma área de armazenamento (chamada de “locatário”) na qual apenas as pessoas identificadas pelo agente principal de RA ou outros agentes de RA de sua agência são gerenciadas. O Agente RA-Master tem acesso a este locatário e pode nomear qualquer pessoa identificada deste locatário como um agente RA.

Se uma pessoa foi identificada por outro método do Smart Registration Service (por exemplo, identificação de vídeo na UE), o Agente Mestre RA não pode nomear essa pessoa como um agente RA devido ao fato de que ela está associada a outro locatário (o locatário SRS). O RA Master Agent deve identificá-lo novamente por meio do RA-App.

A única exceção é o primeiro RA-Master Agent: ele é identificado de qualquer maneira por uma pessoa da Swisscom, Swisscom Partner ou, por exemplo, uma identificação de vídeo e, portanto, acaba no inquilino “errado” por padrão. Quando a agência é configurada, o agente principal RA nomeado é procurado e movido para o novo locatário correto da agência RA. No entanto, outros adiamentos não são possíveis.

Esta é uma resposta de teste

C | RA-App

Isso acontece indiretamente. Na prática, o procedimento é o seguinte: A agência RA primeiro nomeia um agente mestre RA. Este agente é identificado pela Swisscom ou um parceiro da Swisscom e passa por treinamento. Ele então recebe uma interface de usuário com a qual pode transformar outras pessoas identificadas por ele apenas em agentes RA ou agentes mestre RA. No entanto, eles também devem passar por um treinamento de e-Learning solicitado automatizado.

Em princípio, a Swisscom deve reter os dados por muito tempo (11 anos na Suíça ou 35 anos na UE). Mas as pessoas podem ser desativadas pelo agente mestre RA ou pela Swisscom para que não possam mais assinar.

Em média, uma identificação é concluída em 2 minutos.

Segure a câmera para que todo o documento de identificação seja capturado pelo recorte (ainda borrado, se necessário). Mova a câmera lentamente para mais perto do emblema e ela começará a focar novamente.

As agências de RA atuam em nome do escritório de registro da Swisscom. Além das funções de execução cuidadosa das atividades do registro, a proteção de dados também é uma prioridade. Os princípios de proteção de dados do art. 28 DSGVO se aplicam, que se refletem de forma precisa nas medidas técnico-organizacionais (TOM) no contrato da Agência RA. Eles são baseados em 2 seções do art. 28, que refletem o uso do aplicativo no dispositivo móvel:

  • A medida deve "garantir a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços em conexão com o processamento em uma base de longo prazo" e
  • Incluir um procedimento para revisão, avaliação e avaliação regulares da eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.
  • O responsável pelo tratamento e o subcontratante devem tomar medidas para assegurar que as pessoas singulares sob a sua autoridade com acesso aos dados pessoais os tratem apenas por instruções do responsável pelo tratamento, a menos que sejam obrigadas a fazê-lo pela legislação da União ou nacional.

Isso significa que além da utilização de funcionários cuidadosamente selecionados e treinados, deve ser garantida a proteção do aplicativo no dispositivo móvel e também a proteção de acesso. Os dispositivos estão adequadamente protegidos contra vírus? Será proibido baixar programas de outras lojas de aplicativos que não oferecem proteção suficiente? Os funcionários mantêm seus PINs e senhas em segredo? Os dispositivos não têm acesso root?

A tarefa mais importante do agente de RA é o exame rigoroso dos documentos de identificação que lhe são apresentados e, em particular, a verificação rigorosa das informações de campo lidas pelo OCR do cartão de identificação / passaporte, bem como o registo correto do número do telemóvel.

D | Aceitação dos termos de uso e início do método de autenticação

Notifique o seu agente RA-Master e peça-lhe para procurar o número do telemóvel no portal. Você pode reenviar o SMS com os termos de uso clicando no link com o símbolo PDF:

Certifique-se de que você não registrou a pessoa no modo de demonstração RA-App (número do celular +41001234567, empresa “demo”).

Verifique a página Status do serviço ( https://trustservices.swisscom.com/service-status/ ) para ver se há alguma falha. Se nenhum SMS chegar após outra tentativa, por favor, informe o suporte.

Se você já está registrado (com o aplicativo RA ou o Smart Registration Service), você deve observar o seguinte:

  • Se você confirmou os termos de uso com PWD / OTP durante a identificação, você definiu este método como um método de declaração de vontade. Agora, se você habilitar o aplicativo Mobile ID como um método, não poderá mais assinar até ter sido identificado novamente.
  • Se você já usa o Mobile ID no cartão SIM e deseja usar o aplicativo Mobile ID, deve usar o código de recuperação ao ativar ou para autenticar com o SIM Mobile ID na ativação e não para ativar como um “novo Mobile ID”. Caso contrário, este aplicativo também será considerado como um novo método de declaração de vontade e você precisará ser reidentificado.
  • O mesmo acontece ao contrário, se você deseja alternar de um aplicativo Mobile ID instalado para o cartão SIM Mobile ID.

A mensagem de erro típica em tal caso é uma mensagem de erro com “incompatibilidade serial”.

O Smart Registration Services tenta 5 vezes nos 3 dias para enviar o SMS novamente. Somente se todas as tentativas falharem após 15 dias, uma reidentificação será necessária.

E | Declaração de intenção, assinatura e autenticação

Na Suíça, mudamos Mobile ID para o modo alternativo PWD / OTP por padrão se o cartão SIM não estiver habilitado para Mobile ID. Na sala eIDAS, trabalhe por padrão com o aplicativo Mobile ID ( https://play.google.com/store/apps/details?id=com.swisscom.mobileid , https://apps.apple.com/de/app/ mobile-id / id1500393675 ), mas também podemos habilitar o PWD / OTP.

O aplicativo Mobile ID é baseado na interface Mobile ID, que também oferece autenticação com impressão digital ou reconhecimento facial. Este aplicativo requer apenas uma conexão com a Internet durante a autenticação e, portanto, pode ser usado internacionalmente. No entanto, um cartão SIM internacional (número de telefone celular) ainda é necessário para a configuração do aplicativo. Veja https://mobileid.ch .

Em geral, outros métodos de autenticação também são possíveis, mas devem ser aprovados pela KPMG. Isso requer a assinatura de um contrato de suporte onboarding, que regula o conceito de implementação e a execução da auditoria. Novos métodos devem ser autorizados separadamente para ZertES e eIDAS.

Infelizmente não. Você tem um novo meio de autenticação que não foi registrado inicialmente com a identificação. Ou seja, você deve ser identificado novamente usando o MobileID.

Não há garantia, mas deve funcionar em quase todos os lugares – pode-se ter uma visão mais próxima desta visão geral:

https://www.swisscom.ch/en/residential/plans-rates/inone-mobile/roaming.html

(Vá para “Tarriff Check”, selecione um tipo de contrato de modelo de assinatura arbitrário e o país)

Com o aplicativo MobileID como meio de autenticação, você é independente do envio de SMS.

Uma autenticação de dois fatores é necessária para a assinatura qualificada: “posse” e “conhecimento”, ou seja, apenas a posse (SMS) não é suficiente.

Não, OTP é suficiente para assinaturas avançadas.

A perda da senha leva a uma nova identidade digital. Os fornecedores de aplicativos podem reagir a isso e, se necessário, exigir uma nova identificação do signatário, por exemplo, com o RA-App.

Uma vez que ambos os métodos requerem um segredo, bem como a posse do número de telefone, nenhuma assinatura para a identidade digital existente anteriormente pode ser acionada depois que o número de telefone foi transferido. Isso significa que a pessoa deve ser identificada novamente.

Como um número de linha fixa praticamente não pode ser atribuído a uma pessoa, isso não é possível. O SMS destina-se a assegurar que o contacto é exclusivo e sem excepção atribuído à pessoa que assina o documento.

Os dispositivos modernos estão equipados com WIFIcalling. Eles também podem ser usados para fazer login em uma zona WIFI. Sem a Internet, no entanto, as assinaturas remotas não são possíveis.

No caso de um MobileID, você pode usar um código de recuperação para transferir o MobileID para o novo SIM ( https://www.mobileid.ch/en/login ). No caso de PWD / OTP e o mesmo número de telefone, sua opção de autenticação também permanece.

O MobileID é sempre configurado em combinação com uma solução de fallback PWD / OTP, ou seja, uma janela de senha é enviada automaticamente. Você pode ativar seu MobileID na plataforma https://mobileid.ch . Se o aplicativo MobileID for usado e ativado, o aplicativo MobileID será usado.

No caso padrão, após a identificação, o cliente primeiro recebe os termos de uso do serviço de assinatura da Swisscom. O cliente confirma isso e, assim, aciona uma assinatura inicial dessas condições, no contexto da qual ele também pode definir a senha pela primeira vez. Chamada de “autenticação step-up”.

Por padrão, a Swisscom atualmente oferece apenas esses métodos. No entanto, a extensão será trabalhada no futuro, de modo que métodos biométricos também podem ser possíveis se a aprovação tiver sido concedida. Além disso, a Swisscom irá opcionalmente acompanhar o cliente se desejar usar uma solução auditada para permitir uma assinatura adicional na autoridade de reconhecimento. Custos adicionais serão incorridos.

A base da autenticação de dois fatores é o fato de que ambos os fatores devem ser registrados em conexão com a autenticação, ou seja, nenhuma senha pode ser escolhida que apenas conheça o aplicativo do assinante, mas o próprio assinante foi identificado com RA-App. Tal exceção só poderia ser imaginada se o próprio participante realizar uma identificação autorizada pela delegação de RA e, além disso, projetar o procedimento de autenticação de forma que ambos os fatores (login, liberação de SMS) sejam realizados em uma sessão curta. Tanto o próprio procedimento de identificação quanto este procedimento de sessão devem ser descritos em detalhes em um conceito de implementação e requer uma liberação pela Swisscom e seus auditores. Custos adicionais são incorridos aqui.

Se você foi identificado e já usou PWD / OTP:

  • Se quiser usar o aplicativo Mobile ID, você deve se identificar novamente
  • Se quiser usar Mobile ID (número de celular suíço), você deve se identificar novamente

Se você foi identificado e já usou Mobile ID:

  • Se agora você deseja usar o aplicativo Mobile ID (isso só será possível em um cartão SIM que não seja compatível com Mobile ID) e usar o código de recuperação do Mobile ID, você pode continuar a assinar
  • Se você ativar o aplicativo SEM o código de recuperação, você precisa ser reidentificado
  • Se você quiser usar PWD / OTP, você deve ser reidentificado

Se você foi identificado e usou o aplicativo Mobile ID até agora:

  • Se agora você deseja usar o Mobile ID do cartão SIM (isso só será possível em um cartão SIM suíço) e usar o código de recuperação do aplicativo Mobile ID, você pode continuar a assinar
  • Se você ativar o Mobile ID do cartão SIM SEM o código de recuperação, você deve ser reidentificado
  • Se você quiser usar PWD / OTP, você deve se identificar novamente

Isso significa que Mobile ID e Mobile ID App são métodos de autenticação coordenados, PWD / OTP é um método de autenticação completamente diferente. A assinatura remota sempre exige que os meios de autenticação sejam incluídos durante o registro (ou seja, durante a identificação). Portanto, em alguns casos, uma nova identificação será necessária.

F | Validade dos certificados

Sim, após 5 anos, as pessoas identificadas para assinaturas avançadas também devem ser identificadas novamente. No entanto, para assinaturas avançadas, é suficiente se o bilhete de identidade era válido no momento da identificação. Se expirar dentro de 5 anos, nenhuma nova identificação é necessária. Por outro lado, para assinaturas qualificadas, a identificação é válida enquanto o cartão de identidade estava válido ou por um máximo de 5 anos após essa identificação. Em casos especiais, por exemplo, quando a identificação do banco é usada, a validade de uma identificação também pode ser restrita a um período inferior a 5 anos se o regulador assim exigir.

G | Possíveis aplicações

Sim, essa é a única tarefa do aplicativo do assinante, que então envia repetidamente o hash com a solicitação de assinatura para o All-in Signing Service. Qualquer número de assinaturas pode ser gerado para o mesmo documento digital.

Sim, mas isso requer 2 canais de comunicação e configurações, ou seja, a assinatura deve primeiro ser autenticada pela pessoa que está assinando por meio de um canal (sob demanda) e, em seguida, assinada organizacionalmente (com certificado estático criado anteriormente) por um certificado de autenticação SSL por meio de um segundo canal.

Sim, vários documentos podem ser assinados com uma aprovação em uma sessão. No máximo ca. 250 assinaturas.

As assinaturas XML segundo o padrão XADES podem ser feitas com base em selos, mas não em assinaturas pessoais (no momento). No cliente você deve preparar o padrão XADES: A chamada de uma “assinatura simples” deve ser implementada.

Para assinaturas na área jurídica suíça: www.validator.ch (Atenção, o validador nem sempre está atualizado). Para assinaturas na área jurídica da UE: https://www.signatur.rtr.at/de/vd/Pruefung.html

Deve-se notar que os validadores da UE estão longe de estar harmonizados. Isso significa que os portais de teste podem apresentar uma assinatura eletrônica qualificada como “inválida”, embora atenda aos requisitos para datação eIDAS. A harmonização está a ser trabalhada pela UE.

Apenas assinaturas QES podem ser validadas. Não há validadores para assinaturas AES.

Devem ser abertas duas contas de usuário (ClaimedIdentity), cada conta está relacionada ao respectivo tipo de assinatura, ou seja, o aplicativo participante deve decidir sobre qual conta enviará uma consulta de assinatura. Ambas as contas podem ser endereçadas por meio de uma interface, ou seja, o mesmo terminal. Existe uma taxa de serviço por conta. 2 faturas são emitidas no final do mês. Portanto, 2 contratos de serviço com 2 configurações diferentes e declarações de aceitação devem ser apresentados. Se você tem 2 áreas jurídicas e 2 tipos de faturamento, você ainda tem apenas uma interface (técnica), mas 4 pontos de interface de acesso de serviço e por isso 4 vezes uma taxa de serviço. Ele dobra novamente para 8 ClaimedIDs, se ambos os níveis de assinatura (QES / AES) forem planejados com ambos os tipos de faturamento e ambas as jurisdições.

Em princípio, um carimbo de hora também armazena a zona (o deslocamento). A este respeito, todos os programas locais exibirão a hora local real.

Em princípio, a Swisscom fornece um hash assinado e, portanto, suporta formatos PADES (PDF) e, no caso de certificados de organização, formatos XADES (XML). Os arquivos do Word não são assinados e não se destinam a esse fim por lei.

H | Integração e configuração da interface

Principalmente sim. No caso de utilização do apelido e nome próprio, deverá ser exatamente o mesmo que consta do documento de identidade ou passaporte. Mas se for difícil de implementar, o recurso de modelo pode suportar ( https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes ). Este recurso permite assumir exatamente o nome e o sobrenome que foram usados durante a identificação em combinação com o RA-Service (SRS).

A Swisscom também pode configurar o serviço de forma que apenas um pseudônimo seja usado em vez do sobrenome e do nome. Além disso, o “Nome Comum” (CN) pode ser usado com os nomes normalmente usados para essa pessoa (independente do documento de identidade). A chamada de verificação RA-Service verifica, neste caso, o número de telemóvel que foi utilizado durante a identificação e o país. O uso do pseudônimo em verifyCall é independente do uso do pseudônimo na chamada de solicitação de assinatura.

Sim, existem várias bibliotecas disponíveis no mercado que permitem uma rápida implementação de um aplicativo de assinatura. Todos eles também têm suporte especial para o serviço Swisscom:

A Intarsys é um parceiro premium da Swisscom e conhece o serviço AIS muito bem do ponto de vista técnico e pode fornecer suporte de consultoria.

A Swisscom rejeita qualquer responsabilidade pela operação livre de erros dessas bibliotecas. Eles podem conter erros e exigir conhecimento e especialização especiais. O uso é por conta e risco do assinante.

Consulte https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4

Existe um modo de teste e demonstração que permite que você experimente o aplicativo, mas nenhum dado é transmitido. Para o efeito, deve constar no formulário de registo o número de telemóvel +41001234567 e o nome da empresa “demo”.

Não. A Swisscom exige até que, quando a tela PWD / OTP for integrada como um “iFrame”, uma pessoa externa possa verificar se ele se origina da Swisscom. Por exemplo, as funções padrão do navegador podem ser usadas, as quais a Swisscom publica no link de seu site de acordo com o Capítulo 4 dos Termos de Uso. Para integração iFrame, dê uma olhada em https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Não há suporte para eliminação de tela como interface. Developers pode ser confrontado com o fato de que as telas serão alteradas. Também é contraditório com a implementação de “controle exclusivo” entre o signatário e o certificado de assinatura.

Sim, mas apenas como iFrame, as instruções podem ser encontradas aqui: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Não, consulte https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide.

Sim, conforme descrito no Guia de Referência ( www.swisscom.com/signing-service ) em “Método Step-Up” no campo “Mensagem”, o bloco de texto com o título da mensagem para a expressão de intenção e o idioma A configuração com “Idioma” pode ser configurada dentro da estrutura do protocolo. Para a janela de entrada de SMS, o idioma também pode ser definido com o parâmetro “Idioma”.

O pré-requisito para a configuração é uma “declaração de configuração e aceitação” assinada pelo cliente e verificada pela autoridade de registro global. Esta declaração contém as obrigações do operador de um aplicativo de assinatura (por exemplo, a possibilidade de exibir o documento completo a ser assinado, garantindo o acesso ao serviço), mas também as características do serviço.

Outro pré-requisito é um certificado de acesso, que protege a comunicação do aplicativo de assinatura com o serviço de assinatura.

Após a verificação do documento, o nosso Setup Service recebe a encomenda de activação do serviço com o certificado de acesso enviado e a especificação seleccionada na configuração e declaração de aceitação. No caso de assinaturas qualificadas, o serviço é inicialmente ativado apenas para assinaturas “avançadas”. Posteriormente, o contato indicado na declaração de configuração e aceitação é solicitado a fornecer um exemplo de assinatura com a assinatura avançada. Se não houver falhas, o serviço é alterado para o nível “qualificado”, se necessário. O cliente também será notificado sobre isso. Ele agora tem 10 dias para relatar qualquer irregularidade diretamente à equipe de configuração. Se não receberem nenhuma reclamação durante esse período, a conexão com o serviço será aceita. Outros incidentes podem ser relatados à Swisscom por meio do Suporte de primeiro nível no caso de um contato direto com a Swisscom ou com o parceiro de revenda.

O certificado de acesso pode ser um certificado autoassinado. Por exemplo, com software openssl.

Requisitos para o nome distinto:

  • CN = <URL do sistema de assinante que realiza a comunicação com AIS ou outra identificação única do sistema de assinante>
  • O = <Nome da organização>
  • Email = <E-mail para fins de notificação, por exemplo, em caso de fim de validade>
  • C = <país da organização>

Os seguintes requisitos adicionais devem ser considerados ao preparar o certificado:

  • Prazo máximo de 3 anos
  • Algoritmo de hash SHA-256 mínimo
  • Comprimento da chave mínimo de 2.048 bits

Condições especiais ainda se aplicam a certificados de acesso no âmbito da criação de selo regulamentado (ZertES) ou qualificado (eIDAS): A chave privada do certificado de acesso deve ser criada em um módulo criptográfico em uma cerimônia conjunta de um representante da autoridade de registro da Swisscom. Este módulo deve atender aos requisitos de FIPS 140-2 nível 2 ou similar, por exemplo, Yubikey, chave Feitan ou Microsoft Key Vault. Como alternativa, pode ser apresentado um conceito sobre como a atribuição do certificado de acesso à pessoa responsável pela organização pode ser realizada de outras maneiras.

No caso de um selo, além da declaração de configuração e aceitação pelo operador da plataforma de assinatura, também é necessário um pedido de certificado de certificado de selo, um certificado de organização. Ao contrário do certificado de assinatura pessoal, o certificado do selo é emitido por três anos. O pedido de certificado deve ser assinado por pessoas autorizadas da organização. A autorização pode resultar do registo (por exemplo, procuração) ou também pode ser uma procuração especial, que foi emitida, por exemplo, para os operadores do centro de informática. A Swisscom precisa da prova desta procuração. Essas pessoas também são identificadas pessoalmente com antecedência por um representante do escritório de registro da Swisscom usando o RA-App. Também pode ser, por exemplo, um agente de RA de um revendedor que efetuou a identificação pessoal. Isso permite que a pessoa assine o aplicativo usando uma assinatura eletrônica. O aplicativo é enviado para a Swisscom sem assinatura e a Swisscom convida as pessoas a assinarem eletronicamente. As próximas etapas agora diferem dependendo do tipo de vedação:

Assinatura avançada: o requerente envia à Swisscom um certificado SSL, que deseja usar como certificado de acesso para a interface do selo.

Assinatura qualificada / regulamentada: O requerente concorda com uma data com a Swisscom para a criação conjunta de uma chave privada. Deve ser criado em um dispositivo criptográfico baseado na qualificação FIPS 140-2 nível 2 ou similar (por exemplo, Yubikey, Feitan Key, Key Vault HSM Microsoft, etc.) Um certificado de acesso é então criado com base nesta chave. Ou seja, para o processo de assinatura o acesso deve ser liberado por meio deste certificado. Como alternativa, pode ser apresentado um conceito sobre como a atribuição do certificado de acesso à pessoa responsável pela organização pode ser realizada de outras maneiras.

A incorporação de hashes assinados deve ser tarefa de especialistas em PDF ou bibliotecas correspondentes. O espaço para a assinatura deve ser pré-calculado. Dê uma olhada em https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4 .

A solução a seguir pode fornecer uma solução. Apresentamos isso aqui sem garantia, já que a Swisscom se concentra apenas no serviço e não no aplicativo de assinatura:

  • Crie um PDF com um campo de assinatura em branco e pré-preenchido
  • O intervalo de bytes deve ser preenchido com zeros até o tamanho esperado
  • Calcule o hash do documento
  • Assine o hash com o All-in Signing Service
  • Preencha o hash assinado no campo de assinatura vazio
  • Itere para o campo de assinatura vazio
  • Determine o intervalo de bytes do campo de assinatura vazio
  • Calcule o deslocamento do intervalo de bytes
  • Abra o documento com o campo de assinatura vazio no modo de leitura e escrita e encontre o deslocamento onde o hash foi inserido

Também é muito importante seguir as diretrizes do padrão PADES e da Validação de Longo Prazo: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Nos parâmetros retornados da chamada de verificação, o chamado “serial” é retornado. Caso comece com “SAS” (ou seja, SASxxxxxxx), o cliente usará a autenticação PWD / OTP. Se começar com “MID” (ou seja, MIDxxxxxx), o cliente usa o procedimento Mobile ID. No entanto, não é possível distinguir entre o aplicativo Mobile ID e o cartão SIM Mobile ID.

No entanto, os resultados podem ser usados, por exemplo, para fornecer textos de ajuda especiais (por exemplo, se a senha for esquecida, etc.) para o cliente, ou para consultar a declaração de vontade no telefone celular.

O verifyCall permite que você verifique se um signatário já está cadastrado ou não. Se você escolher o pseudônimo, precisará apenas do número do celular e do país do signatário. https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

I | Desempenho

No momento estamos em processo de expansão de nossas capacidades com outros algoritmos (pré-geração de chaves) e expansão de HW. Como vários clientes usam o serviço, consideramos uma carga máxima de uma solicitação por segundo em média por cliente. Desempenho superior, ou seja, capacidades especialmente reservadas são opcionalmente possíveis.

É limitado a 250 por motivos de segurança e não pela capacidade do serviço.

Esteja ciente de que instalamos um WAF para proteger nosso serviço contra ataques de negação de serviço. Se você deseja realizar alguns testes em massa, entre em contato conosco com antecedência.

A assinatura deve ser assinada com uma declaração de vontade (autorização) por Mobile ID (SIM / App) ou PWD / OTP. Depois de enviar a solicitação, o usuário geralmente tem 80 segundos para inserir a autorização. O valor não é ajustável.

J | Cobrança

Cada assinatura é calculada individualmente, ou seja, neste exemplo, 5 assinaturas são calculadas.

Não, eles são oferecidos por meio de dois ClaimedIDs diferentes e serão faturados de forma independente.

A Swisscom não cobra nenhum custo pelo envio de Mobile ID ou SMS. Dependendo da tarifa do parceiro de roaming, podem ocorrer custos com roaming (o que acontece muito raramente, por exemplo, em cruzeiros).

Aqui, duas contas de usuário (ClaimedIdentity) devem ser abertas, cada conta está conectada a um método de cobrança. Isso significa que o aplicativo de assinante deve decidir por si mesmo qual conta usará para enviar uma solicitação de assinatura. Existe uma taxa de serviço por conta. 2 faturas são emitidas no final do mês.

Não há custos para esses meses.

K | Proteção de dados

Sim, é feita uma distinção entre os signatários concordarem com os termos de uso da Suíça ou da UE ou ambos. Todos os dados também são processados pela Swisscom (Schweiz) AG para a Swisscom IT Services Finance SE em Viena.

O Nome Distinto contém o nome, o sobrenome e o país de nascimento / registro ou país de origem da pessoa, ou um pseudônimo com um número de série que pode ser rastreado exclusivamente até uma pessoa pelo registro. Nomes de organizações são permitidos apenas em casos especiais

A Suíça não faz parte da UE e, portanto, não introduziu legislação da UE, o chamado Regulamento Geral de Proteção de Dados (GDPR). Na realidade, o GDPR também é aplicável se as empresas estiverem sediadas na Suíça e oferecerem serviços na UE.

A Swisscom está, portanto, sujeita às mesmas obrigações de tratamento de dados que todas as outras organizações que devem cumprir o GDPR:

  • obter o consentimento da pessoa cujos dados são processados
  • Garantia de “privacidade desde a concepção” e “privacidade por defeito”
  • nomear um representante de proteção de dados
  • criar uma lista de atividades de processamento
  • relatar violações de proteção de dados à autoridade supervisora
  • realizar uma avaliação do impacto da privacidade

Todos os aplicativos que dizem respeito à proteção de dados e são usados para processamento de dados, por exemplo, também o RA-App deve ser compatível com GDPR. Swisscom fornece informações sobre isso em suas páginas:

Suíça: www.swisscom.com/signing-service

Áustria: www.swisscom.at

com as declarações de proteção de dados correspondentes de acordo com o GDPR.

A Suíça sempre foi e é considerada um país terceiro seguro de acordo com o art. 45 GDPR (transferência de dados com base em uma decisão de adequação), ou seja, as autorizações usuais como acontece com outros países terceiros (por exemplo, os EUA) não são necessárias. Graças à sua Lei de Proteção de Dados e à adaptação em curso ao RGPD, a Suíça tem um "nível adequado de proteção para a transferência de dados pessoais" de acordo com os critérios da UE, ou seja, deve ser tratada como um país da UE ao transferir dados:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Como parte de suas auditorias contínuas, a Swisscom deve garantir que todos os requisitos estritos de proteção de dados necessários para a emissão de assinaturas digitais sejam cumpridos, tanto em relação à autoridade de certificação na Suíça quanto em relação ao organismo de avaliação de conformidade em Áustria. Isso significa que, além da autodeclaração, os prestadores de serviços de confiança e os serviços de certificação são obrigados pela legislação e pelas normas internacionais aplicadas, como o ETSI 319 401, a demonstrar e auditar a proteção de dados adequada para todos os dados pessoais.

Os requisitos de proteção de dados a serem demonstrados e auditados também se aplicam às atividades da autoridade de registro – uma tarefa de um provedor de serviços de confiança e de um provedor de serviços de certificação. Assim, o aplicativo RA, como parte do processo de registro, deve garantir a proteção e privacidade dos dados. O RA-App em si não armazena nenhum dado pessoal permanentemente. Nenhum dado pode ser exportado. Assim que a identificação for concluída, os dados são transferidos assinados pelo agente de RA como as chamadas evidências. Esta evidência é armazenada no serviço de RA da Swisscom sob estritas condições de segurança (por exemplo, acesso de 4 olhos). Apenas algumas pessoas têm acesso a esses dados e só podem repassá-los com base em uma ordem judicial ou têm permissão para verificar a qualidade da identificação. De acordo com a lei, a Swisscom tem responsabilidade ilimitada pela boa execução da assinatura e, portanto, também pela identificação.

Os Agentes Master RA têm acesso à web a um portal no qual podem visualizar todas as pessoas identificadas pelos Agentes RA com seu sobrenome, nome, data de validade do documento de identidade e número de telefone celular. Os documentos de identidade e fotos (as chamadas “provas”) não são acessíveis ou exportáveis.

A Swisscom é legalmente obrigada a registrar os dados pessoais para a assinatura. Portanto, é responsável por esses dados. Isso significa que a Swisscom não pode desempenhar o papel de processador de dados, mesmo que receba, por exemplo, dados de funcionários de uma empresa cliente para a assinatura. A Swisscom tem um mandato legal como o de operadoras de telecomunicações ou serviços postais. Além disso, a Swisscom tem uma relação contratual legal com os signatários com os termos de uso. Nesse acordo, o signatário também aceita o uso de dados.

Com o aplicativo RA, a Swisscom transfere a gravação de dados de identidade para um provedor de serviços externo, que é referido nos contratos como “agência RA”. O GDPR requer, neste caso, um contrato de processamento de pedidos. A agência de RA deve, portanto, cumprir as obrigações de processamento de dados do pedido.

A conformidade com o processamento de dados de pedidos GDPR também é exigida em projetos puramente suíços. Há duas razões para isso:

  • Por outro lado, raramente pode ser garantido que as pessoas identificadas na Suíça não são cidadãos da UE que estão sujeitas ao princípio de mercado do RGPD,
  • Por outro lado, o aplicativo RA não pode ser usado de forma que apenas as pessoas da Suíça sejam identificadas, ou seja, o processamento de dados do pedido sempre ocorre para a Swisscom IT Services Finance SE em Viena também.

Existem projetos nos quais a Swisscom conta com procedimentos de identificação legalmente reconhecidos e auditados com terceiros. Um exemplo típico é um banco que realiza a identificação de presença de uma pessoa como parte de seu processo KYC. Nesse caso, a Swisscom recebe uma cópia dos dados do banco para seus próprios fins comerciais (assinatura). O processamento dos dados do pedido não é necessário aqui, pois há duas partes responsáveis pelos dados. Por outro lado, o Princípio de Controladoria Conjunta do GDPR também não é aplicado aqui, já que a capacidade de resposta dos dados não atende ao mesmo objetivo comercial e ambas as partes não agem de forma responsável no sentido de um objetivo comercial comum. O banco atua com seu objetivo comercial, por exemplo, abrir uma conta, e a Swisscom prossegue com seu objetivo comercial de emissão de assinaturas. No entanto, neste caso, nossos contratos sobre “delegação de atividade de registro” também contêm um mínimo de disposições sobre como proceder em relação à proteção de dados e ao GDPR.

No caso de uma assinatura remota, a Swisscom mantém e gerencia as chaves dos certificados de assinatura em confiança. No caso de uma assinatura pessoal, os certificados de assinatura são gerados apenas para a assinatura e perdem a validade após aprox. 10 minutos. Os certificados da empresa para selos são válidos por até 3 anos. De acordo com a lei, a chave privada deve ser armazenada em um dispositivo de criação de assinatura (qualificado). A memória para este é um dispositivo projetado principalmente para armazenamento de chaves, o HSM (Hardware Security Module). Está sujeito a rigorosa regulamentação, auditoria, ao nível das normas de segurança e acesso a este dispositivo. As assinaturas na UE e na Suíça estão sujeitas a padrões de segurança particularmente elevados, que só estão disponíveis em alguns fabricantes de HSM em todo o mundo.

L | Tópicos legais e regulatórios

Adobe é um fornecedor americano de software que pode exibir documentos PDF. O produto mais proeminente e difundido é o chamado “Adobe Acrobat Reader”. Isso permite a verificação de assinaturas baseadas em certificado. Se uma assinatura é válida e, portanto, exibida com uma marca verde depende de muitos aspectos:

  • A Adobe tem seu próprio conjunto de regras, que classifica as CAs emissoras de provedores de confiança ou provedores de serviços de certificação como “confiáveis”. Eles estão listados em uma chamada Adobe Trust List (AATL). Mesmo que não esteja incluído na descrição do serviço, a Swisscom sempre se esforça para ser listada aqui. Além disso, as empresas listadas devem pagar taxas anuais por esta inscrição e registrar em sua autoavaliação. De acordo com a Adobe, os provedores de serviços de confiança eIDAS são considerados confiáveis se também celebraram um contrato com a Adobe.
  • A Adobe oferece uma variedade de configurações que podem levar a uma validação completamente diferente: por exemplo, em vez da lista confiável da Adobe, a lista confiável do Microsoft Windows também pode ser usada, que normalmente mantém apenas provedores de serviços confiáveis que também emitem certificados SSL ou de e-mail . No entanto, a verificação também pode ser baseada em uma hora fornecida pelo relógio do computador e não na hora do documento.

Isso significa que você não pode confiar na validade de uma assinatura na Adobe, mas obtém informações sobre se foram feitas alterações no documento desde que a assinatura foi definida e como é a aparência do certificado de assinatura.

Ambos devem ser profissionais de TI familiarizados com o aplicativo. Não precisa ser uma pessoa com a função oficial de “Representante de Privacidade”. A Swisscom simplesmente deseja manter o princípio dos 4 olhos aqui. As funções são: Ser capaz de fornecer informações sobre a administração do aplicativo do usuário (quem tem acesso, o que um administrador poderia manipular, onde pode haver um obstáculo, conexão SSL para Swisscom) e sobre tópicos como proteção contra vírus, controle de acesso em geral, etc. para o responsável pela segurança.

Por outro lado, uma empresa interna pode se tornar um parceiro revendedor da Swisscom para outras empresas, caso haja um grande volume planejado. Nesse caso, o fluxo de pagamento passa diretamente apenas por essa empresa individual. Uma empresa também pode assumir total responsabilidade pela operação do aplicativo de assinante. Mesmo assim, as faturas só passarão por esta empresa. Ele pode então identificar funcionários de outras empresas.

Se todas as empresas desejam operar o aplicativo de assinante de forma independente (com sua própria responsabilidade e responsabilidade) e também desejam fornecer agentes de RA, um contrato separado é necessário para cada empresa.

Todos os anos, a Swisscom investe grandes somas em auditorias em andamento. No entanto, para poder colocar no mercado a oferta de um prestador de serviços de confiança a um preço razoável, este serviço é oferecido de forma padronizada. Isso significa em particular:

  • O cliente deve aderir ao processo de pedido padrão com os documentos de contrato padrão divulgados pelos auditores.
  • As avaliações posteriores pelos participantes e o exame e aceitação dos textos do próprio contrato não estão incluídos na oferta.

Muitos aspectos do provedor de serviços de confiança estão sujeitos não apenas às condições na execução do serviço, mas também na especificação de obrigações importantes, regulamentos de responsabilidade e serviços de cooperação nos documentos do contrato. Portanto, esses documentos contratuais também estão sujeitos a auditoria ou também são submetidos aos órgãos estaduais de avaliação da conformidade. Portanto, não podem ser aceitas alterações ao sistema jurídico, nem podem ser aceitos invólucros contratuais do participante, especialmente se eles estiverem sujeitos a legislação estrangeira aplicável.

Se, no entanto, for necessário adaptar os textos contratuais, adicionar regulamentos contratuais (por exemplo, seu próprio Código de Conduta, Declaração de Proteção de Dados, NDA, etc.), processar questionários de avaliação especiais ou se você ainda tiver descoberto erros ou formulações pouco claras, por favor, informe-os para nossa gestão de produtos.

Se houver erros ou ambigüidades aparentes, um processo de mudança correspondente é iniciado pelo gerenciamento de produto e implementado o mais rápido possível.

Para a avaliação de outras questões, é formada uma equipe de processamento que conta com os especialistas relevantes (por exemplo, departamento jurídico, oficial de segurança, oficial de conformidade, etc.) e realiza uma avaliação da solicitação. Uma taxa específica de projeto de CHF 6.000 é devida para isso. Se a equipa de especialistas não conseguiu encontrar uma solução directamente, preparará uma resposta e uma oferta, que apresentará e avaliará os próximos passos da Swisscom.

Não, apenas para a operação do aplicativo de assinatura, nenhuma certificação e nenhuma auditoria são necessárias. No âmbito de uma "declaração de configuração e aceitação", o cliente faz uma autodeclaração para operar o aplicativo de assinatura corretamente, ou seja, para não trocar o hash de um documento e realmente exibir o documento a ser assinado para o cliente (WYSIWYS = “O que você vê é o que você assina”). O tráfego de dados entre o aplicativo de assinatura e a Swisscom deve ser criptografado e a proteção básica contra vírus e ataques deve ser garantida como em qualquer outro sistema. Uma auditoria oficial com certificação só pode ser necessária se o sistema possuir identificação própria, principalmente em relação ao seu próprio método de autenticação. Na Suíça, a identificação com os métodos de autenticação da Swisscom pode ser tratada de maneira simplificada por meio de um “conceito de implementação” adequado apresentado pelo cliente e aprovado pela Swisscom; na UE, é geralmente necessária uma auditoria oficial. Como regra, um método de autenticação deve sempre ser certificado, pois isso deve garantir “controle exclusivo” ao certificado de assinatura (denominado “controle exclusivo” no contexto ETSI).

Em princípio, a empresa deve nomear representantes. Esses representantes devem ser representantes registrados de acordo com o registro comercial ou empresarial, ou funcionários com procuração apropriada assinada pelos representantes registrados. Em qualquer caso, as pessoas devem estar pessoalmente identificadas com nosso RA-App. Na Suíça, apenas empresas registradas no Registro UID podem solicitar selos. Com o selo, o certificado de acesso SSL entre o aplicativo de assinatura no cliente e a Swisscom serve como autenticação da empresa. O certificado de acesso deve, portanto, ser entregue pelo representante da organização. Com o selo avançado, a entrega simples é suficiente; com o selo qualificado, ocorre uma cerimônia de entrega conjunta na qual o certificado de acesso é gerado em conjunto. A chave privada deve ser armazenada em um dispositivo criptográfico (FIPS 140-2 nível 2 mínimo).

Em princípio, a Swisscom tem responsabilidade ilimitada perante a lei pela emissão incorreta de certificados qualificados. No caso de certificados avançados, essa responsabilidade pode ser limitada. A Swisscom também é segurada obrigatoriamente para esse fim. No caso de erros no aplicativo de assinatura (por exemplo, a troca de um hash de um documento) ou erros na identificação por registros de terceiros, a Swisscom, por sua vez, responsabilizará esses terceiros. A fim de evitar os riscos de responsabilidade, altas demandas são colocadas no processo de emissão e contratação e a possibilidade de auditoria dos terceiros envolvidos é geralmente necessária.

A legislação suíça, ou seja, a Lei Federal de Assinatura Eletrônica da Suíça (ZertES / SCSE), fornece os requisitos que as organizações devem cumprir para serem reconhecidas como um serviço de certificação. O organismo de acreditação credenciado para a acreditação da Swisscom como um serviço de certificação na Suíça é a KPMG (Acreditação nº SCESm 0071). Ele emite um certificado de avaliação de conformidade (disponível em www.swisscom.com/signing-service). O Swiss Accreditation Service SAS mantém uma lista de serviços de certificação credenciados:
https://www.sas.admin.ch/sas/en/home/akkreditiertestellen/akkrstellensuchesas/pki.html

Com a entrada em vigor do Regulamento sobre Identificação Eletrónica e Trust Services para Transações Eletrónicas no Mercado Interno da União Europeia (eIDAS), foi criada a base para comunicações eletrónicas legalmente válidas e identificação eletrónica segura em toda a Europa. Com a ajuda de trust services como assinaturas eletrônicas, selos, carimbos de data / hora, serviços de entrega e certificados para autenticação, empresas, administrações e particulares podem trocar documentos digitais como ofertas, pedidos, contratos etc. dentro da União Europeia em uma base legal uniforme . Assim, o novo regulamento da UE substitui a lei de assinatura nacional e os regulamentos de assinatura.

Ao abrigo do presente Regulamento (CE) n.º 910/2014 / UE (Regulamento eIDAS) , as listas aprovadas nacionais têm um efeito constitutivo. Em outras palavras, um provedor de serviços de confiança e os trust services que ele fornece serão qualificados apenas se aparecerem nas listas confiáveis. Consequentemente, os utilizadores (cidadãos, empresas ou administrações públicas) beneficiarão dos efeitos jurídicos associados a um determinado serviço de confiança qualificado apenas se este último estiver listado (como qualificado) nas Listas aprovadas.

A subsidiária da Swisscom na Áustria “Swisscom IT Services Finance SE”, Viena foi incluída nesta lista de confiança com certificados e selos qualificados:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance SE encarregou a Swisscom (Suíça) Ltd de operar o serviço de confiança e também delegou as atividades da autoridade de registro à Swisscom (Suíça) Ltd. A Swisscom (Suíça) Ltd., portanto, oferece o serviço ao mercado e também aceita documentos contratuais em nome da Swisscom IT Services Finance SE.

A Swisscom pode apenas confirmar que pode emitir assinaturas qualificadas em ambos os sistemas jurídicos, de acordo com o Regulamento eIDAS da UE e a Lei ZertES da Suíça. As assinaturas suíças qualificadas são reconhecidas apenas como qualificadas na Suíça e as assinaturas qualificadas eIDAS na UE.

A conformidade da assinatura qualificada com qualquer contrato deve ser sempre verificada por um advogado. A Swisscom não pode fornecer nenhuma informação legal a esse respeito. Isso não está relacionado apenas à assinatura, mas também a outros pontos que podem ser acordados em contratos. Por exemplo, o requisito de “devolução por correio registado” pode significar que uma assinatura eletrónica não pode ser executada de todo, uma vez que uma rota de papel postal é obrigatória.

Nos sistemas jurídicos da UE e da Suíça, a inversão do ônus da prova (e na Alemanha também a evidência prima facie em comparação com a evidência visual) se aplica, em princípio, a assinaturas qualificadas. Isso significa que a parte contrária deve provar que a assinatura qualificada não foi devidamente executada se for contestada. E, é claro, a Swisscom pode fornecer verificações certificadas pela KPMG para provar que a assinatura qualificada foi devidamente executada.

Os períodos de retenção para verificação de identidade e diário de atividades e, portanto, também os períodos de prova são de 11 anos na Suíça e 35 anos na UE. A Swisscom geralmente usa o padrão de validação de longo prazo do ETSI (LTV).

Validação de longo prazo significa validar uma assinatura de forma que ela permaneça válida por um longo tempo. A validação do LTV permite a validação apenas enquanto o certificado raiz do carimbo de data / hora não tiver expirado. Portanto, é aconselhável marcar a data e hora dos documentos novamente antes da expiração se a evidência de longo prazo deve ser preservada, de modo que a integridade e o significado da evidência de assinatura continue a ser garantida.

Em princípio, os documentos PDF também devem ser gerenciados em arquivos seguros. Pode surgir uma situação em 5, 10 ou 20 anos em que os algoritmos de assinatura são “quebrados”, ou seja, a integridade ou autenticidade não podem mais ser garantidas. Bons sistemas de arquivamento, portanto, permitem demissões regulares, por exemplo, com um carimbo de data / hora, que sempre usa o algoritmo mais recente e, portanto, garante a integridade do documento.

A web oferece diversos links com procedimentos otimizados para isso, por exemplo, “Archisig”. O BSI alemão também publicou uma diretriz técnica “Preservação do valor probatório de documentos assinados criptograficamente”. É a especificação dos requisitos técnicos de segurança para a preservação a longo prazo do valor probatório de documentos e dados eletrônicos assinados criptograficamente, juntamente com os dados administrativos eletrônicos associados (metadados).

Um middleware definido para esses fins (middleware TR-ESOR) no sentido desta diretriz compreende todos os módulos e interfaces que são usados para proteger e manter a autenticidade e para provar a integridade dos documentos e dados armazenados.

A experiência mostra que os períodos de transição podem durar de 3 meses a 2 anos.

Não.

Após a rescisão do contrato, os certificados de selo válidos existentes serão revogados.

A forma como esse cenário de “desligamento” deve ser feito é regulamentada por lei: O CP / CPS do serviço de certificação ou serviço de confiança descreve os procedimentos exatos. Deve haver um plano de encerramento, e a autoridade supervisora notificada ou OFCOM geralmente nomeará um sucessor que poderá oferecer o serviço aos clientes. Normalmente, esse sucessor também receberá a Lista de Revogação de Certificados e, portanto, a lista de validade dos certificados, desde que a Swisscom não os publique ela mesma. A lista continuará a operar por anos, para que a validade das assinaturas possa continuar a ser verificada. As evidências sobre os registros para o serviço devem ser mantidas de acordo com os períodos de retenção, mesmo após o encerramento por mais de 11 ou mesmo 35 anos, a Swisscom ou um sucessor designado deve estabelecer um sistema de arquivamento para isso, de modo que esta informação também possa ser usada em negociações jurídicas . As identificações fornecidas não podem mais ser utilizadas com um possível sucessor, ou seja, novos registros são necessários neste caso.

As assinaturas eletrônicas podem ser apresentadas como prova em litígios. Em regra, com exceção da assinatura qualificada, estão sujeitos à livre apreciação das provas. Visto que assinaturas eletrônicas “simples” e “avançadas” dificilmente ou apenas aproximadamente definidas por lei, é responsabilidade do tribunal aceitar tal assinatura ou não. A parte que deseja apresentar essas assinaturas como válidas deve fornecer as provas pertinentes. No caso da Swisscom, é útil que as assinaturas avançadas também estejam sujeitas a uma auditoria muito rigorosa de acordo com o padrão ETSI para assinaturas “NCP +” e, portanto, tais relatórios de auditoria podem ser usados. No caso de assinatura qualificada, será aplicável a reversão da prova. Uma vez que a assinatura qualificada é determinada com precisão por lei e, por exemplo, a Suíça e a Áustria oferecem validadores para a validade de tais assinaturas na web, essas assinaturas são consideradas válidas até que uma parte prove o contrário e, assim, também prove que a autoridade supervisora ou OFCOM bem como os auditores não cumpriram com as suas obrigações. Depois de 11 anos na Suíça ou 35 anos na Áustria, a prova também pode causar dificuldades no campo qualificado, pois os documentos para registro têm que ser destruídos. No entanto, a assinatura ainda é visível como “qualificada”.

No contexto de uma evidência após muitos anos, deve-se observar também que os documentos arquivados eletronicamente devem receber carimbos de data / hora repetidamente de vez em quando. Pode acontecer que os algoritmos não sejam mais tão robustos. Um carimbo de data / hora sela o documento com os algoritmos mais recentes, protegendo a integridade do documento, incluindo assinaturas.

As assinaturas eIDAS qualificadas são consideradas apenas "qualificadas" na área da UE (e EEE), e as assinaturas ZertES / SigE também são consideradas qualificadas apenas na jurisdição suíça. Isso significa que quando um terceiro estado escolhe a lei, essas assinaturas não podem mais alcançar seu efeito “qualificado” ou, se necessário, se tornar. nem mesmo reconhecido.

Suíça (QES), ZertES:

A CP / CPS prevê que a identificação e a documentação arquivada possam ser utilizadas por um período máximo de 5 anos, menor se a validade do documento de identidade / passaporte apresentado terminar antes do período de cinco anos ou se o procedimento de identificação por parte de o auditor não permite 5 anos.

O período de retenção de acordo com o artigo 11.1 da Portaria da SigE / ZertES (diário de atividades) se aplica: “Os prestadores reconhecidos devem manter os registros relativos às suas atividades e os documentos comprovativos relativos a eles por onze anos.” A Swisscom também entende esse período como um período de retenção para os documentos enviados no processo de identidade, em particular uma cópia da identidade.

A reserva de 1 ano foi adicionada como um "amortecedor de segurança" para evitar que as agências de RA da Swisscom possam calcular os 11 anos de forma diferente, o que significaria que a Swisscom não teria mais documentação em casos específicos, especialmente na aplicação do Artigo 17 do SigE / ZertES (responsabilidade ilimitada).

  • Em resumo, o tempo de arquivamento é de 17 anos, também divulgados nos termos de uso.

Europa, (QES), eIDAS:

Esta é a mesma justificativa e derivação como no caso do QES na Suíça, apenas com a diferença de que na Áustria o período de retenção legal é de 30 anos. O artigo 10.1 do SVG (Assinatura e Lei Trust Services) fornece:

Direitos de acesso e período de retenção

10. (1) A pedido dos tribunais ou de outras autoridades, um PST qualificado deve conceder acesso à documentação em conformidade com o artigo 24.º, n.º 2, lit. h eIDAS-VO e seu banco de dados de certificados.

(2) […].

(3) A documentação é fornecida pelo TSP qualificado por 30 anos, calculado a partir da data do certificado qualificado inserido no final da validade ou, na ausência de tal, 30 anos a partir da data em que as informações relevantes sobre os dados foram emitidos e recebidos pela VDA habilitada no curso de suas atividades.

  • Em resumo, o tempo de arquivamento é de 36 anos, que também são divulgados nos Termos de Uso do eIDAS.

Assinaturas avançadas (eIDAS, ZertES)

A CP / CPS prevê que a identificação e a documentação arquivada possam ser utilizadas por um período máximo de 5 anos, menor se o prazo de validade do cartão apresentado terminar antes do período de cinco anos ou se o procedimento de identificação não permitir 5 anos.

Não há prazos legais de retenção na área da AES, pois os prazos de retenção não são regulamentados por lei. No entanto, os padrões ETSI prevêem um período de 7 anos. Esta informação é derivada da Diretiva ETSI EN 319 411-01:

6.4.6 Arquivo de registros

Os seguintes requisitos específicos se aplicam:

NOTA: ETSI TS 101 533-1 [i.13] sugere disposições sobre como preservar objetos de dados digitais.

a) O TSP deve reter o seguinte por pelo menos sete anos após qualquer certificado baseado nesses registros deixar de ser válido:
i) registro de todos os eventos relacionados ao ciclo de vida das chaves gerenciadas pela CA, incluindo quaisquer pares de chaves de assunto

gerado pelo CA (vide cláusula 6.4.5, item g));

ii) documentação conforme identificado na cláusula 6.3.4.

A reserva de 1 ano foi adicionada como uma “reserva de segurança” para evitar que as agências de RA da Swisscom pudessem calcular os 11 anos de forma diferente.

  • Em resumo, o tempo de arquivamento é de 13 anos, que também são divulgados nos Termos de Uso do eIDAS.

No caso de certificados pessoais, a Swisscom emite apenas certificados de curto prazo (os chamados certificados “one-shot”) que têm uma vida útil de 10 minutos e são usados apenas para um pedido de assinatura. A probabilidade de o certificado ter sido comprometido durante esses 10 minutos é praticamente inexistente. Depois disso, o certificado é inválido e não pode ser comprometido. Graças à validação de longo prazo, as assinaturas com este certificado permanecem válidas e também podem ser validadas por períodos de tempo após a expiração.

Se toda a CA (ou seja, o certificado raiz) da certificação e do serviço de confiança foi comprometida, existe um processo que a Swisscom descreve em seu CP / CPS (ver Área de Downloads – Repository).

Se um signatário perder seu meio de autenticação ou descobrir que sua identidade foi determinada incorretamente, nossa equipe de suporte deve ser informada imediatamente. Numa relação contratual com um dos nossos parceiros, contacte o parceiro com quem forneceu a sua assinatura ou identificação. Ele então tomará outras medidas para bloquear essa identificação. Se um certificado de selo foi comprometido, use os detalhes de contato fornecidos em https://www.swisscom.ch/de/business/enterprise/angebot/security/digital_certificate_service.html#tab-revozierung .

M | aplicativo Mobile ID e Mobile ID

Você pode encontrar um FAQ detalhado no site Mobile ID para sua solução de problemas.


Gostaríamos de fornecer a você o conteúdo de ajuda mais recente em seu idioma o mais rápido possível. Esta página foi traduzida automaticamente e pode conter erros gramaticais ou imprecisões. Você pode visitar a página onde retiramos o conteúdo original aqui para evitar possíveis mal-entendidos.

Zoom