Despacho 27 008/2004 (2.ª série). - Nos termos do n.º 3 do artigo 2.º do Decreto Regulamentar 25/2004, de 15 de Julho, compete à autoridade credenciadora estabelecer, na inexistência de publicação no Jornal Oficial da União Europeia da lista de referências das normas geralmente reconhecidas para produtos de assinatura electrónica, adoptadas pela Comissão, nos termos previstos no n.º 5 do artigo 3.º da Directiva n.º 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, as normas a utilizar no exercício da sua actividade pelas entidades certificadoras que emitem certificados qualificados, em cumprimento do Decreto-Lei 290-D/99, de 2 de Agosto, com a nova redacção que lhe foi dada pelo Decreto-Lei 62/2003, de 3 de Abril, e do Decreto Regulamentar 25/2004, de 15 de Julho.
Assim, e ao abrigo do n.º 3 do artigo 24.º do Decreto Regulamentar 25/2004, de 15 de Julho, determina-se o seguinte:
1 - Nos termos da alínea b) do n.º 1 e do n.º 3 do artigo 2.º do Decreto Regulamentar 25/2004, de 15 de Julho, são estabelecidas pelo presente despacho as normas e especificações técnicas elaboradas e publicadas pelo Instituto Europeu de Normalização para as Telecomunicações (ETSI) e pelo Comité Europeu de Normalização (CEN), no âmbito da European Electronic Signature Standardisation lnitiative (EESSI), cujas referências são as seguintes:
a) Complementam a lista de normas referenciadas no aviso 8134/2004, de 13 de Agosto, publicado no Diário da Republica, 2.ª série, n.º 190, de 13 de Agosto de 2004, relativamente ao uso de sistemas e produtos fiáveis protegidos contra qualquer modificação e que garantam a segurança técnica e criptográfica dos processos para os quais estejam previstos:
CWA 14167-3: "Security requirements for trustworthy systems managing certificates for electronic signatures - part 3: Cryptographic module for CSP key generation services - Protection profile", CMCKG-PP;
CWA 14167-4: "Security requirements for trustworthy systems managing certificates for electronic signatures - part 4: Cryptographic module for CSP signing operations - Protection profile", CMCSO PP;
b) Complementam a lista de normas referenciadas no aviso 8134/2004, de 13 de Agosto, publicado no Diário da República, 2.ª série, n.º 190, de 13 de Agosto de 2004, relativamente ao dispositivo seguro de criação de assinatura:
CWA 14890-1: "Application interface for smart cards used as secure signature creation devices - part 1: Basic requirements";
CWA 14890-2: "Application interface for smart cards used as secure signature creation devices - part 2: Additional services";
c) Para os serviços e processos relacionados com o exercício da actividade da entidade certificadora que emite certificados qualificados:
ETSI TS 101 456: "Policy requirements for certification authorities issuing qualified certificates";
d) Para o certificado qualificado:
ETSI TS 101 862: "Qualified certificate profile";
ETSI TS 102 280: "X.509 V.3 certificate profile for certificates issued to natural persons";
e) Para as assinaturas electrónicas avançadas:
ETSI TS 101 733: "Electronic signatures and infrastructures (ESI); electronic signature formats";
ETSI TS 101 903: "XML advanced electronic signatures (XadES)";
f) Para a validação cronológica:
ETSI TS 101 861: "Time stamping profile";
ETSI 102 023: "Electronic signatures and lnfrastructures (ESI); policy requirements for time stamping authorities";
g) Para as aplicações de criação e verificação de assinaturas:
CWA 14170: "Security requirements for signature creation applications;
CWA 14171: "General guidelines for electronic signature verification".
2 - São ainda considerados documentos orientadores estabelecidos como base para a avaliação da conformidade dos processos, sistemas e produtos relacionados com as assinaturas electrónicas, nos termos do artigo 3.º do Decreto Regulamentar 25/2004, de 15 de Julho, com as normas e especificações técnicas referenciadas no presente despacho, assim como com as normas e especificações técnicas referenciadas no aviso 8134/2004, de 13 de Agosto, publicado no Diário da Republica, 2.ª série, n.º 190, de 13 de Agosto de 2004, os seguintes:
CWA 14172-1: "EESSI comformity assessment guidance - part 1: General introdution";
CWA 14172-2: "EESSI comformity assessment guidance - part 2: Certification authority services and processes";
CWA 14172-3: "EESSI comformity assessment guidance - part 3: Trustworthy systems managing certificates for electronic signatures";
CWA 14172-4: "EESSI comformity assessment guidance - part 4: Signature-creation applications and general guidelines for electronic signature verification";
CWA 14172-5: "EESSI comformity assessment guidance - part 5: Secure signature creation devices";
CWA 14172-6: "EESSI comformity assessment guidance - part 6: Signature-creation devices supporting signatures other than qualified";
CWA 14172-7: "EESSI comformity assessment guidance - part 7: Cryptographic modules used by certification service providers for signing operations and key generation service";
CWA 14172-8: "EESSI comformity assessment guidance - part 8 - Time-stamping authority services and processes".
3 - Para todas as referências, indicadas nos números anteriores, consideram-se as últimas versões publicadas.
14 de Dezembro de 2004. - A Presidente, Maria Júlia Ladeira.