Your SlideShare is downloading. ×
eID and e-Signature (PKI) in Mercosul - Tools to support eGovernment and eBusiness in the Region
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

eID and e-Signature (PKI) in Mercosul - Tools to support eGovernment and eBusiness in the Region

968
views

Published on

- Subject: eID and e-Signature (PKI) in Mercosul - Tools to support eGovernment and eBusiness in the Region …

- Subject: eID and e-Signature (PKI) in Mercosul - Tools to support eGovernment and eBusiness in the Region
- Date: 10 and 11/03/2010
- Time: 09:00h às 18:00h
- Place: Beach Rotana Hotel, Abu Dhabi, UAE
- Event: Gemalto´s Identity Conference 2010

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
968
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
27
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • A quem se reportam: ITI (Br) – Casa Civil ONTI (Ar) – Secretaria de Gestão Pública - http://www.sgp.gov.ar/contenidos/onti/onti.html (AFIP y ANSeS) AGESIC (Uy) – Presidência da República – www.agesic.gub.uy MIC (Py) – Presidência da República – www.mic.gov.py
  • Contratos Notas Fiscais Acordos de Cooperação Aposentadoria ...
  • Contratos Notas Fiscais Acordos de Cooperação Aposentadoria ...
  • Enterprises want to make business with innovative techniques while keeping full control of the confidentiality, user authentication, integrity of the message, non-repudiation of transactions, and legitimate availability of services and information. Chambers of Commerce that are part of the Consortium provide end users (companies) with the technical infrastructure required to achieve this objective and link it to an increasing number of eBusiness and eGovernment applications which are available outside the national borders.
  • Desde sus comienzos, el  Subgrupo de Trabajo N° 13  " Comercio Electrónico " del  MERCOSUR  ha trabajado sobre la necesidad de llevar adelante negociaciones tendientes a lograr mecanismos que posibiliten el reconocimiento de certificados digitales entre los Estados Partes.  Considerando que la seguridad y confianza en las comunicaciones y transacciones electrónicas resultan esenciales para facilitar el desarrollo del  Comercio  y del  Gobierno Electrónicos , y entendiendo que el uso de la firma digital posibilita garantizar la validez legal de dichas transacciones y/o documentos electrónicos, el  Subgrupo de Trabajo N° 13  " Comercio Electrónico " del  MERCOSUR  intercambió información sobre los marcos normativos nacionales que atañen al reconocimiento de las electrónicas y digitales y de los documentos electrónicos.  Estos dos proyectos de resolución fueron consensuados en Junio de 2006, pasaron por consultas internas en los Estados Partes y han sido aprobados por el  Grupo Mercado Común  ( GMC ).
  • Desde sus comienzos, el  Subgrupo de Trabajo N° 13  " Comercio Electrónico " del  MERCOSUR  ha trabajado sobre la necesidad de llevar adelante negociaciones tendientes a lograr mecanismos que posibiliten el reconocimiento de certificados digitales entre los Estados Partes.  Considerando que la seguridad y confianza en las comunicaciones y transacciones electrónicas resultan esenciales para facilitar el desarrollo del  Comercio  y del  Gobierno Electrónicos , y entendiendo que el uso de la firma digital posibilita garantizar la validez legal de dichas transacciones y/o documentos electrónicos, el  Subgrupo de Trabajo N° 13  " Comercio Electrónico " del  MERCOSUR  intercambió información sobre los marcos normativos nacionales que atañen al reconocimiento de las electrónicas y digitales y de los documentos electrónicos.  Estos dos proyectos de resolución fueron consensuados en Junio de 2006, pasaron por consultas internas en los Estados Partes y han sido aprobados por el  Grupo Mercado Común  ( GMC ). The Mercosul institutions and Member States show strong commitment to e-procedures. This has clearly be highlighted, among others, in the Services Directive that requires Points of Single Contact to be able to provide services electronically and in the Public Procurement Directives that promote the development and use of electronic means. A major challenge remains nevertheless to be solved: the issue of cross border recognition of e-Signatures.
  • CE e GMC – Órgãos executivos dos blocos
  • Contrato 6 – (Infraestrutura de Chaves Públicas (ICP) – Certificação Digital) Atividades 1.2 e 1.3  – Estudo de necessidades de ICP de cada país (Atividade 1.2: Py e Atividade 1.3: Argentina e Uruguai) - Definição do modelo tecnológico de ICP em cada país - Desenho das especificações técnicas de hardware e software de ICP -  Resultados : a) Atividade 1.2 - Relatório de necessidades de ICP do Paraguai b) Atividade 1.2 - Termos de Referência para aquisições de hardware/software de ICP do Paraguai c) Atividade 1.3 - Relatório de necessidades de ICP de Argentina e Uruguai d) Atividade 1.3 - Termos de Referência para aquisições de hardware e software de ICP de Argentina e Uruguai Atividade 1.4  – Elaboração de Normas Técnicas e Resoluções de ICP e Assinatura Digital para o Paraguai -  Resultado : Conjunto de Normas Técnicas e Resoluções (documentos) de ICP e Assinatura Digital para o Paraguai Contrato 7 – (Infraestrutura de Chaves Públicas – Plano Preliminar Diretor de Certificação Digital - PDCD) Atividade 1.1  – Definição do modelo tecnológico de integração e evolução das ICPs (04 países) - Estudo da integração entre os 04 países - Estudo da evolução da ICP Mercosul e das 04 ICPs locais (setor público e privado, cenários de aplicabilidade), assim como as boas práticas da União Européia (UE) - Consolidação em nível de Mercosul -  Resultado : Plano Preliminar Diretor de Certificação Digital (documento) Contrato 8 – (Infraestrutura de Carimbo de Tempo) Atividade 2.1  – Estudo de necessidades de Timestamp de cada país (Argentina e Uruguai) - Definição do modelo tecnológico de Timestamp em cada país (Argentina e Uruguai) - Desenho das especificações técnicas de hardware e software de Carimbo de Tempo -  Resultados : a) Relatório de necessidades de Timestamp de cada país (Argentina e Uruguai) b) Termos de Referência para aquisições de hardware e software de Carimbo de Tempo em cada país (Argentina e Uruguai) Atividade 2.2  – Elaboração de Normas Técnicas e Resoluções de Carimbo de Tempo para a Argentina e o Uruguai -  Resultado : Conjunto de Normas Técnicas e Resoluções (documentos) de Carimbo de Tempo para cada país (Argentina e Uruguai) Contrato 9 – (Infraestrutura de Chaves Públicas – Diálogo Regulatório) Atividade 3.15  – ( Diálogo Regulatório ) 01 produto (GAP Analysis) por país (04 consultores plenos, 01 por país) - levantamento do cenário do Marco Regulatório por país. - Estudo do status de cada tema regulatório do comércio eletrônico (Documento Eletrônico, Assinatura Digital, Proteção de Dados Pessoais, Crimes Eletrônicos, etc) em cada país - Comparação dos marcos regulatórios de cada país com as melhores práticas do Mercosul e de outros países e blocos - Definição dos principais temas a serem trabalhados por país -  Resultado : GAP Analysis (documento) de cada país. O GAP Analysis é uma ferramenta que possibilita a comparação da situação atual com a sua situação potencial. As duas principais perguntas a serem respondidas são: Qual é o Cenário Atual? E quais seriam os Caminhos e Investimentos para a Evolução? Atividade 3.16  – ( Diálogo Regulatório ) 01 consultor sênior para consolidação dos GAP Analysis de cada país. - Relatório consolidado informando o status de cada tema regulatório do comércio eletrônico - Definição dos principais temas a serem trabalhados no bloco -  Resultado : GAP Analysis (documento) consolidado para o bloco.
  • Proposta a ser levada aos representantes dos demais Estados-Membros do Mercosul é a seguinte: a) adoção de uma linha de trabalho com base no Modelo 5 de interconexão, ou seja, o Modelo de Autoridade de Confiança , que gera listas contendo a relação dos PSCs acreditados de cada país; ao longo da segunda etapa do trabalho se buscará a melhor alternativa para implementar legal e tecnicamente essa solução, entre as variações possíveis desse Modelo. Um ponto de extrema relevância no estudo comparativo entre a situação européia e a do Mercosul é o fato de que em nosso continente ainda estamos iniciando o processo de montagem das infraestruturas de certificação nacionais e podemos, mais facilmente do que os europeus, adotar soluções nacionais que facilitem a interoperabilidade, permitindo assim que seja necessário um mínimo de interferência supranacional. Assim, paralelamente ao detalhamento da aplicação do Modelo 5 ao Mercosul, será realizado estudo apontando os principais pontos que devem ser observados pelos países do Mercosul para que não se forme aqui o mesmo quadro desarmônico observado na União Europeia em questões relevantes, como: a. perfis de certificados; b. perfis de dispositivos seguros de criação de assinaturas; c. formatos das assinaturas; d. critérios de supervisão dos PSCs. No que toca à implementação jurídica, serão analisados principalmente os dispositivos das legislações dos Estados-Membros relacionados aos requisitos e valor jurídico para o reconhecimento de certificados estrangeiros, bem assim a normativa já existente do Mercosul, especialmente a Resolução N° 37/06 do Grupo Mercado Comum sobre o reconhecimento da eficácia jurídica do documento eletrônico, a assinatura eletrônica e a assinatura eletrônica avançada no âmbito do Mercosul. Acreditamos que essa proposta de trabalho atenderá aos objetivos do projeto Mercosul Digital e que o modelo tecnológico e jurídico de integração ora proposto poderá, efetivamente, contribuir para promover políticas e estratégias comuns no Mercosul na área da Sociedade da Informação e reduzir o desnível e as assimetrias em matéria de Tecnologias de Informação e Comunicações (TIC) na região.
  • Proposta a ser levada aos representantes dos demais Estados-Membros do Mercosul é a seguinte: a) adoção de uma linha de trabalho com base no Modelo 5 de interconexão, ou seja, o Modelo de Autoridade de Confiança , que gera listas contendo a relação dos PSCs acreditados de cada país; ao longo da segunda etapa do trabalho se buscará a melhor alternativa para implementar legal e tecnicamente essa solução, entre as variações possíveis desse Modelo. Um ponto de extrema relevância no estudo comparativo entre a situação européia e a do Mercosul é o fato de que em nosso continente ainda estamos iniciando o processo de montagem das infraestruturas de certificação nacionais e podemos, mais facilmente do que os europeus, adotar soluções nacionais que facilitem a interoperabilidade, permitindo assim que seja necessário um mínimo de interferência supranacional. Assim, paralelamente ao detalhamento da aplicação do Modelo 5 ao Mercosul, será realizado estudo apontando os principais pontos que devem ser observados pelos países do Mercosul para que não se forme aqui o mesmo quadro desarmônico observado na União Europeia em questões relevantes, como: a. perfis de certificados; b. perfis de dispositivos seguros de criação de assinaturas; c. formatos das assinaturas; d. critérios de supervisão dos PSCs. No que toca à implementação jurídica, serão analisados principalmente os dispositivos das legislações dos Estados-Membros relacionados aos requisitos e valor jurídico para o reconhecimento de certificados estrangeiros, bem assim a normativa já existente do Mercosul, especialmente a Resolução N° 37/06 do Grupo Mercado Comum sobre o reconhecimento da eficácia jurídica do documento eletrônico, a assinatura eletrônica e a assinatura eletrônica avançada no âmbito do Mercosul. Acreditamos que essa proposta de trabalho atenderá aos objetivos do projeto Mercosul Digital e que o modelo tecnológico e jurídico de integração ora proposto poderá, efetivamente, contribuir para promover políticas e estratégias comuns no Mercosul na área da Sociedade da Informação e reduzir o desnível e as assimetrias em matéria de Tecnologias de Informação e Comunicações (TIC) na região.
  • Modelo de Autoridade de Confiança (MODELO 5) Uma Lista de Confiança pode ser criada e mantida para o uso de várias Terceiras Partes Confiantes. Neste caso, a entidade responsável pela Lista de Confiança é conhecida como uma Autoridade de Confiança. Autoridade de Confiança: Uma entidade que gerencia uma Lista de Confiança para uso por uma ou mais Terceiras Partes Confiantes. Note-se que a Autoridade Confiança substitui a ICP Âncora de Confiança na Lista de Confiança Local para cada Terceira Parte Confiante participante. A Autoridade de Confiança pode ser operada por uma ICP, um conjunto de Terceiras Partes Confiantes que compartilham um conjunto comum de usuários, uma empresa em nome de todas as suas Terceiras Partes Confiantes, ou uma entidade independente. Embora as ICPs geralmente estabeleçam relações de confiança através de certificados cruzados, uma ICP pode optar por fornecer uma Autoridade de Confiança para apoiar as Terceiras Partes Confiantes que não suportam processamento de caminhos de certificação. Um conjunto de Terceiras Partes Confiantes que compartilham um conjunto comum de usuários pode optar por manter uma única Autoridade de Confiança para simplificar o gerenciamento das Listas de Confiança. Uma empresa pode optar por designar uma Autoridade de Confiança para implementar políticas da empresa e direcionar todas as Terceiras Partes Confiantes da empresa a utilizar a sua Autoridade de Confiança. Finalmente, uma entidade independente pode optar por operar uma Autoridade de Confiança como um serviço gerenciado. 3.3. CONSIDERAÇÕES SOBRE LISTAS DE CONFIANÇA 3.3.1. Considerações para as ICPs Uma ICP deve publicar o seu Documento de Políticas de Certificação de modo que as Terceiras Partes Confiantes e as Autoridades de Confiança possam determinar quais são, se houver, as garantias fornecidas pela ICP quanto à confiança de certificados de Entidades Finais. Uma ICP deve divulgar amplamente as informações sobre a revogação ou comprometimento de certificados da AC Âncora de Confiança ou da AC Principal através de anúncio em uma página web, na imprensa, e/ou outros mecanismos apropriados para que as Terceiras Partes Confiantes e as Autoridades de Confiança possam determinar se os certificados de uma AC Âncora de Confiança ou de uma AC Principal, instalados em uma Lista de Confiança, devem ser removidos. Uma ICP deve publicar Listas de Revogação de Certificados (LCR) ou outras informações relativas ao estado de revogação de certificados de Entidades Finais em um repositório que pode ser acessado por qualquer parte que deseje confiar nos certificados das Entidades Finais. 3.3.2. Considerações para as Terceiras Partes Confiantes e Autoridades de Confiança Terceiras Partes Confiantes e Autoridades de Confiança são responsáveis pelo seguinte, antes da inclusão de uma ICP na Lista de Confiança: · Rever o Documento de Políticas de Certificação de cada ICP para determinar se a ICP é operada com um nível aceitável de segurança; · Rever o Documento de Políticas de Certificação de cada ICP para garantir que os requisitos impostos pela Terceira Parte Confiante estão satisfeitos; · Determinar se a ICP fornece quaisquer garantias sobre a confiança de certificados de Entidades Finais e se essas garantias são aceitáveis para a confiança pretendida sobre os certificados de Entidades Finais; e · Rever periodicamente as informações publicadas pela ICP em seu repositório, incluindo atualizações no Documento de Políticas de Certificação ou aviso de que a AC foi revogada ou comprometida. Uma ICP pode optar por aderir ou deixar domínios ICP em conformidade com seu Documento de Políticas de Certificação. Se a Terceira Parte Confiante ou a Autoridade de Confiança não deseja herdar confiança dos outros membros destes domínios ICP, é da responsabilidade da Terceira Parte Confiante ou da Autoridade de Confiança inibir o mapeamento da política. 3.4. CONSIDERAÇÕES ADICIONAIS PARA AUTORIDADES DE CONFIANÇA Uma Autoridade de Confiança deve estabelecer uma Política de Autoridade de Confiança que identifique o seguinte: · A comunidade de destino de Terceiras Partes Confiantes que irá utilizar a Autoridade de Confiança; · O processo pelo qual as âncoras de confiança são adicionadas ou removidas da Lista de Confiança; · Garantias fornecidas pela Autoridade de Confiança para a aceitação de certificados de Entidades Finais. Estas garantias podem ser aquelas fornecidas pelas ICPs entre si ou podem ser garantias adicionais fornecidas pela Autoridade de Confiança; · Informações a respeito de como a Autoridade de Confiança protege a integridade da sua Lista de Confiança; e · Informações a respeito de como as Terceiras Partes Confiantes interagem com a Autoridade de Confiança para obter informações sobre como saber se um certificado de Entidade Final é confiável.
  • A CIDADANIA DIGITAL Projetos como RIC, Titulo de Eleitor Eletrônico, CNH Eletrônica, Carteira de Trabalho Eletrônica, Passaporte Eletrônico, etc., nos remetem para um período cujo foco estará centrado, principalmente, na IDENTIDADE ELETRÔNICA - eID
  • A CIDADANIA DIGITAL Projetos como RIC, Titulo de Eleitor Eletrônico, CNH Eletrônica, Carteira de Trabalho Eletrônica, Passaporte Eletrônico, etc., nos remetem para um Período cujo foco estará centrado, principalmente, na IDENTIDADE ELETRÔNICA - eID
  • Micro-Localization This is a trend that seems to be fast spreading is that people are seeking a (renewed?) sense of place, a connection to their community. Whether it’s connecting with their food supplies by shopping at local co-ops, farmer’s markets, and sharing in a CSA – or through participating the rise of community groups such as Seattle’s SCALLOPS groups – people are reconnecting. Likewise, local groups everywhere are refocusing their messages and efforts to take advantage of larger trends – Obama’s “hope/change” mantra being a recent example. In short: people are trying to connect locally, support others in their communities, and know their neighbors. Macro-Realization People globally are connected to one another more than ever. Simultaneously, we can focus on supporting our local farmers, and we can learn what innovative methods people across the globe are using to support  their local farmers. This presents unique and immense community-building opportunities – particularly around business.
  • Identidad Digital: Single Sign On Micro Serviços: armazenamento web de documentos eletrônicos assinados, Time Stamp, Reserva de Estacionamentos, Reserva de Periódicos, Pequenas Entregas (baseados em Web Services) Micro Produtos / Micro Conteúdo: Twitter, Trilhas de Músicas, Cenas de Filmes, Artigos, Ring Tones Micro pagamentos (móveis): Certificados digitais no SIM Card
  • Transcript

    • 1. Tools to support eGovernment and eBusiness in the Region eID & e-Signature (PKI) in Mercosul
    • 2. eID – e-Signature in Mercosul Brazil Argentina Uruguay Paraguay I nstituto Nacional de Tecnologia da Informação Oficina Nacional de Tecnologías de Información Agencia para el Desarrollo del Gobierno de Gestión Electrónica y de la Sociedad de la Información y del Conocimiento M inisterio de Industria y Comercio
    • 3. eID – e-Signature in Mercosul The Problem
    • 4. eID – e-Signature in Mercosul The main Barriers for Information Society and Digital Economy Development aren’t Technological
    • 5. eID – e-Signature in Mercosul
      • Electronic Identification (eID) ;
      • Personal Data Protection ;
      • Credit and Debit Cards ( ePayment );
      • Delivery ( Logistics );
      • Product and Services Quality ;
      • Arbitration
      • These are the Secure Electronic Cross Boarder Transactions Basis to make the Interregional Electronic Trade happen.
    • 6. eID – e-Signature in Mercosul The Solution
    • 7. eID – e-Signature in Mercosul The Ability to exchange electronic documents and transactions, interoperating e-signatures and e-identification for cross-border eBusiness and eGovernment services in Mercosul Block
    • 8. eID – e-Signature in Mercosul The Beginning
    • 9. eID – e-Signature in Mercosul The Working Sub-Group 13 (SGT 13) focused in "Electronic Trade"   in  MERCOSUL started writing the eID Regional Policies . Cross Border e-Signatures Recognition
    • 10. eID – e-Signature in Mercosul
      • MERCOSUR/GMC EXT./ Resolution N # 34/06  
      • - Orientation for the celebration of Mutual Recognition Agreements of Advanced Digital Signatures in MERCOSUL ;
      • MERCOSUR/GMC EXT./ Resolution N # 37/06
      • - Recognition of the Legal Validity of Electronic Document, e-Signature and Advanced e-Signature in MERCOSUR .
      Region Regulatory Framework (Joint Policy)
    • 11. EU – Mercosul: Finacial Partnetship N # . 2006/18558
    • 12. eID – e-Signature in Mercosul The Digital Mercosul Project The European Union and the Mercosul Block (Argentina, Brazil, Paraguay and Uruguay) working together in order to foster joint policies and strategies in the field of Information Society and to reduce the Digital Divide and the Asymmetries related to ICTs in the region. Budget: €9,6 million in 3 years
    • 13. eID – e-Signature in Mercosul
      • eID’s Areas of Investment in the Block
      • Public Key Infrastructure (PKI)
      • Time Stamp Infrastructure
      • Regulatory Framework
      Budget: €2 million in PKI and Time Stamp Digital Mercosul
    • 14. eID – e-Signature in Mercosul Mutual Recognition Framework Cross Border Recognition of e-Signatures Two or more PKI Domains can establish Trust Relationships with each other. In this case they can build a bigger Domain through “super Certificate Authorities (CA)”: Unifier CA, Bridge CA or issuing Cross Certificates between the Root CAs Block’s main driver: Do not build a Regional (Supranational) CA in order to maintain National CAs’ empowerment to enforce local prerequisites (such as the security ones) Digital Mercosul
    • 15. eID – e-Signature in Mercosul
      • 5 possible technical Solutions:
      • Unifier CA or Hierarchic Model
      • Bridge CA
      • Validation Authority
      • Cross Certification
      • Trust CA Model
    • 16. eID – e-Signature in Mercosul
      • The Chosen Solution
      • Trust CA Model
      • Unifying:
      • Certificates Profiles;
      • Hardware Profiles;
      • Signatures Standards;
      • Certificate Authorities Auditing Procedures
      Respecting Countries Sovereignties
    • 17. eID – e-Signature in Mercosul The Future (near)
    • 18. eID – e-Signature in Mercosul Electronic Government + Electronic Trade = Digital Economy evolving to the DIGITAL CITIZENSHIP eID
    • 19. eID – Digital Citzenship Life Cycle Born Citizen ID Passport Election / Vote ID Marriage Professional ID Death
    • 20. eID – Digital Economy Life Cycle Real State Notaries Protest Contracts Financial Operations Currency Exchange Goods
    • 21. The Future (far, but not so much) The Future of e-Signature
    • 22. Macro & Micro Trends Micro Localization Social Network VoIP RFID Tablet PC Web Services Grid Computing 4G Wireless SmartPhone High Speed BroadBand IP TV Wikis Digital Convergence Voice Recognition Semantic Web Instant Messaging Electronic Document Blogs Twitter Micro e-Commerce Ubiquous Access Micro Payment Cloud Computing Micro Services Paperless Government Digital ID New Paradigms New Business Models Emerging Technologies
    • 23. The Future of e-Signature from e-Commerce to Micro e-Commerce Where the Electronic Fraud Prevention is more expensive than the product and service itself New Services and New Business Models
    • 24. eID – e-Signature in the Cloud Micro e-Commerce Micro Content Micro Services eID Time Stamp Digital Docs Repositories Micro Payments
    • 25. Thank you Gerson Rolim mailto:gerson.rolim@camara-e.net Cel: (55-11) 8572-5577   Executive Director Brazilian e-Commerce Chamber www.camara-e.net Blog: gersonrolim.blogspot.com Twitter: twitter.com/gersonrolim Brazil´s Coordinator Digital Mercosul Project www.mercosuldigital.org Blog: mercosuldigital.blogspot.com Twitter: twitter.com/mercosuldigital