XAdES4J: a java library for XAdES signature services

As comunicações electrónicas são cada vez mais o meio de eleição para negócios entre entidades e para as relações entre os cidadãos e o Estado (e-government). Esta diversidade de transacções envolve, muitas vezes, informação sensível e com possível valor legal. Neste contexto, as assinaturas electrónicas são uma importante base de confiança, fornecendo garantias de integridade e autenticação entre os intervenientes. A produção de uma assinatura digital resulta não só no valor da assinatura propriamente dita, mas também num conjunto de informação adicional acerca da mesma, como o algoritmo de assinatura, o certificado de validação ou a hora e local de produção. Num cenário heterogéneo como o descrito anteriormente, torna-se necessária uma forma flexível e interoperável de descrever esse tipo de informação. A linguagem XML é uma forma adequada de representar uma assinatura neste contexto, não só pela sua natureza estruturada, mas principalmente por ser baseada em texto e ter suporte generalizado. A recomendação XML Signature Syntax and Processing (ou apenas XML Signature) foi o primeiro passo na representação de assinaturas em XML. Nela são definidas sintaxe e regras de processamento para criar, representar e validar assinaturas digitais. As assinaturas XML podem ser aplicadas a qualquer tipo de conteúdos digitais identificáveis por um URI, tanto no mesmo documento XML que a assinatura, como noutra qualquer localização. Além disso, a mesma assinatura XML pode englobar vários recursos, mesmo de tipos diferentes (texto livre, imagens, XML, etc.). À medida que as assinaturas electrónicas foram ganhando relevância tornou-se evidente que a especificação XML Signature não era suficiente, nomeadamente por não dar garantias de validade a longo prazo nem de não repudiação. Esta situação foi agravada pelo facto da especificação não cumprir os requisitos da directiva 1999/93/EC da União Europeia, onde é estabelecido um quadro legal para as assinaturas electrónicas a nível comunitário. No seguimento desta directiva da União Europeia foi desenvolvida a especificação XML Advanced Electronic Signatures que define formatos XML e regras de processamento para assinaturas electrónicas não repudiáveis e com validade verificável durante períodos de tempo extensos, em conformidade com a directiva. Esta especificação estende a recomendação XML Signature, definindo novos elementos que contêm informação adicional acerca da assinatura e dos recursos assinados (propriedades qualificadoras). A plataforma Java inclui, desde a versão 1.6, uma API de alto nível para serviços de assinaturas digitais em XML, de acordo com a recomendação XML Signature. Contudo, não existe suporte para assinaturas avançadas. Com este projecto pretende-se desenvolver uma biblioteca Java para a criação e validação de assinaturas XAdES, preenchendo assim a lacuna existente na plataforma. A biblioteca desenvolvida disponibiliza uma interface com alto nível de abstracção, não tendo o programador que lidar directamente com a estrutura XML da assinatura nem com os detalhes do conteúdo das propriedades qualificadoras. São definidos tipos que representam os principais conceitos da assinatura, nomeadamente as propriedades qualificadoras e os recursos assinados, sendo os aspectos estruturais resolvidos internamente. Neste trabalho, a informação que compõe uma assinatura XAdES é dividia em dois grupos: o primeiro é formado por características do signatário e da assinatura, tais como a chave e as propriedades qualificadoras da assinatura. O segundo grupo é composto pelos recursos assinados e as correspondentes propriedades qualificadoras. Quando um signatário produz várias assinaturas em determinado contexto, o primeiro grupo de características será semelhante entre elas. Definiu-se o conjunto invariante de características da assinatura e do signatário como perfil de assinatura. O conceito é estendido à verificação de assinaturas englobando, neste caso, a informação a usar nesse processo, como por exemplo os certificados raiz em que o verificador confia. Numa outra perspectiva, um perfil constitui uma configuração do serviço de assinatura correspondente. O desenho e implementação da biblioteca estão também baseados no conceito de fornecedor de serviços. Um fornecedor de serviços é uma entidade que disponibiliza determinada informação ou serviço necessários à produção e verificação de assinaturas, nomeadamente: selecção de chave/certificado de assinatura, validação de certificados, interacção com servidores de time-stamp e geração de XML. Em vez de depender directamente da informação em causa, um perfil — e, consequentemente, a operação correspondente — é configurado com fornecedores de serviços que são invocados quando necessário. Para cada tipo de fornecedor de serviços é definida um interface, podendo as correspondentes implementações ser configuradas de forma independente. A biblioteca inclui implementações de todos os fornecedores de serviços, sendo algumas delas usadas for omissão na produção e verificação de assinaturas. Uma vez que o foco do projecto é a especificação XAdES, o processamento e estrutura relativos ao formato básico são delegados internamente na biblioteca Apache XML Security, que disponibiliza uma implementação da recomendação XML Signature. Para validar o funcionamento da biblioteca, nomeadamente em termos de interoperabilidade, procede-se, entre outros, à verificação de um conjunto de assinaturas produzidas por Estados Membros da União Europeia, bem como por outra implementação da especificação XAdES.

Network air gap controller

As ameaças à segurança da informação, (INFOSEC) atentam contra a perda da respectiva confidencialidade, integridade e disponibilidade, pelo que as organizações são impelidas a implementar políticas de segurança, quer ao nível físico quer ao nível lógico, utilizando mecanismos específicos de defesa. O projecto Network Air Gap Controller (NAGC) foi concebido no sentido de contribuir para as questões da segurança, designadamente daquelas que se relacionam directamente com a transferência de informação entre redes de classificação de segurança diferenciadas ou de sensibilidades distintas, sem requisitos de comunicação em tempo real, e que mereçam um maior empenho nas condições de robustez, de disponibilidade e de controlo. Os organismos que, em razão das atribuições e competências cometidas, necessitam de fazer fluir informação entre este tipo de redes, são por vezes obrigados a realizar a transferência de dados com recurso a um processo manual, efectuado pelo homem e não pela máquina, que envolve dispositivos amovivéis, como sejam o CD, DVD, PEN, discos externos ou switches manuais. Neste processo, vulgarmente designado por Network Air Gap (NAG), o responsável pela transferência de dados deverá assumir de forma infalível, como atribuições intrínsecas e inalienáveis da função exercida, as garantias do cumprimento de um vasto conjunto de normas regulamentares. As regras estabelecidas desdobram-se em ferramentas e procedimentos que se destinam, por exemplo, à guarda em arquivo de todas as transferências efectuadas; à utilização de ferramentas de segurança (ex: antivírus) antes da colocação da informação na rede de classificação mais elevada; ao não consentimento de transferência de determinados tipos de ficheiro (ex: executáveis) e à garantia de que, em consonância com a autonomia que normalmente é delegada no elemento responsável pela operação das comunicações, apenas se efectuam transferências de informação no sentido da rede de classificação inferior para a rede de classificação mais elevada. Face ao valor da informação e do impacto na imagem deste tipo de organizações, o operador de comunicações que não cumpra escrupulosamente o determinado é inexoravelmente afastado dessas funções, sendo que o processo de apuramento de responsabilidades nem sempre poderá determinar de forma inequívoca se as razões apontam para um acto deliberado ou para factores não intencionais, como a inépcia, o descuido ou a fadiga. Na realidade, as actividades periódicas e rotineiras, tornam o homem propenso à falha e poderão ser incontornavelmente asseguradas, sem qualquer tipo de constrangimentos ou diminuição de garantias, por soluções tecnológicas, desde que devidamente parametrizadas, adaptadas, testadas e amadurecidas, libertando os recursos humanos para tarefas de manutenção, gestão, controlo e inspecção. Acresce que, para este tipo de organizações, onde se multiplicam o número de redes de entrada de informação, com diferentes classificações e actores distintos, e com destinatários específicos, a utilização deste tipo de mecanismos assume uma importância capital. Devido a este factor multiplicativo, impõe-se que o NAGC represente uma opção válida em termos de oferta tecnológica, designadamente para uma gama de produtos de baixíssimo custo e que possa desenvolver-se por camadas de contributo complementar, em função das reais necessidades de cada cenário.

Sistemas de informação: message integration bus

O trabalho apresentado por este documento aborda os problemas que advêm da necessidade de integração de aplicações, desenvolvidas em diferentes instantes no tempo, por diferentes equipas de trabalho, que para enriquecer os processos de negócio necessitam de comunicar entre si. A integração das aplicações tem de ser feita de forma opaca para estas, sendo disponibilizada por uma peça de software genérica, robusta e sem custos para as equipas desenvolvimento, na altura da integração. Esta integração tem de permitir que as aplicações comuniquem utilizando os protocolos que desejarem. Este trabalho propõe um middleware orientado a mensagens como solução para o problema identificado. A solução apresentada por este trabalho disponibiliza a comunicação entre aplicações que utilizam diferentes protocolos, permite ainda o desacoplamento temporal, espacial e de sincronismo na comunicação das aplicações. A implementação da solução tem base num sistema publish/subscribe orientado ao conteúdo e tem de lidar com as maiores exigências computacionais que este tipo de sistema acarta, sendo que a utilização deste se justifica com o enriquecimento da semântica de subscrição de eventos. Esta implementação utiliza uma arquitectura semi-distribuída, com o objectivo de aumentar a escalabilidade do sistema. A utilização da arquitectura semi-distribuída implica que a implementação da solução tem de lidar com o encaminhamento de eventos e divulgação das subscrições, pelos vários servidores de eventos. A implementação da solução disponibiliza garantias de persistência, processamento transaccional e tolerância a falhas, assim como transformação de eventos entre os diversos protocolos. A extensibilidade da solução é conseguida à custa de um sistema de pluggins que permite a adição de suporte a novos protocolos de comunicação. Os protocolos suportados pela implementação final do trabalho são RestMS e TCP.

Cidadania e Competências essenciais

A cidadania consiste na pertença juridicamente reconhecida a uma comunidade política e não depende de pertenças individuais tais como língua, religião, etnia, classe económica visto tratar - se de um estatuto jurídico - político. A cidadania confere direitos, liberdades e garantias e tem deveres estipulados e responsabilidades cívicas .

Caracterização da actividade de gestão de projecto na área de promoção imobiliária em Portugal

Os últimos anos colocaram o mercado imobiliário na ordem do dia, com modificações sucessivas nos equilíbrios entre a oferta e a procura, suscitadas pelas alterações nas economias mundiais. Portugal acompanhou todas essas oscilações com o consequente reflexo no mercado imobiliário. Paralelamente foram produzidas alterações legislativas, que permitiram normalizar e estabelecer critérios bem definidos ao nível das garantias dos produtos imobiliários, bem como na adequação a exigências de qualidade e conforto. A Gestão de Empreendimentos Imobiliários necessitou de responder a estes novos desafios adequando-se a um conjunto de alterações que têm reflexos nos custos de produção, num ambiente competitivo, tornando-se numa actividade exigente e sofisticada, onde a prática intuitiva e pouco organizada deixou de garantir o sucesso dos projectos e a utilização de actuais técnicas de Gestão de Projectos é cada vez mais uma necessidade. Este trabalho pretende caracterizar a utilização das metodologias de Gestão de Projecto empregues pelos promotores imobiliários em Portugal durante o ciclo de vida dos seus empreendimentos. Efectua uma abordagem através de um inquérito, junto de uma amostra de promotores imobiliários, maioritariamente actuantes no sector habitacional, onde se procura a resposta aos diferentes graus de investimento que estes efectuam na preparação, planeamento e controlo de execução dos seus projectos. As respostas ao inquérito permitem obter um quadro muito rico sobre esta realidade e conduzem a um conjunto de reflexões sobre os modos de abordagem às diferentes fases do Projectos imobiliários.

A maturidade da dívida das pequenas e médias empresas industriais portuguesas

O presente trabalho centra-se no estudo da maturidade da dívida das PME industriais portuguesas. Para o efeito, após um breve enquadramento teórico sobre o tema, é analisada uma amostra de 800 empresas, procurando perceber quais os seus principais determinantes. Comparando os resultados obtidos com a evidência empírica internacional, focalizada sobretudo em grandes empresas cotadas e inseridas em mercados financeiros fortemente desintermediados, verificamos que a maturidade da dívida das PME industriais portuguesas reage da mesma forma a factores como: o grau de endividamento, a adequação à maturidade dos activos, o grau de libertação de fundos e a existência de garantias reais. Em contrapartida, a dimensão, sector de actividade e o nível de assimetria de informação parecem constituir factores irrelevantes. Obtém-se ainda que as opções de crescimento têm um efeito oposto ao esperado e que não se verifica uma relação perfeita, do tipo U invertido, entre o risco de liquidez e a maturidade.

Análise crítica do modelo de solvência das empresas de seguros "não vida": a conta "provisão para sinistros"

Neste artigo descreve-se e analisa-se, numa perspectiva crítica, o modelo de solvência actualmente em vigor na União Europeia, particularizando para o caso português. Este modelo, ao basear-se em rácios, apresenta algumas debilidades uma vez que, para modificar o resultado obtido, as empresas de seguros podem baixar o nível de solvência exigida com base na alteração do numerador ou denominador de fracção. Centramo-nos na manipulação do denominador, designadamente através de processos de sub-provisionamento. Esta comunicação discute, do ponto de vista teórico e prático, a utilização deste pressuposto, com base na conta "provisão para sinistros", que pode colocar em risco a principal função das garantias financeiras: a protecção dos tomadores de seguro.

Defensoria do contribuinte: instrumento da relação administração tributária vs. contribuinte

Mestrado em Fiscalidade

O crédito concedido às empresas: antes e no decorrer da crise mundial. Análise e gestão do risco de crédito

O tema do trabalho de investigação é a análise do risco de crédito às empresas antes e durante a actual crise financeira, bem como a sua gestão. A gestão de risco de crédito das instituições financeiras tem-se transformado cada vez mais numa peça chave para toda a actividade bancária, tendo ainda mais significado no mundo actual, em constante mudança e globalização. A concessão de crédito às empresas tornou-se numa tarefa cada vez mais árdua, para as instituições financeiras devido ao risco de crédito. A presente dissertação foi desenvolvida visando os objectivos de efectuar uma avaliação na concessão de crédito a empresas durante a crise, com ênfase na gestão do risco de crédito, bem como na utilização do Acordo de Basileia II. Para atingir os objectivos traçados a metodologia utilizada foi o inquérito por questionário a colaboradores da Caixa Geral de Depósitos (CGD). O questionário foi efectuado, de forma a captar quer os desenvolvimentos passados, como recentes, bem como a evolução esperada. Relativamente à evolução passada, as perguntas respeitam aos anos anteriores à crise, enquanto as perguntas prospectivas se referem aos anos seguintes. O trabalho desenvolvido permitiu-nos concluir que as instituições financeiras mundiais, desde o início da recessão, têm restringido ao máximo a concessão de crédito às empresas. Muitas instituições têm-no feito através da exigência de mais garantias, aumento do spread, bem como a diminuição de maturidades. Todas estas situações geram um ciclo vicioso, na medida em que as empresas que se vêem confrontadas na restrição do acesso ao crédito, não têm condições para sobreviver, gerando assim várias falências.

Central de produção de energia eléctrica a partir de energia solar térmica

Trabalho Final de Mestrado para obtenção do grau de Mestre em Engenharia Mecânica

Projecto de execução de estruturas e fundações de uma obra de arte corrente em betão armado e pré-esforçado

Trabalho de Projecto para obtenção do grau de Mestre em Engenharia Civil.

A liquidação do IRS: uma análise à actuação oficiosa

Mestrado em Fiscalidade

Avaliação comparativa dos efeitos da introdução dos eurocódigos no cálculo sísmico de edifícios de betão armado

Dissertação de natureza Científica para obtenção do grau de Mestre na Área de Especialização de Estruturas

O crédito à habitação : uma evidência empírica em Portugal

Mestrado em Contabilidade e Gestão de Instituições Financeiras

O Microcrédito em Cabo Verde - Importância do microcrédito na criação de negócios locais na ilha de Santiago

Mestrado em Contabilidade e Gestão de Instituições Financeiras