Fundo Comunitário Africano
Diretiva de Correio Seguro
Diretiva n.º: ACF-DIR-001 | Data de Entrada em Vigor: 10/11/2025 | Versão: 1.0
PREÂMBULO
CONSIDERANDO QUE o Fundo Comunitário Africano (o "Fundo") opera como uma instituição internacional com plena personalidade jurídica ao abrigo da sua Carta;
CONSIDERANDO QUE a comunicação eletrónica segura, autenticada e juridicamente reconhecida é essencial para a integridade das operações do Fundo, do Registo Digital de Participações e das relações com os Membros;
CONSIDERANDO QUE o Artigo 10.2 da Carta impõe a manutenção de um Registo Digital de Participações seguro e o Artigo 7.4 exige declarações de boa-fé consistentes com os protocolos KYC;
CONSIDERANDO QUE o Fundo opera uma Autoridade de Certificação soberana para permitir assinaturas digitais juridicamente reconhecidas e uma gestão robusta de identidades;
POR CONSEGUINTE, o Comité Executivo emite a presente Diretiva de Correio Seguro para estabelecer normas mínimas para as comunicações eletrónicas no ecossistema do Fundo.
ARTIGO 1: ÂMBITO E APLICABILIDADE
1.1 Comunicações Abrangidas: A presente Diretiva aplica-se a todos os sistemas de correio eletrónico, mensagens e transmissão de documentos utilizados para:
- (a) Atividades oficiais, governação e funções administrativas do Fundo;
- (b) Integração de Membros, subscrição de participações e chamadas de capital;
- (c) Pedidos de empréstimo, aprovações e prestação de serviços ao abrigo do Artigo 17;
- (d) Acesso ao Registo Digital de Participações e transações no mesmo;
- (e) Transmissão de demonstrações financeiras, relatórios de auditoria e critérios de Programa;
- (f) Qualquer comunicação contendo informações não públicas, sensíveis ou juridicamente significativas.
1.2 Pessoas Abrangidas: A presente Diretiva vincula:
- (a) Todos os Membros (Classe A e Classe B), os seus signatários autorizados e contactos técnicos designados;
- (b) Membros do Comité Executivo, oficiais cerimoniais, colaboradores e consultores do Fundo;
- (c) Auditores externos, avaliadores independentes e prestadores de serviços terceiros contratados pelo Fundo.
1.3 Exclusões: As comunicações públicas publicadas através do sítio oficial do Fundo ou do portal de Dados Abertos são regidas por políticas de publicação separadas.
ARTIGO 2: NORMAS DE SEGURANÇA TÉCNICA
2.1 Requisitos de Encriptação:
- (a) Todas as comunicações abrangidas devem ser encriptadas em trânsito utilizando TLS 1.3 ou superior, ou protocolos equivalentes reconhecidos internacionalmente;
- (b) As mensagens contendo dados financeiros, pessoais ou de governação sensíveis devem ser encriptadas em repouso utilizando AES-256 ou equivalente;
- (c) A encriptação de ponta a ponta deve ser utilizada para comunicações que envolvam transferências de participações, avisos de resgate ou contratos de empréstimo.
2.2 Autenticação e Verificação de Identidade:
- (a) Todos os utilizadores devem autenticar-se através da Autoridade de Certificação (AC) soberana do Fundo utilizando certificados digitais X.509;
- (b) A autenticação multifator (AMF) é obrigatória para acesso a sistemas que processam comunicações abrangidas;
- (c) A emissão, renovação e revogação de certificados deve seguir as políticas estabelecidas pelo Comité Executivo e alinhar-se com a RFC 5280 e as melhores práticas WebPKI.
2.3 Assinaturas Digitais e Não-Repúdio:
- (a) As comunicações juridicamente significativas (p. ex., acordos de subscrição, avisos de levantamento, contratos de empréstimo) devem ser assinadas com assinaturas digitais emitidas pela AC do Fundo;
- (b) As assinaturas digitais devem cumprir o eIDAS, UETA ou enquadramentos equivalentes para garantir o reconhecimento jurídico transfronteiriço;
- (c) As mensagens assinadas devem incluir carimbo de data/hora e verificação de integridade para prevenir o repúdio.
2.4 Protocolos Aprovados e Interoperabilidade:
- (a) O Fundo deve suportar S/MIME e PGP/MIME para interoperabilidade segura de correio eletrónico com os sistemas dos Membros;
- (b) As comunicações baseadas em API devem utilizar a API Programática do Fundo com OAuth 2.0 ou autenticação equivalente baseada em tokens;
- (c) Os Membros que se integrem com os sistemas do Fundo devem aderir às especificações técnicas publicadas pelo Comité Executivo.
ARTIGO 3: PROTEÇÃO DE DADOS E PRIVACIDADE
3.1 Confidencialidade: As comunicações abrangidas devem ser tratadas como confidenciais, salvo designação expressa em contrário. A divulgação, interceção ou reencaminhamento não autorizados são proibidos.
3.2 Tratamento de Dados Pessoais: Quando as comunicações contêm dados pessoais, o tratamento deve cumprir as normas internacionais aplicáveis de proteção de dados e a Política de Privacidade do Fundo.
3.3 Transferências Transfronteiriças: O estatuto supranacional do Fundo ao abrigo do Capítulo V da Carta isenta as suas operações de leis nacionais restritivas de localização de dados. Contudo, os Membros continuam responsáveis por garantir a sua conformidade com os regulamentos nacionais aplicáveis ao transmitir dados ao Fundo.
3.4 Conservação e Arquivo:
- (a) As comunicações abrangidas devem ser conservadas por um mínimo de sete (7) anos, ou por mais tempo se exigido pela lei aplicável ou pela política do Fundo;
- (b) Os sistemas de arquivo devem preservar a integridade das mensagens, os metadados e a validade das assinaturas durante todo o período de conservação;
- (c) Os Membros podem solicitar a eliminação dos seus dados pessoais sujeito às obrigações legítimas de manutenção de registos do Fundo.
ARTIGO 4: RESPOSTA A INCIDENTES E NOTIFICAÇÃO DE VIOLAÇÃO
4.1 Obrigações de Reporte: Qualquer comprometimento suspeito ou real dos sistemas de correio seguro (p. ex., roubo de certificado, acesso não autorizado, phishing) deve ser comunicado ao Gabinete de Segurança do Fundo no prazo de vinte e quatro (24) horas após a descoberta.
4.2 Resposta do Fundo: Após confirmação de um incidente de segurança, o Comité Executivo deve:
- (a) Conter e remediar o incidente de acordo com o Plano de Resposta a Incidentes do Fundo;
- (b) Notificar os Membros afetados de forma rápida e transparente;
- (c) Revogar os certificados comprometidos e reemitir credenciais conforme necessário;
- (d) Documentar as lições aprendidas e atualizar as políticas de segurança em conformidade.
4.3 Responsabilidades dos Membros: Os Membros devem manter medidas de segurança razoáveis para os seus próprios sistemas e atualizar prontamente as informações de contacto para notificações de segurança.
ARTIGO 5: CONFORMIDADE, MONITORIZAÇÃO E APLICAÇÃO
5.1 Monitorização da Conformidade: O Comité Executivo, em consulta com o Comité de Auditoria, deve rever periodicamente a adesão à presente Diretiva através de auditorias técnicas, testes de penetração e avaliações de política.
5.2 Consequências da Não-Conformidade: O não cumprimento da presente Diretiva pode resultar em:
- (a) Suspensão dos privilégios de comunicação segura;
- (b) Atraso ou rejeição de transações que exijam canais seguros (p. ex., transferências de participações, desembolsos de empréstimos);
- (c) Encaminhamento ao Comité Executivo para eventual revisão da adesão ao abrigo do Artigo 4.3.
5.3 Isenções e Dispensas: O Comité Executivo pode conceder isenções limitadas e por tempo determinado à presente Diretiva quando o cumprimento estrito causar dificuldade excessiva e quando salvaguardas alternativas proporcionem proteção equivalente. As isenções devem ser documentadas e comunicadas anualmente à Reunião de Votação.
ARTIGO 6: ADMISSIBILIDADE JURÍDICA E RESOLUÇÃO DE LITÍGIOS
6.1 Presunção de Autenticidade: As comunicações transmitidas em conformidade com a presente Diretiva são presumidas autênticas, íntegras e atribuíveis ao remetente identificado para efeitos de governação do Fundo e resolução de litígios.
6.2 Valor Probatório: As mensagens assinadas digitalmente, os registos de auditoria e os registos de validação de certificados mantidos pelo Fundo são admissíveis como prova em processos perante o Comité Executivo ou a Reunião de Votação ao abrigo do Artigo 27 da Carta.
6.3 Não Renúncia a Imunidades: A conformidade com a presente Diretiva não constitui uma renúncia às imunidades, privilégios ou isenções do Fundo ao abrigo do Capítulo V da Carta.
ARTIGO 7: IMPLEMENTAÇÃO E REVISÃO
7.1 Data de Entrada em Vigor: A presente Diretiva entra em vigor após adoção pelo Comité Executivo e publicação no sítio oficial do Fundo.
7.2 Integração de Membros: Os novos Membros recebem documentação técnica e credenciais para integração de correio seguro como parte do processo de integração ao abrigo do Artigo 4.2 da Carta.
7.3 Revisão Periódica: O Comité Executivo deve rever a presente Diretiva pelo menos de dois (2) em dois anos, ou mais cedo em resposta a desenvolvimentos tecnológicos ou ameaças de segurança, e propor alterações à Reunião de Votação conforme adequado.
7.4 Apoio e Formação: O Fundo deve fornecer suporte técnico, documentação e recursos de formação para ajudar os Membros a cumprir a presente Diretiva.
ANEXO A: ESPECIFICAÇÕES TÉCNICAS MÍNIMAS
| Componente | Requisito | Norma/Referência |
|---|---|---|
| Encriptação de Transporte | TLS 1.3 ou superior | RFC 8446 |
| Encriptação em Repouso | AES-256-GCM ou equivalente | NIST SP 800-38D |
| Certificados Digitais | X.509 v3, assinaturas SHA-256 | RFC 5280 |
| Segurança de Correio Eletrónico | S/MIME v3.2 ou PGP/MIME | RFC 8551, RFC 3156 |
| Autenticação de API | OAuth 2.0 + JWT ou mTLS | RFC 6749, RFC 7519 |
| Autenticação Multifator | TOTP, FIDO2 ou token de hardware | RFC 6238, W3C WebAuthn |
| Carimbo de Data/Hora | TSA conforme RFC 3161 | RFC 3161 |
| Registo de Auditoria | Registos imutáveis e invioláveis | ISO/IEC 27001 |
ANEXO B: CONTACTOS E SUPORTE
| Função | Contacto | Finalidade |
|---|---|---|
| Operações da Autoridade de Certificação | [email protected] | Emissão, renovação, revogação de certificados |
| Suporte Técnico de Correio Seguro | [email protected] | Assistência de integração, resolução de problemas |
| Reporte de Incidentes de Segurança | [email protected] | Notificação de violação, resposta a incidentes |
| Questões de Conformidade e Política | [email protected] | Interpretação de diretivas, pedidos de isenção |
| Suporte Geral a Membros | [email protected] | Integração, gestão de contas |
Adotada pelo Comité Executivo do Fundo Comunitário Africano em 10/11/2025.
Valor Partilhado, Prosperidade Partilhada.