Norma
04/10/2017
#193732

RESOLUÇÃO Nº 130, DE 19 DE SETEMBRO DE 2017

Institui instalações técnicas secundárias e disciplina procedimentos de validação externa na ICP-Brasil.

INSTITUI AS INSTALAÇÕES TÉCNICASSECUNDÁRIAS, DISCIPLINA OSPROCEDIMENTOS DE VALIDAÇÃOEXTERNA NO ÂMBITO DA ICP-BRASILE DÁ OUTRAS PROVIDÊNCIAS.

O COORDENADOR DO COMITÊ GESTOR DA IN-

FRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, nouso das atribuições que lhe confere o art. 6º, §1º, inc. III, do RegimentoInterno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURADE CHAVES PÚBLICAS BRASILEIRA, noexercício das competências previstas no art. 4°, da Medida Provisórian° 2.200-2, de 24 de agosto de 2001, em reunião ordinária realizadaem 19 de setembro de 2017,

Considerando a necessidade de disciplinar os procedimentosde Validação Externa como modalidade de validação da solicitação decertificado, e

Considerando a necessidade de expandir a capilaridade naemissão de certificados digitais, resolveu:

Art. 1º Incluir as alíneas "r" e "s" no item 1.3 do DOC-ICP-03.01,versão 2.1, com a seguinte redação:

r) Instalação Técnica Secundária - Ambiente físico de uma

AR, cujo funcionamento foi devidamente autorizado pelo ITI,

onde é realizada exclusivamente a atividade de coleta e/ou ve rificaçãobiométrica e validação da solicitação de certificados.

Não possui período de tempo determinado para funcionamento;

s) Validação Externa - compreende a realização da etapa de

validação da solicitação de certificado e coleta biométrica do

titular do certificado fora do ambiente físico da AR, nas hipóteses

e na forma prevista no item 3.1.1.2 do DOC-ICP-05 [1].

Art. 2º O item 1.6 do DOC-ICP-03.01, versão 2.1, passa avigorar com a seguinte redação:

1.6. Em caso de alteração de endereço da instalação técnica

ou da instalação técnica secundária, o fato deve ser previamente

reportado à AC responsável, que enviará ao ITI formulário de

credenciamento ADE-ICP-03.E [4] com dados atualizados, so licitandonova autorização de funcionamento, acompanhado dos

documentos previstos no DOC-ICP-03 [3].

Art. 3º O item 2.1.3 do DOC-ICP-03.01, versão 2.1, passa avigorar com a seguinte redação:

2.1.3. Pode ser firmado acordo documentado, entre AC e

AR, no qual a AC delega à AR a atividade de incluir/excluir

Agentes de Registro no aplicativo de AR, desde que a AR não

possua agente de registro como sócio. Nesse caso, o responsável

por essa atividade, na AR, deve ser formalmente designado e

possuir âmbito de atuação restrito ao necessário às atividades

daquela AR.

Art. 4º A alínea "d" do item 2.2.3 do DOC-ICP-03.01, versão2.1, passa a vigorar com a seguinte redação:

d) Representante Legal da própria AR, caso a AR não possua

agente de registro como sócio.

Art. 5º O item 3.8 do DOC-ICP-03.01, versão 2.1, passa avigorar com a seguinte redação:

3.8. As ARs somente poderão utilizar a modalidade de va lidaçãoexterna depois de adaptar seus computadores móveis ao

disposto no item 4.1.2, e desde que a AC à qual a AR se vincula

tenha adaptado seus procedimentos, seu sistema de certificação e

o aplicativo da AR a todas as regras deste documento e ao

disposto no item 3.1.1.2 do DOC-ICP-05 [1].

Art. 6º Incluir as alíneas "l", "m" e "n" no item 4.1.2 doDOC-ICP-03.01, versão 2.1, com a seguinte redação:

l) para equipamentos utilizados em Postos Provisórios, Ins talaçõesTécnicas Secundárias e em procedimento de validação

externa, utilização de aplicativo de georreferenciamento que per miterastrear o computador, sendo que a localização do equi pamentodeve ficar disponível no sistema de AR;

m) equipamentos de coleta biométrica, em atendimento aos

padrões da ICP-Brasil, para garantir mecanismo de coleta bio métricano qual seus registros sejam processados e enviados ao

sistema sem permitir a manipulação pelo agente de registro;

n) equipamentos que exijam a identificação biométrica do

agente de registro durante a identificação biométrica do reque rentedo certificado e que exija a identificação biométrica do

responsável pela execução de todas as etapas do processo de

validação e verificação do certificado digital.

Art. 7º Incluir o item 4.1.6. no DOC-ICP-03.01, versão 2.1,com a seguinte redação:

4.1.6. As estações de trabalho da AR, incluindo equipa mentosportáteis utilizados na instalação técnica secundária para

executar os procedimentos de validação, podem ser utilizados

para atendimento de validação externa, não podendo ser uti lizadosem outras atividades fora do endereço autorizado pelo

ITI, desde que atendidos os demais requisitos constantes nas

normas da ICP-Brasil.

Art. 8º Incluir a alínea "h" no item 4.2.1 do DOC-ICP-03.01,versão 2.1, com a seguinte redação:

h) registrar as coordenadas de georreferenciamento associada

à data e hora do momento da autenticação biométrica do agente

de registro e do momento da coleta biométrica do titular do

certificado, para cada certificado a ser emitido.

NOTA: A tecnologia de georreferenciamento utilizada pelo

aplicativo de AR deve garantir a posição do local onde as ati vidadesde validação do certificado digital ocorrem, vedando a

utilização de tecnologia cuja localização é obtida através de en dereçamentoIP (Internet Protocol) incluindo sistema de VPN

(Virtual Private Network) ou tecnologias similares.

Art. 9º Incluir os itens 6.1.7.1 e 6.1.7.2 no DOC-ICP-03.01,versão 2.1, com a seguinte redação:

6.1.7.1. Somente poderão constar do Inventário de Ativos os

equipamentos de propriedade ou de posse da AR.

6.1.7.2. A comprovação da posse ou propriedade dos equi pamentosa que se refere o item anterior deverá ser feita sempre

que assim requisitado pela AC Raiz, mediante a apresentação

pela AR da respectiva nota fiscal, comodato, leasing, doação,

contrato de locação de equipamentos ou documentação compro batóriaequivalente.

Art. 10. O item 6.2.1 do DOC-ICP-03.01, versão 2.1, passaa vigorar com a seguinte redação:

6.2.1. Os documentos que compõem os dossiês dos titulares

de certificados e da instalação técnica, da instalação técnica se cundáriae do posto provisório devem ser guardados, obriga toriamente,no armário chaveado quando se tratar de documentos

físicos ou em ambiente computacional protegido com senha, da

AC ou da AR, quando se tratar de documentos eletrônicos, em

todos os casos, com acesso permitido somente aos agentes de

registro.

Art. 11. Incluir o item 8A no DOC-ICP-03.01, versão 2.1,com a seguinte redação:

8A - DAS VEDAÇÕES

8A.1. É vedada, por parte das AC e AR credenciadas junto à

AC Raiz, a divulgação, anúncio ou qualquer outra forma de

publicidade, de atividades, serviços ou produtos relacionados

com o comércio de certificado digital da ICP-Brasil que não

estejam normatizados e autorizados pela ICP-Brasil.

8A.2. É vedada qualquer outra forma de emissão de cer tificado,fora das hipóteses previstas na legislação e nas normas

que regem a ICP-Brasil, qualquer que seja a denominação uti lizada,aí incluídas, mas não limitadas às figuras denominadas

ponto de atendimento, posto de validação, parceiro, canal, agente

credenciado, franquia, agência autorizada ou por qualquer outra

forma não expressamente prevista na legislação.

8A.3. É vedado delegar ou transferir a terceiros, não cre denciados,atividades privativas das entidades credenciadas ou

autorizadas pelo ITI, a qualquer título.

8A.4. No caso de descumprimento das normas de emissão de

certificado, poderá o ITI determinar a revogação imediata do

certificado digital emitido em desconformidade com as normas

que regem a ICP-Brasil, inclusive quando emitidos em insta laçõestécnicas ou por procedimento de validação externa, que

não tenham atendido os requisitos estabelecidos na regulamen tação,ressalvado o direito de terceiros de boa-fé.

8A.5. É proibido a divulgação por parte das AC e AR, em

qualquer veículo de comunicação, suporte ou sítios de internet,

endereços de locais de atendimento ao usuário que não estejam

credenciados ou autorizados pelo ITI.

Art. 12. Os itens 3.2.1.1, 3.2.1.2, 3.2.1.4, 3.2.1.5 e 3.2.1.6 doDOC-ICP-03, versão 5.0, passam a vigorar com a seguinte redação:

3.2.1.1 Considera-se Instalação Técnica o ambiente físico de

uma AR, cujo funcionamento foi autorizado pelo ITI, por tempo

indeterminado, onde serão realizadas as atividades de validação e

verificação da solicitação de certificados e Instalação Técnica Se cundáriao ambiente físico de uma AR vinculada à Instalação Téc nica,cujo funcionamento foi devidamente autorizado pelo ITI, on deé realizada exclusivamente a atividade de coleta ou verificação

biométrica e validação da solicitação de certificados.

3.2.1.2 A AR já credenciada na ICP-Brasil poderá abrir novos

endereços de Instalações Técnicas desde que encaminhe à AC Raiz

solicitação de funcionamento, em apenas uma cadeia de certifi cação,à sua escolha, acompanhada dos seguintes documentos:

a) formulário SOLICITAÇÃO DE FUNCIONAMENTO DE

NOVOS ENDEREÇOS DE INSTALAÇÕES TÉCNICAS DE AR

[6] devidamente preenchido e assinado pelos representantes legais

da AR e da AC a que esteja operacionalmente vinculada;

b) indicação dos procedimentos que serão adotados quanto

aos aspectos de segurança e operacionais;

c) nome e CPF das pessoas responsáveis por cada uma das

novas instalações técnicas da AR;

d) nome e CPF dos agentes de registro que atuarão nas novas

instalações técnicas da AR;

e) cópia do CNPJ ou, nos casos de entidades públicas, cópia de

publicação do ato que autoriza a operação naquele endereço; e

f) identificação do local onde será guardada a documentação

relativa aos certificados gerados em cada instalação técnica.

Nota: Define-se cadeia de certificação como a série ou ca minhohierárquico de certificados assinados por sucessivas au toridadescertificadoras.

3.2.1.4 A AR já credenciada na ICP-Brasil poderá abrir en dereçosde instalações técnicas secundárias desde que encaminhe

à AC Raiz solicitação de funcionamento, em apenas uma cadeia

de certificação, à sua escolha, acompanhada dos documentos e

informações como segue:

a) formulário SOLICITAÇÃO DE FUNCIONAMENTO DE

NOVOS ENDEREÇOS DE INSTALAÇÕES TÉCNICAS SE CUNDÁRIODE AR [6] devidamente preenchido e assinado pe losrepresentantes legais da AR e da AC a que esteja ope racionalmentevinculada;

b) cópia do CNPJ ou, nos casos de entidades públicas, cópia

de publicação do ato que autoriza a operação naquele endereço;

c) nome e endereço da Instalação Técnica vinculada;

d) nome e CPF dos agentes de registro que atuarão na nova

Instalação Técnica Secundária;

3.2.1.5 Estando a documentação regular, a AC Raiz auto rizará,em até 30 (trinta) dias, o funcionamento das novas Ins talaçõesTécnicas ou Instalação Técnica Secundária mediante in timaçãoda AC solicitante, que a partir desse momento dispo nibilizaráos novos endereços de instalações técnicas na sua pá ginaweb. A autorização na cadeia da AC solicitante implicará,

automaticamente, em autorização nas demais cadeias nas quais a

AR esteja credenciada, cabendo à AR solicitante informar as

demais ACs às quais se encontre vinculada do deferimento da

autorização pela AC Raiz.

3.2.1.6 A AC Raiz poderá, a qualquer tempo, verificar a

conformidade dos procedimentos e atividades das novas insta laçõestécnicas das ARs ou instalação técnica secundária com as

práticas e regras estabelecidas pela ICP-Brasil. Quando cons tatadanão conformidade em uma dessas instalações técnicas, a

AC Raiz aplicará as sanções legais previstas no documento CRI TÉRIOSE PROCEDIMENTOS PARA FISCALIZAÇÃO DAS

ENTIDADES INTEGRANTES DA ICP-BRASIL [7].

Art. 13. O item 3.2.2.1 do DOC-ICP-03, versão 5.0, passa avigorar com a seguinte redação:

3.2.2.1 A extinção de uma instalação técnica de AR ou

instalação técnica secundária poderá se dar por determinação da

AC Raiz ou por iniciativa da AC ou da AR vinculada, devendo

ser solicitada pelos responsáveis legais da AC imediatamente

subsequente à AC Raiz, em apenas uma cadeia de certificação, à

sua escolha. Após o devido processamento da informação pela

AC Raiz e posterior comunicação à interessada, caberá à so licitanteinformar as demais Autoridades às quais também se

encontre vinculada.

Art. 14. O item 3.1.1.2 do DOC-ICP-05, versão 4.2, passa avigorar com a seguinte redação:

3.1.1.2 Excepcionalmente, o processo de validação poderá

ser realizado fora do ambiente físico da AR, através de pro cedimentode validação externa, mediante o deslocamento do

Agente de Registro da AR até o interessado na obtenção do

certificado, observadas as hipóteses, a forma e as condições abai xodispostas, vedada a criação de instalações físicas destinadas a

tal fim, qualquer que seja a denominação utilizada, tais como,

mas não limitada a, ponto de atendimento, posto de validação,

parceiro, canal, agente credenciado ou agência autorizada.

3.1.1.2.1 As AR poderão adotar o procedimento de validaçãoexterna nas seguintes hipóteses:

I. Para pessoas com deficiência ou com mobilidade reduzida,conforme definido pela Lei nº 13.146, de 6 de julho de 2015,devidamente comprovado por documento hábil;

II. Para Pessoas Politicamente Expostas - PEP, conformedefinido na Resolução nº 16, de 28 de março de 2007, do Conselhode Controle de Atividades Financeiras COAF/MF, devidamentecomprovado por documento hábil;

III. Para pessoas que se encontrem cumprindo pena ou detidasem estabelecimento prisional;

IV. Para pessoas com incapacidade física momentânea ou pormotivo de saúde, em qualquer caso devidamente justificado ecomprovado por documento hábil, estejam impedidas ou impossibilitadasde se deslocar até a instalação física da AR;

V. Para atender contratos firmados com entidades públicascujos os editais de licitação tenham sido publicados até a data depublicação desta Resolução;

VI. Outras pessoas não citadas anteriormente, mediante solicitaçãoexpressa de validação externa pelo titular do certificado,limitado a 15% (quinze por cento) do total de certificados emitidospela AR no mês imediatamente anterior.

Nota 1: O disposto na alínea VI, aplica-se a partir do mêssubsequente à entrada em operação da AR, vedada a validaçãoexterna com base no referido dispositivo, no mês do início de suaoperação.

Nota 2: Considera-se como total de certificados emitidos pelaAR no mês imediatamente anterior, para fins da alínea VI, ovolume de certificados emitidos pela AR, informado na documentaçãoencaminhada ao ITI na forma e no prazo previsto pelaInstrução Normativa nº 14, de 28 de novembro de 2016.

Nota 3: Acaso a AR não tenha emitido certificados no mêsanterior ou não tenham sido prestadas as informações na formaou no prazo exigidos, ficará a AR impossibilitada de emitir novoscertificados com fulcro na alínea VI, somente podendo voltar aemiti-los no mês imediatamente subsequente, desde que prestadasas informações de forma tempestiva.

Nota 4: Para o cálculo da quantidade limite disposto naalínea VI, em caso de resultado fracionário, admitir-se-á o arredondamentopara a unidade superior.

3.1.1.2.2. A validação externa será realizada no domicílio dotitular do certificado digital, nas hipóteses previstas nos incisos I,II e IV, do item 3.1.1.2.1, ou no local que este se encontre, nahipótese do inc. III, do mesmo item.

3.1.1.2.3. Para fins do item anterior, considera-se domicílio dotitular do certificado digital, o seu domicílio civil, na forma do dispostono Código Civil, Lei nº 10.406, de 10 de janeiro de 2002.

3.1.1.2.4. O local no qual a validação externa será realizadadeverá ser informado no Formulário de Validação Externa, a quese refere a alínea "d" do item 3.1.1.2.5.

3.1.1.2.5. A validação fora do ambiente físico da AR deveatender ainda as seguintes condições:

a. utilizar ambiente computacional auditável e devidamenteregistrado no inventário de hardware e softwares da AR;

b. adotar aplicativo de georreferenciamento que permita rastrearo computador móvel utilizado na validação externa, sendoque a localização do equipamento deve ficar disponível no sistemada AR em que o agente de registro deva estar cadastradopreviamente;

c. adotar equipamentos de coleta e verificação biométrica dotitular e do agente de registro, em atendimento aos padrões daICP-Brasil;

d. preencher o Formulário de Validação Externa, adendoADE-ICP-05.D, o qual deverá ser assinado pelo agente de registroe pelo titular do certificado, preferencialmente assinadosdigitalmente; e

e. em se tratando de dossiês físicos do titular de certificado,esses devem ser enviados para a Instalação Técnica em até 5(cinco) dias úteis;

f. Utilização de equipamento específico, destinado exclusivamentepara fins de validação externa, vedada a utilização, paratal fim, das estações de trabalho ou outros equipamentos empregadosna instalação técnica.

Art. 15. A alínea "c" do item 5.2 do DOC-ICP-08, versão 4.2, passaa vigorar com a seguinte redação:

c) AR, respectivas PSS e Instalações Técnicas, no caso da quelasque possuam até 3 (três) instalações técnicas credenciadas,

excetuando as Instalações Técnicas Secundárias.

Art. 16. O item 5.3 do DOC-ICP-08, versão 4.2, passa avigorar com a seguinte redação:

5.3 Para os casos de AR que possua mais de três (3) en dereçosde Instalação Técnica, excetuando as Instalações Téc nicasSecundárias, é facultado à AC subordinante, especifica mentepara essa AR, propor um cronograma anual de auditoria

com cobertura parcial de suas Instalações Técnicas, desde que:

a) cada Instalação Técnica seja auditada pelo menos uma vez

a cada dois (2) anos;

b) sejam auditados anualmente, no mínimo, 40% (quarenta

por cento) de suas Instalações Técnicas; e

c) a AC apresente os critérios e justificativas aplicadas na

seleção das Instalações Técnicas distribuídas pelo período de

auditoria proposto.

Art. 17. Ficam aprovadas as novas versões dos Documentos:DOC-ICP-03 - CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTODAS ENTIDADES INTEGRANTES DA ICP-BRASIL(versão 5.1), DOC-ICP-03.01 - CARACTERÍSTICAS MÍNIMAS DESEGURANÇA PARA AS AR DA ICP-BRASIL (versão 2.2), DOCICP-05- REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DEPRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORASDA ICP-BRASIL (versão 4.3) e DOC-ICP-08 - CRITÉRIOSE PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIASNAS ENTIDADES DA ICP-BRASIL (versão 4.3).

§ 1º As demais cláusulas dos referidos documentos, nas suasversões imediatamente anteriores, em sua ordem originária, integramas presentes versões e mantêm-se válidas.

§ 2º Os documentos referidos no caput encontram-se disponibilizados,em sua totalidade, no sítio http://www.iti.gov.br.

Art. 18. As ACs e ARs já credenciadas ou em credenciamentotêm o prazo de até 1º de fevereiro de 2018 para se adequaremàs mudanças previstas nesta Resolução, sujeitando-se às sançõesprevistas nos normativos da ICP-Brasil no caso de descumprimento.

§ 1º Até o prazo definido no caput as ARs já credenciadas quedesejam utilizar Instalação Técnica Secundária ficam autorizadas a iniciarsuas operações nessas modalidades desde que declarem formalmenteadequação de seus procedimentos a esta Resolução e enviem aoITI, no caso de Instalação Técnica Secundária, a relação contendo asinformações estabelecidas no item 3.2.1.4 do documento CRITÉRIOSE PROCEDIMENTOS PARA CREDENCIAMENTO DE ENTIDADESINTEGRANTES DA ICP-BRASIL (DOC-ICP-03).

§ 2º As Instalações Técnicas Secundárias pertencentes a ARintegrante da estrutura da Administração Pública Direta que emitemcertificados exclusivamente para servidores ou empregados públicos emilitares ficam desobrigadas de realizar a adequação dos dispositivospara utilização de aplicativo de georreferenciamento, citados nos arts.6º, 8º e 14, desta Resolução.

Art. 19. Esta Resolução entra em vigor na data de sua publicação.

Temas

Este artefato ainda não tem temas.

Itens vinculados

Nenhum item vinculado a este artefato.