Desbloqueie análises Okai
As análises Okai fazem parte do Okai Pro. Faça upgrade ou entre com uma conta que já tenha acesso.
Altera procedimentos de identificação, auditoria e validação na infraestrutura de chaves públicas brasileira.
Altera o procedimento de identificação e as previsões de entidades para execução de auditorias operacionais; atualiza as responsabilidades em caso de encerramento de atividade de AC e da homologação de equipamentos; e define regras de validação do alvará no Carimbo do Tempo.
O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA,no uso das atribuições que lhe confere o art. 6º, §1º, inc. IV, do Regimento Interno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4º da Medida Provisória nº 2.200-2, de 24 de agosto de 2001, em reunião ordinária realizada em 03 de dezembro de 2019, resolveu:
O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA,Art. 1º O DOC-ICP-03, versão 6.0, passa a vigorar com as seguintes alterações:
"................................................................................................................................
4.1.3.3 .....................................................................................................................
...........................................................................................................................................
c) .............................................................................................................................
i. as chaves públicas dos certificados por ela emitidos deverão ser armazenadas por qualquer AC interessada. Se não houver AC interessada, obrigatoriamente deve ser assumida pela AC superior ou AC do PSS, após aprovação da AC Raiz;
..........................................................................................................................................
iv. caso as chaves públicas não tenham sido assumidas conforme disposto na alínea 'i', acima, excepcionalmente os documentos referentes aos certificados digitais e as respectivas chaves públicas serão repassados à AC Raiz.
................................................................................................................................." (NR)
Art. 2º O DOC-ICP-05, versão 5.2, passa a vigorar com as seguintes alterações:
"................................................................................................................................
3.2 ...........................................................................................................................
...........................................................................................................................................
a) identificação do titular do certificado - identificação da pessoa física ou jurídica, titular do certificado, com base nos documentos de identificação citados nos itens 3.2.2, 3.2.3 e 3.2.7, observado o quanto segue:
i. para certificados de pessoa física: comprovação de que a pessoa física que se apresenta como titular do certificado é realmente aquela cujos dados constam na documentação e/ou biometria apresentada, vedada qualquer espécie de procuração para tal fim.
ii. para certificados de pessoa jurídica: comprovação de que os documentos apresentados referem-se efetivamente à pessoa jurídica titular do certificado, e de que a pessoa física que se apresenta como representante legal da pessoa jurídica realmente possui tal atribuição, admitida procuração por instrumento público, com poderes específicos para atuar perante a ICP-Brasil, cuja certidão original ou segunda via tenha sido emitida dentro de 90 (noventa) dias anteriores à data da solicitação.
..................................................................................................................................
..................................................................................................................................
3.2.2.1.2 Será designado como responsável pelo certificado o representante legal da pessoa jurídica requerente do certificado, ou o procurador constituído na forma do item 3.2, alínea 'a', inciso (ii) acima, o qual será o detentor da chave privada.
3.2.2.1.3 Deverá ser feita a confirmação da identidade da organização e da pessoa física, nos seguintes termos:
a) apresentação do rol de documentos elencados no item 3.2.2.2;
b) apresentação do rol de documentos do responsável pelo certificado, elencados no item 3.2.3.1;
c) presença física do responsável pelo certificado; e
d) assinatura digital do termo de titularidade de que trata o item 4.1 pelo responsável pelo certificado.
Nota 1: A AR poderá solicitar uma assinatura manuscrita ao responsável pelo certificado em termo específico para a comparação com o documento de identidade ou contrato social. Nesse caso, o termo manuscrito digitalizado e assinado digitalmente pelo AGR será apensado ao dossiê eletrônico do certificado, podendo o original em papel ser descartado.
Nota 13.2.2.1.4 Fica dispensado o disposto no item 3.2.2.1.3, alíneas "b" e "c" caso o responsável pelo certificado possua certificado digital de pessoa física ICP-Brasil válido, do tipo A3 ou superior, com os dados biométricos devidamente coletados, e a verificação dos documentos elencados no item 3.2.2.2 possa ser realizada eletronicamente por meio de barramento ou aplicação oficial.
3.2.2.2 .....................................................................................................................
a) Relativos a sua habilitação jurídica:
i. se pessoa jurídica criada ou autorizada a sua criação por lei, cópia do CNPJ;
ii. se entidade privada:
1. certidão simplificada emitida pela Junta Comercial ou ato constitutivo, devidamente registrado no órgão competente, que permita a comprovação de quem são seus atuais representantes legais; e
2. documentos da eleição de seus representantes legais, quando aplicável;
..................................................................................................................................
..................................................................................................................................
3.2.2.4 Responsabilidade decorrente do uso do certificado de uma organização
Os atos praticados com o certificado digital de titularidade de uma organização estão sujeitos ao regime de responsabilidade definido em lei quanto aos poderes de representação conferidos ao responsável de uso indicado no certificado.
3.2.3 Autenticação da identidade de um indivíduo
Neste item devem ser definidos os procedimentos empregados pelas AR vinculadas a uma AC para a identificação e cadastramento de um indivíduo na ICP-Brasil. Essa confirmação deverá ser realizada mediante a presença física do interessado, com base em documentos de identificação legalmente aceitos e pelo processo biométrico da ICP-Brasil.
..................................................................................................................................
..................................................................................................................................
3.2.7.1.3 Se o titular for pessoa jurídica, deverá ser feita a confirmação da identidade da organização e da pessoa física, nos seguintes termos:
a) Apresentação do rol de documentos elencados no item 3.2.2.2;
b) Apresentação do rol de documentos elencados no item 3.2.3.1 do responsável pelo certificado;
c) Presença física do responsável pelo certificado e assinatura do termo de titularidade e responsabilidade de que trata o item 4.1.
3.2.7.1.4. Fica dispensada a observância do disposto no item 3.2.3.1 para certificados cujo titular seja pessoa física, caso a solicitação seja assinada com certificado digital ICP-Brasil válido, do tipo A3 ou superior, de mesma titularidade e cujos dados biométricos já tenham sido devidamente coletados.
3.2.7.1.5 Fica dispensada a observância do item 3.2.2.1.3 alíneas "b" e "c" para certificados cujo titular seja pessoa jurídica nos seguintes casos:
a) quando a solicitação for assinada com o certificado digital ICP-Brasil válido, do tipo A3 ou superior, de mesma titularidade e responsável, e cujos dados biométricos deste último tenham sido devidamente coletados; ou
b) quando a solicitação for assinada com o certificado digital ICP-Brasil válido, do tipo A3 ou superior, cuja titularidade é da mesma pessoa física responsável legal da organização e a verificação dos documentos elencados no item 3.2.2.2 possa ser realizada eletronicamente por meio de barramento ou aplicação oficial.
..................................................................................................................................
..................................................................................................................................
3.2.9.3.1 ..................................................................................................................
..................................................................................................................................
a) ser um sistema vinculado a uma AC credenciada pela ICP-Brasil;
..................................................................................................................................
..................................................................................................................................
3.3.1.2 Esse processo poderá ser conduzido segundo uma das seguintes possibilidades:
a) adoção dos mesmos requisitos e procedimentos exigidos nos itens 3.2.2, 3.2.3 ou 3.2.7;
b) solicitação, por meio eletrônico, assinada digitalmente com o uso de certificado ICP-Brasil válido, do tipo A3 ou superior, que seja do mesmo nível de segurança ou superior, limitada a 1 (uma) ocorrência sucessiva, quando não tiverem sido colhidos os dados biométricos do titular, permitida tal hipótese apenas para os certificados digitais de pessoa física;
c) solicitação, por meio eletrônico, assinada digitalmente com o uso de certificado ICP-Brasil válido de uma organização, do tipo A3 ou superior, para o qual tenham sido coletados os dados biométricos do responsável pelo certificado, desde que, mantido nessa condição, apresente documento digital verificável por meio de barramento ou aplicação oficial dos entes federativos, que comprove poder de representação legal em relação à organização, permitida tal hipótese apenas para os certificados digitais de organizações;
d) solicitação por meio eletrônico dada nas alíneas 'b' e 'c', acima, conforme o caso, para certificado ICP-Brasil válido do tipo A1, que seja do mesmo nível de segurança, mediante confirmação do respectivo cadastro, por meio de videoconferência, conforme regulamentação a ser editada pela AC-Raiz ou limitada a 1 (uma) ocorrência sucessiva quando não tiverem sido colhidos os dados biométricos do titular ou responsável;
e) por meio de mecanismo automatizado de gerenciamento de certificado do tipo SSL/TLS (ACME), conforme disposto no item 3.3.1.2.1.
.................................................................................................................................
.................................................................................................................................
3.3.2 Identificação e autenticação para novas chaves após a revogação ou expiração do certificado
3.3.2.1 Neste item, a DPC deve descrever os procedimentos utilizados para confirmação da identidade de uma entidade ou pessoa física solicitante de novo certificado, após a expiração ou revogação do certificado previamente emitido. Caso sejam requeridos procedimentos específicos para as PCs implementadas, os mesmos devem ser descritos nessas PCs, no item correspondente.
..................................................................................................................................
3.3.2.3 No caso de pessoa física titular de certificado expirado, previamente identificada e cadastrada presencialmente, e cujos dados biométricos tenham sido devidamente coletados, a geração de novo par de chaves poderá ser realizada mediante confirmação do respectivo cadastro, por meio de videoconferência, conforme regulamentação a ser editada pela AC-Raiz.
3.3.2.4 No caso de uma organização titular de certificado expirado, cujo responsável pelo certificado seja o mesmo ora solicitando novo certificado, que foi previamente identificado e cadastrado presencialmente, e cujos dados biométricos tenham sido devidamente coletados, a geração de novo par de chaves poderá ser realizada mediante confirmação do respectivo cadastro, da organização e do responsável pelo certificado, por meio de videoconferência, conforme regulamentação a ser editada pela AC-Raiz.
..................................................................................................................................
..................................................................................................................................
4.1 Solicitação do certificado
..................................................................................................................................
c) um termo de titularidade assinado digitalmente pelo titular do certificado ou pelo responsável pelo certificado, no caso de certificado de pessoa jurídica, conforme o adendo referente ao TERMO DE TITULARIDADE [4] específico, e, ainda, quando emissão para servidor público da ativa e militar da União, Estados e Distrito Federal pela autoridade designada formalmente pelos órgãos competentes.
..................................................................................................................................
Nota 2: na impossibilidade técnica de assinatura digital do termo de titularidade (como certificados SSL, de equipamento, aplicação,codesign, carimbo de tempo e outros que façam uso de CSR) será aceita a assinatura manuscrita do termo ou assinatura digital do termo com o certificado ICP-Brasil do titular do certificado ou responsável pelo certificado, no caso de certificado de pessoa jurídica. No caso de assinatura manuscrita do termo será necessária a verificação da assinatura contra o documento de identificação.
codesign..................................................................................................................................
..................................................................................................................................
4.5.1.2 Obrigações do Titular do Certificado
..................................................................................................................................
Nota: Em se tratando de certificado emitido para pessoa jurídica, equipamento ou aplicação, estas obrigações se aplicam ao responsável pelo certificado.
Nota..................................................................................................................................
.................................................................................................................................
6.2.3 ....................................................................................................................
Neste item a DPC deve identificar quem é o agente de recuperação (escrow), qual forma que a chave é recuperada (por exemplo, inclui o texto em claro, encriptado, por divisão de chaves) e quais são os controles de segurança do sistema de recuperação.
escrow........................................................................................................................." (NR)
Art. 3º O DOC-ICP-08, versão 4.6, passa a vigorar com as seguintes alterações:
"................................................................................................................................
3.1 ...........................................................................................................................
............... | ................... | ................ |
AC de 1º Nível e seus PSS | ITI/DAFN/CGAFI | Empresa de Auditoria Independente credenciada junto ao ITI |
............... | ................... | .................. |
...............
...................
................
...............
...............
...................
...................
................
................
AC de 1º Nível e seus PSS
ITI/DAFN/CGAFI
Empresa de Auditoria Independente credenciada junto ao ITI
AC de 1º Nível e seus PSS
AC de 1º Nível e seus PSS
AC de 1º Nível e seus PSSITI/DAFN/CGAFI
ITI/DAFN/CGAFI
Empresa de Auditoria Independente credenciada junto ao ITI
Empresa de Auditoria Independente credenciada junto ao ITI
...............
...................
..................
...............
...............
...................
...................
..................
..................
........................................................................................................................." (NR)
Art. 4º O DOC-ICP-10, versão 3.2, passa a vigorar com as seguintes alterações:
".................................................................................................................................
2.1. Obrigatoriedade
Os órgãos e entidades integrantes da ICP-Brasil somente poderão utilizar sistemas e equipamentos de certificação digital já homologados ou certificados nos termos deste Regulamento.
Os órgãos e entidades integrantes da ICP-BRASIL somente poderão adquirir equipamentos de certificação digital com homologação válida junto à ICP-Brasil ou que estejam com Certificados de Conformidade válidos junto ao INMETRO, nos termos deste regulamento.
Novos certificados digitais somente poderão ser emitidos em equipamentos já homologados pela ICP-Brasil ou que estejam com Certificados de Conformidade válidos junto ao INMETRO.
Equipamentos que já possuem certificados digitais gerados continuam válidos até o vencimento do certificado.
O Comitê Gestor da ICP-Brasil aprovará cronograma com a determinação dos termos iniciais de obrigatoriedade da utilização de sistemas e equipamentos homologados.
2.2. Aplicabilidade
Os sistemas listados a seguir e equipamentos não contemplados no Programa Inmetro de Avaliação da Conformidade (PAC) para Equipamentos de Certificação Digital, estão sujeitos ao processo de homologação para efeitos do que prevê este Regulamento:
2.2.1. Sistemas de assinatura eletrônica, sistemas de autenticação de assinaturas eletrônicas, sistemas de sigilo de dados, sistemas de carimbo de tempo (Time-Stamping) e sistemas de sincronismo de tempo, bem como, sistemas de autoridades certificadoras, sistemas de autoridades de registro, ou quaisquer outros que façam uso daqueles sistemas na forma de sub-rotinas ou subfunções.
Time-Stamping........................................................................................................................." (NR)
Art. 5º O DOC-ICP-12, versão 1.2, passa a vigorar com as seguintes alterações:
"................................................................................................................................
1.1.1.........................................................................................................................
...........................................................................................................................................
e) PERFIL DO ALVARÁ DO CARIMBO DO TEMPO DA ICP-BRASIL [10].
..................................................................................................................................
2.1.3.3 .....................................................................................................................
...........................................................................................................................................
c) caso o alvará seja integrado no Carimbo do Tempo, ele deverá estar vigente no momento em que o Carimbo do Tempo foi emitido e estar aderente aos requisitos previstos no DOC-ICP-12.01.
..................................................................................................................................
7.2.2.2 .....................................................................................................................
a) .............................................................................................................................
vi. campo de identificação do alvará vigente no momento da emissão do Carimbo do Tempo e válido conforme descrito no DOC-ICP-12.01.
..................................................................................................................................
..................................................................................................................................
9. .............................................................................................................................
...........................................................................................................................................
....... | ..................................... | .......... |
[10] | PERFIL DO ALVARÁ DO CARIMBO DO TEMPO DA ICP-BRASIL | DOC-ICP-12.01 |
.......
.....................................
..........
.......
.......
.....................................
.....................................
..........
..........
[10]
PERFIL DO ALVARÁ DO CARIMBO DO TEMPO DA ICP-BRASIL
DOC-ICP-12.01
[10]
[10]
PERFIL DO ALVARÁ DO CARIMBO DO TEMPO DA ICP-BRASIL
PERFIL DO ALVARÁ DO CARIMBO DO TEMPO DA ICP-BRASIL
DOC-ICP-12.01
DOC-ICP-12.01
........................................................................................................................." (NR)
Art. 6º Fica aprovada a versão 1.0 do documento DOC-ICP-12.01 - PERFIL DO ALVARÁ DO CARIMBO DO TEMPO DA ICP-BRASIL (Anexo).
Parágrafo único. O documento referido no caput será atualizado por meio de Instrução Normativa do Instituto Nacional de Tecnologia - ITI.
Art. 7º Ficam aprovadas as seguintes versões dos documentos:
I - DOC-ICP-03 - CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL - versão 6.1.
II - DOC-ICP-05 - REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL - versão 5.3.
III - DOC-ICP-08 - CRITÉRIOS E PROCEDIMENTOS PARA AUDITORIA DAS ENTIDADES INTEGRANTES DA ICP-BRASIL - versão 4.7.
IV - DOC-ICP-10 - REGULAMENTO PARA HOMOLOGAÇÃO DE SISTEMAS E EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL - versão 3.3.
V - DOC-ICP-12 - REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DAS AUTORIDADES DE CARIMBO DO TEMPO DA ICP-BRASIL - versão 1.3.
Parágrafo único. As demais cláusulas dos referidos documentos, nas suas versões imediatamente anteriores, em sua ordem originária, integram as presentes versões e mantêm-se válidas.
Art. 8º Os documentos alterados por esta Resolução encontram-se disponibilizados, em sua totalidade, no sítio http://www.iti.gov.br.
Art. 9º Esta Resolução entra em vigor na data de sua publicação.
Este artefato ainda não tem temas.
Nenhum item vinculado a este artefato.