Norma
07/04/2016
#165951

INSTRUÇÃO NORMATIVA Nº 1, DE 31 DE MARÇO DE 2016

Altera requisitos de segurança e procedimentos para identificação e comunicação de irregularidades no processo de emissão de certificados digitais ICP-Brasil.

ALTERA REQUISITOS DE SEGURANÇAPARA PSBIO, PROCEDIMENTOSPARA IDENTIFICAÇÃO DO REQUERENTEE COMUNICAÇÃO DE IRREGULARIDADESNO PROCESSO DEEMISSÃO DE UM CERTIFICADO DIGITALICP-BRASIL.

O SECRETÁRIO-EXECUTIVO DO COMITÊ GESTORDA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEI-

RA - CG ICP-BRASIL, no exercício do cargo de Coordenador doreferido Comitê, conforme previsão constante no art. 1º da Resoluçãonº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, nouso das atribuições legais previstas nos incisos I, III, V e VI do art.4° da Medida Provisória n° 2.200-2, de 24 de agosto de 2001;

CONSIDERANDO o Decreto nº 6.605, de 14 de outubro de2008, que dispõe sobre o Comitê Gestor da Infraestrutura de ChavesPúblicas Brasileira - CG ICP-Brasil e fixa a competência, prevista no§ 6º art. 2º, do Secretário-Executivo para coordená-lo na hipótese deausência do Coordenador titular e suplente; e

CONSIDERANDO a necessidade de aprimorar continuamentea segurança e confiabilidade nos processos de identificação deum requerente de um certificado digital ICP-Brasil; e

CONSIDERANDO a necessidade de atualizar os processostecnológicos da identificação biométrica na ICP-Brasil, resolve:

Art. 1º Alterar o item 3.1.1.2, do DOC-ICP-03.02, versão1.1, que passa a vigorar com a seguinte redação:

3.1.1.2. Todos os servidores e elementos de infraestrutura e

proteção do segmento de rede, tais como roteadores, hubs,swit chesefirewalls devem:

a) operar em ambiente com segurança equivalente, no mí nimo,ao nível 3 citado neste documento;

b) possuir acesso lógico restrito por meio de sistema de

autenticação e autorização de acesso;

Art. 2º Alterar o item 3.1.1.3, do DOC-ICP-03.02, versão1.1, que passa a vigorar com a seguinte redação:

3.1.1.3. Os PSBio devem ainda atender aos seguintes re quisitos:

a) O ambiente físico do PSBio deverá conter dispositivos que

autentiquem e registrem o acesso de pessoas informando data e

hora desses acessos;

b) O PSBio deverá conter imagens que garantam a iden tificaçãode pessoas quando do acesso físico em qualquer parte

de seu ambiente;

c) É mandatório o sincronismo de data e hora entre os me canismosde segurança física garantindo a trilha de auditoria

entre dispositivos de controle de acesso físico e de imagem;

d) Todos que transitam no ambiente físico do PSBio deverão

portar crachás de identificação, inclusive os visitantes;

e) Só é permitido o trânsito de material de terceiros pelos am bientesfísicos do PSBio mediante registro, garantindo a trilha de au ditoriacom informações de onde o material passou, a data e hora que

ocorreu o trânsito e quem foi o responsável por sua manipulação;

f) O PSBio deverá conter dispositivos de prevenção e con trolede incêndios, temperatura, umidade, iluminação e oscilação

na corrente elétrica em todo seu ambiente físico;

g) Todo material crítico inservível, descartável ou não mais

utilizável deverá ter tratamento especial de destruição, garantindo

o sigilo das informações lá contidas. O equipamento enviado para

manutenção deverá ter seus dados apagados, de forma irrever sível,antes de ser retirado do ambiente físico do PSBio;

h) Os computadores pessoais, servidores e dispositivos de

rede, e seus respectivos softwares, deverão estar inventariados

com informações que permitam a identificação inequívoca;

i) Em caso de inoperância dos sistemas automáticos, o con trolede acesso físico deverá ser realizado provisoriamente por

meio de um livro de registro onde constará quem acessou, a data,

hora e o motivo do acesso;

j) Deverão ser providenciados mecanismos para garantir a

continuidade do fornecimento de energia nas áreas críticas, man tendoos ativos críticos de informação em funcionamento até que

todos os processos e dados sejam assegurados caso o forne cimentode emergência se esgote.

Art. 3º Alterar o item 06, do DOC-ICP-03.02, versão 1.1,que passa a vigorar com a seguinte redação:

Os PSBios deverão ser entidades com capacidade técnica para

realizar a identificação (1:N) biométrica, tornando um registro/re querenteúnico em um ou mais bancos/sistemas de dados biomé tricopara toda ICP-Brasil, e a verificação (1:1) biométrica do re querentede um certificado digital a comparação de uma biometria,

que possua característica perene e unívoca, de acordo com os pa drõesinternacionais de uso, como, por exemplo, impressão digital,

face, íris, voz, coletada no processo de emissão do certificado di gitalcom outra que está armazenada, com o mesmo registro/in dexador(IDN) deste requerente, em um ou mais bancos/sistemas

de dados biométrico da ICP-Brasil, como estabelecido no DOC ICP-05.03,bem como os descritos neste documento.

Art. 4º Alterar o item 2.2.5.6, do DOC-ICP-05.02, versão1.2, que passa a vigorar com a seguinte redação:

2.2.5.6. Caso o resultado da verificação biométrica tenha

encontrado o CPF (indexador - IDN) do requerente do certificado

digital, com o resultado da comparação "negativo", os AGRs,

além de realizarem as validações e verificações elencadas no

DOC-ICP-05.02, devem comunicar à AC vinculada para que se

faça uma análise detalhada do caso. Caso a AR e/ou a AC

concluam que o requerente se trata do titular de fato do do cumentode identificação e/ou das informações da empresa, de veráser dado prosseguimento ao processo de emissão do cer tificadodigital. O registro biométrico/biográfico armazenado no

banco de dados de forma irregular, tanto da AC quanto do res pectivoSistema Biométrico credenciado devem realizar os pro cedimentosmencionados no DOC-ICP-05.03 (notificação de ir regularidadedo registro), comunicando ao ITI sobre a fraude.

Caso a AR e/ou a AC concluam que o requerente se trata de um

suposto fraudador, não deverá ser emitido o certificado digital e

a AC deve comunicar a tentativa de fraude ao ITI.

Art. 5º Acrescentar NOTA 16, renumerando as subsequentes,à alínea xxi, do item 3.1 do DOC-ICP-05.02, versão 1.2, com aseguinte redação:

NOTA 16: No campo "outros" do Sistema de Comunicação

de Fraude, deve-se, também, realizar o uploaddas imagens em

formato WSQ, conforme especificações contidas no DOC-ICP 05.03,das impressões digitais dos supostos fraudadores. Esses

arquivos de impressões digitais devem estar nomeados da se guinteforma: 1: Polegar esquerdo; 2: Indicador esquerdo; 3:

Dedo médio esquerdo; 4: Anelar esquerdo; 5: Dedo mínimo es querdo;6: Polegar direito; 7: Indicador direito; 8: Dedo médio

direito; 9: Anelar direito; 10: Dedo mínimo direito. Essas im pressõesdigitais, assim como a face, devem ser submetidas/en viadaspela AC/PSS ao seu respectivo Sistema Biométrico para

inserção dessas biometrias no repositório de Lista Negativa bio métricado mesmo.

Art. 6º Alterar a NOTA 17, da alínea xxiv, do item 3.1 doDOC-ICP-05.02, versão 1.2, que após ser renumerada passa a seridentificada como NOTA 18 e vigorar com a seguinte redação:

NOTA 18: Imagem do documento de identificação em for mato(JPG ou JPEG), com a face do requerente disposta em pé,

nomeado com o CPF do mesmo (exemplo: 11122233344.jpeg),

com no mínimo 300 dpi de resolução, com cor, tamanho máximo

de 1 MB, em que se possa ler nitidamente todas as informações

biográficas apresentadas no documento. Imagem da face em for mato(JPG ou JPEG), com a face do requerente disposta em pé,

nomeado com o CPF"FACE" do mesmo (exemplo:

11122233344FACE.jpeg), com no mínimo 300 dpi de resolução,

com cor, tamanho máximo de 1 MB (pode ser recortada do

próprio documento de identificação).

Art. 7º Acrescentar ao item 2, DOC-ICP-05.03, versão 1.1, oseguinte texto:

Todos os arquivos gerados pelas coletas das biometrias, de terminadasnos itens subsequentes, devem conter trilha de au ditoriaem relação a data, horário e local da coleta, registro do

equipamento de coleta e o agente de registro responsável pela

mesma, com a utilização de autenticação por meio do certificado

digital do mesmo, pelo período mínimo de 6 anos, conforme

DOC-ICP-05.

Art. 8º Acrescentar os itens 3.2.1, 3.2.2, 3.2.2.1 e 3.2.3, aoDOC-ICP-05.03, versão 1.1, com a seguinte redação:

3.2.1 Formatos e padrões das mensagens para os serviços de

HUB

As requisições para os serviços de HUB devem seguir o

padrão assíncrono, ou seja, todas as respostas devem ser re tornadaspelo HUB que recebeu a solicitação quando o mesmo

tiver a informação disponível. O modelo assíncrono implemen tadodeve seguir o conceito "PULL", ou seja, quem recebeu a

requisição é responsável por gerar e entregar a requisição de

resposta.

As requisições devem utilizar o método POST, e conter ape naso arquivo ANSI/NIST no corpo da requisição (de acordo com

o padrão especificado neste documento), além de conter obri gatoriamenteos seguintes cabeçalhos (headers):

a) NIST/XML:

Content-Type: application/xml

b) NIST/binary

Content-Type: application/octet-stream

3.2.2. Tratamento de erros

Em geral, pela sua característica assíncrona, o HUB retorna

os erros de forma assíncrona com um arquivo ANSI/NIST de

resposta conforme descrito neste documento. Em algumas si tuaçõesespecíficas, o erro é gerado em tempo de execução da

requisição. Nestes casos, o serviço deve retornar um código de

erro HTTP 500, seguidos de uma mensagem de erro no padrão

descrito abaixo.

{

"error_code":""

"error_message":"",

"additional_data":""

}

3.2.2.1 Códigos de erro (em tempo de execução)

999 - Requisição mal formatada/arquivo ANSI/NIST inválido

102 - PSBio não encontrado

401 - Não autorizado / erro de autenticação

3.2.3. Autenticação e segurança

Como já mencionado, todas as requisições devem utilizar

autenticação dupla, e a identificação do PSBio deve ser feita por

meio do certificado enviado pelo lado cliente (quem originou a

requisição). O identificador do PSBio deve estar presente no CN

(Common name) do certificado e o certificado deve corresponder

ao publicado para aquele PSBio.

Art. 9º Alterar o item 3.3, do DOC-ICP-05.03, versão 1.1,que passa a vigorar com a seguinte redação:

O serviço de diretório deve ser oferecido por cada um dos

HUBs/PSBio como um mecanismo rápido de consultas, e é crí ticopara manutenção da consistência das bases biométricas. O

serviço de diretório deve prover cinco operações básicas:

a. Acusar a existência ou não de um IDN dentro no PSBio e

a lista de biometrias cadastradas;

b. Lista de transações pendentes (transações de identificação 1:N

e transações de atualização, notificações de atualização de status);

c. Solicitar reenvio de operações pendentes;

d. Listar os IDNs de seus registros (exceto os de seu cache);

e. Receber notificação de mudança de status de um IDN

(notificação de fraude e finalização de processo de cadastramento

ou atualização);

Art. 10 Alterar o item 3.3.2, do DOC-ICP-05.03, versão 1.1,que passa a vigorar com a seguinte redação:

3.3.2 Operação de listagem de operações pendentes

A operação de listagem de operações pendentes é utilizada

quando um PSBio tiver seus serviços temporariamente indis poníveise precisar restabelecer os serviços. Nesta situação, o

PSBio deve consultar o serviço de diretório dos demais PSBios

para obter as pendências, que podem ser relativas a lista de

cadastros pendentes de busca 1:N e atualizações de status pen dentes.Nas duas situações, o PSBio que reestabeleceu as suas

operações deve solicitar o reenvio da operação pendente.

NOTA 1: Para evitar excesso de tráfego de dados, a operação de

listagem de buscas 1:N pendentes retornara no máximo 1000 registros.

Caso o PSBio possua uma fila maior que 1000 registros para tratar,

deve fazer o tratamento dos primeiros 1000 registros enviados (e assim

sucessivamente até processar todas as transações pendentes).

Art. 11 Alterar o item 3.3.3, do DOC-ICP-05.03, versão 1.1,que passa a vigorar com a seguinte redação:

3.3.3 Operação de requisição de reenvio de operações pendentes

Ao retornar de uma falha, o PSBio deve executar todas as

operações que estiverem pendentes junto a outros PSBios, que

podem ser buscas 1:N pendentes, finalizações de cadastro pen dentese notificações de fraude pendentes.

No caso das buscas 1:N pendentes, o processo terá as se guintesetapas:

a. A primeira etapa deste processo é consultar o serviço

especificado no item 3.3.2 para saber a lista de IDNs pendentes

em cada um dos PSBios.

b. A segunda etapa é enviar o pedido de reenvio da busca

1:N aos PSBios que aguardam uma resposta. Esse pedido é uma

sinalização de que o PSBio que estava em falta voltou a operar,

mas não é ainda o resultado da busca 1:N.

c. Os PSBios que forem notificados devem então repetir a

solicitação de busca 1:N pendente ao PSBio que voltou a operar.

No caso de notificações de alteração de status, o processo

terá as seguintes etapas:

a. A primeira etapa para o este processo é consultar o serviço

especificado no item 3.3.2 para saber a lista de IDNs pendentes

de alteração de status em cada um dos PSBios.

b. A segunda etapa é enviar o pedido de reenvio alterações

de status.

c. Os PSBios que forem notificados, farão uma nova ten tativade notificação de alteração de status.

Art. 12 Alterar o item 3.3.4 e excluir o item 3.3.5, renumerandoos subsequentes, no DOC-ICP-05.03, versão 1.1. O item3.3.4 passa a vigorar com a seguinte redação:

3.3.4 Receber notificação de alteração de status

O PSBio deve possuir uma interface para receber as notificações

de fraude/irregularidade de um IDN e de notificação de finalização de

um cadastro. Seguem as situações de uso previstas para a operação.

- Notificação de finalização de cadastro (STATUS 1): Sem preque um PSBio finalizar uma transação de cadastramento ou

atualização de um determinado IDN. O PSBio responsável pelo

IDN deve enviar esta notificação para todos os outros PSBios,

identificando o novo status para aquele IDN.

- Notificação de fraude (STATUS 0): Sempre que uma AC

responsável pelo IDN finalizar a análise de irregularidade. A

operação permite remover um determinado registro da base. O

IDN utilizado na irregularidade deve ser liberado, para que o seu

real detentor possa executar o cadastro biométrico.

O PSBio que receber a notificação deve repassá-la aos demais PS Biospara que estes possam remover o registro do cache, se for o caso.

Art. 13 Alterar o item 3.3.7, que após ser renumerado passaa ser identificado como item 3.3.6, do DOC-ICP-05.03, versão 1.1,que passa a vigorar com a seguinte redação:

3.3.6 Formatos e padrões das mensagens para os serviços do diretório

3.3.6.1 Padrões de requisição

As requisições para os serviços de diretório devem seguir o

padrão síncrono, ou seja, todas as respostas devem ser retornadas

na mesma requisição/resposta. Deve-se utilizar a versão 1.1 ou

superior do protocolo HTTP.

As requisições devem utilizar o método POST e conter obri gatoriamenteos seguintes cabeçalhos (headers):

Accept: application/json

Content-Type: application/json

Os cabeçalhos (headers) de resposta devem conter obriga toriamenteos seguintes parâmetros:

Content-Type: application/json

NOTA 6: Os serviços relacionados a reenvio de pacotes

padrão ANSI/NIST (reenvio de busca 1:N), devem retornar um

valor positivo ou negativo relativo ao recebimento da operação, e

a integração deve ser feita diretamente entre os pontos de co municaçãodos HUBs biométricos.

3.3.6.2 Autenticação e segurança

Como já mencionado, todas as requisições devem utilizar

autenticação dupla, e a identificação do PSBio deve ser feita por

meio do certificado enviado pelo lado cliente (quem originou a

requisição). O identificador do PSBio deve estar presente no CN

(Common name) do certificado e o certificado deve corresponder

ao publicado para aquele PSBio.

3.3.6.3 Tratamento de erros

Os erros devem ser retornados com um HTTP Status Code

200, seguidos de uma mensagem JSON descrevendo a ocor rência,seguindo o seguinte padrão:

{

"error_code":""

"error_message":"",

"additional_data":""

}

3.3.6.3.1. Códigos de erro

999 - Requisição mal formatada

100 - Registro não encontrado

101 - Registro não pertence ao PSBio

102 - PSBio não encontrado

103 - Registro inválido

401 - Não autorizado / erro de autenticação

3.3.6.4 Operação de consulta de IDN

JSON

Requisição:

{

"resquestType":"idn_query",

"idn":"Código alfanumérico do IDN"

}

Resposta:

{

"idn":"Código alfanumérico do IDN",

"t_14_013_1":"TRUE|FALSE",

"t_14_013_2":"TRUE|FALSE",

"t_14_013_3":"TRUE|FALSE",

"t_14_013_4":"TRUE|FALSE",

"t_14_013_5":"TRUE|FALSE",

"t_14_013_6":"TRUE|FALSE",

"t_14_013_7":"TRUE|FALSE",

"t_14_013_8":"TRUE|FALSE",

"t_14_013_9":"TRUE|FALSE",

"t_14_013_10":"TRUE|FALSE",

"t_10":"TRUE|FALSE"

}

3.3.6.5 Operação de listagem de operações pendentes

JSON

Requisição:

{

"resquestType":"pending_operations",

}

Resposta:

{

"requestType":"pending_operations",

"pendingOperationsList":

[

{"operationType": "1_n_queue",

"idnList":[

"Código alfanumérico do TCN",

(...)

"Código alfanumérico do TCN"

]},

{"operationType": "changeStatus",

"idnList":[

"Código alfanumérico do TCN",

(...)

"Código alfanumérico do TCN"

]}

]}

3.3.6.6 Operação de requisição de reenvio de operação pen dente

JSON

Requisição:

{

"resquestType":"operation_resend",

"operationType":"1_n_resend / status_change",

"idn":"Código alfanúmerico do IDN",

"cacheRebuild": "TRUE/FALSE" // Somente para reenvio de

busca 1:N

}

Resposta:

{

"response":"Mensagem de resultado da operação",

"responseCode":"código de retorno de resultado da operação"

}

3.3.6.7 Operação de notificação alteração de status

JSON

Requisição:

{

"resquestType":"change_status",

"statusCode": "0|1", // [NOVO_STATUS: 1- finalizado, 0 notificaçãode fraude]

"idn":"Código alfanúmerico do IDN"

}

Resposta:

{

"response':"Mensagem de resultado da operação',

"responseCode':'código de retorno de resultado da operação"

}

3.3.6.8 Operação de reconstrução de cache

JSON

Requisição:

{

"resquestType":"idn_list'",

"startDate", "UNIX_TIMESTAMP_UTC",

"endDate", "UNIX_TIMESTAMP_UTC"

}

Resposta:

{

"responseCode":"código de retorno de resultado da operação",

"idnList":[

{ "idn": "Código IDN",

"tcn":"Código TCN",

"timestamp": "timestamp da última atualização"},

...

{ "idn": "Código IDN",

"tcn":"Código TCN",

"timestamp": "timestamp da última atualização"}

]

}

Art. 14 Acrescentar o item 5 ao DOC-ICP-05.03, versão 1.1,renumerando os subsequentes, com a seguinte redação:

5. Publicação dos serviços de PSBio

Serão publicados pela ICP-Brasil uma listagem de todos os

PBios homologados, esta listagem deve conter a seguintes in formaçõesde cada PSBio:

- ID do PSBio

- Localização/URL do serviço de diretório

- Localização/URL do serviço de troca de arquivos AN SI/NIST(HUB biométrico)

- x509/certificado para fins de autenticação do PSBio

A publicação será feita em arquivo em formato JSON, se guindoo formato abaixo.

[

{

"PSBioId:" "Certibio",

"nist_endpoint": "URL PARA ENVIO DE ARQUIVOS AN SI/NIST",

"directory_endpoint":"URL PARA SERVIÇO DE DIRETÓRIO",

"x509": "BASE64 X.509"

},

{...}

]

Art. 15 Acrescentar alínea "e", ao item 5, que após serrenumerado passa a ser identificado como item 6, do DOC-ICP-05.03,versão 1.1:

e. As ACs devem guardar trilha de auditoria das operaçõesde entrada e saída, do respectivo HSM, em relação a cada requisiçãopara cálculo do IDN, pelo período mínimo de 6 anos, conformeDOC-ICP-05.

Art. 16 Alterar o item 5.1, que após ser renumerado passa aser identificado como item 6.1, do DOC-ICP-05.03, versão 1.1, quepassa a vigorar com a a seguinte redação:

6.1 Geração do IDN

A geração do IDN utilizará criptografia simétrica com chave

armazenada em HSM, da seguinte forma:

a. o CPF é criptografado utilizando algoritmo AES-256 (mo doCBC), como especificado no DOC-ICP-01.01;

b. em seguida o hashSHA256 (32 bytes) é calculado para o

CPF criptografado no passo (a);

c. resultado de (b) é concatenado com o cálculo do hash

SHA256(32 bytes) do resultado de (b);

d. por fim, o resultado do passo (c) é codificado em BA SE64(RFC 4648) para gerar o IDN.

IDN = BASE64

(SHA256(AES(CPF))||SHA256(SHA256(AES(CPF))))

A AC/PSS que utiliza o IDN pode verificar sua integridade

antes de aceitá-lo.

Art. 17 Alterar o item 6, que após ser renumerado passa a seridentificado como item 7, do DOC-ICP-05.03, versão 1.1, que passaa vigorar com a seguinte redação:

7. Notificação de irregularidade e duplicidade

As ACs farão uso do item 3.1 do DOC-ICP-05.02 - PRO CEDIMENTOSPARA IDENTIFICAÇÃO DO REQUERENTE E

COMUNICAÇÃO DE IRREGULARIDADES NO PROCESSO

DE EMISSÃO DE UM CERTIFICADO DIGITAL ICP-BRASIL

para encaminhar os dados biométricos do suposto fraudador.

A AC responsável pelo registro/IDN, ao receber uma no tificaçãodeve repassar ao seu PSBio, por meio do serviço de

diretório, que o indexador relacionado a irregularidade deve ser

desconsiderado. Nesta situação, o IDN deve ser removido da base

biométrica de produção e procedimentos de fraude devem rea lizadosconforme DOC-ICP-05.02 - PROCEDIMENTOS PARA

IDENTIFICAÇÃO DO REQUERENTE E COMUNICAÇÃO DE

IRREGULARIDADES NO PROCESSO DE EMISSÃO DE UM

CERTIFICADO DIGITAL ICP-BRASIL.

Art. 18 Acrescentar ao item 2, do DOC-ICP-01.01, versão 3.0, atabela Geração de Chaves Simétricas para IDN, com a seguinte redação:

Art. 19 Ficam aprovadas as novas versões dos Documentos:DOC-ICP-03.02 - REQUISITOS MÍNIMOS DE SEGURANÇA PARAPSBIO NA ICP-BRASIL (versão 1.2), DOC-ICP-05.02 - PROCEDIMENTOSPARA IDENTIFICAÇÃO DO REQUERENTE ECOMUNICAÇÃO DE IRREGULARIDADES NO PROCESSO DEEMISSÃO DE UM CERTIFICADO DIGITAL ICP-BRASIL (versão1.3), DOC-ICP-05.03 - PROCEDIMENTOS PARA IDENTIFICAÇÃOBIOMÉTRICA NA ICP-BRASIL (versão 1.2) e DOC ICP-01.01- PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICPBRASIL(versão 3.1).

§ 1º Todas as demais cláusulas dos referidos documentos,nas suas versões imediatamente anteriores, integram as presentes versõese mantêm-se válidas.

§ 2º Os documentos referidos no caput encontram-se disponibilizados,em sua totalidade, no sítio http://www.iti.gov.br.

Art. 20 Esta Instrução Normativa entra em vigor na data desua publicação.