INSTITUI AS INSTALAÇÕES TÉCNICASSECUNDÁRIAS, DISCIPLINA OSPROCEDIMENTOS DE VALIDAÇÃOEXTERNA NO ÂMBITO DA ICP-BRASILE DÁ OUTRAS PROVIDÊNCIAS.
O COORDENADOR DO COMITÊ GESTOR DA IN-
FRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, nouso das atribuições que lhe confere o art. 6º, §1º, inc. III, do RegimentoInterno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURADE CHAVES PÚBLICAS BRASILEIRA, noexercício das competências previstas no art. 4°, da Medida Provisórian° 2.200-2, de 24 de agosto de 2001, em reunião ordinária realizadaem 19 de setembro de 2017,
Considerando a necessidade de disciplinar os procedimentosde Validação Externa como modalidade de validação da solicitação decertificado, e
Considerando a necessidade de expandir a capilaridade naemissão de certificados digitais, resolveu:
Art. 1º Incluir as alíneas "r" e "s" no item 1.3 do DOC-ICP-03.01,versão 2.1, com a seguinte redação:
r) Instalação Técnica Secundária - Ambiente físico de uma
AR, cujo funcionamento foi devidamente autorizado pelo ITI,
onde é realizada exclusivamente a atividade de coleta e/ou ve rificaçãobiométrica e validação da solicitação de certificados.
Não possui período de tempo determinado para funcionamento;
s) Validação Externa - compreende a realização da etapa de
validação da solicitação de certificado e coleta biométrica do
titular do certificado fora do ambiente físico da AR, nas hipóteses
e na forma prevista no item 3.1.1.2 do DOC-ICP-05 [1].
Art. 2º O item 1.6 do DOC-ICP-03.01, versão 2.1, passa avigorar com a seguinte redação:
1.6. Em caso de alteração de endereço da instalação técnica
ou da instalação técnica secundária, o fato deve ser previamente
reportado à AC responsável, que enviará ao ITI formulário de
credenciamento ADE-ICP-03.E [4] com dados atualizados, so licitandonova autorização de funcionamento, acompanhado dos
documentos previstos no DOC-ICP-03 [3].
Art. 3º O item 2.1.3 do DOC-ICP-03.01, versão 2.1, passa avigorar com a seguinte redação:
2.1.3. Pode ser firmado acordo documentado, entre AC e
AR, no qual a AC delega à AR a atividade de incluir/excluir
Agentes de Registro no aplicativo de AR, desde que a AR não
possua agente de registro como sócio. Nesse caso, o responsável
por essa atividade, na AR, deve ser formalmente designado e
possuir âmbito de atuação restrito ao necessário às atividades
daquela AR.
Art. 4º A alínea "d" do item 2.2.3 do DOC-ICP-03.01, versão2.1, passa a vigorar com a seguinte redação:
d) Representante Legal da própria AR, caso a AR não possua
agente de registro como sócio.
Art. 5º O item 3.8 do DOC-ICP-03.01, versão 2.1, passa avigorar com a seguinte redação:
3.8. As ARs somente poderão utilizar a modalidade de va lidaçãoexterna depois de adaptar seus computadores móveis ao
disposto no item 4.1.2, e desde que a AC à qual a AR se vincula
tenha adaptado seus procedimentos, seu sistema de certificação e
o aplicativo da AR a todas as regras deste documento e ao
disposto no item 3.1.1.2 do DOC-ICP-05 [1].
Art. 6º Incluir as alíneas "l", "m" e "n" no item 4.1.2 doDOC-ICP-03.01, versão 2.1, com a seguinte redação:
l) para equipamentos utilizados em Postos Provisórios, Ins talaçõesTécnicas Secundárias e em procedimento de validação
externa, utilização de aplicativo de georreferenciamento que per miterastrear o computador, sendo que a localização do equi pamentodeve ficar disponível no sistema de AR;
m) equipamentos de coleta biométrica, em atendimento aos
padrões da ICP-Brasil, para garantir mecanismo de coleta bio métricano qual seus registros sejam processados e enviados ao
sistema sem permitir a manipulação pelo agente de registro;
n) equipamentos que exijam a identificação biométrica do
agente de registro durante a identificação biométrica do reque rentedo certificado e que exija a identificação biométrica do
responsável pela execução de todas as etapas do processo de
validação e verificação do certificado digital.
Art. 7º Incluir o item 4.1.6. no DOC-ICP-03.01, versão 2.1,com a seguinte redação:
4.1.6. As estações de trabalho da AR, incluindo equipa mentosportáteis utilizados na instalação técnica secundária para
executar os procedimentos de validação, podem ser utilizados
para atendimento de validação externa, não podendo ser uti lizadosem outras atividades fora do endereço autorizado pelo
ITI, desde que atendidos os demais requisitos constantes nas
normas da ICP-Brasil.
Art. 8º Incluir a alínea "h" no item 4.2.1 do DOC-ICP-03.01,versão 2.1, com a seguinte redação:
h) registrar as coordenadas de georreferenciamento associada
à data e hora do momento da autenticação biométrica do agente
de registro e do momento da coleta biométrica do titular do
certificado, para cada certificado a ser emitido.
NOTA: A tecnologia de georreferenciamento utilizada pelo
aplicativo de AR deve garantir a posição do local onde as ati vidadesde validação do certificado digital ocorrem, vedando a
utilização de tecnologia cuja localização é obtida através de en dereçamentoIP (Internet Protocol) incluindo sistema de VPN
(Virtual Private Network) ou tecnologias similares.
Art. 9º Incluir os itens 6.1.7.1 e 6.1.7.2 no DOC-ICP-03.01,versão 2.1, com a seguinte redação:
6.1.7.1. Somente poderão constar do Inventário de Ativos os
equipamentos de propriedade ou de posse da AR.
6.1.7.2. A comprovação da posse ou propriedade dos equi pamentosa que se refere o item anterior deverá ser feita sempre
que assim requisitado pela AC Raiz, mediante a apresentação
pela AR da respectiva nota fiscal, comodato, leasing, doação,
contrato de locação de equipamentos ou documentação compro batóriaequivalente.
Art. 10. O item 6.2.1 do DOC-ICP-03.01, versão 2.1, passaa vigorar com a seguinte redação:
6.2.1. Os documentos que compõem os dossiês dos titulares
de certificados e da instalação técnica, da instalação técnica se cundáriae do posto provisório devem ser guardados, obriga toriamente,no armário chaveado quando se tratar de documentos
físicos ou em ambiente computacional protegido com senha, da
AC ou da AR, quando se tratar de documentos eletrônicos, em
todos os casos, com acesso permitido somente aos agentes de
registro.
Art. 11. Incluir o item 8A no DOC-ICP-03.01, versão 2.1,com a seguinte redação:
8A - DAS VEDAÇÕES
8A.1. É vedada, por parte das AC e AR credenciadas junto à
AC Raiz, a divulgação, anúncio ou qualquer outra forma de
publicidade, de atividades, serviços ou produtos relacionados
com o comércio de certificado digital da ICP-Brasil que não
estejam normatizados e autorizados pela ICP-Brasil.
8A.2. É vedada qualquer outra forma de emissão de cer tificado,fora das hipóteses previstas na legislação e nas normas
que regem a ICP-Brasil, qualquer que seja a denominação uti lizada,aí incluídas, mas não limitadas às figuras denominadas
ponto de atendimento, posto de validação, parceiro, canal, agente
credenciado, franquia, agência autorizada ou por qualquer outra
forma não expressamente prevista na legislação.
8A.3. É vedado delegar ou transferir a terceiros, não cre denciados,atividades privativas das entidades credenciadas ou
autorizadas pelo ITI, a qualquer título.
8A.4. No caso de descumprimento das normas de emissão de
certificado, poderá o ITI determinar a revogação imediata do
certificado digital emitido em desconformidade com as normas
que regem a ICP-Brasil, inclusive quando emitidos em insta laçõestécnicas ou por procedimento de validação externa, que
não tenham atendido os requisitos estabelecidos na regulamen tação,ressalvado o direito de terceiros de boa-fé.
8A.5. É proibido a divulgação por parte das AC e AR, em
qualquer veículo de comunicação, suporte ou sítios de internet,
endereços de locais de atendimento ao usuário que não estejam
credenciados ou autorizados pelo ITI.
Art. 12. Os itens 3.2.1.1, 3.2.1.2, 3.2.1.4, 3.2.1.5 e 3.2.1.6 doDOC-ICP-03, versão 5.0, passam a vigorar com a seguinte redação:
3.2.1.1 Considera-se Instalação Técnica o ambiente físico de
uma AR, cujo funcionamento foi autorizado pelo ITI, por tempo
indeterminado, onde serão realizadas as atividades de validação e
verificação da solicitação de certificados e Instalação Técnica Se cundáriao ambiente físico de uma AR vinculada à Instalação Téc nica,cujo funcionamento foi devidamente autorizado pelo ITI, on deé realizada exclusivamente a atividade de coleta ou verificação
biométrica e validação da solicitação de certificados.
3.2.1.2 A AR já credenciada na ICP-Brasil poderá abrir novos
endereços de Instalações Técnicas desde que encaminhe à AC Raiz
solicitação de funcionamento, em apenas uma cadeia de certifi cação,à sua escolha, acompanhada dos seguintes documentos:
a) formulário SOLICITAÇÃO DE FUNCIONAMENTO DE
NOVOS ENDEREÇOS DE INSTALAÇÕES TÉCNICAS DE AR
[6] devidamente preenchido e assinado pelos representantes legais
da AR e da AC a que esteja operacionalmente vinculada;
b) indicação dos procedimentos que serão adotados quanto
aos aspectos de segurança e operacionais;
c) nome e CPF das pessoas responsáveis por cada uma das
novas instalações técnicas da AR;
d) nome e CPF dos agentes de registro que atuarão nas novas
instalações técnicas da AR;
e) cópia do CNPJ ou, nos casos de entidades públicas, cópia de
publicação do ato que autoriza a operação naquele endereço; e
f) identificação do local onde será guardada a documentação
relativa aos certificados gerados em cada instalação técnica.
Nota: Define-se cadeia de certificação como a série ou ca minhohierárquico de certificados assinados por sucessivas au toridadescertificadoras.
3.2.1.4 A AR já credenciada na ICP-Brasil poderá abrir en dereçosde instalações técnicas secundárias desde que encaminhe
à AC Raiz solicitação de funcionamento, em apenas uma cadeia
de certificação, à sua escolha, acompanhada dos documentos e
informações como segue:
a) formulário SOLICITAÇÃO DE FUNCIONAMENTO DE
NOVOS ENDEREÇOS DE INSTALAÇÕES TÉCNICAS SE CUNDÁRIODE AR [6] devidamente preenchido e assinado pe losrepresentantes legais da AR e da AC a que esteja ope racionalmentevinculada;
b) cópia do CNPJ ou, nos casos de entidades públicas, cópia
de publicação do ato que autoriza a operação naquele endereço;
c) nome e endereço da Instalação Técnica vinculada;
d) nome e CPF dos agentes de registro que atuarão na nova
Instalação Técnica Secundária;
3.2.1.5 Estando a documentação regular, a AC Raiz auto rizará,em até 30 (trinta) dias, o funcionamento das novas Ins talaçõesTécnicas ou Instalação Técnica Secundária mediante in timaçãoda AC solicitante, que a partir desse momento dispo nibilizaráos novos endereços de instalações técnicas na sua pá ginaweb. A autorização na cadeia da AC solicitante implicará,
automaticamente, em autorização nas demais cadeias nas quais a
AR esteja credenciada, cabendo à AR solicitante informar as
demais ACs às quais se encontre vinculada do deferimento da
autorização pela AC Raiz.
3.2.1.6 A AC Raiz poderá, a qualquer tempo, verificar a
conformidade dos procedimentos e atividades das novas insta laçõestécnicas das ARs ou instalação técnica secundária com as
práticas e regras estabelecidas pela ICP-Brasil. Quando cons tatadanão conformidade em uma dessas instalações técnicas, a
AC Raiz aplicará as sanções legais previstas no documento CRI TÉRIOSE PROCEDIMENTOS PARA FISCALIZAÇÃO DAS
ENTIDADES INTEGRANTES DA ICP-BRASIL [7].
Art. 13. O item 3.2.2.1 do DOC-ICP-03, versão 5.0, passa avigorar com a seguinte redação:
3.2.2.1 A extinção de uma instalação técnica de AR ou
instalação técnica secundária poderá se dar por determinação da
AC Raiz ou por iniciativa da AC ou da AR vinculada, devendo
ser solicitada pelos responsáveis legais da AC imediatamente
subsequente à AC Raiz, em apenas uma cadeia de certificação, à
sua escolha. Após o devido processamento da informação pela
AC Raiz e posterior comunicação à interessada, caberá à so licitanteinformar as demais Autoridades às quais também se
encontre vinculada.
Art. 14. O item 3.1.1.2 do DOC-ICP-05, versão 4.2, passa avigorar com a seguinte redação:
3.1.1.2 Excepcionalmente, o processo de validação poderá
ser realizado fora do ambiente físico da AR, através de pro cedimentode validação externa, mediante o deslocamento do
Agente de Registro da AR até o interessado na obtenção do
certificado, observadas as hipóteses, a forma e as condições abai xodispostas, vedada a criação de instalações físicas destinadas a
tal fim, qualquer que seja a denominação utilizada, tais como,
mas não limitada a, ponto de atendimento, posto de validação,
parceiro, canal, agente credenciado ou agência autorizada.
3.1.1.2.1 As AR poderão adotar o procedimento de validaçãoexterna nas seguintes hipóteses:
I. Para pessoas com deficiência ou com mobilidade reduzida,conforme definido pela Lei nº 13.146, de 6 de julho de 2015,devidamente comprovado por documento hábil;
II. Para Pessoas Politicamente Expostas - PEP, conformedefinido na Resolução nº 16, de 28 de março de 2007, do Conselhode Controle de Atividades Financeiras COAF/MF, devidamentecomprovado por documento hábil;
III. Para pessoas que se encontrem cumprindo pena ou detidasem estabelecimento prisional;
IV. Para pessoas com incapacidade física momentânea ou pormotivo de saúde, em qualquer caso devidamente justificado ecomprovado por documento hábil, estejam impedidas ou impossibilitadasde se deslocar até a instalação física da AR;
V. Para atender contratos firmados com entidades públicascujos os editais de licitação tenham sido publicados até a data depublicação desta Resolução;
VI. Outras pessoas não citadas anteriormente, mediante solicitaçãoexpressa de validação externa pelo titular do certificado,limitado a 15% (quinze por cento) do total de certificados emitidospela AR no mês imediatamente anterior.
Nota 1: O disposto na alínea VI, aplica-se a partir do mêssubsequente à entrada em operação da AR, vedada a validaçãoexterna com base no referido dispositivo, no mês do início de suaoperação.
Nota 2: Considera-se como total de certificados emitidos pelaAR no mês imediatamente anterior, para fins da alínea VI, ovolume de certificados emitidos pela AR, informado na documentaçãoencaminhada ao ITI na forma e no prazo previsto pelaInstrução Normativa nº 14, de 28 de novembro de 2016.
Nota 3: Acaso a AR não tenha emitido certificados no mêsanterior ou não tenham sido prestadas as informações na formaou no prazo exigidos, ficará a AR impossibilitada de emitir novoscertificados com fulcro na alínea VI, somente podendo voltar aemiti-los no mês imediatamente subsequente, desde que prestadasas informações de forma tempestiva.
Nota 4: Para o cálculo da quantidade limite disposto naalínea VI, em caso de resultado fracionário, admitir-se-á o arredondamentopara a unidade superior.
3.1.1.2.2. A validação externa será realizada no domicílio dotitular do certificado digital, nas hipóteses previstas nos incisos I,II e IV, do item 3.1.1.2.1, ou no local que este se encontre, nahipótese do inc. III, do mesmo item.
3.1.1.2.3. Para fins do item anterior, considera-se domicílio dotitular do certificado digital, o seu domicílio civil, na forma do dispostono Código Civil, Lei nº 10.406, de 10 de janeiro de 2002.
3.1.1.2.4. O local no qual a validação externa será realizadadeverá ser informado no Formulário de Validação Externa, a quese refere a alínea "d" do item 3.1.1.2.5.
3.1.1.2.5. A validação fora do ambiente físico da AR deveatender ainda as seguintes condições:
a. utilizar ambiente computacional auditável e devidamenteregistrado no inventário de hardware e softwares da AR;
b. adotar aplicativo de georreferenciamento que permita rastrearo computador móvel utilizado na validação externa, sendoque a localização do equipamento deve ficar disponível no sistemada AR em que o agente de registro deva estar cadastradopreviamente;
c. adotar equipamentos de coleta e verificação biométrica dotitular e do agente de registro, em atendimento aos padrões daICP-Brasil;
d. preencher o Formulário de Validação Externa, adendoADE-ICP-05.D, o qual deverá ser assinado pelo agente de registroe pelo titular do certificado, preferencialmente assinadosdigitalmente; e
e. em se tratando de dossiês físicos do titular de certificado,esses devem ser enviados para a Instalação Técnica em até 5(cinco) dias úteis;
f. Utilização de equipamento específico, destinado exclusivamentepara fins de validação externa, vedada a utilização, paratal fim, das estações de trabalho ou outros equipamentos empregadosna instalação técnica.
Art. 15. A alínea "c" do item 5.2 do DOC-ICP-08, versão 4.2, passaa vigorar com a seguinte redação:
c) AR, respectivas PSS e Instalações Técnicas, no caso da quelasque possuam até 3 (três) instalações técnicas credenciadas,
excetuando as Instalações Técnicas Secundárias.
Art. 16. O item 5.3 do DOC-ICP-08, versão 4.2, passa avigorar com a seguinte redação:
5.3 Para os casos de AR que possua mais de três (3) en dereçosde Instalação Técnica, excetuando as Instalações Téc nicasSecundárias, é facultado à AC subordinante, especifica mentepara essa AR, propor um cronograma anual de auditoria
com cobertura parcial de suas Instalações Técnicas, desde que:
a) cada Instalação Técnica seja auditada pelo menos uma vez
a cada dois (2) anos;
b) sejam auditados anualmente, no mínimo, 40% (quarenta
por cento) de suas Instalações Técnicas; e
c) a AC apresente os critérios e justificativas aplicadas na
seleção das Instalações Técnicas distribuídas pelo período de
auditoria proposto.
Art. 17. Ficam aprovadas as novas versões dos Documentos:DOC-ICP-03 - CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTODAS ENTIDADES INTEGRANTES DA ICP-BRASIL(versão 5.1), DOC-ICP-03.01 - CARACTERÍSTICAS MÍNIMAS DESEGURANÇA PARA AS AR DA ICP-BRASIL (versão 2.2), DOCICP-05- REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DEPRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORASDA ICP-BRASIL (versão 4.3) e DOC-ICP-08 - CRITÉRIOSE PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIASNAS ENTIDADES DA ICP-BRASIL (versão 4.3).
§ 1º As demais cláusulas dos referidos documentos, nas suasversões imediatamente anteriores, em sua ordem originária, integramas presentes versões e mantêm-se válidas.
§ 2º Os documentos referidos no caput encontram-se disponibilizados,em sua totalidade, no sítio http://www.iti.gov.br.
Art. 18. As ACs e ARs já credenciadas ou em credenciamentotêm o prazo de até 1º de fevereiro de 2018 para se adequaremàs mudanças previstas nesta Resolução, sujeitando-se às sançõesprevistas nos normativos da ICP-Brasil no caso de descumprimento.
§ 1º Até o prazo definido no caput as ARs já credenciadas quedesejam utilizar Instalação Técnica Secundária ficam autorizadas a iniciarsuas operações nessas modalidades desde que declarem formalmenteadequação de seus procedimentos a esta Resolução e enviem aoITI, no caso de Instalação Técnica Secundária, a relação contendo asinformações estabelecidas no item 3.2.1.4 do documento CRITÉRIOSE PROCEDIMENTOS PARA CREDENCIAMENTO DE ENTIDADESINTEGRANTES DA ICP-BRASIL (DOC-ICP-03).
§ 2º As Instalações Técnicas Secundárias pertencentes a ARintegrante da estrutura da Administração Pública Direta que emitemcertificados exclusivamente para servidores ou empregados públicos emilitares ficam desobrigadas de realizar a adequação dos dispositivospara utilização de aplicativo de georreferenciamento, citados nos arts.6º, 8º e 14, desta Resolução.
Art. 19. Esta Resolução entra em vigor na data de sua publicação.