Instrução Normativa do ITI sobre Auditoria e Impactos para ICP-Brasil com as recentes mudanças regulatórias na ICP-Brasil em relação a auditoria marcam um novo momento para o ecossistema de certificação digital no país
Com o objetivo de reforçar a conformidade, aprimorar os controles e trazer maior eficiência ao processo de auditoria, a nova normativa publicada pelo Instituto Nacional de Tecnologia da Informação (ITI) propõe ajustes relevantes que impactam diretamente as entidades credenciadas — Autoridades Certificadoras (ACs), Autoridades de Registro (ARs) e demais participantes da cadeia de confiança digital.
ICP-Brasil fortalece controle e transparência com nova normativa para auditorias em Prestadores de Serviço de Certificação
Nova IN 32/2025 do ITI consolida diretrizes para auditorias e reforça compromisso com segurança e integridade na certificação digital brasileira
O Instituto Nacional de Tecnologia da Informação (ITI) publicou, no Diário Oficial da União de 28 de abril de 2025, a Instrução Normativa nº 32, de 23 de abril de 2025, estabelecendo critérios e procedimentos claros para a realização de auditorias em Prestadores de Serviço de Certificação (PSCerts) no âmbito da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). A Instrução Normativa foi assinada pelo Diretor-Presidente do Instituto Nacional de Tecnologia da Informação, Enyilson Flávio Martinez Camolesi.
A normativa vem em um momento crucial, em que a transformação digital exige ainda mais confiabilidade e transparência nas relações eletrônicas. O documento normativo não apenas padroniza os processos de auditoria — como o planejamento, execução e emissão do relatório final — como também define responsabilidades, critérios de risco e parâmetros técnicos, baseando-se em referências como a norma WebTrust e a NBC TO 3000.
Conversamos com Pedro Cardoso, Diretor de Auditoria e Fiscalização do ITI e entendemos que as medida tem como objetivo garantir que todos os elos da cadeia — como Autoridades Certificadoras (ACs), Autoridades de Registro (ARs), Autoridades de Carimbo do Tempo (ACTs) e demais prestadores — estejam em conformidade com suas Declarações de Práticas, Políticas de Certificado, de Segurança e com as normativas da ICP-Brasil. A Instrução Normativa também impõe que auditorias sejam realizadas anualmente e, no caso das pré-operacionais, obrigatoriamente in loco, o que reforça o olhar técnico detalhado sobre as estruturas envolvidas.
“A Instrução Normativa do ITI visa aumentar a responsabilidade e a melhoria na segurança e assertividade do processo de realização de auditorias ICP-Brasil, revogando a Instrução Normativa ITI nº 06, de 20 de maio de 2021. As principais novidades estão relacionadas a melhor descrição de execução de auditoria em Autoridades Certificadoras e Autoridades de Registro e a necessidade de elaboração de plano de ação para tratamento de não conformidades detectadas e não regularizadas durante o período de auditoria. Foram inseridos alguns assuntos para normatizar situações que geravam entendimentos diversos do propósito normativo estabelecido na Resolução CG ICP-Brasil n° 185, de 18 de maio de 2021. Adicionalmente, a fim de garantir maior clareza e detalhamento nas instruções acerca dos diversos documentos, formatos de arquivos e preenchimento dos campos de informações solicitadas, será incluído o Adendo que detalha esses modelos a serem seguidos pelos auditores – ADEICP “MODELO E REQUISITOS PARA A ELABORAÇÃO DO RELATÓRIO FINAL DE AUDITORIA” com os ” Apêndice: A – Planejamento das atividades do auditor “, B – LISTA DE VERIFICAÇÃO DE CONFORMIDADE”, C – DECLARAÇÃO DE NÃO IMPEDIMENTO“
Pedro Cardoso, Diretor de Auditoria e Fiscalização ITI/PR
A iniciativa é bem recebida pelo setor de certificação digital por representar o fortalecimento da governança, rastreabilidade e controle interno, pilares fundamentais em tempos de crescente digitalização e surgimento de novas ameaças cibernéticas. A IN 32/2025 também demonstra o alinhamento do ITI com as melhores práticas internacionais de auditoria, promovendo uma infraestrutura mais segura, confiável e interoperável.
Com esta publicação, o ITI reafirma seu papel como órgão de excelência técnica na condução e fiscalização da ICP-Brasil, promovendo credibilidade ao ecossistema de identidades digitais no país. Em um ambiente onde a confiança é um ativo valioso, a normatização da auditoria representa um passo fundamental para garantir integridade, transparência e conformidade no uso de certificados digitais.
Para entender os impactos dessas mudanças, conversamos com Viviane Bertol, CEO da PKI Consulting, uma das principais especialistas do setor. A PKI Consulting é uma empresa especializada em Certificação Digital e referência nacional e internacional em auditoria no âmbito da ICP-Brasil. Credenciada pelo ITI e como WebTrust Practitioner, a consultoria atua com tecnologia de ponta para conduzir auditorias em conformidade com os mais altos padrões de governança, além de oferecer consultorias em LGPD para empresas que desejam adequar seus processos.
“Vivemos uma nova fase na ICP-Brasil, marcada por avanços regulatórios importantes, que exigem atualização e alinhamento contínuo por parte das entidades credenciadas. Na PKI Consulting, temos o compromisso de apoiar nossos clientes com auditorias eficientes, seguras e de alta qualidade, utilizando ferramentas de última geração para controle e execução dos trabalhos. Somos a empresa com maior volume de auditorias executadas no ecossistema ICP-Brasil, o que reforça nossa responsabilidade e credibilidade. Mais do que atender aos requisitos normativos, nosso objetivo é contribuir para o fortalecimento da confiança digital, tanto no Brasil quanto no cenário internacional.”
— Viviane Bertol, CEO da PKI Consulting
Também ouvimos Ney Pinheiro, CEO do Grupo QUALITYCERT, uma das redes de atendimento mais atuantes da ICP-Brasil. O grupo reúne diversas iniciativas voltadas para a prestação de serviços com base em tecnologia de identificação digital e vem se destacando por seu compromisso com a excelência e o suporte contínuo à sua rede de ARs.
“Com a aprovação da normativa IN 32/2025 do ITI, será necessário revisar procedimentos de ACs, ARs e demais entes para garantir a conformidade com as novas diretrizes do ecossistema ICP-Brasil. Para nós, da Qualitycert, isso representa uma oportunidade de reforçar o suporte oferecido à nossa rede de Autoridades de Registro. Estamos preparados para auxiliar cada AR nesse processo, com ferramentas, capacitação e acompanhamento técnico de excelência. Acreditamos que investir em conformidade é investir em reputação e crescimento sustentável.”
— Ney Pinheiro, CEO do Grupo QUALITYCERT
As alterações previstas pela normativa demonstram a maturidade do setor de certificação digital e reforçam o papel da regulação como mecanismo de proteção, transparência e desenvolvimento. Ao mesmo tempo, destacam a importância de parcerias com consultorias e redes de suporte especializadas, que possibilitam uma transição segura, eficaz e tecnicamente qualificada.
Destaques da Instrução Normativa ITI nº 32/2025
A Instrução Normativa do ITI Nº 32, de 23 de abril de 2025, publicada no Diário Oficial da União em 28 de abril de 2025, Edição: 79, Seção: 1, Página: 64, estabelece os critérios para a emissão de relatórios e pareceres de auditoria de Prestadores de Serviço de Certificação (PSCerts) na ICP-Brasil. O órgão responsável pela publicação é o Ministério da Gestão e da Inovação em Serviços Públicos/Instituto Nacional de Tecnologia da Informação.
Objetivo Principal
- A normativa define como as auditorias devem ser conduzidas, como os relatórios devem ser elaborados e como os pareceres de auditoria devem ser emitidos dentro da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
Abrangência
- Aplica-se à empresas de auditoria independentes credenciadas, auditorias internas de Autoridades de Registro (ARs), Autoridades Certificadoras (ACs) e Prestadores de Serviço de Suporte (PSSs) credenciados junto ao ITI, bem como aos auditores do próprio ITI.
Processo de Auditoria
- Auditorias Pré-Operacionais e Operacionais: Os PSCerts devem passar por auditorias pré-operacionais antes de iniciar suas atividades e, posteriormente, por auditorias operacionais anuais.
- Fases da Auditoria: O processo de auditoria é dividido em três fases principais:
- Planejamento: Inclui a pré-avaliação e a análise documental.
- Execução: Avaliação in loco das instalações do PSCert.
- Elaboração do Relatório Final de Auditoria (RFA): Documento que apresenta os resultados da auditoria.
- Responsabilidade do Auditor: O auditor é responsável por selecionar os processos a serem auditados, bem como por classificar os riscos identificados.
- Conceito do PSCert: O relatório de auditoria deve apresentar um conceito geral sobre o PSCert auditado, que pode ser: Adequado, Aceitável, Deficiente, Inadequado ou Inaceitável.
Critérios e Procedimentos Detalhados
- A normativa detalha os critérios e procedimentos para a realização das auditorias, incluindo a documentação a ser verificada, a avaliação das instalações, a elaboração do relatório e a emissão do parecer de auditoria.
Pós-Auditoria
- Caso sejam identificadas não conformidades, o PSCert deve apresentar um plano de ação para regularização em até dez dias, e a resolução definitiva não pode ultrapassar noventa dias.
Disposições Finais
- A normativa estabelece prazos para que as entidades se adequem aos novos requisitos.
- Revoga a Instrução Normativa ITI nº 06, de 20 de maio de 2021.
- Entra em vigor na data de sua publicação, 28 de abril de 2025.
Notas de Rodapé
¹ Viviane Bertol é Doutora e Mestre pela Universidade de Brasília, com certificação internacional como DPO pela EXIN. Atuou no ITI nas áreas de auditoria, fiscalização, normalização e pesquisa, tendo contribuído com a elaboração de metodologias e normativos da ICP-Brasil. Atualmente, é colunista e membro do conselho editorial do Crypto ID.
² Pedro Cardoso é Diretor de Auditoria e Fiscalização do Instituto Nacional de Tecnologia da Informação – ITI, onde atua desde 2005. Já exerceu os cargos de Coordenador-Geral de Auditoria e Auditor Federal de Finanças e Controle na Controladoria-Geral da União. É especialista em Gestão de Segurança da Informação pela Universidade de Brasília.
³ Ney Pinheiro é CEO do Grupo QUALITYCERT, organização dedicada à prestação de serviços com base na tecnologia de identificação digital. O grupo é reconhecido pela robustez de sua rede de Autoridades de Registro e pela excelência no suporte oferecido às ARs em todo o país.
Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil
O modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz – AC-Raiz, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos.
Uma Infraestrutura de Chaves Públicas estabelece padrões técnicos e regulatórios que permitem a interoperabilidade dos certificados digitais para autenticação, assinatura e criptografia. Seguem padrões regulatórios e técnicos universais que compõem essa cadeia de confiança que pela solidez e rigoroso controle gera na utilização dos Certificados Digitais evidências matemáticas que garantem autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade para o não repúdio dos atos praticados no meio eletrônico e os ativos eletrônicos a eles relacionados.
O certificado digital é conjunto de dados, gerados por uma Autoridade Certificadora – AC após a validação das credenciais do titular que é realizada por uma Autoridade de Registro – AR o que garante ao certificado o caráter personalíssimo. O titular do certificado digital pode ser pessoa física, pessoa jurídica e também pode ser emitido para equipamentos e para aplicações.
A Infraestrutura de Chaves Públicas – ICP, é o conjunto de normas e requesitos técnicos. Os requisitos englobam a homologação de hardwares e softwares e envolvem, da mesma forma, o complexo conjunto de procedimentos relacionados ao ciclo de vida dos certificados digitais. No Brasil é denominada Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.
Qual é a estrutura da ICP-Brasil?
A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por uma Autoridade Certificadora Raiz (AC-Raiz), Autoridades Certificadoras (AC) e Autoridades de Registro (AR) e, ainda, por uma autoridade gestora de políticas, ou seja, o Comitê Gestor da ICP-Brasil. Existem ainda outros tipos de entidades como a Autoridade de Carimbo do Tempo, Entidade Emissora de Atributo, Prestador de Serviço de Suporte e Prestador de Serviços de Confiança.
Inteligência Editorial que Orienta Cenários
Desde 2014, o Crypto ID oferece conteúdo editorial sobre tecnologia, segurança e regulação. Há 11 anos provocamos reflexão que sustentam decisões estratégicas para transformação digital e cibersegurança.
Crypto News é a coluna do Crypto ID dedicada aos Criptoativos! Leia mais!
