Últimas notícias

Fique informado
O que é DPC? Declaração de Práticas de Certificação

O que é DPC? Declaração de Práticas de Certificação

14 de novembro de 2011

Spotlight

Comitê Gestor da ICP-Brasil aprova emissão primária por videoconferência

A aprovação cria o amparo jurídico necessário para a edição da Instrução Normativa que regulamentará e viabilizará o processo operacional da emissão primária de Certificados Digitais através de videoconferência.

22 de janeiro de 2021

Veja o que diz Miguel Martins da AET Europe sobre gerenciamento de eIDS

Como traçar a estratégia de IAM para sua organização? Confira o que diz a AET Europe, líder global em gerenciamento de identidades.

19 de janeiro de 2021

Reconhecimento facial sem prova de vida está com os dias contados, afirma CEO de uma das principais plataformas brasileiras de biometria facial

Conversamos com José Luis Volpini, CEO da CredDefense, uma das pioneiras e mais conceituadas plataformas de biometria facial do mercado brasileiro.

6 de janeiro de 2021

Carimbo do Tempo dá início ao fim da era dos protocolos proprietários na ICP-Brasil. Ouça

Segundo Dr. Roberto Gallo, o fim da era dos protocolos proprietários na ICP-Brasil tem data marcada e deve beneficiar fabricantes, prestadores de serviços e clientes finais.

28 de dezembro de 2020

Você sabe o que é DPCT?

DPCT  Declaração de Práticas de Carimbo de Tempo Assim como

13 de fevereiro de 2014

A DPC descreve os processos relacionados ao ciclo de vida dos certificados digitais emitidos por cada Autoridade Certificadora que, obrigatoriamente, deve torná-la pública.

Regina Tupinambá - Fundadora do Portal CryptoID

Regina Tupinambá – Co-fundadora do Portal Crypto ID

Quis custodiet ipsos custodes? Ou, como dizem os ingleses, quem vigia os vigilantes? A Declaração de Práticas de Certificação Digital – DPC é o principal documento no âmbito da certificação digital. É o livro de ouro!

Confiar em uma Infraestrutura de Chaves Públicas ICP | PKI – Public key infrastructure – ou em um Autoridade Certificadora é similar ao que ocorre em transações convencionais, fora do meio eletrônico.

Por exemplo, na aquisição de um imóvel o comprador deve obter a documentação do imóvel e de seus proprietários, certidões atualizadas e conferir a validação dos órgãos públicos competentes emissores de cada documento.

Existe, aí, uma relação de confiança já estabelecida com esses órgãos e outras instituições acima deles que atestam suas credenciais. É uma cadeia de confiança que é estabelecida para credibilizar as informações fornecidas ao público.

Da mesma forma, existem cadeias de confiança nas infraestruturas de chaves públicas: Brasileira e internacionais. Os usuários podem escolher a Autoridade Certificadora à qual desejam confiar à emissão de seus certificados digitais com base nos documentos apresentados e por quem à atesta. Para a emissão dos certificados, as Autoridades Certificadoras possuem deveres e obrigações que são descritos na Declaração de Práticas de Certificação – DPC.

A DPC dever ser pública, para permitir que as pessoas possam saber como foi emitido o certificado digital.

Entre as atividades de uma Autoridade Certificadora, a mais importante é verificar a identidade da pessoa ou da entidade antes da emissão do certificado digital. O certificado digital emitido deve conter informações confiáveis que permitam a verificação da identidade do seu titular.

Por estes motivos, quanto melhor definidos, abrangentes e detalhados forem os procedimentos adotados por uma Autoridade Certificadora maior sua confiabilidade.

No Brasil, o Comitê Gestor da ICP-Brasil é o órgão governamental que especifica os procedimentos que devem ser adotados pelas Autoridades Certificadoras. As Autoridades Certificadoras credenciadas são incorporadas à estrutura hierárquica da ICP-Brasil.

Para ser credenciada à ICP-Brasil, a Autoridade Certificadora precisa se submeter às resoluções do Comitê Gestor.  O cumprimento dos procedimentos é auditado e fiscalizado, envolvendo, por exemplo, exame de documentos, as instalações das Autoridades Certificadoras e respectivas Autoridades de Registro, dos sistemas envolvidos no serviço de certificação, bem como todos os seus funcionários envolvidos no ciclo de vida dos certificados digitais.

Vale o que está escrito

Todos os processos que estão descritos na DPC devem ser aplicados e cada Autoridade Certificadora tem a sua própria DPC. As Autoridades de Registro devem seguir os procedimentos das Autoridades Certificadoras as quais estão vinculadas. E como os processos são distintos é importante conhecer a DPC do certificado digital que será validado.

Por exemplo, existem na ICP-Brasil variações em relação aos processos de emissão de certificados digitais para pessoas jurídicas e para pessoas físicas. A DPC da Receita Federal do Brasil – AC RFB,  exige que para emitir um certificado digital para pessoa física, o titular deve ter um CPF válido perante a Receita Federal, mas outras Autoridades Certificadoras exigem apenas que os documentos originais do titular sejam apresentados para a emissão do certificado digital pessoa física.

No caso, a AC RFB – Autoridade Certificadora da Receita Federal do Brasil, trata-se de uma AC Normativa, ou seja, ela tem suas normas, mas credencia outras Autoridades Certificadoras de primeiro e segundo níveis para a emissão dos certificados digitais de sua hierarquia.

A não concordância com as regras acarreta em aplicações de penalidades, que podem levar inclusive ao descredenciamento da Autoridade de Registro e/ou certificadora.

Já a regulamentação internacional para Políticas de Certificação (DPC e PC) é a RFC 3647. Este documento substitui RFC 2527.Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework.

A DPC é um documento que apresenta uma estrutura para ajudar os escritores de políticas de certificados ou declarações de práticas de certificação.

Em particular, o quadro fornece uma lista abrangente de tópicos que potencialmente (a critério do escritor) precisa ser coberta com uma política de certificado ou uma declaração de práticas de certificação.

Teoricamente toda Infraestrutura de chaves públicas (Public key infrastructure)  – Hierarquia de Certificação – possui uma Política de Certificação que serve para descrever as práticas e políticas correspondentes ao processo relacionado ao ciclo de vida dos certificados.

Dois links que devem ser consultados sobre informações sobre PKI Internacionais e especialmente sobre Políticas de Certificação Internacionais.

As melhores práticas de segurança nos negócios, entre estes o processo operado por Autoridades Certificados são definidas pela WebTrust e pela ETSI equivalente (European Telecommunications Standards Institute que atua na Europa.

A Webtrust uma organização criada pela Canadian Institute of Chartered Accountants – CICA e American Institute of Certified Public Accountants – AICPA tem com objetivo fornecer aos consumidores finais a garantia de serviços confiáveis.

À partir dos critérios por ela definidos, existem empresas de auditoria que fazem esta verificação de conformidade como a SAS-70 que é um padrão de auditoria desenvolvido pela American Institute of Certified Public Accountants AICPA e amplamente reconhecido no mercado.

 

3 Comentários até agora

Ir para a discussão
  1. Olá Regina,<br /><br />Bem, faço parte da equipe de informática aqui no TCE-RN e estamos estudando a possibilidade de criarmos nossa própria AC, desde já, não credenciada a ICP Brasil, para troca de informações entre o tribunal e os órgãos jurisdicionados. Neste sentido, gostaria de saber se, no seu entendimento, o que é se é necessário além da instalação da AC no servidor, precisamos também

  2. Olá André! Só gostaria de avisar que se essa AC precisar ser validada por outros órgãos como, por exemplo, a CAIXA, é mandatório que seja icp-brasil. Agora se for exclusivo para sua rede interna, aí poderá ser uma AC independente gerida internamente. Entre no site do ITI na parte de legislação que tem uma instrução Normativa que trata dessa obrigatoriedade. Abraços.

<