Últimas notícias

Fique informado

DPC – Um Guia Prático na Emissão de Certificados ICP-Brasil

15 de janeiro de 2020

Spotlight

Veja o que diz Miguel Martins da AET Europe sobre gerenciamento de eIDS

Como traçar a estratégia de IAM para sua organização? Confira o que diz a AET Europe, líder global em gerenciamento de identidades.

19 de janeiro de 2021

Reconhecimento facial sem prova de vida está com os dias contados, afirma CEO de uma das principais plataformas brasileiras de biometria facial

Conversamos com José Luis Volpini, CEO da CredDefense, uma das pioneiras e mais conceituadas plataformas de biometria facial do mercado brasileiro.

6 de janeiro de 2021

Carimbo do Tempo dá início ao fim da era dos protocolos proprietários na ICP-Brasil. Ouça

Segundo Dr. Roberto Gallo, o fim da era dos protocolos proprietários na ICP-Brasil tem data marcada e deve beneficiar fabricantes, prestadores de serviços e clientes finais.

28 de dezembro de 2020

Entrevista exclusiva com a diretora de Auditoria, Fiscalização e Normalização do ITI, Ângela Maria de Oliveira

As entidades que atuam na ICP-BRASIL e as que estão em credenciamento precisaram atualizar os documentos que descrevem seus procedimentos. Como fazer de forma correta?

15 de dezembro de 2019

O que é DPC? Declaração de Práticas de Certificação

A DPC descreve os processos relacionados ao ciclo de vida dos certificados digitais emitidos por cada Autoridade Certificadora que, obrigatoriamente, deve torná-la pública

14 de novembro de 2011

O objetivo deste artigo é esclarecer o que é a Declaração de Práticas de Certificação – DPC, quais são os documentos normativos que orientam sua elaboração e o seu papel para garantir a conformidade na emissão dos certificados digitais ICP-Brasil.

Por Ângela Maria de Oliveira*

Ângela Maria de Oliveira é Diretora de Auditoria, Fiscalização e Normalização do Instituto Nacional de Tecnologia da Informação – ITI Foto: ITI

A Declaração de Práticas de Certificação – DPC é um documento periodicamente revisado e republicado, que descreve as práticas e os procedimentos empregados pelas Autoridades Certificadoras (AC) e utilizados pelas suas Autoridades de Registro (AR) vinculadas, na execução de seus serviços.

O Instituto Nacional de Tecnologia da Informação – ITI, como órgão que possui a missão de manter e executar as políticas da ICP-Brasil, disponibiliza em seu Site toda a documentação necessária para as empresas que decidirem credenciar-se nas cadeias da Infraestrutura de Chaves Públicas Brasileira (por exemplo, como AC e AR entre outras). Estas empresas devem ter conhecimento do conteúdo dos normativos disponibilizados antes mesmo de estarem credenciadas. O DOC-ICP-03, por exemplo, contém as regras para o credenciamento das entidades integrantes da ICP-Brasil e seus Anexos, a lista de documentos que devem ser apresentados ao Protocolo do ITI.

Já a DPC deve ser elaborada levando em consideração as diretrizes e orientações do DOC-ICP-05 – Requisitos Mínimos para as Declarações de Práticas de Certificação das Autoridades Cerificadoras da ICP-Brasil. Neste normativo estão descritas as responsabilidades e obrigações das Autoridades Certificadoras.

Assim, podemos dizer que a DPC é a declaração a respeito das práticas, atividades e políticas que fundamentam a emissão de certificados e outros serviços relacionados. O instrumento é utilizado pelas Autoridades Certificadoras para definição e operação de seus sistemas com a finalidade de garantir a emissão correta dos certificados e pelos solicitantes e partes confiáveis, para que em conjunto com a Política de Certificado (PC) e a Polítca de Segurança (PS) possam avaliar a adequação dos padrões de segurança empregados às necessidades das aplicações.
A DPC descreve os procedimentos que serão praticados pela Autoridade Certificadora e Autoridade de Registro para emissão dos certificados. É o pilar para a sustentação dos processos e ferramentas que serão desenvolvidos para as atividades inerentes a emissão dos certificados.

A DPC orienta a elaboração da Política de Certificado – uma para cada tipo de certificado emitido pela AC – que serão aplicadas pela AC. Além disto, as políticas delimitam o escopo de atuação da AC e funcionam como um guia para a gestão.

Em termos de controle e fiscalização, será o documento base utilizado nas auditorias operacionais para identificar e concluir se uma AC está em conformidade (compliance) às normas da ICP-Brasil. Destacamos que o conceito de compliance está relacionado com a excelência na promoção de práticas na gestão das organizações, visando garantir a integridade dos processos. Enfim, a busca da qualidade pela conformidade com as normas.

Cada AC deve ter a sua DPC e não importa se for AC normativa ou emissora. Tanto as ACs de primeiro quanto as de segundo nível devem escrever a sua DPC. As ARs não possuem DPC, mas devem seguir a DPC da AC a qual estão vinculadas.

A partir da Resolução 151, que trouxe a certificação Webtrust para a ICP-Brasil, as ARs devem elaborar um documento denominado Declaração de Práticas de Negócio de AR conforme descrito em Princípios e Critérios Webtrust para AR (Webtrust Principles and Criteria for Registration Autorities). A AR deve descrever suas práticas e procedimentos comerciais utilizados em conformidade com as políticas da AC a qual está vinculada.

A DPC, a PC e a PS elaboradas pela AC devem ser enviadas ao ITI para análise e aprovação.

A partir do resultado das análises podemos dizer que o maior índice de erros detectados pelo ITI está em copiar o DOC-ICP-05 como sendo a DPC da AC. A DPC é o documento que descreve as práticas e os procedimentos empregados pela AC na execução de seus serviços, portanto, deve constar as práticas específicas de cada AC.

Outro incidente que ocorre é copiar a PC e DPC de outra AC sem fazer os respectivos ajustes. É comum, principalmente, nos pedidos de credenciamento de uma nova AC, copiar ou ter como referência uma DPC ou PC já aprovada pelo ITI para outra AC. Outros erros comuns estão relacionados ao tempo verbal, grafia errada das palavras, inclusão não permitida de procedimentos, exclusão de itens obrigatórios e descrição de práticas que não serão executadas.

Nesse sentido, cabe a orientação às entidades da ICP-Brasil, mantidas e auditadas pelo ITI, para que sigam as orientações e os normativos aprovados pelo Comitê Gestor, a fim de instrumentalizar suas ações e garantir a governança em toda a cadeia de confiança da Infraestrutura de Chaves Públicas Brasileira.

Ângela Maria de Oliveira é Diretora de Auditoria, Fiscalização e Normalização do Instituto Nacional de Tecnologia da Informação – ITI

Fonte: ITI

Entrevista exclusiva com a diretora de Auditoria, Fiscalização e Normalização do ITI, Ângela Maria de Oliveira

Qual é a estrutura da PKI Brasileira – ICP-Brasil e como se credenciar a ela?

O que é DPC? Declaração de Práticas de Certificação

Desafios e conquistas marcaram 2019 para o ITI – Por Marcelo Buz

Acordo sobre Facilitação do Comércio do Mercosul e a interoperabilidade dos certificados digitais entre os países do bloco

 

  Leia muitos outros artigo sobre o ITI aqui. Acesse e compartilhe!
DPC