As Instruções Normativas tratam do envio de certificados digitais e arquivos biométricos | validação fora da AR | recadastramento dos agentes de registro
Foram publicadas no Diário Oficial da União – DOU desta quarta-feira, 30, as Instruções Normativas nº 14, 15 e 16 do Instituo Nacional de Tecnologia da Informação – ITI. Os documentos tratam de medidas que visam o contínuo aperfeiçoamento das normas de segurança nos processos de emissões de certificados digitais no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, da atuação dos agentes de registro e dos controles fiscalizatórios da Autoridade Certificadora Raiz – AC Raiz.
As Instruções normativas estão disponíveis no site do ITI
Instrução Normativa nº 14
Instrução Normativa nº 14 – Regulamenta o envio de certificados digitais, seus arquivos biométricos e revoga a instrução normativa nº 06, de 25 de maio de 2012.
O SECRETÁRIO-EXECUTIVO DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA – CG ICP-BRASIL, no exercício do cargo de Coordenador do referido Comitê, conforme previsão constante no art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, no uso das atribuições legais previstas nos incisos I, III, V e VI do art. 4° da Medida Provisória n° 2.200-2, de 24 de agosto de 2001,
CONSIDERANDO o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil e fixa a competência, prevista no § 6º art. 2º, do Secretário-Executivo para coordená-lo na hipótese de ausência do Coordenador titular e suplente;
CONSIDERANDO que todas as entidades credenciadas na ICP-Brasil já devem coletar as biometrias dos requerentes dos certificados digitais, nos termos do DOC-ICP-05;
CONSIDERANDO o contínuo aperfeiçoamento das normas de segurança no processo de emissão de um certificado digital;
RESOLVE
Art. 1º Todas as Autoridades Certificadoras (AC) que emitam certificados digitais para usuário final deverão enviar mensalmente, até o décimo dia do mês seguinte à emissão, os referidos certificados, as biometrias atreladas a cada certificado e as informações sobre os certificados digitais emitidos.
§1º Tais informações devem conter os dados relativos à Autoridade Certificadora (AC) emissora, à Autoridade de Registro (AR) validadora e ao quantitativo total de certificados emitidos, discriminados por tipo do titular (pessoa física, pessoa jurídica, equipamento/aplicação) e tipo de certificado (A1 a A4, A CF-e-SAT, S1 a S4, T3 e T4), conforme formato definido no anexo 1, em arquivo identificado com nome Anexo1.csv.
§2º Adicionalmente, deverão informar a quantificação por localidade da identificação presencial do titular do certificado, de modo que os municípios sejam identificados de acordo com as nomenclaturas e os códigos definidas pelo IBGE – Instituto Brasileiro de Geografia e Estatísticas, conforme formato definido no anexo 2, em arquivo identificado com nome Anexo2.csv.
§3º Os certificados, por sua vez, deverão ser identificados e encaminhados individualmente, em formato PEM, codificado em base 64, como no exemplo constante do anexo 3.
§4º Os arquivos biométricos da face e das impressões digitais deverão ter os formatos e os nomes com o CPF do requerente e a indicação do dedo, se for o caso, conforme consta no DOC-ICP-05.02 e DOC-ICP-05.03, conforme consta do anexo 4.
§5º As informações e os certificados deverão ser posteriormente colocados em uma pasta, de modo que todos os certificados fiquem em uma única subpasta e compactados em arquivo único (.zip), o qual deverá ser encaminhado por carregamento de arquivo (upload), conforme ADE-ICP-05.C.
§6º O nome do arquivo compactado deve seguir o formato disposto no ADE-ICP-05.C.
§7º As informações prestadas se destinam única e exclusivamente ao apoio das atividades fiscalizatórias desta Autarquia, não implicando em qualquer responsabilização pelos dados fornecidos.
Art. 2º Todas as entidades integrantes da ICP-Brasil devem atender às requisições do ITI para o cumprimento das solicitações de informações enquadradas na Lei de Acesso à Informação – LAI (Lei nº 12.527, de 18 de novembro de 2011).
Parágrafo único. O prazo máximo para atendimento dessas requisições é de 5 (cinco) dias corridos.
Art. 3º O Instituto Nacional de Tecnologia da Informação – ITI consolidará os dados recebidos e
publicará seus quantitativos gerais.
Art. 4º Revoga-se a Instrução Normativa nº 06, de 25 de Maio de 2012.
Art. 5º Esta Instrução Normativa entra em vigor na data de sua publicação e as entidades por ela abrangidas possuem o prazo de até 30 dias para o início da realização dos procedimentos
Instrução Normativa nº 15
Instrução Normativa nº 15 – Regulamenta o envio de informações sobre o processo de validação fora do ambiente físico da Autoridade de Registro – AR.
O SECRETÁRIO-EXECUTIVO DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA – CG ICP-BRASIL, no exercício do cargo de Coordenador do referido Comitê, conforme previsão constante no art. 1º da Resolução nº 33 do Comitê Gestor da
ICP-Brasil, de 21 de outubro de 2004, no uso das atribuições legais previstas nos incisos I, III, V e VI do art. 4° da Medida Provisória n° 2.200-2, de 24 de agosto de 2001,
CONSIDERANDO o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil e fixa a competência, prevista no § 6º art. 2º, do Secretário-Executivo para coordená-lo na hipótese de ausência do Coordenador titular e suplente;
CONSIDERANDO o item 3.1.1.2 do DOC-ICP-05, que versa sobre os processos de validação fora do ambiente físico de uma Autoridade de Registro, determinando que deva ser utilizado um ambiente computacional auditável e devidamente registrado no inventário de hardware e softwares da AR;
RESOLVE
Art. 1º As ACs emissoras de certificados digitais para usuários finais devem informar ao ITI a quantidade e os tipos de certificados digitais (A1 a A4, A CF-e-SAT, S1 a S4, T3 e T4) que iniciaram seus processos de validação fora do ambiente físico de uma AR, conforme faculta o item 3.1.1.2 do DOC-ICP-05.
§1º As informações devem ser prestadas até o décimo dia de cada mês.
§2º As informações prestadas se destinam única e exclusivamente ao apoio das atividades
fiscalizatórias desta Autarquia, não implicando em qualquer responsabilização pelos dados
fornecidos.
Art. 2º As ACs emissoras de certificados para usuários finais devem informar quais são as máquinas
(inventário de hardware e software), por AR, utilizadas para o processo de validação fora do ambiente físico, indicando as novas e as que não são mais utilizadas em relação ao mês anterior, conforme o item 3.1.1.2 do DOC-ICP-05.
§1º As informações devem ser prestadas até o décimo dia de cada mês, caso haja qualquer atualização em relação ao arquivo anterior.
§2º As informações prestadas se destinam única e exclusivamente ao apoio das atividades fiscalizatórias desta Autarquia, não implicando em qualquer responsabilização pelos dados fornecidos.
Art. 3º Os formatos e a forma de envio dos arquivos são dados pelos nos anexos 6 e 7, em arquivo
identificado com nome Anexo6.csv e Anexo7.csv, conforme ADE-ICP-05.C.
Art. 4º Esta Instrução Normativa entra em vigor na data de sua publicação e as entidades abrangidas
possuem até 60 (sessenta) dias para iniciar os procedimentos determinados.
Instrução Normativa nº 16
Instrução Normativa nº 16 – Regulamenta o recadastramento dos agentes de registro, o envio de informações ao ITI e o uso da biometria para as transações nas soluções de certificação digital.
O SECRETÁRIO-EXECUTIVO DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA – CG ICP-BRASIL, no exercício do cargo de Coordenador do referido Comitê, conforme previsão constante no art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, no uso das atribuições legais previstas nos incisos I, III, V e VI do art. 4° da Medida Provisória n° 2.200-2, de 24 de agosto de 2001,
CONSIDERANDO o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil e fixa a competência, prevista no § 6º art. 2º, do Secretário-Executivo para coordená-lo na hipótese de ausência do Coordenador titular e suplente;
CONSIDERANDO a necessidade de ampliar os procedimentos de segurança em relação à atuação dos agentes de registro da ICP-Brasil;
RESOLVE
Art. 1º As ACs emissoras de certificados digitais para usuários finais devem recadastrar todos os agentes de registro das respectivas cadeias, com a atualização dos respectivos dossiês.
Parágrafo único. O recadastramento implica na emissão de um novo certificado, exclusivo para as atribuições de agente de registro.
Art. 2º As ACs abrangidas por essa Instrução Normativa devem informar ao ITI uma relação com o nome, CPF e a chave pública do certificado de cada agente de registro, bem como o endereço no qual executa as suas funções com os respectivos perfis na solução de certificados das ACs (validador, verificador ou ambos).
§1º As informações devem ser prestadas até o décimo dia de cada mês, caso haja qualquer atualização em relação ao arquivo anterior.
§2º As informações prestadas se destinam única e exclusivamente ao apoio das atividades fiscalizatórias desta Autarquia, não implicando em qualquer responsabilização pelos vínculos estabelecidos.
Art. 3º Os formatos e a forma de envio dos arquivos são dados pelo no anexo 5, em arquivo identificado com nome Anexo5.csv, conforme ADE-ICP-05.C.
Art. 4º Em complemento ao item 3.1.1.3, do DOC-ICP-05, todas as etapas dos processos de validação e verificação da solicitação de certificado, inclusive de habilitação do agente de registro no sistema, devem possuir alguma forma de validação biométrica do responsável pela execução, de modo que se permita a reconstituição completa dos processos executados para fins de auditoria.
§1º O agente de registro que realiza o processo de validação fora do ambiente físico de uma AR deve ter o perfil de acesso como “agente validador” nas soluções de certificação disponibilizadas pela AC, não devendo possuir qualquer outro perfil de acesso.
§2º O agente de registro que possui o perfil de acesso como “agente validador” e “agente verificador”, nas soluções de certificação disponibilizada pela AC, deve, única e exclusivamente, trabalhar em uma instalação técnica de uma AR.
§3º O agente de registro, independente do perfil de acesso nas soluções de certificação disponibilizada pela AC, não pode exercer qualquer outra atividade em uma AR.
Art. 5º Os artigos 1º a 3º desta Instrução Normativa entram em vigor na data de sua publicação e as entidades envolvidas possuem até 60 (sessenta) dias para o início da realização dos procedimentos.
Art. 6º O artigo 4º desta Instrução Normativa entra em vigor na data de sua publicação e as entidades envolvidas possuem até 150 (cento e cinquenta) dias para o início da realização dos procedimentos.
Fonte: ITI