Foi publicada hoje, 4 de outubro de 2017 no Diário Oficial da União a resolução número 130 que institui as Instalações Técnicas Secundárias, disciplina os procedimentos de validação externa no âmbito da ICP-Brasil e dá outras providências.
As ACs e ARs já credenciadas ou em credenciamento têm o prazo de até 1º de fevereiro de 2018 para se adequarem às mudanças previstas nesta Resolução, sujeitando-se às sanções previstas nos normativos da ICP-Brasil no caso de descumprimento.
Leia a resolução na íntegra.
RESOLUÇÃO No 130, DE 19 DE SETEMBRO DE 2017
INSTITUI AS INSTALAÇÕES TÉCNICAS SECUNDÁRIAS, DISCIPLINA OS PROCEDIMENTOS DE VALIDAÇÃO EXTERNA NO ÂMBITO DA ICP-BRASIL E DÁ OUTRAS PROVIDÊNCIAS.
O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, §1º, inc. III, do Regimento Interno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4°, da Medida Provisória n° 2.200-2, de 24 de agosto de 2001, em reunião ordinária realizada em 19 de setembro de 2017, CONSIDERANDO a necessidade de disciplinar os procedimentos de Validação Externa como modalidade de validação da solicitação de certificado, e
CONSIDERANDO a necessidade de expandir a capilaridade na emissão de certificados digitais,
RESOLVEU:
Art. 1º Incluir as alíneas “r” e “s” no item 1.3 do DOC-ICP-03.01, versão 2.1, com a seguinte redação:
r) Instalação Técnica Secundária – Ambiente físico de uma AR, cujo funcionamento foi devidamente autorizado pelo ITI, onde é realizada exclusivamente a atividade de coleta e/ou verificação biométrica e validação da solicitação de certificados. Não possui período de tempo determinado para funcionamento;
s) Validação Externa – compreende a realização da etapa de validação da solicitação de certificado e coleta biométrica do titular do certificado fora do ambiente físico da AR, nas hipóteses e na forma prevista no item 3.1.1.2 do DOC-ICP-05 [1].
Art. 2º O item 1.6 do DOC-ICP-03.01, versão 2.1, passa a vigorar com a seguinte redação:
1.6. Em caso de alteração de endereço da instalação técnica ou da instalação técnica secundária, o fato deve ser previamente reportado à AC responsável, que enviará ao ITI formulário de credenciamento ADE-ICP-03.E [4] com dados atualizados, solicitando nova autorização de funcionamento, acompanhado dos documentos previstos no DOC-ICP-03 [3].
Art. 3º O item 2.1.3 do DOC-ICP-03.01, versão 2.1, passa a vigorar com a seguinte redação:
2.1.3. Pode ser firmado acordo documentado, entre AC e AR, no qual a AC delega à AR a atividade de incluir/excluir Agentes de Registro no aplicativo de AR, desde que a AR não possua agente de registro como sócio. Nesse caso, o responsável por essa atividade, na AR, deve ser formalmente designado e possuir âmbito de atuação restrito ao necessário às atividades daquela AR.
Art. 4º A alínea “d” do item 2.2.3 do DOC-ICP-03.01, versão 2.1, passa a vigorar com a seguinte redação:
d) Representante Legal da própria AR, caso a AR não possua agente de registro como sócio.
Art. 5º O item 3.8 do DOC-ICP-03.01, versão 2.1, passa a vigorar com a seguinte redação:
3.8. As ARs somente poderão utilizar a modalidade de validação externa depois de adaptar seus computadores móveis ao disposto no item 4.1.2, e desde que a AC à qual a AR se vincula tenha adaptado seus procedimentos, seu sistema de certificação e o aplicativo da AR a todas as regras deste documento e ao disposto no item 3.1.1.2 do DOC-ICP-05 [1].
Art. 6º Incluir as alíneas “l”, “m” e “n” no item 4.1.2 do DOC-ICP-03.01, versão 2.1, com a seguinte redação:
l) para equipamentos utilizados em Postos Provisórios, Instalações Técnicas Secundárias e em procedimento de validação externa, utilização de aplicativo de georreferenciamento que permite rastrear o computador, sendo que a localização do equipamento deve ficar disponível no sistema de AR;
m) equipamentos de coleta biométrica, em atendimento aos padrões da ICP-Brasil, para garantir mecanismo de coleta biométrica no qual seus registros sejam processados e enviados ao sistema sem permitir a manipulação pelo agente de registro;
n) equipamentos que exijam a identificação biométrica do agente de registro durante a identificação biométrica do requerente do certificado e que exija a identificação biométrica do responsável pela execução de todas as etapas do processo de validação e verificação do certificado digital.
Art. 7º Incluir o item 4.1.6. no DOC-ICP-03.01, versão 2.1, com a seguinte redação:
4.1.6. As estações de trabalho da AR, incluindo equipamentos portáteis utilizados na instalação técnica secundária para executar os procedimentos de validação, podem ser utilizados para atendimento de validação externa, não podendo ser utilizados em outras atividades fora do endereço autorizado pelo ITI, desde que atendidos os demais requisitos constantes nas normas da ICP-Brasil.
Art. 8º Incluir a alínea “h” no item 4.2.1 do DOC-ICP-03.01, versão 2.1, com a seguinte redação:
h) registrar as coordenadas de georreferenciamento associada à data e hora do momento da autenticação biométrica do agente de registro e do momento da coleta biométrica do titular do certificado, para cada certificado a ser emitido.
NOTA: A tecnologia de georreferenciamento utilizada pelo aplicativo de AR deve garantir a posição do local onde as atividades de validação do certificado digital ocorrem, vedando a utilização de tecnologia cuja localização é obtida através de endereçamento IP (Internet Protocol) incluindo sistema de VPN (Virtual Private Network) ou tecnologias similares.
Art. 9º Incluir os itens 6.1.7.1 e 6.1.7.2 no DOC-ICP-03.01, versão 2.1, com a seguinte redação:
6.1.7.1. Somente poderão constar do Inventário de Ativos os equipamentos de propriedade ou de posse da AR.
6.1.7.2. A comprovação da posse ou propriedade dos equipamentos a que se refere o item anterior deverá ser feita sempre que assim requisitado pela AC Raiz, mediante a apresentação pela AR da respectiva nota fiscal, comodato, leasing, doação, contrato de locação de equipamentos ou documentação comprobatória equivalente.
Art. 10. O item 6.2.1 do DOC-ICP-03.01, versão 2.1, passa a vigorar com a seguinte redação:
6.2.1. Os documentos que compõem os dossiês dos titulares de certificados e da instalação técnica, da instalação técnica secundária e do posto provisório devem ser guardados, obrigatoriamente, no armário chaveado quando se tratar de documentos físicos ou em ambiente computacional protegido com senha, da AC ou da AR, quando se tratar de documentos eletrônicos, em todos os casos, com acesso permitido somente aos agentes de registro.
Art. 11. Incluir o item 8A no DOC-ICP-03.01, versão 2.1, com a seguinte redação:
8A – DAS VEDAÇÕES
8A.1. É vedada, por parte das AC e AR credenciadas junto à AC Raiz, a divulgação, anúncio ou qualquer outra forma de publicidade, de atividades, serviços ou produtos relacionados com o comércio de certificado digital da ICP-Brasil que não estejam normatizados e autorizados pela ICP-Brasil.
8A.2. É vedada qualquer outra forma de emissão de certificado, fora das hipóteses previstas na legislação e nas normas que regem a ICP-Brasil, qualquer que seja a denominação utilizada, aí incluídas, mas não limitadas às figuras denominadas ponto de atendimento, posto de validação, parceiro, canal, agente credenciado, franquia, agência autorizada ou por qualquer outra forma não expressamente prevista na legislação.
8A.3. É vedado delegar ou transferir a terceiros, não credenciados, atividades privativas das entidades credenciadas ou autorizadas pelo ITI, a qualquer título.
8A.4. No caso de descumprimento das normas de emissão de certificado, poderá o ITI determinar a revogação imediata do certificado digital emitido em desconformidade com as normas que regem a ICP-Brasil, inclusive quando emitidos em instalações técnicas ou por procedimento de validação externa, que não tenham atendido os requisitos estabelecidos na regulamentação, ressalvado o direito de terceiros de boa-fé.
8A.5. É proibido a divulgação por parte das AC e AR, em qualquer veículo de comunicação, suporte ou sítios de internet, endereços de locais de atendimento ao usuário que não estejam credenciados ou autorizados pelo ITI.
Art. 12. Os itens 3.2.1.1, 3.2.1.2, 3.2.1.4, 3.2.1.5 e 3.2.1.6 do DOC-ICP-03, versão 5.0, passam a vigorar com a seguinte redação:
3.2.1.1 Considera-se Instalação Técnica o ambiente físico de uma AR, cujo funcionamento foi autorizado pelo ITI, por tempo indeterminado, onde serão realizadas as atividades de validação e verificação da solicitação de certificados e Instalação Técnica Secundária o ambiente físico de uma AR vinculada à Instalação Técnica, cujo funcionamento foi devidamente autorizado pelo ITI, onde é realizada exclusivamente a atividade de coleta ou verificação biométrica e validação da solicitação de certificados.
3.2.1.2 A AR já credenciada na ICP-Brasil poderá abrir novos endereços de Instalações Técnicas desde que encaminhe à AC Raiz solicitação de funcionamento, em apenas uma cadeia de certificação, à sua escolha, acompanhada dos seguintes documentos:
a) formulário SOLICITAÇÃO DE FUNCIONAMENTO DE NOVOS ENDEREÇOS DE INSTALAÇÕES TÉCNICAS DE AR [6] devidamente preenchido e assinado pelos representantes legais da AR e da AC a que esteja operacionalmente vinculada;
b) indicação dos procedimentos que serão adotados quanto aos aspectos de segurança e operacionais;
c) nome e CPF das pessoas responsáveis por cada uma das novas instalações técnicas da AR;
d) nome e CPF dos agentes de registro que atuarão nas novas instalações técnicas da AR;
e) cópia do CNPJ ou, nos casos de entidades públicas, cópia de publicação do ato que autoriza a operação naquele endereço; e
f) identificação do local onde será guardada a documentação relativa aos certificados gerados em cada instalação técnica.
Nota: Define-se cadeia de certificação como a série ou caminho hierárquico de certificados assinados por sucessivas autoridades certificadoras.
3.2.1.4 A AR já credenciada na ICP-Brasil poderá abrir endereços de instalações técnicas secundárias desde que encaminhe à AC Raiz solicitação de funcionamento, em apenas uma cadeia de certificação, à sua escolha, acompanhada dos documentos e informações como segue:
a) formulário SOLICITAÇÃO DE FUNCIONAMENTO DE NOVOS ENDEREÇOS DE INSTALAÇÕES TÉCNICAS SECUNDÁRIO DE AR [6] devidamente preenchido e assinado pelos representantes legais da AR e da AC a que esteja operacionalmente vinculada;
b) cópia do CNPJ ou, nos casos de entidades públicas, cópia de publicação do ato que autoriza a operação naquele endereço;
c) nome e endereço da Instalação Técnica vinculada;
d) nome e CPF dos agentes de registro que atuarão na nova Instalação Técnica Secundária;
3.2.1.5 Estando a documentação regular, a AC Raiz autorizará, em até 30 (trinta) dias, o funcionamento das novas Instalações Técnicas ou Instalação Técnica Secundária mediante intimação da AC solicitante, que a partir desse momento disponibilizará os novos endereços de instalações técnicas na sua página web. A autorização na cadeia da AC solicitante implicará, automaticamente, em autorização nas demais cadeias nas quais a AR esteja credenciada, cabendo à AR solicitante informar as demais ACs às quais se encontre vinculada do deferimento da autorização pela AC Raiz.
3.2.1.6 A AC Raiz poderá, a qualquer tempo, verificar a conformidade dos procedimentos e atividades das novas instalações técnicas das ARs ou instalação técnica secundária com as práticas e regras estabelecidas pela ICP-Brasil. Quando constatada não conformidade em uma dessas instalações técnicas, a AC Raiz aplicará as sanções legais previstas no documento CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [7].
Art. 13. O item 3.2.2.1 do DOC-ICP-03, versão 5.0, passa a vigorar com a seguinte redação:
3.2.2.1 A extinção de uma instalação técnica de AR ou instalação técnica secundária poderá se dar por determinação da AC Raiz ou por iniciativa da AC ou da AR vinculada, devendo ser solicitada pelos responsáveis legais da AC imediatamente subsequente à AC Raiz, em apenas uma cadeia de certificação, à sua escolha. Após o devido processamento da informação pela AC Raiz e posterior comunicação à interessada, caberá à solicitante informar as demais Autoridades às quais também se encontre vinculada.
Art. 14. O item 3.1.1.2 do DOC-ICP-05, versão 4.2, passa a vigorar com a seguinte redação:
3.1.1.2 Excepcionalmente, o processo de validação poderá ser realizado fora do ambiente físico da AR, através de procedimento de validação externa, mediante o deslocamento do Agente de Registro da AR até o interessado na obtenção do certificado, observadas as hipóteses, a forma e as condições abaixo dispostas, vedada a criação de instalações físicas destinadas a tal fim, qualquer que seja a denominação utilizada, tais como, mas não limitada a, ponto de atendimento, posto de validação, parceiro, canal, agente credenciado ou agência autorizada.
3.1.1.2.1 As AR poderão adotar o procedimento de validação externa nas seguintes hipóteses:
I. Para pessoas com deficiência ou com mobilidade reduzida, conforme definido pela Lei nº 13.146, de 6 de julho de 2015, devidamente comprovado por documento hábil;
II. Para Pessoas Politicamente Expostas – PEP, conforme definido na Resolução nº 16, de 28 de março de 2007, do Conselho de Controle de Atividades Financeiras COAF/MF, devidamente comprovado por documento hábil;
III. Para pessoas que se encontrem cumprindo pena ou detidas em estabelecimento prisional;
IV. Para pessoas com incapacidade física momentânea ou por motivo de saúde, em qualquer caso devidamente justificado e comprovado por documento hábil, estejam impedidas ou impossibilitadas de se deslocar até a instalação física da AR;
V. Para atender contratos firmados com entidades públicas cujos os editais de licitação tenham sido publicados até a data de publicação desta Resolução;
VI. Outras pessoas não citadas anteriormente, mediante solicitação expressa de validação externa pelo titular do certificado, limitado a 15% (quinze por cento) do total de certificados emitidos pela AR no mês imediatamente anterior.
Nota 1: O disposto na alínea VI, aplica-se a partir do mês subsequente à entrada em operação da AR, vedada a validação externa com base no referido dispositivo, no mês do início de sua operação.
Nota 2: Considera-se como total de certificados emitidos pela AR no mês imediatamente anterior, para fins da alínea VI, o volume de certificados emitidos pela AR, informado na documentação encaminhada ao ITI na forma e no prazo previsto pela Instrução Normativa nº 14, de 28 de novembro de 2016.
Nota 3: Acaso a AR não tenha emitido certificados no mês anterior ou não tenham sido prestadas as informações na forma ou no prazo exigidos, ficará a AR impossibilitada de emitir novos certificados com fulcro na alínea VI, somente podendo voltar a emiti-los no mês imediatamente subsequente, desde que prestadas as informações de forma tempestiva.
Nota 4: Para o cálculo da quantidade limite disposto na alínea VI, em caso de resultado fracionário, admitir-se-á o arredondamento para a unidade superior.
3.1.1.2.2. A validação externa será realizada no domicílio do titular do certificado digital, nas hipóteses previstas nos incisos I, II e IV, do item 3.1.1.2.1, ou no local que este se encontre, na hipótese do inc. III, do mesmo item.
3.1.1.2.3. Para fins do item anterior, considera-se domicílio do titular do certificado digital, o seu domicílio civil, na forma do disposto no Código Civil, Lei nº 10.406, de 10 de janeiro de 2002.
3.1.1.2.4. O local no qual a validação externa será realizada deverá ser informado no Formulário de Validação Externa, a que se refere a alínea “d” do item 3.1.1.2.5.
3.1.1.2.5. A validação fora do ambiente físico da AR deve atender ainda as seguintes condições:
a) utilizar ambiente computacional auditável e devidamente registrado no inventário de hardware e softwares da AR;
b) adotar aplicativo de georreferenciamento que permita rastrear o computador móvel utilizado na validação externa, sendo que a localização do equipamento deve ficar disponível no sistema da AR em que o agente de registro deva estar cadastrado previamente;
c) adotar equipamentos de coleta e verificação biométrica do titular e do agente de registro, em atendimento aos padrões da ICP-Brasil;
d) preencher o Formulário de Validação Externa, adendo ADE-ICP-05.D, o qual deverá ser assinado pelo agente de registro e pelo titular do certificado, preferencialmente assinados digitalmente; e
e) em se tratando de dossiês físicos do titular de certificado, esses devem ser enviados para a Instalação Técnica em até 5 (cinco) dias úteis;
f) Utilização de equipamento específico, destinado exclusivamente para fins de validação externa, vedada a utilização, para tal fim, das estações de trabalho ou outros equipamentos empregados na instalação técnica.
Art. 15. A alínea “c” do item 5.2 do DOC-ICP-08, versão 4.2, passa a vigorar com a seguinte redação:
c) AR, respectivas PSS e Instalações Técnicas, no caso daquelas que possuam até 3 (três) instalações técnicas credenciadas, excetuando as Instalações Técnicas Secundárias.
Art. 16. O item 5.3 do DOC-ICP-08, versão 4.2, passa a vigorar com a seguinte redação:
5.3 Para os casos de AR que possua mais de três (3) endereços de Instalação Técnica, excetuando as Instalações Técnicas Secundárias, é facultado à AC subordinante, especificamente para essa AR, propor um cronograma anual de auditoria com cobertura parcial de suas Instalações Técnicas, desde que:
a) cada Instalação Técnica seja auditada pelo menos uma vez a cada dois (2) anos;
b) sejam auditados anualmente, no mínimo, 40% (quarenta por cento) de suas Instalações Técnicas; e
c) a AC apresente os critérios e justificativas aplicadas na seleção das Instalações Técnicas distribuídas pelo período de auditoria proposto.
Art. 17. Ficam aprovadas as novas versões dos Documentos: DOC-ICP-03 – CRITÉRIOS E PROCEDIMENTOS
PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL (versão 5.1), DOC-ICP-03.01 – CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL (versão 2.2), DOC-ICP-05 – REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL (versão 4.3) e DOC-ICP-08 – CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES DA ICP-BRASIL (versão 4.3).
§ 1º As demais cláusulas dos referidos documentos, nas suas versões imediatamente anteriores, em sua ordem originária, integram as presentes versões e mantêm-se válidas.
§ 2º Os documentos referidos no caput encontram-se disponibilizados, em sua totalidade, no sítio http://www.iti.gov.br.
Art. 18. As ACs e ARs já credenciadas ou em credenciamento têm o prazo de até 1º de fevereiro de 2018 para se adequarem às mudanças previstas nesta Resolução, sujeitando-se às sanções previstas nos normativos da ICP-Brasil no caso de descumprimento.
§1º Até o prazo definido no caput as ARs já credenciadas que desejam utilizar Instalação Técnica Secundária ficam autorizadas a iniciar suas operações nessas modalidades desde que declarem formalmente adequação de seus procedimentos a esta Resolução e enviem ao ITI, no caso de Instalação Técnica Secundária, a relação contendo as informações estabelecidas no item 3.2.1.4 do documento CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DE ENTIDADES INTEGRANTES DA ICP-BRASIL (DOC-ICP-03).
§2º As Instalações Técnicas Secundárias pertencentes a AR integrante da estrutura da Administração Pública Direta que emitem certificados exclusivamente para servidores ou empregados públicos e militares ficam desobrigadas de realizar a adequação dos dispositivos para utilização de aplicativo de georreferenciamento, citados nos arts. 6º, 8º e 14, desta Resolução.
Art. 19. Esta Resolução entra em vigor na data de sua publicação.
LUIZ CARLOS DE AZEVEDO
[button link=”http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=1&data=04/10/2017″ icon=”Select a Icon” side=”left” target=”” color=”ded795″ textcolor=”ffffff”]Acesse o DOU aqui![/button]