Últimas notícias

Fique informado
Em tempos de Assinaturas Eletrônicas Avançadas é muito bom saber o que é DPC – Declaração de Práticas de Certificação.

Em tempos de Assinaturas Eletrônicas Avançadas é muito bom saber o que é DPC – Declaração de Práticas de Certificação.

1 de junho de 2022

Spotlight

Nuvens Tempestuosas: Navegando pelo Panorama Complexo da Cibersegurança na Nuvem

Enquanto as organizações migram cada vez mais dados e serviços para a nuvem, a complexidade e a magnitude das ameaças cibernéticas também crescem.

15 de maio de 2024

Cancelamento de hipotecas – Assinatura avançada versus qualificada – Parte II

Essa segunda parte discute os padrões e requisitos para o processamento eletrônico de documentos no registro de imóveis no Brasil.

15 de maio de 2024

Cancelamento de hipotecas – Assinatura avançada versus qualificada – Parte I

Questão das assinaturas eletrônicas no Registro de Imóveis é incerta, mesclando aspectos tecnológicos e jurídicos.

14 de maio de 2024

Por que é tão complexo se proteger de ataques cibernéticos? Por Rodrigo Fragola

“A meta agora não é alcançar segurança absoluta, mas sim segurança relativa no mercado em que se atua.” Fragola

13 de maio de 2024

Edmar Araujo, o novo diretor-executivo da ANCD concede sua 1ª entrevista ao Crypto ID

Edmar Araujo diretor-executivo da Associação Nacional de Certificação Digital e fala com exclusividade ao Crypto ID.

13 de maio de 2024

Confira 7 dicas para a redução do uso de papel nas empresas

São sete dicas essenciais para ajudar as empresas a reduzirem o uso de papel e promoverem práticas mais sustentáveis.

9 de maio de 2024

Qual é a estrutura da PKI Brasileira – ICP-Brasil e como se credenciar a ela?

As informações que apresentamos ajudarão aos que estudam participar dessa atividade ou simplesmente querem entender como a Infraestrutura funciona e ainda não dominam o assunto.

10 de dezembro de 2019

A DPC descreve os processos relacionados ao ciclo de vida dos certificados digitais emitidos por cada Autoridade Certificadora que, obrigatoriamente, deve torná-la pública

Este artigo foi originalmente publicado em 14 de novembro de 2011, mas os conceitos estão válidos e nesse momento em que as assinaturas eletrônicas avançadas ganham legitimidade no Brasil para formalizar alguns atos e transações eletrônicas vale muito a pena conhecer um dos requisitos que os emissores dos certificados digitais x.509* precisam cumprir mundialmente. Isso é valido para assinaturas qualificadas e as avançadas que utilizam a tecnologia dos certificados digitais emitidos por hierarquias privadas. Vale agora conferirmos se, de fato, todos os emissores cumprem esses requisitos internacionais.

Quis custodiet ipsos custodes?” ** Quem há de vigiar os próprios vigilantes?

Regina Tupinambá - Fundadora do Portal CryptoID
Regina Tupinambá – Co-fundadora do Portal Crypto ID

A Declaração de Práticas de Certificação Digital – DPC é o principal documento no âmbito da certificação digital.

Confiar em uma Infraestrutura de Chaves Públicas ICP | PKI – Public key infrastructure – ou em um Autoridade Certificadora é similar ao que ocorre em transações convencionais, fora do meio eletrônico.

Por exemplo, na aquisição de um imóvel o comprador deve obter a documentação do imóvel e de seus proprietários, certidões atualizadas e conferir a validação dos órgãos públicos competentes emissores de cada documento.

Existe, aí, uma relação de confiança já estabelecida com esses órgãos e outras instituições acima deles que atestam suas credenciais. É uma cadeia de confiança que é estabelecida para credibilizar as informações fornecidas ao público.

Da mesma forma, existem cadeias de confiança nas infraestruturas de chaves públicas: Brasileira e internacionais. Os usuários podem escolher a Autoridade Certificadora à qual desejam confiar à emissão de seus certificados digitais com base nos documentos apresentados e por quem à atesta. Para a emissão dos certificados, as Autoridades Certificadoras possuem deveres e obrigações que são descritos na Declaração de Práticas de Certificação – DPC.

A DPC dever ser pública, para permitir que as pessoas possam saber como foi emitido o certificado digital

Entre as atividades de uma Autoridade Certificadora, a mais importante é verificar a identidade da pessoa ou da entidade antes da emissão do certificado digital. O certificado digital emitido deve conter informações confiáveis que permitam a verificação da identidade do seu titular.

Por estes motivos, quanto melhor definidos, abrangentes e detalhados forem os procedimentos adotados por uma Autoridade Certificadora maior sua confiabilidade.

No Brasil, o Comitê Gestor da ICP-Brasil é o órgão governamental que especifica os procedimentos que devem ser adotados pelas Autoridades Certificadoras. As Autoridades Certificadoras credenciadas são incorporadas à estrutura hierárquica da ICP-Brasil.

Para ser credenciada à ICP-Brasil, a Autoridade Certificadora precisa se submeter às resoluções do Comitê Gestor.  O cumprimento dos procedimentos é auditado e fiscalizado, envolvendo, por exemplo, exame de documentos, as instalações das Autoridades Certificadoras e respectivas Autoridades de Registro, dos sistemas envolvidos no serviço de certificação, bem como todos os seus funcionários envolvidos no ciclo de vida dos certificados digitais.

Vale o que está escrito

Todos os processos que estão descritos na DPC devem ser aplicados e cada Autoridade Certificadora tem a sua própria DPC. As Autoridades de Registro devem seguir os procedimentos das Autoridades Certificadoras as quais estão vinculadas. E como os processos são distintos é importante conhecer a DPC do certificado digital que será validado.

Por exemplo, existem na ICP-Brasil variações em relação aos processos de emissão de certificados digitais para pessoas jurídicas e para pessoas físicas. A DPC da Receita Federal do Brasil – AC RFB, exige que para emitir um certificado digital para pessoa física, o titular deve ter um CPF válido perante a Receita Federal, mas outras Autoridades Certificadoras exigem apenas que os documentos originais do titular sejam apresentados para a emissão do certificado digital pessoa física.

No caso, a AC RFB – Autoridade Certificadora da Receita Federal do Brasil, trata-se de uma AC Normativa, ou seja, ela tem suas normas, mas credencia outras Autoridades Certificadoras de primeiro e segundo níveis para a emissão dos certificados digitais de sua hierarquia.

A não concordância com as regras acarreta em aplicações de penalidades, que podem levar inclusive ao descredenciamento da Autoridade de Registro e/ou certificadora.

Já a regulamentação internacional para Políticas de Certificação (DPC e PC) é a RFC 3647. Este documento substitui RFC 2527.Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework.

A DPC é um documento que apresenta uma estrutura para ajudar os escritores de políticas de certificados ou declarações de práticas de certificação.

Em particular, o quadro fornece uma lista abrangente de tópicos que potencialmente (a critério do escritor) precisa ser coberta com uma política de certificado ou uma declaração de práticas de certificação.

Teoricamente toda Infraestrutura de chaves públicas (Public key infrastructure)  – Hierarquia de Certificação – possui uma Política de Certificação que serve para descrever as práticas e políticas correspondentes ao processo relacionado ao ciclo de vida dos certificados.

Dois links que devem ser consultados sobre informações sobre PKI Internacionais e especialmente sobre Políticas de Certificação Internacionais.

As melhores práticas de segurança nos negócios, entre estes, o processo operado por Autoridades Certificados são definidas pela WebTrust e pela ETSI equivalente (European Telecommunications Standards Institute que atua na Europa.

A Webtrust uma organização criada pela Canadian Institute of Chartered Accountants – CICA e American Institute of Certified Public Accountants – AICPA tem como objetivo fornecer aos consumidores finais a garantia de serviços confiáveis.

À partir dos critérios por ela definidos, existem empresas de auditoria que fazem esta verificação de conformidade como a SAS-70 que é um padrão de auditoria desenvolvido pela American Institute of Certified Public Accountants AICPA e amplamente reconhecido no mercado.

*Os certificados digitais X.509 são emitidos na cadeia de confiança de uma PKI – Public Key Infrastructure, em português ICP – Infraestrutura de Chaves Públicas seguem a recomendação internacional ITU-T X.509 que além de definir as estruturas para Infraestrutura de Chave Pública (PKI), definem a Infraestrutura de Gerenciamento de Privilégios (PMI). A ITU-T X.509, registra, de forma única, exclusiva e intransferível, a relação existente entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação.

**Quis custodiet ipsos custodes? Uma frase em latim do poeta romano Juvenal, traduzida como “Quem há de vigiar os próprios vigilantes?


Qual é a estrutura da PKI Brasileira – ICP-Brasil e como se credenciar a ela?

O que é DPC? Declaração de Práticas de Certificação

Entrevista exclusiva com a diretora de Auditoria, Fiscalização e Normalização do ITI, Ângela Maria de Oliveira


AUTENTICAÇÃO

Autenticação forte faz parte da estratégia de segurança da informação de todas as empresas que utilizam meios eletrônicos. No Crypto ID temos muitos artigos e matérias sobre o tema para complementar seu conhecimento. Leia sobre Autenticação nesse link!

Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil

O modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz – AC-Raiz, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos. Uma Infraestrutura de Chaves Públicas estabelece padrões técnicos e regulatórios que permitem a interoperabilidade dos certificados digitais para autenticação, assinatura e criptografia. Seguem padrões regulatórios e técnicos universais que compõem essa cadeia de confiança que pela solidez e rigoroso controle gera na utilização dos Certificados Digitais evidências matemáticas que garantem autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade para o não repúdio dos atos praticados no meio eletrônico e os ativos eletrônicos a eles relacionados.

O Certificado Digital

O certificado digital é conjunto de dados, gerados por uma Autoridade Certificadora – AC após a validação das credenciais do titular que é realizada por uma Autoridade de Registro – AR o que garante ao certificado o caráter personalíssimo. O titular do certificado digital pode ser pessoa física, pessoa jurídica e também pode ser emitido para equipamentos e para aplicações. Na ICP-Brasil estão definidos oito tipos de certificados para titulares, classificados da seguinte forma: A1, A2, A3, A4, S1, S2, S3 e S4 e um tipo de certificado para Autoridades Certificadoras. Na prática, funciona como uma identidade virtual e permite a identificação segura e indiscutível do autor em transações em meios eletrônicos.

O ITI

O Instituto Nacional de Tecnologia da Informação – ITI é uma autarquia federal, vinculada a Casa Civil da Presidência da República, que tem por missão manter e executar as políticas da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil. Ao ITI compete ainda ser a primeira autoridade da cadeia de certificação digital – AC Raiz. A Medida Provisória 2.200-2 de 24 de agosto de 2001 deu início à implantação do sistema nacional de certificação digital da ICP-Brasil. Isso significa que o Brasil possui uma infraestrutura pública, mantida e auditada por um órgão público, no caso, o ITI, que segue regras de funcionamento estabelecidas pelo Comitê Gestor da ICP-Brasil, cujos membros, representantes dos poderes públicos, sociedade civil organizada e pesquisa acadêmica, são nomeados pelo Presidente da República.

O que é Infraestrutura de Chaves Públicas – ICP?

A Infraestrutura de Chaves Públicas – ICP, é o conjunto de normas e requesitos técnicos. Os requisitos englobam a homologação de hardwares e softwares e envolvem, da mesma forma, o complexo conjunto de procedimentos relacionados ao ciclo de vida dos certificados digitais. No Brasil é denominada Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.

Qual é a estrutura da ICP-Brasil?

A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por uma Autoridade Certificadora Raiz (AC-Raiz), Autoridades Certificadoras (AC) e Autoridades de Registro (AR) e, ainda, por uma autoridade gestora de políticas, ou seja, o Comitê Gestor da ICP-Brasil. Existem ainda outros tipos de entidades como a Autoridade de Carimbo do Tempo, Entidade Emissora de Atributo, Prestador de Serviço de Suporte e Prestador de Serviços de Confiança.