O Instituto Nacional de Tecnologia da Informação (ITI) prorrogou por mais duas semanas a Consulta Pública 01/2024 – Modernização da Infraestrutura de Chaves Públicas (ICP-Brasil), que está aberta para sugestões da sociedade.
Esta consulta pública nasceu de um amplo diálogo entre os entes que interagem com a ICP-Brasil, como órgãos de governo, autoridades de certificação e associações do mercado de certificação digital e identificação.
A decisão pela ampliação do prazo atende às solicitações de inúmeras entidades do setor e, com a prorrogação, as contribuições da sociedade civil poderão ser enviadas até o dia 26 de fevereiro através do formulário.
Saiba mais
A ação institui o certificado do tipo Selo Eletrônico, em substituição ao certificado de pessoa jurídica, com o propósito de garantir autenticidade e origem de documentos, mantendo os certificados com propósito de assinatura exclusivamente para pessoa física; institui os certificados de Aplicações Especiais em software e em hardware, bem como o tipo de certificado SSL/TLS Webtrust; e, ainda, extingue os certificados de Sigilo (S1 a S4) e o certificado A1.
Com a presente consulta pública, o ITI busca promover a ampla divulgação da proposta normativa, bem como possibilitar a manifestação de órgãos e entidades representativas, pessoas físicas e pessoas jurídicas interessadas no tema.
Contextualização da Proposta
Após a realização de diversas reuniões, no final do ano de 2023, para apresentação e debate acerca de temas para modernização da ICP-Brasil, o ITI lança esta consulta pública como ferramenta para contribuição ampla a respeito das ideias aqui apresentadas.
Com o objetivo de padronizar os processos de identificação eletrônica de pessoas físicas e jurídicas, bem como estabelecer normas aplicáveis aos serviços de confiança, a União Europeia estabeleceu o Regulamento (UE) N⁰ 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, também conhecido como eIDAS (Electronic Identification and Trust Services).
Essa regulamentação apresenta conceitos, regras de interoperabilidade e requisitos de segurança para serviços de confiança, notadamente, certificados digitais de assinatura e selo eletrônico. Como se observa, o regulamento tem similaridades com as práticas estabelecidas na ICP-Brasil, já tendo inclusive servido de base para o aperfeiçoamento normativo da própria ICP-Brasil, como foi o caso da implementação da Lista de Prestadores de Serviços de Confiança (LPSC), que tomou como base as Listas de Confiança implementadas seguindo os requisitos do eIDAS na União Europeia.
Entre as implementações propostas no eIDAS e ainda não implementadas da ICP-Brasil está a utilização dos selos eletrônicos, os quais devem garantir a origem e a integridade de um documento eletrônico, servindo de prova da emissão do documento por uma determinada pessoa jurídica.
Selo eletrônico é semelhante ao certificado de assinatura eletrônica, com a diferença de ser utilizado apenas por pessoas jurídicas e não ter um titular designado, sendo considerado análogo a um carimbo físico.
No esboço da discussão sobre a implementação do selo eletrônico, considerando a necessidade de alinhamento com a prática internacional e objetivando simplificar e deixar mais claro o perfil dos diferentes tipos de certificado, o debate passou a incluir novos tipos de certificados digitais no âmbito da ICP-Brasil, assim como a revisão dos tipos já estabelecidos.
Nesse contexto, insere-se a proposta de alteração normativa que visa a extinção de certificado de assinatura de pessoa jurídica, uma vez que se entende que um ente pessoa jurídica sempre será representado, conforme os poderes estabelecidos, por uma ou mais pessoas físicas. Além disso, a obrigatoriedade de haver um responsável pelo uso do certificado, pessoa física, associado dentro do certificado de PJ, induz poderes de representação a esse responsável que nem sempre condiz com o objetivo ou adequação de uso do certificado.
A AC Raiz da ICP-Brasil propõe, dessa maneira, a implementação do certificado digital de selo eletrônico em substituição ao certificado do tipo A1, com emissão exclusiva em hardware e para pessoa jurídica, mantendo o certificado de assinatura do tipo A3, que passa a ser de emissão apenas para pessoa física.
A proposta institui, também, o certificado digital do tipo SSL/TLS Webtrust, para atendimento exclusivo aos requisitos Webtrust; o certificado digital de aplicações especiais em software; e o certificado digital de aplicações especiais em hardware. Sendo os dois últimos destinados ao uso em equipamentos, servidores, aplicações e dispositivos IOT.
Somadas à proposta de simplificação e adequação normativa, as estatísticas de emissão de certificados dos últimos anos apresentam dados que colocam em evidência a necessidade de extinção do certificado do tipo A2, cuja última emissão ocorreu em 2016, dos certificados de sigilo (S1 a S4), que somam apenas 9 emissões desde 2020, e do A3 para pessoa jurídica, que não chegou a 4% do total de emissões neste ano de 2023.
Visando a simplificação dos perfis de certificados, vislumbra-se a desobrigação de alguns campos otherName e a extinção de outros, como, por exemplo, os correspondentes aos dados de pessoa física em certificado emitido para pessoa jurídica. Além disso, muitos campos otherName trazem qualificações dos titulares, não identificando esses. As ACs emissoras não possuem competência para gestão desses qualificadores.
A seguir são apresentadas:
Tabela com a proposta de tipos de certificado ICP-Brasil e os respectivos propósitos de uso
Tabela com a indicação das mídias armazenadoras de chaves criptográficas e prazos de validade dos certificados; e
Tabela com a estatística de emissão de certificados ICP-Brasil desde 2010
Fonte: Gov.BR | ITI
Consulta Pública – Modernização da ICP-Brasil
Modernização do sistema nacional de identificação digital (ICP-Brasil). Por Maurício Balassiano
Selo Eletrônico segundo a Legislação Europeia eIDAS
Como obter os Selos de Confiabilidade do Gov.br para pessoas físicas e jurídicas?
Sobre o ITI
O Instituto Nacional de Tecnologia da Informação – ITI é uma Autarquia Federal, criada por intermédio do Art. 12 da Medida Provisória n° 2.200-2, de 24 de agosto de 2001, vinculada ao Ministério da Gestão e da Inovação em Serviços Públicos, com a finalidade de ser a Autoridade Certificadora Raiz (AC Raiz) da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
Em 2020 tornou-se também responsável pelo provimento de Solução de Assinaturas Eletrônicas Avançadas para a Plataforma Gov.br, em conformidade à Lei nº 14.063, de 23 de setembro de 2020 e Decreto nº10.543, de 13 de novembro de 2020.
Em 2023 passou a ser o responsável, dentre outras atribuições, pela operacionalização dos processos de credenciamento, homologação, auditoria e fiscalização dos entes públicos e privados sobre sistemas biométricos, de personalização e de gráficas no âmbito da expedição da Carteira de Identidade Nacional (CIN), conforme Decreto nº 11.797, de 27 de novembro de 2023.
Publicado decreto com novas atribuições para o ITI
Leia a coluna exclusiva sobre a ICP-Brasil!
GOVERNO E TECNOLOGIA
Aqui no Crypto ID você acompanha as principais ações do Governo Brasileiro e de outros Países relacionadas a privacidade, proteção de dados, serviços eletrônicos, formas de autenticação e identificação digital e Cibersegurança.
Acesse agora e conheça nossa coluna GovTech!
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.