Resoluções aprovadas na última reunião do Comitê Gestor da ICP-Brasil são publicadas no DOU
22 de novembro de 2017Foram publicadas no Diário Oficial da União – DOU de hoje, 22, as Resoluções nº 131 e 132 aprovadas na última reunião do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil, realizada no dia 10 de novembro.
Leia as resoluções na íntegra.
A Resolução nº 131 inclui itens no DOC-ICP-05, versão 4.3, no DOC-ICP-05.02, versão 1.5.
RESOLUÇÃO No – 131, DE 10 DE NOVEMBRO DE 2017 INCLUI ITENS NO DOC-ICP-05, VERSÃO 4.3, NO DOC-ICP-05.02, VERSÃO 1.5 E DÁ OUTRAS PROVIDÊNCIAS. O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA – CG ICP-BRASIL, no uso das atribuições que lhe confere o art.6º, § 1º, inciso III, do Regimento Interno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4º da Medida Provisória nº 2.200-2, de 24 de agosto de 2001, em reunião ordinária realizada em 10 de novembro de 2017, Considerando a intenção de estimular a massificação do acesso e uso do certificado digital ICP-Brasil, e Considerando a intenção de viabilizar aos cidadãos devidamente cadastrados um meio mais célere de obter o certificado digital, resolveu:
Art. 1º O DOC-ICP-05, versão 4.3, passa a vigorar acrescido do seguinte item: 3.1.1.10 As disposições para validação de solicitação de certificados digitais para titulares pessoa física de conta de depósitos em Bancos Múltiplos e Caixa Econômica Federal autorizados a funcionar pelo Banco Central do Brasil (BACEN) estão contidas no DOC-ICP-05.02.
Art. 2º O item 3.1.9, do DOC-ICP-05, versão 4.3, passa a vigorar acrescido da seguinte Nota: Nota 9: É facultado aos Bancos Múltiplos e Caixa Econômica Federal autorizados a funcionar pelo BACEN, na identificação de titulares pessoa física de conta de depósito, utilizar o procedimento disposto no item 3.1.1.10.
Art. 3º O DOC-ICP-05.02, versão 1.5, passa a vigorar acrescido dos seguintes itens e Nota:
2.2.7 A solicitação de certificados digitais para titulares pessoa física de conta de depósitos em Bancos Múltiplos e Caixa Econômica Federal autorizados a funcionar pelo Banco Central do Brasil, deverá seguir o procedimento abaixo descrito: a) ser dirigida, no formato eletrônico ou físico, aos Bancos Múltiplos ou Caixa Econômica Federal credenciada como AR da ICP-Brasil, ou ainda, aos Bancos Múltiplos ou Caixa Econômica Federal não credenciada que encaminhará à AR da ICP-Brasil contratada para esta finalidade; b) ser providenciada a verificação, por agente de registro, dos dados do titular pessoa física de conta depósito solicitante do certificado digital; c) ser providenciada a validação perante agente de registro da solicitação do certificado por meio de processo de identificação inequívoca e presencial do titular pessoa física de conta depósito de Bancos Múltiplos ou Caixa Econômica Federal, com coleta ou verificação biométrica via PSBIO credenciado. O agente de registro que executa a validação deve ser, obrigatoriamente, distinto do agente de registro que executa a verificação.
2.2.7.1 Para os Bancos Múltiplos e Caixa Econômica Federal solicitarem a emissão de certificado digital para titular pessoa física de conta depósito deverá: I – coletar as informações cadastrais do titular pessoa física de conta depósito de Bancos Múltiplos ou Caixa Econômica Federal exigidas pelo Conselho Monetário Nacional (CMN) e Banco Central do Brasil (BACEN), conforme normativos que regulamentem o processo de identificação e cadastro de Clientes pessoa física para abertura de conta de depósitos, bem como adotar procedimentos contínuos de atualização e adequação das informações coletadas; II – armazenar em local seguro a ficha-proposta utilizada para a coleta das informações do titular pessoa física de conta depósito, bem como as cópias da respectiva documentação ou registros eletrônicos de conferência, sendo permitida sua microfilmagem ou digitalização, nos termos da regulamentação do BACEN e/ou CMN que estiver em vigor; III – coletar a biometria facial e impressão digital do titular pessoa física de conta depósito de Bancos Múltiplos ou Caixa Econômica Federal, utilizando padrão adotado pelo PSBIO da ICP-Brasil; IV – remeter cópia digital dos dados do titular pessoa física de conta depósito de Bancos Múltiplos ou Caixa Econômica Federal à AR de forma segura, quando essa instituição financeira não for credenciada como AR da ICP-Brasil. 2.2.7.2 A AR de Bancos Múltiplos ou Caixa Econômica Federal credenciada na ICP-Brasil deverá ter um módulo eletrônico de AR.
2.2.7.2.1 A AR, representada pelo módulo eletrônico , deverá: a) ser um sistema vinculado a uma AC credenciada pela ICP-Brasil, de acordo com este normativo; b) possuir, de forma segura, registros de trilhas de auditoria armazenado conforme definido do DOC-ICP-05; c) comunicar diretamente utilizando protocolos de comunicação seguro com os sistemas determinados formalmente pelosBancos Múltiplos e Caixa Econômica Federal, pela AR (quando aplicável), pela AC e pelo Prestador de Serviço Biométrico (PSBIO); d) ser auditada pelo ITI em procedimento pré-operacional; e) possuir as listas atualizadas com os nomes e CPF dos funcionários autorizados como agentes de registro a verificar as informações de solicitações de certificados por titulares de contas de depósito. NOTA 16: As AR descritas no item 2.2.7.2 ficam dispensadas dos requisitos dispostos no item 2 “Segurança de Pessoal” e item 4.2 “Aplicativo de AR” do DOC-ICP-03.01, para aqueles requisitos equivalentes aos previstos nas normas do Banco Central do Brasil.
Art. 4º O item 2.2.1 do DOC-ICP-05.02, versão 1.5, passa a vigorar com a seguinte redação:
2.2.1. Documentos para efeitos de identificação de um indivíduo Deverá ser apresentada a documentação a seguir, em sua versão original, e coletada as seguintes biometrias para fins de identificação de um indivíduo solicitante de certificado. a) Cédula de Identidade ou Passaporte, se brasileiro; b) Carteira Nacional de Estrangeiro – CNE, se estrangeiro domiciliado no Brasil; c) Passaporte, se estrangeiro não domiciliado no Brasil; d) Comprovante de residência ou domicílio, emitido há no máximo 3 (três) meses da data da validação presencial; e) Mais um documento oficial com fotografia, no caso de certificados de tipos A4 e S4; f) Fotografia da face do requerente de um certificado digital ICP-Brasil, conforme disposto no DOC-ICP-05.03 [10]; g) Impressões digitais do requerente de um certificado digital ICP-Brasil, conforme disposto no DOC-ICP-05.03 [10].”
2.2.1.1 Caso o interessado, pessoa física, já tenha dossiê identificado pela AR, não será necessário nova apresentação dos documentos, exceto quando houver alteração de dados ou a necessidade de complementar a documentação.
Art. 5º A Nota 6 do item 2.2.3 do DOC-ICP-05.02, versão 1.5, passa a vigorar com a seguinte redação: NOTA 6: A AR deve proceder a verificação por meio de consulta à base de dados dos órgãos emissores da Carteira Nacional de Habilitação – CNH quando for utilizada a CNH como documento de identificação, mesmo que sua data de validade esteja expirada, hipótese em que haverá restrição de informações para validação.
Art. 6º Ficam aprovadas as novas versões dos Documentos: I – DOC-ICP-05 – REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL (versão 4.4); II – DOC-ICP-05.02 – PROCEDIMENTOS PARA IDENTIFICAÇÃO DO REQUERENTE E COMUNICAÇÃO DE IRREGULARIDADES NO PROCESSO DE EMISSÃO DE UM CERTIFICADO DIGITAL ICP-BRASIL (versão 1.6); § 1º As demais cláusulas dos referidos documentos, nas suas versões imediatamente anteriores, em sua ordem originária, integram as presentes versões e mantêm-se válidas. § 2º Os documentos referidos no caput encontram-se disponibilizados, em sua totalidade, no sítio http://www.iti.gov.br.
Art. 7º As Autoridades Certificadoras que não forem emitir certificados digitais conforme esta resolução não necessitam alterar as respectivas Declarações de Práticas de Certificação (DPC). Art. 8º Esta Resolução entra em vigor na data de sua publicação. LUIZ CARLOS DE AZEVEDO
Já a Resolução nº 132 cria o DOC-ICP-17, que institui o Prestador de Serviço de Confiança – PSC para armazenamento de chaves privadas de usuários finais e serviços de assinatura digital no âmbito da ICP-Brasil.
RESOLUÇÃO No – 132, DE 10 DE NOVEMBRO DE 2017 CRIA O DOC-ICP-17 QUE INSTITUI O PRESTADOR DE SERVIÇO DE CONFIANÇA PARA ARMAZENAMENTO DE CHAVES PRIVADAS DE USUÁRIOS FINAIS E SERVIÇOS DE ASSINATURA DIGITAL NO ÂMBITO DA ICP-BRASIL E DÁ OUTRAS PROVIDÊNCIAS. O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, §1º, inc. III, do Regimento Interno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4°, da Medida Provisória n° 2.200-2, de 24 de agosto de 2001, em reunião ordinária realizada em 10 de novembro de 2017, Considerando a necessidade de instaurar procedimentos operacionais para armazenamento de chaves privadas dos usuários finais em hardwares criptográficos com acesso remoto, Considerando facilitar o uso por parte do usuário e padronizar as assinaturas digitais e as respectivas verificações, e Considerando a necessidade de instaurar a declaração de práticas dos prestadores de serviço de confiança de armazenamento de chaves criptográficas e de assinatura digital no âmbito da ICPBrasil, resolveu:
Art. 1º O item 1, do DOC-ICP-03, versão 5,1, passa a vigorar com a seguinte redação: Este documento estabelece os critérios e procedimentos a serem observados para o credenciamento, manutenção do credenciamento e descredenciamento de Autoridades Certificadoras (ACs), de Autoridades de Registro (ARs), de Autoridades de Carimbo do Tempo (ACTs), de Prestadores de Serviço de Suporte (PSSs), de Prestadores de Serviço Biométrico (PSBios) e de Prestadores de Serviço de Confiança (PSC) de Assinatura Digital e Armazenamento de Chaves Criptográficas no âmbito da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.
Art. 2º As alíneas “c” e “d”, do item 2.1, do DOC-ICP-03, versão 5.1, passam a vigorar com a seguinte redação: c) atender aos requisitos relativos à qualificação econômicofinanceira estabelecidos, conforme a atividade a ser desenvolvida, nos anexos I, II, III, IV, V e VI; e d) atender às diretrizes e normas técnicas da ICP-Brasil relativas à qualificação técnica ou contratual, constantes dos documentos relacionados nos Anexos I, II, IV, V e VI, aplicáveis aos serviços a serem prestados.
Art. 3º O DOC-ICP-03, versão 5.1, passa a vigorar acrescido do seguinte item e Notas: 2.1.6. Critérios para credenciamento de PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas. Os PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas deverão ser entidades opcionais com capacidade técnica para realizar (i) o armazenamento de chaves privadas para usuários finais no âmbito da ICP-Brasil ou (ii) fornecer serviços de assinatura digital, verificação da assinatura digital ou (iii) ambos, conforme regulamento operacional específico.
NOTA 1: Caberá à AC Raiz, por meio de Instrução Normativa, determinar os procedimentos técnicos para operação desses PSC de Assinatura Digital e Armazenamento de Chaves Criptográ- ficas (DOC-ICP-17.01). Os candidatos ao credenciamento como PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas devem ainda: a) ter sede administrativa localizada no território nacional; e b) ter instalações operacionais e recursos de segurança física e lógica compatíveis com a atividade de armazenamento de chaves privadas para usuários finais ou realizar serviços de assinatura digital e verificação da assinatura digital ou ambos, localizadas em território nacional.
NOTA 2: As entidades credenciadas no âmbito da ICP-Brasil poderão prover o serviço designado aos PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas, observados o disposto no normativo de credenciamento, técnico e operacional. NOTA 3: As soluções corporativas de armazenamento de chaves privadas dos funcionários em HSM de propriedade da instituição, em conhecimento e concordância do titular do certificado com a DPC da AC, que atendam as aplicações demandadas das organizações, com acesso exclusivo por meio da rede interna, não se enquadram na definição de PSC de Armazenamento de Chaves Criptográficas .
Art. 4º O DOC-ICP-03, versão 5.1, passa a vigorar acrescido dos seguintes itens:
2.2.7. Procedimentos para credenciamento de PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas 2.2.7.1. Solicitação
2.2.7.1.1. As solicitações dos candidatos ao credenciamento como PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas na ICP-Brasil serão encaminhadas à AC Raiz, mediante a apresentação dos documentos a seguir relacionados: a) Formulário SOLICITAÇÃO DE CREDENCIAMENTO DE PRESTADOR DE SERVIÇO DE CONFIANÇA DE ARMAZENAMENTO E ASSINATURA, ADE-ICP-03.I [18], devidamente preenchido e assinado pelos representantes legais do candidato; b) Documentos relacionados no Anexo VI; c) Identificação do(s) local(is) onde o candidato(s) realizará(ão) as suas operações e manterá(ão) seus equipamentos, documentação e materiais utilizados; d) Identificação do serviço de diretório ou página web onde se obtêm o arquivo com a publicação da Política de Segurança – PS.
2.2.7.1.2. A solicitação de credenciamento será protocolada perante o Protocolo Geral do ITI e recebida, em até 30 (trinta) dias, por intermédio de despacho fundamentado. 2.2.7.1.3. Caso a solicitação de credenciamento não contenha todos os documentos relacionados no Anexo VI, o ITI determinará a intimação do candidato para que, sob pena de arquivamento do processo, supra as irregularidades no prazo máximo de 30 (trinta) dias, a contar do recebimento de ofício enviado pelo ITI com comprovação de recebimento pelo destinatário.
2.2.7.2. Auditoria Pré-Operacional
2.2.7.2.1 Após a publicação do despacho de recebimento, o candidato deverá remeter à AC Raiz, no prazo máximo de 30 (trinta) dias, o formulário de REQUERIMENTO DE AUDITORIA ADE-ICP- 03.D [4], devidamente preenchido, declarando estar em conformidade com todos os requisitos exigidos pelas resoluções do Comitê Gestor da ICP-Brasil relacionados à atividade de PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas e pronto para ser auditado no prazo de 15 (quinze) dias a contar daquele momento
Acordo de Cooperação
Também foi publicado no DOU de hoje, 22, despacho do Coordenador do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil dando publicidade à aprovação que o colegiado deu à proposta de Acordo de Cooperação Técnica a celebrar-se entre o ITI, a Unidade de Certificação Digital do Uruguai e a Agência para o Desenvolvimento da Governança Digital, Sociedade da Informação e do Conhecimento da República Oriental do Uruguai – Agesic na área de Infraestrutura de Chaves Públicas e assinaturas digitais.
Fonte: ITI e DOU
Acompanhe as notícias sobre o Comitê Gestor da ICP-Brasil na página especial do Crypto ID. Acesse aqui!