Márcio Nunes, foi reconduzido ao Comitê Gestor da ICP-Brasil
11 de agosto de 2022O presidente do Conselho de Administração da Associação Nacional de Certificação Digital – ANCD, Márcio Nunes, foi reconduzido à função de membro suplente do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil.
O Decreto de recondução foi publicado nesta quinta-feira, 11, no Diário Oficial da União – DOU.
Em seu terceiro mandato, o primeiro teve início em 2018, Nunes segue como representante da sociedade civil no CG ICP-Brasil até junho de 2024, garantindo a participação da ANCD no principal fórum decisório do setor de certificação digital e nos debates para formulação de importantes políticas públicas para a digitalização segura do país.
A ANCD conta ainda com a participação de seu diretor-executivo, Egon Schaden Júnior, como membro titular do CG ICP-Brasil, com mandato até agosto de 2023.
“É uma grande satisfação e responsabilidade permanecer representando a ANCD no Comitê Gestor da ICP-Brasil.
A nomeação mantém a entidade e suas associadas colaborando para otimização, por meio de políticas públicas, do uso do certificado ICP-Brasil. Agradeço a confiança e aproveito para parabenizar todos os nomeados da sociedade civil”, destacou Nunes.
Além de Nunes, foram nomeados mais três representantes da sociedade civil no mesmo Decreto, são eles: Sérgio Paulo Gomes Gallindo, Giselle Dias Rodrigues Oliveira de Barros e Eduardo Calais Pereira.
TERMO DE REFERÊNCIA CG ICP-BRASIL COMITÊ GESTOR DA ICP-BRASIL
O que é o Comitê Gestor da ICP-Brasil?
O Comitê Gestor da ICP-Brasil (CG ICP-Brasil) é a entidade máxima, integrante da arquitetura da Infraestrutura de Chave Pública Brasileira – ICP-Brasil, responsável pelo estabelecimento e administração das políticas a serem seguidas pelas Autoridades Certificadoras – AC integrantes desta estrutura.
O CG ICP-Brasil é um órgão colegiado integrado por representantes do governo e do setor privado, conforme descrito na Medida Provisória 2200, de 28 de junho de 2001.
A ICP-Brasil é um conjunto de técnicas, práticas e procedimentos com o objetivo de fornecer suporte à implementação e à operação de um sistema de certificação digital baseado em criptografia de chave pública.
O Termo de Referência do CG ICP-Brasil surgiu da necessidade de definição de um arcabouço de normatização institucional que detalhasse as suas funções, atribuições, competências e organização funcional.
2. Princípios da ICP-Brasil
A ICP-Brasil deve satisfazer a um determinado conjunto de princípios básicos de forma a garantir a sua eficácia. 2.1 Princípio da Responsabilização
A responsabilidade e a responsabilização dos proprietários, prestadores de serviço e usuários de sistemas de informação e outras partes envolvidas com a segurança dos sistemas de informação devem ser explicitas e documentadas.
2.2 Princípio do Conhecimento
A fim de fomentar a confiança nos sistemas de informação que formarão a ICP-Brasil, os proprietários, prestadores de serviço e usuários dos sistemas de informação e outras partes envolvidas, devem prontamente, e de maneira consistente com a manutenção da segurança, adquirir conhecimentos apropriados da existência e da abrangência geral das medidas, práticas e procedimentos relacionados à segurança dos sistemas de informação, mantendo-se informados sobre esse conjunto normativo.
2.3 Princípio da Ética
Os sistemas de informação que integrarão a ICP-Brasil e os seus mecanismos de segurança deverão ser fornecidos e utilizados de maneira tal que os direitos e interesses legítimos de outrem sejam respeitados.
2.4 Princípio da Multidisciplinaridade
As normas, práticas e procedimentos relacionados com a segurança dos sistemas de informação integrantes da ICP-Brasil deverão considerar os pontos de vista relevantes, inclusive os técnicos, administrativos, organizacionais, operacionais, comerciais, educacionais e jurídicos, tratando cada um destes de forma adequada.
2.5 Princípio da Proporcionalidade
A ICP-Brasil deverá contemplar níveis de segurança, normas, práticas e procedimentos compatíveis com a criticidade, a importância e o valor dos sistemas de informação que a utilizem, considerando-se os ambientes específicos envolvidos.
2.6 Princípio da Integração
As normas, práticas e procedimentos relacionados à segurança dos sistemas de informação deverão ser coordenados e integrados de modo a se criar um conjunto harmônico e coerente de segurança da informação para o governo e sociedade civil.
2.7 Princípio da Atualização
A segurança dos sistemas de informação integrantes da ICP-Brasil deverá ser reavaliada periodicamente, na medida em que os sistemas de informação e as exigências ligadas à sua segurança variam em relação ao tempo e momento tecnológico considerado.
2.8 Princípio da Escalabilidade
A perspectiva de crescimento que abrange tanto o número de aplicações quanto à quantidade de usuários.
2.9 Princípio da Interoperabilidade
Os sistemas que compõem a ICP-Brasil preferencialmente devem obedecer ao paradigma de sistemas abertos de modo a se reduzir ao máximo as incertezas relacionadas com a integração de outros sistemas à infra-estrutura existente.
3. Requisitos para implementação da ICP-Brasil
A base material e técnica da ICP-Brasil será formada por um conjunto de hardware, software, políticas e procedimentos, que dará forma à sua arquitetura. Essa base será formada de um conjunto de políticas de segurança, políticas de certificados, práticas e regras operacionais, autoridade(s) certificadora(s), 4 autoridade(s) registradora(s), um sistema de distribuição de certificados e ainda um conjunto de aplicações adequadas e em conformidade com o uso dos recursos da ICP-Brasil.
3.1 A política de segurança
Estabelece as regras e diretrizes de segurança que deverão ser adotadas pelas diversas entidades que farão parte da ICP-Brasil.
É composta por fundamentos que darão origem a procedimentos de segurança que definirão a forma como as entidades tratarão a informação, considerando as particularidades de cada ambiente. Incluirá ainda padrões que definirão como as entidades tratarão as chaves e informações sob sua guarda. Este conjunto definirá os controles necessários à segurança da informação.
A política de segurança trata ainda da contingência e da auditoria dos diversos processos e atos administrativos da ICPBrasil.
O desenvolvimento da política de segurança da ICP-Brasil deve considerar:
I. A legislação vigente;
II. As normas, os métodos e os códigos de práticas de abrangência mundial;
III. A promoção do conhecimento e experiência especializada e de melhores práticas em assuntos relacionados com a segurança da informação;
IV. A formação e o controle de validade de contratos e outros documentos firmados, mantidos e implementados nos sistemas de informação;
V. A análise de riscos e a definição de responsabilidade por falhas na segurança dos sistemas de informação da ICP-Brasil;
VI. As sanções penais, administrativas e outras relacionadas ao uso indevido dos sistemas de informação da ICP-Brasil;
VII. Os meios de obtenção de provas e trilhas de auditoria em sistemas de informação integrantes da ICP-Brasil;
VIII. A capacitação de especialistas e auditores na segurança dos sistemas de informação integrantes da ICP-Brasil.
3.2 As declarações de regras operacionais (DRO)
São documentos com níveis de detalhamento específicos, que conterão os procedimentos operacionais relacionados às políticas de segurança adotadas e políticas de certificados, e ainda como estas serão suportadas nos diversos ambientes operacionais. Incluirão definições sobre como as autoridades certificadoras serão implantadas e operadas, como os certificados serão emitidos, aceitos e revogados, como as chaves serão geradas, registradas, certificadas e mantidas.
3.3 A autoridade certificadora raiz (AC Raiz)
A AC Raiz, executora das políticas estabelecidas pelo CG ICP-Brasil, compete realizar o licenciamento das AC, emitir, manter e cancelar os certificados das AC, gerenciar a LCR e excutar atividades de fiscalização e auditoria em conformidade com as diretrizes estabelecidas pelo CG ICP-Brasil.
3.4 A autoridade certificadora (AC)
Funcionará como base material e técnica da confiança da ICP-Brasil, já que esta irá gerenciar os certificados de chave pública em todo o seu ciclo de vida. Considerando que um certificado digital é capaz de relacionar a identidade de um usuário ou sistema a uma determinada chave pública correlacionada a uma assinatura digital, a autoridade certificadora será responsável pela emissão de certificado digital, pelo agendamento da data de expiração do certificado e pela publicação dos certificados revogados na Lista de Certificados Revogados (LCR).
3.5 A autoridade registradora (AR)
A AR implementará a interface entre o usuário e a autoridade certificadora. A sua principal função será a identificação dos usuários, validação da solicitação e a submissão da solicitação de certificado à autoridade certificadora.
3.6 O sistema de distribuição de certificados
O sistema de distribuição de certificados será dependente do tipo de certificado a ser emitido, estabelecido pela política de certificados da respectiva AC, podendo ser estabelecido um mecanismo on-line de distribuição (página Web, serviço de correio eletrônico ou serviço de diretório), ou mídia entregue pela AR
Fonte: Com informações da ANCD e do ITI – Instituto Nacional de Tecnologia da Informação – ITI
Comitê Gestor delibera três pautas e apresenta andamento do GTT-LGPD
Comitê Gestor realiza primeira reunião de 2022
ANCD participa de Comitê Gestor da ICP-Brasil
Comitê Gestor da ICP-Brasil aprova atualizações em normativos
Sobre ANCD
Fundada em setembro de 2014, a Associação Nacional de Certificação Digital – ANCD é uma associação sem fins lucrativos, cujo objetivo é a defesa dos interesses do setor da Certificação Digital no padrão da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). Tecnologia implantada no Brasil há quase vinte anos.
A Associação Nacional de Certificação Digital – ANCD reúne as maiores empresas e entidades que atuam no mercado de certificação digital no padrão ICP-Brasil. A associação busca representar a indústria da certificação digital nos mais diversos espaços de debate, garantindo que a ICP-Brasil permaneça sendo uma tecnologia aliada da digitalização segura do país e fomentando novos modelos de negócio para o setor.
O modelo adotado pelo Brasil foi o de certificação com raiz única, sendo que o ITI, além de desempenhar o papel de Autoridade Certificadora Raiz – AC-Raiz, também tem o papel de credenciar e descredenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos. Uma Infraestrutura de Chaves Públicas estabelece padrões técnicos e regulatórios que permitem a interoperabilidade dos certificados digitais para autenticação, assinatura e criptografia. Seguem padrões regulatórios e técnicos universais que compõem essa cadeia de confiança que pela solidez e rigoroso controle gera na utilização dos Certificados Digitais evidências matemáticas que garantem autoria, integridade, autenticidade, qualificação, confidencialidade e temporalidade para o não repúdio dos atos praticados no meio eletrônico e os ativos eletrônicos a eles relacionados.
O certificado digital é conjunto de dados, gerados por uma Autoridade Certificadora – AC após a validação das credenciais do titular que é realizada por uma Autoridade de Registro – AR o que garante ao certificado o caráter personalíssimo. O titular do certificado digital pode ser pessoa física, pessoa jurídica e também pode ser emitido para equipamentos e para aplicações. Na ICP-Brasil estão definidos oito tipos de certificados para titulares, classificados da seguinte forma: A1, A2, A3, A4, S1, S2, S3 e S4 e um tipo de certificado para Autoridades Certificadoras. Na prática, funciona como uma identidade virtual e permite a identificação segura e indiscutível do autor em transações em meios eletrônicos.
O Instituto Nacional de Tecnologia da Informação – ITI é uma autarquia federal, vinculada a Casa Civil da Presidência da República, que tem por missão manter e executar as políticas da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil. Ao ITI compete ainda ser a primeira autoridade da cadeia de certificação digital – AC Raiz. A Medida Provisória 2.200-2 de 24 de agosto de 2001 deu início à implantação do sistema nacional de certificação digital da ICP-Brasil. Isso significa que o Brasil possui uma infraestrutura pública, mantida e auditada por um órgão público, no caso, o ITI, que segue regras de funcionamento estabelecidas pelo Comitê Gestor da ICP-Brasil, cujos membros, representantes dos poderes públicos, sociedade civil organizada e pesquisa acadêmica, são nomeados pelo Presidente da República.
A Infraestrutura de Chaves Públicas – ICP, é o conjunto de normas e requesitos técnicos. Os requisitos englobam a homologação de hardwares e softwares e envolvem, da mesma forma, o complexo conjunto de procedimentos relacionados ao ciclo de vida dos certificados digitais. No Brasil é denominada Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.
A ICP-Brasil é composta por uma cadeia de autoridades certificadoras, formada por uma Autoridade Certificadora Raiz (AC-Raiz), Autoridades Certificadoras (AC) e Autoridades de Registro (AR) e, ainda, por uma autoridade gestora de políticas, ou seja, o Comitê Gestor da ICP-Brasil. Existem ainda outros tipos de entidades como a Autoridade de Carimbo do Tempo, Entidade Emissora de Atributo, Prestador de Serviço de Suporte e Prestador de Serviços de Confiança.