Últimas notícias

Fique informado
O Princípio de Tudo 2 – DPC

O Princípio de Tudo 2 – DPC

24 de março de 2016

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

O Princípio de Tudo – Criptografia

A criptografia tem se disseminado no mundo moderno como uma

17 de março de 2015

O que é DPC? Declaração de Práticas de Certificação

A DPC descreve os processos relacionados ao ciclo de vida dos certificados digitais emitidos por cada Autoridade Certificadora que, obrigatoriamente, deve torná-la pública

14 de novembro de 2011

Por Evandro Oliveira

Minha primeira publicação aqui no CryptoId tratava do “Princípio de Tudo – Criptografia”, mas com enfoque mostrando que a criptografia assimétrica era a origem das possibilidades e existência de uma PKI. Imaginada uma PKI, como é a ICP-Brasil, o “princípio de tudo” – Parte 2, é como se inicia a montagem da estrutura e como se constroem as normas para operação desta infraestrutura. Chamamos de Declaração de Práticas de Certificação. A definição que tomamos emprestado do glossário do ITI é:

“DPC é um documento, periodicamente revisado e republicado, que descreve as práticas e os procedimentos empregados por uma Autoridade Certificadora a execução de seus serviços.

É a declaração a respeito dos detalhes do sistema de credenciamento, as práticas, atividades e políticas que fundamentam a emissão de certificados e outros serviços relacionados.

É utilizada pelas Autoridades Certificadoras para garantir a emissão correta dos certificados e pelos solicitantes e partes confiantes para avaliara adequação dos padrões.”

Quando se realiza uma auditoria em uma candidata à ser uma AC da ICP-Brasil, ou nas auditorias de manutenção anuais, é a partir da DPC que tudo começa. Quais certificados a AC assinará, onde ela estará localizada, quem são seus trabalhadores habilitados a atuarem na entidade, como utilizaá hw e sw para a gestão completa do ciclo de vida de um certificado. Uma DPC deve prever todas as ações de uma AC. Embora muitas de suas cláusulas e itens sejam parecidos com de todas outras AC e até da própria AC Raiz, nenhuma DPC é igual a DPC de outra AC e detalhes, muitas vezes imperceptíveis, fazem enorme diferença entre uma AC e outra.

Evandro Oliveira | Colunista do CryptoID

Evandro Oliveira | Colunista do CryptoID

A montagem de uma DPC exige cuidado pois além de prever como irá funcionar uma AC, sua AR vinculada e prestadores de serviço de suporte, determina quais certificados digitais serão assinados e suas especificidades. Estas especificações únicas são descritas no documento denominado Política de Certificado (PC), um para cada certificado de tipo diferente. A partir da definição de uma PC é que os auditores verificam se todas as informações são reproduzidas fielmente para a mídia que abrigará o certificado digital. É o princípio de tudo, ao dominar a construção e as finalidades e aplicações de uma DPC e uma PC, uma empresa crescerá no conhecimento de como opera e funciona uma AC e sua hierarquia de forma obediente e que promova a uma cadeia de confiança sólida.

Uma DPC determina tudo que é necessário para uma AC funcionar de maneia plena, na ICP-Brasil é assim. Após estabelecido este normativo, parte-se para os detalhes técnicos e operativos, importantes mas que não funcionam sem estarem orientados pela DPC e PC. Tenho visto, ao longo destes anos atuando com TI, sempre que se deseja que uma pessoa adquira conhecimento sobre alguma coisa, mandar ler manuais e calhamaços de literatura técnica. Minha experiência determina que este procedimento é equivocado e com o normativo da ICP-Brasil não seria diferente.

A estrutura da ICP-Brasil tem um arcabouço de legislação imenso, DOC, ADE, Portaria, etc. Ler tudo não possibilita, de maneira racional, entender uma PKI ou as suas regras específicas. Para entender a ICP-Brasil, tem que ler, entender e relacionar as conexões, desde o princípio de tudo: A DPC.

Sobre Evandro Oliveira

Graduado em Administração, com atuação em áreas de RH, Marketing, Planejamento e Gestão Estratégica.

Pós-Graduado (MsC) em Administração Pública e Tecnologias da Informação, com ênfase em Segurança de Redes do Setor Público.

Professor de disciplinas nos cursos de Administração, Computação, Ciência da Informação e outros.

Consultor independente em Certificação Digital, Sistemas de Segurança de TI, Marketing Digital e Redes de Computadores.

Especialista e Consultor na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil)

Palestrante e Conferencista.

Colunista do Portal CryptoID.

Leia outros artigos do colunista Evandro Oliveira aqui!

Dúvidas e sugestões sobre conhecimento básico, terminologia, e esclarecimentos podem ser feitas nos comentários abaixo ou no e-mail evandro.oliveira@bhzlabs.com.br

Leia também: O que é DPC? Declaração de Práticas de Certificação

CATEGORIAS

Destaques Notícias

TAGS

DPC