Entrevista exclusiva com a diretora de Auditoria, Fiscalização e Normalização do ITI
15 de dezembro de 20192019 foi um ano com alterações significativas no âmbito da ICP- Brasil – A Infraestrutura de Chaves Publicas Brasileira
A Infraestrutura de Chaves Publicas Brasileira, homologou neste ano de 2019 significativas alterações em seus marcos regulatórios com objetivo de atualizar os procedimentos para que a tecnologia de identificação digital em especial a Certificação Digital, seja aplicada, em escala, em projetos de digitalização que vêm avançando no país.
E como a diretora Ângela Maria de Oliveira explicou durante a entrevista as alterações também objetivaram “Trazer a ICP-Brasil para o momento tecnológico atual, além de proporcionar redução do custo operacional na emissão de certificados com vistas a redução do preço final para o usuário.
As entidades que atuam na ICP-BRASIL precisaram atualizar os documentos que descrevem seus procedimentos – como a DPC e PC – e da mesma forma, as entidades em credenciamento tiveram que rever seus documentos para estarem aderentes aos novos procedimentos aprovados pelo Comitê Gestor da ICP-BRASIL refletidos nas últimas resoluções.
Procuramos então a diretora de Auditoria, Fiscalização e Normalização do ITI, Ângela Maria de Oliveira para nos falar sobre as adequações dos documentos das Autoridades Certificadoras e demais entes da ICP-BRASIL para estarem em conformidade com as novas resoluções publicadas.
A diretora Ângela Maria Oliveira orienta a entidades como escrever os documentos de forma correta para agilizar a homologação dos mesmos pelo ITI.
Crypto ID: Ângela você poderia fazer um resumo sobre a estrutura dos documentos que regem a ICP-Brasil? (Legislação pertinente à ICP-Brasil e as normas).
Ângela Maria de Oliveira: Toda a documentação que suporta as atividades da ICP-Brasil encontra-se disponível no site do ITI no link: https://www.iti.gov.br/legislacao .
Os documentos estão agrupados e classificados em “Legislação” e “Normas”. Aqueles que descrevem os procedimentos inerentes ao credenciamento, atividades operacionais das entidades, auditoria e fiscalização entre outros, estão em “Normas ICP-Brasil. São “Adendos”, “Documentos Principais (DOC-ICP.)”, “Manuais ICP-Brasil” e “Notas Técnicas”.
A Declaração de Práticas de Certificação – DPC, em especial, deve ser construída levando em consideração as diretrizes e orientações do DOC-ICP-05 – Requisitos Mínimos para as Declarações de Práticas de Certificação das Autoridades Certificadoras da ICP-Brasil.
Toda a empresa que decide credenciar-se nas cadeias da ICP-Brasil deve ter conhecimento do conteúdo desses documentos mesmo antes de estar credenciada. O DOC-ICP-03, por exemplo, contém as regras para o credenciamento das entidades integrantes da ICP-Brasil. Seus Anexos, a lista de documentos que devem ser apresentados ao protocolo.
Crypto ID: A estrutura da DPC da ICP-BRASIL é similar aos documentos de outros países?
Ângela Maria de Oliveira: A organização dos documentos segue uma orientação do próprio ITI. Já o conteúdo técnico segue normativos internacionais específicos como, por exemplo, o DOC-ICP-5 segue o formato da RFC 3647. Nesse documento, o conteúdo está descrito em um conjunto de disposições distribuídos em nove componentes principais, como segue:
Crypto ID: Esses documentos foram elaborados na criação da ICP-Brasil e são atualizados com qual periodicidade?
Ângela Maria de Oliveira: As mudanças são em função de alteração nos procedimentos, em geral, aprovados pelo Comitê Gestor. Não há periodicidade pré-estabelecida.
Crypto ID: Esse ano de 2019, houve uma série de atualizações dos Documentos da ICP-Brasil. Quais foram as principais e porque foram necessárias as atualizações?
Ângela Maria de Oliveira: O Comitê Gestor de 35 de maio de 2019 aprovou a Resolução 151 que representou a maior mudança nos procedimentos operacionais da ICP-Brasil dos últimos tempos. Foram necessárias para a concretização de um projeto maior no sentido de modernizar a ICP-Brasil. Trazer a ICP-Brasil para o momento tecnológico atual, além de proporcionar redução do custo operacional na emissão de certificados com vistas a redução do preço final para o usuário, mais agilidade e flexibilização no atendimento, mobilidade do agente de registro e ampliação do atendimento.
Como exemplo das mudanças implementadas está a digitalização dos dossiês (dossiês eletrônicos) e envio para as ACs – Autoridades Certificadoras, que farão a guarda, resultando na eliminação dos documentos em papel. Outras mudanças importantes podem ser elencadas como o fim da obrigatoriedade da identificação em duas etapas (validação e verificação) quando houver a apresentação de documentos eletrônicos verificáveis por meio de barramento ou aplicações oficiais e a eliminação da chamada validação externa.
Agora o Agente de Registro (AGR) pode realizar o processo de identificação do titular do certificado onde for necessário, sem limite. Teve também a extinção de Posto Provisório (PP), Instalação Técnica e Instalação Técnica Secundária e a eliminação da necessidade de comprovar localização por meio do georreferenciamento. Isto tudo sem abrir mão da segurança que passou a ter um foco em tecnologia em lugar da segurança física.
Crypto ID: As alterações que ocorreram no DOC-ICP-05 homologado através da resolução 151 do Comitê Gestor da ICP-Brasil suscitou a necessidade das ACs reescreverem suas Declarações de Práticas de Certificação da ICP-Brasil. Isso causou impacto junto ao mercado?
Ângela Maria de Oliveira: Não houve impacto para as entidades já credenciadas. As ACs tiveram o prazo de 120 dias para adequação aos novos normativos e quanto à DPC bastou proceder as alterações e enviar o documento atualizado para o ITI continuando a operar normalmente.
Porém, para as ACs em credenciamento é necessário que a adequação seja aprovada pelo ITI para a conclusão do processo. A análise deste e de outros documentos como a Política de Certificados (PC) e Política de Segurança (PS), igualmente importantes, exigem uma análise detalhada para aprovação.
Além disto, são documentos extensos e requer habilidade dos auditores. Não é uma tarefa simples e rápida. Isto acabou ocasionando uma demora maior que o normal nos processos de credenciamento de AC, porque as próprias entidades que confeccionam os documentos precisaram aprender e se adequar aos novos conceitos. Então, foram muitas trocas de mensagem, solicitações de alteração, enfim muitas idas e vindas até se chegar a um entendimento sobre o conteúdo e forma de escrever os documentos.
Crypto ID: DPCs, porque esse é um documento tão importante na Infraestrutura de Chaves Públicas Brasileira?
Ângela Maria de Oliveira: A DPC descreve os procedimentos que serão praticados pela Autoridade Certificadora e Autoridade de Registro para emissão dos certificados. É o pilar para a sustentação dos processos e ferramentas que serão desenvolvidos para as atividades inerentes a emissão dos certificados.
Por exemplo, deve estar descrito na DPC quais as Políticas de Certificado (uma para cada tipo de certificado) que serão aplicadas pela AC. A AC não poderá emitir certificados em não conformidade com suas políticas.
A DPC delimita o escopo de atuação da AC. A DPC é o guia para as atividades da AC. Será o documento base utilizado nas auditorias operacionais para identificar e concluir se uma AC está em conformidade (compliance) às normas da ICP-Brasil.
Crypto ID: Dessa forma, cada Autoridade Certificadora precisa ter a sua própria DPC? Independente se for uma AC normativa, AC de primeiro ou segundo nível? É isso? As Autoridades de Registro não precisam fazer a DPC, mas existe algo similar que elas devem elaborar?
Ângela Maria de Oliveira: Sim. Cada AC deve ter a sua DPC. Não importa se for AC normativa ou emissora. Tanto as ACs de primeiro quanto as de segundo nível devem escrever a sua DPC. As ARs não possuem DPC, mas devem seguir a DPC da AC a qual estão vinculadas.
A partir da Resolução 151, que trouxe a certificação Webtrust para a ICP-Brasil, as ARs devem elaborar um documento denominado Declaração de Práticas de Negócio de AR conforme descrito em Princípios e Critérios Webtrust para AR (Webtrust Principles and Criteria for Registration Autorities).
A AR deve descrever suas práticas e procedimentos comerciais utilizados em conformidade com as políticas da AC a qual está vinculada.
Crypto ID: Existe um perfil profissional indicado do responsável por documentar a DPC de uma AC?
Ângela Maria de Oliveira: O profissional que escreve as DPCs deve ser uma pessoa de compliance com experiência na organização e conhecimento do negócio. Definitivamente, não é um trabalho para profissionais iniciantes nesta área de certificação digital.
Crypto ID: Poderia nos indicar quais os principais pontos que as ACs devem observar ao escreverem suas DPCs?
Ângela Maria de Oliveira: As ACs precisam olhar para seu próprio trabalho. A DPC é a descrição do que a AC pratica. É um documento vivo e deve ser atualizado toda vez que tiver mudança de procedimentos. É fundamental que a pessoa responsável conheça os processos e métodos de trabalho da AC: quais certificados que a AC emite, responsabilidades da AC, uso do certificado, quais as Políticas de Certificação e seu OID.
O DOC-ICP-5 orienta a construção da DPC a partir de requisitos mínimos.
Crypto ID: Poderia descrever o processo completo; os principais “erros” cometidos ao se escrever a DPC; as recomendações para que os erros não ocorram; etc…
Ângela Maria de Oliveira: A DPC e a PC são elaboradas pela AC tendo como referência o DOC-ICP-5. Após são enviadas ao ITI para análise e aprovação.
A maior quantidade de erros detectada pelo ITI ao analisar as DPC está em copiar o DOC-ICP-5 como sendo a DPC da AC.
A DPC é o documento que descreve as práticas e os procedimentos empregados pela AC na execução de seus serviços, portanto, deve constar as práticas específicas de cada AC.
Outro erro que costuma ocorrer é copiar a PC e DPC de outra AC sem fazer os respectivos ajustes. É comum, principalmente, nos pedidos de credenciamento de novas AC, copiar ou ter como referência uma DPC ou PC já aprovada pelo ITI para outra AC.
É necessário entender e descrever corretamente as especificidades de cada AC. Por exemplo: Só emite certificado para Pessoa Física, mas descreve requisitos também para Pessoa Jurídica ou emite certificado do tipo A1 e descreve que o par de chaves será gerado em hardware ou contrário, emite certificado do tipo A3 e informa que o par de chaves será gerado em software.
Outros erros comuns estão relacionados ao tempo verbal, grafa errada das palavras, inclusão não permitida de procedimentos, exclusão de itens obrigatórios e descrição de práticas que não serão executadas.
Crypto ID: Existe algum processo entre a solicitação de credenciamento e a homologação de uma AC que você ache necessário destacar?
Ângela Maria de Oliveira: As ACs precisam protocolar um pedido de credenciamento junto ao ITI. Este é o primeiro passo. Será aberto um processo e o solicitante receberá um e-mail com o número para acompanhamento. A partir daí começa a análise de habilitação jurídica, análise de DPC, PC e PS, Auditoria e análise dos documentos de auditoria, Auditoria pré-operacional, emissão e análise de certificado de teste, elaboração de relatórios, nota técnica, despachos, emissão de certificado e LCR da AC e envio da apólice de seguro da AC.
O DOC-ICP-53 orienta como proceder e quais os documentos que devem ser apresentados conforme o tipo de entidade. Mas o importante é que todos tenham em mente que quando uma entidade solicita o credenciamento ela já precisa apresentar toda a documentação. Deve estar pronta, inclusive se o ITI quiser realizar a auditoria pré-operacional no dia seguinte ao protocolo.
ITI participa do evento Mobi.ID e faz previsão de aumento de emissões de certificados
Qual é a estrutura da PKI Brasileira – ICP-Brasil e como se credenciar a ela?
Marcelo Buz publica vídeo em que fala sobre a modernização do certificado digital no Brasil.
ICP-Brasil avança para recebimento do selo Webtrust
Leia outras entrevista aqui!