Últimas notícias

Fique informado

Publicada no DOU RESOLUÇÃO Nº 151 que regulamenta a simplificação dos processos da ICP-Brasil

14 de junho de 2019

RESOLUÇÃO Nº 151, DE 30 DE MAIO DE 2019

Durante a reunião do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil realizada em 30 de maio de 2019 na sede do Instituto Nacional de Tecnologia da Informação, em Brasília foram aprovadas por unanimidade os itens que compõe a RESOLUÇÃO Nº 151, DE 30 DE MAIO DE 2019 que Regulamenta requisitos para conformidade ao Programa WebTrust de Princípios e Critérios para as entidades da ICP- Brasil e simplifica processos da ICP-Brasil.

A Associação das Autoridades de Registro do Brasil – AARB realizará no dia 10 de julho, em São Paulo, um workshop com a presença do diretor-presidente do Instituto Nacional de Tecnologia da Informação – ITI, Marcelo Buz e sua equipe técnica. O evento debaterá, em detalhes, as novas regras da ICP-Brasil que foram aprovadas na reunião do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil, realizada no último dia 30 de maio em Brasília.

A seguir  o texto na íntegra publicado no diário Oficial da União

 

DIÁRIO OFICIAL DA UNIÃO

Publicado em: 14/06/2019 | Edição: 114 | Seção: 1 | Página: 3

Órgão: Presidência da República/Casa Civil/Comitê Gestor da Infraestrutura de Chaves Públicas

 

RESOLUÇÃO Nº 151, DE 30 DE MAIO DE 2019 (*)

Regulamenta requisitos para conformidade ao Programa WebTrust de Princípios e Critérios para as entidades da ICP- Brasil e simplifica processos da ICP-Brasil.

O   COORDENADOR   DO   COMITÊ     GESTOR                DA     INFRAESTRUTURA       DE     CHAVES                PÚBLICAS

BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, §1º, inc. IV, do Regimento Interno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no exercício das  competências  previstas  no  art.  4º,  da  Medida  Provisória  nº  2.200-2,  de  24  de  agosto  de  2001,  em reunião ordinária realizada em 30 de maio de 2019,

Considerando a previsão expressa no art. 653 do Código Civil de que a procuração é instrumento de mandato por meio do qual alguém recebe de outrem poderes para, em seu nome, praticar atos ou administrar interesses,

Considerando a necessidade de manter a conformidade com o Programa WebTrust  de  Princípios e Critérios para Autoridades de Certificação,

Considerando a oportunidade para a simplificação dos processos e redução de custos na infraestrutura da ICP-Brasil, e

Considerando a necessidade de prever que os serviços de gestão do ciclo de vida de certificados de atributo possam ser providos no âmbito de Prestadores de Serviço de Confiança na modalidade de portal de assinaturas, resolveu:

Art. 1º O § 5º do art. 24 da Resolução nº 137, de 8 de março de 2018, passa a vigorar com a seguinte redação:

“……………………………………………………………………………………………………………….

  • 5º Caso não seja possível a participação do titular e de seu suplente, o membro titular poderá indicar representante, desde que outorgada procuração, assinada digitalmente, que contenha o assunto referente da pauta e o teor do voto, que constará na ata da reunião.

………………………………………………………………………………………………………..”       (NR)

Art. 2º O DOC-ICP-02, versão 3.0, passa a vigorar com as seguintes alterações: “………………………………………………………………………………………………………………..

6.2. Gerenciamento de Riscos

O processo de gerenciamento de riscos deve ser revisto anualmente pela própria entidade, para prevenção contra riscos, inclusive àqueles advindos de novas tecnologias, visando a elaboração de planos de ação apropriados para proteção aos componentes ameaçados.

…………………………………………………………………………………………………………………

6.4.2 Todas as ACs deverão apresentar, ainda, Plano de Recuperação de Desastres e Plano de Resposta a Incidentes a serem aprovados pela AC Raiz ou AC de nível imediatamente superior.

………………………………………………………………………………………………………………….

  • O Processo de Admissão
  • Devem ser  adotados  critérios  rígidos  para  o  processo  seletivo  de  candidatos,  com  o propósito   de   selecionar,   para   os   quadros   das   entidades   integrantes   da   ICP-Brasil,   pessoas reconhecidamente idôneas e sem antecedentes que possam comprometer a segurança ou credibilidade das entidades.
  • Nenhuma entidade participante da ICP-Brasil admitirá estagiários no exercício de atividades diretamente relacionadas com os processos de emissão, expedição, distribuição, revogação e gerenciamento de certificados.
  • O empregado,  funcionário  ou  servidor  assinará  termo  de  compromisso  assumindo  o dever de manter sigilo, mesmo quando desligado, sobre todos os ativos de informações e de processos das entidades integrantes da ICP-Brasil.

…………………………………………………………………………………………………………………

7.3.3 O Levantamento de Dados Pessoais

Deve ser elaborada pesquisa do histórico da vida pública do candidato, com o propósito de levantamento de seu perfil, verificação de antecedentes e verificação de grau de instrução.

…………………………………………………………………………………………………………………

7.4.4. …………………………………………………………………………………………………………

  1. i) manter registros de atividades de usuários de TI (logs) por um período de no mínimo 7 (sete) anos. Os registros devem conter a hora e a data das atividades, a identificação do usuário de TI, comandos (e seus argumentos)  executados,  identificação  da  estação  local  ou  da  estação  remota  que  iniciou  a conexão,  número  dos  processos  e  condições  de  erro  observadas  (tentativas  rejeitadas,  erros  de consistência, etc.);

…………………………………………………………………………………………………………………

9.3.2.5.Proteção lógica adicional (criptografia) deve ser adotada, quando necessária, para evitar o acesso não-autorizado às informações.

…………………………………………………………………………………………………………………

9.3.3.28. As chaves privadas das ACs deverão estar protegidas de acesso desautorizado, para garantir seu sigilo e integridade.

…………………………………………………………………………………………………………………

12.2     …………………………………………………………………………………………………………

  1. g) reavaliação periódica dos riscos em intervalos de tempo não superiores a um ano.

……………………………………………………….

13.2.2 Todas as ACs e ACTs integrantes da ICP-Brasil deverão apresentar um PCN e, ainda, um Plano de Resposta a Incidentes e um Plano de Recuperação de Desastres, que estabelecerá, no mínimo, o tratamento adequado dos seguintes eventos de segurança:

  1. As condições para ativar o plano;
  2. Procedimentos de emergência;
  3. Procedimentos de fallback;
  4. Procedimentos de restauração;
  5. Cronograma para manutenção do plano;
  6. Requisitos de conscientização e educação;
  7. Responsabilidades individuais;
  8. Objetivo de Tempo de Recuperação (RTO);
  9. Testes regulares dos planos de contingência;
  10. O plano para manter ou restaurar as operações de negócios da AC de forma oportuna, após a interrupção ou falha de processos críticos de negócios;
  11. Definição de requisitos para armazenar materiais criptográficos críticos em um local alternativo;
  12. Definição de interrupções aceitáveis do sistema e um tempo de recuperação;
  13. Frequência para realização de cópias de backup;
  14. Distância entre as instalações de recuperação e o site principal da AC; e
  15. Procedimentos para proteger suas instalações após um desastre e antes de restaurar o ambiente seguro no local original ou remoto.

No tratamento constante nos Planos acima, deve ser considerado:

  1. comprometimento da chave privada das entidades;
  2. invasão do sistema e da rede interna da entidade;
  3. incidentes de segurança física e lógica;
  4. indisponibilidade da Infraestrutura;
  5. fraudes ocorridas no registro do usuário, na emissão, expedição, distribuição, revogação e no gerenciamento de certificados;
  6. comprometimento de controle de segurança em qualquer evento referenciado no PCN;
  7. notificação à comunidade de usuários, se for o caso;
  8. revogação dos certificados afetados, se for o caso;
  9. procedimentos para interrupção ou suspensão de serviços e investigação;
  10. análise e monitoramento de trilhas de auditoria; e
  11. com o público e com meios de comunicação, se for o caso.

…………………………………………………………………………………………………………” (NR)

Art. 3º O item 4 do DOC-ICP-06, versão 3.1, passa a vigorar com a seguinte redação:

“4 – Os órgãos e entidades da Administração Direta da União, dos Estados, do Distrito Federal e dos Municípios, bem como suas autarquias e fundações públicas, estão dispensados do pagamento das tarifas a que se referem os itens 1 a 3 deste documento.” (NR)

Art. 4º O DOC-ICP-08, versão 4.5, passa a vigorar com as seguintes alterações: “………………………………………………………………………………………………………………..

1.4 Toda correspondência tratada neste documento deve ser formalizada, preferencialmente, por  meio  de  correio  eletrônico,  em  formato  PDF,  com  assinatura  digital  ICP-Brasil  da  autoridade competente. Os arquivos devem ter calculados os respectivos hashes, com algoritmo SHA-1, cujos valores serão relacionados em arquivo no formato texto puro (extensão TXT), contendo o nome do arquivo e o respectivo hash, separados por ponto e vírgula (;).

………………………………………………………………………………………………………………….

2.1 As auditorias são classificadas em PRÉ-OPERACIONAIS e OPERACIONAIS, a saber:

  1. Pré-operacionais: são as auditorias realizadas antes do início das atividades do candidato a Prestador de  Serviço  de  Certificação  (PSCert),  quer  seja  Autoridade  Certificadora  (AC),  Autoridade  de Carimbo do Tempo (ACT), Autoridade de Registro (AR), Prestador de Serviço de Suporte (PSS), Prestador de Serviço Biométrico (PSBio) ou PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas; e
  2. Operacionais: são as auditorias realizadas anualmente, considerado o ano civil, em todos os PSCert para  manutenção  do  credenciamento  junto  à  ICP-Brasil.  Tais  auditorias  ocorrerão  a  partir  do primeiro ano civil seguinte à data da publicação no DOU do credenciamento do PSCert.

………………………………………………………………………………………..

  • O pedido de credenciamento deve ser encaminhado ao Protocolo Geral da AC Raiz, assinado pela entidade candidata, anexando os arquivos eletrônicos, conforme item 1.4.
  • O ITI poderá solicitar a complementação da documentação, só voltando a ser contado o prazo a partir do recebimento do que for solicitado.
  • Se a  solicitação  não  for  atendida  em  até  15  dias,  o  processo  será  arquivado,  mediante despacho fundamentado da DAFN.
  • A documentação apresentada pela candidata para credenciamento constituirá processo específico, por prazo não inferior a 5 (cinco) anos, exceto quanto à eventual documentação de auditorias realizadas, que será considerada confidencial, ficando à disposição apenas dos próprios solicitantes do credenciamento.
  • Sobre o  pedido  de  credenciamento  ou  de  renovação,  o  Diretor  da  DAFN,  por  meio  de despacho fundamentado, poderá:
  1. deferir o pedido;
  2. notificar a candidata para, no prazo máximo de 15 (quinze) dias corridos, complementar a documentação apresentada;
  3. indeferir o  pedido  se,  vencido  o  prazo  da  alínea  “b”,  não  forem  cumpridas  as  exigências constantes da notificação retromencionada; e
  4. indeferir o pedido que não atenda aos requisitos técnicos estabelecidos.

………………………………………………………………………………………………………………….

4.15  Qualquer  alteração  ocorrida,  quer  seja  em  atos  constitutivos,  estatuto,  contrato  social, organograma ou vinculação da entidade, quer seja dos dirigentes ou da equipe técnica de auditores, será submetida imediatamente ao conhecimento da DAFN, mediante formalização protocolada no Protocolo Geral da AC Raiz e que fará parte do processo de credenciamento da respectiva entidade de auditoria. Nestes casos será reavaliada a manutenção das condições exigidas para o credenciamento, observadas as regras para as renovações, podendo ser dispensada a apresentação de certidões ainda não exigíveis.

…………………………………………………………………………………………………………………

  1. PLANO ANUAL DE AUDITORIA OPERACIONAL (PLAAO)
    • Cada AC e ACT protocolará no Protocolo Geral da AC Raiz, até o dia 15 (quinze) de dezembro de cada ano, para conhecimento da DAFN, seu PLAAO para o ano civil seguinte, contemplando todos os PSCert diretamente subordinados (AC subsequente e AR), por meio do formulário ADE-ICP-08-C[4].
    • As auditorias operacionais serão realizadas anualmente nos seguintes PSCert:
  2. AC credenciada e respectivos PSS;
  3. ACT credenciada e respectivos PSS;
  4. AR credenciada.
    • Cada PSBio protocolará no Protocolo Geral da AC Raiz, até o dia 15 (quinze) de dezembro de cada ano,  para  conhecimento  da  DAFN,  seu  PLAAO  para  o  ano  civil  seguinte,  contemplando  os  PSS subordinados, por meio do formulário ADE-ICP-08-C[4].
    • Cada PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas protocolará no Protocolo Geral da AC Raiz, até o dia 15 (quinze) de dezembro de cada ano, para conhecimento da DAFN, seu PLAAO para o ano civil seguinte, por meio do formulário ADE-ICP-08.C [4].

…………………………………………………………………………………………………………………

6.1.1  As  auditorias  têm  por  objetivo  avaliar  se  os  processos,  procedimentos,  atividades  e controles  estão  em  conformidade  com  as  respectivas  Políticas,  Declaração  de  Práticas,  Política  de Segurança  e  demais  normas  e  procedimentos  estabelecidos  pelo  Comitê  Gestor  da  ICP-Brasil.  O documento ADE-ICP-08-E[5] detalha os processos que compõem a cadeia de certificação e deverá nortear as auditorias realizadas na cadeia da ICP-Brasil. Adicionalmente, as auditorias do tipo 1 também devem avaliar os princípios e critérios definidos pelo WebTrust.

…………………………………………………………………………………………………………………

6.1.12 No caso de uma AC optar por auditar com seus profissionais suas AR, deverá observar o disposto nos itens acima, excetuados os itens 6.1.5 e 6.1.6.

………………………………………………………………………………………………………………….

7.1 Aplica-se ao auditor independente, no que couber, as regras de suspeição e impedimento estabelecidas nos artigos 134 e 135 do Código de Processo Civil; além das demais normas para o exercício da profissão de auditor independente ou interno.

………………………………………………………………………………………………..

7.7 Ocorrendo o impedimento da entidade de auditoria, esta deverá concluir os trabalhos cujas atividades de campo já tenham iniciado, estando impedida de iniciar novos trabalhos de campo.

  1. a) Eventuais relatórios de auditoria recebidos em desacordo com o caput serão sumariamente arquivados e não terão nenhuma validade perante o ITI, no que se refere ao cumprimento da obrigatoriedade de realização de auditorias.

…………………………………………………………………………………………………………………

8.2 A documentação de auditoria será avaliada em comparação com a metodologia de auditoria aprovada no credenciamento da entidade de auditoria, exceto quando realizado por AC ou PSS diretamente em suas AR.

…………………………………………………………………………………………………………………

9.6 No ITI, os casos de não-conformidade que ensejaram recomendações à entidade auditada serão acompanhados pela área de auditoria e incluídos nos planos de trabalho de auditorias posteriores na mesma entidade.

………………………………………………………………………………………………………………….

  • A entidade cujo conceito atribuído seja cinco (5) – INACEITÁVEL – em duas auditorias operacionais consecutivas, poderá ser descredenciada da ICP-Brasil.
  • Na ocorrência do descredenciamento mencionado no item 9.10, a entidade não poderá ter um novo pedido de credenciamento aceito pelo ITI pelo período mínimo de dois (2) anos.

………………………………………………………………………………………………………..” (NR)

Art. 5º O DOC-ICP-09, versão 3.3, passa a vigorar com as seguintes alterações: “……………………………………………………………………………………………………………….

1.1 Para os fins deste documento, entende-se como:

AÇÃO DE FISCALIZAÇÃO DE CERTIFICAÇÃO (AFC) – Procedimentos preparatórios, levantamento de informações, ações presenciais ou à distância, levantamento de evidências, pedidos complementação de informações através do documento REQUISIÇÃO DE INFORMAÇÕES COMPLEMENTARES (RIC) [1] e atividades do fiscal que devem estar relatadas no documento RELATÓRIO DE FISCALIZAÇÃO (RF) [5].

  1. AUTORIDADE OUTORGANTE – Autoridade competente e empossada no cargo de Diretor de Auditoria, Fiscalização e Normalização da AC Raiz, sendo, pela legislação, autorizado a praticar todos os atos necessários à realização do Procedimento de Fiscalização de Certificação (PFC) e que expede documentos relativos ao mesmo;
  2. AUTO DE INFRAÇÃO DE CERTIFICAÇÃO (AIC) [2] – Documento preenchido pelo Fiscal da ICP- Brasil ao constatar infração por Prestador de Serviço de Certificação (PSCert) durante a fiscalização;
  3. FISCAL DA ICP-BRASIL – Servidor lotado na Diretoria de Auditoria, Fiscalização e Normalização da AC Raiz e no exercício das funções de fiscal, conforme indicado no documento TERMO DE FISCALIZAÇÃO (TF) [3];
  4. FISCALIZAÇÃO – Atividade de controle e inspeção sistemática, programada ou a qualquer tempo, do cumprimento das resoluções, normas, procedimentos e atividades dos Prestadores de Serviço de Certificação (PSCert) com a finalidade de examinar se as operações de cada um deles, isolada ou conjuntamente, se  mantêm  em  conformidade  com  suas  Declarações  de  Práticas,  Políticas  e  com  as Resoluções e normas gerais estabelecidas para as entidades integrantes da ICP-Brasil.
  5. INFRAÇÃO
  6. Não atendimento a qualquer disposição legal da ICP-Brasil ou normas complementares estabelecidas pela AC Raiz;
  7. Não-conformidade constatada a partir de fiscalização;
  • Obstrução, omissão ou má-fé por parte do PSCert tendente a prejudicar a ação fiscalizadora da AC Raiz;
  1. NOTIFICAÇÃO DA FISCALIZAÇÃO DE CERTIFICAÇÃO (NFC) [4] – Documento pelo qual a Autoridade Outorgante dá ciência à Entidade Fiscalizada e a sua responsável hierárquica para que faça ou deixe de fazer alguma coisa;
  2. OBJETO DA FISCALIZAÇÃO – Descrição do ponto de controle sob verificação. É um item das resoluções, um conjunto de itens, ou itens de resoluções associados;
  3. PRESTADOR DE SERVIÇO DE CERTIFICAÇÃO (PSCert) – Qualquer entidade credenciada para operar na  ICP-Brasil,  como:  as  Autoridades  Certificadoras  (AC);  as  Autoridades  de  Registro  (AR);  as Autoridades de Carimbo do Tempo (ACT), os Prestadores de Serviço de Suporte (PSS), os Prestadores de Serviço   Biométrico   (PSBio),   os   Prestadores   de   Serviço   de   Confiança   de   Assinatura   Digital   e/ou Armazenamento de Chaves Criptográficas (PSC); ou entidade vinculada, como o Laboratório de Ensaios e Auditoria (LEA) e outros que executem ou determinem a execução de itens de certificação presentes nas resoluções da ICP-Brasil;
  4. PROCEDIMENTO DE FISCALIZAÇÃO DE CERTIFICAÇÃO (PFC) – Conjunto de ações que objetivam a verificação do cumprimento das normas, por parte das entidades credenciadas na ICP-Brasil, incluídos os atos administrativos de início e finalização e as ações de aplicação de penas, ampla defesa e comunicação de fiscalizações realizadas e dadas como conformes;
  5. PROCESSO ADMINISTRATIVO DE FISCALIZAÇÃO (PAF) – Processo onde são arquivados todos os documentos e relatórios relativos ao Procedimento de Fiscalização de Certificação;
  6. RELATÓRIO DE FISCALIZAÇÃO (RF) – Documento no qual o fiscal descreve o que constatou no Prestador de Serviço de Certificação, como foram as atividades e suas prescrições, subsidia o TFF e retrata todo a AFC, atividades executadas e constatações obtidas pelo Fiscal da ICP-Brasil;
  7. REQUISIÇÃO DE INFORMAÇÕES COMPLEMENTARES (RIC) [1] – Documento no qual o fiscal ou auditor solicita informações complementares necessárias à condução do processo de fiscalização ou auditoria;
  8. TERMO DE FISCALIZAÇÃO (TF) – Documento-base para a fiscalização e que indica a sua finalidade. Pode ser um TERMO DE FISCALIZAÇÃO INICIAL (TFI), TERMO DE FISCALIZAÇÃO EXTENSIVO (TFE), TERMO DE FISCALIZAÇÃO COMPLEMENTAR (TFC) ou TERMO DE FISCALIZAÇÃO FINAL (TFF).

…………………………………………………………………………………………………………” (NR)

Art. 6º O DOC-ICP-16, versão 1.0, passa a vigorar com as seguintes alterações: “………………………………………………………………………………………………………………..

4.7 Serviço de Gestão de Certificados de Atributos: trata-se de sistema de gestão do ciclo de vida de certificados de atributos regulado pela ICP-Brasil junto ao Prestador de Serviço de Confiança na modalidade de portal de assinaturas.

…………………………………………………………………………………………………………………

6.1.5  Prestador  de  Serviço  de  Confiança  –  PSC  da  ICP-Brasil  é  uma  entidade  credenciada, auditada e fiscalizada pelo ITI que provê serviços de armazenamento de chaves privadas para usuários finais ou serviços de assinaturas e verificações de assinaturas digitais padrão ICP-Brasil nos documentos e transações eletrônicas ou ambos.

………………………………………………………………………………………………………………….

6.6 Módulo de Emissão e Guarda de Certificados de Atributo

A EEA deve manter repositório de certificados de atributo, sua LCR ou OCSP, quando aplicável.

A emissão e gestão do ciclo de vida do certificado de atributo da EEA poderá utilizar-se de serviço de assinatura e verificação de assinaturas digitais provido por PSC credenciado na ICP-Brasil.

………………………………………………………………………………………………………..” (NR)

Art. 7º Fica excluído o item 13.2.4 do DOC-ICP-02, versão 3.0, bem como os itens 6.3.4, 6.3.5 e

  • do DOC-ICP-08, versão 4.5.

Art. 8º Ficam aprovadas as seguintes versões dos documentos:

  • – DOC-ICP-02 – POLÍTICA DE SEGURANÇA DA ICP-BRASIL- versão 1.
  • – DOC-ICP-06 – POLÍTICA TARIFÁRIA DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL –

versão 3.2.

  • – DOC-ICP-08   –   CRITÉRIOS   E PROCEDIMENTOS  PARA AUDITORIA        DAS ENTIDADES

INTEGRANTES DA ICP-BRASIL – versão 4.6.

  • – DOC-ICP-09 – CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL – versão 4.
  • – DOC-ICP-16 – VISÃO GERAL SOBRE CERTIFICADO DE ATRIBUTO PARA A ICP-BRASIL –

versão 1.1.

Parágrafo    único.   As   demais                   cláusulas     dos                   referidos      documentos,                   nas       suas               versões

imediatamente anteriores, em sua ordem originária, integram as presentes versões e mantêm-se válidas.

Art. 9º Ficam aprovadas novas versões dos seguintes documentos:

  • – DOC-ICP-01     –   DECLARAÇÃO                     DE PRÁTICAS        DE CERTIFICAÇÃO                     DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL – versão 5.0, anexo I.

 

  • – DOC-ICP-03 – CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL – versão

6.0, anexo II.

  • – DOC-ICP-03.01 – CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL –

versão 3.0, anexo III.

  • – DOC-ICP-04 – REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL

– versão 7.0, anexo IV.

  • – DOC-ICP-05    –   REQUISITOS                      MÍNIMOS            PARA                  AS                      DECLARAÇÕES   DE                      PRÁTICAS           DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL – versão 5.0, anexo V.
  • – DOC-ICP-05.02    –                       PROCEDIMENTOS    PARA                       IDENTIFICAÇÃO        DO                       REQUERENTE          E COMUNICAÇÃO DE IRREGULARIDADES NO PROCESSO DE EMISSÃO DE UM CERTIFICADO DIGITAL ICP- BRASIL – versão 2.0, anexo VI.

Parágrafo  único.  Os  documentos  referidos  no  caput  substituem  integralmente  suas  versões anteriores.

Art. 10. Os documentos alterados por esta resolução encontram-se disponibilizados, em sua totalidade, no sítio http://www.iti.gov.br.

Art.  11.  Fica  revogada  a  Instrução  Normativa  nº  07,  de  15  de  julho  de  2016,  que  instituiu  o documento REQUISITOS ADICIONAIS PARA ADERÊNCIA AOS PROGRAMAS DE RAÍZES CONFIÁVEIS DOS FORNECEDORES DE NAVEGADORES DE INTERNET – DOC-ICP-01.02.

Art. 12. Ficam extintas, no âmbito da ICP-Brasil, as Instalações Técnicas, Instalações Técnicas Secundárias, Postos Provisórios de Autoridades de Registro e os Prestadores de Serviço de Suporte de AR.

Parágrafo único. Os processos de credenciamento referidos no caput, em trâmite junto ao ITI, serão arquivados.

Art. 13. Ficam isentas da tarifa de prestação de serviço de emissão de certificados, de que trata o  item  2,  alínea  ‘b’,  do  DOC-ICP-06,  as  AC  que  entrarem  com  pedido  de  emissão  de  certificados  nas cadeias  SSL  eCode  Signing,  por  motivo  de  adequação  aos  requisitosWebTrust,  pelo  prazo  de  até  180 (cento e oitenta) dias a contar da data da publicação desta Resolução.

Art. 14. As entidades da ICP-Brasil têm o prazo de até 120 (cento e vinte) dias, contados da data da publicação, para submissão à aprovação, pelo ITI, dos documentos afetos às mudanças previstas nesta Resolução.

  • 1º Quando  se  tratar  de  cadeias  SSL  eCode  Signing,  antes  de  submeter  ao  ITI,  deve  a Autoridade  Certificadora  ou  mesmo  o  Prestador  de  Serviço  de  Suporte,  sempre  copiada  a  cadeia hierárquica,  mediante  solicitação  eletrônica  encaminhada  por  seu(s)  representante(s),  requisitar,  no endereço cgnpe@iti.gov.br, a geração do OID específico que será utilizado.
  • 2º Após a submissão ao ITI, da DPC e PC ajustadas, as AC estarão autorizadas a operar de acordo com as práticas declaradas de imediato, ainda que sem a aprovação expressa do ITI, sob a obrigação de correções/ajustes caso sejam apontadas após análise do ITI.

Art. 15. Para fins de auditoria, as mudanças previstas nesta Resolução devem ser observadas no ano civil subsequente ao da publicação desta Resolução.

Art.  16.  As  AR  e  as  AC  têm  o  prazo  de  até  120  (cento  e  vinte)  dias,  contados  da  data  da publicação desta Resolução, para concluírem a transferência dos dossiês para o ambiente de AC.

Art. 17. Esta Resolução entra em vigor na data de sua publicação.

FERNANDO WANDSCHEER DE MOURA ALVES

Esta Resolução e seus anexos serão publicados em suplemento à presente edição.

Este conteúdo não substitui o publicado na versão certificada.

  PDF da Resolução nº 151

Leia Também…

Presidente do ITI e sua equipe técnica participarão do evento da AARB sobre novas regras da ICP-Brasil

Comitê Gestor da ICP-BRASIL aprova alterações significativas nas normativas. Confira!