REVOGADA EM 14.02.2006 PELA I.N. Nº 03/2006 E REVOGADA EM
11.12.2007 PELA I.N. Nº 03/2007
INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO
INSTRUÇÃO NORMATIVA Nº 05, DE 22 DE ABRIL DE 2005.
Estabelece os requisitos técnicos a serem
observados nos processos de homologação de
cartões inteligentes (Smart Cards), leitoras de
cartões inteligentes e tokens criptográficos no
âmbito da ICP-Brasil e dá outras providências.
O DIRETOR-PRESIDENTE SUBSTITUTO DO INSTITUTO NACIONAL DE TECNOLOGIA DA
INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso I, do art. 1º, do anexo I, do
Decreto nº 4.689, de 7 de maio de 2003, e pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil,
de 21 de outubro de 2004; e
CONSIDERANDO:
o disposto no item 2.4 do anexo à Resolução nº 36 do Comitê Gestor da ICP-Brasil, de 21 de
outubro de 2004;
o resultado do estudo empreendido pelo Grupo de Trabalho instituído pela Portaria nº 33 do ITI,
de 8 de abril de 2003, cujo objetivo foi estudar padrões com especificações mínimas para o uso
de hardware e software na ICP-Brasil, especialmente, aqueles que armazenam e executam
funções criptográficas para os usuários, tais como tokens e smart cards, assim como em relação
aos sistemas embarcados nesses dispositivos; e
no que couber, o disposto no item 8.3, “Meios de Acesso: Especificações Técnicas para Smart
Cards, Tokens e Cartões em Geral”, do Documento de Referência da e-PING – Versão 1.0;
R E S O L V E :
Art. 1º Estabelecer os requisitos técnicos a serem observados nos processos de homologação de cartões
inteligentes (Smart Cards), leitoras de cartões inteligentes e tokens criptográficos no âmbito da ICP-Brasil,
nos termos definidos por esta Instrução Normativa.
§ 1º Por requisitos técnicos entenda-se os padrões e especificações técnicas mínimos aos quais os
dispositivos referidos no caput deverão demonstrar conformidade, incluindo os requisitos de natureza
documental que deverão constar de suas respectivas documentações técnicas.
§ 2º Os requisitos técnicos têm caráter obrigatório, e a não conformidade a qualquer um deles, detectada
durante a fase de avaliação de conformidade de um dado dispositivo, implicará no indeferimento de sua
homologação.
§ 3º Recomendações são requisitos desejáveis, porém, têm caráter opcional. Serão objeto das avaliações
de conformidade, e os correspondentes resultados deverão constar dos respectivos laudos de
conformidade, sem, entretanto, impactar na decisão do ITI pela homologação ou não do dispositivo
avaliado.
Art. 2º Os requisitos técnicos de que trata o art. 1º são os seguintes:
I – aderência aos requisitos de segurança estabelecidos pelo padrão FIPS 140-2 nível 2, de acordo com o
escopo e os requisitos complementares, quanto às áreas de atuação do padrão referido, definidos no
documento citado no § 1º;
II – aderência aos requisitos específicos de segurança estabelecidos e detalhados pelo documento citado
no § 1º;
1
III – aderência aos requisitos de interoperabilidade estabelecidos, derivados e complementares aos padrões
ISO/IEC 7816 e PC/SC versão 1.0, de acordo com o estabelecido pelo documento citado no § 1º;
IV – aderência aos requisitos de gerenciamento estabelecidos e detalhados pelo documento citado no § 1º;
e
V – aderência aos requisitos funcionais estabelecidos e detalhados pelo documento citado no § 1º.
§ 1º Os requisitos técnicos estabelecidos por este artigo têm caráter macroestrutural, ou seja, representam,
na verdade, um conjunto de requisitos técnicos específicos e pormenorizados. Para conhecer o completo
detalhamento destes, consultar o documento “Manual de Condutas Técnicas – Volume I: Detalhamento dos
Requisitos Técnicos para Cartões Inteligentes (Smart Cards), Leitoras de Cartões Inteligentes e Tokens
Criptográficos no âmbito da ICP-Brasil”, disponibilizado pelo ITI em seu sítio na Internet, adendo a esta
Instrução Normativa.
§ 2º As recomendações citadas pelo § 3º do art. 1º constam do documento referido no parágrafo anterior.
§ 3º O documento referido no § 1º poderá ser atualizado, a qualquer tempo, pelo ITI, de forma a melhor
explicitar e explicar os requisitos técnicos e recomendações a serem observados nas avaliações de
conformidade dos dispositivos de que trata esta Instrução Normativa, porém, sem o poder de alterar,
incluindo ou excluindo, qualquer daqueles estabelecidos nos incisos deste artigo. Para isto, far-se-á
necessária a edição de nova instrução normativa por parte do ITI.
Art. 3º Para efeitos do disposto no art. 15 da Instrução Normativa nº 02 do ITI, de 13/04/2005, quanto aos
processos de homologação dos dispositivos de que trata esta Instrução Normativa, o responsável técnico da
parte interessada deverá apresentar ao LEA para depósito, o material e documentação técnicos, conforme
descritos a seguir:
I - Formulário de Depósito de Sistema ou Equipamento de Certificação Digital, devidamente preenchido e
assinado, em quatro vias, de acordo com modelo aprovado no anexo desta Instrução Normativa e
disponibilizado no sítio do ITI na Internet;
II – nos casos de homologação de cartões inteligentes, amostras de cada modelo e/ou versão de cartão
inteligente a ser submetido ao processo de homologação, segundo o disposto no documento citado no § 1º;
III – nos casos de homologação de leitoras de cartões inteligentes, amostras de cada modelo e/ou versão
de leitora de cartão inteligente a ser submetida ao processo de homologação, segundo o disposto no
documento citado no § 1º;
IV – nos casos de homologação de tokens criptográficos, amostras de cada modelo e/ou versão de token
criptográfico a ser submetido ao processo de homologação, segundo o disposto no documento citado no §
1º;
V – documentação técnica, segundo o disposto no documento citado no § 1º; e
VI – componentes em softwares executáveis, segundo o disposto no documento citado no § 1º.
§ 1º O material e documentação técnicos estabelecidos por este artigo têm caráter macroestrutural, ou seja,
representam, na verdade, um conjunto de materiais de hardware, software e documentos técnicos
específicos e pormenorizados. Para conhecer o completo detalhamento destes, consultar o documento
“Manual de Condutas Técnicas – Volume II: Detalhamento do Material e Documentação Técnicos para
Depósito junto ao LEA para Homologação de Cartões Inteligentes (Smart Cards), Leitoras de Cartões
Inteligentes e Tokens Criptográficos no âmbito da ICP-Brasil”, disponibilizado pelo ITI em seu sítio na
Internet, adendo a esta Instrução Normativa.
§ 2º O documento referido no parágrafo anterior poderá ser atualizado, a qualquer tempo, pelo ITI, de forma
a melhor explicitar e explicar o material e documentação técnicos a serem depositados para efeitos do que
trata esta Instrução Normativa, porém, sem o poder de alterar, incluindo ou excluindo, qualquer daqueles
estabelecidos nos incisos deste artigo. Para isto, far-se-á necessária a edição de nova instrução normativa
por parte do ITI.
Art. 4º A avaliação de conformidade dos dispositivos de que trata esta Instrução Normativa, será realizada
pelos LEA, tendo por referência os ensaios descritos no documento “Manual de Condutas Técnicas –
Volume III: Descrição dos Ensaios Técnicos para a Avaliação de Conformidade aos Requisitos Técnicos
para Cartões Inteligentes (Smart Cards), Leitoras de Cartões Inteligentes e Tokens Criptográficos no âmbito
da ICP-Brasil”, disponibilizado pelo ITI em seu sítio na Internet, adendo a esta Instrução Normativa.
2
§ 1º O ITI disponibilizará o documento referido no caput no prazo de 90 (noventa) dias, a partir da
publicação desta Instrução Normativa.
§ 2º O documento referido no caput poderá ser atualizado pelo ITI, a qualquer tempo, de forma a melhor
explicitar e explicar os ensaios técnicos a serem empregados nas avaliações de conformidade aos
requisitos técnicos e recomendações estabelecidos para os dispositivos de que trata esta Instrução
Normativa.
Art. 5º O prazo previsto para a homologação dos dispositivos tratados por esta Instrução Normativa é de
150 (cento e cinqüenta dias).
§ 1º O prazo referido no caput será contado a partir da data do aceite definitivo do depósito pelo LEA, em
campo específico constante do Formulário de Depósito referido no inciso I do artigo anterior.
§ 2º A contagem do prazo referido no caput será interrompida sempre que houver necessidade, por
qualquer razão, de complementação do material depositado pela parte interessada, conforme previsto no
art. 19 da Instrução Normativa nº 02 do ITI, de 13/04/2005.
Art. 6º Todo e qualquer questionamento acerca do disposto nesta Instrução Normativa deverá ser
encaminhado ao endereço homologa@planalto.gov.br .
Art. 7º Esta Instrução Normativa entra em vigor na data de sua publicação.
RENATO DA SILVEIRA MARTINI
3
Anexo
1
a.
Via: ITI
FORMULÁRIO DE DEPÓSITO DE SISTEMA OU
EQUIPAMENTO DE CERTIFICAÇÃO DIGITAL
Página
1
2
a.
Via: LEA
3
a
e 4ª Vias: P. Interessada
1. Depósito do Material
A SER PREENCHIDO PELA PARTE INTERESSADA
101
NÚMERO DO PROCESSO
102
RAZÃO SOCIAL
103
No. Identificação
104
Tipo de Homologação
□
Cartão Inteligente
□
Token Criptográfico
□
Leitora de Cartão Inteligente
105
Descrição de materiais
106
Id
Material
107
Qtde
108
Produto (Tipo)
109
Descrição (Conteúdo)
1
2
3
4
5
6
7
8
9
10
110
Requisitos para Depósito
Para o depósito de material e documentação técnicos a PARTE INTERESSADA deverá atender
ao disposto no art. 3º da IN nº 05 do ITI de 22/04/2005.
2. Atendimento aos Requisitos para Depósito
A SER PREENCHIDO PELA
PARTE INTERESSADA
201
No.
Requisito
202
Id
Material
203
Descrição/localização
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
4
30
31
1
a.
Via: ITI
FORMULÁRIO DE DEPÓSITO DE SISTEMA OU
EQUIPAMENTO DE CERTIFICAÇÃO DIGITAL
Página
2
2
a.
Via: LEA
3
a
e 4ª Vias: P. Interessada
32
33
34
35
36
37
38
39
40
3. Relação de Números de Série de Materiais
A SER PREENCHIDO PELA PARTE
INTERESSADA
301
Id
Material
302
No.
amostra
303
Número de Série
4. Responsável Técnico
A SER PREENCHIDO PELA PARTE INTERESSADA
Responsabilidade da
PARTE INTERESSADA
Declaro que os módulos criptográficos depositados no LEA, são compatíveis, em todos os
níveis, àqueles destinados à comercialização e ao público em geral.
401
Local
402
Data
403
Nome por extenso do
Responsável Técnico
404
Assinatura
405
Observações
5
1
a.
Via: ITI
FORMULÁRIO DE DEPÓSITO DE SISTEMA OU
EQUIPAMENTO DE CERTIFICAÇÃO DIGITAL
Página
3
2
a.
Via: LEA
3
a
e 4ª Vias: P. Interessada
5. Aceite do Depósito
A SER PREENCHIDO PELO LEA
501
Parecer Parcial
502
Data
503
Nome por extenso
do Responsável
Técnico LEA
504
Assinatura
505
Parecer Parcial
506
Data
507
Nome por extenso
do Responsável
Técnico LEA
508
Assinatura
509
Parecer Definitivo
510
Data
511
Nome por extenso
do Responsável
Técnico LEA
512
Assinatura
6
1
a.
Via: ITI
FORMULÁRIO DE DEPÓSITO DE SISTEMA OU
EQUIPAMENTO DE CERTIFICAÇÃO DIGITAL
Página
4
2
a.
Via: LEA
3
a
e 4ª Vias: P. Interessada
Instruções de preenchimento:
QUADRO 1 - A PARTE INTERESSADA deverá preencher os campos do Quadro 1, com as
seguintes informações:
campo Descrição
101 Número do processo fornecido pelo ITI.
102 Razão social da Parte Interessada.
103 Número de Identificação da Parte Interessada atribuído pelo ITI.
104 Tipo de homologação: assinalar uma das opções, entre Cartão Inteligente, Token Criptográfico, ou Leitora de Cartão
Inteligente.
105 Descrição em termos quantitativos e qualitativos dos módulos criptográficos que serão remetidos ao LEA.
106 Id material: número de identificação dos materiais relacionados. Não preencher.
107 Preencher com a quantidade de cada produto depositado.
108 Preencher com o tipo de produto, que deverá ser um dos seguintes três tipos:
i.(Dispositivos, hardware, ou componente físico); ii.(Mídia eletrônica); ou iii.(Mídia Impressa).
109 Descrição do conteúdo do produto.
110 Não preencher.
QUADRO 2 - A PARTE INTERESSADA deverá comprovar o atendimento ao disposto no art. 3º da IN nº 05 do ITI de 22/04/2005,
através do preenchimento do Quadro 2 com a descrição/localização dos materiais, conforme a descrição dos campos abaixo.
campo Descrição
201 Número do requisito indicado no documento citado no § 1º do art. 3º da IN nº 05 do ITI de 22/04/2005.
202 Número identificador do item do campo 106 correspondente.
203 Descrição/localização do material. Para cada tipo, deverá constar as seguintes informações:
“HW” - Para dispositivos, hardware, ou componente físico: preencher com Modelo e versão;
“EL” - Para mídia eletrônica: preencher com o caminho dos arquivos;
“IM” - Para mídia Impressa: preencher com a localização do capítulo/seção e o título do mesmo.
QUADRO 3 - A PARTE INTERESSADA deverá preencher os campos do Quadro 3, relacionando os números de série dos
materiais depositados, conforme a descrição dos campos abaixo.
campo Descrição
301 Número identificador do item do campo 106 correspondente.
302 Número seqüencial da amostra.
303 Número de série do material.
QUADRO 4 - A PARTE INTERESSADA deverá preencher os campos do Quadro 4, com as
seguintes informações:
campo Descrição
401 Local de preenchimento.
402 Data de preenchimento da solicitação.
403 Preencher por extenso o nome do Responsável Técnico da Parte Interessada.
404 Assinatura do Responsável Técnico da Parte Interessada.
405 Observações da Parte Interessada.
QUADRO 5 - Após realizar sua análise de caráter material e quantitativa (conforme definido no caput do art. 16 da IN nº 02 do
ITI de 13/04/2005), o LEA emitirá um parecer parcial, se favorável, ou definitivo, se desfavorável, através do preenchimento
dos respectivos campos do Quadro 5. Será devolvida, nesse momento, 01 (uma) via deste FORMULÁRIO destinada à PARTE
INTERESSADA. Após o aceite parcial, o LEA procederá a sua análise de caráter qualitativo (conforme definido no § 4º do art.
16 da IN nº 02 do ITI de 13/04/2005), e emitirá um parecer definitivo, favorável ou desfavorável, através do preenchimento dos
respectivos campos do Quadro 5. Após essa análise, será remetida a outra via deste FORMULÁRIO destinada à PARTE
INTERESSADA.
campo Descrição
501 Parecer parcial da primeira tentativa.
502 Nome completo do responsável técnico do LEA.
503 Data.
504 Assinatura do responsável técnico do LEA.
505 Parecer parcial da segunda tentativa, em caso de eventual não conformidade na primeira tentativa de depósito.
506 Nome completo do responsável técnico do LEA.
507 Data.
508 Assinatura do responsável técnico do LEA.
7
509 Parecer definitivo.
510 Nome completo do responsável técnico do LEA.
511 Data.
512 Assinatura do responsável técnico do LEA.
Observação: A Parte Interessada deverá preencher 01 (um) FORMULÁRIO DE DEPÓSITO para cada Processo de
Homologação de Sistema ou Equipamento de Certificação Digital, em 04 (quatro) vias de igual teor.
REVOGADA EM 14.02.2006 pela I.N. Nº 03/2006 e REVOGADA EM
11.12.2007 pela I.N. Nº 03/2007
8
