INSTRUÇÃO NORMATIVA N

01, DE 31 DE MARÇO DE 2016.

ALTERA REQUISITOS DE SEGURANÇA

PARA PSBIO, PROCEDIMENTOS PARA

IDENTIFICAÇÃO DO REQUERENTE E

COMUNICAÇÃO DE IRREGULARIDADES

NO PROCESSO DE EMISSÃO DE UM

CERTIFICADO DIGITAL ICP-BRASIL.

O SECRETÁRIO-EXECUTIVO DO COMITÊ GESTOR DA INFRAESTRUTURA DE

CHAVES PÚBLICAS BRASILEIRA – CG ICP-BRASIL, no exercício do cargo de

Coordenador do referido Comitê, conforme previsão constante no art. 1º da Resolução nº 33 do

Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, no uso das atribuições legais previstas

nos incisos I, III, V e VI do art. 4° da Medida Provisória n° 2.200-2, de 24 de agosto de 2001;

CONSIDERANDO o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê

Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil e fixa a competência,

prevista no § 6º art. 2º, do Secretário-Executivo para coordená-lo na hipótese de ausência do

Coordenador titular e suplente; e

CONSIDERANDO a necessidade de aprimorar continuamente a segurança e confiabilidade nos

processos de identificação de um requerente de um certificado digital ICP-Brasil; e

CONSIDERANDO a necessidade de atualizar os processos tecnológicos da identificação

biométrica na ICP-Brasil;

RESOLVE:

Art. 1º Alterar o item 3.1.1.2, do DOC-ICP-03.02, versão 1.1, que passa a vigorar com a

seguinte redação:

3.1.1.2. Todos os servidores e elementos de infraestrutura e proteção do segmento de

rede, tais como roteadores, hubs, switches e firewalls devem:

a) operar em ambiente com segurança equivalente, no mínimo, ao nível 3 citado

neste documento;

b) possuir acesso lógico restrito por meio de sistema de autenticação e

autorização de acesso;

Art. 2º Alterar o item 3.1.1.3, do DOC-ICP-03.02, versão 1.1, que passa a vigorar com a

seguinte redação:

3.1.1.3. Os PSBio devem ainda atender aos seguintes requisitos:

a) O ambiente físico do PSBio deverá conter dispositivos que autentiquem e

registrem o acesso de pessoas informando data e hora desses acessos;

REVOGADA

b) O PSBio deverá conter imagens que garantam a identificação de pessoas

quando do acesso físico em qualquer parte de seu ambiente;

c) É mandatório o sincronismo de data e hora entre os mecanismos de segurança

física garantindo a trilha de auditoria entre dispositivos de controle de acesso

físico e de imagem;

d) Todos que transitam no ambiente físico do PSBio deverão portar crachás de

identificação, inclusive os visitantes;

e) Só é permitido o trânsito de material de terceiros pelos ambientes físicos do

PSBio mediante registro, garantindo a trilha de auditoria com informações de

onde o material passou, a data e hora que ocorreu o trânsito e quem foi o

responsável por sua manipulação;

f) O PSBio deverá conter dispositivos de prevenção e controle de incêndios,

temperatura, umidade, iluminação e oscilação na corrente elétrica em todo seu

ambiente físico;

g) Todo material crítico inservível, descartável ou não mais utilizável deverá ter

tratamento especial de destruição, garantindo o sigilo das informações lá

contidas. O equipamento enviado para manutenção deverá ter seus dados

apagados, de forma irreversível, antes de ser retirado do ambiente físico do

PSBio;

h) Os computadores pessoais, servidores e dispositivos de rede, e seus respectivos

softwares, deverão estar inventariados com informações que permitam a

identificação inequívoca;

i) Em caso de inoperância dos sistemas automáticos, o controle de acesso físico

deverá ser realizado provisoriamente por meio de um livro de registro onde

constará quem acessou, a data, hora e o motivo do acesso;

j) Deverão ser providenciados mecanismos para garantir a continuidade do

fornecimento de energia nas áreas críticas, mantendo os ativos críticos de

informação em funcionamento até que todos os processos e dados sejam

assegurados caso o fornecimento de emergência se esgote.

Art. 3º Alterar o item 06, do DOC-ICP-03.02, versão 1.1, que passa a vigorar com a seguinte

redação:

Os PSBios deverão ser entidades com capacidade técnica para realizar a identificação

(1:N) biométrica, tornando um registro/requerente único em um ou mais bancos/sistemas

de dados biométrico para toda ICP-Brasil, e a verificação (1:1) biométrica do requerente

de um certificado digital a comparação de uma biometria, que possua característica

perene e unívoca, de acordo com os padrões internacionais de uso, como, por exemplo,

impressão digital, face, íris, voz, coletada no processo de emissão do certificado digital

com outra que está armazenada, com o mesmo registro/indexador (IDN) deste requerente,

em um ou mais bancos/sistemas de dados biométrico da ICP-Brasil, como estabelecido

no DOC-ICP-05.03, bem como os descritos neste documento.

Art. 4º Alterar o item 2.2.5.6, do DOC-ICP-05.02, versão 1.2, que passa a vigorar com a

seguinte redação:

2.2.5.6. Caso o resultado da verificação biométrica tenha encontrado o CPF (indexador -

IDN) do requerente do certificado digital, com o resultado da comparação “negativo”, os

AGRs, além de realizarem as validações e verificações elencadas no DOC-ICP-05.02,

devem comunicar à AC vinculada para que se faça uma análise detalhada do caso. Caso a

AR e/ou a AC concluam que o requerente se trata do titular de fato do documento de

identificação e/ou das informações da empresa, deverá ser dado prosseguimento ao

processo de emissão do certificado digital. O registro biométrico/biográfico armazenado

no banco de dados de forma irregular, tanto da AC quanto do respectivo Sistema

Biométrico credenciado devem realizar os procedimentos mencionados no DOC-ICP-

05.03 (notificação de irregularidade do registro), comunicando ao ITI sobre a fraude.

Caso a AR e/ou a AC concluam que o requerente se trata de um suposto fraudador, não

deverá ser emitido o certificado digital e a AC deve comunicar a tentativa de fraude ao

ITI.

Art. 5º Acrescentar NOTA 16, renumerando as subsequentes, à alínea xxi, do item 3.1 do DOC-

ICP-05.02, versão 1.2, com a seguinte redação:

NOTA 16: No campo “outros” do Sistema de Comunicação de Fraude, deve-se, também,

realizar o upload das imagens em formato WSQ, conforme especificações contidas no

DOC-ICP-05.03, das impressões digitais dos supostos fraudadores. Esses arquivos de

impressões digitais devem estar nomeados da seguinte forma: 1: Polegar esquerdo; 2:

Indicador esquerdo; 3: Dedo médio esquerdo; 4: Anelar esquerdo; 5: Dedo mínimo

esquerdo; 6: Polegar direito; 7: Indicador direito; 8: Dedo médio direito; 9: Anelar

direito; 10: Dedo mínimo direito. Essas impressões digitais, assim como a face, devem

ser submetidas/enviadas pela AC/PSS ao seu respectivo Sistema Biométrico para

inserção dessas biometrias no repositório de Lista Negativa biométrica do mesmo.

Art. 6º Alterar a NOTA 17, da alínea xxiv, do item 3.1 do DOC-ICP-05.02, versão 1.2, que após

ser renumerada passa a ser identificada como NOTA 18 e vigorar com a seguinte redação:

NOTA 18: Imagem do documento de identificação em formato (JPG ou JPEG), com a

face do requerente disposta em pé, nomeado com o CPF do mesmo (exemplo:

11122233344.jpeg), com no mínimo 300 dpi de resolução, com cor, tamanho máximo de

1 MB, em que se possa ler nitidamente todas as informações biográficas apresentadas no

documento. Imagem da face em formato (JPG ou JPEG), com a face do requerente

disposta em pé, nomeado com o CPF“FACE” do mesmo (exemplo:

11122233344FACE.jpeg), com no mínimo 300 dpi de resolução, com cor, tamanho

máximo de 1 MB (pode ser recortada do próprio documento de identificação).

Art. 7º Acrescentar ao item 2, DOC-ICP-05.03, versão 1.1, o seguinte texto:

Todos os arquivos gerados pelas coletas das biometrias, determinadas nos itens

subsequentes, devem conter trilha de auditoria em relação a data, horário e local da

coleta, registro do equipamento de coleta e o agente de registro responsável pela mesma,

com a utilização de autenticação por meio do certificado digital do mesmo, pelo período

mínimo de 6 anos, conforme DOC-ICP-05.

Art. 8º Acrescentar os itens 3.2.1, 3.2.2, 3.2.2.1 e 3.2.3, ao DOC-ICP-05.03, versão 1.1, com a

seguinte redação:

3.2.1 Formatos e padrões das mensagens para os serviços de HUB

As requisições para os serviços de HUB devem seguir o padrão assíncrono, ou seja, todas

as respostas devem ser retornadas pelo HUB que recebeu a solicitação quando o mesmo

tiver a informação disponível. O modelo assíncrono implementado deve seguir o conceito

“PULL”, ou seja, quem recebeu a requisição é responsável por gerar e entregar a

requisição de resposta.

As requisições devem utilizar o método POST, e conter apenas o arquivo ANSI/NIST no

corpo da requisição (de acordo com o padrão especificado neste documento), além de

conter obrigatoriamente os seguintes cabeçalhos (headers):

a) NIST/XML:

Content-Type: application/xml

b) NIST/binary

Content-Type: application/octet-stream

3.2.2. Tratamento de erros

Em geral, pela sua característica assíncrona, o HUB retorna os erros de forma assíncrona

com um arquivo ANSI/NIST de resposta conforme descrito neste documento. Em

algumas situações específicas, o erro é gerado em tempo de execução da requisição.

Nestes casos, o serviço deve retornar um código de erro HTTP 500, seguidos de uma

mensagem de erro no padrão descrito abaixo.

{

“error_code”:””

“error_message”:””,

“additional_data”:””

}

3.2.2.1 Códigos de erro (em tempo de execução)

999 – Requisição mal formatada/arquivo ANSI/NIST inválido

102 – PSBio não encontrado

401 – Não autorizado / erro de autenticação

3.2.3. Autenticação e segurança

Como já mencionado, todas as requisições devem utilizar autenticação dupla, e a

identificação do PSBio deve ser feita por meio do certificado enviado pelo lado cliente

(quem originou a requisição). O identificador do PSBio deve estar presente no CN

(Common name) do certificado e o certificado deve corresponder ao publicado para

aquele PSBio.

Art. 9º Alterar o item 3.3, do DOC-ICP-05.03, versão 1.1, que passa a vigorar com a seguinte

redação:

O serviço de diretório deve ser oferecido por cada um dos HUBs/PSBio como um

mecanismo rápido de consultas, e é crítico para manutenção da consistência das bases

biométricas. O serviço de diretório deve prover cinco operações básicas:

a. Acusar a existência ou não de um IDN dentro no PSBio e a lista de biometrias

cadastradas;

b. Lista de transações pendentes (transações de identificação 1:N e transações de

atualização, notificações de atualização de status);

c. Solicitar reenvio de operações pendentes;

d. Listar os IDNs de seus registros (exceto os de seu cache);

e. Receber notificação de mudança de status de um IDN (notificação de fraude e

finalização de processo de cadastramento ou atualização);

Art. 10 Alterar o item 3.3.2, do DOC-ICP-05.03, versão 1.1, que passa a vigorar com a seguinte

redação:

3.3.2 Operação de listagem de operações pendentes

A operação de listagem de operações pendentes é utilizada quando um PSBio tiver seus

serviços temporariamente indisponíveis e precisar restabelecer os serviços. Nesta

situação, o PSBio deve consultar o serviço de diretório dos demais PSBios para obter as

pendências, que podem ser relativas a lista de cadastros pendentes de busca 1:N e

atualizações de status pendentes. Nas duas situações, o PSBio que reestabeleceu as suas

operações deve solicitar o reenvio da operação pendente.

NOTA 1: Para evitar excesso de tráfego de dados, a operação de listagem de buscas 1:N

pendentes retornara no máximo 1000 registros. Caso o PSBio possua uma fila maior que

1000 registros para tratar, deve fazer o tratamento dos primeiros 1000 registros enviados

(e assim sucessivamente até processar todas as transações pendentes).

Art. 11 Alterar o item 3.3.3, do DOC-ICP-05.03, versão 1.1, que passa a vigorar com a seguinte

redação:

3.3.3 Operação de requisição de reenvio de operações pendentes

Ao retornar de uma falha, o PSBio deve executar todas as operações que estiverem

pendentes junto a outros PSBios, que podem ser buscas 1:N pendentes, finalizações de

cadastro pendentes e notificações de fraude pendentes.

No caso das buscas 1:N pendentes, o processo terá as seguintes etapas:

a. A primeira etapa deste processo é consultar o serviço especificado no item

3.3.2 para saber a lista de IDNs pendentes em cada um dos PSBios.

b. A segunda etapa é enviar o pedido de reenvio da busca 1:N aos PSBios que

aguardam uma resposta. Esse pedido é uma sinalização de que o PSBio que

estava em falta voltou a operar, mas não é ainda o resultado da busca 1:N.

c. Os PSBios que forem notificados devem então repetir a solicitação de busca

1:N pendente ao PSBio que voltou a operar.

No caso de notificações de alteração de status, o processo terá as seguintes etapas:

a. A primeira etapa para o este processo é consultar o serviço especificado no

item 3.3.2 para saber a lista de IDNs pendentes de alteração de status em cada

um dos PSBios.

b. A segunda etapa é enviar o pedido de reenvio alterações de status.

c. Os PSBios que forem notificados, farão uma nova tentativa de notificação de

alteração de status.

Art. 12 Alterar o item 3.3.4 e excluir o item 3.3.5, renumerando os subsequentes, no DOC-ICP-

05.03, versão 1.1. O item 3.3.4 passa a vigorar com a seguinte redação:

3.3.4 Receber notificação de alteração de status

O PSBio deve possuir uma interface para receber as notificações de fraude/irregularidade

de um IDN e de notificação de finalização de um cadastro. Seguem as situações de uso

previstas para a operação.

- Notificação de finalização de cadastro (STATUS 1): Sempre que um PSBio

finalizar uma transação de cadastramento ou atualização de um determinado IDN.

O PSBio responsável pelo IDN deve enviar esta notificação para todos os outros

PSBios, identificando o novo status para aquele IDN.

- Notificação de fraude (STATUS 0): Sempre que uma AC responsável pelo IDN

finalizar a análise de irregularidade. A operação permite remover um determinado

registro da base. O IDN utilizado na irregularidade deve ser liberado, para que o

seu real detentor possa executar o cadastro biométrico.

O PSBio que receber a notificação deve repassá-la aos demais PSBios para que estes

possam remover o registro do cache, se for o caso.

Art. 13 Alterar o item 3.3.7, que após ser renumerado passa a ser identificado como item 3.3.6,

do DOC-ICP-05.03, versão 1.1, que passa a vigorar com a seguinte redação:

3.3.6 Formatos e padrões das mensagens para os serviços do diretório

3.3.6.1 Padrões de requisição

As requisições para os serviços de diretório devem seguir o padrão síncrono, ou seja,

todas as respostas devem ser retornadas na mesma requisição/resposta. Deve-se utilizar a

versão 1.1 ou superior do protocolo HTTP.

As requisições devem utilizar o método POST e conter obrigatoriamente os seguintes

cabeçalhos (headers):

Accept: application/json

Content-Type: application/json

Os cabeçalhos (headers) de resposta devem conter obrigatoriamente os seguintes

parâmetros:

Content-Type: application/json

NOTA 6: Os serviços relacionados a reenvio de pacotes padrão ANSI/NIST (reenvio de

busca 1:N), devem retornar um valor positivo ou negativo relativo ao recebimento da

operação, e a integração deve ser feita diretamente entre os pontos de comunicação dos

HUBs biométricos.

3.3.6.2 Autenticação e segurança

Como já mencionado, todas as requisições devem utilizar autenticação dupla, e a

identificação do PSBio deve ser feita por meio do certificado enviado pelo lado cliente

(quem originou a requisição). O identificador do PSBio deve estar presente no CN

(Common name) do certificado e o certificado deve corresponder ao publicado para

aquele PSBio.

3.3.6.3 Tratamento de erros

Os erros devem ser retornados com um HTTP Status Code 200, seguidos de uma

mensagem JSON descrevendo a ocorrência, seguindo o seguinte padrão:

{

“error_code”:””

“error_message”:””,

“additional_data”:””

}

3.3.6.3.1. Códigos de erro

999 – Requisição mal formatada

100 – Registro não encontrado

101 – Registro não pertence ao PSBio

102 – PSBio não encontrado

103 – Registro inválido

401 – Não autorizado / erro de autenticação

3.3.6.4 Operação de consulta de IDN

JSON

Requisição:

{

“resquestType”:”idn_query”,

“idn”:”Código alfanumérico do IDN”

}

Resposta:

{

“idn”:”Código alfanumérico do IDN”,

“t_14_013_1”:”TRUE|FALSE”,

“t_14_013_2”:”TRUE|FALSE”,

“t_14_013_3”:”TRUE|FALSE”,

“t_14_013_4”:”TRUE|FALSE”,

“t_14_013_5”:”TRUE|FALSE”,

“t_14_013_6”:”TRUE|FALSE”,

“t_14_013_7”:”TRUE|FALSE”,

“t_14_013_8”:”TRUE|FALSE”,

“t_14_013_9”:”TRUE|FALSE”,

“t_14_013_10”:”TRUE|FALSE”,

“t_10”:”TRUE|FALSE”

}

3.3.6.5 Operação de listagem de operações pendentes

JSON

Requisição:

{

“resquestType”:”pending_operations”,

}

Resposta:

{

“requestType”:”pending_operations”,

“pendingOperationsList”:

[

{“operationType”: “1_n_queue”,

“idnList”:[

“Código alfanumérico do TCN”,

(...)

“Código alfanumérico do TCN”

]},

{“operationType”: “changeStatus”,

“idnList”:[

“Código alfanumérico do TCN”,

(...)

“Código alfanumérico do TCN”

]}

3.3.6.6 Operação de requisição de reenvio de operação pendente

JSON

Requisição:

{

“resquestType”:”operation_resend”,

“operationType”:”1_n_resend / status_change”,

“idn”:”Código alfanúmerico do IDN”,

“cacheRebuild”: “TRUE/FALSE” // Somente para reenvio de busca 1:N

}

Resposta:

{

“response”:”Mensagem de resultado da operação”,

“responseCode”:”código de retorno de resultado da operação”

}

3.3.6.7 Operação de notificação alteração de status

JSON

Requisição:

{

“resquestType”:”change_status”,

“statusCode”: “0|1”, // [NOVO_STATUS: 1- finalizado, 0 – notificação de fraude]

“idn”:”Código alfanúmerico do IDN”

}

Resposta:

{

“response':”Mensagem de resultado da operação',

“responseCode':'código de retorno de resultado da operação”

}

3.3.6.8 Operação de reconstrução de cache

JSON

Requisição:

{

“resquestType”:”idn_list'”,

“startDate”, “UNIX_TIMESTAMP_UTC”,

“endDate”, “UNIX_TIMESTAMP_UTC”

}

Resposta:

{

“responseCode”:”código de retorno de resultado da operação”,

“idnList”:[

{ “idn”: “Código IDN”,

“tcn”:”Código TCN”,

“timestamp”: “timestamp da última atualização”},

...

{ “idn”: “Código IDN”,

“tcn”:”Código TCN”,

“timestamp”: “timestamp da última atualização”}

]

}

Art. 14 Acrescentar o item 5 ao DOC-ICP-05.03, versão 1.1, renumerando os subsequentes, com

a seguinte redação:

5. Publicação dos serviços de PSBio

Serão publicados pela ICP-Brasil uma listagem de todos os PBios homologados, esta

listagem deve conter a seguintes informações de cada PSBio:

- ID do PSBio

- Localização/URL do serviço de diretório

- Localização/URL do serviço de troca de arquivos ANSI/NIST (HUB

biométrico)

- x509/certificado para fins de autenticação do PSBio

A publicação será feita em arquivo em formato JSON, seguindo o formato abaixo.

[

{

“PSBioId:” “Certibio”,

“nist_endpoint”: “URL PARA ENVIO DE ARQUIVOS ANSI/NIST”,

“directory_endpoint”: “URL PARA SERVIÇO DE DIRETÓRIO”,

“x509”: “BASE64 X.509”

{...}

]

Art. 15 Acrescentar alínea “e”, ao item 5, que após ser renumerado passa a ser identificado como

item 6, do DOC-ICP-05.03, versão 1.1:

e. As ACs devem guardar trilha de auditoria das operações de entrada e saída, do

respectivo HSM, em relação a cada requisição para cálculo do IDN, pelo período

mínimo de 6 anos, conforme DOC-ICP-05.

Art. 16 Alterar o item 5.1, que após ser renumerado passa a ser identificado como item 6.1, do

DOC-ICP-05.03, versão 1.1, que passa a vigorar com a a seguinte redação:

6.1 Geração do IDN

A geração do IDN utilizará criptografia simétrica com chave armazenada em HSM, da

seguinte forma:

a. o CPF é criptografado utilizando algoritmo AES-256 (modo CBC), como

especificado no DOC-ICP-01.01;

b. em seguida o hash SHA256 (32 bytes) é calculado para o CPF

criptografado no passo (a);

c. resultado de (b) é concatenado com o cálculo do hash SHA256(32 bytes)

do resultado de (b);

d. por fim, o resultado do passo (c) é codificado em BASE64 (RFC 4648)

para gerar o IDN.

IDN = BASE64 (SHA256(AES(CPF))||SHA256(SHA256(AES(CPF))))

A AC/PSS que utiliza o IDN pode verificar sua integridade antes de aceitá-lo.

Art. 17 Alterar o item 6, que após ser renumerado passa a ser identificado como item 7, do

DOC-ICP-05.03, versão 1.1, que passa a vigorar com a seguinte redação:

7. Notificação de irregularidade e duplicidade

As ACs farão uso do item 3.1 do DOC-ICP-05.02 - PROCEDIMENTOS PARA

IDENTIFICAÇÃO DO REQUERENTE E COMUNICAÇÃO DE

IRREGULARIDADES NO PROCESSO DE EMISSÃO DE UM CERTIFICADO

DIGITAL ICP-BRASIL para encaminhar os dados biométricos do suposto

fraudador.

A AC responsável pelo registro/IDN, ao receber uma notificação deve repassar ao

seu PSBio, por meio do serviço de diretório, que o indexador relacionado a

irregularidade deve ser desconsiderado. Nesta situação, o IDN deve ser removido

da base biométrica de produção e procedimentos de fraude devem realizados

conforme DOC-ICP-05.02 - PROCEDIMENTOS PARA IDENTIFICAÇÃO DO

REQUERENTE E COMUNICAÇÃO DE IRREGULARIDADES NO

PROCESSO DE EMISSÃO DE UM CERTIFICADO DIGITAL ICP-BRASIL.

Art. 18 Acrescentar ao item 2, do DOC-ICP-01.01, versão 3.0, a tabela Geração de Chaves

Simétricas para IDN, com a seguinte redação:

Geração de Chaves Simétricas para IDN

Normativo ICP-Brasil DOC-ICP-05-04 - item 1.1

Algoritmo e Tamanho de chave AES – 256 bits

Modo de operação CBC

Art. 19 Ficam aprovadas as novas versões dos Documentos: DOC-ICP-03.02 - REQUISITOS

MÍNIMOS DE SEGURANÇA PARA PSBIO NA ICP-BRASIL (versão 1.2), DOC-ICP-05.02 -

PROCEDIMENTOS PARA IDENTIFICAÇÃO DO REQUERENTE E COMUNICAÇÃO DE

IRREGULARIDADES NO PROCESSO DE EMISSÃO DE UM CERTIFICADO DIGITAL

ICP-BRASIL (versão 1.3), DOC-ICP-05.03 - PROCEDIMENTOS PARA IDENTIFICAÇÃO

BIOMÉTRICA NA ICP-BRASIL (versão 1.2) e DOC ICP-01.01 - PADRÕES E

ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL (versão 3.1).

§ 1º Todas as demais cláusulas dos referidos documentos, nas suas versões imediatamente

anteriores, integram as presentes versões e mantêm-se válidas.

§ 2º Os documentos referidos no caput encontram-se disponibilizados, em sua totalidade,

no sítio http://www.iti.gov.br.

Art. 20 Esta Instrução Normativa entra em vigor na data de sua publicação.

RENATO DA SILVEIRA MARTINI