Critérios para Aplicação de Penalidades na ICP-Brasil – DOC-ICP-09.01 v.1.0 6
2.2.2 A penalidade de advertência não impede o normal prosseguimento das atividades e
operações do PSCert e será aplicada quando:
a) se tratar de fato já consumado e que não possa ser ou já esteja regularizado,
independentemente da criticidade da inconformidade, como, por exemplo, intervalo de
tempo sem publicação de LCR; e
b) houver uma ou mais ocorrências classificadas como de baixa criticidade e que não estejam
regularizadas, como por exemplo:
i. falha na atualização de informações disponíveis nos repositórios;
ii. falha em inventário de ativos;
iii. falha na emissão do relatório de auditoria, que não comprometa a atribuição de
conceito do PSCert auditado, mas esteja em desacordo com a documentação
apresentada quando do credenciamento.
2.3 A penalidade de restrição de realizar determinadas atividades ou modalidades de operação
implicará o impedimento de exercer as atividades as quais foi autorizado, pelo período máximo de
180 (cento e oitenta) dias.
2.3.1 A penalidade de restrição será aplicada quando o PSCert incorrer em não conformidades de
risco médio ou maior, não regularizada ou com prazo de regularização vencido, como por exemplo:
a) falha na apresentação ou ausência de documentação fisco-tributária do PSCert;
b) falha no processo de treinamento de pessoal do PSCert;
c) falha no processo de avaliação do pessoal do PSCert;
d) falha no sistema de gravação de imagens de CFTV;
e) falha no dossiê de certificado emitido, quanto a documentação, poderes e assinatura;
f) erros ou falhas em campos de certificados emitidos;
g) erros ou falhas em campos de LCR emitidas;
h) falha na apresentação de certidões de pessoal vinculado ao PSCert;
i) falha na manutenção de sistemas de ar-condicionado, sistema elétrico e de combate a
incêndio que comprometa as atividades do sítio principal e de contingência da AC;
j) falha na identificação de equipamentos que se conectam à solução de certificação digital da
AC;
k) ausência de testes de funcionamento do sítio de contingência;
l) ausência de testes de recuperação de cópia de segurança de LCR, logs de aplicativo e base
de dados;
m) ausência ou deficiências nos procedimentos de testes de vulnerabilidade de rede;
n) ausência ou falhas na monitoração de ocorrências registradas em logs;