INSTRUÇÃO NORMATIVA ITI N

32, DE 23 DE ABRIL DE 2025

Aprova os critérios para emissão de relatório e

parecer de auditoria de Prestador de Serviço de

Cerﬁcação – PSCert na ICP-Brasil.

O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das

atribuições que lhe foram conferidas pelo inciso VI do art. 13 do Anexo I do Decreto nº 12.103, de 8 de

julho de 2024, pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004,

e pelo art. 2º da Resolução nº 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020, resolve:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Instrução Normava dispõe sobre realização de auditoria, elaboração de relatório e a emissão

de parecer de auditoria no âmbito da Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil, em

atendimento à indicação conda no item 6.1.3 do Anexo da Resolução CG ICP-Brasil nº 185, de 18 de maio

de 2021.

Art. 2º Esta Instrução Normava aplica-se à Empresa de Auditoria Independente credenciada, Auditoria

Interna da respecva Autoridade de Registro - AR, Autoridade Cerﬁcadora - AC ou Prestador de Serviço

de Suporte - PSS credenciados junto ao Instuto Nacional de Tecnologia da Informação - ITI que realizam

auditoria em suas ARs, bem como aos Auditores do ITI, quando for o caso.

Art. 3º Os Prestadores de Serviço de Cerﬁcação – PSCerts são submedos à auditoria pré-operacional

antes do início das avidades do candidato e a auditorias operacionais anuais, na forma estabelecida nesta

Instrução Normava.

CAPÍTULO II

DA COMPETÊNCIA

Art. 4º Cabe ao auditor a responsabilidade pela escolha dos processos a serem auditados em cada

Prestador de Serviço de Cerﬁcação - PSCert, individualmente, assim como a classiﬁcação dos riscos

observados em cada processo e subprocesso a ser avaliado.

Art. 5º As auditorias operacionais de Autoridade Cerﬁcadora devem manifestar-se expressamente sobre

se estão atendidos os critérios de realização de auditorias operacionais nas ARs subordinadas e se são

adotados controles para acompanhamento das não conformidades nos respecvos relatórios de auditoria

operacional de AR, em atendimento ao item 6.3.3 do Anexo da Resolução CG ICP-Brasil nº 185, de 18 de

maio de 2021.

CAPÍTULO III

DO OBJETIVO E FINALIDADE

Art. 6º Auditorias realizadas no âmbito da ICP-Brasil têm por objevo veriﬁcar se os processos,

procedimentos e avidades dos PSCerts integrantes da ICP-Brasil estão em conformidade com as

respecvas Declarações de Prácas, Polícas de Cerﬁcado - PC, Polícas de Segurança - PS e demais

normas e procedimentos estabelecidos pela ICP-Brasil e com os princípios e critérios deﬁnidos pelo

WebTrust.

§ 1º O presente documento suplementa a regulamentação, no âmbito da ICP-Brasil, das avidades de

auditoria a serem realizadas em sua cadeia de cerﬁcação digital. Não esgota, no entanto, os processos e

subprocessos existentes na cadeia da ICP-Brasil, devendo ser entendido apenas como um balizador ou

ponto de parda para cada trabalho de auditoria e tem por objevo uniformizar os procedimentos e

metodologias ulizadas nas auditorias operacionais e pré-operacionais no âmbito da ICP-Brasil.

§ 2º O documento ADE-ICP-08-E mapeia os processos e subprocessos que compõem a cadeia de

cerﬁcação, associando-os às normas e procedimentos regulamentados pela ICP-Brasil, e deverá nortear

as auditorias realizadas na cadeia da ICP-Brasil. Adicionalmente, as auditorias em Autoridades

Cerﬁcadoras e Autoridades de Registro também devem avaliar os princípios e critérios deﬁnidos pelo

WebTrust for CA.

§ 3º Aplica-se, no que couber, para o exercício das avidades de auditoria interna e independente a

Norma Brasileira de Contabilidade, NBC TO 3000, de 20 de novembro de 2015, quanto à realização de

trabalho de asseguração razoável, as normas globais de auditoria interna do The Instute of Internal

Auditors – The IIA e a Instrução Normava SFC nº 08, de 06 de dezembro de 2017.

Art. 7º As avidades de auditoria no âmbito da ICP-Brasil e reguladas por este instrumento se aplicam na

realização de auditorias no Prestador de Serviço de Cerﬁcação - PSCert, quer seja Autoridade

Cerﬁcadora - AC, Autoridade de Carimbo do Tempo - ACT, Autoridade de Registro - AR, Prestador de

Serviço de Suporte -PSS, Prestador de Serviço Biométrico - PSBio ou Prestador de Serviço de Conﬁança -

PSC de Assinatura Digital e Armazenamento de Chaves Criptográﬁcas.

Art. 8º Os PSCerts são responsáveis pelos serviços de cerﬁcação digital prestados devendo garanr que

os requisitos mínimos aplicáveis a cada endade da ICP-Brasil são cumpridos, mesmo nos casos em que

este subcontrate (total ou parcialmente) os serviços de cerﬁcação.

CAPÍTULO IV

DA REALIZAÇÃO DA AUDITORIA

Art. 9º Considerando o nível de exposição aos riscos, a endade de auditoria poderá excluir processos ou

subprocessos das avaliações de auditoria, de forma jusﬁcada. Tais exclusões e jusﬁcavas constarão do

corpo do relatório de auditoria a critério da endade de auditoria e em conformidade com a metodologia

apresentada quando do credenciamento da endade de auditoria.

Art.10. As auditorias são desenvolvidas, no mínimo, em 3 fases: Planejamento, Execução e Elaboração do

Relatório Final de Auditoria (RFA).

Fase 1 – Planejamento (Pré-avaliação):

Art. 11. A fase de planejamento deverá iniciar com a pré-avaliação ou avaliação documental, realizada

por meio de uma ou mais reuniões preliminares, com representante da endade a ser auditada, com o

objevo de dotar o auditor da documentação necessária, bem como para que ﬁque com maior percepção

da infraestrutura implementada pelo PSCert, extensão do seu sistema de gestão e dos serviços/funções

de cerﬁcação digital na ICP-Brasil.

Parágrafo único. O auditor deve analisar a documentação relacionada com o sistema de controle e

qualidade implementado pelo PSCert, esclarecer as dúvidas que surjam com o representante da endade

a auditar e obter os dados necessários para preparar a fase seguinte, possibilitando maior foco e seleção

dos processos e subprocessos que devem ser observados no local.

Art.12. Devem ser veriﬁcados, de acordo com a especiﬁcidade de cada endade a auditar, os requisitos

estabelecidos nas normas da ICP-Brasil, os processos e subprocessos mapeados no ADE-ICP - 08.E e os

documentos:

I - Políca de Cerﬁcados - PC da AC ou AR ;

II - Declaração de Prácas de Cerﬁcação - DPC da AC;

III - Declarações de Prácas dos Prestadores de Serviço de Conﬁança - DPPSC da ICP-Brasil;

IV - Declarações de Prácas das Autoridades de Carimbo do Tempo - DPCT da ICP-Brasil;

V - Políca de Segurança - PS;

VI - Plano de Conngência/Connuidade - PCN;

VII - Procedimentos Operacionais Mínimos executados pelos PSCert;

VIII - deliberações internas do PSCert;

IX - atas de reuniões;

X - relatórios de incidentes;

XI - exemplares dos vários pos de cerﬁcados emidos;

XII - Lista de Cerﬁcados Revogados - LCR;

XIII - documentos relavos ao estatuto legal da PSCert;

XIV - seguro de responsabilidade civil;

XV - documentos de regularidade jurídica, ﬁscal e econômico-ﬁnanceira; e

XVI - outros que o auditor julgar pernentes.

Parágrafo único. Deverão ser observados os itens 9.4 e 9.5 do Anexo da Resolução CG ICP-Brasil nº 185,

de 18 de maio de 2021, em relação à manifestação do auditor sobre as não conformidades em relatório

de auditoria imediatamente anterior.

Art. 13. Com base nos elementos recolhidos, o auditor elabora o documento “Cronograma e

Planejamento da Auditoria”, que irá servir de base aos trabalhos de avaliação na fase seguinte. O

cronograma poderá ser enviado previamente à endade auditada, devendo conter no mínimo, para cada

dia de auditoria, os itens que irão ser alvo de apreciação, o local onde se realizará e quais as pessoas com

funções de conﬁança que devem estar presentes em cada um dos aspectos a avaliar.

Art. 14. Os resultados obdos nesta fase de planejamento são incluídos no Relatório Final.

Fase 2 - Execução:

Art. 15. Os principais objevos desta fase são conﬁrmar se o PSCert cumpre os requisitos mínimos

estabelecidos para AC, AR, ACT, PSC e PSBio na emissão de cerﬁcados e carimbos do tempo ICP-Brasil,

bem como se suas polícas, prácas e procedimentos estão sendo aplicados operacionalmente.

Parágrafo único. Os processos, procedimentos e avidades, quando executados pelos PSSs, deverão ser

avaliados no âmbito da auditoria do PSCert, devendo constar em destaque no relatório de auditoria do

PSCert.

Art. 16. Nesta fase deverá ser realizada a avaliação in loco nas instalações do PSCert, devendo incluir,

entre outros, a sala cofre, os locais onde se desenvolva o serviço de registro (Autoridades de Registro) e

as instalações técnicas do PSCert.

§ 1º Quando se tratar de auditoria operacional de AR, deverá ser realizada avaliação in loco, no mínimo,

a cada dois anos.

§ 2º Quando a auditoria operacional anterior da AR ver conceito igual ou superior a três (DEFICIENTE,

INADEQUADO ou INACEITÁVEL), a auditoria operacional subsequente deverá ser realizada in loco.

§ 3º As auditorias pré-operacionais de todos os PSCerts deverão ser realizadas in loco.

Art. 17. Quando da realização de auditoria operacional anual em Autoridade Cerﬁcadora deverá ser

realizada avaliação das Autoridades de Registro vinculadas à AC alvo da auditoria com base em

amostragem, a ser deﬁnida pelo Auditor Independente, tendo como orientação:

I - os resultados das auditorias internas anteriores;

II - as vulnerabilidades, ameaças e riscos a que cada local está sujeito;

III - os resultados das ﬁscalizações realizadas pelo ITI;

IV - as fraudes na emissão de cerﬁcados reportadas ao ITI que veram a parcipação da AR no

procedimento de idenﬁcação do solicitante, nos casos de auditoria de AC ou AR;

V - as diferenças e variações no volume de emissão de cerﬁcados e na quandade de locais de

idenﬁcação de tulares;

VI - o aplicavo da AR que faz interface com o sistema da Autoridade Cerﬁcadora;

VII - a complexidade dos sistemas de informação de cada um dos locais;

VIII - a interação com sistemas de informação crícos da Autoridade Cerﬁcadora; e

IX - as diferenças nos requisitos das Polícas de Cerﬁcados pracadas pela AC.

§ 1º As ARs selecionadas por amostragem para atender à avaliação descrita no caput connuam

obrigadas à realização de auditorias operacionais.

§ 2º As auditorias operacionais de AR realizadas pela mesma empresa de auditoria que está realizando a

auditoria operacional da AC poderão ser consideradas para atendimento do disposto no caput.

§ 3º Quando se tratar do disposto no caput, a avaliação das ARs poderá ser realizada à distância, a critério

do auditor, obedecendo ao percentual mínimo de 10% da amostragem de avaliações in loco.

Art. 18. Esta fase culmina com a apresentação do Relatório Preliminar de Auditoria pelo auditor, sendo

comunicadas as não conformidades encontradas durante o processo de auditoria nas Fases 1 e 2.

Art. 19. Para a apresentação desse relatório, devem estar presentes, por parte da endade auditada, os

responsáveis técnicos e representantes legais do PSCert.

Fase 3 - Elaboração do Relatório Final de Auditoria - RFA

Art. 20. O Relatório Final de Auditoria é um documento que, depois de preenchido, deverá ter a

classiﬁcação da informação adequada à cricidade do seu conteúdo e deverá ser elaborado de acordo

com o ADE-ICP-08.I - Modelo e Requisitos para a Elaboração do Relatório Final de Auditoria, disponível no

site do ITI.

Art. 21. O Relatório Final de Auditoria deve ser distribuído, no mínimo, às seguintes autoridades:

I - endade auditada;

II - Autoridades Cerﬁcadoras hierarquicamente vinculadas; e

III - Instuto Nacional de Tecnologia da Informação - ITI.

Parágrafo único. O RFA enviado ao ITI deverá ser acompanhado da Lista de Veriﬁcação de Conformidade

e da Declaração de não Impedimento, na forma do Apêndice B do ADE-ICP-08.I.

Art. 22. Não será emido relatório de auditoria operacional para o Prestador de Serviço de Suporte – PSS.

Art. 23. Nas auditorias operacionais nas ACs, o relatório de auditoria deverá informar em item destacado

se são atendidos os critérios de realização de auditorias operacionais nas ARs subordinadas e se são

adotados controles para acompanhamento daquelas auditorias.

Art. 24. No relatório de auditoria constará, em parágrafo destacado, o conceito geral do PSCert atribuído

pelo auditor ao auditado e os movos que levaram à referida conceituação. A opinião do auditor será

registrada no Relatório Final de Auditoria, que poderá ser: Adequado; Aceitável; Deﬁciente; Inadequado

ou Inaceitável.

Emissão do Parecer de auditoria

Art. 25. Na emissão do Parecer de auditoria e na conclusão no Relatório Final de Auditoria será ulizado

o Conceito sobre o PSCert auditado, conforme a tabela a seguir:

Conceito

Parecer

Situação

Adequado

Ausência de não conformidades

Aceitável

Média da avaliação dos riscos considerada baixa

Deﬁciente

Média da avaliação dos riscos considerada média

Inadequado

Média da avaliação dos riscos considerada alta

Inaceitável

Média da avaliação dos riscos considerada críca

§ 1º A média aritméca é o somatório dos riscos encontrados nos controles que apresentaram

inconformidade, dividido pela respecva quandade de controles que apresentaram não conformidade.

§ 2º Havendo dúvida quanto ao enquadramento, pelo princípio do conservadorismo, será adotado o

conceito de maior valor numérico (mais críco).

§ 3º O conceito "Adequado" é aplicável somente nos casos em que não foram detectadas não

conformidades durante as avaliações e veriﬁcações no decorrer da auditoria.

Critérios para aplicação dos conceitos

Art. 26. A atribuição do conceito geral do PSCert, que constará do relatório de auditoria, reﬂerá a opinião

do auditor sobre o nível de risco a que o PSCert esver exposto. Para auxiliar nesta atribuição de conceito,

o auditor poderá se valer do valor médio das não conformidades encontradas, que não poderá prevalecer

sobre a opinião do auditor.

Parágrafo único. Toda vez que os conceitos forem modiﬁcados em decorrência da convicção do auditor, o

relatório de auditoria destacará a situação de forma fundamentada, cujas evidências deverão ser anexadas

ao relatório desnado ao ITI.

Art. 27. A atribuição da cricidade de cada não conformidade é de responsabilidade do auditor, que deve

se basear na metodologia adotada, confrontada com as condições idenﬁcadas, dentro do contexto

auditado.

Art. 28. A cricidade das não conformidades são classiﬁcadas como:

I - Risco críco:

a) cerﬁcado emido com tamanho de chave inferior ao mínimo estabelecido;

b) inexistência de LCR;

c) intervalo de tempo sem LCR;

d) LCR sem conteúdo; e

e) LCR com campo errado ou incorreto.

f) ausência de cobertura de seguro de responsabilidade civil;

g) ausência de realização de auditoria operacional anual;

h) qualquer ato intencional de omissão ou manipulação de dados, alteração de documentos ou

registros eletrônicos, ou qualquer ato que possa ser enquadrado como fraude;

i) fraudes relacionadas à idenﬁcação do tular do cerﬁcado;

j) vulnerabilidade em ambiente lógico de segurança de rede;

k) ausência de sincronismo de tempo entre os servidores e a Fonte Conﬁável do Tempo - FCT;

l) uso de algoritmo de criptograﬁa diferente do estabelecido nas normas;

m) ausência de testes de restauração de cópia de segurança de base de dados, de logs, de LCR e de

cerﬁcados digitais;

n) falhas nos sistemas de controle de acesso sico e lógico aos recursos de AC;

o) ausência de sincronismo dos aplicavos de AC entre os síos principal e de conngência da AC;

p) falha de integridade das aplicações e bases de dados da AC;

q) uso comparlhado de equipamento computacional entre Autoridades de Registro;

r) Autoridade de Registro sem sede administrava em território nacional; e

s) ausência de Agente de Registro ou equipamento computacional para operação da Autoridade de

Registro.

II - Risco alto:

a) falha no dossiê de cerﬁcado emido, quanto a documentação, poderes e assinatura;

b) erros ou falhas em campos de cerﬁcados emidos;

c) erros ou falhas em campos de LCR emidas;

d) falha na apresentação de cerdões de pessoal vinculado ao PSCert;

e) falha na manutenção de sistemas de ar-condicionado, sistema elétrico e de combate a incêndio que

comprometa as avidades do sío principal e de conngência da AC;

f) falha na idenﬁcação de equipamentos que se conectam à solução de cerﬁcação digital da AC;

g) ausência de testes de funcionamento do sío de conngência;

h) ausência de testes de recuperação de cópia de segurança de LCR, logs de aplicavos e bases de dados;

i) ausência ou deﬁciências nos procedimentos de testes de vulnerabilidade de rede;

j) ausência ou falhas na monitoração de ocorrências registradas em logs;

k) ausência de licença de soware proprietário de terceiros; e

l) comparlhamento de rede de internet com outra empresa ou AR.

III - Risco médio:

a) falha relacionada à habilitação jurídica, à regularidade ﬁscal ou à qualiﬁcação econômico-ﬁnanceira

do PSCert;

b) falha no processo de treinamento de pessoal do PSCert;

c) falha no processo de avaliação do pessoal do PSCert;

d) falha no sistema de gravação de imagens de CFTV;

e) falha nos procedimentos de desligamento de empregados do PSCert, mesmo que sem desligamento

da empresa responsável pelo PSCert; e

f) ausência de comprovante de posse/propriedade dos equipamentos computacionais e equipamentos

biométricos.

IV - Risco baixo:

a) falha em inventário de avos.

Parágrafo único. Outras não conformidades podem ser associadas às cricidades de risco elencadas, a

critério do auditor.

Art. 29. Para estabelecimento do nível do risco de uma não conformidade será ulizada ferramenta de

avaliação do risco, pelo menos com a ulização da matriz impacto versus probabilidade, onde:

§ 1º Os valores a serem atribuídos aos eixos serão sempre em múlplos de 3 (0 a 3; 0 a 6; 0 a 9; etc.),

sempre em ordem crescente de exposição. Por exemplo, se adotada a escala de 0 a 9 teríamos a gradação

de zero = sem qualquer impacto, até nove = impacto máximo possível.

§ 2º Poderá ser ulizada outra metodologia para atribuição do nível do risco, desde que faça parte da

documentação aprovada no credenciamento, evidenciada sua aplicação de forma sistemazada pela

endade de auditoria.

Pós auditoria

Art. 30. Caso o relatório de auditoria contenha uma ou mais não conformidades não corrigidas durante a

auditoria, o PSCert deve encaminhar à endade a qual está subordinado, em até dez dias, o plano de ação

para regularização das não conformidades.

§ 1º A resolução deﬁniva das não conformidades não pode ultrapassar noventa dias, a parr da data do

Relatório de Auditoria.

§ 2º As ACs de 1º e de 2º nível deverão encaminhar ao ITI, na primeira quinzena de janeiro e de julho,

relatório consolidado do acompanhamento da regularização das não conformidades de suas endades

diretamente vinculadas.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 31. As endades relacionadas no art. 2º terão o prazo de até quarenta e cinco dias, contado a parr

da publicação deste Regulamento, para adequação aos seus requisitos.

Art. 32. A realização de auditorias operacionais em Autoridades de Cerﬁcadoras terá o prazo de até 1º

de janeiro de 2026 para adequação ao disposto no § 3º do art. 17.

Art. 33. A parr de 1º de janeiro de 2026, a realização de auditorias operacionais em Autoridade de

Registro deverá atender ao disposto nos §§ 1º e 2º do art. 16.

Art. 34. A parr de noventa dias da data de publicação deste regulamento, somente serão admidos

pedidos de credenciamento de AR cujos relatórios de auditoria pré-operacional obedeçam ao disposto no

§ 3º do art. 16.

Art. 35. Fica revogada a Instrução Normava ITI nº 06, de 20 de maio de 2021.

Art. 36. Esta Instrução Normava entra em vigor na data de sua publicação.

ENYLSON FLÁVIO MARTINEZ CAMOLESI