RESOLUÇÃO N

130, DE 19 DE SETEMBRO DE 2017.

INSTITUI AS INSTALAÇÕES TÉCNICAS

SECUNDÁRIAS, DISCIPLINA OS

PROCEDIMENTOS DE VALIDAÇÃO

EXTERNA NO ÂMBITO DA ICP-BRASIL E

DÁ OUTRAS PROVIDÊNCIAS.

O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES

PÚBLICAS BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, §1º, inc. III, do

Regimento Interno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES

PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4°, da Medida Provisória

n° 2.200-2, de 24 de agosto de 2001, em reunião ordinária realizada em 19 de setembro de 2017,

CONSIDERANDO a necessidade de disciplinar os procedimentos de Validação Externa como

modalidade de validação da solicitação de certificado, e

CONSIDERANDO a necessidade de expandir a capilaridade na emissão de certificados digitais,

RESOLVEU:

Art. 1º Incluir as alíneas “r” e “s” no item 1.3 do DOC-ICP-03.01, versão 2.1, com a seguinte redação:

r) Instalação Técnica Secundária - Ambiente físico de uma AR, cujo funcionamento foi

devidamente autorizado pelo ITI, onde é realizada exclusivamente a atividade de coleta e/ou

verificação biométrica e validação da solicitação de certificados. Não possui período de tempo

determinado para funcionamento;

s) Validação Externa – compreende a realização da etapa de validação da solicitação de

certificado e coleta biométrica do titular do certificado fora do ambiente físico da AR, nas

hipóteses e na forma prevista no item 3.1.1.2 do DOC-ICP-05 [1].

Art. 2º O item 1.6 do DOC-ICP-03.01, versão 2.1, passa a vigorar com a seguinte redação:

1.6. Em caso de alteração de endereço da instalação técnica ou da instalação técnica secundária,

o fato deve ser previamente reportado à AC responsável, que enviará ao ITI formulário de

credenciamento ADE-ICP-03.E [4] com dados atualizados, solicitando nova autorização de

funcionamento, acompanhado dos documentos previstos no DOC-ICP-03 [3].

Art. 3º O item 2.1.3 do DOC-ICP-03.01, versão 2.1, passa a vigorar com a seguinte redação:

2.1.3. Pode ser firmado acordo documentado, entre AC e AR, no qual a AC delega à AR a

atividade de incluir/excluir Agentes de Registro no aplicativo de AR, desde que a AR não

possua agente de registro como sócio. Nesse caso, o responsável por essa atividade, na AR,

deve ser formalmente designado e possuir âmbito de atuação restrito ao necessário às

atividades daquela AR.

Art. 4º A alínea “d” do item 2.2.3 do DOC-ICP-03.01, versão 2.1, passa a vigorar com a seguinte

redação:

d) Representante Legal da própria AR, caso a AR não possua agente de registro como sócio.

Art. 5º O item 3.8 do DOC-ICP-03.01, versão 2.1, passa a vigorar com a seguinte redação:

3.8. As ARs somente poderão utilizar a modalidade de validação externa depois de adaptar seus

REVOGADA

computadores móveis ao disposto no item 4.1.2, e desde que a AC à qual a AR se vincula tenha

adaptado seus procedimentos, seu sistema de certificação e o aplicativo da AR a todas as regras

deste documento e ao disposto no item 3.1.1.2 do DOC-ICP-05 [1].

Art. 6º Incluir as alíneas “l”, “m” e “n” no item 4.1.2 do DOC-ICP-03.01, versão 2.1, com a seguinte

redação:

l) para equipamentos utilizados em Postos Provisórios, Instalações Técnicas Secundárias e em

procedimento de validação externa, utilização de aplicativo de georreferenciamento que

permite rastrear o computador, sendo que a localização do equipamento deve ficar disponível

no sistema de AR;

m) equipamentos de coleta biométrica, em atendimento aos padrões da ICP-Brasil, para

garantir mecanismo de coleta biométrica no qual seus registros sejam processados e enviados

ao sistema sem permitir a manipulação pelo agente de registro;

n) equipamentos que exijam a identificação biométrica do agente de registro durante a

identificação biométrica do requerente do certificado e que exija a identificação biométrica do

responsável pela execução de todas as etapas do processo de validação e verificação do

certificado digital.

Art. 7º Incluir o item 4.1.6. no DOC-ICP-03.01, versão 2.1, com a seguinte redação:

4.1.6. As estações de trabalho da AR, incluindo equipamentos portáteis utilizados na instalação

técnica secundária para executar os procedimentos de validação, podem ser utilizados para

atendimento de validação externa, não podendo ser utilizados em outras atividades fora do

endereço autorizado pelo ITI, desde que atendidos os demais requisitos constantes nas normas

da ICP-Brasil.

Art. 8º Incluir a alínea “h” no item 4.2.1 do DOC-ICP-03.01, versão 2.1, com a seguinte redação:

h) registrar as coordenadas de georreferenciamento associada à data e hora do momento da

autenticação biométrica do agente de registro e do momento da coleta biométrica do titular do

certificado, para cada certificado a ser emitido.

NOTA: A tecnologia de georreferenciamento utilizada pelo aplicativo de AR deve garantir a

posição do local onde as atividades de validação do certificado digital ocorrem, vedando a

utilização de tecnologia cuja localização é obtida através de endereçamento IP (Internet

Protocol) incluindo sistema de VPN (Virtual Private Network) ou tecnologias similares.

Art. 9º Incluir os itens 6.1.7.1 e 6.1.7.2 no DOC-ICP-03.01, versão 2.1, com a seguinte redação:

6.1.7.1. Somente poderão constar do Inventário de Ativos os equipamentos de propriedade ou

de posse da AR.

6.1.7.2. A comprovação da posse ou propriedade dos equipamentos a que se refere o item

anterior deverá ser feita sempre que assim requisitado pela AC Raiz, mediante a apresentação

pela AR da respectiva nota fiscal, comodato, leasing, doação, contrato de locação de

equipamentos ou documentação comprobatória equivalente.

Art. 10. O item 6.2.1 do DOC-ICP-03.01, versão 2.1, passa a vigorar com a seguinte redação:

6.2.1. Os documentos que compõem os dossiês dos titulares de certificados e da instalação

técnica, da instalação técnica secundária e do posto provisório devem ser guardados,

obrigatoriamente, no armário chaveado quando se tratar de documentos físicos ou em ambiente

computacional protegido com senha, da AC ou da AR, quando se tratar de documentos

eletrônicos, em todos os casos, com acesso permitido somente aos agentes de registro.

Art. 11. Incluir o item 8A no DOC-ICP-03.01, versão 2.1, com a seguinte redação:

8A - DAS VEDAÇÕES

8A.1. É vedada, por parte das AC e AR credenciadas junto à AC Raiz, a divulgação, anúncio ou

qualquer outra forma de publicidade, de atividades, serviços ou produtos relacionados com o

comércio de certificado digital da ICP-Brasil que não estejam normatizados e autorizados pela

ICP-Brasil.

8A.2. É vedada qualquer outra forma de emissão de certificado, fora das hipóteses previstas na

legislação e nas normas que regem a ICP-Brasil, qualquer que seja a denominação utilizada, aí

incluídas, mas não limitadas às figuras denominadas ponto de atendimento, posto de validação,

parceiro, canal, agente credenciado, franquia, agência autorizada ou por qualquer outra forma

não expressamente prevista na legislação.

8A.3. É vedado delegar ou transferir a terceiros, não credenciados, atividades privativas das

entidades credenciadas ou autorizadas pelo ITI, a qualquer título.

8A.4. No caso de descumprimento das normas de emissão de certificado, poderá o ITI

determinar a revogação imediata do certificado digital emitido em desconformidade com as

normas que regem a ICP-Brasil, inclusive quando emitidos em instalações técnicas ou por

procedimento de validação externa, que não tenham atendido os requisitos estabelecidos na

regulamentação, ressalvado o direito de terceiros de boa-fé.

8A.5. É proibido a divulgação por parte das AC e AR, em qualquer veículo de comunicação,

suporte ou sítios de internet, endereços de locais de atendimento ao usuário que não estejam

credenciados ou autorizados pelo ITI.

Art. 12. Os itens 3.2.1.1, 3.2.1.2, 3.2.1.4, 3.2.1.5 e 3.2.1.6 do DOC-ICP-03, versão 5.0, passam a

vigorar com a seguinte redação:

3.2.1.1 Considera-se Instalação Técnica o ambiente físico de uma AR, cujo funcionamento foi

autorizado pelo ITI, por tempo indeterminado, onde serão realizadas as atividades de validação

e verificação da solicitação de certificados e Instalação Técnica Secundária o ambiente físico de

uma AR vinculada à Instalação Técnica, cujo funcionamento foi devidamente autorizado pelo

ITI, onde é realizada exclusivamente a atividade de coleta ou verificação biométrica e

validação da solicitação de certificados.

3.2.1.2 A AR já credenciada na ICP-Brasil poderá abrir novos endereços de Instalações

Técnicas desde que encaminhe à AC Raiz solicitação de funcionamento, em apenas uma cadeia

de certificação, à sua escolha, acompanhada dos seguintes documentos:

a) formulário SOLICITAÇÃO DE FUNCIONAMENTO DE NOVOS ENDEREÇOS

DE INSTALAÇÕES TÉCNICAS DE AR [6] devidamente preenchido e assinado pelos

representantes legais da AR e da AC a que esteja operacionalmente vinculada;

b) indicação dos procedimentos que serão adotados quanto aos aspectos de segurança e

operacionais;

c) nome e CPF das pessoas responsáveis por cada uma das novas instalações técnicas da

AR;

d) nome e CPF dos agentes de registro que atuarão nas novas instalações técnicas da

AR;

e) cópia do CNPJ ou, nos casos de entidades públicas, cópia de publicação do ato que

autoriza a operação naquele endereço; e

f) identificação do local onde será guardada a documentação relativa aos certificados

gerados em cada instalação técnica.

Nota: Define-se cadeia de certificação como a série ou caminho hierárquico de

certificados assinados por sucessivas autoridades certificadoras.

3.2.1.4 A AR já credenciada na ICP-Brasil poderá abrir endereços de instalações técnicas

secundárias desde que encaminhe à AC Raiz solicitação de funcionamento, em apenas uma

cadeia de certificação, à sua escolha, acompanhada dos documentos e informações como segue:

a) formulário SOLICITAÇÃO DE FUNCIONAMENTO DE NOVOS ENDEREÇOS

DE INSTALAÇÕES TÉCNICAS SECUNDÁRIO DE AR [6] devidamente preenchido

e assinado pelos representantes legais da AR e da AC a que esteja operacionalmente

vinculada;

b) cópia do CNPJ ou, nos casos de entidades públicas, cópia de publicação do ato que

autoriza a operação naquele endereço;

c) nome e endereço da Instalação Técnica vinculada;

d) nome e CPF dos agentes de registro que atuarão na nova Instalação Técnica

Secundária;

3.2.1.5 Estando a documentação regular, a AC Raiz autorizará, em até 30 (trinta) dias, o

funcionamento das novas Instalações Técnicas ou Instalação Técnica Secundária mediante

intimação da AC solicitante, que a partir desse momento disponibilizará os novos endereços de

instalações técnicas na sua página web. A autorização na cadeia da AC solicitante implicará,

automaticamente, em autorização nas demais cadeias nas quais a AR esteja credenciada,

cabendo à AR solicitante informar as demais ACs às quais se encontre vinculada do

deferimento da autorização pela AC Raiz.

3.2.1.6 A AC Raiz poderá, a qualquer tempo, verificar a conformidade dos procedimentos e

atividades das novas instalações técnicas das ARs ou instalação técnica secundária com as

práticas e regras estabelecidas pela ICP-Brasil. Quando constatada não conformidade em uma

dessas instalações técnicas, a AC Raiz aplicará as sanções legais previstas no documento

CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES

INTEGRANTES DA ICP-BRASIL [7].

Art. 13. O item 3.2.2.1 do DOC-ICP-03, versão 5.0, passa a vigorar com a seguinte redação:

3.2.2.1 A extinção de uma instalação técnica de AR ou instalação técnica secundária poderá se

dar por determinação da AC Raiz ou por iniciativa da AC ou da AR vinculada, devendo ser

solicitada pelos responsáveis legais da AC imediatamente subsequente à AC Raiz, em apenas

uma cadeia de certificação, à sua escolha. Após o devido processamento da informação pela AC

Raiz e posterior comunicação à interessada, caberá à solicitante informar as demais

Autoridades às quais também se encontre vinculada.

Art. 14. O item 3.1.1.2 do DOC-ICP-05, versão 4.2, passa a vigorar com a seguinte redação:

3.1.1.2 Excepcionalmente, o processo de validação poderá ser realizado fora do ambiente físico

da AR, através de procedimento de validação externa, mediante o deslocamento do Agente de

Registro da AR até o interessado na obtenção do certificado, observadas as hipóteses, a forma e

as condições abaixo dispostas, vedada a criação de instalações físicas destinadas a tal fim,

qualquer que seja a denominação utilizada, tais como, mas não limitada a, ponto de

atendimento, posto de validação, parceiro, canal, agente credenciado ou agência autorizada.

3.1.1.2.1 As AR poderão adotar o procedimento de validação externa nas seguintes hipóteses:

I. Para pessoas com deficiência ou com mobilidade reduzida, conforme definido pela

Lei nº 13.146, de 6 de julho de 2015, devidamente comprovado por documento

hábil;

II. Para Pessoas Politicamente Expostas – PEP, conforme definido na Resolução nº 16,

de 28 de março de 2007, do Conselho de Controle de Atividades Financeiras

COAF/MF, devidamente comprovado por documento hábil;

III. Para pessoas que se encontrem cumprindo pena ou detidas em estabelecimento

prisional;

IV. Para pessoas com incapacidade física momentânea ou por motivo de saúde, em

qualquer caso devidamente justificado e comprovado por documento hábil, estejam

impedidas ou impossibilitadas de se deslocar até a instalação física da AR;

V. Para atender contratos firmados com entidades públicas cujos os editais de licitação

tenham sido publicados até a data de publicação desta Resolução;

VI. Outras pessoas não citadas anteriormente, mediante solicitação expressa de

validação externa pelo titular do certificado, limitado a 15% (quinze por cento) do

total de certificados emitidos pela AR no mês imediatamente anterior.

Nota 1: O disposto na alínea VI, aplica-se a partir do mês subsequente à entrada em

operação da AR, vedada a validação externa com base no referido dispositivo, no mês

do início de sua operação.

Nota 2: Considera-se como total de certificados emitidos pela AR no mês

imediatamente anterior, para fins da alínea VI, o volume de certificados emitidos pela

AR, informado na documentação encaminhada ao ITI na forma e no prazo previsto pela

Instrução Normativa nº 14, de 28 de novembro de 2016.

Nota 3: Acaso a AR não tenha emitido certificados no mês anterior ou não tenham sido

prestadas as informações na forma ou no prazo exigidos, ficará a AR impossibilitada de

emitir novos certificados com fulcro na alínea VI, somente podendo voltar a emiti-los

no mês imediatamente subsequente, desde que prestadas as informações de forma

tempestiva.

Nota 4: Para o cálculo da quantidade limite disposto na alínea VI, em caso de resultado

fracionário, admitir-se-á o arredondamento para a unidade superior.

3.1.1.2.2. A validação externa será realizada no domicílio do titular do certificado digital, nas

hipóteses previstas nos incisos I, II e IV, do item 3.1.1.2.1, ou no local que este se encontre, na

hipótese do inc. III, do mesmo item.

3.1.1.2.3. Para fins do item anterior, considera-se domicílio do titular do certificado digital, o

seu domicílio civil, na forma do disposto no Código Civil, Lei nº 10.406, de 10 de janeiro de

2002.

3.1.1.2.4. O local no qual a validação externa será realizada deverá ser informado no

Formulário de Validação Externa, a que se refere a alínea “d” do item 3.1.1.2.5.

3.1.1.2.5. A validação fora do ambiente físico da AR deve atender ainda as seguintes condições:

a) utilizar ambiente computacional auditável e devidamente registrado no inventário de

hardware e softwares da AR;

b) adotar aplicativo de georreferenciamento que permita rastrear o computador móvel

utilizado na validação externa, sendo que a localização do equipamento deve ficar

disponível no sistema da AR em que o agente de registro deva estar cadastrado

previamente;

c) adotar equipamentos de coleta e verificação biométrica do titular e do agente de

registro, em atendimento aos padrões da ICP-Brasil;

d) preencher o Formulário de Validação Externa, adendo ADE-ICP-05.D, o qual deverá

ser assinado pelo agente de registro e pelo titular do certificado, preferencialmente

assinados digitalmente; e

e) em se tratando de dossiês físicos do titular de certificado, esses devem ser enviados

para a Instalação Técnica em até 5 (cinco) dias úteis;

f) Utilização de equipamento específico, destinado exclusivamente para fins de

validação externa, vedada a utilização, para tal fim, das estações de trabalho ou

outros equipamentos empregados na instalação técnica.

Art. 15. A alínea "c" do item 5.2 do DOC-ICP-08, versão 4.2, passa a vigorar com a seguinte redação:

c) AR, respectivas PSS e Instalações Técnicas, no caso daquelas que possuam até 3 (três)

instalações técnicas credenciadas, excetuando as Instalações Técnicas Secundárias.

Art. 16. O item 5.3 do DOC-ICP-08, versão 4.2, passa a vigorar com a seguinte redação:

5.3 Para os casos de AR que possua mais de três (3) endereços de Instalação Técnica,

excetuando as Instalações Técnicas Secundárias, é facultado à AC subordinante,

especificamente para essa AR, propor um cronograma anual de auditoria com cobertura parcial

de suas Instalações Técnicas, desde que:

a) cada Instalação Técnica seja auditada pelo menos uma vez a cada dois (2) anos;

b) sejam auditados anualmente, no mínimo, 40% (quarenta por cento) de suas

Instalações Técnicas; e

c) a AC apresente os critérios e justificativas aplicadas na seleção das Instalações

Técnicas distribuídas pelo período de auditoria proposto.

Art. 17. Ficam aprovadas as novas versões dos Documentos: DOC-ICP-03 - CRITÉRIOS E

PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-

BRASIL (versão 5.1), DOC-ICP-03.01 - CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA

AS AR DA ICP-BRASIL (versão 2.2), DOC-ICP-05 - REQUISITOS MÍNIMOS PARA AS

DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS

DA ICP-BRASIL (versão 4.3) e DOC-ICP-08 - CRITÉRIOS E PROCEDIMENTOS PARA

REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES DA ICP-BRASIL (versão 4.3).

§ 1º As demais cláusulas dos referidos documentos, nas suas versões imediatamente anteriores,

em sua ordem originária, integram as presentes versões e mantêm-se válidas.

§ 2º Os documentos referidos no caput encontram-se disponibilizados, em sua totalidade, no

sítio http://www.iti.gov.br.

Art. 18. As ACs e ARs já credenciadas ou em credenciamento têm o prazo de até 1º de fevereiro de

2018 para se adequarem às mudanças previstas nesta Resolução, sujeitando-se às sanções previstas nos

normativos da ICP-Brasil no caso de descumprimento.

§1º Até o prazo definido no caput as ARs já credenciadas que desejam utilizar Instalação

Técnica Secundária ficam autorizadas a iniciar suas operações nessas modalidades desde que

declarem formalmente adequação de seus procedimentos a esta Resolução e enviem ao ITI, no

caso de Instalação Técnica Secundária, a relação contendo as informações estabelecidas no

item 3.2.1.4 do documento CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO

DE ENTIDADES INTEGRANTES DA ICP-BRASIL (DOC-ICP-03).

§2º As Instalações Técnicas Secundárias pertencentes a AR integrante da estrutura da

Administração Pública Direta que emitem certificados exclusivamente para servidores ou

empregados públicos e militares ficam desobrigadas de realizar a adequação dos dispositivos

para utilização de aplicativo de georreferenciamento, citados nos arts. 6º, 8º e 14, desta

Resolução.

Art. 19. Esta Resolução entra em vigor na data de sua publicação.

LUIZ CARLOS DE AZEVEDO