Infraestrutura de Chaves Públicas Brasileira
O sistema de certificação da AC Raiz está situado em ambientes seguros redundantes, tipo sala-
cofre, localizados em instalações geograficamente segredadas. Segurança física e controles de
acesso através de identificação biométrica restringem o acesso aos equipamentos e sistemas
relativos aos processos de gerenciamento de certificados.
São definidos pelo menos 4 (quatro) níveis de acesso físico aos diversos ambientes da AC Raiz, e
mais 2 (dois) níveis relativos à proteção das chaves privadas:
O primeiro nível – ou nível 1 – a primeira barreira de acesso às instalações da AC Raiz. No nível
1, cada indivíduo deverá ser identificado e registrado no interior de área guarnecida por segurança
armada ou outro profissional qualificado, quando as instalações da AC Raiz se localizarem em área
de segurança. A partir desse nível, pessoas estranhas à operação da AC transitam devidamente
identificadas e acompanhadas. Nenhum tipo de processo operacional ou administrativo relacionado
ao gerenciamento de certificados da AC deverá ser executado nesse nível.
Excetuados os casos previstos em lei, o porte de armas não será admitido nas instalações da AC
Raiz, a partir do nível 1. A partir desse nível, equipamentos de gravação, fotografia, vídeo, som ou
similares, bem como computadores portáteis, terão sua entrada controlada e somente poderão ser
utilizados mediante autorização formal e supervisão.
O segundo nível – ou nível 2 – interno ao primeiro e requer a identificação individual das pessoas
que nele entram. Esse é o nível mínimo de segurança requerido para a execução de qualquer
processo operacional ou administrativo da AC Raiz. A passagem do primeiro para o segundo nível
exige identificação por meio eletrônico e o uso de crachá.
O terceiro nível – ou nível 3 – situa-se dentro do segundo e será o primeiro nível a abrigar material
e atividades sensíveis relacionados aos processos de gerenciamento de certificados da AC Raiz.
Pessoas que não estejam envolvidas com essas atividades não deverão ter permissão para acesso a
esse nível. Pessoas que não possuam permissão de acesso não poderão permanecer nesse nível se
não estiverem acompanhadas por alguém que tenha essa permissão.
No terceiro nível são controladas tanto as entradas quanto as saídas de cada pessoa autorizada. Dois
tipos de mecanismos de controle são requeridos para a entrada nesse nível: algum tipo de
identificação individual, como cartão eletrônico, e identificação biométrica.
Telefones celulares, bem como outros equipamentos portáteis de comunicação e armazenamento de
dados, exceto aqueles exigidos para a operação da AC Raiz, não são admitidos a partir do nível 3.
Quarto nível – ou nível 4 – interior ao terceiro, é onde ocorrem atividades especialmente sensíveis
da operação da AC Raiz, tais como a emissão e revogação de certificados e a emissão de LCR.
Todos os sistemas e equipamentos necessários a essas atividades estão localizados a partir desse
nível. O nível 4 possui os mesmos controles de acesso do nível 3 e, adicionalmente, exige, em cada
acesso ao seu ambiente, a identificação de, no mínimo, 2 (duas) pessoas autorizadas. Nesse nível, a
permanência dessas pessoas deverá ser exigida enquanto o ambiente estiver ocupado.
No quarto nível, todas as paredes, piso e teto são revestidos de aço e concreto ou de outro material
de resistência equivalente. As paredes, piso e o teto são inteiriços, constituindo uma célula estanque
contra ameaças de acesso indevido, água, vapor, gases e fogo. Os dutos de refrigeração e de
energia, bem como os dutos de comunicação, não permitem a invasão física das áreas de quarto
nível. Adicionalmente, esses ambientes de nível 4 – que constituem as chamadas salas-cofre –
Declaração de Práticas de Certificação da Autoridade Certificadora Raiz da ICP-Brasil DOC-ICP-01-v5.0 22/56