RESOLUÇÃO N

155, DE 03 DE DEZEMBRO DE 2019

Altera o procedimento de identificação e as previsões de

entidades para execução de auditorias operacionais; atualiza

as responsabilidades em caso de encerramento de atividade

de AC e da homologação de equipamentos; e define regras

de validação do alvará no Carimbo do Tempo.

O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS

BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, §1º, inc. IV, do Regimento Interno, torna

público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no

exercício das competências previstas no art. 4º da Medida Provisória nº 2.200-2, de 24 de agosto de 2001,

em reunião ordinária realizada em 03 de dezembro de 2019,

RESOLVEU:

Art. 1º O DOC-ICP-03, versão 6.0, passa a vigorar com as seguintes alterações:

“……………………………………..

4.1.3.3 …………………………….

……………………………………..

c) ………………………………….

i. as chaves públicas dos certificados por ela emitidos deverão ser armazenadas por

qualquer AC interessada. Se não houver AC interessada, obrigatoriamente deve ser

assumida pela AC superior ou AC do PSS, após aprovação da AC Raiz;

………………………………...

iv. caso as chaves públicas não tenham sido assumidas conforme disposto na alínea ‘i’,

acima, excepcionalmente os documentos referentes aos certificados digitais e as

respectivas chaves públicas serão repassados à AC Raiz.

……………………………………..” (NR)

Art. 2º O DOC-ICP-05, versão 5.2, passa a vigorar com as seguintes alterações:

“……………………………………

3.2 …………………………………

……………………………………..

a) identificação do titular do certificado – identificação da pessoa física ou jurídica, titular do

certificado, com base nos documentos de identificação citados nos itens 3.2.2, 3.2.3 e 3.2.7, observado

o quanto segue:

i. para certificados de pessoa física: comprovação de que a pessoa física que se apresenta como titular

do certificado é realmente aquela cujos dados constam na documentação e/ou biometria

apresentada, vedada qualquer espécie de procuração para tal fim.

ii. para certificados de pessoa jurídica: comprovação de que os documentos apresentados referem-se

efetivamente à pessoa jurídica titular do certificado, e de que a pessoa física que se apresenta como

REVOGADA

representante legal da pessoa jurídica realmente possui tal atribuição, admitida procuração por

instrumento público, com poderes específicos para atuar perante a ICP-Brasil, cuja certidão

original ou segunda via tenha sido emitida dentro de 90 (noventa) dias anteriores à data da

solicitação.

………………………………..

3.2.2.1.2 Será designado como responsável pelo certificado o representante legal da pessoa jurídica

requerente do certificado, ou o procurador constituído na forma do item 3.2, alínea ‘a’, inciso (ii)

acima, o qual será o detentor da chave privada.

3.2.2.1.3 Deverá ser feita a confirmação da identidade da organização e da pessoa física, nos seguintes

termos:

a) apresentação do rol de documentos elencados no item 3.2.2.2;

b) apresentação do rol de documentos do responsável pelo certificado, elencados no item

3.2.3.1;

c) presença física do responsável pelo certificado; e

d) assinatura digital do termo de titularidade de que trata o item 4.1 pelo responsável pelo

certificado.

Nota 1: A AR poderá solicitar uma assinatura manuscrita ao responsável pelo certificado em

termo específico para a comparação com o documento de identidade ou contrato social.

Nesse caso, o termo manuscrito digitalizado e assinado digitalmente pelo AGR será apensado

ao dossiê eletrônico do certificado, podendo o original em papel ser descartado.

3.2.2.1.4 Fica dispensado o disposto no item 3.2.2.1.3, alíneas “b” e “c” caso o responsável pelo

certificado possua certificado digital de pessoa física ICP-Brasil válido, do tipo A3 ou superior, com

os dados biométricos devidamente coletados, e a verificação dos documentos elencados no item

3.2.2.2 possa ser realizada eletronicamente por meio de barramento ou aplicação oficial.

3.2.2.2 ……………………………….

a) Relativos a sua habilitação jurídica:

i. se pessoa jurídica criada ou autorizada a sua criação por lei, cópia do CNPJ;

ii. se entidade privada:

1. certidão simplificada emitida pela Junta Comercial ou ato constitutivo, devidamente

registrado no órgão competente, que permita a comprovação de quem são seus atuais

representantes legais; e

2. documentos da eleição de seus representantes legais, quando aplicável;

….……………………………………

….…………………………………….

3.2.2.4 Responsabilidade decorrente do uso do certificado de uma organização

Os atos praticados com o certificado digital de titularidade de uma organização estão sujeitos ao

regime de responsabilidade definido em lei quanto aos poderes de representação conferidos ao

responsável de uso indicado no certificado.

3.2.3 Autenticação da identidade de um indivíduo

Neste item devem ser definidos os procedimentos empregados pelas AR vinculadas a uma AC para

a identificação e cadastramento de um indivíduo na ICP-Brasil. Essa confirmação deverá ser

realizada mediante a presença física do interessado, com base em documentos de identificação

legalmente aceitos e pelo processo biométrico da ICP-Brasil.

……………………………………….

….……………………………………

3.2.7.1.3 Se o titular for pessoa jurídica, deverá ser feita a confirmação da identidade da organização

e da pessoa física, nos seguintes termos:

a) Apresentação do rol de documentos elencados no item 3.2.2.2;

b) Apresentação do rol de documentos elencados no item 3.2.3.1 do responsável pelo

certificado;

c) Presença física do responsável pelo certificado e assinatura do termo de titularidade e

responsabilidade de que trata o item 4.1.

3.2.7.1.4. Fica dispensada a observância do disposto no item 3.2.3.1 para certificados cujo titular seja

pessoa física, caso a solicitação seja assinada com certificado digital ICP-Brasil válido, do tipo A3 ou

superior, de mesma titularidade e cujos dados biométricos já tenham sido devidamente coletados.

3.2.7.1.5 Fica dispensada a observância do item 3.2.2.1.3 alíneas “b” e “c” para certificados cujo

titular seja pessoa jurídica nos seguintes casos:

a) quando a solicitação for assinada com o certificado digital ICP-Brasil válido, do tipo A3 ou

superior, de mesma titularidade e responsável, e cujos dados biométricos deste último tenham

sido devidamente coletados; ou

b) quando a solicitação for assinada com o certificado digital ICP-Brasil válido, do tipo A3 ou

superior, cuja titularidade é da mesma pessoa física responsável legal da organização e a

verificação dos documentos elencados no item 3.2.2.2 possa ser realizada eletronicamente por

meio de barramento ou aplicação oficial.

……………………………………………

3.2.9.3.1 ………………………………….

…………………………………………….

a) ser um sistema vinculado a uma AC credenciada pela ICP-Brasil;

…………………………………………….

3.3.1.2 Esse processo poderá ser conduzido segundo uma das seguintes possibilidades:

a) adoção dos mesmos requisitos e procedimentos exigidos nos itens 3.2.2, 3.2.3 ou 3.2.7;

b) solicitação, por meio eletrônico, assinada digitalmente com o uso de certificado ICP-Brasil

válido, do tipo A3 ou superior, que seja do mesmo nível de segurança ou superior, limitada a 1 (uma)

ocorrência sucessiva, quando não tiverem sido colhidos os dados biométricos do titular, permitida tal

hipótese apenas para os certificados digitais de pessoa física;

c) solicitação, por meio eletrônico, assinada digitalmente com o uso de certificado ICP-Brasil

válido de uma organização, do tipo A3 ou superior, para o qual tenham sido coletados os dados

biométricos do responsável pelo certificado, desde que, mantido nessa condição, apresente

documento digital verificável por meio de barramento ou aplicação oficial dos entes federativos, que

comprove poder de representação legal em relação à organização, permitida tal hipótese apenas para

os certificados digitais de organizações;

d) solicitação por meio eletrônico dada nas alíneas ‘b’ e ‘c’, acima, conforme o caso, para

certificado ICP-Brasil válido do tipo A1, que seja do mesmo nível de segurança, mediante

confirmação do respectivo cadastro, por meio de videoconferência, conforme regulamentação a ser

editada pela AC-Raiz ou limitada a 1 (uma) ocorrência sucessiva quando não tiverem sido colhidos

os dados biométricos do titular ou responsável;

e) por meio de mecanismo automatizado de gerenciamento de certificado do tipo SSL/TLS

(ACME), conforme disposto no item 3.3.1.2.1.

…………………………………………….

3.3.2 Identificação e autenticação para novas chaves após a revogação ou expiração do certificado

3.3.2.1 Neste item, a DPC deve descrever os procedimentos utilizados para confirmação da identidade

de uma entidade ou pessoa física solicitante de novo certificado, após a expiração ou revogação do

certificado previamente emitido. Caso sejam requeridos procedimentos específicos para as PCs

implementadas, os mesmos devem ser descritos nessas PCs, no item correspondente.

…………………………………………….

3.3.2.3 No caso de pessoa física titular de certificado expirado, previamente identificada e cadastrada

presencialmente, e cujos dados biométricos tenham sido devidamente coletados, a geração de novo

par de chaves poderá ser realizada mediante confirmação do respectivo cadastro, por meio de

videoconferência, conforme regulamentação a ser editada pela AC-Raiz.

3.3.2.4 No caso de uma organização titular de certificado expirado, cujo responsável pelo certificado

seja o mesmo ora solicitando novo certificado, que foi previamente identificado e cadastrado

presencialmente, e cujos dados biométricos tenham sido devidamente coletados, a geração de novo

par de chaves poderá ser realizada mediante confirmação do respectivo cadastro, da organização e do

responsável pelo certificado, por meio de videoconferência, conforme regulamentação a ser editada

pela AC-Raiz.

…………………………………………….

4.1 Solicitação do certificado

……………………………………………..

c) um termo de titularidade assinado digitalmente pelo titular do certificado ou pelo

responsável pelo certificado, no caso de certificado de pessoa jurídica, conforme o adendo

referente ao TERMO DE TITULARIDADE [4] específico, e, ainda, quando emissão para

servidor público da ativa e militar da União, Estados e Distrito Federal pela autoridade

designada formalmente pelos órgãos competentes.

………………………………………………………………..

Nota 2: na impossibilidade técnica de assinatura digital do termo de titularidade (como

certificados SSL, de equipamento, aplicação, codesign, carimbo de tempo e outros que façam

uso de CSR) será aceita a assinatura manuscrita do termo ou assinatura digital do termo com

o certificado ICP-Brasil do titular do certificado ou responsável pelo certificado, no caso de

certificado de pessoa jurídica. No caso de assinatura manuscrita do termo será necessária a

verificação da assinatura contra o documento de identificação.

…………………………………………….

4.5.1.2 Obrigações do Titular do Certificado

……………………………………………..

Nota: Em se tratando de certificado emitido para pessoa jurídica, equipamento ou aplicação, estas

obrigações se aplicam ao responsável pelo certificado.

……………………………………………..

6.2.3 …………………………………………

Neste item a DPC deve identificar quem é o agente de recuperação (escrow), qual forma que a chave

é recuperada (por exemplo, inclui o texto em claro, encriptado, por divisão de chaves) e quais são os

controles de segurança do sistema de recuperação.

………………………………………” (NR)

Art. 3º O DOC-ICP-08, versão 4.6, passa a vigorar com as seguintes alterações:

“………………………………………

3.1 ……………………………………

…………...

……………….

…………….

AC de 1º Nível e

seus PSS

ITI/DAFN/CGAFI

Empresa de Auditoria Independente

credenciada junto ao ITI

…………...

……………….

……………...

………………………………………” (NR)

Art. 4º O DOC-ICP-10, versão 3.2, passa a vigorar com as seguintes alterações:

“………………………………………

2.1. Obrigatoriedade

Os órgãos e entidades integrantes da ICP-Brasil somente poderão utilizar sistemas e equipamentos de

certificação digital já homologados ou certificados nos termos deste Regulamento.

Os órgãos e entidades integrantes da ICP-BRASIL somente poderão adquirir equipamentos de

certificação digital com homologação válida junto à ICP-Brasil ou que estejam com Certificados de

Conformidade válidos junto ao INMETRO, nos termos deste regulamento.

Novos certificados digitais somente poderão ser emitidos em equipamentos já homologados pela ICP-

Brasil ou que estejam com Certificados de Conformidade válidos junto ao INMETRO.

Equipamentos que já possuem certificados digitais gerados continuam válidos até o vencimento do

certificado.

O Comitê Gestor da ICP-Brasil aprovará cronograma com a determinação dos termos iniciais de

obrigatoriedade da utilização de sistemas e equipamentos homologados.

2.2. Aplicabilidade

Os sistemas listados a seguir e equipamentos não contemplados no Programa Inmetro de Avaliação da

Conformidade (PAC) para Equipamentos de Certificação Digital, estão sujeitos ao processo de

homologação para efeitos do que prevê este Regulamento:

2.2.1. Sistemas de assinatura eletrônica, sistemas de autenticação de assinaturas eletrônicas, sistemas

de sigilo de dados, sistemas de carimbo de tempo (Time-Stamping) e sistemas de sincronismo de

tempo, bem como, sistemas de autoridades certificadoras, sistemas de autoridades de registro, ou

quaisquer outros que façam uso daqueles sistemas na forma de sub-rotinas ou subfunções.

………………………………………” (NR)

Art. 5º O DOC-ICP-12, versão 1.2, passa a vigorar com as seguintes alterações:

“………………………………………

1.1.1…………………………………..

……………………………………..

e) PERFIL DO ALVARÁ DO CARIMBO DO TEMPO DA ICP-BRASIL [10].

………………………………………

2.1.3.3 .………………………….…..

………....…………....……….......

c) caso o alvará seja integrado no Carimbo do Tempo, ele deverá estar vigente no momento em que

o Carimbo do Tempo foi emitido e estar aderente aos requisitos previstos no DOC-ICP-12.01.

………………………………………

7.2.2.2 .………………………………..

a) ………………………….

vi. campo de identificação do alvará vigente no momento da emissão do Carimbo do Tempo

e válido conforme descrito no DOC-ICP-12.01.

………………………………………

……………………………………….

9. ……………………………………….

………………………………………….

…….

……………………………….

……….

[10]

PERFIL DO ALVARÁ DO CARIMBO DO TEMPO

DA ICP-BRASIL

DOC-ICP-12.01

………………………………………” (NR)

Art. 6º Fica aprovada a versão 1.0 do documento DOC-ICP-12.01 - PERFIL DO ALVARÁ DO CARIMBO

DO TEMPO DA ICP-BRASIL (Anexo).

Parágrafo único. O documento referido no caput será atualizado por meio de Instrução Normativa do Instituto

Nacional de Tecnologia - ITI.

Art. 7º Ficam aprovadas as seguintes versões dos documentos:

I - DOC-ICP-03 - CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL -

versão 6.1.

II - DOC-ICP-05 - REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE

CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL - versão 5.3.

III - DOC-ICP-08 - CRITÉRIOS E PROCEDIMENTOS PARA AUDITORIA DAS ENTIDADES

INTEGRANTES DA ICP-BRASIL – versão 4.7.

IV - DOC-ICP-10 - REGULAMENTO PARA HOMOLOGAÇÃO DE SISTEMAS E

EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL - versão 3.3.

V - DOC-ICP-12 - REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DAS AUTORIDADES DE

CARIMBO DO TEMPO DA ICP-BRASIL - versão 1.3.

Parágrafo único. As demais cláusulas dos referidos documentos, nas suas versões imediatamente anteriores,

em sua ordem originária, integram as presentes versões e mantêm-se válidas.

Art. 8º Os documentos alterados por esta Resolução encontram-se disponibilizados, em sua totalidade, no

sítio http://www.iti.gov.br.

Art. 9º Esta Resolução entra em vigor na data de sua publicação.

FERNANDO WANDSCHEER DE MOURA ALVES