RESOLUÇÃO CG ICP-BRASIL N° 186, DE 18 DE MAIO DE 2021
Aprova a versão revisada e consolidada do documento Critérios e Procedimentos para Fiscalização das Entidades Integrantes da ICP-Brasil – DOC-ICP-09.
A COORDENADORA DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no uso das atribuições que lhe confere o art. 6°, §1°, inc. IV, do Regimento Interno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4° da Medida Provisória n° 2.200-2, de 24 de agosto de 2001, em reunião ordinária, realizada em sessão por videoconferência em 18 de maio de 2021,
CONSIDERANDO a determinação estabelecida pelo Decreto n° 10.139, de 28 de novembro de 2019, para revisão e consolidação dos atos normativos inferiores a decreto, editados por órgãos e entidades da administração pública federal direta, autárquica e fundacional,
RESOLVEU:
Art. 1° Esta Resolução aprova a versão revisada e consolidada do documento Critérios e Procedimentos para Fiscalização das Entidades Integrantes da ICP-Brasil.
Art. 2° Fica aprovada a versão 4.0 do documento DOC-ICP-09 – Critérios e Procedimentos para Fiscalização das Entidades Integrantes da ICP-Brasil, anexa a esta Resolução.
Art. 3° Ficam revogadas:
I - a Resolução n° 45, de 18 de abril de 2006;
II - a Resolução n° 57, de 28 de novembro de 2008; e
III - a Resolução n° 126, de 13 de setembro de 2017.
Art. 4° Esta Resolução entra em vigor em 1° de junho de 2021.
JULIANA RIBEIRO
SILVEIRA
ANEXO
CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL
DOC-ICP-09
Versão 4.0
18 de maio de 2021
SUMÁRIO
3 PROCEDIMENTOS DE FISCALIZAÇÃO DE
CERTIFICAÇÃO
4 processo administrativo de
fiscalização
5 documentos do procedimento de
fiscalização
7 DOS PROCESSOS ADMINISTRATIVOS E DOS
RECURSOS
|
Ato que aprovou a alteração |
Item alterado |
Descrição da
alteração |
|
Resolução CG ICP-Brasil nº 186, de 18.05.2021 Versão 4.0 |
|
Revisão e consolidação conforme
o Decreto nº 10.139, de 28 de novembro de 2019. |
|
Resolução nº
151, de 30.05.2019 Versão 3.4 |
1.1 |
Simplificação
do Processos da ICP-Brasil. |
|
Resolução nº
132, de 10.11.2017 Versão 3.3 |
1.1.j |
Conceito
de Prestador de Serviço de Confiança. |
|
Resolução nº
126, de 13.09.2017 Versão 3.2 |
6.4 |
Ajuste
da referência para os critérios de aplicação de penalidades por não conformidade
em auditorias operacionais. |
|
Resolução nº
114, de 30.09.2015 Versão 3.1 |
1.1,j |
Estabelece
o funcionamento do sistema biométrico da ICP-Brasil. |
|
Resolução nº 57, de 19.11.2008 Versão 3.0 |
1.1.j, 8.1 |
Inclusão de referências a Autoridades de Carimbo do
Tempo |
|
Resolução nº 45, de 18.04.2006 Versão 2.0 |
Diversos |
Consolidação de documentos anteriores. |
|
Resolução nº 25, de 24.10.2003 Versão 1.0 |
|
Criação do DOC-ICP |
|
SIGLA |
DESCRIÇÃO |
|
|
AC |
Autoridade Certificadora |
|
|
AC RAIZ |
Autoridade Certificadora
Raiz da ICP-Brasil |
|
ACT |
Autoridade de Carimbo do
Tempo |
|
AFC |
Ação de Fiscalização de
Certificação |
|
AIC |
Auto de Infração de
Certificação |
|
AR |
Autoridade de Registro |
|
CG ICP-Brasil |
Comitê Gestor da
ICP-Brasil |
|
DOU |
Diário Oficial da União |
|
ICP-Brasil |
Infraestrutura de Chaves
Públicas Brasileira |
|
NFC |
Notificação da Fiscalização
de Certificação |
|
PAF |
Processo Administrativo
de Fiscalização |
|
PAS |
Processo Administrativo Sancionador |
|
PC |
Política de Certificado |
|
PFC |
Procedimento de
Fiscalização de Certificação |
|
PSC |
Prestador de Serviço de
Confiança |
|
PSCert |
Prestador de Serviço de
Certificação |
|
RF |
Relatório de
Fiscalização |
|
RIC |
Requisição de
Informações Complementares |
|
TF |
Termo de Fiscalização |
|
TFC |
Termo de Fiscalização
Complementar |
|
TFE |
0BTermo de Fiscalização Extensivo |
|
TFF |
Termo de Fiscalização
Final |
|
TFI |
Termo de Fiscalização Inicial |
1.1 Para os fins deste documento, entende-se como:
a) AÇÃO DE FISCALIZAÇÃO DE CERTIFICAÇÃO (AFC) – Procedimentos preparatórios, levantamento de informações, ações presenciais ou à distância, levantamento de evidências, pedidos de complementação de informações através do documento REQUISIÇÃO DE INFORMAÇÕES COMPLEMENTARES (RIC) [1] e atividades do fiscal que devem estar relatadas no documento RELATÓRIO DE FISCALIZAÇÃO (RF) [5].
b) AUTORIDADE OUTORGANTE – Autoridade competente e empossada no cargo de Coordenador Geral de Auditoria e Fiscalização, sendo, pela legislação, autorizado a praticar todos os atos necessários à realização do Procedimento de Fiscalização de Certificação (PFC) e que expede documentos relativos ao mesmo.
c) AUTO DE INFRAÇÃO DE CERTIFICAÇÃO (AIC) [2] – Documento preenchido pelo Fiscal da ICP-Brasil ao constatar infração por Prestador de Serviço de Certificação (PSCert) durante a fiscalização.
d) FISCAL DA ICP-BRASIL – Servidor lotado na Coordenação Geral de Auditoria e Fiscalização e no exercício das funções de fiscal, conforme indicado no documento TERMO DE FISCALIZAÇÃO (TF) [3].
e) FISCALIZAÇÃO – Atividade de controle e inspeção sistemática, programada ou a qualquer tempo, do cumprimento das resoluções, normas, procedimentos e atividades dos PSCerts com a finalidade de examinar se as operações de cada um deles, isolada ou conjuntamente, se mantêm em conformidade com suas Declarações de Práticas, Políticas e com as Resoluções e normas gerais estabelecidas para as entidades integrantes da ICP-Brasil.
f) INFRAÇÃO:
i. não atendimento a qualquer disposição legal da ICP-Brasil ou normas complementares estabelecidas pela AC Raiz;
ii. não conformidade constatada a partir de fiscalização; e
iii. obstrução, omissão ou má-fé por parte do PSCert tendente a prejudicar a ação fiscalizadora da AC Raiz.
g) NOTIFICAÇÃO DA FISCALIZAÇÃO DE CERTIFICAÇÃO (NFC) [4] - Documento pelo qual a Autoridade Outorgante dá ciência à entidade fiscalizada e a sua responsável hierárquica para que faça ou deixe de fazer alguma coisa.
h) OBJETO DA FISCALIZAÇÃO – Descrição do ponto de controle sob verificação. É um item das resoluções, um conjunto de itens, ou itens de resoluções associados.
i) PRESTADOR DE SERVIÇO DE CERTIFICAÇÃO (PSCert) – Qualquer entidade credenciada para operar na ICP-Brasil, como: as Autoridades Certificadoras (ACs); as Autoridades de Registro (ARs); as Autoridades de Carimbo do Tempo (ACTs), os Prestadores de Serviço de Suporte (PSSs), os Prestadores de Serviço Biométrico (PSBios), os Prestadores de Serviço de Confiança de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas (PSCs); ou entidade vinculada, como os Laboratórios de Ensaios e Auditoria (LEAs) e outros que executem ou determinem a execução de itens de certificação presentes nas resoluções da ICP-Brasil.
j) PROCEDIMENTO DE FISCALIZAÇÃO DE CERTIFICAÇÃO (PFC) - Conjunto de ações que objetivam a verificação do cumprimento das normas, por parte das entidades credenciadas na ICP-Brasil, incluídos os atos administrativos de início, finalização e comunicação de fiscalizações realizadas e dadas como conformes.
k) PROCESSO ADMINISTRATIVO DE FISCALIZAÇÃO (PAF) - Processo onde são arquivados todos os documentos e relatórios relativos ao Procedimento de Fiscalização de Certificação.
l) PROCESSO ADMINISTRATIVO SANCIONADOR (PAS) - Processo administrativo instaurado pela AC Raiz, que tem por objetivo a apuração de irregularidades previamente identificadas e, eventualmente, a aplicação das sanções cabíveis, assegurados a ampla defesa e o contraditório.
m) RELATÓRIO DE FISCALIZAÇÃO (RF) - Documento no qual o fiscal descreve o que constatou no Prestador de Serviço de Certificação, como foram as atividades e suas prescrições, subsidia o TFF e retrata todo a AFC, atividades executadas e constatações obtidas pelo Fiscal da ICP-Brasil.
n) REQUISIÇÃO DE INFORMAÇÕES COMPLEMENTARES (RIC) [1] - Documento no qual o fiscal ou auditor solicita informações complementares necessárias à condução do processo de fiscalização ou auditoria.
o) TERMO DE FISCALIZAÇÃO (TF) – Documento-base para a fiscalização e que indica a sua finalidade. Pode ser um TERMO DE FISCALIZAÇÃO INICIAL (TFI), TERMO DE FISCALIZAÇÃO EXTENSIVO (TFE), TERMO DE FISCALIZAÇÃO COMPLEMENTAR (TFC) ou TERMO DE FISCALIZAÇÃO FINAL (TFF).
1.2
No que se refere aos prazos citados neste
documento, entende-se que:
a) Os prazos serão contínuos, excluindo-se na sua contagem o dia do início e incluindo-se o do vencimento;
b) Os prazos só se iniciam ou vencem do dia de expediente normal no órgão em que corra o processo ou devam ser praticados os atos.
2.1 O objetivo da fiscalização é verificar a conformidade dos processos, procedimentos e atividades dos PSCerts com suas Declarações de Práticas, Políticas e com as Resoluções e normas gerais estabelecidas para as entidades integrantes da ICP-Brasil.
3.1 O PFC iniciar-se-á através de planejamento de fiscalização semestral, recomendação obtida em Relatórios de Auditoria (pré-operacionais ou operacionais), por denúncia feita por usuário de certificação digital da ICP-Brasil ou por constatação de ameaça à confiabilidade da ICP-BRASIL.
3.2 O PFC alcançará o exame de documentos, ambientes físico e lógico do PSCert, bem como seu próprio pessoal, podendo acarretar a aplicação de uma ou mais penalidades.
3.3 A AFC será realizada pela AC Raiz por intermédio de seus fiscais.
3.4 O objeto da AFC estará associado a atividades diretamente vinculadas ao ciclo de vida dos certificados digitais da ICP-Brasil. Em caso de denúncia, por solicitação do Presidente da AC Raiz ou do Secretário-Executivo do Comitê Gestor da ICP-Brasil a fiscalização poderá atuar sobre qualquer item ou regulamento previstos nas resoluções em vigor.
3.5 A AFC será instaurada mediante ordem específica denominada TFI.
3.6 No caso de flagrante constatação de irregularidade ou qualquer outra prática de infração às normas da ICP-Brasil, em que o retardo do início do procedimento coloque em risco a segurança ou confiabilidade dessa infraestrutura, pela possibilidade de subtração de prova ou outro risco de eliminação ou dificuldades na obtenção de evidências que comprovem a irregularidade, a fiscalização será iniciada por fiscal habilitado e a Autoridade Outorgante terá prazo de 5 (cinco) dias para lavrar o TF.
3.7 Em caso de impedimento da realização da AFC por parte do fiscal designado no TF, este poderá ser substituído ou ter a cooperação de outro fiscal, sendo que, em ambos os casos, deverá sempre haver um fiscal principal responsável pela AFC identificado no PAF.
3.8 Durante o AFC, o fiscal poderá emitir Autos de Infração de Certificação (AIC), quantos forem necessários, e cópia do mesmo deverá ser enviada para a AC responsável pelo pedido de credenciamento do PSCert fiscalizado.
3.9 Uma AFC deverá conter prazo de execução, que poderá ser de até 120 (cento e vinte) dias, podendo ser prorrogado uma única vez por igual período, por ato da Autoridade Outorgante, a requerimento do fiscal responsável ou por motivo superveniente devidamente apresentado e descrito no PAF.
3.10 Será dada publicidade ao PFC, no momento da abertura, por meio de um resumo do mesmo, contendo o número do Processo Administrativo de Fiscalização (PAF), a sigla do PSCert e o objeto do PFC.
3.11 O PFC se extingue:
a) pelo término do mesmo, registrado em TF específico; ou
b) pelo encerramento do prazo da AFC a que se refere o item 3.9.
3.12 Será dada publicidade do encerramento do PFC, acrescentando-se aos dados referenciados no item 3.10 o resultado da fiscalização.
4.1 Cada PFC ensejará a abertura de um PAF, que seguirá os procedimentos estabelecidos neste documento e observará os regulamentos de Processo Administrativo da AC Raiz.
4.2 Todos os documentos do PFC, inclusive o próprio PAF, poderão ser suportados por mídia magnética desde que assinados eletronicamente por intervenientes devidamente qualificados e autorizados para responderem pela Fiscalização e pelos PSCerts.
5.1 O Termo de Fiscalização deve conter:
a) a numeração de identificação e controle sequencial e com ano de referência;
b) tipo da TF (Inicial, Complementar, Extensivo ou Final);
c) os dados identificadores do PSCert;
d) o objeto do procedimento de fiscalização;
e) o prazo para a realização da AFC;
f) o nome e a matrícula do fiscal responsável pela execução da fiscalização;
g) o nome e o número do telefone do Coordenador de Fiscalização; e
h) o nome, a matrícula e a assinatura da autoridade outorgante e, na hipótese de delegação de competência, a indicação do respectivo ato.
i) O TF será emitido, observadas suas respectivas atribuições regimentais, pelo Coordenador-Geral de Auditoria e Fiscalização e nos impedimentos eventuais e temporários pelo seu substituto.
5.2 O TF deverá ter os seguintes destinatários:
a) Prestador de Serviço de Certificação (PSCert) a ser fiscalizado;
b) Processo Administrativo de Fiscalização (PAF); e
c) Prestador de Serviço de Certificação (PSCert) de primeiro nível, responsável pelo pedido de credenciamento do PSCert a ser fiscalizado, quando for o caso.
5.3 Todo Procedimento de Fiscalização de Certificação deverá ter, obrigatoriamente, um Termo de Fiscalização Inicial (TFI) e um Termo de Fiscalização Final (TFF). Adicionalmente, poderá ter um ou mais Termos de Fiscalização Complementares (TFC) e Termos de Fiscalização Extensivos (TFE).
a) O Termo de Fiscalização Complementar (TFC) deve ser incorporado ao TFI para o mesmo PSCert e com objeto de fiscalização diferenciado;
b) O Termo de Fiscalização Extensivo (TFE) dever ser incorporado ao TFI para um PSCert diferente mas com objeto relacionado ao objeto do TFI original;
c) O Termo de Fiscalização Final deve ser usado para encerrar todo procedimento aberto e executado por um TFI.
5.4 Havendo necessidade de realizar fiscalização em objeto e entidades diferentes o fiscal deve solicitar a abertura de um novo TF.
5.5 O AIC é um documento informativo, dirigido ao PSCert, de uma infração verificada pelo fiscal.
5.6 A AFC e as diligências realizadas em virtude de cada TF serão registradas em RF com os mesmos dados que identificam o TF no que se refere à entidade fiscalizada.
5.7 Apontada alguma irregularidade no RF, o PSCert será notificado pela autoridade que expediu o TFI, através de uma NFC, fixando-se prazo de 15 (quinze) dias para que o PSCert fiscalizado apresente, diretamente e formalmente, justificativa à AC Raiz naquilo que foi arguido.
5.8 Caso o PSCert não apresente, tempestivamente, justificativa, será expedida uma NFC à AC responsável pelo pedido de credenciamento do PSCert fiscalizado, sem prejuízo do regular seguimento do PFC.
5.9 Após análise da justificativa apresentada, a Autoridade Outorgante poderá, mediante uma NFC, determinar que o PSCert sane as irregularidades no prazo que fixar.
5.10 Após sanadas as irregularidades, o PSCert deverá comunicar à Autoridade Outorgante as soluções adotadas.
5.11 Finalizadas as etapas referidas nos itens anteriores, sanadas ou não as irregularidades, a Autoridade Outorgante elaborará relatório conclusivo, no qual poderá recomendar ao Diretor da DAFN o arquivamento ou a aplicação de penalidade com a indicação das irregularidades e seu enquadramento normativo, bem como outras providências que considerar cabíveis.
5.12 Recebido o relatório, o Diretor da DAFN decidirá fundamentadamente, no prazo de 20 (vinte) dias, determinando as providências necessárias.
5.13 Um Aviso de Encerramento deverá ser enviado aos interessados para dar ciência do encerramento da fiscalização.
6.1 Por infração, a entidade fiscalizada ficará sujeita às seguintes penalidades, independentemente de sua ordem de enumeração:
a) advertência;
b) restrição da realização de determinadas atividades ou modalidades de operação relacionadas ao objeto da fiscalização até que sejam sanadas as irregularidades apontadas no RF;
c) proibição de credenciamento de novas PC ou de novas vinculações até que sejam sanadas as irregularidades apontadas no RF;
d) suspensão temporária da emissão de novos certificados por prazo determinado ou até que sejam sanadas as irregularidades apontadas no RF; e
e) descredenciamento.
6.2 As penalidades poderão ser aplicadas isoladas ou cumulativamente.
6.3 A aplicação de uma penalidade não impede a aplicação de outra mais grave em caso de seu descumprimento.
6.4 Na aplicação das penalidades serão consideradas a natureza, a gravidade da infração cometida, a reincidência e a relevância do serviço para o ciclo de vida do certificado da ICP-Brasil, estando essa aplicação regulamentada por instrução normativa da AC Raiz que defina os Critérios para Aplicação de Penalidades na ICP-Brasil.
6.5 Constitui infração sujeita a penalidade negar ou dificultar o acesso a instalações, sistemas de dados, de registros e de informações, bem como omitir, não exibir ou não fornecer documentos, ativos, registros de sistemas, inclusive em meio eletrônico, nos prazos, nas formas e nas condições estabelecidos pelo CG DA ICP-Brasil, no exercício da atividade de fiscalização.
7.1 Todas as penalidades serão aplicadas pelo Diretor de Auditoria, Fiscalização e Normalização (DAFN), com base em processo que assegure a ampla defesa e o contraditório, quer se trate de PSCert ou de entidade de auditoria credenciada.
7.2 Acolhido o relatório de fiscalização indicando as supostas irregularidades, o Diretor da DAFN determinará a notificação da entidade envolvida, quer se trate de PSCert ou de entidade de auditoria credenciada.
7.3 A entidade acusada será notificada pelo Diretor da DAFN, cujo ofício listará os fatos e as normas descumpridas.
7.4 A entidade notificada terá o prazo de até 10 (dez) dias da data do recebimento da notificação da DAFN, prorrogável por igual período a pedido da interessada, para protocolar defesa, apresentando as justificativas e documentação que julgar necessária, bem como indicando as provas que pretenda produzir.
7.5 Recebida a defesa, e produzidas as provas eventualmente necessárias, o Diretor da DAFN decidirá, fundamentadamente, pelo arquivamento do processo ou pela aplicação de uma ou mais penalidades, conforme item 6.1.
7.6 Da decisão que impõe qualquer penalidade cabe recurso no prazo de 20 (vinte) dias.
7.7 O recurso será dirigido ao Diretor da DAFN, que se não reconsiderar no prazo de 5 (cinco dias) o encaminhará ao Diretor Presidente para julgamento do recurso.
7.8 Caso não seja apresentado recurso contra a decisão do Diretor da DAFN, a penalidade será publicada no DOU.
7.9 O Diretor-Presidente do ITI decidirá, com base em despacho fundamentado, em 20 (vinte) dias da data da interposição do recurso contra aplicação de penalidade, podendo solicitar, caso julgue necessário, parecer da Procuradoria Federal Especializada do ITI para subsidiar a decisão.
7.10 As penalidades aplicadas serão publicadas no DOU.
7.11 Os recursos interpostos contra as decisões não gozarão de efeito suspensivo, nos termos da Lei nº 9.784/99, art. 61.
7.11.1 A autoridade recorrida ou a imediatamente superior poderá, de ofício ou a pedido, dar efeito suspensivo em caso de justo receio de prejuízo de difícil ou incerta reparação decorrente da execução da penalidade.
7.12 A AC Raiz poderá, por meio de instrução normativa, regulamentar o processo administrativo sancionador, observado as disposições deste documento.
8.1 A AC Raiz, por intermédio de seus gestores administrativos, garantirá o pleno e inviolável exercício das atribuições do fiscal responsável pela execução do PFC.
8.2 O Diretor da DAFN, em casos de iminente dano irreparável ou de difícil reparação a terceiros, suspenderá cautelarmente, no todo ou em parte, a emissão de certificado e/ou carimbo do tempo pelo respectivo PSCert, podendo a suspensão ser também estendida ao PSCert de nível imediatamente subsequente ou superior àquele.
9.1 Os documentos abaixo são aprovados pela AC Raiz, podendo ser alterados, quando necessário, mediante publicação de uma nova versão no sítio http://www.iti.gov.br.
|
REF. |
NOME DO DOCUMENTO |
CÓDIGO |
|
[1] |
REQUISIÇÃO DE INFORMAÇÕES
COMPLEMENTARES (RIC) |
ADE-ICP-09.A |
|
[2] |
AUTO DE INFRAÇÃO DE CERTIFICAÇÃO (AIC) |
ADE-ICP-09.B |
|
[3] |
TERMO DE FISCALIZAÇÃO (TF) |
ADE-ICP-09.C |
|
[4] |
NOTIFICAÇÃO DA FISCALIZAÇÃO DE CERTIFICAÇÃO (NFC) |
ADE-ICP-09.D |
|
[5] |
RELATÓRIO
DE FISCALIZAÇÃO (RF) |
ADE-ICP-09.E |