RESOLUÇÃO CG ICP-BRASIL N° 197, 16 DE NOVEMBRO DE 2021

Altera o DOC-ICP-03, o DOC-ICP-04 e DOC-ICP-05

para regulamentar os procedimentos e requisitos

técnicos para a operacionalização de Autoridade de

Registro Eletrônica na ICP-Brasil.

O COORDENADOR SUBSTITUTO DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS

BRASILEIRA, no uso das atribuições que lhe confere o art. 6°, §1°, inc. IV, do Regimento Interno, torna

público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no exercício das

competências previstas no art. 4° da Medida Provisória n° 2.200-2, de 24 de agosto de 2001, em reunião

ordinária, realizada em sessão por videoconferência em 16 de novembro de 2021, e

CONSIDERANDO o relatório final do Grupo de Trabalho Técnico - GTT AR ELETRÔNICA, instituído pela

Portaria ITI nº 16, de 03 de setembro de 2021, com a finalidade de analisar a viabilidade e,

eventualmente, elaborar proposta de regulamentação dos procedimentos e requisitos técnicos para a

operacionalização de Autoridade de Registro Eletrônica,

RESOLVEU:

Art. 1° Esta Resolução, para regulamentar os procedimentos e requisitos técnicos para a

operacionalização de Autoridade de Registro Eletrônica na ICP-Brasil, altera os seguintes documentos da

ICP-Brasil:

I - Critérios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil – DOC-ICP-03,

aprovado pela Resolução n° 178, de 20 de outubro de 2020

;

II - Requisitos Mínimos para as Políticas de Certificados na ICP-Brasil - DOC-ICP-04, aprovado pela

Resolução n° 179, de 20 de outubro de 2020

; e

III - Requisitos Mínimos para as Declarações de Práticas de Certificação das Autoridades Certificadoras da

ICP-Brasil - DOC-ICP-05, aprovado pela Resolução n° 177, de 20 de outubro de 2020

Art. 2° O anexo da Resolução n° 178, de 20 de outubro de 2020, DOC-ICP-03, passa a vigorar com as

seguintes alterações:

“1.2 Para o presente documento aplicam-se os seguintes conceitos:

..............................................................

c) ...........................................................

c.1) AR ELETRÔNICA - a AR nos termos da MP 2.200-2/2001, que exercerá sua atribuição

de identificar e cadastrar usuários ICP-Brasil de forma não presencial, por canal de

atendimento 100% eletrônico, automatizado, sem intervenção humana, entenda-se, sem

a intermediação de um agente de registro. Trata-se de um autosserviço, a ser usufruído

pelo cidadão interessado em obter um certificado digital ICP-Brasil.

..................................................................” (NR)

“4.2.2.4 Em qualquer das hipóteses de descredenciamento de AR deverão ser obedecidos os seguintes

procedimentos:

.......................................................................

b)....................................................................

i. revogar, em até 3 (três) dias úteis, no sistema de certificação, os acessos dos

equipamentos de AR e as autorizações dos agentes de registro, incluindo soluções e

autorizações de AR ELETRÔNICA, da AR descredenciada;

...............................................................................” (NR)

Art. 3° O anexo da Resolução n° 179, de 20 de outubro de 2020

, DOC-ICP-04, passa a vigorar com as

seguintes alterações:

“7.1.4.1. O nome do titular do certificado, constante do campo “Subject”, deverá adotar o “Distinguished

Name” (DN) do padrão ITU X.500/ISO 9594, como exemplo, da seguinte forma:

C = BR

O = ICP-Brasil

OU = nome da AC emitente

OU = CNPJ da AR que realizou a identificação

OU = Tipo de identificação utilizada (presencial, videoconferência, AR ELETRÔNICA ou certificado

digital)

CN = nome do titular do certificado em certificado de pessoa física; em um certificado de pessoa

jurídica, deverá conter o nome empresarial constante do Cadastro Nacional de Pessoa Jurídica

(CNPJ); em um certificado de equipamento ou aplicação, o identificador CN deverá conter o URL

correspondente ou o nome da aplicação” (NR)

Art. 4° O anexo da Resolução n° 177, de 20 de outubro de 2020

, DOC-ICP-05, passa a vigorar com as

seguintes alterações:

“1.3.2.1 ............................................................

a) relação de todas as ARs credenciadas; e

b) relação de ARs que tenham se descredenciado da cadeia da AC, com respectiva data do

descredenciamento.

1.3.3 Titulares do certificado

..........................................................................” (NR)

“3.2.3 Autenticação da identidade de um indivíduo

Neste item devem ser definidos os procedimentos empregados pelas AR vinculadas a uma AC para a

identificação e cadastramento iniciais de um indivíduo na ICP-Brasil. Essa confirmação deverá ser

realizada mediante a presença física do interessado ou por um dos procedimentos listados nas alíneas

abaixo, que deverão assegurar nível de segurança equivalente à forma presencial, garantindo a validação

das mesmas informações de identificação e biométricas, mediante o emprego de tecnologias eletrônicas

seguras de comunicação, interação, documentação e tratamento biométrico:

a) por módulo de AR eletrônico, exclusivamente nos casos previstos neste regulamento;

b) por meio de videoconferência, conforme procedimentos e requisitos técnicos definidos em

Instrução Normativa da AC Raiz; ou

c) por AR ELETRÔNICA, conforme procedimentos e requisitos técnicos definidos em Instrução

Normativa da AC Raiz.

..........................................................................” (NR)

“3.2.3.1.1 Na hipótese de identificação positiva por meio do processo biométrico da ICP-Brasil, ou por

meio de processo de AR ELETRÔNICA, fica dispensada a apresentação de qualquer dos documentos

elencados no item 3.2.3.1 e a etapa de verificação. As evidências desse processo farão parte do dossiê

eletrônico do requerente.” (NR)

“..........................................................................

3.2.3.1.8 ..............................................................

3.2.3.1.8.1 No caso de AR ELETRÔNICA, a base oficial nacional, a ser definida por Instrução Normativa da

AC Raiz, deverá ter como requisito técnico a garantia de individualização unívoca dos cidadãos,

biométrica e biográfica, a nível nacional.

3.2.3.2

...................................................................

3.2.3.2.1 É obrigatório o preenchimento dos seguintes campos do certificado de uma pessoa física com

as informações constantes nos documentos apresentados:

a) nome completo, sem abreviações

;

b) data de nascimento

; e

c) Cadastro de Pessoa Física (CPF)

No campo Subject Alternative Name, nas 11 (onze) posições subsequentes às 8 (oito) posições

reservadas à data de nascimento, o Cadastro de Pessoa Física (CPF) - OID 2.16.76.1.3.1.

3.2.3.2.1.1 No caso de AR ELETRÔNICA, as informações elencadas no item 3.2.3.2.1 serão informadas

pelo requerente do certificado digital e deverão ser verificadas na base oficial nacional definida por

Instrução Normativa da AC RAIZ da ICP-Brasil.

3.2.3.2.2 ..............................................................................

a) número de Identificação Social - NIS (PIS, PASEP ou CI);

b) número do Registro Geral - RG do titular e órgão expedidor;

c) número do Cadastro Específico do INSS (CEI) ou CAEPF;

d) número do Título de Eleitor; Zona Eleitoral; Seção; Município e UF do Título de Eleitor; e

e) número de habilitação ou identificação profissional emitido por conselho de classe ou órgão

competente.

3.2.3.2.3..................................................................

3.2.3.2.3.1 No caso de AR ELETRÔNICA, só será admitido o preenchimento de outros campos, cujos

dados informados pelo requerente do certificado digital possam ser verificados na base oficial nacional

definida por Instrução Normativa da AC RAIZ da ICP-Brasil.” (NR)

“3.2.8.2..........................................................................

3.2.8.2.1 No caso de AR ELETRÔNICA, por se tratar de procedimento automatizado, sem intervenção de

agente de registro, o disposto no item 3.2.8.2 será regulamentado por Instrução Normativa da AC Raiz.”

(NR)

“3.2.8.3..........................................................................

.....................................................................................

3.2.8.3.3 No caso de AR ELETRÔNICA, todos os dados fornecidos pelo usuário, biográficos e biométricos,

bem como, os resultados das consultas de verificação deles na base oficial nacional regulamentada por

Instrução Normativa da AC RAIZ da ICP-Brasil, deverão ser mantidos em arquivo (dossiê) do respectivo

titular do certificado, observadas as condições definidas em regulamento editado por instrução

normativa da AC Raiz que defina as características mínimas de segurança para as AR da ICP-Brasil.” (NR)

“3.2.8.4..........................................................................

.....................................................................................

3.2.8.4.2 No caso de AR ELETRÔNICA, fica dispensada a verificação biométrica do requerente junto ao

Sistema Biométrico da ICP-Brasil.” (NR)

“4.1 Solicitação do certificado

..........................................................................

a).......................................................................

b) o uso de certificado digital que tenha requisitos de segurança, no mínimo, equivalentes ao de

um certificado de tipo A3, a autenticação biométrica do agente de registro responsável pelas

solicitações de emissão e de revogação de certificados; ou quando da emissão para servidores

públicos da ativa e militares da União, Estados e Distrito Federal, por servidor público e militar

autorizado pelos sistemas de gestão de pessoal dos órgãos competentes;

c) um termo de titularidade assinado digitalmente pelo titular do certificado ou pelo responsável

pelo certificado, no caso de certificado de pessoa jurídica, conforme o adendo referente ao

TERMO DE TITULARIDADE [4] específico, e, ainda, quando emissão para servidor público da ativa

e militar da União, Estados e Distrito Federal pela autoridade designada formalmente pelos

órgãos competentes; e

d) o disposto na alínea ‘b’ e a assinatura do termo de titularidade, no caso de AR ELETRÔNICA,

por se tratar de procedimento automatizado, sem intervenção de agente de registro, serão

regulamentados por Instrução Normativa da AC Raiz.” (NR)

“..........................................................................

4.1.2.2 Obrigações da AC

..........................................................................

a).......................................................................

..........................................................................

y) garantir que todas as aprovações de solicitação de certificados sejam realizadas por agente de

registro e estações de trabalho autorizados, ou por AR ELETRÔNICA.” (NR)

4.1.2.4 Obrigações das ARs

..........................................................................

a).......................................................................

..........................................................................

e) manter a conformidade dos seus processos, procedimentos e atividades com as normas,

critérios, práticas e regras estabelecidas pela AC vinculada e pela ICP-Brasil, em especial com o

contido em regulamentos editados por instruções normativas da AC Raiz que definam os

procedimentos operacionais para AR ELETRÔNICA e as características mínimas de segurança para

as AR da ICP-Brasil, bem como os Princípios e Critérios WebTrust para AR [5];

..........................................................................” (NR)

“5.4.1.6 ..........................................................................

.......................................................................................

5.4.1.6.1 No caso de emissões realizadas por AR ELETRÔNICA, o registro eletrônico em arquivos de

auditoria previsto no item 5.4.1.6 deve contemplar os seguintes eventos:

a) data e hora das operações, sincronizadas com a Fonte Confiável do Tempo (FCT) da ICP-Brasil; e

b) a associação da AR ELETRÔNICA que realizou a validação e aprovação e o certificado gerado,

na forma regulamentada por Instrução Normativa da AC Raiz.” (NR)

“6.5.3 ..........................................................................

....................................................................................

6.5.3.3 Naquilo que couber, os requisitos especificados em regulamento editado por Instrução

Normativa da AC Raiz que defina as características mínimas de segurança para as ARs da ICP-Brasil

devem ser aplicados às ARs ELETRÔNICAS.” (NR)

Art. 5° Ficam aprovadas:

I - a versão 7.1 do documento DOC-ICP-03 – Critérios e Procedimentos para Credenciamento das

Entidades Integrantes da ICP-Brasil;

II - a versão 8.1 do documento DOC-ICP-04 – Requisitos Mínimos para as Políticas de Certificados na ICP-

Brasil; e

III - a versão 6.2 do documento DOC-ICP-05 – Requisitos Mínimos para as Declarações de Práticas de

Certificação das Autoridades Certificadoras da ICP-Brasil.

§ 1° A identificação da versão deverá ser atualizada no preâmbulo e incluída no controle de versões do

anexo das respectivas Resoluções.

§ 2° A identificação da versão deverá ser atualizada no artigo 2° das respectivas Resoluções.

Art. 6° Esta Resolução entra em vigor em 1° de dezembro de 2021.

ORLANDO OLIVEIRA DOS SANTOS