ITENS 1.3.2.1 E 1.3.2.2. REVOGADOS EM 18.04.2006 PELA RESOLUÇÃO 40.

REVOGADA EM 18.04.2006 PELA RESOLUÇÃO 42.

COMITÊ GESTOR DA ICP-BRASIL

RESOLUÇÃO Nº 26, DE 24 DE OUTUBRO DE 2003.

Altera os Critérios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil, os

Requisitos Mínimos para as Políticas de Certificado na ICP-Brasil e os Requisitos Mínimos para as

Declarações de Práticas de Certificação das Autoridades Certificadoras da ICP-Brasil.

O SECRETÁRIO-EXECUTIVO DO COMITÊ GESTOR DA INFRA-ESTRUTURA DE CHAVES PÚBLICAS

BRASILEIRA – ICP-BRASIL faz saber que aquele Comitê, no uso das atribuições previstas no art. 4º da Medida

Provisória Nº 2.200-2, de 24 de agosto de 2001,

RESOLVE:

Art. 1º Os Critérios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil, aprovados

pela Resolução Nº 6, de 22 de novembro de 2001, passam a vigorar com as seguintes alterações e inclusão de

notas:

"ANEXO IV

DOCUMENTOS PARA CREDENCIAMENTO DE AUTORIDADE CERTIFICADORA

O candidato a desenvolver as atividades de Autoridade Certificadora - AC deve entregar ao Instituto Nacional de

Tecnologia da Informação – ITI, os seguintes documentos atualizados:

2. Relativos à sua regularidade fiscal:

a) Prova de inscrição no Cadastro Nacional de Pessoas Jurídicas – CNPJ;

b) Prova de inscrição no cadastro de contribuintes estadual e municipal, se houver, relativo ao domicílio

ou sede do candidato, pertinente ao seu ramo de atividade e compatível com o objeto contratual;

c) Prova de regularidade junto à Fazenda Pública Federal, Estadual e Municipal do domicílio ou sede do

candidato, ou outra equivalente, na forma da lei; e

d) Prova de regularidade do candidato junto à Seguridade Social e ao Fundo de Garantia por Tempo de

Serviço - FGTS, demonstrando situação regular no cumprimento dos encargos sociais instituídos por lei.

NOTA 1: Na hipótese de o candidato já estar credenciado como AC em relação a outra Política de Certificado, o

documento a apresentar fica restrito àquele descrito no item 4b. Nessa mesma hipótese, todos os demais

documentos deverão ser reapresentados apenas se modificados em relação às versões anteriormente entregues.

NOTA 2: Na hipótese de o candidato a AC ser pessoa jurídica de direito público deverá apresentar a seguinte

documentação, se aplicável (REDAÇÃO INCLUÍDA PELA RESOLUÇÃO Nº 21, DE 29 DE AGOSTO DE 2003.):

a) prova de inscrição no Cadastro Nacional de Pessoas Jurídicas – CNPJ;

b) ato constitutivo;

c) prova de regularidade junto às Fazendas Públicas Federal, Estaduais e Municipais do domicílio ou sede

do candidato, ou outra equivalente, na forma da lei; e

d) prova de regularidade do candidato junto à Seguridade Social e ao Fundo de Garantia por

Tempo de Serviço - FGTS, demonstrando situação regular no cumprimento dos encargos sociais

instituídos por lei.

NOTA 3: As empresas cadastradas no Sistema Unificado de Cadastramento de Fornecedores - SICAF, registro

cadastral oficial do Poder Executivo Federal, poderão, para fins do disposto no item 2 apresentar seu extrato."

"ANEXO V

DOCUMENTOS PARA CREDENCIAMENTO DE AUTORIDADE DE REGISTRO

O candidato a desenvolver as atividades de Autoridade de Registro - AR deve entregar, por intermédio da

Autoridade Certificadora - AC ou candidato a AC a que esteja operacionalmente vinculado, ao Instituto Nacional de

Tecnologia da Informação – ITI, os seguintes documentos atualizados:

2. Relativos à sua regularidade fiscal:

a) Prova de inscrição no Cadastro Nacional de Pessoas Jurídicas – CNPJ;

b) Prova de inscrição no cadastro de contribuintes estadual e municipal, se houver, relativo ao domicílio ou

sede do candidato, pertinente ao seu ramo de atividade e compatível com o objeto contratual;

c) Prova de regularidade junto à Fazenda Pública Federal, Estadual e Municipal do domicílio ou sede do

candidato, ou outra equivalente, na forma da lei; e

d) Prova de regularidade do candidato junto à Seguridade Social e ao Fundo de Garantia por Tempo de

Serviço - FGTS, demonstrando situação regular no cumprimento dos encargos sociais instituídos por lei.

4. Relativos aos contratos:

a) Minuta do contrato ou do convênio com a AC a que está operacionalmente vinculada;

b) Minuta do contrato ou do convênio com o prestador de serviço de suporte operacionalmente vinculado,

se for o caso;

c) Minuta dos termos de titularidade e de responsabilidade.

NOTA 1: Fica dispensado da entrega dos documentos descritos neste Anexo o candidato já credenciado como AR

em relação a outras Políticas de Certificado, exceto quando houver modificação dos mesmos em relação às

versões anteriormente entregues.

NOTA 2: Na hipótese de o candidato a AR ser pessoa jurídica de direito público deverá apresentar a seguinte

documentação, se aplicável:

a) prova de inscrição no Cadastro Nacional de Pessoas Jurídicas – CNPJ;

b) ato constitutivo;

c) prova de regularidade junto às Fazendas Públicas Federal, Estaduais e Municipais do domicílio ou sede

do candidato, ou outra equivalente, na forma da lei; e

d) prova de regularidade do candidato junto à Seguridade Social e ao Fundo de Garantia por Tempo de

Serviço - FGTS, demonstrando situação regular no cumprimento dos encargos sociais instituídos por lei.

NOTA 3: As empresas cadastradas no Sistema Unificado de Cadastramento de Fornecedores - SICAF, registro

cadastral oficial do Poder Executivo Federal, poderão, para fins do disposto no item 2 apresentar seu extrato."

"ANEXO VI

DOCUMENTOS PARA CREDENCIAMENTO DE PRESTADOR DE SERVIÇO DE SUPORTE

O candidato a desenvolver as atividades de prestador de serviço de suporte deve entregar, por intermédio da

Autoridade Certificadora - AC ou candidato a AC a que esteja operacionalmente vinculado, ao Instituto Nacional de

Tecnologia da Informação – ITI, os seguintes documentos atualizados:

2. Relativos à sua regularidade fiscal:

a) Prova de inscrição no Cadastro Nacional de Pessoas Jurídicas - CNPJ;

b) Prova de inscrição no cadastro de contribuintes estadual e municipal, se houver, relativo ao domicílio ou

sede do candidato, pertinente ao seu ramo de atividade e compatível com o objeto contratual;

c) Prova de regularidade junto à Fazenda Pública Federal, Estadual e Municipal do domicílio ou sede do

candidato, ou outra equivalente, na forma da lei; e

d) Prova de regularidade do candidato junto à Seguridade Social e ao Fundo de Garantia por Tempo de

Serviço - FGTS, demonstrando situação regular no cumprimento dos encargos sociais instituídos por lei.

NOTA 1: Fica dispensado da entrega dos documentos descritos neste Anexo o candidato o candidato já

credenciado como prestador de serviço de suporte em relação a outras Políticas de Certificados, exceto quando

houver modificação dos mesmos em relação às versões anteriormente entregues.

NOTA 2: Na hipótese de o candidato a Prestador de Serviço de Suporte ser pessoa jurídica de direito público

deverá apresentar a seguinte documentação, se aplicável:

a) prova de inscrição no Cadastro Nacional de Pessoas Jurídicas – CNPJ;

b) ato constitutivo;

c) prova de regularidade junto às Fazendas Públicas Federal, Estaduais e Municipais do domicílio ou sede

do candidato, ou outra equivalente, na forma da lei; e

d) prova de regularidade do candidato junto à Seguridade Social e ao Fundo de Garantia por Tempo de

Serviço - FGTS, demonstrando situação regular no cumprimento dos encargos sociais instituídos por lei.

NOTA 3: As empresas cadastradas no Sistema Unificado de Cadastramento de Fornecedores -SICAF, registro

cadastral oficial do Poder Executivo Federal, poderão, para fins do disposto no item 2 apresentar seu extrato."

Art. 2º O Anexo II dos Critérios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil,

aprovados pela Resolução Nº 6, de 22 de novembro de 2001, passa a vigorar como Anexo II-A, ficando inserido o

Anexo II-B com a seguinte redação:

ANEXO II-B

FORMULÁRIO DE SOLICITAÇÃO DE FUNCIONAMENTO DE POSTO PROVISÓRIO DE AUTORIDADE DE

REGISTRO - AR CREDENCIADA NO ÂMBITO DA INFRA-ESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA

1. IDENTIFICAÇÃO DA ENTIDADE CANDIDATA

1.1 NOME (Razão Social) 1.2 CNPJ

1.3 ENDEREÇO (da sede administrativa)

RUA N

COMPLEMENTO

BAIRRO CEP MUNICÍPIO UF

DDD TELEFONE FAX ENDEREÇO ELETRÔNICO

1.4 ENDEREÇO (do posto provisório)

RUA N

COMPLEMENTO

BAIRRO CEP MUNICÍPIO UF

DDD TELEFONE FAX ENDEREÇO ELETRÔNICO

1.5 REPRESENTANTE LEGAL

NOME RG CPF CARGO

DDD TELEFONE FAX ENDEREÇO ELETRÔNICO CELULAR

1.6 PERÍODO DE FUNCIONAMENTO DO POSTO PROVISÓRIO

ATÉ

1.7 HORÁRIO DE FUNCIONAMENTO DO POSTO PROVISÓRIO

2. POLÍTICAS DE CERTIFICADOS PARA AS QUAIS É SOLICITADO A AUTORIZAÇÃO DE FUNCIONAMENTO

2.1 IDENTIFICAÇÃO DA POLÍTICA¹

¹Caso haja mais de uma política, indicar todas

3. DECLARAÇÃO

Declaro(amos) que todos os dados informados neste formulário são verdadeiros e a solicitação para

funcionamento como posto provisório de Autoridade de Registro - AR atende às exigências aplicáveis a tais

atividades estabelecidas nas Resoluções da ICP - Brasil

_______________________________, ______ de ______________________ de 2_______.

_______________________________________________________________________

(Assinatura(s) do(s) Representante(s) Legal(is) da AR)

_______________________________________________________________________

(Assinatura(s) do(s) Representante(s) Legal(is) da AC)

Art. 3º Os Requisitos Mínimos para as Políticas de Certificado na ICP-Brasil aprovados pela Resolução Nº 7, de 12

de dezembro de 2001, passam a vigorar com as seguintes alterações e inclusão de nota:

“1.3.2. Autoridades de Registro

Neste item devem ser identificadas as Autoridades de Registro (AR) utilizadas pela AC para os processos

de recebimento, validação e encaminhamento de solicitações de emissão ou de revogação de certificados

digitais e de identificação de seus solicitantes.

1.3.2.1. Novos endereços de instalações técnicas

A Autoridade de Registro já credenciada na ICP-Brasil poderá abrir novos endereços de

instalações técnicas desde que encaminhe, por intermédio da cadeia de Autoridades

Certificadoras operacionalmente viculadas, solicitação de funcionamento à Autoridade

Certificadora Raiz, acompanhada dos seguintes documentos:

a) formulário constante dos itens 1 e 2 do Anexo II-A da Resolução Nº 6, de 22 de novembro de

2001 indicando os novos endereços;

b) indicação dos procedimentos que serão adotados quanto aos aspectos de segurança e

operacionais;

c) relação das pessoas responsáveis por cada um dos novos postos da AR.

Estando a documentação regular, a AC Raiz autorizará o funcionamento dos novos postos

mediante intimação da solicitante, que a partir deste momento disponibilizará os novos endereços

em seu sítio.

A AC Raiz poderá, a qualquer tempo, verificar a conformidade dos procedimentos e atividades dos

postos das Autoridades de Registro autorizados com as práticas e regras estabelecidas pelo CG

da ICP-Brasil. Constatada qualquer irregularidade em uma das instalações técnicas, a AC Raiz

cassará imediatamente a autorização de funcionamento deste posto e verificará a conformidade

dos procedimentos de qualquer outro posto da mesma AR. Verificando-se mais uma vez

irregularidades, todos os postos que adotarem os mesmos procedimentos também terão sua

autorização cassada.

1.3.2.2. Posto provisório de instalação técnica

A Autoridade de Registro já credenciada na ICP-Brasil poderá, ainda, abrir postos provisórios de

instalações técnicas desde que encaminhe, por intermédio da cadeia de Autoridades

Certificadoras operacionalmente viculadas, solicitação de funcionamento à Autoridade

Certificadora Raiz, com no mínimo 10 (dez) dias de antecedência, acompanhada dos seguintes

documentos:

a) formulário contante do Anexo II-B da Resolução Nº 6, de 22 de novembro de 2001;

b) indicação dos procedimentos que serão adotados quanto aos aspectos de segurança e

operacionais;

c) indicação da pessoa responsável pelo posto provisório;

d) relação dos agentes de registro que trabalharão no posto provisório.”

Estando a documentação regular, a AC Raiz autorizará o funcionamento do posto provisório

mediante intimação da solicitante."

“2.1.2. Obrigações das AR

Neste item devem ser incluídas as obrigações das AR vinculadas à AC responsável pela PC, contendo, no

mínimo, as abaixo relacionadas:

− receber solicitações de emissão ou de revogação de certificados;

− confirmar a identidade do solicitante e a validade da solicitação, de acordo com os requisitos

estabelecidos pelos itens 3 e 4 da PC;

− encaminhar a solicitação de emissão ou de revogação de certificado à AC responsável utilizando VPN

(Virtual Private Network - rede privativa virtual), SSL (Secure Socket Layer - protocolo de comunicação

seguro) ou outra tecnologia de igual ou superior nível de segurança e privacidade;

− utilizar VPN (Virtual Private Network - rede privativa virtual), SSL (Secure Socket Layer - protocolo de

comunicação seguro) ou outra tecnologia de igual ou superior nível de segurança e privacidade, ao

disponibilizar serviços para os solicitantes ou usuários de certificados digitais via web;

− informar aos respectivos titulares a emissão ou a revogação de seus certificados;

− disponibilizar os certificados emitidos pela AC aos seus respectivos solicitantes;

 identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas

pelo CG da ICP-Brasil;



− manter a conformidade dos seus processos, procedimentos e atividades com as normas, critérios,

práticas e regras estabelecidas pela AC vinculada;

 manter e garantir a segurança da informação por elas tratada, de acordo com o estabelecido nas

normas, critérios, práticas e procedimentos da ICP-Brasil;

 oferecer treinamento aos seus agentes de registro, especialmente quanto ao reconhecimento de

assinaturas e validade dos documentos apresentados na forma dos itens 3.1.8 e 3.1.9.”

“2.6.1. Publicação de informação da AC

Neste item devem ser definidas as informações a serem publicadas pela AC responsável, o modo pelo

qual serão disponibilizadas e a sua disponibilidade, que deverá ser, no mínimo, de 99% (noventa e nove

por cento) do mês, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana.

As seguintes informações, no mínimo, deverão ser publicadas pela AC em serviço de diretório ou página

Web:

 seu próprio certificado;



 suas LCR;



 sua DPC;



 as PC que implementa;



 os endereços das instalações técnicas das AR vinculadas.”

“3.1 Registro Inicial

Neste item e nos seguintes, a PC deve descrever em detalhes os requisitos e procedimentos utilizados pelas AR

vinculadas no processo inicial de identificação do solicitante do certificado.

A AR realizará a autenticação da identidade de uma organização (item 3.1.8) e a autenticação da identidade de

um indivíduo (item 3.1.9) por meio de, no mínimo, dois agentes de registro responsáveis pelo recolhimento e

verificação da validade dos documentos apresentados.

“3.1.9. Autenticação da identidade de um indivíduo (SEM VALIDADE POIS FOI DADA NOVA REDAÇÃO

PELA RESOLUÇÃO Nº 31, DE 29 DE JANEIRO DE 2004)

Neste item devem ser definidos os procedimentos empregados pelas AR vinculadas para a confirmação

da identidade de um indivíduo. Essa confirmação deverá ser realizada, mediante a presença física do

interessado, com base em documentos de identificação legalmente aceitos.

Deverão ser mantidos arquivos com o tipo e os detalhes da identificação utilizada em cada caso.

3.1.9.1. Documentos para identificação (SEM VALIDADE POIS FOI DADA NOVA REDAÇÃO

PELA RESOLUÇÃO Nº 31, DE 29 DE JANEIRO DE 2004)

Deve ser apresentada uma foto recente e, no mínimo, os seguintes documentos acompanhados

de cópia:

 Cédula de Identidade ou Passaporte, se estrangeiro;



 Cadastro de Pessoa Física;



 comprovante de residência;



 PIS/PASEP, se aplicável;



 título de eleitor, se aplicável;



 mais um documento oficial com fotografia, no caso de certificados de tipos A4 e S4;



 os documentos acima relacionados do responsável, caso o solicitante seja incapaz.

NOTA: Entende-se por cédula de identidade as carteiras instituídas por lei, desde que contenham

foto e às mesmas seja atribuída fé pública em todo o território nacional, tais como: Carteira de

Identidade emitida pela Secretaria de Segurança Pública, Carteira Nacional de Habilitação,

Carteira de Identidade Funcional, Carteira de Identidade Profissional.

3.1.9.2 Certificado emitido para pessoa física

Deverá ser feita a confirmação de sua identidade, na forma do item 3.1.9.1, e esta assinará termo

de titularidade.

3.1.9.3. Certificado emitido para pessoa jurídica

Deverá ser feita a confirmação da identidade da organização e das pessoa físicas, nos seguintes

termos:

a) apresentação do rol de documentos elencados no item 3.1.8;

b) apresentação do rol de documentos elencados no item 3.1.9.1 do representante legal da

pessoa jurídica e do responsável pelo uso do certificado;

c) presença física do responsável pelo uso do certificado e assinatura do termo de

responsabilidade; e

d) presença física do representante legal da pessoa jurídica e assinatura do termo de titularidade.

3.1.9.4. Certificado emitido para equipamento ou aplicação

Se o titular for pessoa física, deverá ser feita a confirmação de sua identidade, na forma do item

3.1.9.1, e esta assinará termo de titularidade.

Se o titular for pessoa jurídica, deverá ser feita a confirmação da identidade da organização e das

pessoas físicas, nos seguintes termos:

a) apresentação do rol de documentos elencados no item 3.1.8;

b) apresentação do rol de documentos elencados no item 3.1.9.1 do representante legal da

pessoa jurídica e do responsável pelo uso do certificado;

c) presença física do responsável pelo uso do certificado e assinatura do termo de

responsabilidade; e

d) presença física do representante legal da pessoa jurídica e assinatura do termo de titularidade,

ou outorga de procuração atribuindo poderes para solicitação de certificado para equipamento ou

aplicação e assinatura do respectivo termo de titularidade."

“4.1. Solicitação de Certificado

Neste item da PC devem ser descritos todos os requisitos e procedimentos operacionais estabelecidos pela AC

responsável para as solicitações de emissão de certificado. Esses requisitos e procedimentos, que deverão ser

atendidos e executados pelas AR vinculadas e pelos solicitantes, deverão compreender, no mínimo:

 a comprovação de atributos de identificação constantes do certificado, conforme item 3.1;



 a autenticação do agente de registro responsável pelas solicitações de emissão e de revogação de certificados

mediante o uso de certificado digital que tenha requisitos de segurança, no mínimo, equivalentes a de um

certificado de nível A3;

 um termo de titularidade assinado pelo titular do certificado e um termo de responsabilidade assinado pelo

responsável pelo uso do certificado, se for o caso, estabelecendo as condições de uso deste.

A PC deve observar que a solicitação de certificado para AC de nível imediatamente subseqüente ao da AC

responsável somente será possível após o processo de credenciamento e a autorização de funcionamento no

âmbito da ICP-Brasil (Critérios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil).

Nesse caso, aquela AC deverá encaminhar a solicitação de seu certificado à AC emitente por meio de seus

representantes legais, utilizando o padrão de solicitação de certificado PKCS#10.”

Art. 4º Os Requisitos Mínimos para as Declarações de Práticas de Certificação das Autoridades Certificadoras da

ICP-Brasil aprovados pela Resolução Nº 8, de 12 de dezembro de 2001, passam a vigorar com as seguintes

alterações e inclusão de nota:

“1.3.2. Autoridades de Registro

Neste item devem ser identificadas as Autoridades de Registro (AR) utilizadas pela AC para os processos

de recebimento, validação e encaminhamento de solicitações de emissão ou de revogação de certificados

digitais e de identificação de seus solicitantes.

A DPC deverá ser atualizada sempre que houver o credenciamento de mais uma AR vinculada à AC

responsável.

1.3.2.1. Novos endereços de instalações técnicas

A Autoridade de Registro já credenciada na ICP-Brasil poderá abrir novos endereços de

instalações técnicas desde que encaminhe, por intermédio da cadeia de Autoridades

Certificadoras operacionalmente viculadas, solicitação de funcionamento à Autoridade

Certificadora Raiz, acompanhada dos seguintes documentos:

a) formulário constante dos itens 1 e 2 do Anexo II-A da Resolução Nº 6, de 22 de novembro de

2001 indicando os novos endereços;

b) indicação dos procedimentos que serão adotados quanto aos aspectos de segurança e

operacionais;

c) relação das pessoas responsáveis por cada um dos novos postos da AR.

Estando a documentação regular, a AC Raiz autorizará o funcionamento dos novos postos

mediante intimação da solicitante, que a partir deste momento disponibilizará os novos endereços

em seu sítio.

A AC Raiz poderá, a qualquer tempo, verificar a conformidade dos procedimentos e atividades dos

postos das Autoridades de Registro autorizados com as práticas e regras estabelecidas pelo CG

da ICP-Brasil. Constatada qualquer irregularidade em uma das instalações técnicas, a AC Raiz

cassará imediatamente a autorização de funcionamento deste posto e verificará a conformidade

dos procedimentos de qualquer outro posto da mesma AR. Verificando-se mais uma vez

irregularidades, todos os postos que adotarem os mesmos procedimentos também terão sua

autorização cassada.

1.3.2.2. Posto provisório de instalação técnica

A Autoridade de Registro já credenciada na ICP-Brasil poderá, ainda, abrir postos provisórios de

instalações técnicas desde que encaminhe, por intermédio da cadeia de Autoridades

Certificadoras operacionalmente viculadas, solicitação de funcionamento à Autoridade

Certificadora Raiz, com no mínimo 10 (dez) dias de antecedência, acompanhada dos seguintes

documentos:

a) formulário contante do Anexo II-B da Resolução Nº 6, de 22 de novembro de 2001;

b) indicação dos procedimentos que serão adotados quanto aos aspectos de segurança e

operacionais;

c) indicação da pessoa responsável pelo posto provisório;

d) relação dos agentes de registro que trabalharão no posto provisório.

Estando a documentação regular, a AC Raiz autorizará o funcionamento do posto provisório

mediante intimação da solicitante."

“2.1.2. Obrigações das AR

Neste item devem ser incluídas as obrigações das AR vinculadas à AC responsável pela DPC, contendo,

no mínimo, as abaixo relacionadas:

 receber solicitações de emissão ou de revogação de certificados;



 confirmar a identidade do solicitante e a validade da solicitação;

 encaminhar a solicitação de emissão ou de revogação de certificado à AC responsável utilizando VPN

(Virtual Private Network - rede privativa virtual), SSL (Secure Socket Layer - protocolo de comunicação

seguro) ou outra tecnologia de igual ou superior nível de segurança e privacidade;

 utilizar VPN (Virtual Private Network - rede privativa virtual), SSL (Secure Socket Layer - protocolo de

comunicação seguro) ou outra tecnologia de igual ou superior nível de segurança e privacidade, ao

disponibilizar serviços para os solicitantes ou usuários de certificados digitais via web;



 informar aos respectivos titulares a emissão ou a revogação de seus certificados;

 disponibilizar os certificados emitidos pela AC aos seus respectivos solicitantes;

 identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas

pelo CG da ICP-Brasil;

 manter a conformidade dos seus processos, procedimentos e atividades com as normas, critérios,

práticas e regras estabelecidas pela AC vinculada;

 manter e garantir a segurança da informação por elas tratada, de acordo com o estabelecido nas

normas, critérios, práticas e procedimentos da ICP-Brasil;

 oferecer treinamento aos seus agentes de registro, especialmente quanto ao reconhecimento de

assinaturas e validade dos documentos apresentados na forma dos itens 3.1.8 e 3.1.9.”

“2.6.1. Publicação de informação da AC

Neste item devem ser definidas as informações a serem publicadas pela AC responsável pela DPC, o

modo pelo qual serão disponibilizadas e a sua disponibilidade, que deverá ser, no mínimo, de 99%

(noventa e nove por cento) do mês, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana.

As seguintes informações, no mínimo, deverão ser publicadas pela AC em serviço de diretório ou página

Web:

 seu próprio certificado;



 suas LCR;



 sua DPC;



 as PC que implementa;



 os endereços das instalações técnicas das AR vinculadas.”

“3.1. Registro Inicial

Neste item e nos seguintes, a DPC deve descrever os requisitos e os procedimentos gerais utilizados pelas AR

vinculadas à AC responsável no processo inicial de identificação dos solicitantes de certificado. Os requisitos e

procedimentos específicos devem estar detalhados nas PC implementadas pela AC responsável pela DPC.

A AR realizará a autenticação da identidade de uma organização (item 3.1.8) e a autenticação da identidade de

um indivíduo (item 3.1.9) por meio de no mínimo dois agentes de registro responsáveis pelo recolhimento e

verificação da validade dos documentos apresentados.”

“4.1. Solicitação de Certificado

Neste item da DPC devem ser descritos todos os requisitos e procedimentos operacionais estabelecidos pela AC

responsável e pelas AR a ela vinculadas para as solicitações de emissão de certificado. Esses requisitos e

procedimentos deverão compreender, no mínimo:

 a comprovação de atributos de identificação constantes do certificado;



 a autenticação do agente de registro responsável pelas solicitações de emissão e de revogação de certificados

mediante o uso de certificado digital que tenha requisitos de segurança, no mínimo, equivalentes a de um

certificado de nível A3;



 um termo de titularidade assinado pelo titular do certificado e um termo de responsabilidade assinado pelo

responsável pelo uso do certificado, se for o caso, estabelecendo as condições de uso deste.

A DPC deve observar, quando aplicável, que a solicitação de certificado para AC de nível imediatamente

subseqüente ao da AC responsável somente será possível após o processo de credenciamento e a autorização de

funcionamento da AC em questão (Critérios e Procedimentos para credenciamento das Entidades integrantes da

ICP-Brasil).

Nesse caso, aquela AC deverá encaminhar a solicitação de seu certificado à AC emitente por meio de seus

representantes legais, utilizando o padrão de solicitação de certificado PKCS#10

.”

Art. 5º As Autoridades Certificadoras – AC devidamente credenciadas deverão apresentar, no prazo máximo de 90

(noventa) dias contados da publicação desta Resolução, alteração na sua declaração de práticas de certificação e

nas suas políticas de certificado, comprovando, sob pena de descredenciamento, a adequação de seus

documentos às alterações procedidas por esta Resolução.

Parágrafo único. As AC em processo de credenciamento deverão apresentar imediatamente alteração na

declaração de práticas de certificação e nas políticas de certificado apresentadas, adequando-as às modificações

procedidas por esta Resolução.

Art. 6º Esta Resolução entra em vigor na data da sua publicação.

ENYLSON FLÁVIO MARTINEZ CAMOLESI

ITENS 1.3.2.1 E 1.3.2.2. REVOGADOS EM 18.04.2006 PELA RESOLUÇÃO 40.

REVOGADA EM 18.04.2006 PELA RESOLUÇÃO 42.