REVOGADA EM 18.04.2006 PELA RESOLUÇÃO 42.
COMITÊ GESTOR DA ICP-BRASIL
RESOLUÇÃO Nº 37, DE 21 DE OUTUBRO DE 2004.
Dispõe sobre o momento de apresentação da apólice de contrato de seguro de atividades de certificação
digital e de registro no âmbito da ICP-Brasil e dá outras providências.
O SECRETÁRIO EXECUTIVO DO COMITÊ GESTOR DA INFRA-ESTRUTURA DE CHAVES PÚBLICAS
BRASILEIRA - ICP-BRASIL faz saber que aquele Comitê, no uso das atribuições previstas nos incisos I e II do
art. 4º da Medida Provisória Nº 2.200-2, de 24 de agosto de 2001,
CONSIDERANDO que os CRITÉRIOS E PROCEDIMENTOS DE CREDENCIAMENTO DAS ENTIDADES
INTEGRANTES DA ICP-BRASIL, aprovados pela Resolução Nº 06, de 22 de novembro de 2001, do Comitê
Gestor, prevêem, em seu item 2.1.1., d), dentre os critérios para o credenciamento como AC, que os candidatos
devem contratar seguro para cobertura de responsabilidade civil decorrente das atividades de certificação digital e
de registro, com cobertura suficiente e compatível com o risco ;
CONSIDERANDO que, nos termos do item 2.1.1., f), da referida norma, dentre os documentos de apresentação
necessária nas solicitações dos candidatos ao credenciamento como AC na ICP-Brasil, insere-se o comprovante
de contratação de seguro válido na forma do item 2.1.1., d);
CONSIDERANDO, porém, que a solicitação de credenciamento não gera, por si só, direito ao desenvolvimento de
atividades de certificação digital e de registro no âmbito da ICP-Brasil, sujeitando o candidato ao credenciamento
ao dispêndio de recursos sem a garantia de que efetivamente poderá desenvolver tais atividades;
CONSIDERANDO, então, que os procedimentos da ICP-Brasil devem ser ajustados para que a apresentação de
apólice de contrato de seguro seja uma condição para o desenvolvimento das atividades de certificação e de
registro, em vez de um critério para o credenciamento da AC;
RESOLVE:
Art. 1º A DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO DA AC RAIZ DA ICP-BRASIL, aprovada pela
Resolução Nº 1, de 25 de setembro de 2001, passa a vigorar com as seguintes alterações:
“4.2. Emissão de Certificado
A emissão de um certificado pela AC Raiz é feita em cerimônia específica, com a presença dos
representantes da AC Raiz, da AC credenciada, de auditores e convidados, na qual são registrados todos
os procedimentos executados.
A AC Raiz garante que a cerimônia de emissão de um certificado para a AC de nível imediatamente
subseqüente ao seu ocorre em, no máximo, 20 (vinte) dias úteis após a autorização de funcionamento da
AC em questão.
O certificado é considerado válido a partir do momento em que é emitido.
A AC Raiz entrega o certificado emitido, em formato padrão PKCS#7, para os representantes legais da AC
credenciada.
A emissão dos certificados da AC Raiz e das AC de nível imediatamente subseqüente é feita em
equipamentos da AC Raiz que operam off-line.
A emissão de certificados pela AC Raiz para as AC de nível imediatamente subseqüente estará
condicionada:
à apresentação de apólice de contrato de seguro de cobertura de responsabilidade civil decorrente das
atividades de certificação digital e de registro, com cobertura suficiente e compatível com o risco
dessas atividades;
à formalização do contrato administrativo e ao pagamento da tarifa a que se referem os artigos 1º e 2º
1
da Resolução Nº 10, de 14 de fevereiro de 2002.
Os órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, que respondem
na forma do art. 37, §6º, da Constituição Federal, ficam dispensados da apresentação da apólice prevista
neste item.”
Art. 2º O item 2.2.1.2. dos CRITÉRIOS E PROCEDIMENTOS DE CREDENCIAMENTO DAS ENTIDADES
INTEGRANTES DA ICP-BRASIL, aprovados pela Resolução Nº 6, de 22 de novembro de 2001, passa a vigorar
com as seguintes alterações:
“d) o ato de credenciamento da AC condicionará a emissão do certificado pela AC Raiz ou pela AC de
nível imediatamente superior, conforme o caso:
à apresentação, pela AC credenciada à AC Raiz, de apólice de contrato de seguro de cobertura de
responsabilidade civil decorrente das atividades de certificação digital e de registro, com cobertura
suficiente e compatível com o risco dessas atividades;
à formalização do contrato administrativo e ao pagamento da tarifa a que se referem os artigos 1º e 2º
da Resolução Nº 10, de 14 de fevereiro de 2002, no caso de a credenciada ser AC de nível
imediatamente subseqüente à AC Raiz.
Os órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, que respondem
na forma do art. 37, §6º, da Constituição Federal, ficam dispensados da apresentação da apólice prevista
nesta alínea”.
Art. 3º O item 2.1.1. dos REQUISITOS MÍNIMOS PARA POLÍTICAS DE CERTIFICADO NA ICP-BRASIL,
aprovados pela Resolução Nº 7, de 12 de dezembro de 2001, passa a vigorar com as seguintes alterações:
“2.1.1. Obrigações da AC
Neste item devem ser incluídas as obrigações da AC responsável pela PC, contendo, no mínimo, as
abaixo relacionadas:
operar de acordo com a sua Declaração de Práticas de Certificação (DPC) e com as PC que
implementa;
tomar as medidas cabíveis para assegurar que usuários e demais entidades envolvidas tenham
conhecimento de seus respectivos direitos e obrigações;
gerar e gerenciar os seus pares de chaves criptográficas;
assegurar a proteção de suas chaves privadas;
notificar os seus usuários quando ocorrer: suspeita de comprometimento de sua chave, emissão de
novo par de chaves e correspondente certificado ou o encerramento de suas atividades;
distribuir o seu próprio certificado;
emitir, expedir e distribuir os certificados de AC de nível imediatamente subseqüente ao seu ou os
certificados de AR a ela vinculadas e os certificados de usuários finais;
informar a emissão do certificado ao respectivo solicitante;
revogar os certificados por ela emitidos;
emitir, gerenciar e publicar sua Lista de Certificados Revogados (LCR) e, quando aplicável,
disponibilizar consulta on-line de situação do certificado (OCSP - On-line Certificate Status Protocol);
identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas
pelo CG da ICP-Brasil;
publicar em sua página Web sua DPC e suas PC aprovadas;
adotar as medidas de segurança e controle previstas na DPC, PC e Política de Segurança que
2
implementar, envolvendo seus processos, procedimentos e atividades, observadas as normas,
critérios, práticas e procedimentos da ICP-Brasil;
manter a conformidade dos seus processos, procedimentos e atividades com as normas, práticas e
regras da ICP-Brasil e com a legislação vigente;
manter e garantir a integridade, o sigilo e a segurança da informação por ela tratada; - manter e testar
regularmente seu Plano de Continuidade do Negócio;
manter contrato de seguro de cobertura de responsabilidade civil decorrente das atividades de
certificação digital e de registro, com cobertura suficiente e compatível com o risco dessas atividades, e
exigir sua manutenção pelas AC de nível subseqüente ao seu, quando estas estiverem obrigadas a
contratá-lo, de acordo com as normas do Comitê Gestor da ICP-Brasil;
informar às terceiras partes e titulares de certificado acerca das garantias, coberturas, condicionantes e
limitações estipuladas pela apólice de seguro de responsabilidade civil contratado nos termos acima; e
não emitir certificado com prazo de validade que se estenda além do prazo de validade de seu próprio
certificado”.
Art. 4º O item 2.1.1. dos REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO
DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL, aprovados pela Resolução Nº 8, de 12 de dezembro
de 2001, passa a vigorar com as seguintes alterações:
“2.1.1 Obrigações da AC
Neste item devem ser incluídas as obrigações da AC responsável pela DPC, contendo, no mínimo, as
abaixo relacionadas:
operar de acordo com a sua DPC e com as PC que implementa;
gerar e gerenciar o seu par de chaves criptográficas;
assegurar a proteção de suas chaves privadas;
notificar a AC de nível superior, emitente do seu certificado, quando ocorrer comprometimento de sua
chave privada e solicitar a imediata revogação desse certificado;
notificar os seus usuários quando ocorrer suspeita de comprometimento de sua chave, emissão de
novo par de chaves e correspondente certificado, ou o encerramento de suas atividades;
distribuir o seu próprio certificado;
emitir, expedir e distribuir os certificados de AC de nível imediatamente subseqüente ao seu ou os
certificados de AR vinculadas e de usuários finais;
informar a emissão do certificado ao respectivo solicitante;
revogar os certificados por ela emitidos;
emitir, gerenciar e publicar suas Listas de Certificados Revogados (LCR) e, quando aplicável,
disponibilizar consulta on-line de situação do certificado (OCSP - On-line Certificate Status Protocol);
publicar em sua página Web sua DPC e as PC aprovadas que implementa;
identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas
pelo CG da ICP-Brasil;
adotar as medidas de segurança e controle previstas na DPC, PC e Política de Segurança que
implementar, envolvendo seus processos, procedimentos e atividades, observadas as normas,
critérios, práticas e procedimentos da ICP-Brasil;
manter a conformidade dos seus processos, procedimentos e atividades com as normas, práticas e
regras da ICP-Brasil e com a legislação vigente;
3
manter e garantir a integridade, o sigilo e a segurança da informação por ela tratada;
manter e testar regularmente seu Plano de Continuidade do Negócio;
manter contrato de seguro de cobertura de responsabilidade civil decorrente das atividades de
certificação digital e de registro, com cobertura suficiente e compatível com o risco dessas atividades, e
exigir sua manutenção pelas AC de nível subseqüente ao seu, quando estas estiverem obrigadas a
contratá-lo, de acordo com as normas do Comitê Gestor da ICP-Brasil;
informar às terceiras partes e titulares de certificado acerca das garantias, coberturas, condicionantes e
limitações estipuladas pela apólice de seguro de responsabilidade civil contratado nos termos acima; e
(CORRIGIDO PELA RETIFICAÇÃO DE 27 DE OUTUBRO DE 2004)
não emitir certificado com prazo de validade que se estenda além do prazo de validade de seu próprio
certificado”.
Art. 5º Ficam revogados os itens 2.1.1., alínea d), e 2.2.1.1., alínea f), dos CRITÉRIOS E PROCEDIMENTOS DE
CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICPBRASIL, aprovados pela Resolução Nº 06, de 22
de novembro de 2001 e o art. 6º da Resolução Nº 17, de 20 de setembro de 2002.
Art. 6º Esta Resolução entra em vigor na data de sua publicação.
ENYLSON FLÁVIO MARTINEZ CAMOLESI
REVOGADA EM 18.04.2006 PELA RESOLUÇÃO 42.
4
