10.1.1. O sistema criptográfico da ICP-Brasil deve ser entendido como sendo um sistema
composto de documentação normativa específica de criptografia aplicada na ICP-Brasil, conjunto de
requisitos de criptografia, projetos, métodos de implementação, módulos implementados de hardware e
software, definições relativas a algoritmos criptográficos e demais algoritmos integrantes de um processo
criptográfico, procedimentos adotados para gerência das chaves criptográficas, métodos adotados para
testes de robustez das cifras e detecção de violações dessas.
10.1.2. Toda a documentação, referente a definição, descrição e especificação dos componentes
dos sistemas criptográficos utilizados na ICP-Brasil, deve ser aprovada pela AC Raiz.
10.1.3. Compete à AC Raiz acompanhar a evolução tecnológica e, quando necessário, atualizar
os padrões e algoritmos criptográficos utilizados na ICP-Brasil, com vistas a manter a segurança da infra-
estrutura.
10.1.4. Todo parâmetro crítico, cuja exposição indevida comprometa a segurança do sistema
criptográfico da ICP-Brasil, deve ser armazenado cifrado.
10.1.5. Os aspectos relevantes relacionados à criptografia no âmbito da ICP-Brasil devem ser
detalhados em documentos específicos, aprovados pela AC Raiz.
10.2. Chaves criptográficas
10.2.1. Os processos que envolvem as chaves criptográficas utilizadas nos sistemas criptográficos
da ICP-Brasil deverão ser executados por um número mínimo e essencial de pessoas, assim como
devem estar submetidos a mecanismos de controle considerados adequados pelo CG ICP-Brasil.
10.2.2. As pessoas, a que se refere o item anterior, deverão ser formalmente designadas pela
chefia competente, conforme as funções a serem desempenhadas e o correspondente grau de
privilégios, assim como terem suas responsabilidades explicitamente definidas.
10.2.3. Os algoritmos de criação e de troca das chaves criptográficas utilizados no sistema
criptográfico da ICP-Brasil devem ser aprovados pelo CG ICP-Brasil.
10.2.4. Os diferentes tipos de chaves criptográficas e suas funções no sistema criptográfico da
ICP-Brasil devem estar explicitados nas políticas de certificado específicas.
10.3. Transporte das Informações
10.3.1. O processo de transporte de chaves criptográficas e demais parâmetros do sistema de
criptografia da ICP-Brasil devem ter a integridade e o sigilo assegurados, por meio do emprego de
soluções criptográficas específicas.
10.3.2. Deve-se adotar recursos de VPN (Virtual Private Networks – redes privadas virtuais),
baseadas em criptografia, para a troca de informações sensíveis, por meio de redes públicas, entre as
redes das entidades da ICP-Brasil que pertençam a uma mesma organização.
2
11. AUDITORIA E FISCALIZAÇÃO
11.1. As atividades das entidades integrantes da ICP-Brasil estão associadas ao conceito de
confiança. Os processos de auditoria e fiscalização representam instrumentos que facilitam a percepção
e transmissão de confiança à comunidade de usuários, dado que o objetivo desses processos é verificar
a capacidade das entidades integrantes em atender aos requisitos da ICP-Brasil.
11.2. O resultado das auditorias pré-operacionais é um item fundamental a ser considerado no
processo de credenciamento das entidades na ICP-Brasil, da mesma forma que o resultado das
auditorias operacionais e fiscalizações é item fundamental para a manutenção da condição de
credenciada.
11.3. Deverão ser realizadas auditorias periódicas nas entidades integrantes da ICP-Brasil, pela
AC Raiz ou por terceiros por ele autorizados, conforme o disposto no documento CRITÉRIOS E
PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-
BRASIL [1]. Esse documento trata do objetivo, freqüência e abrangência das auditorias, da identidade e
qualificação do auditor e demais temas correlacionados.
11.4. Além de auditadas, as entidades integrantes da ICP-Brasil podem ser fiscalizadas pela AC
Raiz a qualquer tempo, sem aviso prévio, observado o disposto no documento CRITÉRIOS E
PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [2].
1
12. GERENCIAMENTO DE RISCOS
12.1. Definição
Processo que visa a proteção dos serviços das entidades integrantes da ICP-Brasil, por meio da
eliminação, redução ou transferência dos riscos, conforme seja economicamente (e estrategicamente)
mais viável. Os seguintes pontos principais devem ser identificados:
a) o que deve ser protegido;
b) análise de riscos (contra quem ou contra o quê deve ser protegido);
c) avaliação de riscos (análise da relação custo/benefício).
12.2. Fases Principais
O gerenciamento de riscos consiste das seguintes fases principais
a) identificação dos recursos a serem protegidos – hardware, rede, software, dados, informações