ALTERADA EM 28/11/2008 PELA RESOLUÇÃO 57.

RESOLUÇÃO N

45, DE 18 DE ABRIL DE 2006.

Aprova a versão 2.0 dos CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO

DAS ENTIDADES INTEGRANTES DA ICP-BRASIL

O COORDENADOR DO COMITÊ GESTOR DA INFRA-ESTRUTURA DE CHAVES PÚBLICAS

BRASILEIRA - ICP-BRASIL faz saber que aquele Comitê, no uso das atribuições previstas nos incisos I,

II e III do art. 4

da Medida Provisória N

2.200-2, de 24 de agosto de 2001.

CONSIDERANDO o aumento da emissão e manuseio de certificados digitais no âmbito da ICP-

Brasil, e que o processo de fiscalização deva ter mecanismos mais efetivos e detalhados;

CONSIDERANDO que alguns procedimentos e atividades atribuídas ao ITI, referentes ao

Procedimento de Fiscalização não foram devidamente explicitados e adequados na Resolução nº 25 de

23 de outrubro de 2003, tornando-se inaplicáveis;

CONSIDERANDO que durante o período de implementação da ICP-Brasil a ênfase pré-

operacional indicou maiores atividades de auditoria, e que as atividades de fiscalização devem ser

aplicadas e regulamentadas de modo a equilibrar as duas ações;

CONSIDERANDO que o procedimento de fiscalização é mais ágil para determinadas regras da

ICP-Brasil e atua de maneira complementar ao procedimento regular de auditoria;

CONSIDERANDO que o procedimento de fiscalização previsto e utilizado a partir da Resolução nº

25 de 23 de outubro de 2003 necessita de atualizações, ajustes e revisão;

RESOLVE:

Art. 1º Aprovar a versão 2.0 dos CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS

ENTIDADES INTEGRANTES DA ICP-BRASIL (DOC-ICP-09), em anexo.

Art. 2º Fica revogada a Resolução do Comitê Gestor da ICP-Brasil nº 25, de 24 de outubro de

2003 e convalidados os atos praticados durante sua vigência.

Art. 3º Esta Resolução entra em vigor na data de sua publicação.

ENYLSON FLÁVIO MARTINEZ CAMOLESI

ANEXO

CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-

BRASIL

DOC-ICP-09 - Versão 2.0

LISTA DE ACRÔNIMOS

AC - Autoridade Certificadora

AC Raiz - Autoridade Certificadora Raiz da ICP-Brasil

AFC - Ação de Fiscalização de Certificação

AIC - Auto de Infração de Certificação

AR - Autoridade de Registro

DPC - Declaração de Práticas de Certificação

ICP-Brasil - Infra-Estrutura de Chaves Públicas Brasileira

NFC - Notificação da Fiscalização de Certificação

PAF - Processo Administrativo de Fiscalização

PC - Políticas de Certificado

PFC - Procedimento de Fiscalização de Certificação

PS - Política de Segurança

PSC - Prestador de Serviço de Certificação

RF - Relatório de Fiscalização

REVOGADA

RIC - Requisição de Informações Complementares

TF - Termo de Fiscalização

TFC - Termo de Fiscalização Complementar

TFE - Termo de Fiscalização Extensivo

TFF - Termo de Fiscalização Final

TFI – Termo de Fiscalização Inicial

1. DISPOSIÇÕES GERAIS

1.1 Para os fins deste documento, entende-se como:

a) AÇÃO DE FISCALIZAÇÃO DE CERTIFICAÇÃO (AFC) - Procedimentos preparatórios,

levantamento de informações, ações presenciais ou à distância, levantamento de evidências, pedidos de

complementação de informações através do documento REQUISIÇÃO DE INFORMAÇÕES

COMPLEMENTARES (RIC) [1] e atividades do fiscal que devem estar relatadas no documento

RELATÓRIO DE FISCALIZAÇÃO (RF) [5];

b) AUTORIDADE OUTORGANTE – Autoridade competente e empossada no cargo de Diretor de

Auditoria, Fiscalização e Normalização da AC Raiz, sendo, pela legislação, autorizado a praticar, todos

os atos necessários à realização do Procedimento de Fiscalização de Certificação (PFC) e que expede

documentos relativos ao mesmo;

c) AUTO DE INFRAÇÃO DE CERTIFICAÇÃO (AIC) [2] – Documento preenchido pelo Fiscal da

ICP-Brasil ao constatar infração por Prestador de Serviço de Certificação (PSC) durante a fiscalização;

d) FISCAL DA ICP-BRASIL – Servidor vinculado e lotado na Diretoria de Auditoria, Fiscalização e

Normalização da AC Raiz, e no exercício das funções de fiscal, conforme indicado no documento

TERMO DE FISCALIZAÇÃO (TF) [3];

e) FISCALIZAÇÃO – Atividade de controle e inspeção sistemática do cumprimento das

resoluções, normas, procedimentos e atividades dos Prestadores de Serviço de Certificação (PSC) com

a finalidade de examinar se as operações de cada um deles, isolada ou conjuntamente, se mantêm em

conformidade com as suas respectivas Declarações de Práticas de Certificação (DPC), Políticas de

Certificado (PC), Políticas de Segurança (PS);

f) INFRAÇÃO

i - Não atendimento a qualquer disposição legal da ICP-Brasil ou normas complementares

estabelecidas pela AC Raiz;

ii - Não-conformidade constatada a partir de fiscalização;

iii - Obstrução, omissão ou má-fé por parte do PSC tendente a prejudicar a ação fiscalizadora da

AC Raiz;

g) INSTALAÇÃO TÉCNICA – Endereço físico de uma entidade integrante da ICP-Brasil que

conste no formulário SOLICITAÇÃO DE CREDENCIAMENTO [6];

h) NOTIFICAÇÃO DA FISCALIZAÇÃO DE CERTIFICAÇÃO (NFC) [4] - Documento pelo qual a

Autoridade Outorgante dá ciência à Entidade Fiscalizada e a sua responsável hierárquica para que faça

ou deixe de fazer alguma coisa;

i) OBJETO DA FISCALIZAÇÃO – Descrição do ponto de controle sob verificação. É um item das

resoluções, um conjunto de itens, ou itens de resoluções associados;

j) PRESTADOR DE SERVIÇO DE CERTIFICAÇÃO (PSC) – Qualquer entidade credenciada para

operar na ICP-Brasil, como: as Autoridades Certificadoras (AC); as Autoridades de Registro (AR); os

Prestadores de Serviço de Suporte (PSS); ou entidade vinculada, como o Laboratório de Ensaios e

Auditoria (LEA) e outros que executem ou determinem a execução de itens de certificação presentes nas

resoluções da ICP-Brasil;

k) PROCEDIMENTO DE FISCALIZAÇÃO DE CERTIFICAÇÃO (PFC) - Conjunto de ações que

objetivam a verificação do cumprimento das normas, por parte das entidades credenciadas na ICP-

Brasil, incluídos os atos administrativos de início e finalização e as ações de aplicação de penas, ampla

defesa e comunicação de fiscalizações realizadas e dadas como conformes;

l) PROCESSO ADMINISTRATIVO DE FISCALIZAÇÃO (PAF) - Processo onde são arquivados

todos os documentos e relatórios relativos ao Procedimento de Fiscalização de Certificação;

m) RELATÓRIO DE FISCALIZAÇÃO (RF) - Documento no qual o fiscal descreve o que constatou

no Prestador de Serviço de Certificação, como foram as atividades e suas prescrições, subsidia o TFF e

retrata todo a AFC, atividades executadas e constatações obtidas pelo Fiscal da ICP-Brasil;

n) REQUISIÇÃO DE INFORMAÇÕES COMPLEMENTARES (RIC) [1] - Documento no qual o fiscal

ou auditor solicita informações complementares necessárias à condução do processo de fiscalização ou

auditoria;

o) TERMO DE FISCALIZAÇÃO (TF) – Documento-base para a fiscalização e que indica a sua

finalidade. Pode ser um TERMO DE FISCALIZAÇÃO INICIAL (TFI), TERMO DE FISCALIZAÇÃO

EXTENSIVO (TFE), TERMO DE FISCALIZAÇÃO COMPLEMENTAR (TFC) ou TERMO DE

FISCALIZAÇÃO FINAL (TFF).

1.2 No que se refere aos prazos citados neste documento, entende-se que:

a) Os prazos serão contínuos, excluindo-se na sua contagem o dia do início e incluindo-se o do

vencimento;

b) Os prazos só se iniciam ou vencem no dia de expediente normal no órgão em que corra o

processo ou devam ser praticado os atos.

2. OBJETIVO DA FISCALIZAÇÃO

2.1. O objetivo da Fiscalização é verificar a conformidade dos processos, procedimentos e

atividades dos PSC com as suas respectivas DPC, suas PC, a PS e as demais resoluções e normas

gerais estabelecidas para as entidades integrantes da ICP-Brasil.

3. PROCEDIMENTOS DE FISCALIZAÇÃO DE CERTIFICAÇÃO

3.1. O PFC iniciar-se-á através de planejamento de fiscalização semestral, recomendação obtida

em Relatórios de Auditoria (Pré-Operacionais ou Operacionais), por denúncia feita por usuário de

certificação digital da ICP-Brasil ou por constatação de ameaça à confiabilidade da ICP-Brasil.

3.2. O PFC alcançará o exame de documentos, ambientes físico e lógico do PSC, bem como seu

próprio pessoal, podendo acarretar a aplicação de uma ou mais penalidades.

3.3. A AFC será realizada pela AC Raiz por intermédio de seus fiscais.

3.4. O objeto da AFC estará associado a atividades diretamente vinculadas ao ciclo de vida dos

certificados digitais da ICP-Brasil. Em caso de denúncia, por solicitação do Presidente da AC Raiz ou do

Secretário Executivo do Comitê Gestor da ICP-Brasil a fiscalização poderá atuar sobre qualquer item ou

regulamento previstos nas resoluções em vigor.

3.5. A AFC será instaurada mediante ordem específica denominada TFI.

3.6. No caso de flagrante constatação de irregularidade ou qualquer outra prática de infração às

normas da ICP-Brasil, em que o retardo do início do procedimento coloque em risco a segurança ou

confiabilidade dessa infra-estrutura, pela possibilidade de subtração de prova ou outro risco de

eliminação ou dificuldades na obtenção de evidências que comprovem a irregularidade, a fiscalização

será iniciada por fiscal habilitado e a Autoridade Outorgante terá prazo de 5 (cinco) dias para lavrar o TF.

3.7. Em caso de impedimento da realização da AFC por parte do Fiscal designado no TF, este

poderá ser substituído ou ter a cooperação de outro fiscal, sendo que, em ambos os casos, deverá

sempre haver um fiscal principal responsável pela AFC identificado no PAF.

3.8. Durante o AFC, o fiscal poderá emitir Autos de Infração de Certificação (AIC) quantos forem

necessários, e cópia do mesmo deverá ser enviada para a AC responsável pelo pedido de

credenciamento do PSC fiscalizado.

3.9. Uma AFC deverá conter prazo de execução que poderá ser de até 120 (cento e vinte) dias,

podendo ser prorrogado uma única vez por igual período, por ato da Autoridade Outorgante, a

requerimento do Fiscal responsável ou por motivo superveniente devidamente apresentado e descrito no

PAF.

3.10. Será dada publicidade do PFC, no momento da abertura, por meio de um resumo do

mesmo, contendo o número do Processo Administrativo de Fiscalização (PAF), a sigla do PSC e o objeto

do PFC.

3.11. O PFC se extingue:

a) pelo término do mesmo, registrado em TF específico; ou

b) pelo encerramento do prazo da AFC a que se refere o parágrafo 3.9.

3.12 Será dada publicidade do encerramento do PFC, acrescentando-se aos dados referenciados

no item 3.10 o resultado da fiscalização.

4. PROCESSO ADMINISTRATIVO DE FISCALIZAÇÃO

4.1. Cada PFC ensejará a abertura de um PAF, que seguirá os procedimentos estabelecidos

neste documento e observados os regulamentos de Processo Administrativo da AC Raiz.

4.2. Todos os documentos do PFC, inclusive o próprio PAF poderão ser suportados por mídia

magnética desde que assinados eletronicamente por intervenientes devidamente qualificados e

autorizados para responderem pela Fiscalização e pelos PSC.

5. DOCUMENTOS DO PROCEDIMENTO DE FISCALIZAÇÃO

5.1. O Termo de Fiscalização deve conter:

a) a numeração de identificação e controle seqüencial e com ano de referência;

b) tipo da TF (Inicial, Complementar, Extensivo ou Final)

c) os dados identificadores do PSC;

d) o objeto do procedimento de fiscalização;

e) o prazo para a realização da AFC;

f) o nome e a matrícula do fiscal responsável pela execução da fiscalização;

g) o nome e o número do telefone do Coordenador de Fiscalização; e

h) o nome, a matrícula e a assinatura da autoridade outorgante e, na hipótese de delegação de

competência, a indicação do respectivo ato.

5.2. O TF será emitido, observadas suas respectivas atribuições regimentais, pelas seguintes

autoridades:

a) Diretor de Auditoria, Fiscalização e Normalização; ou

b) Coordenador-Geral de Auditoria e Fiscalização, nos impedimentos eventuais e temporários do

primeiro.

5.3. O TF deverá ter os seguintes destinatários:

a) Prestador de Serviço de Certificação (PSC) a ser fiscalizado;

b) Processo Administrativo de Fiscalização (PAF); e

c) Prestador de Serviço de Certificação (PSC) de primeiro nível, responsável pelo pedido de

credenciamento do PSC a ser fiscalizado, quando for o caso.

5.4 Todo PFC deverá ter, obrigatoriamente, um Termo de Fiscalização Inicial (TFI) e um Termo de

Fiscalização Final (TFF). Adicionalmente, poderá ter um ou mais Termos de Fiscalização Complementar

(TFC) e Termos de Fiscalização Extensivo (TFE).

a) O Termo de Fiscalização Complementar (TFC) deve ser incorporado ao TFI para o mesmo PSC

e com objeto de fiscalização diferenciado;

b) O Termo de Fiscalização Extensivo (TFE) dever ser incorporado ao TFI para um PSC diferente

mas com objeto relacionado ao objeto do TFI original;

c) O Termo de Fiscalização Final deve ser usado para encerrar todo procedimento aberto e

executado por um TFI.

5.5. Havendo necessidade de realizar fiscalização em objeto e entidades diferentes o Fiscal deve

solicitar a abertura de um novo TF.

5.6. O AIC é um documento informativo, dirigido ao PSC, de uma infração verificada pelo fiscal.

5.7. A AFC e as diligências realizadas em virtude de cada TF serão registradas em RF com os

mesmos dados que identificam o TF no que se refere à entidade fiscalizada.

5.8. Apontada alguma irregularidade no RF, o PSC será notificado pela autoridade que expediu o

TFI, através de uma NFC, fixando-se prazo de 15 (quinze) dias para que o PSC fiscalizado apresente,

diretamente e formalmente, justificativa ou defesa à AC Raiz naquilo que foi argüido.

5.9. Caso o PSC não apresente, tempestivamente, justificativa ou defesa, será expedida uma NFC

à AC responsável pelo pedido de credenciamento do PSC fiscalizado, sem prejuízo do regular

seguimento do PFC.

5.10 Após análise da justificativa ou defesa apresentada, a Autoridade Outorgante poderá,

mediante uma NFC, determinar que o PSC sane as irregularidades no prazo que fixar.

5.11 Após sanadas as irregularidades, o PSC deverá comunicar à Autoridade Outorgante as

soluções adotadas.

5.12 Caso não seja apresentada a defesa ou não sejam sanadas as irregularidades, a Autoridade

Outorgante decidirá em 20 (vinte) dias sobre a aplicação de penalidade.

5.13. Um Aviso de Encerramento deverá ser enviado aos interessados para dar ciência do

encerramento da fiscalização.

6. PENALIDADES

6.1. Por infração, a entidade fiscalizada ficará sujeita às seguintes penalidades,

independentemente de sua ordem de enumeração:

a) Advertência;

b) Restrição da realização de atividades relacionadas ao objeto da fiscalização até que sejam

sanadas as irregularidades apontadas no RF;

c) Proibição de credenciamento de novas PC até que sejam sanadas as irregularidades apontadas

no RF;

d) Suspensão da emissão de novos certificados por prazo determinado ou até que sejam sanadas

as irregularidades apontadas no RF;

e) Descredenciamento.

6.2. As penalidades poderão ser aplicadas isoladas ou cumulativamente.

6.3. A aplicação de uma penalidade não impede a aplicação de outra mais grave em caso de seu

descumprimento.

6.4. Na aplicação das penalidades serão consideradas a natureza, a gravidade da infração

cometida, a reincidência e a relevância do serviço para o ciclo de vida do certificado da ICP-Brasil,

estando essa aplicação regulamentada pelo documento CRITÉRIOS PARA APLICAÇÃO DE

PENALIDADES NO ÂMBITO DA ICP-BRASIL [7].

6.5. As penalidades serão aplicadas pelo Diretor de Auditoria, Fiscalização e Normalização.

6.6. Da decisão que impõe qualquer penalidade estabelecida no parágrafo 6.1 caberá recurso no

prazo de 20 (vinte) dias, com efeito suspensivo.

6.7. O recurso será dirigido à autoridade que aplicou a penalidade, a qual, se não a reconsiderar,

no prazo de 5 (cinco) dias o encaminhará ao Diretor-Presidente da AC Raiz para julgamento e avaliação

de recurso.

6.8. O Diretor-Presidente da AC Raiz poderá encaminhar o PAF à Procuradoria Federal

Especializada da AC Raiz para emissão de parecer que subsidie a decisão do Diretor-Presidente.

6.9. O recurso deverá ser decidido pelo Diretor-Presidente, no prazo máximo de 15 (quinze) dias.

7. DISPOSIÇÕES FINAIS

7.1. A AC Raiz, por intermédio de seus gestores administrativos, garantirá o pleno e inviolável

exercício das atribuições do Fiscal responsável pela execução do PFC.

8. DOCUMENTOS REFERENCIADOS

8.1. Os documentos abaixo são aprovados pela AC Raiz, podendo ser alterados, quando

necessário, mediante publicação de uma nova versão no sítio http://www.iti.gov.br .

Ref. Nome do documento Código

[1] REQUISIÇÃO DE INFORMAÇÕES COMPLEMENTARES (RIC) ADE-ICP-09.A

[2] AUTO DE INFRAÇÃO DE CERTIFICAÇÃO (AIC) ADE-ICP-09.B

[3] TERMO DE FISCALIZAÇÃO (TF) ADE-ICP-09.C

[4]

NOTIFICAÇÃO DA FISCALIZAÇÃO DE CERTIFICAÇÃO (NFC)

ADE-ICP-09.D

[5] RELATÓRIO DE FISCALIZAÇÃO (RF) ADE-ICP-09.E

[6] SOLICITAÇÃO DE CREDENCIAMENTO (para AC ou AR ou PSS) ADE-ICP-03.A

ADE-ICP-03.B

ADE-ICP-03.C

8.2. Os documentos abaixo são aprovados por Instrução Normativa da AC Raiz, podendo ser

alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br publica a

versão mais atualizada desses documentos e as Instruções Normativas que os aprovaram.

Ref. Nome do documento Código

[7]

CRITÉRIOS PARA APLICAÇÃO DE PENALIDADES NO ÂMBITO DA

ICP-BRASIL

DOC-ICP-09.01

ALTERADA EM 28/11/2008 PELA RESOLUÇÃO 57.