RETIFICADA EM 01/12/2008

REVOGADA EM 18.11.2013 PELA RESOLUÇÃO 72.

RESOLUÇÃO N° 56, DE 28 DE NOVEMBRO DE 2008.

Altera os CRITÉRIOS E PROCEDIMENTOS

PARA REALIZAÇÃO DE AUDITORIAS NAS

ENTIDADES DA ICP-BRASIL.

O SECRETÁRIO EXECUTIVO DO COMITÊ GESTOR DA INFRA-ESTRUTURA DE CHAVES

PÚBLICAS BRASILEIRA – CG ICP-BRASIL, no exercício do cargo de Coordenador do referido

Comitê, no uso das atribuições legais previstas nos incisos I, V e VI do art. 4° da Medida Provisória n°

2.200-2, de 24 de agosto de 2001,

CONSIDERANDO o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê Gestor da

Infra-Estrutura de Chaves Públicas Brasileira – CG ICP-Brasil e fixa a competência, prevista em seu § 6º

art. 2º, do Secretário Executivo para coordená-lo na hipótese de ausência do Coordenador titular e seu

suplente; e

CONSIDERANDO a necessidade de adequar os documentos da ICP-Brasil para incluir as referências a

Carimbo do Tempo;

RESOLVE:

Art. 1º O Anexo da Resolução do Comitê Gestor da ICP-Brasil n° 44 , de 18 de abril de 2006, passa a

vigorar dos seguintes itens:

“1.5 Para os efeitos deste documento, considera-se como ACT responsável aquela que, possuindo PSS

que lhe estejam diretamente vinculados, deve providenciar a realização de auditorias em tais entidades. ”

“5.2 As auditorias de conformidade de ACT ou PSS vinculados a uma ACT têm por objeto todos os

aspectos relacionados com a emissão de carimbos do tempo, incluindo o controle dos processos de

solicitação, emissão e entrega dos carimbos do tempo aos subscritores.”

Parágrafo único: Ficam renumerados os item 5.2 e 5.3, anteriormente existentes, para 5.3 e 5.4,

respectivamente.

Art. 2º O Anexo da Resolução Comitê Gestor da ICP-Brasil n° 44, de 18 de abril de 2006, passa a vigorar

com a seguinte redação:

§ 1º: no item 2.2: “Cada AC e ACT deverá encaminhar para aprovação da AC Raiz, até o dia 15 (quinze)

de março de cada ano, seu plano anual de auditorias para todas as entidades da ICP-Brasil a ela

vinculadas diretamente”

§ 2º: no item 2.4: “Cada AC e ACT deverá disponibilizar à AC Raiz e às ACs de nível imediatamente

superior, se for o caso, relatórios anuais de auditoria das entidades da ICP-Brasil a ela vinculadas

diretamente, no máximo em 30 (trinta) dias, contados da data de emissão do relatório de auditoria”

§ 3º: no item 3.1: “Podem executar auditorias no âmbito da ICP-Brasil as seguintes entidades, observado

o disposto na tabela abaixo:

a) Comitê Gestor da ICP-Brasil ou seus prepostos;

b) AC Raiz;

c) Autoridades Certificadoras;

d) Autoridades de Carimbo do Tempo;

e) Empresas de Auditoria Especializada e Independentes;

f) Órgãos de Auditoria Interna de AR, no caso de empresas que os possuam, por força de lei.”

EXECUTOR DA AUDITORIA

Pré-operacional Operacional

AC Raiz Comitê Gestor da ICP-Brasil ou seus Comitê Gestor da ICP-Brasil ou seus

prepostos prepostos

AC de 1º Nível AC Raiz AC Raiz

AC de 2º Nível AC Raiz Empresa de Auditoria Independente

cadastrada junto à ICP-Brasil

AR Empresa de Auditoria Independente

cadastrada junto à ICP-Brasil

AC à qual a AR se vincula ou

Auditoria Interna da AR cadastrada

junto à ICP-Brasil ou

Empresa de Auditoria Independente

cadastrada junto à ICP-Brasil

AR no Exterior AC Raiz ou, a seu critério, Empresa

de Auditoria Independente cadastrada

junto à ICP-Brasil

AC Raiz ou, a seu critério, Empresa de

Auditoria Independente cadastrada junto

à ICP-Brasil

ACT AC-Raiz AC-Raiz

PSS Empresa de Auditoria Independente

cadastrada junto à ICP-Brasil

AC ou ACT à qual o PSS se vincula ou

Empresa de Auditoria Independente

cadastrada pela AC Raiz

§ 4º: no item 3.4: “As auditorias pré-operacionais das ACs e ACTs ão sempre realizadas pela AC Raiz”

§ 5º: no item 3.7: “As auditorias operacionaisdas ARs e dos PSSsdeverão ser realizadas pela própria AC

ou ACT à qual se vinculam ou por Empresa de Auditoria Especializada e Independente, cadastrada

conforme item 6 deste documento e devidamente autorizada a atuar conforme item 7 deste documento.”

§ 6º no item 5.4: “Os tópicos cobertos por uma auditoria de conformidade incluem, dentre outros:

a) Ambiente de operação

i. Segurança de Pessoas

ii. Segurança Física

iii. Segurança Lógica

iv. Segurança de Rede

v. Segurança da Informação

vi. Gerenciamento de Chaves da entidade

b.1) Ciclo de Vida dos Certificados, no caso de AC, AR ou PSS vinculado a AC ou AR

i. Solicitação

ii. Validação

iii. Emissão

iv. Revogação

b.2) Ciclo de Vida dos Carimbos do Tempo, no caso de ACT ou PSS vinculado a ACT

i. Solicitação

ii. Emissão

iii. Entrega

c) Outros Controles”

§ 7º: no item 7.3: “O pedido de autorização será submetido à AC Raiz, por intermédio da AC ou ACT

responsável, acompanhado da seguinte documentação:

a) Quanto aos auditores que realizarão a auditoria e, se for o caso, sócios e diretores da Empresa

de Auditoria Independente, declaração de que:

i. não estão cumprindo nenhuma penalidade aplicada pela Administração Pública Federal;

ii. não foram declarados inidôneos em qualquer esfera de Governo;

iii. são totalmente independentes da entidade auditada; e

iv. não têm participação acionária na ACT, na AC Principal, nas ACs Subseqüentes, nas

ARs vinculadas e na empresa prestadora de serviço de suporte que serão auditadas.....”

§ 8º: no item 8.1: “8.1. A AC ou ACT responsável e a entidade auditada devem fornecer ao auditor todos

os elementos e condições necessárias ao perfeito desempenho de suas funções.”

§ 9º: no item 8.2: “Os documentos, registros históricos e demais elementos materiais que deram

subsídios à elaboração dos relatórios ficarão sob guarda da AC ou ACT responsáveis, em local seguro,

pelo prazo mínimo de 5 (cinco) anos, podendo a AC Raiz, a qualquer tempo, solicitar vista do material.”

§ 10º: no item 8.3: “O acesso aos documentos a que se refere o parágrafo anterior só será permitido com

a presença simultânea de um representante da AC ou ACT responsávele de um representante da

empresa de Auditoria Independente ou do Órgão de Auditoria Interna.”

§ 11º: no item 8.4: “Os auditores somente informarão os resultados da auditoria à entidade auditada, à

AC ou ACT responsável e à AC Raiz.”

§ 12º: no item 8.5: “O auditor adotará, no exercício da atividade de auditoria, os procedimentos dispostos

neste documento, consolidados em relatório final de auditoria, a ser submetido à AC Raiz por parte da

AC ou ACT responsável.

§ 13º: no item 8.6: “O relatório de auditoria poderá contemplar avaliação sobre a atuação da empresa

prestadora de serviço de suporte às ACTs e ACs subseqüentes e poderá estender-se às ARs

vinculadas.”

§ 14º: no item 9.5: “A AC Raiz, em casos de iminente dano irreparável ou de difícil reparação a terceiros,

suspenderá cautelarmente, no todo ou em parte, a emissão de certificados pela AC de nível

imediatamente subseqüente ao seu, ou a emissão de carimbos do tempo pelas ACTs credenciadas.”

Art. 3º Fica aprovada a versão 3.0 dos CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE

AUDITORIAS NAS ENTIDADES DA ICP-BRASIL (DOC-ICP-08),que incorpora as alterações dos artigos

anteriores.

Parágrafo único: O documento citado no caput deste artigo encontra-se publicado no sítio www.iti.gov.br

Art. 4º Esta Resolução entra em vigor na data de sua publicação.

RENATO DA SILVEIRA MARTINI

RETIFICADA EM 01/12/2009