ALTERADA EM 09/10/2013 PELA RESOLUÇÃO N° 100
RESOLUÇÃO N
o
96, DE 27 DE SETEMBRO DE 2012.
APROVA A VERSÃO 3.0 DO DOCUMENTO
REGULAMENTO PARA HOMOLOGAÇÃO
DE SISTEMAS E EQUIPAMENTOS DE
CERTIFICAÇÃO DIGITAL NO ÂMBITO DA
ICP-BRASIL (DOC-ICP-10).
O SECRETÁRIO EXECUTIVO DO COMITÊ GESTOR DA INFRA-ESTRUTURA DE
CHAVES PÚBLICAS BRASILEIRA – CG ICP-BRASIL, no exercício do cargo de
Coordenador do referido Comitê, no uso das atribuições legais previstas nos incisos I, III, V e VI
do art. 4° da Medida Provisória n° 2.200-2, de 24 de agosto de 2001,
CONSIDERANDO o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê
Gestor da Infraestrutura de Chaves Públicas Brasileira – CG ICP-Brasil e fixa a competência,
prevista em seu § 6º art. 2º, do Secretário Executivo para coordená-lo na hipótese de ausência do
Coordenador titular e seu suplente;
CONSIDERANDO o Acordo de Cooperação firmado entre o INMETRO e o ITI para o
desenvolvimento e a implementação do Programa de Avaliação da Conformidade de Produtos na
área de Certificação Digital Padrão ICP-Brasil, utilizando-se da Infraestrutura do Sistema Brasileiro
de Avaliação da Conformidade – SBAC; e
CONSIDERANDO a necessidade de aprimoramento e atualização do processo de homologação de
equipamentos de certificação digital no âmbito da ICP Brasil;
RESOLVE:
Art. 1º Aprovar a versão 3.0 do DOC-ICP-10, anexo a esta resolução.
Parágrafo único. O documento referido no caput encontra-se disponibilizado, em sua
totalidade, no sítio http://www.iti.gov.br
Art. 2º Revogam-se as Resoluções do Comitê Gestor da ICP-Brasil nº 36, de 21 de outubro de 2004
e nº 80, de 28 de maio de 2010, e ficam convalidados os atos praticados durante suas
respectivas vigências.
Art. 3º Autoriza-se o INMETRO, conforme as atribuições estabelecidas no âmbito do SBAC, a criar
o Programa de Avaliação da Conformidade (PAC) para Equipamentos de Certificação
Digital no Padrão ICP-Brasil, de forma compulsória.
Parágrafo único. Após a criação do PAC para equipamentos de certificação digital, não serão
admitidos novos depósitos de equipamentos no LEA.
REVOGADA
Art. 4º Os equipamentos já homologados no âmbito da ICP-Brasil, quando da publicação desta
Resolução, e previstos no PAC, deverão ser submetidos aos novos requisitos estabelecidos
pelo programa, de modo a manter a condição de homologados, para uso no âmbito da ICP-
Brasil.
Parágrafo único. Para efeito do que é tratado no caput, estabelece-se o prazo de 12 (doze)
meses a contar da data de criação do PAC pelo INMETRO.
Art. 5º Os equipamentos depositados no LEA, em processo de avaliação da conformidade, até a
data da publicação dos Requisitos de Avaliação de Conformidade (RAC) pelo INMETRO,
deverão ter seus laudos de conformidade submetidos ao Programa de Avaliação da
Conformidade (PAC) de Equipamentos de Certificação Digital no Padrão ICP-Brasil.
Parágrafo único. Para efeito do que é tratado no caput, estabelece-se que enquanto da
ausência de Organismo de Certificação de Produto (OCP) acreditado pelo INMETRO, os
laudos de conformidade deverão ser apresentados diretamente ao ITI para o processo de
homologação.
Art. 6º Esta Resolução entra em vigor na data de sua publicação
RENATO DA SILVEIRA MARTINI
Anexo
REGULAMENTO PARA HOMOLOGAÇÃO DE
SISTEMAS E
EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL
NO ÂMBITO DA ICP-BRASIL
(DOC-ICP-10)
Versão 3.0
27 de setembro de 2012
Sumário
1. INTRODUÇÃO...........................................................................................................................5
1.1. Visão Geral................................................................................................................................5
1.2. Princípios..................................................................................................................................5
1.3. Definições.................................................................................................................................5
2. DISPOSIÇÕES GERAIS.............................................................................................................7
2.1. Obrigatoriedade........................................................................................................................7
2.2. Aplicabilidade...........................................................................................................................8
2.3. Entidades do Processo de Homologação..................................................................................8
2.4. Normas Suplementares Aplicáveis.........................................................................................11
3. DO PROCESSO DE HOMOLOGAÇÃO.................................................................................12
3.1. Instrução Inicial do Processo junto ao ITI..............................................................................12
3.2. Avaliação da Conformidade....................................................................................................12
3.3. Homologação pelo ITI............................................................................................................13
4. SELO DE HOMOLOGAÇÃO..................................................................................................17
4.1. Do Uso do Selo de Homologação...........................................................................................17
4.2. Das Especificações do Selo de Homologação........................................................................17
5. DISPOSIÇÕES FINAIS............................................................................................................24
Infraestrutura de Chaves Públicas Brasileira
CONTROLE DE ALTERAÇÕES
Resolução que aprovou a
alteração
Item Alterado Descrição da Alteração
Resolução 96,
de 27.09.2012
(Versão 3.0)
1.1, 1.3, 2.1, 2.2, 2.3,
2.4, 3.1, 3.2, 3.3, 4.1,
4.2
Implementação do Programa de
Avaliação da Conformidade de Produtos
para equipamentos de Certificação
Digital, na ICP-Brasil.
Resolução 80,
de 28.05.2010
(Versão 2.0)
Todo Aprimora e atualiza o processo de
homologação de sistemas e equipamentos.
Resolução 36,
de 21.10.2004
(Versão 1.0)
Todo Aprova o regulamento para homologação
de Sistemas e Equipamentos de
Certificação Digital no âmbito da ICP-
Brasil.
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 3/24
Infraestrutura de Chaves Públicas Brasileira
LISTA DE SIGLAS E ACRÔNIMOS
SIGLA DESCRIÇÃO
AC
Autoridade Certificadora
CATI
Comitê da Área de Tecnologia da Informação
CNPq
Conselho Nacional de Desenvolvimento Cientí fico e Tecnológico
CONMETRO
Conselho Nacional de Metrologia, Normalização e Qualidade Industrial
e-PING
Certificado de Atributo Vinculado ao Certificado Digital
HSM
Hardware Security Module
ICP-Brasil
Infraestrutura de Chaves Públicas Brasileira
INMETRO
Instituto Nacional de Metrologia, Qualidade e Tecnologia
ITI
Instituto Nacional de Tecnologia da Informação
LEA
Laboratório de Ensaios e Auditoria
MSC
Módulo de Segurança Criptográfica
OCP
Organismo de Certificação de Produto
PAC
Programa de Avaliação da Conformidade
RAC
Requisitos de Avaliação da Conformidade
SBAC
Sistema Brasileiro de Avaliação da Conformidade
SINMETRO
Sistema Nacional de Metrologia, Normalização e Qualidade Industrial
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 4/24
Infraestrutura de Chaves Públicas Brasileira
1. INTRODUÇÃO
1.1. Visão Geral
Este Regulamento tem por finalidade estabelecer as regras e os procedimentos gerais que deverão
ser observados nos processos de homologação dos sistemas e equipamentos de que trata.
A homologação ora regulamentada tem por objetivo asseverar a plena aderência dos sistemas e
equipamentos avaliados aos padrões e especificações técnicas mínimos estabelecidos nas normas
editadas ou adotadas pela ICP-Brasil, tendo como enfoque específico a garantia da
interoperabilidade desses sistemas e equipamentos e a confiabilidade dos recursos de segurança da
informação por eles utilizados.
1.2. Princípios
O presente Regulamento é regido pelos seguintes princípios:
1.2.1. Facilitar a inserção do Brasil em acordos internacionais de reconhecimento mú tuo em matéria
de Certificação Digital;
1.2.2. Observar, quando couber, quanto às matérias pertinentes, as premissas, as políticas e as
especificações técnicas que regulamentam a utilização da Tecnologia de Informação e
Comunicação no Governo Federal, definidas pela arquitetura e-PING - Padrões de
Interoperabilidade de Governo Eletrônico;
1.2.3. Promover a isonomia no tratamento dispensado às partes interessadas na homologação de
sistemas e equipamentos de certificação digital;
1.2.4. Dar o devido tratamento sigiloso às informações técnicas disponibilizadas pelas partes
interessadas por força deste Regulamento;
1.2.5. Adotar, para os equipamentos de certificação digital, a avaliação da conformidade realizada
pelo Sistema Brasileiro de Avaliação da Conformidade – SBAC, sob responsabilidade do Instituto
Nacional de Metrologia, Qualidade e Tecnologia - Inmetro, que atua em conformidade às políticas
do Sistema Nacional de Metrologia, Normalização e Qualidade Industrial - Sinmetro e às práticas
internacionais, promovendo competitividade, concorrência justa e proteção à saúde e segurança do
cidadão e ao meio ambiente.
1.3. Definições
Para os efeitos deste Regulamento aplicam-se as seguintes definições:
1.3.1. Homologação: processo que consiste no conjunto de ações realizadas de acordo com este
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 5/24
Infraestrutura de Chaves Públicas Brasileira
Regulamento e com as demais normas editadas ou adotadas pela ICP-Brasil, que, se plenamente
atendido, resultará na expedição de ato pelo qual, na forma e nas hipóteses previstas, a entidade
responsável pela condução do referido processo reconhecerá o Laudo ou Certificado de
Conformidade emitido para um dado sistema ou equipamento de certificação digital avaliado,
outorgando à parte interessada autorização de uso do Selo de Homologação e do correspondente
número de identificação do sistema ou equipamento homologado, conforme definido no item 4.
deste Regulamento;
1.3.2. Sistema Brasileiro de Avaliação da Conformidade – SBAC: Sistema criado pelo
CONMETRO, como um subsistema do SINMETRO, destinado ao desenvolvimento e coordenação
das atividades de avaliação da conformidade no seu âmbito;
1.3.3. Instituto Nacional de Metrologia, Qualidade e Tecnologia – INMETRO: autarquia
federal, e órgão executivo central do Sistema Nacional de Metrologia, Normalização e Qualidade
Industrial-SINMETRO, sendo o gestor dos programas de Avaliação da Conformidade;
1.3.4. Avaliação da Conformidade: conjunto de ensaios com o objetivo de verificar se os padrões
e especificações técnicas mínimos aplicáveis a um determinado sistema ou equipamento de
certificação digital estão atendidos. No âmbito do SBAC, a avaliação da conformidade é um
processo sistematizado, com regras pré-definidas, devidamente acompanhado e avaliado, de forma a
propiciar adequado grau de confiança de um produto, processo, serviço ou profissional, atendendo a
requisitos pré-estabelecidos em normas ou regulamentos;
1.3.5. Laudo de Conformidade: documento emitido pelo Laboratório de Ensaios e Auditoria ao
final da avaliação da conformidade, na forma prevista neste Regulamento, que atestará se um dado
sistema ou equipamento, devidamente identificado, está ou não em conformidade com as normas
editadas ou adotadas pela ICP-Brasil;
1.3.6. Certificado de Conformidade: emissão de uma afirmação, baseado numa decisão feita após
a análise crítica, de que o atendimento aos requisitos especificados foi demonstrado. No âmbito do
SBAC é emitido por um OCP e ocorre ao final da avaliação da conformidade, que atestará se um
dado equipamento, devidamente identificado, está ou não em conformidade com as normas editadas
ou adotadas pela ICP-Brasil;
1.3.7. Ensaio: procedimento técnico realizado em conformidade com as normas aplicáveis, que
objetiva analisar um ou mais requisitos técnicos de um dado sistema ou equipamento;
1.3.8. Terceira Parte: pessoa ou instituição que age com total independência de fabricantes,
desenvolvedores, representantes comerciais, prestadores de serviços de certificação digital e de
potenciais compradores de sistemas e equipamentos de certificação digital;
1.3.9. Sistemas de Certificação Digital: todo e qualquer programa de computador, ainda que
embarcado, que compõe meio necessário ou suficiente à realização de Certificação Digital; e
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 6/24
Infraestrutura de Chaves Públicas Brasileira
1.3.10. Equipamentos de Certificação Digital: todo e qualquer aparelho, dispositivo ou elemento
físico que compõe meio necessário ou suficiente à realização de Certificação Digital;
1.3.11. Organismo de Certificação de Produto - OCP: organismo que conduz o processo de
Certificação e concede o Certificado de Conformidade no âmbito do SBAC de produtos nas áreas
voluntária e compulsória, com base em normas nacionais, regionais e internacionais ou em
requisitos técnicos expedidos por um agente regulador;
1.3.12. Requisitos de Avaliação da Conformidade – RAC: Regulamento do SBAC que
estabelece requisitos para o processo de avaliação da conformidade para um determinado setor.
1.3.13. Laboratório de Ensaios e Auditoria – LEA: são entidades, credenciadas pelo ITI, aptas a
realizar os ensaios exigidos nas avaliações de conformidade e a emitir os correspondentes laudos
de conformidade;
1.3.14. Programa de Avaliação da Conformidade – PAC: Trata-se de regulamento do SBAC
para aferir a conformidade de produtos, e demandado por órgão ou agente regulador público.
1.3.15. Fornecedor de Equipamentos ou Sistema de Certificação Digital: é a pessoa jurídica
titular dos direitos de propriedade intelectual dos Equipamentos ou Sistemas de Certificação Digital
Padrão ICP-Brasil objetos da certificação. No caso de pessoa jurídica não sediada no Brasil, esta
deve se fazer representar por pessoa física, constituída como seu procurador, devidamente
qualificado e domiciliado no Brasil, com poderes para representá-la administrativa e judicialmente.
1.3.16. Parte interessada: é o titular de um determinado sistema ou equipamento de certificação
digital que tem legitimidade para pleitear sua homologação junto ao ITI.
2. DISPOSIÇÕES GERAIS
2.1. Obrigatoriedade
Os órgãos e entidades integrantes da ICP-Brasil somente poderão utilizar sistemas e equipamentos
de certificação digital já homologados nos termos deste Regulamento.
Os órgãos e entidades integrantes da ICP-BRASIL somente poderão adquirir equipamentos de
certificação digital com homologação válida junto à ICP-Brasil e que estejam com Certificados de
Conformidade válidos junto ao INMETRO, nos termos deste regulamento.
Novos certificados digitais somente poderão ser emitidos em equipamentos já homologados pela
ICP-Brasil.
Equipamentos que já possuem certificados digitais gerados continuam válidos até o seu vencimento,
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 7/24
Infraestrutura de Chaves Públicas Brasileira
considerando a possibilidade de renovação, quando permitida, no mesmo dispositivo.
O Comitê Gestor da ICP-Brasil aprovará cronograma com a determinação dos termos iniciais de
obrigatoriedade da utilização de sistemas e equipamentos homologados.
2.2. Aplicabilidade
Os sistemas e os equipamentos, listados a seguir, estão sujeitos ao processo de homologação para
efeitos do que prevê este Regulamento:
2.2.1. Sistemas de assinatura eletrônica, sistemas de autenticação de assinaturas eletrônicas,
sistemas de sigilo de dados, sistemas de carimbo de tempo (Time-Stamping) e sistemas de
sincronismo de tempo, bem como, sistemas de autoridades certificadoras, sistemas de autoridades
de registro, ou quaisquer outros que façam uso daqueles sistemas na forma de subrotinas ou sub-
funções;
2.2.2. Cartões Inteligentes (Smart Cards), leitoras de cartões inteligentes, Tokens criptográficos, ou
quaisquer outras mídias armazenadoras de certificados digitais e suas correspondentes leitoras
utilizadas em certificação digital; e
2.2.3. Módulos de Segurança Criptográfica - MSC (Hardware Security Modules - HSM),
equipamentos de sincronismo de tempo, equipamentos de carimbo de tempo, ou quaisquer outros
dispositivos seguros de criação ou verificação de assinaturas eletrônicas utilizados em certificação
digital.
2.3. Entidades do Processo de Homologação
2.3.1. Instituto Nacional de Tecnologia da Informação - ITI
O ITI, AC Raiz da ICP-Brasil, é a entidade responsável pela condução dos processos de
homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-Brasil,
observado o disposto neste Regulamento e demais normas editadas ou adotadas pela ICP-Brasil.
O ITI, para o desempenho de sua atribuição na condução dos processos de homologação de
sistemas de certificação digital, poderá credenciar instituições para atuarem como seus LEA.
Ao ITI compete estabelecer por Instrução Normativa os procedimentos de credenciamento dos
(LEA).
Para o desempenho de sua atribuição na condução dos processos de homologação de equipamentos
de certificação digital, o ITI, se valerá do processo de avaliação da conformidade no Programa de
Avaliação da Conformidade para Equipamentos de Certificação Digital Padrão ICP-Brasil,
utilizando-se da infraestrutura do Sistema Brasileiro de Avaliação da Conformidade – SBAC,
operacionalizado pelo INMETRO.
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 8/24
Infraestrutura de Chaves Públicas Brasileira
2.3.2. Laboratórios de Ensaios e Auditoria - LEA
Os Laboratórios de Ensaios e Auditoria são entidades, credenciadas pelo ITI, aptas a realizar os
ensaios exigidos nas avaliações de conformidade e a emitir os correspondentes laudos de
conformidade, na forma prevista neste Regulamento, que embasarão a tomada de decisão por parte
do ITI quanto à homologação ou não de um sistema.
2.3.2.1. Requisitos mínimos de credenciamento dos LEA
Os LEA deverão ser entidades com capacidade técnica necessária à boa condução das avaliações de
conformidade de sistemas de certificação digital, devendo atender aos seguintes requisitos:
2.3.2.1.1. Qualificação jurídica: além dos requisitos legalmente necessários para a contratação com
a Administração Pública, os LEA devem ser instituições brasileiras, estabelecidas há pelo menos 3
(três) anos, incumbidas regimental ou estatutariamente de pesquisa em campo específico ou afim à
segurança da informação e com inquestionável reputação ético-profissional;
2.3.2.1.2. Qualificação como instituição de pesquisa e/ou laboratório: os LEA deverão comprovar
ser instituições de pesquisa credenciadas pelo Comitê da Área de Tecnologia da Informação -
CATI, criado pelo Decreto Nº 3.800, de 20/04/2001, em conformidade com o disposto nas
resoluções por ele editadas, que estabeleçam os critérios para credenciamento de institutos de
pesquisa. No caso de laboratório, deverá estar credenciado junto ao SBAC, conforme cadastro junto
ao INMETRO.
2.3.2.1.3. Capacidade técnica: a capacidade técnica será comprovada com a demonstração da
existência de pessoal qualificado, voltado ao objeto da avaliação da conformidade de sistemas de
certificação digital, seja nos quadros do organismo, seja fora dele, e, nesta hipótese, deverá ser
comprovada a vinculação contratual com o pessoal qualificado. O pessoal apresentado deve
comprovar capacitação técnica para as finalidades da avaliação da conformidade quanto à formação
profissional, experiência profissional e capacidade técnica, constantes de currículo Lattes
devidamente cadastrado no CNPq, devendo, ainda, comprovar imparcialidade, independência e
objetividade nas decisões; e
2.3.2.1.4. Capacidade de tratamento sigiloso de informações: os LEA providenciarão para que seus
empregados, prepostos e representantes adotem as medidas e procedimentos necessários à proteção
de informações e materiais sigilosos, respondendo por qualquer acesso ou divulgação não
autorizados.
2.3.2.2. Obrigações dos LEA
Os processos de credenciamento dos LEA pelo ITI, deverão conter termo de responsabilidade e de
compromisso, por parte dos LEA, de que estes desempenharão suas funções de acordo com padrões
de idoneidade que assegurem a independência e neutralidade de suas avaliações, bem como, com o
devido rigor técnico e procedimental.
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 9/24
Infraestrutura de Chaves Públicas Brasileira
Os LEA deverão, ainda, comprometer-se a:
2.3.2.2.1. Seguirem os princípios estabelecidos no item 1.2 deste Regulamento;
2.3.2.2.2. Disporem de procedimentos, onde deverão estar explícitas, passo a passo, todas as etapas
a serem cumpridas nas avaliações de conformidade, assim como as providências administrativas
relativas;
2.3.2.2.3. Conduzirem as avaliações de conformidade de acordo com o estabelecido por este
Regulamento e demais normas editadas ou adotadas pela ICP-Brasil;
2.3.2.2.4. Elaborarem os laudos de conformidade de acordo com o disposto neste Regulamento;
2.3.2.2.5. Manterem registradas todas as reclamações relativas às avaliações de conformidade,
incluindo as que forem encaminhadas após expedida a homologação de um dado sistema ou
equipamento.
2.3.2.3. Auditoria dos LEA
Os LEA deverão apresentar anualmente relatório de conformidade de empresa de auditoria
independente, que ateste plena aderência ao disposto neste Regulamento, e demais normas
suplementares aplicáveis à homologação de sistemas no âmbito da ICP Brasil.
Por ocasião do processo de credenciamento, os LEA estão obrigados a apresentar relatório de
conformidade, a título pré-operacional, de empresa de auditoria independente cadastrada no âmbito
da ICP Brasil.
2.3.3. Parte Interessada
O titular de um determinado sistema ou equipamento de certificação digital terá legitimidade para
pleitear sua homologação junto ao ITI.
Quando o titular não tiver sede e administração no País deverá constituir e manter procurador
devidamente qualificado e aqui domiciliado, com poderes para representá-lo administrativa e
judicialmente, inclusive para receber citações judiciais ou intimações administrativas em seu nome.
2.3.4. Organismo de Certificação de Produto - OCP
Organização acreditada pelo INMETRO que conduz o processo de Avaliação da Conformidade, no
âmbito do SBAC, e emite o Certificado de Conformidade de produtos, com base em normas
nacionais, regionais e internacionais ou em requisitos técnicos expedidos por agente regulador do
setor a que se aplica o PAC.
2.3.5. Laboratórios Acreditados
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 10/24
Infraestrutura de Chaves Públicas Brasileira
Entidade pública, privada ou mista, acreditada pelo INMETRO de acordo com os critérios por ele
estabelecidos, com base nos princípios e políticas adotadas no âmbito do SBAC, para a realização
de ensaios sob a condução de um OCP.
2.4. Normas Suplementares Aplicáveis
Compete ao ITI editar normas suplementares a este Regulamento que, em função das
especificidades dos sistemas e equipamentos passíveis de homologação previstos no item 2.2. deste
Regulamento, estabelecerão os requisitos técnicos e procedimentais a serem observados nos
respectivos processos de homologação.
Tais normas deverão estabelecer de forma específica e pormenorizada os procedimentos
administrativos a serem observados, bem como, os respectivos padrões e especificações técnicas
mínimos para os sistemas e equipamentos de que tratam, podendo, inclusive, estabelecer quais
procedimentos técnicos deverão ser observados na realização dos ensaios durante a avaliação da
conformidade.
Estas normas suplementares para homologação de sistemas e equipamentos de certificação digital
no âmbito da ICP-Brasil serão aprovadas e expedidas por meio de instruções normativas da
autoridade máxima do ITI. Tal competência é derivada das atribuições regimentais do ITI, em
especial, a de executar as normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-
Brasil.
O ITI, na elaboração destas instruções normativas, levará em consideração, quando couber, as
especificações constantes das versões disponíveis da arquitetura e-PING.
O ITI poderá, a qualquer tempo, alterar as instruções normativas por ele editadas, com o fito de
adequar e atualizar os padrões e especificações técnicas mínimos estabelecidos para os sistemas e
equipamentos de certificação digital de que tratam, bem como, os prazos, procedimentos
burocráticos e ensaios que deverão ser observados nos pertinentes processos de homologação.
As instruções normativas aqui referidas, bem como suas posteriores alterações serão divulgadas
pelo ITI no Diário Oficial da União e em seu sítio na internet.
Só estarão efetivamente em condição de homologados, aqueles sistemas e equipamentos cuja
regulamentação já tenha sido editada e publicada pelo ITI.
3. DO PROCESSO DE HOMOLOGAÇÃO
O processo de homologação dos sistemas e equipamentos de que trata este Regulamento, será
composto das fases descritas a seguir. Durante sua execução, deverá ser observado, além do
disposto neste Regulamento, o que constar nas instruções normativas específicas editadas pelo ITI.
3.1. Instrução Inicial do Processo junto ao ITI
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 11/24
Infraestrutura de Chaves Públicas Brasileira
A parte interessada em pleitear a homologação de um dado sistema ou equipamento de certificação
digital no âmbito da ICP-Brasil, deverá entregar o respectivo Laudo ou Certificado de
Conformidade do sistema ou equipamento, acompanhado da devida documentação, no local, na
quantidade e na forma definidos pelo normativo específico para o sistema ou equipamento objeto
da homologação.
A documentação mínima a ser exigida nesta fase do processo de homologação será:
3.1.1. “Termo de Propriedade Intelectual” devidamente preenchido e assinado pelo representante
legal da parte interessada, de acordo com modelo aprovado por Instrução Normativa do ITI e
disponibilizado em seu sítio na internet;
3.1.2. Documentos comprobatórios de que a parte interessada está regularmente estabelecida
segundo as leis brasileiras, ou de que possui procurador devidamente qualificado e domiciliado no
País, conforme disposto no item 2.3.3 deste Regulamento;
3.1.3. Documentos comprobatórios da representação regular da parte interessada;
3.1.4. Laudo ou Certificado de Conformidade obtido junto a LEA credenciado ou OCP acreditado,
respectivamente;
3.1.5. “Termo de Sigilo” devidamente preenchido e assinado pelo representante legal da parte
interessada, em duas vias, de acordo com os modelos definidos.
Após conferido, identificado e aceito todo o material entregue, o ITI deverá expedir um protocolo
de recebimento, onde conste o número do respectivo processo de homologação e a data prevista
para sua deliberação.
3.2. Avaliação da Conformidade
3.2.1. Avaliação da Conformidade pelo LEA
A parte interessada deverá obter o Laudo de Conformidade junto a um dos LEA credenciados no
âmbito da ICP Brasil.
3.2.1.1. Do Laudo de Conformidade
O Laudo de Conformidade deverá ser emitido em três vias de igual teor, sendo uma destinada ao
ITI, outra à parte interessada e a última ao próprio LEA. As duas primeiras vias deverão ser
encaminhadas pela parte interessada ao ITI tão logo esteja concluída a Avaliação da Conformidade
e devidamente assinado o correspondente Laudo de Conformidade, devendo a última via ficar
arquivada no LEA para eventuais necessidades futuras.
Constarão do Laudo de Conformidade, no mínimo, as seguintes informações:
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 12/24
Infraestrutura de Chaves Públicas Brasileira
3.2.1.1.1. Toda aquela necessária à inequívoca identificação, especificação e descrição do sistema
objeto da homologação e do respectivo número do processo;
3.2.1.1.2. Citar toda a legislação aplicada durante a realização da correspondente avaliação da
conformidade;
3.2.1.1.3. Descrever, detalhadamente, todos os requisitos avaliados e os respectivos resultados
obtidos, incluindo, a indicação dos ensaios e sob que condições foram aplicados;
3.2.1.1.4. Identificar, claramente, quais requisitos são obrigatórios e quais são opcionais para a
respectiva homologação;
3.2.1.1.5. Apresentar, em detalhe, quando for o caso, todos os itens não conformes, com a indicação
das discrepâncias encontradas;
3.2.1.1.6. Atestar se o sistema objeto da correspondente avaliação está ou não em conformidade
com a legislação aplicável;
3.2.1.1.7. Data da emissão do respectivo laudo de conformidade, identificação(ões) e assinatura(s)
do(s) responsável(eis) técnico(s) pelos ensaios e do(s) representante(s) legal(ais) do LEA.
3.2.2. Avaliação da Conformidade pelo SBAC/INMETRO
A parte interessada deverá obter o Certificado de Conformidade junto a um OCP acreditado no
âmbito do SBAC.
3.2.2.1 Do Certificado de Conformidade
O Certificado de Conformidade deverá ser encaminhado ao ITI e deverá estar de acordo com o
estabelecido no RAC para Equipamento de Certificação Digital Padrão ICP-Brasil normatizado
pelo INMETRO.
3.3. Homologação pelo ITI
Uma vez instruído o processo de homologação, conforme item 3.1, o ITI procederá a sua análise e,
a partir de então, tomará sua decisão quanto à homologação do sistema ou equipamento
correspondente.
3.3.1. Do Deferimento da Homologação
No caso do Laudo ou Certificado de Conformidade atestar a conformidade de todos os requisitos
obrigatórios para um dado sistema ou equipamento, a homologação constituirá Ato Declaratório do
Diretor de Infraestrutura de Chaves Públicas do ITI, que será publicado no Diário Oficial da União,
e deverá conter, no mínimo, as seguintes informações:
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 13/24
Infraestrutura de Chaves Públicas Brasileira
3.3.1.1. Toda aquela necessária à inequívoca identificação, especificação e descrição do sistema ou
equipamento homologado;
3.3.1.2. O respectivo número do processo de homologação e o correspondente número de
identificação de sistema ou equipamento homologado;
3.3.1.3. Declaração expressa de que o sistema ou equipamento objeto do ato declaratório está
homologado pelo ITI, em estrita observância à legislação aplicável, devendo, inclusive, explicitar
toda a legislação aplicada durante o processo de homologação.
A partir da publicação do ato declaratório de homologação, a parte interessada estará autorizada a
usar o Selo de Homologação, acompanhado do correspondente número de identificação do sistema
ou equipamento homologado, na forma prevista no item 4. deste Regulamento.
3.3.2. Do Indeferimento da Homologação
O ITI indeferirá a homologação de um dado sistema ou equipamento sempre que o correspondente
Laudo ou Certificado de Conformidade apontar a não conformidade de qualquer dos requisitos
obrigatórios para um dado sistema ou equipamento.
3.3.3. Da Notificação da Parte Interessada
Em qualquer das situações possíveis, quais sejam, deferimento ou indeferimento da homologação, o
ITI deverá notificar a parte interessada por ofício da autoridade competente, expedido por meio
físico ou eletrônico assinado digitalmente.
3.3.4. Validade da Homologação
O prazo de validade da homologação de sistemas e equipamentos de certificação digital será
indeterminado, desde que mantidas as características originais do sistema ou equipamento avaliado
e homologado.
Qualquer alteração, ameaça ou atualização em sistemas ou equipamentos já homologados deve
ensejar novo processo de avaliação da conformidade e consequentemente a realização de nova
homologação.
3.3.5. Da Suspensão da Homologação
O ITI poderá declarar a suspensão da homologação por ele expedida, observadas as disposições
constantes deste Regulamento.
Caberá a suspensão da validade da homologação, sempre que ocorrer uma das seguintes hipóteses:
3.3.5.1. Quando a parte interessada fizer uso da homologação para divulgação de característica(s)
do sistema ou equipamento homologado, que não tenham sido objeto de avaliação da conformidade;
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 14/24
Infraestrutura de Chaves Públicas Brasileira
3.3.5.2. Quando a parte interessada fizer uso de qualquer forma de divulgação promocional da
homologação de sistemas ou equipamentos que permita induzir a terceiros, ter sido homologado um
sistema ou equipamento diverso do efetivamente homologado;
3.3.5.3. Quando a parte interessada fizer uso da homologação de sistema ou equipamento, que
sofreu alterações posteriores em seu projeto ou em seu processo de desenvolvimento ou fabricação,
sem passar por nova homologação, conforme disposto no item 3.3.4 deste Regulamento;
3.3.5.4. Quando houver inobservância do disposto no item 2.3.3 quanto à manutenção de
procurador devidamente qualificado e domiciliado no País;
3.3.5.5. Quando da constatação pelo ITI de qualquer irregularidade no processo de homologação,
que não se enquadrem em nenhuma das hipóteses previstas no item 3.3.6 deste Regulamento;
3.3.5.6. Quando forem identificadas não-conformidades pendentes de regularização durante a
avaliação de manutenção ou de recertificação, conforme estabelecido no Programa de Avaliação de
Conformidade de Equipamentos de Certificação Digital padrão ICP-Brasil regulamentado no
âmbito do SBAC.
O ato de suspensão deverá ser fundamentado, indicando as providências a serem adotadas pelo
notificado, e conterá expressamente o prazo de suspensão, que deverá ser de até 180 (cento e
oitenta) dias. Conceder-se-á ao ato de suspensão da homologação, a mesma publicidade dada ao ato
de sua concessão.
A suspensão vigorará enquanto não forem adotadas as providências previstas no ato de suspensão
ou até o prazo especificado. Decorrido o prazo de suspensão, sem que se verifique a completa e
tempestiva adoção das providências para sanar as irregularidades detectadas ou sem a apresentação
de justificativa aceita pelo ITI, será cancelada a homologação, sem prejuízo de outras penalidades
previstas na legislação aplicável.
O ITI deverá notificar à parte interessada, a sua decisão de suspensão da validade de homologação
de sistema ou equipamento de certificação digital, no prazo máximo de 10 dias, por ofício da
autoridade competente, expedido por meio físico ou eletrônico assinado digitalmente.
3.3.6. Do Cancelamento da Homologação
O ITI poderá declarar o cancelamento da homologação por ele expedida, observadas as disposições
constantes deste Regulamento.
Caberá o cancelamento da validade da homologação, sempre que ocorrer uma das seguintes
hipóteses:
3.3.6.1. Quando da ocorrência de fraude ou falsidade nas declarações ou documentos apresentados
no processo de homologação;
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 15/24
Infraestrutura de Chaves Públicas Brasileira
3.3.6.2. Quando da constatação de discrepância relevante e injustificada entre os resultados dos
ensaios realizados nas amostras do sistema ou equipamento avaliado e os obtidos em eventuais
avaliações posteriores;
3.3.6.3. Quando da prática de qualquer ato em desconformidade com o ato de declaração de
suspensão da homologação;
3.3.6.4. No caso da decorrência do prazo de suspensão da homologação, sem que se verifique a
completa e tempestiva adoção de providências para sanar as irregularidades apontadas ou sem a
apresentação de justificativa aceita pelo ITI;
3.3.6.5. No caso de reincidência em qualquer das hipóteses previstas no item 3.3.5 deste
Regulamento;
3.3.6.6. Quando não for realizada a avaliação de manutenção ou recertificação em sistemas ou
equipamentos homologados que se enquadram no Programa de Avaliação da Conformidade, no
âmbito do SBAC; e
3.3.6.7. A pedido da parte interessada na homologação.
O ato de cancelamento da homologação deverá ser fundamentado e terá a mesma publicidade dada
ao ato de sua concessão.
O ITI deverá notificar à parte interessada, a sua decisão de cancelamento da validade de
homologação de sistema ou equipamento de certificação digital, no prazo máximo de 10 dias, por
ofício da autoridade competente, expedido por meio físico ou eletrônico assinado digitalmente.
O ITI poderá, a qualquer tempo, diante da demonstração de risco à segurança de informações de
usuários, determinar o cancelamento da homologação de sistemas e equipamentos de certificação
digital. Neste caso, o ITI dará ampla divulgação ao fato, alertando o público em geral quanto aos
riscos da continuidade na utilização do sistema ou equipamento em questão.
3.3.7. Dos Recursos em Face das Decisões
Caberá recurso das decisões proferidas pelo ITI, quanto ao indeferimento, suspensão ou
cancelamento de homologação, na forma prevista em instrução normativa editada pelo ITI.
3.3.8. Dos Atos da Parte Interessada
Salvo quando previsto de forma diversa nesta Resolução, os atos das partes interessadas poderão ser
praticados pelo procurador a que se refere o item 2.3.3 ou por mandatário com poderes específicos
para a condução do processo de homologação.
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 16/24
Infraestrutura de Chaves Públicas Brasileira
4. SELO DE HOMOLOGAÇÃO
4.1. Do Uso do Selo de Homologação
Os sistemas e equipamentos homologados pelo ITI serão identificados como tal pelo uso do Selo de
Homologação e correspondente número de identificação da homologação, de forma legível e
indelével, conforme modelo e instruções insertos no item 4.2 deste Regulamento.
Para os sistemas, e para os equipamentos nos quais seja insuficiente o espaço para a colocação do
Selo de Homologação e do correspondente número de identificação da homologação, deverá ser
providenciada sua aposição no manual de operação destinado ao usuário e na embalagem do
sistema ou equipamento.
No caso de cancelamento ou suspensão da homologação, o responsável pelo sistema ou
equipamento se obriga a cessar, imediatamente após a publicação dos atos de cancelamento ou
suspensão, a utilização do Selo de Homologação e do correspondente número de identificação da
homologação.
O direito de uso da identificação da homologação não pode ser transferido ou cedido a terceiros,
salvo na continuidade do uso por sucessão reconhecida pelo ITI, conforme previsto no item 5. deste
Regulamento.
Admite-se o uso conjunto do selo de homologação ICP-Brasil com o selo de identificação da
conformidade do INMETRO, conforme estabelecido no Programa de Avaliação de Conformidade
de Equipamentos de Certificação Digital padrão ICP-Brasil regulado no âmbito do SBAC.
4.2. Das Especificações do Selo de Homologação
4.2.1. Selo de Homologação
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 17/24
Infraestrutura de Chaves Públicas Brasileira
4.2.2. Composição Gráfica do Selo de Homologação
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 18/24
Infraestrutura de Chaves Públicas Brasileira
4.2.3. Grade de Construção do Selo de Homologação
Dimensões: 17 unidades x 22 unidades
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 19/24
Infraestrutura de Chaves Públicas Brasileira
Medida de 2 unidades ao redor da marca reservada para a manutenção da atenção visual. Nenhum
outro elemento pode ultrapassar esta área.
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 20/24
Infraestrutura de Chaves Públicas Brasileira
4.2.4. Tipografia do Selo de Homologação
Família de Fontes:
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 21/24
Infraestrutura de Chaves Públicas Brasileira
4.2.5. Aplicação de Cores do Selo de Homologação
Escala de Cores:
4.2.6. Monocromia do Selo de Homologação
Não existe outra possibilidade para aplicação monocromática da logomarca. Qualquer outra
intenção deve ser considerada erro.
4.2.7. Condições de Redução do Selo de Homologação
Redução máxima admitida
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 22/24
Infraestrutura de Chaves Públicas Brasileira
4.2.8. Da Identificação da Homologação
A identificação da homologação de um sistema ou equipamento de certificação digital é composta
das seguintes informações:
4.2.8.1. Selo de Homologação, conforme disposto anteriormente; e
4.2.8.2. Número de Identificação do sistema ou equipamento homologado, composto de Z-HHHH-
AA-XXXX/YY, onde:
Z: identifica o nível de segurança de homologação (NSH) do sistema ou equipamento com um
caractere numérico.
HHHH: identifica a homologação do sistema ou equipamento por meio de numeração seqüencial
com 4 caracteres.
AA: identifica o ano da emissão da homologação com 2 caracteres numéricos.
XXXX: identifica o número da instrução normativa específica aplicada à homologação com 4
caracteres numéricos.
YY: indica o ano da edição da instrução normativa específica aplicada à homologação com 2
caracteres numéricos.
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 23/24
Infraestrutura de Chaves Públicas Brasileira
5. DISPOSIÇÕES FINAIS
A homologação ora regulamentada não exime o usuário de um dado sistema ou equipamento de
certificação digital homologado da responsabilidade de somente utilizá-lo, enquanto apresentar
desempenho e confiabilidade compatíveis com a legislação vigente.
Não serão considerados para efeito de homologação, equipamentos recondicionados ou reformados
mesmo que, para tanto, tenham sido submetidos a processo industrial.
Admite-se a transferência da titularidade dos sistemas e equipamentos homologados, desde que o
ITI seja formalmente comunicado do fato através de documentação comprobatória dessa
transferência, acompanhada de declaração emitida por aqueles a quem os referidos direitos tenham
sido transmitidos asseverando que os sistemas ou equipamentos anteriormente homologados não
sofreram nenhuma alteração quanto às características técnicas que os levaram a ser homologados
pelo ITI, sendo, nestes casos, transferidos por sucessão os direitos e deveres originalmente relativos
à homologação.
A relação dos OCP acreditados no âmbito do SBAC deverá ser consultada no sítio do INMETRO.
O ITI manterá sempre atualizada e disponível ao público em geral, em seu sítio na internet, as
informações, de caráter não confidencial, relativas aos processos de homologação, em especial:
5.1. O inteiro teor deste Regulamento, bem como, das instruções normativas específicas aplicáveis
aos processos de homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-
Brasil;
5.2. Listagem contendo todos os sistemas e equipamentos homologados, bem como, todas as
informações necessárias a sua inequívoca identificação, especificação e descrição;
5.3. Relação dos laboratórios de ensaios e auditoria credenciados;
5.4. Listagem contendo todas as homologações suspensas ou canceladas; e
5.5 Listagem contendo todas as solicitações de homologação em andamento junto ao ITI.
Os formulários, instruções e disposições suplementares serão objeto de atos a serem editados pelo
ITI.
Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil Versão.3.0 24/24
