Declaração de Práticas de Negócio RFB
Declaração de Práticas de Negócio RFB
DECLARAÇÃO DE PRÁTICAS DE NEGÓCIOS
DA
AR DORITEC
vinculada à AC SAFEWEB RFB
DPN – AR DORITEC
Versão 1.0 FEVEREIRO/2024
SUMÁRIO
AR DORITEC
DECLARAÇÃO DE PRÁTICAS DE NEGÓCIOS
INTRODUÇÃO......................................................................................................................... 6
VISÃO GERAL............................................................................................................................ 6
NOME DO DOCUMENTO E IDENTIFICAÇÃO................................................................................. 6
PARTICIPANTES DA ICP-BRASIL................................................................................................... 6
USABILIDADE DO CERTIFICADO.................................................................................................. 7
POLÍTICA DE ADMINISTRAÇÃO................................................................................................... 8
DEFINIÇÕES E ACRÔNIMOS........................................................................................................ 9
RESPONSABILIDADES DE PUBLICAÇÃO E REPOSITÓRIO.................................................... 10
REPOSITÓRIOS........................................................................................................................ 10
PUBLICAÇÃO DE INFORMAÇÕES DOS CERTIFICADOS.................................................................. 11
TEMPO OU FREQUÊNCIA DE PUBLICAÇÃO................................................................................. 11
CONTROLE DE ACESSO AOS REPOSITÓRIOS............................................................................... 11
IDENTIFICAÇÃO E AUTENTICAÇÃO...................................................................................... 11
ATRIBUIÇÃO DE NOMES.......................................................................................................... 11
VALIDAÇÃO INICIAL DE IDENTIDADE......................................................................................... 13
IDENTIFICAÇÃO E AUTENTICAÇÃO PARA PEDIDOS DE NOVAS CHAVES........................................ 20
REQUISITOS OPERACIONAIS DO CICLO DE VIDA DO CERTIFICADO................................... 21
SOLICITAÇÃO DE CERTIFICADO................................................................................................. 21
PROCESSAMENTO DE SOLICITAÇÃO DE CERTIFICADO................................................................. 24
EMISSÃO DE CERTIFICADO....................................................................................................... 25
ACEITAÇÃO DO CERTIFICADO................................................................................................... 25
USABILIDADE DO PAR DE CHAVES E DO CERTIFICADO................................................................ 25
4.6. RENOVAÇÃO DE CERTIFICADOS................................................................................................ 26
NOVA CHAVE DE CERTIFICADO (RE-KEY).................................................................................... 27
MODIFICAÇÃO DE CERTIFICADO............................................................................................... 27
SUSPENSÃO E REVOGAÇÃO DE CERTIFICADO............................................................................ 27
SERVIÇOS DE STATUS DE CERTIFICADO..................................................................................... 32
ENCERRAMENTO DE ATIVIDADES............................................................................................. 32
CUSTÓDIA E RECUPERAÇÃO DE CHAVE..................................................................................... 33
CONTROLES DE SEGURANÇA FÍSICA, PROCEDIMENTAL E DE PESSOAL............................. 33
CONTROLES FÍSICOS................................................................................................................ 33
CONTROLES PROCEDIMENTAIS................................................................................................. 34
CONTROLES DE PESSOAL......................................................................................................... 35
PROCEDIMENTOS DE LOG DE AUDITORIA.................................................................................. 37
ARQUIVAMENTO DE REGISTROS............................................................................................... 38
TROCA DE CHAVE.................................................................................................................... 39
COMPROMETIMENTO E RECUPERAÇÃO DE DESASTRE............................................................... 39
EXTINÇÃO DA AC..................................................................................................................... 40
CONTROLES TÉCNICOS DE SEGURANÇA............................................................................. 40
GERAÇÃO E INSTALAÇÃO DO PAR DE CHAVES........................................................................... 40
PROTEÇÃO DA CHAVE PRIVADA E CONTROLE DE ENGENHARIA DO MÓDULO CRIPTOGRÁFICO..... 41
OUTROS ASPECTOS DO GERENCIAMENTO DO PAR DE CHAVES................................................... 43
DADOS DE ATIVAÇÃO.............................................................................................................. 43
CONTROLES DE SEGURANÇA COMPUTACIONAL........................................................................ 43
CONTROLES TÉCNICOS DO CICLO DE VIDA................................................................................. 47
CONTROLES DE SEGURANÇA DE REDE....................................................................................... 47
CARIMBO DO TEMPO.............................................................................................................. 48
PERFIS DE CERTIFICADO, LCR E OCSP.................................................................................. 48
PERFIL DO CERTIFICADO.......................................................................................................... 48
PERFIL DE LCR........................................................................................................................ 49
PERFIL DE OCSP....................................................................................................................... 49
AUDITORIA DE CONFORMIDADE E OUTRAS AVALIAÇÕES................................................. 50
FREQUÊNCIA E CIRCUNSTÂNCIAS DAS AVALIAÇÕES................................................................... 50
IDENTIFICAÇÃO/QUALIFICAÇÃO DO AVALIADOR....................................................................... 50
RELAÇÃO DO AVALIADOR COM A ENTIDADE AVALIADA............................................................. 50
TÓPICOS COBERTOS PELA AVALIAÇÃO...................................................................................... 50
AÇÕES TOMADAS COMO RESULTADO DE UMA DEFICIÊNCIA...................................................... 51
COMUNICAÇÃO DOS RESULTADOS........................................................................................... 51
OUTROS NEGÓCIOS E ASSUNTOS JURÍDICOS..................................................................... 51
TARIFAS.................................................................................................................................. 51
RESPONSABILIDADE FINANCEIRA.............................................................................................. 52
CONFIDENCIALIDADE DA INFORMAÇÃO DO NEGÓCIO............................................................... 52
PRIVACIDADE DA INFORMAÇÃO PESSOAL................................................................................. 53
DIREITO DE PROPRIEDADE INTELECTUAL................................................................................... 55
DECLARAÇÕES E GARANTIAS.................................................................................................... 55
ISENÇÃO DE GARANTIAS.......................................................................................................... 56
LIMITAÇÕES DE RESPONSABILIDADES....................................................................................... 56
INDENIZAÇÕES........................................................................................................................ 56
PRAZO E RESCISÃO.................................................................................................................. 56
AVISOS INDIVIDUAIS E COMUNICAÇÕES COM OS PARTICIPANTES.............................................. 57
ALTERAÇÕES........................................................................................................................... 57
SOLUÇÃO DE CONFLITOS......................................................................................................... 57
LEI APLICÁVEL......................................................................................................................... 57
CONFORMIDADE COM A LEI APLICÁVEL.................................................................................... 58
DISPOSIÇÕES DIVERSAS........................................................................................................... 58
OUTRAS PROVISÕES................................................................................................................ 58
DOCUMENTOS REFERENCIADOS......................................................................................... 58
RESOLUÇÕES DO COMITÊ-GESTOR DA ICP-BRASIL..................................................................... 58
INSTRUÇÕES NORMATIVAS DA AC RAIZ.................................................................................... 59
APROVAÇÕES DA AC RAIZ........................................................................................................ 59
REFERÊNCIAS BIBLIOGRÁFICAS........................................................................................... 60
CONTROLE DE ALTERAÇÕES
Versão
Data
Resolução que aprovou a alteração
Item Alterado
1.0
27/02/2024
N/A
Versão inicial
INTRODUÇÃO VISÃO GERAL
Esta Declaração de Práticas de Negócios (DPN), constitui os requisitos mínimos, obrigatoriamente observados pela Autoridade de Registro AR DORITEC, integrante da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), vinculada à Autoridade Certificadora Safeweb RFB (AC Safeweb RFB) e descreve as práticas e os procedimentos utilizados por esta AR na execução de seus serviços.
Esta DPN adota a mesma estrutura utilizada no DOC-ICP-05, que estabelece os REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL [5].
Não se aplica.
A estrutura desta DPN está baseada na RFC 3647.
A AR DORITEC mantém todas as informações da sua DPN sempre atualizadas
NOME DO DOCUMENTO E IDENTIFICAÇÃO
Este documento é chamado “Declaração de Práticas de Negócios da AR DORITEC”, referido a seguir simplesmente como "DPN – AR DORITEC" e descreve as práticas e os procedimentos empregados pela AR DORITEC no âmbito da ICP-Brasil.
Os propósitos para os quais podem ser utilizadas as chaves criptográficas dos titulares de certificados cujas solicitações de emissão são recebidas, validadas e encaminhadas pela AR DORITEC para a AC Safeweb RFB são: assinatura de documento e proteção de e-mail (S/MIME).
PARTICIPANTES DA ICP-BRASIL
AUTORIDADE CERTIFICADORA - AC
A AR DORITEC está vinculada à AC Safeweb RFB, que está no nível imediatamente subsequente ao da Autoridade Certificadora da Secretaria da Receita Federal do Brasil (AC RFB), que por sua vez está subordinada hierarquicamente à Autoridade Certificadora Raiz Brasileira. Com relação aos tipos de certificados emitidos pela AC Safeweb RFB, devem ser observadas as suas Políticas de Certificados (PC), que explicam como os certificados são gerados, administrados pela AC Safeweb RFB e utilizados pela comunidade.
AUTORIDADE DE REGISTRO - AR
Os processos de recebimento, identificação e encaminhamento de solicitações de emissão ou de revogação de certificados digitais e de identificação de seus solicitantes, são de competência das
Autoridades de Registro (AR). As ARs vinculadas à AC Safeweb RFB estão relacionadas na página https://www.safeweb.com.br/repositorio que contém as seguintes informações:
relação de todas as AR credenciadas;
relação de AR que tenha se descredenciado da cadeia da AC Safeweb RFB, com respectivas datas do descredenciamento.
TITULARES DE CERTIFICADO
Podem ser titulares de certificados cujas solicitações de emissão são recebidas, validadas e encaminhadas pela AR DORITEC para a AC Safeweb RFB, pessoas físicas inscritas no CPF, desde que não enquadradas na situação cadastral de CANCELADA ou NULA, e pessoas jurídicas inscritas no CNPJ, desde que não enquadradas na condição de INAPTA, SUSPENSA, BAIXADA ou NULA conforme o disposto nos incisos I e II do art. 6° da Instrução Normativa RFB n° 1077, de 29 de Outubro de 2010 e Anexo I da Portaria RFB/Sucor/Cotec nº 18, de 19 de fevereiro de 2019 (Leiaute dos Certificados Digitais da Secretaria da Receita Federal do Brasil - Versão 4.4). Em sendo o titular do certificado pessoa jurídica, será designada pessoa física como responsável pelo certificado, que será o detentor da chave privada. Obrigatoriamente, o responsável pelo certificado é o mesmo responsável pela pessoa jurídica cadastrada no CNPJ da Receita Federal do Brasil. Preferencialmente será designado como responsável pelo certificado, o representante legal da pessoa jurídica ou um de seus representantes legais.
PARTES CONFIÁVEIS
Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do certificado digital e chaves emitidas pela ICP-Brasil.
OUTROS PARTICIPANTES
Os Prestadores de Serviços de Suporte (PSS), Prestadores de Serviços Biométricos (PSBio) e os Prestadores de Serviço de Confiança (PSC), vinculados à AC Safeweb RFB, estão relacionados na página https://www.safeweb.com.br/repositorio.
USABILIDADE DO CERTIFICADO
USO APROPRIADO DO CERTIFICADO
A AR DORITEC realiza os processos de recebimento, validação e encaminhamento de solicitações de emissão ou de revogação de certificados digitais e de identificação de seus solicitantes para a AC Safeweb RFB, conforme as seguintes Políticas de Certificado Digital:
Política de Certificado
Nome conhecido
OID
Política de Certificado de Assinatura Digital tipo A1
da AC Safeweb RFB
PC A1-AC Safeweb RFB
2.16.76.1.2.1.51
Política de Certificado de Assinatura Digital tipo A3
da AC Safeweb RFB
PC A3-AC Safeweb RFB
2.16.76.1.2.3.48
As PCs correspondentes relacionam as aplicações para as quais são adequados os certificados cujas solicitações de emissão são recebidas, validadas e encaminhadas pela AR DORITEC à AC Safeweb RFB.
USO PROIBITIVO DO CERTIFICADO
Quando cabível, as aplicações para as quais existem restrições ou proibições para o uso desses certificados estão listadas nas PCs correspondentes.
POLÍTICA DE ADMINISTRAÇÃO
ORGANIZAÇÃO ADMINISTRATIVA DO DOCUMENTO
NOME DA AR: AR DORITEC
CONTATOS
Endereço: AV ANTONIO CARLOS MAGALHAES, 2573 / EDIF ROYAL TRADE SALA 110, BROTAS, SALVADOR-BA, CEP: 40.280-902
Telefone: 71-3342-7799 / 71-99206-0606 Página web: WWW.DORITEC.COM.BR
E-mail: DORY@DORITEC.COM.BR
PESSOA QUE DETERMINA A ADEQUABILIDADE DA DPN COM A DPC
Nome: SIRLENE LIMA JORGE GALVÃO Telefone: 71-33427799 / 71-99132-7290 E-mail: SIRLENE@DORITEC.COM.BR
PROCEDIMENTOS DE APROVAÇÃO DA DPN
Esta DPN não necessita ser submetida, nem aprovada pelo ITI.
DEFINIÇÕES E ACRÔNIMOS SIGLA DESCRIÇÃO
AC Autoridade Certificadora
ACME Automatic Certificate Management Environment
AC Raiz Autoridade Certificadora Raiz da ICP-Brasil ACT Autoridade de Carimbo do Tempo
AR Autoridades de Registro
CEI Cadastro Específico do INSS
CF-e Cupom Fiscal Eletrônico
CG Comitê Gestor
CMM-SEI Capability Maturity Model do Software Engineering Institute
CMVP Cryptographic Module Validation Program
CN Common Name
CNE Carteira Nacional de Estrangeiro
CNPJ Cadastro Nacional de Pessoas Jurídicas COSO Comitee of Sponsoring Organizations CPF Cadastro de Pessoas Físicas
CS Code Signing
DMZ Zona Desmilitarizada
DN Distinguished Name
DPC Declaração de Práticas de Certificação
EV Extended Validation (WebTrust for Certification Authorities)
ICP-Brasil Infraestrutura de Chaves Públicas Brasileira IDS Intrusion Detection System
IEC International Electrotechnical Commission
IETF PKIX Internet Engineering Task Force - Public-Key Infrastructured (X.509)
INMETRO Instituto Nacional de Metrologia, Qualidade e Tecnologia ISO International Organization for Standardization
ITSEC European Information Technology Security Evaluation Criteria
ITU International Telecommunications Union
LCR Lista de Certificados Revogados
NBR Norma Brasileira
NIS Número de Identificação Social
NIST National Institute of Standards and Technology
OCSP On-line Certificate Status Protocol
OID Object Identifier
OM-BR Objetos Metrológicos ICP-Brasil OU Organization Unit
PASEP Programa de Formação do Patrimônio do Servidor Público
PC Política de Certificado
PCN Plano de Continuidade de Negócio
PIS Programa de Integração Social
POP Proof of Possession
PS Política de Segurança
PSBio Prestador de Serviço Biométrico
PSC Prestador de Serviço de Confiança
PSS Prestadores de Serviço de Suporte
RFC Request For Comments
RG Registro Geral
SAT Sistema Autenticador e Transmissor
SINRIC Sistema Nacional de Registro de Identificação Civil SNMP Simple Network Management Protocol
SSL Secure Socket Layer
TCSEC Trusted System Evaluation Criteria
TSDM Trusted Software Development Methodology
UF Unidade de Federação
RESPONSABILIDADES DE PUBLICAÇÃO E REPOSITÓRIO REPOSITÓRIOS
As obrigações da AC Safeweb RFB em relação ao seu repositório estão descritas no item correspondente de sua DPC.
Os requisitos aplicáveis aos repositórios utilizados pela AC Safeweb RFB, estão descritas no item correspondente de sua DPC.
A disponibilidade do repositório da AC Safeweb RFB está descrita no item correspondente de sua DPC.
Os endereços dos repositórios da AC Safeweb RFB estão descritos no item correspondente de sua DPC.
As obrigações da AR DORITEC em relação ao seu repositório estão abaixo relacionadas:
Publicar a sua DPN em sua página de internet;
Possuir um domínio de internet registrado sob o CNPJ da entidade credenciada na ICP-Brasil.
PUBLICAÇÃO DE INFORMAÇÕES DOS CERTIFICADOS
A disponibilidade do repositório da AC Safeweb RFB está descrita no item correspondente de sua DPC.
As informações publicadas pela AC Safeweb RFB em página web estão descritas no item correspondente de sua DPC.
As seguintes informações, no mínimo, são publicadas pela AR DORITEC em página web:
a) Sua Declaração de Práticas de Negócio.
TEMPO OU FREQUÊNCIA DE PUBLICAÇÃO
Certificados cujas solicitações de emissão são recebidas, identificadas e encaminhadas pela AR DORITEC à AC Safeweb RFB, são publicados imediatamente após sua emissão.
2.3.3 As versões ou alterações desta DPN são atualizadas no site da AR DORITEC.
CONTROLE DE ACESSO AOS REPOSITÓRIOS
Não existe qualquer restrição de acesso para consulta a esta DPN.
IDENTIFICAÇÃO E AUTENTICAÇÃO
A AR DORITEC verifica a autenticidade da identidade e/ou atributos de pessoas físicas e jurídicas da ICP- Brasil antes de encaminhar as solicitações de certificados digitais para a AC Safeweb RFB. As pessoas físicas e jurídicas estão proibidas de usar nomes em seus certificados que violem os direitos de propriedade intelectual de terceiros. A AR DORITEC reserva o direito, sem responsabilidade a qualquer solicitante, de rejeitar os pedidos.
ATRIBUIÇÃO DE NOMESTIPOS DE NOMES
A AR DORITEC encaminha solicitações de emissão de certificados recebidas para a AC Safeweb RFB, com nomes que possibilitam determinar a identidade da pessoa ou organização a que se referem. Para tanto utiliza o "Distinguished Name" do padrão ITU X.500, seguindo os padrões estabelecidos pelo documento LEIAUTE DOS CERTIFICADOS DIGITAIS DA SECRETARIA DA RECEITA FEDERAL DO BRASIL [14].
Informações específicas, estão descritas nas PC implementadas, no item 7.1.4.
Não se aplica.
NECESSIDADE DOS NOMES SEREM SIGNIFICATIVOS
As solicitações de certificados encaminhadas pela AR DORITEC à AC Safeweb RFB fazem uso de nomes significativos que possibilitam determinar a identidade da pessoa ou organização a que se referem, para a identificação dos titulares dos certificados emitidos pela AC Safeweb RFB.
Para certificados de pessoa física (e-CPF), o campo Common Name é composto do nome do Titular do Certificado, conforme consta no Cadastro de Pessoa Física (CPF).
Para os certificados de pessoa jurídica (e-CNPJ), o campo Common Name é composto do nome empresarial da pessoa jurídica, conforme consta no Cadastro Nacional de Pessoa Jurídica (CNPJ).
ANONIMATO OU PSEUDÔNIMO DOS TITULARES DO CERTIFICADO
Não se aplica.
REGRAS PARA INTERPRETAÇÃO DE VÁRIOS TIPOS DE NOMES
Não se aplica.
UNICIDADE DE NOMES
Os identificadores do tipo "Distinguished Name" (DN) são únicos para cada entidade titular de certificado, no âmbito da AC Safeweb RFB. Números ou letras adicionais podem ser incluídos ao nome de cada entidade para assegurar a unicidade do campo. Para assegurar a unicidade do campo, no certificado de pessoa física (e-CPF) é incluído o número do CPF após o nome do titular do certificado e, no certificado de pessoa jurídica (e-CNPJ), é incluído o número do CNPJ.
PROCEDIMENTO PARA RESOLVER DISPUTA DE NOMES
Para a AR DORITEC não há disputa de nomes entre solicitantes de certificados, uma vez que o nome será obtido a partir dos dados da Receita Federal do Brasil, CPF ou CNPJ para certificados de pessoa física ou jurídica, respectivamente, acrescido do número de inscrição, o que garante a unicidade de todos os nomes no âmbito da AC Safeweb RFB.
RECONHECIMENTO, AUTENTICAÇÃO E PAPEL DE MARCAS REGISTRADAS
Os processos de tratamento, reconhecimento e confirmação de autenticidade de marcas registradas serão executados de acordo com a legislação em vigor.
VALIDAÇÃO INICIAL DE IDENTIDADE
A AR DORITEC utiliza os procedimentos e os requisitos para a primeira identificação e cadastramento junto à ICP-Brasil de pessoas físicas titulares ou responsáveis por certificados digitais, compreendendo os seguintes processos:
identificação e cadastro iniciais do titular do certificado – identificação da pessoa física ou jurídica, titular do certificado, com base nos documentos de identificação citados nos itens 3.2.2,
3.2.3 e 3.2.7, observado o quanto segue:
para certificados de pessoa física: comprovação de que a pessoa física que se apresenta como titular do certificado é realmente aquela cujos dados constam na documentação e biometrias apresentadas, vedada qualquer espécie de procuração para tal fim.
para certificados de pessoa jurídica: comprovação de que os documentos apresentados referem-se efetivamente à pessoa jurídica titular do certificado e de que a pessoa física que se apresenta como representante legal da pessoa jurídica realmente possui tal atribuição, admitida procuração por instrumento público, com poderes específicos para atuar perante a ICP-Brasil, cuja certidão original ou segunda via tenha sido emitida dentro de 90 (noventa) dias anteriores à data da solicitação.
emissão do certificado: após a conferência dos dados da solicitação de certificado com os constantes dos documentos e biometrias apresentados, na etapa de identificação, é liberada a emissão do certificado no sistema da AC Safeweb RFB. A extensão Subject Alternative Name é considerada fortemente relacionada à chave pública contida no certificado, assim, todas as partes dessa extensão devem ser verificadas, devendo o solicitante do certificado comprovar que detém os direitos sobre essas informações junto aos órgãos competentes, ou que está autorizado pelo titular da informação a utilizá-las.
MÉTODO PARA COMPROVAR A POSSE DE CHAVE PRIVADA
A AR DORITEC utiliza um teste de assinatura, durante a solicitação do certificado, como método para verificar se o requerente do certificado possui a posse da chave privada. Neste teste, é realizado um processo de assinatura com a chave privada, enquanto a chave pública (certificado assinado pela autoridade certificadora) é utilizada para verificar a validade desta assinatura. No caso em que sejam requeridos procedimentos específicos para as PCs implementadas, eles são descritos nessas PCs, no item correspondente.
AUTENTICAÇÃO DA IDENTIFICAÇÃO DA ORGANIZAÇÃODISPOSIÇÕES GERAIS
A confirmação da identidade de uma pessoa jurídica é feita mediante consulta às bases de dados
da RFB e mediante a presença física do interessado ou por meio de videoconferência, conforme requisitos do DOC-ICP-05.05 e regulamentos expedidos, por meio de instruções normativas, pela AC Raiz, com base em documentos de identificação legalmente aceitos e pelo processo de identificação biométrica da ICP- Brasil.
Será designado como responsável pelo certificado o representante legal da pessoa jurídica requerente do certificado, ou o procurador constituído na forma do item 3.2, alínea ‘a’, inciso (ii) acima, o qual será o detentor da chave privada. Obrigatoriamente, o responsável pelo certificado é o mesmo responsável pela pessoa jurídica cadastrado no CNPJ da RFB.
A AR DORITEC realiza a confirmação da identidade da organização e das pessoas físicas, nos seguintes termos:
Apresentação do rol de documentos elencados no item 3.2.2.2;
Apresentação do rol de documentos do responsável pelo certificado, elencados no item
3.2.3.1; c) Coleta e verificação biométrica da pessoa física responsável pelo certificado, conforme regulamentos expedidos, por meio de instruções normativas, pela AC Raiz, que definam os procedimentos para identificação do requerente e comunicação de irregularidades no processo de emissão de um certificado digital ICP-Brasil, bem como os procedimentos para identificação biométrica na ICP-Brasil; e
d) Assinatura digital do termo de titularidade de que trata o item 4.1 pelo titular ou responsável pelo uso do certificado.
Nota 1: A AR DORITEC poderá solicitar uma assinatura manuscrita ao requerente ou responsável pelo uso do certificado em termo específico para a comparação com o documento de identidade ou contrato social. Nesse caso, o termo manuscrito digitalizado e assinado digitalmente pelo AGR será apensado ao dossiê eletrônico do certificado, podendo o original em papel ser descartado.
Fica dispensado o disposto no item 3.2.2.1.3, alíneas “b” e “c” caso o responsável pelo certificado possua certificado digital de pessoa física ICP-Brasil válido, do tipo A3 ou superior, com os dados biométricos devidamente coletados, e a verificação dos documentos elencados no item 3.2.2.2 possa ser realizada eletronicamente por meio de barramento ou aplicação oficial. 3.2.2.1.5 O disposto no item
3.2.2.1.3 poderá ser realizado:
Mediante comparecimento presencial do responsável pelo certificado; ou
Por videoconferência, conforme procedimentos e requisitos técnicos definidos em Instrução Normativa da AC Raiz, os quais deverão assegurar nível de segurança equivalente à forma presencial, garantindo a validação das mesmas informações de identificação e biométricas, mediante o emprego de tecnologias eletrônicas seguras de comunicação, interação, documentação e tratamento biométrico.
DOCUMENTOS PARA EFEITOS DE IDENTIFICAÇÃO DE UMA ORGANIZAÇÃO
Durante a solicitação de certificado e-CNPJ é realizada consulta à situação cadastral do CNPJ junto ao cadastro da Receita Federal do Brasil. Se o CNPJ estiver INAPTO, SUSPENSO, BAIXADO ou NULO - situações que impedem o fornecimento do certificado - a solicitação não poderá ser enviada pela AR DORITEC à AC Safeweb RFB. A confirmação da identidade de uma pessoa jurídica deverá ser feita mediante a apresentação de, no mínimo, os seguintes documentos:
Relativos à sua habilitação jurídica:– Se pessoa jurídica criada ou autorizada a sua criação por lei:
Cópia do CNPJ.
– Se entidade privada:
Certidão simplificada emitida pela Junta Comercial ou ato constitutivo, devidamente registrado no órgão competente, que permita a comprovação de quem são seus atuais representantes legais; e
Documentos da eleição de seus administradores, quando aplicável.
Relativos à sua habilitação fiscal:
- Prova de inscrição no Cadastro Nacional de Pessoas Jurídicas (CNPJ); ou
- Prova de inscrição no Cadastro Específico do INSS (CEI).
Nota 1: Essas confirmações que tratam o item 3.2.2.2 poderão ser feitas de forma eletrônica, desde que em barramentos ou aplicações oficiais de órgão competente. É obrigatório essas validações constarem no dossiê eletrônico do titular do certificado.
INFORMAÇÕES CONTIDAS NO CERTIFICADO EMITIDO PARA UMA ORGANIZAÇÃOÉ obrigatório o preenchimento dos seguintes campos do certificado de uma pessoa jurídica, com as informações constantes nos documentos apresentados:
Nome empresarial constante do Cadastro Nacional de Pessoa Jurídica (CNPJ), sem abreviações;
Cadastro Nacional de Pessoa Jurídica (CNPJ);
Nome completo do responsável pelo certificado, sem abreviações; e
Data de nascimento do responsável pelo certificado.
Cada PC pode definir como obrigatório o preenchimento de outros campos, ou o responsável pelo certificado poderá, a seu critério e mediante declaração expressa no termo de titularidade, solicitar o preenchimento de campos do certificado com suas informações pessoais, conforme item 3.2.3.2.
RESPONSABILIDADE DECORRENTE DO USO DO CERTIFICADO DE UMA ORGANIZAÇÃO
Os atos praticados com o certificado digital de titularidade de uma organização estão sujeitos ao regime de responsabilidade definido em lei quanto aos poderes de representação conferidos ao responsável indicado no certificado.
AUTENTICAÇÃO DA IDENTIDADE DE UM INDIVÍDUO
Durante a solicitação dos certificados e-CPF é realizada consulta da situação cadastral do solicitante mediante número de CPF cadastrado através da RFB e consultado nesta base, conforme art. 6º da Instrução Normativa SRF N° 222. Se o CPF informado for inexistente ou se a pessoa física apresentar a condição de CANCELADA ou NULA, a solicitação não será enviada pela AR DORITEC à AC Safeweb RFB.
A confirmação da identidade é realizada mediante a presença física do interessado, com base em documentos de identificação legalmente aceitos ou por meio de videoconferência, conforme procedimentos e requisitos técnicos do DOC-ICP-05.05, definidos em Instrução Normativa da AC Raiz. Os quais deverão assegurar nível de segurança equivalente à forma presencial, garantindo a validação das mesmas informações de identificação e biométricas, mediante o emprego de tecnologias eletrônicas seguras de comunicação, interação, documentação e tratamento biométrico.
DOCUMENTOS PARA EFEITOS DE IDENTIFICAÇÃO DE UM INDIVÍDUO
A identificação da pessoa física requerente do certificado deverá ser realizada como segue:
Apresentação da seguinte documentação, em sua versão original oficial, física ou digital:
Registro de Identidade, se brasileiro; ou
Título de Eleitor, com foto; ou
Carteira Nacional de Estrangeiro – CNE, se estrangeiro domiciliado no Brasil; ou
Passaporte, se estrangeiro não domiciliado no Brasil.
Coleta e verificação biométrica do requerente, conforme regulamentado em Instrução Normativa editada pela AC Raiz, a qual deverá definir os dados biométricos a serem coletados, bem como os procedimentos para coleta e identificação biométrica na ICP-Brasil.
Nota 1: Entende-se como registro de identidade os documentos oficiais, físicos ou digitais, conforme admitido pela legislação específica, emitidos pelas Secretarias de Segurança Pública bem como os que, por força de lei, equivalem a documento de identidade em todo o território nacional, desde que contenham fotografia.
Nota 2: A AR DORITEC reserva-se ao direito de somente aceitar a apresentação da Carteira de Trabalho e
Previdência Social (CTPS) em complementação ao primeiro documento de identificação apresentado. A aceitabilidade da CTPS como documento único de identificação para emissão do Certificado Digital deverá passar por análise e parecer da AC Safeweb RFB.
Nota 3: Caso haja divergência dos dados constantes do documento de identidade, a emissão do certificado digital deverá ser suspensa e o solicitante orientado a regularizar sua situação junto ao órgão responsável.
Nota 4: Os documentos que possuem data de validade precisam estar dentro do prazo. Excepcionalmente, a CNH vencida poderá ser aceita para identificação de titular de certificado digital.
Nota 5: O e-mail de comunicação fornecido, deve ser exclusivo e obrigatório do titular do CD, para garantia da integridade e segurança das informações prestadas.
Na hipótese de identificação positiva por meio do processo biométrico da ICP-Brasil fica dispensada a apresentação de qualquer dos documentos elencados no item 3.2.3.1 e a etapa de verificação. As evidências desse processo farão parte do dossiê eletrônico do requerente.
Os documentos digitais deverão ser verificados por meio de barramentos ou aplicações oficiais dos entes federativos. Tal verificação fará parte do dossiê eletrônico do titular do certificado. Na hipótese da identificação positiva, fica dispensada a etapa de verificação conforme o item 3.2.3.1.3.
Os documentos em papel, os quais não existam formas de verificação por meio de barramentos ou aplicações oficiais dos entes federativos, deverão ser verificados:
por agente de registro distinto do que realizou a etapa de identificação;
na sede da AR DORITEC ou AR própria da AC Safeweb RFB; e
antes do início da validade do certificado, devendo esse ser revogado automaticamente caso a verificação não tenha ocorrido até o início de sua validade.
A emissão de certificados em nome dos absolutamente incapazes e dos relativamente incapazes observará o disposto na lei vigente, e as normas editadas pelo Comitê Gestor da ICP-Brasil.
Não se aplica.
Não se aplica.
Não se aplica.
A verificação biométrica do requerente poderá ser realizada por meio de batimento dos dados em base oficial nacional, conforme regulamentado em Instrução Normativa editada pela AC Raiz da ICP-Brasil, que deverá dispor acerca dos procedimentos e das bases oficiais admitidas para tal finalidade.
INFORMAÇÕES CONTIDAS NO CERTIFICADO EMITIDO PARA UM INDIVÍDUO
É obrigatório o preenchimento dos seguintes campos do certificado de uma pessoa física com as informações constantes nos documentos apresentados:
Nome completo, sem abreviações;
CPF;
Data de nascimento;
E-mail.
Cada PC da AC Safeweb RFB pode definir como obrigatório o preenchimento de outros campos ou o titular do certificado poderá, a seu critério e mediante declaração expressa no termo de titularidade, solicitar o preenchimento de campos do certificado com as informações constantes nos seguintes documentos:
Número de Identificação Social - NIS (PIS, PASEP ou CI);
Número do Registro Geral - RG do titular e órgão expedidor;
Número do Cadastro Específico do INSS (CEI);
Número do Título de Eleitor; Zona Eleitoral; Seção; Município e UF do Título de Eleitor;
Número de habilitação ou identificação profissional emitido por conselho de classe ou órgão competente;
Para tanto, o titular deverá apresentar a documentação respectiva, caso a caso, em sua versão original.
Nota 1: É permitida a substituição dos documentos elencados acima por documento único, desde que este seja oficial e contenha as informações constantes daqueles.
Nota 2: O cartão CPF poderá ser substituído por consulta à página da Receita Federal do Brasil, devendo a cópia da mesma ser arquivada junto à documentação, para fins de auditoria.
INFORMAÇÕES NÃO VERIFICADAS DO TITULAR DO CERTIFICADO
Não se aplica.
VALIDAÇÃO DAS AUTORIDADES
Não se aplica.
CRITÉRIOS PARA INTEROPERAÇÃO
Não se aplica.
AUTENTICAÇÃO DA IDENTIDADE DE EQUIPAMENTO OU APLICAÇÃO
Não se aplica.
PROCEDIMENTOS COMPLEMENTARES
A AR DORITEC mantém políticas e procedimentos internos que são revisados regularmente a fim de cumprir os requisitos do documento Princípios e Critérios WebTrust para AR [15].
Todo o processo de identificação do titular do certificado é registrado com verificação biométrica e assinado digitalmente pelos executantes, na solução de certificação disponibilizada pela AC Safeweb RFB e utilizada pela AR DORITEC, com a utilização de certificado digital ICP-Brasil no mínimo do tipo A3. O sistema biométrico da ICP-Brasil solicita aleatoriamente qual dedo o AGR deve apresentar para autenticação, o que exige a inclusão de todos os dedos dos AGR no cadastro do sistema biométrico. Tais registros são feitos de forma a permitir a reconstituição completa dos processos executados, para fins de auditoria.
Deve ser mantido arquivo com as cópias de todos os documentos utilizados para confirmação da identidade de uma organização e/ou de um indivíduo. Tais cópias poderão ser mantidas em papel ou em forma digitalizada, observadas as condições definidas no DOC-ICP 03.01, regulamento editado por instrução normativa da AC Raiz que define as características mínimas de segurança para as AR da ICP-Brasil.
Não se aplica.
A AC Safeweb RFB disponibiliza à AR DORITEC, uma interface para verificação biométrica do requerente junto ao Sistema Biométrico da ICP-Brasil, em cada processo de emissão de um certificado digital ICP-Brasil, conforme estabelecido no DOC-ICP-03 [6] e DOC-ICP-05.02, regulamento editado por instrução normativa da AC Raiz que define os procedimentos para identificação do requerente e comunicação de irregularidades no processo de emissão de um certificado digital ICP-Brasil.
Na hipótese de identificação positiva no processo biométrico da ICP-Brasil, poderá ser dispensada a apresentação de qualquer documentação de identidade do requerente ou da etapa de verificação conforme item 3.2.3.1.
PROCEDIMENTOS ESPECÍFICOS
Não se aplica.
Não se aplica.
Não se aplica.
Não se aplica.
Não se aplica.
Não se aplica.
IDENTIFICAÇÃO E AUTENTICAÇÃO PARA PEDIDOS DE NOVAS CHAVES
Esta DPN estabelece os processos de identificação e confirmação do cadastro do solicitante, utilizados pela AR DORITEC e pela AC Safeweb RFB para a geração de novo par de chaves e de seu correspondente novo certificado.
Esse processo será conduzido conforme uma das seguintes possibilidades:
Adoção dos mesmos requisitos e procedimentos exigidos nos itens 3.2.2, 3.2.3 ou 3.2.7;
Solicitação, por meio eletrônico, assinada digitalmente com o uso de certificado ICP-Brasil válido, do tipo A3 ou superior, que seja do mesmo nível de segurança ou superior, limitada a 1 (uma) ocorrência sucessiva, quando não tiverem sido colhidos os dados biométricos do titular, permitida tal hipótese apenas para os certificados digitais de pessoa física;
Solicitação, por meio eletrônico, assinada digitalmente com o uso de certificado ICP-Brasil válido de uma organização, do tipo A3 ou superior, para o qual tenham sido coletados os dados biométricos do responsável pelo certificado, desde que, mantido nessa condição, apresente documento digital verificável por meio de barramento ou aplicação oficial dos entes federativos, que comprove poder de representação legal em relação à organização, permitida tal hipótese apenas para os certificados digitais de organizações;
Solicitação por meio eletrônico dada nas alíneas ‘b’ e ‘c’, acima, conforme o caso, para certificado ICP-Brasil válido do tipo A1, que seja do mesmo nível de segurança, mediante confirmação do respectivo cadastro, por meio de videoconferência, conforme requisitos do DOC- ICP-05.05, regulamentação a ser editada pela AC Raiz, ou limitada a 1 (uma) ocorrência sucessiva quando não tiverem sido colhidos os dados biométricos do titular ou responsável;
Por meio de videoconferência, conforme procedimentos e requisitos técnicos do DOCICP- 05.05, definidos em Instrução Normativa da AC Raiz, os quais asseguram nível de segurança equivalente à forma presencial, garantindo a validação das mesmas informações de identificação e biométricas, mediante o emprego de tecnologias eletrônicas seguras de comunicação, interação, documentação e tratamento biométrico; ou
Não se aplica.
Não se aplica.
Caso sejam requeridos procedimentos específicos para as PC implementadas, os mesmos serão descritos nessas PC, no item correspondente.
Não se aplica.
IDENTIFICAÇÃO E AUTENTICAÇÃO PARA SOLICITAÇÃO DE REVOGAÇÃO
A solicitação de revogação de certificado é realizada através de formulário específico ou página
web, permitindo a identificação inequívoca do solicitante. A confirmação da identidade do solicitante é feita através da confrontação de dados fornecidos no momento da solicitação de revogação, com os dados previamente cadastrados na AR DORITEC. O item 4.9.2 desta DPN descreve quem pode solicitar a revogação de um certificado.
Os procedimentos para solicitação de revogação de certificado estão descritos no item 4.9.3 desta DPN. As solicitações de revogação de certificados são obrigatoriamente documentadas.
REQUISITOS OPERACIONAIS DO CICLO DE VIDA DO CERTIFICADO
SOLICITAÇÃO DE CERTIFICADO
A solicitação de emissão de um Certificado Digital é feita mediante o preenchimento de formulário colocado à disposição do solicitante pela AR DORITEC. Toda referência a formulário deverá ser entendida também como referência a outras formas que a AR DORITEC possa vir a adotar. Dentre os requisitos e procedimentos operacionais estabelecidos pela AR DORITEC para as solicitações de emissão de certificado, estão:
A comprovação de atributos de identificação constantes do certificado, conforme item 3.2;
O uso de certificado digital que tenha requisitos de segurança, no mínimo, equivalentes ao de um certificado do tipo A3, a autenticação biométrica do agente de registro responsável pelas solicitações de emissão e de revogação de certificados; e
Um termo de titularidade e responsabilidade deverá ser assinado digitalmente pelo titular do certificado ou pelo responsável pelo uso do certificado, no caso de certificado de pessoa jurídica, conforme o adendo referente ao TERMO DE TITULARIDADE [4] específico.
Nota: Na impossibilidade técnica de assinatura digital do termo de titularidade será aceita a assinatura manuscrita do termo ou assinatura digital do termo com o certificado ICP-Brasil do titular do certificado ou responsável pelo uso do certificado, no caso de certificado de pessoa jurídica. No caso de assinatura manuscrita do termo será necessária a verificação da assinatura contra o documento de identificação.
QUEM PODE SUBMETER UMA SOLICITAÇÃO DE CERTIFICADO
A submissão da solicitação deve ser sempre por intermédio da AR vinculada, através de agente de registro devidamente autorizado. Para certificados de pessoa física, a solicitação deve ser feita pelo próprio titular, e no caso de pessoa jurídica, deve ser feita pelo representante legal.
Não se aplica.
Não se aplica.
Não se aplica.
Não se aplica.
PROCESSO DE REGISTRO E RESPONSABILIDADES
Nos itens a seguir são descritas as obrigações gerais das entidades envolvidas. As obrigações específicas, quando aplicáveis, estão descritas nas PCs implementadas.
Responsabilidades da AC Safeweb RFB
A AC Safeweb RFB responde pelos danos a que der causa.
A AC Safeweb RFB responde solidariamente pelos atos das entidades de sua cadeia de certificação: AC subordinadas, AR vinculadas e PSS.
Não se aplica
Obrigações da AC Safeweb RFB
operar de acordo com a sua DPC e com as PCs que implementa;
gerar e gerenciar os seus pares de chaves criptográficas;
assegurar a proteção de suas chaves privadas;
notificar a AC Secretaria da Receita Federal do Brasil, emitente do seu certificado, quando ocorrer comprometimento de sua chave privada e solicitar a imediata revogação do correspondente certificado;
notificar os seus usuários quando ocorrer: suspeita de comprometimento de sua chave privada, emissão de novo par de chaves e correspondente certificado ou o encerramento de suas atividades;
distribuir o seu próprio certificado;
emitir, expedir e distribuir os certificados de AR a ela vinculadas e de usuários finais;
informar a emissão do certificado ao respectivo solicitante;
revogar os certificados por ela emitidos;
emitir, gerenciar e publicar suas LCRs;
publicar em sua página web sua DPC e as PCs aprovadas que implementa;
publicar, em sua página web, as informações definidas no item 2.2.2 de sua DPC;
publicar, em página web, informações sobre o descredenciamento de AR;
utilizar protocolo de comunicação seguro ao disponibilizar serviços para os solicitantes ou usuários de certificados digitais via web;
identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil;
adotar as medidas de segurança e controle previstas na DPC, PC e Política de Segurança (PS) que implementar, envolvendo seus processos, procedimentos e atividades, observadas as normas, critérios, práticas e procedimentos da ICP-Brasil;
manter a conformidade dos seus processos, procedimentos e atividades com as normas, práticas e regras da ICP-Brasil e com a legislação vigente;
manter e garantir a integridade, o sigilo e a segurança da informação por ela tratada;
manter e testar anualmente seu Plano de Continuidade do Negócio (PCN);
manter contrato de seguro de cobertura de responsabilidade civil decorrente das atividades de certificação digital e de registro, com cobertura suficiente e compatível com o risco dessas atividades, de acordo com as normas do CG da ICP-Brasil;
informar às terceiras partes e titulares de certificado acerca das garantias, coberturas, condicionantes e limitações estipuladas pela apólice de seguro de responsabilidade civil contratada nos termos acima;
informar à AC Raiz a quantidade de certificados digitais emitidos, conforme regulamentação da AC Raiz;
não emitir certificado com prazo de validade que se estenda além do prazo de validade de seu próprio certificado;
realizar, ou delegar para seu PSS, as auditorias pré-operacionais e anualmente as auditorias operacionais de suas ARs, diretamente com seus profissionais, ou através de auditorias internas ou empresas de auditoria independente, ambas, credenciadas pela AC Raiz. O PSS deverá apresentar um único relatório de auditoria para cada AR vinculada às ACs que utilizam de seus serviços; e
garantir que todas as aprovações de solicitação de certificados sejam realizadas por agente de registro e estações de trabalho autorizados.
Responsabilidades da AR DORITEC
A AR DORITEC será responsável pelos danos a que der causa.
Obrigações da AR DORITEC
A AR DORITEC têm as seguintes obrigações:
Receber solicitações de emissão ou de revogação de certificados;
Confirmar a identidade do solicitante e a validade da solicitação;
Encaminhar a solicitação de emissão ou de revogação de certificado, por meio de acesso remoto ao ambiente de AR hospedado nas instalações da AC Safeweb RFB, utilizando protocolo de comunicação seguro, conforme padrão definido no DOC-ICP-03.01, regulamento editado por instrução normativa da AC Raiz que define as características mínimas de segurança para as AR da ICP-Brasil;
Informar aos respectivos titulares a emissão ou a revogação de seus certificados;
Manter a conformidade dos seus processos, procedimentos e atividades com as normas, critérios, práticas e regras estabelecidas pela AC Safeweb RFB e pela ICP-Brasil, em especial com o contido DOC-ICP-03.01, regulamento editado por instrução normativa da AC Raiz que define as características mínimas de segurança para as AR da ICP-Brasil, bem como Princípios e Critérios WebTrust para AR [15];
Manter e testar anualmente seu Plano de Continuidade do Negócio (PCN);
Proceder o reconhecimento das assinaturas e da validade dos documentos apresentados na forma dos itens 3.2.2, 3.2.3 e 3.2.7; e
Divulgar suas práticas, relativas à cadeia da AC Safeweb RFB, em conformidade com o documento Princípios e Critérios WebTrust para AR [15].
PROCESSAMENTO DE SOLICITAÇÃO DE CERTIFICADO
EXECUÇÃO DAS FUNÇÕES DE IDENTIFICAÇÃO E AUTENTICAÇÃO
A AR DORITEC executa as funções de identificação e autenticação conforme item 3 desta DPN.
APROVAÇÃO OU REJEIÇÃO DE PEDIDOS DE CERTIFICADO
Não se aplica.
A AR DORITEC pode, com a devida justificativa formal, aceitar ou rejeitar pedidos de certificados de requerentes de acordo com os procedimentos descritos nesta DPN.
TEMPO PARA PROCESSAR A SOLICITAÇÃO DE CERTIFICADO
A AR DORITEC e a AC Safeweb RFB cumprem os procedimentos determinados na ICP-Brasil. Não há tempo máximo para processar as solicitações na ICP-Brasil.
EMISSÃO DE CERTIFICADOAÇÕES DA AC SAFEWEB RFB DURANTE A EMISSÃO DE UM CERTIFICADO
Os requisitos operacionais estabelecidos pela AC Safeweb RFB para a emissão de certificado e para a notificação da emissão à entidade solicitante, estão descritos no item correspondente e sua DPC.
Certificados do tipo A1 são considerados válidos a partir do momento de sua emissão; certificados do tipo A3 são considerados válidos a partir da data de início de validade nele constante.
NOTIFICAÇÕES PARA O TITULAR DO CERTIFICADO PELA AC SAFEWEB RFB NA EMISSÃO DO CERTIFICADO
O processo utilizado para a notificação de emissão de certificados emitidos pela AC Safeweb RFB é realizado conforme descrito no item 4.3.1 da sua DPC.
ACEITAÇÃO DO CERTIFICADOCONDUTA SOBRE A ACEITAÇÃO DO CERTIFICADO
Os requisitos e procedimentos operacionais referentes à aceitação de um certificado por seu titular, estão descritos no item correspondente da DPC da AC Safeweb RFB.
As implicações decorrentes da aceitação ou não aceitação de certificados emitidos pela AC Safeweb RFB, estão descritas no item correspondente de sua DPC.
Termos de acordo, contratos ou instrumentos similares, estão descritos no item 9.16 da PC correspondente, quando aplicável.
PUBLICAÇÃO DO CERTIFICADO PELA AC SAFEWEB RFB
O certificado da AC Safeweb RFB é publicado de acordo com item 2.2 da sua DPC.
NOTIFICAÇÃO DE EMISSÃO DO CERTIFICADO PELA AC RAIZ PARA OUTRAS ENTIDADES
A notificação se dará de acordo com item 2.2 da DPC da AC Raiz.
USABILIDADE DO PAR DE CHAVES E DO CERTIFICADO
A AR DORITEC opera de acordo com a sua própria DPN e com a DPC e PC implementadas pela AC Safeweb RFB, estabelecidas em conformidade com o documento REQUISITOS MÍNIMOS PARA POLÍTICAS DE CERTIFICADO NA ICP-BRASIL [7].
USABILIDADE DA CHAVE PRIVADA E DO CERTIFICADO DO TITULAR
A AR DORITEC utiliza sua chave privada e garante a proteção dessa chave conforme o previsto nesta DPN.
Obrigações do Titular do Certificado
As obrigações dos titulares de certificados cujas solicitações de emissão são recebidas, validadas e encaminhadas pela AR DORITEC à AC Safeweb RFB, constantes dos termos de titularidade de que trata o item 4.1, são as seguintes:
fornecer, de modo completo e preciso, todas as informações necessárias para sua identificação;
garantir a proteção e o sigilo de suas chaves privadas, senhas e dispositivos criptográficos;
utilizar os seus certificados e chaves privadas de modo apropriado, conforme o previsto na PC correspondente;
conhecer os seus direitos e obrigações, contemplados pela DPC e pela PC correspondente e por outros documentos aplicáveis da ICP-Brasil; e
informar à AR DORITEC ou AC Safeweb RFB qualquer comprometimento de sua chave privada e solicitar a imediata revogação do certificado correspondente.
Nota: Em se tratando de certificado emitido para pessoa jurídica, estas obrigações se aplicam ao responsável pelo uso do certificado.
USABILIDADE DA CHAVE PÚBLICA E DO CERTIFICADO DAS PARTES CONFIÁVEIS
Em acordo com o item 9.6.4 da DPC da AC Safeweb RFB.
RENOVAÇÃO DE CERTIFICADOS
Em acordo com item 3.3 desta DPN.
CIRCUNSTÂNCIAS PARA RENOVAÇÃO DE CERTIFICADOS
Em acordo com item 3.3 desta DPN. Exceto para primeira emissão realizada por videoconferência, conforme determina a Resolução n° 170, de 23/04/2020.
QUEM PODE SOLICITAR A RENOVAÇÃO
Em acordo com item 3.3 desta DPN.
PROCESSAMENTO DE REQUISIÇÃO PARA RENOVAÇÃO DE CERTIFICADOS
Em acordo com item 3.3 desta DPN.
NOTIFICAÇÃO PARA NOVA EMISSÃO DE CERTIFICADO PARA O TITULAR
Em acordo com item 3.3 desta DPN.
CONDUTA CONSTITUINDO A ACEITAÇÃO DE UMA RENOVAÇÃO DE UM CERTIFICADO
Em acordo com item 3.3 desta DPN.
PUBLICAÇÃO DE UMA RENOVAÇÃO DE UM CERTIFICADO PELA AC SAFEWEB RFB
Não se aplica.
NOTIFICAÇÃO DE EMISSÃO DE CERTIFICADO PELA AC SAFEWEB RFB PARA OUTRAS ENTIDADES
Em acordo com item 4.3 da DPC da AC Safeweb RFB.
NOVA CHAVE DE CERTIFICADO (RE-KEY)
Não se aplica.
MODIFICAÇÃO DE CERTIFICADO
Não se aplica.
SUSPENSÃO E REVOGAÇÃO DE CERTIFICADOCIRCUNSTÂNCIAS PARA REVOGAÇÃO
As circunstâncias nas quais um certificado emitido pela AC Safeweb RFB poderá ser revogado, estão descritas no item correspondente de sua DPC.
Um certificado emitido pela AC Safeweb RFB é obrigatoriamente revogado nas seguintes
circunstâncias:
Quando constatada emissão imprópria ou defeituosa do mesmo;
Quando for necessária a alteração de qualquer informação constante no mesmo;
No caso de dissolução da AC Safeweb RFB;
No caso de perda, roubo, acesso indevido, comprometimento da chave privada correspondente ou da sua mídia armazenadora;
No caso de falecimento do titular pessoas físicas ou demissão do responsável pela pessoa jurídicas;
No caso de mudança na razão ou denominação social do titular da pessoa jurídica;
No caso de extinção, dissolução ou transformação do titular do certificado de pessoa jurídica;
Por decisão judicial.
Deve-se observar ainda que:
A AC Safeweb RFB revogará, no prazo definido no item 4.9.3.3, o certificado do titular que deixar de cumprir as políticas, normas e regras estabelecidas para a ICP-Brasil;
O CG da ICP-Brasil, a AC Raiz ou a AC RFB, determinarão a revogação do certificado da AC Safeweb RFB caso está deixe de cumprir a legislação vigente ou as políticas, normas, práticas e regras estabelecidas para a ICP-Brasil.Todo certificado deve ter a sua validade verificada, na respectiva LCR, antes de ser utilizado.
Não se aplica.
Não se aplica.
A autenticidade da LCR é confirmada por meio das verificações da assinatura da AC Safeweb RFB e do período de validade da LCR.
QUEM PODE SOLICITAR A REVOGAÇÃO
A revogação de um certificado, cuja solicitação de emissão foi recebida, validada e encaminhada pela AR DORITEC à AC Safeweb RFB, somente pode ser feita:
Por solicitação do titular do certificado;
Por solicitação do responsável pelo certificado, no caso de certificado de pessoas jurídicas;
Por solicitação de empresa ou órgão, quando o titular do certificado fornecido por essa empresa ou órgão for seu empregado, funcionário ou servidor;
Por determinação da AC Safeweb RFB;
Por solicitação da AR DORITEC;
Por determinação do CG da ICP-Brasil ou da AC Raiz e da AC RFB;
Não se aplica;
Não se aplica;
Não se aplica.
PROCEDIMENTO PARA SOLICITAÇÃO DE REVOGAÇÃOPara solicitar a revogação é necessário o envio à AR DORITEC de um formulário disponibilizado pela AC Safeweb RFB no site www.safeweb.com.br, preenchido com qualificações do titular ou responsável pelo certificado, tais como: nome completo, CPF, RG, protocolo, tipo do certificado e a indicação do motivo da solicitação. Em caso de pessoa jurídica, indicar também as qualificações da empresa, tais como: razão social, CNPJ, IE, representante legal, CPF e RG, permitindo a identificação inequívoca do solicitante. A AC Safeweb RFB garante que todos os agentes habilitados podem, facilmente e a qualquer tempo, solicitar a revogação de seus respectivos certificados conforme o item 4.9.2.
A confirmação da identidade do solicitante é feita com base na confrontação de dados entre a solicitação de revogação e a solicitação de emissão.
Como diretrizes gerais:
O solicitante da revogação de um certificado é identificado;
As solicitações de revogação, bem como as ações delas decorrentes são registradas e armazenadas pela AC Safeweb RFB;
As justificativas para a revogação de um certificado são documentadas;
O processo de revogação de um certificado termina com a geração e a publicação de uma LCR que contém o certificado revogado.
O prazo máximo admitido para a conclusão do processo de revogação de certificado, após o recebimento da respectiva solicitação, para todos os tipos de certificado previstos pela ICP-Brasil é de 12 (doze) horas.
Não se aplica.
A AC Safeweb RFB responde plenamente por todos os danos causados pelo uso de um certificado no período compreendido entre a solicitação de sua revogação e a emissão da correspondente LCR.
Não se aplica.
PRAZO PARA SOLICITAÇÃO DE REVOGAÇÃO
A solicitação de revogação deve ser imediata quando configuradas as circunstâncias definidas no item 4.9.1 desta DPN. O prazo máximo para a aceitação do certificado por seu titular, dentro do qual a revogação desse certificado pode ser solicitada sem cobrança de tarifa pela AC Safeweb RFB é de 3 (três) dias.
Não se aplica.
TEMPO EM QUE A AC SAFEWEB RFB DEVE PROCESSAR O PEDIDO DE REVOGAÇÃO
Em caso de pedido formalmente constituído, de acordo com as normas da ICP-Brasil, a AC Safeweb RFB deve processar a revogação imediatamente após a análise do pedido.
REQUISITOS DE VERIFICAÇÃO DE REVOGAÇÃO PARA AS PARTES CONFIÁVEIS
Antes de confiar em um certificado, a parte confiável deve confirmar a validade de cada certificado na cadeia de certificação de acordo com os padrões IETF PKIX, incluindo a verificação da validade do certificado, encadeamento do nome do emissor e titular, restrições de uso de chaves e de políticas de certificação e o status de revogação por meio de LCRs identificados em cada certificado na cadeia de certificação.
FREQUÊNCIA DE EMISSÃO DE LCR
A frequência de emissão da LCR da AC Safeweb RFB referente a certificados de usuários finais é de 1 (uma) hora.
A frequência máxima admitida para a emissão de LCR para os certificados de usuários finais é de 6 (seis) horas.
Não se aplica.
Não se aplica.
Não se aplica.
LATÊNCIA MÁXIMA PARA A LCR
A LCR é divulgada no repositório em no máximo 4 (quatro) horas após sua geração.
DISPONIBILIDADE PARA REVOGAÇÃO/VERIFICAÇÃO DE STATUS ON-LINE
O processo de revogação on-line está disponível ao titular do certificado, conforme descrito no item 4.4.3
desta DPN.
REQUISITOS PARA VERIFICAÇÃO DE REVOGAÇÃO ON-LINE
Não se aplica.
OUTRAS FORMAS DISPONÍVEIS PARA DIVULGAÇÃO DE REVOGAÇÃO
Não se aplica.
REQUISITOS ESPECIAIS PARA O CASO DE COMPROMETIMENTO DE CHAVE
Havendo roubo, perda, modificação, acesso indevido ou qualquer forma de comprometimento da chave privada ou de sua mídia, o titular do certificado deve comunicar imediatamente a AR DORITEC ou a AC Safeweb RFB, de maneira escrita, solicitando a revogação de seu certificado.
O comprometimento ou suspeita de comprometimento de chave deve ser comunicado à AR DORITEC ou a AC Safeweb RFB através do formulário específico para tal fim, devidamente assinado, cujo objetivo é manter os procedimentos para resguardar o sigilo da informação.
CIRCUNSTÂNCIAS PARA SUSPENSÃO
Não se aplica.
QUEM PODE SOLICITAR SUSPENSÃO
Não se aplica.
PROCEDIMENTO PARA SOLICITAÇÃO DE SUSPENSÃO
Não se aplica.
LIMITES NO PERÍODO DE SUSPENSÃO
Não se aplica.
SERVIÇOS DE STATUS DE CERTIFICADO
CARACTERÍSTICAS OPERACIONAIS
A AC Safeweb RFB fornece um serviço de status de certificado na forma de um ponto de distribuição da LCR nos certificados, conforme item 4.9.
DISPONIBILIDADE DOS SERVIÇOS
Ver item 4.9
FUNCIONALIDADES OPERACIONAIS
Ver item 4.9
ENCERRAMENTO DE ATIVIDADES
Em caso de extinção da AR DORITEC, serão adotados os procedimentos previstos no documento CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [6].
Em qualquer das hipóteses de descredenciamento da AR DORITEC, inclusive o encerramento de suas atividades, serão obedecidos os seguintes procedimentos:
a AC Raiz divulgará o fato, logo após a consumação, no Diário Oficial da União e em sua página web;
após a referida publicação, a AC Safeweb RFB adotará os seguintes procedimentos, mantendo a guarda de toda a documentação comprobatória em seu poder:
revogar, em até 3 (três) dias úteis, no sistema de certificação, os acessos dos equipamentos de AR e as autorizações dos agentes de registro da AR DORITEC;
inventariar os certificados emitidos pela AR DORITEC no prazo máximo de 40 (quarenta) dias;
transferir, se for o caso, de forma segura, a documentação dos certificados gerados pela AR DORITEC para o local identificado no requerimento de descredenciamento, no prazo máximo de 50 (cinquenta) dias;
publicar, em sua página web, informação sobre o descredenciamento da AR DORITEC, em até 5 (cinco) dias;
disponibilizar relatório descrevendo todos os procedimentos de descredenciamento adotados para avaliação pela auditoria operacional, no prazo máximo de 60 (sessenta) dias; e
excluir os agentes de registro do Cadastro de Agentes de Registro – CAR.
CUSTÓDIA E RECUPERAÇÃO DE CHAVE
Não se aplica.
CONTROLES DE SEGURANÇA FÍSICA, PROCEDIMENTAL E DE PESSOAL
Os controles descritos a seguir são implementados pela AR DORITEC para executar de modo seguro suas funções de geração de chaves, identificação, certificação, auditoria e arquivamento de registros.
CONTROLES FÍSICOS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
CONSTRUÇÃO E LOCALIZAÇÃO DAS INSTALAÇÕES DA AC SAFEWEB RFB
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
ACESSO FÍSICO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
NÍVEIS DE ACESSO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
SISTEMAS FÍSICOS DE DETECÇÃO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
SISTEMA DE CONTROLE DE ACESSO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
MECANISMO DE EMERGÊNCIA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
ENERGIA E AR-CONDICIONADO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
EXPOSIÇÃO À ÁGUA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PREVENÇÃO E PROTEÇÃO CONTRA INCÊNDIO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
ARMAZENAMENTO DE MÍDIA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
DESTRUIÇÃO DE LIXO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
INSTALAÇÕES DE SEGURANÇA (BACKUP) EXTERNAS (OFF-SITE) PARA AC
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
CONTROLES PROCEDIMENTAIS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PERFIS QUALIFICADOS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
NÚMERO DE PESSOAS NECESSÁRIO POR TAREFA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
IDENTIFICAÇÃO E AUTENTICAÇÃO PARA CADA PERFIL
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
FUNÇÕES QUE REQUEREM SEPARAÇÃO DE DEVERES
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
CONTROLES DE PESSOAL
Nos itens seguintes desta DPN são descritos os requisitos e procedimentos, implementados pela AR DORITEC em relação a todo o seu pessoal, referentes a aspectos como: verificação de antecedentes e de idoneidade, treinamento e reciclagem profissional, rotatividade de cargos, sanções por ações não autorizadas, controles para contratação e documentação a ser fornecida. Todos os empregados da AR DORITEC, encarregados de tarefas operacionais têm registrado em contrato ou termo de responsabilidade:
Os termos e as condições do perfil que ocuparão;
O compromisso de observar as normas, políticas e regras aplicáveis da ICP-Brasil;
O compromisso de não divulgar informações sigilosas a que tenham acesso.
ANTECEDENTES, QUALIFICAÇÃO, EXPERIÊNCIA E REQUISITOS DE IDONEIDADE
Todo o pessoal da AR DORITEC envolvido em atividades diretamente relacionadas com os processos de emissão, expedição, distribuição, revogação e gerenciamento de certificados é admitido conforme o estabelecido na POLÍTICA DE SEGURANÇA DA ICP-BRASIL [8].
PROCEDIMENTOS DE VERIFICAÇÃO DE ANTECEDENTES
Com o propósito de resguardar a segurança e a credibilidade das entidades, todo o pessoal da AR DORITEC envolvido em atividades diretamente relacionadas com os processos de emissão, expedição, distribuição, revogação e gerenciamento de certificados é submetido a:
Verificação de antecedentes criminais;
Verificação de situação de crédito;
Verificação de histórico de empregos anteriores;
Comprovação de escolaridade e de residência.
A AR DORITEC não define requisitos adicionais para a verificação de antecedentes.
REQUISITOS DE TREINAMENTO
Todo o pessoal da AR DORITEC envolvido em atividades diretamente relacionadas com os processos de
emissão, expedição, distribuição, revogação e gerenciamento de certificados recebe treinamento documentado, suficiente para o domínio dos seguintes temas:
Princípios e mecanismos de segurança da AC Safeweb RFB e das AR DORITEC;
Sistema de certificação em uso na AC Safeweb RFB;
Procedimentos de recuperação de desastres e de continuidade do negócio;
Reconhecimento de assinaturas e validade dos documentos apresentados, na forma do item 3.2.2, 3.2.3 e 3.2.7; e
Outros assuntos relativos a atividades sob sua responsabilidade.
FREQUÊNCIA E REQUISITOS PARA RECICLAGEM TÉCNICA
Todo o pessoal da AR DORITEC envolvido em atividades diretamente relacionadas com os processos de emissão, expedição, distribuição, revogação e gerenciamento de certificados é mantido atualizado sobre eventuais mudanças tecnológicas nos sistemas da AC Safeweb RFB e da AR DORITEC.
FREQUÊNCIA E SEQUÊNCIA DE RODÍZIO DE CARGOS
A AR DORITEC possui pessoal e efetivo de contingência, devidamente treinados, não fazendo uso de rodízio de pessoal.
SANÇÕES PARA AÇÕES NÃO AUTORIZADAS
Na eventualidade de uma ação não autorizada, real ou suspeita, ser realizada por pessoa encarregada de processo operacional da AR DORITEC a AC Safeweb RFB ou a própria AR DORITEC suspenderá o acesso dessa pessoa ao seu sistema de certificação e tomará as medidas administrativas e legais cabíveis.
O processo administrativo referido acima contém os seguintes itens:
Relato da ocorrência com “modus operandi”;
Identificação dos envolvidos;
Eventuais prejuízos causados;
Punições aplicadas, se for o caso; e
Conclusões.
Concluído o processo administrativo, a AC Safeweb RFB encaminha suas conclusões à AC RFB e a AC Raiz.
As punições passíveis de aplicação, em decorrência de processo administrativo, são:
Advertência;
Suspensão por prazo determinado; ou
Impedimento definitivo de exercer funções no âmbito da ICP-Brasil.
REQUISITOS PARA CONTRATAÇÃO DE PESSOAL
Todo o pessoal AR DORITEC envolvido em atividades diretamente relacionadas com os processos de emissão, expedição, distribuição, revogação e gerenciamento de certificados é contratado conforme o estabelecido na POLÍTICA DE SEGURANÇA DA ICP-BRASIL [8].
DOCUMENTAÇÃO FORNECIDA AO PESSOAL
A AC Safeweb RFB torna disponível para todo o seu pessoal e para o pessoal da AR DORITEC:
A sua Declaração de Práticas de Certificação (DPC);
As Políticas de Certificado (PC) que implementa;
A POLÍTICA DE SEGURANÇA DA ICP-BRASIL [8];
Documentação operacional relativa às suas atividades; e
Contratos, normas e políticas relevantes para suas atividades.
Toda a documentação fornecida ao pessoal é classificada segundo a política de classificação de informação definida pela AC Safeweb RFB e é mantida atualizada.
PROCEDIMENTOS DE LOG DE AUDITORIA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
TIPOS DE EVENTOS REGISTRADOS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
FREQUÊNCIA DE AUDITORIA DE REGISTROS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PERÍODO DE RETENÇÃO PARA REGISTROS DE AUDITORIA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PROTEÇÃO DE REGISTROS DE AUDITORIA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PROCEDIMENTO PARA CÓPIA DE SEGURANÇA (BACKUP) DE REGISTRO DE AUDITORIA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
SISTEMA DE COLETA DE DADOS DE AUDITORIA (INTERNO OU EXTERNO)
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
NOTIFICAÇÃO DE AGENTES CAUSADORES DE EVENTOS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
AVALIAÇÕES DE VULNERABILIDADE
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
ARQUIVAMENTO DE REGISTROS
TIPOS DE EVENTOS REGISTRADOS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PERÍODO DE RETENÇÃO PARA ARQUIVO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PROTEÇÃO DE ARQUIVO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PROCEDIMENTOS DE CÓPIA DE ARQUIVO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
REQUISITOS PARA DATAÇÃO DE REGISTROS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
SISTEMA DE COLETA DE DADOS DE ARQUIVO (INTERNO E EXTERNO)
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PROCEDIMENTOS PARA OBTER E VERIFICAR INFORMAÇÃO DE ARQUIVO
A verificação de informação de arquivo deve ser solicitada formalmente à AR DORITEC, identificando de forma precisa o tipo e o período da informação a ser verificada. O solicitante da verificação de informação deve ser devidamente identificado.
TROCA DE CHAVE
Trinta dias antes da data de expiração do certificado digital, a AR DORITEC comunica ao seu titular, através do e-mail cadastrado no formulário de solicitação de certificado, a data de expiração do certificado, junto com link para a solicitação de novo certificado.
Não se aplica.
COMPROMETIMENTO E RECUPERAÇÃO DE DESASTRE
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PROCEDIMENTOS GERENCIAMENTO DE INCIDENTE E COMPROMETIMENTO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
RECURSOS COMPUTACIONAIS, SOFTWARE E/OU DADOS CORROMPIDOS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PROCEDIMENTOS NO CASO DE COMPROMETIMENTO DE CHAVE PRIVADA DE ENTIDADE
Certificado de entidade é revogado
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Chave de entidade é comprometida
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
CAPACIDADE DE CONTINUIDADE DE NEGÓCIO APÓS DESASTRE
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
EXTINÇÃO DA AC
Em caso de extinção da AC Safeweb RFB, serão adotados os procedimentos previstos no documento CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [6].
CONTROLES TÉCNICOS DE SEGURANÇA GERAÇÃO E INSTALAÇÃO DO PAR DE CHAVESGERAÇÃO DO PAR DE CHAVES
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Pares de chaves são gerados somente pelo titular do certificado correspondente. Os procedimentos específicos estão descritos em cada PC implementada pela AC Safeweb RFB.
Cada PC implementada pela AC Safeweb RFB define o meio utilizado para armazenamento da chave privada, com base nos requisitos aplicáveis estabelecidos nos REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL [7].
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Cada PC implementada pela AC Safeweb RFB caracteriza o processo utilizado para a geração de chaves criptográficas dos titulares de certificados, com base nos requisitos aplicáveis estabelecidos pelo documento REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL [7].
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
ENTREGA DA CHAVE PRIVADA À ENTIDADE TITULAR
Item não aplicável, pois a geração e guarda de uma chave privada é de responsabilidade exclusiva do titular do certificado correspondente.
ENTREGA DA CHAVE PÚBLICA PARA EMISSOR DE CERTIFICADO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
A entrega da chave pública do solicitante do certificado, é feita por meio eletrônico, em formato PKCS#10, através de uma sessão segura SSL - Secure Socket Layer. Os procedimentos específicos aplicáveis são detalhados em cada PC implementada.
ENTREGA DE CHAVE PÚBLICA DA AC ÀS TERCEIRAS PARTES
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
TAMANHOS DE CHAVE
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
GERAÇÃO DE PARÂMETROS DE CHAVES ASSIMÉTRICAS E VERIFICAÇÃO DA QUALIDADE DOS PARÂMETROS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PROPÓSITO DE USO DE CHAVE (CONFORME O CAMPO "KEY USAGE" NA X.509 V3)
Os propósitos para os quais podem ser utilizadas as chaves criptográficas dos titulares de certificados cuja solicitação de emissão foi recebida, validada e encaminhada pela AR DORITEC à AC Safeweb RFB, bem como as possíveis restrições cabíveis, em conformidade com as aplicações definidas para os certificados correspondentes estão especificados em cada PC implementada.
Os pares de chaves correspondentes aos certificados cuja solicitação de emissão foi recebida, validada e encaminhada pela AR DORITEC à AC Safeweb RFB, podem ser utilizados para a assinatura digital (chave privada), para a verificação dela (chave pública), para a garantia do não-repúdio e para cifragem de chaves. Para isso, os certificados emitidos pela AC Safeweb RFB têm ativados os bits digitalSignature, nonRepudiation e keyEncipherment.
PROTEÇÃO DA CHAVE PRIVADA E CONTROLE DE ENGENHARIA DO MÓDULO CRIPTOGRÁFICO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PADRÕES PARA MÓDULO CRIPTOGRÁFICO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
O módulo criptográfico utilizado na geração e utilização de chaves criptográficas de titulares de certificados cuja solicitação de emissão foi recebida, validada e encaminhada pela AR DORITEC à AC Safeweb RFB, possui certificação INMETRO. Cada PC implementada especifica os requisitos aplicáveis à geração de chaves criptográficas dos titulares de certificado.
CONTROLE "N DE M" PARA CHAVE PRIVADA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
RECUPERAÇÃO (ESCROW) DE CHAVE PRIVADA
O agente de custódia (escrow) dos certificados cuja solicitação de emissão foi recebida, validada e encaminhada pela AR DORITEC à AC Safeweb RFB, é o PSC Safeweb. Neste caso, as chaves privadas são armazenadas criptografadas em partições exclusivas em hardware criptográfico certificado pelo INMETRO. Estas chaves estão acessíveis apenas a seus titulares através de duplo fator de autenticação (senha e push notification).
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
CÓPIA DE SEGURANÇA (BACKUP) DE CHAVE PRIVADA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
ARQUIVAMENTO DE CHAVE PRIVADA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
INSERÇÃO DE CHAVE PRIVADA EM MÓDULO CRIPTOGRÁFICO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
ARMAZENAMENTO DE CHAVE PRIVADA EM MÓDULO CRIPTOGRÁFICO
Ver item 6.1.
MÉTODO DE ATIVAÇÃO DE CHAVE PRIVADA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
MÉTODO DE DESATIVAÇÃO DE CHAVE PRIVADA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
MÉTODO DE DESTRUIÇÃO DE CHAVE PRIVADA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
OUTROS ASPECTOS DO GERENCIAMENTO DO PAR DE CHAVES
ARQUIVAMENTO DE CHAVE PÚBLICA
As chaves públicas da AC Safeweb RFB e dos titulares de certificados de assinatura digital e LCR por ela emitidos permanecem armazenadas permanentemente, mesmo após a expiração dos certificados correspondentes, para verificação de assinaturas geradas durante seu período de validade.
PERÍODOS DE OPERAÇÃO DO CERTIFICADO E PERÍODOS DE USO PARA CHAVES PÚBLICA E PRIVADA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
DADOS DE ATIVAÇÃO
GERAÇÃO E INSTALAÇÃO DOS DADOS DE ATIVAÇÃO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PROTEÇÃO DOS DADOS DE ATIVAÇÃO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
OUTROS ASPECTOS DOS DADOS DE ATIVAÇÃO
Não se aplica.
CONTROLES DE SEGURANÇA COMPUTACIONALREQUISITOS TÉCNICOS ESPECÍFICOS DE SEGURANÇA COMPUTACIONAL
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Nos equipamentos onde são gerados os pares de chaves criptográficas dos titulares de certificados cuja solicitação de emissão foi recebida, validada e encaminhada pela AR DORITEC à AC
Safeweb RFB, recomenda-se o uso de mecanismos mínimos que garantam a segurança computacional, tais como:
Senha de BIOS ativada;
Controle de acesso lógico ao sistema operacional;
Exigência de uso de senhas fortes;
Diretivas de senha e de bloqueio de conta;
Antivírus, antitrojan e antispyware, instalados, atualizados e habilitados;
Firewall pessoal ou corporativo ativado, com permissões de acesso mínimas necessárias às atividades;
Sistema operacional mantido atualizado, com aplicação de correções necessárias (patches,
hotfix, etc.);
Proteção de tela acionada no máximo após 02 (dois) minutos de inatividade e exigindo senha do usuário para desbloqueio.
Os requisitos específicos aplicáveis devem ser descritos em cada PC implementada.
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
CLASSIFICAÇÃO DA SEGURANÇA COMPUTACIONAL
Não se aplica.
CONTROLES DE SEGURANÇA PARA AS AUTORIDADES DE REGISTRO
A AR DORITEC implementa requisitos de segurança computacional nas estações de trabalho e computadores portáteis utilizados para os processos de validação e aprovação de certificados.
São incluídos os seguintes requisitos especificados no documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL [1]:
A(s) partição(ões) dos discos rígidos das estações de trabalho da AR DORITEC que contém componentes da aplicação da AC/AR ou que armazenem dados de solicitantes de certificados digitais são criptografadas.
As estações de trabalho da AR DORITEC implementam aplicação que faz o controle de integridade
das configurações da aplicação de AR, bem como dos arquivos de configuração ou informações críticas mantidas na estação de trabalho.
As estações de trabalho da AR DORITEC contém apenas aplicações e serviços que são suficientes e necessários para as atividades corporativas.
As estações de trabalho da AR DORITEC, incluindo equipamentos portáteis, estão protegidas contra ameaças e ações não-autorizadas, bem como contra o acesso, uso ou exposição indevidos e recebem as seguintes configurações de segurança:
Controle de acesso lógico ao sistema operacional;
Diretivas de senha e de bloqueio de conta;
Logs de auditoria do sistema operacional ativados, registrando:
– Iniciação e desligamento do sistema;
– Tentativas de criar, remover, definir senhas ou mudar privilégios de usuários;
– Mudanças na configuração da estação;
– Tentativas de acesso (login) e de saída do sistema (logoff);
– Tentativas não-autorizadas de acesso aos arquivos de sistema;
– Tentativas de iniciar, remover, habilitar e desabilitar usuários e de atualizar e recuperar suas chaves.
Antivírus, antitrojan e antispyware, instalados, atualizados e habilitados.
Firewall pessoal ativado, com permissões de acesso mínimas necessárias às atividades, podendo esse ser substituído por firewall corporativo, para equipamentos instalados em redes que possuam esse dispositivo;
Proteção de tela acionada no máximo após 02 (dois) minutos de inatividade;
Sistema operacional mantido atualizado, com aplicação de correções necessárias (patches, hotfix, etc.);
Utilização apenas de softwares licenciados e necessários para a realização das atividades do agente de registro;
Impedimento de login remoto, via outro equipamento ligado à rede de computadores utilizada pela AR DORITEC, exceto para as atividades de suporte remoto;
Utilização de data e hora sincronizadas com a AC Raiz;
Equipamentos de coleta biométrica, em atendimento aos padrões da ICP-Brasil;
Equipamentos que exijam a identificação biométrica do agente de registro durante a identificação biométrica do requerente do certificado;
Os logs de auditoria do sistema operacional registram os acessos aos equipamentos e ficam armazenados localmente para avaliação pela auditoria operacional ou equipe de segurança.
A análise desses logs somente é realizada em caso de suspeitas quanto a acessos não autorizados ou para dirimir outros tipos de dúvidas que possam surgir sobre a utilização dos equipamentos.
O agente de registro não possui perfil de administrador ou senha de root dos equipamentos ou com privilégios especiais do sistema, ficando essa tarefa delegada a outros da própria organização, para permitir segregação de funções. O agente de registro recebe acesso somente aos serviços e aplicações que tenham sido especificamente autorizados a usar.
O aplicativo que faz interface entre a AR DORITEC e o sistema de certificação da AC Safeweb RFB possui as seguintes características de segurança:
Acesso permitido somente mediante autenticação por meio do certificado do tipo A3 de agente de registro, formalmente autorizado por autoridade competente para ser cadastrado no sistema da AC Safeweb RFB;
Acesso permitido somente a partir de equipamentos autenticados no sistema usando uma identificação única gerada automaticamente a partir de informações do próprio equipamento, o que permite identificá-lo de forma unívoca;
Timeout de sessão de acordo com a análise de risco da AC;
Registro em log de auditoria dos eventos citados no item 5.4.1 do DOC-ICP-05 [5];
Histórico da inclusão e exclusão dos Agentes de Registro no sistema e das permissões concedidas ou revogadas;
Mecanismo para revogação automática dos certificados digitais.
O aplicativo da Autoridade de Registro:
Foi desenvolvido com documentação formal;
Possui mecanismos para controle de versões;
Possui documentação dos testes realizados em cada versão;
Possui documentação comprovando a homologação de cada versão em ambiente com as mesmas características do que será usado em produção, sendo esses ambientes, porém, obrigatoriamente apartados entre si;
Possui aprovação documentada do gerente da AC Safeweb RFB, ou responsável designado, para colocar cada versão em ambiente de produção.
Os logs gerados por esse aplicativo são armazenados na AC Safeweb RFB pelo prazo de 7 (sete) anos.
CONTROLES TÉCNICOS DO CICLO DE VIDA
Nos itens seguintes são descritos os controles implementados pela AR DORITEC no desenvolvimento de sistemas e no gerenciamento de segurança.
CONTROLES DE DESENVOLVIMENTO DE SISTEMA
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
CONTROLES DE GERENCIAMENTO DE SEGURANÇA
A AR DORITEC verifica a configuração de segurança dos seus sistemas periodicamente, utilizando ferramentas específicas para este fim ou disponibilizadas nativamente pelo sistema operacional. Os dados coletados durante a verificação periódica são comparados com as configurações aprovadas. Caso haja divergência, são tomadas medidas adequadas para a recuperação da situação, levando-se em consideração a natureza do problema e a análise do fato gerador, para evitar a sua recorrência.
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
CLASSIFICAÇÕES DE SEGURANÇA DE CICLO DE VIDA
Não se aplica.
CONTROLES NA GERAÇÃO DE LCR
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
CONTROLES DE SEGURANÇA DE REDE
DIRETRIZES GERAIS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
FIREWALL
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
SISTEMA DE DETECÇÃO DE INTRUSÃO – IDS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
REGISTRO DE ACESSOS NÃO AUTORIZADOS À REDE
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
CARIMBO DO TEMPO
Não se aplica.
PERFIS DE CERTIFICADO, LCR E OCSP
PERFIL DO CERTIFICADO
Todos os certificados cuja solicitação de emissão foi recebida, validada e encaminhada pela AR DORITEC à AC Safeweb RFB, estão em conformidade com o formato definido pelo padrão ITU X.509 ou ISO/IEC 9594-8, de acordo com o perfil estabelecido na RFC 5280.
NÚMERO (S) DE VERSÃO
Todos os certificados cuja solicitação de emissão foi recebida, validada e encaminhada pela AR DORITEC à AC Safeweb RFB implementam a versão 3 do padrão ITU X.509, de acordo com o perfil estabelecido na RFC 5280.
EXTENSÕES DE CERTIFICADO
Não se aplica.
IDENTIFICADORES DE ALGORITMO
Não se aplica.
FORMATOS DE NOME
Não se aplica.
RESTRIÇÕES DE NOME
Não se aplica.
OID (OBJECT IDENTIFIER) DA DPN
Não se aplica.
USO DA EXTENSÃO "POLICY CONSTRAINTS"
Não se aplica.
SINTAXE E SEMÂNTICA DOS QUALIFICADORES DE POLÍTICA
Não se aplica.
SEMÂNTICA DE PROCESSAMENTO PARA EXTENSÕES CRÍTICAS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PERFIL DE LCR
NÚMERO(s) DE VERSÃO
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
EXTENSÕES DE LCR E DE SUAS ENTRADAS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
PERFIL DE OCSP
NÚMERO(s) DE VERSÃO
Não se aplica.
EXTENSÕES DE OCSP
Não se aplica.
AUDITORIA DE CONFORMIDADE E OUTRAS AVALIAÇÕES
FREQUÊNCIA E CIRCUNSTÂNCIAS DAS AVALIAÇÕES
A AR DORITEC, bem como as demais entidades integrantes da ICP-Brasil sofre auditoria prévia, para fins de credenciamento, e auditorias anuais, para fins de manutenção de credenciamento.
IDENTIFICAÇÃO/QUALIFICAÇÃO DO AVALIADOR
As fiscalizações AR DORITEC, bem como das entidades integrantes da ICP-Brasil são realizadas pela AC Raiz, por meio de servidores de seu quadro próprio, a qualquer tempo, sem aviso prévio, observado o disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [2].
Com exceção da auditoria da própria AC Raiz, que é de responsabilidade do CG da ICP-Brasil, as auditorias das entidades integrantes da ICP-Brasil são realizadas pela AC Raiz, por meio de servidores de seu quadro próprio, ou por terceiros por ela autorizados, observado o disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3].
RELAÇÃO DO AVALIADOR COM A ENTIDADE AVALIADA
As auditorias da AR DORITEC, bem como das entidades integrantes da ICP-Brasil são realizadas pela AC Raiz, por meio de servidores de seu quadro próprio, ou por terceiros por ela autorizados, observado o disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3].
TÓPICOS COBERTOS PELA AVALIAÇÃO
As fiscalizações e auditorias realizadas no âmbito da ICP-Brasil têm por objetivo verificar se os processos, procedimentos e atividades da AR DORITEC, bem como das entidades integrantes da ICP-Brasil estão em conformidade com suas respectivas DPCs, PCs, PSs e demais normas e procedimentos estabelecidos pela ICP-Brasil e com os princípios e critérios definidos pelo WebTrust.
A AC Safeweb RFB recebeu auditoria prévia da AC Raiz para fins de credenciamento na ICP-Brasil e é auditada anualmente, para fins de manutenção do credenciamento, com base no disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES
INTEGRANTES DA ICP-BRASIL [3]. Esse documento trata do objetivo, frequência e abrangência das auditorias, da identidade e qualificação do auditor e demais temas correlacionados.
A AR DORITEC também recebeu auditoria prévia para fins de credenciamento. A AC Safeweb RFB é responsável pela realização de auditorias anuais na AR DORITEC, para fins de manutenção de credenciamento, conforme disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE
AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3].
AÇÕES TOMADAS COMO RESULTADO DE UMA DEFICIÊNCIA
A AR DORITEC cumpre, no prazo estipulado no relatório de auditoria, as recomendações para corrigir as deficiências apontadas indo ao encontro da legislação, políticas, normas, práticas e regras estabelecidas, de acordo com os CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP- BRASIL [2] e com os CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3].
COMUNICAÇÃO DOS RESULTADOS
Os resultados das regularizações são comunicados formalmente à AC RFB, na data de vencimento do prazo concedido no relatório de auditoria de acordo com os CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [2] e com os CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3].
OUTROS NEGÓCIOS E ASSUNTOS JURÍDICOSTARIFAS
TARIFAS DE EMISSÃO E RENOVAÇÃO DE CERTIFICADOS
Variável conforme definição interna comercial.
TARIFA DE ACESSO AO CERTIFICADO
Não são cobradas tarifas de acesso ao certificado digital emitido.
TARIFA DE REVOGAÇÃO OU DE ACESSO À INFORMAÇÃO DE STATUS
Não há tarifa de revogação.
TARIFA PARA OUTROS SERVIÇOS
Não são cobradas tarifas de acesso à LCR, bem como tarifas de revogação e de acesso aos certificados emitidos.
POLÍTICA DE REEMBOLSO
Não se aplica.
RESPONSABILIDADE FINANCEIRA
A responsabilidade da AR DORITEC será verificada conforme previsto na legislação brasileira.
COBERTURA DE SEGURO
A AR DORITEC poderá manter o contrato de seguro de cobertura de responsabilidade civil decorrente das atividades de certificação digital e de registro, com cobertura suficiente e compatível com o risco dessas atividades.
OUTROS ATIVOS
Não se aplica.
COBERTURA DE SEGUROS OU GARANTIA PARA ENTIDADES FINAIS
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
CONFIDENCIALIDADE DA INFORMAÇÃO DO NEGÓCIOESCOPO DE INFORMAÇÕES CONFIDENCIAIS
Como princípio geral, todo documento, informação ou registro fornecido à AR DORITEC é sigiloso.
Como princípio geral, nenhum documento, informação ou registro fornecido à AR DORITEC será divulgado.
INFORMAÇÕES FORA DO ESCOPO DE INFORMAÇÕES CONFIDENCIAIS
Os tipos de informações consideradas não sigilosas pela AR DORITEC, compreendem, entre outros:
Os certificados e as LCRs emitidos pela AC Safeweb RFB;
Informações corporativas ou pessoais que façam parte de certificados ou de diretórios públicos;
As PCs implementadas pela AC Safeweb RFB;
A DPC da AC Safeweb RFB;
Versões públicas de PS da AC Safeweb RFB; e
A conclusão dos relatórios de auditoria;
Política de Garantia;
Política de Privacidade; e
Declaração de Práticas de Negócio da AR DORITEC.
Certificados, LCR e informações corporativas ou pessoais que necessariamente façam parte deles ou de diretórios públicos são consideradas informações não confidenciais.
Os seguintes documentos da AR DORITEC também são considerados documentos não confidenciais:
a) qualquer DPN;
versões públicas de Política de Segurança (PS); e
a conclusão dos relatórios da auditoria.
A AR DORITEC poderá divulgar, de forma consolidada ou segmentada por tipo de certificado, a quantidade de certificados emitidos no âmbito da ICP-Brasil.
RESPONSABILIDADE EM PROTEGER A INFORMAÇÃO CONFIDENCIAL
Os participantes que receberem ou tiverem acesso a informações confidenciais devem possuir mecanismos para assegurar a proteção e a confidencialidade, evitando o seu uso ou divulgação a terceiros, sob pena de responsabilização, na forma da lei.
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Os titulares de certificados emitidos para pessoas físicas ou os responsáveis pelo uso de certificados emitidos para pessoas jurídicas, terão as atribuições de geração, manutenção e sigilo de suas respectivas chaves privadas. Além disso, responsabilizam-se pela divulgação ou utilização indevidas dessas mesmas chaves.
Não se aplica.
PRIVACIDADE DA INFORMAÇÃO PESSOAL
PLANO DE PRIVACIDADE
A AR DORITEC assegura a proteção de dados pessoais conforme sua Política de Privacidade.
TRATAMENTO DE INFORMAÇÃO COMO PRIVADAS
Como princípio geral, todo documento, informação ou registro que contenha dados pessoais fornecido à
AR DORITEC é considerado confidencial, salvo previsão normativa em sentido contrário, ou quando expressamente autorizado pelo respectivo titular, na forma da legislação aplicável.
INFORMAÇÕES NÃO CONSIDERADAS PRIVADAS
Informações sobre revogação de certificados de usuários finais são fornecidas na LCR da AC Safeweb RFB.
RESPONSABILIDADE PARA PROTEGER A INFORMAÇÃO PRIVADA
A AR DORITEC é responsável pela divulgação indevida de informações confidenciais, nos termos da legislação aplicável.
AVISO E CONSENTIMENTO PARA USAR INFORMAÇÕES PRIVADAS
As informações privadas obtidas pela AR DORITEC poderão ser utilizadas ou divulgadas a terceiros, mediante expressa autorização do respectivo titular, conforme legislação aplicável.
O titular de certificado e seu representante legal terão amplo acesso a quaisquer dos seus próprios dados e identificações, e poderão autorizar a divulgação de seus registros a outras pessoas.
Autorizações formais podem ser apresentadas de duas formas:
por meio eletrônico, contendo assinatura válida garantida por certificado reconhecido pela ICP-Brasil; ou
por meio de pedido escrito com firma reconhecida.
DIVULGAÇÃO EM PROCESSO JUDICIAL OU ADMINISTRATIVO
Como diretriz geral, nenhum documento, informação ou registro sob a guarda da AR DORITEC será fornecido a qualquer pessoa, salvo o titular ou o seu representante legal, devidamente constituído por instrumento público ou particular, com poderes específicos, vedado substabelecimento.
As informações privadas ou confidenciais sob a guarda da AR DORITEC poderão ser utilizadas para a instrução de processo administrativo ou judicial, ou por ordem judicial ou da autoridade administrativa competente, observada a legislação aplicável quanto ao sigilo e proteção dos dados perante terceiros.
OUTRAS CIRCUNSTÂNCIAS DE DIVULGAÇÃO DE INFORMAÇÃO
Não se aplica.
INFORMAÇÕES A TERCEIROS
Nenhum documento, informação ou registro sob a guarda da AR DORITEC é fornecido a qualquer pessoa, exceto quando a pessoa que o requerer, por meio de instrumento devidamente constituído, estiver autorizada para fazê-lo e corretamente identificada.
DIREITO DE PROPRIEDADE INTELECTUAL
De acordo com a legislação vigente.
DECLARAÇÕES E GARANTIASDECLARAÇÕES E GARANTIAS DA AC SAFEWEB RFB
Autorização para certificado
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Precisão da informação
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Identificação do requerente
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Consentimento dos titulares
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Serviço
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Revogação
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
Existência Legal
Esta DPN está em conformidade legal com a MP 2.200-2, de 24 de agosto de 2001, e legislação aplicável.
DECLARAÇÕES E GARANTIAS DA AR DORITEC
Em acordo com item 4 desta DPN.
DECLARAÇÕES E GARANTIAS DO TITULAR
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
DECLARAÇÕES E GARANTIAS DAS TERCEIRAS PARTES
Conforme descrito no item correspondente da DPC da AC Safeweb RFB.
REPRESENTAÇÕES E GARANTIAS DE OUTROS PARTICIPANTES
Não se aplica.
ISENÇÃO DE GARANTIAS
Não se aplica.
LIMITAÇÕES DE RESPONSABILIDADES
A AR DORITEC não responde pelos danos que não lhe sejam imputáveis ou a que não tenha dado causa, na forma da legislação vigente.
INDENIZAÇÕES
A AR DORITEC responde pelos danos que der causa, e lhe sejam imputáveis, na forma da legislação vigente, assegurado o direito de regresso contra o agente ou entidade responsável.
PRAZO E RESCISÃO
PRAZO
Esta DPN entra em vigor a partir da sua publicação e permanecerá válida e eficaz até que venha a ser revogada ou substituída, expressa ou tacitamente.
TÉRMINO
Esta DPN vigorará por prazo indeterminado, permanecendo válida e eficaz até que venha a ser revogada ou substituída, expressa ou tacitamente.
EFEITO DA RESCISÃO E SOBREVIVÊNCIA
Os atos praticados na vigência desta DPN são válidos e eficazes para todos os fins de direito, produzindo efeitos mesmo após a sua revogação ou substituição.
AVISOS INDIVIDUAIS E COMUNICAÇÕES COM OS PARTICIPANTES
As notificações, intimações, solicitações ou qualquer outra comunicação necessária sujeita às práticas descritas nesta DPN serão feitas, preferencialmente, por e-mail assinado digitalmente, ou, na sua impossibilidade, por ofício da autoridade competente ou publicação no Diário Oficial da União.
ALTERAÇÕES
PROCEDIMENTO PARA EMENDAS
Qualquer alteração nesta DPN não precisará ser submetida à AC RFB à AC Raiz.
MECANISMO DE NOTIFICAÇÃO E PERÍODOS
Mudança nesta DPC será publicado no site da AR DORITEC.
CIRCUNSTÂNCIAS NA QUAL O OID DEVE SER ALTERADO
Não se aplica.
SOLUÇÃO DE CONFLITOS
Os litígios decorrentes desta DPN serão solucionados de acordo com a legislação vigente.
A DPN da AR DORITEC não prevalecerá sobre as normas, critérios, práticas e procedimentos da ICP-Brasil.
LEI APLICÁVEL
Esta DPN é regida pela legislação da República Federativa do Brasil, notadamente a Medida Provisória Nº 2.200-2, de 24.08.2001, e a legislação que a substituir ou alterar, bem como pelas demais leis e normas em vigor no Brasil.
CONFORMIDADE COM A LEI APLICÁVEL
A AR DORITEC está sujeita à legislação que lhe é aplicável, comprometendo-se a cumprir e a observar as obrigações e direitos previstos em lei.
DISPOSIÇÕES DIVERSAS
ACORDO COMPLETO
Esta DPN representa as obrigações e deveres aplicáveis à AR DORITEC. Havendo conflito entre esta DPN e outras resoluções do CG da ICP-Brasil, prevalecerá sempre a última editada.
CESSÃO
Os direitos e obrigações previstos nesta DPN são de ordem pública e indisponíveis, não podendo ser cedidos ou transferidos a terceiros.
INDEPENDÊNCIA DE DISPOSIÇÕES
A invalidade, nulidade ou ineficácia de qualquer das disposições desta DPN não prejudicará as demais disposições, as quais permanecerão plenamente válidas e eficazes. Neste caso a disposição inválida, nula ou ineficaz será considerada como não escrita, de forma que esta DPN será interpretada como se não contivesse tal disposição, e na medida do possível, mantendo a intenção original das disposições remanescentes.
EXECUÇÃO (HONORÁRIOS DOS ADVOGADOS E RENÚNCIA DE DIREITOS)
De acordo com a legislação vigente.
OUTRAS PROVISÕES
Não se aplica.
DOCUMENTOS REFERENCIADOS
RESOLUÇÕES DO COMITÊ-GESTOR DA ICP-BRASIL
Os documentos abaixo são aprovados por Resoluções do Comitê-Gestor da ICP-Brasil, podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio https://www.iti.gov.br publica a versão mais atualizada desses documentos e as Resoluções que os aprovaram.
Ref.
Nome do documento
Código
[2]
CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES
DA ICP-BRASIL
DOC-ICP-09
[3]
CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES
INTEGRANTES DA ICP-BRASIL
DOC-ICP-08
[5]
REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS
AUTORIDADES CERTIFICADORAS DA ICP-BRASIL
DOC-ICP-05
[6]
CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES
INTEGRANTES DA ICP-BRASIL
DOC-ICP-03
[7]
REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL
DOC-ICP-04
[8]
POLÍTICA DE SEGURANÇA DA ICP-BRASIL
DOC-ICP-02
[13]
POLÍTICA TARIFÁRIA DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL
DOC-ICP-06
INSTRUÇÕES NORMATIVAS DA AC RAIZ
Os documentos abaixo são aprovados por Instrução Normativa da AC Raiz, podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio https://www.iti.gov.br publica a versão mais atualizada desses documentos e as Instruções Normativas que os aprovaram.
Ref.
Nome do documento
Código
[1]
CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL
DOC-ICP-03.01
[9]
PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL
DOC-ICP-01.01
[10]
PROCEDIMENTOS PARA IDENTIFICAÇÃO DO REQUERENTE E COMUNICAÇÃO DE
IRREGULARIDADES NO PROCESSO DE EMISSÃO DE UM CERTIFICADO DIGITAL ICP-BRASIL
DOC-ICP-05.02
[11]
REGULAMENTO DO USO DE BIOMETRIA NO ÂMBITO DA ICP-BRASIL – SISTEMA
BIOMÉTRICO DA ICP-BRASIL
DOC-ICP-05.03
APROVAÇÕES DA AC RAIZ
Os documentos abaixo são aprovados pela AC Raiz, podendo ser alterados, quando necessário, mediante publicação de uma nova versão no sítio https://www.iti.gov.br.
Ref.
Nome do documento
Código
[4]
TERMOS DE TITULARIDADE
ADE-ICP-05. B
APROVAÇÕES DA AC RFB
Os documentos abaixo são aprovados pela AC RFB, podendo ser alterados, quando necessário, mediante
publicação de uma nova versão no sítio http://www.receita.fazenda.gov.br/acrfb/.
Ref.
Nome do documento
Código
[14]
LEIAUTE DOS CERTIFICADOS DIGITAIS DA SECRETARIA DA RECEITA FEDERAL
DO BRASIL
VERSÃO 4.4
REFERÊNCIAS BIBLIOGRÁFICAS
Webtrust Principles and Criteria for Registration Authorities, disponível em https://www.cpacanada.ca/-/media/site/operational/ms-member-services/docs/webtrust/webtrust- principles-and-criteria-for-registration-authorities- v10.pdf?la=en&hash=0D5059D7B9D36C1EA3814B50302B66696B62FE82
Webtrust Principles and Criteria for Certification Authorities, disponível em: https://www.cpacanada.ca/-/media/site/operational/ms-member-services/docs/webtrust/webtrust-for- ca-22.pdf?la=en&hash=F377F94E2E3D87A83D07DDAC54171AC01AE798FA.