DOU 07/11/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024110700005
5
Nº 216, quinta-feira, 7 de novembro de 2024
ISSN 1677-7042
Seção 1
1.2.2 As ACs emissoras de certificados para usuários finais devem ser
exclusivas e separadas de acordo com os seguintes propósitos de uso de chaves:
a) autenticação de aplicações específicas;
b) assinatura de documento e proteção de e-mail (S/MIME) e garantia de
origem e integridade; e
c) assinatura de carimbo do tempo (TimeStamping).
1.3 .......................................................................................................................
......................................................................................................................................
3.1.1.1 Neste item devem ser definidos os tipos de nomes admitidos para os
titulares de certificados emitidos pela AC responsável pela DPC. Entre os tipos de nomes
considerados, poderão estar o "Distinguished Name" do padrão ITU X.500.
.....................................................................................................................................
3.2.2.2 Documentos para efeitos de identificação de uma organização
a).........................................................................................................................
b) .......................................................................................................................
i. .........................................................................................................................
ii. prova de inscrição no Cadastro Nacional de Obras - CNO.
Nota 1: As confirmações de que trata o item 3.2.2.2 poderão ser feitas de
forma eletrônica, desde que em barramentos ou aplicações oficiais de órgão competente.
É obrigatório que essas validações constem no dossiê eletrônico do titular do certificado.
3.2.2.3 Responsabilidade decorrente do uso do certificado de uma organização
Os atos
praticados com o certificado
digital de titularidade
de uma
organização estão sujeitos ao regime de responsabilidade definido em lei.
3.2.3 ....................................................................................................................
.......................................................................................................................................
3.2.3.1.8.1 No caso de AR ELETRÔNICA, a base oficial nacional, a ser definida
por Instrução Normativa da AC Raiz, deverá ter como requisito técnico a garantia de
individualização unívoca dos cidadãos, biométrica e biográfica, a nível nacional.
3.2.4 Informações não verificadas do titular do certificado
......................................................................................................................................
3.2.7.1.5 Fica dispensada a observância do item 3.2.2.1.3, alíneas "b" e "c", para
certificados cujo titular seja pessoa jurídica quando a solicitação for assinada com o certificado
digital ICP-Brasil válido, do tipo A3 ou superior, cuja titularidade é da mesma pessoa física
responsável legal da organização e a verificação dos documentos elencados no item 3.2.2.2
possa ser realizada eletronicamente por meio de barramento ou aplicação oficial.
3.2.7.2 Procedimentos para efeitos de identificação de um equipamento ou aplicação
3.2.7.2.1 Para certificados de aplicações específicas que utilizem URL na
identificação do titular, deve ser verificado se o solicitante do certificado detém o registro
do nome de domínio junto ao órgão competente, ou se possui autorização do titular do
domínio para usar aquele endereço. Nesse caso, deve ser apresentada documentação
comprobatória (termo de autorização de uso de domínio ou similar) devidamente
assinado pelo titular do domínio.
3.2.7.2.2 Para emissão de certificados do tipo T3 ou T4, para equipamentos de ACT
credenciadas na ICP-Brasil, a solicitação deve conter o nome de servidor e o número de série
do equipamento. Esses dados devem ser validados comparando-os com aqueles publicados
pelo ITI no Diário Oficial da União, quando do deferimento do credenciamento da ACT.
3.2.7.3 Autenticação de identificação de equipamento para certificado CF- e - S AT
3.2.7.3.1 Disposições gerais
3.2.7.3.1.1 Em se tratando de certificado emitido para equipamento SAT, o
titular será representado pelo contribuinte identificado no certificado digital ICP-Brasil de
pessoa jurídica que assina a solicitação, associada ao número de série do equipamento
detentor da chave privada.
3.2.7.3.1.2 Para certificados do tipo A CF-e-SAT, a confirmação da identidade
da organização e das pessoas físicas se dará conforme disposto no item 3.2.2 e com a
assinatura do TERMO DE TITULARIDADE [4] específico de que trata o item 4.1.
3.2.7.3.1.3 Para certificados do tipo A CF-e-SAT, por se tratar de certificado para
equipamento fiscal específico para contribuinte já identificado quando da emissão do
certificado digital ICP-Brasil de pessoa jurídica válido que assina a requisição do certificado A
CF-e-SAT, a confirmação da identidade se dará exclusivamente na forma do disposto no item
3.2.3 e com a assinatura do TERMO DE TITULARIDADE [4] específico de que trata o item 4.1.
3.2.7.4 Procedimentos para efeitos de identificação de um equipamento SAT
3.2.7.4.1 Para certificados de equipamento SAT, deve ser verificado se o CNPJ
do contribuinte que assina digitalmente a solicitação desse certificado está vinculado ao
número de série do referido equipamento, o qual deve estar registrado e autorizado pela
unidade fiscal federada. Essas informações devem ser obtidas e confirmadas pela AC
emissora do certificado.
3.2.7.5 Autenticação de identificação de equipamentos para certificado OM-BR
3.2.7.5 1 Disposições gerais
3.2.7.5.1.1 Em se tratando de certificado emitido para equipamento OM-BR, o
titular será representado pelo fabricante identificado no certificado digital ICP-Brasil de
pessoa jurídica que assina a solicitação, associada ao número de identificação do
equipamento detentor da chave privada.
3.2.7.5.1.2 Para certificados do tipo OM-BR, a confirmação da identidade do
fabricante se dará conforme disposto no item 3.2.7.1 e com a assinatura do TERMO DE
TITULARIDADE [4] específico de que trata o item 4.1.
3.2.7.5.1.3 Para certificados do tipo OM-BR, por se tratar de certificado para
equipamento metrológico específico de fabricante autorizado já identificado quando da
emissão do certificado digital ICP-Brasil de pessoa jurídica válido que assina a requisição
do certificado OM-BR, a confirmação da identidade se dará exclusivamente na forma do
disposto no item 3.2.7.1 e com a assinatura do TERMO DE TITULARIDADE [4] específico
de que trata o item 4.1.
3.2.7.6 Procedimentos para efeitos de identificação de um equipamento metrológico
3.2.7.6.1 Para certificados de equipamento metrológico, deve ser verificado se o
CNPJ do fabricante que assina digitalmente a solicitação desse certificado está vinculado aos
controles regulatórios do referido equipamento, o qual deve estar registrado e autorizado pelo
Inmetro. Essas informações devem ser obtidas e confirmadas pela AC emissora do certificado.
3.2.8 Procedimentos complementares
3.2.8.1 A AC mantém políticas e procedimentos internos que são revisados
regularmente a fim de cumprir os requisitos dos vários programas de raiz dos quais a AC
é membro, bem como os Princípios e Critérios WebTrust.
......................................................................................................................................
3.2.9.7 ................................................................................................................
a) o responsável pelo uso do certificado de selo eletrônico deverá ser
autenticado através de batimento biométrico (1:1) em PSBio credenciado na ICP-Brasil, na
base biométrica oficial do TSE ou em outra base biométrica oficial da União, dos Estados
ou do Distrito Federal, com comprovação auditável desse processo de autenticação
biométrica por parte da AC. Essa comprovação poderá ser pelo CPF ou outro indexador
viável entre os sistemas;
.......................................................................................................................................
3.2.9.8 ................................................................................................................
a) a pessoa física titular do certificado deverá ter sido biometricamente
identificada e individualizada na base biométrica do órgão responsável pela emissão da
Carteira de Identidade (RG) ou da Carteira Nacional de Habilitação (CNH), conforme o caso,
bem como ter dado consentimento expresso e específico para o compartilhamento com as
entidades da ICP-Brasil dos dados biométricos e biográficos necessários para a identificação,
cadastro e emissão do certificado digital. Essa individualização poderá ser pelo CPF ou outro
indexador viável entre os sistemas;
.......................................................................................................................................
3.3.2 ....................................................................................................................
a)...........................................................................................................................
b) solicitação, por meio eletrônico, assinada digitalmente com o uso de
certificado ICP-Brasil válido, do tipo A3 ou superior, cujo certificado requisitado seja do
mesmo nível de segurança ou inferior; ou
c) por meio de videoconferência, conforme procedimentos e requisitos
técnicos definidos em Instrução Normativa da AC Raiz, os quais deverão assegurar nível
de segurança equivalente à forma presencial, garantindo a validação das mesmas
informações de identificação e biométricas, mediante o emprego de tecnologias
eletrônicas seguras de comunicação, interação, documentação e tratamento biométrico.
3.3.2.1 Para certificados de aplicações específicas que utilizem URL, a AC poderá
implementar mecanismos automatizado de gerenciamento de certificado (ACME) de forma
a preservar a posse ou propriedade da URL (domínio) e a identificação do solicitante, seja
pessoa física ou jurídica. O processo automatizado implica as seguintes etapas:
a) .......................................................................................................................
b) a requisição deverá ser acompanhada do certificado da URL solicitada,
ainda válido, e o conjunto (requisição + certificado da URL) deve ser assinado com
certificado ICP-Brasil, no mínimo do tipo A3, do responsável pelo domínio;
......................................................................................................................................
4.1 ......................................................................................................................
......................................................................................................................................
c) um termo de titularidade assinado digitalmente pelo titular do certificado
ou pelo responsável pelo certificado, no caso de certificado de pessoa jurídica, conforme
o adendo referente ao TERMO DE TITULARIDADE [4] específico, e, ainda, quando emissão
para servidor público da ativa e militar da União, Estados e Distrito Federal pela
autoridade designada formalmente pelos órgãos competentes;
d) o disposto na alínea 'b' e a assinatura do termo de titularidade, no caso de
AR ELETRÔNICA, por se tratar de procedimento automatizado, sem intervenção de agente
de registro, serão regulamentados por Instrução Normativa da AC Raiz; e
e) que na impossibilidade técnica de assinatura digital do termo de
titularidade (como certificados de equipamento, aplicação, carimbo de tempo e outros
que façam uso de CSR) será aceita a assinatura manuscrita do termo ou assinatura digital
do termo com o certificado ICP-Brasil do titular do certificado ou responsável pelo
certificado, no caso de certificado de pessoa jurídica. No caso de assinatura manuscrita
do termo
será necessária
a verificação
da assinatura
contra o
documento de
identificação.
4.1.1 ...................................................................................................................
......................................................................................................................................
4.9.1.4. A DPC deve observar que todo certificado deverá ter a sua validade
verificada, na respectiva LCR ou OCSP, antes de ser utilizado.
4.9.1.5 ...............................................................................................................
.....................................................................................................................................
4.9.7.4 Caso sejam utilizadas frequências de emissão de LCR específicas para as
PCs implementadas, as mesmas devem ser descritas nessas PCs, no item correspondente.
4.9.8 ...................................................................................................................
......................................................................................................................................
5.2.1.3 Todos os operadores do sistema de certificação da AC deverão receber
treinamento específico antes de obter qualquer tipo de acesso. O tipo e o nível de acesso
serão determinados, em documento formal, com base nas necessidades de cada perfil.
5.2.1.4................................................................................................................
.....................................................................................................................................
5.4.1.1 A AC responsável pela DPC deverá registrar em arquivos de auditoria
todos os eventos relacionados à segurança do seu sistema de certificação. Entre outros,
os seguintes eventos deverão obrigatoriamente estar incluídos em arquivos de
auditoria:
.....................................................................................................................................
l) Operações de escrita nesse repositório, quando aplicável.
5.4.1.2.................................................................................................................
......................................................................................................................................
6.2.4.3 A AC não poderá manter cópia de segurança de chave privada de
titular de certificado de assinatura digital por ela emitido.
6.2.5 Arquivamento de chave privada
6.2.5.1 Não devem ser arquivadas chaves privadas de assinatura digital.
......................................................................................................................................
6.3.2.1 ................................................................................................................
6.3.2.2 Cada PC implementada pela AC responsável deve definir o período máximo
de validade do certificado que define, com base nos requisitos aplicáveis estabelecidos pelo
documento REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL [7].
6.3.2.3 A validade admitida para certificados de AC é limitada à validade do
certificado da AC que o emitiu, desde que mantido o mesmo padrão de algoritmo para
a geração de chaves assimétricas implementado pela AC hierarquicamente superior.
.......................................................................................................................................
7.1 Perfil do certificado
Todos os certificados emitidos pela AC responsável deverão estar em
conformidade com o formato definido pelo padrão ITU X.509 ou ISO/IEC 9594-8, de
acordo com o perfil estabelecido na RFC 5280.
7.1.1 Número de versão
Todos os certificados emitidos pela AC responsável deverão implementar a
versão 3 de certificado definida no padrão ITU X.509, de acordo com o perfil estabelecido
na RFC 5280.
7.1.2 Extensões de certificado
A ICP-Brasil define como obrigatórias as extensões para certificados de AC
conforme especificado na Tabela de Perfis de Certificado e LCR, Anexo I do DOC-ICP-04,
aprovado pela Resolução CG ICP-Brasil nº 179, de 20 de outubro de 2020.
7.1.3....................................................................................................................
......................................................................................................................................
7.1.4 Formatos de nome
7.1.4.1 O nome da AC titular de certificado, constante do campo "Subject",
deverá adotar o "Distinguished Name" (DN) do padrão ITU X.500/ISO 9594, conforme
especificado na Tabela de Perfis de Certificado e LCR, Anexo I do DOC-ICP-04, aprovado
pela Resolução CG ICP-Brasil nº 179, de 20 de outubro de 2020.
7.1.5 Restrições de nome
........................................................................................................................................
7.2.2 Extensões de LCR e de suas entradas
Neste item, a DPC deve descrever todas as extensões de LCR utilizadas pela
AC responsável e sua criticalidade, conforme especificado na Tabela de Perfis de
Certificado e LCR, Anexo I do DOC-ICP-04, aprovado pela Resolução CG ICP-Brasil nº 179,
de 20 de outubro de 2020.
7.3 Perfil de OCSP
.......................................................................................................................................
9.3.3.3 A DPC deve informar que os titulares de certificados emitidos para
pessoas físicas ou os responsáveis pelo uso de certificados emitidos para pessoas
jurídicas, equipamentos ou aplicações, terão as atribuições de geração, manutenção e
sigilo de suas respectivas chaves privadas. Além disso, responsabilizam-se pela divulgação
ou utilização indevidas dessas mesmas chaves.
9.4 Privacidade da informação pessoal
........................................................................................................................................
9.6.1.6 Revogação
A AC irá revogar certificados da ICP-Brasil por qualquer razão especificada nas
normas da ICP-Brasil e nos Princípios e Critérios WebTrust." (NR)
Art. 12. Ficam aprovadas:
I - a versão 7.2 do documento DOC-ICP-03 - Critérios e Procedimentos para
Credenciamento das Entidades Integrantes da ICP-Brasil;
II - a versão 8.2 do documento DOC-ICP-04 - Requisitos Mínimos para as
Políticas de Certificados na ICP-Brasil; e
III - a versão 6.5 do documento DOC-ICP-05 - Requisitos Mínimos para as
Declarações de Práticas de Certificação das Autoridades Certificadoras da ICP-Brasil.
Parágrafo único. A identificação da versão deverá ser atualizada no preâmbulo
e incluída no controle de versões do anexo das respectivas Resoluções.
Fechar