DOU 21/03/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025032100045
45
Nº 55, sexta-feira, 21 de março de 2025
ISSN 1677-7042
Seção 1
independente
Moreira
Associados
Auditores
Independentes
S/S,
baseada
nos
normativos vigentes, denominados DOC-ICP-01 e DOC-ICP-02, e documentos Webtrust,
em conformidade com a Resolução nº 159, de 07 de fevereiro de 2020, referentes ao
período auditado de 09 de setembro de 2023 a 08 de setembro de 2024 (exercício
2024).
§ 1º Os documentos denominados Relatórios de Asseguração Razoável dos
Auditores Independentes, em suas versões em português e inglês, encontram-se
disponibilizados no sítio eletrônico do Instituto Nacional de Tecnologia da Informação
- ITI, https://www.gov.br/iti.
§ 2º O selo Webtrust for Certification Authorities encontra-se disponível
somente por meio do sítio eletrônico do ITI.
Art. 2º Esta Resolução entra em vigor na data de sua publicação.
ENYLSON FLAVIO MARTINEZ CAMOLESI
RESOLUÇÃO CG ICP-BRASIL Nº 214, DE 19 DE MARÇO DE 2025
Delega competência para contratação de empresa de
auditoria independente para auditar o ambiente
operacional da AC Raiz da ICP-Brasil.
O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES
PÚBLICAS BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, §1º, inc. IV, do
Anexo I da Resolução CG-ICP Brasil nº 190, de 18 de maio de 2021 (Regimento Interno),
torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS
BRASILEIRA, no exercício das competências previstas no art. 4º da Medida Provisória nº
2.200-2, de 24 de agosto de 2001, em reunião ordinária, realizada em sessão presencial em
19 de março de 2025, resolveu:
Art. 1º Fica delegada a competência ao Instituto Nacional de Tecnologia da
Informação para contratação de empresa de auditoria independente para auditar o
ambiente operacional da Autoridade Certificadora Raiz - AC Raiz e seus Prestadores de
Serviços de Suporte - PSS segundo as normas e padrões estabelecidos para a Infraestrutura
de Chaves Públicas Brasileira - ICP-Brasil e, ainda, segundo os normativos internacionais
Webtrust for CA (Certificate Authorities).
Art. 2º Esta Resolução entra em vigor na data de sua publicação.
ENYLSON FLAVIO MARTINEZ CAMOLESI
RESOLUÇÃO CG ICP-BRASIL Nº 215, DE 19 DE MARÇO DE 2025
Altera a Resolução CG ICP-Brasil nº 179, de 20 de
outubro de 2020, que dispõe sobre os Requisitos
Mínimos para as Políticas de Certificados na ICP-
Brasil - DOC-ICP-04.
O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES
PÚBLICAS BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, §1º, inc. IV, do
Anexo I da Resolução CG ICP-Brasil nº 190, de 18 de maio de 2021 (Regimento Interno),
torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS
BRASILEIRA, no exercício das competências previstas no art. 4º da Medida Provisória nº
2.200-2, de 24 de agosto de 2001, em reunião ordinária, realizada em sessão presencial em
19 de março de 2025, resolveu:
Art. 1º O Anexo da Resolução CG ICP-Brasil nº 179, de 20 de outubro de 2020,
(DOC-ICP-04) passa a vigorar com as seguintes alterações:
"6.2.4.2 A AC responsável pela PC não poderá manter cópia de segurança de
chave privada de titular de certificado de assinatura digital por ela emitido, salvo nos casos
em que esta é credenciada como PSC." (NR)
"6.2.5........................................................................................
6.2.5.1 Não devem ser arquivadas chaves privadas de assinatura digital.
......................................................................................." (NR)
Art. 2º Fica revogado o item 6.3.2.2 do Anexo da Resolução CG ICP-Brasil nº
179, de 20 de outubro de 2020, (DOC-ICP-04).
Art. 3º Ficam revogados os seguintes dispositivos do Anexo I do DOC-ICP-04,
aprovado pela Resolução CG ICP-Brasil nº 179, de 20 de outubro de 2020:
I - item 8.2 Subject Key Identifier das tabelas de perfil de certificado 1 e 2; e
II - item 8.9 Subject Key Identifier das tabelas de perfil de certificado 3, 5 e 6.
Art. 4º Esta Resolução entra em vigor na data de sua publicação.
ENYLSON FLAVIO MARTINEZ CAMOLESI
RESOLUÇÃO CG ICP-BRASIL Nº 216, DE 19 DE MARÇO DE 2025
Inclui a obrigatoriedade de apresentação de relatório
de auditoria pré-operacional na submissão do pedido
de credenciamento das entidades AC, ACT, PSC e
PSBio.
O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES
PÚBLICAS BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, §1º, inc. IV, do
Anexo I da Resolução CG ICP-Brasil nº 190, de 18 de maio de 2021 (Regimento Interno),
torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS
BRASILEIRA, no exercício das competências previstas no art. 4º da Medida Provisória nº
2.200-2, de 24 de agosto de 2001, em reunião ordinária, realizada em sessão presencial em
19 de março de 2025, resolveu:
Art. 1º O anexo da Resolução CG ICP-Brasil nº 178, de 20 de outubro de 2020,
(DOC-ICP-03) passa a vigorar com as seguintes alterações:
"1.2 ...............................................................................................
......................................................................................................
g) Prestador de Serviço de Certificação - PSCert: qualquer entidade credenciada
para operar na ICP-Brasil, como as Autoridades Certificadoras (ACs); as Autoridades de
Registro (ARs); as Autoridades de Carimbo do Tempo (ACTs), os Prestadores de Serviço de
Suporte (PSSs), os Prestadores de Serviço Biométrico (PSBios), os Prestadores de Serviço de
Confiança de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas (PSCs); ou
entidade vinculada e outros que executem ou determinem a execução de itens de
certificação presentes nos regulamentos da ICP-Brasil." (NR)
" 2.1 ...............................................................................................
.......................................................................................................
c) atender aos requisitos
relativos à qualificação econômico-financeira
estabelecidos, conforme a atividade a ser desenvolvida, nos anexos I, II, III, IV, V e VI;
d) atender às diretrizes e normas técnicas da ICP-Brasil relativas à qualificação
técnica ou contratual, constantes dos documentos relacionados nos Anexos I, II, IV, V e VI,
aplicáveis aos serviços a serem prestados; e
e)
apresentar
relatório
de auditoria
pré-operacional
com
o
conceito
ADEQUADO, realizada por empresa de auditoria devidamente credenciada pelo ITI." (NR)
"2.2.1-A Auditoria pré-operacional
2.2.1-A.1 Ao protocolar a solicitação de credenciamento, o candidato a PSCert
deverá estar em conformidade com todos os requisitos exigidos pelos regulamentos da
ICP-Brasil relacionados à atividade específica que exercerá e o relatório de auditoria pré-
operacional apresentado deve comprovar essa conformidade e atender aos Critérios para
Elaboração de Relatório e Emissão de Parecer de Auditoria na ICP-Brasil, definidos em
Instrução Normativa da AC Raiz.
2.2.1-A.2 A Diretoria de Auditoria, Fiscalização e Normalização examinará a
documentação apresentada e poderá, caso julgue necessário:
a)solicitar vista do material utilizado na auditoria (documentos, registros
históricos e demais elementos materiais que deram subsídios à elaboração do relatório);
b)exigir documentação adicional contendo especificações sobre equipamentos,
produtos de hardware e software, procedimentos técnicos e operacionais adotados pela
candidata;
c)realizar diligências de auditoria por seu quadro próprio; ou
d)arquivar o pedido, caso não seja apresentado o relatório final de auditoria
conforme os Critérios para Elaboração de Relatório e Emissão de Parecer de Auditoria na
ICP-Brasil definidos em Instrução Normativa da AC Raiz.
2.2.1-A.3 Com base no(s) relatório(s) de auditoria e demais documentos
apresentados, a AC Raiz manifestar-se-á sobre o deferimento ou indeferimento da
solicitação de credenciamento.
2.2.1-A.4 Sobre a decisão de indeferimento de solicitação de credenciamento
caberá recurso administrativo da candidata à autoridade competente, observado o
disposto na Lei nº 9.784, de 29 de janeiro de 1999.
2.2.1-A.5 Em até 180 (cento e
oitenta) dias após o deferimento do
credenciamento, a AC Raiz poderá realizar auditoria no PSCert para avaliar a conformidade
dos critérios registrados no item 2.1.
2.2.1-A.5.1 Caso seja constatada qualquer não conformidade em relação aos
requisitos dos regulamentos da ICP-Brasil, o ato de credenciamento poderá ser revogado
mediante despacho fundamentado, garantido o direito de ampla defesa e contraditório."
(NR)
"2.2.2.1.1 ...................................................................................
....................................................................................................
e)comprovante do pagamento da tarifa estabelecida nas DIRETRIZES DA
POLÍTICA TARIFÁRIA DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL [5], no caso de
a credenciada ser AC de nível imediatamente subsequente à AC Raiz;
f) relatório final de auditoria pré-operacional da AC; e
g)se for solicitado o credenciamento de PSS:
i............................................................................." (NR)
"2.2.4.1.1 ...................................................................................
....................................................................................................
d)relatório final de auditoria pré-operacional da ACT; e
e)se for solicitado o credenciamento de PSS:
i............................................................................." (NR)
"2.2.6.1.1 ...................................................................................
....................................................................................................
c)identificação do local onde o PSBio realizará as suas operações e manterá
seus equipamentos, documentação e materiais utilizados;
d)identificação do serviço de diretório ou página web onde se obtêm o arquivo
com a publicação da Política de Segurança - PS e a relação das autoridades certificadoras
credenciadas na ICP
Brasil atendidas pelos serviços biométricos
os quais estão
credenciados junto à ICP Brasil; e
e)relatório final de auditoria pré-operacional do PSBio." (NR)
"2.2.7.1.1 ...................................................................................
....................................................................................................
d)identificação do serviço de diretório ou página web onde se obtêm o arquivo
com a publicação da Política de Segurança - PS; e
e)relatório final de auditoria pré-operacional do PSC." (NR)
"3.1 ...................................................................................
...........................................................................................
a)........................................................................................
...........................................................................................
iv. indício ou fraude comprovada na emissão de certificado por requerente que
apresente documento ou informação falsa, no dia útil imediatamente subsequente à
confirmação do ato, na forma estabelecida em Instrução Normativa da AC Raiz que define
os Procedimentos para Identificação do Requerente e Comunicação de Irregularidade no
Processo de Emissão de Certificado Digital.
b) ...........................................................................................
..............................................................................................." (NR)
Art. 2º O anexo da Resolução CG ICP-Brasil nº 185, de 18 de maio de 2021,
(DOC-ICP-08) passa a vigorar com as seguintes alterações:
"3.1 ....................................................................................
.
E N T I DA D E
.EXECUTOR DA AUDITORIA
. .
.Pré-operacional
.Operacional
.
.AC Raiz
.Comitê Gestor da ICP-Brasil
ou
seus
prepostos,
formalmente designados
.Comitê Gestor da ICP-Brasil
ou
seus
prepostos,
formalmente designados
. .AC de 1º Nível e seus PSS
.Empresa
de
Auditoria
Independente
credenciada
junto ao ITI
.Empresa
de
Auditoria
Independente
credenciada
junto ao ITI
. .AC subsequente e seus PSS .Empresa
de
Auditoria
Independente
credenciada
junto ao ITI
.Empresa
de
Auditoria
Independente
credenciada
junto ao ITI
.
.AC T
.Empresa
de
Auditoria
Independente
credenciada
junto ao ITI
.Empresa
de
Auditoria
Independente
credenciada
junto ao ITI
.
.AR
.AC ou
PSS credenciados
junto ao ITI
Empresa
de
Auditoria
Independente
credenciada
junto ao ITI
.Auditoria
Interna
da
respectiva AR
credenciada
junto ao ITI
AC ou PSS credenciados junto
ao ITI
Empresa
de
Auditoria
Independente
credenciada
junto ao ITI
.
.AR no Exterior
.ITI/DAFN/CGAFI ou, a seu
critério,
AC
ou
PSS
credenciados junto ao ITI
.AC credenciada
junto ao
ITI
Auditoria
Interna
da
respectiva
AR
credenciada
junto ao ITI
Empresa
de
Auditoria
Independente
credenciada
junto ao ITI
.
.PSBio
.Empresa
de
Auditoria
Independente
credenciada
junto ao ITI
.Empresa
de
Auditoria
Independente
credenciada
junto ao ITI
. .PSC de Assinatura Digital e
Armazenamento de Chaves
Criptográficas
.Empresa
de
Auditoria
Independente
credenciada
junto ao ITI
.Empresa
de
Auditoria
Independente,
credenciada
junto ao ITI
3.1.1 ....................................................................................
.............................................................................................." (NR)
Art. 3º O anexo da Resolução CG ICP-Brasil nº 177, de 20 de outubro de 2020,
(DOC-ICP-05) passa a vigorar com as seguintes alterações:
"8.4.2 Neste item da DPC, a AC responsável deve informar que recebeu
auditoria prévia para fins de credenciamento na ICP-Brasil e que é auditada anualmente,
para fins de manutenção do credenciamento, com base no disposto no documento
CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES
INTEGRANTES DA ICP-BRASIL [3]. Esse documento trata do objetivo, frequência e
abrangência das auditorias, da identidade e qualificação do auditor e demais temas
correlacionados." (NR)
Art. 4º O anexo da Resolução CG ICP-Brasil nº 172, de 17 de agosto de 2020,
(DOC-ICP-12) passa a vigorar com as seguintes alterações:
"8.4.2 Neste item da DPCT, a ACT responsável deve informar que recebeu
auditoria prévia para fins de credenciamento na ICP-Brasil e que é auditada anualmente,
para fins de manutenção do credenciamento, com base no disposto no documento
Fechar