DOU 25/04/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025042500218
218
Nº 78, sexta-feira, 25 de abril de 2025
ISSN 1677-7042
Seção 1
Art. 18. Esta fase culmina com a apresentação do Relatório Preliminar de
Auditoria pelo auditor, sendo comunicadas as não conformidades encontradas durante o
processo de auditoria nas Fases 1 e 2.
Art. 19. Para a apresentação desse relatório, devem estar presentes, por
parte da entidade auditada, os
responsáveis técnicos e representantes legais do PSCert.
Fase 3 - Elaboração do Relatório Final de Auditoria - RFA
Art. 20. O Relatório Final de Auditoria é um documento que, depois de
preenchido, deverá ter a classificação da informação adequada à criticidade do seu
conteúdo e deverá ser elaborado de acordo com o ADE-ICP-08.I - Modelo e Requisitos
para a Elaboração do Relatório Final de Auditoria, disponível no site do ITI.
Art. 21. O Relatório Final de Auditoria deve ser distribuído, no mínimo, às
seguintes autoridades:
I- entidade auditada;
II- Autoridades Certificadoras hierarquicamente vinculadas; e
III- Instituto Nacional de Tecnologia da Informação - ITI.
Parágrafo único. O RFA enviado ao ITI deverá ser acompanhado da Lista de
Verificação de Conformidade
e da Declaração de não Impedimento, na forma do Apêndice B do ADE-ICP-
08.I.
Art. 22. Não será emitido relatório de auditoria operacional para o Prestador
de Serviço de Suporte - PSS.
Art. 23. Nas auditorias operacionais nas ACs, o relatório de auditoria deverá
informar em item destacado se são atendidos os critérios de realização de auditorias
operacionais nas ARs subordinadas e se são adotados controles para acompanhamento
daquelas auditorias.
Art. 24. No relatório de auditoria constará, em parágrafo destacado, o
conceito geral do PSCert atribuído pelo auditor ao auditado e os motivos que levaram
à referida conceituação. A opinião do auditor será registrada no Relatório Final de
Auditoria, que poderá ser: Adequado; Aceitável; Deficiente; Inadequado ou Inaceitável.
Emissão do Parecer de auditoria
Art. 25. Na emissão do Parecer de auditoria e na conclusão no Relatório Final
de Auditoria será utilizado
o Conceito sobre o PSCert auditado, conforme a tabela a seguir:
. .Conceito
.Parecer
.Situação
.
.1
.Adequado
.Ausência de não conformidades
.
.2
.Aceitável
.Média da avaliação dos riscos considerada baixa
.
.3
.Deficiente
.Média da avaliação dos riscos considerada média
.
.4
.Inadequado
.Média da avaliação dos riscos considerada alta
.
.5
.Inaceitável
.Média da avaliação dos riscos considerada crítica
§ 1º A média aritmética é o somatório dos riscos encontrados nos controles
que apresentaram inconformidade, dividido pela respectiva quantidade de controles que
apresentaram não conformidade.
§ 2º Havendo dúvida quanto
ao enquadramento, pelo princípio do
conservadorismo, será adotado o
conceito de maior valor numérico (mais crítico).
§ 3º O conceito "Adequado" é aplicável somente nos casos em que não
foram detectadas não
conformidades durante as avaliações e verificações no decorrer da
auditoria.
Critérios para aplicação dos conceitos
Art. 26. A atribuição do conceito geral do PSCert, que constará do relatório
de auditoria, reGetirá a opinião do auditor sobre o nível de risco a que o PSCert estiver
exposto. Para auxiliar nesta atribuição de conceito, o auditor poderá se valer do valor
médio das não conformidades encontradas, que não poderá prevalecer sobre a opinião
do auditor.
Parágrafo único. Toda vez que
os conceitos forem modificados em
decorrência da convicção do auditor, o relatório de auditoria destacará a situação de
forma fundamentada, cujas evidências deverão ser anexadas ao relatório destinado ao
ITI.
Art. 27. A atribuição da criticidade de cada não conformidade é de
responsabilidade do auditor, que deve se basear na metodologia adotada, confrontada
com as condições identificadas, dentro do contexto auditado.
Art. 28. A criticidade das não conformidades são classificadas como:
I - Risco crítico:
certificado
emitido
com
tamanho
de
chave
inferior
ao
mínimo
estabelecido;
b) inexistência de LCR;
c) intervalo de tempo sem LCR;
d) LCR sem conteúdo; e
e) LCR com campo errado ou incorreto.
f) ausência de cobertura de seguro de responsabilidade civil;
g) ausência de realização de auditoria operacional anual;
h) qualquer ato intencional de omissão ou manipulação de dados, alteração
de documentos ou
registros eletrônicos, ou qualquer ato que possa ser enquadrado como
fraude;
i) fraudes relacionadas à identificação do titular do certificado;
j) vulnerabilidade em ambiente lógico de segurança de rede;
k) ausência de sincronismo de tempo entre os servidores e a Fonte Confiável
do Tempo - FCT;
l) uso de algoritmo de criptografia diferente do estabelecido nas normas;
m) ausência de testes de restauração de cópia de segurança de base de
dados, de logs, de LCR e de
certificados digitais;
n) falhas nos sistemas de controle de acesso físico e lógico aos recursos de
AC ;
o) ausência de sincronismo dos aplicativos de AC entre os sítios principal e
de contingência da AC;
p) falha de integridade das aplicações e bases de dados da AC;
q) uso compartilhado de equipamento computacional entre Autoridades de
Registro;
r) Autoridade de Registro sem sede administrativa em território nacional; e
s) ausência de Agente de Registro ou equipamento computacional para
operação da Autoridade de Registro.
I - Risco alto:
I falha no dossiê de certificado emitido, quanto a documentação, poderes e
assinatura;
b) erros ou falhas em campos de certificados emitidos;
c) erros ou falhas em campos de LCR emitidas;
d) falha na apresentação de certidões de pessoal vinculado ao PSCert;
falha na manutenção de sistemas de ar-condicionado, sistema elétrico e de
combate a incêndio que
comprometa as atividades do sítio principal e de contingência da AC;
f) falha na identificação de equipamentos que se conectam à solução de
certificação digital da AC;
g) ausência de testes de funcionamento do sítio de contingência;
h) ausência de testes de recuperação de cópia de segurança de LCR, logs de
aplicativos e bases de dados;
i) ausência ou deficiências nos procedimentos de testes de vulnerabilidade de
rede;
j) ausência ou falhas na monitoração de ocorrências registradas em logs;
k) ausência de licença de software proprietário de terceiros; e
l) compartilhamento de rede de internet com outra empresa ou AR. III - Risco
médio:
a)falha relacionada à habilitação jurídica,
à regularidade fiscal ou à
qualificação econômico-financeira
do PSCert;
b) falha no processo de treinamento de pessoal do PSCert;
c) falha no processo de avaliação do pessoal do PSCert;
d) falha no sistema de gravação de imagens de CFTV;
e) falha nos procedimentos de desligamento de empregados do PSCert,
mesmo que sem desligamento da empresa responsável pelo PSCert; e
f)
ausência
de
comprovante de
posse/propriedade
dos
equipamentos
computacionais e equipamentos biométricos.
I- Risco baixo:
a) falha em inventário de ativos.
Parágrafo único.
Outras não conformidades
podem ser
associadas às
criticidades de risco elencadas, a
critério do auditor.
Art. 29. Para estabelecimento do nível do risco de uma não conformidade
será utilizada ferramenta de avaliação do risco, pelo menos com a utilização da matriz
impacto versus probabilidade, onde:
Impacto
.
.Médio
.Alto
.Crítico
.
.Baixo
.Médio
.Alto
.
.Baixo
.Baixo
.Médio
Probabilidade
§ 1º Os valores a serem atribuídos aos eixos serão sempre em múltiplos de
3 (0 a 3; 0 a 6; 0 a 9; etc.), sempre em ordem crescente de exposição. Por exemplo,
se adotada a escala de 0 a 9 teríamos a gradação de zero = sem qualquer impacto, até
nove = impacto máximo possível.
§ 2º Poderá ser utilizada outra metodologia para atribuição do nível do risco,
desde que faça parte da documentação aprovada no credenciamento, evidenciada sua
aplicação de forma sistematizada pela entidade de auditoria.
Pós auditoria
Art. 30. Caso o relatório de
auditoria contenha uma ou mais não
conformidades não corrigidas durante a auditoria, o PSCert deve encaminhar à entidade
a qual está subordinado, em até dez dias, o plano de ação para regularização das não
conformidades.
§ 1º A resolução definitiva das não conformidades não pode ultrapassar
noventa dias, a partir da data do
Relatório de Auditoria.
§ 2º As ACs de 1º e de 2º nível deverão encaminhar ao ITI, na primeira
quinzena de janeiro
e de julho, relatório consolidado
do acompanhamento da
regularização das não conformidades de suas entidades diretamente vinculadas.
CAPÍTULO V DISPOSIÇÕES FINAIS
Art. 31. As entidades relacionadas no art. 2º terão o prazo de até quarenta
e cinco dias, contado a partir
da publicação deste Regulamento, para adequação aos seus requisitos.
Art. 32. A realização de
auditorias operacionais em Autoridades de
Certificadoras terá o prazo de até 1º de janeiro de 2026 para adequação ao disposto no
§ 3º do art. 17.
Art. 33. A partir de 1º de janeiro de 2026, a realização de auditorias
operacionais em Autoridade de Registro deverá atender ao disposto nos §§ 1º e 2º do
art. 16.
Art. 34. A partir de noventa dias da data de publicação deste regulamento,
somente serão admitidos
pedidos de credenciamento de AR
cujos relatórios de auditoria pré-
operacional obedeçam ao disposto no
§ 3º do art. 16.
Art. 35. Fica revogada a Instrução Normativa ITI nº 06, de 20 de maio de
2021. Art. 36. Esta Instrução Normativa entra em vigor na data de sua publicação.
ENYLSON FLÁVIO MARTINEZ CAMOLESI
SECRETARIA DE COORDENAÇÃO E GOVERNANÇA DAS EMPRESAS
ES T AT A I S
PORTARIA SEST/MGI Nº 3.066, DE 24 DE ABRIL DE 2025
Aprova
o quantitativo
de
pessoal próprio
da
Telecomunicações Brasileiras S.A. (Telebrás)
A SECRETÁRIA DE COORDENAÇÃO E GOVERNANÇA DAS EMPRESAS ESTATAIS, DO
MINISTÉRIO DA GESTÃO E DA INOVAÇÃO EM SERVIÇOS PÚBLICOS, no uso de suas
atribuições, considerando o disposto no Anexo I, art. 39, inciso VI, alínea "h", item 1, do
Decreto nº 12.102, de 8.7.2024, resolve:
Art. 1º Fixar o limite para o quadro de pessoal próprio da Telecomunicações
Brasileiras S.A. (Telebrás) em 435 (quatrocentas e trinta e cinco) vagas, conforme quadro
abaixo:
.
.Quadro Permanente
(quantitativo de empregados)
.Quadro
Transitório
de
empregados
cedidos
.Quadro
Total
.
.406
.29
.435
Parágrafo único: As vagas destinadas aos empregados do quadro transitório,
cujo quantitativo está especificado nesta Portaria como "Quadro Transitório de empregados
cedidos", deverão ser extintas ao término dos contratos de seus atuais ocupantes.
Art. 2º Para fins de controle do limite do quantitativo de pessoal das empresas
são considerados:
I. os empregados efetivos admitidos por concurso público;
II. os empregados efetivos admitidos
sem concurso público antes de
5.10.1988;
III. os empregados que possuem cargos, empregos ou funções comissionadas;
IV. os empregados que estão cedidos ou disponibilizados para outros órgãos ou
entidades;
V. os empregados cedidos ou requeridos de outros órgãos ou entidades;
VI. os empregados anistiados com base na Lei nº 8.878, de 11.5.1994;
VII. os empregados readmitidos e reintegrados;
VIII. os empregados contratados por prazo determinado (temporários);
IX. os empregados ou servidores movimentados para compor força de trabalho
conforme disposto no § 7º do art. 93 da Lei nº 8.112, de 11.12.1990; e
X. os empregados com contrato de trabalho interrompido ou suspenso, à
exceção dos empregados com contrato de trabalho suspenso por motivo de aposentadoria
por invalidez.
Art. 3º Compete à Telebrás gerenciar o seu quadro de pessoal próprio,
praticando atos de gestão para contratar ou desligar empregados, desde que observado o
limite estabelecido no art. 1º, as dotações orçamentárias aprovadas para cada exercício,
bem como as demais normas legais pertinentes.
Art. 4º Fica revogada a Portaria SEST/ME Nº 4.234, de 14 de abril de 2021,
publicada no DOU Seção 1, página 531, em 15 de abril de 2021, que aprovava o
quantitativo de pessoal próprio da empresa Telecomunicações Brasileiras S.A. - Telebrás.
Art. 5º Esta Portaria entra em vigor na data de sua publicação.
ELISA VIEIRA LEONEL
Fechar