|
O
que é assinatura digital?
A
assinatura digital é uma modalidade de assinatura eletrônica,
resultado de uma operação matemática que utiliza algoritmos
de criptografia assimétrica e permite aferir, com segurança,
a origem e a integridade do documento. A assinatura
digital fica de tal modo vinculada ao documento eletrônico
"subscrito" que, ante a menor alteração neste, a assinatura
se torna inválida. A técnica permite não só verificar
a autoria do documento, como estabelece também uma "imutabilidade
lógica" de seu conteúdo, pois qualquer alteração do
documento, como por exemplo a inserção de mais um espaço
entre duas palavras, invalida a assinatura. Necessário
distinguir assinatura digital da assinatura digitalizada.
A assinatura digitalizada é a reprodução da assinatura
autógrafa como imagem por um equipamento tipo scanner.
Ela não garante a autoria e integridade do documento
eletrônico, porquanto não existe uma associação inequívoca
entre o subscritor e o texto digitalizado, uma vez que
ela pode ser facilmente copiada e inserida em outro
documento.
Quais são as características da assinatura digital?
Os atributos da assinatura digital são: a)ser única
para cada documento, mesmo que seja o mesmo signatário;
b)comprovar a autoria do documento eletrônico; c)possibilitar
a verificação da integridade do documento, ou seja,
sempre que houver qualquer alteração, o destinatário
terá como percebê-la; d)assegurar ao destinatário o
"não repúdio" do documento eletrônico, uma vez que,
a princípio, o emitente é a única pessoa que tem acesso
à chave privada que gerou a assinatura.
Quais
as vantagens de se assinar digitalmente um documento
eletrônico?
Garantir
ao destinatário que o documento não foi alterado ao
ser enviado (integridade) e ainda comprovar a autoria
do emitente (autenticidade), enfim, conferir maior grau
de segurança, pois os documentos eletrônicos não assinados
digitalmente têm as características de alterabilidade
e fácil falsificação.
A
assinatura digital confere sigilo ao documento eletrônico?
A
assinatura digital não torna o documento eletrônico
sigiloso, pois ele em si não é cifrado. O sigilo do
documento eletrônico poderá ser resguardado mediante
a cifragem da mensagem com a chave pública do destinatário,
pois somente com o emprego de sua chave privada o documento
poderá ser decifrado. Já a integridade e a comprovação
da autoria são implementadas por meio da assinatura
digital.
O
documento assinado eletronicamente é reconhecido da
mesma forma que um documento assinado de próprio punho?
De
acordo com o art. 10, da MP 2.200-2, "consideram-se
documentos públicos ou particulares, para todos os fins
legais, os documentos eletrônicos de que trata esta
Medida Provisória". No § 1º consta que "as declarações
constantes dos documentos em forma eletrônica produzidos
com a utilização de processo de certificação disponibilizado
pela ICP-Brasil presumem-se verdadeiros em relação aos
signatários, na forma do art. 131, da Lei nº 3.071,
de 1º de janeiro de 1916 - Código Civil". Assim, com
a edição da referida Medida Provisória, os documentos
eletrônicos assinados digitalmente com o uso de certificados
emitidos no âmbito da ICP-Brasil têm a mesma validade
jurídica que os documentos escritos com assinaturas
autógrafas. Importante frisar que os documentos eletrônicos
assinados digitalmente por meio de certificados emitidos
fora do âmbito da ICP-Brasil também têm validade jurídica,
mas esta dependerá da aceitação de ambas as partes,
emitente e destinatário, conforme determina a redação
do § 2º do art. 10 da MP n0 2.200-2.
O
que é criptografia?
Criptografia é um ramo das ciências exatas que tem como
objetivo escrever em cifras. Isso ocorre em função de
um conjunto de operações matemáticos que transformam
um texto claro em um texto cifrado. O emissor do documento
envia o texto cifrado, que será reprocessado pelo receptor,
transformando-o, novamente, em texto claro, igual ao
emitido.
Quais
os tipos de criptografia existentes?
Existem
dois tipos de criptografia: simétrica e assimétrica.
A criptografia simétrica é baseada em algoritmos que
dependem de uma mesma chave, denominada chave secreta,
que é usada tanto no processo de cifrar quanto no de
decifrar o texto. Para a garantia da integridade da
informação transmitida, mister que apenas o emissor
e o receptor conheçam a chave. O problema da criptografia
simétrica é a necessidade de compartilhar a chave secreta
com todos que precisam ler a mensagem, possibilitando
a alteração do documento por qualquer das partes. A
criptografia assimétrica utiliza um par de chaves diferentes
entre si, que se relacionam matematicamente por meio
de um algoritmo, de forma que o texto cifrado por uma
chave, apenas seja decifrado pela outra do mesmo par.
As duas chaves envolvidas na criptografia assimétrica
são denominadas chave pública e chave privada. A chave
pública pode ser conhecida pelo público em geral, enquanto
que a chave privada somente deve ser de conhecimento
de seu titular.
O
que é função hash?
É
uma equação matemática que utiliza o texto do documento
eletrônico para criar um código chamado message digest
(resumo de mensagem). A finalidade da função hash é
agregar agilidade ao processo de transmissão do documento
eletrônico, porquanto a criptografia assimétrica, quando
aplicada em documentos extensos, torna morosa a transmissão.
O
que é um resumo de mensagem (message digest)?
Um
resumo de mensagem é o resultado obtido com a execução
de um texto por meio de um algoritmo hash. Representa,
assim, uma mensagem ou documento de maior extensão,
assemelhando-se a uma "impressão digital" de um documento
maior. O message digest não revela o conteúdo de um
documento, ou seja, mesmo que a pessoa tenha acesso
a ele, não conseguirá visualizar a mensagem original.
O que é certificado digital?
O
certificado digital é um documento eletrônico assinado
digitalmente por uma autoridade certificadora, e que
contém diversos dados sobre o emissor e o seu titular.
A função precípua do certificado digital é a de vincular
uma pessoa ou uma entidade a uma chave pública. Para
adquirir um certificado digital, o interessado deve
dirigir-se a uma Autoridade de Registro, onde será identificado
mediante a apresentação de documentos pessoais (dentre
outros: cédula de identidade ou passaporte, se estrangeiro;
CPF; título de eleitor; comprovante de residência e
PIS/PASEP, se for o caso). É importante salientar que
é indispensável a presença física do futuro titular
do certificado, uma vez que este documento eletrônico
será a sua "carteira de identidade" no mundo virtual.
A emissão de certificado para pessoa jurídica requer
a apresentação dos seguintes documentos: registro comercial,
no caso de empresa individual; ato constitutivo, estatuto
ou contrato social; CNPJ e documentos pessoais da pessoa
física responsável.
Quais
as principais informações que constam em um certificado
digital?
As
principais informações que constam em um certificado
digital são: chave pública do titular; nome e endereço
de e-mail; período de validade do certificado; nome
da AC que emitiu o certificado; número de série do certificado
digital; assinatura digital da AC.
Quais
cuidados se deve ter ao se utilizar a certificação digital?
Primeiramente,
deve-se lembrar que o certificado digital representa
a "identidade" da pessoa no mundo virtual. Assim, é
necessária a adoção de alguns cuidados para se evitar
que outra pessoa, possa praticar negócios jurídicos,
acessar páginas na Internet e realizar transações bancárias
em nome do titular do certificado. Recomendações para
o uso de um certificado digital:
a)
A senha de acesso da chave privada e a própria chave
privada não devem ser compartilhadas com ninguém;
b)
Caso o computador onde foi gerado o par de chaves
criptográficas seja compartilhado com diversos usuários,
não é recomendável o armazenamento da chave privada
no disco rígido, pois todos os usuários terão acesso
a ela, sendo melhor o armazenamento em disquete, smart
card ou token;
c)
Caso a chave privada esteja armazenada no disco rígido
de algum computador, deve-se protegê-lo de acesso
não-autorizado, mantendo-o fisicamente seguro. Nunca
deixe a sala aberta quando sair e for necessário deixar
o computador ligado. Utilize também um protetor de
tela com senha. Cuidado com os vírus de computador,
eles podem danificar sua chave privada;
d)
Caso o software de geração do par de chaves permita
optar entre ter ou não uma senha para proteger a chave
privada, recomenda-se a escolha pelo acesso por meio
de senha. Não usar uma senha significa que qualquer
pessoa que tiver acesso ao computador poderá se passar
pelo titular da chave privada, assinando contratos
e movimentando contas bancárias. Em geral, é bem mais
fácil usar uma senha do que proteger um computador
fisicamente;
e) Utilize uma senha longa, com várias palavras, uma
vez que existem programas com a função de desvendar
senhas. Deve-se evitar o uso de dados pessoais como
nome de cônjuge ou de filhos, datas de aniversários,
endereços, telefones, ou outros elementos relacionados
com a própria pessoa. A senha nunca deve ser anotada,
sendo recomendável sua memorização.
O
que é smart card e token?
São
hardwares portáteis que funcionam como mídias armazenadoras.
Em seus chips são armazenadas as chaves privadas dos
usuários. O acesso às informações neles contidas é feito
por meio de uma senha pessoal, determinada pelo titular.
O smart card assemelha-se a um cartão magnético, sendo
necessário um aparelho leitor para seu funcionamento.
Já o toen assemelha-se a uma pequena chave e requer
a utilização de uma porta USB, localizada, geralmente,
na CPU do computador.
Qual
o papel da Autoridade Certificadora-Raiz?
A Autoridade Certificadora Raiz da cadeia da ICP-Brasil
tem como função básica a execução das políticas de certificados
e normas técnicas e operacionais aprovadas pelo Comitê
Gestor, atuando: na emissão, expedição, distribuição,
revogação e gerenciamento de certificados de autoridades
certificadoras de nível imediatamente inferior ao seu,
chamadas Autoridades Certificadoras Principais; no gerenciamento
da lista de certificados revogados (LCR), emitidos e
vencidos; e na execução, fiscalização e auditoria das
autoridades certificadoras, de registro e prestadoras
de serviço de suporte habilitadas na ICP-BRASIL.
Qual
a estrutura da ICP-Brasil?
A
ICP-Brasil é composta por uma cadeia de autoridades
certificadoras, formada por uma Autoridade Certificadora
Raiz (AC-Raiz), Autoridades Certificadoras (AC) e Autoridades
de Registro (AR) e, ainda, por uma autoridade gestora
de políticas (Comitê Gestor). COMITÊ GESTOR O Comitê
Gestor da ICP-Brasil vincula-se à Casa Civil da Presidência
da República. É composto por cinco representantes da
sociedade civil, integrantes de setores interessados,
e um representante de cada um dos seguintes órgãos:
Ministério da Justiça; Ministério da Fazenda; Ministério
do Desenvolvimento, Indústria e Comércio Exterior; Ministério
do Planejamento, Orçamento e Gestão; Ministério da Ciência
e Tecnologia; Casa Civil da Presidência da República
e Gabinete de Segurança Institucional da Presidência
da República. Compete-lhe, precipuamente, determinar
as políticas a serem executadas pela Autoridade Certificadora-Raiz.
AUTORIDADE CERTIFICADORA RAIZ - AC RAIZ A AC-Raiz da
ICP-Brasil é o Instituto Nacional de Tecnologia da Informação
- ITI, autarquia federal vinculada à Casa Civil da Presidência
da República. AUTORIDADES CERTIFICADORAS - AC As Autoridades
Certificadoras são entidades públicas ou pessoas jurídicas
de direito privado credenciadas à AC-Raiz e que emitem
certificados digitais vinculando pares de chaves criptográficas
ao respectivo titular. Nos termos do art. 60 da MP 2.200/01,
compete-lhes "emitir, expedir, distribuir, revogar e
gerenciar os certificados, bem como colocar à disposição
dos usuários listas de certificados revogados e outras
informações pertinentes e manter registro de suas operações".
AUTORIDADES DE REGISTRO - AR As Autoridades de Registro
também podem ser tanto entidades públicas ou pessoas
jurídicas de direito privado credenciadas pela AC-Raiz
e sempre serão vinculadas operacionalmente a determinada
AC. Nos termos do art. 70 da MP 2.200-2, compete-lhes
"identificar e cadastrar usuários na presença destes,
encaminhar solicitações de certificados às AC e manter
registros de suas operações".
A
AC-Raiz tem acesso à chave privada dos usuários de certificados
digitais?
De acordo com as normas da ICP-Brasil, a Autoridade
Certificadora Raiz e as Autoridades Certificadoras não
têm acesso às chaves privadas dos titulares de certificados
digitais. A MP 2.200-2 determina que o par de chaves
criptográficas seja gerado sempre pelo próprio titular
e que a sua chave privada de assinatura seja de seu
exclusivo controle, uso e conhecimento.
Como
a sociedade participa da ICP-Brasil?
A
comunidade participa da ICP-Brasil por meio do Comitê
Gestor, que inclui em sua composição cinco representantes
da sociedade civil. Essa participação confere ao sistema
caráter democrático e transparente.
Qual
a vantagem para o usuário final de ter um certificado
no âmbito da ICP-Brasil?
Uma
das vantagens é a eficácia jurídica do documento eletrônico
assinado com a utilização de certificado emitido no
âmbito da ICP-Brasil. Com a edição da MP 2.200-2, os
documentos eletrônicos assinados digitalmente com o
uso de certificados emitidos no âmbito da ICP-Brasil
têm a mesma validade jurídica dos documentos escritos
com assinaturas autógrafas. Para os documentos assinados
digitalmente com certificados emitidos fora do âmbito
da ICP-Brasil, a validade jurídica dependerá da aceitação
das partes envolvidas, conforme determina a redação
do § 2º do art. 10 da MP 2.200-2. Por outro lado, as
Autoridades Certificadoras credenciadas são auditadas
pela AC Raiz antes de iniciarem seus serviços. A auditoria
verifica se as exigências das normas da ICP-Brasil são
integralmente cumpridas e só depois são credenciadas.
Após o credenciamento, persiste o dever de as ACs cumprirem
todas as obrigações assumidas. Por fim, ressalta-se
a facilidade de verificação do caminho de certificação.
A parte destinatária do documento eletrônico poderá
verificar o certificado do emitente, o certificado da
AC que emitiu este certificado, da AC de nível superior
e, assim sucessivamente até a verificação do certificado
da AC Raiz, que é auto-assinado, tendo a segurança e
a confiabilidade de toda a cadeia de certificados.
Por
que foi dado tratamento jurídico diverso aos documentos
eletrônicos assinados com a utilização de certificado
emitido no âmbito da ICP-Brasil e fora desta ?
Porque
as autoridades certificadoras credenciadas na ICP-Brasil
tem a obrigação de manter uma lista de todos os certificados
revogados por uma prazo mínimo de 30 anos a contar da
expiração destes certificados. Esta obrigação garante
que a assinatura eletrônica de tais documentos possa
ser conferida, mesmo após a prescrição do direito que
se possa querer provar através deste documento eletrônico.
Quais as aplicações da assinatura digital?
Entre as diversas aplicações possíveis, encontram-se
as seguintes: - comércio eletrônico; - processos judiciais
e administrativos em meio eletrônico; - facilitar a
iniciativa popular na apresentação de projetos de lei,
uma vez que os cidadãos poderão assinar digitalmente
sua adesão às propostas; - assinatura da declaração
de renda e outros serviços prestados pela Secretaria
da Receita Federal; - obtenção e envio de documentos
cartorários; - transações seguras entre instituições
financeiras, como já vem ocorrendo desde abril de 2002,
com a implantação do Sistema de Pagamentos Brasileiro
- SPB; - Diário Oficial Eletrônico; - identificação
de sítios na rede mundial de computadores, para que
se tenha certeza de que se está acessando o endereço
realmente desejado;
Quais
as regras da ICP-Brasil para Autoridade de Registro
(AR)?
A(s)
Autoridades de Registro (ARs) são as responsáveis pelo
processo final na cadeia de Certificação Digital, responsáveis
por atender os interessados em adquirir certificados,
coletar os documentos para encaminhá-los às Autoridades
Certificadoras (ACs), responsáveis pela emissão. A Diretoria
de Auditoria, Fiscalização e Normalização do ITI - Instituto
Nacional de Tecnologia da Informação reuniu as exigências
direcionadas às Autoridades Registradoras (AR), segundo
as resoluções da ICP-Brasil. Trata-se de um guia para
auxiliar no entendimento das exigências para o funcionamento
das ARs.
Os
seguintes itens serão analisados conforme a descrição
contida nas Práticas de Certificação (PC) da AC (Resolução
7):
| Exigência
|
Fundamento
legal
|
| Devem
ser identificadas a(s) ARs utilizadas pela AC. |
Item
1.3.2
|
|
Cumprir as obrigações de uma AR. |
Item 2.1.2
|
| Manter
a conformidade dos seus processos com as normas
estabelecidas pela AC e manter a segurança da informação
por elas tratada, de acordo com o estabelecido nas
normas da ICP-Brasil. |
Item 2.2.2
|
| Relacionar
quais são as indenizações aplicáveis, devidas pela
AR, pelos danos que derem causa. |
Item
2.3.2
|
| A
AC deverá disponibilizar relatórios anuais de auditoria
das AR. |
Item
2.7
|
| Identificar
quais informações são sigilosas. |
Item
2.8.1
|
| Qualquer
liberação de informação somente será permitida mediante
autorização formal do titular do certificado. |
Item 2.8.6
|
|
Indicar os procedimentos para a identificação da
chave privada. |
Item
3.1.7
|
| Confirmação
da identidade de uma pessoa jurídica ou de um indivíduo
mediante a presença física do interessado, com base
em documentos de identificação legalmente aceitos,
acompanhados de cópia. Deverá ser mantido arquivo
com o tipo e os detalhes da identificação utilizada. |
Item 3.1.8 e 3.1.9
|
|
Descrever os procedimentos para identificar o solicitante
de uma revogação de certificado. As solicitações
de revogação devem ser documentadas. |
Item
3.4
|
|
Contrato assinado pelo solicitante que estabeleça
termos e condições aplicados ao uso do certificado. |
Item 4.1
|
|
Descrever os requisitos e procedimentos utilizados
pelas AR para a solicitação de emissão e de revogação
do certificado. |
Itens 4.1 e 4.4
|
| Descrever
o procedimento para a solicitação de revogação de
forma que possa ser feita facilmente e a qualquer
tempo. O solicitante da revogação de um certificado
será identificado; as solicitações de revogação
serão registradas e armazenadas; as justificativas
para a revogação de um certificado serão documentadas.
O prazo máximo admitido para a conclusão do processo
de revogação de certificado de AC, após o recebimento
da solicitação, varia de 18 a 72h conforme o tipo
de certificado. |
Item 4.4.3
|
| Comunicar
ao titular da expiração do seu certificado. |
Item
4.7
|
| Descrever
os procedimentos no caso da extinção de uma AR.
|
Item
4.9
|
Os
seguintes itens serão analisados conforme a descrição
contida na DPC da AC (Resolução 8):
| Exigência
|
Fundamento
legal
|
| Devem
ser identificadas as AR utilizadas pela AC, e a
DPC deve ser atualizada quando houver alteração
no conjunto de AR. |
Item
1.3.2
|
| Cumprir
as obrigações de uma AR. |
Item
2.1.2
|
| Manter
a conformidade dos procedimentos com as normas estabelecidas
pela AC e manter a segurança da informação por elas
tratada, de acordo com o estabelecido nas normas
da ICP-Brasil. A AC responderá solidariamente pelos
atos das AR. |
Item
2.2.2
|
| Relacionar
quais são as indenizações aplicáveis, devidas pela
AR, pelos danos que derem causa. |
Item
2.3.2
|
| Identificar
quais informações são sigilosas. |
Item
2.8.1
|
| Qualquer
liberação de informação somente será permitida mediante
autorização formal do titular do certificado. As
formas de apresentação dessa autorização devem ser
definidas pela DPC. |
Item
2.8.6
|
|
Indicar os procedimentos para a identificação da
chave privada. |
Item
3.1.7
|
| Confirmação
da identidade de uma pessoa jurídica ou de um indivíduo
mediante a presença física do interessado, com base
em documentos de identificação legalmente aceitos.
Deverá ser mantido arquivo com o tipo e os detalhes
da identificação utilizada. |
Item 3.1.8 e 3.1.9
|
| Descrever
os procedimentos para identificar o solicitante
de uma revogação de certificado. As solicitações
de revogação devem ser documentadas. |
Item
3.4
|
|
Contrato assinado pelo solicitante que estabeleça
termos e condições aplicados ao uso do certificado.
|
Item
4.1
|
| Descrever
os requisitos e procedimentos utilizados pelas AR
para a solicitação de emissão e de revogação do
certificado. |
Itens
4.1 e 4.4
|
| A
AC deverá garantir que a solicitação de revogação
dos certificados possa ser feita facilmente e a
qualquer tempo. |
Item 4.4.3
|
| Solicitações
de certificados e de revogação de certificados são
tipos de registros que deverão ser arquivados conforme
critérios de arquivamento de registros descritos.
|
Item
4.6
|
| Comunicar
ao titular da expiração do seu certificado. |
Item
4.7
|
| Descrever
os procedimentos no caso da extinção de uma AR.
|
Item
4.9
|
| Descrever
os controles físicos referentes às instalações que
abrigam os sistemas das AR vinculadas, inclusive
os aspectos de construção relevantes para os controles
de segurança física. |
Item
5.1.1
|
| Descrever
os controles de pessoal, referentes a aspectos como:
verificação de antecedentes e idoneidade, treinamento
e reciclagem profissional, rotatividade de cargos,
sanções por ações não autorizadas, controles para
contratação e documentação a ser fornecida. |
Item 5.3
|
Os
seguintes itens devem constar de um novo documento que
descreva as AR em relação à PS (Resolução 2):
| Exigência
|
Fundamento
legal
|
|
Todos os empregados, necessários à proteção dos
ativos das entidades participantes da ICP-Brasil
devem ser submetidos à pesquisa do histórico de
sua vida pública; entrevista de admissão, realizada
por profissional qualificado; avaliação psicológica,
realizada por profissional qualificado e avaliação
periódica de desempenho da função, a ser realizada
pela sua chefia imediata. |
Itens
7.1 a 7.3
|
| Deve
ser definido um processo pelo qual será apresentada
aos empregados, servidores e prestadores de serviço
a Política de Segurança da Informação e suas normas
e procedimentos relativos ao trato de informações
e/ou dados sigilosos, com o propósito de desenvolver
e manter uma efetiva conscientização de segurança,
assim como instruir o seu fiel cumprimento. |
Item
7.3.8
|
| Todos
os ativos de informações deverão ter claramente
definidos os responsáveis pelo seu uso. |
Item
7.4.3.2
|
| O
inventário de todo o conjunto de ativos de processamento
deve ser registrado e mantido atualizado, no mínimo,
mensalmente. |
Item 8.2.12
|
| As
estações de trabalho, incluindo equipamentos portáteis
ou stand alone, e informações devem ser protegidos
contra danos ou perdas, bem como acesso, uso ou
exposição indevidos. |
Item 9.3.5.2
|
| As
informações armazenadas em meios eletrônicos devem
ser protegidas contra danos, furtos ou roubos, devendo
ser adotados procedimentos de backup. |
Item
9.3.5.4
|
| Os
sistemas em uso devem solicitar nova autenticação
após certo tempo de inatividade da sessão (time-out). |
Item 9.3.5.11
|
| Os
procedimentos de combate a processos destrutivos
(vírus, cavalo-de-tróia e worms) devem estar sistematizados
e devem abranger máquinas servidoras, estações de
trabalho, equipamentos portáteis e microcomputadores
stand alone. |
Item 9.3.6
|
| Explanação
do gerenciamento de riscos no que se refere às AR,
revisada a cada 18 meses. |
Item
12 e 6.2
|
| Plano
de continuidade do negócio, no que se refere às
AR, testado, pelo menos uma vez por ano. |
Item 13 e 6.4.1
|
Outros
documentos que devem ser enviados como parte da documentação
de uma AR:
Modelo
do termo de titularidade ou contrato assinado pelo responsável
pelo certificado; Descrição dos procedimentos utilizados
pela AR para a identificação do solicitante e validação
dos seus documentos.
Observações:
A inclusão ou exclusão de endereços de instalações
técnicas deve ser informada ao ITI e seguir os critérios
e procedimentos para credenciamento na ICP-Brasil, conforme
resolução 6. Os postos de AR credenciados, e após autorização
de funcionamento pela AC Raiz, devem ser disponibilizados
em endereço web declarado na DPC e na PC.
Quais
as estratégias de fiscalização para ARs?
Será
adotada a seguinte estratégia de auditoria e fiscalização,
respaldada pelos artigos 3º e 4º da Resolução CG ICP-Brasil
nº 26, de 24 de outubro de 2003.
CREDENCIAMENTO
INICIAL DE AUTORIDADE DE REGISTRO
No
caso de solicitação de credenciamento para o início
das atividades como Autoridade de Registro (pessoa jurídica)
a interessada deverá postular o seu credenciamento de
acordo com a Resolução do CG ICP-Brasil nº 6, de 22
de novembro de 2001, e suas alterações, e se submeter
à auditoria pré-operacional pelo ITI.
NOVOS
POSTOS DE AR JÁ CREDENCIADA (Novo endereço técnico)
A
Autoridade de Registro já credenciada na ICP-Brasil
poderá abrir novos endereços de instalações técnicas
desde que encaminhe à Autoridade Certificadora Raiz,
por intermédio da cadeia de Autoridades Certificadoras
operacionalmente vinculadas, solicitação de funcionamento
acompanhada dos seguintes documentos:
a)
formulário constante dos itens 1 e 2 do Anexo II-A
da Resolução do CG ICP-Brasil nº 6, de 22 de novembro
de 2001, indicando os novos endereços;
b)
indicação dos procedimentos que serão adotados quanto
aos aspectos de segurança e operacionais;
c)
relação das pessoas responsáveis por cada um dos novos
postos da AR.
Estando
a documentação regular, a AC Raiz realizará auditoria
nas instalações técnicas por amostragem e, se for o
caso, autorizará o funcionamento dos novos postos mediante
intimação da solicitante, que a partir desse momento
disponibilizará os novos endereços em seu sítio.
A
equipe de auditoria poderá, a qualquer tempo, verificar
a conformidade dos procedimentos e atividades dos postos
das Autoridades de Registro autorizados com as práticas
e regras estabelecidas pelo CG ICP-Brasil.
Constatada
qualquer irregularidade em uma das instalações técnicas,
a AC Raiz cassará imediatamente a autorização de funcionamento
desse posto e verificará a conformidade dos procedimentos
de qualquer outro posto da mesma AR. Verificando-se
mais uma vez irregularidades, todos os postos que adotarem
os mesmos procedimentos também terão sua autorização
cassada.
POSTOS PROVISÓRIOS DE INSTALAÇÕES TÉCNICAS (Congressos,
Eventos, Feiras, entre outros)
A
Autoridade de Registro já credenciada na ICP-Brasil
poderá, ainda, abrir postos provisórios de instalações
técnicas, desde que encaminhe à Autoridade Certificadora
Raiz, por intermédio da cadeia de Autoridades Certificadoras
operacionalmente vinculadas, solicitação de funcionamento,
com no mínimo 10 (dez) dias de antecedência, acompanhada
dos seguintes documentos:
a)
formulário constante do Anexo II-B da Resolução CG
ICP-Brasil nº 6, de 22 de novembro de 2001;
b)
indicação dos procedimentos que serão adotados quanto
aos aspectos de segurança e operacionais;
c)
indicação da pessoa responsável pelo posto provisório;
d)
relação dos agentes de registro que trabalharão no
posto provisório.
Estando
a documentação regular, a AC Raiz autorizará o funcionamento
do posto provisório mediante intimação da solicitante.
Cabe
ressaltar que é sempre obrigatório informar à AC Raiz
a ocorrência, tanto da abertura de novos postos de registro,
quanto do encerramento do funcionamento de qualquer
um.
Voltar
|
