DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO AUTORIDADE CERTIFICADORA CAIXA (DPC AC CAIXA)

Transcrição

1 Declaração de Práticas de Certificação DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO DA AUTORIDADE CERTIFICADORA CAIXA (DPC AC CAIXA) 17 de abril de 2015

2 Declaração de Práticas de Certificação Controle de Alterações Versão Data Motivo Descrição /04/15 Alteração do endereço do sítio da internet de Certificação Digital na CAIXA. Expiração da cadeia v1 em 31/12/2014. Os itens , , , , tiveram seus endereços de internet alterados para: Exclusão de informações da cadeia v1 nos itens , , , 6.2, , 6.8.1, de abril de 2015 Página 2

3 ÍNDICE 1. INTRODUÇÃO VISÃO GERAL IDENTIFICAÇÃO COMUNIDADE E APLICABILIDADE AUTORIDADES CERTIFICADORAS AUTORIDADES DE REGISTRO PRESTADOR DE SERVIÇO DE SUPORTE TITULARES DE CERTIFICADO APLICABILIDADE DADOS DE CONTATO INSTITUIÇÃO UNIDADE PARA SUPORTE DISPOSIÇÕES GERAIS OBRIGAÇÕES E DIREITOS OBRIGAÇÕES DA AC CAIXA: OBRIGAÇÕES DAS ARS VINCULADAS À AC CAIXA OBRIGAÇÕES DO TITULAR DO CERTIFICADO DIREITOS DA TERCEIRA PARTE (RELYING PARTY) OBRIGAÇÕES DO REPOSITÓRIO RESPONSABILIDADES RESPONSABILIDADES DA AC CAIXA RESPONSABILIDADES DA AR RESPONSABILIDADE FINANCEIRA INDENIZAÇÕES DEVIDAS PELA TERCEIRA PARTE (RELYING PARTY) RELAÇÕES FIDUCIÁRIAS PROCESSOS ADMINISTRATIVOS INTERPRETAÇÃO E EXECUÇÃO LEGISLAÇÃO FORMA DE INTERPRETAÇÃO E NOTIFICAÇÃO PROCEDIMENTOS DE SOLUÇÃO DE DISPUTA de abril de 2015 Página 3

4 2.5. TARIFAS DE SERVIÇO TARIFAS DE EMISSÃO E RENOVAÇÃO DE CERTIFICADOS TARIFAS DE ACESSO AO CERTIFICADO TARIFAS DE REVOGAÇÃO OU DE ACESSO A INFORMAÇÃO DE STATUS TARIFAS PARA OUTROS SERVIÇOS POLÍTICA DE REEMBOLSO PUBLICAÇÃO E REPOSITÓRIO PUBLICAÇÃO DE INFORMAÇÃO DA AC CAIXA FREQÜÊNCIA DE PUBLICAÇÃO CONTROLES DE ACESSO REPOSITÓRIOS FISCALIZAÇÃO E AUDITORIA DE CONFORMIDADE SIGILO DISPOSIÇÕES GERAIS TIPOS DE INFORMAÇÕES SIGILOSAS TIPOS DE INFORMAÇÕES NÃO SIGILOSAS DIVULGAÇÃO DE INFORMAÇÃO DE REVOGAÇÃO OU SUSPENSÃO DE CERTIFICADO QUEBRA DE SIGILO POR MOTIVOS LEGAIS INFORMAÇÕES A TERCEIROS DIVULGAÇÃO POR SOLICITAÇÃO DO TITULAR OUTRAS CIRCUNSTÂNCIAS DE DIVULGAÇÃO DE INFORMAÇÃO DIREITOS DE PROPRIEDADE INTELECTUAL IDENTIFICAÇÃO E AUTENTICAÇÃO REGISTRO INICIAL DISPOSIÇÕES GERAIS TIPOS DE NOMES NECESSIDADE DE NOMES SIGNIFICATIVOS REGRAS PARA INTERPRETAÇÃO DE VÁRIOS TIPOS DE NOMES UNICIDADE DE NOMES PROCEDIMENTO PARA RESOLVER DISPUTA DE NOMES de abril de 2015 Página 4

5 RECONHECIMENTO, AUTENTICAÇÃO E PAPEL DE MARCAS REGISTRADAS MÉTODO PARA COMPROVAR A POSSE DE CHAVE PRIVADA AUTENTICAÇÃO DA IDENTIDADE DE UM INDIVÍDUO AUTENTICAÇÃO DA IDENTIDADE DE UMA ORGANIZAÇÃO AUTENTICAÇÃO DA IDENTIDADE DE EQUIPAMENTO OU APLICAÇÃO GERAÇÃO DE UM NOVO PAR DE CHAVES ANTES DA EXPIRAÇÃO DO ATUAL GERAÇÃO DE UM NOVO PAR DE CHAVES APÓS EXPIRAÇÃO OU REVOGAÇÃO SOLICITAÇÃO DE REVOGAÇÃO REQUISITOS OPERACIONAIS SOLICITAÇÃO DE CERTIFICADO EMISSÃO DE CERTIFICADO ACEITAÇÃO DE CERTIFICADO SUSPENSÃO E REVOGAÇÃO DE CERTIFICADO CIRCUNSTÂNCIAS PARA REVOGAÇÃO QUEM PODE SOLICITAR REVOGAÇÃO PROCEDIMENTO PARA SOLICITAÇÃO DE REVOGAÇÃO PRAZO PARA SOLICITAÇÃO DE REVOGAÇÃO CIRCUNSTÂNCIAS PARA SUSPENSÃO QUEM PODE SOLICITAR SUSPENSÃO PROCEDIMENTO PARA SOLICITAÇÃO DE SUSPENSÃO LIMITES NO PERÍODO DE SUSPENSÃO FREQÜÊNCIA DE EMISSÃO DE LCR REQUISITOS PARA VERIFICAÇÃO DE LCR DISPONIBILIDADE PARA REVOGAÇÃO OU VERIFICAÇÃO DE STATUS ON-LINE REQUISITOS PARA VERIFICAÇÃO DE REVOGAÇÃO ON-LINE OUTRAS FORMAS DISPONÍVEIS PARA DIVULGAÇÃO DE REVOGAÇÃO REQUISITOS PARA VERIFICAÇÃO DE OUTRAS FORMAS DE DIVULGAÇÃO DE REVOGAÇÃO REQUISITOS ESPECIAIS PARA O CASO DE COMPROMETIMENTO DE CHAVE PROCEDIMENTOS DE AUDITORIA DE SEGURANÇA TIPOS DE EVENTOS REGISTRADOS de abril de 2015 Página 5

6 FREQÜÊNCIA DE AUDITORIA DE REGISTROS (LOGS) PERÍODO DE RETENÇÃO PARA REGISTROS (LOGS) DE AUDITORIA PROTEÇÃO DE REGISTRO (LOG) DE AUDITORIA PROCEDIMENTOS PARA CÓPIA DE SEGURANÇA (BACKUP) DE REGISTRO (LOG) DE AUDITORIA SISTEMA DE COLETA DE DADOS DE AUDITORIA NOTIFICAÇÃO DE AGENTES CAUSADORES DE EVENTOS AVALIAÇÕES DE VULNERABILIDADE ARQUIVAMENTO DE REGISTROS TROCA DE CHAVE COMPROMETIMENTO E RECUPERAÇÃO DE DESASTRE EXTINÇÃO DA AC CAIXA CONTROLES DE SEGURANÇA FÍSICA, PROCEDIMENTAL E DE PESSOAL CONTROLES FÍSICOS CONSTRUÇÃO E LOCALIZAÇÃO DAS INSTALAÇÕES ACESSO FÍSICO NAS INSTALAÇÕES DA AC ENERGIA E AR CONDICIONADO EXPOSIÇÃO À ÁGUA PREVENÇÃO E PROTEÇÃO CONTRA INCÊNDIO ARMAZENAMENTO DE MÍDIA DESTRUIÇÃO DE LIXO INSTALAÇÕES DE SEGURANÇA (BACKUP) EXTERNAS (OFF-SITE) INSTALAÇÕES TÉCNICAS DE AR CONTROLES PROCEDIMENTAIS PERFIS QUALIFICADOS NÚMERO DE PESSOAS NECESSÁRIAS POR TAREFA IDENTIFICAÇÃO E AUTENTICAÇÃO PARA CADA PERFIL CONTROLES DE PESSOAL ANTECEDENTES, QUALIFICAÇÃO, EXPERIÊNCIA E REQUISITOS DE IDONEIDADE PROCEDIMENTOS DE VERIFICAÇÃO DE ANTECEDENTES REQUISITOS DE TREINAMENTO de abril de 2015 Página 6

7 FREQÜÊNCIA E REQUISITOS PARA RECICLAGEM TÉCNICA FREQÜÊNCIA E SEQÜÊNCIA DE RODÍZIO DE CARGOS SANÇÕES PARA AÇÕES NÃO AUTORIZADAS REQUISITOS PARA CONTRATAÇÃO DE PESSOAL DOCUMENTAÇÃO FORNECIDA AO PESSOAL CONTROLES TÉCNICOS DE SEGURANÇA GERAÇÃO E INSTALAÇÃO DO PAR DE CHAVES GERAÇÃO DO PAR DE CHAVES ENTREGA DA CHAVE PRIVADA À ENTIDADE TITULAR ENTREGA DA CHAVE PÚBLICA PARA EMISSOR DE CERTIFICADO DISPONIBILIZAÇÃO DE CHAVE PÚBLICA DA AC PARA USUÁRIOS TAMANHOS DE CHAVE GERAÇÃO DE PARÂMETROS DE CHAVES ASSIMÉTRICAS VERIFICAÇÃO DA QUALIDADE DOS PARÂMETROS GERAÇÃO DE CHAVE POR HARDWARE OU SOFTWARE PROPÓSITOS DE USO DE CHAVE (CONFORME O CAMPO KEY USAGE NA X.509 V3) PROTEÇÃO DA CHAVE PRIVADA PADRÕES PARA MÓDULO CRIPTOGRÁFICO CONTROLE N DE M PARA CHAVE PRIVADA RECUPERAÇÃO (ESCROW) DE CHAVE PRIVADA CÓPIA DE SEGURANÇA (BACKUP) DE CHAVE PRIVADA ARQUIVAMENTO DE CHAVE PRIVADA INSERÇÃO DE CHAVE PRIVADA EM MÓDULO CRIPTOGRÁFICO MÉTODO DE ATIVAÇÃO DE CHAVE PRIVADA MÉTODO DE DESATIVAÇÃO DE CHAVE PRIVADA MÉTODO DE DESTRUIÇÃO DE CHAVE PRIVADA OUTROS ASPECTOS DO GERENCIAMENTO DO PAR DE CHAVES ARQUIVAMENTO DE CHAVE PÚBLICA PERÍODOS DE USO PARA AS CHAVES PÚBLICA E PRIVADA DADOS DE ATIVAÇÃO de abril de 2015 Página 7

8 GERAÇÃO E INSTALAÇÃO DOS DADOS DE ATIVAÇÃO PROTEÇÃO DOS DADOS DE ATIVAÇÃO OUTROS ASPECTOS DOS DADOS DE ATIVAÇÃO CONTROLES DE SEGURANÇA COMPUTACIONAL REQUISITOS TÉCNICOS ESPECÍFICOS DE SEGURANÇA COMPUTACIONAL CLASSIFICAÇÃO DA SEGURANÇA COMPUTACIONAL CONTROLES TÉCNICOS DO CICLO DE VIDA CONTROLES DE DESENVOLVIMENTO DE SISTEMA CONTROLES DE GERENCIAMENTO DE SEGURANÇA CLASSIFICAÇÕES DE SEGURANÇA DE CICLO DE VIDA CONTROLES NA GERAÇÃO DE LCR CONTROLES DE SEGURANÇA DE REDE DIRETRIZES GERAIS FIREWALL SISTEMA DE DETECÇÃO DE INTRUSÃO (IDS) REGISTRO DE ACESSOS NÃO AUTORIZADOS À REDE CONTROLES DE ENGENHARIA DO MÓDULO CRIPTOGRÁFICO PERFIS DE CERTIFICADO E LCR DIRETRIZES GERAIS PERFIL DO CERTIFICADO NÚMERO(S) DE VERSÃO EXTENSÕES DE CERTIFICADO IDENTIFICADORES DE ALGORITMO FORMATOS DE NOME RESTRIÇÕES DE NOME OID (OBJECT IDENTIFIER) DE DPC USO DA EXTENSÃO POLICY CONSTRAINTS SINTAXE E SEMÂNTICA DOS QUALIFICADORES DE POLÍTICA SEMÂNTICA DE PROCESSAMENTO PARA EXTENSÕES CRÍTICAS PERFIL DE LCR NÚMERO(S) DE VERSÃO de abril de 2015 Página 8

9 EXTENSÕES DE LCR E DE SUAS ENTRADAS ADMINISTRAÇÃO DE ESPECIFICAÇÃO PROCEDIMENTOS DE MUDANÇA DE ESPECIFICAÇÃO POLÍTICAS DE PUBLICAÇÃO E NOTIFICAÇÃO PROCEDIMENTOS DE APROVAÇÃO DOCUMENTOS REFERENCIADOS de abril de 2015 Página 9

10 LISTA DE ACRÔNIMOS SIGLA OU ACRÔNIMO AC AC Raiz AR CEI CG CMM-SEI CMVP CN CNE CNPJ COBIT COSO CPF DMZ DN DPC ICP-Brasil IDS IEC ISO ITSEC ITU LCR NBR NIS NIST OCSP OID OU PASEP PC PCN PIS POP PS PSS RFC RG SNMP TCSEC TSDM UF URL DESCRIÇÃO Autoridade Certificadora Autoridade Certificadora Raiz da ICP-Brasil Autoridades de Registro Cadastro Específico do INSS Comitê Gestor Capability Maturity Model do Software Engineering Institute Cryptographic Module Validation Program Common Name Carteira Nacional de Estrangeiro Cadastro Nacional de Pessoas Jurídicas Control Objectives for Information and related Technology Committee of Sponsoring Organizations Cadastro de Pessoas Físicas Zona Desmilitarizada Distinguished Name Declaração de Práticas de Certificação Infra-Estrutura de Chaves Públicas Brasileira Sistemas de Detecção de Intrusão International Electrotechnical Commission International Organization for Standardization Information Technology Security Evaluation Criteria International Telecommunications Union Lista de Certificados Revogados Norma Brasileira Número de Identificação Social National Institute of Standards and Technology Online Certificate Status Protocol Object Identifier Organization Unit Programa de Formação do Patrimônio do Servidor Público Políticas de Certificado Plano de Continuidade de NE Programa de Integração Social Proof of Possession Política de Segurança Prestadores de Serviço de Suporte Request For Comments Registro Geral Simple Network Management Protocol Trusted System Evaluation Criteria Trusted Software Development Methodology Unidade da Federação Uniform Resource Location 17 de abril de 2015 Página 10

11 1. INTRODUÇÃO 1.1. Visão Geral Este documento descreve as práticas e os procedimentos empregados pela Caixa Econômica Federal (CAIXA) na execução dos seus serviços como Autoridade Certificadora CAIXA AC CAIXA A AC CAIXA possui um certificado de 1º nível, emitido pela Autoridade Certificadora Raiz AC Raiz da Infra-Estrutura de Chaves Públicas Brasileira ICP-Brasil Esse certificado contém a chave pública correspondente à chave privada da AC CAIXA, que é usada para assinar os certificados das ACs de nível imediatamente subseqüente ao seu e a sua Lista de Certificados Revogados (LCR) É adotada obrigatoriamente a estrutura dos Requisitos Mínimos para as Declarações de Práticas de Certificação das Autoridades Certificadoras da ICP-Brasil (DOC-ICP-05) Identificação Esta DPC é chamada de DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO DA AUTORIDADE CERTIFICADORA CAIXA e comumente referida como DPC da AC CAIXA O Object Identifier OID deste documento é Comunidade e Aplicabilidade Autoridades Certificadoras Esta DPC refere-se unicamente à Autoridade Certificadora CAIXA AC CAIXA, integrante da ICP-Brasil (Infra-Estrutura de Chaves Públicas Brasileira), com sede em Brasília, Distrito Federal, Brasil Autoridades de Registro A atividade de identificação e cadastramento das ACs de nível imediatamente subseqüente ao da AC CAIXA será realizada junto à AC Raiz, no processo de autorização de criação de AC de 2º nível, não havendo Autoridades de Registro (AR) nessa atividade As informações relativas à AC CAIXA estão disponíveis para consulta pública na página de Internet Prestador de Serviço de Suporte A AC CAIXA não utiliza prestador de serviço de suporte em suas operações Titulares de Certificado Os titulares dos certificados emitidos pela AC CAIXA são as AC de nível imediatamente subseqüente ao seu Aplicabilidade Os certificados emitidos pela AC CAIXA têm como objetivos a identificação das ACs de nível imediatamente subseqüente ao seu e a divulgação das suas chaves públicas de forma segura Dados de Contato 17 de abril de 2015 Página 11

12 Instituição Nome: Caixa Econômica Federal Endereço: SBS Quadra 4, Lotes 3 e 4 Asa Sul Brasília DF. Autoridade Certificadora CAIXA Unidade para Suporte Nome: CERAT Centralizadora Nacional de Atendimento em Telesserviços / BA Endereço: Rua Ewerton Visco, 190 Caminho das Árvores Salvador BA Telefone: ceratsa@caixa.gov.br 2. DISPOSIÇÕES GERAIS 2.1. Obrigações e direitos Nos itens a seguir estão descritas as obrigações gerais das entidades envolvidas Obrigações da AC CAIXA: a) operar de acordo com esta DPC; b) gerar e gerenciar o seu par de chaves criptográficas; c) assegurar a proteção de suas chaves privadas; d) notificar a AC Raiz da ICP-Brasil, emitente do seu certificado, quando ocorrer comprometimento de sua chave privada e solicitar a imediata revogação desse certificado; e) notificar as AC subseqüentes, quando ocorrer suspeita de comprometimento de sua chave privada, emissão de novo par de chaves e correspondente certificado, ou o encerramento de suas atividades; f) distribuir o seu próprio certificado; g) emitir, expedir e distribuir os certificados de AC de nível imediatamente subseqüente ao seu; h) informar a emissão do certificado ao respectivo solicitante; i) revogar os certificados por ela emitidos; j) emitir, gerenciar e publicar suas LCR; k) publicar em sua página da Internet sua DPC; l) publicar, em sua página da Internet, as informações definidas no item deste documento; m) publicar, em página da Internet, informações sobre o descredenciamento de AR bem como sobre extinção de instalação técnica; n) utilizar protocolo de comunicação seguro ao dispor serviços para os solicitantes ou usuários de certificados digitais via internet; o) identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil; 17 de abril de 2015 Página 12

13 p) adotar as medidas de segurança e controle previstas nesta DPC e na PS da AC CAIXA, que implementar envolvendo seus processos, procedimentos e atividades, observadas as normas, critérios, práticas e procedimentos da ICP-Brasil; q) manter a conformidade dos seus processos, procedimentos e atividades com as normas, práticas e regras da ICP-Brasil e com a legislação vigente; r) manter e garantir a integridade, o sigilo e a segurança da informação por ela tratada; s) manter e testar anualmente seu PCN; t) manter contrato de seguro de cobertura de responsabilidade civil decorrente das atividades de certificação digital e de registro, com cobertura suficiente e compatível com o risco dessas atividades e exigir sua manutenção pelas ACs de nível subseqüente ao seu, quando estas estiverem obrigadas a contratá-lo, de acordo com as normas do CG da ICP-Brasil; u) informar às terceiras partes e titulares de certificado acerca das garantias, coberturas, condicionantes e limitações estipuladas pela apólice de seguro de responsabilidade civil contratada pela AC CAIXA nos termos acima; v) informar à AC Raiz, mensalmente, a quantidade de certificados digitais emitidos; e w) não emitir certificado com prazo de validade que se estenda além do prazo de validade do seu próprio certificado Obrigações das ARs vinculadas à AC CAIXA. Não se aplica Obrigações do Titular do Certificado Toda informação necessária para a identificação de AC de 2º nível, titular de certificado digital, deve ser fornecida por essa AC de 2º nível, de forma completa e precisa Ao aceitar o certificado emitido pela AC CAIXA, a AC titular é responsável por: a) todas as informações por ela fornecidas, contidas nesse certificado; b) garantir a proteção e o sigilo de suas chaves privadas, senhas e dispositivos criptográficos; c) utilizar os seus certificados e chaves privadas de modo apropriado; d) conhecer os seus direitos e obrigações, contemplados pela DPC e por outros documentos aplicáveis da ICP-Brasil; e) informar à AC CAIXA qualquer comprometimento de sua chave privada e solicitar a imediata revogação do certificado correspondente Direitos da terceira parte (Relying Party) Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do certificado digital Constituem direitos da terceira parte: a) recusar a utilização do certificado para fins diversos dos previstos nesta DPC; b) verificar, a qualquer tempo, a validade do certificado. Um certificado emitido pela AC CAIXA, integrante da ICP-Brasil, é considerado válido quando: i. não constar da LCR da AC CAIXA; ii. não estiver expirado; e iii. puder ser verificado com o uso de certificado válido da AC CAIXA. 17 de abril de 2015 Página 13

14 O não exercício desses direitos não afasta a responsabilidade da AC CAIXA e do titular do certificado Obrigações do Repositório a) dispor, logo após a sua emissão, os certificados emitidos pela AC e sua LCR; b) estar disponível para consulta durante 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana; e c) implementar os recursos necessários para a segurança dos dados nele armazenados Responsabilidades Responsabilidades da AC CAIXA A AC CAIXA responde pelos danos a que der causa A AC CAIXA responde solidariamente pelos atos das entidades de sua cadeia de certificação: AC subordinadas e AR Não se aplica Responsabilidades da AR Não se aplica Responsabilidade Financeira Indenizações devidas pela terceira parte (Relying Party) Não existe responsabilidade da terceira parte (Relying Party) perante a AC CAIXA, AC subseqüentes ou AR vinculadas à AC CAIXA, exceto na hipótese de prática de ato ilícito Relações Fiduciárias A AC CAIXA dispõe de uma apólice de seguro de responsabilidade civil que se estende a todos os titulares de certificados digitais por ela emitidos A AC CAIXA ou a AR CAIXA indenizarão integralmente os danos a que comprovadamente derem causa, limitados ao valor máximo coberto pela apólice, caso o cliente seja Pessoa Jurídica A apólice de seguro de responsabilidade civil cobre perdas e danos decorrentes de comprometimento da chave privada da AC CAIXA, de erro na identificação do titular, de emissão defeituosa do certificado ou de erros ou omissões da AC CAIXA e da AR vinculada na prestação de seus serviços Processos Administrativos O titular do certificado que sofrer perdas e danos decorrentes do uso do certificado digital emitido pela AC CAIXA tem o direito de comunicar à AC CAIXA que deseja a indenização prevista na apólice de seguro de responsabilidade civil. Para tais casos, são observadas as seguintes condições: a) nos casos de perdas e danos decorrentes de comprometimento da chave privada da AC CAIXA, tal comprometimento deve ter sido comprovado por perícia realizada por perito especializado e independente; b) nos casos de erro na identificação, o titular do certificado não pode requerer qualquer indenização, quando os dados constantes no certificado corresponderem aos dados fornecidos por esse titular à AC CAIXA; 17 de abril de 2015 Página 14

15 c) nos casos de erro na transcrição, o titular do certificado não pode requerer qualquer indenização quando houver aceitado o certificado Interpretação e Execução Legislação A DPC da AC CAIXA obedece às leis da República Federativa do Brasil, especialmente a Medida Provisória número de 24 de agosto de 2001, bem como as resoluções do CG da ICP-Brasil Forma de interpretação e notificação Na hipótese de uma ou mais das disposições desta DPC, por qualquer razão, ser considerada inválida, ilegal, ou não aplicável por lei, tal inaplicabilidade não afetará as demais disposições, sendo esta DPC interpretada então como se não contivesse tal disposição e, na medida do possível, interpretada para manter a intenção original da DPC, para o que os efeitos serão: a) somente tal disposição é afetada; b) todas as demais disposições permanecem válidas dentro do escopo de abrangência deste documento; c) a AC CAIXA promoverá a correção do item em desacordo, no prazo máximo de 30 dias; d) as práticas e procedimentos descritos nesta DPC não prevalecerão sobre as normas, critérios, práticas e procedimentos da ICP-Brasil Todas as solicitações, notificações ou quaisquer outras comunicações necessárias, sujeitas às práticas descritas nesta DPC, serão feitas pela AC CAIXA, preferencialmente via correio eletrônico ( ) assinado digitalmente, ou, na sua impossibilidade, por meio de ofício, ao CG da ICP-Brasil Procedimentos de solução de disputa Em caso de conflito entre esta DPC e outras declarações, políticas, planos, acordos, contratos ou documentos no âmbito da AC CAIXA, sempre prevalecerá o disposto na última edição desta DPC As práticas e os procedimentos descritos nesta DPC não prevalecerão sobre as normas, critérios, práticas e procedimentos da ICP-Brasil Os casos omissos serão encaminhados para apreciação da AC Raiz Tarifas de Serviço Tarifas de emissão e renovação de certificados Não há tarifas previstas pela AC CAIXA para os serviços prestados às AC de nível imediatamente subseqüente ao seu Tarifas de acesso ao certificado Não há tarifas previstas pela AC CAIXA para os serviços prestados às AC de nível imediatamente subseqüente ao seu Tarifas de revogação ou de acesso a informação de status Não há tarifas previstas pela AC CAIXA para os serviços prestados às AC de nível imediatamente subseqüente ao seu. 17 de abril de 2015 Página 15

16 Tarifas para outros serviços Autoridade Certificadora CAIXA Não há tarifas previstas pela AC CAIXA para os serviços prestados às AC de nível imediatamente subseqüente ao seu Política de reembolso Não há política de reembolso prevista pela AC CAIXA para os serviços prestados às AC de nível imediatamente subseqüente ao seu Publicação e Repositório Publicação de informação da AC CAIXA O certificado da AC CAIXA, sua LCR e os certificados das ACs de nível imediatamente subseqüente ao seu são publicados na página da Internet obedecendo às regras e aos critérios estabelecidos nesta DPC A disponibilidade das informações publicadas pela AC CAIXA em sua página de Internet, tais como os seus certificados, as suas LCR e a sua DPC, dentre outras, é de 99,95% (noventa e nove inteiros e noventa e cinco décimos por cento) do tempo, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana As seguintes informações são publicadas pela AC na página da Internet: a) o certificado da AC CAIXA; b) as LCR emitidas pela AC CAIXA; c) esta DPC; d) não se aplica; e) uma relação, regularmente atualizada, contendo a AR CAIXA e os seus respectivos endereços dos Pontos de Atendimento vinculados (agências da CAIXA) e dos seus respectivos endereços de Instalações Técnicas em funcionamento; f) não se aplica; g) não se aplica Freqüência de publicação São publicadas sempre as versões mais recentes desta DPC, logo após a aprovação em Diário Oficial da União A LCR da AC CAIXA é atualizada no máximo a cada 45 (quarenta e cinco) dias Em caso de revogação de certificado de AC de nível imediatamente subseqüente ao seu, a AC CAIXA emite nova LCR no prazo previsto no item e notifica a AC Raiz Certificados digitais são publicados imediatamente após sua emissão Controles de acesso As informações publicadas pela AC CAIXA não possuem restrição de acesso para leitura São utilizados controles de acesso apropriados para restringir a possibilidade de escrita ou de modificação destes documentos a pessoas não autorizadas Repositórios 17 de abril de 2015 Página 16

17 A localização lógica do repositório da AC CAIXA é Os repositórios estão disponíveis em no mínimo 99,5% (noventa e nove vírgula cinco por cento) do mês, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana Os repositórios da AC CAIXA são acessados por meio do protocolo HTTP de Internet Os repositórios obedecem aos requisitos de segurança estabelecidos no item 5 desta DPC Fiscalização e Auditoria de Conformidade As fiscalizações e auditorias realizadas na AC CAIXA têm por objetivo verificar se os processos, procedimentos e atividades das ACs integrantes da cadeia da AC CAIXA estão em conformidade com suas respectivas DPCs, PCs, PS e demais normas e procedimentos estabelecidos pela ICP-Brasil As fiscalizações na AC CAIXA são realizadas pela AC Raiz, por meio de servidores do próprio quadro da AC Raiz, a qualquer tempo, sem aviso prévio, observado o disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [2] As auditorias na AC CAIXA são realizadas pela AC Raiz, por meio de servidores do próprio quadro da AC Raiz, ou por terceiros por ela autorizados, observado o disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3] A AC CAIXA recebeu auditoria prévia da AC Raiz para fins de credenciamento na ICP- Brasil e é auditada anualmente, para fins de manutenção do credenciamento, com base no disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3]. Esse documento trata do objetivo, freqüência e abrangência das auditorias, da identidade e qualificação do auditor e demais temas correlacionados A AR CAIXA informa que as entidades a ela diretamente vinculadas AC, AR e PSS receberam auditoria prévia para fins de credenciamento, e a AC CAIXA é responsável pela realização de auditorias anuais nessas entidades, para fins de manutenção de credenciamento, conforme disposto no documento citado no parágrafo anterior Sigilo Disposições Gerais A chave privada de assinatura digital da AC CAIXA é gerada e mantida pela própria AC CAIXA, que é responsável pelo seu sigilo. A divulgação ou utilização indevida da chave privada de assinatura pela AC CAIXA é de sua inteira responsabilidade Não se aplica Não se aplica Tipos de informações sigilosas Todas as informações coletadas, geradas, transmitidas e mantidas pela AC CAIXA são consideradas sigilosas, exceto as informações citadas no item Como princípio geral, nenhum documento, informação ou registro fornecido à AC CAIXA deve ser divulgado Tipos de informações não sigilosas 17 de abril de 2015 Página 17

18 Não são consideradas sigilosas, pela AC CAIXA e pelas entidades a ela vinculadas, as seguintes informações: a) os certificados e as LCR emitidos pela AC CAIXA; b) as informações corporativas ou pessoais que façam parte de certificados ou de diretórios públicos; c) não se aplica; d) a DPC da AC; e) as versões públicas de PS; e f) a conclusão dos relatórios de auditorias Divulgação de informação de revogação ou suspensão de certificado Não são divulgadas as razões para a revogação dos certificados emitidos pela AC CAIXA para terceiros, exceto nos casos em que houver determinação judicial ou governamental As razões para revogação do certificado sempre serão informadas para o seu titular, e serão tornadas públicas desde que haja autorização expressa deste A suspensão de certificados não é admitida no âmbito da ICP-Brasil Quebra de sigilo por motivos legais Mediante ordem judicial, serão fornecidos quaisquer documentos, informações ou registros sob a guarda da AC CAIXA Informações a terceiros Como diretriz geral, nenhum documento, informação ou registro sob a guarda da AC CAIXA é fornecido a qualquer pessoa, exceto quando a pessoa requisitante, por meio de instrumento devidamente constituído, estiver autorizada a fazê-lo e corretamente identificada Divulgação por solicitação do titular O titular de certificado ou o seu representante legal têm amplo acesso a quaisquer dos seus próprios dados ou identificações e podem autorizar a divulgação de seus registros a outras pessoas Para tanto a solicitação de liberação da informação pela AC CAIXA somente é permitida mediante autorização formal do titular do certificado e podem ser apresentadas de duas formas: a) por meio eletrônico, contendo assinatura válida garantida por certificado reconhecido pela ICP-Brasil; ou b) por meio de pedido escrito com firma reconhecida em cartório Outras circunstâncias de divulgação de informação Não se aplica 2.9. Direitos de Propriedade Intelectual Os direitos de propriedade intelectual de certificados, políticas, especificações de práticas e procedimentos, nomes e chaves criptográficas, são tratados de acordo com a legislação brasileira vigente. 17 de abril de 2015 Página 18

19 3. IDENTIFICAÇÃO E AUTENTICAÇÃO 3.1. Registro Inicial Disposições Gerais Não se aplica Tipos de nomes Autoridade Certificadora CAIXA A AC CAIXA emite certificados para AC subseqüentes com nomes que permitam a identificação unívoca na ICP-Brasil, para o que é usado o distinguished name do padrão ITU X Os certificados emitidos para as AC subseqüentes não incluirão o nome da pessoa responsável pelo uso Necessidade de nomes significativos Todos os certificados emitidos pela AC CAIXA incluem um identificador único que represente a AC de nível imediatamente subseqüente para a qual o certificado foi emitido Regras para interpretação de vários tipos de nomes Não se aplica Unicidade de nomes Os identificadores do tipo Distinguished Name (DN) são únicos para cada uma das AC de nível imediatamente subseqüente ao da AC CAIXA Para cada uma das AC, números ou letras adicionais podem ser incluídos ao nome para assegurar a unicidade do campo, conforme o padrão ITU X A extensão Unique Identifiers não é admitida para diferenciar as AC com nomes idênticos Procedimento para resolver disputa de nomes A AC CAIXA reserva-se o direito de tomar todas as decisões na hipótese de haver disputa decorrente da igualdade de nomes entre diversos solicitantes de certificados Durante o processo de confirmação de identidade, caberá ao solicitante do certificado provar o seu direito de uso de um nome específico Reconhecimento, autenticação e papel de marcas registradas Os processos de tratamento, reconhecimento e confirmação de autenticidade de marcas registradas são executados de acordo com a legislação brasileira em vigor Método para comprovar a posse de chave privada A AC CAIXA verifica se a AC subseqüente possui a chave privada correspondente à chave pública para a qual está sendo solicitado o certificado digital A parte relativa a POP (Proof of Possession) da RFC 2510 é utilizada como referência para essa finalidade Autenticação da identidade de um indivíduo Não se aplica. 17 de abril de 2015 Página 19

20 Autenticação da identidade de uma organização Disposições Gerais A confirmação da identidade de uma AC subordinada é feita com base no documento CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [6] Será designada pessoa física, lotada na Instalação Operacional da AC, como responsável pelo certificado, que será a detentora da chave privada. Preferencialmente, será designado como responsável pelo certificado o representante legal da pessoa jurídica ou um de seus representantes legais Será feita a confirmação da identidade da organização e das pessoas físicas, nos seguintes termos: a) apresentação do rol de documentos elencados no item ; b) apresentação do rol de documentos abaixo listados do(s) representante(s) legal(is) da pessoa jurídica e do responsável pelo uso do certificado: i. Cadastro de Pessoa Física (CPF); ii. Registro Geral RG; c) presença física do responsável pelo uso do certificado e assinatura do termo de responsabilidade de que trata o item 4.1.1; e d) presença física do(s) representante(s) legal(is) da pessoa jurídica e assinatura do termo de titularidade de que trata o item Documentos para efeitos de identificação de uma organização A confirmação da identidade de uma pessoa jurídica é feita mediante a apresentação de, no mínimo, os seguintes documentos: a) Relativos a sua habilitação jurídica: i. se pessoa jurídica criada ou autorizada a sua criação por lei, cópia do ato constitutivo e CNPJ; ii. se entidade privada: 1. ato constitutivo, devidamente registrado no órgão competente; e 2. documentos da eleição de seus administradores, quando aplicável. b) Relativos a sua habilitação fiscal: i. prova de inscrição no Cadastro Nacional de Pessoas Jurídicas CNPJ; ii. não se aplica Informações contidas no certificado emitido para uma organização Não se aplica Autenticação da identidade de equipamento ou aplicação Não se aplica Geração de um novo par de chaves antes da expiração do atual O processo de geração, pela AC CAIXA, de um novo certificado para uma AC de nível imediatamente subseqüente ao seu, antes da expiração do certificado vigente da AC, é realizado por um representante legal da AC subseqüente. 17 de abril de 2015 Página 20

21 Para isto, um representante legal da AC subseqüente deve entregar assinado, em papel ou digitalmente, requisição de REVALIDAÇÃO DOS DADOS CADASTRAIS E SOLICITAÇÃO DE NOVO CERTIFICADO Após o recebimento dessa requisição, desde que a documentação esteja regularmente atualizada, a AC CAIXA iniciará o processo de emissão do novo certificado Não se aplica Geração de um novo par de chaves após expiração ou revogação Não se aplica Após a expiração ou revogação de seu certificado, a AC subseqüente à AC CAIXA deverá executar os processos regulares de geração de seu novo par de chaves Solicitação de Revogação A revogação de certificado de AC subseqüente é efetivada por intermédio de solicitação formal emitida por representante legalmente constituído dessa AC à AC CAIXA. 4. REQUISITOS OPERACIONAIS 4.1. Solicitação de Certificado A solicitação de emissão de um certificado digital para Autoridade Certificadora imediatamente subseqüente à AC CAIXA deverá ser feita por meio de documento formal do representante legal da AC candidata, o qual será submetido à Gerência Nacional de Certificação Digital GECER da Caixa Econômica Federal CAIXA para aprovação. Além da aprovação pela CAIXA, os requisitos e os procedimentos mínimos necessários para a solicitação de emissão de certificado são: a) a comprovação de atributos de identificação constantes do certificado, conforme item 3.1; b) Não se aplica; c) um termo de titularidade assinado pelo representante legal da AC CAIXA, pelo representante legal da AC candidata e pelo responsável custodiante lotado na Instalação Operacional da AC CAIXA, elaborados conforme os documentos MODELO DE TERMO DE TITULARIDADE [4] A solicitação de certificado para AC de nível imediatamente subseqüente ao da AC CAIXA, somente é possível após o processo de credenciamento e a autorização de funcionamento da AC em questão, conforme disposto pelo documento CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP- BRASIL [6] Não se aplica Nos casos previstos no item 4.1.2, a AC subseqüente encaminha a solicitação de seu certificado à AC CAIXA por meio de seus representantes legais, usando o padrão definido no documento PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL [9] Emissão de Certificado A emissão dos certificados para as AC de nível imediatamente subseqüente ao da AC CAIXA é feita na Instalação Operacional da AC CAIXA, em cerimônia específica, com a presença de representantes da AC CAIXA, da AC habilitada, convidados e testemunhas da 17 de abril de 2015 Página 21

22 Instalação Operacional da AC CAIXA, na qual são registrados todos os procedimentos executados A emissão dos certificados das AC de nível imediatamente subseqüente à AC-CAIXA é feita em equipamentos que operam em off-line A AC CAIXA entrega o certificado emitido em formato PKCS#7, no padrão definido no documento PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL [9], para o representante legal da AC subseqüente O certificado é considerado válido a partir do momento de sua emissão Aceitação de Certificado Quando a AC CAIXA emite um certificado para AC de nível imediatamente subseqüente ao seu, ela garante que as informações contidas nesse certificado foram verificadas de acordo com esta DPC No momento da entrega do certificado, durante a cerimônia de sua emissão pela AC CAIXA, a AC subseqüente atesta o seu recebimento e sua aceitação por meio de assinatura de termo de recebimento e aceitação por seu representante legal Não se aplica Suspensão e Revogação de Certificado Circunstâncias para revogação Um certificado de AC de nível imediatamente subseqüente ao da AC CAIXA pode ser revogado a qualquer instante, por solicitação da própria AC titular do certificado ou por decisão motivada da AC CAIXA ou da AC Raiz, resguardados os princípios do contraditório e da ampla defesa Um certificado de AC de nível imediatamente subseqüente ao da AC CAIXA pode ser revogado a qualquer momento por solicitação da AC titular do certificado ou por decisão motivada da AC CAIXA, ou da AC Raiz: a) quando for constatada emissão imprópria ou defeituosa do certificado; b) quando for necessária a alteração de qualquer informação constante no certificado; c) no caso de dissolução de AC titular do certificado; ou d) no caso de comprometimento ou suspeita de comprometimento da chave privada correspondente ou da sua mídia armazenadora Observa-se ainda que: a) a AC CAIXA revogará, no prazo definido no item 4.4.3, o certificado da entidade que deixar de cumprir as políticas, normas e regras estabelecidas para a ICP-Brasil; b) O CG da ICP-Brasil ou a AC Raiz deverá determinar a revogação do certificado da AC que deixar de cumprir a legislação vigente ou as políticas, normas, práticas e regras estabelecidas para a ICP-Brasil Quem pode solicitar revogação A revogação de um certificado de uma AC de nível imediatamente subseqüente ao da AC CAIXA somente pode ser feita: a) por solicitação da AC titular do certificado; b) por solicitação do responsável pelo certificado; 17 de abril de 2015 Página 22

23 c) não se aplica; d) pela AC CAIXA; e) não se aplica; Autoridade Certificadora CAIXA f) por determinação do CG da ICP-Brasil ou da AC Raiz; g) não se aplica; h) por decisão judicial Procedimento para solicitação de revogação A solicitação de revogação de certificado de AC subseqüente deve ser feita por meio do formulário SOLICITAÇÃO DE REVOGAÇÃO DE CERTIFICADO DE AC. Esse formulário deverá ser assinado pelo representante legal da AC. Se utilizada versão digital do documento, este deverá estar assinado digitalmente. O documento deverá ser entregue pessoalmente na AC CAIXA pelo representante legal da AC subseqüente, e, em se tratando de formulário em papel, será assinado no ato da entrega Como diretriz geral fica estabelecido que: a) o solicitante da revogação de um certificado é identificado; b) as solicitações de revogação, bem como as ações delas decorrentes, são registradas e armazenadas; c) as justificativas para a revogação de um certificado são documentadas; d) o processo de revogação de um certificado termina com a geração e a publicação de uma LCR que contenha o certificado revogado Não se aplica O prazo máximo admitido para a conclusão do processo de revogação de certificado de AC, após o recebimento da respectiva solicitação, é de 12 (doze) horas A AC CAIXA responde plenamente por todos os danos causados pelo uso de um certificado no período compreendido entre a solicitação de sua revogação e a emissão da correspondente LCR Não se aplica Prazo para solicitação de revogação A solicitação de revogação é imediata quando configuradas as circunstâncias definidas no item desta DPC Não se aplica Circunstâncias para suspensão A suspensão de certificados não é admitida no âmbito da ICP-Brasil Quem pode solicitar suspensão A suspensão de certificados não é admitida no âmbito da ICP-Brasil Procedimento para solicitação de suspensão A suspensão de certificados não é admitida no âmbito da ICP-Brasil Limites no período de suspensão A suspensão de certificados não é admitida no âmbito da ICP-Brasil. 17 de abril de 2015 Página 23

24 Freqüência de emissão de LCR Autoridade Certificadora CAIXA A freqüência máxima admitida para a emissão de LCR pela AC CAIXA referente a certificados de AC subseqüentes é de 45 (quarenta e cinco) dias Não se aplica Em caso de revogação de certificado de AC de nível imediatamente subseqüente ao seu, a AC CAIXA emite nova LCR no prazo previsto no item e notifica todas as AC de nível imediatamente subseqüente ao seu e à AC Raiz Não se aplica Requisitos para verificação de LCR Todos os certificados das AC de nível imediatamente subseqüente ao da AC CAIXA têm a validade verificada na LCR da AC CAIXA antes de serem usados Também é verificada a autenticidade da LCR da AC CAIXA, por meio da verificação da assinatura da AC CAIXA e do período de validade da LCR Disponibilidade para revogação ou verificação de status on-line A AC CAIXA não dispõe de forma de revogação on-line de certificado digital de AC subseqüente à AC CAIXA A AC CAIXA também não dispõe de processo de verificação da situação de estado de certificados de forma on-line A única forma de consulta on-line de status de certificado de AC é a realizada por meio da LCR emitida pela AC CAIXA Requisitos para verificação de revogação on-line Não se aplica Outras formas disponíveis para divulgação de revogação Informações de revogação de certificados de AC de nível imediatamente subseqüente ao da AC CAIXA também podem ser divulgadas por meio de publicação no Diário Oficial da União e na página da Internet Requisitos para verificação de outras formas de divulgação de revogação A forma de verificação de revogação descrita no item anterior tem caráter meramente informativo Requisitos especiais para o caso de comprometimento de chave No caso de comprometimento da chave privada de uma AC de nível imediatamente subseqüente ao da AC CAIXA, a AC subseqüente deve notificar imediatamente a AC CAIXA, por meio de comunicação formal emitida por representante legalmente constituído da AC A comunicação de um comprometimento ou suspeita de comprometimento de chave será efetivada por meio de correio eletrônico assinado digitalmente pelo representante legalmente constituído da AC subseqüente Procedimentos de Auditoria de Segurança Tipos de eventos registrados 17 de abril de 2015 Página 24

25 A AC CAIXA registra em arquivos de auditoria todos os eventos relacionados à segurança do seu sistema de certificação, quais sejam: a) iniciação e desligamento do sistema de certificação; b) tentativas de criar, remover, definir senhas ou mudar privilégios de sistema dos operadores da AC CAIXA; c) mudanças na configuração da AC CAIXA ou nas suas chaves; d) mudanças nas políticas de criação de certificados; e) tentativas de acesso (login) e de saída do sistema (logoff); f) tentativas não-autorizadas de acesso aos arquivos de sistema; g) geração de chaves próprias da AC CAIXA ou de chaves de certificados de seus usuários finais; h) emissão e revogação de certificados; i) geração de LCR; j) tentativas de iniciar, remover, habilitar e desabilitar usuários de sistemas, e de atualizar e recuperar suas chaves; k) operações falhas de escrita ou leitura no repositório de certificados e da LCR, quando aplicável; e l) operações de escrita nesse repositório, quando aplicável AC CAIXA registra, eletrônica ou manualmente, informações de segurança não geradas diretamente pelo seu sistema de certificação, tais como: a) registros de acessos físicos; b) manutenção e mudanças na configuração de seus sistemas; c) mudanças de pessoal e de perfis qualificados; d) relatórios de discrepância e comprometimento; e e) registros de destruição de meios de armazenamento contendo chaves criptográficas, dados de ativação de certificados ou informação pessoal de usuários Os Registros de auditoria mínimos a serem mantidos pela AC CAIXA incluem todos: a) registros de inscrição, inclusive registros relativos a solicitações rejeitadas; b) pedidos de geração de certificado, mesmo que a geração não tenha êxito; c) registro de solicitação de emissão de LCR Todos os registros de auditoria, eletrônicos ou manuais, contêm data e hora do evento registrado e a identidade do agente que o causou Para facilitar os processos de auditoria, toda a documentação relacionada aos serviços da AC CAIXA é armazenada, eletrônica ou manualmente, em local único, conforme a POLÍTICA DE SEGURANÇA DA ICP-BRASIL [8] A AR vinculada à AC CAIXA registra eletronicamente em arquivos de auditoria todos os eventos relacionados à validação e aprovação da solicitação, bem como à revogação de certificados. Os seguintes eventos estão incluídos em arquivos de auditoria: a) os agentes de registro que realizaram as operações; b) data e hora das operações; c) a associação entre os agentes que realizaram a validação e aprovação e o certificado gerado; 17 de abril de 2015 Página 25

26 d) a assinatura digital do executante. Autoridade Certificadora CAIXA A AC a que esteja vinculada a AR define, em documento disponível nas auditorias de conformidade, o local de arquivamento das cópias dos documentos para identificação apresentadas no momento da solicitação e revogação de certificados e dos termos de titularidade Freqüência de auditoria de registros (logs) A periodicidade de auditoria de registros não é superior a uma semana, sendo que os registros de auditoria são analisados pelo pessoal operacional da AC CAIXA. Todos os eventos significativos são explicados em relatório de auditoria de registros. Tal análise envolve uma inspeção breve de todos os registros, verificando-se que não foram alterados, em seguida procede-se a uma investigação mais detalhada de quaisquer alertas ou irregularidades nesses registros. Todas as ações tomadas em decorrência dessa análise são documentadas Período de retenção para registros (logs) de auditoria A AC CAIXA mantém localmente em suas instalações, os seus registros de auditoria por pelo menos 2 (dois) meses e, subseqüentemente, faz armazenamento de acordo com o descrito no item Proteção de registro (log) de auditoria O sistema de registro de eventos de auditoria inclui mecanismos para proteger os arquivos de auditoria contra leitura não autorizada, modificação e remoção, através das funcionalidades nativas dos sistemas operacionais Os equipamentos da AC CAIXA, onde são gerados os diversos registros de sistemas pelo sistema operacional, banco de dados e do aplicativo de AC, encontram-se fisicamente em ambiente classificado como nível 4 de segurança Os documentos são protegidos contra leitura não autorizada, modificação e remoção, conforme política de classificação informação A inspeção contínua dos diversos registros dos sistemas é feita por meio de ferramentas nativas do sistema operacional, banco de dados e do aplicativo da AC CAIXA, e estão disponíveis somente para leitura. Pode ser feita também, por relatórios emitidos a partir destas ferramentas. Estes dados de auditoria são coletados e armazenados periodicamente em sala de arquivo, de nível 3 de segurança O responsável por esta inspeção é o Supervisor de Segurança da AC CAIXA ou seus designados Os registros de auditoria gerados eletrônica ou manualmente são obrigatoriamente protegidos contra leitura não autorizada, modificação e remoção, e classificados e mantidos conforme sua classificação, segundo os requisitos da POLÍTICA DE SEGURANÇA DA ICP- BRASIL [8] Procedimentos para cópia de segurança (backup) de registro (log) de auditoria Os registros de eventos e sumários de auditoria do equipamento off-line utilizado pela AC CAIXA têm cópias de segurança semanais ou sempre que houver alguma utilização deste equipamento Sistema de coleta de dados de auditoria A AC CAIXA realiza a coleta de todos os eventos relacionados à segurança do seu sistema de certificação, sendo uma combinação de processos automatizados e manuais executados pelo sistema operacional, pelos sistemas de certificação da AC CAIXA e das AR a ela vinculada, pelo sistema de controle de acesso e pelo pessoal operacional. 17 de abril de 2015 Página 26