DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO AUTORIDADE CERTIFICADORA CAIXA PF (DPC AC CAIXA PF)

Transcrição

1 DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO DA AUTORIDADE CERTIFICADORA CAIXA PF (DPC AC CAIXA PF) 17 de abril de 2015

2 Controle de Alterações Versão Data Motivo Descrição /04/15 Alteração do endereço do sítio da internet de Certificação Digital na CAIXA. Expiração da cadeia v1 em 31/12/2014. Os itens , , , 3.4.1, , tiveram seus endereços de internet alterados para: Exclusão de informações da cadeia v1 nos itens , , , de abril de 2015 Página 2

3 Declaração de Prática de Certificação ÍNDICE 1. INTRODUÇÃO VISÃO GERAL IDENTIFICAÇÃO COMUNIDADE E APLICABILIDADE DADOS DE CONTATO DISPOSIÇÕES GERAIS OBRIGAÇÕES E DIREITOS RESPONSABILIDADES RESPONSABILIDADE FINANCEIRA INTERPRETAÇÃO E EXECUÇÃO TARIFAS DE SERVIÇO PUBLICAÇÃO E REPOSITÓRIO FISCALIZAÇÃO E AUDITORIA DE CONFORMIDADE SIGILO DIREITOS DE PROPRIEDADE INTELECTUAL IDENTIFICAÇÃO E AUTENTICAÇÃO REGISTRO INICIAL GERAÇÃO DE UM NOVO PAR DE CHAVES ANTES DA EXPIRAÇÃO DO ATUAL GERAÇÃO DE UM NOVO PAR DE CHAVES APÓS EXPIRAÇÃO OU REVOGAÇÃO SOLICITAÇÃO DE REVOGAÇÃO REQUISITOS OPERACIONAIS SOLICITAÇÃO DE CERTIFICADO EMISSÃO DE CERTIFICADO ACEITAÇÃO DE CERTIFICADO SUSPENSÃO E REVOGAÇÃO DE CERTIFICADO PROCEDIMENTOS DE AUDITORIA DE SEGURANÇA ARQUIVAMENTO DE REGISTROS TROCA DE CHAVE COMPROMETIMENTO E RECUPERAÇÃO DE DESASTRE EXTINÇÃO DOS SERVIÇOS DE AC, AR OU PSS CONTROLES DE SEGURANÇA FÍSICA, PROCEDIMENTAL E DE PESSOAL de abril de 2015 Página 3

4 5.1. CONTROLES FÍSICOS CONTROLES PROCEDIMENTAIS CONTROLES DE PESSOAL CONTROLES TÉCNICOS DE SEGURANÇA GERAÇÃO E INSTALAÇÃO DO PAR DE CHAVES PROTEÇÃO DA CHAVE PRIVADA OUTROS ASPECTOS DO GERENCIAMENTO DO PAR DE CHAVES DADOS DE ATIVAÇÃO CONTROLES DE SEGURANÇA COMPUTACIONAL CONTROLES TÉCNICOS DO CICLO DE VIDA CONTROLES DE SEGURANÇA DE REDE CONTROLES DE ENGENHARIA DO MÓDULO CRIPTOGRÁFICO PERFIS DE CERTIFICADO E LCR DIRETRIZES GERAIS PERFIL DO CERTIFICADO PERFIL DE LCR ADMINISTRAÇÃO DE ESPECIFICAÇÃO PROCEDIMENTOS DE MUDANÇA DE ESPECIFICAÇÃO POLÍTICAS DE PUBLICAÇÃO E NOTIFICAÇÃO PROCEDIMENTOS DE APROVAÇÃO DOCUMENTOS REFERENCIADOS de abril de 2015 Página 4

5 LISTA DE ACRÔNIMOS SIGLA OU ACRÔNIMO AC AC Raiz AR CEI CG CMM-SEI CMVP CN CNE CNPJ COBIT COSO CPF DMZ DN DPC ICP-Brasil IDS IEC ISO ITSEC ITU LCR NBR NIS NIST OCSP OID OU PASEP PC PCN PIS POP PS PSS RFC RG SNMP TCSEC TSDM UF URL DESCRIÇÃO Autoridade Certificadora Autoridade Certificadora Raiz da ICP-Brasil Autoridades de Registro Cadastro Específico do INSS Comitê Gestor Capability Maturity Model do Software Engineering Institute Cryptographic Module Validation Program Common Name Carteira Nacional de Estrangeiro Cadastro Nacional de Pessoas Jurídicas Control Objectives for Information and related Technology Committee of Sponsoring Organizations Cadastro de Pessoas Físicas Zona Desmilitarizada Distinguished Name Infra-Estrutura de Chaves Públicas Brasileira Sistemas de Detecção de Intrusão International Electrotechnical Commission International Organization for Standardization Information Technology Security Evaluation Criteria International Telecommunications Union Lista de Certificados Revogados Norma Brasileira Número de Identificação Social National Institute of Standards and Technology Online Certificate Status Protocol Object Identifier Organization Unit Programa de Formação do Patrimônio do Servidor Público Políticas de Certificado Plano de Continuidade de NE Programa de Integração Social Proof of Possession Política de Segurança Prestadores de Serviço de Suporte Request For Comments Registro Geral Simple Network Management Protocol Trusted System Evaluation Criteria Trusted Software Development Methodology Unidade da Federação Uniform Resource Location 17 de abril de 2015 Página 5

6 1. INTRODUÇÃO 1.1. Visão Geral Este documento descreve as práticas e os procedimentos empregados pela Autoridade Certificadora CAIXA PF, a seguir designada simplesmente por AC CAIXA PF, na execução de seus serviços A da AC CAIXA PF, a seguir designada simplesmente por DPC AC CAIXA PF, é elaborada no âmbito da ICP-Brasil e adota obrigatoriamente a estrutura dos Requisitos Mínimos para as Declarações de Práticas de Certificação das Autoridades Certificadoras da ICP-Brasil (DOC-ICP-05) Identificação A DPC AC CAIXA PF descreve as práticas e procedimentos empregados pela AC CAIXA PF no âmbito da ICP-Brasil O OID deste documento é Comunidade e Aplicabilidade Autoridade Certificadora CAIXA Esta DPC refere-se à AC CAIXA PF, integrante da ICP-Brasil (Infra-Estrutura de Chaves Públicas Brasileira), com sede em Brasília, Distrito Federal, Brasil Autoridades de Registro Os processos de recebimento, validação e encaminhamento de solicitações de emissão ou de revogação de certificados digitais e de identificação dos solicitantes da AR CAIXA estão disponíveis na página de Internet a) informações sobre as PCs implementadas; b) endereços de todas as instalações técnicas, autorizadas pela AC Raiz a funcionar, além dos endereços dos Pontos de Atendimento (local, externo à Instalação Técnica e interno à AR, onde é realizada a etapa de validação dos documentos no processo de certificação digital); c) relação dos postos provisórios autorizados pela AC Raiz a funcionar, com data de criação e encerramento de atividades; d) relação de AR que tenham se descredenciado da cadeia da AC CAIXA PF, com respectiva data do descredenciamento; e) relação de instalações técnicas credenciadas que tenham deixado de operar, com respectiva data de encerramento das atividades; f) acordos operacionais celebrados pela AR CAIXA com outras AR da ICP-Brasil, se for o caso A AC CAIXA PF mantém as informações acima sempre atualizadas Prestador de Serviço de Suporte Não se aplica Titulares de Certificado Os Titulares dos Certificados de Assinatura Digital emitidos pela AC CAIXA PF são pessoas físicas, observado o item desta DPC. 17 de abril de 2015 Página 6

7 Aplicabilidade Autoridade Certificadora CAIXA PF As políticas de Certificado implementadas pela AC CAIXA PF são: Tabela 1: PC implementadas pela AC CAIXA PF Política de Certificado Nome conhecido OID Política de Certificado de Assinatura Digital Tipo A1 da AC CAIXA Pessoa Física Política de Certificado de Assinatura Digital Tipo A3 da AC CAIXA Pessoa Física PC AC CAIXA PF - A PC AC CAIXA PF - A As aplicações para as quais são adequados os certificados emitidos pela AC CAIXA PF e, quando cabíveis, as aplicações para as quais existam restrições ou proibições para o uso desses certificados, estão relacionadas na Política de Certificado correspondente Dados de Contato Instituição Nome: Caixa Econômica Federal Endereço: SBS Quadra 4, Lotes 3 e 4, Brasília DF, CEP: Unidade para Suporte Nome: CERAT Centralizadora Nacional de Atendimento em Telesserviços/BA Endereço: Rua Ewerton Visco, Caminho das Árvores, Salvador BA, CEP: Telefone: ceratsa@caixa.gov.br 2. DISPOSIÇÕES GERAIS 2.1. Obrigações e direitos Nos itens a seguir estão descritas as obrigações gerais das entidades envolvidas Obrigações da AC CAIXA PF a) operar de acordo com esta DPC e com as PCs utilizadas; b) gerar e gerenciar o seu par de chaves criptográficas; c) assegurar a proteção de suas chaves privadas; d) notificar a AC CAIXA, emitente do seu certificado, quando ocorrer comprometimento de sua chave privada e solicitar a imediata revogação desse certificado; e) notificar os seus usuários quando ocorrer suspeita de comprometimento de sua chave privada, emissão de novo par de chaves e correspondente certificado, ou o encerramento de suas atividades; f) distribuir e publicar o seu próprio certificado; g) emitir, expedir e distribuir os certificados de AR a ela vinculadas e de seus usuários finais; h) informar a emissão do certificado ao respectivo solicitante; i) revogar, de acordo com o disposto nesta DPC, os certificados por ela emitidos; j) emitir, gerenciar e publicar suas LCR. A AC CAIXA PF não disponibiliza consulta on-line de situação do certificado (OCSP); 17 de abril de 2015 Página 7

8 k) publicar em sua página de internet sua DPC e as PCs aprovadas que implementa; l) publicar, em sua página de internet, as informações definidas no item deste documento; m) publicar, em página de internet, informações sobre o descredenciamento de AR bem como sobre extinção de instalação técnica; n) utilizar protocolo de comunicação seguro ao disponibilizar serviços para os solicitantes ou usuários de certificados digitais via internet; o) identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil; p) adotar as medidas de segurança e controle previstas nesta DPC, nas PCs e na PS da AC CAIXA PF, que envolvem seus processos, procedimentos e atividades, observadas as normas, critérios, práticas e procedimentos da ICP-Brasil; q) manter a conformidade dos seus processos, procedimentos e atividades com as normas, práticas e regras da ICP-Brasil e com a legislação vigente; r) manter e garantir a integridade, o sigilo e a segurança da informação por ela tratada; s) manter e testar anualmente seu PCN, conforme definido nesta DPC; t) manter contrato de seguro de cobertura de responsabilidade civil decorrente das atividades de certificação digital e de registro, com cobertura suficiente compatível com o risco dessas atividades, de acordo com as normas do CG da ICP-Brasil; u) informar às terceiras partes e titulares de certificado acerca das garantias, coberturas, condicionantes e limitações estipuladas pela Apólice de Seguro de responsabilidade civil contratada pela AC CAIXA PF nos termos acima; v) informar à AC Raiz, mensalmente, a quantidade de certificados digitais emitidos; e w) não emitir certificado com prazo de validade que se estenda além do prazo de validade de seu próprio certificado Obrigações das AR vinculadas à AC CAIXA PF a) receber solicitações de emissão ou de revogação de certificados; b) confirmar a identidade do solicitante e a validade da solicitação; c) encaminhar a solicitação de emissão ou de revogação de certificado à AC CAIXA PF, utilizando protocolo de comunicação seguro, conforme padrão definido no documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL [1]; d) informar aos respectivos titulares a emissão ou a revogação de seus certificados; e) disponibilizar os certificados emitidos pela AC CAIXA PF aos seus respectivos solicitantes; f) identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil; g) manter a conformidade dos seus processos, procedimentos e atividades com as normas, critérios, práticas e regras estabelecidas pela AC vinculada e pela ICP-Brasil, em especial com o contido no documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL [1]; h) manter e garantir a segurança da informação por elas tratada, de acordo com o estabelecido nas normas, critérios, práticas e procedimentos da ICP-Brasil; i) manter e testar anualmente seu Plano de Continuidade do Negócio - PCN; 17 de abril de 2015 Página 8

9 j) proceder o reconhecimento das assinaturas e da validade dos documentos apresentados na forma do item 3.1.9; k) garantir que todas as aprovações de solicitação de certificados sejam realizadas em instalações técnicas autorizadas a funcionar como AR vinculadas credenciadas Obrigações do Titular do Certificado a) fornecer, de modo completo e preciso, todas as informações necessárias para sua identificação; b) garantir a proteção e o sigilo de suas chaves privadas, senhas e dispositivos criptográficos; c) utilizar os seus certificados e chaves privadas de modo apropriado, conforme previsto na PC correspondente; d) conhecer os seus direitos e obrigações, contemplados pela DPC e pela PC correspondente e por outros documentos aplicáveis da ICP-Brasil; e) informar à AC CAIXA PF qualquer comprometimento de sua chave privada e solicitar a imediata revogação do certificado correspondente Direitos da terceira parte (Relying Party) Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do certificado digital Constituem direitos da terceira parte: a) recusar a utilização do certificado para fins diversos dos previstos na PC correspondente; b) verificar, a qualquer tempo, a validade do certificado. Um certificado emitido pela AC CAIXA PF, integrante da ICP-Brasil, é considerado válido quando: i. não constar da LCR da AC CAIXA PF; ii. não estiver expirado; e iii. puder ser verificado com o uso de certificado válido da AC CAIXA PF O não exercício desses direitos não afasta a responsabilidade da AC CAIXA PF e do titular do certificado Obrigações do Repositório a) dispor, logo após a emissão, os certificados emitidos pela AC CAIXA PF e sua LCR; b) estar disponível para consulta durante 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana; e c) implementar os recursos necessários para a segurança dos dados nele armazenados Responsabilidades Responsabilidades da AC CAIXA PF A AC CAIXA PF responde pelos danos a que der causa A AC CAIXA PF, responde solidariamente pelos atos das entidades de sua cadeia de certificação: AR Não se aplica Responsabilidades da AR A AR será responsável pelos danos a que der causa. 17 de abril de 2015 Página 9

10 2.3. Responsabilidade Financeira Autoridade Certificadora CAIXA PF Indenizações devidas pela terceira parte (Relying Party) Não existe responsabilidade da terceira parte (Relying Party) perante a AC CAIXA PF ou AR a ela vinculadas, exceto na hipótese de prática de ato ilícito Relações Fiduciárias A AC CAIXA PF dispõe de uma apólice de seguro de responsabilidade civil que se estende a todos titulares de certificados digitais por ela emitidos A AC CAIXA PF ou AR indenizará integralmente os danos a que comprovadamente der causa A apólice de seguro de responsabilidade civil cobre perdas e danos decorrentes de comprometimento da chave privada da AC CAIXA PF, de erro na identificação do titular, de emissão defeituosa do certificado ou de erros ou omissões da AC CAIXA PF e da AR vinculada na prestação de seus serviços Processos Administrativos O titular do certificado que sofrer perdas e danos decorrentes do uso do Certificado Digital emitido pela AC CAIXA PF tem o direito de comunicar à AC CAIXA PF que deseja a indenização prevista na apólice de seguro de responsabilidade civil. Para tais casos, são observadas as seguintes condições: a) nos casos de perdas e danos decorrentes de comprometimento da chave privada da AC CAIXA PF, tal comprometimento deve ter sido comprovado por perícia realizada por perito especializado e independente; b) nos casos de erro na identificação, o titular do certificado não pode requerer qualquer indenização quando os dados constantes no certificado corresponderem aos dados fornecidos por esse titular à AC CAIXA PF; c) nos casos de erro na transcrição, o titular do certificado não pode requerer qualquer indenização quando houver aceitado o certificado Interpretação e Execução Legislação A DPC AC CAIXA PF obedece às leis da República Federativa do Brasil incluindo a Medida Provisória número de 24 de agosto de 2001, bem como as resoluções do CG da ICP-Brasil Forma de interpretação e notificação Na hipótese de uma ou mais das disposições desta DPC, por qualquer razão, ser considerada inválida, ilegal, ou não aplicável, somente essa disposição é afetada, todas as demais permanecem válidas dentro do escopo de abrangência deste documento. A AC CAIXA PF promoverá a correção do item em desacordo, no prazo máximo de 30 dias. As práticas e procedimentos descritos nesta DPC não prevalecerão sobre as normas, critérios, práticas e procedimentos da ICP-Brasil Todas solicitações, notificações ou quaisquer outras comunicações necessárias sujeitas às práticas descritas nessa DPC serão realizadas por iniciativa da AC CAIXA PF por intermédio de seus responsáveis e enviadas formalmente ao CG da ICP-Brasil Procedimentos de solução de disputa Em caso de conflito entre esta DPC e outras declarações, políticas, planos, acordos, contratos ou documentos no âmbito da AC CAIXA PF, prevalecem o disposto nesta DPC. 17 de abril de 2015 Página 10

11 As práticas e os procedimentos descritos nesta DPC não prevalecerão sobre as normas, critérios, práticas e procedimentos da ICP-Brasil Os casos omissos serão encaminhados para apreciação da AC Raiz Tarifas de Serviço Tarifas de emissão e renovação de certificados As tarifas estão estabelecidas no Site Institucional da Caixa na Tabela de Tarifas item Identidade Digital Tarifas de acesso ao certificado Não se aplica Tarifas de revogação ou de acesso a informação de status Não se aplica Tarifas para outros serviços Não se aplica Política de reembolso Caso o certificado deva ser revogado por motivo de comprometimento da chave privada da AC CAIXA PF ou da mídia armazenadora da chave privada da AC CAIXA PF, ou ainda quando constatada a emissão imprópria ou defeituosa, imputável à AC CAIXA PF, esta reembolsa a tarifa cobrada, exceto em caso de emissão de outro certificado em substituição, sem ônus adicional Publicação e Repositório Publicação de informação da AC CAIXA PF A AC CAIXA PF publica e mantém disponível em sua página de Internet (Erro! A referência de hiperlink não é válida. as informações descritas no item A disponibilidade da página da AC CAIXA PF é de, no mínimo, 99,5% (noventa e nove vírgula cinco por cento) do mês, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana As seguintes informações são publicadas pela AC na página de Internet: a) o certificado da AC CAIXA PF; b) sua LCR; c) esta DPC; d) as PCs que opere; e) uma relação, regularmente atualizada, contendo os Pontos de Atendimento vinculados e seus respectivos endereços de instalações técnicas em funcionamento; f) uma relação, regularmente atualizada, da AR vinculada que tenham celebrado acordos operacionais com outras AR da ICP-Brasil, contendo informações sobre os pontos do acordo que sejam de interesse dos titulares e solicitantes de certificado; g) não se aplica Freqüência de publicação São publicadas sempre as versões mais recentes desta DPC e PCs correspondentes, logo após a aprovação A LCR da AC CAIXA PF é atualizada no período definido nas PCs correspondentes. 17 de abril de 2015 Página 11

12 Certificados são publicados imediatamente após sua emissão Controles de acesso As informações publicadas pela AC CAIXA PF não possuem restrição de acesso para leitura São utilizados controles de acesso apropriados para restringir a possibilidade de escrita ou modificação destes documentos somente a pessoas autorizadas Repositórios A localização lógica do repositório da AC CAIXA PF é Os repositórios estão disponíveis em no mínimo 99,5% (noventa e nove vírgula cinco por cento) do mês, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana Os repositórios da AC CAIXA PF são acessados, utilizando o protocolo de acesso http Os repositórios obedecem aos requisitos de segurança estabelecidos no item 5 desta DPC Fiscalização e Auditoria de Conformidade As fiscalizações e auditorias realizadas na AC CAIXA PF têm por objetivo verificar se os processos, procedimentos e atividades da AC estão em conformidade com suas respectivas DPCs, PCs, PSs e demais normas e procedimentos estabelecidos pela ICP-Brasil As fiscalizações na AC CAIXA PF são realizadas pela AC Raiz, por meio de servidores de seu quadro próprio, a qualquer tempo, sem aviso prévio, observado o disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [2] As auditorias da AC CAIXA PF são realizadas pela AC Raiz, por meio de servidores de seu quadro próprio, ou por terceiros por ela autorizados, observado o disposto no documento CRITÉRIOS E PROCEDIMENTOS AUDITORIAS DAS ENTIDADES INTEGRANTES DA ICP- BRASIL [3] A AC CAIXA PF recebeu auditoria prévia da AC Raiz para fins de credenciamento na ICP-Brasil e é auditada anualmente, para fins de manutenção do credenciamento, com base no disposto no documento CRITÉRIOS E PROCEDIMENTOS AUDITORIAS DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3]. Esse documento trata do objetivo, freqüência e abrangência das auditorias, da identidade e qualificação do auditor e demais temas correlacionados A AR CAIXA informa que as entidades a ela diretamente vinculadas AC, AR e PSS receberam auditoria prévia para fins de credenciamento, e a AC CAIXA PF é responsável pela realização de auditorias anuais nessas entidades, para fins de manutenção de credenciamento, conforme disposto no documento citado no parágrafo anterior Sigilo Disposições Gerais A chave privada de assinatura digital da AC CAIXA PF é gerada e mantida pela própria AC CAIXA PF, que é responsável pelo seu sigilo. A divulgação ou utilização indevida da chave privada de assinatura pela AC CAIXA PF é de sua inteira responsabilidade Os titulares de certificados emitidos para pessoa física pela AC CAIXA PF são responsáveis pela geração, manutenção e pela garantia do sigilo de suas respectivas chaves privadas, bem como pela divulgação ou utilização indevidas dessas mesmas chaves Não se aplica. 17 de abril de 2015 Página 12

13 Tipos de informações sigilosas Autoridade Certificadora CAIXA PF Todas as informações coletadas, geradas, transmitidas e mantidas pela AC CAIXA PF e as AR vinculadas são consideradas sigilosas, exceto as informações citadas no item Como princípio geral, nenhum documento, informação ou registro fornecido à AC CAIXA PF ou AR a ela vinculada deve ser divulgado Tipos de informações não sigilosas Não são consideradas sigilosas, pela AC CAIXA PF e pelas entidades a ela vinculadas, as seguintes informações: a) os certificados e as LCR emitidos pela AC CAIXA PF; b) informações corporativas ou pessoais que façam parte de certificados ou de diretórios públicos; c) as PCs implementadas pela AC CAIXA PF; d) a DPC da AC CAIXA PF; e) as versões públicas de PS; f) a conclusão dos relatórios de auditorias Divulgação de informação de revogação ou suspensão de certificado Não são divulgadas as razões para a revogação dos certificados emitidos pela AC CAIXA PF para terceiros, exceto nos casos em que houver determinação judicial ou governamental As razões para revogação do certificado sempre serão informadas para o seu titular, e serão tornadas públicas desde que haja autorização expressa deste A suspensão de certificados não é admitida no âmbito da ICP-Brasil Quebra de sigilo por motivos legais Todos os documentos, informações ou registros sob a guarda da AC CAIXA PF ou AR a ela vinculadas, são considerados sigilosos nos termos dessa DPC e não são divulgados, exceto mediante ordem judicial corretamente constituída, desde que tecnicamente possível Informações a terceiros Como diretriz geral, nenhum documento, informação ou registro sob a guarda da AR ou AC CAIXA PF é fornecido a qualquer pessoa, exceto quando a pessoa que o requerer, por meio de instrumento devidamente constituído, estiver autorizada para fazê-lo e corretamente identificada Divulgação por solicitação do titular O titular de certificado, ou seu representante legal, poderá ter acesso a quaisquer dos seus dados ou identificações, ou poderá autorizar a divulgação de seus registros a outras pessoas Para tanto a solicitação de liberação da informação pela AC CAIXA PF somente é permitida mediante autorização formal do titular do certificado Outras circunstâncias de divulgação de informação A AC CAIXA PF e a AR CAIXA podem divulgar informações que não sejam consideradas sigilosas pelo fato de terem sido requisitadas por determinação judicial ou governamental, obrigando-se a AC CAIXA PF, nesse caso, a comunicar previamente, se possível, e de imediato, o solicitante ou titular do certificado a existência de tal determinação Direitos de Propriedade Intelectual 17 de abril de 2015 Página 13

14 Os direitos de propriedade intelectual de certificados, políticas, especificações de práticas e procedimentos, nomes e chaves criptográficas, são tratados de acordo com a legislação vigente. 3. IDENTIFICAÇÃO E AUTENTICAÇÃO 3.1. Registro Inicial Disposições Gerais Neste item e nos seguintes, esta DPC descreve os requisitos e procedimentos utilizados pelas AR vinculadas à AC CAIXA PF para realização dos seguintes processos: a) Validação da solicitação de certificado compreende as etapas abaixo, realizadas mediante a presença física do interessado, com base nos documentos de identificação citado no item 3.1.9: i. confirmação da identidade de um indivíduo: comprovação de que a pessoa que se apresenta como titular do certificado de pessoa física é realmente aquela cujos dados constam na documentação apresentada, vedada qualquer espécie de procuração para tal fim; ii. não se aplica; iii. validação do certificado: conferência dos dados da solicitação de certificado com os constantes dos documentos apresentados e liberação para o segundo agente de registro realizar a verificação da solicitação do certificado. b) Verificação da solicitação de certificado confirmação da validação realizada, observando que é executada, obrigatoriamente: i. por agente de registro distinto do que executou a etapa de validação; ii. iii. iv. em uma das instalações técnicas da AR devidamente autorizadas a funcionar pela AC Raiz; somente após o recebimento, na instalação técnica da AR, de cópia dos da documentação apresentada na etapa de validação; antes do início da validade do certificado, devendo esse ser revogado automaticamente caso a verificação não tenha ocorrido até o início de sua validade O processo de validação poderá ser realizado pelo agente de registro fora do ambiente físico da AR, desde que utilizado ambiente computacional auditável e devidamente registrado no inventário de hardware e softwares da AR Todas as etapas dos processos de validação e verificação da solicitação de certificado são registradas e assinadas digitalmente pelos executantes, na solução de certificação disponibilizada pela AC CAIXA PF, com a utilização de certificado digital ICP-Brasil no mínimo do tipo A3. Tais registros são feitos de forma a permitir a reconstituição completa dos processos executados, para fins de auditoria São mantidos arquivos com cópias de todos os documentos utilizados para confirmação da identidade de uma organização e/ou de um indivíduo. Tais cópias serão mantidas em papel ou em forma digitalizada, observadas as condições definidas no documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL [1] Nos casos de certificado digital emitido para Servidores do Serviço Exterior Brasileiro, em missão permanente no exterior, assim caracterizados conforme a Lei nº , de 29 de dezembro de 2006, se houver impedimentos para a identificação conforme o disposto no subitem deste documento, é facultada a remessa da documentação pela mala 17 de abril de 2015 Página 14

15 diplomática e a realização da identificação por outros meios seguros, a serem definidos e aprovados pela AC Raiz da ICP-Brasil Não se aplica Tipos de nomes A AC CAIXA PF emite certificados com nomes que permitam a identificação unívoca. Para isso utiliza o Distinguished Name do padrão ITU X Não se aplica Necessidade de nomes significativos Todos os certificados emitidos pela AC CAIXA PF incluem um identificador único que possibilita determinar a identidade da pessoa a que se refere Regras para interpretação de vários tipos de nomes Não se aplica Unicidade de nomes Os identificadores do tipo Distinguished Name (DN) são únicos e não ambíguos para cada titular de certificado no âmbito da AC CAIXA PF. Números ou letras adicionais podem ser incluídos ao nome para assegurar a unicidade do campo, conforme o padrão ITU X Procedimento para resolver disputa de nomes A AC CAIXA PF reserva-se o direito de tomar todas as decisões na hipótese de haver disputa decorrente da igualdade de nomes entre diversos solicitantes de certificados. Durante o processo de confirmação de identidade, caberá ao solicitante do certificado provar o seu direito de uso de um nome específico Reconhecimento, autenticação e papel de marcas registradas Os processos de tratamento, reconhecimento e confirmação de autenticidade de marcas registradas são executados de acordo com a legislação em vigor Método para comprovar a posse de chave privada A AC verifica se a entidade que solicita o certificado possui a chave privada correspondente à chave pública para a qual está sendo solicitado o certificado digital. A RFC 2510 é utilizada como referência para essa finalidade. O método de verificação utilizado é Proof of Possession (POP) of Private Key conforme o item 2.3 da RFC Autenticação da identidade de um indivíduo A confirmação da identidade de um indivíduo é realizada mediante a presença física do interessado, com base em documentos de identificação legalmente aceitos Documentos para efeitos de identificação de um indivíduo Deverá ser apresentada a seguinte documentação, em sua versão original, para fins de identificação de um indivíduo solicitante de certificado: a) Cédula de Identidade ou Passaporte, se brasileiro; b) Carteira Nacional de Estrangeiro CNE, se estrangeiro domiciliado no Brasil; c) não se aplica; d) caso os documentos acima tenham sido expedidos há mais de 5 (cinco) anos ou não possuam fotografia, uma foto colorida recente ou documento de identidade com foto colorida, emitido há no máximo 5 (cinco) anos da data da validação presencial; e) comprovante de residência ou domicílio, emitido há no máximo 3 (três) meses da data da validação presencial; 17 de abril de 2015 Página 15

16 f) não se aplica. Autoridade Certificadora CAIXA PF NOTA 1: Entende-se como cédula de identidade os documentos emitidos pelas Secretarias de Segurança Pública bem como os que, por força de lei, equivalem a documento de identidade em todo o território nacional, desde que contenham fotografia. NOTA 2: Entende-se como comprovante de residência ou de domicílio contas de concessionárias de serviços públicos, extratos bancários ou contrato de aluguel onde conste o nome do titular; na falta desses, declaração emitida pelo titular ou seu empregador. NOTA 3: A emissão de certificados em nome dos absolutamente incapazes e dos relativamente incapazes observará o disposto na lei vigente. NOTA 4: Não se aplica. NOTA 5: Caso não haja suficiente clareza no documento de identificação apresentado, a AR deve solicitar outro documento, preferencialmente a CNH Carteira Nacional de Habilitação ou o Passaporte Brasileiro. NOTA 6: Deverão ser consultadas as bases de dados dos órgãos emissores da Carteira Nacional de Habilitação, e outras verificações documentais expressas no item 7 do documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL [1]. NOTA 7: Caso haja divergência dos dados constantes do documento de identidade, a emissão do certificado digital deverá ser suspensa e o solicitante orientado a regularizar sua situação junto ao órgão responsável Informações contidas no certificado emitido para um indivíduo É obrigatório o preenchimento dos seguintes campos do certificado de uma pessoa física com as informações constantes nos documentos apresentados: a) nome completo, sem abreviações; b) data de nascimento; c) número do documento de identificação i. são aceitos como documentos de identificação: 1) Carteira de Identidade fornecida por órgãos dos Estados, observado o prazo de validade, se houver; 2) Carteira Nacional de Habilitação, no novo modelo, desde que esteja dentro do prazo de validade; 3) Carteira Funcional emitida por repartições públicas ou por órgãos de classe dos profissionais liberais, desde que tenha fé pública reconhecida por Decreto, observado prazo de validade, se houver; 4) Identidade Militar expedida pelas Forças Armadas ou forças auxiliares para seus membros ou dependentes, observado prazo de validade, se houver; 5) Passaporte brasileiro, desde que esteja dentro do prazo de validade; 6) Se estrangeiro, Carteira de Identidade de Estrangeiro emitida pelo Ministério da Justiça do Brasil por meio da Polícia Federal, desde que esteja dentro do prazo de validade. d) Cadastro de Pessoas Física (CPF) Para os certificados emitidos na AC CAIXA PF os documentos abaixo relacionados são opcionais: a) número de Identificação Social - NIS (PIS, PASEP ou CI); b) número do Cadastro Especifico do INSS (CEI); 17 de abril de 2015 Página 16

17 c) número do Título de Eleitor; Zona Eleitoral; Seção; Município e UF do Título de Eleitor Para tanto, o titular deverá apresentar a documentação respectiva, caso a caso, em sua versão original. É mantido arquivo com as cópias de todos os documentos utilizados. NOTA 1: É permitida a substituição dos documentos elencados acima por documento único, desde que este seja oficial e contenha as informações constantes daqueles. NOTA 2: O cartão CPF poderá ser substituído por consulta à página da Receita Federal, devendo a cópia da mesma ser arquivada junto à documentação, para fins de auditoria Autenticação da identidade de uma organização Não se aplica Autenticação da identidade de equipamento ou aplicação Não se aplica Geração de um novo par de chaves antes da expiração do atual Antes da expiração do certificado o titular pode solicitar à AC CAIXA PF a geração de novo par de chaves, e de seu correspondente certificado Esse processo deverá ser conduzido segundo uma das seguintes possibilidades: a) Enviando à AC CAIXA PF uma solicitação de renovação, por meio eletrônico, assinada digitalmente com o certificado PF, limitada a 1 (uma) ocorrência sucessiva; b) Nos demais casos ou quando o solicitante não usar o meio eletrônico, são observados os mesmos requisitos e procedimentos exigidos para a solicitação inicial do certificado, conforme item 4.1 desta DPC; c) Não se aplica Não se aplica Geração de um novo par de chaves após expiração ou revogação Após a expiração ou revogação do certificado, o solicitante pode solicitar um novo certificado observando os mesmos requisitos e procedimentos exigidos para a solicitação inicial do certificado, conforme item 4.1 desta DPC Não se aplica Solicitação de Revogação Solicitações de revogação de certificados podem ser feitas na página de Internet A solicitação também poderá ser feita pessoalmente em um dos Pontos de Atendimento vinculados à AC CAIXA PF. Para isso o solicitante deve apresentar um documento de identificação e cópia. É emitido o Termo de Revogação que deve ser assinado pelo solicitante. A cópia do documento de identificação e o Termo e Revogação serão arquivados na AR. 4. REQUISITOS OPERACIONAIS 4.1. Solicitação de Certificado O processo de solicitação de certificados compreende: a) a comprovação de atributos de identificação constantes do certificado, conforme item 3.1; 17 de abril de 2015 Página 17

18 b) a autenticação do agente de registro responsável pelas solicitações de emissão e de revogação de certificados mediante o uso de certificado digital do tipo A3; c) um termo de titularidade assinado pelo titular do certificado, conforme adendo referente ao TERMO DE TITULARIDADE [4] Não se aplica Não se aplica Não se aplica Emissão de Certificado O processo de emissão do certificado ocorre da seguinte forma: a) O solicitante do certificado acessa no endereço eletrônico da AC CAIXA PF a página de emissão de certificados; b) O solicitante informa os números de identificação recebidos durante o processo de solicitação, informando o dispositivo de armazenamento desejado; c) Ao confirmar o processo, será gerado um par de chaves e a chave pública será enviada para a AC CAIXA PF, em formato PKCS#10; d) O sistema de certificação da CAIXA gerará o certificado do solicitante no formato PKCS#7 para gravação no dispositivo de armazenamento, apresentando mensagem de confirmação de emissão e armazenamento O certificado é considerado válido a partir do momento de sua emissão Aceitação de Certificado O recebimento de um certificado de Pessoa Física, pelo titular, e o uso subsequente das chaves e certificado, constituem aceitação formal do certificado por parte do titular do certificado, conforme declaração de aceite constante no Termo de Titularidade Caso contrário, o titular solicita imediatamente a revogação do mesmo Não se aplica Suspensão e Revogação de Certificado Circunstâncias para revogação Um certificado emitido pela AC CAIXA PF poderá ser revogado nas seguintes circunstâncias: a) quando houver interesse do titular; b) solicitação de revogação enviada à AC CAIXA PF por determinação judicial ou por um terceiro autorizado; c) solicitação de revogação feita por uma pessoa com procuração do Titular do certificado; d) quando houver perda de acesso lógico à mídia que o contém Um certificado emitido pela AC CAIXA PF é obrigatoriamente revogado nas seguintes circunstâncias: a) quando constatada emissão imprópria ou defeituosa do certificado; b) quando for necessária a alteração de qualquer informação constante no certificado; c) no caso de dissolução da AC CAIXA PF; ou 17 de abril de 2015 Página 18

19 d) no caso de comprometimento ou suspeita de comprometimento da chave privada correspondente ou da sua mídia armazenadora Observa-se ainda que: a) a AC CAIXA PF deve revogar, no prazo definido no item 4.4.3, o certificado da entidade que deixar de cumprir as políticas, normas e regras estabelecidas para a ICP-Brasil; b) O CG da ICP-Brasil ou a AC Raiz deverá determinar a revogação do certificado da AC que deixar de cumprir a legislação vigente ou as políticas, normas, práticas e regras estabelecidas para a ICP-Brasil Quem pode solicitar revogação A revogação de um certificado da AC CAIXA PF somente pode ser feita: a) por solicitação do titular do certificado; b) não se aplica; c) não se aplica; d) pela AC CAIXA PF; e) por uma AR CAIXA; f) por determinação do CG da ICP-Brasil ou da AC Raiz; g) não se aplica Procedimento para solicitação de revogação A AC CAIXA PF garante que todos os agentes habilitados, conforme o item 4.4.2, possam, facilmente e a qualquer tempo, solicitar a revogação dos seus respectivos certificados em questão Como diretriz geral fica estabelecido que: a) o solicitante da revogação de um certificado é identificado; b) as solicitações de revogação, bem como as ações delas decorrentes, são registradas e armazenadas; c) as justificativas para a revogação de um certificado são documentadas; d) o processo de revogação de um certificado termina com a geração e a publicação de uma LCR que contenha o certificado revogado O prazo máximo admitido para a conclusão do processo de revogação de certificado, após o recebimento da respectiva solicitação, para todos os tipos de certificado previstos pela ICP-Brasil é de 12 (doze) horas Não se aplica A AC CAIXA PF responde plenamente por todos os danos causados pelo uso de um certificado no período compreendido entre a solicitação de sua revogação e a emissão da correspondente LCR Não se aplica Prazo para solicitação de revogação A solicitação de revogação é imediata quando configuradas as circunstâncias definidas no seu item A AC CAIXA PF estabelece o prazo de 3 (três) dias úteis para a aceitação do certificado por seu titular, a contar da emissão, dentro dos quais a revogação do certificado poderá ser solicitada sem quaisquer ônus Não se aplica. 17 de abril de 2015 Página 19

20 Circunstâncias para suspensão Autoridade Certificadora CAIXA PF A suspensão de certificados não é admitida no âmbito da ICP-Brasil Quem pode solicitar suspensão A suspensão de certificados não é admitida no âmbito da ICP-Brasil Procedimento para solicitação de suspensão A suspensão de certificados não é admitida no âmbito da ICP-Brasil Limites no período de suspensão A suspensão de certificados não é admitida no âmbito da ICP-Brasil Freqüência de emissão de LCR A LCR da AC CAIXA PF é atualizada, no máximo, a cada 6 (seis) horas Os números de série de certificados de qualquer entidade final que estejam revogados aparecerão na LCR emitida pela AC CAIXA PF. Estes números permanecerão nas LCR emitidas até a data de expiração dos certificados ser atingida, sendo removidos na primeira LCR emitida após a data de suas expirações São emitidas LCR a cada 6 (seis) horas, mesmo quando não houver nenhuma mudança ou atualização, para assegurar a periodicidade da informação Não se aplica Requisitos para verificação de LCR Todos os certificados emitidos pela AC CAIXA PF têm a validade verificada, na LCR da AC CAIXA PF, antes de serem utilizados Também é verificada a autenticidade da LCR da AC CAIXA PF, por meio da verificação da assinatura da AC CAIXA PF e do período de validade da LCR Disponibilidade para revogação ou verificação de status on-line A AC CAIXA PF suporta os processos de revogação de forma on-line que pode ser feito no endereço A única forma de consulta on-line de status de certificado é realizado por meio da LCR Requisitos para verificação de revogação on-line A AC CAIXA PF não disponibiliza diretório on-line ou um servidor de OCSP para verificar o estado dos certificados emitidos Outras formas disponíveis para divulgação de revogação A AC CAIXA PF não suporta outras formas para divulgação da revogação Requisitos para verificação de outras formas de divulgação de revogação Não se aplica Requisitos especiais para o caso de comprometimento de chave Quando houver comprometimento ou suspeita de comprometimento da chave privada, o titular deverá revogar imediatamente o seu certificado. O procedimento para nova emissão seguirá os mesmos requisitos e procedimentos exigidos para a solicitação inicial do certificado, conforme item 4.1 desta DPC Os procedimentos que definem os meios utilizados para comunicar um comprometimento ou suspeita de comprometimento de chave, estão descritos no item desta DPC Procedimentos de Auditoria de Segurança 17 de abril de 2015 Página 20

21 A AC CAIXA PF e todas as AR a ela vinculada mantêm registros e arquivos com informações sobre todas as operações realizadas e trilhas de auditoria geradas para fins de auditoria Tipos de eventos registrados A AC CAIXA PF registra em arquivos de auditoria todos os eventos relacionados à segurança do seu sistema de certificação. Dentre outros, os seguintes eventos devem obrigatoriamente estar incluídos no arquivo de auditoria: a) iniciação e desligamento do sistema de certificação; b) tentativas de criar, remover, definir senhas ou mudar privilégios de sistema dos operadores da AC CAIXA PF; c) mudanças na configuração da AC CAIXA PF ou nas suas chaves; d) mudanças nas políticas de criação de certificados; e) tentativas de acesso (login) e de saída do sistema (logoff); f) tentativas não-autorizadas de acesso aos arquivos de sistema; g) geração de chaves próprias da AC CAIXA PF; h) emissão e revogação de certificados; i) geração de LCR; j) tentativas de iniciar, remover, habilitar e desabilitar usuários de sistemas, e de atualizar e recuperar suas chaves; k) operações falhas de escrita ou leitura no repositório de certificados e da LCR, quando aplicável; e l) operações de escrita nesse repositório, quando aplicável AC CAIXA PF registra, eletrônica ou manualmente, informações de segurança não geradas diretamente pelo seu sistema de certificação, tais como: a) registros de acessos físicos; b) manutenção e mudanças na configuração de seus sistemas; c) mudanças de pessoal e de perfis qualificados; d) relatórios de discrepância e comprometimento; e e) registros de destruição de meios de armazenamento contendo chaves criptográficas, dados de ativação de certificados ou informação pessoal de usuários Os Registros de auditoria mínimos a serem mantidos pela AC CAIXA PF incluem todos: a) registros de inscrição, inclusive registros relativos a solicitações rejeitadas; b) pedidos de geração de certificado, mesmo que a geração não tenha êxito; c) registro de solicitação de emissão de LCR Todos os registros de auditoria, eletrônicos ou manuais, contêm data e hora do evento registrado e a identidade do agente que o causou Para facilitar os processos de auditoria, toda a documentação relacionada aos serviços da AC CAIXA PF é armazenada, eletrônica ou manualmente, em local único, conforme a POLÍTICA DE SEGURANÇA DA ICP-BRASIL [8] A AR vinculada à AC CAIXA PF deve registrar eletronicamente em arquivos de auditoria todos os eventos relacionados à validação e aprovação da solicitação, bem como à 17 de abril de 2015 Página 21

22 revogação de certificados. Os seguintes eventos deverão obrigatoriamente estar incluídos em arquivos de auditoria: a) os agentes de registro que realizaram as operações; b) data e hora das operações; c) a associação entre os agentes que realizaram a validação e aprovação e o certificado gerado; d) a assinatura digital do executante AC a que esteja vinculada a AR define, em documento disponível nas auditorias de conformidade, o local de arquivamento das cópias dos documentos para identificação apresentadas no momento da solicitação e revogação de certificados e dos termos de titularidade Freqüência de auditoria de registros (logs) A periodicidade de auditoria de registros não é superior a uma semana, sendo que os registros de auditoria são analisados pelo pessoal operacional da AC CAIXA PF. Todos os eventos significativos são explicados em relatório de auditoria de registros. Tal análise envolve uma inspeção breve de todos os registros, verificando-se que não foram alterados, em seguida procede-se a uma investigação mais detalhada de quaisquer alertas ou irregularidades nesses registros. Todas as ações tomadas em decorrência dessa análise são documentadas Período de retenção para registros (logs) de auditoria A AC CAIXA PF mantém localmente em suas instalações, os seus registros de auditoria por pelo menos 2 (dois) meses e, subsequentemente, faz armazenamento de acordo com o descrito no item Proteção de registro (log) de auditoria O sistema de registro de eventos de auditoria inclui mecanismos para proteger os arquivos de auditoria contra leitura não autorizada, modificação e remoção, através das funcionalidades nativas dos sistemas operacionais Os equipamentos da AC CAIXA PF, onde são gerados os diversos registros de sistemas pelo sistema operacional, banco de dados e do aplicativo de AC, encontram-se fisicamente em ambiente classificado como nível 4 de segurança Os documentos são protegidos contra leitura não autorizada, modificação e remoção, conforme política de classificação informação A inspeção contínua dos diversos registros dos sistemas é feita por meio de ferramentas nativas do sistema operacional, banco de dados e do aplicativo da AC CAIXA PF, e estão disponíveis somente para leitura. Pode ser feita também, por relatórios emitidos a partir destas ferramentas. Estes dados de auditoria são coletados e armazenados periodicamente em sala de arquivo, de nível 3 de segurança O responsável por esta inspeção é o Supervisor de Segurança da AC CAIXA PF ou seus designados Os registros de auditoria gerados eletronicamente ou manualmente são obrigatoriamente classificados e mantidos conforme sua classificação. Os mecanismos de proteção descritos neste item devem obedecer à POLÍTICA DE SEGURANÇA DA ICP-BRASIL [8] Procedimentos para cópia de segurança (backup) de registro (log) de auditoria Os registros de eventos e sumários de auditoria do equipamento off-line utilizado pela AC CAIXA PF tem cópias de segurança semanais ou sempre que houver alguma utilização deste equipamento. 17 de abril de 2015 Página 22