Declaração de Práticas de Certificação. Autoridade Certificadora. Presidência da República
|
|
|
- Sofia Monteiro Leão
- 8 Há anos
- Visualizações:
Transcrição
1 Declaração de Práticas de Certificação da Autoridade Certificadora da Presidência da República (DPC da ACPR) Versão 2.3 Junho/2008 Página 1 de 45
2 ÍNDICE 1. INTRODUÇÃO VISÃO GERAL IDENTIFICAÇÃO COMUNIDADE E APLICABILIDADE Autoridades Certificadoras Autoridades de Registro Prestador de Serviço de Suporte Titulares de Certificado Aplicabilidade DADOS DE CONTATO DISPOSIÇÕES GERAIS OBRIGAÇÕES E DIREITOS Obrigações da ACPR Obrigações das AR Obrigações do Titular do Certificado Direitos da Terceira Parte (Relying Party) Obrigações do Repositório RESPONSABILIDADES Responsabilidades da ACPR Responsabilidades da AR RESPONSABILIDADE FINANCEIRA Indenizações devidas pela terceira parte usuária (Relying Party) Relações Fiduciárias Processos Administrativos INTERPRETAÇÃO E EXECUÇÃO Legislação Forma de interpretação e notificação Procedimentos de solução de disputa TARIFAS DE SERVIÇO Tarifas de emissão e renovação de certificados Tarifas de acesso ao certificado Tarifas de revogação ou de acesso à informação de status Tarifas para outros serviços Política de reembolso PUBLICAÇÃO E REPOSITÓRIO Publicação de informação da ACPR Freqüência de publicação Controles de acesso Repositórios FISCALIZAÇÃO E AUDITORIA DE CONFORMIDADE SIGILO Disposições Gerais Tipos de informações sigilosas Tipos de informações não sigilosas Divulgação de informação de revogação/suspensão de certificado Quebra de sigilo por motivos legais Informações a terceiros Divulgação por solicitação do titular Outras circunstâncias de divulgação de informação Direitos de Propriedade Intelectual IDENTIFICAÇÃO E AUTENTICAÇÃO REGISTRO INICIAL Disposições Gerais Tipos de nomes Necessidade de nomes significativos Regras para interpretação de vários tipos de nomes Versão 2.3 Junho/2008 Página 2 de 45
3 3.1.5 Unicidade de nomes Procedimento para resolver disputa de nomes Reconhecimento, autenticação e papel de marcas registradas Método para comprovar a posse de chave privada Autenticação da identidade de um indivíduo Documentos para efeito de identificação de um indivíduo Informações contidas no certificado emitido para um indivíduo Autenticação da Identidade de uma organização Disposições Gerais Documentos para efeitos de identificação de uma organização Informações contidas no certificado emitido para uma organização Autenticação da Identidade de um equipamento ou aplicação Disposições Gerais Procedimentos para efeitos de identificação de um equipamento ou aplicação Informações contidas no certificado emitido para um equipamento ou aplicação Geração de novo par de chaves antes da expiração do atual Geração de novo par de chaves após expiração ou revogação Solicitação de Revogação REQUISITOS OPERACIONAIS Solicitação de Certificado Emissão de Certificado Aceitação de Certificado SUSPENSÃO E REVOGAÇÃO DE CERTIFICADO Circunstâncias para revogação Quem pode solicitar revogação Procedimento para solicitação de revogação Prazo para solicitação de revogação Circunstâncias para suspensão Quem pode solicitar suspensão Procedimento para solicitação de suspensão Limites no período de suspensão Freqüência de emissão de LCR Requisitos para verificação de LCR Disponibilidade para revogação/verificação de status on-line Requisitos para verificação de revogação on-line Outras formas disponíveis para divulgação de revogação Requisitos para verificação de outras formas de divulgação de revogação Requisitos especiais para o caso de comprometimento de chave PROCEDIMENTOS DE AUDITORIA DE SEGURANÇA Tipos de Evento Registrados Freqüência de auditoria de registros (logs) Período de Retenção para registros (logs) de Auditoria Proteção de registro (log) de Auditoria Procedimentos para cópia de segurança (backup) de registro (log) de auditoria Sistema de coleta de dados de auditoria Notificação de agentes causadores de eventos Avaliações de vulnerabilidade ARQUIVAMENTO DE REGISTROS Tipos de registros arquivados Período de retenção para arquivo Proteção de arquivos Procedimentos para cópia de segurança (backup) de arquivos Requisitos para datação de registros Sistema de coleta de dados de arquivo Procedimentos para obter e verificar informação de arquivo TROCA DE CHAVE COMPROMETIMENTO E RECUPERAÇÃO DE DESASTRE Recursos computacionais, software e dados corrompidos Versão 2.3 Junho/2008 Página 3 de 45
4 4.8.2 Certificado de entidade é revogado Chave de entidade é comprometida Segurança dos recursos após desastre natural ou de outra natureza Atividades das Autoridades de Registro EXTINÇÃO DOS SERVIÇOS DA AC, AR OU PSS CONTROLES DE SEGURANÇA FÍSICA, PROCEDIMENTAL E DE PESSOAL CONTROLE FÍSICO Construção e localização das instalações de AC Acesso físico nas instalações de AC Níveis de Acesso Sistema físico de detecção Sistema de Controle de Acesso Mecanismos de emergência Energia e ar condicionado nas instalações da AC Exposição à água nas instalações da AC Prevenção e proteção contra incêndio nas instalações da AC Armazenamento de mídia nas instalações da AC Destruição de lixo nas instalações da AC Instalações de segurança (backup) externas (off-site) para AC Instalações ténicas de AR CONTROLES PROCEDIMENTAIS Perfis qualificados Número de pessoas necessário por tarefa Identificação e autenticação para cada perfil CONTROLES DE PESSOAL Antecedentes, qualificação, experiência e requisitos de idoneidade Procedimentos de Verificação de Antecedentes Requisitos de treinamento Freqüência e requisitos para reciclagem técnica Freqüência e seqüência de rodízios de cargos Sanções para ações não autorizadas Requisitos para contratação de pessoal Documentação fornecida ao pessoal CONTROLES TÉCNICOS DE SEGURANÇA GERAÇÃO E INSTALAÇÃO DO PAR DE CHAVES Geração do Par de Chaves Entrega da chave privada à entidade titular Entrega da chave pública para emissor de certificado Disponibilização de chave pública da ACPR para usuários Tamanhos de chave Geração de parâmetros de chaves assimétricas Verificação da qualidade dos parâmetros Geração de chave por hardware ou software Propósitos de uso de chave (conforme campo Key usage na X.509 v3) PROTEÇÃO DA CHAVE PRIVADA Padrões para módulo criptográfico Controle n de m para chave privada Recuperação (escrow) de chave privada Cópia de segurança (backup) de chave privada Arquivamento de chave privada Inserção de chave privada em módulo criptográfico Método de ativação de chave privada Método de desativação de chave privada Método de destruição de chave privada OUTROS ASPECTOS DO GERENCIAMENTO DO PAR DE CHAVES Arquivamento de chave pública Períodos de uso para as chaves pública e privada DADOS DE ATIVAÇÃO Versão 2.3 Junho/2008 Página 4 de 45
5 6.4.1 Geração e instalação dos dados de ativação Proteção dos dados de ativação Outros aspectos dos dados de ativação CONTROLES DE SEGURANÇA DOS COMPUTADORES Requisitos técnicos específicos de segurança computacional Classificação da segurança computacional Controle de segurança para as Autoridades de Registro CONTROLES TÉCNICOS DO CICLO DE VIDA Controles de desenvolvimento de sistemas Controle de gerenciamento de segurança Classificação de segurança de ciclo de vida Controles na Geração de LCR CONTROLES DE SEGURANÇA DE REDE Diretrizes Gerais Firewall Sistema de detecção de intrusão (IDS) Registro de acessos não autorizados à rede CONTROLES DE ENGENHARIA DO MÓDULO CRIPTOGRÁFICO PERFIS DE CERTIFICADO E LCR DIRETRIZES GERAIS PERFIL DO CERTIFICADO Número(s) de versão Extensões de certificados Identificadores de algoritmos Formatos de nome Restrições de nome OID (Object Identifier) de DPC Uso da extensão Policy Constraints Sintaxe e semântica dos qualificadores de política Semântica de processamento para extensões criticas PERFIL DE LCR Número (s) de versão Extensões de LCR e de suas entradas ADMINISTRAÇÃO DE ESPECIFICAÇÃO PROCEDIMENTOS DE MUDANÇA DE ESPECIFICAÇÃO POLÍTICAS DE PUBLICAÇÃO E DE NOTIFICAÇÃO PROCEDIMENTOS DE APROVAÇÃO DOCUMENTOS REFERENCIADOS Versão 2.3 Junho/2008 Página 5 de 45
6 LISTA DE ACRÔNIMOS AC - Autoridade Certificadora AC Raiz - Autoridade Certificadora Raiz da ICP-Brasil AR - Autoridades de Registro CEI - Cadastro Específico do INSS CG - Comitê Gestor CMM-SEI - Capability Maturity Model do Software Engineering Institute CMVP - Cryptographic Module Validation Program CN - Common Name CNE - Carteira Nacional de Estrangeiro CNPJ - Cadastro Nacional de Pessoas Jurídicas - COBIT - Control Objectives for Information and related Technology COSO - Comitee of Sponsoring Organizations CPF - Cadastro de Pessoas Físicas DMZ - Zona Desmilitarizada DN - Distinguished Name DPC - Declaração de Práticas de Certificação ICP-Brasil - Infra-Estrutura de Chaves Públicas Brasileira IDS - Sistemas de Detecção de Intrusão IEC - International Electrotechnical Commission ISO International Organization for Standardization ITSEC - European Information Technology Security Evaluation Criteria ITU - International Telecommunications Union LCR - Lista de Certificados Revogados NBR - Norma Brasileira NIS - Número de Identificação Social NIST - National Institute of Standards and Technology OCSP - On-line Certificate Status Protocol OID - Object Identifier OU - Organization Unit PASEP - Programa de Formação do Patrimônio do Servidor Público PC - Políticas de Certificado PCN - Plano de Continuidade de Negócio PIS - Programa de Integração Social POP - Proof of Possession PSS - Prestadores de Serviço de Suporte RFC Request For Comments RG - Registro Geral SNMP - Simple Network Management Protocol TCSEC - Trusted System Evaluation Criteria TSDM - Trusted Software Development Methodology UF - Unidade de Federação URL - Uniform Resource Location Versão 2.3 Junho/2008 Página 6 de 45
7 1. INTRODUÇÃO 1.1 VISÃO GERAL Esta Declaração de Práticas de Certificação -DPC descreve as práticas e os procedimentos empregados pela Autoridade Certificadora da Presidência da República ACPR na execução dos seus serviços Esta DPC adota a estrutura recomendada pela Resolução nº 42 de 18/04/2006 do Comitê Gestor da ICP-Brasil. 1.2 IDENTIFICAÇÃO Esta Declaração de Práticas de Certificação da Autoridade Certificadora da Presidência da República - DPC ACPR possui Identificador de Objeto (OID) , atribuído pela ICP-Brasil. 1.3 COMUNIDADE E APLICABILIDADE Autoridades Certificadoras Esta DPC se refere unicamente à Autoridade Certificadora da Presidência da República ACPR, integrante da ICP-Brasil Autoridades de Registro O endereço da página web (URL) onde estão publicados os dados abaixo, referentes a Autoridade de Registro da ACPR responsável pelos processos de recebimento, validação e encaminhamento de solicitação de emissão ou de revogação de certificados digitais, e de identificação de seus solicitantes é: a) relação de todas as AR credenciadas, com informações sobre as PC que implementam; b) para cada AR credenciada, os endereços de todas as instalações técnicas, autorizadas pela AC Raiz a funcionar; c) para cada AR credenciada, relação de eventuais postos provisórios autorizados pela AC Raiz a funcionar, com data de criação e encerramento de atividades; d) relação de AR que tenham se descredenciado da cadeia da AC, com respectiva data do descredenciamento; e) relação de instalações técnicas de AR credenciada que tenham deixado de operar, com respectiva data de encerramento das atividades; f) acordos operacionais celebrados pelas AR vinculadas com outras AR da ICP-Brasil, se for o caso A ACPR mantém as informações acima atualizadas Prestador de Serviço de Suporte A ACPR publica em sua página a relação de prestadores de serviço de suporte - PSS; PSS são entidades contratadas pela AC ou pela AR para desempenhar as seguintes atividades: a) disponibilizar infra-estrutura física e lógica; b) disponibilizar recursos humanos especializados; ou c) disponibilizar infra-estrutura física e lógica e de recursos humanos especializados A ACPR mantém as informações acima atualizadas. Versão 2.3 Junho/2008 Página 7 de 45
8 1.3.4 Titulares de Certificado Titulares de Certificados são as entidades pessoas físicas ou jurídicas autorizadas pela AR responsável a receber um certificado digital, emitido pela ACPR, para sua própria utilização ou para utilização em equipamentos ou aplicações Aplicabilidade A ACPR implementa as seguintes Políticas de Certificados: Política de Certificado da ACPR do Tipo A1 para Certificação de Equipamento ou Aplicação, PC ACPR A1, OID ; Política de Certificado da ACPR do Tipo A3 para Certificação de Pessoa Física PC ACPR A3, OID As aplicações para as quais são adequados os certificados emitidos pela ACPR e, quando cabíveis, as aplicações para as quais existam restrições ou proibições para o uso destes certificados, estão relacionadas na Política de Certificado correspondente. 1.4 DADOS DE CONTATO A ACPR, responsável por esta DPC, funciona no seguinte endereço: Diretoria de Tecnologia da Informação Palácio do Planalto Anexo I superior sala A Cep: Brasília - DF Pessoa de Contato Nome: Liliana Suzete Lopes de Queiroz Campos Endereço: Diretoria de Tecnologia da Informação Anexo I do Palácio do Planalto sala 203 A Telefones: (61) , , liliana@planalto.gov.br Fax: (61) Versão 2.3 Junho/2008 Página 8 de 45
9 2. DISPOSIÇÕES GERAIS 2.1 OBRIGAÇÕES E DIREITOS Nos itens a seguir estão descritas as obrigações gerais das entidades envolvidas Obrigações da ACPR a) operar de acordo com esta DPC e com as PC que implementa; b) gerar e gerenciar os seus pares de chaves criptográficas; c) assegurar a proteção de suas chaves privadas; d) notificar a AC de nível superior, emitente do seu certificado, quando ocorrer comprometimento de sua chave privada e solicitar a imediata revogação do correspondente certificado; e) notificar os seus usuários quando ocorrer: suspeita de comprometimento de sua chave privada, emissão de novo par de chaves e correspondente certificado ou o encerramento de suas atividades; f) distribuir o seu próprio certificado; g) emitir, expedir e distribuir os certificados de AR a ela vinculadas e de usuários finais; h) informar a emissão do certificado ao respectivo solicitante; i) revogar os certificados por ela emitidos; j) emitir, gerenciar e publicar suas LCR; k) publicar em página web a DPC e as PC aprovadas que implementa; l) publicar em página web as informações definidas no item deste documento; m) publicar em página web as informações sobre o descredenciamento de AR bem como sobre extinção de instalação técnica; n) utilizar protocolo de comunicação seguro ao disponibilizar serviços para os solicitantes ou usuários de certificados digitais via web; o) identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil; p) adotar as medidas de segurança e controle previstas na DPC, PC e Política de Segurança PS que implementa, envolvendo seus processos, procedimentos e atividades, observadas as normas, critérios, práticas e procedimentos da ICP-Brasil; q) manter a conformidade dos seus processos, procedimentos e atividades com as normas, práticas e regras da ICP-Brasil e com a legislação vigente; r) manter e garantir a integridade, o sigilo e a segurança da informação por ela tratada; s) manter e testar anualmente seu Plano de Continuidade do Negócio - PCN; t) manter contrato de seguro de cobertura de responsabilidade civil decorrente das atividades de certificação digital e de registro, com cobertura suficiente e compatível com o risco dessas atividades, de acordo com as normas do CG da ICP-Brasil; u) informar às terceiras partes e titulares de certificado acerca das garantias, coberturas, condicionantes e limitações estipuladas pela apólice de seguro de responsabilidade civil contratada nos termos acima; v) informar à AC Raiz, mensalmente, a quantidade de certificados digitais emitidos; e w) não emitir certificado com prazo de validade que se estenda além do prazo de validade de seu próprio certificado. Versão 2.3 Junho/2008 Página 9 de 45
10 2.1.2 Obrigações das AR As obrigações das AR vinculadas à ACPR são as abaixo relacionadas: a) receber solicitações de emissão ou de revogação de certificados; b) confirmar a identidade do solicitante e a validade da solicitação; c) encaminhar a solicitação de emissão ou de revogação de certificado à ACPR utilizando protocolo de comunicação seguro, conforme padrão definido no documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL[1]; d) informar aos respectivos titulares a emissão ou a revogação de seus certificados; e) disponibilizar os certificados emitidos pela AC aos seus respectivos solicitantes; f) identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil; g) manter a conformidade dos seus processos, procedimentos e atividades com as normas, critérios, práticas e regras estabelecidas pela ACPR e pela ICP-Brasil, em especial com o contido no documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL [1]; h) manter e garantir a segurança da informação por elas tratada, de acordo com o estabelecido nas normas, critérios, práticas e procedimentos da ICP-Brasil; i) manter e testar anualmente seu Plano de Continuidade do Negócio - PCN; j) proceder o reconhecimento das assinaturas e da validade dos documentos apresentados na forma dos itens 3.1.9, e ; k) garantir que todas as aprovações de solicitação de certificados sejam realizadas em instalações técnicas autorizadas a funcionar como AR vinculadas credenciadas Obrigações do Titular do Certificado As obrigações do titular de certificado emitido de acordo com esta DPC são as abaixo relacionadas: a) fornecer, de modo completo e preciso, todas as informações necessárias para sua identificação; b) garantir a proteção e o sigilo de suas chaves privadas, senhas e dispositivos criptográficos; c) utilizar os seus certificados e chaves privadas de modo apropriado, conforme o previsto na PC correspondente; d) conhecer os seus direitos e obrigações, contemplados pela DPC da ACPR e pela PC correspondente e por outros documentos aplicáveis da ICP-Brasil; e) informar à AC emitente qualquer comprometimento de sua chave privada e solicitar a imediata revogação do certificado correspondente. NOTA: Em se tratando de certificado emitido para pessoa jurídica, equipamento ou aplicação, estas obrigações se aplicam ao responsável pelo uso do certificado Direitos da Terceira Parte (Relying Party) Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do certificado digital Constituem direitos da terceira parte: a) recusar a utilização do certificado para fins diversos dos previstos na PC correspondente; b) verificar a qualquer tempo a validade do certificado. Um certificado emitido por AC integrante da ICP-Brasil é considerado válido quando: c) não constar da LCR da ACPR; d) não estiver expirado; e Versão 2.3 Junho/2008 Página 10 de 45
![CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL[1]; d) informar aos respectivos titulares a emissão ou a revogação de seus certificados; e) disponibilizar os certificados emitidos pela](/docs-images/54/14260006/images/page_10.jpg "AC aos seus respectivos solicitantes; f) identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil; g) manter a conformidade dos")
11 e) puder ser verificado com o uso de certificado válido da ACPR; O não exercício desses direitos não afasta a responsabilidade da ACPR e do titular do certificado Obrigações do Repositório a) Disponibilizar, logo após a sua emissão, a Lista de Certificados Revogados (LCR); b) Estar disponível para consulta durante 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana; c) Implementar os recursos necessários para a garantia da segurança dos dados nele armazenados. 2.2 RESPONSABILIDADES Responsabilidades da ACPR A Autoridade Certificadora do ACPR responde pelos danos a que der causa A ACPR responde solidariamente pelos atos das entidades de sua cadeia de certificação: AR e PSS Responsabilidades da AR A AR será responsável pelos danos a que der causa. 2.3 RESPONSABILIDADE FINANCEIRA Indenizações devidas pela terceira parte usuária (Relying Party) Não existe responsabilidade da terceira parte (Relying Party) perante a AC ou AR a ela vinculada, que requeira prática de indenização, exceto na hipótese de prática de ato ilícito Relações Fiduciárias Não existe situação específica de utilização do certificado da ACPR que requeira prática de indenização aos Usuários de Certificados. Surgindo qualquer solicitação será analisado caso a caso Processos Administrativos Os processos administrativos cabíveis, relativos às operações da ACPR e de sua AR, seguirão a legislação específica na qual os procedimentos questionados se enquadrarem. 2.4 INTERPRETAÇÃO E EXECUÇÃO Legislação Atos e regulamentos federais que regulam os assuntos do governo também regulam esta DPC, no que diz respeito a sua aplicação, construção, interpretação e validade. Isto inclui leis e regulamentos que governam os seguintes relacionamentos: a) Governo Federal e seus funcionários, incluindo empregados contratados por tempo indeterminado ou temporários e consultores sobre contrato; b) Governo Federal e organizações do setor privado com relações de negócio estabelecidas; c) Funcionários do Governo Federal com outros funcionários do Governo Federal; d) Suportam ainda esta DPC a Medida Provisória de 24 de agosto de 2001, bem como as Resoluções do CG da ICP-Brasil; Versão 2.3 Junho/2008 Página 11 de 45
12 e) Esta DPC é também apoiada em uma estrutura contratual entre Presidência da República, Titulares de Certificados e qualquer Usuário de Certificado; f) Os casos omissos deverão ser encaminhados para apreciação da AC Raiz Forma de interpretação e notificação Caso uma ou mais disposições desta DPC, por qualquer razão, sejam consideradas inválidas, ilegais, ou não aplicáveis, somente essas disposições serão afetadas. Todas as demais permanecem válidas dentro do escopo de abrangência deste documento. Nesse caso, a ACPR, examinará a disposição inválida e proporá, no prazo máximo de 30 dias, nova redação ou a retirada da disposição afetada Todas solicitações, notificações ou quaisquer outras comunicações necessárias sujeitas às práticas descritas nessa DPC serão realizadas por iniciativa da ACPR por intermédio de seus responsáveis, e enviadas formalmente ao CG da ICP-Brasil Procedimentos de solução de disputa Em caso de conflito prevalece as práticas e procedimentos da ICP-Brasil No caso de um conflito entre esta DPC e as resoluções do Comitê Gestor da ICP-Brasil, prevalecerão sempre as normas, critérios, práticas e procedimentos estabelecidos pela ICP-Brasil. Nesta situação esta DPC será alterada para a solução da disputa Os casos omissos serão encaminhados para a apreciação da AC Raiz. 2.5 TARIFAS DE SERVIÇO Nos itens a seguir, são especificadas as políticas tarifárias e de reembolso aplicáveis Tarifas de emissão e renovação de certificados Não haverá incidência de tarifas para os órgãos pertencentes ao organograma da Presidência da República que não possuam previsão orçamentária na área de informática. Para os demais órgãos poderá ser repassado o custo cobrado pela empresa prestadora de serviços de suporte para a ACPR Tarifas de acesso ao certificado Não há tarifa que incida sobre este serviço Tarifas de revogação ou de acesso à informação de status Não há tarifa que incida sobre este serviço Tarifas para outros serviços Não há tarifa que incida sobre este serviço Política de reembolso Não há política de reembolso. 2.6 PUBLICAÇÃO E REPOSITÓRIO Publicação de informação da ACPR A ACPR mantém páginas web nas quais são publicadas as informações descritas no item seguinte. Na página contém informações referentes aos certificados Versão 2.3 Junho/2008 Página 12 de 45
13 emitidos a partir de 17 de novembro de 2006 e na as informações referentes aos certificados emitidos até 16 de novembro de A disponibilidade dessas páginas é de no mínimo 99,5% (noventa e nove vírgula cinco por cento) do mês, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana As informações publicadas nas páginas da ACPR, são: a) suas LCR; b) sua DPC; c) as PC que implementa; d) relação atualizada contendo as AR vinculadas e seus respectivos endereços de instalação técnica em funcionamento Freqüência de publicação A LCR da ACPR é publicada imediatamente após sua emissão. As demais informações mencionadas no item serão publicadas sempre que sofrerem alterações Controles de acesso Não há nenhum controle de acesso de leitura das informações publicadas na página web, especificadas no item Acessos para escrita nos locais de armazenamento e publicação são permitidos apenas às pessoas responsáveis designadas especificamente para esse fim. Os controle de acesso incluem identificação pessoal para acesso aos equipamentos e utilização de senhas Repositórios As páginas descritas no item e adotadas como repositório de LCR atendem aos seguintes requisitos: a) Disponibilidade aquela definida no item 2.6.1; b) Protocolos de acesso HTTP e HTTPS; c) Requisitos de segurança obedece aos requisitos definidos no item FISCALIZAÇÃO E AUDITORIA DE CONFORMIDADE As fiscalizações e auditorias realizadas no âmbito da ICP-Brasil têm por objetivo verificar se os processos, procedimentos e atividades da ACPR estão em conformidade com suas respectivas DPC, PC, PS e demais normas e procedimentos estabelecidos pela ICP-Brasil As fiscalizações das entidades integrantes da ICP-Brasil são realizadas pela AC Raiz, por meio de servidores de seu quadro próprio, a qualquer tempo, sem aviso prévio, observando o disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [2] Com exceção da auditoria da própria AC Raiz, que é de responsabilidade do CG da ICP-Brasil, as auditorias das entidades integrantes da ICP-Brasil é realizada pela AC Raiz, por meio de servidores de seu quadro próprio, ou por terceiros por ela autorizados, observando o disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3] A ACPR recebeu auditoria prévia da AC Raiz para fins de credenciamento na ICP-Brasil. A ACPR é auditada anualmente, para fins de manutenção do credenciamento, com base no documento CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3]. Esse documento trata do objetivo, freqüência e abrangência das auditorias, da identidade e qualificação do auditor e demais temas correlacionados. Versão 2.3 Junho/2008 Página 13 de 45
14 2.7.5 A AR vinculada bem como seu Prestador de Serviço de Suporte receberam auditoria prévia, para fins de credenciamento. A ACPR é responsável pela realização de auditorias anuais de conformidade em todas as entidades a ela vinculadas, para fins de manutenção de credenciamento conforme documento CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3]. 2.8 SIGILO Disposições Gerais A chave privada de assinatura digital da ACPR foi gerada e é mantida pela própria ACPR, que é responsável pelo seu sigilo. A divulgação ou utilização indevida de sua chave privada de assinatura é de sua inteira responsabilidade Os titulares de certificados emitidos pela ACPR ou os responsáveis pelo seu uso terão as atribuições de geração, manutenção e sigilo de suas respectivas chaves privadas. Além, disso, são responsáveis pela divulgação ou utilização indevidas dessas mesmas chaves A ACPR não emite certificados de sigilo Tipos de informações sigilosas Todas as informações coletadas, geradas, transmitidas e mantidas pela ACPR e a AR vinculada são consideradas sigilosas, exceto aquelas informações citadas no item Como princípio geral, nenhum documento, informação ou registro fornecido a ACPR ou AR vinculada deverá ser divulgado Tipos de informações não sigilosas Os seguintes documentos da ACPR e da AR vinculada são considerados documentos não sigilosos: a) os certificados e as LCR emitidos; b) informações corporativas ou pessoais que façam parte de certificados ou de diretórios públicos; c) as PC implementadas; d) esta DPC; e) versões públicas de Políticas de Segurança; f) a conclusão dos relatórios de auditoria Divulgação de informação de revogação/suspensão de certificado A ACPR divulga informações de revogação de certificados por ela emitidos, na sua página web descrita no item desta DPC, através de sua lista de certificados revogados As razões para revogação do certificado sempre serão informadas ao seu titular A suspensão de certificados não é admitida no âmbito da ICP-Brasil Quebra de sigilo por motivos legais a) Como princípio geral, nenhum documento, informação ou registro que pertençam ou estejam sob a guarda da ACPR ou de sua AR vinculada será divulgado a entidades legais ou seus funcionários, exceto quando: b) exista uma ordem judicial corretamente constituída; c) esteja corretamente identificado o representante da lei Informações a terceiros Como diretriz geral, nenhum documento, informação ou registro, sob a guarda da ACPR ou AR Versão 2.3 Junho/2008 Página 14 de 45
![PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3]. 2.8 SIGILO 2.8.1](/docs-images/54/14260006/images/page_14.jpg "Disposições Gerais 2.8.1.1 A chave privada de assinatura digital da ACPR foi gerada e é mantida pela própria ACPR, que é responsável pelo seu sigilo.")
15 vinculada, será fornecido a terceiros, exceto quando o requerente, que o solicite através de instrumento devidamente constituído, seja autorizado a fazê-lo e esteja corretamente identificado Divulgação por solicitação do titular O titular de certificado e seu representante legal terão amplo acesso a quaisquer dos seus próprios dados e identificações, e poderão autorizar a divulgação de seus registros a outras pessoas Qualquer liberação de informação pela ACPR ou AR vinculada somente será permitida mediante autorização formal do titular do certificado. As formas de autorização são as seguintes: a) por meio eletrônico, contendo assinatura válida garantida por certificado do titular, reconhecido pela ACPR; b) por meio de ofício ou memorando Outras circunstâncias de divulgação de informação Nenhuma outra liberação de informação, que não as expressamente descritas nesta DPC, é permitida. 2.9 Direitos de Propriedade Intelectual Todos os direitos de propriedade intelectual inclusive todos os direitos autorais em todos os certificados e todos os documentos gerados para a ACPR (eletrônico ou não) pertencem e continuarão sendo propriedade da Presidência da República O Titular do Certificado concede a ACPR, o direito de publicar e divulgar em página Web, a chave pública que corresponde à chave privada que está em sua posse. Esta publicação ocorrerá pela incorporação da chave pública em certificado emitido pela ACPR. 3. IDENTIFICAÇÃO E AUTENTICAÇÃO 3.1 REGISTRO INICIAL Disposições Gerais Neste item e nos seguintes a DPC descreve os requisitos e os procedimentos gerais utilizados pela AR, vinculada à ACPR, responsável para a realização dos seguintes processos: a) Validação da solicitação de certificado: compreende as etapas abaixo, realizadas mediante a presença física do interessado, com base nos documentos de identificação citados nos itens 3.1.9, e : I. confirmação da identidade de um indivíduo: comprovação de que a pessoa que se apresenta como titular ou responsável pelo certificado ou como representante legal de uma pessoa jurídica é realmente aquela cujos dados constam na documentação apresentada; II. confirmação da identidade de uma organização: comprovação de que os documentos apresentados referem-se efetivamente à pessoa jurídica titular do certificado e de que a pessoa que se apresenta como representante legal da pessoa jurídica realmente possui tal atribuição; III. emissão do certificado: conferência dos dados da solicitação de certificado com os constantes dos documentos apresentados e liberação para o segundo agente de registro efetuar a verificação da solicitação do certificado; b) Verificação da solicitação de certificado: confirmação da validação realizada, executados obrigatoriamente: I. por agente de registro distinto do que executou a etapa de validação; II. em uma das instalações técnicas da AR devidamente autorizadas a funcionar pela AC Raiz; Versão 2.3 Junho/2008 Página 15 de 45
16 III. somente após o recebimento, na instalação técnica da AR, de cópia da documentação apresentada na etapa de validação; IV. antes do início da validade do certificado, sendo comandada a emissão do certificado no sistema de AC somente após a etapa da verificação ter ocorrido O processo de validação pode ser realizado pelo agente de registro fora do ambiente físico da AR, desde que utilize ambiente computacional auditável e devidamente registrado no inventário de hardware e softwares da AR Todas as etapas dos processos de validação e verificação da solicitação de certificado são registradas e assinadas digitalmente pelos executantes, na solução de certificação disponibilizada pela ACPR, com a utilização de certificado digital ICP-Brasil do tipo A3. Tais registros são feitos de forma a permitir a reconstituição completa dos processos executados, para fins de auditoria São mantidos arquivos com as cópias de todos os documentos utilizados para confirmação da identidade de uma organização e/ou de um indivíduo. Tais cópias são mantidas em papel ou em forma digitalizada, observadas as condições definidas no documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL [1] Não se aplica para a ACPR Tipos de nomes Os tipos de nomes admitidos para os titulares de certificados da ACPR são: a) Certificados de pessoa física, o campo Common Name (CN) é preenchido com o nome do Titular do Certificado; b) Certificados para equipamento ou aplicação, o campo Common Name (CN) contém Domain Name System (DNS) da aplicação. c) Certificados para assinatura de código, o campo Common Name (CN) contém a denominação do órgão responsável pelo certificado. d) A ACPR não emite certificados para AC subseqüente Necessidade de nomes significativos Para identificação dos titulares dos certificados emitidos, a ACPR faz uso de nomes significativos que possibilitam determinar a identidade da pessoa ou organização a que se referem Regras para interpretação de vários tipos de nomes Identificadores do tipo Distinguished Name (DN) devem ser únicos para cada titular de certificado, no âmbito da ACPR. A AR pode propor e aprovar nomes distintos para candidatos de certificado Unicidade de nomes Distinguished Name (DN ) devem ser únicos e não ambíguos. Números ou letras adicionais poderão ser incluídos ao nome de cada entidade para assegurar a unicidade do campo Procedimento para resolver disputa de nomes A ACPR se reserva o direito de tomar todas as decisões na hipótese de haver disputa decorrente da igualdade de nomes entre solicitantes de certificados. Durante o processo de confirmação de identidade, caberá ao solicitante do certificado provar o seu direito de uso de um nome específico Reconhecimento, autenticação e papel de marcas registradas De acordo com a legislação em vigor. Versão 2.3 Junho/2008 Página 16 de 45
17 3.1.8 Método para comprovar a posse de chave privada O sistema de certificação, implementado e utilizado pela ACPR no gerenciamento do ciclo de vida de seus certificados, controla e garante, de forma automática, a entrega do certificado somente ao detentor da chave privada correspondente à chave pública constante do certificado. A mensagem de solicitação de certificado obedece ao formato PKCS#10, que inclui, na própria mensagem sua assinatura digital realizada com a chave privada correspondente à chave pública contida na solicitação. Ao recebê-la o software de certificação (SGC) verifica automaticamente a assinatura digital com uso da chave pública incluída nessa solicitação. Esse teste confirma a posse da chave privada pelo requisitante. A solicitação, com seu número de identificação, é então armazenada no banco de dados do SGC. Este número é impresso no Termo de Responsabilidade juntamente com os dados da entidade solicitante. Os dados são autenticados pela AR por meio da verificação das informações com base em originais de documentos oficiais, efetivando a vinculação da solicitação e chave privada à entidade autenticada pela AR. A ACPR segue padrão RFC 2510, relativos a POP (Proof of Possession) Autenticação da identidade de um indivíduo A confirmação da identidade de um indivíduo é realizada mediante a presença física do interessado, com base em documentos legalmente aceitos Documentos para efeito de identificação de um indivíduo Deverá ser apresentada a seguinte documentação, em sua versão original, para fins de identificação de um individuo solicitante de certificado; a) Cédula de identidade ou passaporte se brasileiro; b) Carteira Nacional de Estrangeiro CNE, se estrangeiro domiciliado no Brasil; c) Passaporte, se estrangeiro não domiciliado no Brasil; d) Caso os documentos acima tenham sido expedidos há mais de 5 (cinco) anos, ou não possuam fotografia, uma foto colorida recente ou documento de identidade com foto colorida, emitido há no máximo 5 (cinco) anos da data de validação presencial; e) Comprovante de residência ou domicílio, emitido há no máximo 3 (três) meses da data de validação presencial. NOTA 1: Entende-se como cédula de identidade os documentos emitidos pelas Secretarias de Segurança Pública bem como os que, por força de lei, equivalem a documento de identidade em todo o território nacional, desde que contenham fotografia. NOTA 2: Entende-se como comprovante de residência ou de domicílio contas de concessionárias de serviços públicos, extratos bancários ou contrato de aluguel onde conste o nome do titular; na falta desses, declaração emitida pelo titular ou seu empregador. NOTA 3: A emissão de certificados em nome dos absolutamente incapazes e dos relativamente incapazes observará o disposto na lei vigente Informações contidas no certificado emitido para um indivíduo É obrigatório o preenchimento dos seguintes campos do certificado de uma pessoa física com as informações constantes nos documentos apresentados: a) Nome completo, sem abreviações (*1); b) Data de nascimento (*2); (*1) No campo Subject, como parte do campo Common Name, que compõe o Distinguish Name.; (*2) No campo Subject Alternative Name, nas primeiras 8 (oito) posições do OID A ACPR define também como obrigatório o preenchimento dos seguintes campos a partir da apresentação de um documento oficial que contenha essa informação: a) Cadastro de Pessoa Física (CPF); Versão 2.3 Junho/2008 Página 17 de 45
18 b) Número do Registro Geral RG do titular e órgão expedidor; NOTA: Os campos abaixo serão preenchidos caso o solicitante apresente o documento original de referência: a) Número de Identificação Social - NIS (PIS, PASEP ou CI); b) Número do Cadastro Especifico do INSS (CEI); c) Número do Título de Eleitor; Zona Eleitoral; Seção; Município e UF do Título de Eleitor; d) Número de habilitação ou identificação profissional emitido por conselho de classe ou órgão competente A ACPR manterá arquivo com as cópias de todos os documentos utilizados. NOTA 1: É permitida a substituição dos documentos elencados acima por documento único, desde que este seja oficial e contenha as informações constantes daqueles. NOTA 2: O cartão CPF poderá ser substituído por consulta à página da Receita Federal. Cópia dessa deverá ser arquivada junto à documentação, para fins de auditoria Autenticação da Identidade de uma organização Disposições Gerais Os procedimentos empregados pela AR da ACPR para a confirmação da identidade de uma pessoa jurídica é feita mediante a presença física do responsável legal, com base em documentos de identificação legalmente aceitos Sendo titular do certificado pessoa jurídica será designado pessoa física, como responsável pelo certificado, que será a detentora da chave privada Será feita a confirmação da identidade da organização e das pessoas físicas, nos seguintes termos: a) apresentação do rol de documentos elencados no item ; b) apresentação do rol de documentos elencados no item do(s) representante(s) legal(is) da pessoa jurídica e do responsável pelo uso do certificado; c) presença física do responsável pelo uso do certificado e assinatura do termo de responsabilidade de que trata o item 4.1.1; e d) presença física do(s) representante(s) legal(is) da pessoa jurídica e assinatura do termo de titularidade de que trata o item Documentos para efeitos de identificação de uma organização A confirmação da identidade de uma pessoa jurídica deverá ser feita mediante a apresentação de, no mínimo, os seguintes documentos: a) Relativos a sua habilitação jurídica: i para pessoa jurídica criada ou autorizada a sua criação por lei, cópia do ato constitutivo e CNPJ; ii - não se aplica. A ACPR não emite certificados para entidades privadas. b) Relativos a sua habilitação fiscal: i. prova de inscrição no Cadastro Nacional de Pessoas Jurídicas CNPJ; ou ii. prova de inscrição no Cadastro Específico do INSS CEI Informações contidas no certificado emitido para uma organização É obrigatório o preenchimento dos seguintes campos do certificado de uma pessoa jurídica, com as informações constantes nos documentos apresentados: Versão 2.3 Junho/2008 Página 18 de 45
19 a) Nome empresarial constante do CNPJ (Cadastro Nacional de Pessoa Jurídica), sem abreviações; b) Cadastro Nacional de Pessoa Jurídica (CNPJ); c) Nome completo do responsável pelo certificado, sem abreviações; d) Data de nascimento do responsável pelo certificado Cada PC pode definir como obrigatório o preenchimento de outros campos ou o responsável pelo certificado, a seu critério e mediante declaração expressa no termo de responsabilidade, poderá solicitar o preenchimento de campos do certificado suas informações pessoais, conforme item Autenticação da Identidade de um equipamento ou aplicação Disposições Gerais Em se tratando de certificado emitido para equipamento, servidor ou assinatura de código, o titular será a pessoa física responsável pelo órgão/entidade solicitante do certificado, que deverá indicar o responsável pela posse da chave privada A confirmação da identidade do titular será feita na forma do item e este assinará o termo de titularidade de que trata o item Se o titular for pessoa jurídica, deverá ser feita a confirmação da identidade da organização e das pessoas físicas, nos seguintes termos: a) apresentação do rol de documentos elencados no item ; b) apresentação do rol de documentos elencados no item do(s) representante(s)legal(is) da pessoa jurídica e do responsável pelo uso do certificado; c) presença física do responsável pelo uso do certificado e assinatura do termo de responsabilidade de que trata o item 4.1.1; e d) presença física do(s) representante(s) legal(is) da pessoa jurídica e assinatura do termo de titularidade de que trata o item 4.1.1, ou outorga de procuração atribuindo poderes para solicitação de certificado para equipamento ou assinatura de código e assinatura do respectivo termo de titularidade Procedimentos para efeitos de identificação de um equipamento ou aplicação Para certificados de equipamento que utilizem URL no campo Common Name, é verificado se o solicitante do certificado detém o registro do nome de domínio junto ao órgão competente, ou se possui autorização do titular do domínio para usar aquele nome. Nesse caso será apresentada documentação comprobatória (termo de autorização de uso de domínio ou similar) devidamente assinada pelo titular do domínio Informações contidas no certificado emitido para um equipamento ou aplicação É obrigatório o preenchimento dos seguintes campos do certificado, com as informações constantes nos documentos apresentados: a) URL ou nome da aplicação; b) nome completo do responsável pelo certificado, sem abreviações; c) data de nascimento do responsável pelo certificado; d) nome empresarial constante no CNPJ (Cadastro Nacional de Pessoa Jurídica), sem abreviações, se o titular for pessoa jurídica Os demais campos, descritos abaixo, serão preenchidos caso o solicitante apresente o documento original de referência: a) número de Identificação Social - NIS (PIS, PASEP ou CI); b) número do Cadastro Especifico do INSS (CEI); Versão 2.3 Junho/2008 Página 19 de 45
20 c) número do Título de Eleitor; Zona Eleitoral; Seção; Município e UF do Título de Eleitor; d) número de habilitação ou identificação profissional emitido por conselho de classe ou órgão competente. 3.2 Geração de novo par de chaves antes da expiração do atual Antes da expiração do certificado de pessoa física, o titular de certificado pode solicitar um novo certificado, enviando a ACPR uma solicitação por meio eletrônico, assinada digitalmente com o uso do certificado a ser renovado. Para o certificado de equipamento e aplicações não há processo de renovação A renovação de certificado no âmbito da ACPR será limitada a 1 (uma) ocorrência Nos demais casos devem ser observados os mesmos requisitos e procedimentos exigidos para a solicitação inicial do certificado descritos na PC correspondente, item Geração de novo par de chaves após expiração ou revogação O processo de identificação do solicitante quando da geração de novo par de chaves e emissão pela ACPR de novo certificado, após expiração ou revogação do anterior, será o mesmo da primeira emissão A ACPR não emite certificado para outra AC 3.4 Solicitação de Revogação A confirmação da identidade do Titular do Certificado será feita com base em um dos documentos de identidade descritos no item ou pela Frase Senha para os certificados emitidos a partir de 17 de novembro de Os procedimentos para confirmação da identidade do solicitante são feitos conforme abaixo: a) Para as solicitações por escrito: confrontação entre as assinaturas e dados contidos na Solicitação de Revogação com as assinaturas constantes nos Termo de Titularidade ou de Responsabilidade e nos documentos entregue quando da solicitação de certificação. b) Para as solicitações via assinado: pela verificação da titularidade e validade do certificado. c) Para as solicitações diretamente na página para os casos de certificados emitidos a partir de 17 de novembro de 2006 : pela frase senha informada na opção solicitação de revogação. d) Solicitação da AC Raiz ou do CG da ICP-Brasil - a confirmação será feita verificando se é um documento oficial válido (ofício ou memorando) assinado pelo responsável do órgão solicitante Nos casos descritos nos itens a e b, a solicitação será arquivada junto aos documentos do titular do certificado Quando a revogação for por iniciativa da ACPR ou AR, não será preenchida solicitação de revogação. Os dados e motivos da revogação são registrados diretamente pelo sistema, cujo acesso se dá por meio de assinatura digital de um AR. 4. REQUISITOS OPERACIONAIS 4.1 Solicitação de Certificado Os requisitos e procedimentos mínimos necessários para a solicitação de emissão de certificado são: a) A comprovação de atributos de identificação constantes do certificado, conforme item 3.1; b) A autenticação do agente de registro responsável pelas solicitações de emissão e de revogação de certificados mediante o uso de certificado digital do tipo A3; Versão 2.3 Junho/2008 Página 20 de 45
