Política de Certificado de Sigilo Tipo S1 da Autoridade Certificadora Imprensa Oficial SP
PC S1 DA AC IMPRENSA OFICIAL SP POLÍTICA DE CERTIFICADO DE SIGILO TIPO S1 DA AUTORIDADE CERTIFICADORA IMPRENSA OFICIAL SP
Índice 1. INTRODUÇÃO... 1 1.1. Visão Geral... 1 1.2. Identificação... 1 1.3. Comunidade e Aplicabilidade... 1 1.3.1. Autoridades Certificadoras... 1 1.3.2. Autoridades de Registro... 1 1.3.2.1. Novos endereços de instalações técnicas... 1 1.3.2.2. Posto provisório de instalação técnica... 1 1.3.3. Titulares de Certificado... 2 1.3.4. Aplicabilidade... 2 1.4. Dados de Contato... 2 2. DISPOSIÇÕES GERAIS... 2 2.1. Obrigações e Direitos... 2 2.1.1. Obrigações da AC Imprensa Oficial SP... 2 2.1.2. Obrigações das AR... 3 2.1.3. Obrigações dos Titulares do Certificado... 3 2.1.4. Direitos da Terceira Parte (Relying Party)... 4 2.1.5. Obrigações do Repositório... 4 2.2. Responsabilidades... 4 2.2.1. Responsabilidades da AC Imprensa Oficial SP... 4 2.2.2. Responsabilidades das AR... 4 2.3. Responsabilidade Financeira... 4 2.3.1. Indenizações devidas pela terceira parte (Relying Party)... 4 2.3.2.Relações Fiduciárias... 4 2.3.3. Processos Administrativos... 5 2.4. Interpretação e Execução... 5 2.4.1. Legislação... 5 2.4.2. Forma de interpretação e notificação... 5 2.4.3.Procedimentos de solução de disputa... 5 2.5. Tarifas de Serviço... 5 2.5.1. Tarifas de emissão e renovação de certificados... 5 2.5.2. Tarifas de acesso ao certificado... 5 2.5.3. Tarifas de revogação ou de acesso à informação de status... 5 2.5.4. Tarifas para outros serviços, tais como informação de política... 6 2.5.5. Política de reembolso... 6 2.6. Publicação e Repositório... 6 2.6.1. Publicação de informação da AC Imprensa Oficial SP... 6 2.6.2. Freqüência de publicação... 6 2.6.3. Controles de acesso... 6 2.6.4. Repositórios... 6 2.7. Auditoria de Conformidade... 6 2.7.1. Freqüência de auditoria de conformidade... 6 2.7.2. Identidade e qualificações do auditor... 6 2.7.3. Relação entre auditor e parte auditada... 7 2.7.4. Tópicos cobertos pela auditoria... 7 2.7.5. Medidas adotadas em caso de não-conformidade... 7 2.7.6. Comunicação de resultados... 7 2.8. Sigilo... 7 2.8.1. Tipos de informações sigilosas... 8 2.8.2. Tipos de informações não-sigilosas... 8
2.8.3.Divulgação de informação de revogação ou suspensão de certificado... 8 2.8.4.Quebra de sigilo por motivos legais... 8 2.8.5. Informações a terceiros... 8 2.8.6. Divulgação por solicitação do Titular do Certificado... 8 2.8.7. Outras circunstâncias de divulgação de informação... 9 2.9. Direitos de Propriedade Intelectual... 9 3. IDENTIFICAÇÃO E AUTENTICAÇÃO... 9 3.1. Registro Inicial... 9 3.1.1. Tipos de nomes... 9 3.1.2. Necessidade de nomes significativos... 9 3.1.3. Regras para interpretação de vários tipos de nomes... 9 3.1.4. Unicidade de nomes... 9 3.1.5. Procedimento para resolver disputa de nomes... 9 3.1.6. Reconhecimento, autenticação e papel de marcas registradas... 10 3.1.7. Método para comprovar a posse de chave privada... 10 3.1.8. Autenticação da identidade de uma organização... 10 3.1.9. Autenticação da identidade do indivíduo... 10 3.1.9.1. Documentos para identificação... 10 3.1.9.2. Certificado emitido para pessoa física... 10 3.1.9.3. Certificado emitido para pessoa jurídica... 11 3.1.9.4. Certificado emitido para equipamento ou aplicação... 11 3.2. Geração de novo par de chaves antes da expiração do atual... 11 3.3. Geração de novo par de chaves após revogação... 11 3.4. Solicitação de Revogação... 11 4. REQUISITOS OPERACIONAIS... 12 4.1. Solicitação de Certificado... 12 4.2. Emissão de Certificado... 12 4.3. Aceitação de Certificado... 12 4.4. Suspensão e Revogação de Certificado... 12 4.4.1. Circunstâncias para revogação... 12 4.4.2. Quem pode solicitar revogação... 13 4.4.3. Procedimento para solicitação de revogação... 13 4.4.4. Prazo para solicitação de revogação... 13 4.4.5. Circunstâncias para suspensão... 14 4.4.6. Quem pode solicitar suspensão... 14 4.4.7. Procedimento para solicitação de suspensão... 14 4.4.8. Limites no período de suspensão... 14 4.4.9. Freqüência de emissão de LCR... 14 4.4.10. Requisitos para verificação de LCR... 14 4.4.11. Disponibilidade para revogação ou verificação de status on-line... 14 4.4.12. Requisitos para verificação de revogação on-line... 14 4.4.13. Outras formas disponíveis para divulgação de revogação... 14 4.4.14. Requisitos para verificação de outras formas de divulgação de revogação... 14 4.4.15. Requisitos especiais para o caso de comprometimento de chave... 14 4.5. Procedimentos de Auditoria de Segurança... 14 4.5.1. Tipos de eventos registrados... 15 4.5.2. Freqüência de auditoria de registros (logs)... 15 4.5.3. Período de retenção para registros (logs) de auditoria... 15 4.5.4. Proteção de registro (log) de auditoria... 15 4.5.5. Procedimentos para cópia de segurança (backup) de registro (log) de auditoria... 15 4.5.6. Sistema de coleta de dados de auditoria... 15
4.5.7. Notificação de agentes causadores de eventos... 15 4.5.8. Avaliações de vulnerabilidade... 15 4.6. Arquivamento de Registros... 15 4.6.1. Tipos de registros arquivados... 15 4.6.2. Período de retenção para arquivo... 15 4.6.3. Proteção de arquivo... 15 4.6.4. Procedimentos para cópia de segurança (backup) de arquivo... 15 4.6.5. Requisitos para datação (time-stamping) de registros... 15 4.6.6. Sistema de coleta de dados de arquivo... 15 4.6.7. Procedimentos para obter e verificar informação de arquivo... 15 4.7. Troca de chave... 15 4.8. Comprometimento e Recuperação de Desastre... 15 4.8.1. Recursos computacionais, software, e dados corrompidos... 15 4.8.2. Certificado de entidade é revogado... 15 4.8.3. Chave de entidade é comprometida... 15 4.8.4. Segurança dos recursos após desastre natural ou de outra natureza... 16 4.9. Extinção da AC Imprensa Oficial SP... 16 5. CONTROLES DE SEGURANÇA FÍSICA, PROCEDIMENTAL E DE PESSOAL... 16 5.1. Controles Físicos... 16 5.1.1. Construção e localização das instalações... 16 5.1.2. Acesso físico... 16 5.1.3. Energia e ar-condicionado... 16 5.1.4. Exposição à água... 17 5.1.5. Prevenção e proteção contra incêndio... 17 5.1.6. Armazenamento de mídia... 17 5.1.7. Destruição de lixo... 17 5.1.8. Instalações de segurança (backup) externas (off-site)... 17 5.2. Controles Procedimentais... 17 5.2.1. Perfis qualificados... 17 5.2.2. Número de pessoas necessário por tarefa... 17 5.2.3. Identificação e autenticação para cada perfil... 17 5.3. Controles de Pessoal... 17 5.3.1. Antecedentes, qualificação, experiência e requisitos de idoneidade... 17 5.3.2. Procedimentos de verificação de antecedentes... 17 5.3.3. Requisitos de treinamento... 17 5.3.4. Freqüência e requisitos para reciclagem técnica... 17 5.3.5. Freqüência e seqüência de rodízio de cargos... 17 5.3.6. Sanções para ações não autorizadas... 17 5.3.7. Requisitos para contratação de pessoal... 17 5.3.8. Documentação fornecida ao pessoal... 17 6. CONTROLES TÉCNICOS DE SEGURANÇA... 17 6.1. Geração e Instalação do Par de Chaves... 17 6.1.1. Geração do par de chaves... 17 6.1.2. Entrega da chave privada à entidade titular do certificado... 18 6.1.3. Entrega da chave pública para emissor de certificado... 18 6.1.4. Disponibilidade de chave pública da AC para usuários... 18 6.1.5. Tamanhos de chave... 18 6.1.6. Geração de parâmetros de chaves assimétricas... 18 6.1.7. Verificação da qualidade dos parâmetros... 18 6.1.8. Geração de chave por hardware ou software... 18 6.1.9. Propósitos de uso de chave (conforme o campo key usage na X.509 v3)... 18
6.2. Proteção da Chave Privada... 19 6.2.1. Padrões para módulo criptográfico... 19 6.2.2. Controle n de m para chave privada... 19 6.2.3. Recuperação (escrow) de chave privada... 19 6.2.4. Cópia de segurança (backup) de chave privada... 19 6.2.5. Arquivamento de chave privada... 19 6.2.6. Inserção de chave privada em módulo criptográfico... 19 6.2.7. Método de ativação de chave privada... 19 6.2.8. Método de desativação de chave privada... 19 6.2.9. Método de destruição de chave privada... 19 6.3. Outros Aspectos do Gerenciamento do Par de Chaves... 19 6.3.1. Arquivamento de chave pública... 19 6.3.2. Períodos de uso para as chaves pública e privada... 20 6.4. Dados de Ativação... 20 6.4.1. Geração e instalação dos dados de ativação... 20 6.4.2. Proteção dos dados de ativação... 20 6.4.3. Outros aspectos dos dados de ativação... 20 6.5. Controles de Segurança Computacional... 20 6.5.1. Requisitos técnicos específicos de segurança computacional... 20 6.5.2. Classificação da segurança computacional... 20 6.6. Controles Técnicos do Ciclo de Vida... 20 6.6.1. Controles de desenvolvimento de sistema... 20 6.6.2. Controles de gerenciamento de segurança... 20 6.6.3. Classificações de segurança de ciclo de vida... 20 6.7. Controles de Segurança de Rede... 20 6.8. Controles de Engenharia do Módulo Criptográfico... 20 7. PERFIS DE CERTIFICADO E LCR... 20 7.1. Perfil do Certificado... 20 7.1.1. Número de versão... 21 7.1.2. Extensões de certificado... 21 7.1.3. Identificadores de algoritmo... 21 7.1.4. Formatos de nome... 21 7.1.5. Restrições de nome... 22 7.1.6. OID (Object Identifier) de Política de Certificado... 22 7.1.7. Uso da extensão Policy Constraints... 22 7.1.8. Sintaxe e semântica dos qualificadores de política... 22 7.1.9. Semântica de processamento para extensões críticas... 22 7.2. Perfil de LCR... 22 7.2.1. Número(s) de versão... 22 7.2.2. Extensões de LCR e de suas entradas... 22 8. ADMINISTRAÇÃO DE ESPECIFICAÇÃO... 22 8.1. Procedimentos de mudança de especificação... 22 8.2. Políticas de publicação e notificação... 23 8.3. Procedimentos de aprovação... 23
1. INTRODUÇÃO 1.1. Visão Geral Esta Política de Certificado (PC) descreve as políticas de certificação de certificados de Sigilo Tipo S1 da Autoridade Certificadora Imprensa Oficial SP. A estrutura desta PC está baseada na Resolução N. 7 do Comitê Gestor da ICP-Brasil Requisitos Mínimos para as Políticas de Certificados na ICP-Brasil, publicada em 12/12/2001 e na RFC 2527 (Internet X.509 Public Key Infrastructure - Certificate Policy and Certification Practices Framework). 1.2. Identificação Esta PC é chamada Política de Certificado de Sigilo Tipo S1 da Autoridade Certificadora Imprensa Oficial SP e referida como PC S1 da AC Imprensa Oficial SP. Esta PC descreve os usos relacionados ao certificado de Sigilo correspondente ao tipo S1 da Resolução no. 7 da ICP-Brasil, de 12 de dezembro de 2001. O OID (object identifier) desta PC é 2.16.76.1.2.101.n 1.3. Comunidade e Aplicabilidade 1.3.1. Autoridades Certificadoras Esta PC refere-se exclusivamente à AC Subordinada Imprensa Oficial SP (AC Imprensa Oficial SP) no âmbito da ICP-Brasil. As práticas e procedimentos de certificação da AC Imprensa Oficial SP estão descritos na Declaração de Práticas de Certificação da AC Imprensa Oficial SP (DPC da AC Imprensa Oficial SP). 1.3.2. Autoridades de Registro A Imprensa Oficial do Estado SA IMESP e outras entidades abaixo relacionadas atuam como Autoridades de Registro para AC Imprensa Oficial SP, exercendo as funções de recebimento, validação e encaminhamento de solicitações de emissão ou de revogação de certificados digitais e identificação dos solicitantes na hierarquia pública da ICP-Brasil. Autoridades de Registro credenciadas na ICP-Brasil vinculadas à AC Imprensa Oficial SP: AR IMPRENSA OFICIAL-SP A AC Imprensa Oficial SP pode ampliar a atividade de Registro através de pedido de credenciamento de novas AR vinculadas à AC Imprensa Oficial SP. A DPC da AC Imprensa Oficial SP é atualizada sempre que há alteração no conjunto de AR vinculadas. 1.3.2.1. Novos endereços de instalações técnicas A AR Imprensa Oficial SP pode abrir novos endereços de instalações técnicas, mediante autorização de funcionamento da AC Raiz. A AC Raiz pode, a qualquer tempo, verificar a conformidade dos procedimentos e atividades dos postos das Autoridades de Registro autorizados com as práticas e regras estabelecidas pelo CG da ICP-Brasil. Constatada qualquer irregularidade, a AC Raiz cassará a autorização de funcionamento do posto e verificará a conformidade dos procedimentos dos demais da mesma AR. Todos os postos que adotarem os mesmos procedimentos também terão sua autorização cassada. Os endereços autorizados das instalações técnicas das AR vinculadas são publicados em serviço de diretório e/ou em página web da Imprensa Oficial do Estado de São Paulo (https://icp-brasil.imprensaoficial.com.br/repositorio). 1.3.2.2. Posto provisório de instalação técnica A AR Imprensa Oficial SP pode abrir postos provisórios de instalações técnicas mediante autorização de funcionamento da Autoridade Certificadora Raiz. 1
1.3.3. Titulares de Certificado Pessoa físicas ou jurídicas de direito público ou privado, nacionais ou estrangeiras, podem ser Titulares de Certificado. No caso de certificado emitido para equipamento ou aplicação, o titular será a pessoa física ou jurídica solicitante do certificado. No caso de certificado emitido para pessoa jurídica, será designada pessoa física como responsável pelo certificado, que será a detentora da chave privada. Preferencialmente, será designado como responsável pelo certificado um dos representantes legais da pessoa jurídica. 1.3.4. Aplicabilidade Os certificados emitidos pela AC Imprensa Oficial SP no âmbito desta PC podem ser utilizados apenas para aplicações de sigilo como cifração de documentos, bases de dados, mensagens e outras informações eletrônicas, com a finalidade de garantir o seu sigilo. Os certificados também podem ser associados a equipamentos ou aplicações. O Termo de Titularidade e o Termo de Responsabilidade, no caso de certificados de pessoas jurídicas, disponibilizados pela AR que recebe e valida o pedido de emissão de certificado poderá limitar as aplicações para as quais são adequados os certificados de sigilo Tipo S1 emitidos pela AC Imprensa Oficial SP determinando restrições ou proibições de uso destes certificados. 1.4. Dados de Contato Nome: Imprensa Oficial do Estado SA IMESP Endereço: Rua da Mooca, 1921 Mooca São Paulo, SP Telefone: 11 6099-9800 Nome: Robinson Herzeg Telefone: 11 6099-9512 Fax: 11 6292-0643 E-mail: icpbrasil@imprensaoficial.com.br 2. DISPOSIÇÕES GERAIS 2.1. Obrigações e Direitos 2.1.1. Obrigações da AC Imprensa Oficial SP operar de acordo com a Declaração de Práticas de Certificação da AC Imprensa Oficial SP (DPC da AC Imprensa Oficial SP) e com as PC que implementa; tomar as medidas cabíveis para assegurar que usuários e demais entidades envolvidas tenham conhecimento de seus respectivos direitos e obrigações; gerar e gerenciar os seus pares de chaves criptográficas; assegurar a proteção de suas chaves privadas; notificar os seus usuários quando ocorrer suspeita de comprometimento da chave privada da AC Imprensa Oficial SP, emissão de novo par de chaves e correspondente certificado ou o encerramento de suas atividades; distribuir o seu próprio certificado; emitir, expedir, distribuir e revogar conforme as instruções da AR os certificados de usuários finais; emitir, gerenciar e publicar as Lista de Certificado Revogado (LCR), ou disponibilizar outro mecanismo de publicação de status de certificado aprovado pela ICP-Brasil, quando aplicável por força de contratação específica; identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil; 2
publicar em seu Web Site a DPC da AC Imprensa Oficial SP e as PC que implementar; informar a emissão do certificado ao respectivo solicitante; emitir, expedir, e distribuir os certificados das AR. adotar as medidas de segurança e controle previstas na DPC, nesta PC e na Política de Segurança, envolvendo seus processos, procedimentos e atividades, observadas as normas, critérios, práticas e procedimentos da ICP-Brasil; manter a conformidade dos seus processos, procedimentos e atividades com as normas, práticas e regras da ICP-Brasil e com a legislação vigente; manter e garantir a integridade, o sigilo e a segurança da informação por ela tratada; manter e testar regularmente seu Plano de Continuidade do Negócio; informar às terceiras partes e titulares de certificado acerca das garantias, coberturas, condicionantes e limitações estipuladas pela apólice de seguro de responsabilidade civil contratada pela AC Imprensa Oficial SP. não emitir certificado com prazo de validade que se estenda além do prazo de validade de seu próprio certificado. 2.1.2. Obrigações das AR receber solicitações de emissão ou de revogação de certificados; confirmar a identidade do solicitante e a validade da solicitação, de acordo com os requisitos estabelecidos pelos itens 3 e 4 desta PC; encaminhar a solicitação de emissão ou de revogação de certificado à AC Imprensa Oficial SP utilizando VPN (virtual private network - rede privativa virtual), SSL (secure socket layer - protocolo de comunicação seguro) ou outra tecnologia de igual ou superior nível de segurança e privacidade; utilizar VPN (virtual private network rede privativa virtual), SSL (secure socket layer - protocolo de comunicação seguro) ou outra tecnologia de igual ou superior nível de segurança e privacidade, ao disponibilizar serviços para os solicitantes ou usuários de certificados digitais via web; informar aos respectivos titulares a emissão ou a revogação de seus certificados; disponibilizar os certificados emitidos pela AC aos seus respectivos solicitantes; identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP Brasil; Obedecer estritamente a DPC da AC Imprensa Oficial SP e à esta PC, bem como respeitar a legislação aplicável, incluindo as regras definidas pelo CG da ICP-Brasil. manter a conformidade dos seus processos, procedimentos e atividades com as normas, critérios, práticas e regras estabelecidas pela AC vinculada; manter e garantir a segurança da informação por elas tratada, de acordo com o estabelecido nas normas, critérios, práticas e procedimentos da ICP -Brasil; oferecer treinamento aos seus agentes de registro, especialmente quanto ao reconhecimento de assinaturas e validade dos documentos apresentados na forma dos itens 3.1.8 e 3.1.9. 2.1.3. Obrigações dos Titulares do Certificado fornecer, de modo completo e preciso, todas as informações necessárias para sua identificação; fornecer originais ou cópias autênticas dos documentos que forem exigidos para emissão do certificado; garantir a proteção e o sigilo de suas chaves privadas, dados de ativação e dispositivos criptográficos; verificar, no momento da aceitação do certificado, a veracidade e exatidão das informações contidas no seu certificado e notificar a AC Imprensa Oficial SP solicitando a imediata revogação do certificado que contiver inexatidões ou erros; utilizar sua chave privada e o certificado correspondente a esta apenas para as aplicações listadas no item 1.3.4 desta PC; 3
conhecer os seus direitos e obrigações, contemplados pela DPC, por esta PC e por outros documentos aplicáveis da ICP-Brasil; informar à AC Imprensa Oficial SP o comprometimento ou suspeita de comprometimento de sua chave privada e solicitar a imediata revogação do certificado correspondente; obedecer estritamente a esta PC, bem como respeitar a legislação aplicável, incluindo as regras definidas pelo CG da ICP-Brasil e as obrigações contratuais assumidas perante à AC Imprensa Oficial SP e AR. Em caso de certificados emitidos para pessoas jurídicas, equipamento ou aplicação, estas obrigações se aplicam ao responsável pelo uso do certificado. 2.1.4. Direitos da Terceira Parte (Relying Party) Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do certificado digital. Constitui direito da terceira parte recusar a utilização dos certificados para fins diversos dos previstos nesta PC. Constitui direito da terceira parte verificar, a qualquer tempo, a validade do certificado. Um certificado emitido pela AC Imprensa Oficial SP é considerado válido quando: não constar da LCR da AC Imprensa Oficial SP; não estiver expirado; e sua validade puder ser verificada através de certificado válido da AC Imprensa Oficial SP; O não-exercício desse direito não afasta a responsabilidade da AC Imprensa Oficial SP e do Titular do Certificado. 2.1.5. Obrigações do Repositório estar disponível para consulta durante 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana; e implementar os recursos necessários para a segurança dos dados nele armazenados; tornar disponível, logo após a sua emissão, os certificados emitidos pela AC Imprensa Oficial SP; tornar disponível a LCR da AC Imprensa Oficial SP; tornar disponível verificação on-line do status do certificado ou outro mecanismo de atualização de status aprovado pela ICP-Brasil, quando aplicável por força de contratação específica; 2.2. Responsabilidades 2.2.1. Responsabilidades da AC Imprensa Oficial SP A AC responde pelos danos a que der causa. 2.2.2. Responsabilidades das AR A AR é responsável pelos danos a que der causa. 2.3. Responsabilidade Financeira 2.3.1. Indenizações devidas pela terceira parte (Relying Party) A terceira parte responde perante a AC Imprensa Oficial SP e ARs vinculadas apenas pelos prejuízos a que der causa com a prática de ato ilícito, nos termos da legislação vigente. 2.3.2. Relações Fiduciárias A AC Imprensa Oficial SP ou sua AR vinculada indeniza integralmente os prejuízos que, comprovadamente, der causa, quando o Titular do Certificado for pessoa física. Em caso de o Titular do Certificado ser pessoa jurídica, a política de indenizações da AC Imprensa Oficial SP e de suas AR vinculadas, pelos danos a que, comprovadamente, derem causa, prevê o pagamento de indenização correspondente à 20 (vinte) vezes o valor do certificado, ou a R$ 40.000,00, o que for menor. 4
As indenizações da AC Imprensa Oficial SP e de suas AR vinculadas cobrem perdas e danos decorrentes de comprometimento da chave privada da AC Imprensa Oficial SP, de erro na identificação do titular, de emissão defeituosa do certificado ou de erros ou omissões da AC Imprensa Oficial SP ou das AR vinculadas. 2.3.3. Processos Administrativos O titular do certificado que sofrer perdas e danos decorrentes do uso do certificado Digital emitido pela AC Imprensa Oficial SP tem o direito de comunicar à AC Imprensa Oficial SP que deseja a indenização prevista no item 2.3.2 acima, observadas as seguintes condições: a) nos casos de perdas e danos decorrentes de comprometimento da chave privada da AC Imprensa Oficial SP, tal comprometimento deverá ter sido comprovado por perícia realizada por perito especializado e independente; b) nos casos de erro na identificação, o titular do certificado não pode requerer qualquer indenização quando os dados constantes no certificado corresponderem aos dados fornecidos por esse titular à AC Imprensa Oficial SP ou à AR Imprensa Oficial SP; c) nos casos de erro na transcrição, o titular do certificado não pode requerer qualquer indenização quando houver aceitado o certificado. 2.4. Interpretação e Execução 2.4.1. Legislação Esta PC é regida pela Medida Provisória nº2.200-02, pelas Resoluções do Comitê Gestor da ICP-Brasil, bem como pelas demais leis em vigor no Brasil. 2.4.2. Forma de interpretação e notificação Na hipótese de uma ou mais das disposições desta PC ser, por qualquer razão, considerada inválida, ilegal, ou não-aplicável por lei ou norma da ICP-Brasil, tal inaplicabilidade não afeta as demais disposições, sendo esta PC interpretada, então, como se não contivesse tal disposição, e na medida do possível, interpretada para manter a intenção original da PC. As notificações ou qualquer outra comunicação necessária, relativa às práticas descritas nesta PC, são feitas através de mensagem eletrônica assinada digitalmente, com chave pública certificada pela ICP-Brasil, ou por escrito e entregues à AC Imprensa Oficial SP. 2.4.3. Procedimentos de solução de disputa Em caso de conflito entre esta PC e outras políticas, planos, acordos, contratos ou documentos adotados pela AC Imprensa Oficial SP, prevalece o disposto nesta PC, exceto pela DPC da AC Imprensa Oficial SP, que prevalece sobre esta PC. Esta PC S1 da Imprensa Oficial SP não prevalece sobre as normas, critérios, práticas e procedimentos da ICP-Brasil. 2.5. Tarifas de Serviço 2.5.1. Tarifas de emissão e renovação de certificados Variável conforme definição comercial. 2.5.2. Tarifas de acesso ao certificado Não são cobradas tarifas de acesso ao certificado digital emitido. 2.5.3. Tarifas de revogação ou de acesso à informação de status Variável conforme definição comercial. 5
2.5.4. Tarifas para outros serviços, tais como informação de política Variável conforme definição comercial. 2.5.5. Política de reembolso A AC Imprensa Oficial SP não reembolsa valores recebidos após a emissão de certificados. Caso constatada a emissão imprópria ou defeituosa do certificado Tipo S1, imputável à AC Imprensa Oficial SP, ou caso seja necessária a revogação do certificado por comprometimento da chave privativa da AC Imprensa Oficial SP a AC Imprensa Oficial SP emitirá novo certificado sem a cobrança de qualquer tarifa adicional. 2.6. Publicação e Repositório 2.6.1. Publicação de informação da AC Imprensa Oficial SP O certificado da AC Imprensa Oficial SP, a LCR AC Imprensa Oficial SP, a DPC da AC Imprensa Oficial SP, esta PC e os endereços das instalações técnicas das AR vinculadas são publicados em serviço de diretório e/ou em página web de Imprensa Oficial do Estado de São Paulo (https://icp-brasil.imprensaoficial.com.br/repositorio), obedecendo as regras e os critérios estabelecidos na DPC. A disponibilidade das informações publicadas pela AC Imprensa Oficial SP em serviço de diretório e/ou em página web é de 99% (noventa e nove por cento) do mês, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana. 2.6.2. Freqüência de publicação Certificados são publicados após sua emissão. A publicação de LCR se dá conforme o item 4.4.9 desta PC. As versões ou alterações da DPC AC Imprensa Oficial SP e desta PC são atualizadas em página web da AC Imprensa Oficial SP após aprovação da AC Raiz. 2.6.3. Controles de acesso Não há qualquer restrição ao acesso para consulta a esta PC, à DPC da AC Imprensa Oficial SP, aos certificados emitidos ou à LCR da AC Imprensa Oficial SP. São utilizados controles de acesso apropriados para restringir a possibilidade de escrita ou modificação dessas informações por pessoal não-autorizado. 2.6.4. Repositórios O repositório da AC Imprensa Oficial SP está disponível para consulta durante 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana e pode ser encontrado em (https://icp-brasil.imprensaoficial.com.br/repositorio) As publicações da AC Imprensa Oficial SP são consultadas através de protocolo https. Somente a AC Imprensa Oficial SP, por seus funcionários qualificados e designados especialmente para esse fim, pode efetuar atualizações nas informações por ela publicadas. 2.7. Auditoria de Conformidade A AC Imprensa Oficial SP torna disponível à AC Raiz, por intermédio da AC CertiSign, relatórios anuais de auditoria das AR e prestadores de serviço de suporte vinculados. 2.7.1. Freqüência de auditoria de conformidade Auditorias de conformidade das AR e prestadores de serviço de suporte vinculados à AC Imprensa Oficial SP são realizadas anualmente. 2.7.2. Identidade e qualificações do auditor Os relatórios de auditoria das AR e dos prestadores de serviço de suporte são fornecidos pela AC Imprensa Oficial SP ou por empresa de auditoria independente contratada pela AC Imprensa Oficial SP. No caso da 6
auditoria ser realizada pela própria AC Imprensa Oficial SP, os relatórios são assinados por funcionário com perfil qualificado conforme o item 5.2.1 da DPC da AC Imprensa Oficial SP. 2.7.3. Relação entre auditor e parte auditada O auditor pertencente à auditoria independente e especializada contratada, deve ser totalmente independente da entidade auditada. O auditor será declarado impedido de realizar a auditoria quando: houver motivo íntimo declarado; for amigo íntimo ou inimigo capital de membros da entidade auditada; for credor ou devedor da entidade auditada ou de um de seus membros; tiver interesse no resultado da auditoria da entidade auditada; e houver relacionamento, de fato ou de direito, como cônjuge, parente, consangüíneo ou afim, com algum dos membros da entidade auditada, em linha reta ou na colateral até o terceiro grau. O auditor firma declaração, sob as penas da lei, de que não se enquadra em qualquer das causas de impedimento. Quando a entidade auditada for a AR Imprensa Oficial SP, e a auditoria for realizada por auditor pertencente à AC Imprensa Oficial SP este deverá preencher os requisitos conforme item 2.7.2 desta PC, não se aplicando os impedimentos acima. 2.7.4. Tópicos cobertos pela auditoria As auditorias de conformidade verificam todos os aspectos relacionados com a emissão e o gerenciamento de certificados digitais, incluindo o controle dos processos de solicitação, identificação, autenticação, geração, publicação, distribuição, renovação e revogação de certificados. Os tópicos cobertos pela auditoria de conformidade incluem, dentre outros: Política de Segurança; Segurança Física; Administração dos serviços; Investigação de pessoal; PC e DPC utilizados; Termo de Titularidade e Termo de Responsabilidade; Considerações de sigilo. 2.7.5. Medidas adotadas em caso de não-conformidade A entidade auditada compromete-se a cumprir, no prazo estipulado pela AC Imprensa Oficial SP, as recomendações dos auditores para corrigir os casos de não-conformidade com a legislação ou com as políticas, normas, práticas e regras estabelecidas. O não cumprimento das recomendações no prazo estipulado acarretará a suspensão das atividades de AR ou de prestador de serviço de suporte. 2.7.6. Comunicação de resultados Os auditores entregam relatórios completos à AC Imprensa Oficial SP que serão encaminhados à AC Raiz por intermédio da AC CertiSign. 2.8. Sigilo AC Imprensa Oficial SP gera e mantém sua chave privada, sendo responsável pelo seu sigilo. A divulgação ou utilização indevida da chave privada é de sua inteira responsabilidade. O titular ou responsável pelos certificados de sigilo, em caso de pessoa jurídica emitidos pela AC Imprensa Oficial SP é responsável pela geração, manutenção e sigilo de suas respectivas chaves privadas bem como pela divulgação ou utilização indevida dessas chaves. 7
No intuito de preservar o sigilo da sua chave privada o titular ou responsável pelo certificado deve tomar todas as medidas para a proteção da mesma. O sigilo da chave privada do certificado é garantido através de senha de acesso à chave privada. Esta senha será definida pelo usuário no momento da instalação do certificado. A criação e utilização dessa senha para acesso à aplicação são de responsabilidade do usuário. O Titular ou responsável pelo Certificado deve observar procedimentos básicos de segurança, tais como: Nunca fornecer a senha a terceiros; Utilizar senha de, no mínimo, 8 caracteres; Não utilizar senha fraca ou óbvia, conforme definido na Política de Segurança da AC Imprensa Oficial SP, item 5.1.1.11; Montar senha com caractere numéricos e alfanuméricos; Memorizar a senha e não a escrever; Guardar a mídia principal e cópia de segurança em lugar seguro. 2.8.1. Tipos de informações sigilosas Como princípio geral, todo documento, informação ou registro fornecido à AC ou às AR é sigiloso. 2.8.2. Tipos de informações não-sigilosas As informações consideradas não-sigilosas compreendem: Termo de Titularidade, Termo de Responsabilidade ou solicitação de emissão do certificado; os certificados e as LCR emitidos pela AC Imprensa Oficial SP; informações corporativas ou pessoais que constem no certificado ou em diretório público; esta PC; a DPC da AC Imprensa Oficial SP; versões públicas de Políticas de Segurança; resultados finais de auditorias; informações que sejam de conhecimento público à época da comunicação ou caiam no domínio público, após a comunicação, sem culpa da AC Imprensa Oficial SP; 2.8.3. Divulgação de informação de revogação ou suspensão de certificado Informações sobre revogação de certificados emitidos pela AC Imprensa Oficial SP são fornecidas em suas LCR. As razões para a revogação de certificados serão informadas aos titular do certificado e tornadas públicas, desde que autorizadas a divulgação pelo mesmo. A suspensão de certificados não é admitida no âmbito da ICP-Brasil. 2.8.4. Quebra de sigilo por motivos legais A AC Imprensa Oficial SP fornecerá, mediante ordem judicial ou por determinação legal, documentos, informações ou registros sob sua guarda. 2.8.5. Informações a terceiros Nenhum documento, informação ou registro sob a guarda da AC Imprensa Oficial SP é fornecido a qualquer pessoa, exceto quando o requisitante, através de instrumento devidamente constituído, estiver corretamente identificado e autorizado para fazê-lo. 2.8.6. Divulgação por solicitação do Titular do Certificado Os titulares de certificado têm acesso a quaisquer dos seus próprios dados e identificações e podem autorizar a divulgação de seus registros. 8
Autorizações podem ser apresentadas de duas formas: por meio eletrônico, contendo assinatura válida garantida por certificado do mesmo tipo ou superior emitido na ICP-Brasil; por solicitação escrita, com firma reconhecida. Nenhuma liberação de informação é permitida sem autorização numa das formas acima. 2.8.7. Outras circunstâncias de divulgação de informação Não se aplica. 2.9. Direitos de Propriedade Intelectual A AC Imprensa Oficial SP ou sua licenciante VeriSign, Inc. detém todos os direitos de propriedade intelectual sobre as idéias, conceitos, técnicas e invenções, processos e/ou obras, incluídas ou utilizadas nos produtos e serviços fornecidos pela CertiSign nos termos desta PC. Os Direitos de Propriedade terão proteção conforme a legislação aplicável. 3. IDENTIFICAÇÃO E AUTENTICAÇÃO 3.1. Registro Inicial As AR vinculadas à AC Imprensa Oficial SP efetuam a identificação e a autenticação dos solicitantes de certificado com base nos dados fornecidos no formulário de solicitação e nos documentos de apresentação obrigatória. A AR realizará a autenticação da identidade de uma organização (item 3.1.8) e a autenticação da identidade de um indivíduo (item 3.1.9) por meio de dois agentes de registro responsáveis pelo recolhimento e verificação da validade dos documentos apresentados. 3.1.1. Tipos de nomes O tipo de nome admitido para os titulares de certificados emitidos, segundo esta PC, é o distinguished name do padrão ITU X.500, endereços de correio eletrônico, endereço de página Web (URL), ou outras informações que permitam a identificação unívoca do titular.o certificado emitido para pessoa jurídica inclui o nome da pessoa física responsável pelo seu uso. 3.1.2. Necessidade de nomes significativos Os certificados emitidos pela AC Imprensa Oficial SP exigem o uso de nomes significativos que possibilitam determinar univocamente a identidade da pessoa ou da organização titular do certificado. 3.1.3. Regras para interpretação de vários tipos de nomes Não se aplica. 3.1.4. Unicidade de nomes Identificadores do tipo Distinguished Name (DN) são únicos para cada entidade titular de certificado emitido pela AC Imprensa Oficial SP. Números ou letras adicionais podem ser incluídos ao nome de cada entidade para assegurar a unicidade do campo (DN). 3.1.5. Procedimento para resolver disputa de nomes A AC Imprensa Oficial SP se reserva o direito de tomar todas as decisões na hipótese de haver disputa de nomes decorrente da igualdade de nomes entre solicitantes diversos de certificados. Durante o processo de confirmação de identidade, cabe à entidade solicitante do certificado provar o seu direito de uso de um nome específico. 9
3.1.6. Reconhecimento, autenticação e papel de marcas registradas Os processos de tratamento, conhecimentos e confirmação de autenticidade de marcas registradas são executadas de acordo com a legislação em vigor. 3.1.7. Método para comprovar a posse de chave privada A AR verifica se a entidade que solicita o certificado possui a chave privada correspondente à chave pública para a qual está sendo solicitado o certificado digital. A RFC 2510 é utilizada como referência para essa finalidade. O método de verificação utilizado é Proof of Possession (POP) of Private Key conforme o item 2.3 da RFC 2510. 3.1.8. Autenticação da identidade de uma organização A confirmação da identidade de uma pessoa jurídica é realizada mediante o fornecimento de, no mínimo, os seguintes documentos: registro comercial, no caso de empresa individual; ato constitutivo, estatuto ou contrato social em vigor, devidamente registrado, em se tratando de sociedades comerciais ou civis, e, no caso de sociedades por ações, acompanhado de documentos de eleição de seus administradores; prova de inscrição do Cadastro Nacional de Pessoas Jurídicas (CNPJ); As solicitações de certificados são realizadas por pessoa física legalmente responsável. A pessoa física responsável é identificada, na forma descrita no item seguinte (3.1.9). 3.1.9. Autenticação da identidade do indivíduo A confirmação da identidade de um indivíduo é realizada mediante a presença física do interessado, com base em documentos pessoais de identificação. O procedimento de identificação utilizado é mantido em arquivo. As AR vinculadas guardam cópias dos documentos exigidos para confirmação da identidade da entidade solicitante e do responsável pelo certificado, o Termo de Titularidade, o Termo de Responsabilidade. 3.1.9.1. Documentos para identificação Deve ser apresentada uma foto recente e os seguintes documentos acompanhados de cópia: Cédula de Identidade ou Passaporte, se estrangeiro; Cadastro de Pessoa Física - CPF; comprovante de residência; PIS/PASEP, se aplicável; Título de eleitor, se aplicável. Caso o solicitante seja incapaz, devem ser apresentados os documentos acima relacionados do responsável. Entende-se por cédula de identidade as carteiras instituídas por lei, desde que contenham foto e às mesmas seja atribuída fé pública em todo o território nacional, tais como: Carteira de Identidade emitida pela Secretaria de Segurança Pública, Carteira Nacional de Habilitação, Carteira de Identidade Funcional, Carteira de Identidade Profissional. Documentos de identificação adicionais podem ser exigidos para a aquisição de um certificado emitido pela AC Imprensa Oficial SP. 3.1.9.2. Certificado emitido para pessoa física Após a confirmação da identidade na forma do item 3.1.9.1, o titular do certificado assina o Termo de Titularidade, pelo qual adere às normas, práticas e procedimentos da DPC e desta PC da AC Imprensa Oficial SP, em conformidade com as regras, normas, práticas e procedimentos fixados pela ICP-Brasil. 10
O agente de registro da AR verifica e recolhe cópias dos documentos exigidos para identificação do solicitante do certificado e presencia a assinatura do Termo de Titularidade. 3.1.9.3. Certificado emitido para pessoa jurídica Nos caso de certificado de titularidade de pessoa jurídica, a confirmação da identidade da organização e das pessoas físicas é feita nos seguintes termos: a) apresentação do rol de documentos elencados no item 3.1.8; b) apresentação do rol de documentos elencados no item 3.1.9.1 dos representantes legais da pessoa jurídica e do responsável pelo uso do certificado; c) presença física do responsável pelo uso do certificado e assinatura do Termo de Responsabilidade ; e d) presença física dos representantes legais da pessoa jurídica e assinatura do Termo de Titularidade. Nestes casos, a AR verifica e recolhe cópias dos documentos de identificação da organização solicitante do certificado e dos documentos pessoais de identificação dos representantes legais e do responsável, verifica a autorização atribuída ao responsável pelo certificado, e presencia as assinaturas do Termo de Titularidade pelos representantes legais e do Termo de Responsabilidade pelo responsável. 3.1.9.4. Certificado emitido para equipamento ou aplicação Se o titular for pessoa física, a confirmação de sua identidade é feita na forma do item 3.1.9.1, e esta assinará Termo de Titularidade. Se o titular for pessoa jurídica, a confirmação da identidade da organização e das pessoas físicas e feita nos seguintes termos: a) apresentação do rol de documentos elencados no item 3.1.8; b) apresentação do rol de documentos elencados no item 3.1.9.1 do representante legal da pessoa jurídica e do responsável pelo uso do certificado; c) presença física do responsável pelo uso do certificado e assinatura do termo de responsabilidade; e d) presença física do representante legal da pessoa jurídica e assinatura do termo de titularidade, ou outorga de procuração atribuindo poderes para solicitação de certificado para equipamento ou aplicação e assinatura do respectivo termo de titularidade. Nestes casos, a AR verifica e recolhe cópias dos documentos de identificação da organização solicitante do certificado e dos documentos pessoais de identificação dos representantes legais e do responsável, verifica a autorização atribuída ao responsável pelo certificado, e presencia as assinaturas do Termo de Titularidade pelos representantes legais e do Termo de Responsabilidade pelo responsável. 3.2. Geração de novo par de chaves antes da expiração do atual Antes da expiração do certificado, o titular pode solicitar um novo certificado por meio eletrônico, assinando digitalmente uma solicitação com o uso de certificado vigente de mesmo nível ou superior, limitada a 3 (três) ocorrências sucessivas. Em outros casos são adotados os mesmos requisitos e procedimentos exigidos para solicitação inicial do certificado. 3.3. Geração de novo par de chaves após revogação Após a revogação ou expiração do certificado, os procedimentos utilizados para confirmação da identidade do solicitante de novo certificado são os mesmos exigidos na solicitação inicial de certificado, na forma e prazo descritos nesta PC. 3.4. Solicitação de Revogação A confirmação da identidade do solicitante é feita com base na confrontação de dados fornecidos no formulário online específico de solicitação de revogação e os dados previamente cadastrados na AR. Na solicitação de emissão de certificado o solicitante informa uma frase de identificação, que é associada à identidade do solicitante. 11
Essa frase de identificação é utilizada para solicitar a revogação, permitindo, assim, a identificação inequívoca do solicitante. Caso o Titular ou o Responsável - no caso de certificados de pessoas jurídicas - não recorda a frase de identificação ou quando a revogação é solicitada diretamente pelo Titular, sem a participação do Responsável, o Formulário de revogação é impresso e assinado e entregue na AR. As solicitações de revogação de certificado são documentadas. 4. REQUISITOS OPERACIONAIS 4.1. Solicitação de Certificado Para atender à solicitação de emissão de certificados, a AR exige: o fornecimento dos dados e documentos exigidos para identificação dos titulares e responsáveis, conforme item 3.1; a autenticação do agente de registro responsável pelas solicitações de emissão e de revogação de certificados mediante o uso de certificado digital que tenha requisitos de segurança, no mínimo, equivalentes a de um certificado de nível A3; assinatura do Termo de Titularidade pelo Titular do certificado e do Termo de Responsabilidade pelo Responsável, no caso de certificados de pessoas jurídicas, equipamentos ou aplicações, estabelecendo os termos e condições aplicados ao uso do certificado. 4.2. Emissão de Certificado A emissão de certificado depende do correto preenchimento de um formulário de solicitação, do recebimento do Termo de Titularidade e do Termo de Responsabilidade, no caso de certificados de pessoas jurídicas, e dos demais documentos exigidos. Após o processo de validação das informações fornecidas pelo solicitante, o certificado é emitido e o Titular do certificado é notificado, por e-mail, da emissão e do método para a retirada do certificado. O certificado é considerado válido a partir do momento de sua emissão. 4.3. Aceitação de Certificado A aceitação do certificado e do seu conteúdo é declarada, pelo titular do certificado, na primeira utilização da chave privada correspondente. O prazo para aceitação do certificado está definido no item 4.4.4 desta PC. O titular do certificado ou pessoa física responsável, verifica as informações contidas no certificado e o aceita caso as informações sejam íntegras, corretas e verdadeiras. Caso contrário, o titular do certificado não pode utilizar o certificado deve solicitar imediatamente a revogação do mesmo. 4.4. Suspensão e Revogação de Certificado 4.4.1. Circunstâncias para revogação O titular do certificado e o responsável pelo certificado podem solicitar a revogação de seu certificado a qualquer tempo. O certificado é obrigatoriamente revogado: quando constatada emissão imprópria ou defeituosa do mesmo; quando for necessária a alteração de qualquer informação constante no mesmo; no caso de comprometimento da chave privada correspondente ou da sua mídia armazenadora. no caso de falecimento do titular- pessoas físicas no caso de mudança na razão ou denominação social do titular - pessoas jurídicas; no caso de extinção, dissolução ou transformação do titular do certificado - pessoas jurídicas; no caso de falecimento ou demissão do responsável - pessoas jurídicas. 12
no caso de extinção, dissolução ou transformação da AC Imprensa Oficial SP; AC Imprensa Oficial SP revoga, no prazo definido no item 4.4.3, o certificado do titular que deixar de cumprir as políticas, normas e regras estabelecidas para a ICP-Brasil. 4.4.2. Quem pode solicitar revogação A revogação de um certificado somente poderá ser feita: por solicitação do titular do certificado; por solicitação do responsável pelo certificado, no caso de certificado de pessoas jurídicas; por solicitação da empresa ou órgão, no caso de certificado fornecido por essa empresa ou órgão para seus empregados, funcionários, servidores, parceiros ou fornecedores, para fins de utilização específica em aplicações determinadas;; pela AC Imprensa Oficial SP; pela AR que tiver recebido a solicitação; por determinação do CG da ICP-Brasil ou da AC Raiz; 4.4.3. Procedimento para solicitação de revogação Uma solicitação de revogação é necessária para que AR responsável inicie o processo de revogação. O solicitante da revogação habilitado, conforme o item 4.4.2 desta PC, pode solicitar facilmente e a qualquer tempo a revogação de certificado, evitando assim a utilização indevida do certificado. Instruções para a solicitação de revogação do Certificado são obtidas em página web disponibilizada pela AC Imprensa Oficial SP ou pela AR Responsável. A revogação é feita através de Formulário on-line contendo o motivo da solicitação de revogação mediante o fornecimento de dados e da frase de identificação indicada na solicitação de emissão do Certificado. Caso o Titular ou o Responsável -no caso de certificados de pessoas jurídicas, - não recorda a frase de identificação ou quando a revogação é solicitada diretamente pelo Titular, sem a participação do Responsável, o Formulário de revogação é impresso e assinado e entregue na AR. Como diretrizes gerais: O solicitante da revogação de um certificado é identificado, conforme o item 3.4 desta PC; As solicitações de revogação, bem como as ações delas decorrentes são registradas e armazenadas pela AC Imprensa Oficial SP; As justificativas para a revogação de um certificado são registradas; O processo de revogação de um certificado termina com a geração e a publicação de uma LCR que contenha o certificado revogado ou com a atualização do status do certificado na resposta OCSP à base de dados da AC Imprensa Oficial SP, quando aplicável por força de contratação específica. O prazo máximo para a conclusão do processo de revogação de certificados pela AC Imprensa Oficial SP é de 72 horas após o efetivo recebimento do formulário específico. A AC Imprensa Oficial SP responde plenamente por todos os danos causados pelo uso de um certificado no período compreendido da solicitação de sua revogação e a emissão da LCR correspondente ou com a atualização do status do certificado na resposta OCSP à base de dados da AC Imprensa Oficial SP, quando aplicável por força de contratação específica. 4.4.4. Prazo para solicitação de revogação A solicitação de revogação tem que ser imediata quando configuradas as circunstâncias definidas no item 4.4.1. O prazo para aceitação do certificado pelo seu titular (item 4.3 desta PC) é de 3 (três) dias, dentro do qual a revogação desse certificado pode ser solicitada sem cobrança de tarifa de revogação. 13
4.4.5. Circunstâncias para suspensão A suspensão de certificados não é admitida no âmbito da ICP-Brasil. 4.4.6. Quem pode solicitar suspensão A suspensão de certificados não é admitida no âmbito da ICP-Brasil. 4.4.7. Procedimento para solicitação de suspensão A suspensão de certificados não é admitida no âmbito da ICP-Brasil. 4.4.8. Limites no período de suspensão A suspensão de certificados não é admitida no âmbito da ICP-Brasil. 4.4.9. Freqüência de emissão de LCR A freqüência para emissão da LCR é de 1 (uma) hora. 4.4.10. Requisitos para verificação de LCR A verificação da validade do certificado na respectiva LCR é obrigatória, antes do mesmo ser utilizado. Também é obrigatória a verificação da autenticidade da LCR, por meio das verificações da assinatura da AC Imprensa Oficial SP e do período de validade do seu certificado de AC. 4.4.11. Disponibilidade para revogação ou verificação de status on-line A AC Imprensa Oficial SP não suporta os processos de revogação de certificados de forma on-line. A AC Imprensa Oficial SP, suporta verificação da situação de estado de certificados de forma on-line, quando aplicável por força de contratação específica. 4.4.12. Requisitos para verificação de revogação on-line Não aplicável. 4.4.13. Outras formas disponíveis para divulgação de revogação Não aplicável. 4.4.14. Requisitos para verificação de outras formas de divulgação de revogação Não aplicável. 4.4.15. Requisitos especiais para o caso de comprometimento de chave O titular do certificado deve notificar, imediatamente, através de solicitação on-line de revogação de certificado, à AR responsável caso ocorra perda, roubo, modificação, acesso indevido, comprometimento ou suspeita de comprometimento de sua chave privada. Nessa solicitação são registradas as circunstâncias de comprometimento, observando o previsto no item 4.4.3. O titular do certificado pode ainda comunicar a perda, roubo, modificação, acesso indevido, comprometimento ou suspeita de comprometimento de sua chave privada diretamente na AR Responsável, assinando formulário de solicitação de revogação, observado o item 4.4.3 desta PC. Todos os documentos e relatórios relativos são arquivados após a conclusão deste processo. 4.5. Procedimentos de Auditoria de Segurança Os itens seguintes estão referidos nos correspondentes itens da DPC da AC Imprensa Oficial SP. 14