TERMO DE CONTRATO DE PRESTAÇÃO DE SERVIÇOS DE CERTIFICAÇÃO DIGITAL que entre si fazem, de um lado, como contratada a CAIXA ECONÔMICA FEDERAL, Empresa Pública de Direito Privado, inscrita no CNPJ/MF sob nº 00.360.305/0001-04, com sede em Brasília-DF, no SBS - Quadra 04, lote 3/4, por seu representante legal que assina o Termo de Adesão e Responsabilidade AC CAIXA PJ A1, doravante designada simplesmente CAIXA ou CONTRATADA e de outro PESSOA FÍSICA contratante identificada no Termo de Adesão e Responsabilidade AC CAIXA PJ A1, doravante denominado CONTRATANTE pactuam o presente Contrato de Prestação de Serviços que se rege pela Medida Provisória nº 2.200-2/2001, Resoluções do Comitê Gestor da ICP-BRASIL, Declaração de Praticas de Certificação da Autoridade Certificadora CAIXA Pessoa Jurídica (DPC), Política de Certificado de Assinatura A1 da Autoridade Certificadora CAIXA Pessoa Jurídica (PC) e pelas cláusulas e condições seguintes: OBJETO CLÁUSULA PRIMEIRA Constitui objeto do presente contrato a emissão de certificado digital do tipo A1, pela Autoridade Certificadora CAIXA Pessoa Jurídica conforme estabelecido na Política de Certificado de Assinatura Digital do Tipo A1 (PC A1 AC CAIXA PJ). PARÁGRAFO PRIMEIRO O contratante concorda com as regras adotadas na referida PC e na DPC, publicadas no endereço Web http://icp.caixa.gov.br/repositorio. PARÁGRAFO SEGUNDO O certificado emitido destina-se à utilização em aplicações relacionadas à confirmação de identidade na Web, correio eletrônico, transações on-line, redes privadas virtuais, cifração de chaves de sessão e assinatura de documentos eletrônicos com verificação da integridade de suas informações. PARÁGRAFO TERCEIRO A leitura e compreensão do presente Contrato, bem como dos documentos acima mencionados, dos termos e das instruções publicadas no endereço Web http://icp.caixa.gov.br, é prérequisito para a assinatura do Termo de Adesão e Responsabilidade AC CAIXA PJ A1. PARÁGRAFO QUARTO O Termo de Adesão e Responsabilidade AC CAIXA PJ A1 será assinado perante a Autoridade de Registro (AR) vinculadas a Autoridade Certificadora CAIXA Pessoa Jurídica. PARÁGRAFO QUINTO No certificado emitido para pessoa jurídica constará o nome do responsável pelo uso do certificado emitido, que pode ser o próprio Representante Legal da PJ ou terceiro per ele autorizado. Na hipótese de substituição do representante legal ou do responsável pelo uso do certificado, este deverá ser revogado. OBRIGAÇÕES DO CONTRATANTE TITULAR DO CERTIFICADO CLÁUSULA SEGUNDA O contratante obriga-se a: I - fornecer, de modo completo e preciso, todas as informações necessárias para sua identificação; II - assinar o Termo de Adesão e Responsabilidade, o Termo de Titularidade e, se for o caso, o Termo de Responsabilidade, quando o contratante é o responsável pelo uso do certificado; III - garantir a proteção e o sigilo de suas chaves privadas, senhas e dispositivos criptográficos de acordo com as recomendações previstas nesta PC; IV - notificar imediatamente a AR sobre qualquer erro ou defeito no certificado ou de qualquer mudança subseqüente na informação do certificado; V - utilizar os seus certificados e chaves privadas de modo apropriado, conforme o previsto nesta PC; 1
VI - conhecer os seus direitos e obrigações, contemplados nesta PC, na DPC da AC CAIXA PJ e por outros documentos aplicáveis da ICP-Brasil; VII - informar à AC CAIXA PJ através de suas AR ou por meio eletrônico através do formulário disponibilizado para este fim na página Web http://icp.caixa.gov.br, qualquer comprometimento de sua chave privada e solicitar a imediata revogação do certificado correspondente. OBRIGAÇÕES DA AUTORIDADE CERTIFICADORA CAIXA PESSOA JURÍDICA CLÁUSULA TERCEIRA - A Autoridade Certificadora CAIXA Pessoa Jurídica obriga-se a: I - operar de acordo com a PC - Política de Certificação da Autoridade Certificadora CAIXA Pessoa Jurídica; II - operar de acordo com a DPC Declarações de Práticas de Certificação da Autoridade Certificadora CAIXA Pessoa Jurídica; III - operar de acordo com a Política de Segurança da ICP-Brasil; IV - operar de acordo com a PS Política de Segurança da Autoridade Certificadora CAIXA Pessoa Jurídica; V - operar de acordo com os Procedimentos Operacionais da AC CAIXA PJ; VI - tomar as medidas cabíveis para assegurar que usuários e demais entidades envolvidas tenham conhecimento de seus respectivos direitos e obrigações; VII - tomar as medidas cabíveis para assegurar que usuários e demais entidades envolvidas tenham conhecimento de seus respectivos direitos e obrigações; VIII - gerar e gerenciar o seu par de chaves criptográficas; IX - assegurar a proteção de suas chaves privadas; X - notificar a AC CAIXA, emitente do seu certificado, quando ocorrer comprometimento de sua chave privada e solicitar a imediata revogação desse certificado; XI - notificar os seus usuários quando ocorrer suspeita de comprometimento de sua chave, emissão de novo par de chaves e correspondente certificado, ou o encerramento de suas atividades; XII - distribuir o seu próprio certificado; XIII - emitir, expedir e distribuir os certificados de usuários finais; XIV - informar a emissão do certificado ao respectivo solicitante; XV - revogar, quando necessário, os certificados por ela emitidos; XVI - emitir, gerenciar e publicar suas Listas de Certificados Revogados (LCR); XVII - publicar em sua página Web a DPC e esta PC; XVIII - investigar comprometimento e suspeitas de comprometimento de sua chave privada; XIX - identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil; XX - adotar as medidas de segurança e controle previstas nesta PC, na DPC da AC CAIXA PJ e na Política de Segurança da AC CAIXA PJ, que envolvem seus processos, procedimentos e atividades, observadas as normas, critérios, práticas e procedimentos da ICP-Brasil; XXI - manter a conformidade dos seus processos, procedimentos e atividades com as normas, práticas e regras da ICP-Brasil e com a legislação vigente; XXII - manter e garantir a integridade, o sigilo e a segurança da informação por ela tratada; XXIII - manter e testar regularmente seu Plano de Continuidade do Negócio conforme definido nesta PC; XXIV - informar às terceiras partes e titulares de certificado acerca das garantias, coberturas, condicionantes e limitações estipuladas pela Apólice de Seguro de responsabilidade civil contratada pela AC CAIXA PJ. XXV - não emitir certificado com prazo de validade que se estenda além do prazo de validade de seu próprio certificado. OBRIGAÇÕES DAS AUTORIDADES DE REGISTRO (AR) VINCULADAS À AUTORIDADE CERTIFICADORA CAIXA PESSOA JURÍDICA CLÁUSULA QUARTA As Autoridades de Registro vinculadas à Autoridade Certificadora CAIXA Pessoa Jurídica obrigam-se a: I operar de acordo com a PC Política de Certificação da Autoridade Certificadora CAIXA Pessoa Jurídica; 2
II operar de acordo com a DPC Declaração de Práticas de Certificação da Autoridade Certificadora CAIXA Pessoa Jurídica; III - com a Política de Segurança da ICP-Brasil; IV - com a Política de Segurança da Autoridade Certificadora CAIXA Pessoa Jurídica; V - operar de acordo com os Procedimentos Operacionais aprovados pela AC CAIXA PJ; VI - receber solicitações de emissão ou de revogação de certificados; VII - receber e guardar as cópias dos documentos de identificação solicitados dos Titulares dos Certificados, conforme indicado no item 3.1.9 da PC; VIII - confirmar a identidade dos solicitantes de certificado com a documentação acima citada e a validade da solicitação, de acordo com os requisitos estabelecidos pelos itens 3 e 4 da PC; IX - encaminhar a solicitação de emissão ou de revogação de certificado à Autoridade Certificadora CAIXA Pessoa Jurídica utilizando SSL (secure socket layer protocolo de comunicação seguro); X - utilizar SSL (secure socket layer protocolo de comunicação seguro), ao disponibilizar serviços para os solicitantes ou usuários de certificados digitais via web; XI - receber e guardar o Termo de Adesão e Responsabilidade e o Termo de Titularidade assinado pelo titular do certificado e, se for o caso, o Termo de Responsabilidade assinado pelo Responsável pelo uso do certificado; XII - informar aos respectivos titulares a emissão ou a revogação de seus certificados; XIII - disponibilizar os certificados emitidos pela AC CAIXA PJ aos seus respectivos solicitantes; XIV - identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil; XV - manter a conformidade dos seus processos, procedimentos e atividades com as normas, práticas e regras estabelecidas pela AC CAIXA PJ; XVI - manter e garantir a segurança da informação por elas tratada, de acordo com o estabelecido nas normas, critérios, práticas e procedimentos da ICP-Brasil; XVII - oferecer treinamento aos agentes de registro, especialmente quanto ao reconhecimento de assinaturas e validade dos documentos apresentados na forma dos itens 3.1.8 e 3.1.9. DO USO E SIGILO DA INFORMAÇÃO CLÁUSULA QUINTA O CONTRATANTE reconhece que as declarações subscritas com o uso das chaves privadas certificadas pela Autoridade Certificadora CAIXA Pessoa Jurídica presumem-se verdadeiras e emitidas pelos signatários que lhe são titulares, em conformidade com o disposto no artigo 10, 1º, da Medida Provisória nº 2.200-2/2001, e no artigo 219 da Lei 10.406, de 10 de janeiro de 2002 (Novo Código Civil). CLÁUSULA SEXTA A Autoridade Certificadora CAIXA Pessoa Jurídica utilizará as informações fornecidas por ocasião da Solicitação de Emissão de Certificado exclusivamente para geração do certificado digital, fornecimento de serviços diretamente relacionados à administração do certificado e autenticação do usuário. PARÁGRAFO PRIMEIRO As informações fornecidas pela contratante não serão comercializadas ou cedidas pela Autoridade Certificadora CAIXA Pessoa Jurídica para qualquer outro fim. CLÁUSULA SÉTIMA A Autoridade Certificadora CAIXA Pessoa Jurídica poderá utilizar as informações fornecidas para contatar o cliente, a fim de efetuar pesquisas de satisfação relacionadas exclusivamente ao serviço de infra-estrutura de chaves públicas fornecido pela CAIXA. PARÁGRAFO PRIMEIRO As respostas às pesquisas de satisfação serão facultativas. CLÁUSULA OITAVA - A Autoridade Certificadora CAIXA Pessoa Jurídica poderá utilizar o endereço eletrônico fornecido pelo contratante como meio de comunicação para fins de suporte, renovação de certificado e divulgação de outros serviços referentes à infra-estrutura de chave pública. PARÁGRAFO PRIMEIRO O contratante poderá manifestar seu desejo de não mais receber tal tipo de informação, com exceção daquelas relacionadas diretamente à utilização do serviço de certificação digital, mediante solicitação enviada por e-mail para o endereço eletrônico informado na mensagem. 3
CLÁUSULA NONA As informações fornecidas pelo Contratante constantes no certificado serão passíveis de publicação pela Autoridade Certificadora CAIXA Pessoa Jurídica, conforme descrito na DPC, de forma que terceiros poderão acessá-los para a validação do Certificado Digital emitido. CLÁUSULA DÉCIMA Não são consideradas sigilosas pela Autoridade Certificadora CAIXA Pessoa Jurídica e pelas Autoridades de Registro a ela vinculadas as seguinte informações: I os certificados e as Listas de Certificados Revogados (LCR) emitidas pela Autoridade Certificadora CAIXA Pessoa Jurídica; II informações corporativas ou pessoais que façam parte de certificados ou de diretórios públicos; III as Políticas de Certificados implementadas pela Autoridade Certificadora CAIXA Pessoa Jurídica; IV a Declaração de Prática de Certificação da Autoridade Certificadora CAIXA Pessoa Jurídica; V versões públicas de Políticas de Segurança; VI resultados finais de auditorias. CLÁUSULA DÉCIMA PRIMEIRA Todos os documentos, informações ou registros sob a guarda da Autoridade Certificadora CAIXA Pessoa Jurídica e das Autoridades de Registro a ela vinculadas, que não constem na relação da cláusula anterior, são considerados sigilosos nos termos da DPC e não serão divulgados, exceto por ordem judicial. CLAUSULA DÉCIMA SEGUNDA O contratante deverá solicitar à Autoridade Certificadora CAIXA Pessoa Jurídica, de modo presencial, e devidamente identificado, qualquer alteração de informação contida no certificado, caso em que considerar-se-á revogado o certificado em vigor. PARÁGRAFO PRIMEIRO Na hipótese de revogação prevista no caput, um novo certificado deverá ser gerado. PARÁGRAFO SEGUNDO - Não será admitida a suspensão de certificados no âmbito da ICP-Brasil. CLÁUSULA DÉCIMA TERCEIRA O Titular de Certificado emitido pela Autoridade Certificadora CAIXA Pessoa Jurídica ou seu representante legal poderá ter acesso a quaisquer dos seus dados ou identificações, ou poderá autorizar por escrito e com firma reconhecida, a divulgação de seus registros a outras pessoas. DA RESPONSABILIDADE DA AUTORIDADE CERTIFICADORA CAIXA PESSOA JURÍDICA CLÁUSULA DÉCIMA QUARTA - A Autoridade Certificadora CAIXA Pessoa Jurídica responde pelos danos a que der causa. CLÁUSULA DÉCIMA QUINTA A Autoridade Certificadora CAIXA Pessoa Jurídica responderá solidariamente pelos atos das Autoridades de Registro a ela vinculadas. RESPONSABILIDADE DA AUTORIDADE DE REGISTRO CLÁUSULA DÉCIMA SEXTA A Autoridades de Registro será responsável pelos danos a que der causa. GARANTIA CLÁUSULA DÉCIMA SÉTIMA A Autoridade Certificadora CAIXA, a Autoridade Certificadora CAIXA Pessoa Jurídica e as Autoridades de Registro a elas vinculadas respondem pelos danos a que derem causa, nas condições e limites definidos nas normas que regem a ICP-Brasil. TARIFAS DE SERVIÇO CLÁUSULA DÉCIMA OITAVA A CONTRATANTE pagará à CONTRATADA, como tarifa pela emissão e para cada renovação do seu Certificado Digital do Tipo A1, o valor estabelecido pela Autoridade Certificadora CAIXA Pessoa Jurídica. 4
VIGÊNCIA CLÁUSULA DÉCIMA NONA A vigência do contrato deverá estar adstrita à validade do certificado digital. PARÁGRAFO PRIMEIRO O certificado emitido pela Autoridade Certificadora CAIXA Pessoa Jurídica será considerado aceito no prazo máximo de 3 dias úteis após sua emissão, caso não haja manifestação neste período por parte do contratante em relação à incorreção na emissão do certificado. PARÁGRAFO SEGUNDO O cliente deverá comunicar, no prazo de até 3 (três) dias, à Autoridade Certificadora CAIXA Pessoa Jurídica, as irregularidades no certificado emitido, relacionadas aos erros na identificação do titular e na emissão defeituosa do certificado. PARÁGRAFO TERCEIRO Os certificados emitidos pela Autoridade Certificadora CAIXA Pessoa Jurídica e as respectivas chaves criptográficas geradas por seus titulares possuem prazo de validade de 01 (um) ano a partir do momento da geração do certificado. PARÁGRAFO QUARTO O Titular de Certificado válido poderá solicitar à Autoridade Certificadora CAIXA Pessoa Jurídica um novo certificado digital, por meio de mensagem eletrônica assinada digitalmente com o uso de seu certificado. PARÁGRAFO QUINTO A solicitação de um novo certificado, antes da expiração do certificado válido, estará limitada a três ocorrências sucessivas, vedado semelhante procedimento para os certificados de equipamentos servidores e aplicações. PARÁGRAFO SEXTO O novo certificado emitido estará sujeito aos mesmos prazos de validade previstos para o originalmente emitido. PARÁGRAFO SÉTIMO O Titular de Certificado expirado poderá gerar novo par de chaves mediante nova solicitação de certificado à Autoridade Certificadora CAIXA Pessoa Jurídica, através das Autoridades de Registro vinculadas. PARÁGRAFO OITAVO A Autoridade Certificadora CAIXA Pessoa Jurídica informará ao contratante, 30 dias antes, a data de expiração do certificado, para que o mesmo solicite a emissão de novo certificado, conforme estabelecido na PC. REVOGAÇÃO CLÁUSULA VIGÉSIMA A Autoridade Certificadora CAIXA Pessoa Jurídica poderá revogar o certificado por ela emitido, nas seguintes hipóteses: I emissão imprópria ou defeituosa do certificado digital; II necessidade de alteração de qualquer informação constante no certificado emitido; III - solicitação pelo titular do certificado devidamente identificado; IV dissolução da Autoridade Certificadora CAIXA Pessoa Jurídica ou Autoridade Certificadora CAIXA; V perda ou roubo da mídia armazenadora; VI revogação do certificado da Autoridade Certificadora CAIXA, Autoridade Certificadora CAIXA Pessoa Jurídica ou da Autoridade Certificadora Raiz da ICP-Brasil; VII comprometimento ou suspeita de comprometimento da chave privada correspondente ou de sua mídia armazenadora; VIII inobservância das políticas, normas e regras estabelecidas para a ICP Brasil; IX revogação de poderes do representante legal, responsável pela chave privada da pessoa jurídica; X alteração da firma individual, da razão social ou denominação da sociedade comercial; XI alteração no registro do ato constitutivo da pessoa jurídica, relacionada à modificação dos diretores e ao modo por que se administra e representa, ativa e passivamente, judicial e extrajudicialmente; 5
PARÁGRAFO PRIMEIRO A solicitação de revogação deverá ser feita imediatamente à ocorrência das circunstâncias definidas no caput. CLÁUSULA VIGÉSIMA PRIMEIRA A revogação de um certificado poderá ser solicitada pelas seguintes pessoas ou órgãos: I o titular do certificado; II o responsável pelo certificado de equipamentos servidores, aplicações e pessoas jurídicas; III a pessoa jurídica ou órgão da administração pública, quando o titular do certificado por eles fornecidos for seu empregado, funcionário ou servidor; IV a Autoridade Certificadora CAIXA Pessoa Jurídica ou Autoridade Certificadora CAIXA; V a Autoridades de Registro vinculadas à Autoridade Certificadora CAIXA Pessoa Jurídica; VI o Comitê Gestor da ICP-Brasil ou da Autoridade Certificadora RAIZ. CLÁUSULA VIGÉSIMA SEGUNDA A conclusão do processo de revogação do certificado, após o recebimento da respectiva solicitação, observará o prazo máximo de 72 horas para o certificado tipo A1, conforme especificado no documento Requisitos Mínimos para Políticas de Certificado na ICP-Brasil para os certificados de assinatura tipo A1. PARÁGRAFO ÚNICO A Autoridade Certificadora CAIXA Pessoa Jurídica responde plenamente por todos os danos causados pelo uso de um certificado no período compreendido entre a solicitação de sua revogação e a emissão da correspondente LCR. RESCISÃO CLÁUSULA VIGÉSIMA TERCEIRA - O presente contrato considerar-se-á rescindido, de pleno direito, quando revogado e não renovado o certificado emitido pela Autoridade Certificadora CAIXA Pessoa Jurídica, independente de notificação ou interpelação judicial ou extrajudicial. DOCUMENTOS INTEGRANTES CLÁUSULA VIGÉSIMA QUARTA - Integram o presente Contrato, para todos os efeitos de direito, a Declaração de Práticas de Certificação da Autoridade Certificadora CAIXA Pessoa Jurídica, a Política de Certificado CAIXA Pessoa Jurídica para Certificados de Assinatura A1 e a Política de Segurança da Autoridade Certificadora CAIXA Pessoa Jurídica. FORO CLÁUSULA VIGÉSIMA QUINTA - É competente o foro da Justiça Federal, seção judiciária do Distrito Federal, para dirimir quaisquer questões relacionadas a este contrato. s 6