Publicado no DOU em 24 abr 2006
Aprova a versão 2.0 dos CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL
O COORDENADOR DO COMITÊ GESTOR DA INFRA-ESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA - ICP-BRASIL faz saber que aquele Comitê, no uso das atribuições previstas nos incisos I, II e III do art. 4º da Medida Provisória nº 2.200-2, de 24 de agosto de 2001.
CONSIDERANDO o aumento da emissão e manuseio de certificados digitais no âmbito da ICP-Brasil, e que o processo de fiscalização deva ter mecanismos mais efetivos e detalhados;
CONSIDERANDO que alguns procedimentos e atividades atribuídas ao ITI, referentes ao Procedimento de Fiscalização não foram devidamente explicitados e adequados na Resolução nº 25 de 23 de outubro de 2003, tornando-se inaplicáveis;
CONSIDERANDO que durante o período de implementação da ICP-Brasil a ênfase pré-operacional indicou maiores atividades de auditoria, e que as atividades de fiscalização devem ser aplicadas e regulamentadas de modo a equilibrar as duas ações;
CONSIDERANDO que o procedimento de fiscalização é mais ágil para determinadas regras da ICP-Brasil e atua de maneira complementar ao procedimento regular de auditoria;
CONSIDERANDO que o procedimento de fiscalização previsto e utilizado a partir da Resolução nº 25 de 23 de outubro de 2003 necessita de atualizações, ajustes e revisão;
RESOLVE:
Art. 1º Aprovar a versão 2.0 dos CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL (DOC-ICP nº 09), em anexo.
Art. 2º Fica revogada a Resolução do Comitê Gestor da ICPBrasil nº 25, de 24 de outubro de 2003 e convalidados os atos praticados durante sua vigência.
Art. 3º Esta Resolução entra em vigor na data de sua publicação.
ENYLSON FLÁVIO MARTINEZ CAMOLESI
ANEXODOC-ICP-09 - Versão 2.0
LISTA DE ACRÔNIMOS
AC - Autoridade Certificadora
AC Raiz - Autoridade Certificadora Raiz da ICP-Brasil
AFC - Ação de Fiscalização de Certificação
AIC - Auto de Infração de Certificação
AR - Autoridade de Registro
DPC - Declaração de Práticas de Certificação
ICP-Brasil - Infra-Estrutura de Chaves Públicas Brasileira
NFC - Notificação da Fiscalização de Certificação
PAF - Processo Administrativo de Fiscalização
PC - Políticas de Certificado
PFC - Procedimento de Fiscalização de Certificação
PS - Política de Segurança
PSC - Prestador de Serviço de Certificação
RF - Relatório de Fiscalização
RIC - Requisição de Informações Complementares
TF - Termo de Fiscalização
TFC - Termo de Fiscalização Complementar
TFE - Termo de Fiscalização Extensivo
TFF - Termo de Fiscalização Final
TFI - Termo de Fiscalização Inicial
1. DISPOSIÇÕES GERAIS
1.1 Para os fins deste documento, entende-se como:
a) AÇÃO DE FISCALIZAÇÃO DE CERTIFICAÇÃO (AFC) - Procedimentos preparatórios, levantamento de informações, ações presenciais ou à distância, levantamento de evidências, pedidos de complementação de informações através do documento REQUISIÇÃO DE INFORMAÇÕES COMPLEMENTARES (RIC) [1] e atividades do fiscal que devem estar relatadas no documento RELATÓRIO DE FISCALIZAÇÃO (RF) [5];
b) AUTORIDADE OUTORGANTE - Autoridade competente e empossada no cargo de Diretor de Auditoria, Fiscalização e Normalização da AC Raiz, sendo, pela legislação, autorizado a praticar, todos os atos necessários à realização do Procedimento de Fiscalização de Certificação (PFC) e que expede documentos relativos ao mesmo;
c) AUTO DE INFRAÇÃO DE CERTIFICAÇÃO (AIC) [2] - Documento preenchido pelo Fiscal da ICP-Brasil ao constatar infração por Prestador de Serviço de Certificação (PSC) durante a fiscalização;
d) FISCAL DA ICP-BRASIL - Servidor vinculado e lotado na Diretoria de Auditoria, Fiscalização e Normalização da AC Raiz, e no exercício das funções de fiscal, conforme indicado no documento TERMO DE FISCALIZAÇÃO (TF) [3];
e) FISCALIZAÇÃO - Atividade de controle e inspeção sistemática do cumprimento das resoluções, normas, procedimentos e atividades dos Prestadores de Serviço de Certificação (PSC) com a finalidade de examinar se as operações de cada um deles, isolada ou conjuntamente, se mantêm em conformidade com as suas respectivas Declarações de Práticas de Certificação (DPC), Políticas de Certificado (PC), Políticas de Segurança (PS);
f) INFRAÇÃO
i - Não atendimento a qualquer disposição legal da ICP-Brasil ou normas complementares estabelecidas pela AC Raiz;
ii - Não-conformidade constatada a partir de fiscalização;
iii - Obstrução, omissão ou má-fé por parte do PSC tendente a prejudicar a ação fiscalizadora da AC Raiz;
g) INSTALAÇÃO TÉCNICA - Endereço físico de uma entidade integrante da ICP-Brasil que conste no formulário SOLICITAÇÃO DE CREDENCIAMENTO [6];
h) NOTIFICAÇÃO DA FISCALIZAÇÃO DE CERTIFICAÇÃO (NFC) [4] - Documento pelo qual a Autoridade Outorgante dá ciência à Entidade Fiscalizada e a sua responsável hierárquica para que faça ou deixe de fazer alguma coisa;
i) OBJETO DA FISCALIZAÇÃO - Descrição do ponto de controle sob verificação. É um item das resoluções, um conjunto de itens, ou itens de resoluções associados;
j) PRESTADOR DE SERVIÇO DE CERTIFICAÇÃO (PSC) - Qualquer entidade credenciada para operar na ICP-Brasil, como: as Autoridades Certificadoras (AC); as Autoridades de Registro (AR); as Autoridades de Carimbo do Tempo (ACT), os Prestadores de Serviço de Suporte (PSS); ou entidade vinculada, como o Laboratório de Ensaios e Auditoria (LEA) e outros que executem ou determinem a execução de itens de certificação presentes nas resoluções da ICP-Brasil; (Redação dada à alínea pela Resolução CG/ICP nº 57, de 28.11.2008, DOU 01.12.2008)
k) PROCEDIMENTO DE FISCALIZAÇÃO DE CERTIFICAÇÃO (PFC) - Conjunto de ações que objetivam a verificação do cumprimento das normas, por parte das entidades credenciadas na ICP-Brasil, incluídos os atos administrativos de início e finalização e as ações de aplicação de penas, ampla defesa e comunicação de fiscalizações realizadas e dadas como conformes;
l) PROCESSO ADMINISTRATIVO DE FISCALIZAÇÃO (PAF) - Processo onde são arquivados todos os documentos e relatórios relativos ao Procedimento de Fiscalização de Certificação;
m) RELATÓRIO DE FISCALIZAÇÃO (RF) - Documento no qual o fiscal descreve o que constatou no Prestador de Serviço de Certificação, como foram as atividades e suas prescrições, subsidia o TFF e retrata todo a AFC, atividades executadas e constatações obtidas pelo Fiscal da ICP-Brasil;
n) REQUISIÇÃO DE INFORMAÇÕES COMPLEMENTARES (RIC) [1] - Documento no qual o fiscal ou auditor solicita informações complementares necessárias à condução do processo de fiscalização ou auditoria;
o) TERMO DE FISCALIZAÇÃO (TF) - Documento-base para a fiscalização e que indica a sua finalidade. Pode ser um TERMO DE FISCALIZAÇÃO INICIAL (TFI), TERMO DE FISCALIZAÇÃO EXTENSIVO (TFE), TERMO DE FISCALIZAÇÃO COMPLEMENTAR (TFC) ou TERMO DE FISCALIZAÇÃO FINAL (TFF).
1.2. No que se refere aos prazos citados neste documento, entende-se que:
a) Os prazos serão contínuos, excluindo-se na sua contagem o dia do início e incluindo-se o do vencimento;
b) Os prazos só se iniciam ou vencem no dia de expediente normal no órgão em que corra o processo ou devam ser praticado os atos.
2. OBJETIVO DA FISCALIZAÇÃO
2.1. O objetivo da Fiscalização é verificar a conformidade dos processos, procedimentos e atividades dos PSC com as suas respectivas DPC, suas PC, a PS e as demais resoluções e normas gerais estabelecidas para as entidades integrantes da ICP-Brasil.
3. PROCEDIMENTOS DE FISCALIZAÇÃO DE CERTIFICAÇÃO
3.1. O PFC iniciar-se-á através de planejamento de fiscalização semestral, recomendação obtida em Relatórios de Auditoria (Pré-Operacionais ou Operacionais), por denúncia feita por usuário de certificação digital da ICP-Brasil ou por constatação de ameaça à confiabilidade da ICP-Brasil.
3.2. O PFC alcançará o exame de documentos, ambientes físico e lógico do PSC, bem como seu próprio pessoal, podendo acarretar a aplicação de uma ou mais penalidades.
3.3. A AFC será realizada pela AC Raiz por intermédio de seus fiscais.
3.4. O objeto da AFC estará associado a atividades diretamente vinculadas ao ciclo de vida dos certificados digitais da ICP-Brasil.
Em caso de denúncia, por solicitação do Presidente da AC Raiz ou do Secretário Executivo do Comitê Gestor da ICP-Brasil a fiscalização poderá atuar sobre qualquer item ou regulamento previstos nas resoluções em vigor.
3.5. A AFC será instaurada mediante ordem específica denominada TFI.
3.6. No caso de flagrante constatação de irregularidade ou qualquer outra prática de infração às normas da ICP-Brasil, em que o retardo do início do procedimento coloque em risco a segurança ou confiabilidade dessa infra-estrutura, pela possibilidade de subtração de prova ou outro risco de eliminação ou dificuldades na obtenção de evidências que comprovem a irregularidade, a fiscalização será iniciada por fiscal habilitado e a Autoridade Outorgante terá prazo de 5 (cinco) dias para lavrar o TF.
3.7. Em caso de impedimento da realização da AFC por parte do Fiscal designado no TF, este poderá ser substituído ou ter a cooperação de outro fiscal, sendo que, em ambos os casos, deverá sempre haver um fiscal principal responsável pela AFC identificado no PAF.
3.8. Durante o AFC, o fiscal poderá emitir Autos de Infração de Certificação (AIC) quantos forem necessários, e cópia do mesmo deverá ser enviada para a AC responsável pelo pedido de credenciamento do PSC fiscalizado.
3.9. Uma AFC deverá conter prazo de execução que poderá ser de até 120 (cento e vinte) dias, podendo ser prorrogado uma única vez por igual período, por ato da Autoridade Outorgante, a requerimento do Fiscal responsável ou por motivo superveniente devidamente apresentado e descrito no PAF.
3.10. Será dada publicidade do PFC, no momento da abertura, por meio de um resumo do mesmo, contendo o número do Processo Administrativo de Fiscalização (PAF), a sigla do PSC e o objeto do PFC.
3.11. O PFC se extingue:
a) pelo término do mesmo, registrado em TF específico; ou
b) pelo encerramento do prazo da AFC a que se refere o parágrafo 3.9.
3.12. Será dada publicidade do encerramento do PFC, acrescentando-se aos dados referenciados no item 3.10 o resultado da fiscalização.
4. PROCESSO ADMINISTRATIVO DE FISCALIZAÇÃO
4.1. Cada PFC ensejará a abertura de um PAF, que seguirá os procedimentos estabelecidos neste documento e observados os regulamentos de Processo Administrativo da AC Raiz.
4.2. Todos os documentos do PFC, inclusive o próprio PAF poderão ser suportados por mídia magnética desde que assinados eletronicamente por intervenientes devidamente qualificados e autorizados para responderem pela Fiscalização e pelos PSC.
5. DOCUMENTOS DO PROCEDIMENTO DE FISCALIZAÇÃO
5.1. O Termo de Fiscalização deve conter:
a) a numeração de identificação e controle seqüencial e com ano de referência;
b) tipo da TF (Inicial, Complementar, Extensivo ou Final)
c) os dados identificadores do PSC;
d) o objeto do procedimento de fiscalização;
e) o prazo para a realização da AFC;
f) o nome e a matrícula do fiscal responsável pela execução da fiscalização;
g) o nome e o número do telefone do Coordenador de Fiscalização; e
h) o nome, a matrícula e a assinatura da autoridade outorgante e, na hipótese de delegação de competência, a indicação do respectivo ato.
5.2. O TF será emitido, observadas suas respectivas atribuições regimentais, pelas seguintes autoridades:
a) Diretor de Auditoria, Fiscalização e Normalização; ou
b) Coordenador-Geral de Auditoria e Fiscalização, nos impedimentos eventuais e temporários do primeiro.
5.3. O TF deverá ter os seguintes destinatários:
a) Prestador de Serviço de Certificação (PSC) a ser fiscalizado;
b) Processo Administrativo de Fiscalização (PAF); e
c) Prestador de Serviço de Certificação (PSC) de primeiro nível, responsável pelo pedido de credenciamento do PSC a ser fiscalizado, quando for o caso.
5.4. Todo PFC deverá ter, obrigatoriamente, um Termo de Fiscalização Inicial (TFI) e um Termo de Fiscalização Final (TFF).
Adicionalmente, poderá ter um ou mais Termos de Fiscalização Complementar (TFC) e Termos de Fiscalização Extensivo (TFE).
a) O Termo de Fiscalização Complementar (TFC) deve ser incorporado ao TFI para o mesmo PSC e com objeto de fiscalização diferenciado;
b) O Termo de Fiscalização Extensivo (TFE) dever ser incorporado ao TFI para um PSC diferente mas com objeto relacionado ao objeto do TFI original;
c) O Termo de Fiscalização Final deve ser usado para encerrar todo procedimento aberto e executado por um TFI.
5.5. Havendo necessidade de realizar fiscalização em objeto e entidades diferentes o Fiscal deve solicitar a abertura de um novo TF.
5.6. O AIC é um documento informativo, dirigido ao PSC, de uma infração verificada pelo fiscal.
5.7. A AFC e as diligências realizadas em virtude de cada TF serão registradas em RF com os mesmos dados que identificam o TF no que se refere à entidade fiscalizada.
5.8. Apontada alguma irregularidade no RF, o PSC será notificado pela autoridade que expediu o TFI, através de uma NFC, fixando-se prazo de 15 (quinze) dias para que o PSC fiscalizado apresente, diretamente e formalmente, justificativa ou defesa à AC Raiz naquilo que foi argüido.
5.9. Caso o PSC não apresente, tempestivamente, justificativa ou defesa, será expedida uma NFC à AC responsável pelo pedido de credenciamento do PSC fiscalizado, sem prejuízo do regular seguimento do PFC.
5.10. Após análise da justificativa ou defesa apresentada, a Autoridade Outorgante poderá, mediante uma NFC, determinar que o PSC sane as irregularidades no prazo que fixar.
5.11. Após sanadas as irregularidades, o PSC deverá comunicar à Autoridade Outorgante as soluções adotadas.
5.12. Caso não seja apresentada a defesa ou não sejam sanadas as irregularidades, a Autoridade Outorgante decidirá em 20 (vinte) dias sobre a aplicação de penalidade.
5.13. Um Aviso de Encerramento deverá ser enviado aos interessados para dar ciência do encerramento da fiscalização.
6. PENALIDADES
6.1. Por infração, a entidade fiscalizada ficará sujeita às seguintes penalidades, independentemente de sua ordem de enumeração:
a) Advertência;
b) Restrição da realização de atividades relacionadas ao objeto da fiscalização até que sejam sanadas as irregularidades apontadas no RF;
c) Proibição de credenciamento de novas PC até que sejam sanadas as irregularidades apontadas no RF;
d) Suspensão da emissão de novos certificados por prazo determinado ou até que sejam sanadas as irregularidades apontadas no RF;
e) Descredenciamento.
6.2. As penalidades poderão ser aplicadas isoladas ou cumulativamente.
6.3. A aplicação de uma penalidade não impede a aplicação de outra mais grave em caso de seu descumprimento.
6.4. Na aplicação das penalidades serão consideradas a natureza, a gravidade da infração cometida, a reincidência e a relevância do serviço para o ciclo de vida do certificado da ICP-Brasil, estando essa aplicação regulamentada pelo documento CRITÉRIOS PARA APLICAÇÃO DE PENALIDADES NO ÂMBITO DA ICP-BRASIL [7].
6.5. As penalidades serão aplicadas pelo Diretor de Auditoria, Fiscalização e Normalização.
6.6. Da decisão que impõe qualquer penalidade estabelecida no parágrafo 6.1 caberá recurso no prazo de 20 (vinte) dias, com efeito suspensivo.
6.7. O recurso será dirigido à autoridade que aplicou a penalidade, a qual, se não a reconsiderar, no prazo de 5 (cinco) dias o encaminhará ao Diretor-Presidente da AC Raiz para julgamento e avaliação de recurso.
6.8. O Diretor-Presidente da AC Raiz poderá encaminhar o PAF à Procuradoria Federal Especializada da AC Raiz para emissão de parecer que subsidie a decisão do Diretor-Presidente.
6.9. O recurso deverá ser decidido pelo Diretor-Presidente, no prazo máximo de 15 (quinze) dias.
7. DISPOSIÇÕES FINAIS
7.1. A AC Raiz, por intermédio de seus gestores administrativos, garantirá o pleno e inviolável exercício das atribuições do Fiscal responsável pela execução do PFC.
8. DOCUMENTOS REFERENCIADOS
8.1. Os documentos abaixo são aprovados pela AC Raiz, podendo ser alterados, quando necessário, mediante publicação de uma nova versão no sítio http://www.iti.gov.br.
| Ref. | Nome do documento | Código | |||||||
| [1] | REQUISIÇÃO DE INFORMAÇÕES COMPLEMENTARES (RIC) | ADE-ICP-09.A | |||||||
| [2] | AUTO DE INFRAÇÃO DE CERTIFICAÇÃO (AIC) | ADE-ICP-09.B | |||||||
| [3] | TERMO DE FISCALIZAÇÃO (TF) | ADE-ICP-09.C | |||||||
| [4] | NOTIFICAÇÃO DA FISCALIZAÇÃODE CERTIFICAÇÃO (NFC) | ADE-ICP-09.D | |||||||
| [5] | RELATÓRIO DE FISCALIZAÇÃO (RF) | ADE-ICP-09.E | |||||||
| [6] | SOLICITAÇÃO DE CREDENCIAMENTO (para AC ou AR, PSS ou ACT) | ADE-ICP-03.A ADE-ICP-03.BADE-ICP-03.C
|
