O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 13 do Anexo I do Decreto nº 12.103, de 8 de julho de 2024, pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2º da Resolução nº 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020, resolve:

CAPÍTULO I - DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Instrução Normativa dispõe sobre realização de auditoria, elaboração de relatório e a emissão de parecer de auditoria no âmbito da Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil, em atendimento à indicação contida no item 6.1.3 do Anexo da Resolução CG ICP-Brasil nº 185, de 18 de maio de 2021.

Art. 2º Esta Instrução Normativa aplica-se à Empresa de Auditoria Independente credenciada, Auditoria Interna da respectiva Autoridade de Registro - AR, Autoridade Certificadora - AC ou Prestador de Serviço de Suporte - PSS credenciados junto ao Instituto Nacional de Tecnologia da Informação - ITI que realizam auditoria em suas ARs, bem como aos Auditores do ITI, quando for o caso.

Art. 3º Os Prestadores de Serviço de Certificação - PSCerts são submetidos à auditoria pré-operacional antes do início das atividades do candidato e a auditorias operacionais anuais, na forma estabelecida nesta Instrução Normativa.

CAPÍTULO II - DA COMPETÊNCIA

Art. 4º Cabe ao auditor a responsabilidade pela escolha dos processos a serem auditados em cada Prestador de Serviço de Certificação - PSCert, individualmente, assim como a classificação dos riscos observados em cada processo e subprocesso a ser avaliado.

Art. 5º As auditorias operacionais de Autoridade Certificadora devem manifestar-se expressamente sobre se estão atendidos os critérios de realização de auditorias operacionais nas ARs subordinadas e se são adotados controles para acompanhamento das não conformidades nos respectivos relatórios de auditoria operacional de AR, em atendimento ao item 6.3.3 do Anexo da Resolução CG ICP-Brasil nº 185, de 18 de maio de 2021.

CAPÍTULO III - DO OBJETIVO E FINALIDADE

Art. 6º Auditorias realizadas no âmbito da ICP-Brasil têm por objetivo verificar se os processos, procedimentos e atividades dos PSCerts integrantes da ICP-Brasil estão em conformidade com as respectivas Declarações de Práticas, Políticas de Certificado - PC, Políticas de Segurança - PS e demais normas e procedimentos estabelecidos pela ICP-Brasil e com os princípios e critérios definidos pelo WebTrust.

§ 1º O presente documento suplementa a regulamentação, no âmbito da ICP-Brasil, das atividades de auditoria a serem realizadas em sua cadeia de certificação digital. Não esgota, no entanto, os processos e subprocessos existentes na cadeia da ICP-Brasil, devendo ser entendido apenas como um balizador ou ponto de partida para cada trabalho de auditoria e tem por objetivo uniformizar os procedimentos e metodologias utilizadas nas auditorias operacionais e pré-operacionais no âmbito da ICP-Brasil.

§ 2º O documento ADE-ICP-08-E mapeia os processos e subprocessos que compõem a cadeia de certificação, associando-os às normas e procedimentos regulamentados pela ICP-Brasil, e deverá nortear as auditorias realizadas na cadeia da ICP-Brasil. Adicionalmente, as auditorias em Autoridades Certificadoras e Autoridades de Registro também devem avaliar os princípios e critérios definidos pelo WebTrust for CA.

§ 3º Aplica-se, no que couber, para o exercício das atividades de auditoria interna e independente a Norma Brasileira de Contabilidade, NBC TO 3000, de 20 de novembro de 2015, quanto à realização de trabalho de asseguração razoável, as normas globais de auditoria interna do The Institute of Internal Auditors - The IIA e a Instrução Normativa SFC nº 08, de 06 de dezembro de 2017.

Art. 7º As atividades de auditoria no âmbito da ICP-Brasil e reguladas por este instrumento se aplicam na realização de auditorias no Prestador de Serviço de Certificação - PSCert, quer seja Autoridade Certificadora - AC, Autoridade de Carimbo do Tempo - ACT, Autoridade de Registro - AR, Prestador de Serviço de Suporte -PSS, Prestador de Serviço Biométrico - PSBio ou Prestador de Serviço de Confiança - PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas.

Art. 8º Os PSCerts são responsáveis pelos serviços de certificação digital prestados devendo garantir que os requisitos mínimos aplicáveis a cada entidade da ICP-Brasil são cumpridos, mesmo nos casos em que este subcontrate (total ou parcialmente) os serviços de certificação.

CAPÍTULO IV - DA REALIZAÇÃO DA AUDITORIA

Art. 9º Considerando o nível de exposição aos riscos, a entidade de auditoria poderá excluir processos ou subprocessos das avaliações de auditoria, de forma justificada. Tais exclusões e justificativas constarão do corpo do relatório de auditoria a critério da entidade de auditoria e em conformidade com a metodologia apresentada quando do credenciamento da entidade de auditoria.

Art.10. As auditorias são desenvolvidas, no mínimo, em 3 fases: Planejamento, Execução e Elaboração do Relatório Final de Auditoria (RFA).

Fase 1 - Planejamento (Pré-avaliação):

Art. 11. A fase de planejamento deverá iniciar com a pré-avaliação ou avaliação documental, realizada por meio de uma ou mais reuniões preliminares, com representante da entidade a ser auditada, com o objetivo de dotar o auditor da documentação necessária, bem como para que fique com maior percepção da infraestrutura implementada pelo PSCert, extensão do seu sistema de gestão e dos serviços/funções de certificação digital na ICP-Brasil.

Parágrafo único. O auditor deve analisar a documentação relacionada com o sistema de controle e qualidade implementado pelo PSCert, esclarecer as dúvidas que surjam com o representante da entidade a auditar e obter os dados necessários para preparar a fase seguinte, possibilitando maior foco e seleção dos processos e subprocessos que devem ser observados no local.

Art.12. Devem ser verificados, de acordo com a especificidade de cada entidade a auditar, os requisitos estabelecidos nas normas da ICP-Brasil, os processos e subprocessos mapeados no ADE-ICP - 08.E e os documentos:

I - Política de Certificados - PC da AC ou AR ;

II - Declaração de Práticas de Certificação - DPC da AC;

III - Declarações de Práticas dos Prestadores de Serviço de Confiança - DPPSC da ICP-Brasil;

IV - Declarações de Práticas das Autoridades de Carimbo do Tempo - DPCT da ICP-Brasil;

V - Política de Segurança - PS;

VI - Plano de Contingência/Continuidade - PCN;

VII- Procedimentos Operacionais Mínimos executados pelos PSCert;

VIII- deliberações internas do PSCert;

IX - atas de reuniões;

X - relatórios de incidentes;

XI - exemplares dos vários tipos de certificados emitidos;

XII- Lista de Certificados Revogados - LCR;

XIII- documentos relativos ao estatuto legal da PSCert;

XIV- seguro de responsabilidade civil;

XV- documentos de regularidade jurídica, fiscal e econômico-financeira; e

XVI- outros que o auditor julgar pertinentes.

Parágrafo único. Deverão ser observados os itens 9.4 e 9.5 do Anexo da Resolução CG ICP-Brasil nº 185, de 18 de maio de 2021, em relação à manifestação do auditor sobre as não conformidades em relatório de auditoria imediatamente anterior.

Art. 13. Com base nos elementos recolhidos, o auditor elabora o documento "Cronograma e Planejamento da Auditoria", que irá servir de base aos trabalhos de avaliação na fase seguinte. O cronograma poderá ser enviado previamente à entidade auditada, devendo conter no mínimo, para cada dia de auditoria, os itens que irão ser alvo de apreciação, o local onde se realizará e quais as pessoas com funções de confiança que devem estar presentes em cada um dos aspectos a avaliar.

Art. 14. Os resultados obtidos nesta fase de planejamento são incluídos no Relatório Final.

Fase 2 - Execução:

Art. 15. Os principais objetivos desta fase são confirmar se o PSCert cumpre os requisitos mínimos estabelecidos para AC, AR, ACT, PSC e PSBio na emissão de certificados e carimbos do tempo ICP-Brasil, bem como se suas políticas, práticas e procedimentos estão sendo aplicados operacionalmente.

Parágrafo único. Os processos, procedimentos e atividades, quando executados pelos PSSs, deverão ser avaliados no âmbito da auditoria do PSCert, devendo constar em destaque no relatório de auditoria do PSCert.

Art. 16. Nesta fase deverá ser realizada a avaliação in loco nas instalações do PSCert, devendo incluir, entre outros, a sala cofre, os locais onde se desenvolva o serviço de registro (Autoridades de Registro) e as instalações técnicas do PSCert.

§ 1º Quando se tratar de auditoria operacional de AR, deverá ser realizada avaliação in loco, no mínimo, a cada dois anos.

§ 2º Quando a auditoria operacional anterior da AR tiver conceito igual ou superior a três (DEFICIENTE, INADEQUADO ou INACEITÁVEL), a auditoria operacional subsequente deverá ser realizada in loco.

§ 3º As auditorias pré-operacionais de todos os PSCerts deverão ser realizadas in loco.

Art. 17. Quando da realização de auditoria operacional anual em Autoridade Certificadora deverá ser realizada avaliação das Autoridades de Registro vinculadas à AC alvo da auditoria com base em amostragem, a ser definida pelo Auditor Independente, tendo como orientação:

I- os resultados das auditorias internas anteriores;

II- as vulnerabilidades, ameaças e riscos a que cada local está sujeito;

III- os resultados das fiscalizações realizadas pelo ITI;

IV- as fraudes na emissão de certificados reportadas ao ITI que tiveram a participação da AR no procedimento de identificação do solicitante, nos casos de auditoria de AC ou AR;

V- as diferenças e variações no volume de emissão de certificados e na quantidade de locais de identificação de titulares;

VI- o aplicativo da AR que faz interface com o sistema da Autoridade Certificadora;

VII- a complexidade dos sistemas de informação de cada um dos locais;

VIII- a interação com sistemas de informação críticos da Autoridade Certificadora; e

IX- as diferenças nos requisitos das Políticas de Certificados praticadas pela AC.

§ 1º As ARs selecionadas por amostragem para atender à avaliação descrita no caput continuam obrigadas à realização de auditorias operacionais.

§ 2º As auditorias operacionais de AR realizadas pela mesma empresa de auditoria que está realizando a auditoria operacional da AC poderão ser consideradas para atendimento do disposto no caput.

§ 3º Quando se tratar do disposto no caput, a avaliação das ARs poderá ser realizada à distância, a critério do auditor, obedecendo ao percentual mínimo de 10% da amostragem de avaliações in loco.

Art. 18. Esta fase culmina com a apresentação do Relatório Preliminar de Auditoria pelo auditor, sendo comunicadas as não conformidades encontradas durante o processo de auditoria nas Fases 1 e 2.

Art. 19. Para a apresentação desse relatório, devem estar presentes, por parte da entidade auditada, os responsáveis técnicos e representantes legais do PSCert. Fase 3 - Elaboração do Relatório Final de Auditoria - RFA

Art. 20. O Relatório Final de Auditoria é um documento que, depois de preenchido, deverá ter a classificação da informação adequada à criticidade do seu conteúdo e deverá ser elaborado de acordo com o ADE-ICP-08.I - Modelo e Requisitos para a Elaboração do Relatório Final de Auditoria, disponível no site do ITI.

Art. 21. O Relatório Final de Auditoria deve ser distribuído, no mínimo, às seguintes autoridades:

I- entidade auditada;

II- Autoridades Certificadoras hierarquicamente vinculadas; e

III- Instituto Nacional de Tecnologia da Informação - ITI.

Parágrafo único. O RFA enviado ao ITI deverá ser acompanhado da Lista de Verificação de Conformidade e da Declaração de não Impedimento, na forma do Apêndice B do ADE-ICP-08.I.

Art. 22. Não será emitido relatório de auditoria operacional para o Prestador de Serviço de Suporte - PSS.

Art. 23. Nas auditorias operacionais nas ACs, o relatório de auditoria deverá informar em item destacado se são atendidos os critérios de realização de auditorias operacionais nas ARs subordinadas e se são adotados controles para acompanhamento daquelas auditorias.

Art. 24. No relatório de auditoria constará, em parágrafo destacado, o conceito geral do PSCert atribuído pelo auditor ao auditado e os motivos que levaram à referida conceituação. A opinião do auditor será registrada no Relatório Final de Auditoria, que poderá ser: Adequado; Aceitável; Deficiente; Inadequado ou Inaceitável.

Emissão do Parecer de auditoria

Art. 25. Na emissão do Parecer de auditoria e na conclusão no Relatório Final de Auditoria será utilizado o Conceito sobre o PSCert auditado, conforme a tabela a seguir:

§ 1º A média aritmética é o somatório dos riscos encontrados nos controles que apresentaram inconformidade, dividido pela respectiva quantidade de controles que apresentaram não conformidade.

§ 2º Havendo dúvida quanto ao enquadramento, pelo princípio do conservadorismo, será adotado o conceito de maior valor numérico (mais crítico).

§ 3º O conceito "Adequado" é aplicável somente nos casos em que não foram detectadas não conformidades durante as avaliações e verificações no decorrer da auditoria. Critérios para aplicação dos conceitos

Art. 26. A atribuição do conceito geral do PSCert, que constará do relatório de auditoria, refletirá a opinião do auditor sobre o nível de risco a que o PSCert estiver exposto. Para auxiliar nesta atribuição de conceito, o auditor poderá se valer do valor médio das não conformidades encontradas, que não poderá prevalecer sobre a opinião do auditor.

Parágrafo único. Toda vez que os conceitos forem modificados em decorrência da convicção do auditor, o relatório de auditoria destacará a situação de forma fundamentada, cujas evidências deverão ser anexadas ao relatório destinado ao ITI.

Art. 27. A atribuição da criticidade de cada não conformidade é de responsabilidade do auditor, que deve se basear na metodologia adotada, confrontada com as condições identificadas, dentro do contexto auditado.

Art. 28. A criticidade das não conformidades são classificadas como:

I - Risco crítico: certificado emitido com tamanho de chave inferior ao mínimo estabelecido;

b) inexistência de LCR;

c) intervalo de tempo sem LCR;

d) LCR sem conteúdo; e

e) LCR com campo errado ou incorreto.

f) ausência de cobertura de seguro de responsabilidade civil;

g) ausência de realização de auditoria operacional anual;

h) qualquer ato intencional de omissão ou manipulação de dados, alteração de documentos ou registros eletrônicos, ou qualquer ato que possa ser enquadrado como fraude;

i) fraudes relacionadas à identificação do titular do certificado;

j) vulnerabilidade em ambiente lógico de segurança de rede;

k) ausência de sincronismo de tempo entre os servidores e a Fonte Confiável do Tempo - FCT;

l) uso de algoritmo de criptografia diferente do estabelecido nas normas;

m) ausência de testes de restauração de cópia de segurança de base de dados, de logs, de LCR e de certificados digitais;

n) falhas nos sistemas de controle de acesso físico e lógico aos recursos de AC;

o) ausência de sincronismo dos aplicativos de AC entre os sítios principal e de contingência da AC;

p) falha de integridade das aplicações e bases de dados da AC;

q) uso compartilhado de equipamento computacional entre Autoridades de Registro;

r) Autoridade de Registro sem sede administrativa em território nacional; e

s) ausência de Agente de Registro ou equipamento computacional para operação da Autoridade de Registro.

I - Risco alto:

I falha no dossiê de certificado emitido, quanto a documentação, poderes e assinatura;

b) erros ou falhas em campos de certificados emitidos;

c) erros ou falhas em campos de LCR emitidas;

d) falha na apresentação de certidões de pessoal vinculado ao PSCert; falha na manutenção de sistemas de ar-condicionado, sistema elétrico e de combate a incêndio que comprometa as atividades do sítio principal e de contingência da AC;

f) falha na identificação de equipamentos que se conectam à solução de certificação digital da AC;

g) ausência de testes de funcionamento do sítio de contingência;

h) ausência de testes de recuperação de cópia de segurança de LCR, logs de aplicativos e bases de dados;

i) ausência ou deficiências nos procedimentos de testes de vulnerabilidade de rede;

j) ausência ou falhas na monitoração de ocorrências registradas em logs;

k) ausência de licença de software proprietário de terceiros; e

l) compartilhamento de rede de internet com outra empresa ou AR. 

III - Risco médio:

a) falha relacionada à habilitação jurídica, à regularidade fiscal ou à qualificação econômico-financeira do PSCert;

b) falha no processo de treinamento de pessoal do PSCert;

c) falha no processo de avaliação do pessoal do PSCert;

d) falha no sistema de gravação de imagens de CFTV;

e) falha nos procedimentos de desligamento de empregados do PSCert, mesmo que sem desligamento da empresa responsável pelo PSCert; e

f) ausência de comprovante de posse/propriedade dos equipamentos computacionais e equipamentos biométricos.

I- Risco baixo:

a) falha em inventário de ativos.

Parágrafo único. Outras não conformidades podem ser associadas às criticidades de risco elencadas, a critério do auditor.

Art. 29. Para estabelecimento do nível do risco de uma não conformidade será utilizada ferramenta de avaliação do risco, pelo menos com a utilização da matriz impacto versus probabilidade, onde:

Impacto

Probabilidade

§ 1º Os valores a serem atribuídos aos eixos serão sempre em múltiplos de 3 (0 a 3; 0 a 6; 0 a 9; etc.), sempre em ordem crescente de exposição. Por exemplo, se adotada a escala de 0 a 9 teríamos a gradação de zero = sem qualquer impacto, até nove = impacto máximo possível.

§ 2º Poderá ser utilizada outra metodologia para atribuição do nível do risco, desde que faça parte da documentação aprovada no credenciamento, evidenciada sua aplicação de forma sistematizada pela entidade de auditoria.

Pós auditoria

Art. 30. Caso o relatório de auditoria contenha uma ou mais não conformidades não corrigidas durante a auditoria, o PSCert deve encaminhar à entidade a qual está subordinado, em até dez dias, o plano de ação para regularização das não conformidades.

§ 1º A resolução definitiva das não conformidades não pode ultrapassar noventa dias, a partir da data do Relatório de Auditoria.

§ 2º As ACs de 1º e de 2º nível deverão encaminhar ao ITI, na primeira quinzena de janeiro e de julho, relatório consolidado do acompanhamento da regularização das não conformidades de suas entidades diretamente vinculadas.

CAPÍTULO V - DISPOSIÇÕES FINAIS

Art. 31. As entidades relacionadas no art. 2º terão o prazo de até quarenta e cinco dias, contado a partir da publicação deste Regulamento, para adequação aos seus requisitos.

Art. 32. A realização de auditorias operacionais em Autoridades de Certificadoras terá o prazo de até 1º de janeiro de 2026 para adequação ao disposto no § 3º do art. 17.

Art. 33. A partir de 1º de janeiro de 2026, a realização de auditorias operacionais em Autoridade de Registro deverá atender ao disposto nos §§ 1º e 2º do art. 16.

Art. 34. A partir de noventa dias da data de publicação deste regulamento, somente serão admitidos pedidos de credenciamento de AR cujos relatórios de auditoria pré-operacional obedeçam ao disposto no § 3º do art. 16.

Art. 35. Fica revogada a Instrução Normativa ITI nº 06, de 20 de maio de 2021. 

Art. 36. Esta Instrução Normativa entra em vigor na data de sua publicação.

ENYLSON FLÁVIO MARTINEZ CAMOLESI