Resolução CG/ICP nº 37 de 21/10/2004 - Federal

Publicado no DOU em 26 out 2004

Dispõe sobre o momento de apresentação da apólice de contrato de seguro de atividades de certificação digital e de registro no âmbito da ICP-Brasil e dá outras providências.

Notas:

1) Revogada pela Resolução CG/ICP nº 42, de 18.04.2006, DOU 24.04.2006.

2) Assim dispunha a Resolução revogada:

"O Secretário Executivo do Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira - ICP-BRASIL faz saber que aquele Comitê, no uso das atribuições previstas nos incisos I e II do art. 4º da Medida Provisória nº 2.200-2, de 24 de agosto de 2001,

Considerando que os CRITÉRIOS E PROCEDIMENTOS DE CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL, aprovados pela Resolução nº 06, de 22 de novembro de 2001, do Comitê Gestor, prevêem, em seu item 2.1.1., d), dentre os critérios para o credenciamento como AC, que os candidatos devem "contratar seguro para cobertura de responsabilidade civil decorrente das atividades de certificação digital e de registro, com cobertura suficiente e compatível com o risco";

Considerando que, nos termos do item 2.1.1., f), da referida norma, dentre os documentos de apresentação necessária nas solicitações dos candidatos ao credenciamento como AC na ICPBrasil, insere-se o comprovante de contratação de seguro válido na forma do item 2.1.1., d);

Considerando, porém, que a solicitação de credenciamento não gera, por si só, direito ao desenvolvimento de atividades de certificação digital e de registro no âmbito da ICP-Brasil, sujeitando o candidato ao credenciamento ao dispêndio de recursos sem a garantia de que efetivamente poderá desenvolver tais atividades;

Considerando, então, que os procedimentos da ICPBrasil devem ser ajustados para que a apresentação de apólice de contrato de seguro seja uma condição para o desenvolvimento das atividades de certificação e de registro, em vez de um critério para o credenciamento da AC;

Resolve:

Art. 1º A DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO DA AC RAIZ DA ICP-BRASIL, aprovada pela Resolução nº 1, de 25 de setembro de 2001, passa a vigorar com as seguintes alterações:

"4.2. Emissão de Certificado

A emissão de um certificado pela AC Raiz é feita em cerimônia específica, com a presença dos representantes da AC Raiz, da AC credenciada, de auditores e convidados, na qual são registrados todos os procedimentos executados.

A AC Raiz garante que a cerimônia de emissão de um certificado para a AC de nivel imediatamente subseqüente ao seu ocorre em, no máximo, 20 (vinte) dias úteis após a autorização de funcionamento da AC em questão.

O certificado é considerado válido a partir do momento em que é emitido.

A AC Raiz entrega o certificado emitido, em formato padrão PKCS#7, para os representantes legais da AC credenciada.

A emissão dos certificados da AC Raiz e das AC de nível imediatamente subseqüente é feita em equipamentos da AC Raiz que operam off-line.

A emissão de certificados pela AC Raiz para as AC de nível imediatamente subseqüente estará condicionada:

- à apresentação de apólice de contrato de seguro de cobertura de responsabilidade civil decorrente das atividades de certificação digital e de registro, com cobertura suficiente e compatível com o risco dessas atividades;

- à formalização do contrato administrativo e ao pagamento da tarifa a que se referem os arts. 1º e 2º da Resolução nº 10, de 14 de fevereiro de 2002.

Os órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, que respondem na forma do art. 37, § 6º, da Constituição Federal, ficam dispensados da apresentação da apólice prevista neste item".

Art. 2º O item 2.2.1.2. dos CRITÉRIOS E PROCEDIMENTOS DE CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL, aprovados pela Resolução nº 6, de 22 de novembro de 2001, passa a vigorar com as seguintes alterações:

"d) o ato de credenciamento da AC condicionará a emissão do certificado pela AC Raiz ou pela AC de nível imediatamente superior, conforme o caso:

- à apresentação, pela AC credenciada à AC Raiz, de apólice de contrato de seguro de cobertura de responsabilidade civil decorrente das atividades de certificação digital e de registro, com cobertura suficiente e compatível com o risco dessas atividades;

- à formalização do contrato administrativo e ao pagamento da tarifa a que se referem os artigos 1º e 2º da Resolução nº 10, de 14 de fevereiro de 2002, no caso de a credenciada ser AC de nível imediatamente subsqüente à AC Raiz.

Art. 3º O item 2.1.1. dos REQUISITOS MÍNIMOS PARA POLÍTICAS DE CERTIFICADO NA ICP-BRASIL, aprovados pela Resolução nº 7, de 12 de dezembro de 2001, passa a vigorar com as seguintes alterações:

"2.1.1. Obrigações da AC

Neste item devem ser incluídas as obrigações da AC responsável pela PC, contendo, no mínimo, as abaixo relacionadas:

- operar de acordo com a sua Declaração de Práticas de Certificação (DPC) e com as PC que implementa;

- tomar as medidas cabíveis para assegurar que usuários e demais entidades envolvidas tenham conhecimento de seus respectivos direitos e obrigações;

- gerar e gerenciar os seus pares de chaves criptográficas;

- assegurar a proteção de suas chaves privadas;

- notificar os seus usuários quando ocorrer: suspeita de comprometimento de sua chave, emissão de novo par de chaves e correspondente certificado ou o encerramento de suas atividades;

- distribuir o seu próprio certificado;

- emitir, expedir e distribuir os certificados de AC de nível imediatamente subseqüente ao seu ou os certificados de AR a ela vinculadas e os certificados de usuários finais;

- informar a emissão do certificado ao respectivo solicitante;

- revogar os certificados por ela emitidos;

- emitir, gerenciar e publicar sua Lista de Certificados Revogados (LCR) e, quando aplicável, disponibilizar consulta On-line de situação do certificado (OCSP - On-line Certificate Status Protocol);

- identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil;

- publicar em sua página Web sua DPC e suas PC aprovadas;

- adotar as medidas de segurança e controle previstas na DPC, PC e Política de Segurança que implementar, envolvendo seus processos, procedimentos e atividades, observadas as normas, critérios, práticas e procedimentos da ICP-Brasil;

- manter a conformidade dos seus processos, procedimentos e atividades com as normas, práticas e regras da ICP-Brasil e com a legislação vigente;

- manter e garantir a integridade, o sigilo e a segurança da informação por ela tratada;

- manter e testar regularmente seu Plano de Continuidade do Negócio;

- manter contrato de seguro de cobertura de responsabilidade civil decorrente das atividades de certificação digital e de registro, com cobertura suficiente e compatível com o risco dessas atividades, e exigir sua manutenção pelas AC de nível subseqüente ao seu, quando estas estiverem obrigadas a contratá-lo, de acordo com as normas do Comitê Gestor da ICP-Brasil;

- informar às terceiras partes e titulares de certificado acerca das garantias, coberturas, condicionantes e limitações estipuladas pela apólice de seguro de responsabilidade civil contratado nos termos acima; e

- não emitir certificado com prazo de validade que se estenda além do prazo de validade de seu próprio certificado".

Art. 4º O item 2.1.1. dos REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL, aprovados pela Resolução nº 8, de 12 de dezembro de 2001, passa a vigorar com as seguintes alterações:

"2.1.1 Obrigações da AC

Neste item devem ser incluídas as obrigações da AC responsável pela DPC, contendo, no mínimo, as abaixo relacionadas:

- operar de acordo com a sua DPC e com as PC que implementa;

- gerar e gerenciar o seu par de chaves criptográficas;

- assegurar a proteção de suas chaves privadas;

- notificar a AC de nível superior, emitente do seu certificado, quando ocorrer comprometimento de sua chave privada e solicitar a imediata revogação desse certificado;

- notificar os seus usuários quando ocorrer suspeita de comprometimento de sua chave, emissão de novo par de chaves e correspondente certificado, ou o encerramento de suas atividades;

- distribuir o seu próprio certificado;

- emitir, expedir e distribuir os certificados de AC de nível imediatamente subseqüente ao seu ou os certificados de AR vinculadas e de usuários finais;

- informar a emissão do certificado ao respectivo solicitante;

- revogar os certificados por ela emitidos;

- emitir, gerenciar e publicar suas Listas de Certificados Revogados (LCR) e, quando aplicável, disponibilizar consulta online de situação do certificado (OCSP - On-line Certificate Status Protocol);

- publicar em sua página Web sua DPC e as PC aprovadas que implementa;

- identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil.

- manter a conformidade dos seus processos, procedimentos e atividades com as normas, práticas e regras da ICP-Brasil e com a legislação vigente;

- manter e garantir a integridade, o sigilo e a segurança da informação por ela tratada;

- manter e testar regularmente seu Plano de Continuidade do Negócio;

- não emitir certificado com prazo de validade que se estenda além do prazo de validade de seu próprio certificado".

Art. 5º Ficam revogados os itens 2.1.1., alínea d, e 2.2.1.1., alínea f, dos CRITÉRIOS E PROCEDIMENTOS DE CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL, aprovados pela Resolução nº 06, de 22 de novembro de 2001 e o art. 6º da Resolução nº 17, de 20 de setembro de 2002.

Art. 6º Esta Resolução entra em vigor na data de sua publicação.

ENYLSON FLAVIO MARTINEZ CAMOLESI"