Logo

Resolução CG/ICP nº 31 de 29/01/2004

 Publicado no DOU em 30 jan 2004


Altera os Requisitos Mínimos para as Políticas de Certificado na ICP-Brasil e os Requisitos Mínimos para as Declarações de Práticas de Certificação das Autoridades Certificadoras da ICP-Brasil.


Monitor de Publicações

Notas:

1) Revogada pela Resolução CG/ICP nº 42, de 18.04.2006, DOU 24.04.2006.

2) Assim dispunha a Resolução revogada:

"O Secretário Executivo do Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira - ICP-BRASIL faz saber que aquele Comitê, no uso das atribuições previstas nos incisos I, II e V do art. 4º da Medida Provisória nº 2.200-2, de 24 de agosto de 2001,

Resolve:

Art. 1º Os REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO DA ICP-BRASIL, aprovados pela Resolução nº 7, de 12 de dezembro de 2001, passam a vigorar com as seguintes alterações:

"3.1.8 Autenticação da identidade de uma organização A confirmação da identidade de pessoa jurídica deverá ser feita mediante a apresentação dos seguintes documentos:

- registro comercial, no caso de empresa individual;

- ato constitutivo, estatuto ou contrato social em vigor, devidamente registrado, em se tratando de sociedades comerciais ou civis, e, no caso de sociedades por ações, acompanhado de documentos de eleição de seus administradores;

- prova de inscrição no Cadastro Nacional de Pessoas Jurídicas (CNPJ);

- prova de inscrição no Cadastro Específico do INSS (CEI), se aplicável.

A pessoa física responsável referida no item 3.1.1 também deverá ser identificada, na forma descrita no item seguinte.

3.1.9 Autenticação da identidade de um indivíduo Neste item devem ser definidos os procedimentos empregados pelas AR vinculadas para a confirmação da identidade de um indivíduo. Essa confirmação deverá ser realizada, mediante a presença física do interessado, com base em documentos de identificação legalmente aceitos.

Deverão ser mantidos arquivos com o tipo e os detalhes da identificação utilizada em cada caso.

3.1.9.1 Documentos para identificação Deve ser apresentada uma foto recente e, no mínimo, os seguintes documentos acompanhados de cópia:

- Cédula de Identidade ou Passaporte, se estrangeiro;

- Cadastro de Pessoa Física;

- Comprovante de Residência;

- Número de Identificação Social - NIS (Cadastro do Programa de Integração Social - PIS, Cadastro do Programa de Formação do Patrimônio do Servidor Público - PASEP ou Cadastro de Contribuintes Individuais do INSS - CI), se aplicável;

- Cadastro Específico do INSS - CEI, se aplicável;

- Título de Eleitor, se aplicável;

- mais um documento oficial com fotografia, no caso de certificados de tipos A4 e S4; e

- os documentos acima relacionados do responsável, caso o solicitante seja incapaz.

NOTA: Entende-se por cédula de identidade as carteiras instituídas por lei, desde que contenham foto e às mesmas seja atribuída fé pública em todo o território nacional, tais como: Carteira de Identidade emitida pela Secretaria de Segurança Pública, Carteira Nacional de Habilitação, Carteira de Identidade Funcional, Carteira de Identidade Profissional."

"7.1.2 Extensões de certificado

Neste item, a PC deve descrever todas as extensões de certificado utilizadas e sua criticalidade.

A ICP-Brasil define como obrigatórias as seguintes extensões:

- "Authority Key Identifier", não crítica: o campo keyIdentifier deve conter o hash SHA-1 da chave pública da AC;

- "Key Usage", crítica: em certificados de assinatura digital, somente os bits digitalSignature, nonRepudiation e keyEncipherment podem estar ativados; em certificados de sigilo, somente os bits keyEncipherment e dataEncipherment podem estar ativados;

- "Certificate Policies", não crítica: deve conter o OID da PC correspondente e o endereço Web da DPC da AC que emite o certificado;

- "CRL Distribution Points", não crítica: deve conter o endereço na Web onde se obtém a LCR correspondente;

A ICP-Brasil também define como obrigatória a extensão "Subject Alternative Name", não crítica e com os seguintes formatos:

Para certificado de pessoa física, 3 (três) campos otherName, contendo:

- OID = 2.16.76.1.3.1 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do titular, no formato ddmmaaaa; nas 11 (onze) posições subseqüentes, o Cadastro de Pessoa Física (CPF) do titular; nas 11 (onze) posições subseqüentes, o Número de Identificação Social - NIS (PIS, PASEP ou CI); nas 11 (onze) posições subseqüentes, o número do Registro Geral (RG) do titular; nas 6 (seis) posições subseqüentes, as siglas do órgão expedidor do RG e respectiva UF.

- OID = 2.16.76.1.3.6 e conteúdo = nas 12 (doze) posições o número do Cadastro Específico do INSS (CEI) da pessoa física titular do certificado.

- OID = 2.16.76.1.3.5 e conteúdo = nas primeiras 12 (doze) posições, o número de inscrição do Título de Eleitor; nas 3 (três) posições subseqüentes, a Zona Eleitoral; nas 4 (quatro) posições seguintes, a Seção; nas 22 (vinte e duas) posições subseqüentes, o município e a UF do Título de Eleitor.

Para certificado de pessoa jurídica, 4 (quatro) campos other-Name, contendo, nesta ordem:

- OID = 2.16.76.1.3.4 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do responsável pelo certificado, no formato ddmmaaaa; nas 11 (onze) posições subseqüentes, o Cadastro de Pessoa Física (CPF) do responsável; nas 11 (onze) posições subseqüentes, o Número de Identificação Social- NIS (PIS, PASEP ou CI); nas 11 (onze) posições subseqüentes, o número do RG do responsável; nas 6 (seis) posições subseqüentes, as siglas do órgão expedidor do RG e respectiva UF;

- OID = 2.16.76.1.3.2 e conteúdo = nome do responsável pelo certificado;

- OID = 2.16.76.1.3.3 e conteúdo = Cadastro Nacional de Pessoa Jurídica (CNPJ) da pessoa jurídica titular do certificado;

- OID = 2.16.76.1.3.7 e conteúdo = nas 12 (doze) posições o número do Cadastro Específico do INSS (CEI) da pessoa jurídica titular do certificado.

Os campos otherName definidos como obrigatórios pela ICP-Brasil devem estar de acordo com as seguintes especificações:

- O conjunto de informações definido em cada campo other-Name deve ser armazenado como uma cadeia de caracteres do tipo ASN.1 OCTET STRING;

- Quando os números de CPF, NIS (PIS, PASEP ou CI), RG, CNPJ, CEI ou Título de Eleitor não estiverem disponíveis, os campos correspondentes devem ser integralmente preenchidos com caracteres "zero";

- Se o número do RG não estiver disponível, não se deve preencher o campo de órgão emissor e UF. O mesmo ocorre para o campo de município e UF, se não houver número de inscrição do Título de Eleitor;

- Todas informações de tamanho variável referentes a números, tais como RG, devem ser preenchidas com caracteres "zero" a sua esquerda para que seja completado seu máximo tamanho possível;

- As 6 (seis) posições das informações sobre órgão emissor do RG e UF referem-se ao tamanho máximo, devendo ser utilizadas apenas as posições necessárias ao seu armazenamento, da esquerda para a direita. O mesmo se aplica às 22 (vinte e duas) posições das informações sobre município e UF do Título de Eleitor.

- Apenas os caracteres de A a Z e de 0 a 9 poderão ser utilizados, não sendo permitidos caracteres especiais, símbolos, espaços ou quaisquer outros.

Campos otherName adicionais, contendo informações específicas e forma de preenchimento e armazenamento definidas pela AC, poderão ser utilizados com OID atribuídos ou aprovados pela AC-Raiz.

Os outros campos que compõem a extensão "Subject Alternative Name" poderão ser utilizados, na forma e com os propósitos definidos na RFC 2459."

Art. 2º Os REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL, aprovados pela Resolução nº 8, de 12 de dezembro de 2001, passam a vigorar com as seguintes alterações:

"3.1.8 Autenticação da identidade de uma organização Neste item devem ser descritos, se for o caso, os procedimentos adotados pela AC responsável pela DPC para a identificação de uma AC de nível imediatamente subseqüente ao seu. Esta identificação poderá estar restrita aos procedimentos descritos no documento Critérios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil.

A confirmação da identidade de uma pessoa jurídica deverá ser feita mediante a apresentação de, no mínimo, os seguintes documentos:

- registro comercial, no caso de empresa individual;

- ato constitutivo, estatuto ou contrato social em vigor, devidamente registrado, em se tratando de sociedades comerciais ou civis, e, no caso de sociedades por ações, acompanhado de documentos de eleição de seus administradores;

- prova de inscrição no Cadastro Nacional de Pessoas Jurídicas (CNPJ);

- prova de inscrição no Cadastro Específico do INSS (CEI), se aplicável.

A pessoa física responsável referida no item 3.1.1 também deverá ser identificada, na forma descrita no item seguinte."

Art. 3º As Autoridades Certificadoras - AC devidamente credenciadas deverão apresentar, no prazo máximo de 120 (cento e vinte) dias contados da publicação desta Resolução, alteração na sua declaração de práticas de certificação e nas suas políticas de certificado, comprovando, sob pena de descredenciamento, a adequação de seus documentos às alterações procedidas por esta Resolução.

Parágrafo único. As AC em processo de credenciamento deverão apresentar imediatamente alteração na declaração de práticas de certificação e nas políticas de certificado apresentadas, adequando-as às modificações procedidas por esta Resolução.

Art. 4º Esta Resolução entra em vigor na data de sua publicação.

ENYLSON FLAVIO MARTINEZ CAMOLESI"