Notas:

1) Revogada pela Resolução CG/ICP nº 42, de 18.04.2006, DOU 24.04.2006.

2) Assim dispunha a Resolução revogada:

"O Secretário Executivo do Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira - ICP-BRASIL, faz saber que aquele Comitê, no uso das atribuições previstas nos incisos I, II, III e V do art. 4º da Medida Provisória nº 2.200-2, de 24 de agosto de 2001,

RESOLVE:

Art. 1º A Declaração de Práticas de Certificação da AC Raiz da ICP-BRASIL, aprovada pela Resolução nº 1, de 25 de setembro de 2001, passa a vigorar com as seguintes alterações:

"2.1.4. Direitos da terceira parte (Relying Party)

Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do certificado digital.

Constituem direitos da terceira parte:

- recusar a utilização do certificado para fins diversos dos previstos nesta DPC;

- verificar, a qualquer tempo, a validade do certificado. O certificado da AC Raiz ou um certificado de AC de nível imediatamente subseqüente ao da AC Raiz é considerado válido quando:

- tiver sido emitido pela AC Raiz;

- não constar da LCR da AC Raiz;

- não estiver expirado; e

- puder ser verificado com o uso do certificado válido da AC Raiz."

"2.7.2. Identidade e qualificação do auditor

A auditoria será realizada por corpo próprio devidamente qualificado e vinculado à AC Raiz."

"4.1. Solicitação de Certificado

A solicitação de certificado para uma AC de nível imediatamente subseqüente ao da AC Raiz só é possível após o deferimento de seu pedido de credenciamento e a conseqüente autorização de funcionamento da AC em questão por parte da AC Raiz (Critérios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil).

A AC deve encaminhar a solicitação de seu certificado à AC Raiz por meio de seus representantes legais, utilizando o padrão de solicitação de certificado PKCS#10²."

"4.2. Emissão de Certificado

A emissão de um certificado pela AC Raiz é feita em cerimônia específica, com a presença dos representantes da AC Raiz, da AC credenciada, de auditores e convidados, na qual são registrados todos os procedimentos executados.

A AC Raiz garante que a cerimônia de emissão de um certificado para AC de nível imediatamente subseqüente ao seu ocorre em, no máximo, 20 (vinte) dias úteis após a autorização de funcionamento da AC em questão.

O certificado é considerado válido a partir do momento em que é emitido.

A AC Raiz entrega o certificado emitido, em formato padrão PKCS#7, para os representantes legais da AC credenciada.

A emissão dos certificados da AC Raiz e das AC de nível imediatamente subseqüente é feita em equipamentos da AC Raiz que operam off-line."

"4.4.9. A LCR da AC Raiz é atualizada a cada 28 (vinte e oito) dias. Em caso de revogação de certificado de AC de nível imediatamente ao seu, a AC Raiz emite nova LCR no prazo previsto no item 4.4.3 e notifica todas as AC de nível imediatamente subseqüente ao seu."

"6.1.1. Geração do par de chaves

O par de chaves criptográficas da AC Raiz é gerado pela própria AC Raiz, em hardware específico, conforme o detalhado em 6.1.8.

O par de chaves criptográficas de uma AC de nível imediatamente subseqüente ao da AC Raiz é gerado pela própria AC, após o deferimento do seu pedido de credenciamento e a conseqüente autorização de funcionamento no âmbito da ICP-Brasil."

"7.2.5. Restrições de nome

O nome da AC titular do certificado deve ser submetido à aprovação no processo de credenciamento. Não são admitidos caracteres especiais ou de acentuação nos campos do DN."

Art. 2º Os Critérios e Procedimentos de Credenciamento das Entidades Integrantes da ICP-BRASIL, aprovados pela Resolução nº 6, de 22 de novembro de 2001, passam a vigorar com as seguintes alterações:

"2.2. Procedimentos

O processo de credenciamento obedece a procedimentos específicos, relacionados com a natureza da atividade a ser desenvolvida no âmbito da ICP-Brasil.

Todas as comunicações e requerimentos à AC Raiz deverão ser encaminhados por intermédio da cadeia de AC, ou candidatos à AC, operacionalmente vinculados. Inicia-se a tramitação pela AC, ou candidato à AC, de nível imediatamente superior ao do interessado. A tramitação prossegue, a partir daí, respeitando a hierarquia de AC, ou candidatos à AC, operacionalmente vinculados, até chegar à AC Raiz.

As AC serão responsáveis por comunicar as decisões do CG da ICP-Brasil ou da AC Raiz às entidades que lhes estejam operacionalmente vinculadas, respeitando a hierarquia de AC.

O deferimento do pedido de credenciamento será publicado no Diário Oficial da União e importará a autorização para funcionamento no âmbito da ICP-Brasil e, no caso de AC, a emissão do seu certificado."

"2.2.2.1. Solicitação

As solicitações dos candidatos ao credenciamento como AR na ICP-Brasil serão encaminhadas à AC ou candidato a AC a que o candidato a AR esteja operacionalmente vinculado, por intermédio do formulário constante do Anexo II. A AC ou candidato a AC que receber a solicitação deverá manter cópia sob sua guarda e encaminhar para a AC Raiz os seguintes documentos:

a) Formulário constante do Anexo II, devidamente preenchido e assinado pelos representantes legais do candidato a AR e da AC ou do candidato a AC a que esteja operacionalmente vinculado;

b) Documentos relacionados no Anexo V, apenas na hipótese de o candidato não ser a própria AC ou candidato a AC;

c) Relatório de auditoria elaborado por empresas independentes especializadas, constantes de lista a ser disponibilizada pela AC Raiz, na hipótese do item 2.1.2, c, segunda parte."

Art. 3º Os Requisitos Mínimos para as Declarações de Práticas de Certificação das Autoridades Certificadoras da ICP-BRASIL, aprovados pela Resolução nº 8, de 12 de dezembro de 2001, passam a vigorar com a seguinte redação:

"4.1. Solicitação de Certificado

Neste item da DPC, devem ser descritos todos os requisitos e procedimentos operacionais estabelecidos pela AC responsável e pelas AR a ela vinculadas para as solicitações de emissão de certificado. Esses requisitos e procedimentos deverão compreender, no mínimo:

- a comprovação de atributos de identificação constantes do certificado;

- um contrato assinado, que estabeleça termos e condições aplicados ao uso do certificado.

A DPC deve observar, quando aplicável, que a solicitação de certificado para AC de nível imediatamente subseqüente ao da AC responsável somente será possível após o deferimento do pedido de credenciamento e a respectiva autorização de funcionamento da AC em questão (Critérios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil).

Nesse caso, aquela AC deverá encaminhar a solicitação de seu certificado à AC emitente por meio de seus representantes legais, utilizando o padrão de solicitação de certificado PKCS#101."

"6.1.1. Geração do par de chaves

Neste item, a DPC deve descrever os requisitos e procedimentos referentes ao processo de geração do par de chaves criptográficas da AC responsável. O par de chaves criptográficas da AC responsável pela DPC deverá ser gerado pela própria AC, após o deferimento do seu pedido de credenciamento e a conseqüente autorização de funcionamento no âmbito da ICP-Brasil.

A DPC deve descrever também os requisitos e procedimentos referentes ao processo de geração do par de chaves criptográficas de entidade solicitante de certificado. Pares de chaves deverão ser gerados somente pelo titular do certificado correspondente. Os procedimentos específicos devem ser descritos em cada PC implementada.

Cada PC implementada pela AC responsável deve definir o meio utilizado para armazenamento da chave privada, com base nos requisitos aplicáveis estabelecidos pelo documento Requisitos Mínimos para Políticas de Certificado na ICP-Brasil."

"8.3. Procedimentos de aprovação

Toda DPC deverá ser submetida à aprovação, durante o processo de credenciamento da AC responsável, conforme o determinado pelo documento Critérios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil."

Art. 4º Os Requisitos Mínimos para as Políticas de Certificado da ICP-BRASIL, aprovados pela Resolução nº 7, de 12 de dezembro de 2001, passam a vigorar com a seguinte redação:

"4.1. Solicitação de Certificado

Neste item da PC, devem ser descritos todos os requisitos e procedimentos operacionais estabelecidos pela AC responsável para as solicitações de emissão de certificado. Esses requisitos e procedimentos, que deverão ser atendidos e executados pelas AR vinculadas e pelos solicitantes, deverão compreender, no mínimo:

- a comprovação de atributos de identificação constantes do certificado, conforme item 3.1;

- um contrato assinado pelo solicitante, que estabeleça termos e condições aplicados ao uso do certificado.

A PC deve observar que a solicitação de certificado para AC de nível imediatamente subseqüente ao da AC responsável somente será possível após o deferimento do seu pedido de credenciamento e a conseqüente autorização de funcionamento no âmbito da ICP-Brasil (Critérios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil). Nesse caso, aquela AC deverá encaminhar a solicitação de seu certificado à AC emitente por meio de seus representantes legais, utilizando o padrão de solicitação de certificado PKCS#101."

"7.1.2. Extensões de certificado

Neste item, a PC deve descrever todas as extensões de certificado utilizadas e sua criticalidade.

A ICP-Brasil define como obrigatórias as seguintes extensões:

- Authority Key Identifier, não crítica: o campo keyIdentifier deve conter o hash SHA-1 da chave pública da AC;

- Key Usage, crítica: em certificados de assinatura digital, somente os bits digitalSignature, nonRepudiation e keyEncipherment podem estar ativados; em certificados de sigilo, somente os bits keyEncipherment e dataEncipherment podem estar ativados;

- Certificate Policies, não crítica: deve conter o OID da PC correspondente e o endereço Web da DPC da AC que emite o certificado;

- CRL Distribution Points, não crítica: deve conter o endereço na Web onde se obtém a LCR correspondente;

A ICP-Brasil também define como obrigatória a extensão Subject Alternative Name, não crítica e com os seguintes formatos:

Para certificado de pessoa física, 2 (dois) campos otherName, contendo:

- OID = 2.16.76.1.3.1 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do titular, no formato ddmmaaaa; nas 11 (onze) posições subseqüentes, o Cadastro de Pessoa Física (CPF) do titular; nas 11 (onze) posições subseqüentes, o número de inscrição do titular no PIS/PASEP; nas 11 (onze) posições subseqüentes, o número do Registro Geral - RG do titular; nas 6 (seis) posições subseqüentes, as siglas do órgão expedidor do RG e respectiva UF.

- OID = 2.16.76.1.3.5 e conteúdo = nas primeiras 12 (doze) posições, o número de inscrição do Título de Eleitor; nas 3 (três) posições subseqüentes, a Zona Eleitoral; nas 4 (quatro) posições seguintes, a Seção; nas 22 (vinte duas) posições subseqüentes, o município e a UF do Título de Eleitor.

Para certificado de pessoa jurídica, 3 (três) campos otherName, contendo, nesta ordem:

- OID = 2.16.76.1.3.4 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do responsável pelo certificado, no formato ddmmaaaa; nas 11 (onze) posições subseqüentes, o Cadastro de Pessoa Física (CPF) do responsável; nas 11 (onze) posições subseqüentes, o número de inscrição do responsável no PIS/PASEP; nas 11 (onze) posições subseqüentes, o número do RG do responsável; nas 6 (seis) posições subseqüentes, as siglas do órgão expedidor do RG e respectiva UF;

- OID = 2.16.76.1.3.2 e conteúdo = nome do responsável pelo certificado;

- OID = 2.16.76.1.3.3 e conteúdo = Cadastro Nacional de Pessoa Jurídica (CNPJ) da pessoa jurídica titular do certificado.

O conjunto de informações definido em cada campo otherName deve ser armazenado como uma cadeia de caracteres do tipo ASN.1 OCTET STRING.

Quando os números de CPF, PIS/PASEP, RG, CNPJ ou Título de Eleitor não estiverem disponíveis, os campos correspondentes devem ser integralmente preenchidos com caracteres "zero".

Se o número do RG não estiver disponível, não se deve preencher o campo de órgão emissor e UF. O mesmo ocorre para o campo de município e UF, se não houver número de inscrição do Título de Eleitor.

Todas informações de tamanho variável referentes a números, tais como RG, devem ser preenchidas com caracteres "zero" a sua esquerda para que seja completado seu máximo tamanho possível.

As 6 (seis) posições das informações sobre órgão emissor do RG e UF referem-se ao tamanho máximo, devendo ser utilizadas apenas as posições necessárias ao seu armazenamento, da esquerda para a direita. O mesmo se aplica às 22 (vinte e duas) posições das informações sobre município e UF do Título de Eleitor.

Apenas os caracteres de A a Z e de 0 a 9 poderão ser utilizados, não sendo permitidos caracteres especiais, símbolos, espaços ou quaisquer outros.

Campos otherName adicionais, contendo informações específicas definidas pela AC, poderão ser utilizados com OID atribuídos pela AC-Raiz.

Os outros campos que compõem a extensão Subject Alternative Name poderão ser utilizados, na forma e com os propósitos definidos na RFC 2459."

"8.3. Procedimentos de aprovação

Toda PC deverá ser submetida à aprovação, durante o processo de credenciamento da AC responsável, conforme o estabelecido no documento Critérios e Procedimentos para Credenciamento das Entidades Integrantes da ICP-Brasil. Como parte desse processo, além da conformidade com este documento, deverá ser verificada a compatibilidade entre a PC e a DPC da AC responsável."

Art. 5º As Autoridades Certificadoras - AC devidamente credenciadas deverão apresentar, no prazo máximo de trinta dias contados da publicação desta Resolução, alteração na sua declaração de práticas de certificação e nas suas políticas de certificado, comprovando, sob pena de descredenciamento, a adequação de seus documentos às alterações procedidas por esta Resolução.

Parágrafo único. As AC em processo de credenciamento deverão apresentar imediatamente alteração na declaração de práticas de certificação e nas políticas de certificado apresentadas, adequando-as às modificações procedidas por esta Resolução.

Art. 6º Esta Resolução entra em vigor na data de sua publicação.

MURILO MARQUES BARBOZA"