RESOLUÇÃO CG ICP-BRASIL Nº 180, DE 20 DE OUTUBRO DE 2020
| Data de publicação | 22 Outubro 2020 |
| Data | 20 Outubro 2020 |
| Páginas | 37-43 |
| Órgão | Presidência da República,Casa Civil,Comitê Gestor da Infraestrutura de Chaves Públicas |
| Section | DO1 |
RESOLUÇÃO CG ICP-BRASIL Nº 180, DE 20 DE OUTUBRO DE 2020
Aprova a versão revisada e consolidada do documento Requisitos Mínimos para as Declarações de Práticas dos Prestadores de Serviço de Confiança da ICP-Brasil - DOC-ICP-17.
O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA,no uso das atribuições que lhe confere o art. 6º, §1º, inc. IV, do Regimento Interno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4º da Medida Provisória nº 2.200-2, de 24 de agosto de 2001, em plenária por videoconferência realizada em 20 de outubro de 2020,
CONSIDERANDO a determinação estabelecida pelo Decreto nº 10.139, de 28 de novembro de 2019, para revisão e consolidação dos atos normativos inferiores a decreto, editados por órgãos e entidades da administração pública federal direta, autárquica e fundacional, resolveu:
Art. 1º Esta Resolução aprova a versão revisada e consolidada do documento Requisitos Mínimos para as Declarações de Práticas dos Prestadores de Serviço de Confiança da ICP-Brasil.
Art. 2º Fica aprovada a versão 2.0 do documento DOC-ICP-17 - Requisitos Mínimos para as Declarações de Práticas dos Prestadores de Serviço de Confiança da ICP-Brasil, anexa a esta Resolução.
Art. 3º Fica revogada a Resolução nº 132, de 10 de novembro de 2017.
Art. 4º Esta Resolução entra em vigor em 03 de novembro de 2020.
THIAGO MEIRELLES FERNANDES PEREIRA
ANEXO
REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DOS PRESTADORES DE SERVIÇO DE CONFIANÇA DA ICP-BRASIL
DOC-ICP-17
Versão 2.0
20 de outubro de 2020
CONTROLE DE ALTERAÇÕES
Resolução que aprovou a alteração |
Item alterado |
Descrição da alteração |
|
Resolução 180, de 20.10.2020 Versão 2.0 |
Revisão e consolidação do DOC-ICP-17, conforme Decreto nº 10.139, de 28 de novembro de 2019. |
|
|
Resolução 132, de 10.11.2017 Versão 1.0 |
Criação do DOC-ICP-17. |
1. INTRODUÇÃO
1.1. Visão geral
1.1.1. Este documento faz parte de um conjunto de normativos criado para regulamentar os Prestadores de Serviço de Confiança de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas, referenciados neste documento como Prestadores de Serviço de Confiança - PSC, no âmbito da Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
1.1.2. O Prestador de Serviço de Confiança - PSC da ICP-Brasil é uma entidade credenciada, auditada e fiscalizada pelo Instituto Nacional de Tecnologia da Informação - ITI que provê serviços de armazenamento de chaves privadas para usuários finais, nos termos do DOC-ICP-04 [1], ou serviços de assinaturas e verificações de assinaturas digitais padrão ICP-Brasil nos documentos e transações eletrônicas ou ambos.
1.1.3. A utilização de Prestadores de Serviços de Confiança para estes serviços elencados é facultativa. Chaves privadas dos usuários finais armazenados em dispositivos normatizados conforme estabelecido no DOC-ICP-04 [1] e assinaturas digitais padrão ICP-Brasil feitas pela chave do usuário em outros sistemas são válidas conforme ditame legal da ICP-Brasil.
1.1.4. Este documento estabelece os requisitos mínimos a serem obrigatoriamente observados pelos PSCs integrantes da ICP-Brasil na elaboração de suas Declarações de Práticas de Prestador de Serviço de Confiança - DPPSC. A DPPSC é o documento que descreve as práticas e os procedimentos operacionais e técnicos empregados pelo PSC na execução de seus serviços. Não obstante, as ACs devem observar a mudança na respectiva DPC e PC caso utilizem para armazenamento de chaves dos seus usuários finais o modelo PSC (ciclo de vida do certificado - descrição dos procedimentos de armazenamento).
1.1.5. Este documento tem como base as normas da ICP-Brasil, as RFCs 4210, 4211, 3628, 3447 3161 do IETF, Regulation (EU) 910/2014 e o documento TS 101 861 do ETSI.
1.1.6. Toda DPPSC elaborada no âmbito da ICP-Brasil deve obrigatoriamente adotar a mesma estrutura empregada neste documento.
1.1.7. Aplicam-se ainda aos PSCs da ICP-Brasil, no que couberem, os regulamentos dispostos nos demais documentos da ICP-Brasil
1.1.8. Esta DPPSC está baseada na Internet Engineering Task Force (IETF) RFC 3647, podendo sofrer atualizações regulares.
1.2. Identificação
Neste item deve ser identificada a DPPSC.
1.3. Comunidade e Aplicabilidade
1.3.1. Prestadores de Serviço de Confiança
Neste item deve ser identificado o PSC integrante da ICP-Brasil a que se refere esta DPPSC.
1.3.1.1. Neste item deve ser identificado o endereço da página web (URL) onde estão publicados os serviços prestados pelo PSC.
1.3.1.2. PSC são entidades utilizadas para desempenhar atividade descrita nesta DPPSC e em regulamento editado por instrução normativa da AC Raiz que defina os procedimentos operacionais mínimos para os prestadores de serviço de confiança da ICP-Brasil, assim como nos adendos - ADE-ICP relacionados, e se classificam em três categorias, conforme o tipo de atividade prestada:
a) armazenamento de chaves privadas dos subscritores; ou
b) serviço de assinatura digital, verificação da assinatura digital; ou
c) ambos.
1.3.1.3. O PSC deverá manter as informações acima sempre atualizadas.
1.3.2. Subscritores
1.3.2.1 Neste item devem ser caracterizadas as pessoas físicas ou jurídicas que poderão solicitar os serviços descritos nesta DPPSC.
1.3.2.2 Os subscritores deverão manifestar plena aprovação aos serviços contratados pelo PSC, assim como o nível de acompanhamento que o PSC deverá informar, para fins exclusivos de proteção da chave privada do titular, seja na prestação de armazenamento das chaves privadas, serviços de assinaturas digitais e verificação das assinaturas digitais e, por ventura, no armazenamento de documentos assinados, neste último caso conforme legislação vigente.
1.3.2.3 Os subscritores deverão ter acesso, quando do uso do serviço de assinatura do PSC, por meio do ambiente do usuário, no mínimo, das 10 (dez) últimas assinaturas digitais realizadas.
Nota 1: Os subscritores poderão solicitar a desvinculação das suas chaves ao PSC de armazenamento de chaves criptográficas ao seu critério, em conformidade com os procedimentos de portabilidade dispostos em regulamento editado por instrução normativa da AC Raiz que defina os procedimentos operacionais mínimos para os prestadores de serviço de confiança da ICP-Brasil.
1.3.3. Aplicabilidade
Este item da DPPSC deve relacionar e identificar os serviços prestados pelo PSC que definem como cada um desses autorizados devem ser utilizados pela comunidade. Nas descrições estarão relacionadas as aplicações para as quais a comunidade fará uso dos serviços.
1.4. Dados de Contato
Neste item devem ser incluídos o nome, o endereço e outras informações da PSC responsável pela DPPSC. Devem ser também informados o nome, os números de telefone e o endereço eletrônico de uma pessoa para contato.
1.5. Procedimentos de mudança de especificação
Neste item devem ser descritos a política e os procedimentos utilizados para realizar alterações na DPPSC. Qualquer alteração na DPPSC deverá ser submetida à aprovação da AC Raiz.
A DPPSC deverá ser atualizada sempre que um novo serviço for implementado pelo PSC responsável.
1.5.1. Políticas de publicação e notificação
Neste item devem ser descritos os mecanismos empregados para a distribuição da DPPSC à comunidade envolvida.
1.5.2. Procedimentos de aprovação
Toda DPPSC deverá ser submetida à aprovação, durante o processo de credenciamento do PSC responsável, conforme o determinado pelo documento CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [5].
1.6. Definições e Acrônimos
Neste item devem ser descritas todas as definições e acrônimos contidas no documento.
SIGLA |
DESCRIÇÃO |
AC |
Autoridade Certificadora |
AC RAIZ |
Autoridade Certificadora Raiz da ICP-Brasil |
CG |
Comitê Gestor da ICP-Brasil |
CMM-SEI |
Capability Maturity Model do Software Engineering Institute |
DMZ |
Zona Desmilitarizada |
DPC |
Declarações de Práticas de Certificação |
DPPSC |
Declarações de Práticas dos Prestadores de Serviço de Confiança |
EAT |
Entidade de Auditoria do Tempo |
HSM |
Hardware Security Module |
ICP-BRASIL |
Infraestrutura de Chaves Públicas Brasileira |
IETF |
Internet Engineering Task Force |
ITI |
Instituto Nacional de Tecnologia da Informação |
NBR |
Norma Brasileira |
PC |
Política de certificado |
PCO |
Plano de Capacidade Operacional |
PCN |
Plano de Continuidade do Negócio |
PSC |
Prestador de Serviço de Confiança |
RFC |
Request For Comments |
TSDM |
Trusted Software Development Methodology |
UTC |
Universal Time Coordinated |
2. RESPONSABILIDADE DO REPOSITÓRIO E PUBLICAÇÃO
2.1. Publicação
2.1.1. Publicação de informação do PSC
2.1.1.1. Neste item devem ser definidas as informações a serem publicadas pelo PSC responsável pela DPPSC, o modo pelo qual serão disponibilizadas e a sua disponibilidade.
2.1.1.2. As seguintes informações, no mínimo, deverão ser publicadas pelo PSC em página web:
a) capacidade de armazenamento das chaves privadas dos subscritores que opera;
b) sua DPPSC;
c) os serviços que implementam;
d) as condições gerais mediante as quais são prestados os serviços de armazenamento de chaves privadas, assinatura digital e verificação da assinatura digital;
e) se pretende continuar a prestar o...
Para continuar a ler
PEÇA SUA AVALIAÇÃO