declaraÇÃo de prÁticas de certificaÇÃo e polÍticas de ... · esta declaração de práticas...

DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO E POLÍTICAS DE CERTIFICADOS DAS ACs DA CADEIA BANRISU L

1. DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES

CERTIFICADORAS DA CADEIA BANRISUL

1.1. INTRODUÇÃO

1.1.1. Visão Geral

Esta Declaração de Práticas de Certificação descreve as práticas e os procedimentos empregados

pelas Autoridades Certificadoras Banrisul Raiz e pelas Autoridades Certificadoras subseqüentes

na execução de seus serviços.

As Autoridades Certificadoras do Banrisul, contempladas nessa DPC, são:

o AC Banrisul Raiz;

o AC Banrisul Intermediária 2;

o AC Banrisul Internet ID.

Com relação aos tipos específicos de certificado emitidos pelas Autoridades Certificadoras,

referidas a seguir como AC Banrisul, devem ser consultadas as Políticas de Certificado que

explicam como um tipo específico de certificado é gerado e administrado pela AC Banrisul e

utilizado pela comunidade.

1.1.2. Identificação

Esta Declaração de Práticas de Certificação, referida a seguir simplesmente como "DPC",

descreve as práticas e os procedimentos empregados pelo Banrisul no âmbito das autoridades

certificadoras sob a sua chave raiz.

1.1.3. Comunidade e Aplicabilidade

1.1.3.1. Autoridade Certificadora (AC)

Esta DPC refere-se à AC Banrisul no âmbito do Grupo Banrisul, seus conveniados e clientes,

localizada na Rua Caldas Júnior 108 – Centro – Porto Alegre – RS – Brasil.

1.1.3.2. Autoridade de Registro (AR)

A Autoridade de Registro (AR) da AC Raiz é a Unidade de Segurança da Tecnologia da

Informação, ou outra área que venha a ter as suas atribuições. Esta AR está localizada na Rua

Caldas Júnior 108 – Centro – Porto Alegre – RS – Brasil, exercendo as funções de recebimento,

validação e encaminhamento de solicitações de emissão ou de revogação de certificados digitais

e identificação dos solicitantes.

1.1.3.3. Titulares de Certificado

Pessoa físicas ou jurídicas de direito público ou privado, nacionais ou internacionais, que

atendam aos requisitos desta DPC e das Políticas de Certificado aplicáveis podem ser Titulares

de Certificado, para uso por pessoas físicas, pessoas jurídicas, em equipamentos ou aplicações.

1.1.3.4. Aplicabilidade

Os certificados emitidos pela AC Banrisul têm o se objetivo definido nas Políticas de

Certificados específicas.

1.2. DISPOSIÇÕES GERAIS

1.2.1. Obrigações

Nos itens a seguir estão descritas as obrigações gerais das entidades envolvidas. Os requisitos

específicos associados a essas obrigações estão detalhados nas PC implementadas pelas AC

Banrisul.

1.2.1.1. Obrigações da AC Banrisul

As obrigações das AC Banrisul são as abaixo relacionadas:

o operar de acordo com esta DPC AC e com as PC que implementa;

o gerar e gerenciar seus pares de chaves criptográficas;

o assegurar a proteção de suas chaves privadas;

o notificar os seus usuários quando ocorrer: suspeita de comprometimento de sua chave,

emissão de novo par de chaves e correspondente certificado ou o encerramento de suas

atividades;

o distribuir os seus próprios certificados;

o emitir, expedir e distribuir os certificados de usuários finais;

o emitir, expedir e distribuir os certificados de autoridades certificadoras de nível

subseqüente aos seus;

o Informar a emissão do certificado ao respectivo solicitante;

o revogar os certificados por elas emitidos;

o emitir, gerenciar e publicar suas Listas de Certificados Revogados (LCR);

o publicar esta DPC e as PC que implementam;

o adotar as medidas de segurança e controle previstas nesta DPC e PC;

o adotar as medidas de segurança e controle previstas nesta DPC e PC implementadas,

envolvendo seus processos, procedimentos e atividades;

o manter a conformidade dos seus processos, procedimentos e atividades com a legislação

vigente e com as Instruções Normativas do Banrisul;

o manter e garantir a integridade, o sigilo e a segurança das informações por ela tratadas;

o Informar às terceiras partes e titulares de certificados acerca das garantias, coberturas,

condicionantes e limitações de responsabilidades da AC banrisul.

1.2.1.2. Obrigações das AR vinculadas

As obrigações das AR vinculadas são as abaixo relacionadas:

o receber solicitações de emissão ou de revogação de certificados;

o confirmar a identidade do solicitante e a validade da solicitação;

o encaminhar a solicitação de emissão ou de revogação de certificado à respectiva AC

Banrisul;

o informar aos respectivos titulares a emissão ou a revogação de seus certificados;

o disponibilizar os certificados emitidos aos seus respectivos solicitantes;

o identificar e registrar todas as ações executadas;

o obedecer no que couber estritamente a esta DPC e às PC aplicáveis, bem como respeitar

a legislação aplicável;

o manter a conformidade dos seus processos, procedimentos e atividades com as normas,

critérios, práticas e regras estabelecidas pela AC Banrisul;

o manter e garantir a segurança da informação por elas tratada.

1.2.1.3. Obrigações do Titular do Certificado

Constituem-se obrigações do titular de certificado emitido pelas AC Banrisul:

o fornecer, de forma completa e precisa, todas as informações necessárias para sua

identificação e/ou a identificação do equipamento a ser certificado;

o garantir a proteção e o sigilo de suas chaves privadas, senhas e dispositivos

criptográficos;

o utilizar os seus certificados e chaves privadas de forma apropriada, conforme o previsto

na PC correspondente;

o conhecer os seus direitos e obrigações, contemplados pela DPC, pela PC

correspondente e por outros documentos aplicáveis;

o informar a respectiva AC Banrisul qualquer comprometimento de sua chave privada e

solicitar a imediata revogação do certificado correspondente;

o obedecer no que couber estritamente a esta DPC e às PC aplicáveis, bem como respeitar

a legislação aplicável e as obrigações contratuais assumidas perante a respectiva AC

Banrisul e à AR vinculada.

1.2.1.4. Direitos da Terceira Parte (Relying Party)

Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do certificado

digital.

Constituem direitos e obrigações da terceira parte:

o recusar a utilização do certificado para fins diversos dos previstos na PC

correspondente;

o verificar, a qualquer tempo, a validade do certificado. Certificados emitidos pelas AC

Banrisul são considerados válidos quando:

o não constar da LCR da AC emitente;

o não estiver expirado; e

o puder ser verificado com o uso de certificado válido da AC emitente.

1.2.1.5. Obrigações do Repositório das AC Banrisul

o Disponibilizar, logo após a sua emissão, os certificados emitidos pelas AC Banrisul e as

suas LCR;

o Estar disponível para consulta durante 24 (vinte e quatro) horas por dia, 7 (sete) dias por

semana; e

o Implementar os recursos necessários para a garantia da segurança dos dados nele

armazenados.

1.2.2. Responsabilidades

1.2.2.1. Responsabilidades das AC Banrisul

As Ac Banrisul respondem pelos danos a que derem causa.

1.2.2.2. Responsabilidades das AR vinculadas

A AR vinculada é responsável pelos danos a que der causa.

As AC Banrisul, responsáveis por esta DPC, respondem solidariamente pelos atos das AR a ela

vinculadas.

1.2.2.3. Responsabilidades do titular do certificado

O titular do certificado é responsável pelas informações constantes do certificado que forneceu

para sua identificação e/ou do equipamento, bem como pela atualização das mesmas.

1.2.3. Publicação e Repositório

1.2.3.1. Publicação de informação das AC Banrisul e Repositórios

As AC Banrisul publicam e mantém disponíveis em seus sites:

o Banrisul Raiz: http://ac.banrisul:8080

o Banrisul Intermediária 2: http://ac.banrisul:8080

- Banrisul Internet ID: http://ac.banrisul:8080

A disponibilidade mínima dos repositórios é 90,0% (noventa por cento do tempo, 24 (vinte e

quatro) horas por dia, 7 (sete) dias por semana, as seguintes informações:

o seu próprio certificado;

o sua LCR;

o esta DPC;

o as PC que implementa.

1.2.3.2. Freqüência de publicação

As informações de que trata o item anterior são mantidas atualizadas em conformidade com a

respectiva Política de Certificado.

1.2.3.3. Controles de acesso

Não há restrições para o acesso para leitura desta DPC, da respectiva PC e das LCR.

Publicações e alterações nos respectivos documentos são de responsabilidade da Unidade de

Segurança da tecnologia da Informação.

1.2.3.4. Auditoria de Conformidade

As AC Banrisul atuam em conformidade com os procedimentos descritos nesta DPC.

1.2.3.5. Auditoria de conformidade

Todos os procedimentos e processos definidos pelas AC Banrisul são sujeitos a auditoria

realizada pela Auditoria do Banrisul.

1.2.3.6. Tópicos cobertos pela auditoria

As auditorias de conformidade verificam todos os aspectos relacionados com a emissão e o

gerenciamento de certificados digitais, incluindo o controle dos processos de solicitação,

identificação, autenticação, geração, publicação, distribuição, renovação e revogação de

certificados.

Os tópicos cobertos pela auditoria de conformidade incluem, dentre outros:

o Política de Segurança;

o Segurança física;

o Administração dos serviços;

o PC e DPC utilizadas;

o Documentos emitidos;

o Considerações de sigilo.

1.2.4. Sigilo

As chaves privadas de assinatura digital das AC Banrisul foram geradas e são mantidas pela

Unidade de Segurança da Tecnologia da Informação, armazenadas em hardware seguro que

garantem a sua proteção.

Os titulares de certificados emitidos pelas AC Banrisul são responsáveis pela geração,

manutenção e pela garantia do sigilo de suas respectivas chaves privadas, bem pela divulgação

ou utilização indevidas dessas mesmas chaves.

As PC correspondentes delimitam as responsabilidades pela manutenção e pela garantia do

sigilo das respectivas chaves privadas.

1.2.4.1. Informações sigilosas

As AC Banrisul e as AR vinculadas tratam como confidenciais os dados fornecidos pelo

solicitante que não constem no certificado. Contudo, tais dados não são considerados

confidenciais quando:

a) estejam na posse legítima das AC Banrisul ou da AR vinculada antes de seu fornecimento

pelo titular ou o titular autorize formalmente a sua divulgação;

b) posteriormente ao seu fornecimento pelo titular, sejam obtidos ou possam ter sido obtidos

legalmente de terceiro(s) com direitos legítimos para divulgação sua sem quaisquer restrições

para tal;

c) sejam requisitados por determinação judicial ou governamental.

1.2.4.2. Divulgação de informação de revogação e suspensão de certificado

As AC Banrisul disponibilizam permanentemente em seu site, com atualização definida na

correspondente PC, relação de certificados por ela emitidos que foram revogados ou suspensos.

1.2.5. Direitos de Propriedade Intelectual

A emissão do certificado não implica a transferência, cessão ou licença de direitos de

propriedade intelectual de softwares, certificados, políticas, especificações de práticas e

procedimentos, nomes, chaves criptográficas e outros das AC Banrisul ou das AR vinculadas

para o titular do certificado.

1.3. IDENTIFICAÇÃO E AUTENTICAÇÃO

1.3.1. Registro Inicial

As AR vinculadas efetuam a identificação de uma organização e autenticação da identidade de

um indivíduo por meio da verificação da validade dos documentos de identificação fornecidos e

com base nos dados fornecidos no formulário de solicitação descritos nas respectivas PC.

1.3.1.1. Tipos de nomes

As AC Banrisul emitem certificados com nomes que permitam a identificação unívoca. Para

isso utiliza o "Distinguished Name" do padrão ITU X.500, endereços de correio eletrônico ou

endereços de página Web (URL).

1.3.1.2. Necessidade de nomes significativos

As Ac Banrisul fazem uso de nomes significativos que possibilitam determinar a identidade da

pessoa ou organização a que se referem, para a identificação dos titulares dos certificados

emitidos pelas AC Banrisul

1.3.1.3. Regras para interpretação de vários tipos de nomes

Os requisitos e procedimentos específicos, quando aplicáveis, estão detalhados nas PC

implementadas.

1.3.1.4. Unicidade de nomes

Os identificadores do tipo "Distinguished Name" (DN) são únicos para cada entidade titular de

certificado, no âmbito das AC Banrisul. Números ou letras adicionais podem ser incluídos ao

nome de cada entidade para assegurar a unicidade do campo.

1.3.1.5. Autenticação da identidade de uma organização

No caso de emissão de certificados para organizações que não fazem parte do Grupo Banrisul, a

confirmação da identidade da pessoa jurídica é feita com base em, no mínimo, os seguintes

documentos:

o registro comercial, no caso de empresa individual;

o ato constitutivo, estatuto ou contrato social em vigor, devidamente registrado, em se

tratando de sociedades comerciais ou civis, e, no caso de sociedades por ações,

acompanhado de documentos de eleição de seus administradores;

o prova de inscrição no Cadastro Nacional de Pessoas Jurídicas (CNPJ).

Solicitações de certificados são realizadas pela pessoa física legalmente responsável. Cabe à AR

vinculada as AC Banrisul verificar a autorização atribuída ao solicitante, bem como a presença

dos documentos exigidos. Os procedimentos utilizados pela AR vinculada estão descritos nas

PC implementadas.

A pessoa física responsável por um certificado que tenha como titular uma pessoa jurídica

deverá ser também identificada, na forma descrita no item seguinte.

1.3.1.6. Autenticação da identidade de um indivíduo

A confirmação da identidade do responsável pelo certificado é realizada com base em, no

mínimo, apresentação de um documento oficial de identidade.

1.3.1.7. Autenticação de um domínio

A confirmação de um domínio de empresas fora do Grupo Banrisul é feita mediante

confirmação junto aos órgãos de registro de domínio nacionais e internacionais.

O domínio a ser certificado deverá estar registrado para o titular do certificado digital. Caso

contrário, a Pessoa Jurídica ou Física detentora do endereço deverá apresentar uma declaração

de cessão de uso da URL, a qual autoriza o titular a utilizar o domínio. Esta declaração deverá

ser registrada em cartório e ter firma reconhecida.

1.3.2. Geração de novo par de chaves antes da expiração do atual

Devem ser observados os mesmos requisitos e procedimentos exigidos para a solicitação inicial

do certificado, na forma e no prazo estabelecidos na correspondente PC. A emissão de um novo

certificado obedece ao estabelecido na correspondente PC implementada.

1.3.3. Geração de novo par de chaves após revogação

Após a revogação do certificado, o solicitante pode solicitar um novo certificado, enviando à

AR vinculada uma solicitação, na forma, condições e prazo estabelecidos para a solicitação

inicial de um certificado.

1.3.4. Solicitação de Revogação

A revogação do certificado é feita por solicitação do titular, ou pessoa com poderes de

representação do titular, ou por iniciativa da AC emissora.

1.4. REQUISITOS OPERACIONAIS

1.4.1. Solicitação de Certificado

A solicitação de emissão de um certificado digital é feita mediante a AR vinculada.

1.4.2. Emissão de Certificado

Somente após e na hipótese de validação conclusiva, pelas AR vinculadas, dos dados fornecidos

pelo solicitante do certificado digital as AC Banrisul procedem à emissão e assinatura do

certificado.

Um certificado é considerado válido a partir do momento de sua emissão.

1.4.3. Aceitação de Certificado

O uso do certificado pelo seu titular caracteriza sua aceitação do mesmo. A aceitação implica

que o titular reconhece e se responsabiliza pela veracidade dos dados contidos no certificado.

1.4.4. Suspensão e Revogação de Certificado

1.4.4.1. Circunstâncias para revogação

Um certificado é obrigatoriamente revogado nas seguintes circunstâncias:

o quando constatada emissão imprópria ou defeituosa do mesmo;

o quando for necessária a alteração de qualquer informação constante no mesmo;

o no caso de perda, roubo, modificação, acesso indevido ou comprometimento da chave

privada correspondente ou da sua mídia armazenadora; ou

o no caso de revogação do certificado da respectiva AC Banrisul.

1.4.4.2. Circunstâncias para suspensão

A suspensão de certificados se dará mediante o estabelecido nas Políticas de Certificados – PC.

1.4.4.3. Freqüência de emissão de LCR

Cada PC implementada pelas AC Banrisul define a freqüência de emissão da LCR

associada.

1.4.4.4. Requisitos para verificação de LCR

Todo certificado deve ter a sua validade verificada, na respectiva LCR, antes de ser utilizado.

A autenticidade da LCR deve também ser confirmada por meio das verificações da assinatura da

AC Banrisul emitente e do período de validade da LCR.

1.4.5. Requisitos especiais para o caso de comprometimento de chave

Caso ocorra perda, roubo, modificação, acesso indevido ou comprometimento de chave privada

ou de sua mídia armazenadora, o titular deve notificar imediatamente a AC Banrisul emitente,

solicitando a revogação de seu certificado.

1.4.6. Proteção de arquivo

Os registros arquivados das AC Banrisul são classificados e armazenados com requisitos de

segurança compatíveis com essa classificação e com a Política de Segurança do Banrisul S.A..

1.4.7. Comprometimento e Recuperação de Desastre

As AC Banrisul segue o Plano de Continuidade de Negócio, estabelecido pelo Banrisul S.A..

1.5. CONTROLES DE SEGURANÇA FÍSICA, PROCEDIMENTAL E DE PESSOAL

Os referidos controles são implementados pelas AC Banrisul e pelas AR vinculadas para

executar de modo seguro suas funções de geração de chaves, identificação, certificação,

auditoria e arquivamento de registros.

Os controles implementados atendem as Instruções Normativas aplicáveis e mantidas pelo

Banrisul S.A..

1.6. CONTROLES TÉCNICOS DE SEGURANÇA

1.6.1. Geração e Instalação do Par de Chaves

1.6.1.1. Geração do par de chaves

O par de chaves criptográficas de cada AC Banrisul é gerado pela Unidade de Segurança da

Tecnologia da Informação.

Pares de chaves são gerados somente pelo titular do certificado correspondente, sendo que os

procedimentos específicos estão descritos em cada PC implementada pelas AC Banrisul.

Cada PC implementada pela AC Banrisul define o meio utilizado para armazenamento da chave

privada.

1.6.1.2. Entrega da chave privada à entidade titular

A geração e a guarda de uma chave privada é de responsabilidade exclusiva do titular do

certificado correspondente.

1.6.1.3. Disponibilização de chave pública das AC Banrisul para usuários

As chaves públicas das AC Banrisul são disponibilizadas em seus respectivos certificados,

publicados no site da AC.

1.6.1.4. Tamanhos de chave

Cada PC implementada pelas AC Banrisul define o tamanho das chaves criptográficas

associadas aos certificados emitidos.

1.6.1.5. Geração de parâmetros de chaves assimétricas

Cada PC define a geração das chaves criptográficas associadas aos certificados emitidos.

1.6.1.6. Propósitos de uso de chave (conforme o campo "key usage" na X.509 v3)

Os propósitos para os quais podem ser utilizadas as chaves criptográficas dos titulares de

certificados emitidos pelas AC Banrisul, bem como as possíveis restrições cabíveis, em

conformidade com as aplicações definidas para os certificados correspondentes, estão

especificados em cada PC implementada.

As chaves privadas das AC Banrisul são utilizadas apenas para a assinatura dos certificados por

elas emitidos e de suas LCR.

1.6.2. Proteção da Chave Privada

Cada PC implementada especifica os requisitos específicos aplicáveis para a proteção das

chaves privadas das entidades titulares de certificados.

1.6.3. Controles de Segurança Computacional

A segurança computacional das AC Banrisul segue as Instruções Normativas do Banrisul S.A.

1.7. PERFIS DE CERTIFICADO E LCR

Cada PC implementada pelas AC Banrisul especifica os formatos dos certificados gerados e das

correspondentes LCR. São incluídas informações sobre os padrões adotados, seus perfis,

versões e extensões.

1.7.1. Perfil do Certificado

Todos os certificados emitidos pelas AC Banrisul estão em conformidade com o formato

definido pelo padrão ITU X.509.

1.7.1.1. Número(s) de versão

Todos os certificados emitidos pelas AC Banrisul implementam a versão 3 do padrão ITU

X.509, de acordo com o perfil estabelecido na RFC 3280.

1.7.1.2. Extensões de certificado

a) Autoridade Certificadora Banrisul Raiz

o basicConstraints: contém o campo cA=True. O campo pathLenConstraint não é

utilizado.

o keyUsage: contém apenas os bits keyCertSign(5) e cRLSign(6) ligados. Os demais

bits estão desligados.

o cRLDistributionPoints: contém os endereços de intranet e internet onde se obtém a

LCR emitida pela AC.

o Certificate Policies: especifica o Object Identifier (OID) da DPC da AC Raiz e o

atributo id-qt-cps com o endereço na Internet dessa DPC.

o SubjectKeyIdentifier: contém o hash da chave pública da AC Raiz.

b) Autoridade Certificadora Banrisul Intermediária 2


utilizado.





o Certificate Policies: especifica o Object Identifier (OID) da DPC da AC Banrisul

Intermediária 2 e o atributo id-qt-cps com o endereço na Internet dessa DPC.

o SubjectKeyIdentifier: contém o hash da chave pública da AC Banrisul

Intermediária-2.

c) Autoridade Certificadora Banrisul Internet ID


utilizado.






Internet ID e o atributo id-qt-cps com o endereço na Internet dessa DPC.

o SubjectKeyIdentifier: contém o hash da chave pública da AC Banrisul Internet ID.

1.7.1.3. Identificadores de algoritmo

O certificado das AC Banrisul é assinado com o uso do algoritmo de assinatura RSA (Rivest-

Shamir-Adleman), utilizando o algoritmo de hash SHA-1(Secure Hash Algorithm 1).

1.7.1.4. Formatos de nome

Os nomes do titular e do emissor dos certificados das AC Banrisul, constantes do campo

“Distinguished Name” (DN), seguem o padrão ITU X.500/ISO 9594, como abaixo descrito:


Titular:

C = BR

S = RS

L = Porto Alegre

O = Banrisul S.A.

CN = AC Banrisul Raiz

Emissor:

C = BR

S = RS

L = Porto Alegre

O = Banrisul S.A.



Titular:

C = BR

S = RS

L = Porto Alegre

O = Banrisul S.A.

CN = AC Banrisul Intermediaria 2

Emissor:

C = BR

S = RS

L = Porto Alegre

O = Banrisul S.A.



Titular:

C = BR

S = RS

L = Porto Alegre

O = Banrisul S.A.

CN = AC Banrisul Internet ID

Emissor:

C = BR

S = RS

L = Porto Alegre

O = Banrisul S.A.


1.7.1.5. Restrições de nome

Não são admitidos caracteres especiais ou de acentuação nos campos do DN.

1.7.1.6. OID (Object Identifier) da DPC

O OID desta DPC é 1.3.6.1.4.1.16870.2.1.1.

1.7.2. Perfil de LCR


A AC Raiz implementa a sua LCR conforme a versão 2 do padrão ITU X.509.

1.7.2.2. Extensões de LCR e de suas entradas

As LCR emitida pelas AC Banrisul implementam as seguintes extensões previstas na RFC

3280:

o AuthorityKeyIdentifier: contém o mesmo valor do campo “Subject Key Identifier”

do certificado da AC emissora da LCR;

o cRLNumber: contém um número seqüencial para cada LCR emitida.

2. DECLARAÇÃO DE POLÍTICAS DE CERTIFICADOS DAS AUTORIDADES

CERTIFICADORAS DA CADEIA BANRISUL

2.1. INTRODUÇÃO

2.1.1. Visão Geral

Esta Política de Certificado Digital refere-se aos Certificados emitidos pelas Autoridades

Certificadoras:

a) AC Banrisul Raiz – que emite certificados para as ACs intermediárias;

b) AC Banrisul Intermediária 2 – que emite certificados para aplicações, equipamentos e pessoas;

c) AC Banrisul Internet ID – que emite certificados para pessoas acessarem o Internet banking do

Banrisul.

2.1.2. Identificação

Esta Política de Certificado (a seguir designada simplesmente por "PC") descreve os

procedimentos e práticas das Autoridades Certificadoras da cadeia Banrisul (a seguir designadas

simplesmente por "AC Banrisul") e os usos relacionados aos certificados emitidos.

As Autoridades Certificadoras intermediárias da cadeia Banrisul utilizam o OID (Object

Identifier) a seguir para a sua PC:

a) AC Banrisul Intermediária 2 – 1.3.6.1.4.1.16870.2.2.2.1;

b) AC Banrisul Internet ID – 1.3.6.1.4.1.16870.2.2.101.1.

2.1.3. Comunidade e Aplicabilidade

2.1.3.1. Autoridade Certificadora (AC)

Esta PC se refere às AC Banrisul. As práticas e procedimentos de certificação das AC Banrisul

estão descritos na Declaração de Práticas de Certificação das AC Banrisul (a seguir designada

simplesmente por "DPC").

2.1.3.2. Autoridade de Registro (AR)

Os processos de recebimento, de validação e de encaminhamento de solicitações de emissão ou

de revogação de certificados digitais e de identificação de seus solicitantes são de competência

da Autoridade de Registro que está sob a responsabilidade da Unidade de Segurança da

Tecnologia da Informação.

2.1.3.3. Titulares de Certificado

Pessoa físicas ou jurídicas de direito público ou privado, nacionais ou internacionais, que

atendam aos requisitos desta PC podem ser Titulares de Certificado, para uso por pessoas

físicas, pessoas jurídicas, em equipamentos ou aplicações.

2.1.3.4. Aplicabilidade

Os certificados emitidos pela AC Banrisul Raiz têm sua utilização vinculada à certificação de

Autoridades Certificadoras intermediárias;

Os certificados emitidos pela AC Banrisul Intermediária 2 têm a sua utilização vinculada a

equipamento e aplicações que necessitem identificação de origem e criptografia de dados na

comunicação, além de identificação de pessoas físicas e jurídicas com a finalidade de acesso a

Web, correio eletrônico, transações eletrônicas, assinatura de documentos e acesso a

computadores e sistemas que exijam certificado digital.

Os certificados emitidos pela AC Banrisul Internet ID têm sua utilização vinculada à

identificação de pessoas físicas e jurídicas para acesso aos serviços de Internet Banking

oferecidos pelo Banrisul.

2.2. DISPOSIÇÕES GERAIS

2.2.1. Obrigações

Nos itens a seguir estão descritas as obrigações gerais das entidades envolvidas.

2.2.1.1. Obrigações das AC Banrisul

As obrigações das AC Banrisul são as abaixo relacionadas:

a) operar de acordo com sua DPC e com esta PC;

b) gerar e gerenciar seus pares de chaves criptográficas;

c) assegurar a proteção de suas chaves privadas;

d) notificar os seus usuários quando ocorrer: suspeita de comprometimento de sua chave, emissão

de novo par de chaves e correspondente certificado ou o encerramento de suas atividades;

e) distribuir os seus próprios certificados;

f) emitir, expedir e distribuir os certificados de usuários finais;

g) emitir, expedir e distribuir os certificados de autoridades certificadoras de nível subseqüente aos

seus;

h) Informar a emissão do certificado ao respectivo solicitante;

i) revogar os certificados por elas emitidos;

j) emitir, gerenciar e publicar suas Listas de Certificados Revogados (LCR);

k) publicar sua DPC e esta PC;

l) adotar as medidas de segurança e controle previstas em sua DPC e nesta PC;

m) adotar as medidas de segurança e controle previstas em sua DPC e nesta PC, envolvendo seus

processos, procedimentos e atividades;

n) manter a conformidade dos seus processos, procedimentos e atividades com a legislação vigente

e com as Instruções Normativas do Banrisul;

o) manter e garantir a integridade, o sigilo e a segurança das informações por ela tratadas;

p) Informar às terceiras partes e titulares de certificados acerca das garantias, coberturas,

condicionantes e limitações de responsabilidades da AC banrisul.

2.2.1.2. Obrigações das AR vinculadas

As obrigações das AR vinculadas são as abaixo relacionadas:

a) receber solicitações de emissão ou de revogação de certificados;

b) confirmar a identidade do solicitante e a validade da solicitação;

c) encaminhar a solicitação de emissão ou de revogação de certificado à respectiva AC Banrisul;

d) informar aos respectivos titulares a emissão ou a revogação de seus certificados;

e) disponibilizar os certificados emitidos aos seus respectivos solicitantes;

f) identificar e registrar todas as ações executadas;

g) obedecer no que couber estritamente à sua DPC e a esta PC, bem como respeitar a legislação

aplicável;

h) manter a conformidade dos seus processos, procedimentos e atividades com as normas, critérios,

práticas e regras estabelecidas pela AC Banrisul;

i) manter e garantir a segurança da informação por elas tratada.

2.2.1.3. Obrigações do Titular do Certificado

Constituem-se obrigações do titular de certificado emitido pelas AC Banrisul:

a) fornecer, de forma completa e precisa, todas as informações necessárias para sua identificação

e/ou a identificação do equipamento a ser certificado;

b) garantir a proteção e o sigilo de suas chaves privadas, senhas e dispositivos criptográficos;

c) utilizar os seus certificados e chaves privadas de forma apropriada, conforme o previsto nesta

PC;

d) conhecer os seus direitos e obrigações, contemplados pela DPC, pela PC correspondente e por

outros documentos aplicáveis;

e) informar a respectiva AC Banrisul qualquer comprometimento de sua chave privada e solicitar a

imediata revogação do certificado correspondente;

f) obedecer no que couber estritamente à sua DPC e a esta PC, bem como respeitar a legislação

aplicável e as obrigações contratuais assumidas perante a respectiva AC Banrisul e à AR

vinculada.

2.2.1.4. Direitos da Terceira Parte (Relying Party)

Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do certificado

digital. Constituem direitos e obrigações da terceira parte:

a) recusar a utilização do certificado para fins diversos dos previstos nesta PC;

b) verificar, a qualquer tempo, a validade do certificado. Certificados emitidos pelas AC Banrisul

são considerados válidos quando:

o não constar da LCR da AC emitente;

o não estiver expirado; e

o puder ser verificado com o uso de certificado válido da AC emitente.

2.2.1.5. Obrigações do Repositório das AC Banrisul

a) Disponibilizar, logo após a sua emissão, os certificados emitidos pelas AC Banrisul e as suas

LCR;

b) Estar disponível para consulta durante 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana;

e

c) Implementar os recursos necessários para a garantia da segurança dos dados nele armazenados.

2.2.2. Responsabilidades

2.2.2.1. Responsabilidades das AC Banrisul

As AC Banrisul respondem pelos danos a que derem causa.

2.2.2.2. Responsabilidades das AR vinculadas

A AR vinculada é responsável pelos danos a que der causa.

As AC Banrisul, responsáveis por esta PC, respondem solidariamente pelos atos das AR a ela

vinculadas.

2.2.2.3. Responsabilidades do titular do certificado

O titular do certificado é responsável pelas informações constantes do certificado que forneceu

para sua identificação e/ou do equipamento, bem como pela atualização das mesmas.

2.2.3. Publicação e Repositório

2.2.3.1. Publicação de informação das AC Banrisul e Repositórios

As AC Banrisul publicam e mantém disponíveis em seus sites:

a) AC Banrisul Raiz: http://ac.banrisul:8080

b) AC Banrisul Intermediária 2: http://ac.banrisul:8080

c) AC Banrisul Internet ID: http://ac.banrisul:8080

A disponibilidade mínima dos repositórios é 90,0% (noventa por cento do tempo), 24 (vinte e

quatro) horas por dia, 7 (sete) dias por semana, com as seguintes informações:

a) seu próprio certificado;

b) sua LCR;

c) sua DPC;

d) esta PC.

2.2.3.2. Freqüência de publicação

A PC e DPC são mantidas atualizadas,.A LCR tem a sua freqüência de publicação estipulada

em 30 minutos.

2.2.3.3. Controles de acesso

Não há restrições para o acesso para leitura da DPC, desta PC e das LCR.

Publicações e alterações nos respectivos documentos são de responsabilidade da Unidade de

Segurança da Tecnologia da Informação.

2.2.3.4. Auditoria de conformidade

As AC Banrisul atuam em conformidade com os procedimentos descritos nesta PC

Todos os procedimentos e processos definidos pelas AC Banrisul são sujeitos a auditoria

realizada pela Auditoria do Banrisul.

2.2.3.5. Tópicos cobertos pela auditoria

As auditorias de conformidade verificam todos os aspectos relacionados com a emissão e o

gerenciamento de certificados digitais, incluindo o controle dos processos de solicitação,

identificação, autenticação, geração, publicação, distribuição, renovação e revogação de

certificados.

Os tópicos cobertos pela auditoria de conformidade incluem, dentre outros:

a) Política de Segurança;

b) Segurança física;

c) Administração dos serviços;

d) PC e DPC utilizadas;

e) Documentos emitidos;

f) Considerações de sigilo.

2.2.4. Sigilo

As chaves privadas de assinatura digital das AC Banrisul foram geradas e são mantidas pela

Unidade de Segurança da Tecnologia da Informação, armazenadas em hardware seguro que

garantem a sua proteção.

Os titulares de certificados emitidos pelas AC Banrisul são responsáveis pela geração,

manutenção e pela garantia do sigilo de suas respectivas chaves privadas, bem pela divulgação

ou utilização indevidas dessas mesmas chaves.

2.2.4.1. Informações sigilosas

As AC Banrisul e as AR vinculadas tratam como confidenciais os dados fornecidos pelo

solicitante que não constem no certificado. Contudo, tais dados não são considerados

confidenciais quando:

a) Estejam na posse legítima das AC Banrisul ou da AR vinculada antes de seu fornecimento pelo

titular ou o titular autorize formalmente a sua divulgação;

b) Posteriormente ao seu fornecimento pelo titular, sejam obtidos ou possam ter sido obtidos

legalmente de terceiro(s) com direitos legítimos para divulgação sua sem quaisquer restrições

para tal;

c) Sejam requisitados por determinação judicial ou governamental.

2.2.4.2. Divulgação de informação de revogação e suspensão de certificado

As AC Banrisul disponibilizam permanentemente em seu site, com atualização definida nesta

PC, relação de certificados por ela emitidos que foram revogados ou suspensos.

2.2.5. Direitos de Propriedade Intelectual

A emissão do certificado não implica a transferência, cessão ou licença de direitos de

propriedade intelectual de softwares, certificados, políticas, especificações de práticas e

procedimentos, nomes, chaves criptográficas e outros das AC Banrisul ou das AR vinculadas

para o titular do certificado.

2.3. IDENTIFICAÇÃO E AUTENTICAÇÃO

2.3.1. Registro Inicial

As AR vinculadas efetuam a identificação de uma organização e autenticação da identidade de

um indivíduo por meio da verificação da validade dos documentos de identificação fornecidos.

2.3.1.1. Tipos de nomes

As AC Banrisul emitem certificados com nomes que permitam a identificação unívoca. Para

isso utiliza o "Distinguished Name" do padrão ITU X.500, endereços de correio eletrônico ou

endereços de página Web (URL).

2.3.1.2. Necessidade de nomes significativos

As AC Banrisul fazem uso de nomes significativos que possibilitam determinar a identidade da

pessoa ou organização a que se referem, para a identificação dos titulares dos certificados

emitidos pelas AC Banrisul

2.3.1.3. Unicidade de nomes

Os identificadores do tipo "Distinguished Name" (DN) são únicos para cada entidade titular de

certificado, no âmbito das AC Banrisul. Números ou letras adicionais podem ser incluídos ao

nome de cada entidade para assegurar a unicidade do campo.

2.3.1.4. Autenticação da identidade de uma organização

No caso de emissão de certificados para organizações que não fazem parte do Grupo Banrisul, a

confirmação da identidade da pessoa jurídica é feita com base em, no mínimo, os seguintes

documentos:

a) registro comercial, no caso de empresa individual;

b) ato constitutivo, estatuto ou contrato social em vigor, devidamente registrado, em se tratando de

sociedades comerciais ou civis, e, no caso de sociedades por ações, acompanhado de

documentos de eleição de seus administradores;

c) prova de inscrição no Cadastro Nacional de Pessoas Jurídicas (CNPJ).

Solicitações de certificados são realizadas pela pessoa física legalmente responsável. Cabe à AR

vinculada às AC Banrisul verificar a autorização atribuída ao solicitante, bem como a presença

dos documentos exigidos.

A pessoa física responsável por um certificado que tenha como titular uma pessoa jurídica

deverá ser também identificada, na forma descrita no item seguinte.

2.3.1.5. Autenticação da identidade de um indivíduo

A confirmação da identidade do responsável pelo certificado é realizada com base em, no

mínimo, apresentação de um documento oficial de identidade.

2.3.1.6. Autenticação de um domínio

A confirmação de um domínio de empresas fora do Grupo Banrisul é feita mediante

confirmação junto aos órgãos de registro de domínio nacionais e internacionais.

O domínio a ser certificado deverá estar registrado para o titular do certificado digital. Caso

contrário, a Pessoa Jurídica ou Física detentora do endereço deverá apresentar uma declaração

de cessão de uso da URL, a qual autoriza o titular a utilizar o domínio. Esta declaração deverá

ser registrada em cartório e ter firma reconhecida.

2.3.2. Geração de novo par de chaves antes da expiração do atual

Devem ser observados os mesmos requisitos e procedimentos exigidos para a solicitação inicial

do certificado, na forma e no prazo estabelecidos,

2.3.3. Geração de novo par de chaves após revogação

Após a revogação do certificado, o solicitante pode solicitar um novo certificado, enviando à

AR vinculada uma solicitação, na forma, condições e prazo estabelecidos para a solicitação

inicial de um certificado.

2.3.4. Solicitação de Revogação

A revogação do certificado é feita por solicitação do titular, ou pessoa com poderes de

representação do titular, ou por iniciativa da AC emissora.

2.4. REQUISITOS OPERACIONAIS

2.4.1. Solicitação de Certificado

A solicitação de emissão de um certificado digital é feita mediante a AR vinculada.

2.4.2. Emissão de Certificado

Somente após e na hipótese de validação conclusiva, pelas AR vinculadas, dos dados fornecidos

pelo solicitante do certificado digital as AC Banrisul procedem à emissão e assinatura do

certificado.

Um certificado é considerado válido a partir do momento de sua emissão.

2.4.3. Aceitação de Certificado

O uso do certificado pelo seu titular caracteriza sua aceitação do mesmo. A aceitação implica

que o titular reconhece e se responsabiliza pela veracidade dos dados contidos no certificado.

2.4.4. Revogação, Suspensão e Reativação de Certificado

2.4.4.1. Circunstâncias para revogação

Um certificado é obrigatoriamente revogado nas seguintes circunstâncias:

a) quando constatada emissão imprópria ou defeituosa do mesmo;

b) quando for necessária a alteração de qualquer informação constante no mesmo;

c) no caso de perda, roubo, modificação, acesso indevido ou comprometimento da chave privada

correspondente ou da sua mídia armazenadora; ou

d) no caso de revogação do certificado da respectiva AC Banrisul.

2.4.4.2. Circunstâncias para suspensão

Um certificado é suspenso nas seguintes circunstâncias:

a) Por solicitação do titular;

b) Por determinação da AC.

2.4.4.3. Circunstâncias para reativação

Um certificado é reativado nas seguintes circunstâncias:

a) Por solicitação do titular;

b) Por determinação da AC.

2.4.4.4. Freqüência de emissão de LCR

A freqüência de emissão da LCR obedece os critérios definidos nesta PC.

2.4.4.5. Requisitos para verificação de LCR

Todo certificado deve ter a sua validade verificada, na respectiva LCR, antes de ser utilizado.

A autenticidade da LCR deve também ser confirmada por meio das verificações da assinatura da

AC Banrisul emitente e do período de validade da LCR.

2.4.5. Requisitos especiais para o caso de comprometimento de chave

Caso ocorra perda, roubo, modificação, acesso indevido ou comprometimento de chave privada

ou de sua mídia armazenadora, o titular deve notificar imediatamente a AC Banrisul emitente,

solicitando a revogação de seu certificado.

2.4.6. Proteção de arquivo

Os registros arquivados das AC Banrisul são classificados e armazenados com requisitos de

segurança compatíveis com essa classificação e com a Política de Segurança do Banrisul S.A..

2.4.7. Comprometimento e Recuperação de Desastre

As AC Banrisul segue o Plano de Continuidade de Negócio, estabelecido pelo Banrisul S.A..

2.5. CONTROLES DE SEGURANÇA FÍSICA, PROCEDIMENTAL E DE PESSOAL

Os referidos controles são implementados pelas AC Banrisul e pelas AR vinculadas para

executar de modo seguro suas funções de geração de chaves, identificação, certificação,

auditoria e arquivamento de registros.

Os controles implementados atendem as Instruções Normativas aplicáveis e mantidas pelo

Banrisul S.A..

2.6. CONTROLES TÉCNICOS DE SEGURANÇA

2.6.1. Geração e Instalação do Par de Chaves

2.6.1.1. Geração do par de chaves

Quando o titular de certificado é uma pessoa física, esta é a responsável pela geração dos pares

de chaves criptográficas.

Quando o titular de certificado é uma pessoa jurídica, esta indica por seu(s) representante(s)

legal(s) a pessoa responsável pela geração dos pares de chaves criptográficas e pelo uso do

certificado.

Ao ser gerada, a chave privada da entidade titular é gravada cifrada, por algoritmo simétrico

como 3-DES, IDEA, SAFER+ ou outros e armazenada em software, mídia armazenadora, ou

hardware criptográfico com certificação internacional para este fim.

O meio de armazenamento da chave privada deve assegurar, por meios técnicos e

procedimentais adequados, no mínimo, que:

a) a chave privada é única e seu sigilo é suficientemente assegurado;

b) a chave privada utilizada na geração de uma assinatura não pode, com uma segurança razoável,

ser deduzida e está protegida contra falsificações realizadas através das tecnologias atualmente

disponíveis;

c) a chave privada pode ser eficazmente protegida pelo legítimo titular contra a utilização por

terceiros.

Esse meio de armazenamento não deve modificar os dados a serem assinados, nem impedir que

esses dados sejam apresentados ao signatário antes do processo de assinatura.

2.6.1.2. Entrega da chave privada à entidade titular

A geração e a guarda de uma chave privada é de responsabilidade exclusiva do titular do

certificado correspondente.

2.6.1.3. Entrega da chave pública para emissor de certificado

As chaves públicas são disponibilizadas em seus respectivos certificados.

2.6.1.4. Disponibilização de chave pública das AC Banrisul para usuários

As chaves públicas das AC Banrisul são disponibilizadas em seus respectivos certificados,

publicados no site da AC.

2.6.1.5. Tamanhos de chave

Os tamanhos admitidos para chaves criptográficas são de 1024 e 2048 bits.

2.6.1.6. Geração de parâmetros de chaves assimétricas

A geração de parâmetros de chaves assimétricas adotados deve estar em conformidade com o

padrão FIPS 140-1 ou equivalente.

2.6.1.7. Propósitos de uso de chave (conforme o campo "key usage" na X.509 v3)

Os certificados das AC Banrisul têm ativados os bits keyCertSign(5) e cRLSign(6). Os demais


As chaves privadas das AC Banrisul são utilizadas apenas para a assinatura dos certificados por

elas emitidos e de suas LCR.

2.6.1.8. Proteção da Chave Privada

As chaves privadas das AC Banrisul trafegam cifradas entre o módulo gerador e a mídia

utilizada para o seu armazenamento.

2.6.2. Controles de Segurança Computacional

A segurança computacional das AC Banrisul segue as Instruções Normativas do Banrisul S.A.

2.7. PERFIS DE CERTIFICADO E LCR

Esta PC especifica os padrões de Certificados e LCR adotados pelas AC Banrisul

2.7.1. Perfil do Certificado

Todos os certificados emitidos pelas AC Banrisul estão em conformidade com o formato

definido pelo padrão ITU X.509.

2.7.2. Número(s) de versão

Todos os certificados emitidos pelas AC Banrisul implementam a versão 3 do padrão ITU

X.509, de acordo com o perfil estabelecido na RFC 3280.

2.7.2.1. Extensões de certificado



utilizado.





o Certificate Policies: especifica o Object Identifier (OID) da DPC da AC Raiz e o

atributo id-qt-cps com o endereço na Internet de sua DPC.

o SubjectKeyIdentifier: contém o hash da chave pública da AC Raiz.



utilizado.






Intermediária 2 e o atributo id-qt-cps com o endereço na Internet de sua DPC.

o SubjectKeyIdentifier: contém o hash da chave pública da AC Banrisul

Intermediária-2.



utilizado.






Internet ID e o atributo id-qt-cps com o endereço na Internet de sua DPC.

o SubjectKeyIdentifier: contém o hash da chave pública da AC Banrisul Internet ID.

2.7.2.2. Identificadores de algoritmo

O certificado das AC Banrisul é assinado com o uso do algoritmo de assinatura RSA (Rivest-

Shamir-Adleman), utilizando o algoritmo de hash SHA-1(Secure Hash Algorithm 1).

2.7.2.3. Formatos de nome

Os nomes do titular e do emissor dos certificados das AC Banrisul, constantes do campo

“Distinguished Name” (DN), seguem o padrão ITU X.500/ISO 9594, como abaixo descrito:


Titular:

C = BR

S = RS

L = Porto Alegre

O = Banrisul S.A.


Emissor:

C = BR

S = RS

L = Porto Alegre

O = Banrisul S.A.



Titular:

C = BR

S = RS

L = Porto Alegre

O = Banrisul S.A.


Emissor:

C = BR

S = RS

L = Porto Alegre

O = Banrisul S.A.



Titular:

C = BR

S = RS

L = Porto Alegre

O = Banrisul S.A.

CN = AC Banrisul Internet ID

Emissor:

C = BR

S = RS

L = Porto Alegre

O = Banrisul S.A.


2.7.2.4. Restrições de nome

Não são admitidos caracteres especiais ou de acentuação nos campos do DN.

2.7.2.5. OID (Object Identifier) da PC

As Autoridades Certificadoras intermediárias da cadeia Banrisul utilizam o OID (Object

Identifier) a seguir para a sua PC:

a) AC Banrisul Intermediária 2 – 1.3.6.1.4.1.16870.2.2.2.1;

b) AC Banrisul Internet ID – 1.3.6.1.4.1.16870.2.2.101.1.

2.7.3. Perfil de LCR


As AC Banrisul implementam a sua LCR conforme a versão 2 do padrão ITU X.509.

2.7.3.2. Extensões de LCR e de suas entradas

As LCR emitidas pelas AC Banrisul implementam as seguintes extensões previstas na RFC

3280:

a) AuthorityKeyIdentifier: contém o mesmo valor do campo “Subject Key Identifier” do certificado

da AC emissora da LCR;

b) cRLNumber: contém um número seqüencial para cada LCR emitida.

2.8. ADMINISTRAÇÃO DE ESPECIFICAÇÃO

Este documento e outros correlatos são administrados pela Unidade de Segurança da Tecnologia

da informação.

declaraÇÃo de prÁticas de certificaÇÃo e polÍticas de ... · esta declaração de práticas...

Documents