dpc design

51
Declaração de Práticas de Certificação da Autoridade Certificadora Certisign para a Secretaria da Receita Federal do Brasil DPC da AC CERTISIGN RFB Versão 6.2 - 30/11/2014

Upload: marilia-cosmos

Post on 17-Aug-2015

262 views

Category:

Documents


5 download

DESCRIPTION

Guia de Design de interiores

TRANSCRIPT

Declarao de Prticas de Certificao da Autoridade Certificadora Certisign para a Secretaria da Receita Federal do Brasil DPC da AC CERTISIGN RFB Verso6.2 - 30/11/2014 DPC da AC CERTISIGN RFB - V. 6.2 2/51 Sumrio 1.INTRODUO ................................................................................................................ 6 1.1.VISO GERAL .............................................................................................................. 6 1.2.IDENTIFICAO ........................................................................................................... 6 1.3.COMUNIDADE E APLICABILIDADE ............................................................................... 6 1.3.1.Autoridades Certificadoras .............................................................................. 6 1.3.2.Autoridades de Registro .................................................................................. 6 1.3.3.Prestador de Servio de Suporte ...................................................................... 7 1.3.4.Titulares de Certificado ................................................................................... 7 1.3.5.Aplicabilidade ................................................................................................ 7 1.4.DADOS DE CONTATO ................................................................................................... 8 2.DISPOSIES GERAIS ................................................................................................. 8 2.1.OBRIGAES E DIREITOS ............................................................................................. 8 2.1.1.Obrigaes da AC CERTISIGN RFB ................................................................... 8 2.1.2.Obrigaes das AR ......................................................................................... 9 2.1.3.Obrigaes do Titular do Certificado ............................................................... 10 2.1.4.Direitos da Terceira Parte (Relying Party) ....................................................... 10 2.1.5.Obrigaes do Repositrio ............................................................................. 10 2.2.RESPONSABILIDADES ................................................................................................. 11 2.2.1.Responsabilidades da AC CERTISIGN RFB ....................................................... 11 2.2.2.Responsabilidades das AR ............................................................................. 11 2.3.RESPONSABILIDADE FINANCEIRA .............................................................................. 11 2.3.1.Indenizaes devidas pela terceira parte(Relying Party) ................................... 11 2.3.2.Relaes Fiducirias ..................................................................................... 11 2.3.3.Processos Administrativos ............................................................................. 11 2.4.INTERPRETAO E EXECUO ................................................................................... 11 2.4.1.Legislao ................................................................................................... 11 2.4.2.Forma de interpretao e notificao .............................................................. 12 2.4.3.Procedimentos da soluo de disputa ............................................................. 12 2.5.TARIFAS DE SERVIO ................................................................................................. 12 2.5.1.Tarifas de emisso e renovao de certificados ................................................ 12 2.5.2.Tarifas de acesso ao certificado ..................................................................... 12 2.5.3.Tarifas de revogao ou de acesso informao de status ................................ 12 2.5.4.Tarifas para outros servios .......................................................................... 12 2.5.5.Poltica de reembolso ................................................................................... 12 2.6.PUBLICAO E REPOSITRIO ..................................................................................... 12 2.6.1.Publicao de informao da AC CERTISIGN RFB ............................................. 12 2.6.2.Freqncia de publicao .............................................................................. 13 2.6.3.Controles de acesso ..................................................................................... 13 2.6.4.Repositrios ................................................................................................ 13 2.7.FISCALIZAO E AUDITORIA DE CONFORMIDADE ..................................................... 13 2.8.SIGILO ....................................................................................................................... 14 2.8.1.Disposies gerais ....................................................................................... 14 2.8.2.Tipos de informaes sigilosas ....................................................................... 15 2.8.3.Tipos de informaes no-sigilosas ................................................................ 15 2.8.4.Divulgao de informao de revogao ou suspenso de certificado ................. 15 2.8.5.Quebra de sigilo por motivos legais ................................................................ 15 2.8.6.Informaes a terceiros ................................................................................ 16 2.8.7.Divulgao por solicitao do Titular .............................................................. 16 2.8.8.Outras circunstncias de divulgao de informao .......................................... 16 2.9.DIREITOS DE PROPRIEDADE INTELECTUAL ................................................................ 16 3.IDENTIFICAO E AUTENTICAO .................................................................... 16 DPC da AC CERTISIGN RFB - V. 6.2 3/51 3.1.REGISTRO INICIAL ..................................................................................................... 16 3.1.1.Disposies Gerais ....................................................................................... 16 3.1.2.Tipos de nomes ........................................................................................... 17 3.1.3.Necessidade de nomes significativos .............................................................. 18 3.1.4.Regras para interpretao de vrios tipos de nomes ......................................... 18 3.1.5.Unicidade de nomes ..................................................................................... 18 3.1.6.Procedimento para resolver disputa de nomes ................................................. 18 3.1.7.Reconhecimento, autenticao e papel de marcas registradas ........................... 18 3.1.8.Mtodo para comprovar a posse de chave privada ........................................... 18 3.1.9.Autenticao da identidade de um indivduo .................................................... 18 3.1.10.Autenticao da identidade de uma organizao .............................................. 20 3.1.11.Autenticao da identidade de equipamento ou aplicao ................................. 21 3.2.GERAO DE NOVO PAR DE CHAVES ANTES DA EXPIRAO DO ATUAL ...................... 22 3.3.GERAO DE NOVO PAR DE CHAVES APS EXPIRAO OU REVOGAO .................... 22 3.4.SOLICITAO DE REVOGAO .................................................................................. 22 4.REQUISITOS OPERACIONAIS ................................................................................. 22 4.1.SOLICITAO DE CERTIFICADO ................................................................................. 22 4.2.EMISSO DE CERTIFICADO ........................................................................................ 23 4.3.ACEITAO DE CERTIFICADO .................................................................................... 23 4.4.SUSPENSO E REVOGAO DE CERTIFICADO ............................................................ 23 4.4.1.Circunstncias para revogao ...................................................................... 23 4.4.2.Quem pode solicitar revogao ...................................................................... 24 4.4.3.Procedimento para solicitao de revogao .................................................... 24 4.4.4.Prazo para solicitao de revogao ............................................................... 25 4.4.5.Circunstncias para suspenso ...................................................................... 25 4.4.6.Quem pode solicitar suspenso ...................................................................... 25 4.4.7.Procedimento para solicitao de suspenso ................................................... 25 4.4.8.Limites no perodo de suspenso ................................................................... 25 4.4.9.Freqncia de emisso de LCR ...................................................................... 25 4.4.10.Requisitos para verificao de LCR ................................................................. 25 4.4.11.Disponibilidade para revogao ou verificao de status on-line ......................... 26 4.4.12.Requisitos para verificao de revogao on-line ............................................. 26 4.4.13.Outras formas disponveis para divulgao de revogao .................................. 26 4.4.14.Requisitos para verificao de outras formas de divulgao de revogao ........... 26 4.4.15.Requisitos especiais para o caso de comprometimento de chave ........................ 26 4.5.PROCEDIMENTOS DE AUDITORIA DE SEGURANA ..................................................... 26 4.5.1.Tipos de eventos registrados ......................................................................... 26 4.5.2.Freqncia de auditoria de registros (logs)...................................................... 27 4.5.3.Perodo de reteno para registros (logs) de auditoria ...................................... 28 4.5.4.Proteo de registro (log) de auditoria ............................................................ 28 4.5.5.Procedimentos para cpia de segurana (backup) de registro (log) de auditoria... 28 4.5.6.Sistema de coleta de dados de auditoria ......................................................... 28 4.5.7.Notificao de agentes causadores de eventos ................................................ 28 4.5.8.Avaliaes de vulnerabilidade ........................................................................ 28 4.6.ARQUIVAMENTO DE REGISTROS ................................................................................ 29 4.6.1.Tipos de registros arquivados ........................................................................ 29 4.6.2.Perodo de reteno para arquivo................................................................... 29 4.6.3.Proteo de arquivo ..................................................................................... 29 4.6.4.Procedimentos para cpia de segurana (backup) de arquivo ............................ 29 4.6.5.Requisitos para datao (time-stamping) de registros ...................................... 29 4.6.6.Sistema de coleta de dados de arquivo ........................................................... 29 4.6.7.Procedimentos para obter e verificar informao de arquivo .............................. 30 4.7.TROCA DE CHAVE ...................................................................................................... 30 4.8.COMPROMETIMENTO E RECUPERAO DE DESASTRE................................................ 30 4.8.1.Recursos computacionais, software, e dados corrompidos ................................. 30 4.8.2.Certificado de entidade revogado ................................................................ 30 4.8.3.Chave da entidade comprometida ............................................................... 30 DPC da AC CERTISIGN RFB - V. 6.2 4/51 4.8.4.Segurana dos recursos aps desastre natural ou de outra natureza .................. 31 4.8.5.Atividades das Autoridades de Registro .......................................................... 31 4.9.EXTINO DOS SERVIOS DE AC, AR OU PSS ........................................................... 31 5.CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL32 5.1.CONTROLES FSICOS .................................................................................................. 32 5.1.1.Construo e localizao das instalaes ......................................................... 32 5.1.2.Acesso fsico nas instalaes de AC ................................................................ 33 5.1.3.Energia e ar condicionado nas instalaes de AC .............................................. 35 5.1.4.Exposio gua nas instalaes de AC ......................................................... 36 5.1.5.Preveno e proteo contra incndio nas instalaes de AC ............................. 36 5.1.6.Armazenamento de mdia nas instalaes de AC .............................................. 36 5.1.7.Destruio de lixo nas instalaes de AC ......................................................... 36 5.1.8.Instalaes de segurana (backup) externas (off-site) para AC .......................... 36 5.1.9.Instalaes tcnicas de AR ............................................................................ 37 5.2.CONTROLES PROCEDIMENTAIS .................................................................................. 37 5.2.1.Perfis qualificados ........................................................................................ 37 5.2.2.Nmero de pessoas necessrio por tarefa ....................................................... 38 5.2.3.Identificao e autenticao para cada perfil ................................................... 38 5.3.CONTROLES DE PESSOAL ........................................................................................... 38 5.3.1.Antecedentes, qualificao, experincia e requisitos de idoneidade .................... 38 5.3.2.Procedimentos de verificao de antecedentes ................................................ 39 5.3.3.Requisitos de treinamento ............................................................................ 39 5.3.4.Freqncia e requisitos para reciclagem tcnica ............................................... 39 5.3.5.Freqncia e seqncia de rodzio de cargos ................................................... 39 5.3.6.Sanes para aes no autorizadas .............................................................. 39 5.3.7.Requisitos para contratao de pessoal .......................................................... 40 5.3.8.Documentao fornecida ao pessoal ............................................................... 40 6.CONTROLES TCNICOS DE SEGURANA .......................................................... 40 6.1.GERAO E INSTALAO DO PAR DE CHAVES .......................................................... 40 6.1.1.Gerao do par de chaves ............................................................................. 40 6.1.2.Entrega da chave privada entidade titular .................................................... 41 6.1.3.Entrega da chave pblica para emissor de certificado ....................................... 41 6.1.4.Disponibilizao de chave pblica da AC para usurios ..................................... 41 6.1.5.Tamanhos de chave ..................................................................................... 41 6.1.6.Gerao de parmetros de chaves assimtricas ............................................... 41 6.1.7.Verificao da qualidade dos parmetros ........................................................ 41 6.1.8.Gerao de chave por hardware ou software ................................................... 41 6.1.9.Propsitos de uso de chave (conforme o campo key usage na X.509 v3) .......... 42 6.2.PROTEO DA CHAVE PRIVADA ................................................................................ 42 6.2.1.Padres para mdulo criptogrfico ................................................................. 42 6.2.2.Controle n de m para chave privada ............................................................ 42 6.2.3.Recuperao (escrow) de chave privada ......................................................... 43 6.2.4.Cpia de segurana (backup) de chave privada ............................................... 43 6.2.5.Arquivamento de chave privada ..................................................................... 43 6.2.6.Insero de chave privada em mdulo criptogrfico ......................................... 43 6.2.7.Mtodo de ativao de chave privada ............................................................. 43 6.2.8.Mtodo de desativao de chave privada ........................................................ 43 6.2.9.Mtodo de destruio de chave privada .......................................................... 44 6.3.OUTROS ASPECTOS DO GERENCIAMENTO DO PAR DE CHAVES .................................. 44 6.3.1.Arquivamento de chave pblica ..................................................................... 44 6.3.2.Perodos de uso para as chaves pblica e privada ............................................ 44 6.4.DADOS DE ATIVAO ................................................................................................ 45 6.4.1.Gerao e instalao dos dados de ativao .................................................... 45 6.4.2.Proteo dos dados de ativao ..................................................................... 45 6.4.3.Outros aspectos dos dados de ativao .......................................................... 45 DPC da AC CERTISIGN RFB - V. 6.2 5/51 6.5.CONTROLES DE SEGURANA COMPUTACIONAL......................................................... 45 6.5.1.Requisitos Tcnicos Especficos de Segurana Computacional ............................ 45 6.5.2.Classificao da segurana computacional ....................................................... 46 6.5.3.Controles de Segurana para as Autoridades de Registro .................................. 46 6.6.CONTROLES TCNICOS DO CICLO DE VIDA ................................................................ 47 6.6.1.Controles de desenvolvimento de sistema ....................................................... 47 6.6.2.Controles de gerenciamento de segurana ...................................................... 47 6.6.3.Classificaes de segurana de ciclo de vida .................................................... 47 6.6.4.Controles na Gerao de LCR ........................................................................ 47 6.7.CONTROLES DE SEGURANA DE REDE ....................................................................... 47 6.7.1.Diretrizes Gerais .......................................................................................... 47 6.7.2.Firewall ...................................................................................................... 48 6.7.3.Sistema de deteco de intruso (IDS) ........................................................... 48 6.7.4.Registro de acessos no-autorizados rede .................................................... 48 6.8.CONTROLES DE ENGENHARIA DO MDULO CRIPTOGRFICO..................................... 48 7.PERFIS DE CERTIFICADO E LCR ........................................................................... 49 7.1.DIRETRIZES GERAIS ................................................................................................... 49 7.2.PERFIL DO CERTIFICADO ........................................................................................... 49 7.2.1.Nmero de verso ....................................................................................... 49 7.2.2.Extenses de certificado ............................................................................... 49 7.2.3.Identificadores de algoritmo .......................................................................... 49 7.2.4.Formatos de nome ....................................................................................... 49 7.2.5.Restries de nome ...................................................................................... 49 7.2.6.OID (Object Identifier) de DPC ...................................................................... 49 7.2.7.Uso da extenso Policy Constraints .............................................................. 50 7.2.8.Sintaxe e semntica dos qualificadores de poltica ........................................... 50 7.2.9.Semntica de processamento para extenses crticas ....................................... 50 7.3.PERFIL DE LCR .......................................................................................................... 50 7.3.1.Nmero(s) de verso ................................................................................... 50 7.3.2.Extenses de LCR e de suas entradas ............................................................. 50 8.ADMINISTRAO DE ESPECIFICAO .............................................................. 50 8.1.PROCEDIMENTOS DE MUDANA DE ESPECIFICAO ................................................... 50 8.2.POLTICAS DE PUBLICAO E NOTIFICAO .............................................................. 50 8.3.PROCEDIMENTOS DE APROVAO .............................................................................. 51 9.DOCUMENTOS REFERENCIADOS ......................................................................... 51 DPC da AC CERTISIGN RFB - V. 6.2 6/51 Declarao de Prticas de Certificao da Autoridade Certificadora Certisign para a Secretaria da Receita Federal do Brasil 1.INTRODUO 1.1.Viso Geral 1.1.1.EstaDeclaraodePrticasdeCertificao(DPC)descreveasprticaseos procedimentosempregadospelaAutoridadeCertificadoraCertisignparaaSecretariada ReceitaFederaldoBrasil(ACCERTISIGNRFB)integrantenaInfraestruturadeChaves Pblicas Brasileira (ICP-Brasil) na execuo dos seus servios de certificao digital.1.1.2. A estrutura desta DPC est baseada no DOC-ICP-05 do Comit Gestor da ICP-Brasil RequisitosMnimosparaasDeclaraesdePrticadeCertificaodasAutoridades CertificadorasdaICP-Brasil.AsrefernciasaformulriospresentesnestaDPCdeveroser entendidas tambm como referncias a outras formas que a AC CERTISIGN RFB ou entidades a ela vinculadas possa vir a adotar.1.1.3.AACCERTISIGNRFBestcertificadaemnvelimediatamentesubseqenteaoda Autoridade Certificadora da Secretaria da Receita Federal do Brasil (AC-RFB) certificada pela ACRaizdaICP-Brasil.OcertificadodaACCERTISIGNRFBcontmachavepblica correspondente sua chave privada, utilizada para assinar os certificados de assinatura A1, A3 e A4 e para assinar a sua Lista de Certificados Revogados (LCR).1.1.4. Para regulamentar usos especficos dos certificados emitidos pela a AC CERTISIGN RFB sopublicadasPolticasdeCertificadodisponveisempginaweb(http://icp-brasil.certisign.com.br/repositorio/ac-certisign-rfb/index.htm). 1.2.Identificao EstaDPCchamadaDeclaraodePrticasdeCertificaodaAutoridadeCertificadora CertisignparaaSecretariadaReceitaFederaldoBrasilereferidacomo"DPCdaAC CERTISIGN RFB", cujo OID (object identifier) 2.16.76.1.1.15. 1.3.Comunidade e Aplicabilidade 1.3.1.Autoridades Certificadoras Esta DPC refere-se AC CERTISIGN RFB, no mbito da ICP-Brasil.1.3.2.Autoridades de Registro 1.3.2.1.Osdadosaseguir,referentessAutoridadesdeRegistroARutilizadaspelaAC CERTISIGNRFBparaosprocessosderecebimento,validaoeencaminhamentode solicitaesdeemissoouderevogaodecertificadosdigitaisedeidentificaodeseus solicitantes,sopublicadosemserviodediretrioe/ouempginawebdaACCERTISIGN RFB(https://www.certisign.com.br/certisign/repositorios/icp-brasil/autoridades-registro/ac-certisign-rfb): a)relaodetodasasARcredenciadas,cominformaessobreasPCque implementam. b)paracadaARcredenciada,osendereosdetodasasinstalaestcnicas, autorizadas pela AC Raiz a funcionar; DPC da AC CERTISIGN RFB - V. 6.2 7/51 c)para cada AR credenciada, relao de eventuais postos provisrios autorizados pela AC Raiz a funcionar, com data de criao e encerramento de atividades; d)relaodeARquetenhamsedescredenciadodacadeiadaACCERTISIGNRFB, com respectiva data do descredenciamento; e)relao de instalaes tcnicas de AR credenciada que tenham deixado de operar, com respectiva data de encerramento das atividades; f)acordos operacionais celebrados pelas AR vinculadas com outras AR da ICP-Brasil, se for o caso. 1.3.2.2. A AC CERTISIGN RFB mantm as informaes acima sempre atualizadas. 1.3.3.Prestador de Servio de Suporte 1.3.3.1.ArelaodetodososPrestadoresdeServiodeSuportePSSvinculados diretamente a AC CERTISIGN RFB e/ou por intermdio de suas AR publicada em servio de diretrioe/ouempginawebdaACCERTISIGNRFB(http://icp-brasil.certisign.com.br/repositorio/ac-certisign-rfb/index.htm). 1.3.3.2.PSSsoentidadesutilizadaspelaACe/ousuasARparadesempenharatividade descritanestaDPCounasPCeseclassificamemtrscategorias,conformeotipode atividade prestada: a)disponibilizao de infraestrutura fsica e lgica;b)disponibilizao de recursos humanos especializados; ou c)disponibilizaodeinfraestruturafsicaelgicaederecursoshumanos especializados. 1.3.3.3. A AC CERTISIGN RFB mantm as informaes acima sempre atualizadas. 1.3.4.Titulares de Certificado Pessoas fsicas ou jurdicas inscritas no CPF ou no CNPJ podem ser Titulares de Certificado e-CPFou e-CNPJ Tipo A1, A3 e A4 , desde que no enquadradas na situao cadastral de CANCELADA(pessoafsica)ounacondiodeBAIXADA,INAPTA,SUSPENSAou CANCELADA (pessoa jurdica), conforme o disposto nos incisos I e II do art. 6. da Instruo Normativa RFB n. 1077, de 29 de Outubro de 2010. Nocasodecertificadoemitidoparaequipamentoouaplicao,otitularserapessoa jurdica solicitante do certificado. Nocasodecertificadoemitidoparapessoajurdica,designadapessoafsicacomo responsvelpelocertificado,queseradetentoradachaveprivada.Obrigatoriamente,o Responsvelpelocertificadoomesmoresponsvelpelapessoajurdicacadastradono CNPJ da RFB. 1.3.5.Aplicabilidade A AC CERTISIGN RFB implementa as seguintes Polticas de Certificado Digital: Para Certificados de Assinatura Digital: PolticadeCertificadodeAssinaturaDigitalTipoA1daAutoridadeCertificadora CERTISIGNparaSecretariadaReceitaFederaldoBrasil,PCA1daACCERTISIGNRFB, OID 2.16.76.1.2.1.12 PolticadeCertificadodeAssinaturaDigitalTipoA3daAutoridadeCertificadora CERTISIGNparaSecretariadaReceitaFederaldoBrasil,PCA3daACCERTISIGNRFB, OID 2.16.76.1.2.3.6 PolticadeCertificadodeAssinaturaDigitalTipoA4daAutoridadeCertificadora CERTISIGNparaSecretariadaReceitaFederaldoBrasil,PCA4daACCERTISIGNRFB, OID 2.16.76.1.2.4.4 DPC da AC CERTISIGN RFB - V. 6.2 8/51 Nas PC correspondentes esto relacionadas as aplicaes para as quais so adequados os certificadosemitidospelaACCERTISIGNRFBe,quandocabveis,asaplicaesparaas quais existam restries ou proibies para o uso desses certificados. 1.4.Dados de Contato Empresa:Certisign Certificadora Digital S.A. Endereo: Rua do Passeio 70, 7 andar Centro - RJ Telefone:(21) 4501-1800 Fax: (21) 4501-1801 Nome:Patricia T O Leite Telefone:(11) 4501-1901 Fax:(21) 4501-1801 E-mail: [email protected] 2.DISPOSIES GERAIS 2.1.Obrigaes e Direitos Nositensaseguirestodescritasasobrigaesgeraisdasentidadesenvolvidas.Os requisitos especficos associados a essas obrigaes esto detalhados nas PC implementadas pela AC CERTISIGN RFB. 2.1.1. Obrigaes da AC CERTISIGN RFB a)operar de acordo com esta DPC e com as PC que implementa; b)gerar e gerenciarseus pares de chaves criptogrficas; c)assegurar a proteo de suas chaves privadas; d)notificar a Autoridade Certificadora da Secretaria da Receita Federal do Brasil (AC-RFB), emitente do seu certificado, quando ocorrer comprometimento de sua chave privada e solicitar a imediata revogao desse certificado. e)notificarosusuriosquandoocorrersuspeitadecomprometimentodachave privadadaACCERTISIGNRFB,emissodenovopardechavesecorrespondente certificado ou o encerramento de suas atividades; f) distribuir seu prprio certificado; g)emitir, expedir e distribuir os certificados de AR vinculadas e de usurios finais; h)informar a emisso do certificado ao respectivo solicitante; i)revogar os certificados por ela emitidos; j)emitir,gerenciarepublicarsuaLCRequandoaplicvel,disponibilizarconsulta online de situao do certificado (OCSP Online Certificate Status Protocol); k)publicaremsuapginawebestaDPCdaACCERTISIGNRFBeasPCque implementa; l)publicar em sua pgina web as informaes descritas no item 2.6.1.2 desta DPC; m)publicaremsuapginawebinformaessobreodescredenciamentodeARbem como sobre extino de instalao tcnica; n)utilizarprotocolodecomunicaoseguroaodisponibilizarserviosparaos solicitantes ou usurios de certificados digitais via web; o)identificareregistrartodasasaesexecutadas,conformeasnormas,prticase regras estabelecidas pelo CG da ICP-Brasil; p)adotar as medidas de segurana e controle previstas nesta DPC daAC CERTISIGN RFB, nas PCe Poltica de Segurana (PS) da AC CERTISIGN RFB que implementar , envolvendoseusprocessos,procedimentoseatividades,observadasasnormas, critrios, prticas e procedimentos da ICP-Brasil; DPC da AC CERTISIGN RFB - V. 6.2 9/51 q)manteraconformidadedosseusprocessos,procedimentoseatividadescomas normas, prticas e regras da ICP-Brasil e com a legislao vigente; r)manteregarantiraintegridade,osigiloeaseguranadainformaoporela tratada; s)manter e testar anualmente seu Plano de Continuidade do Negcio - PCN; t)mantercontratodesegurodecoberturaderesponsabilidadecivildecorrentedas atividadesdecertificaodigitalederegistro,comcoberturasuficientee compatvelcomoriscodessasatividades,eexigirsuamanutenopelasACsde nvelsubseqenteaoseu,quandoestasestiveremobrigadasacontrat-lo,de acordo com as normas do CG da ICP-Brasil; u)informar terceira parte e titulares de certificado acerca das garantias, coberturas, condicionantes e limitaes estipuladas pela aplice de seguro de responsabilidade civil contratada nos termos acima; v)informar AC Raiz, mensalmente, a quantidade de certificados digitais emitidos; w)noemitircertificadocomprazodevalidadequeseestendaalmdoprazode validade de seu prprio certificado ; x)fiscalizareauditorarasARvinculadaseosprestadoresdeservioquelhesejam vinculados,emconformidadecomaspolticas,normaseprocedimentosdaICP-Brasil;y)tomarasmedidascabveisparaassegurarqueusuriosedemaisentidades envolvidas tenham conhecimento de seus respectivos direitos e obrigaes; z)manternainternetlistadisponveleatualizadadoscertificadose-CPFee-CNPJ emitidos; aa) disponibilizar diariamente para a RFB a lista atualizada dos certificados emitidos; bb) disponibilizar, na internet, mecanismo que permita aos usurios verificar a correta instalao dos certificados em seus equipamentos; cc)contratar auditoria independente 3 meses aps o incio das atividades como AC; edd) contratar auditoria independente a cada 12 meses, com a finalidade de verificar o correto exerccio das atividades como AC. 2.1.2.Obrigaes das ARa)receber solicitaes de emisso ou de revogao de certificados;b)confirmar a identidade do solicitante e a validade da solicitao; c)encaminharassolicitaesdeemissoouderevogaodecertificadosAC CERTISIGNRFButilizandoprotocolodecomunicaoseguro,conformepadro definido no documento CARACTERSTICASMNIMAS DE SEGURANAPARA AS ARDA ICP-BRASIL [1];d)informar aos respectivos titulares de certificado a emisso ou a revogao de seus certificados; e)disponibilizar os certificados emitidos pela AC CERTISIGN RFB aos seus respectivos solicitantes; f)identificareregistrartodasasaesexecutadas,conformeasnormas,prticase regras estabelecidas pelo CG da ICP Brasil; g)manteraconformidadedosseusprocessos,procedimentoseatividadescomas normas,critrios,prticaseregrasestabelecidaspelaACCERTISIGNRFBepela ICP-Brasil, em especial com o contido no documento CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA ICP-BRASIL [1]; h)manteregarantiraseguranadainformaoporelastratada,deacordocomo estabelecido nas normas, critrios, prticas e procedimentos da ICP -Brasil; i)manter e testar anualmente seu Plano de Continuidade do Negcio PCN; j)procederoreconhecimentodasassinaturasedavalidadedosdocumentos apresentados na forma dos itens 3.1.9, 3.1.10 e 3.1.11; k)garantir que todas as aprovaes de solicitao de certificados sejam realizadas em instalaes tcnicas autorizadas a funcionar como AR vinculadas credenciadas ;l)obedecerestritamenteaestaDPCesPCaplicveis,bemcomorespeitara legislao aplicvel, incluindo as regras definidas pelo CG da ICP-Brasil; em)notificar os titulares, com antecedncia mnima de 30 (trinta) dias, a expiraoda validade dos certificados. DPC da AC CERTISIGN RFB - V. 6.2 10/51 2.1.3.Obrigaes do Titular do Certificado a)fornecer, de modo completo e preciso, todas as informaes necessrias para sua identificao; b)garantiraproteoeosigilodesuaschavesprivadas,senhasedispositivos criptogrficos; c)utilizarosseuscertificadosechavesprivadasdemodoapropriado,conformeo previsto na PC correspondente; d)conhecerosseusdireitoseobrigaescontempladosporestaDPC,pelaPC correspondente e por outros documentos aplicveis da ICP-Brasil; e)informarACCERTISIGNRFBocomprometimentooususpeitade comprometimentodesuachaveprivadaesolicitaraimediatarevogaodo certificado correspondente; f)apresentaodosoriginaisefornecimentodecpiasautnticasdosdocumentos que forem exigidos para emisso do certificado; g)verificar,nomomentodaaceitaodocertificado,averacidadeeexatidodas informaescontidasnoseucertificadoenotificaraAC,solicitandoaimediata revogao do certificado que contiver inexatides ou erros;h)obedecerestritamenteaestaDPCesPCaplicveis,bemcomorespeitara legislaoaplicvel,incluindoasregrasdefinidaspeloCGdaICP-Brasileas obrigaes contratuais assumidas perante ACe AR; i)utilizar, obrigatoriamente, senha para proteo da chave privada dos certificados e-CPF e e-CNPJ; j)arcar com os custos de emisso do certificado;e k)responsabilizar-se por todos os atos praticados perante a RFB utilizando o referido certificado e sua correspondente chave privada. Em se tratando de certificado emitido para pessoa jurdica, equipamento ou aplicao, estas obrigaes se aplicam ao responsvel pelo uso do certificado. 2.1.4.Direitos da Terceira Parte (Relying Party) 2.1.4.1.Considera-seterceiraparte,apartequeconfianoteor,validadee aplicabilidade do certificado digital. 2.1.4.2. Constituem-se direitos da terceira parte: a)recusarautilizaodocertificadoparafinsdiversosdosprevistosnaPC correspondente;b)verificar, a qualquer tempo, a validade do certificado.

Um certificado emitido por AC integrante da ICP-Brasil considerado vlido quando: a)no constar da LCR da AC emitente; b)no estiver expirado; e c)sua validade puder ser verificada atravs de certificado vlido da AC emitente. 2.1.4.3.OnoexercciodessesdireitosnoafastaaresponsabilidadedaAC CERTISIGN RFB e do titular do certificado. 2.1.5.Obrigaes do Repositrio a)disponibilizar, logo aps a sua emisso, os certificados emitidos pela AC CERTISIGN RFB e sua LCR; b)estardisponvelparaconsultadurante24(vinteequatro)horaspordia,7(sete) dias por semana; c)implementarosrecursosnecessriosparaaseguranadosdadosnele armazenados; e d)disponibilizarverificaoon-linedostatusdocertificadoououtromecanismode atualizaodestatusaprovadopelaICP-Brasil,quandoaplicvelporforade contratao especfica. DPC da AC CERTISIGN RFB - V. 6.2 11/51 2.2.Responsabilidades 2.2.1.Responsabilidades da AC CERTISIGN RFB 2.2.1.1. A AC CERTISIGN RFB responde pelos danos a que der causa. 2.2.1.2. A AC CERTISIGN RFB responde solidariamente pelos atos das entidades de sua cadeia de certificao: AR e PSS. 2.2.1.3. No se aplica. 2.2.2.Responsabilidades das ARA AR responsvel pelos danos a que der causa. 2.3.Responsabilidade Financeira 2.3.1. Indenizaes devidas pela terceira parte(Relying Party) A terceira parte responde perante a AC CERTISIGN RFB e ARs vinculadas apenas pelos prejuzos a que der causa com a prtica de ato ilcito, nos termos da legislao vigente. 2.3.2. Relaes Fiducirias AACCERTISIGNRFBousuaARvinculadaindenizaintegralmenteosprejuzosque, comprovadamente, der causa, quando o Titular do Certificado for pessoa fsica . Em caso de o Titular do Certificado ser pessoa jurdica, a poltica de indenizaes da AC CERTISIGN RFB e de suas AR vinculadas, pelos danos a que, comprovadamente, derem causa, prev o pagamento de indenizao correspondente 20 (vinte) vezes o valor do certificado, ou a R$ 40.000,00, o que for menor. As indenizaes da AC CERTISIGN RFB e de suas AR vinculadas cobrem perdas e danos decorrentes de comprometimento da chave privada da AC CERTISIGN RFB, de erro na identificaodotitular,deemissodefeituosadocertificadooudeerrosouomisses da AC CERTISIGN RFB ou das AR vinculadas. 2.3.3.Processos Administrativos Otitulardocertificadoquesofrerperdasedanosdecorrentesdousodocertificado digitalemitidopelaACCERTISIGNRFBtemodireitodecomunicarACCERTISIGN RFBquedesejaaindenizaoprevistanoitem2.3.2acima,observadasasseguintes condies: a)noscasosdeperdasedanosdecorrentesdecomprometimentodachave privadadaACCERTISIGNRFB,talcomprometimentodevertersido comprovado por percia realizada por perito especializado e independente; b)noscasosdeerronaidentificao,otitulardocertificadonopoderequerer qualquerindenizaoquandoosdadosconstantesnocertificado corresponderem aos dados fornecidos por esse titular AC CERTISIGN RFB ou s ARs vinculadas; c)noscasosdeerronatranscrio,otitulardocertificadonopoderequerer qualquer indenizao quando houver aceitado o certificado. 2.4.Interpretao e Execuo 2.4.1.Legislao EstaDPCregidapelaMedidaProvisrian2.200-02,pelasResoluesdoComit Gestor da ICP-Brasil, bem como pelas demais leis em vigor no Brasil. DPC da AC CERTISIGN RFB - V. 6.2 12/51 2.4.2.Forma de interpretao e notificao 2.4.2.1.NahiptesedeumaoumaisdisposiesdestaDPCser,porqualquerrazo, considerada invlida, ilegal, ou conflituosa com norma da ICP-Brasil, a inaplicabilidade noafetaasdemaisdisposies,sendoestaDPCinterpretada,ento,comoseno contivesse tal disposio e, na medida do possvel, interpretada para manter a inteno originaldaDPC.Nessecaso,oGrupodePrticasePolticasdaACCERTISIGNRFBexaminaradisposioinvlidaepropornovaredaoouretiradadadisposio afetada, na forma do item 8 desta DPC.2.4.2.2.Asnotificaesouqualqueroutracomunicaonecessria,relativass prticasdescritasnestaDPC,sofeitasatravsdemensagemeletrnicaassinada digitalmente, com chave pblica certificada pela ICP-Brasil, ou por escrito e entregue AC CERTISIGN RFB. 2.4.2.3.ADPCdaACCERTISIGNRFBnaICP-Brasil,noprevalecesobreasnormas, critrios, prticas e procedimentos da ICP-Brasil. 2.4.3.Procedimentos da soluo de disputa 2.4.3.1.EmcasodeconflitoentreestaDPCdaACCERTISIGNRFB,asPCque implementaououtrosdocumentosqueaACCERTISIGNRFBadotar,prevaleceo dispostonestaDPC.Ocontratoparaemissodecertificadospodercriarobrigaes especficas,limitarousodoscertificadosourestringirvaloresdetransaes comerciais, desde que respeitados os direitos previstos nesta DPC. 2.4.3.2.EstaDPCdaACCERTISIGNRFBnoprevalecesobreasnormas,critrios, prticas e procedimentos da ICP-Brasil. 2.4.3.3. Casos omissos devero ser encaminhados para apreciao da AC Raiz. 2.5.Tarifas de Servio 2.5.1.Tarifas de emisso e renovao de certificadosVarivel conforme definio interna Comercial. 2.5.2.Tarifas de acesso ao certificadoNo so cobradas tarifas de acesso ao certificado digital emitido. 2.5.3.Tarifas de revogao ou de acesso informao de statusNo so cobradas tarifas de revogao e de acesso informao de status. 2.5.4.Tarifas para outros serviosNo so cobradas tarifas de acesso informao de status do certificado e LCR, bem assim, tarifas de revogao e de acesso aos certificados emitidos. 2.5.5.Poltica de reembolsoEm caso de revogao do certificado por motivo de comprometimento da chave privada ou da mdia armazenadora da chave privada daAC CERTISIGN RFB, ou ainda quando constatadaaemissoimprpriaoudefeituosa,imputvelACCERTISIGNRFB,ser emitido gratuitamenteoutro certificado em substituio. 2.6.Publicao e Repositrio 2.6.1.Publicao de informao da AC CERTISIGN RFB 2.6.1.1.Asinformaesdescritasabaixosopublicadasemserviodediretrioe/ou empginawebdaACCERTISIGNRFB(http://icp- DPC da AC CERTISIGN RFB - V. 6.2 13/51 brasil.certisign.com.br/repositorio/ac-certisign-rfb/index.htm),obedecendoasregrase os critrios estabelecidos nesta DPC.AdisponibilidadedasinformaespublicadaspelaACCERTISIGNRFBemserviode diretrio e/ou pgina web de 99,5% (noventa e nove vrgula cinco por cento) do ms, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana. 2.6.1.2.Asseguintesinformaessopublicadasemserviodediretrioe/ouem pginawebdaACCERTISIGNRFB(http://icp-brasil.certisign.com.br/repositorio/ac-certisign-rfb/index.htm): a)seus prprio certificado; b)suas LCR; c)esta DPC; d)as PC que implementa; e)umarelao,regularmenteatualizada,contendoasARvinculadaseseus respectivos endereos de instalaes tcnicas em funcionamento; f)umarelao,regularmenteatualizada,dasARvinculadasquetenham celebradoacordosoperacionaiscomoutrasARdaICP-Brasil,contendo informaes sobre os pontos do acordo que sejam de interesse dos titulares e solicitantes de certificado; eg)uma relao, regularmente atualizada, dos PSS vinculados. 2.6.2.Freqncia de publicao Certificadossopublicadosimediatamenteapssuaemisso.ApublicaodaLCRse d conforme o item 4.4.9 da PC correspondente. As verses ou alteraes desta DPC e daPC,assimcomoosendereosdasinstalaestcnicasdasARvinculadas,so atualizadasnowebsitedaACCERTISIGNRFBapsaprovaodaACRaizdaICP-Brasil.2.6.3.Controles de acesso NohqualquerrestrioaoacessoparaconsultaaestaDPC,listadecertificados emitidos,LCRdaACCERTISIGNRFB,sPCimplementadaseaosendereosdas instalaes tcnicas das AR vinculadas.Soutilizadoscontrolesdeacessofsicoelgicopararestringirapossibilidadede escrita ou modificao desses documentos ou desta lista por pessoal no-autorizado. A mquinaquearmazenaasinformaesacimaseencontraemnvel4desegurana fsica e requer uma senha de acesso.2.6.4.Repositrios OrepositriodaACCERTISIGNRFBestdisponvelparaconsultadurante99,5% (noventa e nove vrgula cinco por cento) do ms, 24 (vinte e quatro) horas por dia, 7 (sete)diasporsemanaepodeserencontradonapginaWeb(http://icp-brasil.certisign.com.br/repositorio/ac-certisign-rfb/index.htm). As publicaes daAC CERTISIGN RFBpodem ser consultadas atravs do protocolo http. SomenteaACCERTISIGNRFB,porseusfuncionriosqualificadosedesignados especialmenteparaessefim,podeefetuaratualizaesnasinformaesporela publicadas no seu repositrio. 2.7.Fiscalizao e Auditoria de Conformidade 2.7.1. As fiscalizaes e auditorias realizadas no mbito da ICP-Brasil tm por objetivoverificar se os processos, procedimentos e atividades das entidades integrantes da ICP-BrasilestoemconformidadecomsuasrespectivasDPC,PC,PolticadeSeguranae demais normas e procedimentos estabelecidos pela ICP-Brasil. DPC da AC CERTISIGN RFB - V. 6.2 14/51 2.7.2.AsfiscalizaesdasentidadesintegrantesdaICP-BrasilsorealizadaspelaAC Raiz,pormeiodeservidoresdeseuquadroprprio,aqualquertempo,semaviso prvio,observadoodispostonodocumentoCRITRIOSEPROCEDIMENTOSPARA FISCALIZAO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [2]. 2.7.3. Com exceo da auditoria da prpria AC Raiz, que de responsabilidade do CG da ICP-Brasil, as auditorias das entidades integrantes da ICP-Brasil so realizadas pela ACRaiz,pormeiodeservidoresdeseuquadroprprio,ouporterceirosporela autorizados,observadoodispostonodocumentoCRITRIOSEPROCEDIMENTOSPARA REALIZAO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3]. 2.7.4.AACCERTISIGNRFBrecebeuauditoriaprviadaACRaizparafinsde credenciamentonaICP-Brasileauditadaanualmente,parafinsdemanutenodo credenciamento,combasenodispostonodocumentoCRITRIOSEPROCEDIMENTOS PARAREALIZAODEAUDITORIASNASENTIDADESINTEGRANTESDAICP-BRASIL[3]. Essedocumentotratadoobjetivo,freqnciaeabrangnciadasauditorias,da identidade e qualificao do auditor e demais temas correlacionados. 2.7.5. As entidades da ICP-Brasil diretamente vinculadas a AC CERTISIGN RFB AR e PSS,tambmreceberamauditoriaprvia,parafinsdecredenciamento,eaAC CERTISIGNRFBresponsvelpelarealizaodeauditoriasanuaisnessasentidades, parafinsdemanutenodecredenciamento,conformedispostonodocumentocitado no pargrafo anterior. 2.8.Sigilo 2.8.1.Disposies gerais 2.8.1.1. AC CERTISIGN RFB gera e mantm sua chave privada, sendo responsvel pelo seusigilo.Adivulgaoouutilizaoindevidadasuachaveprivadadesuainteira responsabilidade.2.8.1.2.Otitulardecertificadosemitidosparapessoasfsicasouoresponsvelpelo certificadodeassinaturadigital,emcasodepessoajurdica,equipamentosou aplicaes, emitidos pela AC CERTISIGN RFB responsvel pela gerao, manuteno esigilodesuasrespectivaschavesprivadasbemcomopeladivulgaoouutilizao indevida dessas chaves. 2.8.1.3. No intuito de preservar o sigilo da sua chave privada o titular pelo certificado deve tomar todas as medidas para a proteo da mesma. Osigilodachaveprivadadocertificadogarantidoatravsdesenhadeacesso chaveprivada.Estasenhaserdefinidapelousurionomomentodainstalaodo certificado.Acriaoeutilizaodessasenhaparaacessoaplicaosode responsabilidade do usurio. OTitularpeloCertificadodeveobservarprocedimentosbsicosdesegurana,tais como: 1) Nunca fornecer a senha a terceiros; 2) Utilizar senha de, no mnimo, 8 caracteres; 3) No utilizar senha fraca ou bvia, conforme definido na Poltica de Segurana da AC CERTISIGN RFB, item 5.1.1.11; DPC da AC CERTISIGN RFB - V. 6.2 15/51 4) Montar senha com caracteres numricos e alfanumricos; 5) Memorizar a senha e no escrev-la. 6) Guardar a mdia principal e cpia de segurana em lugar seguro. 2.8.2.Tipos de informaes sigilosas 2.8.2.1. Como princpio geral, todo documento, informao ou registro fornecido AC ou s AR sigiloso. 2.8.2.2.Nenhumdocumento,informaoouregistrofornecidopelostitularesde certificado AC CERTISIGN RFB ser divulgado.2.8.3.Tipos de informaes no-sigilosas As informaes consideradas no-sigilosas compreendem: a)os certificados e a LCRemitidos pela AC CERTISIGN RFB; b)informaescorporativasoupessoaisqueconstemnocertificadosouem diretrios pblicos; c)a PC correspondente;d)esta DPC;e)verses pblicas de Polticas de Segurana;f)resultados finais de auditorias; e g)Termo de Titularidade ou solicitao de emisso do certificado. AACCERTISIGNRFBeaARaelavinculadatratamcomoconfidenciaisosdados fornecidos pelo solicitante que no constem no certificado. Contudo, tais dados no so considerados confidenciais quando: a) estejam na posse legtima da AC CERTISIGN RFB ou da AR a ela vinculada antes deseufornecimentopelosolicitanteouosolicitanteautorizeformalmentea sua divulgao; b)posteriormenteaoseufornecimentopelosolicitante,sejamobtidosoupossam tersidoobtidoslegalmentedeterceiro(s)comdireitoslegtimospara divulgao sua sem quaisquer restries para tal;c) sejam requisitados por determinao judicial ou governamental, desde que a AC CERTISIGN RFB ou a AR a ela vinculada comunique previamente, se possvel e de imediato ao solicitante, a existncia de tal determinao. Osmotivosquejustificaramanoemissodeumcertificadosomantidos confidenciais pela AC CERTISIGN RFB e pela AR a ela vinculada, exceto na hiptese da alnea"c"acima,ouquandoosolicitanterequererouautorizarexpressamenteasua divulgao a terceiros. 2.8.4.Divulgaodeinformaoderevogaooususpensode certificado 2.8.4.1. Informaes sobre revogao de certificados emitidos pela AC CERTISIGN RFB so fornecidas em sua LCR ou atravs de OCSP, quando aplicvel.2.8.4.2. A razo para a revogao de certificado informada ao titular do certificado e ser tornada pblica, desde que autorizada a divulgao pelo mesmo.2.8.4.3. A suspenso de certificados no admitida no mbito da ICP-Brasil.2.8.5.Quebra de sigilo por motivos legais AACCERTISIGNRFBfornecer,medianteordemjudicialoupordeterminaolegal, documentos, informaes ou registros sob sua guarda. DPC da AC CERTISIGN RFB - V. 6.2 16/51 2.8.6.Informaes a terceiros Nenhumdocumento,informaoouregistrosobaguardadaACCERTISIGNRFB fornecido a qualquer pessoa, exceto quando a pessoa que requerer, atravs de instrumento devidamente constitudo, estiver corretamente identificada e autorizada para faz-lo.2.8.7.Divulgao por solicitao do Titular 2.8.7.1.O titular de certificado e seu representante legal tm acesso a quaisquer dos seus prprios dados e identificaes e podem autorizar a divulgao de seus registros.2.8.7.2. Autorizaes podem ser apresentadas de duas formas: a)pormeioeletrnico,contendoassinaturavlidagarantidaporcertificadodo mesmo tipo ou superior emitido na ICP-Brasil;b)por solicitao escrita, com firma reconhecida. Nenhuma liberao de informao permitida sem autorizao numa das formas acima, exceto nos casos do item 2.8.5.2.8.8.Outras circunstncias de divulgao de informao No se aplica.2.9.Direitos de Propriedade Intelectual ACertisignCertificadoraDigitalS.A.ousualicencianteVeriSign,Inc.detmtodosos direitosdepropriedadeintelectualsobreasidias,conceitos,tcnicaseinvenes, processos e/ou obras, includas ou utilizadas nos produtos e servios fornecidos por AC CERTISIGN RFB nos termos dessa DPC. Os Direitos de Propriedade tero proteo conforme a legislao aplicvel. OtitulardecertificadoemitidopelaACCERTISIGNRFBconcedeAutoridade CertificadoradaSecretariadaReceitaFederaldoBrasil(AC-RFB)eACCERTISIGN RFBodireitodepublicaredivulgarempginaweb,achavepblicacontidano certificado, correspondente chave privada que esta sob sua posse . 3.IDENTIFICAO E AUTENTICAO 3.1.Registro Inicial 3.1.1.Disposies Gerais 3.1.1.1.Nesteitemenositensseguintesestodescritosemdetalhesosrequisitose procedimentosutilizadospelasARvinculadasaACCERTISIGNRFBparaarealizao dos seguintes processos: a)Validaodasolicitaodecertificadocompreendeasetapasabaixo, realizadasmedianteapresenafsicadointeressado,combasenosdocumentosde identificao citados nos itens 3.1.9, 3.1.10 e 3.1.11: i.confirmaodaidentidadedeumindividuo:comprovaodequeapessoaquese apresenta como titular do certificado de pessoa fsica realmente aquela cujos dados constamnadocumentaoapresentada,vedadaqualquerespciedeprocuraopara talfim.Nocasodepessoajurdica,comprovarqueapessoafsicaqueseapresenta comoresponsvelpelousodocertificadooucomorepresentantelegalrealmente aquelacujosdadosconstamnadocumentaoapresentada,admitidaaprocurao apenas se o ato constitutivo prever expressamente tal possibilidade, devendo-se, para DPC da AC CERTISIGN RFB - V. 6.2 17/51 tanto, revestir-se da forma pblica com poderes especficos para atuar perante a ICP-Brasil; ii.confirmaodaidentidadedeumaorganizao:comprovaodequeos documentosapresentadosreferemseefetivamentepessoajurdicatitulardo certificadoedequeapessoaqueseapresentacomorepresentantelegaldapessoa jurdica realmente possui tal atribuio; iii.emissodocertificado:confernciadosdadosdasolicitaodecertificadocomos constantesdosdocumentosapresentadoseliberaodaemissodocertificadono sistema da AC; iv.asetapasdescritasacimapodemserrealizadasporumoumaisagentesde validao. b) Verificao da solicitao de certificado - confirmao da validao realizada, observando que deve ser executada, obrigatoriamente: i. por agente de registro distinto do que executou a etapa de validao; ii. em uma das instalaes tcnicas da AR devidamente autorizadas a funcionar pela AC Raiz; iii.somenteapsorecebimento,nainstalaotcnicadaAR,decpiadosda documentao apresentada na etapa de validao; iv.antesdoinciodavalidadedocertificado,devendoesseserrevogado automaticamente caso a verificao no tenha ocorrido at o incio de sua validade. 3.1.1.2.Oprocessodevalidaopodeserrealizadopeloagentederegistroforado ambientefsicodaAR,desdequeutilizadoambientecomputacionalauditvele devidamente registrado no inventrio de hardware e softwares da AR. 3.1.1.3.Todasasetapasdosprocessosdevalidaoeverificaodasolicitaode certificadosoregistradaseassinadasdigitalmentepelosexecutantes,nasoluode certificaodisponibilizadapelaACCERTISIGNRFB,comautilizaodecertificado digital ICP-Brasil no mnimo do tipo A3. Tais registros so feitos de forma a permitir a reconstituio completa dos processos executados, para fins de auditoria. 3.1.1.4.mantidoarquivocomascpiasdetodososdocumentosutilizadospara confirmao da identidadede uma organizao e/oude um indivduo. Tais cpias so mantidasempapelouemformadigitalizada,observadasascondiesdefinidasno documento CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA ICP-BRASIL [1]. 3.1.1.5.NoscasosdecertificadodigitalemitidoparaServidoresdoServioExterior Brasileiro, em misso permanente no exterior, assim caracterizados conforme a Lei n 11.440,de29dedezembrode2006,sehouverimpedimentosparaaidentificao conformeodispostonosubitem3.1.1.1desteanexo,facultadaaremessada documentaopelamaladiplomticaearealizaodaidentificaoporoutrosmeios seguros, a serem definidos e aprovados pela AC-Raiz da ICP-Brasil. 3.1.1.6. No se Aplica. 3.1.2.Tipos de nomes 3.1.2.1.Otipodenomeadmitidoparaostitularesdecertificadosemitidos,segundo estaDPC,odistinguishednamedopadroITUX.500,endereosdecorreio eletrnico,endereodepginaWeb(URL),ououtrasinformaesquepermitama identificao unvoca do titular. DPC da AC CERTISIGN RFB - V. 6.2 18/51 Ocertificadoemitidoparapessoajurdicaincluionomedapessoafsicaresponsvel pelo seu uso. Para todos os efeitos legais, os certificados e as respectivas chaves de assinatura so de titularidade do responsvel constante do certificado. 3.1.2.2. No se aplica. 3.1.3.Necessidade de nomes significativos Os certificados emitidos pela AC CERTISIGN RFB exigem o uso de nomes significativos quepossibilitamdeterminarunivocamenteaidentidadedapessoaoudaorganizao titular do certificado a que se referem. 3.1.4.Regras para interpretao de vrios tipos de nomes No se aplica. 3.1.5.Unicidade de nomes Esta DPC estabelece que identificadores do tipo "Distinguished Name" (DN) so nicos para cada entidade titular de certificado emitido pela AC CERTISIGN RFB. Paraasseguraraunicidadedocampodoscertificadose-CNPJee-CPFincludoo nmerodoCNPJeonmerodoCPFapsonomedotitulardocertificado, respectivamente, nos certificados e-CNPJ e e-CPF. 3.1.6.Procedimento para resolver disputa de nomes NombitodaACCERTISIGNRFBnohdisputadecorrentedaigualdadedenomes entre solicitantes de certificados, pois o nome do Titular do Certificado ser formado a partirdonomeconstantedoscadastrosdaRFB,CPFouCNPJparacertificadosde pessoafsicaoujurdicarespectivamente,acrescidodonmerodeinscrionestes cadastros. Este procedimento garante a unicidade de todos os nomes no mbito da AC CERTISIGN RFB. AACCERTISIGNRFBsereservaodireito de tomartodasas decisesnahiptesede haver disputa de nomes decorrente da igualdade de nomes entre solicitantes diversos decertificados.Duranteoprocessodeconfirmaodeidentidade,cabeentidade solicitante do certificado provar o seu direito de uso de um nome especfico. 3.1.7.Reconhecimento, autenticao e papel de marcas registradas Osprocessosdetratamento,reconhecimentoeconfirmaodeautenticidadede marcas registradas so executados de acordo com a legislao em vigor. 3.1.8.Mtodo para comprovar a posse de chave privada AARverificaseaentidadequesolicitaocertificadopossuiachaveprivada correspondente chave pblica para a qual est sendo solicitado o certificado digital. A RFC2510utilizadacomorefernciaparaessafinalidade.Omtododeverificao utilizadoProofofPossession(POP)ofPrivateKeyconformeoitem2.3daRFC 2510.3.1.9.Autenticao da identidade de um indivduo A confirmao da identidade de um indivduo realizada mediante a presena fsica do interessado, com base em documentos pessoais de identificao legalmente aceitos. DPC da AC CERTISIGN RFB - V. 6.2 19/51 3.1.9.1. Documentos para efeitos de identificao de um indivduo Deve ser apresentada a seguinte documentao, em suaverso original, para fins de identificao de um indivduo solicitante de certificado: a)Cdula de Identidade ou Passaporte, se brasileiro; b)Carteira Nacional de Estrangeiro CNE, se estrangeiro domiciliado no Brasil; c)Passaporte, se estrangeiro no domiciliado no Brasil; d)caso os documentos acima tenham sido expedidos h mais de 5 (cinco) anos ou no possuam fotografia, uma foto colorida recente ou documento de identidade comfotocolorida,emitidohnomximo5(cinco)anosdadatadavalidao presencial; e)comprovante de residncia ou domiclio, emitido h no mximo 3 (trs) meses da data da validao presencial; ef)mais um documento oficial com fotografia, no caso de certificados de tipos A4 . Entende-secomocduladeidentidadeosdocumentosemitidospelasSecretariasde SeguranaPblicabemcomoosque,porforadelei,equivalemadocumentode identidade em todo o territrio nacional, desde que contenham fotografia. Entende-se como comprovante de residncia ou de domiclio contas de concessionrias de servios pblicos, extratos bancrios ou contrato de aluguel onde conste o nome do titular; na falta desses, declarao emitida pelo titular ou seu empregador. A emisso de certificados em nome dos absolutamente incapazes e dos relativamente incapazes observar o disposto na lei vigente. Caso no haja suficiente clareza no documento apresentado, a AR deve solicitar outro documento,preferencialmenteaCNH-CarteiraNacionaldeHabilitaoouo Passaporte Brasileiro. Devero ser consultadas as bases de dados dos rgos emissores da Carteira Nacional deHabilitao,eoutrasverificaesdocumentaisexpressasnoitem7dodocumento CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA ICP-BRASIL [1]. Caso haja divergncia dos dados constantes do documento de identidade, a emisso do certificadodigitaldeversersuspensaeosolicitanteorientadoaregularizarsua situao junto ao rgo responsvel. Os documentos que possuem data de validade precisam estar dentro do prazo. 3.1.9.2. Informaes contidas no certificado emitido para um indivduo 3.1.9.2.1. obrigatrio o preenchimento dos seguintes campos do certificado de uma pessoa fsica com as informaes constantes nos documentos apresentados: a) Cadastro de Pessoa Fsica (CPF); b) nome completo, sem abreviaes; e c) data de nascimento. 3.1.9.2.2.CadaPCpodedefinircomoobrigatrioopreenchimentodeoutroscampos ou o titular do certificado, a seu critrio e mediante declarao expressa no termo de titularidade,podesolicitaropreenchimentodecamposdocertificadocomas informaes constantes nos seguintes documentos: a) nmero de Identificao Social NIS (PIS, PASEP ou CI);b) nmero do Registro Geral RG do titular e rgo expedidor; c) nmero do Cadastro Especifico do INSS (CEI); d)nmerodoTtulodeEleitor;ZonaEleitoral;Seo;MunicpioeUFdoTtulode Eleitor; e) nmero de habilitao ou identificao profissional emitido por conselho de classe ou rgo competente;e f) documento assinado pela empresa com o valor do campo de login (UPN). DPC da AC CERTISIGN RFB - V. 6.2 20/51 3.1.9.2.3.Paratanto,otitulardeveapresentaradocumentaorespectiva,casoa caso, em sua verso original. mantido arquivo com as cpias de todos os documentos utilizados. permitidaasubstituiodosdocumentoselencadosacimapordocumentonico, desde que este seja oficial e contenha as informaes constantes daqueles. OcartoCPFpodesersubstitudoporconsultapginadaReceitaFederal,sendoa cpia da mesma ser arquivada junto documentao, para fins de auditoria. 3.1.10.Autenticao da identidade de uma organizao 3.1.10.1. Disposies Gerais 3.1.10.1.1. Neste item so definidos os procedimentos empregados pelas AR vinculadas para a confirmao da identidade de uma pessoa jurdica. 3.1.10.1.2. Em sendo o titular do certificado pessoa jurdica, designada pessoa fsica como responsvel pelo certificado, que ser a detentora da chave privada. 3.1.10.1.3. Dever ser feita a confirmao da identidade da organizao e das pessoas fsicas, nos seguintes termos: a) apresentao do rol de documentos elencados no item 3.1.10.2; b)apresentaodoroldedocumentoselencadosnoitem3.1.9.1do(s) representante(s)legal(is)dapessoajurdicaedoresponsvelpelousodo certificado;c)presenafsicadosrepresentanteslegaisedoresponsvelpelousodo certificado, e assinatura do termo de titularidade de que trata o item 4.1.1; e d)consultadasituaodosolicitanteperanteoCNPJnomomentodasolicitao, conformeart.art.6.daInstruoNormativaRFBn.1077,de29deOutubrode 2010.Se o CNPJ informado for inexistente ou se a pessoa jurdica apresentar a condio de inapta, suspensa ou cancelada, a solicitao no ser concluda nem enviada AC , inviabilizando a emisso do certificado. 3.1.10.2. Documentos para efeitos de identificao de uma organizao Aconfirmaodaidentidadedeumapessoajurdicadeverserfeitamediantea apresentao de, no mnimo, os seguintes documentos: a) Relativos a sua habilitao jurdica: i. se pessoa jurdica criada ou autorizada a sua criao por lei, cpia do ato constitutivo e CNPJ; ii. se entidade privada:1. ato constitutivo, devidamente registrado no rgo competente; e2. documentos da eleio de seus administradores, quando aplicvel, registrado no rgo competente; b) Relativos a sua habilitao fiscal: i. prova de inscrio no Cadastro Nacional de Pessoas Jurdicas CNPJ; ou ii. prova de inscrio no Cadastro Especfico do INSS CEI.

DPC da AC CERTISIGN RFB - V. 6.2 21/51 3.1.10.3.Informaescontidasnocertificadoemitidoparauma organizao 3.1.10.3.1.obrigatrioopreenchimentodosseguintescamposdocertificadodeuma pessoa jurdica, com as informaes constantes nos documentos apresentados: a)nomeempresarialconstantedoCNPJ(CadastroNacionaldePessoaJurdica),sem abreviaes; b) Cadastro Nacional de Pessoa Jurdica (CNPJ); c) nome completo do responsvel pelo certificado, sem abreviaes; e d) data de nascimento do responsvel pelo certificado. 3.1.10.3.2. Cada PC pode definir como obrigatrio o preenchimento de outros campos ou o responsvelpelocertificado,aseucritrioemediantedeclaraoexpressanotermode titularidade,podersolicitaropreenchimentodecamposdocertificadocomsuas informaes pessoais, conforme item 3.1.9.2. 3.1.11.Autenticao da identidade de equipamento ou aplicao 3.1.11.1. Disposies Gerais 3.1.11.1.1. Em se tratando de certificado emitido para equipamento ou aplicao, o titular a pessoa fsica ou jurdica solicitante do certificado, queindica o responsvel pela chave privada. 3.1.11.1.2. Se o titular for pessoa fsica, feita a confirmao de sua identidade na forma do item 3.1.9.1 e esta assina o termo de titularidade de que trata o item 4.1.1. 3.1.11.1.3.Seotitularforpessoajurdica,feitaaconfirmaodaidentidadeda organizao e das pessoas fsicas, nos seguintes termos: a) apresentao do rol de documentos elencados no item 3.1.10.2; b)apresentaodoroldedocumentoselencadosnoitem3.1.9.1do(s) representante(s)legal(is)dapessoajurdicaedoresponsvelpelousodo certificado; c) presena fsica do responsvel pelo uso do certificado e assinatura do termo de responsabilidade de que trata o item 4.1.1; e d)presenafsicado(s)representante(s)legal(is)dapessoajurdicaeassinatura dotermodetitularidadedequetrataoitem4.1.1,ououtorgadeprocurao atribuindo poderes para solicitao de certificado para equipamento ou aplicao e assinatura do respectivo termo de titularidade. 3.1.11.2.Procedimentosparaefeitosdeidentificaodeumequipamento ou aplicao Para certificados de equipamento ou aplicao que utilizem URL no campo Common Name, verificadoseosolicitantedocertificadodetmoregistrodonomededomniojuntoao rgo competente, ou se possui autorizao do titular do domnio para usar aquele nome. Nessecasoapresentadadocumentaocomprobatria(termodeautorizaodeusode domnio ou similar) devidamente assinado pelo titular do domnio. 3.1.11.3.Informaescontidasnocertificadoemitidoparaum equipamento ou aplicao 3.1.11.3.1.obrigatrioopreenchimentodosseguintescamposdocertificadocomas informaes constantes nos documentos apresentados: a) URL ou nome da aplicao; b) nome completo do responsvel pelo certificado, sem abreviaes; c) data de nascimento do responsvel pelo certificado; d)nomeempresarialconstantedoCNPJ(CadastroNacionaldePessoaJurdica), sem abreviaes, se o titular for pessoa jurdica; e) Cadastro Nacional de Pessoa Jurdica (CNPJ), se o titular for pessoa jurdica. DPC da AC CERTISIGN RFB - V. 6.2 22/51 3.1.11.3.2. Cada PC pode definir como obrigatrio o preenchimento de outros campos ou o responsvelpelocertificado,aseucritrioemediantedeclaraoexpressanotermode titularidade,podersolicitaropreenchimentodecamposdocertificadosuasinformaes pessoais, conforme item 3.1.9.2. 3.2.Gerao de novo par de chaves antes da expirao do atual 3.2.1.Noitemseguinteestoestabelecidososprocessosdeidentificaodosolicitante pelaACCERTISIGNRFBparaageraodenovopardechaves,edeseucorrespondente certificado, antes da expirao do certificado vigente. 3.2.2. O processo descrito acima conduzido segundo uma das seguintes possibilidades: a)Adoodosmesmosrequisitoseprocedimentosexigidosparaasolicitaodo certificado; ou b)Asolicitaopormeioeletrnico,assinadadigitalmentecomousodecertificado vigentequesejapelomenosdomesmonveldesegurana,limitadaa1(uma) ocorrncia sucessiva; ou c)Emcasodepessoajurdica,qualqueralteraoemsuaconstituioe funcionamento dever constar do processo de renovao. 3.2.3. No se aplica. 3.3.Gerao de novo par de chaves aps expirao ou revogao 3.3.1.Apsarevogaoouexpiraodocertificado,osprocedimentosutilizadospara confirmaodaidentidadedosolicitantedenovocertificadosoosmesmosexigidosna solicitao inicial do certificado, na forma e prazo descritos nas PC implementadas. 3.3.2. No se aplica.3.4.Solicitao de Revogao Asolicitaoderevogaodecertificadorealizadaatravsdeformulrioespecfico, permitindo a identificao inequvoca do solicitante. Aconfirmaodaidentidadedosolicitantefeitacombasenaconfrontaodedados fornecidosnasolicitaoderevogaoeosdadospreviamentecadastradosnaAR.As solicitaes de revogao de certificado so registradas. O procedimento para solicitao de revogaodecertificadoemitidopelaACCERTISIGNRFBestdescritonoitem4.4.3.1 desta DPC. 4.REQUISITOS OPERACIONAIS 4.1.Solicitao de Certificado 4.1.1. Para atender solicitao de emisso de certificados a AC CERTISIGN RFB exige que a AR tenha provido: a)acomprovaodeatributosdeidentificaoconstantesdocertificadoeo recebimento dos documentos obrigatrios exigidos para identificao dos titulares e responsveis, conforme item 3.1; b)a autenticao do agente de registro responsvel pelas solicitaes de emisso e de revogao de certificados mediante o uso de certificado digital que tenha requisitos de segurana, no mnimo, equivalentes a de um certificado de nvel A3; DPC da AC CERTISIGN RFB - V. 6.2 23/51 c)um termo de titularidade assinado pelo titular do certificado e pelo responsvel pelo usodocertificado,nocasodepessoajurdica,conformeoadendoreferenteao TERMO DE TITULARIDADE [4] especfico. 4.1.2. No se aplica. 4.1.3. No se aplica. 4.1.4. No se aplica. 4.2.Emisso de Certificado 4.2.1.Aemissodecertificadodependedocorretopreenchimentodeformulriode solicitao, do recebimento do Termo de Titularidade, no caso de certificados de pessoas jurdicas, equipamentos ou aplicaes e dos demais documentos exigidos. Aps o processo de validao das informaes fornecidas pelo solicitante, o certificado emitido e Titular notificado, por e-mail, da emisso e do mtodo para a retirada do certificado.4.2.2. O certificado considerado vlido a partir do momento de sua emisso. 4.3.Aceitao de Certificado 4.3.1. O titular do certificado ou pessoa fsica responsvel verifica as informaes contidas no certificado e o aceita caso as informaes sejam ntegras, corretas e verdadeiras. Caso contrrio,otitulardocertificadonopodeutilizarocertificadoedevesolicitar imediatamente a revogao do mesmo. Ao aceitar o certificado, o titular do certificado: a)concordacomasresponsabilidades,obrigaesedeveresnestaDPCenaPC correspondente;b)garante que, com seu conhecimento, nenhuma pessoa sem autorizao teve acesso chave privada associada ao certificado;c)afirma que todas as informaes contidas no certificado, fornecidas na solicitao, so verdadeiras e esto reproduzidas no certificado de forma correta e completa; d)Torna-se responsvel por todos os atos praticados perante a RFB utilizando a chave privada correspondente chave pblica contida no certificado e-CPF e e-CNPJ. 4.3.2. A aceitao do certificado e do seu contedo declarada, pelo titular do certificado, naprimeirautilizaodachaveprivadacorrespondente.Oprazoparaaceitaodo certificado est definido no item 4.4.4 de cada PC implementada pela AC CERTISIGN RFB. 4.3.3. No se aplica. 4.4.Suspenso e Revogao de Certificado 4.4.1.Circunstncias para revogao4.4.1.1.Otitulareoresponsvelpelocertificadopodemsolicitararevogaodeseu certificado a qualquer tempo, independente de qualquer circunstncia. 4.4.1.2. O certificado obrigatoriamente revogado: a)quando constatada emisso imprpria ou defeituosa do mesmo; b)quando for necessria a alterao de qualquer informao constante no mesmo; c)no caso de extino, dissoluo ou transformao da AC CERTISIGN RFB; d)nocasodeperda,roubo,acessoindevido,comprometimentooususpeitade comprometimentodachaveprivadacorrespondentepblicacontidano certificado ou da sua mdia armazenadora;e)no caso defalecimento do titular - pessoas fsicas; DPC da AC CERTISIGN RFB - V. 6.2 24/51 f)no caso de mudana na razo ou denominao social do titular - equipamentos, aplicaes e pessoas jurdicas; g)nocasodeextino,dissoluooutransformaodotitulardocertificado- equipamentos, aplicaes e pessoas jurdicas; ou h)no caso de falecimento ou demisso do responsvel - equipamentos, aplicaes e pessoas jurdicas. 4.4.1.3.AACCERTISIGNRFBrevoga,noprazodefinidonoitem4.4.3,ocertificadodo titular que deixar de cumprir as polticas, normas e regras estabelecidas para a ICP-Brasil. O CG da ICP-Brasil ou AC Raiz determina a revogao do certificado da AC CERTISIGN RFB quandoessadeixardecumpriralegislaovigenteouaspolticas,normas,prticase regras estabelecidas pela ICP-Brasil. 4.4.2.Quem pode solicitar revogao A revogao de um certificado somente poder ser feita: a)por solicitao do titular do certificado; b)porsolicitaodoresponsvelpelocertificado,nocasodecertificadode equipamentos, aplicaes e pessoas jurdicas;c)porsolicitaodaempresaourgo,nocaso decertificadofornecidoporessa empresa ou rgo para seus empregados, funcionrios, servidores, parceiros ou fornecedores; d)pela AC CERTISIGN RFB; e)pela AR que tiver recebido a solicitao;f)por determinao do CG da ICP-Brasil ou da AC Raiz. 4.4.3.Procedimento para solicitao de revogao 4.4.3.1.UmasolicitaoderevogaonecessriaparaqueARresponsvelinicieo processo de revogao. O solicitante da revogao habilitado pode solicitar facilmente e a qualquertempoarevogaodecertificado,evitandoassimautilizaoindevidado certificado. Instruesparaasolicitaoderevogaodocertificadosoobtidasempginaweb disponibilizada pela AC CERTISIGN RFB ou pela AR Responsvel. A revogao realizada atravs de Formulrio on-line contendo o motivo da solicitao de revogaomedianteofornecimentodedadosedafrasedeidentificaoindicadana solicitao de emisso do Certificado.CasooTitularouoResponsvel-nocasodecertificadosdepessoasjurdicas, equipamentos ou aplicaes- no recorde a frase de identificao ou quando a revogao solicitadadiretamentepeloTitularsemaparticipaodoResponsvel,oFormulriode revogao impresso e assinado e entregue na AR Responsvel. 4.4.3.2. Como diretrizes gerais: a)O Solicitante da revogao de um certificado identificado; b)Assolicitaesderevogao,bemcomoasaesdelasdecorrentessero registradas e armazenadas pela AC CERTISIGN RFB; c)As justificativas para a revogao de um certificado so registradas; d)O processo de revogao de um certificado termina com a gerao e a publicao de uma LCR que contenha o certificado revogado e com a atualizao do status do certificadonarespostaOCSPbasededadosdaACCERTISIGNRFB,quando aplicvel. 4.4.3.3. O prazo mximo para concluso do processo final de revogao do certificado pela ACCERTISIGNRFB,apsaconclusodoprocessodeaceiteeregistrodasolicitaode revogao de 12 (doze) horas. DPC da AC CERTISIGN RFB - V. 6.2 25/51 4.4.3.4. No se aplica. 4.4.3.5. A AC CERTISIGN RFB responde plenamente por todos os danos causados pelo uso de um certificado no perodo compreendido da solicitao de sua revogao e a emisso da LCR correspondente, na forma do item 2.3.2. 4.4.3.6. No se aplica. 4.4.4.Prazo para solicitao de revogao 4.4.4.1.Asolicitaoderevogaotemqueserimediataquandoconfiguradasas circunstncias definidas no item 4.4.1 desta DPC.O prazo para aceitao do certificado pelo seu titular de 3 (trs) dias, dentro do qual a revogao desse certificado pode ser solicitada sem cobrana de tarifa de revogao. 4.4.4.2. No se aplica.4.4.5.Circunstncias para suspenso A suspenso de certificados no admitida no mbito da ICP-Brasil. 4.4.6.Quem pode solicitar suspenso A suspenso de certificados no admitida no mbito da ICP-Brasil. 4.4.7.Procedimento para solicitao de suspenso A suspenso de certificados no admitida no mbito da ICP-Brasil. 4.4.8.Limites no perodo de suspenso A suspenso de certificados no admitida no mbito da ICP-Brasil. 4.4.9.Freqncia de emisso de LCR 4.4.9.1. Neste item definida a freqncia para a emisso de LCR referente a certificados de usurios finais. 4.4.9.2.AfreqnciamximaadmitidaparaaemissodeLCRparaoscertificadosde usurios finais de 6 horas. 4.4.9.3. No se aplica. 4.4.9.4. No se aplica. 4.4.10.Requisitos para verificao de LCR 4.4.10.1. A verificao da validade do certificado na respectiva LCR obrigatria, antes do mesmo ser utilizado.4.4.10.2.TambmobrigatriaaverificaodaautenticidadedaLCR,pormeiodas verificaes da assinatura da AC CERTISIGN RFB e do perodo de validade da LCR. DPC da AC CERTISIGN RFB - V. 6.2 26/51 4.4.11.Disponibilidade para revogao ou verificao de status on-line A AC CERTISIGN RFB suporta os processos de revogao de certificados de forma on-line quando aplicvel por fora de contratao especfica.AACCERTISIGNRFBsuportaverificaodasituaodeestadodecertificadosdeforma on-line quando aplicvel por fora de contratao especfica. A verificao da situao de um certificado dever ser feita diretamente naAC CERTISIGN RFB, por meio do protocolo OCSP (On-line Certificate Status Protocol). 4.4.12.Requisitos para verificao de revogao on-line No se aplica. 4.4.13.Outras formas disponveis para divulgao de revogao No se aplica. 4.4.14.Requisitosparaverificaodeoutrasformasdedivulgaode revogao No se aplica. 4.4.15.Requisitos especiais para o caso de comprometimento de chave 4.4.15.1.Otitulardecertificadodevenotificarimediatamente,atravsdesolicitaoon-line de revogao de certificado, AR responsvel caso ocorra perda, roubo, modificao, acessoindevido,comprometimentooususpeitadecomprometimentodesuachave privada.Nessasolicitaosoregistradasascircunstnciasdecomprometimento, observando o previsto no item 4.4.3.4.4.15.2. O titular do certificado pode ainda comunicar a perda, roubo, modificao, acesso indevido,comprometimentooususpeitadecomprometimentodesuachaveprivada diretamentenaARResponsvel,assinandoformulriodesolicitaoderevogao, observado o item 4.4.3 da PC correspondente.Todososdocumentoserelatriosrelativossoarquivadosapsaconclusodeste processo. 4.5.Procedimentos de Auditoria de Segurana Nositensseguintessodescritosaspectosdossistemasdeauditoriaederegistrode eventosimplementadospelaACCERTISIGNRFBcomoobjetivodemanterumambiente seguro. 4.5.1.Tipos de eventos registrados 4.5.1.1.AACCERTISIGNRFBregistraemarquivosdeauditoriatodososeventos relacionadosseguranadoseusistemadecertificao.Osseguinteseventosso obrigatoriamente includos em arquivos de auditoria: a)iniciao e desligamento do sistema de certificao; b)tentativasdecriar,remover,definirsenhasoumudarprivilgiosdesistemados operadores da AC CERTISIGN RFB; c)mudanas na configurao dos sistemas AC CERTISIGN RFB ou nas suas chaves; d)mudanas nas polticas de criao de certificados; e)tentativas de acesso (login) e de sada do sistema (logoff); DPC da AC CERTISIGN RFB - V. 6.2 27/51 f)tentativas no-autorizadas de acesso aos arquivos do sistema; g)gerao de chaves prprias da AC CERTISIGN RFBou de chaves de seus usurios finais; h)emisso e revogao de certificados; i)gerao de LCR; j)tentativasdeiniciar,remover,habilitaredesabilitarusuriosdesistemasede atualizar e recuperar suas chaves; k)operaesfalhasdeescritaouleituranorepositriodecertificadosedaLCR, quando aplicvel; e l)operaes de escrita nesse repositrio, quando aplicvel. 4.5.1.2.AACCERTISIGNRFBtambmregistra,eletrnicaoumanualmente,informaes de segurana no geradas diretamente pelo seu sistema de certificao, tais como: a)registros de acessos fsicos; b)manuteno e mudanas na configurao de seus sistemas; c)mudanas de pessoal e perfis qualificados; d)relatrios de discrepncia e comprometimento; e e)registrosdedestruiodemdiasdearmazenamentocontendochaves criptogrficas, dados de ativao de certificados ou informao pessoal de usurios. 4.5.1.3.AsinformaesregistradaspelaACCERTISIGNRFBsotodasasdescritasnos itens acima. 4.5.1.4.Osregistrosdeauditoria,eletrnicosoumanuais,contmadataeahorado evento registrado e a identidade do agente que o causou. 4.5.1.5.AdocumentaorelacionadaaosserviosdaACCERTISIGNRFBarmazenada, eletrnica ou manualmente, em local nico, de forma estruturada para facilitar o acesso e consultanosprocessosdeauditoria,paraatenderaPOLTICADESEGURANADAICP-BRASIL [8]. 4.5.1.6. As AR vinculadas AC CERTISIGN RFB registram eletronicamente em arquivos de auditoria todos os eventos relacionados validao e aprovao da solicitao, bem como, revogaodecertificados.Osseguinteseventossoobrigatoriamenteincludosem arquivos de auditoria: a)os agentes de registro que realizaram as operaes; b)data e hora das operaes; c)aassociaoentreosagentesquerealizaramavalidaoeaprovaoeo certificado gerado; d)a assinatura digital do executante. 4.5.1.7.AACCERTISIGNRFBdefine,emdocumentodisponvelnasauditoriasde conformidade,olocaldearquivamentodascpiasdosdocumentosparaidentificao apresentadasnomomentodasolicitaoerevogaodecertificadosedotermode titularidade. 4.5.2.Freqncia de auditoria de registros (logs) AperiodicidadecomqueosregistrosdeauditoriadaACCERTISIGNRFBsoanalisados pelo pessoal operacional de uma semana.Todososeventossignificativossoexplicadosemrelatriodeauditoriaderegistros.Tal anliseenvolveumainspeobrevedetodososregistros,comaverificaodequeno foramalterados,seguidadeumainvestigaomaisdetalhadadequaisqueralertasou DPC da AC CERTISIGN RFB - V. 6.2 28/51 irregularidades nesses registros. Todas as aes tomadas em decorrncia dessa anlise so documentadas. 4.5.3.Perodo de reteno para registros (logs) de auditoria A AC CERTISIGN RFB mantm localmente os seus registros de auditoria por, pelo menos, 2 (dois) meses e, subseqentemente, armazena-os da maneira descrita no item 4.6. 4.5.4.Proteo de registro (log) de auditoria 4.5.4.1. O sistema de registro de eventos de auditoria inclui mecanismos para proteger os arquivosdeauditoriacontraleiturano-autorizada,modificaoeremooatravsdas funcionalidadesnativasdossistemasoperacionais.Asferramentasdisponveisnosistema operacionalliberamosacessoslgicosaosregistrosdeauditoriasomenteausuriosou aplicaesautorizadas,atravsdepermissesdadaspeloadministradordosistemade acordocomafunodosusuriosouaplicaeseorientaododepartamentode segurana.Oprpriosistemaoperacionaltambmregistraosacessosaosarquivosondeesto armazenados os registros de auditoria. 4.5.4.2.Informaesmanuaisdeauditoriatambmsoprotegidascontraaleiturano autorizada,modificaoeremooatravsdecontrolesdeacessoaosambientesfsicos onde so armazenados estes registros.4.5.4.3.OsmecanismosdeproteodescritosobedecemPolticadeSeguranadaAC CERTISIGN RFB, em conformidade com a POLTICA DE SEGURANA DA ICP-BRASIL [8]. 4.5.5.Procedimentos para cpia de segurana (backup) de registro (log) de auditoria OsregistrosdeeventosesumriosdeauditoriadosequipamentosutilizadospelaAC CERTISIGN RFB tm cpias de segurana semanais, feitas, automaticamente pelo sistema oumanualmentepelosadministradoresdesistemas.Estascpiassoenviadasao departamento de segurana.4.5.6.Sistema de coleta de dados de auditoria O sistema de coleta de dados de auditoria interno AC CERTISIGN RFB uma combinao de processos automatizados e manuais, executada por seu pessoal operacional ou por seus sistemas.4.5.7.Notificao de agentes causadores de eventos Quando um evento registrado pelo conjunto de sistemas de auditoria daAC CERTISIGN RFB,nenhumanotificaoenviadapessoa,organizao,dispositivoouaplicaoque causou o evento. 4.5.8.Avaliaes de vulnerabilidadeOseventosqueindiquempossvelvulnerabilidade,detectadosnaanliseperidicados registrosdeauditoriadaACCERTISIGNRFB,soanalisadosdetalhadamentee, dependendo de sua gravidade, registrados em separado. Aes corretivas decorrentes so implementadas pela AC CERTISIGN RFBe registradas para fins de auditoria. DPC da AC CERTISIGN RFB - V. 6.2 29/51 4.6.Arquivamento de Registros 4.6.1.Tipos de registros arquivados a)solicitaes de certificados; b)solicitaes e justificativas de revogao de certificados; c)notificaes de comprometimento de chaves privadas; d)emisses e revogaes de certificados; e)emisses de LCR; f)trocas de chaves criptogrficas da AC CERTISIGN RFB; e g)informaes de auditoria previstas no item 4.5.1. 4.6.2.Perodo de reteno para arquivo a)as LCRs e os certificados de assinatura digital so retidos permanentemente, para fins de consulta histrica; b)as cpias dos documentos para identificao apresentadas no momento da solicitao e darevogaodecertificados,eostermosdetitularidadeeresponsabilidadeso retidos, no mnimo, por 10 (dez) anos, a contar da data de expirao ou revogao do certificado.Oprazoderetenojemcurso,quandodaalteraodestaalnea,ser reiniciado; e c)as demais informaes, inclusive os arquivos de auditoria, so retidas por, no mnimo, 6 (seis) anos. 4.6.3.Proteo de arquivo Todososregistrossoclassificadosearmazenadoscomrequisitosdesegurana compatveiscomessaclassificao,conformeaPOLTICADESEGURANADAICP-BRASIL [8]. 4.6.4.Procedimentos para cpia de segurana (backup) de arquivo 4.6.4.1.AACCERTISIGNRFBestabelecequeumasegundacpiadetodoomaterial arquivado armazenada em local externo AC CERTISIGN RFB, recebendo o mesmo tipo de proteo utilizada por ela no arquivo principal. 4.6.4.2.Ascpiasdeseguranaseguemosperodosderetenodefinidosparaos registros dos quais so cpias. 4.6.4.3.AACCERTISIGNRFBverificaaintegridadedessascpiasdesegurana,no mnimo, a cada 6 (seis) meses. 4.6.5.Requisitos para datao (time-stamping) de registros Informaesdedataehoranosregistrosbaseiam-senohorrioGreenwichMeanTime (Zulu),incluindosegundos(noformatoYYMMDDHHMMSSZ),mesmoseonmerode segundos for zero. Nos casos em que por algum motivo os documentos formalizem o uso de outro formato, ele ser aceito. 4.6.6.Sistema de coleta de dados de arquivo TodosossistemasdecoletadedadosdearquivoutilizadospelaACCERTISIGNRFBem seus procedimentos operacionais so automatizados e manuais e internos. DPC da AC CERTISIGN RFB - V. 6.2 30/51 4.6.7.Procedimentos para obter e verificar informao de arquivo AverificaodeinformaodearquivodevesersolicitadaformalmenteACCERTISIGN RFB,identificandodeformaprecisaotipoeoperododainformaoaserverificada.O solicitante da verificao de informao devidamente identificado. 4.7.Troca de chave 4.7.1. O titular do certificado pode solicitar um novo certificado antes da data de expirao doseucertificadoaindavlido,atravsdeformulrioespecfico,disponibilizadopelaAR Responsvel, por onde encaminhado o processo de fornecimento de novo certificado. A AR que recebeu e validou o pedido de emisso do certificado envia uma comunicao ao titulardocertificado,30(trinta)diasantesdadatadeexpiraodomesmo,juntocom instrues para a solicitao de um novo certificado. Acomunicaodeexpirao,juntocomasinstruesparaasolicitaodeumnovo certificado realizada atravs de e-mail enviado ao titular do certificado. 4.7.2. No se aplica. 4.8.Comprometimento e Recuperao de Desastre AACCERTISIGNRFBpossuiumPlanodeContinuidadedeNegciostestadoanualmente para garantir a continuidade de seus servios crticos. 4.8.1.Recursos computacionais, software, e dados corrompidos Emcasodesuspeitadecorrupodedados,softwarese/ourecursoscomputacionais,o fato comunicado ao Gerente de Segurana da AC CERTISIGN RFB, que decreta o incio da fase de resposta. Nessa fase, uma rigorosa inspeo realizada para verificar a veracidade dofatoeasconseqnciasqueomesmopodegerar.Esseprocedimentorealizadopor um grupo pr-determinado de funcionrios devidamente treinados para essa situao. Caso haja necessidade, o Gerente de Segurana decretar a contingncia.4.8.2.Certificado de entidade revogado EmcasoderevogaodocertificadodaACCERTISIGNRFBoGerentedeSegurana, juntamente com a Superviso de PKI da AC CERTISIGN RFB, revogar todos os certificados subseqentes.Ostitularesdoscertificadosrevogadosseroinformados.AACCERTISIGN RFB emitir certificados em substituio aos revogados com data de expirao coincidente com a do certificado revogado. 4.8.3.Chave da entidade comprometida EmcasodesuspeitadecomprometimentodechavedaACCERTISIGNRFB,ofato imediatamente comunicado ao Gerente deSeguranaque, juntamente com a Superviso de PKI da AC CERTISIGN RFB, decretam o incio da fase resposta e seguiro um plano de aoparaanalisaraveracidadeeadimensodofato.Casohajanecessidade,ser declarada a contingncia e ento as seguintes providncias sero tomadas: a)Todos os certificados afetados sero revogados e as partes sero notificadas. b)Cerimniasespecficasserorealizadasparageraodenovosparesde chaves.IssonoacontecerseaACCERTISIGNRFBestiver encerrandosuas atividades DPC Item 4.9. DPC da AC CERTISIGN RFB - V. 6.2 31/51 4.8.4.Segurana dos recursos aps desastre natural ou de outra natureza Emcasodedesastrenaturaloudeoutranatureza,comoporexemplo,incndioou inundaoouemcasodeimpossibilidadedeacessoaosite,oDepartamentode Infraestrutura, responsvel pela contingncia, notifica o Gerente de Segurana e segue um procedimento que descreve detalhadamente os passos a serem seguidos para: a)garantir a integridade fsica das pessoas que se encontram nas instalaes da AC CERTISIGN RFB; b)monitorar e controlar o foco da contingncia; c)minimizarosdanosaosativosdeprocessamentodacompanhia,deformaa evitar a descontinuidade dos servios. 4.8.5.Atividades das Autoridades de RegistroAsARvinculadasACCERTISIGNRFBpossuemumPlanodeContinuidadedeNegcios testadoanualmenteparagarantirarecuperao,totalouparcialdasatividadesdasAR, contendo, no mnimo as seguintes informaes: a)identificaodoseventosquepodemcausarinterrupesnosprocessosdo negcio, por exemplo falha de equipamentos, inundaes e incndios; b)identificao e concordncia de todas as responsabilidades e procedimentos de emergncia; c)implementao dos procedimentos de emergncia que permitam a recuperao e restaurao nos prazosnecessrios. Ateno especial dada avaliao da recuperaodasdocumentaesarmazenadasnasinstalaestcnicas atingidas pelo desastre; d)documentao dos processos e procedimentos acordados; e)treinamentoadequadodopessoalnosprocedimentoseprocessosde emergncia definidos, incluindo o gerenciamento de crise; f)teste e atualizao dos planos. 4.9.Extino dos servios de AC, AR ou PSS 4.9.1.Observado odispostono item4 do documentoCRITRIOSEPROCEDIMENTOSPARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [6], este item descreve os requisitos e procedimentos adotados nos casos de extino dos servios daAC CERTISIGN RFB ou de uma AR ou PSS a ela vinculados.4.9.2.NocasodeencerramentodasatividadescomoACdaICP-Brasil,aACCERTISIGN RFB segue os requisitos e procedimentos descritos no documento Plano de Encerramento. Esseplanotemabordagemmultidisciplinarenvolvendoaspectosdevariasreasda companhia,comojurdico,comercial,tcnicos/tecnolgicos,entreoutros.Deacordocom esse plano a AC CERTISIGN RFB: a)ComunicarpublicamenteaextinodosserviosdaACCERTISIGNRFB, atravs de publicao em jornal de grande circulao. b)RevogartodososcertificadosgeradospelaACCERTISIGNRFBnosprazos estipuladosnasPCimplementadasapsapublicaoecomunicarspartes afetadas atravs de mensagem eletrnica. c)Extinguir os servios de emisso de certificados. d)Extinguirosserviosderevogao,comoemissodaLCRe/ouconservao dosserviosdestatuson-lineapsarevogaocompletadetodosos certificados. e)DestruirachaveprivadadaACCERTISIGNRFBextintaseguindoo procedimento descrito na DPC Item 6.2.9. f)TransferirosdadosegravaesdaACCERTISIGNRFBparaaAutoridade Certificadora sucessora, aprovada pela AC Raiz. O perodo no qual os mesmos ficaro armazenados est descrito na DPC item 4.6. g)TransferiraschavespblicasdoscertificadosemitidospelaACCERTISIGN RFBparaseremarmazenadasporoutraACaprovadapelaACRaiz.Quando DPC da AC CERTISIGN RFB - V. 6.2 32/51 houvermaisdeumaACinteressada,assumiraresponsabilidadedo armazenamento das chaves pblicas, aquela indicada pela AC CERTISIGN RFB. CasoaschavespblicasnosejamassumidasporoutraAC,osdocumentos referentesaoscertificadosdigitaiseasrespectivaschavespblicassero repassados AC Raiz. h)Oresponsvelpelaguardadessesdadoseregistrosobservarosmesmos requisitos de segurana exigidos para a AC CERTISIGN RFB. i)Transferir, quando aplicvel, a documentao dos certificados digitais emitidos AC que tenha assumido a guarda das respectivas chaves pblicas. NocasodeencerramentodasatividadescomoARvinculadaaACCERTISIGNRFBaAR dever seguir os seguintes requisitos e procedimentos : a)ComunicarpublicamenteaextinodosserviosdeARvinculadaAC CERTISIGN RFB, atravs de publicao em jornal de grande circulao. b)Extinguirosserviosderecebimentoevalidaodepedidosdeemissode certificados; c)Ficar responsvel pela guarda dos documentos, dados e registros relativos aos pedidosdeemissodecertificadosparaaACCERTISIGNRFB,devendo fornec-lossemprequesolicitadapeloTitular,oupelaACCERTISIGNRFB.O perodo no qual os mesmos ficaro armazenados est descrito na DPC item 4.6. Em caso de falncia ou extino da AR a documentao e registros relativos emisso de certificados dever ser entregue para guarda da AC CERTISIGN RFB. No caso de encerramento das atividades como PSS vinculada aAC CERTISIGN RFB, a AC CERTISIGNRFB,diretamenteouporintermdiodaAR,deverseguirosseguintes requisitos e procedimentos : a)Publicar, em sua pgina web, informao sobre o descredenciamento do PSS e o credenciamento de novo PSS, se for o caso; b)Manter a guarda de toda a documentao comprobatria em seu poder. 5.CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL 5.1.Controles Fsicos 5.1.1.Construo e localizao das instalaes 5.1.1.1.AlocalizaoeosistemadecertificaodaACCERTISIGNRFBnoso publicamenteidentificados.Nohidentificaopblicaexternadasinstalaese, internamente,noexistemambientescompartilhadosquepermitamvisibilidadedas operaesdeemissoerevogaodecertificados.Essasoperaessosegregadasem compartimentos fechados e fisicamente protegidos. 5.1.1.2.Asinstalaesparaequipamentosdeapoio,taiscomomquinasdear condicionado, grupos geradores, no-breaks, baterias, quadros de distribuio de energia e detelefonia,subestaes,retificadores,estabilizadoresesimilaresficamemambiente seguro. Asinstalaesparasistemasdetelecomunicaes,subestaeseretificadoresficamem ambiente seguro com entrada e sada controlada. Existem sistemas de aterramento e de proteo contra descargas atmosfricas Existeiluminaodeemergnciaemtodososambientesdenvel4,almdasreas cobertas por cmeras de monitoramento. DPC da AC CERTISIGN RFB - V. 6.2 33/51 5.1.2.Acesso fsico nas instalaes de AC A AC CERTISIGN RFB possui sistema de controle de acesso fsico que garante a segurana de sua