Escolar Documentos
Profissional Documentos
Cultura Documentos
DECLARAO DE PRTICAS
DE CERTIFICAO
DA
AUTORIDADE CERTIFICADORA
CAIXA PESSOA FSICA
(DPC DA AC CAIXA PF)
Verso 2.0
24 de Agosto de 2006
NDICE
1. INTRODUO ..........................................................................................................................................8
1.1. Viso Geral............................................................................................................................................8
1.2. Identificao .........................................................................................................................................8
1.3. Comunidade e Aplicabilidade .............................................................................................................8
1.3.1. Autoridades Certificadoras ..............................................................................................................................8
1.3.2. Autoridades de Registro ..................................................................................................................................8
1.3.3. Prestador de Servio de Suporte ......................................................................................................................8
1.3.4. Titulares de Certificado ...................................................................................................................................9
1.3.5. Aplicabilidade .................................................................................................................................................9
1.4. Dados de Contato.................................................................................................................................9
1.4.1. Instituio ........................................................................................................................................................9
1.4.2. Pessoa para contato: ........................................................................................................................................9
2. DISPOSIES GERAIS...........................................................................................................................9
2.1. Obrigaes e direitos...........................................................................................................................9
2.1.1. Obrigaes da AC CAIXA PF.........................................................................................................................9
2.1.2. Obrigaes das AR vinculadas AC CAIXA PF..........................................................................................11
2.1.3. Obrigaes do Titular do Certificado ............................................................................................................11
2.1.4. Direitos da terceira parte (Relying Party) ......................................................................................................11
2.1.5. Obrigaes do Repositrio ............................................................................................................................12
2.2. Responsabilidades.............................................................................................................................12
2.2.1. Responsabilidades da AC CAIXA PF ...........................................................................................................12
2.2.2. Responsabilidades da AR ..............................................................................................................................12
2.3. Responsabilidade Financeira............................................................................................................12
2.3.1. Indenizaes devidas pela terceira parte (Relying Party) ..............................................................................12
2.3.2. Relaes Fiducirias......................................................................................................................................12
2.3.3. Processos Administrativos.............................................................................................................................13
2.4. Interpretao e Execuo..................................................................................................................13
2.4.1. Legislao......................................................................................................................................................13
2.4.2. Forma de interpretao e notificao.............................................................................................................13
2.4.3. Procedimentos de soluo de disputa ............................................................................................................13
2.5. Tarifas de Servio ..............................................................................................................................13
2.5.1. Tarifas de emisso e renovao de certificados.............................................................................................13
2.5.2. Tarifas de acesso ao certificado.....................................................................................................................14
2.5.3. Tarifas de revogao ou de acesso a informao de status............................................................................14
2.5.4. Tarifas para outros servios...........................................................................................................................14
2.5.5. Poltica de reembolso ....................................................................................................................................14
2.6. Publicao e Repositrio ..................................................................................................................14
2.6.1. Publicao de informao da AC CAIXA PF ...............................................................................................14
2.6.2. Freqncia de publicao ..............................................................................................................................14
2.6.3. Controles de acesso .......................................................................................................................................14
2.6.4. Repositrios...................................................................................................................................................15
2.7. Fiscalizao e Auditoria de Conformidade......................................................................................15
Verso 2.0
18 de agosto de 2006
Pgina 2
Verso 2.0
18 de agosto de 2006
Pgina 3
Pgina 4
Pgina 5
Verso 2.0
18 de agosto de 2006
Pgina 6
LISTA DE ACRNIMOS
AC - Autoridade Certificadora
AC Raiz - Autoridade Certificadora Raiz da ICP-Brasil
AR - Autoridades de Registro
CEI - Cadastro Especfico do INSS
CG - Comit Gestor
CMM-SEI - Capability Maturity Model do Software Engineering Institute
CMVP - Cryptographic Module Validation Program
CN - Common Name
CNE - Carteira Nacional de Estrangeiro
CNPJ - Cadastro Nacional de Pessoas Jurdicas
COBIT - Control Objectives for Information and related Technology
COSO - Comitee of Sponsoring Organizations
CPF - Cadastro de Pessoas Fsicas
DMZ - Zona Desmilitarizada
DN - Distinguished Name
DPC - Declarao de Prticas de Certificao
ICP-Brasil - Infra-Estrutura de Chaves Pblicas Brasileira
IDS - Sistemas de Deteco de Intruso
IEC - International Electrotechnical Commission
ISO International Organization for Standardization
ITSEC - European Information Technology Security Evaluation Criteria
ITU - International Telecommunications Union
LCR - Lista de Certificados Revogados
NBR - Norma Brasileira
NIS - Nmero de Identificao Social
NIST - National Institute of Standards and Technology
OCSP - Online Certificate Status Protocol
OID - Object Identifier
OU - Organization Unit
PASEP - Programa de Formao do Patrimnio do Servidor Pblico
PC - Polticas de Certificado
PCN - Plano de Continuidade de Negcio
PIS - Programa de Integrao Social
POP - Proof of Possession
PS - Poltica de Segurana
PSS - Prestadores de Servio de Suporte
RFC Request For Comments
RG - Registro Geral
SNMP - Simple Network Management Protocol
TCSEC - Trusted System Evaluation Criteria
TSDM - Trusted Software Development Methodology
UF - Unidade de Federao
URL - Uniform Resource Location
Verso 2.0
18 de agosto de 2006
Pgina 7
1. INTRODUO
1.1. Viso Geral
1.1.1 A presente Declarao de Prticas de Certificao, a seguir denominada como DPC
da AC CAIXA PF, o documento que descreve as prticas e os procedimentos
empregados pela Autoridade Certificadora CAIXA Pessoa Fsica, a seguir denominada
como AC CAIXA PF, na execuo de seus servios para emisso e administrao de
certificados sob a Autoridade Certificadora Raiz, a seguir denominada como AC-RAIZ, da
ICP-BRASIL (Infra-Estrutura de Chaves Pblicas Brasileira).
1.1.2 Esta DPC adota a estrutura empregada no mbito da ICP-BRASIL.
1.2. Identificao
Esta DPC pertence AC CAIXA PF, denominada DPC da AC CAIXA PF e identificada
pelo OID (Object Identifier) 2.16.76.1.2.1.8.
1.3. Comunidade e Aplicabilidade
1.3.1. Autoridades Certificadoras
Esta DPC refere-se AC CAIXA PF, integrante da ICP-Brasil (Infra-Estrutura de Chaves
Pblicas Brasileira), com sede em Braslia, SBS Quadra 04 Lotes 3 e 4, CEP: 70092-900,
CNPJ: 00.360.305/0001-04.
1.3.2. Autoridades de Registro
1.3.2.1. Os processos de recebimento, validao e encaminhamento de solicitaes de
emisso ou de revogao de certificados digitais e de identificao de seus solicitantes so
de competncia da Caixa Econmica Federal, a seguir referida como AR CAIXA ou AR, as
informaes
abaixo
relacionadas
esto
disponveis
na
pgina
Web
(http://icp.caixa.gov.br/asp/agencias_credenciadas.asp):
a) informaes sobre as PC implementadas;
b) endereos de todas as instalaes tcnicas, autorizadas pela AC Raiz a funcionar;
c) relao dos postos provisrios autorizados pela AC Raiz a funcionar, com data de
criao e encerramento de atividades;
d) relao de AR que tenham se descredenciado da cadeia da AC CAIXA PF, com
respectiva data do descredenciamento;
e) relao de instalaes tcnicas credenciada que tenham deixado de operar, com
respectiva data de encerramento das atividades;
f) acordos operacionais celebrados pela AR CAIXA com outras AR da ICP-Brasil, se
for o caso.
1.3.2.2 A AC CAIXA PF mantm as informaes acima sempre atualizadas.
1.3.3. Prestador de Servio de Suporte
1.3.3.1 A relao de todos os Prestadores de Servios de Suporte PSS vinculados AC
CAIXA PF esto disponveis na pgina Web (http://icp.caixa.gov.br/asp/repositorio.asp).
Verso 2.0
18 de agosto de 2006
Pgina 8
Verso 2.0
18 de agosto de 2006
Pgina 9
j)
Pgina 10
j)
Pgina 11
sua
emisso
na
pgina
Web
b) estar disponvel para consulta durante 24 (vinte e quatro) horas por dia, 7 (sete) dias
por semana; e
c) implementar os recursos necessrios para a segurana dos dados nele
armazenados.
2.2. Responsabilidades
2.2.1. Responsabilidades da AC CAIXA PF
2.2.1.1 A AC CAIXA PF responde pelos danos a que der causa.
2.2.1.2 A AC CAIXA PF, responde solidariamente pelos atos das entidades de sua cadeia
de certificao: AR e PSS.
2.2.2. Responsabilidades da AR
A AR ser responsvel pelos danos a que der causa.
2.3. Responsabilidade Financeira
2.3.1. Indenizaes devidas pela terceira parte (Relying Party)
No existe responsabilidade da terceira parte (Relying Party) perante a AC CAIXA PF ou
AR a ela vinculadas, exceto na hiptese de prtica de ato ilcito.
2.3.2. Relaes Fiducirias
2.3.2.1 A AC CAIXA PF dispe de uma aplice de seguro de responsabilidade civil que se
estende a todos titulares de certificados digitais por ela emitidos.
2.3.2.2 A AC CAIXA PF ou AR indenizar integralmente os danos que comprovadamente
der causa.
2.3.2.3 A aplice de seguro de responsabilidade civil cobre perdas e danos decorrentes de
comprometimento da chave privada da AC CAIXA PF, de erro na identificao do titular, de
emisso defeituosa do certificado ou de erros ou omisses da AC CAIXA PF e das AR
vinculadas na prestao de seus servios.
Verso 2.0
18 de agosto de 2006
Pgina 12
Pgina 13
Verso 2.0
18 de agosto de 2006
Pgina 14
Verso 2.0
18 de agosto de 2006
Pgina 15
Pgina 16
Pgina 17
Verso 2.0
18 de agosto de 2006
Pgina 18
Pgina 19
3.1.9.2.3. Para tanto, o titular dever apresentar a documentao respectiva, caso a caso,
em sua verso original. mantido arquivo com as cpias de todos os documentos
utilizados.
NOTA 1: permitida a substituio dos documentos elencados acima por documento
nico, desde que este seja oficial e contenha as informaes constantes daqueles.
NOTA 2: O carto CPF poder ser substitudo por consulta pgina da Receita Federal,
devendo a cpia da mesma ser arquivada junto documentao, para fins de auditoria.
3.1.10. Autenticao da identidade de uma organizao
3.1.10.1. Disposies Gerais
3.1.10.1.1. Neste item so definidos os procedimentos empregados pelas AR vinculadas
para a confirmao da identidade de uma pessoa jurdica.
3.1.10.1.2. Em sendo o titular do certificado pessoa jurdica, ser designada pessoa fsica
como responsvel pelo certificado, que ser a detentora da chave privada.
Preferencialmente, ser designado como responsvel pelo certificado o representante legal
da pessoa jurdica ou um de seus representantes legais.
3.1.10.1.3. Dever ser feita a confirmao da identidade da organizao e das pessoas
fsicas, nos seguintes termos:
a) apresentao do rol de documentos elencados no item 3.1.10.2;
b) apresentao do rol de documentos elencados no item 3.1.9.1 do(s) representante(s)
legal(is) da pessoa jurdica e do responsvel pelo uso do certificado;
c) presena fsica do responsvel pelo uso do certificado e assinatura do termo de
responsabilidade de que trata o item 4.1.1; e
d) presena fsica do(s) representante(s) legal(is) da pessoa jurdica e assinatura do
termo de titularidade de que trata o item 4.1.1.
3.1.10.2. Documentos para efeitos de identificao de uma organizao
A confirmao da identidade de uma pessoa jurdica dever ser feita mediante a
apresentao de, no mnimo, os seguintes documentos:
a) Relativos a sua habilitao jurdica:
i. ato constitutivo, devidamente registrado no rgo competente; e
ii. documentos da eleio de seus administradores, quando aplicvel;
b) Relativos a sua habilitao fiscal:
i. prova de inscrio no Cadastro Nacional de Pessoas Jurdicas CNPJ; ou
ii. prova de inscrio no Cadastro Especfico do INSS CEI.
3.1.10.3. Informaes contidas no certificado emitido para uma organizao
3.1.10.3.1. No se aplica.
3.1.10.3.2. No se aplica.
3.1.11. Autenticao da identidade de equipamento ou aplicao
3.1.11.1. Disposies Gerais
Verso 2.0
18 de agosto de 2006
Pgina 20
Pgina 21
pr-cadastramento
da
solicitao
atravs
do
Site
Pgina 22
Verso 2.0
18 de agosto de 2006
Pgina 23
Pgina 24
4.4.3.2.1 O procedimento de revogao pode ser feito de acordo com uma das trs opes
abaixo:
a) Solicitaes de revogao de certificados podem ser feitas por meio de acesso
pgina Web http://icp.caixa.gov.br/asp/revocacao.asp da AC CAIXA PF, que
preenchida e assinada digitalmente com o certificado vlido do titular ou
responsvel;
b) Caso o titular do certificado no esteja de posse da mdia de armazenamento ou
tenha esquecido a senha de acesso ao certificado, a revogao poder ser feita por
meio de acesso pgina Web http://icp.caixa.gov.br/asp/revogacao.asp da AC
CAIXA PF, que preenchida e informada a senha de revogao do certificado,
senha esta cadastrada anteriormente no momento da emisso do respectivo
certificado;
c) A solicitao tambm poder ser feita pessoalmente em uma das AR vinculadas
AC CAIXA PF. A AR proceder a confirmao inequvoca da identidade do
solicitante. Estas solicitaes ficam arquivadas na AR.
4.4.3.3 O prazo mximo admitido para a concluso do processo de revogao de
certificado, aps o recebimento da respectiva solicitao, para todos os tipos de certificado
previstos pela ICP-Brasil de 12 (doze) horas.
4.4.3.4 No se aplica.
4.4.3.5 A AC CAIXA PF responde plenamente por todos os danos causados pelo uso de
um certificado no perodo compreendido entre a solicitao de sua revogao e a emisso
da correspondente LCR.
4.4.3.6. No se aplica.
4.4.4. Prazo para solicitao de revogao
4.4.4.1 A solicitao de revogao deve ser imediata quando configuradas as
circunstncias definidas no seu item 4.4.1.
4.4.4.2 O titular do certificado pode solicitar a sua revogao no prazo de 3 (trs) dias teis
da sua emisso sem quaisquer nus.
4.4.5. Circunstncias para suspenso
A suspenso de certificados no admitida no mbito da ICP-Brasil, no sendo, portanto,
admitida no mbito da AC CAIXA PF.
4.4.6. Quem pode solicitar suspenso
A suspenso de certificados no admitida no mbito da ICP-Brasil, no sendo, portanto,
admitida no mbito da AC CAIXA PF.
4.4.7. Procedimento para solicitao de suspenso
A suspenso de certificados no admitida no mbito da ICP-Brasil, no sendo, portanto,
admitida no mbito da AC CAIXA PF.
4.4.8. Limites no perodo de suspenso
A suspenso de certificados no admitida no mbito da ICP-Brasil, no sendo, portanto,
admitida no mbito da AC CAIXA PF.
Verso 2.0
18 de agosto de 2006
Pgina 25
Verso 2.0
18 de agosto de 2006
Pgina 26
gerao de LCR;
j)
Pgina 27
Verso 2.0
18 de agosto de 2006
Pgina 28
Verso 2.0
18 de agosto de 2006
Pgina 29
Verso 2.0
18 de agosto de 2006
Pgina 30
Verso 2.0
18 de agosto de 2006
Pgina 31
Verso 2.0
18 de agosto de 2006
Pgina 32
Verso 2.0
18 de agosto de 2006
Pgina 33
Verso 2.0
18 de agosto de 2006
Pgina 34
Verso 2.0
18 de agosto de 2006
Pgina 35
Verso 2.0
18 de agosto de 2006
Pgina 36
sala-cofre de nvel 4, no exceder 50 graus Celsius, e a sala suporta esta condio por,
no mnimo, uma hora.
5.1.6. Armazenamento de mdia
A AC CAIXA PF atende a norma brasileira NBR 11.515/NB 1334 (Critrios de Segurana
Fsica Relativos ao Armazenamento de Dados).
5.1.7. Destruio de lixo
5.1.7.1 Todos os documentos em papel que contenham informaes classificadas como
sensveis so triturados antes de ir para o lixo.
Verso 2.0
18 de agosto de 2006
Pgina 37
Verso 2.0
18 de agosto de 2006
Pgina 38
Verso 2.0
18 de agosto de 2006
Pgina 39
Verso 2.0
18 de agosto de 2006
Pgina 40
Verso 2.0
18 de agosto de 2006
Pgina 41
identidade na Web, correio eletrnico, transaes on-line, redes privadas virtuais, cifrao
de chaves de sesso e assinatura de documentos eletrnicos com verificao da
integridade de suas informaes.
6.1.9.3 A chave privada da AC CAIXA PF utilizada apenas para a assinatura dos
certificados por ela emitidos e de suas LCR.
Verso 2.0
18 de agosto de 2006
Pgina 42
Pgina 43
Verso 2.0
18 de agosto de 2006
Pgina 44
Pgina 45
Verso 2.0
18 de agosto de 2006
Pgina 46
i)
Verso 2.0
18 de agosto de 2006
Pgina 47
Verso 2.0
18 de agosto de 2006
Pgina 48
Verso 2.0
18 de agosto de 2006
Pgina 49
#
$
%
&
(
)
*
+
,
.
/
:
;
=
?
@
\
22
23
24
25
26
27
28
29
2A
2B
2C
2D
2E
2F
3A
3B
3D
3F
40
5C
Pgina 50
a) Authority Key Identifier: deve conter o hash SHA1 da chave pblica da AC que assina a
LCR; e
b) CRL Number, no crtica: deve conter um nmero seqencial para cada LCR emitida
pela AC.
8. ADMINISTRAO DE ESPECIFICAO
8.1. Procedimentos de mudana de especificao
Qualquer alterao nesta DPC submetida aprovao do CG da ICP-Brasil.
Esta DPC atualizada sempre que uma nova PC seja implementada pela AC CAIXA PF.
8.2. Polticas de publicao e notificao
A
AC
CAIXA
PF
publica
esta
DPC
em
sua
pgina
Web
(http://icp.caixa.gov.br/asp/repositorio.asp). Sempre que esta DPC for atualizada,
alterado o arquivo disponibilizado na Web.
8.3. Procedimentos de aprovao
Esta DPC foi submetida aprovao durante o processo de credenciamento da AC CAIXA
PF, conforme o determinado pelo documento CRITRIOS E PROCEDIMENTOS PARA
CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [6].
9 DOCUMENTOS REFERENCIADOS
Os documentos abaixo so aprovados por Resolues do Comit Gestor da ICP-Brasil,
podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio
http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Resolues
que os aprovaram.
Ref.
[2]
[3]
[6]
[7]
[8]
Nome Documento
CRITRIOS E PROCEDIMENTOS PARA FISCALIZAO DAS
ENTIDADES INTEGRANTES DA ICP-BRASIL
CRITRIOS E PROCEDIMENTOS PARA REALIZAO DE
AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL
CRITRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS
ENTIDADES INTEGRANTES DA ICP-BRASIL
REQUISITOS MNIMOS PARA AS POLTICAS DE CERTIFICADO NA
ICP-BRASIL
POLTICA DE SEGURANA DA ICP-BRASIL
Cdigo
DOC-ICP-02
DOC-ICP-03
DOC-ICP-06
DOC-ICP-07
DOC-ICP-08
Nome Documento
CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA
ICPBRASIL
Verso 2.0
18 de agosto de 2006
Cdigo
DOC-ICP-01
Pgina 51
DOC-ICP-09
9.3 Os documentos abaixo so aprovados pela AC Raiz, podendo ser alterados, quando
necessrio, mediante publicao de uma nova verso no stio http://www.iti.gov.br.
Ref.
[4]
[5]
Nome Documento
MODELO DE TERMO DE TITULARIDADE
Cdigo
DOC-ICP-04
DOC-ICP-05
Verso 2.0
18 de agosto de 2006
Pgina 52