CAIXA Declaração de Prática de Certificação

Declarao de Prticas de Certificao da Autoridade Certificadora
CAIXA PESSOA FSICA

DPC da AC CAIXA PF
DECLARAO DE PRTICAS
DE CERTIFICAO
DA
AUTORIDADE CERTIFICADORA
CAIXA PESSOA FSICA
(DPC DA AC CAIXA PF)
Verso 2.0
24 de Agosto de 2006

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
NDICE
1. INTRODUO ..........................................................................................................................................8
1.1. Viso Geral............................................................................................................................................8
1.2. Identificao .........................................................................................................................................8
1.3. Comunidade e Aplicabilidade .............................................................................................................8
1.3.1. Autoridades Certificadoras ..............................................................................................................................8
1.3.2. Autoridades de Registro ..................................................................................................................................8
1.3.3. Prestador de Servio de Suporte ......................................................................................................................8
1.3.4. Titulares de Certificado ...................................................................................................................................9
1.3.5. Aplicabilidade .................................................................................................................................................9
1.4. Dados de Contato.................................................................................................................................9
1.4.1. Instituio ........................................................................................................................................................9
1.4.2. Pessoa para contato: ........................................................................................................................................9
2. DISPOSIES GERAIS...........................................................................................................................9
2.1. Obrigaes e direitos...........................................................................................................................9
2.1.1. Obrigaes da AC CAIXA PF.........................................................................................................................9
2.1.2. Obrigaes das AR vinculadas AC CAIXA PF..........................................................................................11
2.1.3. Obrigaes do Titular do Certificado ............................................................................................................11
2.1.4. Direitos da terceira parte (Relying Party) ......................................................................................................11
2.1.5. Obrigaes do Repositrio ............................................................................................................................12
2.2. Responsabilidades.............................................................................................................................12
2.2.1. Responsabilidades da AC CAIXA PF ...........................................................................................................12
2.2.2. Responsabilidades da AR ..............................................................................................................................12
2.3. Responsabilidade Financeira............................................................................................................12
2.3.1. Indenizaes devidas pela terceira parte (Relying Party) ..............................................................................12
2.3.2. Relaes Fiducirias......................................................................................................................................12
2.3.3. Processos Administrativos.............................................................................................................................13
2.4. Interpretao e Execuo..................................................................................................................13
2.4.1. Legislao......................................................................................................................................................13
2.4.2. Forma de interpretao e notificao.............................................................................................................13
2.4.3. Procedimentos de soluo de disputa ............................................................................................................13
2.5. Tarifas de Servio ..............................................................................................................................13
2.5.1. Tarifas de emisso e renovao de certificados.............................................................................................13
2.5.2. Tarifas de acesso ao certificado.....................................................................................................................14
2.5.3. Tarifas de revogao ou de acesso a informao de status............................................................................14
2.5.4. Tarifas para outros servios...........................................................................................................................14
2.5.5. Poltica de reembolso ....................................................................................................................................14
2.6. Publicao e Repositrio ..................................................................................................................14
2.6.1. Publicao de informao da AC CAIXA PF ...............................................................................................14
2.6.2. Freqncia de publicao ..............................................................................................................................14
2.6.3. Controles de acesso .......................................................................................................................................14
2.6.4. Repositrios...................................................................................................................................................15
2.7. Fiscalizao e Auditoria de Conformidade......................................................................................15
Verso 2.0
18 de agosto de 2006
Pgina 2

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
2.8. Sigilo....................................................................................................................................................15
2.8.1 Disposies Gerais .........................................................................................................................................15
2.8.2 Tipos de informaes sigilosas.......................................................................................................................16
2.8.3. Tipos de informaes no sigilosas ...............................................................................................................16
2.8.4. Divulgao de informao de revogao ou suspenso de certificado ..........................................................16
2.8.5. Quebra de sigilo por motivos legais ..............................................................................................................16
2.8.6. Informaes a terceiros..................................................................................................................................16
2.8.7. Divulgao por solicitao do titular.............................................................................................................16
2.8.8. Outras circunstncias de divulgao de informao......................................................................................17
2.9. Direitos de Propriedade Intelectual..................................................................................................17
3. IDENTIFICAO E AUTENTICAO...................................................................................................17
3.1. Registro Inicial....................................................................................................................................17
3.1.1. Disposies Gerais ........................................................................................................................................17
3.1.2. Tipos de nomes..............................................................................................................................................18
3.1.3. Necessidade de nomes significativos.............................................................................................................18
3.1.4. Regras para interpretao de vrios tipos de nomes ......................................................................................18
3.1.5. Unicidade de nomes ......................................................................................................................................18
3.1.6. Procedimento para resolver disputa de nomes...............................................................................................18
3.1.7. Reconhecimento, autenticao e papel de marcas registradas.......................................................................18
3.1.8. Mtodo para comprovar a posse de chave privada ........................................................................................18
3.1.9. Autenticao da identidade de um indivduo.................................................................................................19
3.1.10. Autenticao da identidade de uma organizao .........................................................................................20
3.1.11. Autenticao da identidade de equipamento ou aplicao...........................................................................20
3.2. Gerao de novo par de chaves antes da expirao do atual.......................................................21
3.3. Gerao de novo par de chaves aps revogao ..........................................................................22
3.4. Solicitao de Revogao .................................................................................................................22
4. REQUISITOS OPERACIONAIS .............................................................................................................22
4.1. Solicitao de Certificado .................................................................................................................22
4.2. Emisso de Certificado......................................................................................................................23
4.3. Aceitao de Certificado ...................................................................................................................23
4.4. Suspenso e Revogao de Certificado..........................................................................................24
4.4.1. Circunstncias para revogao ......................................................................................................................24
4.4.2. Quem pode solicitar revogao .....................................................................................................................24
4.4.3. Procedimento para solicitao de revogao .................................................................................................24
4.4.4. Prazo para solicitao de revogao ..............................................................................................................25
4.4.5. Circunstncias para suspenso.......................................................................................................................25
4.4.6. Quem pode solicitar suspenso......................................................................................................................25
4.4.7. Procedimento para solicitao de suspenso .................................................................................................25
4.4.8. Limites no perodo de suspenso...................................................................................................................25
4.4.9. Freqncia de emisso de LCR .....................................................................................................................26
4.4.10. Requisitos para verificao de LCR ............................................................................................................26
4.4.11. Disponibilidade para revogao ou verificao de status on-line................................................................26
4.4.12. Requisitos para verificao de revogao on-line .......................................................................................26
4.4.13. Outras formas disponveis para divulgao de revogao ...........................................................................26
4.4.14. Requisitos para verificao de outras formas de divulgao de revogao .................................................26
4.4.15 Requisitos especiais para o caso de comprometimento de chave .................................................................26
Verso 2.0
Pgina 3

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
4.5. Procedimentos de Auditoria de Segurana.....................................................................................26
4.5.1. Tipos de eventos registrados..........................................................................................................................27
4.5.2. Freqncia de auditoria de registros (logs)....................................................................................................28
4.5.3. Perodo de reteno para registros (logs) de auditoria...................................................................................28
4.5.4. Proteo de registro (log) de auditoria...........................................................................................................28
4.5.5. Procedimentos para cpia de segurana (backup) de registro (log) de auditoria...........................................29
4.5.6. Sistema de coleta de dados de auditoria ........................................................................................................29
4.5.7. Notificao de agentes causadores de eventos ..............................................................................................29
4.5.8. Avaliaes de vulnerabilidade.......................................................................................................................29
4.6. Arquivamento de Registros ..............................................................................................................29
4.6.1. Tipos de registros arquivados ........................................................................................................................29
4.6.2. Perodo de reteno para arquivo ..................................................................................................................29
4.6.3. Proteo de arquivo .......................................................................................................................................30
4.6.4. Procedimentos para cpia de segurana (backup) de arquivo .......................................................................30
4.6.5. Requisitos para datao (time-stamping) de registros ...................................................................................30
4.6.6. Sistema de coleta de dados de arquivo ..........................................................................................................30
4.6.7. Procedimentos para obter e verificar informao de arquivo ........................................................................30
4.7. Troca de chave ...................................................................................................................................30
4.8. Comprometimento e Recuperao de Desastre .............................................................................30
4.8.2. Certificado de entidade revogado ...............................................................................................................31
4.8.3. Chave de entidade comprometida...............................................................................................................31
4.8.4. Segurana dos recursos aps desastre natural ou de outra natureza ..............................................................31
4.8.5. Atividades das Autoridades de Registro........................................................................................................32
4.9. Extino da AC CAIXA PF .................................................................................................................32
4.9.2. Notificao ....................................................................................................................................................33
4.9.3. Chaves e certificados de Titulares de Certificados ........................................................................................33
4.9.4. PC da AC sucessora.......................................................................................................................................33
5. CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL .................................34
5.1. Controles Fsicos ...............................................................................................................................34
5.1.1. Construo e localizao das instalaes.......................................................................................................34
5.1.2. Acesso fsico nas instalaes da AC..............................................................................................................34
5.1.2.1. Nveis de acesso .........................................................................................................................................34
5.1.2.2. Sistemas fsicos de deteco.......................................................................................................................35
5.1.2.3. Sistema de controle de acesso ....................................................................................................................36
5.1.2.4. Mecanismos de emergncia........................................................................................................................36
5.1.3. Energia e ar condicionado .............................................................................................................................36
5.1.4. Exposio gua ...........................................................................................................................................37
5.1.5. Preveno e proteo contra incndio ...........................................................................................................37
5.1.6. Armazenamento de mdia..............................................................................................................................37
5.1.7. Destruio de lixo..........................................................................................................................................37
5.1.8. Instalaes de segurana (backup) externas (off-site)....................................................................................38
5.1.9. Instalaes tcnicas de AR ............................................................................................................................38
5.2. Controles Procedimentais.................................................................................................................38
5.2.1. Perfis qualificados .........................................................................................................................................38
5.2.2. Nmero de pessoas necessrias por tarefa.....................................................................................................38
5.2.3. Identificao e autenticao para cada perfil.................................................................................................39
5.3. Controles de Pessoal.........................................................................................................................39
5.3.1. Antecedentes, qualificao, experincia e requisitos de idoneidade..............................................................39
5.3.2. Procedimentos de verificao de antecedentes..............................................................................................39
5.3.3. Requisitos de treinamento .............................................................................................................................40
5.3.4. Freqncia e requisitos para reciclagem tcnica............................................................................................40
Verso 2.0
Pgina 4

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
5.3.5. Freqncia e seqncia de rodzio de cargos.................................................................................................40
5.3.6. Sanes para aes no autorizadas ..............................................................................................................40
5.3.7. Requisitos para contratao de pessoal..........................................................................................................41
5.3.8. Documentao fornecida ao pessoal..............................................................................................................41
6. CONTROLES TCNICOS DE SEGURANA........................................................................................41
6.1. Gerao e Instalao do Par de Chaves ..........................................................................................41
6.1.1. Gerao do par de chaves ..............................................................................................................................41
6.1.2. Entrega da chave privada entidade titular ...................................................................................................41
6.1.3. Entrega da chave pblica para emissor de certificado ...................................................................................41
6.1.4. Disponibilizao de chave pblica da AC para usurios ...............................................................................42
6.1.5. Tamanhos de chave .......................................................................................................................................42
6.1.6. Gerao de parmetros de chaves assimtricas .............................................................................................42
6.1.7. Verificao da qualidade dos parmetros ......................................................................................................42
6.1.8. Gerao de chave por hardware ou software ................................................................................................42
6.1.9. Propsitos de uso de chave (conforme o campo key usage na X.509 v3) ..................................................42
6.2. Proteo da Chave Privada ...............................................................................................................43
6.2.1. Padres para mdulo criptogrfico................................................................................................................43
6.2.2. Controle n de m para chave privada...........................................................................................................43
6.2.3. Recuperao (escrow) de chave privada........................................................................................................43
6.2.4. Cpia de segurana (backup) de chave privada.............................................................................................43
6.2.5. Arquivamento de chave privada ....................................................................................................................43
6.2.6. Insero de chave privada em mdulo criptogrfico .....................................................................................44
6.2.7. Mtodo de ativao de chave privada............................................................................................................44
6.2.8. Mtodo de desativao de chave privada ......................................................................................................44
6.2.9. Mtodo de destruio de chave privada.........................................................................................................44
6.3. Outros Aspectos do Gerenciamento do Par de Chaves ................................................................44
6.3.1. Arquivamento de chave pblica ....................................................................................................................44
6.3.2. Perodos de uso para as chaves pblica e privada .........................................................................................45
6.4. Dados de Ativao .............................................................................................................................45
6.4.1. Gerao e instalao dos dados de ativao ..................................................................................................45
6.4.2. Proteo dos dados de ativao .....................................................................................................................45
6.4.3. Outros aspectos dos dados de ativao..........................................................................................................45
6.5. Controles de Segurana Computacional.........................................................................................45
6.5.1. Requisitos tcnicos especficos de segurana computacional........................................................................45
6.5.2. Classificao da segurana computacional....................................................................................................46
6.6. Controles Tcnicos do Ciclo de Vida...............................................................................................47
6.6.1. Controles de desenvolvimento de sistema .....................................................................................................47
6.6.2. Controles de gerenciamento de segurana.....................................................................................................47
6.6.3. Classificaes de segurana de ciclo de vida.................................................................................................47
6.7. Controles de Segurana de Rede.....................................................................................................47
6.7.1. Diretrizes Gerais............................................................................................................................................47
6.7.2. Firewall .........................................................................................................................................................48
6.7.3. Sistema de deteco de intruso (IDS) ..........................................................................................................48
6.7.4. Registro de acessos no autorizados rede ...................................................................................................48
6.8. Controles de Engenharia do Mdulo Criptogrfico........................................................................49
7. PERFIS DE CERTIFICADO E LCR........................................................................................................49
7.1. Diretrizes Gerais.................................................................................................................................49
Verso 2.0
Pgina 5

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
7.2. Perfil do Certificado ...........................................................................................................................49
7.2.1. Nmero(s) de verso......................................................................................................................................49
7.2.2. Extenses de certificado ................................................................................................................................49
7.2.3. Identificadores de algoritmo ..........................................................................................................................49
7.2.4. Formatos de nome .........................................................................................................................................49
7.2.5. Restries de nome........................................................................................................................................49
7.2.6. OID (Object Identifier) de DPC ....................................................................................................................50
7.2.7. Uso da extenso Policy Constraints...........................................................................................................50
7.2.8. Sintaxe e semntica dos qualificadores de poltica........................................................................................50
7.2.9. Semntica de processamento para extenses crticas ....................................................................................50
7.3. Perfil de LCR.......................................................................................................................................50
7.3.1. Nmero(s) de verso......................................................................................................................................50
7.3.2. Extenses de LCR e de suas entradas............................................................................................................50
8. ADMINISTRAO DE ESPECIFICAO .............................................................................................51
8.1. Procedimentos de mudana de especificao ...............................................................................51
8.2. Polticas de publicao e notificao ..............................................................................................51
8.3. Procedimentos de aprovao ...........................................................................................................51
9 DOCUMENTOS REFERENCIADOS .......................................................................................................51
Verso 2.0
Pgina 6

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
LISTA DE ACRNIMOS
AC - Autoridade Certificadora
AC Raiz - Autoridade Certificadora Raiz da ICP-Brasil
AR - Autoridades de Registro
CEI - Cadastro Especfico do INSS
CG - Comit Gestor
CMM-SEI - Capability Maturity Model do Software Engineering Institute
CMVP - Cryptographic Module Validation Program
CN - Common Name
CNE - Carteira Nacional de Estrangeiro
CNPJ - Cadastro Nacional de Pessoas Jurdicas
COBIT - Control Objectives for Information and related Technology
COSO - Comitee of Sponsoring Organizations
CPF - Cadastro de Pessoas Fsicas
DMZ - Zona Desmilitarizada
DN - Distinguished Name
DPC - Declarao de Prticas de Certificao
ICP-Brasil - Infra-Estrutura de Chaves Pblicas Brasileira
IDS - Sistemas de Deteco de Intruso
IEC - International Electrotechnical Commission
ISO International Organization for Standardization
ITSEC - European Information Technology Security Evaluation Criteria
ITU - International Telecommunications Union
LCR - Lista de Certificados Revogados
NBR - Norma Brasileira
NIS - Nmero de Identificao Social
NIST - National Institute of Standards and Technology
OCSP - Online Certificate Status Protocol
OID - Object Identifier
OU - Organization Unit
PASEP - Programa de Formao do Patrimnio do Servidor Pblico
PC - Polticas de Certificado
PCN - Plano de Continuidade de Negcio
PIS - Programa de Integrao Social
POP - Proof of Possession
PS - Poltica de Segurana
PSS - Prestadores de Servio de Suporte
RFC Request For Comments
RG - Registro Geral
SNMP - Simple Network Management Protocol
TCSEC - Trusted System Evaluation Criteria
TSDM - Trusted Software Development Methodology
UF - Unidade de Federao
URL - Uniform Resource Location
Verso 2.0
Pgina 7

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
1. INTRODUO
1.1. Viso Geral
1.1.1 A presente Declarao de Prticas de Certificao, a seguir denominada como DPC
da AC CAIXA PF, o documento que descreve as prticas e os procedimentos
empregados pela Autoridade Certificadora CAIXA Pessoa Fsica, a seguir denominada
como AC CAIXA PF, na execuo de seus servios para emisso e administrao de
certificados sob a Autoridade Certificadora Raiz, a seguir denominada como AC-RAIZ, da
ICP-BRASIL (Infra-Estrutura de Chaves Pblicas Brasileira).
1.1.2 Esta DPC adota a estrutura empregada no mbito da ICP-BRASIL.
1.2. Identificao
Esta DPC pertence AC CAIXA PF, denominada DPC da AC CAIXA PF e identificada
pelo OID (Object Identifier) 2.16.76.1.2.1.8.
1.3. Comunidade e Aplicabilidade
1.3.1. Autoridades Certificadoras
Esta DPC refere-se AC CAIXA PF, integrante da ICP-Brasil (Infra-Estrutura de Chaves
Pblicas Brasileira), com sede em Braslia, SBS Quadra 04 Lotes 3 e 4, CEP: 70092-900,
CNPJ: 00.360.305/0001-04.
1.3.2. Autoridades de Registro
1.3.2.1. Os processos de recebimento, validao e encaminhamento de solicitaes de
emisso ou de revogao de certificados digitais e de identificao de seus solicitantes so
de competncia da Caixa Econmica Federal, a seguir referida como AR CAIXA ou AR, as
informaes
abaixo
relacionadas
esto
disponveis
na
pgina
Web
(http://icp.caixa.gov.br/asp/agencias_credenciadas.asp):
a) informaes sobre as PC implementadas;
b) endereos de todas as instalaes tcnicas, autorizadas pela AC Raiz a funcionar;
c) relao dos postos provisrios autorizados pela AC Raiz a funcionar, com data de
criao e encerramento de atividades;
d) relao de AR que tenham se descredenciado da cadeia da AC CAIXA PF, com
respectiva data do descredenciamento;
e) relao de instalaes tcnicas credenciada que tenham deixado de operar, com
respectiva data de encerramento das atividades;
f) acordos operacionais celebrados pela AR CAIXA com outras AR da ICP-Brasil, se
for o caso.
1.3.2.2 A AC CAIXA PF mantm as informaes acima sempre atualizadas.
1.3.3. Prestador de Servio de Suporte
1.3.3.1 A relao de todos os Prestadores de Servios de Suporte PSS vinculados AC
CAIXA PF esto disponveis na pgina Web (http://icp.caixa.gov.br/asp/repositorio.asp).
Verso 2.0
Pgina 8

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
1.3.3.2 Os PSS da AC CAIXA PF so entidades utilizadas para desempenhar atividades

descritas nesta DPC e na PC e se classificam, conforme o tipo de atividade prestada, na
seguinte categoria: Disponibilizao de recursos humanos especializados.
1.3.3.3. A AC CAIXA PF mantm as informaes acima sempre atualizadas.
1.3.4. Titulares de Certificado
1.3.4.1 Os titulares dos Certificados de Assinaturas Digitais emitidos pela AC CAIXA PF
so pessoas fsicas ou Aplicaes da CAIXA, cujos nomes aparecem no certificado digital
no campo Distinguished Name (DN), com exceo dos certificados emitidos para
aplicao, que conter a URL correspondente da Aplicao.
1.3.4.2 Para os certificados emitidos para Aplicao, o titular ser a pessoa fsica
solicitante do certificado, que indicar o responsvel pela chave privada.
1.3.5. Aplicabilidade
As polticas de Certificado implementadas pela AC CAIXA PF so:
a) Poltica de Certificado de Assinatura Digital Tipo A1 da AC CAIXA Pessoa Fsica,
PC A1 AC CAIXA PF, OID 2.16.76.1.2.1.8;
b) Poltica de Certificado de Assinatura Digital Tipo A3 da AC CAIXA Pessoa Fsica,
PC A3 AC CAIXA PF, OID 2.16.76.1.2.3.8.
As aplicaes para as quais so adequados os certificados emitidos pela AC CAIXA PF e,
quando cabveis, as aplicaes para as quais existam restries ou proibies para o uso
desses certificados, esto relacionadas na Poltica de Certificado correspondente.
1.4. Dados de Contato
1.4.1. Instituio
Nome: Caixa Econmica Federal
Endereo: SBS Quadra 04 Lotes 3 e 4, Braslia DF, CEP: 70092-900
Telefone: 3414 - 9905
Fax: 3414 4900
1.4.2. Pessoa para contato:
Nome: Mercules Klein
Telefone: 3206 - 7228
Fax: 3225 8942
E-mail: mercules.klein@caixa.gov.br
2. DISPOSIES GERAIS
2.1. Obrigaes e direitos
Nos itens a seguir esto descritas as obrigaes gerais das entidades envolvidas. Os
requisitos especficos associados a essas obrigaes esto detalhados nas PC (Polticas
de Certificado) implementadas pela AC CAIXA PF.
2.1.1. Obrigaes da AC CAIXA PF
a) operar de acordo com esta DPC e com a PC que implementa;
Verso 2.0
Pgina 9

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
b) gerar e gerenciar o seu par de chaves criptogrficas;

c) assegurar a proteo de suas chaves privadas;
d) notificar a AC Raiz da ICP-Brasil, emitente do seu certificado, quando ocorrer
comprometimento de sua chave privada e solicitar a imediata revogao desse
certificado;
e) notificar os seus usurios quando ocorrer suspeita de comprometimento de sua
chave privada, emisso de novo par de chaves e correspondente certificado, ou o
encerramento de suas atividades;
f) distribuir e publicar o seu prprio certificado;
g) emitir, expedir e distribuir os certificados de usurios finais;
h) informar a emisso do certificado ao respectivo solicitante;
i)
revogar, de acordo com o disposto nesta DPC e na PC implementada, os

certificados por ela emitidos;
j)
emitir, gerenciar e publicar suas Listas de Certificados Revogados (LCR). A AC

CAIXA PF no disponibiliza consulta on-line de situao do certificado (OCSP - Online Certificate Status Protocol);
k) publicar em sua pgina Web sua DPC e a PC aprovada que implementa;

l)
publicar, em sua pgina web, as informaes definidas no item 2.6.1.2 deste

documento;
m) publicar, em pgina web, informaes sobre o descredenciamento de AR bem como

sobre extino de instalao tcnica,
n) utilizar protocolo de comunicao seguro ao disponibilizar servios para os
solicitantes ou usurios de certificados digitais via web;
o) identificar e registrar todas as aes executadas, conforme as normas, prticas e
regras estabelecidas pelo CG da ICP-Brasil;
p) adotar as medidas de segurana e controle previstas nesta DPC, na PC
implementada e na Poltica de Segurana da AC CAIXA PF, que envolvem seus
processos, procedimentos e atividades, observadas as normas, critrios, prticas e
procedimentos da ICP-Brasil;
q) manter a conformidade dos seus processos, procedimentos e atividades com as
normas, prticas e regras da ICP-Brasil e com a legislao vigente;
r) manter e garantir a integridade, o sigilo e a segurana da informao por ela
tratada;
s) manter e testar anualmente seu Plano de Continuidade do Negcio;
t) manter contrato de seguro de cobertura de responsabilidade civil decorrente das
atividades de certificao digital e de registro, com cobertura suficiente compatvel
com o risco dessas atividades, e exigir sua manuteno pelas AC de nvel
subseqente ao seu, quando estas estiverem obrigadas a contrat-lo, de acordo
com as normas do Comit da ICP-Brasil;
u) informar s terceiras partes e titulares de certificado acerca das garantias,
coberturas, condicionantes e limitaes estipuladas pela Aplice de Seguro de
responsabilidade civil contratada pela AC CAIXA PF nos termos acima;
v) informar AC Raiz, mensalmente, a quantidade de certificados digitais emitidos; e
Verso 2.0
Pgina 10

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
w) no emitir certificado com prazo de validade que se estenda alm do prazo de

validade de seu prprio certificado.
2.1.2. Obrigaes das AR vinculadas AC CAIXA PF
a) receber solicitaes de emisso ou de revogao de certificados;
b) confirmar a identidade do solicitante e a validade da solicitao;
c) encaminhar a solicitao de emisso ou de revogao de certificado AC CAIXA
PF, utilizando protocolo de comunicao seguro, conforme padro definido no
documento CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA
ICPBRASIL [1];
d) informar aos respectivos titulares a emisso ou a revogao de seus certificados;
e) disponibilizar os certificados emitidos pela AC CAIXA PF aos seus respectivos
solicitantes;
f) identificar e registrar todas as aes executadas, conforme as normas, prticas e
regras estabelecidas pelo CG da ICP-Brasil;
g) manter a conformidade dos seus processos, procedimentos e atividades com as
normas, critrios, prticas e regras estabelecidas pela AC vinculada e pela ICPBrasil, em especial com o contido no documento CARACTERSTICAS MNIMAS DE
SEGURANA PARA AS AR DA ICPBRASIL [1];
h) manter e garantir a segurana da informao por elas tratada, de acordo com o
estabelecido nas normas, critrios, prticas e procedimentos da ICP-Brasil;
i)
manter e testar anualmente seu Plano de Continuidade do Negcio - PCN;
j)
proceder o reconhecimento das assinaturas e da validade dos documentos

apresentados na forma dos itens 3.1.9, 3.1.10 e 3.1.11;
k) garantir que todas as aprovaes de solicitao de certificados sejam realizadas em

instalaes tcnicas autorizadas a funcionar como AR vinculadas credenciadas.
2.1.3. Obrigaes do Titular do Certificado
a) fornecer, de modo completo e preciso, todas as informaes necessrias para sua
identificao;
b) garantir a proteo e o sigilo de suas chaves privadas, senhas e dispositivos
criptogrficos;
c) utilizar os seus certificados e chaves privadas de modo apropriado, conforme o
previsto na PC correspondente;
d) conhecer os seus direitos e obrigaes, contemplados pela DPC, pela PC
correspondente e por outros documentos aplicveis da ICP-Brasil;
e) informar AC CAIXA PF qualquer comprometimento de sua chave privada e
solicitar a imediata revogao do certificado correspondente.
NOTA: Em se tratando de certificado emitido para aplicao, estas obrigaes se aplicam
ao responsvel pelo uso do certificado.
2.1.4. Direitos da terceira parte (Relying Party)
2.1.4.1 Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do
certificado digital.
Verso 2.0
Pgina 11

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
2.1.4.2 Constituem direitos da terceira parte:

a) recusar a utilizao do certificado para fins diversos dos previstos na PC
correspondente;
b) verificar, a qualquer tempo, a validade do certificado.
Um certificado emitido pela AC CAIXA PF, integrante da ICP-Brasil, considerado vlido
quando:
c) no constar da LCR da AC CAIXA PF;
d) no estiver expirado; e
e) puder ser verificado com o uso de certificado vlido da AC CAIXA PF.
2.1.4.3 O no exerccio desses direitos no afasta a responsabilidade da AC CAIXA PF e
do titular do certificado.
2.1.5. Obrigaes do Repositrio
a) disponibilizar sua LCR logo aps a
(http://icp.caixa.gov.br/asp/repositorio.asp);
sua
emisso
na
pgina
Web
b) estar disponvel para consulta durante 24 (vinte e quatro) horas por dia, 7 (sete) dias
por semana; e
c) implementar os recursos necessrios para a segurana dos dados nele
armazenados.
2.2. Responsabilidades
2.2.1. Responsabilidades da AC CAIXA PF
2.2.1.1 A AC CAIXA PF responde pelos danos a que der causa.
2.2.1.2 A AC CAIXA PF, responde solidariamente pelos atos das entidades de sua cadeia
de certificao: AR e PSS.
2.2.2. Responsabilidades da AR
A AR ser responsvel pelos danos a que der causa.
2.3. Responsabilidade Financeira
2.3.1. Indenizaes devidas pela terceira parte (Relying Party)
No existe responsabilidade da terceira parte (Relying Party) perante a AC CAIXA PF ou
AR a ela vinculadas, exceto na hiptese de prtica de ato ilcito.
2.3.2. Relaes Fiducirias
2.3.2.1 A AC CAIXA PF dispe de uma aplice de seguro de responsabilidade civil que se
estende a todos titulares de certificados digitais por ela emitidos.
2.3.2.2 A AC CAIXA PF ou AR indenizar integralmente os danos que comprovadamente
der causa.
2.3.2.3 A aplice de seguro de responsabilidade civil cobre perdas e danos decorrentes de
comprometimento da chave privada da AC CAIXA PF, de erro na identificao do titular, de
emisso defeituosa do certificado ou de erros ou omisses da AC CAIXA PF e das AR
vinculadas na prestao de seus servios.
Verso 2.0
Pgina 12

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
2.3.3. Processos Administrativos

O titular do certificado que sofrer perdas e danos decorrentes do uso do Certificado Digital
emitido pela AC CAIXA PF tem o direito de comunicar AC CAIXA PF que deseja a
indenizao prevista na aplice de seguro de responsabilidade civil. Para tais casos, so
observadas as seguintes condies:
a) nos casos de perdas e danos decorrentes de comprometimento da chave privada
da AC CAIXA e da AC CAIXA PF, tal comprometimento deve ter sido comprovado
por percia realizada por perito especializado e independente;
b) nos casos de erro na identificao, o titular do certificado no pode requerer
qualquer indenizao quando os dados constantes no certificado corresponderem
aos dados fornecidos por esse titular AC CAIXA PF;
c) nos casos de erro na transcrio, o titular do certificado no pode requerer qualquer
indenizao quando houver aceito o certificado.
2.4. Interpretao e Execuo
2.4.1. Legislao
Esta DPC obedece s leis em vigor no Brasil e foi elaborada de acordo com o documento
"Requisitos Mnimos para as Declaraes de Prticas de Certificao das Autoridades
Certificadoras da ICP-Brasil", aprovado pela Resoluo N 42 de 18 de abril de 2006, do
Comit Gestor da ICP-Brasil, sendo regida pela Medida Provisria nmero 2200-2 de 24 de
agosto de 2001, bem como as resolues do CG da ICP-Brasil.
2.4.2. Forma de interpretao e notificao
2.4.2.1 Na hiptese de uma ou mais das disposies desta DPC ser, por qualquer razo,
considerada invlida, ilegal, ou no aplicvel, somente essa disposio afetada, todas as
demais permanecem vlidas dentro do escopo de abrangncia deste documento. A AC
CAIXA PF promover a correo do item em desacordo, no prazo mximo de 30 dias.
2.4.2.2 As notificaes, solicitaes ou quaisquer outras comunicaes necessrias
decorrentes das prticas e procedimentos descritos nesta DPC sero encaminhadas ao ITI
atravs de Ofcio.
2.4.3. Procedimentos de soluo de disputa
2.4.3.1 Em caso de conflito entre esta DPC e outras declaraes, polticas, planos,
acordos, contratos ou documentos no mbito da AC CAIXA PF, prevalece o disposto nesta
DPC.
2.4.3.2 As prticas e os procedimentos descritos nesta DPC no prevalecero sobre as
normas, critrios, prticas e procedimentos da ICP-Brasil.
2.4.3.3 Os casos omissos sero encaminhados para apreciao da AC Raiz.
2.5. Tarifas de Servio
Nos itens a seguir so especificadas, pela AC CAIXA PF, as polticas tarifrias e de
reembolso aplicveis para cada PC implementada.
2.5.1. Tarifas de emisso e renovao de certificados
As tarifas esto estabelecidas no Site Institucional da Caixa na Tabela de Tarifas item
Identidade Digital.
Verso 2.0
Pgina 13

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
2.5.2. Tarifas de acesso ao certificado

No se aplica.
2.5.3. Tarifas de revogao ou de acesso a informao de status
No se aplica.
2.5.4. Tarifas para outros servios
No se aplica.
2.5.5. Poltica de reembolso
Caso o certificado deva ser revogado por motivo de comprometimento da chave privada da
AC CAIXA PF ou da mdia armazenadora da chave privada da AC CAIXA PF, ou ainda
quando constatada a emisso imprpria ou defeituosa, imputvel AC CAIXA PF, esta
reembolsa ao solicitante a tarifa cobrada, especificada no Contrato de Assinante, exceto
em caso de emisso de outro certificado em substituio, sem cobrar pelo mesmo.
2.6. Publicao e Repositrio
2.6.1. Publicao de informao da AC CAIXA PF
2.6.1.1. A disponibilidade da pgina da AC CAIXA de, no mnimo, 99,5% (noventa e nove
vrgula cinco por cento) do ms, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana.
2.6.1.2. As seguintes informaes, no mnimo, so publicadas pela AC na pgina Web
(http://icp.caixa.gov.br/asp/repositorio.asp):
a) o certificado da AC CAIXA;
b) sua LCR;
c) esta DPC;
d) as PC implementadas.
e) uma relao, regularmente atualizada, contendo a AR vinculada e seus respectivos
endereos de instalaes tcnicas em funcionamento;
f) uma relao, regularmente atualizada, da AR vinculada que tenham celebrado
acordos operacionais com outras AR da ICP-Brasil, contendo informaes sobre os
pontos do acordo que sejam de interesse dos titulares e solicitantes de certificado; e
g) uma relao, regularmente atualizada, dos PSS vinculados.
2.6.2. Freqncia de publicao
So publicadas sempre as verses mais recentes desta DPC e PC correspondentes logo
aps a aprovao.
A publicao das LCR disponibilizada no perodo definido nas PC correspondentes.
Certificados so disponibilizados imediatamente aps sua emisso.
2.6.3. Controles de acesso
As informaes publicadas pela AC CAIXA PF no possuem restrio de acesso para
leitura.
Verso 2.0
Pgina 14

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
So utilizados controles de acesso apropriados para restringir a possibilidade de escrita ou

modificao destes documentos somente a pessoas autorizadas.
2.6.4. Repositrios
A AC CAIXA PF adota repositrio que atende aos seguintes requisitos:
a) http://icp.caixa.gov.br/asp/repositorio.asp
b) disponibilidade definida no item 2.6.1;
d) protocolos de acesso HTTP e HTTPS;
e) requisitos de segurana obedece aos requisitos definidos no item 5.
2.7. Fiscalizao e Auditoria de Conformidade
2.7.1. As fiscalizaes e auditorias realizadas na AC CAIXA PF tm por objetivo verificar se
os processos, procedimentos e atividades da AC esto em conformidade com suas
respectivas DPC, PC, PS e demais normas e procedimentos estabelecidos pela ICP-Brasil.
2.7.2. As fiscalizaes na AC CAIXA PF so realizadas pela AC Raiz, por meio de
servidores de seu quadro prprio, a qualquer tempo, sem aviso prvio, observado o
disposto no documento CRITRIOS E PROCEDIMENTOS PARA FISCALIZAO DAS
ENTIDADES INTEGRANTES DA ICP-BRASIL [2].
2.7.3. As auditorias da AC CAIXA PF so realizadas pela AC Raiz, por meio de servidores
de seu quadro prprio, ou por terceiros por ela autorizados, observado o disposto no
documento CRITRIOS E PROCEDIMENTOS PARA REALIZAO DE AUDITORIAS
NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3].
2.7.4. A AC CAIXA PF recebeu auditoria prvia da AC Raiz para fins de credenciamento na
ICP-Brasil e auditada anualmente, para fins de manuteno do credenciamento, com
base no disposto no documento CRITRIOS E PROCEDIMENTOS PARA REALIZAO
DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3]. Esse documento
trata do objetivo, freqncia e abrangncia das auditorias, da identidade e qualificao do
auditor e demais temas correlacionados.
2.7.5 A AC, AR e PSS receberam auditoria prvia para fins de credenciamento, e a AC
CAIXA PF responsvel pela realizao de auditorias anuais nessas entidades, para fins
de manuteno de credenciamento, conforme disposto no documento citado no pargrafo
anterior.
2.8. Sigilo
2.8.1 Disposies Gerais
2.8.1.1 A chave privada de assinatura digital da AC CAIXA PF gerada e mantida pela
prpria AC CAIXA PF, que responsvel pelo seu sigilo. A divulgao ou utilizao
indevida da chave privada de assinatura pela AC CAIXA PF de sua inteira
responsabilidade.
2.8.1.2 Os titulares de certificados de assinatura digital emitidos pela AC CAIXA PF so
responsveis pela gerao, manuteno e pela garantia do sigilo de suas respectivas
chaves privadas, bem como pela divulgao ou utilizao indevidas dessas mesmas
chaves.
2.8.1.3. No se aplica.
Verso 2.0
Pgina 15

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
2.8.2 Tipos de informaes sigilosas

2.8.2.1 Todas as informaes coletadas, geradas, transmitidas e mantidas pela AC CAIXA
PF so consideradas sigilosas, exceto os certificados de chaves pblicas e LCR, os quais
so considerados no sigilosos, assim como a verso desta DPC da AC CAIXA PF e das
PC por ela implementadas.
2.8.2.2 Como princpio geral, nenhum documento, informao ou registro fornecido AC
CAIXA PF ou AR a ela vinculada divulgado.
2.8.3. Tipos de informaes no sigilosas
So consideradas no sigilosas pela AC CAIXA PF e pelas AR a ela vinculadas as
seguintes informaes:
a) os certificados e as LCR emitidos pela AC CAIXA PF;
b) informaes corporativas ou pessoais que faam parte de certificados ou de
diretrios pblicos;
c) as PC implementadas pelas AC;
d) a DPC das AC;
e) verses pblicas de Polticas de Segurana;
f) a concluso dos relatrios de auditorias.
2.8.4. Divulgao de informao de revogao ou suspenso de certificado
2.8.4.1 No so divulgadas as razes para a revogao dos certificados emitidos pela AC
CAIXA PF para terceiros, exceto nos casos em que houver determinao judicial ou
governamental.
2.8.4.2 As razes para revogao do certificado sempre sero informadas para o seu
titular, e sero tornadas pblicas desde que haja autorizao expressa deste.
2.8.4.3 A suspenso de certificados no admitida no mbito da ICP-Brasil.
2.8.5. Quebra de sigilo por motivos legais
Todos os documentos, informaes ou registros sob a guarda da AC CAIXA PF e das AR a
ela vinculadas, so considerados sigilosos nos termos dessa DPC e no so divulgados,
exceto mediante ordem judicial corretamente constituda, desde que tecnicamente
possvel.
2.8.6. Informaes a terceiros
Como diretriz geral, nenhum documento, informao ou registro sob a guarda da AC
CAIXA PF ou AR a ela vinculadas fornecido a qualquer pessoa, exceto quando a pessoa
que o requerer, por meio de instrumento devidamente constitudo, estiver autorizada para
faz-lo e corretamente identificada.
2.8.7. Divulgao por solicitao do titular
2.8.7.1. O titular de certificado ou seu representante legal, poder ter acesso a quaisquer
dos seus dados ou identificaes, ou poder autorizar a divulgao de seus registros a
outras pessoas.
2.8.7.2. Para tanto a solicitao de liberao da informao pela AC CAIXA PF somente
permitida mediante autorizao formal do titular do certificado, a qual poder ser feita
Verso 2.0
Pgina 16

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
atravs de declarao do titular reconhecida em cartrio autorizando terceiro a ter acesso

s informaes ou declarao, de igual teor, por meio eletrnico assinada digitalmente pelo
titular.
2.8.8. Outras circunstncias de divulgao de informao
No existem outras circunstncias que possibilitem a divulgao de informaes sigilosas.
2.9. Direitos de Propriedade Intelectual
Os direitos de propriedade intelectual de certificados, polticas, especificaes de prticas e
procedimentos, nomes e chaves criptogrficas, so tratados de acordo com a legislao
vigente.
3. IDENTIFICAO E AUTENTICAO
3.1. Registro Inicial
3.1.1. Disposies Gerais
3.1.1.1. Neste item e nos seguintes, esta DPC descreve em detalhes os requisitos e
procedimentos utilizados pelas AR vinculadas AC CAIXA PF para realizao dos
seguintes processos:
a) Validao da solicitao de certificado compreende as etapas abaixo, realizadas
mediante a presena fsica do interessado, com base nos documentos de identificao
citados nos itens 3.1.9, 3.1.10 e 3.1.11:
i. confirmao da identidade de um individuo: comprovao de que a pessoa que se
apresenta como titular ou responsvel pelo certificado ou como representante legal
de uma pessoa jurdica realmente aquela cujos dados constam na documentao
apresentada;
ii. confirmao da identidade de uma organizao: comprovao de que os
documentos apresentados referem-se efetivamente pessoa jurdica titular do
certificado e de que a pessoa que se apresenta como representante legal da pessoa
jurdica realmente possui tal atribuio;
iii. emisso do certificado: conferncia dos dados da solicitao de certificado com
os constantes dos documentos apresentados e liberao da emisso do certificado
no sistema da AC CAIXA PF;
b) Verificao da solicitao de certificado - confirmao da validao realizada,
observando que executada, obrigatoriamente:
i. por agente de registro distinto do que executou a etapa de validao;
ii. em uma das instalaes tcnicas da AR devidamente autorizadas a funcionar
pela AC Raiz;
iii. somente aps o recebimento, na instalao tcnica da AR, de cpia dos da
documentao apresentada na etapa de validao;
iv. antes do incio da validade do certificado, devendo esse ser revogado
automaticamente caso a verificao no tenha ocorrido at o incio de sua validade.
3.1.1.2 O processo de validao poder ser realizado pelo agente de registro fora do
ambiente fsico da AR, para tanto, ser utilizado ambiente computacional auditvel e
devidamente registrado no inventrio de hardware e softwares da AR.
Verso 2.0
Pgina 17

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
3.1.1.3. Todas as etapas dos processos de validao e verificao da solicitao de

certificado so registradas e assinadas digitalmente pelos executantes, na soluo de
certificao disponibilizada pela AC CAIXA PF, com a utilizao de certificado digital ICPBrasil no mnimo do tipo A3. Tais registros so feitos de forma a permitir a reconstituio
completa dos processos executados, para fins de auditoria.
3.1.1.4. mantido arquivo com as cpias de todos os documentos utilizados para
confirmao da identidade de uma organizao e/ou de um indivduo. Tais cpias sero
mantidas em papel ou em forma digitalizada, observadas as condies definidas no
documento CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA ICPBRASIL [1].
3.1.2. Tipos de nomes
3.1.2.1 A AC CAIXA PF emite certificados com nomes que permitam a identificao
unvoca. Para isso utiliza o distinguished name do padro ITU X.500. O endereo
eletrnico ou endereo de pgina Web (URL) consta como atributo do distinguished
name.
3.1.2.2 Os certificados emitidos para as AC subseqentes no incluiro o nome da pessoa
responsvel.
3.1.3. Necessidade de nomes significativos
A AC CAIXA PF faz uso de nomes significativos, isto , nomes que possibilitem determinar
a identidade da pessoa ou organizao a que se refere, para a identificao dos titulares
dos certificados emitidos pela AC CAIXA PF.
3.1.4. Regras para interpretao de vrios tipos de nomes
No existem regras especficas para interpretao de nomes no mbito da AC CAIXA PF.
3.1.5. Unicidade de nomes
Os identificadores do tipo Distinguished Name (DN) so nicos para cada titular de
certificado, no mbito da AC CAIXA PF. Nmeros ou letras adicionais so includos ao
nome de cada titular para assegurar a unicidade do campo.
3.1.6. Procedimento para resolver disputa de nomes
A AC CAIXA PF reserva-se o direito de tomar todas as decises na hiptese de haver
disputa decorrente da igualdade de nomes entre diversos solicitantes de certificados.
Durante o processo de confirmao de identidade, caber ao solicitante do certificado
provar o seu direito de uso de um nome especfico.
3.1.7. Reconhecimento, autenticao e papel de marcas registradas
Os processos de tratamento, reconhecimento e confirmao de autenticidade de marcas
registradas so executados de acordo com a legislao em vigor.
3.1.8. Mtodo para comprovar a posse de chave privada
A confirmao que a entidade solicitante possui a chave privada correspondente chave
pblica para a qual est sendo solicitado o certificado digital realizada de acordo com o
padro descrito na RFC 2510.
Verso 2.0
Pgina 18

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
3.1.9. Autenticao da identidade de um indivduo

A confirmao da identidade de um indivduo realizada mediante a presena fsica do
interessado, com base em documentos de identificao legalmente aceitos.
3.1.9.1. Documentos para efeitos de identificao de um indivduo
Dever ser apresentada a seguinte documentao, em sua verso original, para fins de
identificao de um indivduo solicitante de certificado:
a) Cdula de Identidade ou Passaporte, se brasileiro;
b) Carteira Nacional de Estrangeiro CNE, se estrangeiro domiciliado no Brasil;
c) Passaporte, se estrangeiro no domiciliado no Brasil;
d) caso os documentos acima tenham sido expedidos h mais de 5 (cinco) anos ou
no possuam fotografia, uma foto colorida recente ou documento de identidade com
foto colorida, emitido h no mximo 5 (cinco) anos da data da validao presencial;
e) comprovante de residncia ou domiclio, emitido h no mximo 3 (trs) meses da
data da validao presencial; e
f) mais um documento oficial com fotografia, no caso de certificados de tipos A4 e S4.
NOTA 1: Entende-se como cdula de identidade os documentos emitidos pelas Secretarias
de Segurana Pblica bem como os que, por fora de lei, equivalem a documento de
identidade em todo o territrio nacional, desde que contenham fotografia.
NOTA 2: Entende-se como comprovante de residncia ou de domiclio contas de
concessionrias de servios pblicos, extratos bancrios ou contrato de aluguel onde
conste o nome do titular; na falta desses, declarao emitida pelo titular ou seu
empregador.
NOTA 3: A emisso de certificados em nome dos absolutamente incapazes e dos
relativamente incapazes observar o disposto na lei vigente.
3.1.9.2. Informaes contidas no certificado emitido para um indivduo
3.1.9.2.1. obrigatrio o preenchimento dos seguintes campos do certificado de uma
pessoa fsica com as informaes constantes nos documentos apresentados:
a) nome completo, sem abreviaes;
b) data de nascimento.
3.1.9.2.2. Cada PC define como obrigatrio o preenchimento de outros campos ou o titular
do certificado, a seu critrio e mediante declarao expressa no termo de titularidade,
poder solicitar o preenchimento de campos do certificado com as informaes constantes
nos seguintes documentos:
a) Cadastro de Pessoa Fsica (CPF);
b) nmero de Identificao Social - NIS (PIS, PASEP ou CI);
c) nmero do Registro Geral - RG do titular e rgo expedidor;
d) nmero do Cadastro Especifico do INSS (CEI);
e) nmero do Ttulo de Eleitor; Zona Eleitoral; Seo; Municpio e UF do Ttulo de
Eleitor;
f) nmero de habilitao ou identificao profissional emitido por conselho de classe ou
rgo competente.
Verso 2.0
Pgina 19

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
3.1.9.2.3. Para tanto, o titular dever apresentar a documentao respectiva, caso a caso,
em sua verso original. mantido arquivo com as cpias de todos os documentos
utilizados.
NOTA 1: permitida a substituio dos documentos elencados acima por documento
nico, desde que este seja oficial e contenha as informaes constantes daqueles.
NOTA 2: O carto CPF poder ser substitudo por consulta pgina da Receita Federal,
devendo a cpia da mesma ser arquivada junto documentao, para fins de auditoria.
3.1.10. Autenticao da identidade de uma organizao
3.1.10.1. Disposies Gerais
3.1.10.1.1. Neste item so definidos os procedimentos empregados pelas AR vinculadas
para a confirmao da identidade de uma pessoa jurdica.
3.1.10.1.2. Em sendo o titular do certificado pessoa jurdica, ser designada pessoa fsica
como responsvel pelo certificado, que ser a detentora da chave privada.
Preferencialmente, ser designado como responsvel pelo certificado o representante legal
da pessoa jurdica ou um de seus representantes legais.
3.1.10.1.3. Dever ser feita a confirmao da identidade da organizao e das pessoas
fsicas, nos seguintes termos:
a) apresentao do rol de documentos elencados no item 3.1.10.2;
b) apresentao do rol de documentos elencados no item 3.1.9.1 do(s) representante(s)
legal(is) da pessoa jurdica e do responsvel pelo uso do certificado;
c) presena fsica do responsvel pelo uso do certificado e assinatura do termo de
responsabilidade de que trata o item 4.1.1; e
d) presena fsica do(s) representante(s) legal(is) da pessoa jurdica e assinatura do
termo de titularidade de que trata o item 4.1.1.
3.1.10.2. Documentos para efeitos de identificao de uma organizao
A confirmao da identidade de uma pessoa jurdica dever ser feita mediante a
apresentao de, no mnimo, os seguintes documentos:
a) Relativos a sua habilitao jurdica:
i. ato constitutivo, devidamente registrado no rgo competente; e
ii. documentos da eleio de seus administradores, quando aplicvel;
b) Relativos a sua habilitao fiscal:
i. prova de inscrio no Cadastro Nacional de Pessoas Jurdicas CNPJ; ou
ii. prova de inscrio no Cadastro Especfico do INSS CEI.
3.1.10.3. Informaes contidas no certificado emitido para uma organizao
3.1.10.3.1. No se aplica.
3.1.11. Autenticao da identidade de equipamento ou aplicao
3.1.11.1. Disposies Gerais
Verso 2.0
Pgina 20

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
3.1.11.1.1. Em se tratando de certificado emitido para equipamento ou aplicao, o titular

ser a pessoa jurdica solicitante do certificado, que dever indicar o responsvel pela
chave privada.
3.1.11.1.3. Se o titular for pessoa jurdica, dever ser feita a confirmao da identidade da
organizao e das pessoas fsicas, nos seguintes termos:
a) apresentao do rol de documentos elencados no item 3.1.10.2;
b) apresentao do rol de documentos elencados no item 3.1.9.1 do(s) representante(s)
legal(is) da pessoa jurdica e do responsvel pelo uso do certificado;
c) presena fsica do responsvel pelo uso do certificado e assinatura do termo de
responsabilidade de que trata o item 4.1.1; e
d) presena fsica do(s) representante(s) legal(is) da pessoa jurdica e assinatura do
termo de titularidade de que trata o item 4.1.1, ou outorga de procurao atribuindo
poderes para solicitao de certificado para equipamento ou aplicao e assinatura do
respectivo termo de titularidade.
3.1.11.2. Procedimentos para efeitos de identificao de um equipamento ou aplicao
Para certificados de equipamento ou aplicao que utilizem URL no campo Common
Name, deve ser verificado se o solicitante do certificado detm o registro do nome de
domnio junto ao rgo competente, ou se possui autorizao do titular do domnio para
usar aquele nome. Nesse caso deve ser apresentada documentao comprobatria (termo
de autorizao de uso de domnio ou similar) devidamente assinada pelo titular do domnio.
3.1.11.3. Informaes contidas no certificado emitido para um equipamento ou aplicao
3.1.11.3.1. obrigatrio o preenchimento dos seguintes campos do certificado com as
informaes constantes nos documentos apresentados:
a) URL ou nome da aplicao;
b) nome completo do responsvel pelo certificado, sem abreviaes;
c) data de nascimento do responsvel pelo certificado;
d) nome empresarial constante do CNPJ (Cadastro Nacional de Pessoa Jurdica), sem
abreviaes, se o titular for pessoa jurdica;
e) Cadastro Nacional de Pessoa Jurdica (CNPJ), se o titular for pessoa jurdica.
3.1.11.3.2. Cada PC pode definir como obrigatrio o preenchimento de outros campos ou o
responsvel pelo certificado, a seu critrio e mediante declarao expressa no termo de
responsabilidade, poder solicitar o preenchimento de campos do certificado suas
informaes pessoais, conforme item 3.1.9.2.
3.2. Gerao de novo par de chaves antes da expirao do atual
3.2.1. Antes da expirao do certificado o titular pode solicitar um novo certificado,
enviando AC CAIXA PF uma solicitao, por meio eletrnico, assinada digitalmente com
o seu certificado, limitada a 1 (uma) ocorrncia sucessiva.
3.2.2 Nos demais casos ou quando o solicitante no utilizar o meio eletrnico, so
observados os mesmos requisitos e procedimentos exigidos para a solicitao inicial do
certificado, conforme item 4.1 desta DPC.
3.2.3 No se aplica.
Verso 2.0
Pgina 21

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
3.3. Gerao de novo par de chaves aps revogao

3.3.1 Para o caso especfico de revogao de um certificado de titular, fica estabelecido
que, aps a revogao de seu certificado, o titular executa os processos regulares de
gerao de seu novo par de chaves.
3.3.2 No se aplica.
3.4. Solicitao de Revogao
3.4.1 A solicitao de revogao de certificado realizada atravs de formulrio especfico,
permitindo a identificao inequvoca do solicitante.
3.4.2 Solicitaes de revogao de certificados podem ser feitas em formulrio especfico,
disponibilizado na pgina Web (https://icp.caixa.gov.br), opo Revogao, da AC CAIXA
PF, que preenchido e assinado digitalmente com o certificado vlido do titular.
3.4.3 Solicitaes de revogao de certificados de empregados e prestadores da CAIXA,
podem ser feitas em formulrio especfico, disponibilizado na pgina Web (https://icp.caixa)
ou (https://icp.caixa.gov.br), opo Revogao, da AC CAIXA PF, que preenchido e
assinado digitalmente com o certificado vlido do titular.
3.4.4 A solicitao tambm poder ser feita pessoalmente em uma das AR vinculadas
AC CAIXA PF. A AR proceder a confirmao inequvoca da identidade do solicitante.
Estas solicitaes ficam arquivadas na AR.
3.4.5 Quando a solicitao se origina pelo Titular, Responsvel ou pela CAIXA, no caso de
aplicaes, esta submetida pessoalmente a AR permitindo a identificao inequvoca do
solicitante. A AR imprime e colhe a assinatura do solicitante no formulrio de solicitao de
revogao e encaminha o formulrio AC CAIXA PF que providencia, mediante anlise, a
revogao do Certificado.
4. REQUISITOS OPERACIONAIS
4.1. Solicitao de Certificado
4.1.1 Os requisitos e procedimentos necessrios para a aceitao de uma solicitao de
emisso de um certificado, compreendem no mnimo:
a) a comprovao de atributos de identificao constantes do certificado, conforme item
3.1;
b) a autenticao do agente de registro responsvel pelas solicitaes de emisso e de
revogao de certificados mediante o uso de certificado digital que tenha requisitos de
segurana, no mnimo, equivalentes as de um certificado de tipo A3; e,
c) termo de adeso e responsabilidade e termo de titularidade assinado pelo titular do
certificado, termo de responsabilidade assinado pelo responsvel pelo uso do
certificado, elaborados se for o caso, estabelecendo as condies de uso deste.
4.1.2 O processo de solicitao de certificados para pessoas fsicas detalhado abaixo:
a) o titular realiza o
http://icp.caixa.gov.br;
pr-cadastramento
da
solicitao
atravs
do
Site
b) o titular comparece pessoalmente em uma das AR vinculadas AC CAIXA PF,

munido dos documentos descritos no item 3.1.9 (originais e cpias);
c) o operador da AR acessa o software de certificao mediante o uso de certificado
do tipo A3 ou equivalente;
Verso 2.0
Pgina 22

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
d) o operador da AR valida todos os dados necessrios junto ao software de

certificao, gerando um nmero de identificao que entregue ao titular;
e) o operador da AR emite o Termo de Adeso e Responsabilidade e o Termo de
Titularidade em duas vias e colhe a assinatura do titular, entregando ao titular uma
via dos Termos.
4.1.3 Ao assinar o Termo de Adeso e Responsabilidade, o Titular:
a) concorda estar de acordo com as responsabilidades contnuas, obrigaes e
deveres impostos a ele pelos referidos Termos, DPC implementada pela AC CAIXA
PF e esta PC;
b) garante que por seu conhecimento, nenhuma pessoa sem autorizao ter acesso
a chave privada associada com a solicitao de certificado;
c) afirma que as informaes fornecidas durante o processo de solicitao so
verdadeiras e foram fornecidas para publicao dentro do certificado com preciso.
4.1.4 A AR vinculada AC CAIXA PF notifica ao cliente ou responsvel atravs de e-mail,
correspondncia ou documento entregue pessoalmente, o link para acesso ao sistema de
certificao e os nmeros de identificao necessrios gerao do certificado.
4.1.5 Seguindo as instrues contidas no site, o solicitante gera o seu par de chaves e a
requisio no formato PKCS#10, que submetida AC CAIXA PF.
4.2. Emisso de Certificado
4.2.1 O processo de emisso do certificado ocorre da seguinte forma:
a) O solicitante do certificado acessa no endereo eletrnico da AC CAIXA PF a
pgina de emisso de certificados;
b) O solicitante informa os nmeros de identificao recebidos durante o processo de
solicitao, informando o dispositivo de armazenamento desejado;
c) Ao confirmar o processo, ser gerado um par de chaves e a chave pblica ser
enviada para a AC CAIXA PF, em formato PKCS10;
d) O sistema de certificao da CAIXA gerar o certificado do solicitante no formato
PKCS#7 para gravao no dispositivo de armazenamento, apresentando
mensagem de confirmao de emisso e armazenamento.
4.2.2 Um certificado considerado vlido a partir do momento de sua emisso.
4.3. Aceitao de Certificado
4.3.1 O recebimento de um certificado de Pessoa Fsica, pelo titular, ou de Aplicao, pelo
responsvel, e o uso subseqente das chaves e certificado, constituem aceitao formal do
certificado por parte do titular ou responsvel pelo uso do certificado, conforme declarao
de aceite constante no Termo de Titularidade ou Termo de Responsabilidade.
4.3.2 Caso contrrio, o titular ou o responsvel pelo uso do certificado, solicita
imediatamente a revogao do mesmo.
4.3.3 No se aplica.
Verso 2.0
Pgina 23

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
4.4. Suspenso e Revogao de Certificado

4.4.1. Circunstncias para revogao
4.4.1.1 Um certificado emitido pela AC CAIXA PF poder ser revogado nas seguintes
circunstncias:
a) quando houver interesse do titular;
b) quando houver perda de acesso lgico mdia que o contm;
4.4.1.2 Um certificado emitido pela AC CAIXA PF obrigatoriamente revogado nas
seguintes circunstncias:
a) quando constatada emisso imprpria ou defeituosa do mesmo;
b) quando for necessria a alterao de qualquer informao constante no mesmo;
c) no caso de dissoluo da AC CAIXA PF; ou
no caso de comprometimento ou suspeita de comprometimento da chave
c)d)
privada correspondente ou da sua mdia armazenadora.
4.4.1.3 Observa-se ainda que:
a) a AC CAIXA PF revoga no prazo definido no item 4.4.3, o certificado da entidade
que deixar de cumprir as polticas, normas e regras estabelecidas para a ICP-Brasil;
b) O CG da ICP-Brasil ou a AC Raiz poder determinar a revogao do certificado da
AC que deixar de cumprir a legislao vigente ou as polticas, normas, prticas e
regras estabelecidas para a ICP-Brasil.
4.4.2. Quem pode solicitar revogao
A revogao de um certificado somente poder ser solicitada:
a) por solicitao do titular do certificado;
b) por solicitao do responsvel pelo certificado, no caso de certificado de aplicao;
c) por solicitao de empresa ou rgo, quando o titular do certificado fornecido por
essa empresa ou rgo for seu empregado, funcionrio ou servidor;
d) pela AC emitente;
e) por uma AR vinculada; ou
f) por determinao do CG da ICP-Brasil ou da AC Raiz.
4.4.3. Procedimento para solicitao de revogao
4.4.3.1 A AC CAIXA PF garante que todos os agentes habilitados conforme o item 4.4.2
possam, facilmente e a qualquer tempo solicitar a revogao de seu certificado.
4.4.3.2 Como diretrizes gerais, fica estabelecido que:
a) o solicitante da revogao de um certificado identificado;
b) as solicitaes de revogao, bem como as aes delas decorrentes so
registradas e armazenadas;
c) as justificativas para a revogao de um certificado so documentadas;
d) o processo de revogao de um certificado termina com a gerao e a publicao
de uma LCR que contenha o certificado revogado.
Verso 2.0
Pgina 24

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
4.4.3.2.1 O procedimento de revogao pode ser feito de acordo com uma das trs opes
abaixo:
a) Solicitaes de revogao de certificados podem ser feitas por meio de acesso
pgina Web http://icp.caixa.gov.br/asp/revocacao.asp da AC CAIXA PF, que
preenchida e assinada digitalmente com o certificado vlido do titular ou
responsvel;
b) Caso o titular do certificado no esteja de posse da mdia de armazenamento ou
tenha esquecido a senha de acesso ao certificado, a revogao poder ser feita por
meio de acesso pgina Web http://icp.caixa.gov.br/asp/revogacao.asp da AC
CAIXA PF, que preenchida e informada a senha de revogao do certificado,
senha esta cadastrada anteriormente no momento da emisso do respectivo
certificado;
c) A solicitao tambm poder ser feita pessoalmente em uma das AR vinculadas
AC CAIXA PF. A AR proceder a confirmao inequvoca da identidade do
solicitante. Estas solicitaes ficam arquivadas na AR.
4.4.3.3 O prazo mximo admitido para a concluso do processo de revogao de
certificado, aps o recebimento da respectiva solicitao, para todos os tipos de certificado
previstos pela ICP-Brasil de 12 (doze) horas.
4.4.3.4 No se aplica.
4.4.3.5 A AC CAIXA PF responde plenamente por todos os danos causados pelo uso de
um certificado no perodo compreendido entre a solicitao de sua revogao e a emisso
da correspondente LCR.
4.4.4. Prazo para solicitao de revogao
4.4.4.1 A solicitao de revogao deve ser imediata quando configuradas as
circunstncias definidas no seu item 4.4.1.
4.4.4.2 O titular do certificado pode solicitar a sua revogao no prazo de 3 (trs) dias teis
da sua emisso sem quaisquer nus.
4.4.5. Circunstncias para suspenso
A suspenso de certificados no admitida no mbito da ICP-Brasil, no sendo, portanto,
admitida no mbito da AC CAIXA PF.
4.4.6. Quem pode solicitar suspenso
4.4.7. Procedimento para solicitao de suspenso
4.4.8. Limites no perodo de suspenso
Verso 2.0
Pgina 25

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
4.4.9. Freqncia de emisso de LCR

4.4.9.1 A LCR da AC CAIXA PF atualizada, no mximo, a cada 6 (seis) horas.
4.4.9.2 Os nmeros de srie de certificados de qualquer entidade final que estejam
revogados aparecero na LCR emitida pela AC CAIXA PF. Estes nmeros permanecero
nas LCR emitidas at a data de expirao dos certificados ser atingida, sendo removidos
na primeira LCR emitida aps a data de suas expiraes.
4.4.9.3 So emitidas LCR a cada 6 (seis) horas, mesmo quando no houver nenhuma
mudana ou atualizao, para assegurar a periodicidade da informao.
4.4.10. Requisitos para verificao de LCR
4.4.10.1 Todos os certificados emitidos pela AC CAIXA PF tm a validade verificada, na
LCR da AC CAIXA PF, antes de serem utilizados.
4.4.10.2 Tambm verificada a autenticidade da LCR da AC CAIXA PF, por meio da
verificao da assinatura da AC CAIXA PF e do perodo de validade da LCR.
4.4.11. Disponibilidade para revogao ou verificao de status on-line
A AC CAIXA PF no suporta os processos de revogao ou verificao de status de
certificados de forma on-line.
4.4.12. Requisitos para verificao de revogao on-line
A AC CAIXA PF no suporta processos de verificao de revogao de forma on-line.
4.4.13. Outras formas disponveis para divulgao de revogao
A AC CAIXA PF no suporta outras formas para divulgao da revogao.
4.4.14. Requisitos para verificao de outras formas de divulgao de revogao
No se aplica.
4.4.15 Requisitos especiais para o caso de comprometimento de chave
4.4.15.1 Quando houver comprometimento ou suspeita de comprometimento da chave
privada, o titular dever revogar imediatamente o seu certificado conforme descritos no
subitem 4.4.3 desta DPC. O procedimento para nova emisso seguir os mesmos
requisitos e procedimentos exigidos para a solicitao inicial do certificado, conforme item
4.1 desta DPC.
4.4.15.2 Os procedimentos que definem os meios utilizados para comunicar um
comprometimento ou suspeita de comprometimento de chave, esto descritos no item
4.4.3 desta DPC.
4.5. Procedimentos de Auditoria de Segurana
A AC CAIXA PF e todas as AR a ela vinculadas mantm registros e arquivos com
informaes sobre todas as operaes realizadas e trilhas de auditoria geradas para fins
de auditoria.
Verso 2.0
Pgina 26

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
4.5.1. Tipos de eventos registrados

4.5.1.1 A AC CAIXA PF registra em arquivos de auditoria todos os eventos relacionados
segurana do seu sistema de certificao. Dentre outros, os seguintes eventos devem
obrigatoriamente estar includos no arquivo de auditoria:
a) iniciao e desligamento do sistema de certificao;
b) tentativas de criar, remover, definir senhas ou mudar privilgios de sistema dos
operadores da AC CAIXA PF;
c) mudanas na configurao da AC CAIXA PF ou nas suas chaves;
d) mudanas nas polticas de criao de certificados;
e) tentativas de acesso (login) e de sada do sistema (logoff);
f) tentativas no-autorizadas de acesso aos arquivos de sistema;
g) gerao de chaves prprias da AC CAIXA PF;
h) emisso e revogao de certificados;
i)
gerao de LCR;
j)
tentativas de iniciar, remover, habilitar e desabilitar usurios de sistemas, e de

atualizar e recuperar suas chaves;
k) operaes falhas de escrita ou leitura no repositrio de certificados e da LCR,

quando aplicvel; e
l)
operaes de escrita nesse repositrio, quando aplicvel.
4.5.1.2 A AC CAIXA PF registra, eletrnica ou manualmente, informaes de segurana no
geradas diretamente pelo seu sistema de certificao, tais como:

a) registros de acessos fsicos;
b) manuteno e mudanas na configurao de seus sistemas;
c) mudanas de pessoal e de perfis qualificados;
d) relatrios de discrepncia e comprometimento; e
e) registros de destruio de meios de armazenamento contendo chaves
criptogrficas, dados de ativao de certificados ou informao pessoal de usurios.
4.5.1.3 Os Registros de auditoria mnimos a serem mantidos pela AC CAIXA PF incluem
todos:
a) registros de inscrio, inclusive registros relativos a solicitaes rejeitadas;
b) pedidos de gerao de certificado, mesmo que a gerao no tenha xito;
c) registro de solicitao de emisso de LCR.
4.5.1.4 Todos os registros de auditoria, eletrnicos ou manuais, contm a data e a hora do
evento registrado e a identidade do agente que o causou.
4.5.1.5 Para facilitar os processos de auditoria, toda a documentao relacionada aos
servios da AC CAIXA PF armazenada, eletrnica ou manualmente, em local nico,
conforme a Poltica de Segurana da ICP-Brasil.
4.5.1.6. A AR vinculada AC CAIXA PF registra eletronicamente em arquivos de auditoria
todos os eventos relacionados validao e aprovao da solicitao, bem como,
revogao de certificados. Os seguintes eventos esto includos em arquivos de auditoria:
Verso 2.0
Pgina 27

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
a) os agentes de registro que realizaram as operaes;

b) data e hora das operaes;
c) a associao entre os agentes que realizaram a validao e aprovao e o
certificado gerado;
d) a assinatura digital do executante.
4.5.1.7. As cpias dos documentos para identificao apresentadas no momento da
solicitao e revogao de certificados e dos termos de titularidade e responsabilidade
ficam armazenadas na prpria instalao tcnica da AR.
4.5.2. Freqncia de auditoria de registros (logs)
A periodicidade de auditoria de registros no superior a uma semana, sendo que os
registros de auditoria so analisados pelo pessoal operacional da AC CAIXA PF. Todos os
eventos significativos so explicados em relatrio de auditoria de registros. Tal anlise
envolve uma inspeo breve de todos os registros, verificando-se que no foram alterados,
em seguida procede-se a uma investigao mais detalhada de quaisquer alertas ou
irregularidades nesses registros. Todas as aes tomadas em decorrncia dessa anlise
so documentadas.
4.5.3. Perodo de reteno para registros (logs) de auditoria
A AC CAIXA PF mantm localmente em suas instalaes, os seus registros de auditoria
por pelo menos 2 (dois) meses e, subseqentemente, faz armazenamento de acordo com
o descrito no item 4.6.
4.5.4. Proteo de registro (log) de auditoria
4.5.4.1 O sistema de registro de eventos de auditoria inclui mecanismos para proteger os
arquivos de auditoria contra leitura no autorizada, modificao e remoo, atravs das
funcionalidades nativas dos sistemas operacionais.
4.5.4.1.1 Os equipamentos da AC CAIXA PF, onde so gerados os diversos registros de
sistemas pelo sistema operacional, banco de dados e do aplicativo de AC, encontram-se
fisicamente em ambiente classificado como nvel 4 de segurana.
4.5.4.2 Os documentos so protegidos contra leitura no autorizada, modificao e
remoo, conforme poltica de classificao informao.
4.5.4.2.1 A inspeo contnua dos diversos registros dos sistemas feita por meio de
ferramentas nativas do sistema operacional, banco de dados e do aplicativo da AC CAIXA
PF, e esto disponveis somente para leitura. Pode ser feita tambm, por relatrios
emitidos a partir destas ferramentas. Estes dados de auditoria so coletados e
armazenados periodicamente em sala de arquivo, de nvel 3 de segurana.
4.5.4.2.2 O responsvel por esta inspeo o Supervisor de Segurana da AC CAIXA PF
ou seus designados.
4.5.4.3 Os registros de auditoria gerados eletronicamente ou manualmente so
obrigatoriamente classificados e mantidos conforme sua classificao. Os mecanismos de
proteo descritos neste item devem obedecer POLTICA DE SEGURANA DA ICPBRASIL [8].
Verso 2.0
Pgina 28

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
4.5.5. Procedimentos para cpia de segurana (backup) de registro (log) de auditoria

A AC CAIXA PF gera diariamente cpias de segurana (backup) dos registros (log) de
auditoria O sistema de coleta de dados de arquivos da AC CAIXA PF uma combinao
de processos automatizados e manuais executados pelo sistema operacional, pelos
sistemas de certificao de AC, AR e pelo pessoal operacional.
4.5.6. Sistema de coleta de dados de auditoria
A AC CAIXA PF realiza a coleta de todos os eventos relacionados segurana do seu
sistema de certificao, sendo uma combinao de processos automatizados e manuais
executados pelo sistema operacional, pelos sistemas de certificao da AC CAIXA PF e
AR a ela vinculada, pelo sistema de controle de acesso e pelo pessoal operacional.
4.5.7. Notificao de agentes causadores de eventos
A AC CAIXA PF no encaminha notificao pessoa, organizao, dispositivo ou
aplicao que causou o evento.
4.5.8. Avaliaes de vulnerabilidade
Eventos que indiquem possvel vulnerabilidade, detectados na anlise peridica dos
registros de auditoria da AC CAIXA PF, so analisados detalhadamente e, dependendo de
sua gravidade, registrados em separado. Aes corretivas decorrentes so implementadas
e registradas para fins de auditoria.
4.6. Arquivamento de Registros
4.6.1. Tipos de registros arquivados
As seguintes informaes so arquivadas pela AC CAIXA PF e AR a ela vinculadas:
a) solicitaes de certificados;
b) solicitaes de revogao de certificados;
c) notificaes de comprometimento de chaves privadas;
d) emisses e revogaes de certificados;
e) emisses de LCR;
f) trocas de chaves criptogrficas da AC CAIXA PF;
g) informaes de auditoria previstas no item 4.5.1;
4.6.2. Perodo de reteno para arquivo
Os perodos de reteno para cada registro arquivado so os seguintes:
a) as LCR referentes a certificados so retidas permanentemente, para fins de
consulta histrica
b) as cpias dos documentos para identificao apresentadas no momento da
solicitao e da revogao de certificados e os termos de titularidade e
responsabilidade devem ser retidos, no mnimo, por 30 (trinta) anos a contar da data
de expirao ou revogao do certificado; e
c) as demais informaes, inclusive arquivos de auditoria, devero ser retidas por, no
mnimo, 6 (seis) anos.
Verso 2.0
Pgina 29

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
4.6.3. Proteo de arquivo

Mdias de arquivos so guardadas em local seguro, sendo que a proteo criptogrfica das
mdias adotada quando necessria. Tambm so protegidas de fatores ambientais como
temperatura, umidade, e magnetismo.
Todos os registros arquivados so classificados e armazenados com requisitos de
segurana compatveis com essa classificao, conforme a POLTICA DE SEGURANA
DA ICP-BRASIL [8].
4.6.4. Procedimentos para cpia de segurana (backup) de arquivo
4.6.4.1 Uma segunda cpia de todo o material arquivado armazenada em local externo
AC CAIXA PF, recebendo o mesmo tipo de proteo utilizada por ela no arquivo principal.
4.6.4.2 As cpias de segurana seguem os perodos de reteno definidos para os
registros dos quais so cpias.
4.6.4.3 feita a verificao da integridade dessas cpias de segurana, no mnimo, a cada
6 (seis) meses.
4.6.5. Requisitos para datao (time-stamping) de registros
Os servidores esto sincronizados com a hora GMT. Todas as informaes geradas que
possuam alguma identificao de horrio recebem o horrio em GMT, inclusive os
certificados emitidos por esses equipamentos.
Todas as informaes geradas manualmente que possuam alguma identificao de horrio
so datadas com base na Hora Oficial do Brasil.
4.6.6. Sistema de coleta de dados de arquivo
O sistema de coleta de dados de arquivos da AC CAIXA PF uma combinao de
processos automatizados e manuais executados pelo sistema operacional, pelos sistemas
de certificao de AC, AR e pelo pessoal operacional.
4.6.7. Procedimentos para obter e verificar informao de arquivo
A verificao de informao de arquivo solicitada formalmente AC CAIXA PF,
identificando de forma precisa o tipo e o perodo da informao a ser verificada. O
solicitante da verificao de informao devidamente identificado.
4.7. Troca de chave
4.7.1 A AC CAIXA PF se encarrega de avisar aos titulares de certificados 30 (trinta) dias
antes da expirao dos seus certificados, para que o processo de solicitao de novo
certificado no cause impacto aos mesmos
4.7.1.1 Expirado o prazo de validade do certificado, novo par de chaves gerado pelo
titular e nova solicitao de certificado efetuada AC CAIXA PF, atravs das AR
vinculadas.
4.7.2 No se aplica.
4.8. Comprometimento e Recuperao de Desastre
A AC CAIXA PF possui um Plano de Continuidade do Negcio, testado pelo menos uma
vez por ano, para garantir a continuidade de seus servios crticos.
Verso 2.0
Pgina 30

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
4.8.1. Recursos computacionais, software, e dados corrompidos

A AC CAIXA PF possui um Plano de Continuidade do Negcio que especifica as aes a
serem tomadas no caso em que recursos computacionais, software e/ou dados so
corrompidos, e que podem ser resumidos no seguinte:
a) feita a identificao de todos os elementos corrompidos;
b) o instante do comprometimento determinado e crtico para invalidar as
transaes executadas depois daquele instante;
c) feita uma anlise do nvel do comprometimento para a determinao das aes a
serem executadas, que podem variar de uma simples restaurao de um backup de
segurana at a revogao do certificado da AC CAIXA PF.
4.8.2. Certificado de entidade revogado
Os procedimentos a serem adotados para o caso de revogao do certificado da AC
CAIXA PF so:
a) a AC CAIXA informada por comunicao formal pela pessoa responsvel;
b) a AC CAIXA PF pede um novo certificado AC CAIXA.
So identificados todos os certificados ativos emitidos pela AC CAIXA PF:
c) a AC CAIXA PF submete um pedido de revogao para cada certificado ativo;
d) a AC CAIXA PF processa a revogao e publica uma LCR imediatamente.
Os usurios so notificados e emitem certificados novos:
e) os usurios so notificados que seus certificados foram revogados e so instrudos
a solicitar um certificado novo;
f) um novo par de chaves gerado pelos titulares de certificados e a chave pblica
entregue para certificao atravs das AR vinculadas AC CAIXA PF;
g) AR valida cada pedido segundo o procedimento padro de validao (de acordo
com a DPC) e submete pedidos vlidos AC CAIXA PF;
h) a AC CAIXA PF processa cada pedido vlido e gera um certificado;
i)
usurio carrega o certificado junto com a chave pblica e certificado da AC CAIXA

PF.
4.8.3. Chave de entidade comprometida

4.8.3.1 A AC CAIXA PF possui um Plano de Continuidade do Negcio que especifica as
aes a serem tomadas no caso de sua chave privada ser comprometida.
4.8.3.2 Em caso de comprometimento da chave privada da AC CAIXA PF, aps a
identificao da crise so notificados os gestores da AC CAIXA PF, que acionam as
equipes envolvidas, de forma a indisponibilizar temporariamente os servios de autoridade
certificadora. Na confirmao do incidente, so revogados os certificados da AC CAIXA PF
e dos usurios finais, gerado um novo par de chaves, emitido certificado associado ao
novo par de chaves gerado e emitidos novos certificados digitais para os usurios finais.
4.8.4. Segurana dos recursos aps desastre natural ou de outra natureza
4.8.4.1 A AC CAIXA PF possui um Plano de Continuidade de Negcio que especifica as
aes a serem tomadas no caso desastre natural ou de outra natureza. O propsito deste
Verso 2.0
Pgina 31

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
plano restabelecer as principais operaes da AC CAIXA PF quando a operao de

sistemas significativamente e adversamente abalada por fogo, greves, etc.
4.8.4.2 O plano garante que qualquer impacto em operaes de sistema no causa um
impacto operacional direto e imediato dentro da ICP-Brasil da qual a AC CAIXA PF ou AR
vinculadas fazem parte. Isto significa que o plano tem como meta primria, restabelecer a
AC CAIXA PF ou plataforma de AR para tornar acessvel os registros lgicos mantidos
dentro do software.
4.8.4.3 Em caso de desastre natural ou de outra natureza, aps a identificao da crise so
notificados os gestores da AC CAIXA PF, que acionam as equipes envolvidas, de forma a
identificar o grau de exposio e comprometimento do ambiente. Na confirmao do
desastre e constatado impossibilidade de operao no site, as atividades so transferidas
para o site de recuperao de desastre.
4.8.5. Atividades das Autoridades de Registro
Neste item esto descritos os procedimentos previstos no PCN da AR CAIXA para
recuperao, total ou parcial das suas atividades:
a) Os eventos que podem causar interrupes nos processos do negcio so:
Indisponibilidade da Instalao Tcnica da AR, do Agente de Certificao, da
Estao de Trabalho, da Impressora e, do dispositivo de leitura do carto ou token;
b) A identificao e concordncia de todas as responsabilidades e procedimentos de
emergncia esto detalhadas no Plano de Administrao de Crises;
c) A implementao dos procedimentos de emergncia que permitam a recuperao e
restaurao nos prazos necessrios esto detalhados no Plano de Recuperao de
Desastre;
d) A documentao dos processos e procedimentos acordados esto disponveis a
todos os empregados atuantes no processo de Certificao Digital;
e) Todos os empregados recebem treinamento adequado nos procedimentos e
processos de emergncia definidos, incluindo o gerenciamento de crise (Plano de
Administrao de Crises, Plano de Continuidade Operacional e Plano de
Recuperao de Desastres);
f) So efetivados, anualmente, teste e atualizao dos planos informados acima.
4.9. Extino da AC CAIXA PF
4.9.1 Quando for necessrio terminar o servio da AC CAIXA PF, o impacto do trmino
minimizado da melhor forma possvel tendo em vista as circunstncias prevalecentes. Isto
inclui:
a) prover com maior antecedncia possvel notificao para:
i. a AC CAIXA;
ii. a AC Raiz da ICP-Brasil;
iii. todas as entidades subordinadas;
iv. titulares e usurios de certificado.
b) as chaves pblicas dos certificados emitidos pela AC CAIXA PF sero
armazenadas por outra AC, aps aprovao da AC Raiz;
Verso 2.0
Pgina 32

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
c) a AC CAIXA PF transferir, se for o caso, a documentao dos certificados

digitais emitidos AC que tenha assumido a guarda das respectivas chaves
pblicas;
d) quando houver mais de uma AC interessada, assumir a responsabilidade do
armazenamento das chaves pblicas, aquela indicada pela AC CAIXA PF;
e) a transferncia progressiva do servio e registros operacionais, para um
sucessor da AC CAIXA PF, que observa os mesmos requisitos de segurana
exigidos para a AC CAIXA PF extinta;
f) Caso as chaves pblicas no tenham sido assumidas por outra AC, os
documentos referentes aos certificados digitais e as respectivas chaves pblicas
sero repassados AC Raiz.
4.9.2. Notificao
4.9.2.1 No caso de trmino programado, a AC CAIXA PF deve proporcionar para a AC
CAIXA notificao com um mnimo de 8 (oito) semanas de antecedncia dos
desligamentos propostos e de qualquer arranjo que foi feito ou feito para a continuidade
de servios por um sucessor da AC CAIXA PF. A AC CAIXA PF notifica os titulares de
certificado prontamente, e informa sobre a transferncia progressiva de chaves novas e
certificados para um sucessor da AC CAIXA PF.
4.9.2.2 Todas as chaves e certificados so revogados imediatamente pela AC CAIXA PF
antes da parada de emergncia. Os servios de certificao so recomeados pela mesma
AC CAIXA PF ou uma sua sucessora to logo quanto possvel depois da desativao ter
sido efetuada.
4.9.3. Chaves e certificados de Titulares de Certificados
No evento em que necessrio terminar a AC CAIXA PF:
a) todos os certificados de titular de certificado subordinados so revogados antes
da paralisao; ou
b) onde praticvel, planejada a revogao de certificados para coincidir com a
transferncia progressiva para uma AC sucessora.
4.9.4. PC da AC sucessora
4.9.4.1 A PC sob o qual uma AC sucessora emite certificados uma questo contratual
entre os participantes e est fora da extenso desta DPC.
4.9.4.2 Porm, tal PC deve ter sido tambm aprovada pelo CG da ICP-Brasil para
assegurar conformidade com esta DPC na extenso do que prtico e razovel:
a) a AC sucessora deve assumir os mesmos direitos, obrigaes e deveres como a
AC CAIXA PF em desativao;
b) a PC da AC sucessora deve impor as mesmas exigncias e deve conferir os
mesmos benefcios como a PC sob a qual a AC CAIXA PF terminada emitiu
certificados.
4.9.4.3 A AC sucessora deve emitir novos certificados a todos os titulares de certificado
cujos certificados foram revogados pela AC CAIXA PF terminada, aps os titulares de
certificado terem feito uma nova solicitao de certificado, satisfazendo as exigncias da
nova PC implementada pela AC sucessora.
Verso 2.0
Pgina 33

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
5. CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL

5.1. Controles Fsicos
5.1.1. Construo e localizao das instalaes
5.1.1.1 A operao da AC CAIXA PF executada dentro de um ambiente fsico seguro em
rea de instalao altamente protegida.
5.1.1.1.1 Os componentes do sistema de certificao utilizados para a operao da AC
CAIXA PF esto situados nas instalaes da Caixa Econmica Federal.
5.1.1.1.2 A localizao e o sistema de certificao utilizado para a operao da AC CAIXA
PF no so publicamente identificados. No h identificao pblica externa das
instalaes e, internamente, no so admitidos ambientes compartilhados que permitam
visibilidade nas operaes de emisso e revogao de certificados. Essas operaes so
segregadas em compartimentos fechados e fisicamente protegidas.
5.1.1.2 Na construo das instalaes da AC CAIXA PF foram considerados, entre outros,
os seguintes aspectos relevantes para os controles de segurana fsica:
a) instalaes para equipamentos de apoio, tais como: mquinas de ar condicionado,
grupos geradores, no-breaks, baterias, quadros de distribuio de energia e de
telefonia, subestaes, retificadores, estabilizadores e similares;
b) instalaes para sistemas de telecomunicaes;
c) sistema de aterramento e de proteo contra descargas atmosfricas; e
d) iluminao de emergncia.
5.1.2. Acesso fsico nas instalaes da AC
A AC CAIXA PF implementa um sistema de controle de acesso fsico que garante a
segurana de suas instalaes, conforme a Poltica de Segurana da ICP-Brasil e os
requisitos que seguem.
5.1.2.1. Nveis de acesso
5.1.2.1.1 Foram definidos 4 (quatro) nveis de acesso fsico aos diversos ambientes da AC
CAIXA PF, e mais 2 (dois) nveis relativos proteo da chave privada da AC.
5.1.2.1.2 O primeiro nvel ou nvel 1 situa-se aps a primeira barreira de acesso s
instalaes da AC CAIXA PF. Para entrar em uma rea de nvel 1, cada indivduo
identificado e registrado por segurana armada. A partir desse nvel, pessoas estranhas
operao da AC CAIXA PF transitam devidamente identificadas e acompanhadas. Nenhum
tipo de processo operacional ou administrativo da AC executado nesse nvel.
5.1.2.1.3 Excetuados os casos previstos em lei, o porte de armas no admitido nas
instalaes da AC CAIXA PF, a partir do nvel 1. A partir desse nvel, equipamentos de
gravao, fotografia, vdeo, som ou similares, bem como computadores portteis, tm sua
entrada controlada e somente so utilizados mediante autorizao formal e superviso.
5.1.2.1.4 O segundo nvel ou nvel 2 interno ao primeiro e requer, da mesma forma
que o primeiro, a identificao individual das pessoas que nele entram. Esse o nvel
mnimo de segurana requerido para a execuo de qualquer processo operacional ou
administrativo da AC CAIXA PF. A passagem do primeiro para o segundo nvel exige
identificao por meio eletrnico e o uso de crach.
Verso 2.0
Pgina 34

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
5.1.2.1.5 O terceiro nvel ou nvel 3 situa-se dentro do segundo e o primeiro nvel a

abrigar material e atividades sensveis da operao da AC CAIXA PF. Qualquer atividade
relativa ao ciclo de vida dos certificados digitais est localizada a partir desse nvel.
Pessoas que no estejam envolvidas com essas atividades no tm permisso para
acesso a esse nvel. Pessoas que no possuam permisso de acesso no podero
permanecer nesse nvel se no estiverem acompanhadas por algum que tenha essa
permisso.
5.1.2.1.6 No terceiro nvel so controladas tanto as entradas quanto as sadas de cada
pessoa autorizada. Dois tipos de mecanismos de controle so utilizados para a entrada
nesse nvel: uma identificao individual atravs carto eletrnico, e outra por identificao
biomtrica.
5.1.2.1.7 Telefones celulares, bem como outros equipamentos portteis de comunicao,
exceto aqueles exigidos para a operao da AC CAIXA PF, no so admitidos a partir do
nvel 3.
5.1.2.1.8 No quarto nvel ou nvel 4 - interior ao terceiro, onde ocorrem as atividades
especialmente sensveis da operao da AC CAIXA PF tais como emisso e revogao de
certificados, e emisso de LCR. Todos os sistemas e equipamentos necessrios a estas
atividades esto localizados a partir desse nvel. O nvel 4 possui os mesmos controles de
acesso do nvel 3 e, adicionalmente exige, em cada acesso ao seu ambiente, a
identificao de, no mnimo, 2 (duas) pessoas autorizadas. Nesse nvel, a permanncia
dessas pessoas exigida enquanto o ambiente estiver ocupado.
5.1.2.1.9 No quarto nvel, todas as paredes, piso e teto so revestidos de ao e concreto.
As paredes, piso e o teto so inteirios, constituindo uma clula estanque contra ameaas
de acesso indevido, gua, vapor, gases e fogo. Os dutos de refrigerao e de energia, bem
como os dutos de comunicao, no permitem a invaso fsica das reas de quarto nvel.
Adicionalmente, esses ambientes de nvel 4 que constituem as chamadas salas-cofre possuem proteo contra interferncia eletromagntica externa.
5.1.2.1.10 A sala-cofre foi construda segundo as normas brasileiras aplicveis.
5.1.2.1.12 O quinto nvel ou nvel 5 interno ao ambiente de nvel 4, e compreende
cofres e gabinetes trancados. Materiais criptogrficos tais como chaves, dados de ativao,
suas cpias e equipamentos criptogrficos esto armazenados em ambiente de nvel 5 ou
superior.
5.1.2.1.13 Para garantir a segurana do material armazenado, o cofre ou o gabinete
obedece s seguintes especificaes mnimas:
a) ser feito em ao ou material de resistncia equivalente;
b) possuir tranca com chave.
5.1.2.1.14 O sexto nvel ou nvel 6 - consiste de pequenos depsitos localizados no
interior do cofre ou gabinete de quinto nvel. Cada um desses depsitos dispe de
fechadura individual. Os dados de ativao da chave privada da AC CAIXA PF esto
armazenados nesses depsitos.
5.1.2.2. Sistemas fsicos de deteco
5.1.2.2.1 Todas as passagens entre os nveis de acesso, bem como as salas de operao
de nvel 4, so monitoradas por cmeras de vdeo ligadas a um sistema de gravao 24x7.
Verso 2.0
Pgina 35

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
O posicionamento e a capacidade dessas cmeras no permitem a recuperao de senhas

digitadas nos controles de acesso.
5.1.2.2.2 As fitas de vdeo resultantes da gravao 24x7 so armazenadas por, no mnimo,
um ano. Elas so testadas (verificao de trechos aleatrios no incio, meio e final da fita)
pelo menos a cada 3 (trs) meses, com a escolha de, no mnimo, uma fita referente a cada
semana. Essas fitas so armazenadas em ambiente de terceiro nvel.
5.1.2.2.3 Todas as portas de passagem entre os nveis de acesso 3 e 4 do ambiente so
monitoradas por sistema de notificao de alarmes.
5.1.2.2.4 Em todos os ambientes de quarto nvel, um alarme de deteco de movimentos
permanece ativo enquanto no for satisfeito o critrio de acesso ao ambiente. Assim que,
devido sada de um ou mais empregados, o critrio mnimo de ocupao deixar de ser
satisfeito, ocorrer a reativao automtica dos sensores de presena.
5.1.2.2.5 O sistema de notificao de alarmes utiliza pelo menos 2 (dois) meios de
notificao: sonoro e visual.
5.1.2.2.6 O sistema de monitoramento das cmeras de vdeo, bem como o sistema de
notificao de alarmes, so permanentemente monitorados por guarda armado e esto
localizados em ambiente de nvel 3. As instalaes do sistema de monitoramento, por sua
vez, so monitoradas por cmeras de vdeo cujo posicionamento permite o
acompanhamento das aes do guarda.
5.1.2.3. Sistema de controle de acesso
O sistema de controle de acesso est localizado no ambiente de nvel 4.
5.1.2.4. Mecanismos de emergncia
5.1.2.4.1 Mecanismos especficos foram implantados pela AC CAIXA PF para garantir a
segurana de seu pessoal e de seus equipamentos em situaes de emergncia. Esses
mecanismos permitem o destravamento de portas por meio de acionamento mecnico,
para a sada de emergncia de todos os ambientes com controle de acesso. A sada
efetuada por meio desses mecanismos aciona imediatamente os alarmes de abertura de
portas.
5.1.2.4.2 Todos os procedimentos referentes aos mecanismos de emergncia esto
documentados. Os mecanismos e procedimentos de emergncia so verificados
semestralmente, por meio de simulao de situaes de emergncia.
5.1.3. Energia e ar condicionado
5.1.3.1 A infra-estrutura do ambiente de certificao da AC CAIXA PF provida com
sistemas e dispositivos que garantem o fornecimento ininterrupto de energia eltrica e
aterramento adequado s instalaes.
5.1.3.2 As condies de fornecimento de energia so mantidas de forma a atender os
requisitos de disponibilidade dos sistemas da AC CAIXA PF e seus respectivos servios.
5.1.3.3 Foram utilizadas tubulaes, dutos, calhas, quadros e caixas de passagem,
distribuio e terminao separados projetados e construdos de forma a proteger,
facilitar vistorias e a deteco de tentativas de violao para os cabos de energia, de
telefonia e de dados.
5.1.3.4 Todos os cabos esto catalogados, identificados e periodicamente vistoriados, no
mnimo a cada 6 meses, na busca de evidncias de violao ou de outras anormalidades.
Verso 2.0
Pgina 36

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
5.1.3.5 So mantidos atualizados os registros sobre a topologia da rede de cabos e

qualquer modificao na rede previamente documentada, observados os requisitos de
sigilo estabelecidos pela Poltica de Segurana da ICP-Brasil [8].
5.1.3.6 No so admitidas instalaes provisrias, fiaes expostas ou diretamente
conectadas s tomadas sem a utilizao de conectores adequados.
5.1.3.7 O sistema de climatizao atende aos requisitos de temperatura e umidade
exigidos pelos equipamentos utilizados no ambiente e dispe de filtros de poeira. Nos
ambientes de nvel 4, o sistema de climatizao independente e tolerante falhas.
5.1.3.8 A temperatura dos ambientes atendidos pelo sistema de climatizao
permanentemente monitorada pelo sistema de notificao de alarmes.
5.1.3.9 O sistema de ar condicionando dos ambientes de nvel 4 interno, com troca de ar
realizada apenas por abertura da porta.
5.1.3.10 A capacidade de redundncia de toda a estrutura de energia e ar condicionado da
AC CAIXA PF garantida, por meio de:
a) geradores de porte compatvel;
b) geradores de reserva;
c) sistemas de no-breaks redundantes;
d) sistemas redundantes de ar condicionado.
5.1.4. Exposio gua
A estrutura inteiria do ambiente de nvel 4, construdo na forma de clula estanque, prov
proteo fsica contra exposio gua, infiltraes e inundaes, provenientes de
qualquer fonte externa.
5.1.5. Preveno e proteo contra incndio
5.1.5.1 Os sistemas de preveno contra incndios, internos aos ambientes, possibilitam
alarmes preventivos antes de fumaa visvel, disparados somente com a presena de

partculas que caracterizam o sobreaquecimento de materiais eltricos e outros materiais
combustveis presentes nas instalaes.
5.1.5.2 Nas instalaes da AC CAIXA PF no permitido fumar ou portar objetos que
produzam fogo ou fasca.
5.1.5.3 A sala-cofre de nvel 4 possui sistema para deteco precoce de fumaa e sistema
de extino de incndio por gs. As portas de acesso sala-cofre constituem eclusas,
onde uma porta s se abre quando a anterior estiver fechada.
5.1.5.4 Em caso de incndio nas instalaes da AC CAIXA PF, a temperatura interna da
sala-cofre de nvel 4, no exceder 50 graus Celsius, e a sala suporta esta condio por,
no mnimo, uma hora.
5.1.6. Armazenamento de mdia
A AC CAIXA PF atende a norma brasileira NBR 11.515/NB 1334 (Critrios de Segurana
Fsica Relativos ao Armazenamento de Dados).
5.1.7. Destruio de lixo
5.1.7.1 Todos os documentos em papel que contenham informaes classificadas como
sensveis so triturados antes de ir para o lixo.
Verso 2.0
Pgina 37

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
5.1.7.2 Todos os dispositivos eletrnicos no mais utilizveis, e que tenham sido

anteriormente utilizados para o armazenamento de informaes sensveis, so fisicamente
destrudos antes de serem descartados.
5.1.8. Instalaes de segurana (backup) externas (off-site)
As instalaes de backup atendem os requisitos mnimos estabelecidos por este
documento. Sua localizao tal que, em caso de sinistro que torne inoperantes as
instalaes principais, as instalaes de backup no sero atingidas e tornar-se-o
totalmente operacionais em, no mximo, 48 (quarenta e oito) horas.
5.1.9. Instalaes tcnicas de AR
As instalaes tcnicas de AR devero atender aos requisitos estabelecidos no documento
CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA ICP-BRASIL [1].
5.2. Controles Procedimentais
5.2.1. Perfis qualificados
5.2.1.1 A AC CAIXA PF garante a separao das tarefas para funes crticas, com o
intuito de evitar que um empregado utilize indevidamente o seu sistema de certificao
sem ser detectado. As aes de cada empregado so limitadas de acordo com seu perfil.
5.2.1.2 A AC CAIXA PF estabelece 7 (sete) perfis distintos para sua operao, distinguindo
as operaes do dia-a-dia do sistema, o gerenciamento e a auditoria dessas operaes,
bem como o gerenciamento de mudanas substanciais no sistema. So eles:
a) Gerente da AC;
b) Supervisor de Segurana;
c) Supervisor de Operao;
d) Especialista em Configurao;
e) Analista de Segurana;
f) Analista de Operao.
5.2.1.3 Todos os operadores do sistema de certificao da AC CAIXA PF recebem
treinamento especfico antes de obter qualquer tipo de acesso. O tipo e o nvel de acesso
esto determinados em documento formal, com base nas necessidades de cada perfil.
5.2.1.4 Quando um empregado se desligar da AC CAIXA PF, suas permisses de acesso
so revogadas imediatamente. Quando houver mudana na posio ou funo que o
empregado ocupa dentro da AC CAIXA PF, so revistas suas permisses de acesso.
Existe uma lista com todos os recursos, antes disponibilizados, que o empregado
devolver AC CAIXA PF, no ato de seu desligamento.
5.2.2. Nmero de pessoas necessrias por tarefa
5.2.2.1 A AC CAIXA PF utiliza o requisito de controle multiusurio para a gerao e a
utilizao da sua chave privada, na forma definida no item 6.2.2.
5.2.2.2 Todas as tarefas executadas no ambiente onde estiver localizado o equipamento
de certificao da AC CAIXA PF, requer a presena de, no mnimo, 2 (dois) de seus
empregados com perfis qualificados. As demais tarefas da AC CAIXA PF so executadas
por um nico empregado.
Verso 2.0
Pgina 38

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
5.2.3. Identificao e autenticao para cada perfil

5.2.3.1 A AC CAIXA PF implementa um rigoroso processo de seleo, que garante que
todo empregado tem sua identidade e perfil verificados antes de:
a) ser includo em uma lista de acesso s instalaes da AC CAIXA PF;
b) ser includo em uma lista para acesso fsico ao sistema de certificao da AC
CAIXA PF;
c) receber um certificado para executar suas atividades operacionais na AC CAIXA
PF;
d) receber uma conta no sistema de certificao da AC CAIXA PF.
5.2.3.2 Os certificados, contas e senhas utilizados para identificao e autenticao dos
empregados devem:
a) ser diretamente atribudos a um nico empregado;
b) no ser compartilhados;
c) ser restritos s aes associadas ao perfil para o qual foram criados.
5.2.3.3 A AC CAIXA PF implementa um padro de utilizao de "senhas fortes", definido na
sua Poltica de Segurana e em conformidade com a POLTICA DE SEGURANA DA ICPBRASIL [8], juntamente com procedimentos de validao dessas senhas.
5.3. Controles de Pessoal
Todos os empregados da AC CAIXA PF e AR vinculadas encarregados de tarefas
operacionais tm registrado em contrato ou termo de responsabilidade:
a) os termos e as condies do perfil que ocupam;
b) o compromisso de observar as normas, polticas e regras aplicveis da ICP-Brasil;
c) o compromisso de no divulgar informaes sigilosas a que tenham acesso.
5.3.1. Antecedentes, qualificao, experincia e requisitos de idoneidade
Todo o pessoal da AC CAIXA PF e das AR envolvido em atividades diretamente
relacionadas com os processos de emisso, expedio, distribuio, revogao e
gerenciamento de certificados admitido conforme o estabelecido na POLTICA DE
SEGURANA DA ICP-BRASIL [8].
5.3.2. Procedimentos de verificao de antecedentes
5.3.2.1 Com o propsito de resguardar a segurana e a credibilidade das entidades, todo o
pessoal da AC CAIXA PF e AR vinculadas envolvido em atividades diretamente
gerenciamento de certificados submetido a:
a) verificao de antecedentes criminais;
b) verificao de situao de crdito;
c) verificao de histrico de empregos anteriores;
d) comprovao de escolaridade e de residncia.
Verso 2.0
Pgina 39

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
5.3.3. Requisitos de treinamento

Todo o pessoal da AC CAIXA PF e AR vinculadas envolvido em atividades diretamente
gerenciamento de certificados recebem treinamento documentado, suficiente para o
domnio dos seguintes temas:
a) princpios e mecanismos de segurana da AC CAIXA PF e AR vinculadas;;
b) sistema de certificao em uso na AC CAIXA PF;
c) procedimentos de recuperao de desastres e de continuidade do negcio;
d) reconhecimento de assinaturas e validade dos documentos apresentados, na forma
do item 3.1.9 e 3.1.10 e 3.1.11; e
e) outros assuntos relativos a atividades sob sua responsabilidade.
5.3.4. Freqncia e requisitos para reciclagem tcnica
gerenciamento de certificados mantido atualizado sobre eventuais mudanas
tecnolgicas nos sistemas da AC CAIXA PF ou das AR vinculadas. Os treinamentos de
reciclagem so realizados pela AC CAIXA PF sempre que houver necessidade.
5.3.5. Freqncia e seqncia de rodzio de cargos
A AC CAIXA PF no implementa rodzio de cargos.
5.3.6. Sanes para aes no autorizadas
5.3.6.1 Aes no autorizadas do pessoal da AC CAIXA PF so submetidas a autoridades
designadas incluindo, mas no limitadas ao Supervisor de Segurana, que proceder
suspenso do acesso dessa pessoa ao seu sistema de certificao e adotando medidas
administrativas dentre elas a solicitao de instaurao de processo administrativo e
medidas legais cabveis.
5.3.6.2. O processo administrativo referido acima contem, no mnimo, os seguintes itens:
a) relato da ocorrncia com modus operandis;
b) identificao dos envolvidos;
c) eventuais prejuzos causados;
d) punies aplicadas, se for o caso; e
e) concluses.
5.3.6.3. Concludo o processo administrativo, a AC CAIXA encaminha suas concluses
AC Raiz.
5.3.6.4. As punies passveis de aplicao, em decorrncia de processo administrativo,
so:
a) advertncia;
b) suspenso por prazo determinado; ou
c) impedimento definitivo de exercer funes no mbito da ICP-Brasil.
Verso 2.0
Pgina 40

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
5.3.7. Requisitos para contratao de pessoal

gerenciamento de certificados contratado conforme o estabelecido POLTICA DE
SEGURANA DA ICP-BRASIL [8].
5.3.8. Documentao fornecida ao pessoal
5.3.8.1 Todo o pessoal da AC CAIXA PF e AR vinculadas possui acesso aos seguintes
materiais:
a) esta DPC;
b) a sua PC;
c) a POLTICA DE SEGURANA DA ICP-BRASIL [8];
d) Poltica de Segurana da ICP-Brasil;
e) documentao operacional relativa a suas atividades;
f) contratos, normas e polticas relevantes para suas atividades, inclusive manuais
operacionais e das aplicaes.
5.3.8.2 Toda a documentao fornecida ao pessoal est classificada segundo a poltica de
classificao de informao definida pela AC CAIXA PF e mantida atualizada.
6. CONTROLES TCNICOS DE SEGURANA
6.1. Gerao e Instalao do Par de Chaves
6.1.1. Gerao do par de chaves
6.1.1.1 O par de chaves da AC CAIXA PF gerado em mdulo criptogrfico de hardware
com padro de segurana FIPS 140-1 level 2, utilizando algoritmo RSA para gerao do
par de chaves e algoritmo 3-DES para sua proteo.
6.1.1.2 Pares de chaves so gerados somente pelo titular do certificado correspondente.
Seguindo as instrues contidas no site da AC CAIXA PF, o solicitante gera o seu par de
chaves e a requisio no formato PKCS#10, que submetida AC CAIXA PF.
6.1.1.3 As PC implementadas pela AC CAIXA PF definem o meio utilizado para
armazenamento da chave privada, com base nos requisitos aplicveis estabelecidos pelo
documento REQUISITOS MNIMOS PARA AS POLTICAS DE CERTIFICADO NA ICPBRASIL [7].
6.1.2. Entrega da chave privada entidade titular
No se aplica.
O titular do certificado responsvel pela gerao e a guarda da sua chave privada.
6.1.3. Entrega da chave pblica para emissor de certificado
6.1.3.1 A AC CAIXA PF entrega AC CAIXA cpia de sua chave pblica, em formato
PKCS#10.
Verso 2.0
Pgina 41

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
6.1.3.2 O solicitante entrega AC CAIXA PF cpia de sua chave pblica, em formato

PKCS#10, este procedimento efetivado automaticamente quando do processo de
emisso, conforme item 4.2 desta DPC.
6.1.4. Disponibilizao de chave pblica da AC para usurios
A disponibilizao do certificado da AC CAIXA PF feita atravs de sua pgina Web
(http://icp.caixa.gov.br/asp/repositorio.asp) utilizando o formato PKCS#7 (RFC 2315), que
inclui toda a cadeia de certificao. Poder tambm ser utilizada outra forma de
disponibilizao aprovada pelo CG da ICP-Brasil.
6.1.5. Tamanhos de chave
6.1.5.1 Cada PC implementada pela AC CAIXA PF define o tamanho das chaves
criptogrficas associadas aos certificados emitidos, com base nos requisitos aplicveis
estabelecidos pelo documento REQUISITOS MNIMOS PARA AS POLTICAS DE
CERTIFICADO NA ICP-BRASIL [7].
6.1.6. Gerao de parmetros de chaves assimtricas
Os parmetros de gerao de chaves assimtricas da AC CAIXA PF adotam o padro
definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL
[9].
6.1.7. Verificao da qualidade dos parmetros
A verificao dos parmetros de gerao de chave feita de acordo com as normas
estabelecidas pelo padro definido no documento PADRES E ALGORITMOS
CRIPTOGRFICOS DA ICP-BRASIL [9].
6.1.8. Gerao de chave por hardware ou software
6.1.8.1 A AC CAIXA PF utiliza um componente seguro de hardware para a gerao de seu
par de chaves. O componente seguro de hardware utiliza um mecanismo de deteco de
violao.
6.1.8.2 As PC implementadas pela AC CAIXA PF caracterizam o processo utilizado para a
gerao de chaves criptogrficas dos titulares de certificados, com base nos requisitos
aplicveis estabelecidos pelo documento REQUISITOS MNIMOS PARA AS POLTICAS
DE CERTIFICADO NA ICP-BRASIL [7].
6.1.9. Propsitos de uso de chave (conforme o campo key usage na X.509 v3)
6.1.9.1 As chaves privadas dos titulares de certificados emitidos pela AC CAIXA PF podem
ser utilizadas para Assinatura Digital, conforme especificado em suas PC correspondentes.

6.1.9.2 Certificados de assinatura so utilizados em aplicaes como confirmao de
identidade na Web, correio eletrnico, transaes on-line, redes privadas virtuais, cifrao
de chaves de sesso e assinatura de documentos eletrnicos com verificao da
integridade de suas informaes.
6.1.9.3 A chave privada da AC CAIXA PF utilizada apenas para a assinatura dos
certificados por ela emitidos e de suas LCR.
Verso 2.0
Pgina 42

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
6.2. Proteo da Chave Privada

As PC implementadas pela AC CAIXA PF especificam os requisitos especficos aplicveis
proteo das chaves de titulares de certificados, seguindo sempre o definido pelo CG da
ICP-Brasil.
6.2.1. Padres para mdulo criptogrfico
6.2.1.1 O mdulo criptogrfico de gerao de chaves assimtricas da AC CAIXA PF adota
o padro definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICPBRASIL [9].
6.2.1.2 O padro requerido para os mdulos de gerao de chaves criptogrficas dos
titulares de certificado , no mnimo, o FIPS 140-1.
6.2.2. Controle n de m para chave privada
6.2.2.1 A AC CAIXA PF implementa o controle mltiplo para a ativao e desativao da
sua chave privada atravs de controles de acesso fsico e lgico que exigem a presena de
pelo menos 2 (dois) empregados com perfis qualificados e logon mltiplo, sendo requerida
autenticao de 2 (dois) (n) empregados com perfis qualificados de um total de 5 (cinco)
(m).
6.2.2.2. A AC CAIXA PF implementa controle mltiplo para utilizao da chave privada da
AC. So formalmente designados pela AC CAIXA PF pelo menos 2 (dois) detentores de
partio de chave.
6.2.3. Recuperao (escrow) de chave privada
No permitida, no mbito da ICP-Brasil, a recuperao (escrow) de chaves privadas, isto
, no se permite que terceiros possam legalmente obter uma chave privada sem o
consentimento de seu titular.
6.2.4. Cpia de segurana (backup) de chave privada
6.2.4.1 Como diretriz geral qualquer titular de certificado poder, a seu critrio, manter
cpia de segurana de sua prpria chave privada.
6.2.4.2 A AC CAIXA PF mantm cpia de segurana de sua prpria chave privada.
6.2.4.3 A AC CAIXA PF no mantm cpia de segurana de chave privada de titular de
certificado de assinatura digital por ela emitido. Por solicitao do respectivo titular, ou de
empresa ou rgo, quando o titular do certificado for seu empregado ou cliente, a AC
CAIXA PF poder manter cpia de segurana de chave privada correspondente a
certificado de sigilo por ela emitido.
6.2.4.4 Em qualquer caso, a cpia de segurana armazenada, cifrada, por algoritmo
simtrico definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA
ICPBRASIL [9], e protegida com um nvel de segurana no inferior quele definido para a
chave original.
6.2.5. Arquivamento de chave privada
6.2.5.1 A ICP-Brasil no admite o arquivamento de chaves privadas de assinatura digital.
6.2.5.2 Define-se arquivamento como o armazenamento da chave privada para seu uso
futuro, aps o perodo de validade do certificado correspondente.
Verso 2.0
Pgina 43

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
6.2.6. Insero de chave privada em mdulo criptogrfico

6.2.6.1 Os requisitos para insero da chave privada da AC CAIXA PF em mdulo
criptogrfico, quando aplicveis, so realizados de acordo com o padro descrito na RFC
2510.
6.2.6.2 Cada PC implementada define, quando aplicveis, os requisitos para insero da
chave privada dos titulares de certificado em mdulo criptogrfico.
6.2.7. Mtodo de ativao de chave privada
6.2.7.1 A chave privada da AC CAIXA PF em hardware criptogrfico ativada mediante
identificao dos operadores responsveis por meio de senha e de dispositivo de controle
de acesso em hardware (token).
6.2.7.2 A AC CAIXA PF implementa o controle mltiplo para a ativao da sua chave
privada atravs de controles de acesso fsico e lgico que exigem a presena de pelo
menos 2 (dois) empregados com perfis qualificados e logon mltiplo, sendo requerida
(m).
6.2.7.3 So descritos os requisitos e os procedimentos necessrios para a ativao da
chave privada do titular de certificado em cada PC implementada.
6.2.8. Mtodo de desativao de chave privada
6.2.8.1 A AC CAIXA PF implementa o controle mltiplo para a desativao da sua chave
privada atravs de controles de acesso fsico e lgico que exigem a presena de pelo
menos 2 (dois) empregados com perfis qualificados e logon mltiplo, sendo requerida
(m).
6.2.8.2 Quando a chave privada da AC CAIXA PF for desativada, em decorrncia de
expirao ou revogao, esta eliminada da memria do mdulo criptogrfico. Qualquer
espao em disco, onde a chave eventualmente estivesse armazenada, sobrescrito.
6.2.8.3 As PC implementadas descrevem os requisitos e os procedimentos necessrios
para a desativao da chave privada de entidade titular de certificado.
6.2.9. Mtodo de destruio de chave privada
6.2.9.1 O mtodo descrito no item 6.2.8 j proporciona a destruio da chave privada. Alm
do estabelecido no item 6.2.8, todas as cpias de segurana da chave privada da AC
CAIXA PF so destrudas.
6.2.9.2 As PC implementadas descrevem os requisitos e os procedimentos necessrios
para a destruio da chave privada de entidade titular de certificado.
6.3. Outros Aspectos do Gerenciamento do Par de Chaves
6.3.1. Arquivamento de chave pblica
6.3.1.1 A chave pblica da AC CAIXA PF permanecer armazenada aps a expirao dos
certificados correspondentes, permanentemente, na forma da legislao em vigor, para
verificao de assinaturas geradas durante seu perodo de validade.
6.3.1.2 Cada PC de assinatura digital implementada pela AC CAIXA PF descreve os
perodos de arquivamento da chave pblica de titular de certificado.
Verso 2.0
Pgina 44

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
6.3.2. Perodos de uso para as chaves pblica e privada

6.3.2.1 A chave privada da AC CAIXA PF e chaves privadas de assinatura digital de
titulares de certificados por elas emitidos so utilizadas apenas durante o perodo de
validade dos certificados correspondentes. As correspondentes chaves pblicas podem ser
utilizadas durante todo o perodo de tempo determinado pela legislao aplicvel, para
verificao de assinaturas geradas durante o prazo de validade dos respectivos
certificados.
6.3.2.3 As PC implementadas pela AC CAIXA PF definem o perodo mximo de validade
do certificado, observados os prazos estabelecidos pelo documento REQUISITOS
MNIMOS PARA AS POLTICAS DE CERTIFICADO NA ICP-BRASIL [7].
6.3.2.4. O perodo mximo de validade admitido para certificados de AC de 8 (oito) anos.
6.4. Dados de Ativao
6.4.1. Gerao e instalao dos dados de ativao
6.4.1.1 Os dados de ativao da chave privada da AC CAIXA PF so nicos e aleatrios.
6.4.1.2 Os dados de ativao da chave privada de titular de certificado, se utilizados, esto
definidos nas PC implementadas.
6.4.2. Proteo dos dados de ativao
6.4.2.1 Os dados de ativao da chave privada da AC CAIXA PF esto protegidos contra
uso no autorizado, por meio de mecanismos de criptografia e de controle de acesso fsico.
6.4.2.2 A proteo dos dados de ativao da chave privada de titular de certificado, se
utilizados, esto definidos nas PC implementadas.
6.4.3. Outros aspectos dos dados de ativao
No se aplica.
6.5. Controles de Segurana Computacional
6.5.1. Requisitos tcnicos especficos de segurana computacional
6.5.1.1 A AC CAIXA PF garante que a gerao de seu par de chaves realizada em
ambiente seguro de nvel 4.
6.5.1.2 O titular de certificado emitido pela AC CAIXA PF responsvel por garantir que o
equipamento onde so gerados os pares de chaves criptogrficas dispe de mecanismos
mnimos que garantam a segurana computacional. Os requisitos especficos aplicveis
esto descritos abaixo.
a) Sistema Operacional, padro de mercado, em sua verso mais recente, com todas
as correes recomendadas pelo fornecedor;
b) Sistema de deteco e remoo de vrus, em sua verso mais recente, com todas
as correes recomendadas e vacinas atualizadas imediatamente aps a
disponibilizao pelo fornecedor.
6.5.1.3 O computador servidor da AC CAIXA PF relacionado diretamente com os
processos de emisso, expedio, distribuio, revogao ou gerenciamento de
certificados implementa, entre outras, as seguintes caractersticas:
Verso 2.0
Pgina 45

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
a) controle de acesso aos servios e perfis da AC CAIXA PF;

b) clara separao das tarefas e atribuies relacionadas a cada perfil qualificado da
AC CAIXA PF;
c) uso de criptografia para segurana de base de dados, quando exigido pela
classificao de suas informaes;
d) gerao e armazenamento de registros de auditoria da AC CAIXA PF;
e) mecanismos internos de segurana para garantia da integridade de dados e
processos crticos; e
f) mecanismos para cpias de segurana (backup).
6.5.1.4 Essas caractersticas so implementadas pelo sistema operacional ou por meio da
combinao deste com o sistema de certificao e com mecanismos de segurana fsica.
6.5.1.5 Qualquer equipamento, ou parte deste, ao ser enviado para manuteno tem
apagadas as informaes sensveis nele contidas e controlado seu nmero de srie e as
datas de envio e de recebimento. Ao retornar s instalaes da AC CAIXA PF, o
equipamento que passou por manuteno inspecionado. Em todo equipamento que
deixar de ser utilizado em carter permanente, so destrudas de maneira definitiva todas
as informaes sensveis armazenadas, relativas atividade da AC CAIXA PF. Todos
esses eventos so registrados para fins de auditoria.
6.5.1.6 Qualquer equipamento incorporado AC CAIXA PF preparado e configurado
como previsto na poltica de segurana implementada ou em outro documento aplicvel, de
forma a apresentar o nvel de segurana necessrio sua finalidade.
6.5.2. Classificao da segurana computacional
No se aplica.
6.5.3. Controles de Segurana para as Autoridades de Registro
6.5.3.1 As Estaes de trabalho utilizadas para os processos de validao e aprovao de
certificados esto configuradas conforme especificado no documento CARACTERSTICAS
MNIMAS DE SEGURANA PARA AS AR DA ICP-BRASIL [1].
a) Para ter acesso a estao de trabalho conectada a rede CAIXA, o usurio deve
estar cadastrado em um domnio da rede Caixa.
b) Nas estaes de trabalho utilizado o sistema de arquivos NTFS.
c) A instalao e configurao das estaes de trabalho seguem os padres e
orientaes definidas pela CAIXA.
d) Os Service Packs e Hot fixs homologados pela CAIXA, so mantidos
atualizados nas estaes de trabalho.
e) No permitida a utilizao de Modem interno ou externo nas estaes de
trabalho conectadas a rede CAIXA;
f) As estaes de trabalho contem apenas os software homologados e
necessrios para a realizao das atividades do usurio;
g) A proteo de tela utilizada nas estaes de trabalho acionada no mximo
aps cinco minutos de inatividade e exige senha do usurio para desbloqueio;
h) Somente podem ser instalados nas estaes de trabalho os programas de
computador homologados e constantes do Caderno de Especificao de
Hardware e Software;
Verso 2.0
Pgina 46

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
i)
O software antivrus homologado pela CAIXA mantido instalado, atualizado e

habilitado nas estaes de trabalho.
6.5.3.2 A Caixa adota FIREWALL para acesso ao sistema de Certificao Digital.

6.5.3.2.1 Esto includos os requisitos especificados no documento CARACTERSTICAS
MNIMAS DE SEGURANA PARA AS AR DA ICPBRASIL [1].
6.6. Controles Tcnicos do Ciclo de Vida
6.6.1. Controles de desenvolvimento de sistema
6.6.1.1 No h desenvolvimento de sistemas de certificao pela AC CAIXA PF.
6.6.2. Controles de gerenciamento de segurana
6.6.2.1 Administrao de segurana de sistema controlada pelos privilgios nomeados a
contas de sistema operacional, e pelos perfis qualificados descritos no item 5.2.1.
6.6.2.2 A AC CAIXA PF utiliza metodologia formal de gerenciamento de configurao para
a instalao e a contnua manuteno do sistema de certificao da AC CAIXA PF e suas
redes operacionais.
6.6.3. Classificaes de segurana de ciclo de vida
No se aplica.
6.7. Controles de Segurana de Rede
6.7.1. Diretrizes Gerais
6.7.1.1 O computador servidor da AC CAIXA PF que hospeda o sistema de certificao
opera on-line, fisicamente conectado rede, devidamente protegido pelos requisitos de
segurana fsica e lgica.
6.7.1.2 Os controles implementados para garantir a confidencialidade, integridade e
disponibilidade dos servios do repositrio so os seguintes:
6.7.1.3 Os elementos de infra-estrutura e proteo de rede, tais como roteadores, hubs,
switches, firewalls e sistemas de deteco de intruso (IDS), que atendem o segmento de
rede dos servidores Web do sistema de certificao da AC CAIXA PF, esto localizados e
operam em ambiente de nvel 4;
6.7.1.4 As verses mais recentes dos sistemas operacionais e dos aplicativos servidores,
bem como as eventuais correes (patches), disponibilizadas pelos respectivos fabricantes
so implantadas imediatamente aps testes em ambiente de desenvolvimento ou
homologao;
6.7.1.5 Acesso lgico aos elementos de infra-estrutura e proteo de rede restrito, por
meio de sistema de autenticao e autorizao de acesso. Os roteadores conectados a
redes externas implementam filtros de pacotes de dados, que permitam somente as
conexes aos servios e servidores previamente definidos como passveis de acesso
externo;
6.7.1.5.1 Infra-estrutura de conectividade, incluindo:
a) alojamento seguro de equipamento de comunicao;
b) firewall seguro e servios de roteador;
Verso 2.0
Pgina 47

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
c) servio de LAN seguro;

d) servio back- office seguro; e
e) servio de internet seguro e redundante.
6.7.1.5.2 Preveno contra incidente e avaliao, incluindo:
a) descoberta de intruso;
b) anlise de vulnerabilidade;
c) configurao segura de servidor; e
d) auditorias tcnicas.
6.7.1.5.3 Administrao de Infra-estrutura, incluindo:
a) monitoramento de servidor;
b) monitoramento de rede;
c) monitoramento de URL; e
d) relatrios de largura da banda.
6.7.1.5.4 Nos servidores e elementos de infra-estrutura e proteo de rede utilizados pela
AC CAIXA PF, somente os servios estritamente necessrios so habilitados.
6.7.2. Firewall
6.7.2.1 Os mecanismos de firewall esto implementados em equipamentos de utilizao
especfica, configurados exclusivamente para tal funo. O firewall promove o isolamento,
em sub-redes especficas, dos equipamentos servidores com acesso externo a
conhecida "zona desmilitarizada" (DMZ) em relao aos equipamentos com acesso
exclusivamente interno AC CAIXA PF.
6.7.2.2 O software de firewall, entre outras caractersticas, implementar registros de
auditoria.
6.7.3. Sistema de deteco de intruso (IDS)
6.7.3.1 O sistema de deteco de intruso tem capacidade de ser configurado para
reconhecer ataques em tempo real e respond-los automaticamente, com medidas tais
como: enviar traps SNMP, executar programas definidos pela administrao da rede,
enviar e-mail aos administradores, enviar mensagens de alerta ao firewall ou ao terminal
de gerenciamento, promover a desconexo automtica de conexes suspeitas, ou ainda a
reconfigurao do firewall.
6.7.3.2 O sistema de deteco de intruso tem capacidade de reconhecer diferentes
padres de ataques, inclusive contra o prprio sistema, apresentando a possibilidade de
atualizao da sua base de reconhecimento.
6.7.3.3 O sistema de deteco de intruso prov o registro dos eventos em logs,
recuperveis em arquivos do tipo texto, alm de implementar uma gerncia de
configurao.
6.7.4. Registro de acessos no autorizados rede
As tentativas de acesso no autorizado em roteadores, firewalls ou IDS so registradas
em arquivos para posterior anlise, que poder ser automatizada. A freqncia de exame
dos arquivos de registro diria e todas as aes tomadas em decorrncia desse exame
so documentadas.
Verso 2.0
Pgina 48

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
6.8. Controles de Engenharia do Mdulo Criptogrfico

O mdulo criptogrfico utilizado pela AC CAIXA PF para o armazenamento de sua chave
privada certificado como o FIPS (Federal Information Processing Standards) 140-1, level
2, adotando os padres de referncia, definidos no documento PADRES E
ALGORITMOS CRIPTOGRFICOS DA ICPBRASIL [9].
7. PERFIS DE CERTIFICADO E LCR
7.1. Diretrizes Gerais
7.1.1. Nos seguintes itens desta DPC so descritos os aspectos dos certificados e LCR
emitidos pela AC CAIXA PF.
7.1.2. As PC A1 AC CAIXA PF e PC A3 AC CAIXA PF implementadas pela AC CAIXA PF
especificam os formatos dos certificados gerados e das correspondentes LCR. So
includas informaes sobre os padres adotados, seus perfis, verses e extenses.
7.1.3 No se aplica.
7.2. Perfil do Certificado
Todos os certificados emitidos pela AC CAIXA PF esto em conformidade com o formato
definido pelo padro ITU X.509 ou ISO/IEC 9594-8.
7.2.1. Nmero(s) de verso
Todos os certificados emitidos pela AC CAIXA PF implementam a verso 3 do padro ITU
X.509, de acordo com o perfil estabelecido na RFC 3280.
7.2.2. Extenses de certificado
No se aplica.
7.2.3. Identificadores de algoritmo
No se aplica.
7.2.4. Formatos de nome
No se aplica.
7.2.5. Restries de nome
A ICP-Brasil estabelece as seguintes restries para os nomes, aplicveis a todos os
certificados, conforme estabelecido no documento REQUISITOS MNIMOS PARA AS
POLTICAS DE CERTIFICADO NA ICP-BRASIL [7]:
a) no so utilizados sinais de acentuao, tremas ou cedilhas;
b) alm dos caracteres alfanumricos, so utilizados somente os seguintes caracteres
especiais:
Caracter
Branco
!
Verso 2.0
Cdigo NBR 9611

(hexadecimal)
20
21
Pgina 49

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
#
$
%
&
(
)
*
+
,
.
/
:
;
=
?
@
\
22
23
24
25
26
27
28
29
2A
2B
2C
2D
2E
2F
3A
3B
3D
3F
40
5C
Tabela de Caracteres Especiais Admitidos em Nomes

7.2.6. OID (Object Identifier) de DPC
O OID desta DPC : 2.16.76.1.1.12.
7.2.7. Uso da extenso Policy Constraints
No se aplica.
7.2.8. Sintaxe e semntica dos qualificadores de poltica
No se aplica.
7.2.9. Semntica de processamento para extenses crticas
Extenses crticas so interpretadas conforme a RFC 3280.
7.3. Perfil de LCR
7.3.1. Nmero(s) de verso
As LCR geradas pela AC CAIXA PF implementam a verso 2 do padro ITU X.509, de
acordo com o perfil estabelecido na RFC 3280.
7.3.2. Extenses de LCR e de suas entradas
7.3.2.1 A AC CAIXA PF adota as seguintes extenses de LCR:
a) Authority Key Identifier: Contm o hash SHA-1 da chave pblica da AC CAIXA PF
que assina a LCR;
b) CRL Number, no crtica: contm um nmero seqencial para cada LCR emitida
pela AC CAIXA PF.
7.3.2.2. A ICP-Brasil define como obrigatrias as seguintes extenses de LCR:
Verso 2.0
Pgina 50

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
a) Authority Key Identifier: deve conter o hash SHA1 da chave pblica da AC que assina a
LCR; e
b) CRL Number, no crtica: deve conter um nmero seqencial para cada LCR emitida
pela AC.
8. ADMINISTRAO DE ESPECIFICAO
8.1. Procedimentos de mudana de especificao
Qualquer alterao nesta DPC submetida aprovao do CG da ICP-Brasil.
Esta DPC atualizada sempre que uma nova PC seja implementada pela AC CAIXA PF.
8.2. Polticas de publicao e notificao
A
AC
CAIXA
PF
publica
esta
DPC
em
sua
pgina
Web
(http://icp.caixa.gov.br/asp/repositorio.asp). Sempre que esta DPC for atualizada,
alterado o arquivo disponibilizado na Web.
8.3. Procedimentos de aprovao
Esta DPC foi submetida aprovao durante o processo de credenciamento da AC CAIXA
PF, conforme o determinado pelo documento CRITRIOS E PROCEDIMENTOS PARA
CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [6].
9 DOCUMENTOS REFERENCIADOS
Os documentos abaixo so aprovados por Resolues do Comit Gestor da ICP-Brasil,
podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio
http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Resolues
que os aprovaram.
Ref.
[2]
[3]
[6]
[7]
[8]
Nome Documento
CRITRIOS E PROCEDIMENTOS PARA FISCALIZAO DAS
ENTIDADES INTEGRANTES DA ICP-BRASIL
CRITRIOS E PROCEDIMENTOS PARA REALIZAO DE
AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL
CRITRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS
ENTIDADES INTEGRANTES DA ICP-BRASIL
REQUISITOS MNIMOS PARA AS POLTICAS DE CERTIFICADO NA
ICP-BRASIL
POLTICA DE SEGURANA DA ICP-BRASIL
Cdigo
DOC-ICP-02
DOC-ICP-03
DOC-ICP-06
DOC-ICP-07
DOC-ICP-08
9.2 Os documentos abaixo so aprovados por Instruo Normativa da AC Raiz, podendo

ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio
http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Instrues
Normativas que os aprovaram.
Ref.
[1]
Nome Documento
CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA
ICPBRASIL
Verso 2.0
Cdigo
DOC-ICP-01
Pgina 51

CAIXA PESSOA FSICA
DPC da AC CAIXA PF
[9]
PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL
DOC-ICP-09
9.3 Os documentos abaixo so aprovados pela AC Raiz, podendo ser alterados, quando
necessrio, mediante publicao de uma nova verso no stio http://www.iti.gov.br.
Ref.
[4]
[5]
Nome Documento
MODELO DE TERMO DE TITULARIDADE
Cdigo
DOC-ICP-04
MODELO DE TERMO DE RESPONSABILIDADE
DOC-ICP-05
Verso 2.0
Pgina 52

CAIXA Declaração de Prática de Certificação

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CAIXA Declaração de Prática de Certificação

Enviado por

Direitos autorais:

Formatos disponíveis

Declarao de Prticas de Certificao da Autoridade Certificadora

CAIXA PESSOA FSICA

Declarao de Prticas de Certificao da Autoridade Certificadora

Declarao de Prticas de Certificao da Autoridade Certificadora

Declarao de Prticas de Certificao da Autoridade Certificadora

Declarao de Prticas de Certificao da Autoridade Certificadora

Declarao de Prticas de Certificao da Autoridade Certificadora

Declarao de Prticas de Certificao da Autoridade Certificadora

Declarao de Prticas de Certificao da Autoridade Certificadora

Declarao de Prticas de Certificao da Autoridade Certificadora

1.3.3.2 Os PSS da AC CAIXA PF so entidades utilizadas para desempenhar atividades

Declarao de Prticas de Certificao da Autoridade Certificadora

b) gerar e gerenciar o seu par de chaves criptogrficas;

revogar, de acordo com o disposto nesta DPC e na PC implementada, os

emitir, gerenciar e publicar suas Listas de Certificados Revogados (LCR). A AC

k) publicar em sua pgina Web sua DPC e a PC aprovada que implementa;

publicar, em sua pgina web, as informaes definidas no item 2.6.1.2 deste

m) publicar, em pgina web, informaes sobre o descredenciamento de AR bem como

Declarao de Prticas de Certificao da Autoridade Certificadora

w) no emitir certificado com prazo de validade que se estenda alm do prazo de

manter e testar anualmente seu Plano de Continuidade do Negcio - PCN;

proceder o reconhecimento das assinaturas e da validade dos documentos

k) garantir que todas as aprovaes de solicitao de certificados sejam realizadas em

Declarao de Prticas de Certificao da Autoridade Certificadora

2.1.4.2 Constituem direitos da terceira parte:

Declarao de Prticas de Certificao da Autoridade Certificadora

2.3.3. Processos Administrativos

Declarao de Prticas de Certificao da Autoridade Certificadora

2.5.2. Tarifas de acesso ao certificado

Declarao de Prticas de Certificao da Autoridade Certificadora

So utilizados controles de acesso apropriados para restringir a possibilidade de escrita ou

Declarao de Prticas de Certificao da Autoridade Certificadora

2.8.2 Tipos de informaes sigilosas

Declarao de Prticas de Certificao da Autoridade Certificadora

atravs de declarao do titular reconhecida em cartrio autorizando terceiro a ter acesso

Declarao de Prticas de Certificao da Autoridade Certificadora

3.1.1.3. Todas as etapas dos processos de validao e verificao da solicitao de

Declarao de Prticas de Certificao da Autoridade Certificadora

3.1.9. Autenticao da identidade de um indivduo

Declarao de Prticas de Certificao da Autoridade Certificadora

Declarao de Prticas de Certificao da Autoridade Certificadora

3.1.11.1.1. Em se tratando de certificado emitido para equipamento ou aplicao, o titular

Declarao de Prticas de Certificao da Autoridade Certificadora

3.3. Gerao de novo par de chaves aps revogao

b) o titular comparece pessoalmente em uma das AR vinculadas AC CAIXA PF,

Declarao de Prticas de Certificao da Autoridade Certificadora

d) o operador da AR valida todos os dados necessrios junto ao software de

Declarao de Prticas de Certificao da Autoridade Certificadora

4.4. Suspenso e Revogao de Certificado

Declarao de Prticas de Certificao da Autoridade Certificadora

Declarao de Prticas de Certificao da Autoridade Certificadora

4.4.9. Freqncia de emisso de LCR

Declarao de Prticas de Certificao da Autoridade Certificadora

4.5.1. Tipos de eventos registrados

tentativas de iniciar, remover, habilitar e desabilitar usurios de sistemas, e de

k) operaes falhas de escrita ou leitura no repositrio de certificados e da LCR,

operaes de escrita nesse repositrio, quando aplicvel.

4.5.1.2 A AC CAIXA PF registra, eletrnica ou manualmente, informaes de segurana no

geradas diretamente pelo seu sistema de certificao, tais como:

Declarao de Prticas de Certificao da Autoridade Certificadora

a) os agentes de registro que realizaram as operaes;

Declarao de Prticas de Certificao da Autoridade Certificadora

4.5.5. Procedimentos para cpia de segurana (backup) de registro (log) de auditoria

Declarao de Prticas de Certificao da Autoridade Certificadora