Poltica de Certificado de Assinatura

Digital Tipo A3
da Autoridade Certificadora SAT SEFAZ
SP

PC A3 DA AC SAT SEFAZ SP
Verso 1.2 - 30 de maro de 2015

NDICE
1.

INTRODUO ...................................................................................................................................... 5

1.1.VISO GERAL.............................................................................................................................................. 5
1.2.IDENTIFICAO ........................................................................................................................................... 5
1.3.COMUNIDADE E APLICABILIDADE .............................................................................................................. 5
1.3.1.Autoridades Certificadoras ........................................................................................................ 5
1.3.2. Prestador de Servio de Suporte ........................................................................................... 5
1.3.3.Titulares de Certificado ............................................................................................................... 6
1.3.4.Aplicabilidade .................................................................................................................................. 6
1.4.DADOS DE CONTATO.................................................................................................................................. 6
2.

DISPOSIES GERAIS ................................................................................................................... 7

2.1.OBRIGAES E DIREITOS .......................................................................................................................... 8

2.1.1.Obrigaes da AC SAT SEFAZ SP............................................................................................ 8
2.1.2.Obrigaes dos Titulares do Certificado ............................................................................... 8
2.1.3.Direitos da Terceira Parte (Relying Party) ........................................................................... 8
2.1.4.Obrigaes do Repositrio ......................................................................................................... 8
2.2.RESPONSABILIDADES ................................................................................................................................. 8
2.2.1.Responsabilidades da AC SAT SEFAZ SP ............................................................................. 8
2.3.RESPONSABILIDADE FINANCEIRA ............................................................................................................. 8
2.3.1.Indenizaes devidas pela terceira parte (Relying Party) ............................................. 8
2.3.2.Processos Administrativos ......................................................................................................... 8
2.4.INTERPRETAO E EXECUO ................................................................................................................... 8
2.4.1.Forma de interpretao e notificao.................................................................................... 8
2.4.2.Procedimentos de soluo de disputa ................................................................................... 8
2.5.TARIFAS DE SERVIO ................................................................................................................................. 8
2.5.1 Tarifas de emisso e renovao de certificados................................................................ 8
2.6.PUBLICAO E REPOSITRIO .................................................................................................................... 8
2.6.1 Publicao de informao da AC ............................................................................................. 8
2.6.2.Freqncia de publicao........................................................................................................... 8
2.6.3.Controles de acesso ..................................................................................................................... 8
2.6.4.Repositrios..................................................................................................................................... 8
2.7.SIGILO ......................................................................................................................................................... 8
2.7.1.Disposies gerais ........................................................................................................................ 8
2.7.2.Tipos de informaes sigilosas ................................................................................................ 9
2.7.3.Tipos de informaes no-sigilosas ....................................................................................... 9
2.7.4.Divulgao de informao de revogao ou suspenso de certificado .................... 9
2.7.5.Quebra de sigilo por motivos legais....................................................................................... 9
2.7.6.Informaes a terceiros.............................................................................................................. 9
2.7.7.Divulgao por solicitao do Titular do Certificado ........................................................ 9
2.8. DIREITOS DE PROPRIEDADE INTELECTUAL ............................................................................................. 9
3.

REQUISITOS OPERACIONAIS .................................................................................................... 9

3.1.SOLICITAO DE CERTIFICADO ................................................................................................................ 9

3.2.EMISSO DE CERTIFICADO ........................................................................................................................ 9
3.3.ACEITAO DE CERTIFICADO .................................................................................................................... 9
3.4.SUSPENSO E REVOGAO DE CERTIFICADO .......................................................................................... 9
3.4.1.Circunstncias para revogao ................................................................................................ 9
3.4.2.Quem pode solicitar revogao ............................................................................................... 9
3.4.3.Procedimento para solicitao de revogao ................................................................... 10
3.4.4.Prazo para solicitao de revogao ................................................................................... 10
3.4.5. ........................................................................................................................................................... 10
PC A3 da AC SAT SEFAZ SP v1.2
2/22

Freqncia de emisso de LCR .......................................................................................................... 10

3.4.6.Requisitos para verificao de LCR ...................................................................................... 10
3.4.7.Disponibilidade para revogao ou verificao de status on-line............................. 10
3.4.8. ........................................................................................................................................................... 10
Requisitos especiais para o caso de comprometimento de chave ....................................... 10
3.5.PROCEDIMENTOS DE AUDITORIA DE SEGURANA ................................................................................. 10
3.5.1.Tipos de eventos registrados.................................................................................................. 10
3.5.2.Freqncia de auditoria de registros (logs) ...................................................................... 10
3.5.3.Perodo de reteno para registros (logs) de auditoria ................................................ 10
3.5.4.Proteo de registro (log) de auditoria .............................................................................. 10
3.5.5. ........................................................................................................................................................... 10
Sistema de coleta de dados de auditoria....................................................................................... 10
3.5.6.Notificao de agentes causadores de eventos ............................................................... 10
3.5.7.Avaliaes de vulnerabilidade ................................................................................................ 10
3.6.ARQUIVAMENTO DE REGISTROS .............................................................................................................. 10
3.6.1.Tipos de registros arquivados ................................................................................................ 10
3.6.2.Perodo de reteno para arquivo ........................................................................................ 10
3.6.3.Proteo de arquivo ................................................................................................................... 10
3.6.4.Procedimentos para cpia de segurana (backup) de arquivo.................................. 10
3.6.5.Requisitos para datao (time-stamping) de registros ................................................ 10
3.6.6.Sistema de coleta de dados de arquivo ............................................................................. 10
3.6.7.Procedimentos para obter e verificar informao de arquivo .................................... 10
3.7.TROCA DE CHAVE ...................................................................................................................................... 11
3.8.COMPROMETIMENTO E RECUPERAO DE DESASTRE ............................................................................ 11
3.8.1.Recursos computacionais, software, e dados corrompidos ........................................ 11
3.8.2.Certificado de entidade revogado ..................................................................................... 11
3.8.3.Chave de entidade comprometida .................................................................................... 11
3.8.4.Segurana dos recursos aps desastre natural ou de outra natureza ................... 11
3.9.Extino dos servios de AC ou PSS........................................................................................ 11
4.

CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL ........ 11

4.1.CONTROLES FSICOS ....................................................................................................................... 11

5.

CONTROLES TCNICOS DE SEGURANA............................................................................ 12

5.1.GERAO E INSTALAO DO PAR DE CHAVES ....................................................................................... 12

5.1.1.Gerao do par de chaves ....................................................................................................... 12
5.1.2. Entrega da chave pblica para emissor de certificado ................................................ 13
5.1.3.Disponibilizao de chave pblica da AC para usurios ............................................... 13
5.1.4.Tamanhos de chave ................................................................................................................... 14
5.1.5.Gerao de parmetros de chaves assimtricas............................................................. 14
5.1.6.Verificao da qualidade dos parmetros .......................................................................... 14
5.1.7.Gerao de chave por hardware ou software .................................................................. 14
5.1.8.Propsitos de uso de chave (conforme o campo key usage na X.509 v3) ....... 14
5.2. PROTEO DA CHAVE PRIVADA ............................................................................................................. 14
5.2.1.Padres para mdulo criptogrfico ...................................................................................... 14
5.2.2.Recuperao (escrow) de chave privada ........................................................................... 15
5.2.3.Cpia de segurana (backup) de chave privada ............................................................. 15
5.2.5.Arquivamento de chave privada ........................................................................................... 15
5.2.6.Mtodo de ativao de chave privada................................................................................. 15
5.2.7.Mtodo de desativao de chave privada.......................................................................... 15
5.2.8.Mtodo de destruio de chave privada............................................................................. 15
5.3.OUTROS ASPECTOS DO GERENCIAMENTO DO PAR DE CHAVES ........................................................... 15
5.3.1.Arquivamento de chave pblica ............................................................................................ 15
5.3.2.Perodos de uso para as chaves pblica e privada......................................................... 15
PC A3 da AC SAT SEFAZ SP v1.2
3/22

5.4.DADOS DE ATIVAO............................................................................................................................... 16
5.4.1.Gerao e instalao dos dados de ativao .................................................................... 16
5.4.2.Proteo dos dados de ativao ............................................................................................ 16
5.5.CONTROLES DE SEGURANA COMPUTACIONAL ..................................................................................... 16
5.5.1.Requisitos tcnicos especficos de segurana computacional .................................... 16
5.6.CONTROLES TCNICOS DO CICLO DE VIDA ........................................................................................... 16
5.6.1.Controles de desenvolvimento de sistema........................................................................ 16
5.6.2.Controles de gerenciamento de segurana ....................................................................... 17
5.7.CONTROLES DE ENGENHARIA DO MDULO CRIPTOGRFICO ............................................................... 17
6.

PERFIS DE CERTIFICADO E LCR ............................................................................................. 17

6.1.PERFIL DO CERTIFICADO ......................................................................................................................... 17

6.1.1.Nmero de verso ...................................................................................................................... 17
6.1.2.Extenses de certificado........................................................................................................... 17
6.1.3.Identificadores de algoritmo ................................................................................................... 19
6.1.4.Formatos de nome ..................................................................................................................... 19
6.1.5.Restries de nome .................................................................................................................... 20
6.1.6.OID (Object Identifier) de Poltica de Certificado ........................................................... 20
6.1.7.Sintaxe e semntica dos qualificadores de poltica ....................................................... 20
6.1.8.Semntica de processamento para extenses crticas ................................................. 21
6.2.PERFIL DE LCR ......................................................................................................................................... 21
6.2.1.Nmero(s) de verso................................................................................................................. 21
6.2.2.Extenses de LCR e de suas entradas ................................................................................ 21
7.

ADMINISTRAO DE ESPECIFICAO ............................................................................... 21

7.1.PROCEDIMENTOS DE MUDANA DE ESPECIFICAO .............................................................................. 21

7.2.POLTICAS DE PUBLICAO E NOTIFICAO ........................................................................................... 21
7.3.PROCEDIMENTOS DE APROVAO ........................................................................................................... 22
8. DOCUMENTOS REFERENCIADOS .................................................................................................. 22

PC A3 da AC SAT SEFAZ SP v1.2

4/22

Poltica de Certificado de Assinatura Digital Tipo A3 da Autoridade Certificadora

SAT SEFAZ SP
1.

INTRODUO
1.1.Viso Geral
1.1.1. Esta Poltica de Certificado (PC) descreve as polticas de certificao de
certificados de Assinatura Digital Tipo A3 da Autoridade Certificadora SAT SEFAZ.
1.1.2. A estrutura desta PC est baseada no DOC-ICP-04 do Comit Gestor da ICPBrasil Requisitos Mnimos para as Polticas de Certificados na ICP-Brasil e na RFC
5280 (Internet X.509 Public Key Infrastructure - Certificate Policy and Certification
Practices Framework).
1.2.Identificao
1.2.1. Esta PC chamada Poltica de Certificado de Assinatura Digital Tipo A3 da
Autoridade Certificadora SAT SEFAZ SP e referida como PC A3 da AC SAT SEFAZ SP.
Esta

PC

descreve

os

usos

relacionados

ao

certificado

de

Assinatura

Digital

correspondente ao certificado tipo A3. O OID (object identifier) desta PC

1.3.6.1.4.1.30253.3.
1.3.Comunidade e Aplicabilidade
1.3.1.Autoridades Certificadoras
1.3.1.1. Esta PC refere-se exclusivamente AC SAT SEFAZ SP.
1.3.1.2. As prticas e procedimentos de certificao da AC SAT SEFAZ SP esto
descritos na Declarao de Prticas de Certificao da AC SAT SEFAZ SP.
1.3.2. Prestador de Servio de Suporte

1.3.2.1. A relao de todos os Prestadores de Servio de Suporte PSS

vinculados diretamente a AC SAT SEFAZ SP publicada em servio de diretrio
e/ou em pgina web da AC SAT SEFAZ SP:
http://acsat.imprensaoficial.com.br/repositorio.
1.3.2.2. PSS so entidades utilizadas pela AC para desempenhar atividade
descrita nesta PC e se classificam em trs categorias, conforme o tipo de
atividade prestada:
PC A3 da AC SAT SEFAZ SP v1.2
5/22

a) Disponibilizao de infra-estrutura fsica e lgica;

b) Disponibilizao de recursos humanos especializados; ou
c)

Disponibilizao de infra-estrutura fsica e lgica e de recursos humanos

especializados.

1.3.2.3. A AC SAT SEFAZ SP mantm as informaes acima sempre

atualizadas.
1.3.3.Titulares de Certificado
1.3.3.1. Apenas pessoas jurdicas podem ser titulares de certificados.
1.3.4.Aplicabilidade
1.3.4.1. Neste item so relacionadas as aplicaes para as quais os certificados
definidos por esta PC so adequados;
1.3.4.2. As aplicaes e demais programas que admitem o uso de certificado
digital de um determinado tipo, aceitam qualquer certificado de mesmo tipo,
ou superior, emitido por qualquer AC credenciada pela AC Raiz.
1.3.4.3. A AC SAT SEFAZ SP leva em conta o nvel de segurana previsto para
o certificado definido por esta PC na definio das aplicaes para o certificado.
Esse nvel de segurana caracterizado pelos requisitos definidos para
aspectos como: tamanho da chave criptogrfica, mdia armazenadora da
chave, processo de gerao do par de chaves, procedimentos de identificao
do titular de certificado, frequncia de emisso da correspondente Lista de
Certificados Revogados LCR e extenso do perodo de validade do certificado.
1.3.4.4. Os certificados emitidos pela AC SAT SEFAZ SP no mbito desta PC
podem ser utilizados em aplicaes como confirmao de identidade e
assinatura de documentos eletrnicos com verificao da integridade de suas
informaes.
1.4.Dados de Contato

Nome: Secretaria da Fazenda do Estado de So Paulo

Endereo: Av. Rangel Pestana, 300 - So Paulo / SP - 01017-911
Nome: Alexandre Palmeira Mendona
Telefone: (11) 3243-3452
E-mail: diretordti@fazenda.sp.gov.br
PC A3 da AC SAT SEFAZ SP v1.2
6/22

2.

DISPOSIES GERAIS

Nos itens seguintes so referidos os itens correspondentes da DPC da AC SAT SEFAZ SP, disponvel
em pagina web http://acsat.imprensaoficial.com.br/repositorio.

PC A3 da AC SAT SEFAZ SP v1.2

7/22

2.1.Obrigaes e Direitos
2.1.1.Obrigaes da AC SAT SEFAZ SP
2.1.2.Obrigaes dos Titulares do Certificado
2.1.3.Direitos da Terceira Parte (Relying Party)
2.1.4.Obrigaes do Repositrio
2.2.Responsabilidades
2.2.1.Responsabilidades da AC SAT SEFAZ SP
2.3.Responsabilidade Financeira
2.3.1.Indenizaes devidas pela terceira parte (Relying Party)
2.3.2.Processos Administrativos
2.4.Interpretao e Execuo
2.4.1.Forma de interpretao e notificao
2.4.2.Procedimentos de soluo de disputa
2.5.Tarifas de Servio
2.5.1 Tarifas de emisso e renovao de certificados
2.6.Publicao e Repositrio
2.6.1 Publicao de informao da AC
2.6.2.Freqncia de publicao
2.6.3.Controles de acesso
2.6.4.Repositrios
2.7.Sigilo
2.7.1.Disposies gerais
PC A3 da AC SAT SEFAZ SP v1.2
8/22

2.7.2.Tipos de informaes sigilosas

2.7.3.Tipos de informaes no-sigilosas
2.7.4.Divulgao de informao de revogao ou suspenso de certificado
2.7.5.Quebra de sigilo por motivos legais
2.7.6.Informaes a terceiros
2.7.7.Divulgao por solicitao do Titular do Certificado
2.8. Direitos de Propriedade Intelectual

3.

2.9.

Gerao de novo par de chaves antes da expirao do atual

2.10.

Gerao de novo par de chaves aps expirao ou revogao

2.11.

Solicitao de Revogao

REQUISITOS OPERACIONAIS

Nos itens seguintes so referidos os itens correspondentes da DPC da AC SAT SEFAZ SP, disponvel
em pagina web http://acsat.imprensaoficial.com.br/repositorio.

3.1.Solicitao de Certificado
3.2.Emisso de Certificado
3.3.Aceitao de Certificado
3.4.Suspenso e Revogao de Certificado
3.4.1.Circunstncias para revogao
3.4.2.Quem pode solicitar revogao

PC A3 da AC SAT SEFAZ SP v1.2

9/22

3.4.3.Procedimento para solicitao de revogao

3.4.4.Prazo para solicitao de revogao
3.4.5.Freqncia de emisso de LCR
3.4.6.Requisitos para verificao de LCR
3.4.7.Disponibilidade para revogao ou verificao de status on-line
3.4.8. Requisitos especiais para o caso de comprometimento de chave
3.5.Procedimentos de Auditoria de Segurana
3.5.1.Tipos de eventos registrados
3.5.2.Freqncia de auditoria de registros (logs)
3.5.3.Perodo de reteno para registros (logs) de auditoria
3.5.4.Proteo de registro (log) de auditoria
3.5.5.Sistema de coleta de dados de auditoria
3.5.6.Notificao de agentes causadores de eventos
3.5.7.Avaliaes de vulnerabilidade
3.6.Arquivamento de Registros
3.6.1.Tipos de registros arquivados
3.6.2.Perodo de reteno para arquivo
3.6.3.Proteo de arquivo
3.6.4.Procedimentos para cpia de segurana (backup) de arquivo
3.6.5.Requisitos para datao (time-stamping) de registros
3.6.6.Sistema de coleta de dados de arquivo
3.6.7.Procedimentos para obter e verificar informao de arquivo
PC A3 da AC SAT SEFAZ SP v1.2
10/22

3.7.Troca de chave
3.8.Comprometimento e Recuperao de Desastre
3.8.1.Recursos computacionais, software e dados corrompidos
3.8.2.Certificado de entidade revogado
3.8.3.Chave de entidade comprometida
3.8.4.Segurana dos recursos aps desastre natural ou de outra natureza
3.9.Extino dos servios de AC ou PSS
4.

CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL

Nos itens seguintes so referidos os itens correspondentes da DPC da AC SAT SEFAZ SP, disponvel
em pagina web http://acsat.imprensaoficial.com.br/repositorio.

4.1.Controles Fsicos
4.1.1.Construo e localizao das instalaes
4.1.2. Acesso fsico nas instalaoes de AC
4.1.3. Energia e ar condicionado nas instalaes de AC
4.1.4 Exposio gua nas instalaes de AC
4.1.5 Preveno e proteo contra incndio nas instalaes de AC
4.1.6. Armazenamento de mdia nas instalaes de AC
4.1.7. Destruio de lixo nas instalaes de AC
4.1.8. Instalaes de segurana (backup) externas (off-site)
4.2.

Controles Procedimentais
4.2.1 Perfis qualificados
4.2.2. Nmero de pessoas necessrio por tarefa
4.2.3. Identificao e autenticao para cada perfil
PC A3 da AC SAT SEFAZ SP v1.2
11/22

4.3. Controles de Pessoal

4.3.1. Antecedentes, qualificao, experincia e requisitos de idoneidade
4.3.2. Procedimentos de verificao de antecedentes
4.3.3. Requisitos de treinamento
4.3.4. Freqncia e requisitos para reciclagem tcnica
4.3.5. Sanes para aes no autorizadas
4.3.6. Requisitos para contratao de pessoal
4.3.7. Documentao fornecida ao pessoal
5.

CONTROLES TCNICOS DE SEGURANA

5.1.Gerao e Instalao do Par de Chaves
5.1.1.Gerao do par de chaves
5.1.1.1. O par de chaves criptogrficas gerado pela pessoa responsvel,
indicada por seu(s) representante(s) legal(s);
5.1.1.2. A gerao do par de chaves criptogrficas ocorre utilizando o chip
criptogrfico armazenado dentro do equipamento SAT CSF-e com capacidade de
gerao de chave protegidos por senha;
5.1.1.3. O algoritmo a ser utilizado para as chaves criptogrficas de titulares de
certificados adota o padro RSA;
5.1.1.4. Ao ser gerada, a chave privada do titular do certificado deve ser
gravada cifrada, por algoritmo simtrico;
5.1.1.5. O usurio deve assegurar que a chave privada trafega cifrada,
empregando os mesmos algoritmos citados no pargrafo anterior, entre o
dispositivo gerador e a mdia utilizada para o seu armazenamento.
5.1.1.6. O meio de armazenamento da chave privada utilizado pelo titular
assegura, por meios tcnicos e procedimentais adequados, no mnimo, que:

PC A3 da AC SAT SEFAZ SP v1.2

12/22

a) A chave privada utilizada na gerao de uma assinatura nica e seu sigilo

suficientemente assegurado;
b) A chave privada utilizada na gerao de uma assinatura no pode, com uma
segurana razovel, ser deduzida e que est protegida contra falsificaes
realizadas atravs das tecnologias atualmente disponveis; e
c) A chave privada utilizada na gerao de uma assinatura pode ser eficazmente
protegida pelo legtimo titular contra a utilizao por terceiros.
5.1.1.7. O meio de armazenamento no deve modificar os dados a serem
assinados, nem impedir que estes dados sejam apresentados ao signatrio antes
do processo de assinatura. O tipo de certificado emitido pela AC SAT SEFAZ SP e
descrito nesta PC o A3.

Tipo de
Certificado

A3

Mdia Armazenadora de Chave

Criptogrfica
(Requisitos Mnimos)
Carto Inteligente ou chip criptogrfico
ambos com capacidade de gerao de
chave,
ou
hardware
criptogrfico
homologado junto ao rgo Tcnico
determinado pela SEFAZ SP.

5.1.1.8. A responsabilidade pela adoo de controles de segurana para a

garantia do sigilo, integridade e disponibilidade da chave privada gerada no
equipamento da pessoa responsvel, indicada por seus(s) representante(s)
legal(s), conforme especificado no Termo de Aceite.
5.1.2. Entrega da chave pblica para emissor de certificado
A entrega da chave pblica do solicitante do certificado AC SAT SEFAZ SP,
feita por meio eletrnico, em formato PKCS#10, atravs de uma sesso segura
SSL - Secure Socket Layer.
5.1.3.Disponibilizao de chave pblica da AC para usurios
A AC SAT SEFAZ SP disponibiliza o seu certificado, e de todos os certificados da
cadeia

de

certificao,

para

os

usurios,

http://acsat.imprensaoficial.com.br/repositorio.

PC A3 da AC SAT SEFAZ SP v1.2

13/22

atravs

de

endereo

Web:

5.1.4.Tamanhos de chave
5.1.4.1. O tamanho das chaves criptogrficas associadas aos certificados
emitidos pela AC SAT SEFAZ SP de 2048 bits.
5.1.4.2. Os algoritmos e o tamanho de chaves criptogrficas utilizados no
certificado

Tipo

A3,

foi

definido

baseado

no

documento

PADRES

ALGORITMOS CRIPTOGRFICOS NA ICP-BRASIL.

5.1.4.3. Na composio da CSR (Certificate Sign Request) para a solicitao do
certificado digital, o expoente da chave pblica deve ser de 3 bytes (0x010001).
5.1.5.Gerao de parmetros de chaves assimtricas
Os parmetros de gerao de chaves assimtricas dos titulares de certificados
adotam, no mnimo, o padro FIPS (Federal Information Processing Standards)
140-2.
5.1.6.Verificao da qualidade dos parmetros
Os parmetros so verificados de acordo com as normas estabelecidas pelo
CMVP (Cryptographic Module Validation Program) do NIST (National Institute of
Standards and Technology).
5.1.7.Gerao de chave por hardware ou software
A gerao das chaves criptogrficas do Certificado Tipo A3 desta PC realizada
por hardware criptogrfico.
5.1.8.Propsitos de uso de chave (conforme o campo key usage na X.509
v3)
Os

certificados

tm

ativados

os

bits

digitalSignature,

nonRepudiation

keyEncipherment.
5.2. Proteo da Chave Privada
5.2.1.Padres para mdulo criptogrfico
Os Titulares de Certificado devem garantir que o mdulo criptogrfico utilizado
na gerao e utilizao de suas chaves criptogrficas segue o padro FIPS
(Federal Information Processing Standards) 140-2.
PC A3 da AC SAT SEFAZ SP v1.2
14/22

5.2.2.Recuperao (escrow) de chave privada

No permitida, a recuperao (escrow) de chaves privadas de assinatura, isto
, no se permite que terceiros possam obter uma chave privada de assinatura
sem o consentimento do titular do certificado.
5.2.3.Cpia de segurana (backup) de chave privada
5.2.3.2. A AC SAT SEFAZ SP no mantm cpia de segurana de chave privada
de titular de certificado de assinatura digital por ela emitido;
5.2.5.Arquivamento de chave privada
6.2.5.1. A AC SAT SEFAZ SP no arquiva cpias de chaves privadas de
assinatura digital de titulares de certificados.
6.2.5.2. Define-se arquivamento como o armazenamento da chave privada para
seu uso futuro, aps o perodo de validade do certificado correspondente.
5.2.6.Mtodo de ativao de chave privada
A chave privada ativada automaticamente no processo de habilitao do
equipamento SAT CF-e.
5.2.7.Mtodo de desativao de chave privada
A chave privada pode ser desativada atravs do processo de desativao do
equipamento SAT CF-e.
5.3.Outros Aspectos do Gerenciamento do Par de Chaves
5.3.1.Arquivamento de chave pblica
As chaves pblicas dos titulares de certificados de assinatura digital emitidos
pela AC SAT SEFAZ SP permanecem armazenadas aps a expirao dos
certificados correspondentes, permanentemente, na forma da legislao em
vigor, para verificao de assinaturas geradas durante seu perodo de validade.
5.3.2.Perodos de uso para as chaves pblica e privada
5.3.2.1. As chaves privadas de assinatura dos respectivos titulares de
certificados emitidos pela AC SAT SEFAZ SP so utilizadas apenas durante
perodo de validade dos certificados correspondentes. As correspondentes
PC A3 da AC SAT SEFAZ SP v1.2
15/22

chaves pblicas podem ser utilizadas durante todo o perodo de tempo

determinado pela legislao aplicvel, para verificao das assinaturas geradas
durante o prazo de validade dos respectivos certificados.
5.3.2.2. O perodo mximo de validade admitido para certificados de Assinatura
Digital Tipo A3 da AC SAT SEFAZ SP de 5 (cinco) anos.
5.4.Dados de Ativao
5.4.1.Gerao e instalao dos dados de ativao

Os dados de ativao da chave privada da entidade titular do certificado,

se utilizados, so nicos e aleatrios.
5.4.2.Proteo dos dados de ativao

Os dados de ativao da chave privada da entidade titular do certificado,

se utilizados, so protegidos contra uso no autorizado.
5.5.Controles de Segurana Computacional
5.5.1.Requisitos tcnicos especficos de segurana computacional
O titular do certificado responsvel pela segurana computacional dos
sistemas nos quais so geradas e utilizadas as chaves privadas e deve zelar por
sua integridade.
O equipamento onde so gerados os pares de chaves criptogrficas dos
titulares de certificados possui conexo com o dispositivo de mdia inteligente e
o

respectivo

driver

instalado.

mdia

inteligente

possui

processador

criptogrfico com capacidade de gerao interna das chaves.

5.6.Controles Tcnicos do Ciclo de Vida
A AC SAT SEFAZ SP desenvolve sistemas apenas com finalidade relacionada
operao dos sistemas internos da SEFAZ.
5.6.1.Controles de desenvolvimento de sistema

5.6.1.1.

AC

SAT

SEFAZ

SP

utiliza

um

modelo

clssico

espiral

no

desenvolvimento dos sistemas. So realizadas as fases de requisitos, anlise,

projeto, codificao e teste para cada interao do sistema utilizando tecnologias
PC A3 da AC SAT SEFAZ SP v1.2
16/22

de orientao a objetos. Como suporte a esse modelo, a AC SAT SEFAZ SP

utiliza uma gerncia de configurao, gerncia de mudana, testes formais e
outros processos informais.
5.6.1.2. Os processos de projeto e desenvolvimento conduzidos pela AC SAT
SEFAZ SP apresentam documentao suficiente para suportar avaliaes
externas de segurana dos componentes da AC SAT SEFAZ SP.
5.6.2.Controles de gerenciamento de segurana

5.6.2.1. A AC SAT SEFAZ SP verifica os nveis configurados de segurana com

periodicidade semanal e atravs de ferramentas do prprio sistema operacional.
As verificaes so feitas atravs da emisso de comandos de sistema e
comparando-se com as configuraes aprovadas. Em caso de divergncia, so
tomadas as medidas para recuperao da situao, conforme a natureza do
problema e averiguao do fato gerador do problema para evitar sua
recorrncia.
5.6.2.2. A AC SAT SEFAZ SP utiliza metodologia formal de gerenciamento de
configurao para a instalao e a contnua manuteno do sistema.
5.7.Controles de Engenharia do Mdulo Criptogrfico
O mdulo criptogrfico utilizado para armazenamento da chave privada da entidade
titular de certificado est em conformidade com o padro de segurana FIPS 140-2,
utilizando o algoritmo RSA.
6.

PERFIS DE CERTIFICADO E LCR

6.1.Perfil do Certificado
Todos os certificados emitidos pela AC SAT SEFAZ SP esto em conformidade com o
formato definido pelo padro ITU X.509 ou ISO/IEC 9594-8.
6.1.1.Nmero de verso
Os certificados emitidos pela AC SAT SEFAZ SP implementam a verso 3 do
padro ITU X.509, de acordo com o perfil estabelecido na RFC 5280.
6.1.2.Extenses de certificado
6.1.2.1. Neste item, a PC descreve todas as extenses de certificado
utilizadas e sua criticidade.

PC A3 da AC SAT SEFAZ SP v1.2

17/22

6.1.2.2. Extenses Obrigatrias

Os certificados emitidos pela AC SAT SEFAZ SP definem como obrigatrias as
seguintes extenses:
a)

Authority Key Identifier, no crtica: o campo keyIdentifier

contm o hash SHA-1 da chave pblica da AC SAT SEFAZ SP;

b)

Key

Usage,

crtica:

somente

os

bits

digitalSignature,

nonRepudiation e keyEncipherment esto ativados;

c)

Certificate Policies, no crtica contm:

O OID desta PC: 1.3.6.1.4.1.30253.3;

E o endereo Web da DPC AC SAT SEFAZ SP que emite o certificado:
(http://acsat.imprensaoficial.com.br/repositorio/dpc/acsefazsp/dpc_acsefazsp
.pdf).
d)

CRL Distribution Points, no crtica: contm os endereos Web onde

se obtm a LCR da AC SAT SEFAZ SP:

Para certificados emitidos a partir de 21/12/2012
http://acsat.imprensaoficial.com.br/repositorio/lcr/acsatsefazsp/acsatsefazsp
crl.crl

e)

Authority Information Access, no crtica: A primeira entrada deve

conter o mtodo de acesso id-ad-caIssuer, utilizando um dos seguintes

protocolos de acesso, HTTP, HTTPS ou LDAP, para a recuperao da cadeia
de certificao. A segunda entrada pode conter o mtodo de acesso id-adocsp, com o respectivo endereo do respondedor OCSP, utilizando um dos
seguintes protocolos de acesso, HTTP, HTTPS ou LDAP. Esta extenso
somente aplicvel para certificado de usurio final.
f) basicConstraints, no crtica: contm o campo cA=False.

6.1.2.3. Os certificados emitidos pela AC SAT SEFAZ SP possuem a extenso

Subject Alternative Name, no crtica e com os seguintes formatos:
a) Para certificado de aplicao:
a.1) 1 (um) campo otherName, obrigatrio, contendo:
i. OID = 2.16.76.1.3.3 e contedo = Cadastro Nacional de Pessoa Jurdica
(CNPJ),
6.1.2.4. Os campos otherName, definidos como obrigatrios, esto de acordo
com as seguintes especificaes:
PC A3 da AC SAT SEFAZ SP v1.2
18/22

a) O conjunto de informaes definido em cada campo otherName

armazenado como uma cadeia de caracteres do tipo ASN.1 OCTET STRING;
d) Todas as informaes de tamanho varivel, referentes a nmeros, so
preenchidos com caracteres zero a sua esquerda para que seja completado
seu mximo tamanho possvel;
f) Apenas os caracteres de A a Z, de 0 a 9, observado o disposto no item
6.1.5.2, podero ser utilizados, no sendo permitidos os demais caracteres
especiais;
6.1.2.5. A AC SAT SEFAZ SP implementa a extenso "Extended Key Usage",
no crtica, contendo o valor "client authentication" (OID 1.3.6.1.5.5.7.3.2).
6.1.2.7 A AC SAT SEFAZ SP implementa a extenso Authority Information
Access, no crtica, contendo obrigatoriamente o endereo de acesso aos
certificados da cadeia de certificao atravs do link:
e
https://acsat.imprensaoficial.com.br/repositorio/certificados/acsat.p7c
opcionalmente o endereo de acesso ao servio de Consulta On-Line de
Situao de Certificado (On-line Certificate Status Protocol- OCSP):
http://ocsp.imprensaoficial.com.br.

6.1.3.Identificadores de algoritmo
Os certificados emitidos pela AC SAT SEFAZ SP so assinados com o uso do
algoritmo

RSA

com

SHA-512

como

funo

de

hash

(OID

1.2.840.113549.1.1.13) conforme o padro PKCS#1.

6.1.4.Formatos de nome

O nome do titular do certificado, constante do campo "Subject", adota o

"Distinguished Name" (DN) do padro ITU X.500/ISO 9594, da seguinte forma:
C = BR
ST = <Nome do estado por extenso>
O = SEFAZ-SP
OU = AC SAT SEFAZ SP
OU = Autoridade de Registro SEFAZ SP
OU = <Nmero de identificao da solicitao>
SN = <nmero serial do equipamento>
CN = <Razo Social><:><nmero do CNPJ>
PC A3 da AC SAT SEFAZ SP v1.2
19/22

O identificador CN contm a denominao da razo social correspondente.

Ser escrito o nome at o limite do tamanho do campo disponvel, vedada a

abreviatura.

6.1.5.Restries de nome

6.1.5.1. Neste item so descritas as restries aplicveis para os nomes dos

titulares de certificados.
6.1.5.2. As restries aplicveis para os nomes dos titulares de certificado
emitidos pela AC RAIZ DA SECRETARIA DA FAZENDA DO ESTADO DE SAO
PAULO so as seguintes:

No so admitidos sinais de acentuao, trema ou cedilhas;

Apenas so admitidos sinais alfanumricos e os caracteres especiais descritos

na tabela abaixo:
Caractere
Branco
"
#
'
+
,
.
/
:
;
=

Cdigo NBR9611 (hexadecimal)

20
22
23
27
2B
2C
2D
2E
2F
3A
3B
3D

6.1.6.OID (Object Identifier) de Poltica de Certificado

O OID desta PC : 1.3.6.1.4.1.30253.3.
Todo certificado emitido segundo essa PC, PC A3 da AC SAT SEFAZ SP, contm o
valor desse OID presente na extenso Certificate Policies.
6.1.7.Sintaxe e semntica dos qualificadores de poltica
Os campos policyQualifiers da extenso Certificate Policies contm o
endereo

web

da

DPC

da

PC A3 da AC SAT SEFAZ SP v1.2

20/22

AC

SAT

SEFAZ

SP

(http://acsat.imprensaoficial.com.br/repositorio/dpc/acsefazsp/dpc_acsefazsp.p
df).
6.1.8.Semntica de processamento para extenses crticas
Extenses crticas devem ser interpretadas conforme a RFC 5280.
6.2.Perfil de LCR
6.2.1.Nmero(s) de verso
As LCR geradas pela AC SAT SEFAZ SP implementam a verso 2 do padro ITU
X.509, de acordo com o perfil estabelecido na RFC 5280.
6.2.2.Extenses de LCR e de suas entradas

6.2.2.1. Neste item so descritas todas as extenses de LCR utilizadas pela AC

SAT SEFAZ SP e sua criticidade;
6.2.2.2. As LCR da AC SAT SEFAZ SP obedecem a ICP - Brasil que define como
obrigatrias as seguintes extenses:
a) Authority Key Identifier: no crtica: contm o hash SHA-1 da chave pblica
da AC SAT SEFAZ SP.
b) CRL Number, no crtica: contm um nmero seqencial para cada LCR
emitida pela AC SAT SEFAZ SP.
7.

ADMINISTRAO DE ESPECIFICAO
7.1.Procedimentos de mudana de especificao
Alteraes nesta PC podem ser solicitadas e/ou definidas pelo Grupo de Prticas e
Polticas da AC SAT SEFAZ SP. A aprovao e consequente adoo de nova verso
estaro sujeitas autorizao da AC Raiz.
7.2.Polticas de publicao e notificao
A AC SAT SEFAZ SP mantm pgina especfica com a verso corrente desta PC para
consulta pblica, a qual est disponibilizada no endereo Web:
(http://acsat.imprensaoficial.com.br/repositorio)

PC A3 da AC SAT SEFAZ SP v1.2

21/22

7.3.Procedimentos de aprovao

Esta PC A3 da AC SAT SEFAZ SP foi submetida aprovao, durante o processo de

credenciamento da AC SAT SEFAZ SP, conforme o determinado na legislao vigente.
Novas verses sero igualmente submetidas aprovao da AC Raiz.
8. DOCUMENTOS REFERENCIADOS
8.1. Os documentos que regulamentam a criao e a operao da AC RAIZ DA SECRETARIA
DA FAZENDA DO ESTADO DE SAO PAULO para atendimento ao SAT - Sistema Autenticador e
Transmissor de Cupons Fiscais Eletrnicos (CF-e-SAT) da SEFAZ esto referenciados no site:
http://www.fazenda.sp.gov.br/sat.

PC A3 da AC SAT SEFAZ SP v1.2

22/22