Topo
x    

DPN - Declaração de Práticas de Negócios

DECLARAÇÃO DE PRÁTICAS DE NEGÓCIOS DA AUTORIDADE DE REGISTRO



(DPN)


Versão 1.2 de 07 de maio de 2020

 

1. INTRODUÇÃO

Este documento descreve os processos realizados por essa Autoridade de Registro. Todos os processos aqui descritos seguem a Declaração de Práticas de Certificação da AC Soluti Múltipla (DPC) e as Políticas de Certificados (PC).

2. IDENTIFICAÇÃO DAS POLÍTICAS DE CERTIFICADOS

As Políticas de Certificados praticadas por esta AR são:

A. PC A1

B. PC A3

C. PC A4

3. CICLO DE EMISSÃO DO CERTIFICADO DIGITAL

a) Consultoria;

b) Compra;

c) Agendamento;

d) Identificação;

e) Verificação;

f) Aprovação;

g) Solicitação;

h) Baixa;

i) Instalação;

j) Utilização.

4. AUTENTICAÇÃO DA IDENTIDADE DO TITULAR DO CERTIFICADO

Esta AR verifica a autenticidade da identidade de pessoas físicas e jurídicas titulares de certificados. O procedimento de identificação do titular do certificado é realizado mediante a presença física do interessado, com base nos documentos oficiais de identificação apresentados.

4.1. Identificação de um indivíduo

Deve ser comprovado que a pessoa que se apresenta como titular do certificado pessoa física é realmente aquela cujos dados constam no documento de identificação pessoal apresentado. Além da identificação por base nos documentos pessoais, o requerente do certificado deve ser submetido a coleta das impressões digitais e captura da face para a identificação biométrica. A identificação biométrica na ICP-Brasil é obrigatória. Os documentos pessoais aceitos para emissão do certificado devem ser apresentados em sua versão original oficial, podendo ser físico ou digital. São eles: 

a) Registro de Identidade ou Passaporte, se brasileiro;

b) Título de Eleitor, com foto;

c) Carteira Nacional de Estrangeiro, se estrangeiro domiciliado no Brasil

d) Passaporte se estrangeiro não domiciliado no Brasil;

Nota 1: Entende-se como registro de identidade os documentos oficiais, físicos ou digitais, conforme admitido pela legislação específica, emitidos pelas Secretarias de Segurança Pública bem como os que, por força de lei, equivalem a documento de identidade em todo o território nacional, desde que contenham fotografia.

Nota 2: Os documentos digitais deverão ser verificados por meio de barramentos ou aplicações oficiais dos entes federativos. Na hipótese das biometrias do titular já estarem cadastradas na base da ICP-Brasil, e houver parecer positivo ao realizar a identificação biométrica, fica dispensada a apresentação dos documentos acima e o certificado poderá ser liberado para emissão.

4.2 Identificação de uma organização

A confirmação da identidade de uma pessoa jurídica é feita com a presença física do representante legal portando os documentos da organização legalmente aceitos.

Será designado como responsável pelo certificado o representante legal da pessoa jurídica requerente do certificado, ou o procurador, o qual será o detentor da chave privada.

Os documentos aceitos para confirmar a identidade da pessoa jurídica são:

a) Certidão simplificada emitida pela Junta Comercial ou ato constitutivo, devidamente registrado no órgão competente, que permita a comprovação de quem são seus atuais representantes legais.

b) Documentos de eleição dos administradores, quando aplicável;

c) Lei de criação ou documento oficial de constituição no caso de pessoa jurídica criada ou autorizada por lei

d) Cartão CNPJ.

4.3 Verificação do dossiê do certificado

Os documentos em papel, os quais não existam formas de verificação por meio de barramentos ou aplicações oficiais, deverão ser verificados seguindo os requisitos abaixo.

a) Por Agente de Registro distinto do que realizou a etapa de identificação;

b) Pela AR ou AR própria da AC ou ainda AR própria do PSS da AC;

c) Antes do início da validade do certificado, devendo este ser revogado automaticamente caso a verificação não tenha ocorrido até o início de sua validade. 

4.4 Identificação e autenticação para pedidos de novas chaves antes da expiração

Um novo certificado poderá ser requerido pelo solicitante antes da expiração de seu certificado vigente, no qual deverá enviar à AC SOLUTI MÚLTIPLA uma solicitação, por meio eletrônico, assinada digitalmente com o uso de um certificado de assinatura digital de mesmo nível de segurança do certificado a ser renovado. A AC SOLUTI MÚLTIPLA comunica o Titular de Certificado, por E-mail, da necessidade de renovação do certificado, com antecedência de 30 dias.

Esse processo será conduzido segundo uma das seguintes possibilidades:

a) adoção dos mesmos requisitos e procedimentos exigidos nos itens 4.1 e 4.2;

b) solicitação, por meio eletrônico, assinada digitalmente com o uso de certificado ICPBrasil válido, do tipo A3 ou superior, que seja do mesmo nível de segurança ou superior, limitada a 1 (uma) ocorrência sucessiva, quando não tiverem sido colhidos os dados biométricos do titular, permitida tal hipótese apenas para os certificados digitais de pessoa física. Na hipótese de o certificado utilizado para a identificação não ser emitido pela AC Soluti Múltipla, o solicitante declarará, sob pena de revogação do certificado, que se trata de primeira renovação;

c) solicitação, por meio eletrônico, assinada digitalmente com o uso de certificado ICPBrasil válido de uma organização, do tipo A3 ou superior, para o qual tenham sido coletados os dados biométricos do responsável pelo certificado, desde que, mantido nessa condição, apresente documento digital verificável por meio de barramento ou aplicação oficial dos entes federativos, que comprove poder de representação legal em relação à organização, permitida tal hipótese apenas para os certificados digitais de organizações;

d) solicitação por meio eletrônico dada nas alíneas ‘b’ e ‘c’, acima, conforme o caso, para certificado ICP-Brasil válido do tipo A1, que seja do mesmo nível de segurança, mediante confirmação do respectivo cadastro, por meio de videoconferência, conforme regulamentação editada pela AC-Raiz ou limitada a 1 (uma) ocorrência sucessiva quando não tiverem sido colhidos os dados biométricos do titular ou responsável.

4.5 Identificação e autenticação para novas chaves após a revogação ou expiração do certificado

a) No caso de pessoa física titular de certificado expirado, previamente identificada e cadastrada presencialmente, e cujos dados biométricos tenham sido devidamente coletados, a geração de novo par de chaves poderá ser realizada mediante confirmação do respectivo cadastro, por meio de videoconferência, conforme regulamentação editada pela AC-Raiz.

b) No caso de uma organização titular de certificado expirado, cujo responsável pelo certificado seja o mesmo ora solicitando novo certificado, que foi previamente identificado e cadastrado presencialmente, e cujos dados biométricos tenham sido devidamente coletados, a geração de novo par de chaves poderá ser realizada mediante confirmação do respectivo cadastro, da organização e do responsável pelo certificado, por meio de videoconferência, conforme regulamentação editada pela ACRaiz. 

5. SOLICITAÇÃO DO CERTIFICADO

Os requisitos e procedimentos para solicitação de emissão do certificado por esta AR são:

a. Confirmação da identidade da pessoa física ou jurídica titular do certificado, conforme item 5 e seus subitens;

b. Assinatura do Termo de Titularidade e Responsabilidade pelo titular ou responsável pelo uso do certificado;

c. Autenticação biométrica do Agente de Registro responsável pela identificação e verificação do certificado.

d. A solicitação de emissão de certificado por meio de videoconferência obedece aos seguintes procedimentos:

• Requerente do certificado solicita a emissão através de aplicação fornecida pela AC;

• Deve ser verificado na aplicação da AC se o titular está apto a obter o certificado digital por videoconferência;

• Deve ser verificado na aplicação da AC se o titular está apto a obter o certificado digital por videoconferência;

• Os documentos devem ser apresentados em frente e verso conservando suas características, incluindo cores;

• É disponibilizado ao requerente do certificado um link para acesso à sala virtual de atendimento via e-mail logo que a documentação é validada e o agendamento confirmado;

• A confirmação do cadastro por videoconferência é realizada por Agente de Registro devidamente habilitado na AC;

• Para o procedimento de videoconferência devem ser utilizados computadores que possuam webcam, microfone e acesso à internet. Poderão ser utilizados aparelhos mobile que disponibilizam de câmera frontal e acesso à internet. Os equipamentos devem produzir boa qualidade de som e imagem.

6. GERAÇÃO E INSTALAÇÃO DO PAR DE CHAVES

Quando o titular de certificado for uma pessoa física, esta será a responsável pela geração dos pares de chaves criptográficas. Quando o titular for uma pessoa jurídica, este indicará por seu representante legal no momento da emissão, a pessoa responsável pela geração e uso do certificado.

O armazenamento do certificado deverá obedecer a Política de Certificado correspondente, sendo:

 

 

7. REVOGAÇÃO DO CERTIFICADO DIGITAL

O certificado digital poderá ser revogado antes da expiração do prazo de validade.

7.1 Circunstância para revogação

A revogação poderá ser feita pelos seguintes motivos:

a) Quando constatada emissão imprópria ou defeituosa;

b) Quando for necessária a alteração de qualquer informação constante no certificado;

c) No caso de comprometimento da chave privada correspondente ou da mídia armazenadora;

d) Por determinação judicial;

e) Quando o responsável pelo uso se destituir da função;

f) Por razões comerciais;

g) Risco de fraude.

7.2 Quem pode solicitar revogação

A solicitação de revogação de um certificado somente poderá ser feita:

a) Por solicitação do titular do certificado;

b) Por solicitação do responsável pelo certificado, no caso de certificado de pessoas jurídicas;

c) Por solicitação de empresa ou órgão, quando o titular do certificado fornecido por essa empresa ou órgão for seu empregado, funcionário ou servidor;

d) Por determinação da AC;

e) Por determinação da AR;

f) Por determinação do Comitê Gestor da ICP-Brasil ou da AC Raiz.

7.3 Procedimentos para solicitação de revogação

• O solicitante da revogação de um certificado deve ser identificado;

• A solicitação de revogação é feita através de um formulário específico, permitindo a identificação inequívoca do solicitante;

• O procedimento para revogação do certificado pode ser realizado por todos os Agentes de Registros habilitados na AR;

• As solicitações de revogação, bem como as ações delas decorrentes deverão ser registradas e armazenadas;

• As justificativas para a revogação de um certificado são documentadas;

• O processo de revogação de um certificado terminará com a geração e a publicação de uma LCR que contenha o certificado revogado.

8. OBRIGAÇÕES DA AR

a) Confirmar a identidade do solicitante do certificado;

b) Encaminhar a AC solicitação de emissão ou revogação do certificado; 6

c) Manter a conformidade dos seus processos, procedimentos e atividades com as normas, critérios, práticas e regras estabelecidas pela AC vinculada e pela ICP-Brasil.

9. OBRIGAÇÕES DO TITULAR DO CERTIFICADO

a) Fornecer, de modo completo e preciso, todas as informações necessárias para sua identificação;

b) Garantir a proteção e o sigilo de suas chaves privadas, senhas e dispositivos criptográficos;

c) Utilizar seus certificados de modo apropriado;

d) Informar à AC emitente qualquer comprometimento de sua chave privada e solicitar a imediata revogação do certificado correspondente.

10. DOCUMENTOS REFERENCIADOS

? Declaração de Práticas de Certificação (DPC AC Soluti Múltipla) http://acsoluti.com.br/#/ac_soluti_multipla

? Política de Certificados A1 (PC A1 Soluti Múltipla) http://acsoluti.com.br/docs/ac-soluti-multipla/pc-a1.pdf

? Política de Certificados A3 (PC A3 Soluti Múltipla) http://acsoluti.com.br/docs/ac-soluti-multipla/pc-a3.pdf

? Política de Certificados A4 (PC A4 Soluti Múltipla) http://acsoluti.com.br/docs/ac-soluti-multipla/pc-a4.pdf

? WebTrust Principles and Criteria for Registration Authorities, disponível em http://www.webtrust.org.