PC A3 da AC Certisign RFB para a SRFB

Poltica de Certificado de Assinatura
Digital Tipo A3
da Autoridade Certificadora Certisign
para a Secretaria da Receita Federal do
Brasil
PC A3 da AC Certisign RFB
Verso 2.3 03 de Dezembro de 2008
NDICE
1.
INTRODUO...........................................................................................................6
1.1.VISO GERAL ................................................................................................................. 6
1.2.IDENTIFICAO ............................................................................................................... 6
1.3.COMUNIDADE E APLICABILIDADE ........................................................................................... 6
1.3.1.Autoridades Certificadoras ...................................................................................... 6
1.3.2.Autoridades de Registro ......................................................................................... 7
1.3.3. Prestador de Servio de Suporte ............................................................................ 7
1.3.4.Titulares de Certificado .......................................................................................... 8
1.3.5.Aplicabilidade........................................................................................................ 8
1.4.DADOS DE CONTATO......................................................................................................... 9
2.
DISPOSIES GERAIS .............................................................................................9

2.1.OBRIGAES E DIREITOS ................................................................................................. 10
2.1.1.Obrigaes da AC Certisign RFB ............................................................................ 10
2.1.2.Obrigaes das AR............................................................................................... 10
2.1.3.Obrigaes dos Titulares do Certificado .................................................................. 10
2.1.4.Direitos da Terceira Parte (Relying Party) ............................................................... 10
2.1.5.Obrigaes do Repositrio .................................................................................... 10
2.2.RESPONSABILIDADES ...................................................................................................... 10
2.2.1.Responsabilidades da AC Certisign RFB .................................................................. 10
2.2.2.Responsabilidades das AR..................................................................................... 10
2.3.RESPONSABILIDADE FINANCEIRA ......................................................................................... 10
2.3.1.Indenizaes devidas pela terceira parte (Relying Party) .......................................... 10
2.3.2.Relaes Fiducirias............................................................................................. 10
2.3.3.Processos Administrativos .................................................................................... 10
2.4.INTERPRETAO E EXECUO ............................................................................................. 10
2.4.1.Legislao .......................................................................................................... 10
2.4.2.Forma de interpretao e notificao ..................................................................... 10
2.4.3.Procedimentos de soluo de disputa ..................................................................... 10
2.5.TARIFAS DE SERVIO ...................................................................................................... 10
2.5.1 Tarifas de emisso e renovao de certificados ....................................................... 10
2.5.2 Tarifas de acesso ao certificado ............................................................................. 10
2.5.3 Tarifas de revogao ou de acesso informao de status ....................................... 10
2.5.4 Tarifas para outros servios .................................................................................. 10
2.5.5 Poltica de reembolso ........................................................................................... 10
2.6.PUBLICAO E REPOSITRIO ............................................................................................. 10
2.6.1 Publicao de informao da AC ............................................................................ 10
2.6.2.Freqncia de publicao...................................................................................... 11
2.6.3.Controles de acesso ............................................................................................. 11
2.6.4.Repositrios........................................................................................................ 11
2.7.AUDITORIA E FISCALIZAO .............................................................................................. 11
2.8.SIGILO ...................................................................................................................... 11
2.8.1.Tipos de informaes sigilosas .............................................................................. 11
2.8.2.Tipos de informaes no-sigilosas ........................................................................ 11
2.8.3.Divulgao de informao de revogao ou suspenso de certificado ......................... 11
2.8.4.Quebra de sigilo por motivos legais ....................................................................... 11
2.8.5.Informaes a terceiros........................................................................................ 11
2.8.6.Divulgao por solicitao do Titular do Certificado .................................................. 11
2.8.7.Outras circunstncias de divulgao de informao.................................................. 11
2.9. DIREITOS DE PROPRIEDADE INTELECTUAL .............................................................................. 11
3.
IDENTIFICAO E AUTENTICAO ........................................................................11

3.1.REGISTRO INICIAL ......................................................................................................... 12
3.1.1.Disposies Gerais............................................................................................... 12
3.1.2.Tipos de nomes ................................................................................................... 12
3.1.3.Necessidade de nomes significativos ...................................................................... 12
3.1.4.Regras para interpretao de vrios tipos de nomes ................................................ 12
PC A3 da AC Certisign RFB v2.3
2/32
3.1.5.Unicidade de nomes............................................................................................. 12
3.1.6. Procedimento para resolver disputa de nomes........................................................ 12
3.1.7.Reconhecimento, autenticao e papel de marcas registradas ................................... 12
3.1.8.Mtodo para comprovar a posse de chave privada ................................................... 12
3.1.9.Autenticao da identidade de uma organizao...................................................... 12
3.1.9.Autenticao da identidade do indivduo ................................................................. 12
3.1.9.1. Documentos para efeitos de identificao de um indivduo .................................... 12
3.1.9.2 Informaes contidas no certificado emitido para um individuo............................... 12
3.1.10.Autenticao da identidade de uma organizao .................................................... 12
3.1.10.1. Disposies Gerais ......................................................................................... 12
3.1.10.2 Documentos para efeitos de identificao de uma organizao ............................. 12
3.1.10.3. Informaes contidas no certificado emitido para uma organizao ...................... 12
3.1.11.Autenticao da identidade de um equipamento ou aplicao .................................. 12
3.1.10.1. Disposies Gerais ......................................................................................... 12
3.1.10.2 Procedimentos para efeitos de identificao de um equipamento ou aplicao ........ 12
3.1.10.3. Informaes contidas no certificado emitido para um equipamento ou aplicao .... 12
3.2.GERAO DE NOVO PAR DE CHAVES ANTES DA EXPIRAO DO ATUAL................................................. 12
3.3.GERAO DE NOVO PAR DE CHAVES APS REVOGAO................................................................. 12
3.4.SOLICITAO DE REVOGAO ............................................................................................ 13
4.
REQUISITOS OPERACIONAIS.................................................................................13
4.1.SOLICITAO DE CERTIFICADO ........................................................................................... 13
4.2.EMISSO DE CERTIFICADO ................................................................................................ 13
4.3.ACEITAO DE CERTIFICADO ............................................................................................. 13
4.4.SUSPENSO E REVOGAO DE CERTIFICADO ........................................................................... 13
4.4.1.Circunstncias para revogao .............................................................................. 13
4.4.2.Quem pode solicitar revogao.............................................................................. 13
4.4.3.Procedimento para solicitao de revogao ........................................................... 14
4.4.4.Prazo para solicitao de revogao....................................................................... 14
4.4.5.Circunstncias para suspenso .............................................................................. 14
4.4.6.Quem pode solicitar suspenso ............................................................................. 14
4.4.7.Procedimento para solicitao de suspenso ........................................................... 14
4.4.8.Limites no perodo de suspenso ........................................................................... 14
4.4.9.Freqncia de emisso de LCR .............................................................................. 14
4.4.10.Requisitos para verificao de LCR ....................................................................... 14
4.4.11.Disponibilidade para revogao ou verificao de status on-line............................... 14
4.4.12.Requisitos para verificao de revogao on-line ................................................... 14
4.4.13.Outras formas disponveis para divulgao de revogao ........................................ 14
4.4.14.Requisitos para verificao de outras formas de divulgao de revogao ................. 14
4.4.15.Requisitos especiais para o caso de comprometimento de chave.............................. 14
4.5.PROCEDIMENTOS DE AUDITORIA DE SEGURANA ....................................................................... 14
4.5.1.Tipos de eventos registrados................................................................................. 14
4.5.2.Freqncia de auditoria de registros (logs) ............................................................. 14
4.5.3.Perodo de reteno para registros (logs) de auditoria.............................................. 14
4.5.4.Proteo de registro (log) de auditoria ................................................................... 14
4.5.5.Procedimentos para cpia de segurana (backup) de registro (log) de auditoria .......... 14
4.5.6.Sistema de coleta de dados de auditoria................................................................. 14
4.5.7.Notificao de agentes causadores de eventos ........................................................ 14
4.5.8.Avaliaes de vulnerabilidade................................................................................ 14
4.6.ARQUIVAMENTO DE REGISTROS .......................................................................................... 14
4.6.1.Tipos de registros arquivados................................................................................ 14
4.6.2.Perodo de reteno para arquivo .......................................................................... 15
4.6.3.Proteo de arquivo ............................................................................................. 15
4.6.4.Procedimentos para cpia de segurana (backup) de arquivo .................................... 15
4.6.5.Requisitos para datao (time-stamping) de registros .............................................. 15
4.6.6.Sistema de coleta de dados de arquivo .................................................................. 15
4.6.7.Procedimentos para obter e verificar informao de arquivo...................................... 15
4.7.TROCA DE CHAVE ........................................................................................................... 15
4.8.COMPROMETIMENTO E RECUPERAO DE DESASTRE ................................................................... 15
4.8.1.Recursos computacionais, software, e dados corrompidos ........................................ 15
3/32
4.8.2.Certificado de entidade revogado ........................................................................ 15

4.8.3.Chave de entidade comprometida ....................................................................... 15
4.8.4.Segurana dos recursos aps desastre natural ou de outra natureza.......................... 15
4.8.5.Atividades das Autoridades de Registro .................................................................. 15
4.9.EXTINO DOS SERVIOS DE AC, AR OU PSS ......................................................................... 15
5.
CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL ..................15

5.1.CONTROLES FSICOS ...................................................................................................... 15
5.1.1.Construo e localizao das instalaes ................................................................ 15
5.1.2. Acesso fsico ...................................................................................................... 15
5.1.3. Energia e ar condicionado.................................................................................... 15
5.1.4 Exposio gua................................................................................................ 15
5.1.5 Preveno e proteo contra incndio ................................................................... 15
5.1.6. Armazenamento de mdia ................................................................................... 15
5.1.7. Destruio de lixo.............................................................................................. 15
5.1.8. Instalaes de segurana (backup) externas (off-site) ........................................... 15
5.2.
CONTROLES PROCEDIMENTAIS ..................................................................................... 15
5.2.1 Perfis qualificados............................................................................................... 15
5.2.2. Nmero de pessoas necessrio por tarefa............................................................. 15
5.2.3. Identificao e autenticao para cada perfil ......................................................... 15
5.3. CONTROLES DE PESSOAL ................................................................................................. 15
5.3.1. Antecedentes, qualificao, experincia e requisitos de idoneidade .......................... 15
5.3.2. Procedimentos de verificao de antecedentes ...................................................... 15
5.3.3. Requisitos de treinamento .................................................................................. 15
5.3.4. Freqncia e requisitos para reciclagem tcnica .................................................... 15
5.3.5. Freqncia e seqncia de rodzio de cargos ......................................................... 15
5.3.6. Sanes para aes no autorizadas .................................................................... 15
5.3.7. Requisitos para contratao de pessoal ................................................................ 15
5.3.8. Documentao fornecida ao pessoal..................................................................... 15
6.
CONTROLES TCNICOS DE SEGURANA .................................................................15

6.1.GERAO E INSTALAO DO PAR DE CHAVES ........................................................................... 15
6.1.1.Gerao do par de chaves .................................................................................... 15
6.1.2.Entrega da chave privada entidade titular do certificado ........................................ 15
6.1.3. Entrega da chave pblica para emissor de certificado.............................................. 15
6.1.4.Disponibilizao de chave pblica da AC para usurios ............................................. 15
6.1.5.Tamanhos de chave ............................................................................................. 15
6.1.6.Gerao de parmetros de chaves assimtricas....................................................... 15
6.1.7.Verificao da qualidade dos parmetros ................................................................ 15
6.1.8.Gerao de chave por hardware ou software........................................................... 15
6.1.9.Propsitos de uso de chave (conforme o campo key usage na X.509 v3) ................. 15
6.2. PROTEO DA CHAVE PRIVADA .......................................................................................... 15
6.2.1.Padres para mdulo criptogrfico ......................................................................... 15
6.2.2.Controle n de m para chave privada .................................................................... 15
6.2.3.Recuperao (escrow) de chave privada ................................................................. 15
6.2.4.Cpia de segurana (backup) de chave privada ....................................................... 15
6.2.5.Arquivamento de chave privada ............................................................................ 15
6.2.6.Insero de chave privada em mdulo criptogrfico ................................................. 15
6.2.7.Mtodo de ativao de chave privada..................................................................... 15
6.2.8.Mtodo de desativao de chave privada ................................................................ 15
6.2.9.Mtodo de destruio de chave privada .................................................................. 15
6.3.OUTROS ASPECTOS DO GERENCIAMENTO DO PAR DE CHAVES ........................................................ 15
6.3.1.Arquivamento de chave pblica ............................................................................. 15
6.3.2.Perodos de uso para as chaves pblica e privada .................................................... 15
6.4.DADOS DE ATIVAO ...................................................................................................... 15
6.4.1.Gerao e instalao dos dados de ativao............................................................ 15
6.4.2.Proteo dos dados de ativao............................................................................. 15
6.4.3.Outros aspectos dos dados de ativao .................................................................. 15
6.5.CONTROLES DE SEGURANA COMPUTACIONAL .......................................................................... 15
6.5.1.Requisitos tcnicos especficos de segurana computacional ..................................... 15
4/32
6.5.2.Classificao da segurana computacional .............................................................. 15

6.6.CONTROLES TCNICOS DO CICLO DE VIDA .............................................................................. 15
6.6.1.Controles de desenvolvimento de sistema .............................................................. 15
6.6.2.Controles de gerenciamento de segurana .............................................................. 15
6.6.3.Classificaes de segurana de ciclo de vida ........................................................... 15
6.7.CONTROLES DE SEGURANA DE REDE ................................................................................... 15
6.8.CONTROLES DE ENGENHARIA DO MDULO CRIPTOGRFICO ........................................................... 15
7.
PERFIS DE CERTIFICADO E LCR ............................................................................15

7.1.PERFIL DO CERTIFICADO .................................................................................................. 15
7.1.1.Nmero de verso ............................................................................................... 15
7.1.2.Extenses de certificado ....................................................................................... 15
7.1.3.Identificadores de algoritmo ................................................................................. 15
7.1.4.Formatos de nome............................................................................................... 15
7.1.5.Restries de nome ............................................................................................. 15
7.1.6.OID (Object Identifier) de Poltica de Certificado...................................................... 15
7.1.7.Uso da extenso Policy Constraints ..................................................................... 15
7.1.8.Sintaxe e semntica dos qualificadores de poltica ................................................... 15
7.1.9.Semntica de processamento para extenses crticas............................................... 15
7.2.PERFIL DE LCR ............................................................................................................. 15
7.2.1.Nmero(s) de verso ........................................................................................... 15
7.2.2.Extenses de LCR e de suas entradas .................................................................... 15
8.
ADMINISTRAO DE ESPECIFICAO ...................................................................15

8.1.PROCEDIMENTOS DE MUDANA DE ESPECIFICAO ..................................................................... 15
8.2.POLTICAS DE PUBLICAO E NOTIFICAO ............................................................................. 15
8.3.PROCEDIMENTOS DE APROVAO ......................................................................................... 15
9. DOCUMENTOS REFERENCIADOS ..................................................................................15
5/32
Poltica de Certificado de Assinatura Digital Tipo A3 da Autoridade Certificadora

Certisign RFB
1.
INTRODUO
1.1.Viso Geral
1.1.1. Esta Poltica de Certificado (PC) descreve as polticas de certificao de
certificados de Assinatura Digital Tipo A3 da Autoridade Certificadora Certisign RFB na
Infra-estrutura de Chaves Pblicas Brasileira.
A estrutura desta PC est baseada no DOC ICP 04 do Comit Gestor da ICP-Brasil
Requisitos Mnimos para as Polticas de Certificados na ICP-Brasil, publicada em
18/04/2006 e na RFC 2527 (Internet X.509 Public Key Infrastructure - Certificate
Policy and Certification Practices Framework).
1.1.2. No se aplica.
1.2.Identificao
1.2.1. Esta PC chamada Poltica de Certificado de Assinatura Digital Tipo A3 da
Autoridade Certificadora Certisign RFB e referida como PC A3 da AC Certisign RFB.
Esta PC descreve os usos relacionados ao certificado de Assinatura Digital corresponde
ao tipo A3 da Resoluo no. 41 da ICP-Brasil, de 18 de abril de 2006. O OID (object
identifier) desta PC 2.16.76.1.2.3.6.
1.3.Comunidade e Aplicabilidade
1.3.1.Autoridades Certificadoras
1.3.1.1. Esta PC refere-se exclusivamente AC Subordinada Certisign RFB (AC
Certisign RFB) no mbito da ICP-Brasil.
6/32
1.3.1.2. As prticas e procedimentos de certificao da AC Certisign RFB esto

descritos na Declarao de Prticas de Certificao da AC Certisign RFB (DPC
da AC Certisign RFB).
1.3.2.Autoridades de Registro
1.3.2.1. Os dados a seguir, referentes s Autoridades de Registro AR
utilizadas pela AC Certisign RFB para os processos de recebimento, validao e
encaminhamento de solicitaes de emisso ou de revogao de certificados
digitaios e de identificao de seus solicitantes, so publicados em servio de
diretrio
e/ou
em
pgina
web
da
AC
Certisign
RFB
(http://icp-
brasil.certisign.com.br/repositorio):
a) relao de todas as AR credenciadas, com informaes sobre as PC que
implementam.
b) para cada AR credenciada, os endereos de todas as instalaes tcnicas,
autorizadas pela AC Raiz a funcionar;
c)
para cada AR credenciada, relao de eventuais postos provisrios autorizados

pela AC Raiz a funcionar, com data de criao e encerramento de atividades;
d) relao de AR que tenham se descredenciado da cadeia da AC Certisign RFB,

com respectiva data do descredenciamento;
e) relao de instalaes tcnicas de AR credenciada que tenham deixado de
operar, com respectiva data de encerramento das atividades;
f)
acordos operacionais celebrados pelas AR vinculadas com outras AR da

ICPBrasil, se for o caso.
1.3.2.2. A AC Certisign RFB mantm as informaes acima sempre atualizadas.
1.3.3. Prestador de Servio de Suporte

1.3.3.1. A relao de todos os Prestadores de Servio de Suporte PSS
vinculados diretamente a AC Certisign RFB e/ou por intermdio de suas AR
publicada em servio de diretrio e/ou em pgina web da AC Certisign RFB
(http://icp- Brasil.certisign.com.br/repositorio).
1.3.3.2. PSS so entidades utilizadas pela AC e/ou suas AR para desempenhar
atividade descrita nesta DPC ou nas PC e se classificam em trs categorias,
conforme o tipo de atividade prestada:
a) disponibilizao de infra-estrutura fsica e lgica;
b) disponibilizao de recursos humanos especializados; ou
c)
disponibilizao de infra-estrutura fsica e lgica e de recursos humanos

especializados.
7/32
1.3.3.3. A AC Certisign RFB mantm as informaes acima sempre atualizadas.

1.3.4.Titulares de Certificado
Pessoas fsicas ou jurdicas inscritas no CPF ou no CNPJ podem ser Titulares de
Certificado e-CPF ou e-CNPJ Tipo A3, Tipo A3 e Tipo A4, desde que no
enquadradas na situao cadastral de CANCELADA (pessoa fsica) ou na
condio de INAPTA, SUSPENSA ou CANCELADA (pessoa jurdica), conforme o
disposto nos incisos I e II do art. 6 da Instruo Normativa RFB n 222, de 11
de Outubro de 2002.
No caso de certificado emitido para equipamento ou aplicao, o titular ser a
pessoa jurdica solicitante do certificado.
No caso de certificado emitido para pessoa jurdica, designada pessoa fsica
como responsvel pelo certificado, que ser a detentora da chave privada.
Obrigatoriamente, o Responsvel pelo certificado o mesmo responsvel pela
pessoa jurdica cadastrado no CNPJ da RFB.
1.3.5.Aplicabilidade
1.3.5.1. Neste item so relacionadas as aplicaes para as quais os certificados
definidos por esta PC so adequados.
1.3.5.2. Os certificados emitidos pela AC Certisign RFB no mbito desta PC
tambm podem ser utilizados para confirmao de identidade do titular em
aplicaes como Web, correio eletrnico, transaes on-line, redes privadas
virtuais, transaes eletrnicas, informaes eletrnicas; para cifrao de
chaves de sesso, assinatura de documentos eletrnicos e verificao da
integridade de informaes transmitidas eletronicamente.
Os certificados digitais e-CPF e e-CNPJ so utilizados para identificao do
Contribuinte e acesso ao Sistema Interativo de Atendimento Virtual (Receita
222), para as opes de atendimento, via internet, disponibilizadas pela RFB.
1.3.5.3. A AC Certisign RFB leva em conta o nvel de segurana previsto para o
certificado definido por esta PC na definio das aplicaes para o certificado.
Esse nvel de segurana caracterizado pelos requisitos definidos para
aspectos como: tamanho da chave criptogrfica, mdia armazenadora da
chave, processo de gerao do par de chaves, procedimentos de identificao
do titular de certificado, freqncia de emisso da correspondente Lista de
Certificados Revogados LCR e extenso do perodo de validade do certificado.
1.3.5.4. Os certificados emitidos pela AC Certisign RFB no mbito desta PC
podem ser utilizados em aplicaes como confirmao de identidade e
assinatura de documentos eletrnicos com verificao da integridade de suas
informaes.
1.3.5.5. No se aplica.
1.3.5.6. O Termo de Titularidade e o Termo de Responsabilidade, no caso
de certificados de pessoas jurdicas, equipamentos ou aplicaes,
disponibilizados pela da AR que recebe e valida o pedido de emisso de
8/32
certificado poder limitar as aplicaes para as quais so adequados os

certificados de assinatura tipo A3 emitidos pela AC Certisign RFB,
determinando restries ou proibies de uso destes certificados.
1.4.Dados de Contato
2.
Nome:
CertiSign Certificadora Digital S.A.
Endereo:
Rua do Passeio 70, 7 andar Centro - RJ
Telefone:
(21) 4501-1800
Fax:
(21) 4501-1801
Nome:
Mauricio Schueftan Balassiano
Telefone:
(21) 4501-1840
Fax:
(21) 2580-1285
E-mail:
icpbrasil@certisign.com.br
DISPOSIES GERAIS
Nos itens seguintes so referidos os itens correspondentes da DPC da AC Certisign RFB.
9/32
2.1.Obrigaes e Direitos
2.1.1.Obrigaes da AC Certisign RFB
2.1.2.Obrigaes das AR
2.1.3.Obrigaes dos Titulares do Certificado
2.1.4.Direitos da Terceira Parte (Relying Party)
2.1.5.Obrigaes do Repositrio
2.2.Responsabilidades
2.2.1.Responsabilidades da AC Certisign RFB
2.2.2.Responsabilidades das AR
2.3.Responsabilidade Financeira
2.3.1.Indenizaes devidas pela terceira parte (Relying Party)
2.3.2.Relaes Fiducirias
2.3.3.Processos Administrativos
2.4.Interpretao e Execuo
2.4.1.Legislao
2.4.2.Forma de interpretao e notificao
2.4.3.Procedimentos de soluo de disputa
2.5.Tarifas de Servio
2.5.1 Tarifas de emisso e renovao de certificados
2.5.2 Tarifas de acesso ao certificado
2.5.3 Tarifas de revogao ou de acesso informao de status
2.5.4 Tarifas para outros servios
2.5.5 Poltica de reembolso
2.6.Publicao e Repositrio
2.6.1 Publicao de informao da AC
10/32
2.6.2.Freqncia de publicao
2.6.3.Controles de acesso
2.6.4.Repositrios
2.7.Auditoria e Fiscalizao
2.8.Sigilo
2.8.1.Tipos de informaes sigilosas
2.8.2.Tipos de informaes no-sigilosas
2.8.3.Divulgao de informao de revogao ou suspenso de certificado
2.8.4.Quebra de sigilo por motivos legais
2.8.5.Informaes a terceiros
2.8.6.Divulgao por solicitao do Titular do Certificado
2.8.7.Outras circunstncias de divulgao de informao
2.9. Direitos de Propriedade Intelectual
3.
IDENTIFICAO E AUTENTICAO
11/32
3.1.Registro Inicial
3.1.1.Disposies Gerais
3.1.2.Tipos de nomes
3.1.3.Necessidade de nomes significativos
3.1.4.Regras para interpretao de vrios tipos de nomes
3.1.5.Unicidade de nomes
3.1.6. Procedimento para resolver disputa de nomes
3.1.7.Reconhecimento, autenticao e papel de marcas registradas
3.1.8.Mtodo para comprovar a posse de chave privada
3.1.9.Autenticao da identidade de uma organizao
3.1.9.Autenticao da identidade do indivduo
3.1.9.1. Documentos para efeitos de identificao de um indivduo
3.1.9.2 Informaes contidas no certificado emitido para um individuo
3.1.10.Autenticao da identidade de uma organizao
3.1.10.1. Disposies Gerais
3.1.10.2 Documentos para efeitos de identificao de uma organizao
3.1.10.3.
Informaes
contidas
no
certificado
emitido
para
uma
organizao
3.1.11.Autenticao da identidade de um equipamento ou aplicao
3.1.10.1. Disposies Gerais
3.1.10.2
Procedimentos
para
efeitos
de
identificao
de
um
para
um
equipamento ou aplicao
3.1.10.3.
Informaes
contidas
no
certificado
emitido
equipamento ou aplicao
3.2.Gerao de novo par de chaves antes da expirao do atual
3.3.Gerao de novo par de chaves aps revogao
12/32
3.4.Solicitao de Revogao
4.
REQUISITOS OPERACIONAIS

4.1.Solicitao de Certificado
4.2.Emisso de Certificado
4.3.Aceitao de Certificado
4.4.Suspenso e Revogao de Certificado
4.4.1.Circunstncias para revogao
4.4.2.Quem pode solicitar revogao
13/32
4.4.3.Procedimento para solicitao de revogao

4.4.4.Prazo para solicitao de revogao
4.4.5.Circunstncias para suspenso
4.4.6.Quem pode solicitar suspenso
4.4.7.Procedimento para solicitao de suspenso
4.4.8.Limites no perodo de suspenso
4.4.9.Freqncia de emisso de LCR
4.4.10.Requisitos para verificao de LCR
4.4.11.Disponibilidade para revogao ou verificao de status on-line
4.4.12.Requisitos para verificao de revogao on-line
4.4.13.Outras formas disponveis para divulgao de revogao
4.4.14.Requisitos
para
verificao
de outras
formas
de divulgao
de
revogao
4.4.15.Requisitos especiais para o caso de comprometimento de chave
4.5.Procedimentos de Auditoria de Segurana
4.5.1.Tipos de eventos registrados
4.5.2.Freqncia de auditoria de registros (logs)
4.5.3.Perodo de reteno para registros (logs) de auditoria
4.5.4.Proteo de registro (log) de auditoria
4.5.5.Procedimentos para cpia de segurana (backup) de registro (log) de
auditoria
4.5.6.Sistema de coleta de dados de auditoria
4.5.7.Notificao de agentes causadores de eventos
4.5.8.Avaliaes de vulnerabilidade
4.6.Arquivamento de Registros
4.6.1.Tipos de registros arquivados
14/32
4.6.2.Perodo de reteno para arquivo

4.6.3.Proteo de arquivo
4.6.4.Procedimentos para cpia de segurana (backup) de arquivo
4.6.5.Requisitos para datao (time-stamping) de registros
4.6.6.Sistema de coleta de dados de arquivo
4.6.7.Procedimentos para obter e verificar informao de arquivo
4.7.Troca de chave
4.8.Comprometimento e Recuperao de Desastre
4.8.1.Recursos computacionais, software, e dados corrompidos
4.8.2.Certificado de entidade revogado
4.8.3.Chave de entidade comprometida
4.8.4.Segurana dos recursos aps desastre natural ou de outra natureza
4.8.5.Atividades das Autoridades de Registro
4.9.Extino dos servios de AC, AR ou PSS
5.
CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL

15/32
5.1.Controles Fsicos
5.1.1.Construo e localizao das instalaes
5.1.2. Acesso fsico
5.1.3. Energia e ar condicionado
5.1.4 Exposio gua
5.1.5 Preveno e proteo contra incndio
5.1.6. Armazenamento de mdia
5.1.7. Destruio de lixo
5.1.8. Instalaes de segurana (backup) externas (off-site)
5.2. Controles Procedimentais
5.2.1 Perfis qualificados
5.2.2. Nmero de pessoas necessrio por tarefa
5.2.3. Identificao e autenticao para cada perfil
5.3. Controles de Pessoal
5.3.1. Antecedentes, qualificao, experincia e requisitos de idoneidade
5.3.2. Procedimentos de verificao de antecedentes
5.3.3. Requisitos de treinamento
5.3.4. Freqncia e requisitos para reciclagem tcnica
5.3.5. Freqncia e seqncia de rodzio de cargos
5.3.6. Sanes para aes no autorizadas
5.3.7. Requisitos para contratao de pessoal
5.3.8. Documentao fornecida ao pessoal
6.
CONTROLES TCNICOS DE SEGURANA

6.1.Gerao e Instalao do Par de Chaves
16/32
6.1.1.Gerao do par de chaves

6.1.1.1. O par de chaves criptogrficas gerado pelo titular do certificado,
quando este for uma pessoa fsica.
6.1.1.2. A gerao do par de chaves criptogrficas ocorre, no mnimo, utilizando

CSP (Cryptographic Service Provider) existente na estao do solicitante,
apresentados pelo browser Microsoft ou Netscape.
A chave privada exportada e armazenada em mdia externa Carto

Inteligente ou Token, ambos com capacidade de gerao de chave e protegidos
por senha e/ou identificao biomtrica ou hardware criptogrfico aprovado pelo
CG da ICPBrasil.
6.1.1.3. O algoritmos a ser utilizado para as chaves criptogrficas de titulares de

certificados
est
definido
no
documento
PADRES
ALGORITMOS
CRIPTOGRFICOS DA ICP-BRASIL [1]

6.1.1.4. Ao ser gerada, a chave privada do titular do certificado deve ser
gravada cifrada, por algoritmo simtrico aprovado no documento PADRES E
ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [1]. As chaves privadas
correspondentes aos certificados podero ser armazenadas em repositrio
protegido por senha, cifrado por software no meio de armazenamento definido
para o tipo de certificado A3.
6.1.1.5. O usurio deve assegurar que a chave privada trafega cifrada,
empregando os mesmos algoritmos citados no pargrafo anterior, entre o
dispositivo gerador e a mdia utilizada para o seu armazenamento.
6.1.1.6. O meio de armazenamento da chave privada utilizado pelo titular
assegura, por meios tcnicos e procedimentais adequados, no mnimo, que:
a) A chave privada utilizada na gerao de uma assinatura nica e seu sigilo
suficientemente assegurado;
b) A chave privada utilizada na gerao de uma assinatura no pode, com uma
segurana razovel, ser deduzida e que est protegida contra falsificaes
realizadas atravs das tecnologias atualmente disponveis; e
c) a chave privada utilizada na gerao de uma assinatura pode ser eficazmente
protegida pelo legtimo titular contra a utilizao por terceiros.
17/32
6.1.1.7. O meio de armazenamento no deve modificar os dados a serem

assinados, nem impedir que estes dados sejam apresentados ao signatrio antes
do processo de assinatura. O tipo de certificado emitido pela AC Certisign RFB e
descrito nesta PC o A3.
6.1.1.8. A responsabilidade pela adoo de controles de segurana para a

garantia do sigilo, integridade e disponibilidade da chave privada gerada no
equipamento do titular do certificado, conforme especificado no Termo de
Titularidade, no caso de certificados de pessoa fsica.
6.1.2.Entrega da chave privada entidade titular do certificado
Item no aplicvel.
6.1.3. Entrega da chave pblica para emissor de certificado
A entrega da chave pblica do solicitante do certificado AC Certisign RFB, feita
por meio eletrnico, em formato PKCS#10, atravs de uma sesso segura SSL Secure Socket Layer.
6.1.4.Disponibilizao de chave pblica da AC para usurios
A AC Certisign RFB disponibiliza o seu certificado, e de todos os certificados da
cadeia de certificao, para os usurios da ICP-Brasil, atravs de endereo Web:
http://icp-brasil.certisign.com.br/repositorio.
6.1.5.Tamanhos de chave
6.1.5.1. O tamanho das chaves criptogrficas associadas aos certificados
emitidos pela AC Certisign RFB de 1024 bits.
6.1.5.2. Os algoritmos e o tamanho de chaves criptogrficas utilizados no
certificado Tipo A3 da ICP-Brasil est definido no documento PADRES E
ALGORITMOS CRIPTOGRFICOS NA ICP-BARSIL [1].
6.1.6.Gerao de parmetros de chaves assimtricas
Os parmetros de gerao de chaves assimtricas dos titulares de certificados
adotam, no mnimo, o padro FIPS (Federal Information Processing Standards)
140-1 ou equivalente estabelecido pelo CG da ICP-Brasil.
6.1.7.Verificao da qualidade dos parmetros
Os parmetros so verificados de acordo com as normas estabelecidas pelo
CMVP (Cryptographic Module Validation Program) do NIST (National Institute of
Standards and Technology).
18/32
6.1.8.Gerao de chave por hardware ou software

A gerao das chaves criptogrficas do Certificado Tipo A3 desta PC, realizada
por software ou por hardware criptogrfico aprovado pelo CG da ICP-Brasil.
6.1.9.Propsitos de uso de chave (conforme o campo key usage na X.509
v3)
Os
certificados tm
ativados os
bits digitalSignature,
nonRepudiation
keyEncipherment.
Os pares de chaves correspondentes aos certificados emitidos pela AC Certisign
RFB podem ser utilizados para a assinatura digital (chave privada), para a
verificao dela (chave pblica), para a garantia do no repdio e para cifragem
de chaves.
6.2. Proteo da Chave Privada
6.2.1.Padres para mdulo criptogrfico
No existe requerimento mnimo para mdulos criptogrficos de armazenamento
de chave privada de titular de certificado .
6.2.2.Controle n de m para chave privada
No se aplica.
6.2.3.Recuperao (escrow) de chave privada
No permitida, no mbito da ICP-Brasil, a recuperao (escrow) de chaves
privadas de assinatura, isto , no se permite que terceiros possam obter uma
chave privada de assinatura sem o consentimento do titular do certificado.
6.2.4.Cpia de segurana (backup) de chave privada
6.2.4.1. Qualquer entidade titular de certificado pode, a seu critrio, manter
cpia de segurana de sua chave privada.
6.2.4.2. A AC Certisign RFB no mantm cpia de segurana de chave privada
de titular de certificado de assinatura digital por ela emitido.
6.2.4.3. Em qualquer caso, a cpia de segurana armazenada, cifrada, por
algoritmo simtrico 3-DES, IDEA, SAFER+ ou outros aprovados pelo CG da ICPBrasil, e protegida com um nvel de segurana no inferior quele definido para
a chave original.
19/32
6.2.4.4. O titular do certificado, quando realizar uma cpia de segurana da sua

chave privada, deve observar que esta cpia deve ser efetuada com, no mnimo,
os mesmos requerimentos de segurana da chave original.
6.2.5.Arquivamento de chave privada
6.2.5.1. A AC Certisign RFB no arquiva cpias de chaves privadas de assinatura
digital de titulares de certificados.
6.2.5.2. Define-se arquivamento como o armazenamento da chave privada para
seu uso futuro, aps o perodo de validade do certificado correspondente.
6.2.6.Insero de chave privada em mdulo criptogrfico
No se aplica.
6.2.7.Mtodo de ativao de chave privada
O titular de certificado de e-CPF ou e-CNPJ deve obrigatoriamente utilizar senha
para a proteo de sua chave privada, de acordo com o art. 5 da Instruo
Normativa RFB N 222, de 11 de Outubro de 2002.
6.2.8.Mtodo de desativao de chave privada
O
titular
de
certificado
pode
definir
procedimentos necessrios para
desativao de sua chave privada.

6.2.9.Mtodo de destruio de chave privada
O titular de certificado pode definir procedimentos necessrios para a destruio
de sua chave privada.
6.3.Outros Aspectos do Gerenciamento do Par de Chaves
6.3.1.Arquivamento de chave pblica
As chaves pblicas dos titulares de certificados de assinatura digital emitidos
pela AC Certisign RFB permanecem armazenadas aps a expirao dos
certificados correspondentes, por no mnimo 30 (trinta) anos, na forma da
legislao em vigor, para verificao de assinaturas geradas durante seu perodo
de validade.
6.3.2.Perodos de uso para as chaves pblica e privada
6.3.2.1. As chaves privadas de assinatura dos respectivos titulares de
certificados emitidos pela AC Certisign RFB so utilizadas apenas durante
perodo de validade dos certificados correspondentes. As correspondentes
20/32
chaves pblicas podem ser utilizadas durante todo o perodo de tempo

determinado pela legislao aplicvel, para verificao das assinaturas geradas
durante o prazo de validade dos respectivos certificados.
6.3.2.2. No se aplica.
6.3.2.3. O perodo mximo de validade admitido para certificados de Assinatura
Digital Tipo A3 da AC Certisign RFB de 3 (trs) anos.
6.4.Dados de Ativao
6.4.1.Gerao e instalao dos dados de ativao
Os dados de ativao da chave privada da entidade titular do certificado,

se utilizados, so nicos e aleatrios.
6.4.2.Proteo dos dados de ativao
Os dados de ativao da chave privada da entidade titular do certificado,

se utilizados, so protegidos contra uso no autorizado.
6.4.3.Outros aspectos dos dados de ativao
No se aplica.
6.5.Controles de Segurana Computacional
6.5.1.Requisitos tcnicos especficos de segurana computacional
O titular do certificado responsvel pela segurana computacional dos
sistemas nos quais so geradas e utilizadas as chaves privadas e deve zelar por
sua integridade.
O equipamento onde so gerados os pares de chaves criptogrficas dos titulares
de certificados possui conexo com o dispositivo de mdia inteligente e o
respectivo driver instalado. A mdia inteligente possui processador criptogrfico
com capacidade de gerao interna das chaves.
6.5.2.Classificao da segurana computacional
Item no aplicvel.
6.6.Controles Tcnicos do Ciclo de Vida
A AC Certisign RFB desenvolve sistemas apenas com finalidade relacionada operao
de suas AR vinculadas.
21/32
6.6.1.Controles de desenvolvimento de sistema

6.6.1.1.
AC
Certisign
RFB
utiliza
um
modelo
clssico
espiral
no
desenvolvimento dos sistemas. So realizadas as fases de requisitos, anlise,

projeto, codificao e teste para cada interao do sistema utilizando tecnologias
de orientao a objetos. Como suporte a esse modelo, a AC Certisign RFB utiliza
uma gerncia de configurao, gerncia de mudana, testes formais e outros
processos informais.
6.6.1.2. Os processos de projeto e desenvolvimento conduzidos pela AC
Certisign RFB provem documentao suficiente para suportar avaliaes
externas de segurana dos componentes da AC Certisign RFB.
6.6.2.Controles de gerenciamento de segurana
6.6.2.1. A AC Certisign RFB verifica os nveis configurados de segurana com
periodicidade semanal e atravs de ferramentas do prprio sistema operacional.
As verificaes so feitas atravs da emisso de comandos de sistema e
comparando-se com as configuraes aprovadas. Em caso de divergncia, so
tomadas as medidas para recuperao da situao, conforme a natureza do
problema e averiguao do fato gerador do problema para evitar sua
recorrncia.
6.6.2.2. A AC Certisign RFB utiliza metodologia formal de gerenciamento de
configurao para a instalao e a contnua manuteno do sistema.
6.6.3.Classificaes de segurana de ciclo de vida
No se aplica.
6.7.Controles de Segurana de Rede
No se aplica.
6.8.Controles de Engenharia do Mdulo Criptogrfico
O mdulo criptogrfico utilizado para armazenamento da chave privada da entidade
titular de certificado est em conformidade com o padro definido no documento
PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [9].
7.
PERFIS DE CERTIFICADO E LCR

7.1.Perfil do Certificado
Todos os certificados emitidos pela AC Certisign RFB esto em conformidade com o
formato definido pelo padro ITU X.509 ou ISO/IEC 9594-8.
22/32
7.1.1.Nmero de verso
Os certificados emitidos pela AC Certisign RFB implementam a verso 3 do
padro ITU X.509, de acordo com o perfil estabelecido na RFC 3280.
7.1.2.Extenses de certificado
7.1.2.1. Este item descreve todas as extenses de certificado utilizadas e sua
criticidade.
7.1.2.2. Os certificados emitidos pela AC Certisign RFB contm as seguintes
extenses obrigatrias:
a) Authority Key Identifier, no crtica: o campo keyIdentifier
contm o
hash SHA-1 da chave pblica da AC Certisign RFB;

b) Key Usage, crtica: somente os bits digitalSignature , nonRepudiation e
keyEncipherment esto ativados;
c) Certificate Policies, no crtica contm:
O OID desta PC: 2.16.76.1.2.3.6;
Os campos policyQualifiers contm o endereo Web da DPC AC Certisign RFB:
(http://icp-brasil.certisign.com.br/repositorio/dpc) .
d) CRL Distribution Points, no crtica: contm os endereos Web onde se
obtm a LCR da AC Certisign RFB:
Para certificados emitidos at 31/10/2008
http://icpbrasil.certisign.com.br/repositorio/lcr/ACCertiSignSRFV3/LatestCRL.crl
http://icpbrasil.outralcr.com.br/repositorio/lcr/ACCertiSignSRFV3/LatestCRL.crl
http://repositorio.icpbrasil.gov.br/lcr/RFB/ACCertiSignSRFV3/LatestCRL.crl
Para certificados emitidos a partir de 01/11/2008
http://icpbrasil.certisign.com.br/repositorio/lcr/ACCertisignRFBG3/LatestCRL.crl
http://icpbrasil.outralcr.com.br/repositorio/lcr/ACCertisignRFBG3/LatestCRL.crl
http://repositorio.icpbrasil.gov.br/lcr/RFB/ACCertisignRFBG3/LatestCRL.crl
e) basicConstraints, no crtica: contm o campo cA=False.
7.1.2.3. Os certificados emitidos pela AC Certisign RFB possuem a extenso
Subject Alternative Name, no crtica e com os seguintes formatos:
a) Para certificado de pessoa fsica:
a.1) 4 (quatro) campos otherName, obrigatrios, contendo nesta ordem:
23/32
i OID = 2.16.76.1.3.1 e contedo = nas primeiras 8 (oito) posies, a data de

nascimento do titular, no formato ddmmaaaa; nas 11 (onze) posies
subseqentes, o Cadastro de Pessoa Fsica (CPF) do titular; nas 11 (onze)
posies subseqentes, o Nmero de Identificao Social NIS (PIS,PASEP ou
CI); nas 15 (quinze) posies subseqentes, o nmero do Registro Geral (RG)
do titular; nas 6 (seis) posies subseqentes, as siglas do rgo expedidor do
RG e respectiva unidade da federao;
ii OID = 2.16.76.1.3.6 e contedo = nas 12 (doze) posies o nmero do

Cadastro Especfico do INSS (CEI) da pessoa fsica titular do certificado.
iii OID = 2.16.76.1.3.5 e contedo nas primeiras 12 (doze) posies, o

nmero de inscrio do Ttulo de Eleitor; nas 3 (trs) posies subseqentes, a
Zona Eleitoral; nas 4 (quatro) posies seguintes, a Seo; nas 22 posies
subseqentes, o municpio e a UF do Ttulo de Eleitor.
a.2) campo rfc822Name contendo o endereo e-mail do titular do certificado.

a.3) campo otherName, no obrigatrio, contendo:
i OID = 1.3.6.1.4.1.311.20.2.3 e contedo = Nome Principal que contm o

domnio de login em estaes de trabalho (UPN).
b) Para certificado de pessoa Juridica:

b.1) 5 (cinco) campos otherName, contendo, nesta ordem:
i OID = 2.16.76.1.3.4 e contedo = nas primeiras 8 (oito) posies, a data de
nascimento do responsvel pelo certificado, no formato ddmmaaaa; nas 11
(onze) posies subseqentes, o Cadastro de Pessoa Fsica (CPF) do
responsvel; nas 11 (onze) posies subseqentes, o Nmero de Identificao
Social NIS (PIS, PASEP ou CI); nas 15 (quinze) posies subseqentes, o
nmero do Registro Geral (RG) do responsvel; nas 6 (seis) posies
subseqentes, as siglas do rgo expedidor do RG e respectiva Unidade da
Federao;
ii OID = 2.16.76.1.3.2 e contedo = nome do responsvel pela Pessoa

Jurdica;
iii OID = 2.16.76.1.3.3 e contedo = Cadastro Nacional de Pessoa Jurdica

(CNPJ) da pessoa jurdica titular do certificado.
iv. OID = 2.16.76.1.3.7 e contedo = nas 12 (doze) posies o nmero do

Cadastro Especfico do INSS (CEI) da pessoa jurdica titular do certificado.
24/32
b.2) campo rfc822Name contm o endereo e-mail do responsvel pela Pessoa

Jurdica titular do certificado.
c) Para certificado de equipamento ou aplicao:
c.1) 4 (quatro) campos otherName, obrigatrios,contendo, nesta ordem:
OID = 2.16.76.1.3.8 e contedo = nome empresarial constante do CNPJ

(Cadastro Nacional de Pessoa Jurdica), sem abreviaes, se o certificado for
de pessoa jurdica;
ii. OID = 2.16.76.1.3.3 e contedo = Cadastro Nacional de Pessoa Jurdica
(CNPJ), se o certificado for de pessoa jurdica;
iii. OID = 2.16.76.1.3.2 e contedo = nome do responsvel pelo certificado;
iv. OID = 2.16.76.1.3.4 e contedo = nas primeiras 8 (oito) posies, a data
de nascimento do responsvel pelo certificado, no formato ddmmaa; nas 11
(onze) posies subseqentes, o Cadastro de Pessoa Fsica (CPF) do
responsvel; nas 11 (onze) posies subseqentes, o nmero de Identificao
Social NIS (PIS, PASEP ou CI); nas 15 (quinze) posies subseqentes, o
nmero do RG do responsvel; nas 6 (seis) posies subseqentes, as siglas
do rgo expedidor do RG e respectiva UF.
Quando certificados de equipamento forem emitidos para servidores de

Domain Controller, adicionalmente iro conter:
c.2) campo otherName, contendo:
OID = 1.3.6.1.4.1.311.25.1 contendo o identificador (Globally Unique Identifier
- GUID) do Domain Controller;
c.3) campo DNS Name, contendo o nome do domnio.
c.4) campo rfc822Name contm o endereo e-mail do responsvel pelo
certificado ou da pessoa jurdica, em caso de email corporativo.
7.1.2.4. Os campos otherName, definidos como obrigatrios, esto de acordo
com as seguintes especificaes:
a) O conjunto de informaes definido em cada campo otherName
armazenado como uma cadeia de caracteres do tipo ASN.1 OCTET STRING,
com exceo do campo UPN que possui uma cadeia de caracteres do tipo
ASN.1 UTF8 STRING;
b) Quando os nmeros de NIS (PIS, PASEP ou CI), RG, CEI ou Ttulo de Eleitor
no estiverem disponveis, os campos correspondentes so integralmente
preenchidos com caracteres zero;
25/32
c) Se o nmero do RG no estiver disponvel, no preenchido o campo de

rgo emissor/UF. O mesmo ocorre para o campo do municpio e UF se no
houver nmero de inscrio do Titulo de Eleitor;
d) Todas as informaes de tamanho varivel, referentes a nmeros, tal como
RG, so preenchidos com caracteres zero a sua esquerda para que seja
completado seu mximo tamanho possvel;
e) As 6 (seis) posies das informaes sobre rgo emissor do RG e UF
referem-se ao tamanho mximo, sendo utilizados apenas as posies
necessrias ao seu armazenamento, da esquerda para a direita. O mesmo se
aplica s 22 (vinte e duas) posies das informaes sobre municpios e UF do
Ttulo de Eleitor;
f) Apenas caracteres de A a Z e de 0 a 9 so utilizados, no sendo permitidos
caracteres especiais, smbolos, espaos ou quaisquer outros;
g) O campo UPN opcional, caso no seja usado o OID no includo no
certificado.
7.1.2.5. Campos otherName adicionais, contendo informaes especficas e
forma de preenchimento e armazenamento definidos pela AC Certisign RFB,
podem ser utilizados com OID atribudos ou aprovados pela AC-Raiz.
7.1.2.6. Os outros campos que compem a extenso "Subject Alternative
Name" podem ser utilizados, na forma e com os propsitos definidos na RFC
3280.
7.1.2.7. A AC Certisign RFB implementa para os certificados de assinatura a
extenso "Extended Key Usage", no crtica, contendo:
e-CPF:
client authentication" (OID 1.3.6.1.5.5.7.3.2);

"E-mail protection" (OID 1.3.6.1.5.5.7.3.4); e
Smart Card Logon (OID 1.3.6.1.4.1.311.20.2.2), opcional.
e-CNPJ:
client authentication" (OID 1.3.6.1.5.5.7.3.2); e

"E-mail protection" (OID 1.3.6.1.5.5.7.3.4).
e-Servidor:
"server authentication" (OID 1.3.6.1.5.5.7.3.1); e

client authentication" (OID 1.3.6.1.5.5.7.3.2).
e-Aplicao:
26/32
client authentication" (OID 1.3.6.1.5.5.7.3.2); ou

time stamping (OID 1.3.6.1.5.5.7.3.8) crtica; ou
email protection ((OID 1.3.6.1.5.5.7.3.4); ou
ocsp signing ((OID 1.3.6.1.5.5.7.3.9).
e-Cdigo:
code signing" (OID 1.3.6.1.5.5.7.3.3).
7.1.2.8 A AC Certisign RFB implementa a extenso Authority Information

Access, no crtica, contendo o endereo de acesso ao servio de Consulta OnLine de Situao de Certificado (On-line Certificate Status Protocol- OCSP):
http://ocsp.certisign.com.br e opcionalmente contendo o endereo de acesso
aos certificados da cadeia de certificao atravs do link: http://icpbrasil.certisign.com.br/repositorio/certificados/AC_Certisign_RFB_G3.p7c.
7.1.3.Identificadores de algoritmo
Os certificados emitidos pela AC Certisign RFB so assinados com o uso do algoritmo
RSA com SHA-1 como funo de hash (OID = 1.2.840.113549.1.1.5), conforme o
padro PKCS#1.
7.1.4.Formatos de nome
O nome do titular do certificado, constante do campo "Subject", adota o "Distinguished
Name" (DN) do padro ITU X.500/ISO 9594.
Cada PC implemtada pela AC Certisign RFB especifica corretamente os formatos dos
certificados gerados e das correspondentes LCRs. As PC incluem informaes sobre os
padres adotados, seus perfis, verses extenses.
e-CPF:
O contedo do DN apresenta-se da seguinte forma para os certificados de Pessoa
Fsica:
C = BR
O = ICP-Brasil
OU = Secretaria da Receita Federal do Brasil - RFB
OU = RFB e-CPF A3
OU = <Domnio do certificado>
OU = <Identificao da AR>
27/32
CN = <Nome da Pessoa Fsica> <:> <nmero de inscrio no CPF>
Onde:
O Common Name (CN) composto do nome da pessoa fsica, obtido do Cadastro de
Pessoas Fsicas (CPF) da RFB, com cumprimento mximo de 52 (cinqenta e dois)
caracteres, acrescido do sinal de dois pontos (:) mais o nmero de inscrio da pessoa
fsica do titular neste cadastro composto por 11 (onze) caracteres.
Um OU com contedo varivel, informando o nome da Autoridade de Registro
responsvel
pela
aprovao
do
certificado,
conforme
nome
atribudo
no
credenciamento pelo ITI.

Um segundo OU com contedo varivel, informando no campo domnio a
identificao da empresa ou rgo fornecedor do certificado, quando o titular do
certificado for seu empregado, funcionrio ou servidor. Caso esse OU no seja
utilizado, o mesmo dever ser grafado com o texto (EM BRANCO).
e-CNPJ:
O contedo do DN apresenta-se da seguinte forma para os certificados de Pessoa
Jurdica (e-CNPJ):
C = BR
O = ICP-Brasil
S = <Sigla da Unidade da Federao>
L = <Cidade>
OU = RFB e-CNPJ A3
CN = <Nome Empresarial> <:> <nmero de inscrio no CNPJ>
Onde:
O Common Name (CN) composto do nome empresarial da pessoa jurdica, obtido do

Cadastro Nacional da Pessoa Jurdica (CNPJ) da RFB, com cumprimento mximo de 49
(quarenta e nove) caracteres, acrescido do sinal de dois pontos (:) mais o nmero de
inscrio da empresa titular do certificado neste cadastro composto por 14 (quatorze)
caracteres.
28/32
Campo OU com contedo varivel, informando o nome da Autoridade de Registro

responsvel
pela
aprovao
do
certificado,
conforme
nome
atribudo
no

O campo locality ( L )
com contedo correspondente ao nome da cidade onde a
empresa est localizada. O campo deve ser preenchido sem acentos nem abreviaturas.
O campo state or province name ( S ) com contedo correspondente a sigla do estado
onde a empresa est localizada.
e-Servidor:
O contedo do DN apresenta-se da seguinte forma para os certificados de

equipamento Servidores:
C = BR
O = ICP-Brasil
OU = RFB e-Servidor A3
CN = <DNS do Servidor>
Onde:
O Common Name (CN) composto pelo DNS do servidor.
responsvel
pela
aprovao
do
certificado,
conforme
nome
atribudo
no
e-Aplicao:
O contedo do DN apresenta-se da seguinte forma para os certificados de aplicao:

C = BR
O = ICP-Brasil
OU = RFB e-Aplicacao A3
CN = <Nome da Aplicao> <:> <nmero de inscrio no CNPJ>
Onde:
29/32
O Common Name (CN) composto do nome da aplicao, acrescido do sinal de dois

pontos (:) mais o nmero de inscrio no Cadastro de Pessoas Jurdica ( CNPJ ).
responsvel
pela
aprovao
do
certificado,
conforme
nome
atribudo
no
e-Cdigo:
O contedo do DN apresenta-se da seguinte forma para os certificados de assinatura

de cdigo de software:
C = BR
O = ICP-Brasil
OU = RFB e-Codigo A3
CN = <Nome Empresarial> <:> <nmero de inscrio no CNPJ>
Onde:
O Common Name (CN) composto do nome empresarial, acrescido do sinal de dois

pontos (:) mais o nmero de inscrio no Cadastro de Pessoas Jurdica ( CNPJ ).
responsvel
pela
aprovao
do
certificado,
conforme
nome
atribudo
no
7.1.5.Restries de nome
7.1.5.1. As restries aplicveis para os nomes dos titulares de certificado
emitidos pela AC Certisign RFB so as seguintes:
No so admitidos sinais de acentuao, trema ou cedilhas;
Apenas so admitidos sinais alfanumricos e os caracteres especiais descritos

na tabela abaixo:
Caractere
Branco
"
#
'
+
Cdigo NBR9611 (hexadecimal)

20
22
23
27
2B
30/32
,
.
/
:
;
=
2C
2D
2E
2F
3A
3B
3D
7.1.6.OID (Object Identifier) de Poltica de Certificado

O OID desta PC : 2.16.76.1.2.3.6.
Todo certificado emitido segundo essa PC, PC A3 Certisign RFB, contem o valor
desse OID presente na extenso Certificate Policies.
7.1.7.Uso da extenso Policy Constraints
Item no aplicvel.
7.1.8.Sintaxe e semntica dos qualificadores de poltica
Os campos policyQualifiers da extenso Certificate Policies contm o
endereo
web
da
DPC
da
AC
Certisign
RFB
(http://icp-
brasil.certisign.com.br/repositorio/dpc)
7.1.9.Semntica de processamento para extenses crticas
Extenses crticas devem ser interpretadas conforme a RFC 3280.
7.2.Perfil de LCR
7.2.1.Nmero(s) de verso
As LCR geradas pela AC Certisign RFB implementam a verso 2 do padro ITU
X.509, de acordo com o perfil estabelecido na RFC 3280.
7.2.2.Extenses de LCR e de suas entradas
7.2.2.1. Neste item esto descritas todas as extenses de LCR utilizadas e sua
criticidade.
7.2.2.2. A ICP-Brasil define como obrigatrias as seguintes extenses de LCR
geradas pela AC Certisign RFB:
a) Authority Key Identifier: contm o hash SHA-1 da chave pblica da AC
Certisign RFB.
b) CRL Number, no crtica: contm um nmero seqencial para cada LCR
emitida pela AC Certisign RFB.
31/32
8.
ADMINISTRAO DE ESPECIFICAO
8.1.Procedimentos de mudana de especificao
Alteraes nesta PC podem ser solicitadas e/ou definidas pelo Grupo de Prticas e
Polticas da AC Certisign RFB. A aprovao e conseqente adoo de nova verso
estaro sujeitas autorizao da AC Raiz.
8.2.Polticas de publicao e notificao
A AC Certisign RFB mantm pgina especfica com a verso corrente desta PC para
consulta pblica, a qual est disponibilizada no endereo Web:
(http://icp-brasil.certisign.com.br/repositorio/pc)
8.3.Procedimentos de aprovao
Esta DPC da AC Certisign RFB foi submetida aprovao, durante o processo de
credenciamento da AC Certisign RFB, conforme o determinado CRITRIOS E
PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICPBRASIL [6].
Novas verses sero igualmente submetidas aprovao da AC Raiz.
9. DOCUMENTOS REFERENCIADOS
9.1 Os documentos abaixo so aprovados por Resolues do Comit Gestor da ICP-Brasil,
podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio
http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Resolues
que os aprovaram.
Ref.
Nome do documento
Cdigo
[3]
CRITRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES
DOC-ICP-03
INTEGRANTES DA ICP-BRASIL
9.2 Os documentos abaixo so aprovados por Instruo Normativa da AC Raiz, podendo ser
alterados,
quando
necessrio,
pelo
mesmo
tipo
de
dispositivo
legal.
stio
Http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Instrues

Normativas que os aprovaram.
Ref.
Nome do documento
Cdigo
[1]
PADRES E ALGORITMOS CRIPTOGRFICOS NA ICP-BRASIL
DOC-ICP-01.01
[2]
ATRIBUIO DE OID NA ICP-BRASIL
DOC-ICP-04.01
32/32

PC A3 da AC Certisign RFB para a SRFB

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

PC A3 da AC Certisign RFB para a SRFB

Uploaded by

Copyright:

Available Formats

Poltica de Certificado de Assinatura

DISPOSIES GERAIS .............................................................................................9

IDENTIFICAO E AUTENTICAO ........................................................................11

PC A3 da AC Certisign RFB v2.3

PC A3 da AC Certisign RFB v2.3

4.8.2.Certificado de entidade revogado ........................................................................ 15

CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL ..................15

CONTROLES TCNICOS DE SEGURANA .................................................................15

PC A3 da AC Certisign RFB v2.3

6.5.2.Classificao da segurana computacional .............................................................. 15

PERFIS DE CERTIFICADO E LCR ............................................................................15

ADMINISTRAO DE ESPECIFICAO ...................................................................15

9. DOCUMENTOS REFERENCIADOS ..................................................................................15

PC A3 da AC Certisign RFB v2.3

Poltica de Certificado de Assinatura Digital Tipo A3 da Autoridade Certificadora

PC A3 da AC Certisign RFB v2.3

1.3.1.2. As prticas e procedimentos de certificao da AC Certisign RFB esto

para cada AR credenciada, relao de eventuais postos provisrios autorizados

d) relao de AR que tenham se descredenciado da cadeia da AC Certisign RFB,

acordos operacionais celebrados pelas AR vinculadas com outras AR da

1.3.3. Prestador de Servio de Suporte

disponibilizao de infra-estrutura fsica e lgica e de recursos humanos

PC A3 da AC Certisign RFB v2.3

1.3.3.3. A AC Certisign RFB mantm as informaes acima sempre atualizadas.

certificado poder limitar as aplicaes para as quais so adequados os

CertiSign Certificadora Digital S.A.

Rua do Passeio 70, 7 andar Centro - RJ

Mauricio Schueftan Balassiano

Nos itens seguintes so referidos os itens correspondentes da DPC da AC Certisign RFB.

PC A3 da AC Certisign RFB v2.3

Nos itens seguintes so referidos os itens correspondentes da DPC da AC Certisign RFB.

PC A3 da AC Certisign RFB v2.3

PC A3 da AC Certisign RFB v2.3

Nos itens seguintes so referidos os itens correspondentes da DPC da AC Certisign RFB.

PC A3 da AC Certisign RFB v2.3

4.4.3.Procedimento para solicitao de revogao

4.6.2.Perodo de reteno para arquivo

CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL

PC A3 da AC Certisign RFB v2.3

CONTROLES TCNICOS DE SEGURANA

PC A3 da AC Certisign RFB v2.3

6.1.1.Gerao do par de chaves

6.1.1.2. A gerao do par de chaves criptogrficas ocorre, no mnimo, utilizando

A chave privada exportada e armazenada em mdia externa Carto

6.1.1.3. O algoritmos a ser utilizado para as chaves criptogrficas de titulares de

CRIPTOGRFICOS DA ICP-BRASIL [1]

PC A3 da AC Certisign RFB v2.3

6.1.1.7. O meio de armazenamento no deve modificar os dados a serem

6.1.1.8. A responsabilidade pela adoo de controles de segurana para a

6.1.8.Gerao de chave por hardware ou software

PC A3 da AC Certisign RFB v2.3

6.2.4.4. O titular do certificado, quando realizar uma cpia de segurana da sua

procedimentos necessrios para

desativao de sua chave privada.

chaves pblicas podem ser utilizadas durante todo o perodo de tempo

Os dados de ativao da chave privada da entidade titular do certificado,

Os dados de ativao da chave privada da entidade titular do certificado,

PC A3 da AC Certisign RFB v2.3

6.6.1.Controles de desenvolvimento de sistema

desenvolvimento dos sistemas. So realizadas as fases de requisitos, anlise,

PERFIS DE CERTIFICADO E LCR

PC A3 da AC Certisign RFB v2.3

hash SHA-1 da chave pblica da AC Certisign RFB;