DPC AC IFenacon RFB

Declarao de Prticas de Certificao
da Autoridade Certificadora Instituto

Fenacon para a Secretaria da Receita
Federal do Brasil
DPC da AC Instituto Fenacon RFB

Verso 2.1 - 13 de Fevereiro de 2014
NDICE
1.
INTRODUO ................................................................................................................ 7
1.1. VISO GERAL .............................................................................................................. 7
1.2. IDENTIFICAO ........................................................................................................... 7
1.3. COMUNIDADE E APLICABILIDADE ............................................................................... 7
1.3.1.
Autoridades Certificadoras ................................................................................ 7
1.3.2.
Autoridades de Registro ..................................................................................... 8
1.3.3.
Prestador de Servio de Suporte ........................................................................ 8
1.3.4.
Titulares de Certificado ...................................................................................... 9
1.3.5.
Aplicabilidade..................................................................................................... 9
1.4. DADOS DE CONTATO ................................................................................................... 9
2.
DISPOSIES GERAIS ............................................................................................... 10

2.1. OBRIGAES E DIREITOS ........................................................................................... 10
2.1.1.
Obrigaes da AC Instituto Fenacon RFB ....................................................... 10
2.1.2.
Obrigaes das AR. .......................................................................................... 11
2.1.3.
Obrigaes do Titular do Certificado .............................................................. 12
2.1.4.
Direitos da Terceira Parte (Relying Party) ...................................................... 13
2.1.5.
Obrigaes do Repositrio ............................................................................... 13
2.2. RESPONSABILIDADES ................................................................................................. 14
2.2.1.
Responsabilidades da AC Instituto Fenacon RFB ........................................... 14
2.2.2.
Responsabilidades das AR ................................................................................ 14
2.3. RESPONSABILIDADE FINANCEIRA .............................................................................. 14
2.3.1.
Indenizaes devidas pela terceira parte(Relying Party) ................................ 14
2.3.2.
Relaes Fiducirias ........................................................................................ 14
2.3.3.
Processos Administrativos................................................................................ 14
2.4. INTERPRETAO E EXECUO................................................................................... 15
2.4.1.
Legislao......................................................................................................... 15
2.4.2.
Forma de interpretao e notificao .............................................................. 15
2.4.3.
Procedimentos da soluo de disputa .............................................................. 15
2.5. TARIFAS DE SERVIO ................................................................................................. 15
2.5.1.
Tarifas de emisso e renovao de certificados ............................................... 15
2.5.2.
Tarifas de acesso ao certificado ....................................................................... 15
2.5.3.
Tarifas de revogao ou de acesso informao de status ............................. 16
2.5.4.
Tarifas para outros servios ............................................................................. 16
2.5.5.
Poltica de reembolso ....................................................................................... 16
2.6. PUBLICAO E REPOSITRIO ..................................................................................... 16
2.6.1.
Publicao de informao da AC Instituto Fenacon RFB ............................... 16
2.6.2.
Freqncia de publicao ................................................................................ 17
2.6.3.
Controles de acesso .......................................................................................... 17
2.6.4.
Repositrios ...................................................................................................... 17
2.7. FISCALIZAO E AUDITORIA DE CONFORMIDADE ..................................................... 17
2.8. SIGILO ....................................................................................................................... 18
2.8.1.
Disposies gerais ............................................................................................ 18
2.8.2.
Tipos de informaes sigilosas ......................................................................... 19
2.8.3.
Tipos de informaes no-sigilosas ................................................................. 19
DPC da AC Instituto Fenacon RFB v2.1

2/68
2.8.4.
Divulgao de informao de revogao ou suspenso de certificado ........... 20
2.8.5.
Quebra de sigilo por motivos legais ................................................................. 20
2.8.6.
Informaes a terceiros .................................................................................... 20
2.8.7.
Divulgao por solicitao do Titular ............................................................. 20
2.8.8.
Outras circunstncias de divulgao de informao ....................................... 20
2.9. DIREITOS DE PROPRIEDADE INTELECTUAL ................................................................ 21
3.
IDENTIFICAO E AUTENTICAO .................................................................... 21

3.1. REGISTRO INICIAL ..................................................................................................... 21
3.1.1.
Disposies Gerais ........................................................................................... 21
3.1.2.
Tipos de nomes ................................................................................................. 22
3.1.3.
Necessidade de nomes significativos ................................................................ 23
3.1.4.
Regras para interpretao de vrios tipos de nomes ....................................... 23
3.1.5.
Unicidade de nomes ......................................................................................... 23
3.1.6.
Procedimento para resolver disputa de nomes ................................................ 23
3.1.7.
Reconhecimento, autenticao e papel de marcas registradas ........................ 23
3.1.8.
Mtodo para comprovar a posse de chave privada ......................................... 23
3.1.9.
Autenticao da identidade de um indivduo ................................................... 24
3.1.9.1. Documentos para efeitos de identificao de um indivduo ............................ 24
3.1.9.2. Informaes contidas no certificado emitido para um indivduo .................... 25
3.1.10. Autenticao da identidade de uma organizao............................................. 25
3.1.10.1. Disposies Gerais ........................................................................................ 25
3.1.10.2. Documentos para efeitos de identificao de uma organizao .................... 26
3.1.10.3. Informaes contidas no certificado emitido para uma organizao ............ 26
3.1.11.1. Disposies Gerais ........................................................................................ 27
3.1.11.3. Informaes contidas no certificado emitido para um equipamento ou
aplicao ....................................................................................................................... 27
3.2. GERAO DE NOVO PAR DE CHAVES ANTES DA EXPIRAO DO ATUAL ...................... 27
3.3. GERAO DE NOVO PAR DE CHAVES APS EXPIRAO OU REVOGAO .................... 28
3.4. SOLICITAO DE REVOGAO .................................................................................. 28
4.
REQUISITOS OPERACIONAIS ................................................................................. 28

4.1. SOLICITAO DE CERTIFICADO ................................................................................. 28
4.2. EMISSO DE CERTIFICADO ........................................................................................ 29
4.3. ACEITAO DE CERTIFICADO .................................................................................... 29
4.4. SUSPENSO E REVOGAO DE CERTIFICADO ............................................................ 30
4.4.1.
Circunstncias para revogao........................................................................ 30
4.4.2.
Quem pode solicitar revogao ........................................................................ 31
4.4.3.
Procedimento para solicitao de revogao .................................................. 31
4.4.4.
Prazo para solicitao de revogao ............................................................... 32
4.4.5.
Circunstncias para suspenso ........................................................................ 32
4.4.6.
Quem pode solicitar suspenso ........................................................................ 32
4.4.7.
Procedimento para solicitao de suspenso .................................................. 32
4.4.8.
Limites no perodo de suspenso ...................................................................... 32
4.4.9.
Freqncia de emisso de LCR ........................................................................ 32
4.4.10. Requisitos para verificao de LCR ................................................................. 33
4.4.11. Disponibilidade para revogao ou verificao de status on-line .................. 33
4.4.12. Requisitos para verificao de revogao on-line ........................................... 33

3/68
4.4.13. Outras formas disponveis para divulgao de revogao .............................. 33

4.4.14. Requisitos para verificao de outras formas de divulgao de revogao .... 33
4.4.15. Requisitos especiais para o caso de comprometimento de chave .................... 33
4.5. PROCEDIMENTOS DE AUDITORIA DE SEGURANA ..................................................... 34
4.5.1.
Tipos de eventos registrados ............................................................................ 34
4.5.2.
Freqncia de auditoria de registros (logs) ..................................................... 35
4.5.3.
Perodo de reteno para registros (logs) de auditoria ................................... 36
4.5.4.
Proteo de registro (log) de auditoria ............................................................ 36
4.5.5.
Procedimentos para cpia de segurana (backup) de registro (log) de
auditoria 36
4.5.6.
Sistema de coleta de dados de auditoria .......................................................... 36
4.5.7.
Notificao de agentes causadores de eventos................................................. 37
4.5.8.
Avaliaes de vulnerabilidade.......................................................................... 37
4.6. ARQUIVAMENTO DE REGISTROS ................................................................................ 37
4.6.1.
Tipos de registros arquivados .......................................................................... 37
4.6.2.
Perodo de reteno para arquivo.................................................................... 37
4.6.3.
Proteo de arquivo ......................................................................................... 37
4.6.4.
Procedimentos para cpia de segurana (backup) de arquivo ........................ 38
4.6.5.
Requisitos para datao (time-stamping) de registros .................................... 38
4.6.6.
Sistema de coleta de dados de arquivo ............................................................. 38
4.6.7.
Procedimentos para obter e verificar informao de arquivo ......................... 38
4.7. TROCA DE CHAVE ...................................................................................................... 38
4.8. COMPROMETIMENTO E RECUPERAO DE DESASTRE................................................ 39
4.8.1.
Recursos computacionais, software, e dados corrompidos .............................. 39
4.8.2.
Certificado de entidade revogado ................................................................. 39
4.8.3.
Chave da entidade comprometida ................................................................. 39
4.8.4.
Segurana dos recursos aps desastre natural ou de outra natureza.............. 39
4.8.5.
Atividades das Autoridades de Registro ........................................................... 40
4.9. EXTINO DOS SERVIOS DE AC, AR OU PSS ........................................................... 40
5.
CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL

42
5.1. CONTROLES FSICOS .................................................................................................. 42
5.1.1.
Construo e localizao das instalaes ........................................................ 42
5.1.2.
Acesso fsico nas instalaes de AC ................................................................. 42
5.1.2.1 Nveis de acesso ............................................................................................... 43
5.1.2.2 Sistemas fsicos de deteco ............................................................................. 45
5.1.2.3 Sistema de controle de acesso .......................................................................... 45
5.1.2.4 Mecanismos de emergncia .............................................................................. 45
5.1.3.
Energia e ar condicionado nas instalaes de AC ........................................... 46
5.1.4.
Exposio gua nas instalaes de AC ......................................................... 47
5.1.5.
Preveno e proteo contra incndio nas instalaes de AC ........................ 47
5.1.6.
Armazenamento de mdia nas instalaes de AC ............................................. 47
5.1.7.
Destruio de lixo nas instalaes de AC ........................................................ 47
5.1.8.
Instalaes de segurana (backup) externas (off-site) ..................................... 48
5.1.9.
Instalaes tcnicas de AR ............................................................................... 48
5.2. CONTROLES PROCEDIMENTAIS .................................................................................. 48
5.2.1.
Perfis qualificados ............................................................................................ 48

4/68
5.2.2.
Nmero de pessoas necessrio por tarefa ........................................................ 49
5.2.3.
Identificao e autenticao para cada perfil .................................................. 50
5.3. CONTROLES DE PESSOAL ........................................................................................... 50
5.3.1.
Antecedentes, qualificao, experincia e requisitos de idoneidade ............... 50
5.3.2.
Procedimentos de verificao de antecedentes ................................................ 50
5.3.3.
Requisitos de treinamento ................................................................................ 51
5.3.4.
Freqncia e requisitos para reciclagem tcnica ............................................ 51
5.3.5.
Freqncia e seqncia de rodzio de cargos .................................................. 51
5.3.6.
Sanes para aes no autorizadas................................................................ 51
5.3.7.
Requisitos para contratao de pessoal ........................................................... 52
5.3.8.
Documentao fornecida ao pessoal................................................................ 52
6.
CONTROLES TCNICOS DE SEGURANA .......................................................... 53

6.1. GERAO E INSTALAO DO PAR DE CHAVES .......................................................... 53
6.1.1.
Gerao do par de chaves ................................................................................ 53
6.1.2.
Entrega da chave privada entidade titular .................................................... 53
6.1.3.
Entrega da chave pblica para emissor de certificado .................................... 53
6.1.4.
Disponibilizao de chave pblica da AC para usurios ................................ 54
6.1.5.
Tamanhos de chave .......................................................................................... 54
6.1.6.
Gerao de parmetros de chaves assimtricas .............................................. 54
6.1.7.
Verificao da qualidade dos parmetros ....................................................... 54
6.1.8.
Gerao de chave por hardware ou software .................................................. 54
6.1.9.
Propsitos de uso de chave (conforme o campo key usage na X.509 v3).... 55
6.2. PROTEO DA CHAVE PRIVADA ................................................................................ 55
6.2.1.
Padres para mdulo criptogrfico ................................................................. 55
6.2.2.
Controle n de m para chave privada............................................................ 56
6.2.3.
Recuperao (escrow) de chave privada.......................................................... 56
6.2.4.
Cpia de segurana (backup) de chave privada .............................................. 56
6.2.5.
Arquivamento de chave privada ....................................................................... 56
6.2.6.
Insero de chave privada em mdulo criptogrfico ....................................... 57
6.2.7.
Mtodo de ativao de chave privada .............................................................. 57
6.2.8.
Mtodo de desativao de chave privada ........................................................ 57
6.2.9.
Mtodo de destruio de chave privada ........................................................... 58
6.3. OUTROS ASPECTOS DO GERENCIAMENTO DO PAR DE CHAVES .................................. 58
6.3.1.
Arquivamento de chave pblica ....................................................................... 58
6.3.2.
Perodos de uso para as chaves pblica e privada .......................................... 58
6.4. DADOS DE ATIVAO ................................................................................................ 59
6.4.1.
Gerao e instalao dos dados de ativao ................................................... 59
6.4.2.
Proteo dos dados de ativao ....................................................................... 59
6.4.3.
Outros aspectos dos dados de ativao ............................................................ 59
6.5. CONTROLES DE SEGURANA COMPUTACIONAL......................................................... 59
6.5.1.
Requisitos tcnicos especficos de segurana computacional .......................... 59
6.5.2.
Classificao da segurana computacional ..................................................... 60
6.5.3.
Controles de Segurana para as Autoridades de Registro .............................. 60
6.6. CONTROLES TCNICOS DO CICLO DE VIDA ................................................................ 62
6.6.1.
Controles de desenvolvimento de sistema ........................................................ 62
6.6.2.
Controles de gerenciamento de segurana ...................................................... 62
6.6.3.
Classificaes de segurana de ciclo de vida .................................................. 62

5/68
6.6.4.
Controles na Gerao de LCR ......................................................................... 63
6.7. CONTROLES DE SEGURANA DE REDE ....................................................................... 63
6.7.1.
Diretrizes Gerais .............................................................................................. 63
6.7.2.
Firewall ............................................................................................................ 63
6.7.3.
Sistema de deteco de intruso (IDS) ............................................................. 64
6.7.4.
Registro de acessos no-autorizados rede .................................................... 64
6.8. CONTROLES DE ENGENHARIA DO MDULO CRIPTOGRFICO..................................... 64
7.
PERFIS DE CERTIFICADO E LCR ........................................................................... 64

7.1. DIRETRIZES GERAIS ................................................................................................... 64
7.2. PERFIL DO CERTIFICADO ........................................................................................... 65
7.2.1.
Nmero de verso ............................................................................................. 65
7.2.2.
Extenses de certificado ................................................................................... 65
7.2.3.
Identificadores de algoritmo ............................................................................ 65
7.2.4.
Formatos de nome ............................................................................................ 65
7.2.5.
Restries de nome ........................................................................................... 65
7.2.6.
OID (Object Identifier) de DPC ....................................................................... 65
7.2.7.
Uso da extenso Policy Constraints ............................................................ 65
7.2.8.
Sintaxe e semntica dos qualificadores de poltica .......................................... 65
7.2.9.
Semntica de processamento para extenses crticas ...................................... 65
7.3. PERFIL DE LCR.......................................................................................................... 66
7.3.1.
Nmero(s) de verso ......................................................................................... 66
7.3.2.
Extenses de LCR e de suas entradas .............................................................. 66
8.
ADMINISTRAO DE ESPECIFICAO .............................................................. 66

8.1.
8.2.
8.3.
9.
PROCEDIMENTOS DE MUDANA DE ESPECIFICAO ................................................... 66

POLTICAS DE PUBLICAO E NOTIFICAO .............................................................. 66
PROCEDIMENTOS DE APROVAO .............................................................................. 67
DOCUMENTOS REFERENCIADOS ......................................................................... 67

6/68
DECLARAO DE PRTICAS DE CERTIFICAO DA AUTORIDADE CERTIFICADORA

INSTITUTO FENACON para a Receita Federal do Brasil
1.
INTRODUO
1.1. Viso Geral

1.1.1. Esta Declarao de Prticas de Certificao (DPC) descreve as prticas e os
procedimentos empregados pela Autoridade Certificadora Instituto Fenacon para a Secretaria
da Receita Federal do Brasil (AC Instituto Fenacon RFB) integrante na Infra-estrutura de
Chaves Pblicas Brasileira (ICP-Brasil) na execuo dos seus servios de certificao digital.
1.1.2. A estrutura desta DPC est baseada no DOC-ICP-05 do Comit Gestor da ICP-Brasil
Requisitos Mnimos para as Declaraes de Prtica de Certificao das Autoridades
Certificadoras da ICP-Brasil. As referncias a formulrios presentes nesta DPC devero ser
entendidas tambm como referncias a outras formas que a AC Instituto Fenacon RFB ou
entidades a ela vinculadas possa vir a adotar.
1.1.3. A AC Instituto Fenacon RFB est certificada em nvel imediatamente subseqente ao
da Autoridade Certificadora da Secretaria da Receita Federal do Brasil (AC-RFB) certificada
pela AC Raiz da ICP-Brasil. O certificado da AC Instituto Fenacon RFB contm a chave pblica
correspondente sua chave privada, utilizada para assinar os certificados de assinatura A1,
A3, A4 e para assinar a sua Lista de Certificados Revogados (LCR).
1.1.4. Para regulamentar usos especficos dos certificados emitidos pela a AC Instituto
Fenacon RFB so publicadas Polticas de Certificado disponveis em pgina web (http://icpbrasil.acfenacon.com.br/repositorio/AC-Instituto-Fenacon-RFB/index.htm).
1.2. Identificao
Esta DPC chamada Declarao de Prticas de Certificao da Autoridade Certificadora
Instituto Fenacon para a Receita Federal do Brasil e referida como "DPC da AC Instituto
Fenacon RFB", cujo OID (object identifier) 2.16.76.1.1.41.
1.3. Comunidade e Aplicabilidade
1.3.1. Autoridades Certificadoras
Esta DPC refere-se Autoridade Certificadora Habilitada - ACH, AC Instituto Fenacon
RFB, no mbito da ICP-Brasil.

7/68
1.3.2. Autoridades de Registro

1.3.2.1. Os dados a seguir, referentes s Autoridades de Registro AR utilizadas pela
AC
Instituto
Fenacon
RFB
para
os
processos
de
recebimento,
validao
encaminhamento de solicitaes de emisso ou de revogao de certificados digitais e

de identificao de seus solicitantes, so publicados em servio de diretrio e/ou em
pgina
web
da
AC
Instituto
Fenacon
RFB
(http://icp-
brasil.acfenacon.com.br/repositorio/AC-Instituto-Fenacon-RFB/index.htm):
a) relao de todas as AR credenciadas, com informaes sobre as PC que
implementam.
b) para cada AR credenciada, os endereos de todas as instalaes tcnicas,
autorizadas pela AC Raiz a funcionar;
c)
para cada AR credenciada, relao de eventuais postos provisrios autorizados pela

AC Raiz a funcionar, com data de criao e encerramento de atividades;
d) relao de AR que tenham se descredenciado da cadeia da AC Instituto Fenacon

RFB, com respectiva data do descredenciamento;
e) relao de instalaes tcnicas de AR credenciada que tenham deixado de operar,
com respectiva data de encerramento das atividades;
f)
acordos operacionais celebrados pelas AR vinculadas com outras AR da ICP-Brasil,

se for o caso.
1.3.2.2. A AC Instituto Fenacon RFB mantm as informaes acima sempre

atualizadas.
1.3.3. Prestador de Servio de Suporte
1.3.3.1. A relao de todos os Prestadores de Servio de Suporte PSS vinculados
diretamente a AC Instituto Fenacon RFB e/ou por intermdio de suas AR publicada
em servio de diretrio e/ou em pgina web da AC Instituto Fenacon RFB (http://icpbrasil.acfenacon.com.br/repositorio/AC-Instituto-Fenacon-RFB/index.htm).
1.3.3.2. PSS so entidades utilizadas pela AC e/ou suas AR para desempenhar
atividade descrita nesta DPC ou nas PC e se classificam em trs categorias, conforme o
tipo de atividade prestada:
a) disponibilizao de infra-estrutura fsica e lgica;
b) disponibilizao de recursos humanos especializados; ou
c)
disponibilizao de infra-estrutura fsica e lgica e de recursos humanos

especializados.
1.3.3.3. A AC Instituto Fenacon RFB mantm as informaes acima sempre

atualizadas.

8/68
1.3.4. Titulares de Certificado

Pessoas fsicas ou jurdicas inscritas no CPF ou no CNPJ podem ser Titulares de
Certificado e-CPF ou e-CNPJ Tipo A1, Tipo A3 e Tipo A4, desde que no enquadradas
na situao cadastral de CANCELADA (pessoa fsica) ou na condio de INAPTA,
SUSPENSA ou CANCELADA (pessoa jurdica), conforme o disposto nos incisos I e II do
art. 6 da Instruo Normativa RFB n 222, de 11 de Outubro de 2002.
No caso de certificado emitido para equipamento ou aplicao, o titular ser a pessoa
jurdica solicitante do certificado.
No caso de certificado emitido para pessoa jurdica, designada pessoa fsica como
responsvel pelo certificado, que ser a detentora da chave privada. Obrigatoriamente,
o Responsvel pelo certificado o mesmo responsvel pela pessoa jurdica cadastrado
no CNPJ da RFB.
1.3.5. Aplicabilidade
A AC Instituto Fenacon RFB implementa as seguintes Polticas de Certificado Digital:
Para Certificados de Assinatura Digital:
Poltica de Certificado de Assinatura Digital Tipo A1 da Autoridade Certificadora
Instituto Fenacon para Receita Federal do Brasil (RFB), PC A1 da AC Instituto Fenacon
RFB OID 2.16.76.1.2.1.34;
RFB, OID 2.16.76.1.2.3.33;

RFB, OID 2.16.76.1.2.4.14;
Nas PC correspondentes esto relacionadas as aplicaes para as quais so adequados
os certificados emitidos pela AC Instituto Fenacon RFB e, quando cabveis, as
aplicaes para as quais existam restries ou proibies para o uso desses
certificados.
1.4. Dados de Contato

Nome: Instituto Fenacon
Endereo: ST SH/SUL, QD 06, Conjunto A, Bloco C - 11 Andar, Sls1102, 1103, 1104,
1105, 1106, 1107,1108 Braslia - DF
Nome: Jeferson da Costa Fernandes
Telefone:
(61) 3326-3180
E-mail: jfernandes@acfenacon.com.br

9/68
2.
DISPOSIES GERAIS
2.1. Obrigaes e Direitos
Nos itens a seguir esto descritas as obrigaes gerais das entidades envolvidas. Os
requisitos especficos associados a essas obrigaes esto detalhados nas PC implementadas
pela AC Instituto Fenacon RFB.
2.1.1.
Obrigaes da AC Instituto Fenacon RFB
a) operar de acordo com esta DPC e com as PC que implementa;

b) gerar e gerenciar seus pares de chaves criptogrficas;
c)
assegurar a proteo de suas chaves privadas;
d) notificar
AC
RFB,
emitente
do
seu
certificado,
quando
ocorrer
comprometimento de sua chave privada e solicitar a imediata revogao desse

certificado.
e) notificar os usurios quando ocorrer suspeita de comprometimento da chave
privada da AC Instituto Fenacon RFB, emisso de novo par de chaves e
correspondente certificado ou o encerramento de suas atividades;
f)
distribuir seu prprio certificado;
g) emitir, expedir e distribuir os certificados de AR vinculadas e de usurios finais;

h) informar a emisso do certificado ao respectivo solicitante;
i)
revogar os certificados emitidos;
j)
emitir, gerenciar e publicar sua LCR e quando aplicvel, disponibilizar consulta

online de situao do certificado (OCSP Online Certificate Status Protocol);
k) publicar em sua pgina web esta DPC da AC Instituto Fenacon RFB e as PC que
implementa;
l)
publicar em sua pgina web as informaes descritas no item 2.6.1.2 desta

DPC;
m) publicar em sua pgina web informaes sobre o descredenciamento de AR

bem como sobre extino de instalao tcnica;
n) utilizar protocolo de comunicao seguro ao disponibilizar servios para os
solicitantes ou usurios de certificados digitais via web;
o) identificar e registrar todas as aes executadas, conforme as normas, prticas
e regras estabelecidas pelo CG da ICP-Brasil;
p) adotar as medidas de segurana e controle previstas nesta DPC da AC Instituto
Fenacon RFB, nas PC e Poltica de Segurana da AC Instituto Fenacon RFB que
implementar , envolvendo seus processos, procedimentos e atividades,
observadas as normas, critrios, prticas e procedimentos da ICP-Brasil;
q) manter a conformidade dos seus processos, procedimentos e atividades com as
normas, prticas e regras da ICP-Brasil e com a legislao vigente;
10/68
r)
manter e garantir a integridade, o sigilo e a segurana da informao por ela

tratada;
s)
manter e testar regularmente seu Plano de Continuidade do Negcio;
t)
manter contrato de seguro de cobertura de responsabilidade civil decorrente

das atividades de certificao digital e de registro, com cobertura suficiente e
compatvel com o risco dessas atividades;
u) informar terceira parte e titulares de certificado acerca das garantias,

coberturas, condicionantes e limitaes estipuladas pela aplice de seguro de
responsabilidade civil contratada pela AC Instituto Fenacon RFB;
v) informar AC Raiz, mensalmente, a quantidade de certificados digitais
emitidos;
w) no emitir certificado com prazo de validade que se estenda alm do prazo de
validade de seu prprio certificado;
x) fiscalizar e auditorar as AR vinculadas e os prestadores de servio que lhe
sejam vinculados, em conformidade com as polticas, normas e procedimentos
da ICP-Brasil; e
y) tomar as medidas cabveis para assegurar que usurios e demais entidades
envolvidas tenham conhecimento de seus respectivos direitos e obrigaes.
z)
manter na internet lista disponvel e atualizada dos certificados e-CPF e e-CNPJ

emitidos;
aa) disponibilizar diariamente para a RFB a lista atualizada dos certificados

emitidos;
bb) disponibilizar, na internet, mecanismo que permita aos usurios verificar a
correta instalao dos certificados em seus equipamentos;
cc) contratar auditoria independente 3 meses aps o incio das atividades como
ACH;
dd) contratar auditoria independente a cada 12 meses, com a finalidade de verificar
o correto exerccio das atividades como ACH;
2.1.2. Obrigaes das AR.

a) receber solicitaes de emisso ou de revogao de certificados;
b) confirmar a identidade do solicitante e a validade da solicitao;
c)
encaminhar as solicitaes de emisso ou de revogao de certificados AC

Instituto Fenacon RFB utilizando protocolo de comunicao seguro, conforme
padro definido no documento CARACTERSTICAS MNIMAS DE SEGURANA
PARA AS AR DA ICP-BRASIL [1];
d) informar os titulares de certificado a emisso ou a revogao de seus

certificados;
e) disponibilizar os certificados emitidos pela AC Instituto Fenacon RFB aos seus
respectivos solicitantes;
11/68
f)
identificar e registrar todas as aes executadas, conforme as normas, prticas

e regras estabelecidas pelo CG da ICP Brasil;
g) manter a conformidade dos seus processos, procedimentos e atividades com as

normas, critrios, prticas e regras estabelecidas pela AC Instituto Fenacon
RFB
pela
ICP-Brasil,
em
especial
com
contido
no
documento
CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA ICP-BRASIL [1];

h) manter e garantir a segurana da informao por elas tratada, de acordo com o
estabelecido nas normas, critrios, prticas e procedimentos da ICP -Brasil;
i)
manter e testar anualmente seu Plano de Continuidade do Negcio PCN;
j)
proceder o reconhecimento das assinaturas e da validade dos documentos

apresentados na forma dos itens 3.1.9, 3.1.10 e 3.1.11;
k) garantir que todas as aprovaes de solicitao de certificados sejam realizadas

em
instalaes
tcnicas
autorizadas
funcionar
como
AR
vinculadas
credenciadas; e
l)
obedecer estritamente a esta DPC da AC Instituto Fenacon RFB e s PC

aplicveis, bem como respeitar a legislao aplicvel, incluindo as regras
definidas pelo CG da ICP-Brasil.
m) notificar os titulares, com antecedncia mnima de 30 (trinta) dias, a expirao

da validade dos certificados.
2.1.3. Obrigaes do Titular do Certificado
a) fornecer, de modo completo e preciso, todas as informaes necessrias para
sua identificao;
b) garantir a proteo e o sigilo de suas chaves privadas, senhas e dispositivos
criptogrficos;
c)
utilizar os seus certificados e chaves privadas de modo apropriado, conforme o

previsto na PC correspondente;
d) conhecer os seus direitos e obrigaes contemplados por esta DPC, pela PC

correspondente e por outros documentos aplicveis da ICP-Brasil;
e) informar AC Instituto Fenacon RFB o comprometimento ou suspeita de
comprometimento de sua chave privada e solicitar a imediata revogao do
certificado correspondente;
f)
apresentao
dos
originais
fornecimento
de
cpias
autnticas
dos
documentos que forem exigidos para emisso do certificado;

g) verificar, no momento da aceitao do certificado, a veracidade e exatido das
informaes contidas no seu certificado e notificar a AC Instituto Fenacon RFB,
solicitando a imediata revogao do certificado que contiver inexatides ou
erros; e
h) obedecer estritamente a esta DPC da AC Instituto Fenacon RFB e s PC
aplicveis, bem como respeitar a legislao aplicvel, incluindo as regras

12/68
definidas pelo CG da ICP-Brasil e as obrigaes contratuais assumidas perante

AC Instituto Fenacon RFB e AR.
i)
utilizar,
obrigatoriamente,
senha
para
proteo
da
chave
privada
dos
certificados e-CPF e e-CNPJ

j)
Arcar com os custos de emisso do certificado;
k)
Responsabilizar-se por todos os atos praticados perante a RFB utilizando o

referido certificado e sua correspondente chave privada.
Em caso de certificados emitidos para pessoas jurdicas, equipamento ou aplicao,

estas obrigaes se aplicam ao responsvel pelo uso do certificado.
2.1.4. Direitos da Terceira Parte (Relying Party)

2.1.4.1. Considera-se terceira parte, a parte que confia no teor, validade e
aplicabilidade do certificado digital.
2.1.4.2. Constitui direito da terceira parte:
a) recusar a utilizao do certificado para fins diversos dos previstos na PC
correspondente;
b) verificar, a qualquer tempo, a validade do certificado.
Um certificado emitido pela AC Instituto Fenacon RFB considerado vlido quando:
a) no constar da LCR da AC Instituto Fenacon RFB;
b) no estiver expirado; e
c)
sua validade puder ser verificada atravs de certificado vlido da AC Instituto

Fenacon RFB.
2.1.4.3. O no exerccio desse direito no afasta a responsabilidade da AC Instituto

Fenacon RFB e do titular do certificado.
2.1.5. Obrigaes do Repositrio
a) disponibilizar, logo aps a sua emisso, os certificados emitidos pela AC
Instituto Fenacon RFB e sua LCR;
b) estar disponvel para consulta durante 24 (vinte e quatro) horas por dia, 7
(sete) dias por semana;
c)
implementar os recursos necessrios para a segurana dos dados nele

armazenados; e
d) disponibilizar verificao on-line do status do certificado ou outro mecanismo

de atualizao de status aprovado pela ICP-Brasil, quando aplicvel por fora
de contratao especfica;

13/68
2.2. Responsabilidades
2.2.1. Responsabilidades da AC Instituto Fenacon RFB
2.2.1.1. A AC Instituto Fenacon RFB responde pelos danos a que der causa.
2.2.1.2. A AC Instituto Fenacon RFB responde solidariamente pelos atos das entidades
de sua cadeia de certificao: AR e PSS.
2.2.2. Responsabilidades das AR
A AR responsvel pelos danos a que der causa.
2.3. Responsabilidade Financeira
2.3.1.
Indenizaes devidas pela terceira parte(Relying Party)
A terceira parte responde perante a AC Instituto Fenacon RFB e ARs vinculadas apenas
pelos prejuzos a que der causa com a prtica de ato ilcito, nos termos da legislao
vigente.
2.3.2.
Relaes Fiducirias
A AC Instituto Fenacon RFB ou sua AR vinculada indeniza integralmente os prejuzos

que, comprovadamente, der causa, quando o Titular do Certificado for pessoa fsica .
Em caso de o Titular do Certificado ser pessoa jurdica, a poltica de indenizaes da AC
Instituto Fenacon RFB e de suas AR vinculadas, pelos danos a que, comprovadamente,
derem causa, prev o pagamento de indenizao correspondente 20 (vinte) vezes o
valor do certificado, ou a R$ 40.000,00, o que for menor.
As indenizaes da AC Instituto Fenacon RFB e de suas AR vinculadas cobrem perdas e
danos decorrentes de comprometimento da chave privada da AC Instituto Fenacon
RFB, de erro na identificao do titular, de emisso defeituosa do certificado ou de
erros ou omisses da AC Instituto Fenacon RFB ou das AR vinculadas.
2.3.3. Processos Administrativos

O titular do certificado que sofrer perdas e danos decorrentes do uso do certificado
Digital emitido pela AC Instituto Fenacon RFB tem o direito de comunicar AC Instituto
Fenacon RFB que deseja a indenizao prevista no item 2.3.2 acima, observadas as
seguintes condies:
a) nos casos de perdas e danos decorrentes de comprometimento da chave
privada da AC Instituto Fenacon RFB, tal comprometimento dever ter sido
comprovado por percia realizada por perito especializado e independente;
b) nos casos de erro na identificao, o titular do certificado no pode requerer
qualquer
indenizao
quando
os
dados
constantes
no
certificado
corresponderem aos dados fornecidos por esse titular AC Instituto Fenacon

RFB ou AR Instituto Fenacon RFB;
14/68
c)
nos casos de erro na transcrio, o titular do certificado no pode requerer

qualquer indenizao quando houver aceitado o certificado.
2.4. Interpretao e Execuo

2.4.1. Legislao
Esta DPC regida pela Medida Provisria n 2.200-02, pelas Resolues do Comit
Gestor da ICP-Brasil, bem como pelas demais leis em vigor no Brasil.
2.4.2. Forma de interpretao e notificao
2.4.2.1. Na hiptese de uma ou mais disposies desta DPC ser, por qualquer razo,
considerada invlida, ilegal, ou conflituosa com norma da ICP-Brasil, a inaplicabilidade
no afeta as demais disposies, sendo esta DPC interpretada, ento, como se no
contivesse tal disposio e, na medida do possvel, interpretada para manter a inteno
original da DPC. Nesse caso, o Grupo de Prticas e Polticas da AC Instituto Fenacon RFB
examinar a disposio invlida e propor nova redao ou retirada da disposio
afetada, na forma do item 8 desta DPC.
2.4.2.2. As notificaes ou qualquer outra comunicao necessria, relativas s
prticas descritas nesta DPC, so feitas atravs de mensagem eletrnica assinada
digitalmente, com chave pblica certificada pela ICP-Brasil, ou por escrito e entregue
AC Instituto Fenacon RFB.
2.4.2.3. A DPC da AC Instituto Fenacon RFB na ICP-Brasil, no prevalece sobre as
normas, critrios, prticas e procedimentos da ICP-Brasil.
2.4.3. Procedimentos da soluo de disputa
2.4.3.1. Em caso de conflito entre esta DPC da AC Instituto Fenacon RFB, as PC que
implementa ou outros documentos que a AC Instituto Fenacon RFB adotar, prevalece o
disposto nesta DPC. O contrato para emisso de certificados poder criar obrigaes
especficas, limitar o uso dos certificados ou restringir valores de transaes
comerciais, desde que respeitados os direitos previstos nesta DPC.
2.4.3.2. Esta DPC da AC Instituto Fenacon RFB no prevalece sobre as normas,
critrios, prticas e procedimentos da ICP-Brasil.
2.4.3.3. Casos omissos devero ser encaminhados para apreciao da AC Raiz.
2.5. Tarifas de Servio
2.5.1. Tarifas de emisso e renovao de certificados
Varivel conforme definio interna Comercial.
2.5.2. Tarifas de acesso ao certificado
No so cobradas tarifas de acesso ao certificado digital emitido.
15/68
2.5.3. Tarifas de revogao ou de acesso informao de status

No so cobradas tarifas de revogao e de acesso informao de status.
2.5.4. Tarifas para outros servios

No so cobradas tarifas de acesso informao de status do certificado e LCR, bem
assim, tarifas de revogao e de acesso aos certificados emitidos.
2.5.5. Poltica de reembolso

Em caso de revogao do certificado por motivo de comprometimento da chave privada
ou da mdia armazenadora da chave privada da AC Instituto Fenacon RFB, ou ainda
quando constatada a emisso imprpria ou defeituosa, imputvel AC Instituto
Fenacon RFB, ser emitido gratuitamente outro certificado em substituio.
2.6. Publicao e Repositrio

2.6.1. Publicao de informao da AC Instituto Fenacon RFB
2.6.1.1. As informaes descritas abaixo so publicadas em servio de diretrio e/ou
em
pgina
web
da
AC
Instituto
Fenacon
RFB
(http://icp-
brasil.acfenacon.com.br/repositorio/dpc/AC-Instituto-FenaconRFB/DPC_AC_IFenacon_RFB.pdf), obedecendo as regras e os critrios estabelecidos

nesta DPC.
A disponibilidade das informaes publicadas pela AC Instituto Fenacon RFB em servio
de diretrio e/ou pgina web de 99,5% (noventa e nove virgulo cinco por cento) do
ms, 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana.
2.6.1.2. As seguintes informaes so publicadas em servio de diretrio e/ou em
pgina
web
da
AC
Instituto
Fenacon
RFB
(http://icp-
brasil.acfenacon.com.br/repositorio/AC-Instituto-Fenacon-RFB/index.htm):
a) seus prprio certificado;
b) suas LCR;
c)
esta DPC;
d) as PC que implementa;
e) uma relao, regularmente atualizada, contendo as AR vinculadas e seus
respectivos endereos de instalaes tcnicas em funcionamento;

16/68
f)
uma relao, regularmente
atualizada, das AR vinculadas
que
tenham
celebrado acordos operacionais com outras AR da ICP-Brasil, contendo

informaes sobre os pontos do acordo que sejam de interesse dos titulares e
solicitantes de certificado; e
g) uma relao, regularmente atualizada, dos PSS vinculados.

2.6.2. Freqncia de publicao
Certificados so publicados imediatamente aps sua emisso. A publicao da LCR se
d conforme o item 4.4.9 da PC correspondente. As verses ou alteraes desta DPC e
da PC, assim como os endereos das instalaes tcnicas das AR vinculadas, so
atualizadas no web site da AC Instituto Fenacon RFB aps aprovao da AC Raiz da
ICP-Brasil.
2.6.3. Controles de acesso
No h qualquer restrio ao acesso para consulta a esta DPC, lista de certificados
emitidos, LCR da AC Instituto Fenacon RFB, s PC implementadas e aos endereos
das instalaes tcnicas das AR vinculadas.
So utilizados controles de acesso fsico e lgico para restringir a possibilidade de
escrita ou modificao desses documentos ou desta lista por pessoal no-autorizado. A
mquina que armazena as informaes acima se encontra em nvel 4 de segurana
fsica e requer uma senha de acesso.
2.6.4. Repositrios
O repositrio da AC Instituto Fenacon RFB
est disponvel para consulta durante
99,5% (noventa e nove vrgula cinco por cento) do ms, 24 (vinte e quatro) horas por
dia, 7 (sete) dias por semana e pode ser encontrado na pgina Web (http://icpbrasil.acfenacon.com.br/repositorio/AC-Instituto-Fenacon-RFB/index.htm).
As publicaes da AC Instituto Fenacon RFB podem ser consultadas atravs do protocolo
http.
Somente a AC Instituto Fenacon RFB, por seus funcionrios qualificados e designados
especialmente para esse fim, pode efetuar a atualizaes nas informaes por ela
publicadas no seu repositrio.
2.7. Fiscalizao e Auditoria de Conformidade
2.7.1. As fiscalizaes e auditorias realizadas no mbito da ICP-Brasil tm por objetivo
verificar se os processos, procedimentos e atividades das entidades integrantes da ICP-Brasil
esto em conformidade com suas respectivas DPC, PC, Poltica de Segurana e demais
normas e procedimentos estabelecidos pela ICP-Brasil.

17/68
2.7.2. As fiscalizaes das entidades integrantes da ICP-Brasil so realizadas pela AC Raiz,

por meio de servidores de seu quadro prprio, a qualquer tempo, sem aviso prvio,
observando o disposto no documento CRITRIOS E PROCEDIMENTOS PARA FISCALIZAO
DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [2].
2.7.3. Com exceo da auditoria da prpria AC Raiz, que de responsabilidade do CG da
ICP-Brasil, as auditorias das entidades integrantes da ICP-Brasil so realizadas pela AC Raiz,
por meio de servidores de seu quadro prprio, ou por terceiros por ela autorizados,
observado o disposto no documento CRITRIOS E PROCEDIMENTOS PARA REALIZAO DE
AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICPBRASIL [3].
2.7.4. A AC Instituto Fenacon RFB recebeu auditoria prvia da AC Raiz para fins de
credenciamento na ICP-Brasil e auditada anualmente, para fins de manuteno do
credenciamento, com base no disposto no documento CRITRIOS E PROCEDIMENTOS PARA
REALIZAO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICPBRASIL [3]. Esse
documento trata do objetivo, freqncia e abrangncia das auditorias, da identidade e
qualificao do auditor e demais temas correlacionados.
2.7.5. As entidades da ICP-Brasil diretamente vinculadas a AC Instituto Fenacon RFB AR e
PSS, tambm receberam auditoria prvia, para fins de credenciamento, e a AC Instituto
Fenacon RFB responsvel pela realizao de auditorias anuais nessas entidades, para fins
de manuteno de credenciamento, conforme disposto no documento citado no pargrafo
anterior.
2.8. Sigilo
2.8.1. Disposies gerais
2.8.1.1. AC Instituto Fenacon RFB gera e mantm sua chave privada, sendo
responsvel pelo seu sigilo. A divulgao ou utilizao indevida da sua chave privada
de sua inteira responsabilidade.
2.8.1.2. O titular ou o responsvel pelo certificado de assinatura digital, em caso de
pessoa jurdica, emitidos pela AC Instituto Fenacon RFB responsvel pela gerao,
manuteno e sigilo de suas respectivas chaves privadas bem como pela divulgao ou
utilizao indevida dessas chaves.
2.8.1.3. No intuito de preservar o sigilo da sua chave privada o titular pelo certificado
deve tomar todas as medidas para a proteo da mesma.
O sigilo da chave privada do certificado garantido atravs de senha de acesso
chave privada. Esta senha ser definida pelo usurio no momento da instalao do
certificado. A criao e utilizao dessa senha para acesso aplicao so de
responsabilidade do usurio.

18/68
O Titular pelo Certificado deve observar procedimentos bsicos de segurana, tais

como:
1) Nunca fornecer a senha a terceiros;
2) Utilizar senha de, no mnimo, 8 caracteres;
3) No utilizar senha fraca ou bvia, conforme definido na Poltica de Segurana da AC
Instituto Fenacon RFB, item 5.1.1.11;
4) Montar senha com caractere numricos e alfanumricos;
5) Memorizar a senha e no escrev-la.
6) Guardar a mdia principal e cpia de segurana em lugar seguro.
2.8.2. Tipos de informaes sigilosas
2.8.2.1. Como princpio geral, todo documento, informao ou registro fornecido AC
ou s AR sigiloso.
2.8.2.2. Nenhum documento, informao ou registro fornecido pelos titulares de
certificado AC Instituto Fenacon RFB ser divulgado.
2.8.3. Tipos de informaes no-sigilosas
As informaes consideradas no-sigilosas compreendem:
a) os certificados e a LCR emitidos pela AC Instituto Fenacon RFB;
b) informaes corporativas ou pessoais que constem no certificados ou em
diretrios pblicos;
c)
a PC correspondente;
d) esta DPC;
e) verses pblicas de Polticas de Segurana;
f)
resultados finais de auditorias; e
g) Termo de Titularidade ou solicitao de emisso do certificado.
A AC Instituto Fenacon RFB e a AR a ela vinculada tratam como confidenciais os dados

fornecidos pelo solicitante que no constem no certificado. Contudo, tais dados no so
considerados confidenciais quando:
a) estejam na posse legtima da AC Instituto Fenacon RFB ou da AR a ela vinculada
antes
de
seu
fornecimento
pelo
solicitante
ou
solicitante
autorize
formalmente a sua divulgao;

b) posteriormente ao seu fornecimento pelo solicitante, sejam obtidos ou possam
ter sido obtidos legalmente de terceiro(s) com direitos legtimos para
divulgao sua sem quaisquer restries para tal;

19/68
c) sejam requisitados por determinao judicial ou governamental, desde que a AC

Instituto Fenacon RFB ou a AR a ela vinculada comunique previamente, se
possvel e de imediato ao solicitante, a existncia de tal determinao.
Os motivos que justificaram a no emisso de um certificado so mantidos
confidenciais pela AC Instituto Fenacon RFB e pela AR a ela vinculada, exceto na
hiptese da alnea "c" acima, ou quando o solicitante requerer ou autorizar
expressamente a sua divulgao a terceiros.
2.8.4. Divulgao de informao de revogao ou suspenso de certificado
2.8.4.1. Informaes sobre revogao de certificados emitidos pela AC Instituto
Fenacon RFB so fornecidas em sua LCR ou atravs de OCSP.
2.8.4.2. A razo para a revogao de certificado informada ao titular do certificado e
ser tornada pblica, desde que autorizada a divulgao pelo mesmo.
2.8.4.3. A suspenso de certificados no admitida na ICP-Brasil.
2.8.5. Quebra de sigilo por motivos legais
A AC Instituto Fenacon RFB fornecer, mediante ordem judicial ou por determinao
legal, documentos, informaes ou registros sob sua guarda.
2.8.6. Informaes a terceiros
Nenhum documento, informao ou registro sob a guarda da AC Instituto Fenacon RFB
fornecido a qualquer pessoa, exceto quando a pessoa que requerer, atravs de instrumento
devidamente constitudo, estiver corretamente identificada e autorizada para faz-lo.
2.8.7. Divulgao por solicitao do Titular
2.8.7.1. O titular de certificado e seu representante legal tm acesso a quaisquer dos
seus prprios dados e identificaes e podem autorizar a divulgao de seus registros.
2.8.7.2. Autorizaes podem ser apresentadas de duas formas:
a) por meio eletrnico, contendo assinatura vlida garantida por certificado do
mesmo tipo ou superior emitido na ICP-Brasil;
b) por solicitao escrita, com firma reconhecida.
Nenhuma liberao de informao permitida sem autorizao numa das formas acima,
exceto nos casos do item 2.8.5.
2.8.8. Outras circunstncias de divulgao de informao
No se aplica.

20/68
2.9. Direitos de Propriedade Intelectual

A AC Instituto Fenacon RFB ou sua licenciante VeriSign, Inc. detm todos os direitos de
propriedade intelectual sobre as idias, conceitos, tcnicas e invenes, processos e/ou
obras, includas ou utilizadas nos produtos e servios fornecidos por AC Instituto
Fenacon RFB nos termos dessa DPC.
Os Direitos de Propriedade tero proteo conforme a legislao aplicvel.
O titular de certificado emitido pela AC Instituto Fenacon RFB concede AC-RFB e AC
Instituto Fenacon RFB o direito de publicar e divulgar em pgina web, a chave pblica
contida no certificado, correspondente chave privada que esta sob sua posse .
3.
IDENTIFICAO E AUTENTICAO
3.1. Registro Inicial
3.1.1. Disposies Gerais
3.1.1.1. Neste item e nos itens seguintes esto descritos em detalhes os requisitos e
procedimentos utilizados pelas AR vinculadas a AC Instituto Fenacon RFB para a
realizao dos seguintes processos:
a) Validao da solicitao de certificado compreende as etapas abaixo, realizadas
mediante a presena fsica do interessado, com base nos documentos de identificao
citados nos itens 3.1.9, 3.1.10 e 3.1.11:
i. confirmao da identidade de um individuo: comprovao de que a pessoa que se
apresenta como titular do certificado de pessoa fsica realmente aquela cujos dados
constam na documentao apresentada, vedada qualquer espcie de procurao para
tal fim. No caso de pessoa jurdica, comprovar que a pessoa fsica que se apresenta
como responsvel pelo uso do certificado ou como representante legal realmente
aquela cujos dados constam na documentao apresentada, admitida a procurao
apenas se o ato constitutivo prever expressamente tal possibilidade, devendo-se, para
tanto, revestir-se da forma pblica com poderes especficos para atuar perante a ICPBrasil;
ii.
confirmao da identidade de uma organizao: comprovao de que os
documentos apresentados referem se efetivamente pessoa jurdica titular do
certificado e de que a pessoa que se apresenta como representante legal da pessoa
jurdica realmente possui tal atribuio;
iii. emisso do certificado: conferncia dos dados da solicitao de certificado com os
constantes dos documentos apresentados e liberao da emisso do certificado no
sistema da AC;
iv. as etapas descritas acima podem ser realizadas por um ou mais agentes de
validao.

21/68
b) Verificao da solicitao de certificado confirmao da validao realizada,

observando que deve ser executada, obrigatoriamente:
i. por agente de registro distinto do que executou a etapa de validao;
ii. em uma das instalaes tcnicas da AR devidamente autorizadas a funcionar pela AC
Raiz;
iii. somente aps o recebimento, na instalao tcnica da AR, de cpia dos da
documentao apresentada na etapa de validao;
iv.
antes
do
incio
da
validade
do
certificado,
devendo
esse
ser
revogado
automaticamente caso a verificao no tenha ocorrido at o incio de sua validade.

3.1.1.2. O processo de validao pode ser realizado pelo agente de registro fora do
ambiente fsico da AR, desde que utilizado ambiente computacional auditvel e
devidamente registrado no inventrio de hardware e softwares da AR.
3.1.1.3. Todas as etapas dos processos de validao e verificao da solicitao de
certificado so registradas e assinadas digitalmente pelos executantes, na soluo de
certificao disponibilizada pela AC Instituto Fenacon RFB, com a utilizao de
certificado digital ICP-Brasil no mnimo do tipo A3. Tais registros so feitos de forma a
permitir a reconstituio completa dos processos executados, para fins de auditoria.
3.1.1.4. mantido arquivo com as cpias de todos os documentos utilizados para
confirmao da identidade de um indivduo. Tais cpias so mantidas em papel ou em
forma
digitalizada,
observadas
as
condies
definidas
no
documento
CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA ICPBRASIL [1].

3.1.1.5. Nos casos de certificado digital emitido para Servidores do Servio Exterior
Brasileiro, em misso permanente no exterior, assim caracterizados conforme a Lei n
11.440, de 29 de dezembro de 2006, se houver impedimentos para a identificao,
facultada a remessa da documentao pela mala diplomtica e a realizao da
identificao por outros meios seguros, aprovados pela AC-Raiz da ICP-Brasil.
3.1.1.6. No se Aplica
3.1.2. Tipos de nomes
O tipo de nome admitido para os titulares de certificados emitidos, segundo esta DPC,
o distinguished name do padro ITU X.500, endereos de correio eletrnico,
endereo de pgina Web (URL), ou outras informaes que permitam a identificao
unvoca do titular.O certificado emitido para pessoa jurdica inclui o nome da pessoa
fsica responsvel pelo seu uso.
3.1.2.2. No se aplica.
22/68
3.1.3. Necessidade de nomes significativos

Os certificados emitidos pela AC Instituto Fenacon RFB exigem o uso de nomes
significativos que possibilitam determinar univocamente a identidade da pessoa ou da
organizao titular do certificado.
3.1.4. Regras para interpretao de vrios tipos de nomes
No se aplica.
3.1.5. Unicidade de nomes
Esta DPC estabelece que identificadores do tipo "Distinguished Name" (DN) so nicos
para cada entidade titular de certificado emitido pela AC Instituto Fenacon RFB.
Para assegurar a unicidade do campo dos certificados e-CNPJ e e-CPF includo o
nmero do CNPJ e no nmero do CPF aps o nome do titular do certificado,
respectivamente, nos certificados e-CNPJ e e-CPF.
3.1.6. Procedimento para resolver disputa de nomes

No mbito da AC Instituto Fenacon RFB no h disputa decorrente da igualdade de
nomes entre solicitantes de certificados, pois o nome do Titular do Certificado ser
formado a partir do nome constante dos cadastros da RFB, CPF ou CNPJ para
certificados de pessoa fsica ou jurdica respectivamente, acrescido do nmero de
inscrio nestes cadastros. Este procedimento garante a unicidade de todos os nomes
no mbito da AC Instituto Fenacon RFB.
A AC Instituto Fenacon RFB se reserva o direito de tomar todas as decises na hiptese
de haver disputa de nomes decorrente da igualdade de nomes entre solicitantes
diversos de certificados. Durante o processo de confirmao de identidade, cabe
entidade solicitante do certificado provar o seu direito de uso de um nome especfico.
3.1.7. Reconhecimento, autenticao e papel de marcas registradas

Os processos de tratamento, reconhecimento e confirmao de autenticidade de
marcas registradas so executados de acordo com a legislao em vigor.
3.1.8. Mtodo para comprovar a posse de chave privada
A AR verifica se a entidade que solicita o certificado possui a chave privada
correspondente chave pblica para a qual est sendo solicitado o certificado digital. A
RFC 2510 utilizada como referncia para essa finalidade.
O mtodo de verificao
utilizado Proof of Possession (POP) of Private Key conforme o item 2.3 da RFC
2510.

23/68
3.1.9. Autenticao da identidade de um indivduo

A confirmao da identidade de um indivduo realizada mediante a presena fsica do
interessado, com base em documentos pessoais de identificao legalmente aceitos.
3.1.9.1. Documentos para efeitos de identificao de um indivduo
Deve ser apresentada a seguinte documentao, em sua verso original, para fins
de identificao de um indivduo solicitante de certificado:
a) Cdula de Identidade ou Passaporte, se brasileiro;
b) Carteira Nacional de Estrangeiro CNE, se estrangeiro domiciliado no Brasil;
c)
Passaporte, se estrangeiro no domiciliado no Brasil;
d) caso os documentos acima tenham sido expedidos h mais de 5 (cinco) anos ou

no possuam fotografia, uma foto colorida recente ou documento de identidade
com foto colorida, emitido h no mximo 5 (cinco) anos da data da validao
presencial;
e) comprovante de residncia ou domiclio, emitido h no mximo 3 (trs) meses
da data da validao presencial; e
f)
mais um documento oficial com fotografia, no caso de certificados de tipos A4.
Entende-se como cdula de identidade os documentos emitidos pelas Secretarias

de Segurana Pblica bem como os que, por fora de lei, equivalem a documento
de identidade em todo o territrio nacional, desde que contenham fotografia.
Entende-se
como
comprovante
de
residncia
ou
de
domiclio
contas
de
concessionrias de servios pblicos, extratos bancrios ou contrato de aluguel

onde conste o nome do titular; na falta desses, declarao emitida pelo titular ou
seu empregador.
A emisso
de
certificados em nome
dos absolutamente
incapazes e dos
relativamente incapazes observar o disposto na lei vigente.

Caso no haja suficiente clareza no documento apresentado, a AR deve solicitar
outro documento, preferencialmente a CNH - Carteira Nacional de Habilitao ou o
Passaporte Brasileiro.
Devero ser consultadas as bases de dados dos rgos emissores da Carteira
Nacional de Habilitao, e outras verificaes documentais expressas no item 7 do
documento CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA
ICPBRASIL [1].
Caso haja divergncia dos dados constantes do documento de identidade, a
emisso do certificado digital dever ser suspensa e o solicitante orientado a
regularizar sua situao junto ao rgo responsvel.
Os documentos que possuem data de validade precisam estar dentro do prazo.

24/68
3.1.9.2. Informaes contidas no certificado emitido para um indivduo

3.1.9.2.1. obrigatrio o preenchimento dos seguintes campos do certificado de
uma pessoa fsica com as informaes constantes nos documentos apresentados:
a) nome completo, sem abreviaes;
b) data de nascimento.
3.1.9.2.2. Cada PC pode definir como obrigatrio o preenchimento de outros
campos ou o titular do certificado, a seu critrio e mediante declarao expressa no
termo de titularidade, pode solicitar o preenchimento de campos do certificado com
as informaes constantes nos seguintes documentos:
a)
b)
c)
d)
e)
Cadastro de Pessoa Fsica (CPF);

nmero de Identificao Social NIS (PIS, PASEP ou CI);
nmero do Registro Geral RG do titular e rgo expedidor;
nmero do Cadastro Especifico do INSS (CEI);
nmero do Ttulo de Eleitor; Zona Eleitoral; Seo; Municpio e UF do Ttulo de
Eleitor;
f) nmero de habilitao ou identificao profissional emitido por conselho de
classe ou rgo competente.
g) Documento assinado pela empresa com o valor do campo de login (UPN).
3.1.9.2.3. Para tanto, o titular deve apresentar a documentao respectiva, caso a
caso, em sua verso original. mantido arquivo com as cpias de todos os
documentos utilizados.
permitida a substituio dos documentos elencados acima por documento nico,
desde que este seja oficial e contenha as informaes constantes daqueles.
O carto CPF pode ser substitudo por consulta pgina da Receita Federal, sendo
a cpia da mesma ser arquivada junto documentao, para fins de auditoria.
3.1.10.Autenticao da identidade de uma organizao

3.1.10.1. Disposies Gerais
3.1.10.1.1. Neste item so definidos os procedimentos empregados pelas AR
vinculadas para a confirmao da identidade de uma pessoa jurdica.
3.1.10.1.2. Em sendo o titular do certificado pessoa jurdica, ser designada pessoa
fsica como responsvel pelo certificado, que ser a detentora da chave privada.
Preferencialmente,
ser
designado
como
responsvel
pelo
certificado
representante legal da pessoa jurdica ou um de seus representantes legais.
3.1.10.1.3. Dever ser feita a confirmao da identidade da organizao e das

pessoas fsicas, nos seguintes termos:
a) apresentao do rol de documentos elencados no item 3.1.10.2;

25/68
b)
apresentao
do
rol
de
documentos
elencados
no
item
3.1.9.1
do(s)
representante(s) legal(is) da pessoa jurdica e do responsvel pelo uso do

certificado; e
c) presena fsica dos representantes legais e do responsvel pelo uso do
certificado, e assinatura do termo de titularidade de que trata o item 4.1.1.
d) consulta da situao do solicitante perante o CNPJ no momento da solicitao,
conforme art. 6 da Instruo Normativa RFB N 222.
Se o CNPJ informado for inexistente ou se a pessoa jurdica apresentar a condio
de inapta, suspensa ou cancelada, a solicitao no ser concluda nem enviada
AC Instituto Fenacon RFB, inviabilizando a emisso do certificado.3.1.10.3.2. Cada
PC pode definir como obrigatrio o preenchimento de outros campos ou o
responsvel pelo certificado, a seu critrio e mediante declarao expressa no
termo de titularidade, poder solicitar o preenchimento de campos do certificado
suas informaes pessoais,conforme item 3.1.9.2.
3.1.10.2. Documentos para efeitos de identificao de uma organizao

A confirmao da identidade de uma pessoa jurdica dever ser feita mediante a
apresentao de, no mnimo, os seguintes documentos:
a) Relativos a sua habilitao jurdica:
i. se pessoa jurdica criada ou autorizada a sua criao por lei, cpia do ato
constitutivo e CNPJ;
ii. se entidade privada:
1. ato constitutivo, devidamente registrado no rgo competente; e
2. documentos da eleio de seus administradores, quando aplicvel registrado no
rgo competente;
b) Relativos a sua habilitao fiscal:
i. prova de inscrio no Cadastro Nacional de Pessoas Jurdicas CNPJ; ou
ii. prova de inscrio no Cadastro Especfico do INSS CEI.
3.1.10.3.
Informaes
contidas
no
certificado
emitido
para
uma
organizao
3.1.10.3.1. obrigatrio o preenchimento dos seguintes campos do certificado de
uma pessoa jurdica, com as informaes constantes nos documentos
apresentados:
a) nome empresarial constante do CNPJ (Cadastro Nacional de Pessoa Jurdica),
sem abreviaes;
b) Cadastro Nacional de Pessoa Jurdica (CNPJ);
c) nome completo do responsvel pelo certificado, sem abreviaes;
d) data de nascimento do responsvel pelo certificado.
campos ou o responsvel pelo certificado, a seu critrio e mediante declarao
expressa no termo de titularidade, poder solicitar o preenchimento de campos do
certificado suas informaes pessoais,conforme item 3.1.9.2.
3.1.11.Autenticao da identidade de equipamento ou aplicao

26/68
3.1.11.1. Disposies Gerais

3.1.11.1.1. Em se tratando de certificado emitido para equipamento ou aplicao, o
titular ser a pessoa fsica ou jurdica solicitante do certificado, que dever indicar o
responsvel pela chave privada.
3.1.11.1.2. Se o titular for pessoa fsica, dever ser feita a confirmao de sua
identidade na forma do item 3.1.9.1 e esta assinar o termo de titularidade de que
trata o item 4.1.1.
3.1.11.1.3. Se o titular for pessoa jurdica, dever ser feita a confirmao da
identidade da organizao e das pessoas fsicas, nos seguintes termos:
a) apresentao do rol de documentos elencados no item 3.1.10.2;
b) apresentao do rol de documentos elencados no item 3.1.9.1 do(s)
representante(s) legal(is) da pessoa jurdica e do responsvel pelo uso do
certificado;
c) presena fsica do responsvel pelo uso do certificado e assinatura do termo de
responsabilidade de que trata o item 4.1.1; e
d) presena fsica do(s) representante(s) legal(is) da pessoa jurdica e assinatura
do termo de titularidade de que trata o item 4.1.1, ou outorga de procurao
atribuindo poderes para solicitao de certificado para equipamento ou aplicao e
assinatura do respectivo termo de titularidade.
3.1.11.2. Procedimentos para efeitos de identificao de um equipamento
ou aplicao
Para certificados de equipamento ou aplicao que utilizem URL no campo Common
Name, deve ser verificado se o solicitante do certificado detm o registro do nome
de domnio junto ao rgo competente, ou se possui autorizao do titular do
domnio para usar aquele nome. Nesse caso deve ser apresentada documentao
comprobatria (termo de autorizao de uso de domnio ou similar) devidamente
assinado pelo titular do domnio.
3.1.11.3.
Informaes
contidas
no
certificado
emitido
para
um
equipamento ou aplicao
3.1.11.3.1. obrigatrio o preenchimento dos seguintes campos do certificado com
as informaes constantes nos documentos apresentados:
a) URL ou nome da aplicao;
b) nome completo do responsvel pelo certificado, sem abreviaes;
c) data de nascimento do responsvel pelo certificado;
d) nome empresarial constante do CNPJ (Cadastro Nacional de Pessoa Jurdica),
sem abreviaes, se o titular for pessoa jurdica;
e) Cadastro Nacional de Pessoa Jurdica (CNPJ), se o titular for pessoa jurdica.
campos ou o responsvel pelo certificado, a seu critrio e mediante declarao
expressa no termo de responsabilidade, poder solicitar o preenchimento de
campos do certificado suas informaes pessoais, conforme item 3.1.9.2.
3.2. Gerao de novo par de chaves antes da expirao do atual
3.2.1. No item seguinte esto estabelecidos os processos de identificao do
solicitante pela AC Instituto Fenacon RFB para a gerao de novo par de chaves,e
de seu correspondente certificado, antes da expirao do certificado vigente.

27/68
3.2.2. O processo descrito acima conduzido segundo uma das seguintes

possibilidades:
a) Adoo dos mesmos requisitos e procedimentos exigidos para a solicitao do

certificado; ou
b) A solicitao por meio eletrnico, assinada digitalmente com o uso de
certificado vigente que seja pelo menos do mesmo nvel de segurana, limitada a 1
(uma) ocorrncia sucessiva; ou
c)
Em caso de pessoa jurdica, qualquer alterao em sua constituio e
funcionamento dever constar do processo de renovao.

3.2.3. No se aplica.
3.3. Gerao de novo par de chaves aps expirao ou revogao
3.3.1. Aps a revogao ou expirao do certificado, os procedimentos utilizados
para confirmao da identidade do solicitante de novo certificado so os mesmos
exigidos na solicitao inicial do certificado, na forma e prazo descritos nas PC
implementadas.
3.4. Solicitao de Revogao
A solicitao de revogao de certificado realizada atravs de formulrio especfico,
permitindo a identificao inequvoca do solicitante.
A confirmao da identidade do solicitante feita com base na confrontao de dados
fornecidos na solicitao de revogao e os dados previamente cadastrados na AR. As
solicitaes de revogao de certificado so registradas. O procedimento para
solicitao de revogao de certificado emitido pela AC Instituto Fenacon RFB est
descrito no item 4.4.3.1 desta DPC.
4.
REQUISITOS OPERACIONAIS
4.1. Solicitao de Certificado
4.1.1. Para atender solicitao de emisso de certificados a AC Instituto Fenacon
RFB exige que a AR tenha provido:
a) a comprovao de atributos de identificao constantes do certificado e o
recebimento dos documentos obrigatrios exigidos para identificao dos
titulares e responsveis, conforme item 3.1;

28/68
b) a autenticao do agente de registro responsvel pelas solicitaes de emisso e

de revogao de certificados mediante o uso de certificado digital que tenha
requisitos de segurana, no mnimo, equivalentes a de um certificado de nvel
A3;
c)
um termo de titularidade assinado pelo titular do certificado e pelo responsvel

pelo uso do certificado, no caso de pessoa jurdica, conforme o adendo referente
ao TERMO DE TITULARIDADE [4] especfico.
4.1.4. Nos casos previstos no item 4.1.2., a AC subsequente dever encaminhar a
solicitao de certificado AC emitente por meio de seus representantes legais,
utilizando
padro
definido
no
documento
PADRES
ALGORITMOS
CRIPTOGRFICOS DA ICP-BRASIL [9].

4.2. Emisso de Certificado
4.2.1. A emisso de certificado depende do correto preenchimento de formulrio de
solicitao, do recebimento do Termo de Titularidade, no caso de certificados de
pessoas jurdicas, equipamentos ou aplicaes e dos demais documentos exigidos.
Aps o processo de validao das informaes fornecidas pelo solicitante, o
certificado emitido e Titular notificado, por e-mail, da emisso e do mtodo
para a retirada do certificado.
4.2.2. O certificado considerado vlido a partir do momento de sua emisso.

4.3. Aceitao de Certificado
4.3.1. O titular do certificado ou pessoa fsica responsvel verifica as informaes
contidas no certificado e o aceita caso as informaes sejam ntegras, corretas e
verdadeiras. Caso contrrio, o titular do certificado no pode utilizar o certificado e
deve solicitar imediatamente a revogao do mesmo. Ao aceitar o certificado, o
titular do certificado:
a) concorda com as responsabilidades, obrigaes e deveres nesta DPC e na PC
correspondente;
b) garante que, com seu conhecimento, nenhuma pessoa sem autorizao teve
acesso chave privada associada ao certificado;
c) afirma que todas as informaes contidas no certificado, fornecidas na
solicitao, so verdadeiras e esto reproduzidas no certificado de forma correta e
completa;
29/68
d) Torna-se responsvel por todos os atos praticados perante a RFB utilizando a

chave privada correspondente chave pblica contida no certificado e-CPF e eCNPJ.
4.3.2. A aceitao do certificado e do seu contedo declarada, pelo titular do

certificado, na primeira utilizao da chave privada correspondente. O prazo para
aceitao do certificado est definido no item 4.4.4 de cada PC implementada pela
AC Instituto Fenacon RFB.
4.4. Suspenso e Revogao de Certificado
4.4.1. Circunstncias para revogao
4.4.1.1. O titular do certificado pode solicitar a revogao de seu certificado a
qualquer tempo, independente de qualquer circunstncia.
4.4.1.2. O certificado obrigatoriamente revogado:
a) quando constatada emisso imprpria ou defeituosa do mesmo;
b) quando for necessria a alterao de qualquer informao constante no
mesmo;
c)
no caso de extino, dissoluo ou transformao da AC Instituto Fenacon RFB;
d) no caso de comprometimento ou suspeita de comprometimento da chave

privada correspondente pblica contida no certificado ou da sua mdia
armazenadora;
e) no caso de falecimento do titular, pessoas fsicas;
f)
no caso de mudana na razo ou denominao social do titular - equipamentos,

aplicaes e pessoas jurdicas;
g) no caso de extino, dissoluo ou transformao do titular do certificado equipamentos, aplicaes e pessoas jurdicas;
h) no caso de falecimento ou demisso do responsvel - equipamentos, aplicaes
e pessoas jurdicas.
4.4.1.3. A AC Instituto Fenacon RFB revoga, no prazo definido no item 4.4.3, o
certificado do titular que deixar de cumprir as polticas, normas e regras
estabelecidas para a ICP-Brasil.
O CG da ICP-Brasil ou AC Raiz determina a revogao do certificado da AC Instituto
Fenacon RFB quando essa deixar de cumprir a legislao vigente ou as polticas,
normas, prticas e regras estabelecidas pela ICP-Brasil.
30/68
4.4.2. Quem pode solicitar revogao

A revogao de um certificado somente poder ser feita:
a) por solicitao do titular do certificado;
b) por solicitao do responsvel pelo certificado, no caso de certificado de
equipamentos, aplicaes e pessoas jurdicas;
c)
por solicitao da empresa ou rgo, no caso de certificado fornecido por essa

empresa ou rgo para seus empregados, funcionrios, servidor, parceiros ou
fornecedores, para fins de utilizao especfica em aplicaes determinadas;
d) pela AC Instituto Fenacon RFB;

e) pela AR que tiver recebido a solicitao;
f) por determinao do CG da ICP-Brasil ou da AC Raiz.
4.4.3. Procedimento para solicitao de revogao
4.4.3.1. Uma solicitao de revogao necessria para que AR responsvel inicie
o processo de revogao. O solicitante da revogao habilitado pode solicitar
facilmente e a qualquer tempo a revogao de certificado, evitando assim a
utilizao indevida do certificado.
Instrues para a solicitao de revogao do Certificado so obtidas em pgina
web disponibilizada pela AC Instituto Fenacon RFB ou pela AR Responsvel.
A revogao realizada atravs de Formulrio on-line contendo o motivo da
solicitao de revogao mediante o fornecimento de dados e da frase de
identificao indicada na solicitao de emisso do Certificado.
Caso o Titular ou o Responsvel -no caso de certificados de pessoas jurdicas,
equipamentos ou aplicaes- no recorde a frase de identificao ou quando a
revogao solicitada diretamente pelo Titular sem a participao do Responsvel,
o Formulrio de revogao impresso e assinado e entregue na AR Responsvel.
4.4.3.2. Como diretrizes gerais:

a) O Solicitante da revogao de um certificado identificado;
b) As solicitaes de revogao, bem como as aes delas decorrentes sero
registradas e armazenadas pela AC Instituto Fenacon RFB;
c)
As justificativas para a revogao de um certificado so registradas;
d) O processo final de revogao de um certificado termina com a gerao e a

publicao de uma LCR que contenha o certificado revogado e com a
atualizao do status do certificado na resposta OCSP base de dados da AC
Instituto Fenacon RFB, quando aplicvel.

31/68
4.4.3.3. O prazo mximo para concluso do processo final de revogao do

certificado pela AC Instituto Fenacon RFB, aps a concluso do processo de aceite e
registro da solicitao de revogao de de 12 (doze) horas.
4.4.3.5. A AC Instituto Fenacon RFB responde plenamente por todos os danos
causados pelo uso de um certificado no perodo compreendido da solicitao de sua
revogao e a emisso da LCR correspondente, na forma do item 2.3.2.
4.4.3.6.
Os
procedimentos
de
revogao
detalhados
so
descritos
na
PC
correspondente.
4.4.4. Prazo para solicitao de revogao

4.4.4.1. A solicitao de revogao tem que ser imediata quando configuradas as
circunstncias definidas no item 4.4.1 desta DPC.
O prazo para aceitao do certificado pelo seu titular de 3 (trs) dias, dentro do
qual a revogao desse certificado pode ser solicitada sem cobrana de tarifa de
revogao.
4.4.5. Circunstncias para suspenso
A suspenso de certificados no admitida no mbito da ICP-Brasil.
4.4.6. Quem pode solicitar suspenso
4.4.7. Procedimento para solicitao de suspenso
4.4.8. Limites no perodo de suspenso
4.4.9. Freqncia de emisso de LCR
4.4.9.1. Neste item definida a freqncia para a emisso de LCR referente a
certificados de usurios finais.
32/68
4.4.9.2. A freqncia para emisso da LCR de 1 (uma) hora.

4.4.10.Requisitos para verificao de LCR
4.4.10.1. A verificao da validade do certificado na respectiva LCR obrigatria,
antes do mesmo ser utilizado.
4.4.10.2. Tambm obrigatria a verificao da autenticidade da LCR, por meio
das verificaes da assinatura da AC Instituto Fenacon RFB e do perodo de
validade da LCR.
4.4.11.Disponibilidade para revogao ou verificao de status on-line
A AC Instituto Fenacon RFB suporta os processos de revogao de certificados de
forma on-line quando aplicvel por fora de contratao especfica.
A AC Instituto Fenacon RFB, suporta verificao da situao de estado de certificados
de forma on-line quando aplicvel por fora de contratao especfica.
A verificao da situao de um certificado dever ser feita diretamente na AC
Instituto Fenacon RFB, por meio do protocolo OCSP (On-line Certificate Status
Protocol).
4.4.12.Requisitos para verificao de revogao on-line
No se aplica.
4.4.13.Outras formas disponveis para divulgao de revogao
No se aplica.
4.4.14.Requisitos para verificao de outras formas de divulgao de
revogao
No se aplica.
4.4.15.Requisitos especiais para o caso de comprometimento de chave
4.4.15.1. O titular de certificado deve notificar imediatamente, atravs de
solicitao on-line de revogao de certificado, AR responsvel caso ocorra perda,
roubo,
modificao,

33/68
acesso
indevido,
comprometimento
ou
suspeita
de
comprometimento de sua chave privada. Nessa solicitao so registradas as

circunstncias de comprometimento, observando o previsto no item 4.4.3.
4.4.15.2.
titular do
certificado
pode
ainda comunicar
perda,
roubo,
modificao, acesso indevido, comprometimento ou suspeita de comprometimento

de sua chave privada diretamente na AR Responsvel, assinando formulrio de
solicitao de revogao, observado o item 4.4.3 da PC correspondente.
Todos os documentos e relatrios relativos so arquivados aps a concluso deste
processo.
4.5. Procedimentos de Auditoria de Segurana
Nos itens seguintes so descritos aspectos dos sistemas de auditoria e de registro de
eventos implementados pela AC Instituto Fenacon RFB com o objetivo de manter um
ambiente seguro.
4.5.1. Tipos de eventos registrados
4.5.1.1. A AC Instituto Fenacon RFB registra em arquivos de auditoria todos os
eventos relacionados segurana do seu sistema de certificao. Os seguintes
eventos so obrigatoriamente includos em arquivos de auditoria:
a) iniciao e desligamento do sistema de certificao;
b) tentativas de criar, remover, definir senhas ou mudar privilgios de sistema dos
operadores da AC Instituto Fenacon RFB;
c)
mudanas na configurao dos sistemas AC Instituto Fenacon RFB ou nas suas
chaves;
d) mudanas nas polticas de criao de certificados;
e) tentativas de acesso (login) e de sada do sistema (logoff);
f)
tentativas no-autorizadas de acesso aos arquivos do sistema;
g) gerao de chaves prprias da AC Instituto Fenacon RFB ou de chaves de seus

usurios finais;
h) emisso e revogao de certificados;
i)
gerao de LCR;
j)
tentativas de iniciar, remover, habilitar e desabilitar usurios de sistemas e de
atualizar e recuperar suas chaves;

k) operaes falhas de escrita ou leitura no repositrio de certificados e da LCR,
quando aplicvel; e
l)
operaes de escrita nesse repositrio, quando aplicvel.

34/68
4.5.1.2. A AC Instituto Fenacon RFB tambm registra, eletrnica ou manualmente,

informaes de
segurana no
geradas diretamente
pelo
seu sistema de
certificao, tais como:

a) registros de acessos fsicos;
b) manuteno e mudanas na configurao de seus sistemas;
c)
mudanas de pessoal e perfis qualificados;
d) relatrios de discrepncia e comprometimento; e

e) registros de
destruio de
meios de
armazenamento
contendo
chaves
criptogrficas, dados de ativao de certificados ou informao pessoal de usurios.

4.5.1.3. As informaes registradas pela AC Instituto Fenacon RFB so todas as
descritas nos itens acima.
4.5.1.4. Os registros de auditoria, eletrnicos ou manuais, contm a data e a hora
do evento registrado e a identidade do agente que o causou.
4.5.1.5. A documentao relacionada aos servios da AC Instituto Fenacon RFB
armazenada, eletrnica ou manualmente, em local nico, de forma estruturada
para facilitar o acesso e consulta nos processos de auditoria, para atender a
POLTICA DE SEGURANA DA ICP-BRASIL [8].
4.5.1.6. As AR vinculadas AC Instituto Fenacon RFB registram eletronicamente
em arquivos de auditoria todos os eventos relacionados validao e aprovao da
solicitao, bem como, revogao de certificados. Os seguintes eventos so
obrigatoriamente includos em arquivos de auditoria:
a)
os agentes de registro que realizaram as operaes;
b)
data e hora das operaes;
c)
a associao entre os agentes que realizaram a validao e aprovao e o

certificado gerado;
d)
a assinatura digital do executante.
4.5.1.7. A AC Instituto Fenacon RFB define, em documento disponvel nas

auditorias de conformidade, o local de arquivamento das cpias dos documentos
para identificao apresentadas no momento da solicitao e revogao de
certificados e do termo de titularidade.
4.5.2. Freqncia de auditoria de registros (logs)
A periodicidade com que os registros de auditoria da AC Instituto Fenacon RFB so
analisados pelo pessoal operacional de uma semana.

35/68
Todos os eventos significativos so explicados em relatrio de auditoria de

registros. Tal anlise envolve uma inspeo breve de todos os registros, com a
verificao de que no foram alterados, seguida de uma investigao mais
detalhada de quaisquer alertas ou irregularidades nesses registros. Todas as aes
tomadas em decorrncia dessa anlise so documentadas.
4.5.3. Perodo de reteno para registros (logs) de auditoria
A AC Instituto Fenacon RFB mantm localmente os seus registros de auditoria por,
pelo menos, 2 (dois) meses e, subseqentemente, armazena-os da maneira
descrita no item 4.6.
4.5.4. Proteo de registro (log) de auditoria
4.5.4.1. O sistema de registro de eventos de auditoria inclui mecanismos para
proteger os arquivos de auditoria contra leitura no-autorizada, modificao e
remoo atravs das funcionalidades nativas dos sistemas operacionais. As
ferramentas disponveis no sistema operacional liberam os acessos lgicos aos
registros de auditoria somente a usurios ou aplicaes autorizadas, atravs de
permisses dadas pelo administrador do sistema de acordo com a funo dos
usurios ou aplicaes e orientao do departamento de segurana.
O prprio sistema operacional tambm registra os acessos aos arquivos onde esto
armazenados os registros de auditoria.
4.5.4.2. Informaes manuais de auditoria tambm so protegidas contra a leitura
no autorizada, modificao e remoo atravs de controles de acesso aos
ambientes fsicos onde so armazenados estes registros.
4.5.4.3. Os mecanismos de proteo descritos obedecem Poltica de Segurana
da AC Instituto Fenacon RFB, em conformidade com a POLTICA DE SEGURANA
DA ICP-BRASIL [8].
4.5.5. Procedimentos para cpia de segurana (backup) de registro (log) de
auditoria
Os registros de eventos e sumrios de auditoria dos equipamentos utilizados pela
AC
Instituto
Fenacon
automaticamente
pelo
RFB
tm
sistema
ou
cpias
de
segurana
manualmente
pelos
semanais,
feitas,
administradores
de
sistemas. Estas cpias so enviadas ao departamento de segurana.

4.5.6. Sistema de coleta de dados de auditoria
O sistema de coleta de dados de auditoria interno AC Instituto Fenacon RFB
uma combinao de processos automatizados e manuais, executada por seu
pessoal operacional ou por seus sistemas.

36/68
4.5.7. Notificao de agentes causadores de eventos

Quando um evento registrado pelo conjunto de sistemas de auditoria da AC
Instituto Fenacon RFB, nenhuma notificao enviada pessoa, organizao,
dispositivo ou aplicao que causou o evento.
4.5.8. Avaliaes de vulnerabilidade
Os eventos que indiquem possvel vulnerabilidade, detectados na anlise peridica
dos
registros
de
auditoria
da
AC
Instituto
Fenacon
RFB,
so
analisados
detalhadamente e, dependendo de sua gravidade, registrados em separado. Aes

corretivas decorrentes so implementadas pela AC Instituto Fenacon RFB e
registradas para fins de auditoria.
4.6. Arquivamento de Registros
4.6.1. Tipos de registros arquivados
a)
solicitaes de certificados;
b)
solicitaes e justificativas de revogao de certificados;
c)
notificaes de comprometimento de chaves privadas;
d)
emisses e revogaes de certificados;
e)
emisses de LCR;
f)
trocas de chaves criptogrficas da AC Instituto Fenacon RFB; e
g)
informaes de auditoria previstas no item 4.5.1.
4.6.2. Perodo de reteno para arquivo

a)
as LCR e os certificados de assinatura digital so retidos permanentemente,

para fins de consulta histrica;
b)
as cpias dos documentos para identificao apresentadas no momento da

solicitao e da revogao de certificados, e os termos de titularidade e
responsabilidade devem ser retidos, no mnimo, por 10 (dez) anos a contar
da data de expirao ou revogao do certificado. As prescries j em curso,
quando da alterao desta alnea, tero seu prazo reiniciado; e
c)
as demais informaes, inclusive os arquivos de auditoria, devero ser

retidas por, no mnimo, 6 (seis) anos.
4.6.3. Proteo de arquivo

Todos os registros so classificados e armazenados com requisitos de segurana
compatveis com essa classificao, conforme a POLTICA DE SEGURANA DA ICPBRASIL [8].

37/68
4.6.4. Procedimentos para cpia de segurana (backup) de arquivo

4.6.4.1. A AC Instituto Fenacon RFB estabelece que uma segunda cpia de todo o
material arquivado armazenada em local externo AC Instituto Fenacon RFB,
recebendo o mesmo tipo de proteo utilizada por ela no arquivo principal.
4.6.4.2. As cpias de segurana seguem os perodos de reteno definidos para os
registros dos quais so cpias.
4.6.4.3. A AC Instituto Fenacon RFB verifica a integridade dessas cpias de
segurana, no mnimo, a cada 6 (seis) meses.
4.6.5. Requisitos para datao (time-stamping) de registros
Informaes de data e hora nos registros baseiam-se no horrio Greenwich Mean
Time (Zulu), incluindo segundos (no formato YYMMDDHHMMSSZ), mesmo se o
nmero de segundos for zero.
Nos casos em que por algum motivo os documentos formalizem o uso de outro
formato, ele ser aceito.
4.6.6. Sistema de coleta de dados de arquivo
Todos os sistemas de coleta de dados de arquivo utilizados pela AC Instituto
Fenacon RFB em seus procedimentos operacionais so automatizados e manuais e
internos.
4.6.7. Procedimentos para obter e verificar informao de arquivo
A verificao de informao de arquivo deve ser solicitada formalmente AC
Instituto Fenacon RFB, identificando de forma precisa o tipo e o perodo da
informao a ser verificada. O solicitante da verificao de informao
devidamente identificado.
4.7. Troca de chave
4.7.1. O titular do certificado pode solicitar um novo certificado antes da data de
expirao do seu certificado ainda vlido, atravs de formulrio especfico,
disponibilizado pela AR Responsvel, por onde encaminhado o processo de
fornecimento de novo certificado.
A AR que recebeu e validou o pedido de emisso do certificado envia uma
comunicao ao titular do certificado, 30 (trinta) dias antes da data de expirao
do mesmo, junto com instrues para a solicitao de um novo certificado.
A comunicao de expirao, junto com as instrues para a solicitao de um
novo certificado realizada atravs de e-mail enviado ao titular do certificado.
38/68
4.8. Comprometimento e Recuperao de Desastre

A AC Instituto Fenacon RFB possui um Plano de Continuidade de Negcios testado
anualmente para garantir a continuidade de seus servios crticos.
4.8.1. Recursos computacionais, software, e dados corrompidos
Em
caso
de
suspeita
de
corrupo
de
dados,
softwares
e/ou
recursos
computacionais, o fato comunicado ao Gerente de Segurana da AC Instituto

Fenacon RFB, que decreta o incio da fase de resposta. Nessa fase, uma rigorosa
inspeo realizada para verificar a veracidade do fato e as conseqncias que o
mesmo pode gerar. Esse procedimento realizado por um grupo pr-determinado
de funcionrios devidamente treinados para essa situao. Caso haja necessidade,
o Gerente de Segurana decretar a contingncia.
4.8.2. Certificado de entidade revogado
Em caso de revogao do certificado da AC Instituto Fenacon RFB o Gerente de
Segurana, juntamente com o Gerente de Criptografia da AC Instituto Fenacon
RFB, revogar todos os certificados subseqentes. Os titulares dos certificados
revogados sero informados. A AC Instituto Fenacon RFB emitir certificados em
substituio aos revogados com data de expirao coincidente com a do certificado
revogado.
4.8.3. Chave da entidade comprometida
Em caso de suspeita de comprometimento de chave da AC Instituto Fenacon RFB, o
fato imediatamente comunicado ao Gerente de Segurana que, juntamente com
o Gerente de Criptografia da AC Instituto Fenacon RFB, decretam o incio da fase
resposta e seguiro um plano de ao para analisar a veracidade e a dimenso do
fato. Caso haja necessidade, ser declarada a contingncia e ento as seguintes
providncias sero tomadas:
a) Todos os certificados afetados sero revogados e as partes sero notificadas.
b) Cerimnias especficas sero realizadas para gerao de novos pares de
chaves. Isso no acontecer se a AC Instituto Fenacon RFB estiver encerrando
suas atividades DPC Item 4.9.
4.8.4. Segurana dos recursos aps desastre natural ou de outra natureza
Em caso de desastre natural ou de outra natureza, como por exemplo, incndio ou
inundao ou em caso de impossibilidade de acesso ao site, o Departamento de
Infra-estrutura, responsvel pela contingncia, notifica o Gerente de Segurana e
segue um procedimento que descreve detalhadamente os passos a serem seguidos
para:

39/68
a) garantir a integridade fsica das pessoas que se encontram nas instalaes da

AC Instituto Fenacon RFB;
b) monitorar e controlar o foco da contingncia;
c)
minimizar os danos aos ativos de processamento da companhia, de forma a

evitar a descontinuidade dos servios.
4.8.5. Atividades das Autoridades de Registro

As AR vinculadas AC Instituto Fenacon RFB possuem um Plano de Continuidade
de Negcios testado anualmente para garantir a recuperao, total ou parcial das
atividades das AR, contendo, no mnimo as seguintes informaes:
a) identificao dos eventos que podem causar interrupes nos processos do
negcio, por exemplo falha de equipamentos, inundaes e incndios;
b) identificao e concordncia de todas as responsabilidades e procedimentos de
emergncia;
c)
implementao dos procedimentos de emergncia que permitam a recuperao

e restaurao nos prazos necessrios. Ateno especial dada avaliao da
recuperao
das
documentaes
armazenadas
nas
instalaes
tcnicas
atingidas pelo desastre;

d) documentao dos processos e procedimentos acordados;
e) treinamento
adequado
do
pessoal
nos
procedimentos
processos
de
CRITRIOS
emergncia definidos, incluindo o gerenciamento de crise;

f)
teste e atualizao dos planos.
4.9. Extino dos servios de AC, AR ou PSS

4.9.1.
Observado
disposto
no
item
do
documento
PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA

ICP-BRASIL [6], este item descreve os requisitos e procedimentos adotados nos
casos de extino dos servios da AC Instituto Fenacon RFB ou de uma AR ou PSS
a ela vinculados.
4.9.2. No caso de encerramento das atividades como AC da ICP-Brasil, a AC
Instituto Fenacon RFB segue os requisitos e procedimentos descritos no documento
Plano de Encerramento. Esse plano tem abordagem multidisciplinar envolvendo
aspectos
de
varias
reas
da
companhia,
como
jurdico,
comercial,
tcnicos/tecnolgicos, entre outros. De acordo com esse plano a AC Instituto

Fenacon RFB:
a) Comunicar publicamente a extino dos servios da AC Instituto Fenacon RFB,
atravs de publicao em jornal de grande circulao.

40/68
b) Revogar todos os certificados gerados pela AC Instituto Fenacon RFB nos

prazos estipulados nas PC implementadas aps a publicao e comunicar s
partes afetadas atravs de mensagem eletrnica.
c)
Extinguir os servios de emisso de certificados.
d) Extinguir os servios de revogao, como emisso da LCR e/ou conservao

dos servios de status on-line aps a revogao completa de todos os
certificados.
e) Destruir a chave privada da AC Instituto Fenacon RFB extinta seguindo o
procedimento descrito na DPC Item 6.2.9.
f)
Transferir os dados e gravaes da AC Instituto Fenacon RFB para a

Autoridade Certificadora sucessora, aprovada pela AC Raiz. O perodo no qual
os mesmos ficaro armazenados est descrito na DPC item 4.6.
g) Transferir as chaves pblicas dos certificados emitidos pela AC Instituto

Fenacon RFB para serem armazenadas por outra AC aprovada pela AC Raiz.
Quando houver mais de uma AC interessada, assumir a responsabilidade do
armazenamento das chaves pblicas, aquela indicada pela AC Instituto Fenacon
RFB. Caso as chaves pblicas no sejam assumidas por outra AC, os
documentos referentes aos certificados digitais e as respectivas chaves pblicas
sero repassados AC Raiz.
h) O responsvel pela guarda desses dados e registros observar os mesmos
requisitos de segurana exigidos para a AC Instituto Fenacon RFB.
i)
Transferir, quando aplicvel, a documentao dos certificados digitais emitidos

AC que tenha assumido a guarda das respectivas chaves pblicas.
No caso de encerramento das atividades como AR vinculada a AC Instituto Fenacon

RFB a AR dever seguir os seguintes requisitos e procedimentos :
a) Comunicar publicamente a extino dos servios de AR vinculada AC Instituto
Fenacon RFB, atravs de publicao em jornal de grande circulao.
b) Extinguir os servios de recebimento e validao de pedidos de emisso de
certificados;
c)
Ficar responsvel pela guarda dos documentos, dados e registros relativos aos
pedidos de emisso de certificados para a AC Instituto Fenacon RFB, devendo
fornec-los sempre que solicitada pelo Titular, ou pela AC Instituto Fenacon
RFB. O perodo no qual os mesmos ficaro armazenados est descrito na DPC
item 4.6.
Em caso de falncia ou extino da AR a documentao e registros relativos

emisso de certificados dever ser entregue para guarda da AC Instituto Fenacon
RFB.

41/68
No caso de encerramento das atividades como PSS vinculada a AC Instituto

Fenacon RFB a AC Instituto Fenacon RFB, diretamente ou por intermdio da AR,
dever seguir os seguintes requisitos e procedimentos :
a) Publicar, em sua pgina web, informao sobre o descredenciamento do PSS e
o credenciamento de novo PSS, se for o caso;
b) Manter a guarda de toda a documentao comprobatria em seu poder.
5.
CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL

5.1. Controles Fsicos
5.1.1. Construo e localizao das instalaes
5.1.1.1. A localizao e o sistema de certificao da AC Instituto Fenacon RFB no
so
publicamente
identificados.
No
identificao
pblica
externa
das
instalaes e, internamente, no existem ambientes compartilhados que permitam

visibilidade das operaes de emisso e revogao de certificados. Essas operaes
so segregadas em compartimentos fechados e fisicamente protegidos.
5.1.1.2. As instalaes para equipamentos de apoio, tais como mquinas de ar
condicionado, grupos geradores, no-breaks, baterias, quadros de distribuio de
energia e de telefonia, subestaes, retificadores, estabilizadores e similares ficam
em ambiente seguro.
As instalaes para sistemas de telecomunicaes, subestaes e retificadores
ficam em ambiente seguro com entrada e sada controlada.
Existem sistemas de aterramento e de proteo contra descargas atmosfricas
Existe iluminao de emergncia em todos os ambientes de nvel 4, alm das reas
cobertas por cmeras de monitoramento.
5.1.2. Acesso fsico nas instalaes de AC
A AC Instituto Fenacon RFB possui sistema de controle de acesso fsico que garante
a segurana de suas instalaes conforme a POLTICA DE SEGURANA DA ICPBRASIL [8] e os requisitos que seguem.

42/68
5.1.2.1 Nveis de acesso

5.1.2.1.1. A AC Instituto Fenacon RFB possui 4 (quatro) nveis de acesso fsico aos
diversos ambientes e mais 2 (dois) nveis de proteo da chave privada da AC
Instituto Fenacon RFB;
5.1.2.1.2. O primeiro nvel ou nvel 1 situa-se aps a primeira barreira de
acesso s instalaes da AC Instituto Fenacon RFB. Para entrar em uma rea de
nvel 1, cada indivduo identificado e registrado por segurana armada. A partir
desse nvel, pessoas estranhas operao da AC Instituto Fenacon RFB transitam
devidamente identificadas e acompanhadas.
Nenhum tipo de processo operacional ou administrativo da AC Instituto Fenacon
RFB executado nesse nvel.
5.1.2.1.3. Excetuados os casos previstos em lei, o porte de armas no admitido
nas instalaes da AC Instituto Fenacon RFB em nveis superiores ao nvel 1. A
partir desse nvel, equipamentos de gravao, fotografia, vdeo, som ou similares,
bem como computadores portteis, tm sua entrada controlada e somente so
utilizados mediante autorizao formal e superviso.
5.1.2.1.4. O segundo nvel ou nvel 2 interno ao primeiro e requer, da mesma
forma que o primeiro, a identificao individual das pessoas que nele entram. Esse
o nvel mnimo de segurana requerido para a execuo de qualquer processo
operacional ou administrativo da AC Instituto Fenacon RFB. A passagem do
primeiro para o segundo nvel exige identificao por meio eletrnico e o uso de
crach.
5.1.2.1.5. O terceiro nvel ou nvel 3 situa-se dentro do segundo, sendo o
primeiro nvel a abrigar material e atividades sensveis da operao da AC Instituto
Fenacon RFB.
Qualquer atividade relativa ao ciclo de vida dos certificados digitais executada a
partir desse nvel.
Pessoas no envolvidas com essas atividades no tm permisso para acesso a
esse nvel. Pessoas que no possuem permisso de acesso no permanecem nesse
nvel se no estiverem acompanhadas por algum que tenha essa permisso.
5.1.2.1.6. No terceiro nvel so controladas tanto as entradas quanto as sadas de
cada pessoa autorizada. Dois tipos de mecanismos de controle so requeridos para
a entrada nesse nvel: identificao individual, por meio de carto eletrnico, e
identificao biomtrica.

43/68
5.1.2.1.7. Telefones celulares, bem como outros equipamentos portteis de

comunicao, exceto aqueles exigidos para a operao da AC Instituto Fenacon
RFB, no so admitidos a partir do nvel 3.
5.1.2.1.8. No quarto nvel (nvel 4), interior ao terceiro, onde ocorrem atividades
especialmente sensveis da operao da AC Instituto Fenacon RFB tais como
emisso e revogao de certificados e emisso de LCR e a disponibilidade
resposta a consulta OCSP. Todos os sistemas e equipamentos necessrios a estas
atividades esto localizados a partir desse nvel. O nvel 4 possui os mesmos
controles de acesso do nvel 3 e, adicionalmente, exigido, em cada acesso ao seu
ambiente, a identificao de, no mnimo, 2 (duas) pessoas autorizadas. Nesse
nvel, a permanncia dessas pessoas exigida enquanto o ambiente estiver sendo
ocupado.
5.1.2.1.9. No quarto nvel, todas as paredes, piso e teto so revestidos de ao e
concreto. As paredes, piso e o teto, so inteirios, constituindo uma clula
estanque contra ameaas de acesso indevido, gua, vapor, gazes e fogo. Os dutos
de refrigerao e de energia, bem como os dutos de comunicao, no permitem a
invaso fsica das reas de quarto nvel. Adicionalmente, esses ambientes de nvel
4 que constituem as chamadas salas-cofre - possuem proteo contra
interferncia eletromagntica externa.
5.1.2.1.10. As salas-cofre foram construdas segundo as normas brasileiras
aplicveis. Eventuais omisses dessas normas foram sanadas
por normas
internacionais pertinentes.
5.1.2.1.11. Na AC Instituto Fenacon RFB, existem ambientes de quarto nvel para
abrigar e segregar:
a) equipamentos de produo on-line, gabinete reforado de armazenamento e
equipamentos de rede e infra-estrutura - firewall, roteadores, switches e
servidores - (Data Center);
b) equipamentos de produo off-line e cofre de armazenamento (Sala de
cerimnia);
5.1.2.1.12. O quinto nvel (nvel 5), interior aos ambientes de nvel 4, compreende
um cofre interior sala de cerimnia e um gabinete reforado trancado no Data
Center. Materiais criptogrficos tais como chaves, dados de ativao, suas cpias e
equipamentos criptogrficos so armazenados em ambiente de nvel 5 ou superior.
5.1.2.1.13. Para garantir a segurana do material armazenado, o cofre e o gabinete
obedecem s seguintes especificaes:
a)
confeccionado em ao;
b)
possui tranca com chave.

44/68
5.1.2.1.14. O sexto nvel (nvel 6) constitui-se de pequenos depsitos localizados

no interior do cofre da sala de cerimnia (Nvel 5). Cada um desses depsitos
dispe de 2 fechaduras, sendo uma individual e a outra comum a todos os
depsitos. Os dados de ativao da chave privada da AC Instituto Fenacon RFB so
armazenados nesses depsitos.
5.1.2.2 Sistemas fsicos de deteco
5.1.2.2.1. Todas as passagens entre os nveis de acesso, bem como as salas de
operao de nvel 4, so monitoradas por cmeras de vdeo ligadas a um sistema
de gravao 24x7.
5.1.2.2.2. As fitas de vdeo resultantes da gravao 24x7 so armazenadas por um
ano. Elas so testadas (verificao de trechos aleatrios no incio, meio e final da
fita) trimestralmente, com a escolha de, no mnimo, uma fita referente a cada
semana. Essas fitas so armazenadas em ambiente de terceiro nvel.
5.1.2.2.3. Todas as portas de passagem entre os nveis de acesso 3 e 4 do
ambiente so monitoradas por sistema de notificao de alarmes. A partir do nvel
2, vidros que separam os nveis de acesso, possuem alarmes de quebra de vidros
ligados ininterruptamente.
5.1.2.2.4. Em todos os ambientes de quarto nvel, um alarme de deteco de
movimentos permanece ativo enquanto no for satisfeito o critrio de acesso ao
ambiente. Assim que o critrio mnimo de ocupao deixa de ser satisfeito, devido
sada de um ou mais empregados, ocorre a reativao automtica dos sensores
de presena.
5.1.2.2.5. O sistema de notificao de alarmes utiliza 2 (dois) meios de notificao:
sonoro e visual.
5.1.2.2.6. O sistema de monitoramento das cmeras de vdeo, bem como o
sistema de notificao de alarmes esto localizados em ambiente de nvel 3 e so
permanentemente monitorados por guarda armado. As instalaes do sistema de
monitoramento esto sendo monitoradas, por sua vez, por cmera de vdeo que
permite acompanhar as aes do guarda.
5.1.2.3 Sistema de controle de acesso
O sistema de controle de acesso est baseado em um ambiente de nvel 4.
5.1.2.4 Mecanismos de emergncia
5.1.2.4.1. Mecanismos especficos so implantados pela AC Instituto Fenacon RFB
para garantir a segurana de seu pessoal e de seus equipamentos em situaes de
45/68
emergncia. Esses mecanismos permitem o destravamento de portas por meio de

acionamento mecnico, para a sada de emergncia de todos os ambientes com
controle de acesso. A sada efetuada por meio desses mecanismos aciona
imediatamente os alarmes de abertura de portas.
5.1.2.4.2. Todos os procedimentos referentes aos mecanismos de emergncia so
documentados. Os mecanismos e procedimentos de emergncia so verificados,
semestralmente, por meio de simulao de situaes de emergncia.
5.1.3. Energia e ar condicionado nas instalaes de AC
5.1.3.1. A infra-estrutura do ambiente de certificao da AC Instituto Fenacon RFB
est dimensionada com sistemas e dispositivos que garantem o fornecimento
ininterrupto de energia eltrica s instalaes. As condies de fornecimento de
energia so mantidas de forma a atender os requisitos de disponibilidade dos
sistemas da AC Instituto Fenacon RFB e seus respectivos servios. Um sistema de
aterramento est disponvel no ambiente da AC Instituto Fenacon RFB.
5.1.3.2. Todos os cabos eltricos so protegidos por tubulaes ou dutos
apropriados.
5.1.3.3. Existem tubulaes, dutos, calhas, quadros e caixas de passagem,
distribuio e terminao projetados e construdos de forma a facilitar vistorias e
a deteco de tentativas de violao. So utilizados dutos separados para os cabos
de energia, telefonia e dados.
5.1.3.4.
Todos
os
cabos
so
catalogados,
identificados
periodicamente
vistoriados, a cada 6 meses, na busca de evidncias de violao ou de outras

anormalidades.
5.1.3.5. So mantidos atualizados os registros sobre a topologia da rede de cabos,
observados os requisitos de sigilo estabelecidos pela Poltica de Segurana da ICPBrasil. Qualquer modificao nessa rede previamente documentada.
5.1.3.6. No so admitidas instalaes provisrias, fiaes expostas ou diretamente
conectadas s tomadas sem a utilizao de conectores adequados.
5.1.3.7. O sistema de climatizao atende os requisitos de temperatura e umidade
exigidos pelos equipamentos utilizados no ambiente e dispe de filtros de poeira.
Nos ambientes de nvel 4, o sistema de climatizao independente e tolerante
falhas.
5.1.3.8. A temperatura dos ambientes atendidos pelo sistema de climatizao
permanentemente monitorada pelo sistema de notificao de alarmes.
46/68
5.1.3.9. O sistema de ar condicionando dos ambientes de nvel 4 interno, com

troca de ar realizada apenas por abertura da porta.
5.1.3.10. A capacidade de redundncia de toda a estrutura de energia e ar
condicionado da AC Instituto Fenacon RFB garantida, por meio de:
a) gerador de porte compatvel;
b) gerador de reserva;
c)
sistemas de no-breaks redundantes;
d) sistemas redundantes de ar condicionado.

5.1.4. Exposio gua nas instalaes de AC
A estrutura inteiria do ambiente de nvel 4 construdo na forma de clula
estanque, prov proteo fsica contra exposio gua e infiltraes provenientes
de qualquer fonte externa.
5.1.5. Preveno e proteo contra incndio nas instalaes de AC
5.1.5.1. Os sistemas de preveno contra incndios, internos aos ambientes,
possibilitam alarmes preventivos antes de fumaa visvel, disparados somente com
a presena de partculas que caracterizam o sobreaquecimento de materiais
eltricos e outros materiais combustveis presentes nas instalaes.
5.1.5.2. Nas instalaes da AC Instituto Fenacon RFB no permitido fumar ou
portar objetos que produzam fogo ou fasca.
5.1.5.3. A sala-cofre de nvel 4 possui sistema para deteco precoce de fumaa e
sistema de extino de incndio por gs. As portas de acesso sala-cofre
constituem eclusas, onde uma porta s abre quando a anterior estiver fechada.
5.1.5.4. Em caso de incndio nas instalaes da AC Instituto Fenacon RFB, a
temperatura interna da sala-cofre de nvel 4 no excede 50 graus Celsius, e a sala
suporta esta condio por, no mnimo, uma hora.
5.1.6. Armazenamento de mdia nas instalaes de AC
A AC Instituto Fenacon RFB atende s normas NBR 11.515 e NB 1334 (Critrios de
Segurana Fsica Relativos ao Armazenamento de Dados ).
5.1.7. Destruio de lixo nas instalaes de AC
5.1.7.1. Todos os documentos em papel que contenham informaes classificadas
como sensveis so triturados antes de ir para o lixo.
47/68
5.1.7.2. Todos os dispositivos magnticos no mais utilizveis e que tenham sido

anteriormente utilizados para o armazenamento de informaes sensveis so
desmagnetizados com ferramentas especficas, e so fisicamente destrudos.
5.1.8. Instalaes de segurana (backup) externas (off-site)
As instalaes de backup atendem os requisitos mnimos estabelecidos por este
documento. Sua localizao tal que, em caso de sinistro que torne inoperantes as
instalaes principais, as instalaes de backup no sero atingidas e tornar-se-o
totalmente operacionais em, no mximo, 48 (quarenta e oito) horas.
5.1.9. Instalaes tcnicas de AR
As instalaes tcnicas de AR atendem aos requisitos estabelecidos no documento
CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA ICP-BRASIL [1].
5.2. Controles Procedimentais
5.2.1. Perfis qualificados
5.2.1.1. A AC Instituto Fenacon RFB pratica uma poltica de segregao de funes,
controlando e registrando o acesso fsico e lgico s funes crticas do ciclo de
vida dos certificados digitais, de forma a garantir a segurana da atividade de
certificao e evitar a manipulao desautorizada do sistema. As aes permitidas
so limitadas de acordo com o perfil de cada cargo.
5.2.1.2. A AC Instituto Fenacon RFB estabelece 4 perfis distintos para sua
operao, atribudos s seguintes gerncias:
Gerncia de Operaes:
- configurao e manuteno do hardware e do software da AC Instituto
Fenacon RFB;
- gerenciamento e controle da tecnologia empregada nos servios de
certificao da AC Instituto Fenacon RFB;
- controle de acesso dos funcionrios rede AC Instituto Fenacon RFB ;
- gerenciamento dos operadores da AC Instituto Fenacon RFB;
- controle de acesso ao sistema de certificao.
Gerncia de Segurana:
- implementao da Poltica de Segurana da AC Instituto Fenacon RFB ;
- verificao dos registros de auditoria;
- superviso do cumprimento das prticas e procedimentos determinados
na Poltica de Segurana da AC Instituto Fenacon RFB;
- acompanhamento das auditorias de segurana realizadas por terceiros;
- verificao do cumprimento desta DPC;

48/68
- autorizao e concesso de acesso s instalaes fsicas e autorizao de

acessos lgicos ao sistema de certificao;
- utilizao de criptografia para a segurana da base de dados de registro
de auditoria do sistema de certificao.
Gerncia de Criptografia:
- administrao e controle dos componentes criptogrficos da AC Instituto
Fenacon RFB;
- verificao dos registros de acesso aos diferentes nveis de proteo das
chaves privadas das AC (logs);
- elaborao das cerimnias de gerao de chaves de AC;
- armazenamento dos registros de auditoria do sistema de certificao;
- utilizao de criptografia para segurana de acesso ao aplicativo de
certificao.
Gerncia de Validao:
- superviso e controle dos processos de identificao dos solicitantes de
certificados;
- gerenciamento
dos
certificados:
emisso,
expedio,
distribuio,
revogao de certificados.
5.2.1.3. Os operadores do sistema de certificao da AC Instituto Fenacon RFB
recebem treinamento especfico antes de obter qualquer tipo de acesso ao sistema.
O tipo e o nvel de acesso esto determinados, em documento formal (Poltica de
Segurana da AC Instituto Fenacon RFB), com base nas necessidades de cada
perfil.
5.2.1.4. A AC Instituto Fenacon RFB possui rotinas de atualizao das permisses
de acesso e procedimentos especficos para situaes de demisso ou mudana de
funo dos empregados. Existe uma lista de revogao com todos os recursos,
antes disponibilizados, que o empregado devolve AC Instituto Fenacon RFB no
ato de seu desligamento.
5.2.2. Nmero de pessoas necessrio por tarefa
5.2.2.1. Controle multiusurio requerido para a gerao e a utilizao da chave
privada da AC Instituto Fenacon RFB, conforme o descrito em 6.2.2.
5.2.2.2. Todas as tarefas executadas no ambiente onde esta localizado o
equipamento de certificao da AC Instituto Fenacon RFB requerem a presena de,
no mnimo, 2 (dois) de seus empregados com perfis qualificados.
tarefas da AC podem ser executadas por um nico empregado.

49/68
As demais
5.2.3. Identificao e autenticao para cada perfil

5.2.3.1. Todo empregado da AC Instituto Fenacon RFB tem sua identidade e perfil
verificados antes de:
a) ser includo em uma lista de acesso s instalaes da AC Instituto Fenacon
RFB;
b) ser includo em uma lista para acesso fsico ao sistema de certificao da AC
c)
receber um certificado para executar suas atividades operacionais na AC

Instituto Fenacon RFB; e
d) receber uma conta no sistema de certificao da AC Instituto Fenacon RFB.

5.2.3.2.
Os
certificados,
contas
senhas
utilizados
para
identificao
autenticao dos empregados:

a) so diretamente atribudos a um nico empregado;
b) no so compartilhados; e
c)
so restritos s aes associadas ao perfil para o qual foram criados.
5.2.3.3. A AC Instituto Fenacon RFB adota padro de utilizao de "senhas fortes",

definido na sua Poltica de Segurana e em conformidade com a Poltica de
Segurana da ICP-Brasil, juntamente com procedimentos de validao dessas
senhas.
5.3. Controles de Pessoal
Todos os empregados da AC Instituto Fenacon RFB, das AR e PSS vinculados
encarregados de tarefas operacionais tm registrado em contrato ou termo de
titularidade:
a) os termos e as condies do perfil que ocupam;
b) o compromisso de observar as normas, polticas e regras aplicveis da ICP-Brasil;
c)
o compromisso de no divulgar informaes sigilosas a que tenham acesso.

5.3.1. Antecedentes, qualificao, experincia e requisitos de idoneidade
Todo o pessoal da AC Instituto Fenacon RFB e das AR vinculadas envolvido em
atividades diretamente relacionadas com os processos de emisso, expedio,
distribuio, revogao e gerenciamento de certificados admitido conforme
estabelecido na POLTICA DE SEGURANA DA ICP-BRASIL [8].
5.3.2. Procedimentos de verificao de antecedentes
5.3.2.1. Com o propsito de resguardar a segurana e a credibilidade das
entidades, todo o pessoal da AC Instituto Fenacon RFB e das AR vinculadas

50/68
envolvido em atividades diretamente relacionadas com os processos de emisso,

expedio, distribuio, revogao e gerenciamento de certificados submetido,
pelo menos, a:
a)
verificao de antecedentes criminais;
b)
verificao de situao de crdito;
c)
verificao de histrico de empregos anteriores; e
d)
comprovao de escolaridade e de residncia.
5.3.3. Requisitos de treinamento
distribuio, revogao e gerenciamento de certificados recebem treinamento
documentado, suficiente para o domnio dos seguintes temas:
a)
princpios e mecanismos de segurana da AC Instituto Fenacon RFB e das

AR vinculadas;
b)
sistema de certificao em uso na AC Instituto Fenacon RFB;
c)
procedimentos de recuperao de desastres e de continuidade do negcio;
d)
reconhecimento de assinaturas e validade dos documentos apresentados,

na forma dos itens 3.1.9, 3.1.10 e 3.1.11; e
e)
outros assuntos relativos a atividades sob sua responsabilidade.
5.3.4. Freqncia e requisitos para reciclagem tcnica

O pessoal da AC Instituto Fenacon RFB e das AR vinculadas envolvido em
distribuio, revogao e gerenciamento de certificados
mantido atualizado
sobre mudanas tecnolgicas nos sistemas da AC Instituto Fenacon RFB.

5.3.5. Freqncia e seqncia de rodzio de cargos
No estabelecido.
5.3.6. Sanes para aes no autorizadas
5.3.6.1. Na eventualidade de uma ao no autorizada, real ou suspeita, ser
realizada por pessoa encarregada de processo operacional da AC Instituto Fenacon
RFB ou de uma AR vinculada, o acesso dessa pessoa ao sistema de certificao
suspenso, instaurado processo administrativo para apurar os fatos e, se for o
caso, so tomadas as medidas administrativas e legais cabveis.
5.3.6.2. O processo administrativo referido acima contm, no mnimo, os seguintes
itens:
51/68
a) relato da ocorrncia com modus operandis;

b) identificao dos envolvidos;
c)
eventuais prejuzos causados;
d) punies aplicadas, se for o caso; e

e) concluses.
5.3.6.3. Concludo o processo administrativo, a AC Instituto Fenacon RFB
encaminha suas concluses AC Raiz.
5.3.6.4. As punies passveis de
aplicao, em decorrncia de
processo
administrativo, so:
a) advertncia;
b) suspenso por prazo determinado; ou
c)
impedimento definitivo de exercer funes no mbito da ICPBrasil.
5.3.7. Requisitos para contratao de pessoal

distribuio, revogao e gerenciamento de certificados contratado conforme o
estabelecido na POLTICA DE SEGURANA DA ICP-BRASIL [8].
5.3.8. Documentao fornecida ao pessoal
5.3.8.1. A AC Instituto Fenacon RFB disponibiliza para todo o seu pessoal e para o
pessoal das AR vinculadas:
a) A DPC da AC Instituto Fenacon RFB;
b) a PC correspondente;
c)
a POLTICA DE SEGURANA DA ICP-BRASIL [8];
d) documentao operacional relativa a suas atividades; e

e) contratos, normas e polticas relevantes para suas atividades.
5.3.8.2. A documentao fornecida classificada segundo a poltica de classificao
de informao definida pela AC Instituto Fenacon RFB e mantida atualizada.

52/68
6.
CONTROLES TCNICOS DE SEGURANA

6.1. Gerao e Instalao do Par de Chaves
6.1.1. Gerao do par de chaves
6.1.1.1. O par de chaves criptogrficas da AC Instituto Fenacon RFB gerado pela
prpria AC Instituto Fenacon RFB, aps ter sido credenciada e autorizada a
funcionar no mbito da ICP-Brasil.
6.1.1.2. A gerao do par de chaves de AC Instituto Fenacon RFB realizada em
processo verificvel, obrigatoriamente na presena de mltiplos funcionrios de
confiana da AC Instituto Fenacon RFB, treinados para a funo.
A gerao destas chaves obedece a procedimento formalizado, controlado e
passvel de auditoria.
O par de chaves da AC Instituto Fenacon RFB gerado em mdulos criptogrficos
de hardware com padro de segurana FIPS 140-2 nvel 3, utilizando o algoritmo
RSA.
Somente os titulares dos certificados emitidos pela AC Instituto Fenacon RFB geram
os seus respectivos pares de chaves.
Os procedimentos especficos esto
descritos em cada PC implementada pela AC Instituto Fenacon RFB.

6.1.1.3. Cada PC implementada pela AC Instituto Fenacon RFB define o meio
utilizado para armazenamento da chave privativa, com base nos requisitos
aplicveis
estabelecidos
pelo
documento
REQUISITOS
MNIMOS
PARA
AS
POLTICAS DE CERTIFICADO NA ICP-BRASIL [7].

6.1.2. Entrega da chave privada entidade titular
A gerao e a guarda de uma chave privada de responsabilidade exclusiva do
titular do certificado correspondente.
6.1.3. Entrega da chave pblica para emissor de certificado
6.1.3.1. A AC Instituto Fenacon RFB entrega cpia de sua chave pblica para a AC
Instituto Fenacon em formato PKCS #10. Essa entrega feita por representante
legal constitudo da AC Instituto Fenacon RFB, em cerimnia especifica, em data e
hora previamente estabelecida.
6.1.3.2. Os usurios finais enviam suas chaves pblicas a AC Instituto Fenacon RFB por
meio eletrnico em formato PKCS#10, atravs de uma sesso segura fixada pelo Secure
Socket Layer (SSL).
53/68
Os procedimentos especficos aplicveis esto detalhados nas PC implementadas.

6.1.4. Disponibilizao de chave pblica da AC para usurios
A AC Instituto Fenacon RFB disponibiliza o seu certificado e todos os certificados
da cadeia de certificao para os usurios da ICP-Brasil, atravs endereo Web:
http://icp-brasil.acfenacon.com.br/repositorio/AC-Instituto-FenaconRFB/index.htm.
6.1.5. Tamanhos de chave
6.1.5.1. Cada PC implementada pela AC Instituto Fenacon RFB define o tamanho
das chaves criptogrficas associadas aos certificados emitidos, com base nos
requisitos aplicveis estabelecidos pelo documento REQUISITOS MNIMOS PARA AS
POLTICAS DE CERTIFICADO NA ICP-BRASIL [7].
6.1.5.2. O tamanho das chaves criptogrficas associadas ao certificado da AC
Instituto Fenacon RFB de 4096 bits.
6.1.6. Gerao de parmetros de chaves assimtricas
Os parmetros de gerao de chaves assimtricas da AC Instituto Fenacon RFB
adotam o padro FIPS 140-1 nvel 2 (para a cadeia de certificao V0); ou FIPS
140-2 nvel 2 (para a cadeia de certificao V1); ou FIPS 140-2 nvel 3 (para as
cadeias de certificao V2 e V3), conforme definido no documento PADRES E
ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [9].
6.1.7. Verificao da qualidade dos parmetros
Os parmetros so verificados de acordo com as normas estabelecidas pelo padro
definido no documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICPBRASIL [9].
6.1.8. Gerao de chave por hardware ou software
6.1.8.1. As chaves da AC Instituto Fenacon RFB so geradas, armazenadas e
utilizadas dentro de hardware especfico, compatveis com as normas estabelecidas
pelo padro FIPS 140-1 nvel 2 (para a cadeia de certificao V0); ou FIPS 140-2
nvel 2 (para a cadeia de certificao V1); ou FIPS 140-2 nvel 3 (para as cadeias
de
certificao
V2
V3),
conforme
definido
no
documento
PADRES
ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [9].

6.1.8.2. Cada PC implementada pela AC Instituto Fenacon RFB caracteriza o
processo utilizado para a gerao de chaves criptogrficas privativa dos titulares
54/68
dos certificados, com base nos requisitos aplicveis estabelecidos pelo documento
REQUISITOS MNIMOS PARA AS POLTICAS DE CERTIFICADO NA ICP-BRASIL [7].
6.1.9. Propsitos de uso de chave (conforme o campo key usage na X.509
v3)
6.1.9.1. Os certificados de assinatura emitidos pela AC Instituto Fenacon RFB tm
ativados os bits digitalSignature, nonRepudiation e keyEncipherment.
Os propsitos para os quais podem ser utilizadas as chaves criptogrficas dos
titulares de certificados emitidos pela AC Instituto Fenacon RFB, bem como as
possveis restries cabveis, em conformidade com as aplicaes definidas para os
certificados correspondentes esto especificados em cada PC que implementa.
6.1.9.2. A chave privada da AC Instituto Fenacon RFB utilizada apenas para a
assinatura dos certificados por ela emitidos e de sua LCR.
6.2.
Proteo da Chave Privada
A AC Instituto Fenacon RFB implementa uma combinao de controles fsicos lgicos e

procedimentais de forma a garantir a segurana de suas chaves privadas. Controles
Lgico e Procedimental esto descritos no item 5.2. Controle de acesso fsico est
descrito no item 5.1.2.
A chave privada da AC Instituto Fenacon RFB armazenada de forma cifrada no
mesmo componente seguro de hardware utilizado para sua gerao. O acesso a
esse componente controlado por meio de chave criptogrfica de ativao.
Os titulares de certificados emitidos pela
AC Instituto Fenacon RFB, so
responsveis pela guarda da chave privada e adotam as medidas de preveno de

perda, divulgao, modificao ou uso desautorizado da suas chaves privadas.
6.2.1. Padres para mdulo criptogrfico
6.2.1.1. O mdulo criptogrfico de gerao de chaves assimtricas da AC Instituto
Fenacon RFB adota o padro FIPS 140-1 nvel 2 (para a cadeia de certificao V0);
ou FIPS 140-2 nvel 2 (para a cadeia de certificao V1); ou FIPS 140-2 nvel 3
(para as cadeias de certificao V2 e V3), conforme definido no documento
PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [9].
6.2.1.2. Os Titulares de Certificado devem garantir que o mdulo criptogrfico
utilizado na gerao e utilizao de suas chaves criptogrficas segue o padro FIPS
140-1 ou FIPS 140-2, conforme definido no documento PADRES E ALGORITMOS

55/68
CRIPTOGRFICOS DA ICP-BRASIL [9] ou outro de contedo semelhante a um

destes.
6.2.2. Controle n de m para chave privada
6.2.2.1. A AC Instituto Fenacon RFB exige controle mltiplo para utilizao da sua
chave privada.
6.2.2.2. necessria a presena de pelo menos 3 (trs) de um grupo de 10 (dez)
funcionrios de confiana, com perfis qualificados
para a
utilizao da chave
privada da AC Instituto Fenacon RFB.

6.2.3. Recuperao (escrow) de chave privada
No permitida, no mbito da ICP-Brasil, a recuperao (escrow) de chaves
privadas, isto , no se permite que terceiros possam legalmente obter uma chave
privada sem o consentimento de seu titular.
6.2.4. Cpia de segurana (backup) de chave privada
6.2.4.1. Qualquer entidade titular de certificado pode, a seu critrio, manter cpia
de segurana de sua chave privada.
6.2.4.2. A AC Instituto Fenacon RFB mantm cpia de segurana de sua chave
privada.
6.2.4.3. A AC Instituto Fenacon RFB no mantm cpia de segurana de chave
privada de titular de certificado de assinatura digital por ela emitido. Por solicitao
do respectivo titular ou de empresa ou rgo, quando o titular do certificado for
seu empregado ou cliente, a AC Instituto Fenacon RFB poder manter cpia de
segurana de chave privada correspondente a certificado de sigilo por ela emitido.
6.2.4.4. Em qualquer caso, a cpia de segurana armazenada, cifrada, por
algoritmo 3DES 112 bits ou AES 128 ou 256 bits, conforme definido no
documento PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [9], e
protegida com um nvel de segurana no inferior quele definido para a chave
original.
6.2.5. Arquivamento de chave privada
6.2.5.1. As chaves privadas de sigilo so arquivadas com um nvel de segurana
no inferior quele definido para a chave original. No so arquivadas chaves
privadas de assinatura digital.

56/68
6.2.5.2. Define-se arquivamento como o armazenamento da chave privada para

seu uso futuro, aps o perodo de validade do certificado correspondente.
6.2.6. Insero de chave privada em mdulo criptogrfico
A AC Instituto Fenacon RFB gera seus pares de chaves diretamente, sem inseres,
em mdulos de hardware criptogrfico onde as chaves sero utilizadas.
6.2.7. Mtodo de ativao de chave privada
A ativao das chaves privadas das AC Instituto Fenacon RFB coordenada pelo
seu Gerente de Criptografia, onde 3 de um grupo de 10 funcionrios com perfis
qualificados da AC Instituto Fenacon RFB, detentores de partio da chave de
ativao do equipamento criptogrfico (PIN), apresentam tais componentes em
cerimnia especfica.
Esses funcionrios so identificados pelo crach funcional emitido pela AC Instituto
Fenacon RFB contendo fotografia, nome, e departamento do funcionrio.
Cada PC implementada descreve os requisitos e os procedimentos necessrios para
a ativao da chave privada de entidade titular de certificado.
O titular de certificado de e-CPF ou e-CNPJ deve obrigatoriamente utilizar senha
para a proteo de sua chave privada, de acordo com o art. 5 da Instruo
Normativa RFB N 222, de 11 de Outubro de 2002.
6.2.8. Mtodo de desativao de chave privada

A chave privativa da AC Instituto Fenacon RFB, instalada em ambiente de produo
dos sistemas de certificao, localiza-se em nvel de segurana 4, onde s
permitido o acesso ao ambiente em duplas devidamente autorizadas pelo sistema
de controle de acesso da AC Instituto Fenacon RFB.
Dentro deste ambiente, somente funcionrios qualificados do departamento de
operaes tm acesso ao sistema de certificao de produo, onde so executados
os comandos de desativao do sistema, aps a sua devida identificao e
autorizao feita atravs de mecanismos nativos do sistema operacional.
Esses funcionrios so identificados pelo crach funcional emitido pela AC Instituto
Fenacon RFB contendo fotografia, nome, e departamento do funcionrio.
a desativao da chave privada de entidade titular de certificado.

57/68
6.2.9. Mtodo de destruio de chave privada

O Gerente de Criptografia da AC Instituto Fenacon RFB, de posse da chave privada
original e suas cpias de segurana a serem destrudas, acompanhado do Gerente
de Segurana e do representante legal da AC Instituto Fenacon RFB, titular do
certificado, conduz cerimnia especifica, em ambiente de nvel 4 de segurana,
para reinicializao das mdias de armazenamento das chaves privadas, no
deixando informaes remanescente sensveis nessas mdias.
Os Gerentes de Criptografia e Segurana so identificados pelo crach funcional
emitido pela AC Instituto Fenacon RFB contendo fotografia, nome, e departamento
do funcionrio. O representante legal da AC Instituto Fenacon RFB identificado
atravs de cdula de identidade ou passaporte, se estrangeiro.
a destruio da chave privada de entidade titular de certificado.
6.3.
Outros Aspectos do Gerenciamento do Par de Chaves
6.3.1. Arquivamento de chave pblica

As chaves pblicas da AC Instituto Fenacon RFB e dos titulares dos certificados de
assinatura digital por ela emitidos, bem como as LCR emitidas permanecem
armazenadas
aps
expirao
dos
certificados
correspondentes,
permanentemente, para verificao de assinaturas geradas durante seu perodo de

validade.
6.3.2. Perodos de uso para as chaves pblica e privada
6.3.2.1. As chaves privadas dos titulares dos certificados de assinatura digital
emitidos pela AC Instituto Fenacon RFB so utilizadas apenas durante o perodo de
validade dos certificados correspondentes. As correspondentes chaves pblicas
podem ser utilizadas durante todo perodo de tempo determinado pela legislao
aplicvel, para verificao de assinaturas geradas durante o prazo de validade dos
respectivos certificados.
6.3.2.2. Os perodos de uso das chaves correspondentes aos certificados de sigilo
emitidos pela AC Instituto Fenacon RFB so definidos nas respectivas PC.
6.3.2.3. Cada PC implementada pela AC Instituto Fenacon RFB define o perodo
mximo
de
validade
do
certificado,
com
base
nos
requisitos
aplicveis
estabelecidos pelo documento REQUISITOS MNIMOS PARA AS POLTICAS DE

CERTIFICADO NA ICP-BRASIL [7].

58/68
6.3.2.4. O perodo mximo de validade admitido para certificados da AC Instituto

Fenacon RFB de 8 (oito) anos.
6.4.
Dados de Ativao
Os dados de ativao, distintos das chaves criptogrficas, so aqueles requeridos

para a operao de alguns mdulos criptogrficos. Cada PC implementada descreve
os requisitos especficos aplicveis.
6.4.1. Gerao e instalao dos dados de ativao
6.4.1.1. Os dados de ativao do equipamento de criptografia que armazena as
chaves privadas da AC Instituto Fenacon RFB so nicos e aleatrios.
6.4.1.2. Cada PC implementada garante que os dados de ativao da chave privada
da entidade titular do certificado, se utilizados, so nicos e aleatrios.
6.4.2. Proteo dos dados de ativao
6.4.2.1. A AC Instituto Fenacon RFB garante que os dados de ativao de sua
chave privada so protegidos contra uso no autorizado, por meio de mecanismo
de criptografia e de controle de acesso fsico.
6.4.2.2. Cada PC implementada garante que os dados de ativao da chave privada
da entidade titular do certificado, se utilizados, so protegidos contra o uso no
autorizado.
6.4.3. Outros aspectos dos dados de ativao
No se aplica.
6.5.
Controles de Segurana Computacional
6.5.1. Requisitos tcnicos especficos de segurana computacional

6.5.1.1. A gerao do par de chaves da AC Instituto Fenacon RFB realizada em
ambiente prprio para a conduo de Cerimnia de Gerao de Chaves. O
ambiente computacional mantido off-line de modo a impedir o acesso remoto
no-autorizado.
6.5.1.2. Os requisitos de segurana computacional do equipamento onde so
gerados os pares de chaves criptogrficas dos titulares de certificados emitidos pela
AC Instituto Fenacon RFB so descritos em cada PC implementada.

59/68
6.5.1.3. O ambiente computacional da AC Instituto Fenacon RFB relacionado

diretamente com os processos de emisso, expedio, distribuio, revogao ou
gerenciamento de certificados, implementa, entre outras, as seguintes funes:
a) controle de acesso aos servios e perfis da AC Instituto Fenacon RFB;
b) separao das tarefas e atribuies relacionadas a cada perfil qualificado da AC
c)
uso de criptografia para segurana de base de dados, quando exigido pela

classificao de suas informaes;
d) gerao e armazenamento de registros de auditoria da AC Instituto Fenacon

RFB;
e) mecanismos internos de segurana para garantia da integridade de dados e
processos crticos; e
f)
mecanismos para cpias de segurana (backup).
6.5.1.4. Essas caractersticas so implementadas pelo sistema operacional ou por

meio da combinao deste com o sistema de certificao e mecanismos de
segurana fsica.
6.5.1.5. As informaes sensveis contidas nos equipamentos so retiradas dos
equipamentos para manuteno.
Os nmeros de srie dos equipamentos e as datas de envio e de recebimento da
manuteno so controladas. Ao retornar s instalaes da AC Instituto Fenacon
RFB, o equipamento que passou por manuteno inspecionado. As informaes
sensveis armazenadas, relativas atividade da AC Instituto Fenacon RFB, so
destrudas de maneira definitiva nos equipamentos que deixam de ser utilizados
em carter permanente. Todos esses eventos so registrados para fins de
auditoria.
6.5.1.6. Equipamentos utilizados pela AC Instituto Fenacon RFB so preparados e
configurados como previsto na Poltica de Segurana da AC Instituto Fenacon RFB
implementada ou em outro documento aplicvel, para apresentar o nvel de
segurana necessrio sua finalidade.
6.5.2. Classificao da segurana computacional
A segurana computacional da AC Instituto Fenacon RFB segue as recomendaes
Common Criteria.
6.5.3. Controles de Segurana para as Autoridades de Registro
6.5.3.1. Neste item esto descritos os requisitos de segurana computacional das
estaes de trabalho e dos computadores portteis utilizados pelas AR para os
processos de validao e aprovao de certificados.
60/68
6.5.3.2. Os requisitos abaixo correspondem aos especificados no documento

CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA ICPBRASIL [1]:
a) controle de acesso lgico ao sistema operacional;
b) exigncia de uso de senhas fortes;
c) diretivas de senha e de bloqueio de conta;
d) logs de auditoria do sistema operacional ativados, registrando:
i. iniciao e desligamento do sistema;
ii. tentativas de criar, remover, definir senhas ou mudar privilgios de sistema
dos
operadores da AR;
iii. mudanas na configurao da estao;
iv. tentativas de acesso (login) e de sada do sistema (logoff);
v. tentativas no-autorizadas de acesso aos arquivos de sistema;
vi. tentativas de iniciar, remover, habilitar e desabilitar usurios e de atualizar
e recuperar suas chaves.
e) antivrus, antitrojan e antispyware, instalados, atualizados e habilitados;
f) firewall pessoal ativado, com permisses de acesso mnimas necessrias s
atividades,
podendo
esse
ser
substitudo
por
firewall
corporativo,
para
equipamentos instalados em redes que possuam esse dispositivo;

g) proteo de tela acionada no mximo aps dois minutos de inatividade e
exigindo senha do usurio para desbloqueio;
h) sistema operacional mantido atualizado, com aplicao de correes necessrias
(patches, hotfix, etc.);
i) utilizao apenas de softwares licenciados e necessrios para a realizao das

atividades do usurio;
61/68
j) impedimento de login remoto, via outro equipamento ligado rede de

computadores utilizada pela AR, exceto para as atividades de suporte remoto;
k) utilizao da data e Hora Legal Brasileira.
6.6.
Controles Tcnicos do Ciclo de Vida
A AC Instituto Fenacon RFB desenvolve sistemas apenas com finalidade relacionada

operao de suas AR vinculadas.
6.6.1. Controles de desenvolvimento de sistema
6.6.1.1. A AC Instituto Fenacon RFB utiliza um modelo clssico espiral no
desenvolvimento dos sistemas. So realizadas as fases de requisitos, anlise,
projeto, codificao e teste para cada interao do sistema utilizando tecnologias
de orientao a objetos. Como suporte a esse modelo, a AC Instituto Fenacon RFB
utiliza uma gerncia de configurao, gerncia de mudana, testes formais e outros
processos informais.
6.6.1.2. Os processos de projeto e desenvolvimento conduzidos pela AC Instituto
Fenacon RFB provem documentao suficiente para suportar avaliaes externas
de segurana dos componentes da AC Instituto Fenacon RFB.
6.6.2. Controles de gerenciamento de segurana
6.6.2.1. A AC Instituto Fenacon RFB verifica os nveis configurados de segurana
com
periodicidade
semanal
atravs de
ferramentas
do
prprio
sistema
operacional. As verificaes so feitas atravs da emisso de comandos de sistema

e comparando-se com as configuraes aprovadas. Em caso de divergncia, so
tomadas as medidas para recuperao da situao, conforme a natureza do
problema e averiguao do fato gerador do problema para evitar sua recorrncia.
6.6.2.2. A AC Instituto Fenacon RFB utiliza metodologia formal de gerenciamento
de configurao para a instalao e a contnua manuteno do sistema.
6.6.3. Classificaes de segurana de ciclo de vida
No se aplica.

62/68
6.6.4. Controles na Gerao de LCR

Antes de publicadas, todas as LCR geradas pela AC so checadas quanto
consistncia de seu contedo, comparando-o com o contedo esperado em relao
a nmero da LCR, data/hora de emisso e outras informaes relevantes.
6.7. Controles de Segurana de Rede
6.7.1. Diretrizes Gerais
6.7.1.1. Neste item so descritos os controles relativos segurana da rede da AC
Instituto Fenacon RFB, incluindo firewalls e recursos similares.
6.7.1.2. Nos servidores do sistema de certificao da AC Instituto Fenacon RFB,
somente os servios estritamente necessrios para o funcionamento da aplicao
so habilitados.
6.7.1.3. Todos os servidores e elementos de infra-estrutura e proteo de rede,
tais como roteadores, hubs, switches, firewalls, e sistemas de deteco de intrusos
(IDS), localizados no segmento de rede que hospeda o sistema de certificao
esto localizados e operam em ambiente de nvel 4.
6.7.1.4. As verses mais recentes dos sistemas operacionais e dos aplicativos
servidores, bem como as eventuais correes (patches), disponibilizadas pelos
respectivos fabricantes so implantadas imediatamente aps testes em ambiente
de desenvolvimento ou homologao.
6.7.1.5. O acesso lgico aos elementos de infra-estrutura e proteo de rede
restrito, por meio de sistema de autenticao e autorizao de acesso. Os
roteadores conectados a redes externas implementam filtros de pacotes de dados,
que permitem somente as conexes aos servios e servidores previamente
definidos como passveis de acesso externo.
6.7.2. Firewall
6.7.2.1. Mecanismos de firewall so implementados em equipamentos de utilizao
especfica, configurados exclusivamente para tal funo. O firewall promove o
isolamento, em sub-redes especficas, dos equipamentos servidores com acesso
externo
conhecida
"zona
desmilitarizada"
(DMZ)
em
relao
aos
equipamentos com acesso exclusivamente interno AC Instituto Fenacon RFB.

6.7.2.2. O software de firewall, entre outras caractersticas, implementa registros
de auditoria.

63/68
6.7.3. Sistema de deteco de intruso (IDS)

6.7.3.1. O sistema de deteco de intruso est configurado para reconhecer
ataques em tempo real e respond-los automaticamente, com medidas tais como:
enviar traps SNMP, executar programas definidos pela administrao da rede,
enviar e-mail aos administradores, enviar mensagens de alerta aos firewalls ou ao
terminal de gerenciamento, promover a desconexo automtica de conexes
suspeitas ou ainda a reconfigurao dos firewalls.
6.7.3.2. O sistema de deteco de intruso reconhece diferentes padres de
ataques, inclusive contra o prprio sistema, com atualizao da sua base de
reconhecimento.
6.7.3.3. O sistema de deteco de intruso prov o registro dos eventos em logs,
recuperveis em arquivos do tipo texto, alm de implementar uma gerncia de
configurao.
6.7.4. Registro de acessos no-autorizados rede
As tentativas de acesso no-autorizado em roteadores, firewalls ou IDS so
registradas em arquivos para posterior anlise. A freqncia de exame dos
arquivos de registro diria e todas as aes tomadas em decorrncia desse
exame so documentadas.
6.8. Controles de Engenharia do Mdulo Criptogrfico
O mdulo criptogrfico utilizado para armazenamento da chave privada da AC Instituto
Fenacon RFB est em conformidade com o padro FIPS 140-1 nvel 2 (para a cadeia de
certificao V0); ou FIPS 140-2 nvel 2 (para a cadeia de certificao V1); ou FIPS 1402 nvel 3 (para as cadeias de certificao V2 e V3), conforme definido no documento
PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL [9].
7.
PERFIS DE CERTIFICADO E LCR

7.1. Diretrizes Gerais
7.1.1. Nos seguintes itens desta DPC so descritos os aspectos dos certificados e LCR
emitidos pela AC Instituto Fenacon RFB.
7.1.2. As seguintes PCs:
PC A1 da AC Instituto Fenacon RFB, OID 2.16.76.1.2.1.34;

64/68

Implementadas pela AC Instituto Fenacon RFB especificam o formato dos certificados
gerados e das correspondentes LCR. Nessas PCs so includas informaes sobre os
padres adotados, seus perfis, verses e extenses.
7.2. Perfil do Certificado
Os certificados emitidos pela AC Instituto Fenacon RFB esto em conformidade com o
formato definido pelo padro ITU X.509 ou ISO/IEC 9594-8.
7.2.1. Nmero de verso
Todos os certificados emitidos pela AC Instituto Fenacon RFB implementam a
verso 3 do padro ITU X.509, de acordo com o perfil estabelecido na RFC 5280.
7.2.2. Extenses de certificado
No se aplica.
7.2.3. Identificadores de algoritmo
No se aplica.
7.2.4. Formatos de nome
No se aplica.
7.2.5. Restries de nome
No se aplica.
7.2.6. OID (Object Identifier) de DPC
O OID desta DPC 2.16.76.1.1.41.
7.2.7. Uso da extenso Policy Constraints
No se aplica.
7.2.8. Sintaxe e semntica dos qualificadores de poltica
No se aplica.
7.2.9. Semntica de processamento para extenses crticas
No se aplica.
65/68
7.3. Perfil de LCR

7.3.1. Nmero(s) de verso
As LCR geradas pela AC Instituto Fenacon RFB implementam a verso 2 do padro ITU
X.509, de acordo com o perfil estabelecido na RFC 2459.
7.3.2. Extenses de LCR e de suas entradas
7.3.2.1. Neste item so descritas todas as extenses de LCR utilizadas pela AC
Instituto Fenacon RFB e sua criticalidade.
7.3.2.2. As LCR da AC Instituto Fenacon RFB obedecem a ICP - Brasil que define como
obrigatrias as seguintes extenses para certificados de AC:
a) Authority Key Identifier, contm o hash SHA-1 da chave pblica da AC Instituto
Fenacon RFB que assina a LCR. As sutes de assinatura utilizadas na
ICP-Brasil,
baseiam-se na DOC-ICP-01-01.
b) CRL Number, no crtica: contm um nmero seqencial para cada LCR emitida
pela AC Instituto Fenacon RFB.
c) Authority Information Access, no crtica: deve conter somente o mtodo de

acesso id-ad-caIssuer, utilizando um dos seguintes protocolos de acesso, HTTP, HTTPS
ou LDAP, para a recuperao da cadeia de certificao. No deve ser utilizado nenhum
outro mtodo de acesso diferente de id-ad-caIssuer.
8.
ADMINISTRAO DE ESPECIFICAO
8.1. Procedimentos de mudana de especificao
Alteraes nesta DPC podem ser solicitadas e/ou definidas pelo Grupo de Prticas e Polticas
da AC Instituto Fenacon RFB. A aprovao e conseqente adoo de nova verso estaro
sujeitas autorizao do CG da ICP-Brasil.
Esta DPC atualizada sempre que uma nova PC implementada pela AC Instituto Fenacon
RFB o exigir.
8.2. Polticas de publicao e notificao
A AC Instituto Fenacon RFB mantm pgina especfica com a verso corrente desta DPC para
consulta
pblica,
qual
est
disponibilizada
no
brasil.acfenacon.com.br/repositorio/dpc/AC-Instituto-FenaconRFB/DPC_AC_IFenacon_RFB.pdf.

66/68
endereo
Web:
http://icp-
8.3. Procedimentos de aprovao

Esta DPC da AC Instituto Fenacon RFB foi submetida aprovao, durante o processo de
credenciamento da AC Instituto Fenacon RFB, conforme o determinado CRITRIOS E
PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL
[6].
Novas verses sero igualmente submetidas aprovao da AC Raiz.
9.
DOCUMENTOS REFERENCIADOS
9.1 Os documentos abaixo so aprovados por Resolues do Comit Gestor da ICP-Brasil,
podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio
http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Resolues
que os aprovaram.
Ref.
[2]
Nome do documento
Cdigo
CRITRIOS E PROCEDIMENTOS PARA FISCALIZAO DAS ENTIDADES
DOC-ICP-09
INTEGRANTES DA ICP-BRASIL
[3]
CRITRIOS E PROCEDIMENTOS PARA REALIZAO DE AUDITORIAS NAS
DOC-ICP-08
ENTIDADES INTEGRANTES DA ICP-BRASIL

[6]
CRITRIOS E PROCEDIMENTOS PARA CREDENCIAMENTODAS ENTIDADES
DOC-ICP-03
INTEGRANTES DA ICP-BRASIL
[7]
REQUISITOS MNIMOS PARA AS POLTICAS DE CERTIFICADO NA ICP-
DOC-ICP-04
BRASIL
[8]
POLTICA DE SEGURANA DA ICP-BRASIL
DOC-ICP-02
9.2 Os documentos abaixo so aprovados por Instruo Normativa da AC Raiz, podendo ser
alterados,
quando
necessrio,
pelo
mesmo
tipo
de
dispositivo
legal.
stio
Http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Instrues

Normativas que os aprovaram.
Ref.
[1]
Nome do documento
CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA ICP-
Cdigo
DOC-ICP-03.01
BRASIL
[9]
PADRES E ALGORITMOS CRIPTOGRFICOS DA ICP-BRASIL

67/68
DOC-ICP-01.01
9.3 Os documentos abaixo so aprovados pela AC Raiz, podendo ser alterados, quando
necessrio, mediante publicao de uma nova verso no stio http://www.iti.gov.br.
Ref.
[4]
Nome do documento
MODELO DE TERMO DE TITULARIDADE

68/68
Cdigo
ADE-ICP-05.A

DPC AC IFenacon RFB

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

DPC AC IFenacon RFB

Uploaded by

Copyright:

Available Formats

Declarao de Prticas de Certificao

da Autoridade Certificadora Instituto

DPC da AC Instituto Fenacon RFB

DISPOSIES GERAIS ............................................................................................... 10

DPC da AC Instituto Fenacon RFB v2.1

IDENTIFICAO E AUTENTICAO .................................................................... 21

REQUISITOS OPERACIONAIS ................................................................................. 28

DPC da AC Instituto Fenacon RFB v2.1

4.4.13. Outras formas disponveis para divulgao de revogao .............................. 33

CONTROLES DE SEGURANA FSICA, PROCEDIMENTAL E DE PESSOAL

DPC da AC Instituto Fenacon RFB v2.1

CONTROLES TCNICOS DE SEGURANA .......................................................... 53

DPC da AC Instituto Fenacon RFB v2.1

PERFIS DE CERTIFICADO E LCR ........................................................................... 64

ADMINISTRAO DE ESPECIFICAO .............................................................. 66

PROCEDIMENTOS DE MUDANA DE ESPECIFICAO ................................................... 66

DOCUMENTOS REFERENCIADOS ......................................................................... 67

DPC da AC Instituto Fenacon RFB v2.1

DECLARAO DE PRTICAS DE CERTIFICAO DA AUTORIDADE CERTIFICADORA

1.1. Viso Geral

DPC da AC Instituto Fenacon RFB v2.1

1.3.2. Autoridades de Registro

encaminhamento de solicitaes de emisso ou de revogao de certificados digitais e

para cada AR credenciada, relao de eventuais postos provisrios autorizados pela

d) relao de AR que tenham se descredenciado da cadeia da AC Instituto Fenacon

acordos operacionais celebrados pelas AR vinculadas com outras AR da ICP-Brasil,

1.3.2.2. A AC Instituto Fenacon RFB mantm as informaes acima sempre

disponibilizao de infra-estrutura fsica e lgica e de recursos humanos

1.3.3.3. A AC Instituto Fenacon RFB mantm as informaes acima sempre

DPC da AC Instituto Fenacon RFB v2.1

1.3.4. Titulares de Certificado

Poltica de Certificado de Assinatura Digital Tipo A4 da Autoridade Certificadora

1.4. Dados de Contato

DPC da AC Instituto Fenacon RFB v2.1

Obrigaes da AC Instituto Fenacon RFB

a) operar de acordo com esta DPC e com as PC que implementa;

assegurar a proteo de suas chaves privadas;

comprometimento de sua chave privada e solicitar a imediata revogao desse

distribuir seu prprio certificado;

g) emitir, expedir e distribuir os certificados de AR vinculadas e de usurios finais;

revogar os certificados emitidos;

emitir, gerenciar e publicar sua LCR e quando aplicvel, disponibilizar consulta

publicar em sua pgina web as informaes descritas no item 2.6.1.2 desta

m) publicar em sua pgina web informaes sobre o descredenciamento de AR

manter e garantir a integridade, o sigilo e a segurana da informao por ela

manter e testar regularmente seu Plano de Continuidade do Negcio;

manter contrato de seguro de cobertura de responsabilidade civil decorrente

u) informar terceira parte e titulares de certificado acerca das garantias,

manter na internet lista disponvel e atualizada dos certificados e-CPF e e-CNPJ

aa) disponibilizar diariamente para a RFB a lista atualizada dos certificados

2.1.2. Obrigaes das AR.

encaminhar as solicitaes de emisso ou de revogao de certificados AC

d) informar os titulares de certificado a emisso ou a revogao de seus

identificar e registrar todas as aes executadas, conforme as normas, prticas

g) manter a conformidade dos seus processos, procedimentos e atividades com as

CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA ICP-BRASIL [1];

manter e testar anualmente seu Plano de Continuidade do Negcio PCN;

proceder o reconhecimento das assinaturas e da validade dos documentos

k) garantir que todas as aprovaes de solicitao de certificados sejam realizadas

obedecer estritamente a esta DPC da AC Instituto Fenacon RFB e s PC

m) notificar os titulares, com antecedncia mnima de 30 (trinta) dias, a expirao

utilizar os seus certificados e chaves privadas de modo apropriado, conforme o

d) conhecer os seus direitos e obrigaes contemplados por esta DPC, pela PC