Professional Documents
Culture Documents
NDICE
1.
INTRODUO ................................................................................................................ 7
1.1. VISO GERAL .............................................................................................................. 7
1.2. IDENTIFICAO ........................................................................................................... 7
1.3. COMUNIDADE E APLICABILIDADE ............................................................................... 7
1.3.1.
Autoridades Certificadoras ................................................................................ 7
1.3.2.
Autoridades de Registro ..................................................................................... 8
1.3.3.
Prestador de Servio de Suporte ........................................................................ 8
1.3.4.
Titulares de Certificado ...................................................................................... 9
1.3.5.
Aplicabilidade..................................................................................................... 9
1.4. DADOS DE CONTATO ................................................................................................... 9
2.
2.8.4.
Divulgao de informao de revogao ou suspenso de certificado ........... 20
2.8.5.
Quebra de sigilo por motivos legais ................................................................. 20
2.8.6.
Informaes a terceiros .................................................................................... 20
2.8.7.
Divulgao por solicitao do Titular ............................................................. 20
2.8.8.
Outras circunstncias de divulgao de informao ....................................... 20
2.9. DIREITOS DE PROPRIEDADE INTELECTUAL ................................................................ 21
3.
4.
5.2.2.
Nmero de pessoas necessrio por tarefa ........................................................ 49
5.2.3.
Identificao e autenticao para cada perfil .................................................. 50
5.3. CONTROLES DE PESSOAL ........................................................................................... 50
5.3.1.
Antecedentes, qualificao, experincia e requisitos de idoneidade ............... 50
5.3.2.
Procedimentos de verificao de antecedentes ................................................ 50
5.3.3.
Requisitos de treinamento ................................................................................ 51
5.3.4.
Freqncia e requisitos para reciclagem tcnica ............................................ 51
5.3.5.
Freqncia e seqncia de rodzio de cargos .................................................. 51
5.3.6.
Sanes para aes no autorizadas................................................................ 51
5.3.7.
Requisitos para contratao de pessoal ........................................................... 52
5.3.8.
Documentao fornecida ao pessoal................................................................ 52
6.
6.6.4.
Controles na Gerao de LCR ......................................................................... 63
6.7. CONTROLES DE SEGURANA DE REDE ....................................................................... 63
6.7.1.
Diretrizes Gerais .............................................................................................. 63
6.7.2.
Firewall ............................................................................................................ 63
6.7.3.
Sistema de deteco de intruso (IDS) ............................................................. 64
6.7.4.
Registro de acessos no-autorizados rede .................................................... 64
6.8. CONTROLES DE ENGENHARIA DO MDULO CRIPTOGRFICO..................................... 64
7.
8.
9.
1.
INTRODUO
Instituto
Fenacon
RFB
para
os
processos
de
recebimento,
validao
web
da
AC
Instituto
Fenacon
RFB
(http://icp-
brasil.acfenacon.com.br/repositorio/AC-Instituto-Fenacon-RFB/index.htm):
a) relao de todas as AR credenciadas, com informaes sobre as PC que
implementam.
b) para cada AR credenciada, os endereos de todas as instalaes tcnicas,
autorizadas pela AC Raiz a funcionar;
c)
f)
(61) 3326-3180
E-mail: jfernandes@acfenacon.com.br
2.
DISPOSIES GERAIS
2.1. Obrigaes e Direitos
Nos itens a seguir esto descritas as obrigaes gerais das entidades envolvidas. Os
requisitos especficos associados a essas obrigaes esto detalhados nas PC implementadas
pela AC Instituto Fenacon RFB.
2.1.1.
d) notificar
AC
RFB,
emitente
do
seu
certificado,
quando
ocorrer
j)
k) publicar em sua pgina web esta DPC da AC Instituto Fenacon RFB e as PC que
implementa;
l)
r)
s)
t)
f)
pela
ICP-Brasil,
em
especial
com
contido
no
documento
j)
instalaes
tcnicas
autorizadas
funcionar
como
AR
vinculadas
credenciadas; e
l)
apresentao
dos
originais
fornecimento
de
cpias
autnticas
dos
utilizar,
obrigatoriamente,
senha
para
proteo
da
chave
privada
dos
k)
2.2. Responsabilidades
2.2.1. Responsabilidades da AC Instituto Fenacon RFB
2.2.1.1. A AC Instituto Fenacon RFB responde pelos danos a que der causa.
2.2.1.2. A AC Instituto Fenacon RFB responde solidariamente pelos atos das entidades
de sua cadeia de certificao: AR e PSS.
2.2.2. Responsabilidades das AR
A AR responsvel pelos danos a que der causa.
2.3. Responsabilidade Financeira
2.3.1.
A terceira parte responde perante a AC Instituto Fenacon RFB e ARs vinculadas apenas
pelos prejuzos a que der causa com a prtica de ato ilcito, nos termos da legislao
vigente.
2.3.2.
Relaes Fiducirias
indenizao
quando
os
dados
constantes
no
certificado
c)
pgina
web
da
AC
Instituto
Fenacon
RFB
(http://icp-
web
da
AC
Instituto
Fenacon
RFB
(http://icp-
brasil.acfenacon.com.br/repositorio/AC-Instituto-Fenacon-RFB/index.htm):
a) seus prprio certificado;
b) suas LCR;
c)
esta DPC;
d) as PC que implementa;
e) uma relao, regularmente atualizada, contendo as AR vinculadas e seus
respectivos endereos de instalaes tcnicas em funcionamento;
f)
que
tenham
99,5% (noventa e nove vrgula cinco por cento) do ms, 24 (vinte e quatro) horas por
dia, 7 (sete) dias por semana e pode ser encontrado na pgina Web (http://icpbrasil.acfenacon.com.br/repositorio/AC-Instituto-Fenacon-RFB/index.htm).
As publicaes da AC Instituto Fenacon RFB podem ser consultadas atravs do protocolo
http.
Somente a AC Instituto Fenacon RFB, por seus funcionrios qualificados e designados
especialmente para esse fim, pode efetuar a atualizaes nas informaes por ela
publicadas no seu repositrio.
2.7. Fiscalizao e Auditoria de Conformidade
2.7.1. As fiscalizaes e auditorias realizadas no mbito da ICP-Brasil tm por objetivo
verificar se os processos, procedimentos e atividades das entidades integrantes da ICP-Brasil
esto em conformidade com suas respectivas DPC, PC, Poltica de Segurana e demais
normas e procedimentos estabelecidos pela ICP-Brasil.
a PC correspondente;
d) esta DPC;
e) verses pblicas de Polticas de Segurana;
f)
de
seu
fornecimento
pelo
solicitante
ou
solicitante
autorize
3.
IDENTIFICAO E AUTENTICAO
3.1. Registro Inicial
3.1.1. Disposies Gerais
3.1.1.1. Neste item e nos itens seguintes esto descritos em detalhes os requisitos e
procedimentos utilizados pelas AR vinculadas a AC Instituto Fenacon RFB para a
realizao dos seguintes processos:
a) Validao da solicitao de certificado compreende as etapas abaixo, realizadas
mediante a presena fsica do interessado, com base nos documentos de identificao
citados nos itens 3.1.9, 3.1.10 e 3.1.11:
i. confirmao da identidade de um individuo: comprovao de que a pessoa que se
apresenta como titular do certificado de pessoa fsica realmente aquela cujos dados
constam na documentao apresentada, vedada qualquer espcie de procurao para
tal fim. No caso de pessoa jurdica, comprovar que a pessoa fsica que se apresenta
como responsvel pelo uso do certificado ou como representante legal realmente
aquela cujos dados constam na documentao apresentada, admitida a procurao
apenas se o ato constitutivo prever expressamente tal possibilidade, devendo-se, para
tanto, revestir-se da forma pblica com poderes especficos para atuar perante a ICPBrasil;
ii.
confirmao da identidade de uma organizao: comprovao de que os
documentos apresentados referem se efetivamente pessoa jurdica titular do
certificado e de que a pessoa que se apresenta como representante legal da pessoa
jurdica realmente possui tal atribuio;
iii. emisso do certificado: conferncia dos dados da solicitao de certificado com os
constantes dos documentos apresentados e liberao da emisso do certificado no
sistema da AC;
iv. as etapas descritas acima podem ser realizadas por um ou mais agentes de
validao.
antes
do
incio
da
validade
do
certificado,
devendo
esse
ser
revogado
digitalizada,
observadas
as
condies
definidas
no
documento
3.1.2.2. No se aplica.
DPC da AC Instituto Fenacon RFB v2.1
22/68
O mtodo de verificao
utilizado Proof of Possession (POP) of Private Key conforme o item 2.3 da RFC
2510.
como
comprovante
de
residncia
ou
de
domiclio
contas
de
de
certificados em nome
dos absolutamente
incapazes e dos
ser
designado
como
responsvel
pelo
certificado
b)
apresentao
do
rol
de
documentos
elencados
no
item
3.1.9.1
do(s)
Informaes
contidas
no
certificado
emitido
para
uma
organizao
3.1.10.3.1. obrigatrio o preenchimento dos seguintes campos do certificado de
uma pessoa jurdica, com as informaes constantes nos documentos
apresentados:
a) nome empresarial constante do CNPJ (Cadastro Nacional de Pessoa Jurdica),
sem abreviaes;
b) Cadastro Nacional de Pessoa Jurdica (CNPJ);
c) nome completo do responsvel pelo certificado, sem abreviaes;
d) data de nascimento do responsvel pelo certificado.
3.1.10.3.2. Cada PC pode definir como obrigatrio o preenchimento de outros
campos ou o responsvel pelo certificado, a seu critrio e mediante declarao
expressa no termo de titularidade, poder solicitar o preenchimento de campos do
certificado suas informaes pessoais,conforme item 3.1.9.2.
Informaes
contidas
no
certificado
emitido
para
um
equipamento ou aplicao
3.1.11.3.1. obrigatrio o preenchimento dos seguintes campos do certificado com
as informaes constantes nos documentos apresentados:
a) URL ou nome da aplicao;
b) nome completo do responsvel pelo certificado, sem abreviaes;
c) data de nascimento do responsvel pelo certificado;
d) nome empresarial constante do CNPJ (Cadastro Nacional de Pessoa Jurdica),
sem abreviaes, se o titular for pessoa jurdica;
e) Cadastro Nacional de Pessoa Jurdica (CNPJ), se o titular for pessoa jurdica.
3.1.11.3.2. Cada PC pode definir como obrigatrio o preenchimento de outros
campos ou o responsvel pelo certificado, a seu critrio e mediante declarao
expressa no termo de responsabilidade, poder solicitar o preenchimento de
campos do certificado suas informaes pessoais, conforme item 3.1.9.2.
3.2. Gerao de novo par de chaves antes da expirao do atual
3.2.1. No item seguinte esto estabelecidos os processos de identificao do
solicitante pela AC Instituto Fenacon RFB para a gerao de novo par de chaves,e
de seu correspondente certificado, antes da expirao do certificado vigente.
REQUISITOS OPERACIONAIS
4.1. Solicitao de Certificado
4.1.1. Para atender solicitao de emisso de certificados a AC Instituto Fenacon
RFB exige que a AR tenha provido:
a) a comprovao de atributos de identificao constantes do certificado e o
recebimento dos documentos obrigatrios exigidos para identificao dos
titulares e responsveis, conforme item 3.1;
4.1.2. No se aplica.
4.1.3. No se aplica.
4.1.4. Nos casos previstos no item 4.1.2., a AC subsequente dever encaminhar a
solicitao de certificado AC emitente por meio de seus representantes legais,
utilizando
padro
definido
no
documento
PADRES
ALGORITMOS
4.3.3. No se aplica.
4.4. Suspenso e Revogao de Certificado
4.4.1. Circunstncias para revogao
4.4.1.1. O titular do certificado pode solicitar a revogao de seu certificado a
qualquer tempo, independente de qualquer circunstncia.
4.4.1.2. O certificado obrigatoriamente revogado:
a) quando constatada emisso imprpria ou defeituosa do mesmo;
b) quando for necessria a alterao de qualquer informao constante no
mesmo;
c)
g) no caso de extino, dissoluo ou transformao do titular do certificado equipamentos, aplicaes e pessoas jurdicas;
h) no caso de falecimento ou demisso do responsvel - equipamentos, aplicaes
e pessoas jurdicas.
4.4.1.3. A AC Instituto Fenacon RFB revoga, no prazo definido no item 4.4.3, o
certificado do titular que deixar de cumprir as polticas, normas e regras
estabelecidas para a ICP-Brasil.
O CG da ICP-Brasil ou AC Raiz determina a revogao do certificado da AC Instituto
Fenacon RFB quando essa deixar de cumprir a legislao vigente ou as polticas,
normas, prticas e regras estabelecidas pela ICP-Brasil.
DPC da AC Instituto Fenacon RFB v2.1
30/68
4.4.3.4. No se aplica.
4.4.3.5. A AC Instituto Fenacon RFB responde plenamente por todos os danos
causados pelo uso de um certificado no perodo compreendido da solicitao de sua
revogao e a emisso da LCR correspondente, na forma do item 2.3.2.
4.4.3.6.
Os
procedimentos
de
revogao
detalhados
so
descritos
na
PC
correspondente.
modificao,
acesso
indevido,
comprometimento
ou
suspeita
de
titular do
certificado
pode
ainda comunicar
perda,
roubo,
chaves;
d) mudanas nas polticas de criao de certificados;
e) tentativas de acesso (login) e de sada do sistema (logoff);
f)
gerao de LCR;
j)
segurana no
geradas diretamente
pelo
seu sistema de
destruio de
meios de
armazenamento
contendo
chaves
b)
c)
d)
Instituto
Fenacon
automaticamente
pelo
RFB
tm
sistema
ou
cpias
de
segurana
manualmente
pelos
semanais,
feitas,
administradores
de
registros
de
auditoria
da
AC
Instituto
Fenacon
RFB,
so
analisados
solicitaes de certificados;
b)
c)
d)
e)
emisses de LCR;
f)
g)
b)
c)
caso
de
suspeita
de
corrupo
de
dados,
softwares
e/ou
recursos
das
documentaes
armazenadas
nas
instalaes
tcnicas
adequado
do
pessoal
nos
procedimentos
processos
de
CRITRIOS
Observado
disposto
no
item
do
documento
de
varias
reas
da
companhia,
como
jurdico,
comercial,
Ficar responsvel pela guarda dos documentos, dados e registros relativos aos
pedidos de emisso de certificados para a AC Instituto Fenacon RFB, devendo
fornec-los sempre que solicitada pelo Titular, ou pela AC Instituto Fenacon
RFB. O perodo no qual os mesmos ficaro armazenados est descrito na DPC
item 4.6.
5.
publicamente
identificados.
No
identificao
pblica
externa
das
por normas
internacionais pertinentes.
5.1.2.1.11. Na AC Instituto Fenacon RFB, existem ambientes de quarto nvel para
abrigar e segregar:
a) equipamentos de produo on-line, gabinete reforado de armazenamento e
equipamentos de rede e infra-estrutura - firewall, roteadores, switches e
servidores - (Data Center);
b) equipamentos de produo off-line e cofre de armazenamento (Sala de
cerimnia);
5.1.2.1.12. O quinto nvel (nvel 5), interior aos ambientes de nvel 4, compreende
um cofre interior sala de cerimnia e um gabinete reforado trancado no Data
Center. Materiais criptogrficos tais como chaves, dados de ativao, suas cpias e
equipamentos criptogrficos so armazenados em ambiente de nvel 5 ou superior.
5.1.2.1.13. Para garantir a segurana do material armazenado, o cofre e o gabinete
obedecem s seguintes especificaes:
a)
confeccionado em ao;
b)
Todos
os
cabos
so
catalogados,
identificados
periodicamente
Gerncia de Operaes:
- configurao e manuteno do hardware e do software da AC Instituto
Fenacon RFB;
- gerenciamento e controle da tecnologia empregada nos servios de
certificao da AC Instituto Fenacon RFB;
- controle de acesso dos funcionrios rede AC Instituto Fenacon RFB ;
- gerenciamento dos operadores da AC Instituto Fenacon RFB;
- controle de acesso ao sistema de certificao.
Gerncia de Segurana:
- implementao da Poltica de Segurana da AC Instituto Fenacon RFB ;
- verificao dos registros de auditoria;
- superviso do cumprimento das prticas e procedimentos determinados
na Poltica de Segurana da AC Instituto Fenacon RFB;
- acompanhamento das auditorias de segurana realizadas por terceiros;
- verificao do cumprimento desta DPC;
Gerncia de Criptografia:
- administrao e controle dos componentes criptogrficos da AC Instituto
Fenacon RFB;
- verificao dos registros de acesso aos diferentes nveis de proteo das
chaves privadas das AC (logs);
- elaborao das cerimnias de gerao de chaves de AC;
- armazenamento dos registros de auditoria do sistema de certificao;
- utilizao de criptografia para segurana de acesso ao aplicativo de
certificao.
Gerncia de Validao:
- superviso e controle dos processos de identificao dos solicitantes de
certificados;
- gerenciamento
dos
certificados:
emisso,
expedio,
distribuio,
revogao de certificados.
5.2.1.3. Os operadores do sistema de certificao da AC Instituto Fenacon RFB
recebem treinamento especfico antes de obter qualquer tipo de acesso ao sistema.
O tipo e o nvel de acesso esto determinados, em documento formal (Poltica de
Segurana da AC Instituto Fenacon RFB), com base nas necessidades de cada
perfil.
5.2.1.4. A AC Instituto Fenacon RFB possui rotinas de atualizao das permisses
de acesso e procedimentos especficos para situaes de demisso ou mudana de
funo dos empregados. Existe uma lista de revogao com todos os recursos,
antes disponibilizados, que o empregado devolve AC Instituto Fenacon RFB no
ato de seu desligamento.
5.2.2. Nmero de pessoas necessrio por tarefa
5.2.2.1. Controle multiusurio requerido para a gerao e a utilizao da chave
privada da AC Instituto Fenacon RFB, conforme o descrito em 6.2.2.
5.2.2.2. Todas as tarefas executadas no ambiente onde esta localizado o
equipamento de certificao da AC Instituto Fenacon RFB requerem a presena de,
no mnimo, 2 (dois) de seus empregados com perfis qualificados.
tarefas da AC podem ser executadas por um nico empregado.
As demais
Os
certificados,
contas
senhas
utilizados
para
identificao
b)
c)
d)
5.3.2.2. No se aplica.
5.3.3. Requisitos de treinamento
Todo o pessoal da AC Instituto Fenacon RFB e das AR vinculadas envolvido em
atividades diretamente relacionadas com os processos de emisso, expedio,
distribuio, revogao e gerenciamento de certificados recebem treinamento
documentado, suficiente para o domnio dos seguintes temas:
a)
b)
c)
d)
e)
mantido atualizado
aplicao, em decorrncia de
processo
administrativo, so:
a) advertncia;
b) suspenso por prazo determinado; ou
c)
6.
estabelecidos
pelo
documento
REQUISITOS
MNIMOS
PARA
AS
certificao
V2
V3),
conforme
definido
no
documento
PADRES
dos certificados, com base nos requisitos aplicveis estabelecidos pelo documento
REQUISITOS MNIMOS PARA AS POLTICAS DE CERTIFICADO NA ICP-BRASIL [7].
6.1.9. Propsitos de uso de chave (conforme o campo key usage na X.509
v3)
6.1.9.1. Os certificados de assinatura emitidos pela AC Instituto Fenacon RFB tm
ativados os bits digitalSignature, nonRepudiation e keyEncipherment.
Os propsitos para os quais podem ser utilizadas as chaves criptogrficas dos
titulares de certificados emitidos pela AC Instituto Fenacon RFB, bem como as
possveis restries cabveis, em conformidade com as aplicaes definidas para os
certificados correspondentes esto especificados em cada PC que implementa.
6.1.9.2. A chave privada da AC Instituto Fenacon RFB utilizada apenas para a
assinatura dos certificados por ela emitidos e de sua LCR.
6.2.
para a
utilizao da chave
aps
expirao
dos
certificados
correspondentes,
de
validade
do
certificado,
com
base
nos
requisitos
aplicveis
Dados de Ativao
podendo
esse
ser
substitudo
por
firewall
corporativo,
para
6.6.
periodicidade
semanal
atravs de
ferramentas
do
prprio
sistema
conhecida
"zona
desmilitarizada"
(DMZ)
em
relao
aos
7.
ICP-Brasil,
baseiam-se na DOC-ICP-01-01.
b) CRL Number, no crtica: contm um nmero seqencial para cada LCR emitida
pela AC Instituto Fenacon RFB.
ADMINISTRAO DE ESPECIFICAO
8.1. Procedimentos de mudana de especificao
Alteraes nesta DPC podem ser solicitadas e/ou definidas pelo Grupo de Prticas e Polticas
da AC Instituto Fenacon RFB. A aprovao e conseqente adoo de nova verso estaro
sujeitas autorizao do CG da ICP-Brasil.
Esta DPC atualizada sempre que uma nova PC implementada pela AC Instituto Fenacon
RFB o exigir.
8.2. Polticas de publicao e notificao
A AC Instituto Fenacon RFB mantm pgina especfica com a verso corrente desta DPC para
consulta
pblica,
qual
est
disponibilizada
no
brasil.acfenacon.com.br/repositorio/dpc/AC-Instituto-FenaconRFB/DPC_AC_IFenacon_RFB.pdf.
endereo
Web:
http://icp-
DOCUMENTOS REFERENCIADOS
9.1 Os documentos abaixo so aprovados por Resolues do Comit Gestor da ICP-Brasil,
podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio
http://www.iti.gov.br publica a verso mais atualizada desses documentos e as Resolues
que os aprovaram.
Ref.
[2]
Nome do documento
Cdigo
DOC-ICP-09
INTEGRANTES DA ICP-BRASIL
[3]
DOC-ICP-08
DOC-ICP-03
INTEGRANTES DA ICP-BRASIL
[7]
DOC-ICP-04
BRASIL
[8]
DOC-ICP-02
9.2 Os documentos abaixo so aprovados por Instruo Normativa da AC Raiz, podendo ser
alterados,
quando
necessrio,
pelo
mesmo
tipo
de
dispositivo
legal.
stio
Ref.
[1]
Nome do documento
CARACTERSTICAS MNIMAS DE SEGURANA PARA AS AR DA ICP-
Cdigo
DOC-ICP-03.01
BRASIL
[9]
DOC-ICP-01.01
9.3 Os documentos abaixo so aprovados pela AC Raiz, podendo ser alterados, quando
necessrio, mediante publicao de uma nova verso no stio http://www.iti.gov.br.
Ref.
[4]
Nome do documento
MODELO DE TERMO DE TITULARIDADE
Cdigo
ADE-ICP-05.A