O Instituto Nacional de Tecnologia da Informação – ITI publicou, nesta segunda-feira (17), no Diário Oficial da União, instrução normativa que regulamenta o envio de informações e arquivos ao ITI, que agora passam a ser diárias, inclusive aos finais de semana e feriados.
Segundo a instrução, todas as Autoridades Certificadoras – ACs que emitem certificados digitais para usuário final deverão enviar diariamente, incluindo finais de semana e feriados, ao Instituto Nacional de Tecnologia da Informação – ITI os certificados emitidos, as biometrias atreladas a cada certificado e informações sobre suas emissões.
As ACs terão até 30 dias, contados da data de publicação da IN, para implementação da regra de periodicidade de envio dos arquivos e até 90 dias para adequação às regras relativas à inserção de novos campos no arquivo CSV que contém informações sobre emissões de certificados digitais.
Confira abaixo na IN ITI nº 31
INSTRUÇÃO NORMATIVA ITI Nº 31, DE 14 DE MARÇO DE 2025
Aprova o regulamento de envio de informações e arquivos ao Instituto Nacional de Tecnologia da Informação – ITI.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 13 do Anexo I do Decreto nº 12.103, de 8 de julho de 2024, pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2º da Resolução nº 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020, resolve:
Art. 1º Esta Instrução Normativa regulamenta o envio de informações e arquivos ao Instituto Nacional de Tecnologia da Informação – ITI.
Parágrafo único. O disposto nesta Instrução Normativa não se aplica ao Cadastro de Agentes de Registros – CAR, que possui regulamentação própria.
Art. 2º Todas as Autoridades Certificadoras – ACs que emitem certificados digitais para usuário final deverão enviar diariamente, incluindo finais de semana e feriados, ao Instituto Nacional de Tecnologia da Informação – ITI os certificados emitidos, as biometrias atreladas a cada certificado e informações sobre suas emissões.
§ 1º Os arquivos dos certificados deverão ser identificados e encaminhados individualmente, utilizando a codificação DER (*.cer).
§ 2º Os arquivos biométricos da face e das impressões digitais deverão ter os formatos e a indicação do dedo, se for o caso, conforme disposto no DOC-ICP-05.02, Anexo da Instrução Normativa ITI nº 05, de 22 de fevereiro de 2021, e no DOC-ICP-05.03, Anexo da Instrução Normativa ITI nº 09, de 22 de outubro de 2020, seguindo as definições dispostas no ADE-ICP-05.C.
§ 3º As informações, os arquivos dos certificados e os arquivos biométricos deverão ser encaminhados ao ITI em um arquivo compactado (.zip), por meio do carregamento do arquivo (upload) dentro da respectiva área de transferência de arquivos da AC (FTP).
§ 4º O nome do arquivo compactado e o procedimento de envio deverão seguir as orientações dispostas no ADE-ICP-05.C, disponível no site do ITI.
Art. 3º As informações referentes às emissões deverão ser encaminhadas em um arquivo CSV, identificado com nome “Anexo1.csv”, contendo, para cada certificado emitido, o hash SHA1 do arquivo do certificado, associado às informações relacionadas com a emissão do certificado.
§ 1º O arquivo CSV deverá conter todos os campos estabelecidos no “Modelo Informacional de Dados dos Certificados Emitidos” do ADE-ICP-05.C, os quais deverão ser preenchidos obedecendo aos critérios de obrigatoriedade indicados na coluna “Presença de conteúdo”.
§ 2º A primeira linha do arquivo CSV deverá conter o nome das colunas, sendo obrigatório uso das denominações e sequência estabelecidas no “Modelo Informacional de Dados dos Certificados Emitidos” do ADE-ICP-05.C.
§ 3º Para os certificados emitidos na modalidade “certificado digital”, os seguintes campos do arquivo CSV deverão ser preenchidos com o termo “VAZIO”: CPF_AGR_i, CPF_AGR_v, Data_i, Data_v, Data_PSBIO, TCN, IDN, CPF_RESP_SELO, CNPJ_Titular, Resposta_DATAVALID, Resposta_PSBIO, Forma_pagto e ID_MAQ_AGR.
§ 4º Cada emissão registrada no arquivo CSV deve corresponder a um certificado enviado no arquivo compactado e todo certificado do arquivo compactado deve ter suas informações registradas no arquivo CSV.
§ 5º No dia em que não houver emissão de certificado digital, a AC deverá encaminhar o arquivo “Anexo1.csv” contendo apenas a primeira linha com os nomes das colunas.
Art. 4º Anualmente, até o dia 15 de dezembro, em conformidade com o DOC-ICP-08, as Autoridades Certificadoras – ACs, Autoridades de Carimbo do Tempo – ACTs, Prestadores de Serviços Biométricos – PSBios e Prestadores de Serviços de Confiança – PSCs deverão encaminhar ao ITI o Plano Anual de Auditoria Operacional – PLAAO.
§ 1º As informações deverão ser encaminhadas ao ITI em um arquivo no formato ZIP, contendo o arquivo PDF do ADE-ICP-08.C e as informações referentes ao PLAAO em arquivo CVS.
§ 2º O arquivo compactado deve ser identificado com nome “PLAAO_ANO_nome da entidade na ICP-Brasil.zip”.
§ 3º O arquivo compactado deve ser encaminhado para o e-mail plaao@iti.gov.br.
Art. 5º As informações referentes ao PLAAO de AC deverão conter, para cada entidade vinculada, as seguintes informações:
I – nome da AC responsável pelo preenchimento das informações;
II – número do CNPJ da entidade vinculada à AC responsável pelo preenchimento;
III – nome da entidade vinculada à AC responsável pelo preenchimento;
IV – data prevista para o início da auditoria na respectiva instalação técnica;
V – data prevista para entrega do relatório de auditoria pela entidade responsável pela execução da auditoria;
VI – CNPJ da empresa que realizará a auditoria; e
VII – informações adicionais que a AC julgar conveniente apresentar.
Parágrafo único. O arquivo CSV deve ser identificado com nome “PLAAOANO_nome da AC na ICP-Brasil.csv”.
Art. 6º As informações referentes ao PLAAO de ACT, PSBio e PSC deverão conter, para cada entidade vinculada, as seguintes informações:
I – nome da ACT ou PSBio ou PSC responsável pelo preenchimento das informações;
II – data prevista para o início da auditoria nas respectivas entidades;
III – data prevista para entrega do relatório de auditoria pela entidade responsável pela execução da auditoria;
IV – CNPJ da empresa que realizará a auditoria; e
V – informações adicionais que a entidade julgar conveniente apresentar.
Parágrafo único. O arquivo CSV deve ser identificado com nome “PLAAO_ANO_nome da entidade na ICP-Brasil.csv”.
Art. 7º As entidades de auditoria devem encaminhar ao ITI relatórios e informações de auditoria em até 15 dias após a data prevista no PLAAO para a entrega do relatório de auditoria, contendo, para cada entidade auditada, as seguintes informações:
I – para Relatório de AR:
a) CNPJ da entidade de auditoria responsável pelo preenchimento das informações;
b) nome na ICP-Brasil da entidade auditada, seguido de dois pontos “:” e número do CNPJ;
c) nome das ACs vinculada à AR auditada, separado por virgula, ex: AC xxxx rfb,AC XXXXX multipla;
d) ano da auditoria prevista no PLAAO;
e) data prevista para o início da auditoria na respectiva entidade;
f) data do relatório;
g) Conceito Geral atribuído à entidade auditada; e
h) relação das não conformidade identificadas.
II – para Relatório de AC e PSS:
a) CNPJ da entidade de auditoria responsável pelo preenchimento das informações;
b) nome na ICP-Brasil da entidade auditada, seguido de dois pontos “:” e número OID da DPC da AC auditada preenchido sem ponto, exemplo: AC TESTE:21676110;
c) nome da entidade superior vinculada à AC auditada, ex: AC RAIZ ou AC RFB;
d) ano da auditoria prevista no PLAAO;
e) data prevista para o início da auditoria na respectiva entidade;
f) data do relatório;
g) Conceito Geral atribuído à entidade auditada; e
h) relação das não conformidade identificadas.
III – para Relatório de ACT, PSC e PSBio:
a) CNPJ da entidade de auditoria responsável pelo preenchimento das informações, preenchido sem ponto ou barra ou hífen (ex: 99999999999999);
b) nome na ICP-Brasil da entidade auditada, seguido de dois pontos “:” e número do preenchido sem ponto ou barra ou hífen (ex: 99999999999999);
c) tipo de entidade auditada, ACT ou PSBio ou PSC;
d) ano da auditoria prevista no PLAAO;
e) data prevista para o início da auditoria na respectiva entidade;
f) data do relatório;
g) Conceito Geral atribuído a entidade auditada; e
h) relação das não conformidade identificadas.
§ 1º Os relatórios de auditoria devem ser no formato PDF, assinados digitalmente com certificado ICP-Brasil pelo responsável técnico da entidade de auditoria.
§ 2º As informações sobre o relatório de auditoria devem ser encaminhadas ao ITI em arquivo no formato CSV identificado com o nome “rel_ano do relatório_nome da entidade auditada.csv”.
§ 3º O relatório (PDF) e as informações (CSV) devem ser incluídos em um único arquivo compactado (.zip) e encaminhados para o e-mail relatorio.auditoria@iti.gov.br.
Art. 8º Os arquivos CSV mencionados neste ato deverão seguir as “Definições do formato dos arquivos CSV” do ADE-ICP-05.C.
Art. 9º As Autoridades Certificadoras credenciadas que emitem certificados para usuário final terão os seguintes prazos para adequação:
I – até 30 (trinta) dias, contados da data de publicação deste regulamento, para implementação da regra de periodicidade de envio dos arquivos, conforme estabelecido no caput do art. 2º; e
II – até 90 (noventa) dias, contados da data de publicação deste regulamento, para adequação às regras previstas no art. 3º, relativas à inserção de novos campos no arquivo CSV que contém informações sobre emissões de certificados digitais.
Art. 10. Fica revogada a Instrução Normativa ITI nº 20, de 23 de novembro de 2021.
Art. 11. Esta Instrução Normativa entra em vigor na data de sua publicação.
ENYLSON FLÁVIO MARTINEZ CAMOLESI
