Se você não se empolga com o show de fim de ano do Roberto Carlos, nem com a Virada do Faustão, aperte os cintos e vamos lembrar alguns dos fatos mais relevante aconteceram nesse ano.

Por Sergio Leal

Bitcoin cai na mídia

Esse foi o ano que o grande público descobriu o Bitcoin e as criptomoedas de maneira geral. Com a valorização astronômica que o Bitcoin conseguiu ao longo do ano não tinha como ficar fora do radar dos consumidores e de todos os operadores do mercado financeiro.

Se de um lado a corretora XP, a maior do país e que teve quase metade de seu capital adquirido pelo Itaú, fez uma forte aposta no segmento e lançou uma área de criptomoedas. Por outro lado, o chefão do J P Morgan, Jamie Dimon classificou o bitcoin como uma fraude, mas vale mencionar que, na sequência, seu banco comprou um monte de bitcoins.

Nos próximos anos teremos a oportunidade de entender o que significa o fenômeno bitcoin, se vai realmente mudar o mundo ou será apenas mais uma moda passageira. O que ficou claro em 2017 é que o mercado financeiro mundial é muito frágil e vulnerável, e que grandes mudanças estão por vir.

Como em outros lugares do mundo já surgiram projetos no Brasil para criminalizar o livre uso do bitcoin.

Blockchain muda tudo?

Outra tecnologia que saltou para a glória em 2017 foi a Blockchain, que é a base do Bitcoin. Hoje todas as empresas se esforçam para inventar uma maneira criativa de empurrar o nome Blockchain de algum jeito no se um portfólio, pois não querem correr o risco de serem consideradas fora da moda. É óbvio que o Blockchain tem muitas ótima aplicações, e cria um novo espectro de soluções até então impossíveis. Mas se olharmos a maioria das ofertas de mercado atualmente tem muita gente falando e pouca entregando valor real. A última ‘grande sacada’ que se escuta nos eventos e na mídia é que o Blockchain vai substituir o certificado digital. Essa afirmação não poderia ser mais equivocada uma vez que as duas tecnologias são muito mais complementares do que concorrentes.

Mesmo com todo esse hype já tem gente considerando o Blockchain uma tecnologia ultrapassada, será?

Estônia, Gemalto e Infineon : a grande lambança dos id cards

Outra notícia que marcou o ano foi o cancelamento de 760 mil id cards na Estônia. Num país onde 98% dos cidadãos tem um id card, e dependem dele para o acesso a muitos serviços, isso pode ser uma grande dor de cabeça.

O fato é que a Infineon produziu um chip criptográfico que continha uma software com problemas de segurança. A Gemalto colocou esse chip no seu cartão e a Estônia comprou, sem que ninguém fizesse uma avaliação real da segurança do produto.

Esse episódio pode servir de exemplo para o Brasil e lembrar que essa idéia de deixar a referência do FIPS 140-2 de lado em favor de padrões locais, ainda com baixa maturidade, pode representar um grande risco para o uso de componentes criptográficos.

Os grandes vazamentos de dados

As senhas já morreram, mas ainda não tivemos coragem de enterrá-las. Quase 1,5 bilhão de senhas de serviços como Netflix e Linkedin foram encontradas disponíveis e sem criptografia nos cantos escuros da Internet.

A Equifax perdeu 145,5 milhões de registros do seu banco de dados, entre vários outros grandes como Deloitte e Uber. Preparem-se para uma sequência constante de vazamentos de dados em 2018.

Quantum Computing

Existem indícios de que os computadores quânticos estão deixando de ser experimentais e começam a tornar-se realidade.  A Microsoft já lançou uma linguagem de programação e um Development Kit para soluções quânticas. A computação quântica transforma problemas que um dia foram considerados impossíveis de serem resolvidos em problemas triviais, e trás um impacto enorme em quase todas as soluções criptográficas em uso atualmente. Pode ser que todo o seu investimento em criptografia seja perdido de uma hora para outra. Isso levará tanto à perda do dinheiro gasto quanto da segurança proporcionada às suas aplicações.

As expectativas para 2018 são de aprofundamento dos problemas de segurança para as organizações que continuarem utilizando os mesmos mecanismos que usaram nos últimos anos. A solução exigirá ousadia e a opção por caminhos diferentes daqueles usados até então.

*Sérgio Leal 

Ativista de longa data no meio da criptografia e certificação digital.

Trabalha com criptografia e certificação Digital desde o início da década de 90, tendo ocupado posições de destaque em empresas lideres em seu segmento como Modulo e CertiSign.

Criador do ‘Blue Crystal’: Solução software livre completa de assinatura digital compatível com ICP-Brasil

Criador da ‘ittru’: Primeira solução de certificação digital mobile no mundo.

Bacharel em Ciências da Computação pela UERJ desde 1997.

Certificações:
– Project Management Professional (desde 2007)
– TOGAF 9.1 Certified
– Oracle Certified Expert, Java EE 6 (Web Services Developer, Enterprise JavaBeans Developer)

Sérgio Leal  é colunista e membro do conselho editorial do CRYPTO ID.

Por Cristina De Luca

Programadores de Blockchain já aparecem em segundo lugar entre os 20 profissionais, cuja procura mais cresceu em 2017 nos EUA.

Só perdem para os profissionais de robótica, segundo dados da Upwork. Os postos de trabalho anunciados para trabalhadores com essas competências mais do que duplicaram este ano. Compreensível. Blockchain é o assunto mais quente do ano, com potencial disruptivo em todos os setores da economia. E não há exagero nessa afirmação.

Perdi as contas da quantidade de eventos realizados nos últimos três meses nos quais o tema esteve presente, com sessões lotadas. Usada para garantir transações confiáveis e seguras, a tecnologia por trás do Blockchain vem revolucionando processos em todas as áreas de negócios em que haja qualquer tipo de transferência de ativos tangíveis ou intangíveis, e promovendo uma nova geração de aplicações suportadas por redes. A Internet inclusive. E eu diria até que principalmente.

Don Tapscott, autor do livro “Blockchain Revolution”, considera o protocolo Blockchain tão revolucionário quanto o TCP-IP, sobre o qual a Internet foi construída.Conversando recentemente com Tadao Takahashi, fundador da RNP, recém eleito para o Hall da Fama da Internet, ouvi dele que, de certa forma, Tapscott tem razão. “Em termos de potencial de distribuição na arquitetura de rede, sim, os dois protocolos se equiparam”, disse Tadao. “Mas para que o Blackchain seja realmente algo revolucionário, será preciso promovê-lo com mais energia”, completou. Principalmente para assegurar que também seja desenvolvido por comunidades abertas e mantidas como um projeto open source, descentralizado, transparente e auditável, e não apenas pelo setor privado, como vem acontecendo até agora.

“Assim como protocolos que permitiram a criação da internet como a conhecemos hoje, como o TCP/IP, a Blockchain é também uma tecnologia livre e aberta, que não pertence a ninguém nem foi patenteada por seus criadores”, escreveu recentemente Ronaldo Lemos, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro.

Infelizmente, boa parte das implementações de Blockchain que estamos vendo surgir atualmente não estão sendo criadas em cima de uma rede pública, mas em cima de várias redes privadas. Aproveitando a analogia do TCP-IP, é como se estivéssemos criando várias intranets, em diferentes áreas _ como medicina, agronegócios, finanças, seguros, varejo, governo, etc _ com ou sem nenhuma interligação com a rede pública, a internet. E ainda falta consenso sobre qual deverá ser a grande rede Blockchain pública. Até aqui, a rede aberta Ethereum foi a que mais se aproximou dessa possibilidade.

Particularmente, penso no Blockchain como uma estrutura distribuída que garante veracidade e integridade para registros de transações e informações transmitidos através dela. E que, por isso mesmo, oferece a possibilidade de dispensar intermediários em uma cadeia de valor, simplesmente porque ela torna possível estabelecer consenso em uma rede distribuída sem a necessidade de haver um centralizador. Ou seja, na prática, torna possível saber que um bem que estou comprando é realmente da pessoa que está me vendendo, sem a necessidade de um cartório para intermediar a transação.

A arquitetura de uma rede Blockchain pode se prestar a aplicações ser C2C, como a da rede que suporta o bitcoin, e também B2C ou B2B, conforme explica Bernardo Madeira, da SmartChains. Hoje, vemos muitas aplicações B2B surgindo na economia, em um modelo também e conhecido como “Blockchain permissionado”. Um bom exemplo é uma rede de comercio privada (ou permissionada), na qual os participantes (empresas, sistemas, objetos (IoT), áreas, processos ou até pessoas) se “conhecem”. “O conceito de se conhecer se refere a que o participante e registrado dentro da rede que certifica, identifica, garante a privacidade e a aditabilidade de membro”, explica Madeira.

Já a arquitetura B2C permite transacionar bens de um participante fonte para muitos destinatários. “Aqui Blockchain pode trabalhar no background, podendo se conectando a aplicações consumidas por usuários ou empresas conectadas ao fornecedor. Blockchain poderá ser parte de uma aplicação mobile, um componente dentro de uma aplicação client /server ou até registrando transações provenientes de um browser”, diz Madeira.

Em todos esses casos, o código do Blockchain é apenas uma ferramenta. Para que alcance sua promessa de revolucionar a Internet, como preconiza Don Tapscott, realmente será necessário que todos os agentes que hoje suportam hoje o funcionamento da Internet se reúnam e trabalhem na direção de estabelecer uma governança para uma rede pública, e não regulada. Se partirmos para a regulação da tecnologia estaremos matando 80% de seu potencial. A regulação deveria vir a posteriori e para aplicações específicas. Isso foi praticamente um consenso entre os participantes do debate “Usos e desafios das tecnologias Blockchain“, realizado durante o VII Fórum da Internet no Brasil semanas atrás.

Blockchain foi objeto de dois painéis de debate: além do já mencionado, também outro sobre “Blockchain para interesse público“. Falou-se muito sobre o uso de interesse público da tecnologia e o seu potencial para redefinir relações de confiança em qualquer ponto da sociedade, seja no governo, no setor privado, na academia ou no terceiro setor. Entre os participantes, o próprio Madeira e representantes do Ministério do Planejamento, do BNDES, do Banco do Brasil e da academia.

Entre os diversos assuntos comentados nesses painéis, vale destacar a prova de conceito feita pelo Ministério do Planejamento para gestão de identidade, com o objetivo de desburocratizar e minimizar o risco de fraude na prestação de serviço público. Permitir o estabelecimento identidades digitais online facilitará enormemente a ideia de governo eletrônico, mas também tem potencial para dar aos cidadãos poder total para a gestão de sua identidade e de seus dados pessoais.

Como o governo brasileiro tem encarado o Blockchain hoje?

Nesse momento, o governo brasileiro caracteriza o Blockchain como três coisas:

1 – Base para criação de criptomoedas, e portanto passível de regulação pelo Banco Central;

2 – Uma oferta inicial de moedas, do inglês Initial Coin Offering (ICO), e portanto passível de regulação pela Comissão de Valores Mobiliários;

3 – E um token para a implementação de um processo de negócio dentro de uma rede Blockchain (uma dessas intranets, segundo a analogia qua usei).

Não vi ninguém nessas mesas de debate, nem no governo brasileiro, tratando da possibilidade de existência de um Blockchain público, usado em todo o mundo, como é usado hoje o TCP-IP. Será que chegaremos lá?

Nem tampouco sobre iniciativas de regulação para outras aplicações, além do setor financeiro, como a área médica. Ou no campo dos contratos inteligentes, que talvez dispense uma regulação específica.

Madeira foi o único a falar sobre a necessidade de interoperabilidade entre os muitos Blockchains permissionados, por exemplo. Também acredita em um mundo no qual Blockchain e Internet das coisas sejam indissociáveis. Vale ler o artigo “Internet of Things & Blockchain – Inteligência e Comunicação para o Presente e o Futuro“.

Aplicações práticas

No Brasil, ainda são poucas as aplicações práticas da tecnologia. O aplicativo Mudamos, abordado por Gabriel Aleixo, do ITS-Rio, é um bom exemplo de uso público do Bloackchain. “O app é como se fosse a caneta que o cidadão pode usar digitalmente documentos de apoio a projetos de lei de iniciativa popular, oferecendo alguns dados pessoais que são necessários para construir a assinatura, como título de eleitor, CPF, etc, para que haja validade da assinatura do ponto de vista legal”, comenta. “E o Blockchain é uma peça pequena do Mudamos, usado só na camada de confiança, para armazenar todas as assinaturas em uma base de dados pública, acessível, transparente e imutável e permitir ao cidadão conferir que sua assinatura corresponde ao projeto que ele apoia”, completa o pesquisador. “Blockchain, nesse contexto, é uma forma de gravar as informações na pedra”, afirma Aleixo.

No BNDES, uma equipe do programa de open innovation do banco, o IdeaLab, estuda possibilidades de uso de Blackchain como forma de dar transparência para as ações da instituição e de implantação dos chamados contratos inteligentes, auto executáveis, como os de transferência de dinheiro. Uma prova de conceito de um crypto token foi apresentada aos superintendentes agora em novembro. Significa que nos próximos meses o BNDES estará testando essa aplicação do Blockchain, inicialmente para prover hpertransparência para os gastos do Fundo Amazônia, que destinará R$ 200 milhões para até cinco projetos de recuperação da cobertura vegetal na área da Amazônia Legal. O piloto de Blockchain precisa entregar algum resultado em até seis meses.

“A gente brinca no banco que Blockchain é uma megaonda, um tsunami, e a gente não uqre que ela quebre na nossa cabeça. Para isso, nós precisamos surfá-la. Nossas projeções é que 10% do PIB passarão por redes Blockchain em 2027”, comenta Vanessa Almeida, do BNDES.

A Welight é outro bom exemplo de Blockchain para uso social. Nascida em 2016, a startup cria soluções para que pessoas e empresas se tornem agentes de transformação, simplificando os meios para que apoiem financeiramente instituições com reconhecido trabalho social e ambiental. Os usuários escolhem as causas com que mais se identificam e passam a gerar doações para elas a partir de suas compras online. A plataforma direciona 15% do valor da compra para as organizações participantes, que por sua vez são auditadas pela Welight para saber se os recursos estão sendo bem investidos. As 30 instituições apoiadas hoje são avaliadas segundo critérios como grau de impacto, credibilidade, gestão e inovação. A empresa tem usado Blockchain para registrar todas as operações que passam pelos seus sistemas. E pretende usar a tecnologia também na medição do impacto das ações das ONGs apoiadas, de forma a dar mais transparência para todo o processo.

Fonte: Blog Porta 23

SOBRE A AUTORA

Cristina De Luca é jornalista especializada em ambiente de producão multiplataforma. Hoje trabalha como colunista de tecnologia da Rádio CBN e editor-at-large das publicacões do grupo IDG no Brasil. Foi diretora da área de conteúdo do portal Terra; editora-executiva da área de conteúdo da Globo.com; e editoras executiva da unidade de Novos Meios da Infoglobo, responsável pela criacão e implantacão do Globo Online. Master em Marketing pela PUC do Rio de Janeiro, é ganhadora do Prêmio Comunique-se em 2005, 2010 e 2014 na categoria Jornalista de Tecnologia.

SOBRE O BLOG

Este blog, cujo nome faz referência à porta do protocolo Telnet, que é o protocolo de comunicação por texto sem criptografia, traz as informações mais relevantes sobre a economia digital.

CryptoID

Falar de vida e tecnologia nunca fez tanto sentido. Muitas vezes criticada por afastar o contato pessoal, a tecnologia, ao contrário do que muitos pensam, ajuda, e muito, as pessoas a terem mais qualidade de vida e tempo para se dedicarem ao que realmente importa para elas: seja um negócio, seja a família, seja um amigo. A Certificação Digital é um exemplo. Amplamente conhecida por conta de sua exigência para a entrega das obrigações fiscais, ela também pode ser usada em outras aplicações e não exige alto investimento. E, em alguns casos, você nem percebe, mas ela está ali por trás de um processo e está facilitando sua vida.

Assinatura de documentos 
Quem é que nunca se irritou por ficar horas e mais horas no trânsito e atravessou a cidade para assinar um contrato ou até um simples documento? Ou perdeu a apresentação do filho na escola por conta de um negócio que precisava ser formalizado naquele dia ou ainda retornou mais cedo das férias só para assinar um pedido de compra, por exemplo? Pois bem, o Certificado Digital, aquele mesmo que você comprou a pedido do seu Contador, pode ser usado também para assinar documentos a distância, sem papel, sem caneta, sem burocracia. “Basta submeter o arquivo em um portal de assinaturas e assinar usando o Certificado Digital. Com poucos cliques negócios podem ser formalizados de qualquer lugar e a qualquer hora. Isso é possível porque a cada uso do Certificado é gerada uma assinatura digital que tem o mesmo valor jurídico da manuscrita”, explica Leonardo Gonçalves, Diretor de Varejo e Canais da Certisign, Autoridade Certificadora e especialista em Identificação Digital.

Hospitais digitais 
Esse é um exemplo do uso da tecnologia da Certificação Digital que você nem imaginava. Sabe quando você vai a um hospital e entre a consulta com o médico e o recebimento da medicação não há nenhum papel circulando? É o Certificado Digital que está por traz integrado ao Prontuário Eletrônico do Paciente (PEP). Em suma, funciona assim: o médico faz o atendimento, prescreve a medicação, assinando digitalmente, e o setor de enfermagem recebe a informação por meio do sistema. Tudo fica devidamente registrado: quem autorizou, quem aplicou a medicação e quem recebeu o remédio. Com isso, o atendimento ganha agilidade e qualidade.

CNH Digital 
Outro caso, é a Carteira Nacional de Habilitação Nacional (CNH) digital. A partir de fevereiro de 2018, quem tiver um Certificado Digital poderá solicitá-la pela internet – sem pegar filas – e carregá-la no celular. Vale destacar que essa possibilidade já está disponível em Goiás, em fase piloto. No entanto, é importante salientar que só pode pedir a versão digital quem tiver a CNH nova, com QR Code, que começou a ser emitida em maio deste ano.
“Por identificar inquestionavelmente, o Certificado substitui a presença física do titular em muitas ocasiões, facilitando a rotina. Sem dúvida, é um investimento que vale a pena. Por menos de R$1 por dia é possível ter um. É só fazer as contas: quanto custa ter mais tempo e qualidade de vida?”, finaliza Gonçalves.

Incorporativa

FILIPE OLIVEIRA

Após sete meses do lançamento do Empreenda Fácil,programa da Prefeitura de São Paulo para desburocratizar a abertura de empresas na cidade, já é possível iniciar uma companhia em São Paulo em um prazo inferior a uma semana.

Daniel Annenberg, secretário municipal de Inovação e Tecnologia, diz que, nos últimos 15 dias, o prazo médio para abertura de empresas de baixo risco (que respondem por 80% das aberturas realizadas) foi de 4,53 dias.

Segundo ele, 30 mil novas empresas surgiram desde o início do programa. Ele diz não dispor de dados de gestões anteriores para verificar se houve aumento da abertura de negócios na cidade.

Contadores ouvidos pela reportagem dizem que, após um início com problemas, o novo sistema, que integra em um mesmo processo prefeitura, Junta Comercial e Receita Federal, vem permitindo a abertura no prazo mencionado por Annenberg.

O novo processo envolve envio de informações em cinco etapas principais e consecutivas (veja na página).

Em junho, a Folha mostrou que, apesar de avanços, o prazo de sete dias prometido pelo prefeito João Doria (PSDB) ainda não era cumprido. O gargalo estava na falta de vagas em tempo hábil para agendamento na prefeitura, onde é realizada inscrição municipal.

Essa etapa passou a ser feita de forma on-line desde o final daquele mês e, segundo os especialistas, é finalizada no mesmo dia. “Tudo foi resolvido pela digitalização”, diz Inêz Justina dos Santos, conselheira do CRC-SP (Conselho Regional de Contabilidade de São Paulo).

MENOS REPETIÇÃO

Outras vantagens do novo sistema, na avaliação de Márcia Alegre Abbriata, sócia da DocSuporte, são a diminuição da repetição de informações que precisam ser enviadas a cada órgão (o que é digitado em cada sistema é informado automaticamente a todos) e a redução do número de papéis necessários para dar entrada no processo.

Além disso, como a primeira etapa da abertura de empresas passou a ser uma análise sobre a viabilidade de se iniciar o negócio planejado no local escolhido, evita-se que o empresário só descubra que há alguma restrição ao local no final do processo, afirma Abbriata.

Elvira de Carvalho, contadora da King Contabilidade, diz que já há empresários fazendo o processo apenas pela internet. Para isso ser possível, é preciso que ele tenha certificado digital.

Doria prometeu diminuir o prazo para abertura de empresas para dois dias em junho de 2018.

Annenberg diz que a redução virá de uma melhor integração da prefeitura com a Junta Comercial, incluindo melhorias tecnológicas e de procedimentos.

Para o próximo ano, ele prevê o lançamento de novas funcionalidades, entre elas a abertura on-line de empresas de alto risco (que necessitam de aval do Corpo de Bombeiros e da Cetesb, por exemplo) e ações como alteração e fechamento de empresas.

O relatório Doing Business, do Banco Mundial, aponta que o prazo médio de abertura de empresas em São Paulo é de 101 dias. Os dados foram colhidos no primeiro semestre deste ano.

PASSO A PASSO
Veja etapas para abrir empresa em São Paulo

ANÁLISE DE VIABILIDADE

O que – O empresário consulta se o local em que ele quer abrir sua empresa permite o tipo de atividade pretendida e, em caso positivo, recebe protocolo para avançar no processo

Onde – A partir do site www.Rle.empresasimples.gov.br

INSCRIÇÃO NA RECEITA FEDERAL

O que – São fornecidas a partir da internet informações sobre a empresa e quadro societário

Onde – Portal Coleta Nacional, em https://www38.receita.fazenda.gov.br/redesim

Avaliação – O procedimento tem sido rápido, resolvido em menos de 24 horas na maior parte dos casos

INSCRIÇÃO ESTADUAL

O que – Registro do contrato social da empresa na Junta Comercial

Onde – Documentos podem ser obtidos na área Via Rápida Empresa no site da Jucesp, em https://www.jucesponline.sp.gov.br. Podem ser enviados on-line, com certificado digital do empresário, ou presencialmente

INSCRIÇÃO MUNICIPAL

O que – O empresário deve desbloquear seu CCM (Cadastro de Contribuinte Mobiliário) e registrar sua empresa na esfera municipal

Onde – A partir do site https://ccm.prefeitura.sp.gov.br

LICENCIAMENTO

O que – Obtenção de licenças para atuação no município

Onde No portal de Registro e Licenciamento, em www.Rle.empresasimples.gov.br

Folha de S.Paulo

A resolução que institui o prestador de serviço de confiança para armazenamento de chaves privadas de usuários finais e serviços de assinaturas no âmbito da ICP-Brasil é republicada por ter saído com omissão do Anexo I no DOU de 22 de novembro.

RESOLUÇÃO Nº 132, DE 10 DE NOVEMBRO DE 2017 (*)

ANEXO VI

CRIA O DOC-ICP-17 QUE INSTITUI O PRESTADOR DE SERVIÇO DE CONFIANÇA PARA ARMAZENAMENTO DE CHAVES PRIVADAS DE USUÁRIOS FINAIS E SERVIÇOS DE ASSINATURA DIGITAL NO ÂMBITO DA ICP-BRASIL E DÁ OUTRAS PROVIDÊNCIAS.

O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, §1º, inc. III, do Regimento Interno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4°, da Medida Provisória n° 2.200-2, de 24 de agosto de 2001, em reunião ordinária realizada em 10 de novembro de 2017,

Considerando a necessidade de instaurar procedimentos operacionais para armazenamento de chaves privadas dos usuários finais em hardwares criptográficos com acesso remoto,

Considerando facilitar o uso por parte do usuário e padronizar as assinaturas digitais e as respectivas verificações, e

Considerando a necessidade de instaurar a declaração de práticas dos prestadores de serviço de confiança de armazenamento de chaves criptográficas e de assinatura digital no âmbito da ICP-Brasil, resolveu:

Art. 1º O item 1, do DOC-ICP-03, versão 5,1, passa a vigorar com a seguinte redação:

Este documento estabelece os critérios e procedimentos a serem observados para o credenciamento, manutenção do credenciamento e descredenciamento de Autoridades Certificadoras (ACs), de Autoridades de Registro (ARs), de Autoridades de Carimbo do Tempo (ACTs), de Prestadores de Serviço de Suporte (PSSs), de Prestadores de Serviço Biométrico (PSBios) e de Prestadores de Serviço de Confiança (PSC) de Assinatura Digital e Armazenamento de Chaves Criptográficas no âmbito da Infraestrutura de Chaves Públicas Brasileira ? ICP-Brasil.

Art. 2º As alíneas “c” e “d”, do item 2.1, do DOC-ICP-03, versão 5.1, passam a vigorar com a seguinte redação:

c) atender aos requisitos relativos à qualificação econômico-financeira estabelecidos, conforme a atividade a ser desenvolvida, nos anexos I, II, III, IV, V e VI; e

d) atender às diretrizes e normas técnicas da ICP-Brasil relativas à qualificação técnica ou contratual, constantes dos documentos relacionados nos Anexos I, II, IV, V e VI, aplicáveis aos serviços a serem prestados.

Art. 3º O DOC-ICP-03, versão 5.1, passa a vigorar acrescido do seguinte item e Notas:

2.1.6. Critérios para credenciamento de PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas

Os PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas deverão ser entidades opcionais com capacidade técnica para realizar (i) o armazenamento de chaves privadas para usuários finais no âmbito da ICP-Brasil ou (ii) fornecer serviços de assinatura digital, verificação da assinatura digital ou (iii) ambos, conforme regulamento operacional específico.

NOTA 1: Caberá à AC Raiz, por meio de Instrução Normativa, determinar os procedimentos técnicos para operação desses PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas (DOC-ICP-17.01).

Os candidatos ao credenciamento como PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas devem ainda:

a) ter sede administrativa localizada no território nacional; e

b) ter instalações operacionais e recursos de segurança física e lógica compatíveis com a atividade de armazenamento de chaves privadas para usuários finais ou realizar serviços de assinatura digital e verificação da assinatura digital ou ambos, localizadas em território nacional.

NOTA 2: As entidades credenciadas no âmbito da ICP-Brasil poderão prover o serviço designado aos PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas, observados o disposto no normativo de credenciamento, técnico e operacional.

NOTA 3: As soluções corporativas de armazenamento de chaves privadas dos funcionários em HSM de propriedade da instituição, em conhecimento e concordância do titular do certificado com a DPC da AC, que atendam as aplicações demandadas das organizações, com acesso exclusivo por meio da rede interna, não se enquadram na definição de PSC de Armazenamento de Chaves Criptográficas .

Art. 4º O DOC-ICP-03, versão 5.1, passa a vigorar acrescido dos seguintes itens:

2.2.7. Procedimentos para credenciamento de PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas

2.2.7.1. Solicitação

2.2.7.1.1. As solicitações dos candidatos ao credenciamento como PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas na ICP-Brasil serão encaminhadas à AC Raiz, mediante a apresentação dos documentos a seguir relacionados:

a) Formulário SOLICITAÇÃO DE CREDENCIAMENTO DE PRESTADOR DE SERVIÇO DE CONFIANÇA DE ARMAZENAMENTO E ASSINATURA, ADE-ICP-03.K [19], devidamente preenchido e assinado pelos representantes legais do candidato;

b) Documentos relacionados no Anexo VI;

c) Identificação do(s) local(is) onde o candidato(s) realizará(ão) as suas operações e manterá(ão) seus equipamentos, documentação e materiais utilizados;

d) Identificação do serviço de diretório ou página web onde se obtêm o arquivo com a publicação da Política de Segurança ? PS.

2.2.7.1.2. A solicitação de credenciamento será protocolada perante o Protocolo Geral do ITI e recebida, em até 30 (trinta) dias, por intermédio de despacho fundamentado.

2.2.7.1.3. Caso a solicitação de credenciamento não contenha todos os documentos relacionados no Anexo VI, o ITI determinará a intimação do candidato para que, sob pena de arquivamento do processo, supra as irregularidades no prazo máximo de 30 (trinta) dias, a contar do recebimento de ofício enviado pelo ITI com comprovação de recebimento pelo destinatário.

2.2.7.2. Auditoria Pré-Operacional

2.2.7.2.1 Após a publicação do despacho de recebimento, o candidato deverá remeter à AC Raiz, no prazo máximo de 30 (trinta) dias, o formulário de REQUERIMENTO DE AUDITORIA ADE-ICP-03.D [4], devidamente preenchido, declarando estar em conformidade com todos os requisitos exigidos pelas resoluções do Comitê Gestor da ICP-Brasil relacionados à atividade de PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas e pronto para ser auditado no prazo de 15 (quinze) dias a contar daquele momento.

2.2.7.2.2 Tal requerimento deverá ser preenchido e assinado pelos representantes legais do candidato à PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas .

2.2.7.2.3 Durante as diligências de auditoria a AC Raiz poderá exigir documentação adicional contendo especificações sobre equipamentos, produtos de hardware e software, procedimentos técnicos e operacionais adotados pela candidata.

2.2.7.2.4 Caso o relatório de auditoria aponte o não-cumprimento de quaisquer dos critérios para credenciamento exigidos pelo item 2.1, a AC Raiz intimará a candidata para que os cumpra no prazo que fixar, a contar do recebimento de ofício enviado pela AC Raiz com comprovação de recebimento pelo destinatário.

2.2.7.2.5 Após a comunicação da candidata de que atendeu os critérios de credenciamento apontados como não cumpridos no relatório de auditoria, a AC Raiz intimará a candidata por meio de ofício enviado com comprovação de recebimento pelo destinatário, determinando a realização de auditoria complementar, de modo a verificar as medidas adotadas.

2.2.7.2.6 A desistência de solicitação de credenciamento em tramitação poderá ser requerida até a data de deferimento final do credenciamento na AC Raiz.

2.2.7.2.7 Apresentado o relatório final de auditoria, a AC Raiz manifestar-se-á sobre o deferimento ou indeferimento da solicitação de credenciamento, no prazo máximo de 30 (trinta) dias.

2.2.7.2.8 Sobre a decisão de indeferimento de solicitação de credenciamento, caberá recurso administrativo da candidata ao Comitê Gestor da ICP-Brasil.

2.2.7.3. Ato de credenciamento

2.2.7.3.1. O deferimento ou o indeferimento do credenciamento será fundamentado e comunicado ao candidato que deu encaminhamento ao requerimento.

2.2.7.3.2. O PSC de Armazenamento de Chaves Criptográficas que já estiver credenciado na ICP-Brasil poderá prestar serviço a qualquer usuário da ICP-Brasil, em parceria com uma Autoridade Certificadora, devendo a AC emissora do certificado, estar autorizada pelo ITI à prática de emissão declarada em sua PC/DPC, conforme disposto no subitem “b” do item 3.1 do documento DOC-ICP-03.

2.2.7.3.3. O ato de credenciamento será publicado no Diário Oficial da União, devendo o candidato, por seu representante legal, apresentar termo de compromisso, com a descrição de suas responsabilidades e o compromisso de desempenhar suas funções de acordo com padrões de idoneidade que asseguram a independência e neutralidade de suas avaliações bem como o devido rigor técnico e operacional.

2.2.7.4. Vedações ao credenciamento

É vedada a contratação, subcontratação ou terceirização total ou parcial das atividades de armazenamento das chaves privadas para usuários finais pelos PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas credenciados no âmbito da ICP-Brasil, salvo a contratação de empresas fornecedoras de soluções para hardwares criptográficos e sistemas para serviços de assinaturas digitais e verificação das assinaturas digitais, conforme Anexo VI deste documento.

Art. 5º O DOC-ICP-03, versão 5.1, passa a vigorar acrescido do seguinte item:

3.6 Manutenção de credenciamento de PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas

A entidade credenciada para desenvolver as atividades de PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas deverá:

a) Comunicar, desde logo, ao ITI:

i. qualquer alteração em seus atos constitutivos, estatuto, contrato social ou administradores;

ii. violação, de que tenha conhecimento, das diretrizes e normas técnicas da ICP-Brasil;

iii. qualquer alteração na sua Declaração de Práticas de Prestadores de Serviço de Confiança ? DPPSC, Plano de Capacidade Operacional ? PCO e Política de Segurança ? PS;

b) Encaminhar ao ITI, até o dia 15 (quinze) de dezembro de cada ano, cronograma das auditorias a serem realizadas durante o ano seguinte;

c) Encaminhar ao ITI relatórios de auditorias em até 30 (trinta) dias após a conclusão das mesmas;

d) Observar o DOC-ICP-17.01 [18], a DPPSC, o PCO e PS aplicável.

Art. 6º O DOC-ICP-03, versão 5.1, passa a vigorar acrescido dos seguintes itens:

4.5A. Descredenciamento de PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas .

4.5A.1. Hipóteses para o descredenciamento de PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas

a) A pedido do próprio PSC, mediante requerimento, em relação às suas atividades;

b) Por determinação da AC Raiz, em razão de descumprimento de qualquer dos critérios e procedimentos exigidos para o seu funcionamento, após o decurso do prazo para regularização, sem que a entidade tenha sanado a irregularidade e mediante processo administrativo.

4.5A.2. Procedimentos para descredenciamento de PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas

4.5A.2.1. Descredenciamento solicitado pelo próprio PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas.

Na hipótese de o descredenciamento ser solicitado pelo próprio PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas , o mesmo comunicará o fato, com 120 (cento vinte dias) dias de antecedência, diretamente à AC Raiz, aos titulares dos certificados e, se for o caso, às Autoridades Certificadoras, no caso de armazenamento de chaves privadas dos usuários finais, que o contrataram e publicará em sua página web, para conhecimento dos titulares dos certificados, a decisão de encerrar suas atividades de prestação de serviço de confiança no âmbito da ICP-Brasil, continuando a prestar os serviços regularmente nesse período.

4.5A.2.2. Descredenciamento por determinação da AC Raiz.

Na hipótese de descredenciamento por determinação da AC Raiz, o PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas descredenciado ficará impedido de apresentar novo pedido de credenciamento pelo prazo de 24 (vinte quatro) meses contados da publicação de que trata o item 4.5A.2.3.

4.5A.2.3. Descredenciamento por quaisquer das hipóteses anteriormente previstas:

a) A AC Raiz divulgará o fato, logo após a consumação da respectiva hipótese, no Diário Oficial da União e em sua página web;

b) Os PSC deverão cessar suas atividades de armazenamento de novas chaves e/ou certificados digitais ou serviços de assinaturas ou ambos no âmbito da ICP-Brasil imediatamente após a publicação de que trata a alínea anterior;

c) As operações do PSC utilizados durante o período de operação na ICP-Brasil deverão ser realizadas por outro PSC credenciado, após aprovação da AC Raíz, que deverão entrar em contato com os titulares das chaves privadas para os novos procedimentos de uso;

d) Os PSC descredenciados deverão imediatamente prover acesso aos HSMs e sistemas para outro PSC credenciado;

e) Quando houver mais de um PSC interessado, assumirá a responsabilidade aquele indicado pelo PSC que encerra suas atividades;

f) Em caso de não vinculação do PSC descredenciado a uma AC e não haja interessados em assumir as operações do PSC, os usuários deverão entrar em contato com a AC emissora para procedimentos de reemissão do seu par de chaves e respectivo certificado;

g) Em caso de vinculação do PSC descredenciado a uma AC e não haja interessados em assumir as operações do PSC, as ACs que emitiram o par de chaves e o respectivo certificado deverão entrar em contato com os usuários para informações de uso ou reemissão do par de chaves e respectivo certificado.

4.5A.2.4 ? Da Responsabilidade.

a) O PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas , ainda que descredenciado, não poderá, sob pena de responsabilidade civil, criminal e administrativa, ceder, a qualquer título, as chaves privadas, certificados digitais e documentos armazenados no desempenho de suas atividades na ICP-Brasil, à exceção do previsto na alínea “c” do item 4.5A.2.3.

Art. 7º O item 4.6, do DOC-ICP-03, versão 5.1, passa a vigorar com a seguinte redação:

4.6. Obrigações Subsistentes

As AC, as AR, os PSS, as ACT, os PSBio e os PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas operacionalmente vinculados têm o dever de observar as diretrizes e normas técnicas da ICP-Brasil, inclusive as obrigações que subsistirem após o encerramento das atividades de emissão e armazenamento de chaves privadas.

O ITI poderá determinar a revogação imediata do certificado digital emitido em desconformidade com as normas que regem a ICP-Brasil, com ônus à entidade infratora para ressalvar o direito de terceiros de boa-fé.

Art. 8º A tabela do item 5.1, do DOC-ICP-03, versão 5.1, passa a vigorar acrescida da seguinte referência:

[17] REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE PRESTADOR DE SERVIÇO DE CONFIANÇA DA ICP-BRASIL, DOC-ICP-17.

Art. 9º A tabela do item 5.2, do DOC-ICP-03, versão 5.1, passa a vigorar acrescida da seguinte referência:

[18] PROCEDIMENTOS OPERACIONAIS MÍNIMOS PARA OS PRESTADORES DE SERVIÇO DE CONFIANÇA DA ICP-BRASIL, DOC-ICP-17.01.

Art. 10. A tabela do item 5.3, do DOC-ICP-03, versão 5.1, passa a vigorar acrescida da seguinte referência:

[19] Formulário SOLICITAÇÃO DE CREDENCIAMENTO DE PRESTADOR DE SERVIÇO DE CONFIANÇA DE ASSINATURA E ARMAZENAMENTO, ADE-ICP-03.K.

Art. 11. O DOC-ICP-03, versão 5.1, passa a vigorar acrescido do seguinte Anexo:

O candidato a desenvolver as atividades de PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas deve entregar a AC Raiz os seguintes documentos atualizados:

1. Relativos a sua habilitação jurídica:

a) Ato constitutivo, devidamente registrado no órgão competente; e

b) Documentos da eleição de seus administradores, quando aplicável;

2. Relativos a sua regularidade fiscal:

a) Prova de inscrição no Cadastro Nacional de Pessoas Jurídicas ? CNPJ;

b) Prova de inscrição no cadastro de contribuintes estadual ou municipal, se houver, relativo ao domicílio ou sede do candidato, pertinente ao seu ramo de atividade e compatível com o objeto contratual;

c) Prova de regularidade junto à Fazenda Pública Federal, Estadual e Municipal do domicílio ou sede do candidato, ou outra equivalente, na forma da lei; e

d) Prova de regularidade do candidato junto à Seguridade Social e ao Fundo de Garantia por Tempo de Serviço ? FGTS, demonstrando situação regular no cumprimento dos encargos sociais instituídos por lei.

3. Relativos a sua qualificação econômico-financeira (exceto entidades da administração pública direta e indireta, nas esferas federal, estadual e municipal):

3.1. Certidão negativa de falência ou recuperação judicial/extrajudicial expedida pelo distribuidor da sede da pessoa jurídica, ou de execução patrimonial, expedida no domicílio do requerente;

3.2. Parecer de Contador que possua certidão emitida pelo Cadastro Nacional de Auditores Independentes (CNAI), atestando a boa situação econômico-financeira do candidato ou, alternativamente, atendimento ao seguinte:

a) Balanço patrimonial e demonstrações contábeis do último exercício social, já exigíveis e apresentados na forma da lei, que comprovem a boa situação financeira da empresa, vedada a sua substituição por balancetes ou balanços provisórios, acompanhados de planilha evidenciando os cálculos previstos na alínea seguinte;

b) Será considerada em boa situação econômico-financeira o candidato que demonstrar, no exercício referido nas demonstrações financeiras, possuir RSPL (retorno sobre o patrimônio líquido) igual ou superior à TJLP média (Taxa de Juros de Longo Prazo, aprovada pelo Conselho Monetário Nacional, divulgada pelo Banco Central do Brasil com o código 256) a ser calculado da seguinte maneira:

Onde:

RSPL = Retorno Sobre o Patrimônio Líquido;

LL = Lucro Líquido do exercício;

PL = (patrimônio líquido inicial + patrimônio líquido final)/2; TJLP = média das taxas a.a. divulgadas pelo BACEN no código 256 para o exercício.

c) Caso o candidato tenha obtido prejuízo no último exercício social exigível, poderá ser efetuado cálculo da média dos cinco últimos exercícios exigíveis. Para tanto será apurada a média aritmética do patrimônio líquido dos cinco últimos balanços, exigíveis pela legislação vigente, e a respectiva média aritmética dos resultados obtidos em cada balanço patrimonial considerado na apuração da média do PL. Neste caso, a comparação será realizada com a menor TJLP divulgada para o mesmo período a que se referir a média do patrimônio líquido;

d) Caso o resultado obtido na alínea “b” ou “c” seja menor que a TJLP, mas for maior que zero, o candidato deverá comprovar, com base nos documentos exigidos nesta resolução, que possui PL igual ou superior a R$ 1.000.000,00;

e) Caso a empresa tenha sido criada há menos de um ano e não seja exigível, nos termos da legislação vigente, a apresentação de balanço patrimonial e demonstração contábil do último exercício, deverá apresentar seguro de responsabilidade civil e operacional no valor mínimo de R$ 1.000.000,00.

4. Relativos a sua qualificação técnica:

a) Declaração de que assinará, após o credenciamento, Termo de Confidencialidade, sob o compromisso de obedecer as normas e políticas de segurança do ITI.

b) Declaração de Prática de Prestador de Serviço de Confiança ? DPPSC, atendendo às condições mínimas estabelecidas pelo documento REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE PRESTADOR DE SERVIÇO DE CONFIANÇA DA ICP-BRASIL, DOC-ICP-17 [17];

c) Política de Segurança (PS), atendendo às condições mínimas estabelecidas na POLÍTICA DE SEGURANÇA DA ICP-BRASIL, DOC-ICP-02 [12];

d) Requisitos operacionais do PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas, atendendo às condições mínimas estabelecidas no PROCEDIMENTOS OPERACIONAIS MÍNIMOS PARA OS PRESTADORES DE SERVIÇO DE CONFIANÇA DA ICP-BRASIL, DOC-ICP-17.01 [18];

e) Plano de Capacidade Operacional ? PCO.

NOTA 01: As empresas cadastradas no Sistema Unificado de Cadastramento de Fornecedores ? SICAF, registro cadastral oficial do Poder Executivo Federal, poderão, para fins do disposto no item 2, apresentar seu extrato.

Art. 12. O DOC-ICP-04, versão 6.3, passa a vigorar acrescido dos seguintes itens:

1.3.3A Prestadores de Serviço de Confiança

1.3.3A.1 Neste item deve ser identificado o endereço da página web (URL) onde está publicada a relação de todos os Prestadores de Serviço de Confiança (PSC) contratados pela AC responsável.

1.3.3A.2. PSC poderão ser entidades utilizadas pelas AC, ou a própria AC, nesta PC ou na DPC implementada pela AC e se classificam em três categorias, conforme o tipo de atividade prestada:

a) armazenamento de chaves privadas dos usuários finais; ou

b) serviço de assinatura digital, verificação da assinatura digital; ou

c) ambos.

Art. 13. O item 6.2.4.2, do DOC-ICP-04, versão 6.3, passa a vigorar com a seguinte redação:

6.2.4.2. A AC responsável pela PC não poderá manter cópia de segurança de chave privada de titular de certificado de assinatura digital por ela emitido, salvo nos casos em que esta é credenciada como PSC. Por solicitação do respectivo titular, ou de empresa ou órgão, quando o titular do certificado for seu empregado ou cliente, a AC poderá manter cópia de segurança de chave privada correspondente a certificado de sigilo por ela emitido.

Art. 14. A alínea “a”, do item 2, do DOC-ICP-08, versão 4.3, passa a vigorar com a seguinte redação:

a) Pré-operacionais: são as auditorias realizadas antes do início das atividades do candidato a Prestador de Serviço de Confiança (PSC), quer seja Autoridade Certificadora (AC), Autoridade de Carimbo do Tempo (ACT), Autoridade de Registro (AR), Prestador de Serviço de Suporte (PSS), Prestador de Serviço Biométrico (PSBio) ou PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas;

Art. 15. A tabela do item 3.1, do DOC-ICP-08, versão 4.3, passa a vigorar acrescida da seguinte entidade:

PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas

ITI/DAFN/CGAF

Empresa de Auditoria Independente, credenciada junto ao ITI

Art. 16. A alínea “a”, do item 4.1, do DOC-ICP-08, versão 4.3, passa a vigorar com a seguinte redação:

a) Tipo 1: entidades autorizadas a realizar auditoria em AC, ACT, AR, PSBio, PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas, com respectivos PSS. Este tipo é destinado às empresas de auditoria independentes cadastradas junto ao CNAI.

Art. 17. A alínea “p”, do item 4.2 do DOC-ICP-08, versão 4.3, passa a vigorar com a seguinte redação:

p) comprovação de licenciamento WebTrust, para entidades interessadas em realizar auditorias do Tipo 1.

Art. 18. O DOC-ICP-08, versão 4.3, passa a vigorar acrescido do seguinte item:

5.5 Cada PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas protocolará no ITI, até o dia 15 (quinze) de dezembro de cada ano, para aprovação da DAFN, seu PLAAO para o ano civil seguinte, por meio do formulário ADE-ICP-08.C [4].

Art. 19. A alínea “j”, do item 1.1, do DOC-ICP-09, versão 3.2, passa a vigorar com a seguinte redação:

j) PRESTADOR DE SERVIÇO DE CONFIANÇA (PSC) ? Qualquer entidade credenciada para operar na ICP-Brasil, como: as Autoridades Certificadoras (AC); as Autoridades de Registro (AR); as Autoridades de Carimbo do Tempo (ACT), os Prestadores de Serviço de Suporte (PSS), os Prestadores de Serviço Biométrico (PSBio), os PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas; ou entidade vinculada, como o Laboratório de Ensaios e Auditoria (LEA) e outros que executem ou determinem a execução de itens de certificação presentes nas resoluções da ICP-Brasil;

Art. 20. Aprovar a versão 1.0 do documento DOC-ICP-17 ? REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE PRESTADOR DE SERVIÇO DE CONFIANÇA DA ICP-BRASIL, conforme Anexo I deste documento.

Art. 21. Ficam aprovadas as novas versões dos Documentos:

I – DOC-ICP-03 ? CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL (versão 5.2);

II – DOC-ICP-04 – REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL (versão 6.4);

III – DOC-ICP-08 ? CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES DA ICP-BRASIL (versão 4.4);

IV – DOC-ICP-09 ? CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL (versão 3.3).

§ 1º As demais cláusulas dos referidos documentos, nas suas versões imediatamente anteriores, em sua ordem originária, integram as presentes versões e mantêm-se válidas.

§ 2º Os documentos referidos no caput encontram-se disponibilizados, em sua totalidade, no sítio http://www.iti.gov.br.

Art. 22. Esta Resolução entra em vigor na data da sua publicação, exceto quanto ao disposto na Nota 1, do item 1.3.2, do Anexo I, deste documento, o qual entrará em vigor após nova apreciação do Comitê-Gestor da ICP-Brasil.

ANEXO I

CONTROLE DE ALTERAÇÕES

Resolução que aprovou a alteração	Item alterado	Descrição da alteração
Resolução 132,de 10.11.2017 (Versão 1.0)		Criação do DOC-ICP-17.

LISTA DE ACRÔNIMOS

SIGLA	DESCRIÇÃO
AC	Autoridade Certificadora
AC RAIZ	Autoridade Certificadora Raiz da ICP-Brasil
ACT	Autoridade de Carimbo de Tempo
AR	Autoridade de Registro
AUDIBRA	Instituto dos Auditores Internos do Brasil
CD	Compact Disc
CG	Comitê Gestor da ICP-Brasil
CFC	Conselho Federal de Contabilidade
CGU	Controladoria Geral da União
CGAF	Coordenação Geral de Auditoria e Fiscalização
CMMI	Capability Maturity Model Integration
CNPJ	Cadastro Nacional de Pessoas Jurídicas
COBIT	Control Objectives for Information and related Technology
COSO	Committee of Sponsoring Organizations
CVM	Comissão de Valores Mobiliários
DAFN	Diretoria de Auditoria, Fiscalização e Normalização
DOU	Diário Oficial da União
DVD	Digital Versatile Disc
FGTS	Fundo de Garantia do Tempo de Serviço
IBRACON	Instituto dos Auditores Independentes do Brasil
ICP-BRASIL	Infraestrutura de Chaves Públicas Brasileira
IIA	Information Systems Audit and Control Association
ISACA	Information Systems Audit and Control Association
IEC	International Electrotechnical Commission
ISO	International Organization for Standardization
ITIL	Information Technology Infrastructure Library
MPS-BR	Melhoria de Processo do Software Brasileiro
PDF	Portable Document Format
PLAAO	Plano Anual de Auditoria Operacional
PSC	Prestador de Serviço de Confiança
PSS	Prestadores de Serviço de Suporte
SHA	Secure Hash Algorithm
SICAF	Sistema de Cadastramento Unificado de Fornecedores
TCU	Tribunal de Contas da União

1. INTRODUÇÃO

1.1. Visão Geral

1.1.1. Este documento faz parte de um conjunto de normativos criado para regulamentar os Prestadores de Serviço de Confiança de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas, referenciados neste documento como Prestadores de Serviço de Confiança – PSC, no âmbito da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). Tal conjunto se compõe dos seguintes documentos:

a. REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DOS PRESTADORES DE SERVIÇO DE CONFIANÇA – PSC DA ICP-BRASIL (DOC-ICP-17) ? este documento;

b. PROCEDIMENTOS OPERACIONAIS MÍNIMOS PARA OS PRESTADORES DE SERVIÇO DE CONFIANÇA DA ICP-BRASIL (DOC-ICP-17.01);

1.1.2. O Prestador de Serviço de Confiança ? PSC da ICP-Brasil é uma entidade credenciada, auditada e fiscalizada pelo ITI que provê serviços de armazenamento de chaves privadas para usuários finais, nos termos do DOC-ICP-04 [11], ou serviços de assinaturas e verificações de assinaturas digitais padrão ICP-Brasil nos documentos e transações eletrônicas ou ambos.

1.1.3. A utilização de Prestadores de Serviços de Confiança para estes serviços elencados é facultativa. Chaves privadas dos usuários finais armazenados em dispositivos normatizados conforme estabelecido no DOC-ICP-04 [11] e assinaturas digitais padrão ICP-Brasil feitas pela chave do usuário em outros sistemas são válidas conforme ditame legal da ICP-Brasil.

1.1.4. Este documento estabelece os requisitos mínimos a serem obrigatoriamente observados pelas PSC integrantes da ICP-Brasil na elaboração de suas Declarações de Práticas de Prestador de Serviço de Confiança ? DPPSC. A DPPSC é o documento que descreve as práticas e os procedimentos operacionais e técnicos empregados pelo PSC na execução de seus serviços. Não obstante, às ACs devem observar a mudança na respectiva DPC e PC caso utilize para armazenamento de chaves dos seus usuários finais o modelo PSC (ciclo de vida do certificado ? descrição dos procedimentos de armazenamento).

1.1.5. Este documento tem como base as normas da ICP-Brasil, as RFC 4210, 4211, 3628, 3447 3161 do IETF, Regulation (EU) 910/2014 e o documento TS 101 861 do ETSI.

1.1.6. Toda DPPSC elaborada no âmbito da ICP-Brasil deve obrigatoriamente adotar a mesma estrutura empregada neste documento.

1.1.7. Aplicam-se ainda aos PSC da ICP-Brasil, no que couberem, os regulamentos dispostos nos demais documentos da ICP-Brasil, entre os quais destacamos:

a. POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4];

b. CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [5];

c. CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [6];

d. CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [7];

e. REGULAMENTO PARA HOMOLOGAÇÃO DE SISTEMAS E EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL [9].

1.1.8. Esta DPPSC está conforme a Internet Engineering Task Force (IETF) RFC 3647, podendo sofrer atualizações regulares.

1.2. Identificação

Neste item deve ser identificada a DPPSC.

1.3. Comunidade e Aplicabilidade

1.3.1. Prestadores de Serviço de Confiança

Neste item deve ser identificado o PSC integrante da ICP-Brasil a que se refere esta DPPSC.

1.3.1.1. Neste item deve ser identificado o endereço da página web (URL) onde está publicado os serviços prestados pelo PSC.

1.3.1.2. PSC são entidades utilizadas para desempenhar atividade descrita nesta DPPSC e no DOC-ICP-17.01, assim como nos ADE-ICP relacionados, e se classificam em três categorias, conforme o tipo de atividade prestada:

a) armazenamento de chaves privadas dos subscritores; ou

b) serviço de assinatura digital, verificação da assinatura digital; ou

c) ambos.

1.3.1.3. O PSC deverá manter as informações acima sempre atualizadas.

1.3.2. Subscritores

Neste item devem ser caracterizadas as pessoas físicas ou jurídicas que poderão solicitar os serviços descritos nesta DPPSC.

Os subscritores deverão manifestar plena aprovação aos serviços contratados pelo PSC, assim como o nível de acompanhamento que o PSC deverá informar, para fins exclusivos de proteção da chave privada do titular, seja na prestação de armazenamento das chaves privadas, serviços de assinaturas digitais e verificação das assinaturas digitais e, por ventura, no armazenamento de documentos assinados, neste último caso conforme legislação vigente.

Os subscritores deverão ter acesso, quando do uso do serviço de assinatura do PSC, por meio do ambiente do usuário, no mínimo, das 10 (dez) últimas assinaturas digitais realizadas.

Nota 1: Os subscritores poderão solicitar a desvinculação das suas chaves ao PSC de armazenamento de chaves criptográficas ao seu critério, em conformidade com os procedimentos de portabilidade dispostos no documento DOC-ICP-17.01.

1.3.3. Aplicabilidade

Este item da DPPSC deve relacionar e identificar os serviços prestados pelo PSC que definem como cada um desses autorizados devem ser utilizados pela comunidade. Nas descrições estarão relacionadas as aplicações para as quais a comunidade fará uso dos serviços.

1.4. Dados de Contato

Neste item devem ser incluídos o nome, o endereço e outras informações da PSC responsável pela DPPSC. Devem ser também informados o nome, os números de telefone e o endereço eletrônico de uma pessoa para contato.

1.5. Procedimentos de mudança de especificação

Neste item devem ser descritos a política e os procedimentos utilizados para realizar alterações na DPPSC. Qualquer alteração na DPPSC deverá ser submetida à aprovação da AC-Raiz.

A DPPSC deverá ser atualizada sempre que um novo serviço for implementado pelo PSC responsável o exigir.

1.5.1. Políticas de publicação e notificação

Neste item devem ser descritos os mecanismos empregados para a distribuição da DPPSC à comunidade envolvida.

1.5.2. Procedimentos de aprovação

Toda DPPSC deverá ser submetida à aprovação, durante o processo de credenciamento do PSC responsável, conforme o determinado pelo documento CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [5].

1.6. Definições e Acrônimos

Neste item devem ser descritas todas as definições e acrônimos contidas no documento.

2. RESPONSABILIDADE DO REPOSITÓRIO E PUBLICAÇÃO

2.1. Publicação

2.1.1. Publicação de informação do PSC

2.1.1.1. Neste item devem ser definidas as informações a serem publicadas pelo PSC responsável pela DPPSC, o modo pelo qual serão disponibilizadas e a sua disponibilidade.

2.1.1.2. As seguintes informações, no mínimo, deverão ser publicadas pelo PSC em página web:

a) capacidade de armazenamento das chaves privadas dos subscritores que opera;

b) sua DPPSC;

c) os serviços que implementam;

d) as condições gerais mediante as quais são prestados os serviços de armazenamento de chaves privadas, assinatura digital e verificação da assinatura digital;

e) se pretende continuar a prestar o serviço ou se está mediante a qualquer fiscalização dos serviços.

2.1.2. Frequência de publicação

Neste item deve ser informada a frequência de publicação das informações de que trata o item anterior, de modo a assegurar a disponibilização sempre atualizada de seus conteúdos.

2.1.3. Controles de acesso

Neste item devem ser descritos os controles e as eventuais restrições para acesso, leitura e escrita das informações publicadas pelo PSC, de acordo com o estabelecido nas normas, critérios, práticas e procedimentos da ICP-Brasil.

3. IDENTIFICAÇÃO E AUTORIZAÇÃO

Neste item o PSC responsável deve descrever a forma utilizada para identificar e autorizar os subscritores, caso necessária a realização de tais procedimentos.

4. REQUISITOS OPERACIONAIS

4.1. Armazenamento e acesso às chaves privadas do subscritor

Neste item da DPPSC o PSC deve, além do descrito no documento PROCEDIMENTOS OPERACIONAIS MÍNIMOS PARA OS PRESTADORES DE SERVIÇO DE CONFIANÇA DA ICP-BRASIL, DOC-ICP-17.01, relatar como os componentes de software farão comunicação entre a aplicação do subscritor e acesso ao certificado e suas chaves, descrevendo:

a) a linguagem de programação utilizada para construção da plataforma de acesso;

b) os meios de acesso disponibilizados ao subscritor (aplicativos para dispositivos móveis, para PC, páginas web, entre outros);

c) o canal de segurança em que trafegam as autenticações;

d) a arquitetura de rede da aplicação de acesso.

4.2. Serviço de criação e validação de assinaturas digitais

Neste item da DPPSC o PSC deve, além do descrito no documento PROCEDIMENTOS OPERACIONAIS MÍNIMOS PARA OS PRESTADORES DE SERVIÇO DE CONFIANÇA DA ICP-BRASIL, DOC-ICP-17.01, relatar como as plataformas de assinatura digital e verificação da assinatura digital funcionarão.

4.3. Procedimentos de Auditoria de Segurança

Nos itens seguintes da DPPSC devem ser descritos aspectos dos sistemas de auditoria e de registro de eventos implementados pelo PSC responsável com o objetivo de manter um ambiente seguro.

4.3.1. Tipos de eventos registrados

4.3.1.1. O PSC responsável pela DPPSC deverá registrar em arquivos de auditoria todos os eventos relacionados à segurança do seu sistema. Entre outros, os seguintes eventos deverão obrigatoriamente estar incluídos em arquivos de auditoria:

a) iniciação e desligamento dos sistemas de PSC;

b) tentativas de criar, remover, definir senhas ou mudar privilégios de sistema dos operadores do PSC;

c) mudanças na configuração dos sistemas de PSC;

d) tentativas de acesso (login) e de saída do sistema (logoff);

e) tentativas não-autorizadas de acesso aos arquivos de sistema;

f) registros de armazenamentos das chaves privadas e/ou certificados digitais;

g) tentativas de iniciar, remover, habilitar e desabilitar usuários de sistemas;

h) operações falhas de escrita ou leitura, quando aplicável;

i) todos os eventos relacionados à sincronização com a fonte confiável de tempo;

j) registros das assinaturas digitais criadas e verificações realizadas;

k) registros de acesso aos documentos dos subscritores;

l) registros de acesso ou tentativas de acesso a chave privada do subscritor.

4.3.1.2. O PSC responsável pela DPPSC deverá também registrar, eletrônica ou manualmente, informações de segurança não geradas diretamente pelo seu sistema, tais como:

a) registros de acessos físicos;

b) manutenção e mudanças na configuração de seus sistemas;

c) mudanças de pessoal e de perfis qualificados;

d) relatórios de discrepância e comprometimento; e

e) registros de destruição de mídias de armazenamento contendo chaves criptográficas, dados de ativação de certificados ou informação pessoal dos subscritores.

4.3.1.3. Neste item, a DPPSC deve especificar todas as informações que deverão ser registradas pelo PSC responsável.

4.3.1.4. A DPPSC deve prever que todos os registros de auditoria deverão conter a identidade do agente que o causou, bem como a data e horário do evento. Registros de auditoria eletrônicos deverão conter o horário UTC. Registros manuais em papel poderão conter a hora local desde que especificado o local.

4.3.1.5. Para facilitar os processos de auditoria, toda a documentação relacionada aos serviços do PSC deverá ser armazenada, eletrônica ou manualmente, em local único, conforme a POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4].

4.3.2. Frequência de auditoria de registros (logs)

A DPPSC deve estabelecer a periodicidade, não superior a uma semana, com que os registros de auditoria do PSC responsável serão analisados pelo seu pessoal operacional. Todos os eventos significativos deverão ser explicados em relatório de auditoria de registros. Tal análise deverá envolver uma inspeção breve de todos os registros, com a verificação de que não foram alterados, seguida de uma investigação mais detalhada de quaisquer alertas ou irregularidades nesses registros. Todas as ações tomadas em decorrência dessa análise deverão ser documentadas.

4.3.3. Período de retenção para registros (logs) de auditoria

Neste item, a DPPSC deve estabelecer que o PSC responsável mantenha localmente os seus registros de auditoria por pelo menos 2 (dois) meses e, subsequentemente, deverá armazená-los da maneira descrita no item 4.5.

4.3.4. Proteção de registro (log) de auditoria

4.3.4.1. Neste item, a DPPSC deve descrever os mecanismos obrigatórios incluídos no sistema de registro de eventos do PSC responsável para proteger os seus registros de auditoria contra leitura não autorizada, modificação e remoção.

4.3.4.2. Também devem ser descritos os mecanismos obrigatórios de proteção de informações manuais de auditoria contra a leitura não autorizada, modificação e remoção.

4.3.4.3. Os mecanismos de proteção descritos neste item devem obedecer à POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4].

4.3.5. Procedimentos para cópia de segurança (backup) de registro (log) de auditoria

Neste item da DPPSC devem ser descritos os procedimentos adotados pelo PSC responsável para gerar cópias de segurança (backup) de seus registros de auditoria e a sua periodicidade, que não deve ser superior a uma semana.

4.3.6. Sistema de coleta de dados de auditoria

Neste item da DPPSC devem ser descritos e localizados os recursos utilizados pelo PSC responsável para a coleta de dados de auditoria.

4.3.7. Notificação de agentes causadores de eventos

A DPPSC deve observar que quando um evento for registrado pelo conjunto de sistemas de auditoria do PSC responsável, nenhuma notificação deverá ser enviada à pessoa, organização, dispositivo ou aplicação que causou o evento.

4.3.8. Avaliações de vulnerabilidade

A DPPSC deve assegurar que os eventos que indiquem possível vulnerabilidade, detectados na análise periódica dos registros de auditoria do PSC responsável, serão analisados detalhadamente e, dependendo de sua gravidade, registrados em separado. Ações corretivas decorrentes deverão ser implementadas pelo PSC e registradas para fins de auditoria.

4.4. Arquivamento de Registros

Nos itens seguintes da DPPSC deve ser descrita a política geral de arquivamento de registros, para uso futuro, implementada pelo PSC responsável.

4.4.1. Tipos de registros arquivados

Neste item da DPPSC devem ser especificados os tipos de registros arquivados, que deverão compreender, entre outros:

a) notificações de comprometimento de chaves privadas dos subscritores por qualquer motivo;

b) notificações de comprometimento de arquivos armazenados dos subscritores por qualquer motivo;

c) informações de auditoria previstas neste item.

Neste item, a DPPSC deve estabelecer os períodos de retenção para cada registro arquivado, observando que os registros de armazenamento de chaves privadas e/ou certificados digitais, de assinaturas digitais criadas, de verificações das assinaturas digitais e, por ventura, dos documentos armazenados, inclusive arquivos de auditoria, deverão ser retidos por, no mínimo, 6 (seis) anos.

4.4.2. Proteção de arquivo

A DPPSC deve estabelecer que todos os registros arquivados devem ser classificados e armazenados com requisitos de segurança compatíveis com essa classificação, conforme a POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4].

4.4.3. Procedimentos para cópia de segurança (backup) de arquivo

4.5.1.1. A DPPSC deve estabelecer que uma segunda cópia de todo o material arquivado deverá ser armazenada em ambiente diferente às instalações principais do PSC responsável, recebendo o mesmo tipo de proteção utilizada por ele no arquivo principal.

4.5.1.2. As cópias de segurança deverão seguir os períodos de retenção definidos para os registros dos quais são cópias.

4.5.1.3. O PSC responsável pela DPPSC deverá verificar a integridade dessas cópias de segurança, no mínimo, a cada 6 (seis) meses.

4.4.4. Requisitos para datação de registros

Neste item, a DPPSC deve estabelecer os formatos e padrões de data e hora contidos em cada tipo de registro.

4.4.5. Sistema de coleta de dados de arquivo

Neste item da DPPSC devem ser descritos e localizados os recursos de coleta de dados de arquivo utilizados pelo PSC responsável.

4.4.6. Procedimentos para obter e verificar informação de arquivo

Neste item da DPPSC devem ser detalhadamente descritos os procedimentos definidos pelo PSC responsável para a obtenção ou a verificação de suas informações de arquivo.

4.5. Liberação do espaço do subscritor

Neste item, a DPPSC deve descrever os procedimentos técnicos e operacionais que serão usados pelo PSC responsável para liberação de um espaço (slot) destinado a um subscritor onde estava armazenado as chaves privadas do mesmo, no caso de expiração e não uso mais por parte do usuário ou revogação do certificado.

4.6. Comprometimento e Recuperação de Desastre

4.6.1. Disposições Gerais

4.6.1.1. Nos itens seguintes da DPPSC devem ser descritos os requisitos relacionados aos procedimentos de notificação e de recuperação de desastres, previstos no Plano de Continuidade de Negócios (PCN) do PSC responsável, estabelecido conforme a POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4], para garantir a continuidade dos seus serviços críticos.

4.6.1.2. O PSC deve assegurar, no caso de comprometimento de sua operação por qualquer um dos motivos relacionados nos itens abaixo, que as informações relevantes sejam disponibilizadas aos subscritores e às terceiras partes. O PSC deve disponibilizar a todos os subscritores e terceiras partes uma descrição do comprometimento ocorrido.

4.6.1.3. No caso de comprometimento de uma operação de armazenamento e acesso das chaves de um ou mais subscritores, o PSC não deverá mais prover esse serviço, até serem tomadas as medidas administrativas pela AC Raiz, informando aos subscritores sobre o problema e devidos encaminhamentos que estes deverão tomar.

4.6.1.4. Em caso de comprometimento de uma operação de serviço de assinatura digital ou verificação da assinatura digital dos documentos assinados, sempre que possível, o PSC deve disponibilizar a todos os subscritores e terceiras partes informações que possam ser utilizadas para identificar quais documentos que podem ter sido afetados, a não ser que isso viole a privacidade dos subscritores ou comprometa a segurança dos serviços do PSC.

4.6.2. Recursos computacionais, software, e dados corrompidos

Neste item da DPPSC devem ser descritos os procedimentos de recuperação utilizados pelo PSC responsável quando recursos computacionais, software ou dados estiverem corrompidos ou houver suspeita de corrupção.

4.6.3. Sincronismo do PSC

Neste item a DPPSC deve descrever os procedimentos de recuperação previstos pelo PSC para utilização nas hipóteses de sincronismo com a fonte confiável de tempo da ICP-Brasil ou, se for o caso, com o pool de HSM para operação.

4.6.4. Segurança dos recursos após desastre natural ou de outra natureza

Neste item da DPPSC devem ser descritos os procedimentos de recuperação utilizados pelo PSC responsável após a ocorrência de um desastre natural ou de outra natureza, antes do restabelecimento de um ambiente seguro.

4.7. Extinção dos serviços de PSC

4.7.1. Observado o disposto no item 4 do documento CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [5], este item da DPPSC deve descrever os requisitos e os procedimentos que deverão ser adotados nos casos de extinção dos serviços do PSC responsável.

4.7.2. O PSC deve assegurar que possíveis rompimentos com os subscritores e terceiras partes, em consequência da cessação dos serviços de armazenamento das chaves privadas, assinaturas digitais e verificações de assinaturas digitais sejam minimizados e, em particular, assegurar a manutenção continuada da informação necessária para que não haja prejuízos aos subscritores e as terceiras partes.

4.7.3. Antes de o PSC cessar seus serviços os seguintes procedimentos serão executados, no mínimo:

a) o PSC disponibilizará a todos os subscritores e partes receptoras informações a respeito de sua extinção;

b) o PSC transferirá a outro PSC, após aprovação da AC-Raiz, as obrigações relativas à manutenção do armazenamento das chaves, certificados e documentos assinados, se for o caso, e de auditoria necessários para demonstrar a operação correta do PSC, por um período razoável;

c) o PSC manterá ou transferirá a outro PSC, após aprovação da AC-Raiz, suas obrigações relativas a disponibilizar seus sistemas e hardwares, por um período razoável;

d) o PSC notificará todas as entidades afetadas.

4.7.4. O PSC providenciará os meios para cobrir os custos de cumprimento destes requisitos mínimos no caso de falência ou se por outros motivos se ver incapaz de arcar com os seus custos.

5. CONTROLES DE SEGURANÇA FÍSICA, PROCEDIMENTAL E DE PESSOAL

Nos itens seguintes devem ser descritos os controles de segurança implementados pelo PSC responsável pela DPPSC para executar de modo seguro suas funções, de acordo com o PROCEDIMENTOS OPERACIONAIS MÍNIMOS PARA OS PRESTADORES DE SERVIÇO DE CONFIANÇA DA ICP-BRASIL – DOC-ICP-17.01 [10].

5.1. Segurança Física

Nos itens seguintes da DPPSC devem ser descritos os controles físicos referentes às instalações que abrigam os sistemas do PSC responsável.

5.1.1. Construção e localização das instalações do PSC

Neste item a DPPSC deve descrever aspectos de construção das instalações do PSC responsável, relevantes para os controles de segurança física, compreendendo entre outros:

a. Instalações para equipamentos de apoio, tais como: máquinas de ar condicionado, grupos geradores, no-breaks, baterias, quadros de distribuição de energia e de telefonia, subestações, retificadores, estabilizadores e similares;

b. Instalações para sistemas de telecomunicações;

c. Sistemas de aterramento e de proteção contra descargas atmosféricas; e

d. Iluminação de emergência.

5.1.2. Acesso físico nas instalações do PSC

Todo PSC integrante da ICP-Brasil deverá implantar um sistema de controle de acesso físico que garanta a segurança de suas instalações, conforme a POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4] e os requisitos que seguem.

5.1.2.1. Níveis de acesso

O PSC deve descrever minuciosamente cada nível de acesso e o seu conjunto de sistemas, softwares e hardwares implantados, em conformidade com as descrições dos níveis de acesso dispostos no documento DOC-ICP-17.01.

5.1.2.2. Sistemas físicos de detecção

5.1.2.2.1. A segurança de todos os ambientes do PSC deverá ser feita em regime de vigilância 24 x 7 (vinte e quatro horas por dia, sete dias por semana).

5.1.2.2.2. A segurança poderá ser realizada por:

a) guarda armado, uniformizado, devidamente treinado e apto para a tarefa de vigilância; ou

b) Circuito interno de TV, sensores de intrusão instalados em todas as portas e janelas e sensores de movimento, monitorados local ou remotamente por empresa de segurança especializada.

5.1.2.2.3. O ambiente de nível 3 deverá ser dotado, adicionalmente, de Circuito Interno de TV ligado a um sistema local de gravação 24×7. O posicionamento e a capacidade dessas câmeras não deverão permitir a captura de senhas digitadas nos sistemas.

5.1.2.2.4. As mídias resultantes dessa gravação deverão ser armazenadas por, no mínimo, 1 (um) ano, em ambiente de nível 2.

5.1.2.2.5. O PSC deverá possuir mecanismos que permitam, em caso de falta de energia:

a) iluminação de emergência em todos os ambientes, acionada automaticamente;

b) continuidade de funcionamento dos sistemas de alarme e do circuito interno de TV.

5.1.2.3. Sistema de controle de acesso

O sistema de controle de acesso deverá estar baseado em um ambiente de nível 3.

5.1.3. Energia e ar-condicionado do ambiente de nível 3 do PSC

5.1.3.1. A infraestrutura do ambiente de nível 3 do PSC deverá ser dimensionada com sistemas e dispositivos que garantam o fornecimento ininterrupto de energia elétrica às instalações. As condições de fornecimento de energia devem ser mantidas de forma a atender os requisitos de disponibilidade dos sistemas do PSC e seus respectivos serviços. Um sistema de aterramento deverá ser implantado.

5.1.3.2. Todos os cabos elétricos deverão estar protegidos por tubulações ou dutos apropriados.

5.1.3.3. Deverão ser utilizados tubulações, dutos, calhas, quadros e caixas de passagem, distribuição e terminação projetados e construídos de forma a facilitar vistorias e a detecção de tentativas de violação. Deverão ser utilizados dutos separados para os cabos de energia, de telefonia e de dados.

5.1.3.4. Todos os cabos deverão ser catalogados, identificados e periodicamente vistoriados, no mínimo a cada 6 (seis) meses, na busca de evidências de violação ou de outras anormalidades.

5.1.3.5. Deverão ser mantidos atualizados os registros sobre a topologia da rede de cabos, observados os requisitos de sigilo estabelecidos pela POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4]. Qualquer modificação nessa rede deverá ser documentada e autorizada previamente.

5.1.3.6. Não deverão ser admitidas instalações provisórias, fiações expostas ou diretamente conectadas às tomadas sem a utilização de conectores adequados.

5.1.3.7. O sistema de climatização deverá atender aos requisitos de temperatura e umidade exigidos pelos equipamentos utilizados no ambiente.

5.1.3.8. A temperatura dos ambientes atendidos pelo sistema de climatização deverá ser permanentemente monitorada.

5.1.3.9. A capacidade de redundância de toda a estrutura de energia e ar-condicionado do ambiente de nível 3 do PSC deverá ser garantida por meio de nobreaks e geradores de porte compatível.

5.1.4. Exposição à água nas instalações do PSC

O ambiente de Nível 3 do PSC deve estar instalado em local protegido contra a exposição à água, infiltrações e inundações.

5.1.5. Prevenção e proteção contra incêndio nas instalações do PSC

5.1.5.1. Nas instalações do PSC não será permitido fumar ou portar objetos que produzam fogo ou faísca, a partir do nível 2.

5.1.5.2. Deverão existir no interior do ambiente nível 3 extintores de incêndio das classes B e C, para apagar incêndios em combustíveis e equipamentos elétricos, dispostos no ambiente de forma a facilitar o seu acesso e manuseio. Em caso da existência de sistema de sprinklers no prédio, o ambiente de nível 3 do PSC não deverá possuir saídas de água, para evitar danos aos equipamentos.

5.1.5.3. O ambiente de nível 3 deve possuir sistema de prevenção contra incêndios, que acione alarmes preventivos uma vez detectada fumaça no ambiente.

5.1.5.4. Nos demais ambientes do PSC deverão existir extintores de incêndio para todas as classes de fogo, dispostos em locais que facilitem o seu acesso e manuseio

5.1.5.5. Mecanismos específicos deverão ser implantados pelo PSC para garantir a segurança de seu pessoal e de seus equipamentos em situações de emergência. Esses mecanismos deverão permitir o destravamento de portas por meio de acionamento mecânico, para a saída de emergência de todos os ambientes com controle de acesso. A saída efetuada por meio desses mecanismos deve acionar imediatamente os alarmes de abertura de portas.

5.1.6. Armazenamento de mídia nas instalações do PSC

O PSC responsável deverá atender à norma brasileira NBR 11.515/NB 1334 (“Critérios de Segurança Física Relativos ao Armazenamento de Dados”).

5.1.7. Destruição de lixo nas instalações do PSC

5.1.7.1. Todos os documentos em papel que contenham informações classificadas como sensíveis deverão ser triturados antes de ir para o lixo.

5.1.7.2. Todos os dispositivos eletrônicos não mais utilizáveis e que tenham sido anteriormente utilizados para o armazenamento de informações sensíveis, deverão ser fisicamente destruídos.

5.1.8. Sala externa de arquivos (off-site) para PSC

Uma sala de armazenamento externa à instalação técnica principal do PSC deve ser usada para o armazenamento e retenção de cópia de segurança de dados. Essa sala deverá estar disponível a pessoal autorizado 24 (vinte e quatro) horas por dia, 7 (sete) dias por semana e deverá atender aos requisitos mínimos estabelecidos por este documento para um ambiente de nível 2.

5.2. Controles Procedimentais

Nos itens seguintes da DPPSC devem ser descritos os requisitos para a caracterização e o reconhecimento de perfis qualificados no PSC responsável, com as responsabilidades definidas para cada perfil. Para cada tarefa associada aos perfis definidos, deve também ser estabelecido o número de pessoas requerido para sua execução.

5.2.1. Perfis qualificados

5.2.1.1. O PSC responsável pela DPPSC deverá garantir a separação das tarefas para funções críticas, com o intuito de evitar que um empregado utilize indevidamente os serviços do ambiente sem ser detectado. As ações de cada empregado deverão estar limitadas de acordo com seu perfil.

5.2.1.2. O PSC deverá estabelecer um mínimo de 3 (três) perfis distintos para sua operação, a saber:

a) Administrador do sistema ? autorizado a instalar, configurar e manter os sistemas confiáveis para gerenciamento do carimbo do tempo, bem como administrar a implementação das práticas de segurança do PSC;

b) Operador de sistema ? responsável pela operação diária dos sistemas confiáveis do PSC. Autorizado a realizar backup e recuperação do sistema.

c) Auditor de Sistema ? autorizado a ver arquivos e auditar os logs dos sistemas confiáveis do PSC.

5.2.1.3. Todos os empregados do PSC deverão receber treinamento específico antes de obter qualquer tipo de acesso. O tipo e o nível de acesso serão determinados, em documento formal, com base nas necessidades de cada perfil.

5.2.1.4. Quando um empregado se desligar do PSC, suas permissões de acesso deverão ser revogadas imediatamente. Quando houver mudança na posição ou função que o empregado ocupa dentro do PSC, deverão ser revistas suas permissões de acesso. Deverá existir uma lista de revogação, com todos os recursos, antes disponibilizados, que o empregado deverá devolver ao PSC no ato de seu desligamento.

5.2.2. Número de pessoas necessário por tarefa

Todas as tarefas executadas no cofre ou gabinete onde se localizam os serviços do PSC deverão requerer a presença de, no mínimo, 2 (dois) empregados com perfis qualificados. Para os casos de cópias das chaves dos usuários e portabilidade da mesma serão necessários, no mínimo, 3 (três) empregados com perfis distintos e qualificados. As demais tarefas do PSC poderão ser executadas por um único empregado.

5.2.3. Identificação e autenticação para cada perfil

5.2.3.1. A DPPSC deve garantir que todo empregado do PSC responsável terá sua identidade e perfil verificados antes de:

a) ser incluído em uma lista de acesso físico às instalações do PSC;

b) ser incluído em uma lista para acesso lógico aos sistemas confiáveis do PSC;

c) ser incluído em uma lista para acesso lógico aos sistemas do PSC.

5.2.3.2. Os certificados, contas e senhas utilizadas para identificação e autenticação dos empregados deverão:

a) ser diretamente atribuídos a um único empregado;

b) não ser compartilhados; e

c) ser restritos às ações associadas ao perfil para o qual foram criados.

5.2.3.3. O PSC deverá implementar um padrão de utilização de “senhas fortes”, definido na sua PS e em conformidade com a POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4], com procedimentos de validação dessas senhas.

5.3. Controles de Pessoal

Nos itens seguintes da DPPSC devem ser descritos requisitos e procedimentos, implementados pelo PSC responsável em relação a todo o seu pessoal, referentes a aspectos como: verificação de antecedentes e de idoneidade, treinamento e reciclagem profissional, rotatividade de cargos, sanções por ações não autorizadas, controles para contratação e documentação a ser fornecida. A DPPSC deve garantir que todos os empregados do PSC responsável, encarregados de tarefas operacionais terão registrado em contrato ou termo de responsabilidade:

a) os termos e as condições do perfil que ocuparão;

b) o compromisso de observar as normas, políticas e regras aplicáveis da ICP-Brasil; e

c) o compromisso de não divulgar informações sigilosas a que tenham acesso.

5.3.1. Antecedentes, qualificação, experiência e requisitos de idoneidade

Todo o pessoal do PSC responsável envolvido em atividades diretamente relacionadas com os processos de gerenciamento dos sistemas de armazenamento de chaves privadas, assinaturas digitais, verificações de assinaturas digitais deverá ser admitido conforme o estabelecido na POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4]. O PSC responsável poderá definir requisitos adicionais para a admissão.

5.3.2. Procedimentos de verificação de antecedentes

5.3.2.1. Com o propósito de resguardar a segurança e a credibilidade das entidades, todo o pessoal do PSC responsável envolvido em atividades diretamente relacionadas com os processos de gerenciamento dos sistemas de armazenamento de chaves privadas, assinaturas digitais, verificações de assinaturas digitais deverá ser submetido a:

a) verificação de antecedentes criminais;

b) verificação de situação de crédito;

c) verificação de histórico de empregos anteriores; e

d) comprovação de escolaridade e de residência.

5.3.2.2. O PSC responsável poderá definir requisitos adicionais para a verificação de antecedentes.

5.3.3. Requisitos de treinamento

Todo o pessoal do PSC responsável envolvido em atividades diretamente relacionadas com os processos de gerenciamento dos sistemas de armazenamento de chaves privadas, assinaturas digitais, verificações de assinaturas digitais deverão receber treinamento documentado, suficiente para o domínio dos seguintes temas:

a) princípios e tecnologias dos sistemas e hardwares de armazenamento de chaves privadas, assinaturas digitais, verificações de assinaturas digitais em uso no PSC;

b) ICP-Brasil;

c) princípios e tecnologias de certificação digital e de assinaturas digitais;

d) princípios e mecanismos de segurança de redes e segurança do PSC;

e) procedimentos de recuperação de desastres e de continuidade do negócio;

f) familiaridade com procedimentos de segurança, para pessoas com responsabilidade de Oficial de Segurança;

g) familiaridade com procedimentos de auditorias em sistemas de informática, para pessoas com responsabilidade de Auditores de Sistema;

h) outros assuntos relativos a atividades sob sua responsabilidade.

5.3.4. Frequência e requisitos para reciclagem técnica

Todo o pessoal do PSC responsável envolvido em atividades diretamente relacionadas com os processos de gerenciamento dos sistemas de armazenamento de chaves privadas, assinaturas digitais, verificações de assinaturas digitais deverá ser mantido atualizado sobre eventuais mudanças tecnológicas nos sistemas do PSC.

5.3.5. Frequência e sequência de rodízio de cargos

Neste item, a DPPSC pode definir uma política a ser adotada pelo PSC responsável para o rodízio de pessoal entre os diversos cargos e perfis por elas estabelecidos. Essa política não deverá contrariar os propósitos estabelecidos no item 5.2.1 para a definição de perfis qualificados.

5.3.6. Sanções para ações não autorizadas

5.3.6.1. A DPPSC deve prever que na eventualidade de uma ação não autorizada, real ou suspeita, ser realizada por pessoa encarregada de processo operacional, o PSC deverá, de imediato, suspender o acesso dessa pessoa aos sistemas, instaurar processo administrativo para apurar os fatos e, se for o caso, adotar as medidas legais cabíveis.

5.3.6.2. O processo administrativo referido acima deverá conter, no mínimo, os seguintes itens:

a) relato da ocorrência com modus operandis;

b) identificação dos envolvidos;

c) eventuais prejuízos causados;

d) punições aplicadas, se for o caso; e

e) conclusões.

5.3.6.3. Concluído o processo administrativo, o PSC responsável deverá encaminhar suas conclusões à AC-Raiz.

5.3.6.4. As punições passíveis de aplicação, em decorrência de processo administrativo, são:

a) advertência;

b) suspensão por prazo determinado; ou

c) impedimento definitivo de exercer funções no âmbito da ICP-Brasil.

5.3.7. Requisitos para contratação de pessoal

Todo o pessoal do PSC responsável envolvido em atividades diretamente relacionadas com os processos de gerenciamento dos sistemas de armazenamento de chaves privadas, assinaturas digitais, verificações de assinaturas digitais deverá ser contratado conforme o estabelecido na POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4]. O PSC responsável poderá definir requisitos adicionais para a contratação.

5.3.8. Documentação fornecida ao pessoal

5.3.8.1. A DPPSC deve garantir que o PSC responsável tornará disponível para todo o seu pessoal pelo menos:

a) sua DPPSC;

b) a POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4];

c) documentação operacional relativa às suas atividades; e

d) contratos, normas e políticas relevantes para suas atividades.

5.3.8.2. Toda a documentação fornecida ao pessoal deverá estar classificada segundo a política de classificação de informação definida pelo PSC e deverá ser mantida atualizada.

6. CONTROLES TÉCNICOS DE SEGURANÇA

Nos itens seguintes, a DPPSC deve definir as medidas de segurança implantadas pelo PSC responsável para proteger as chaves privadas dos subscritores, manter os serviços relativos a assinaturas digitais, assim como o sincronismo de seus sistemas com a fonte confiável de tempo da ICP-Brasil. Devem também ser definidos outros controles técnicos de segurança utilizados pelo PSC na execução de suas funções operacionais.

6.1. Controles de Segurança Computacional

6.1.1. Disposições Gerais

Neste item, a DPPSC deve indicar os mecanismos utilizados para prover a segurança de suas estações de trabalho, servidores e demais sistemas e equipamentos, observado o disposto na POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4].

6.1.2. Requisitos técnicos específicos de segurança computacional

6.1.2.1. A DPPSC deve prever que os sistemas e os equipamentos do PSC responsável, usados nos processos de gerenciamento dos sistemas de armazenamento de chaves privadas, assinaturas digitais, verificações de assinaturas digitais deverão implementar, entre outras, as seguintes características:

a) controle de acesso aos serviços e perfis do PSC;

b) clara separação das tarefas e atribuições relacionadas a cada perfil qualificado do PSC;

c) uso de criptografia para segurança de base de dados, quando exigido pela classificação de suas informações;

d) geração e armazenamento de registros de auditoria do PSC;

e) mecanismos internos de segurança para garantia da integridade de dados e processos críticos; e

f) mecanismos para cópias de segurança (backup).

6.1.2.2. Essas características deverão ser implementadas pelo sistema operacional ou por meio da combinação deste com o sistema de gerenciamento do carimbo do tempo e com mecanismos de segurança física.

6.1.2.3. Qualquer equipamento, ou parte desse, ao ser enviado para manutenção deverá ter apagadas as informações sensíveis nele contidas e controlados seu número de série e as datas de envio e de recebimento. Ao retornar às instalações do PSC, o equipamento que passou por manutenção deverá ser inspecionado. Em todo equipamento que deixar de ser utilizado em caráter permanente, observados os dispostos no ato de descredenciamento, deverão ser destruídas de maneira definitiva todas as informações sensíveis armazenadas, relativas à atividade do PSC. Todos esses eventos deverão ser registrados para fins de auditoria.

6.1.2.4. Qualquer equipamento incorporado ao PSC deverá ser preparado e configurado como previsto na PS implementada ou em outro documento aplicável, de forma a apresentar o nível de segurança necessário à sua finalidade.

6.1.3. Classificação da segurança computacional

Neste item da DPPSC deve ser informada, quando disponível, a classificação atribuída à segurança computacional do PSC responsável, segundo critérios como: Trusted System Evaluation Criteria (TCSEC), Canadian Trusted Products Evaluation Criteria, European Information Technology Security Evaluation Criteria (ITSEC), Common Criteria e eIDAS.

6.2. Controles Técnicos do Ciclo de Vida

Nos itens seguintes da DPPSC devem ser descritos, quando aplicáveis, os controles implementados pelo PSC responsável no desenvolvimento de sistemas e no gerenciamento de segurança.

6.2.1. Controles de desenvolvimento de sistema

6.2.1.1. Neste item da DPPSC devem ser abordados aspectos tais como: segurança do ambiente e do pessoal de desenvolvimento, práticas de engenharia de software adotadas, metodologia de desenvolvimento de software, entre outros, aplicados ao software do sistema do PSC ou a qualquer outro software desenvolvido ou utilizado pelo PSC responsável.

6.2.1.2. Os processos de projeto e desenvolvimento conduzidos pelo PSC deverão prover documentação suficiente para suportar avaliações externas de segurança dos componentes do PSC.

6.2.2. Controles de gerenciamento de segurança

6.2.2.1. Neste item da DPPSC devem ser descritas as ferramentas e os procedimentos empregados pelo PSC responsável para garantir que os seus sistemas e redes operacionais implementem os níveis configurados de segurança.

6.2.2.2. Uma metodologia formal de gerenciamento de configuração deverá ser usada para a instalação e a contínua manutenção do sistema do PSC.

6.2.3. Classificações de segurança de ciclo de vida

Neste item da DPPSC deve ser informado, quando disponível, o nível de maturidade atribuído ao ciclo de vida de cada sistema, com base em critérios como: Trusted Software Development Methodology (TSDM), Capability Maturity Model do Software Engineering Institute (CMM-SEI) e o Plano de Capacidade Operacional ? PCO.

6.3. Controles de Segurança de Rede

6.3.1. Diretrizes Gerais

6.3.1.1. Neste item da DPPSC devem ser descritos os controles relativos à segurança da rede da ACT responsável, incluindo firewall e recursos similares, observado o disposto da POLÍTICA DE SEGURANÇA DA ICP-BRASIL [4].

6.3.1.2. Todos os servidores e elementos de infraestrutura e proteção de rede, tais como: roteadores, hubs, switches, firewall e sistemas de detecção de intrusão (IDS), localizados no segmento de rede que hospeda os sistemas do PSC, deverão estar localizados e operar em ambiente de, no mínimo, nível 3.

6.3.1.3. As versões mais recentes dos sistemas operacionais e dos aplicativos servidores, bem como as eventuais correções (patches), disponibilizadas pelos respectivos fabricantes deverão ser implantadas imediatamente após testes em ambiente de desenvolvimento ou homologação.

6.3.1.4. O acesso lógico aos elementos de infraestrutura e proteção de rede deverá ser restrito, por meio de sistema de autenticação e autorização de acesso. Os roteadores conectados a redes externas deverão implementar filtros de pacotes de dados, que permitam somente as conexões aos serviços e servidores previamente definidos como passíveis de acesso externo.

6.3.1.5. O acesso à Internet deverá ser provido por no mínimo duas linhas de comunicação de sistemas autônomos (AS) distintos.

6.3.1.6. O acesso via rede aos sistemas do PSC deverá ser permitido somente para os seguintes serviços:

a) pela EAT da ICP-Brasil, para o sincronismo e auditoria dos sistemas de assinaturas;

b) pelo PSC, para a administração dos sistemas de gestão a partir de equipamento conectado por rede interna ou por VPN estabelecida mediante endereçamento IP fixo previamente cadastrado junto à EAT;

c) pelo subscritor, para a armazenamento e acesso à chave privada e aos serviços de assinatura digital, verificação da assinatura digital.

6.3.2. Firewall

6.3.2.1. Mecanismos de firewall deverão ser implementados em equipamentos de utilização específica, configurados exclusivamente para tal função. Os firewalls deverão ser dispostos e configurados de forma a promover o isolamento, em sub-redes específicas, dos equipamentos servidores com acesso externo ? a conhecida “zona desmilitarizada” (DMZ) ? em relação aos equipamentos com acesso exclusivamente interno ao PSC.

6.3.2.2. O software de firewall, entre outras características, deverá implementar registros de auditoria.

6.3.2.3. O Oficial de Segurança deve verificar periodicamente as regras dos firewalls, para assegurar-se que apenas o acesso aos serviços realmente necessários é permitido e que está bloqueado o acesso a portas desnecessárias ou não utilizadas.

6.3.3. Sistema de detecção de intrusão (IDS)

6.3.3.1. O sistema de detecção de intrusão deverá ter capacidade de ser configurado para reconhecer ataques em tempo real e respondê-los automaticamente, com medidas tais como: enviar traps SNMP, executar programas definidos pela administração da rede, enviar e-mail aos administradores, enviar mensagens de alerta ao firewall ou ao terminal de gerenciamento, promover a desconexão automática de conexões suspeitas, ou ainda a reconfiguração do firewall.

6.3.3.2. O sistema de detecção de intrusão deverá ter capacidade de reconhecer diferentes padrões de ataques, inclusive contra o próprio sistema, apresentando a possibilidade de atualização da sua base de reconhecimento.

6.3.3.3. O sistema de detecção de intrusão deverá prover o registro dos eventos em logs, recuperáveis em arquivos do tipo texto, além de implementar uma gerência de configuração.

6.3.4. Registro de acessos não autorizados à rede

As tentativas de acesso não autorizado ? em roteadores, firewalls ou IDS ? deverão ser registradas em arquivos para posterior análise, que poderá ser automatizada. A frequência de exame dos arquivos de registro deverá ser, no mínimo, semanal e todas as ações tomadas em decorrência desse exame deverão ser documentadas.

6.3.5. Outros controles de segurança de rede

6.3.5.1. O PSC deve implementar serviço de proxy, restringindo o acesso, a partir de todas suas estações de trabalho, a serviços que possam comprometer a segurança do ambiente do PSC.

6.3.5.2. As estações de trabalho e servidores devem estar dotadas de antivírus, antispyware e de outras ferramentas de proteção contra ameaças provindas da rede a que estão ligadas.

6.4. Controles de Engenharia do Módulo Criptográfico

Este item da DPPSC deve descrever os requisitos aplicáveis ao módulo criptográfico utilizado para armazenamento da chave privada dos subscritores do PSC responsável. Poderão ser indicados padrões de referência, como aqueles definidos no documento PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL [13].

7. POLÍTICAS DE ASSINATURA

Neste item da DPPSC, o PSC de Assinatura Digital deve informar as Políticas de Assinatura Digital que pratica, seguindo o disposto no documento DOC-ICP-15.03 – REQUISITOS DAS POLÍTICAS DE ASSINATURA DIGITAL NA ICP-BRASIL [12]. Esse documento trata das Políticas e dos Padrões de Assinatura adotados no âmbito da ICP-Brasil.

8. AUDITORIAS E AVALIAÇÕES DE CONFORMIDADE

8.1. Fiscalização e Auditoria de Conformidade

8.1.1. As fiscalizações e auditorias realizadas nos PSC da ICP-Brasil têm por objetivo verificar se seus processos, procedimentos e atividades estão em conformidade com suas respectivas DPPSC, PCO e PS, demais normas e procedimentos estabelecidos pela ICP-Brasil e com os princípios e critérios definidos pelo WebTrust.

8.1.2. As fiscalizações dos PSC da ICP-Brasil são realizadas pela AC-Raiz, por meio de servidores de seu quadro próprio, a qualquer tempo, sem aviso prévio, observado o disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [7].

8.1.3. As auditorias dos PSC da ICP-Brasil são realizadas:

a) quanto aos procedimentos operacionais, pela AC-Raiz, por meio de pessoal de seu quadro próprio, ou por terceiros por ela autorizados, observado o disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [6].

b) quanto a autenticação e ao sincronismo de tempo pela Entidade de Auditoria do Tempo (EAT) observado o disposto no documento PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS DO TEMPO NA ICP-BRASIL [3].

8.1.4. Neste item da DPPSC, o PSC responsável deve informar que recebeu auditoria prévia da AC-Raiz para fins de credenciamento na ICP-Brasil e que é auditada anualmente, para fins de manutenção do credenciamento, com base no disposto no documento CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [6]. Esse documento trata do objetivo, frequência e abrangência das auditorias, da identidade e qualificação do auditor e demais temas correlacionados.

8.1.5. Neste item da DPPSC, o PSC responsável deve informar que recebeu auditoria prévia da EAT quanto aos aspectos de autenticação e sincronismo, sendo regularmente auditada, para fins de continuidade de operação, com base no disposto no documento PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS DO TEMPO NA ICP-BRASIL [3].

8.1.6. Neste item da DPPSC, o PSC responsável deve informar que as entidades da ICP-Brasil, se for o caso, a ela diretamente vinculadas também receberam auditoria prévia, para fins de credenciamento, e que o PSC é responsável pela realização de auditorias anuais, para fins de manutenção de credenciamento, conforme disposto no documento citado no parágrafo 8.1.3.

9. OUTROS ASSUNTOS DE CARÁTER COMERCIAL E LEGAL

9.1. Obrigações e direitos

Nos itens a seguir devem ser descritas as obrigações gerais das entidades envolvidas. Caso haja obrigações específicas implementadas, as mesmas devem ser descritas.

9.1.1. Obrigações do PSC

Neste item devem ser incluídas as obrigações da PSC responsável pela DPPSC, contendo, no mínimo, as abaixo relacionadas:

a) operar de acordo com a sua DPPSC e com a descrição dos serviços que realiza;

b) gerenciar e assegurar a proteção das chaves privadas dos subscritores;

c) manter os PSC sincronizados e auditados pela Entidade de Auditoria do Tempo da ICP-Brasil;

d) tomar as medidas cabíveis para assegurar que subscritores e demais entidades envolvidas tenham conhecimento de seus respectivos direitos e obrigações;

e) monitorar e controlar a operação dos serviços fornecidos;

f) notificar ao subscritor titular da chave e certificado, quando ocorrer comprometimento de sua chave privada e solicitar a imediata revogação do correspondente certificado ou o encerramento de suas atividades;

g) publicar em sua página web sua DPPSC e as Políticas de Segurança (PS) aprovadas que implementa;

h) publicar, em sua página web, as informações definidas no item 2.1.1.2 deste documento;

i) identificar e registrar todas as ações executadas, conforme as normas, práticas e regras estabelecidas pelo CG da ICP-Brasil;

j) adotar as medidas de segurança e controle previstas na DPPSC, no Plano de Capacidade Operacional (PCO) e PS que implementar, envolvendo seus processos, procedimentos e atividades, observadas as normas, critérios, práticas e procedimentos da ICP-Brasil;

k) manter a conformidade dos seus processos, procedimentos e atividades com as normas, práticas e regras da ICP-Brasil e com a legislação vigente;

l) manter e garantir a integridade, o sigilo e a segurança da informação por ela tratada;

m) manter e testar anualmente seu Plano de Continuidade do Negócio (PCN);

n) manter contrato de seguro de cobertura de responsabilidade civil decorrente da atividade de armazenamento de chaves privadas para usuários finais, com cobertura suficiente e compatível com o risco dessas atividades;

o) informar aos subscritores que contratam os seus serviços sobre coberturas, condicionantes e limitações estipuladas pela apólice de seguro de responsabilidade civil contratada nos termos acima; e

p) informar à AC-Raiz, mensalmente, a quantidade de chaves privadas ou certificados digitais correspondentes armazenados e assinaturas realizadas e verificadas.

9.1.2. Obrigações do Subscritor

Ao contratar um serviço do PSC, se for o caso, o subscritor deve assegurar, por meio das aplicações disponibilizadas ao contratar um PSC, que o seu par de chaves e/ou certificados digitais foram corretamente armazenados e se a chave privada usada para assinar está funcional.

9.1.3 Direitos da terceira parte (Relying Party)

9.1.3.1 Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do serviço de assinatura digital, verificação da assinatura digital.

9.1.3.2 Constituem direitos da terceira parte:

a) recusar a utilização do serviço de assinatura digital, verificação da assinatura digital e guarda de documentos eletrônicos do PSC para fins diversos do seu propósito de uso na ICP-Brasil.

b) verificar, a qualquer tempo, a validade da assinatura digital. Uma assinatura digital ICP-Brasil é considerada válida quando:

i. o certificado digital não constar da LCR da AC emitente;

ii. a chave privada utilizada para assinar digitalmente não tiver sido comprometida até o momento da verificação;

iii. puder ser verificada com o uso da cadeia de certificados que a gerou;

iv. o propósito de uso esteja em conformidade com o definido na política do certificado digital do(s) signatário(s).

9.1.3.3 O não exercício desses direitos não afasta a responsabilidade do PSC responsável e do titular do certificado.

9.2. Responsabilidades

9.2.1. Responsabilidades do PSC

O PSC responsável responde pelos danos a que der causa.

9.3. Responsabilidade Financeira

9.3.1. Indenizações devidas pela terceira parte (Relying Party)

Neste item deve ser estabelecida a inexistência de responsabilidade da terceira parte (relying party) perante o PSC, exceto na hipótese de prática de ato ilícito.

9.3.2. Relações Fiduciárias

Neste item deve constar que o PSC responsável indenizará integralmente os danos a que der causa. Em situações justificáveis, pode ocorrer limitação da indenização, quando o subscritor for pessoa jurídica.

9.3.3. Processos Administrativos

Neste item devem ser relacionados os processos administrativos cabíveis, relativos às operações do PSC responsável pela DPPSC.

9.4. Interpretação e Execução

9.4.1. Legislação

Neste item deve ser indicada a legislação que ampara a DPPSC.

9.4.2. Forma de interpretação e notificação

9.4.2.1. Neste item devem ser relacionadas as providências a serem tomadas na hipótese de uma ou mais das disposições da DPPSC ser, por qualquer razão, considerada inválida, ilegal ou não aplicável.

9.4.2.2. Deve também ser definida a forma pela qual serão realizadas as notificações, as solicitações ou quaisquer outras comunicações necessárias, relativas às práticas descritas na DPPSC.

9.4.3. Procedimentos de solução de disputa

9.4.3.1. Neste item devem ser definidos os procedimentos a serem adotados em caso de conflito entre a DPPSC e outras declarações, políticas, planos, acordos, contratos ou documentos que o PSC adotar.

9.4.3.2. Deve também ser estabelecido que a DPPSC do PSC responsável não prevaleça sobre as normas, critérios, práticas e procedimentos da ICP-Brasil.

9.4.3.3. Os casos omissos deverão ser encaminhados para apreciação da AC-Raiz.

9.5. Tarifas de Serviço

Nos itens a seguir, deve ser especificada pelo PSC responsável pela DPPSC a política tarifária e de reembolso aplicáveis, se for o caso.

9.5.1. Tarifas de armazenamento de chaves privadas para usuários finais;

9.5.2. Tarifas de serviço de assinatura digital;

9.5.3. Tarifas de serviço de verificação da assinatura digital;

9.5.4. Outras tarifas;

9.5.5. Política de reembolso.

9.6. Sigilo

9.6.1. Disposições Gerais

9.6.1.1. A chave privada dos subscritores serão mantidas pelo PSC, que será responsável pelo seu sigilo, mantendo trilhas de auditoria com horário e data de seu acesso disponível ao subscritor.

9.6.1.2 As assinaturas digitais e verificações das assinaturas digitais que poderão ser realizadas pelo PSC, que será responsável pelo seu sigilo, mantendo as trilhas de auditoria com horário e data sincronizados com a EAT, inclusive podendo identificar qual documento, IP ou URL, entre outros, que devem ser previamente autorizados pelo subscritor, foram assinados com a chave privada do mesmo.

9.6.1.3 Os documentos assinados digitalmente pelos subscritores poderão ser mantidos pelo PSC, desde que expressamente acordado com o subscritor e de acordo com a legislação vigente, que será responsável pelo seu sigilo.

9.6.2. Tipos de informações sigilosas

9.6.2.1. Neste item devem ser identificados os tipos de informações consideradas sigilosas pelo PSC responsável pela DPPSC, de acordo com as normas, critérios, práticas e procedimentos da ICP-Brasil.

9.6.2.2. A DPPSC deve estabelecer, como princípio geral, que nenhum documento, informação ou registro fornecido pelo subscritor ao PSC deverá ser divulgado, exceto quando for estabelecido um acordo com o subscritor para sua publicação mais ampla.

9.6.3. Tipos de informações não sigilosas

Neste item devem ser indicados os tipos de informações consideradas não sigilosas pelo PSC responsável pela DPPSC, os quais deverão compreender, entre outros:

a) os certificados dos subscritores;

b) a DPPSC do PSC;

c) versões públicas de PS; e

d) a conclusão dos relatórios de auditoria.

9.6.4. Quebra de sigilo por motivos legais

Este item deve estabelecer o dever do PSC responsável pela DPPSC de fornecer documentos, informações ou registros sob sua guarda, mediante ordem judicial.

9.6.5. Informações a terceiros

Este item da DPPSC deve estabelecer como diretriz geral que nenhum documento, informação ou registro sob a guarda do PSC responsável pela DPPSC deverá ser fornecido a qualquer pessoa, exceto quando a pessoa que o requerer, por meio de instrumento devidamente constituído, estiver autorizada para fazê-lo e corretamente identificada.

9.6.6. Outras circunstâncias de divulgação de informação

Neste item da DPPSC devem ser descritas, quando cabíveis, quaisquer outras circunstâncias em que poderão ser divulgadas informações sigilosas.

9.7. Direitos de Propriedade Intelectual

Neste item da DPPSC devem ser tratadas as questões referentes aos direitos de propriedade intelectual de certificados, políticas, especificações de práticas e procedimentos, nomes e chaves criptográficas, documentos assinados digitalmente de acordo com a legislação vigente.

10. DOCUMENTOS DA ICP-BRASIL

Os documentos abaixo são aprovados por Resoluções do Comitê-Gestor da ICP-Brasil, podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br publica a versão mais atualizada desses documentos e as Resoluções que os aprovaram.

Ref	Nome do documento	Código
[1]	VISÃO GERAL DO SISTEMA DE CARIMBO DO TEMPO NA ICP-BRASIL	DOC-ICP-11
[2]	REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CARIMBO DO TEMPO NA ICP-BRASIL	DOC-ICP-13
[3]	PROCEDIMENTOS PARA AUDITORIA DO TEMPO NA ICP-BRASIL	DOC-ICP-14
[4]	POLÍTICA DE SEGURANÇA DA ICP-BRASIL	DOC-ICP-02
[5]	CRITÉRIOS E PROCEDIMENTOS PARA CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL	DOC-ICP-03
[6]	CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL	DOC-ICP-08
[7]	CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL	DOC-ICP-09
[8]	POLÍTICA TARIFÁRIA DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL	DOC-ICP-06
[9]	REGULAMENTO PARA HOMOLOGAÇÃO DE SISTEMAS E EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL	DOC-ICP-10
[10]	PROCEDIMENTOS OPERACIONAIS MÍNIMOS PARA OS PRESTADORES DE SERVIÇO DE CONFIANÇA DA ICP-BRASIL	DOC-ICP-17.01
[11]	REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL	DOC-ICP-04
[12]	REQUISITOS DAS POLÍTICAS DE ASSINATURA DIGITAL NA ICP-BRASIL	DOC-ICP-15.03
[13]	PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL	DOC-ICP-01.01

11. REFERÊNCIAS

BRASIL, Decreto nº 4.264, de 10 de junho de 2002 – Restabelece e Modifica o Regulamento anterior.

BRASIL, Lei nº 9.933, de 20 de dezembro de 1999 – Dispõe sobre o Conselho Nacional de Metrologia, Normalização e Qualidade Industrial (CONMETRO) e sobre o Instituto Nacional de Metrologia, Normalização e Qualidade Industrial (INMETRO).

RFC 1305, IETF – Network Time Protocol version 3.0.

RFC 2030, IETF – Simple Network Time Protocol (SNTP) version 4.0.

RFC 3647, IETF – Internet X-509 Public Key Infrastructure Certificate Policy and Certifications Practices Framework, novembro de 2003.

RFC 3161, IETF – Public Key Infrastructure Time Stamp Protocol (TSP), agosto de 2001.

RFC 3628, IETF – Policy Requirements for Time Stamping Authorities, November 2003.

ETSI TS 101.861 – v 1.2.1 Technical Specification / Time Stamping Profile, março de 2002.

ETSI TS 102.023 – v 1.1.1 Technical Specification / Policy Requirements for Time Stamping Authorities, abril de 2002.

Regulation (EU) 910/2014 – relativo à identificação eletrônica e aos serviços de confiança para as transações eletrônicas no mercado interno Europeu.

Republicada por ter saído com omissão do Anexo I no DOU de 22-11-2017, Seção 1 pág. 18.

Fonte: ITI

 

 

Por Antonio Sérgio Cangiano

Os resultados da indústria da certificação digital evidenciam a forma organizada e estruturada do nosso segmento. Mostra que ao longo de mais de 15 anos de existência as empresas do setor souberam atuar, conseguiram estabelecer representação em todas as partes do País e, de forma ordenada, agregaram cada vez mais aplicações de uso. Em números recentes, divulgados pelo Instituto Nacional de Certificação Digital – ITI, verifica-se que o crescimento neste ano está acima de 10%, um dado que atesta o reconhecimento de empresas e cidadãos na infraestrutura proporcionada pelo Certificado Digital e sua relevância para o dia a dia da economia.

De acordo com o ITI, de novembro de 2016 a outubro de 2017 houve a emissão de 3.516.647 certificados digitais, resultado que representa crescimento de 11,46% na comparação com igual período imediatamente anterior. Também na aferição deste ano, em que pese a crise econômica e política sem precedentes, verificou-se que foram emitidos 3.009.604 certificados digitais, um número que corresponde a um aumento de 10,67% no período em comparação com o mesmo período de 2016.

Esses dados reforçam que todo o esforço que temos feito em torno de mostrar os benefícios da certificação digital, por meio de nossos associados individualmente ou de maneira institucional, através da nossa entidade de classe, a ANCD, tem dado resultado. Por esse indicador fica demonstrado que o didatismo, a maneira muitas vezes simples de tentar chegar a todos e mostrar como funciona e quais os benefícios e vantagens da Certificação Digital, deve seguir num ritmo ainda maior. Afinal, é nossa prioridade promover o acesso à tecnologia a toda a sociedade.

Outra informação muito importante e que demonstra o esforço de toda a indústria por um setor seguro e que transmite cada vez mais confiança a quem dele se utiliza é a relacionada à fraude. De janeiro a outubro de 2017 foram feitos 217 comunicados de fraudes à Infraestrutura de Chaves Públicas – ICP-Brasil. Desse total, apenas 84 foram efetivamente fraudes, número equivalente apenas a 0,0027% dos certificados digitais emitidos no período. Os demais casos, no total de 133, não passaram de tentativas.

Esses dados também devem ser comemorados, já que em relação ao mesmo período de 2016 houve queda expressiva, de 42,89% nos comunicados de fraudes e de 58,62% no número de fraudes efetivamente realizadas.

Antonio Sérgio Cangiano é diretor-executivo da Associação Nacional de Certificação Digital (ANCD).

A nova interface da versão 2.0 do Processo Judicial Eletrônico (PJe) foi inaugurada pela primeira vez na Justiça do Trabalho na Vara do Trabalho de Navegantes (SC) nessa terça-feira (5). Se na primeira versão a novidade ficava por conta da extinção de atividades burocráticas, agora o foco é o desempenho, por meio de uma navegação mais intuitiva e ágil.

Coordenador nacional do PJe na JT, o juiz auxiliar da Presidência do TST/CSJT Fabiano Coelho de Souza destacou que a nova versão segue três diretrizes: performance, usabilidade e possibilidade de customização. “Todos os ajustes que uma pessoa faz em sua rede social o usuário poderá fazer no PJe, personalizando a visualização de cada processo de acordo com seus interesses. Um exemplo é a possibilidade de destacar as peças principais e ocultar outras”, observou. Para Souza, a nova versão também é a desejada pelos magistrados, principalmente pela facilidade de uso.

As principais funcionalidades foram apresentadas pelo juiz Fabiano de Abreu Pfeilsticker, membro do Grupo Nacional de Negócios do PJe no Conselho Superior da Justiça do Trabalho (CSJT) e titular da 1ª Vara do Trabalho de Contagem (MG). “O sistema agora irá trabalhar para o usuário, e não o contrário. Essa é a grande revolução desse novo PJe”, assinalou.

O presidente do Tribunal Regional do Trabalho da 12ª Região (SC), desembargador Gracio Petrone, destacou o pioneirismo da Justiça do Trabalho de SC, cuja Vara de Navegantes foi também a primeira a operar 100% com PJe, e exaltou o novo momento por que passa a ferramenta eletrônica. “O constante aprimoramento do PJe visa contribuir para a celeridade e efetividade da prestação jurisdicional, adotando novas tecnologias em favor do jurisdicionado, nossa razão de ser. O processo digital é um caminho sem volta, um novo navegar, hoje melhor que ontem e amanhã melhor do que hoje”, afirmou.

100% digital

Atualmente, a Justiça do Trabalho é 100% PJe. O sistema está implantado em todos os 24 Regionais e nas 1.575 varas do trabalho. O TST também está com o sistema em funcionamento em todos os seus órgãos judicantes, aliás, nesta quarta-feira (6), ocorre a cerimônia de entrega do PJe na Corte Superior. São mais de 12 milhões de processos em tramitação, representando 75% do total de feitos incorporados ao PJe no Poder Judiciário em todo o Brasil. Utilizam o sistema no Judiciário Trabalhista aproximadamente 450 mil advogados, 42 mil servidores e 4,7 mil magistrados.

Com informações do TRT-SC.

Neste mês de dezembro, a Receita Estadual iniciou o credenciamento no Sistema de Domicílio Tributário Eletrônico (DT-e) das empresas do regime de Substituição Tributária (ST). No cadastro da Secretaria de Estado da Receita (SER), existem um total de 1.574 estabelecimentos como sujeito passivo de ST, que terão prazo até o dia 29 de dezembro para concluir o credenciamento via Portal SERvirtual http://www.receita.pb.gov.br.

Diante das solicitações de empresários e de entidades de classe para realizar a prorrogação do prazo do credenciamento do DT-e para as empresas do Regime Normal, a Receita Estadual aceitou a solicitação após argumentos apresentados. Um dos principais empecilhos de apenas metade das empresas concluírem o credenciamento foi o cadastro desatualizado junto à Receita Estadual.

“Em nosso cadastro, as empresas não haviam definido, por exemplo, quem era o sócio administrador ou responsável pelo estabelecimento. Por isso, no ato do credenciamento, o certificado digital apresentava rejeição por falta dessas informações importantes e necessárias. Para concluir, os empresários ou responsáveis tiveram de comparecer à repartição da Receita Estadual, atualizar o cadastro e assim realizar o credenciamento. Como houve outras etapas não previstas muitas não tiveram tempo suficiente para realizar todas as etapas”, explicou o secretário de Estado da Receita, Marconi Marques Frazão.

Alerta – Segundo o secretário da Receita, como foi o primeiro mês do credenciamento para o novo sistema de comunicação oficial da Receita Estadual, que será o DT-e, “a experiência servirá para as próximas etapas e também regimes. Queremos alertar as empresas para estarem cientes de realizar previamente a atualização do cadastro na repartição fiscal e de adquirir o certificado digital para concluir o credenciamento do DT-e. Reforçamos a todos aqueles que estão ainda tentando realizar o credenciamento, mas têm encontrado dificuldade que se desloquem a uma repartição fiscal porque o problema deve ser no cadastro da empresa. O prazo final do regime Normal que foi prorrogado será o dia 29 de dezembro”, lembrou Marconi Frazão.

Para facilitar o credenciamento e uso do sistema do DT-e, a Receita Estadual publicou um manual para orientar os usuários externos quanto às funcionalidades do sistema DT-e, como também no tocante ao acesso, ao credenciamento, à concessão de procuração eletrônica e cadastramento de e-mails. Para baixar o manual do Usuário, basta acessar o link no endereço abaixo https://www.receita.pb.gov.br/ser/view-docs/97-manual-dt-e/849-download-do-manual-de-credenciamento-dt-e.

Credenciamento obrigatório – O credenciamento no DT-e é obrigatório para os contribuintes do ICMS e será uma exigência para deferimento de qualquer tipo de parcelamento ou benefícios fiscais.

O que é o Sistema DT-e? – O sistema Domicílio Tributário Eletrônico será o principal canal de comunicação entre o Fisco e o contribuinte de ICMS. O DT-e vai cientificar de forma mais ágil e direta os contribuintes e seus procuradores dos atos administrativos oficiais, tais como: notificações, intimações e avisos em geral. O contribuinte poderá cadastrar até três e-mails para receber as mensagens alertando sobre novas comunicações no seu DT-e e autorizar por meio de procuração eletrônica até três pessoas a ter acesso ao seu DT-e.

Como fica o cronograma – Com a prorrogação do credenciamento do DT-e das empresas do Regime Normal que não concluíram o processo no mês de dezembro, ficarão aptos até o dia 29 de dezembro tanto as empresas do Regime Normal como as do Sujeito Passivo por Substituição Tributária (ST). O credenciamento segue em janeiro para as empresas do Simples Nacional até o dia 29 de março, enquanto os Outros Contribuintes, não contemplados no cronograma, estão agendados para o mês de abril de 2018 (2 a 30 de abril). O DT-e será revestido de todo mecanismo de segurança de modo a preservar o sigilo, a autenticidade e a integridade da comunicação.

Veja no quadro abaixo como ficou o cronograma de credenciamentos dos regimes:

TIPO   DE CONTRIBUINTE	PERÍODO   DE CREDENCIAMENTO
Sujeito Passivo por Substituição Tributária e empresas retardatárias do Regime Normal	1º/12/2017 a 29/12/2017
Simples   Nacional	2/01/2018 a 29/03/2018
Outros Contribuintes	2/04/2018   a 30/04/2018

Paraiba.com.br