DECLARAÇÃO DE PRÁTICAS DE NEGÓCIO

​

AUTORIDADE DE REGISTRO – CERTPAR REGISTROS EMPRESARIAIS LTDA

​

(DPN AR CERTPAR)

 

Versão 5.0 de 15 de Março de 2023.

​

1.Introdução

 

Este documento tem por objetivo divulgar as práticas de negócio adotadas pela AR XXXXXXX, Autoridade de Registro diretamente vinculada a AC Digital Múltipla. Quaisquer práticas realizadas na Autoridade de Registro e aqui descritas, seguem a declaração de práticas de certificação e as políticas de certificado digital, da AC Digital Múltipla, integrante da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.

 

 

2.Identificação das Políticas de Certificados

 

As políticas de certificados (PC) descrevem as características e as utilizações dos certificados de assinatura digital do tipo A, emitidos pela AC Digital Múltipla, integrante da Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.

 

As políticas de certificados, bem como, a declaração de práticas de certificação e política de segurança, encontram-se publicados no repositório (https://repositorio.acdigital.com.br/repositorio) da AC Digital Múltipla, disponíveis 24 horas por dia, 7 dias por semana.

As políticas de certificados praticadas por esta AR são:

 

1. Políticas de Certificados  A1

2. Políticas de Certificados A3

​

 

3.Ciclo de Emissão do Certificado Digital

 

1. Consultoria;

2. Compra;

3. Agendamento;

4. Identificação do requerente;

5. Solicitação;

6. Validação;

7. Verificação;

8. Aprovação;

9. Geração e instalação;

10. Utilização.

 

 

4.Autenticação da Identidade

 

A confirmação da identidade de um indivíduo ou organização é realizada pelo Agente de Registro vinculado diretamente na AR XXXXX, Autoridade de Registro vinculada à AC Digital Múltipla, mediante a presença do interessado, com base em documentos oficiais legalmente aceitos e pelo processo de identificação biométrica ICP-Brasil. Esta AR verifica a autenticidade da identidade de pessoas físicas e jurídicas titulares de certificados, de acordo com os normativos da ICP-Brasil, da ISO 27001 (gestão da Segurança da informação), da Lei Geral de Proteção de Dados (LGPD) e de outras legislações ou normas regulamentadoras existentes ou que possam vir a surgir.

 

4.1.Identificação de um indivíduo

 

Para efeito de identificação de um indivíduo serão aceitos os documentos pessoais listados abaixo, em sua versão original oficial, podendo ser físico ou digital, com vistas a  identificação de um indivíduo solicitante de certificado:

 

1. Registro de identidade ou passaporte se brasileiro;

2. Título de eleitor, com foto;

3. Carteira Nacional de Estrangeiro – CNE, se estrangeiro domiciliado no Brasil;

4. Passaporte, se estrangeiro não domiciliado no Brasil.

 

Na hipótese das biometrias do titular já estarem cadastradas na base da ICP-Brasil, e houver parecer positivo ao realizar a identificação biométrica, fica dispensada a apresentação dos documentos acima e o certificado poderá ser liberado para emissão.

 

Nota 1: Entende-se como cédula de identidade os documentos oficiais, físicos ou digitais, conforme admitidos pela legislação específica, emitidos pelas Secretarias de Segurança Pública bem como os que, por força de lei, equivalem a documento de identidade em todo o território nacional, desde que contenham fotografia.

 

Nota 2: Os documentos digitais deverão ser verificados por meio de barramentos ou aplicações oficiais dos entes federativos.

 

Nota 3: A emissão de certificados em nome dos absolutamente incapazes e dos relativamente incapazes observará o disposto na lei vigente e normas editadas pelo Comitê Gestor da ICP-Brasil.

 

Nota 4: Caso haja divergência dos dados constantes do documento de identidade, a emissão do certificado digital deverá ser suspensa e o solicitante orientado a regularizar sua situação junto ao órgão responsável.

 

Nota 5: Todos e quaisquer dados pessoais – sensíveis ou não - coletados e recebidos de solicitantes de certificado digital - independente do tipo ou forma de documento apresentado - serão tratados de acordo com a Lei Geral de Proteção de Dados (LGPD) e com as boas práticas e condutas que regem a proteção de dados tratados em território nacional (República Federativa do Brasil). Sendo inteira responsabilidade da AR XXXXXX por qualquer ato ilícito de sua autoria cometido com dados pessoais de solicitantes de certificado digital, exceto quando provar que não realizou o tratamento de dados pessoais que lhes é atribuído; ou, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou, que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

 

4.2.Identificação de uma organização

 

A confirmação da identidade de uma pessoa jurídica é feita com a presença do representante legal portando os documentos da organização legalmente aceitos.

 

Para o titular pessoa jurídica, será designada pessoa física como responsável pelo uso do certificado, que será a detentora da chave privada. Preferencialmente, será designado como responsável pelo certificado o representante legal da pessoa jurídica ou um de seus representantes legais.

 

Os documentos aceitos para confirmar a identidade da pessoa jurídica são:

 

1. Ato constitutivo, devidamente registrado em órgão competente;

2. Documentos de eleição dos administradores, quando aplicável;

3. Lei de criação ou documento oficial de constituição no caso de pessoa jurídica criada ou autorizada por lei

4. Cartão CNPJ.

 

Nota 1: Os dados do representante legal da organização – sensíveis ou não -, independente da forma em que foram coletados ou recebidos, serão tratados de acordo com a Lei Geral de Proteção de Dados (LGPD) e com as boas práticas e condutas que regem a proteção de dados tratados em território nacional (República Federativa do Brasil). Sendo inteira responsabilidade da AR XXXXXX por qualquer ato ilícito de sua autoria cometido com dados pessoais de solicitantes de certificado digital, exceto quando provar que não realizou o tratamento de dados pessoais que lhes é atribuído; ou, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou, que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

 

4.3.Verificação do dossiê do certificado

 

Os documentos em papel, os quais não existam formas de verificação por meio de barramentos ou aplicações oficiais, deverão ser verificados seguindo os requisitos abaix e com a observância dos regramentos que norteam a proteção de dados pessoais:

 

1. Por Agente de Registro distinto do que realizou a etapa de identificação;

2. Pela AR ou ainda AR própria do PSS da AC;

3. Antes do início da validade do certificado, devendo este ser revogado automaticamente caso a verificação não tenha ocorrido até o início de sua validade.

 

4.4.Identificação e autenticação para pedidos de novas chaves antes da expiração

 

Um novo certificado poderá ser requerido pelo próprio solicitante antes da expiração de seu certificado vigente, no qual deverá enviar à AC Digital Múltipla uma solicitação, por meio eletrônico, assinada digitalmente com o uso de um certificado de assinatura digital de mesmo nível de segurança do certificado a ser renovado.

 

O processo de identificação e autenticação para rotinas de novas chaves antes da expiração poderá ser conduzido segundo uma das seguintes possibilidades:

 

1. adoção dos mesmos requisitos e procedimentos exigidos para a solicitação do certificado;

 

1. a solicitação por meio eletrônico, assinada digitalmente com o uso de certificado vigente que seja pelo menos do mesmo nível de segurança, limitada a 1 (uma) ocorrência sucessiva, para os titulares que não possuirem biometrias cadastradas em banco de dados, permitida tal hipótese apenas para os certificados digitais de pessoa física.

 

 

5.Geração e Instalação do Par De Chaves

 

Quando o titular de certificado for uma pessoa física, esta será a responsável pela geração dos pares de chaves criptográficas. Quando o titular for uma pessoa jurídica, este indicará por seu representante legal no momento da emissão, a pessoa responsável pela geração e uso do certificado.

 

O armazenamento do certificado deverá obedecer a Política de Certificado correspondente, sendo:

 

  Tipo do certificado

                                  Mídia armazenadora

A1

Repositório protegido por senha e/ou identificação biométrica

A3

Hardware criptográfico, homologado junto à ICP- Brasil

 

 

6.Revogação do Certificado Digital

 

O certificado digital poderá ser revogado antes da expiração do prazo de validade.

 

6.1.Circunstância para revogação

 

A revogação poderá ser feita pelos seguintes motivos:

 

1. Quando constatada emissão imprópria ou defeituosa;

2. Quando for necessária a alteração de qualquer informação constante no certificado digital;

3. No caso de comprometimento da chave privada correspondente ou da mídia armazenadora;

4. Por determinação judicial;

5. Quando o responsável pelo uso se destituir da função;

6. Por razões comerciais;

7. Risco de fraude.

 

6.2.Quem pode solicitar revogação

 

A solicitação de revogação de um certificado somente poderá ser feita:

 

1. Por solicitação do titular do certificado digital;

2. Por solicitação do responsável pelo certificado, no caso de certificado de pessoas jurídicas;

3. Por solicitação de empresa ou órgão, quando o titular do certificado digital fornecido por essa empresa ou órgão for seu empregado, funcionário ou servidor;

4. Por determinação da AC;

5. Por determinação da AR;

6. Por determinação do Comitê Gestor da ICP-Brasil ou da AC Raiz.

 

6.3.Procedimentos para solicitação de revogação

 

1. O solicitante da revogação de um certificado digital deve ser identificado;

2. A solicitação de revogação é feita através de um formulário específico, permitindo a identificação inequívoca do solicitante;

3. O procedimento para revogação do certificado pode ser realizado por todos os Agentes de Registros habilitados na AR, ou pelo departamento de Normas e Auditoria da AC Digital;

4. As solicitações de revogação, bem como as ações delas decorrentes deverão ser registradas e armazenadas;

5. As justificativas para a revogação de um certificado digital são documentadas;

6. O processo de revogação de um certificado terminará com a geração e a publicação de uma LCR (Lista de Certificados Revogados) que contenha o certificado revogado.

 

             

 

7.Obrigações da Autoridade de Registro

 

1. Confirmar a identidade do solicitante do certificado digital;

2. Encaminhar a AC solicitação de emissão ou revogação do certificado;

3. Manter a conformidade dos seus processos, procedimentos, tratamento de dados pessoais e atividades com as normas, critérios, práticas e regras estabelecidas pela AC vinculada, pela ICP-Brasil, pela Lei Geral de Proteção de Dados (LGPD) e por outros normativos norteadores do tema que já existam ou possam vir a ser vigorados no decorrer das operações da Autoridade de Registro.

 

8.Obrigações do Titular do Certificado Digital

 

1. Fornecer, de modo completo e preciso, todas as informações necessárias para sua identificação;

2. Garantir a proteção e o sigilo de suas chaves privadas, senhas e dispositivos criptográficos;

3. Utilizar seus certificados digitais de modo apropriado;

4. Informar à AC emitente qualquer comprometimento de sua chave privada e solicitar a imediata revogação do certificado correspondente.

 

9.Documentos Referenciados

 

• Declaração de Práticas de Certificação

 

• Política de Certificados A1

 

• Política de Certificados A3
   

https://repositorio.acdigital.com.br/repositorio
 

• WebTrust Principles and Criteria for Registration Authorities
   

https://www.webtrust.org

​