Publicador de Conteúdos e Mídias

Diário Oficial da União

Publicado em: 14/06/2019 | Edição: 114 | Seção: 1 | Página: 3

Órgão: Presidência da República/Casa Civil/Comitê Gestor da Infraestrutura de Chaves Públicas

RESOLUÇÃO Nº 151, DE 30 DE MAIO DE 2019 (*)

Regulamenta requisitos para conformidade ao Programa WebTrust de Princípios e Critérios para as entidades da ICP-Brasil e simplifica processos da ICP-Brasil.

O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, §1º, inc. IV, do Regimento Interno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4º, da Medida Provisória nº 2.200-2, de 24 de agosto de 2001, em reunião ordinária realizada em 30 de maio de 2019,

Considerando a previsão expressa no art. 653 do Código Civil de que a procuração é instrumento de mandato por meio do qual alguém recebe de outrem poderes para, em seu nome, praticar atos ou administrar interesses,

Considerando a necessidade de manter a conformidade com o Programa WebTrust de Princípios e Critérios para Autoridades de Certificação,

Considerando a oportunidade para a simplificação dos processos e redução de custos na infraestrutura da ICP-Brasil, e

Considerando a necessidade de prever que os serviços de gestão do ciclo de vida de certificados de atributo possam ser providos no âmbito de Prestadores de Serviço de Confiança na modalidade de portal de assinaturas, resolveu:

Art. 1º O § 5º do art. 24 da Resolução nº 137, de 8 de março de 2018, passa a vigorar com a seguinte redação:

"...............................................................................................................................

§ 5º Caso não seja possível a participação do titular e de seu suplente, o membro titular poderá indicar representante, desde que outorgada procuração, assinada digitalmente, que contenha o assunto referente da pauta e o teor do voto, que constará na ata da reunião.

......................................................................................................................." (NR)

Art. 2º O DOC-ICP-02, versão 3.0, passa a vigorar com as seguintes alterações:

"................................................................................................................................

6.2. Gerenciamento de Riscos

O processo de gerenciamento de riscos deve ser revisto anualmente pela própria entidade, para prevenção contra riscos, inclusive àqueles advindos de novas tecnologias, visando a elaboração de planos de ação apropriados para proteção aos componentes ameaçados.

.................................................................................................................................

6.4.2 Todas as ACs deverão apresentar, ainda, Plano de Recuperação de Desastres e Plano de Resposta a Incidentes a serem aprovados pela AC Raiz ou AC de nível imediatamente superior.

..................................................................................................................................

7.3.1 O Processo de Admissão

7.3.1.1 Devem ser adotados critérios rígidos para o processo seletivo de candidatos, com o propósito de selecionar, para os quadros das entidades integrantes da ICP-Brasil, pessoas reconhecidamente idôneas e sem antecedentes que possam comprometer a segurança ou credibilidade das entidades.

7.3.1.2 Nenhuma entidade participante da ICP-Brasil admitirá estagiários no exercício de atividades diretamente relacionadas com os processos de emissão, expedição, distribuição, revogação e gerenciamento de certificados.

7.3.1.3 O empregado, funcionário ou servidor assinará termo de compromisso assumindo o dever de manter sigilo, mesmo quando desligado, sobre todos os ativos de informações e de processos das entidades integrantes da ICP-Brasil.

.................................................................................................................................

7.3.3 O Levantamento de Dados Pessoais

Deve ser elaborada pesquisa do histórico da vida pública do candidato, com o propósito de levantamento de seu perfil, verificação de antecedentes e verificação de grau de instrução.

.................................................................................................................................

7.4.4. ........................................................................................................................

i) manter registros de atividades de usuários de TI (logs) por um período de no mínimo 7 (sete) anos. Os registros devem conter a hora e a data das atividades, a identificação do usuário de TI, comandos (e seus argumentos) executados, identificação da estação local ou da estação remota que iniciou a conexão, número dos processos e condições de erro observadas (tentativas rejeitadas, erros de consistência, etc.);

.................................................................................................................................

9.3.2.5.Proteção lógica adicional (criptografia) deve ser adotada, quando necessária, para evitar o acesso não-autorizado às informações.

.................................................................................................................................

9.3.3.28. As chaves privadas das ACs deverão estar protegidas de acesso desautorizado, para garantir seu sigilo e integridade.

.................................................................................................................................

12.2 ........................................................................................................................

g) reavaliação periódica dos riscos em intervalos de tempo não superiores a um ano.

................................................................

13.2.2 Todas as ACs e ACTs integrantes da ICP-Brasil deverão apresentar um PCN e, ainda, um Plano de Resposta a Incidentes e um Plano de Recuperação de Desastres, que estabelecerá, no mínimo, o tratamento adequado dos seguintes eventos de segurança:

1. As condições para ativar o plano;

2. Procedimentos de emergência;

3. Procedimentos de fallback;

4. Procedimentos de restauração;

5. Cronograma para manutenção do plano;

6. Requisitos de conscientização e educação;

7. Responsabilidades individuais;

8. Objetivo de Tempo de Recuperação (RTO);

9. Testes regulares dos planos de contingência;

10. O plano para manter ou restaurar as operações de negócios da AC de forma oportuna, após a interrupção ou falha de processos críticos de negócios;

11. Definição de requisitos para armazenar materiais criptográficos críticos em um local alternativo;

12. Definição de interrupções aceitáveis do sistema e um tempo de recuperação;

13. Frequência para realização de cópias de backup;

14. Distância entre as instalações de recuperação e o site principal da AC; e

15. Procedimentos para proteger suas instalações após um desastre e antes de restaurar o ambiente seguro no local original ou remoto.

No tratamento constante nos Planos acima, deve ser considerado:

a) comprometimento da chave privada das entidades;

b) invasão do sistema e da rede interna da entidade;

c) incidentes de segurança física e lógica;

d) indisponibilidade da Infraestrutura;

e) fraudes ocorridas no registro do usuário, na emissão, expedição, distribuição, revogação e no gerenciamento de certificados;

f) comprometimento de controle de segurança em qualquer evento referenciado no PCN;

g) notificação à comunidade de usuários, se for o caso;

h) revogação dos certificados afetados, se for o caso;

i) procedimentos para interrupção ou suspensão de serviços e investigação;

j) análise e monitoramento de trilhas de auditoria; e

k) com o público e com meios de comunicação, se for o caso.

........................................................................................................................" (NR)

Art. 3º O item 4 do DOC-ICP-06, versão 3.1, passa a vigorar com a seguinte redação:

"4 - Os órgãos e entidades da Administração Direta da União, dos Estados, do Distrito Federal e dos Municípios, bem como suas autarquias e fundações públicas, estão dispensados do pagamento das tarifas a que se referem os itens 1 a 3 deste documento." (NR)

Art. 4º O DOC-ICP-08, versão 4.5, passa a vigorar com as seguintes alterações:

"................................................................................................................................

1.4 Toda correspondência tratada neste documento deve ser formalizada, preferencialmente, por meio de correio eletrônico, em formato PDF, com assinatura digital ICP-Brasil da autoridade competente. Os arquivos devem ter calculados os respectivos hashes, com algoritmo SHA-1, cujos valores serão relacionados em arquivo no formato texto puro (extensão TXT), contendo o nome do arquivo e o respectivo hash, separados por ponto e vírgula (;).

..................................................................................................................................

2.1 As auditorias são classificadas em PRÉ-OPERACIONAIS e OPERACIONAIS, a saber:

a) Pré-operacionais: são as auditorias realizadas antes do início das atividades do candidato a Prestador de Serviço de Certificação (PSCert), quer seja Autoridade Certificadora (AC), Autoridade de Carimbo do Tempo (ACT), Autoridade de Registro (AR), Prestador de Serviço de Suporte (PSS), Prestador de Serviço Biométrico (PSBio) ou PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas; e

b) Operacionais: são as auditorias realizadas anualmente, considerado o ano civil, em todos os PSCert para manutenção do credenciamento junto à ICP-Brasil. Tais auditorias ocorrerão a partir do primeiro ano civil seguinte à data da publicação no DOU do credenciamento do PSCert.

.................................................................................................................................

3.1 ..........................................................................................................................

ENTIDADE

EXECUTOR DA AUDITORIA

Pré-operacional

Operacional

AC Raiz

Comitê Gestor da ICP- Brasil ou seus prepostos, formalmente designados

Comitê Gestor da ICP-Brasil ou seus prepostos, formalmente designados

AC de 1º Nível1, e seus PSS

ITI/DAFN/CGAFI

ITI/DAFN/CGAFI

AC subsequente2 e seus PSS

ITI/DAFN/CGAFI

Empresa de Auditoria Independente credenciada junto ao ITI

ACT

ITI/DAFN/CGAFI

Empresa de Auditoria Independente credenciada junto ao ITI

AR

AC ou PSS credenciados junto o ITI

Auditoria Interna da respectiva AR credenciada junto ao ITI

Empresa de Auditoria Independente credenciada junto ao ITI

AC ou PSS credenciados junto ao ITI

Empresa de Auditoria Independente credenciada junto ao ITI

AR no Exterior

ITI/DAFN/CGAFI ou, a seu critério, AC ou PSS credenciados junto ao ITI

AC ou PSS credenciados junto ao ITI

Auditoria Interna da respectiva AR credenciada junto ao ITI

Empresa de Auditoria Independente credenciada junto ao ITI

PSBio

ITI/DAFN/CGAFI

Empresa de Auditoria Independente credenciada junto ao ITI

PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas

ITI/DAFN/CGAFI

Empresa de Auditoria Independente, credenciada junto ao ITI

...................................................................................................................................................

4.7 O pedido de credenciamento deve ser encaminhado ao Protocolo Geral da AC Raiz, assinado pela entidade candidata, anexando os arquivos eletrônicos, conforme item 1.4.

4.8 O ITI poderá solicitar a complementação da documentação, só voltando a ser contado o prazo a partir do recebimento do que for solicitado.

4.9 Se a solicitação não for atendida em até 15 dias, o processo será arquivado, mediante despacho fundamentado da DAFN.

4.10 A documentação apresentada pela candidata para credenciamento constituirá processo específico, por prazo não inferior a 5 (cinco) anos, exceto quanto à eventual documentação de auditorias realizadas, que será considerada confidencial, ficando à disposição apenas dos próprios solicitantes do credenciamento.

4.11 Sobre o pedido de credenciamento ou de renovação, o Diretor da DAFN, por meio de despacho fundamentado, poderá:

a) deferir o pedido;

b) notificar a candidata para, no prazo máximo de 15 (quinze) dias corridos, complementar a documentação apresentada;

c) indeferir o pedido se, vencido o prazo da alínea "b", não forem cumpridas as exigências constantes da notificação retromencionada; e

d) indeferir o pedido que não atenda aos requisitos técnicos estabelecidos.

..................................................................................................................................

4.15 Qualquer alteração ocorrida, quer seja em atos constitutivos, estatuto, contrato social, organograma ou vinculação da entidade, quer seja dos dirigentes ou da equipe técnica de auditores, será submetida imediatamente ao conhecimento da DAFN, mediante formalização protocolada no Protocolo Geral da AC Raiz e que fará parte do processo de credenciamento da respectiva entidade de auditoria. Nestes casos será reavaliada a manutenção das condições exigidas para o credenciamento, observadas as regras para as renovações, podendo ser dispensada a apresentação de certidões ainda não exigíveis.

.................................................................................................................................

5. PLANO ANUAL DE AUDITORIA OPERACIONAL (PLAAO)

5.1 Cada AC e ACT protocolará no Protocolo Geral da AC Raiz, até o dia 15 (quinze) de dezembro de cada ano, para conhecimento da DAFN, seu PLAAO para o ano civil seguinte, contemplando todos os PSCert diretamente subordinados (AC subsequente e AR), por meio do formulário ADE-ICP-08-C[4].

5.2 As auditorias operacionais serão realizadas anualmente nos seguintes PSCert:

a) AC credenciada e respectivos PSS;

b) ACT credenciada e respectivos PSS;

c) AR credenciada.

5.3 Cada PSBio protocolará no Protocolo Geral da AC Raiz, até o dia 15 (quinze) de dezembro de cada ano, para conhecimento da DAFN, seu PLAAO para o ano civil seguinte, contemplando os PSS subordinados, por meio do formulário ADE-ICP-08-C[4].

5.4 Cada PSC de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas protocolará no Protocolo Geral da AC Raiz, até o dia 15 (quinze) de dezembro de cada ano, para conhecimento da DAFN, seu PLAAO para o ano civil seguinte, por meio do formulário ADE-ICP-08.C [4].

.................................................................................................................................

6.1.1 As auditorias têm por objetivo avaliar se os processos, procedimentos, atividades e controles estão em conformidade com as respectivas Políticas, Declaração de Práticas, Política de Segurança e demais normas e procedimentos estabelecidos pelo Comitê Gestor da ICP-Brasil. O documento ADE-ICP-08-E[5] detalha os processos que compõem a cadeia de certificação e deverá nortear as auditorias realizadas na cadeia da ICP-Brasil. Adicionalmente, as auditorias do tipo 1 também devem avaliar os princípios e critérios definidos pelo WebTrust.

.................................................................................................................................

6.1.12 No caso de uma AC optar por auditar com seus profissionais suas AR, deverá observar o disposto nos itens acima, excetuados os itens 6.1.5 e 6.1.6.

..................................................................................................................................

7.1 Aplica-se ao auditor independente, no que couber, as regras de suspeição e impedimento estabelecidas nos artigos 134 e 135 do Código de Processo Civil; além das demais normas para o exercício da profissão de auditor independente ou interno.

..............................................................................................................

7.7 Ocorrendo o impedimento da entidade de auditoria, esta deverá concluir os trabalhos cujas atividades de campo já tenham iniciado, estando impedida de iniciar novos trabalhos de campo.

a) Eventuais relatórios de auditoria recebidos em desacordo com o caput serão sumariamente arquivados e não terão nenhuma validade perante o ITI, no que se refere ao cumprimento da obrigatoriedade de realização de auditorias.

.................................................................................................................................

8.2 A documentação de auditoria será avaliada em comparação com a metodologia de auditoria aprovada no credenciamento da entidade de auditoria, exceto quando realizado por AC ou PSS diretamente em suas AR.

.................................................................................................................................

9.6 No ITI, os casos de não-conformidade que ensejaram recomendações à entidade auditada serão acompanhados pela área de auditoria e incluídos nos planos de trabalho de auditorias posteriores na mesma entidade.

..................................................................................................................................

9.10 A entidade cujo conceito atribuído seja cinco (5) - INACEITÁVEL - em duas auditorias operacionais consecutivas, poderá ser descredenciada da ICP-Brasil.

9.11 Na ocorrência do descredenciamento mencionado no item 9.10, a entidade não poderá ter um novo pedido de credenciamento aceito pelo ITI pelo período mínimo de dois (2) anos.

......................................................................................................................." (NR)

Art. 5º O DOC-ICP-09, versão 3.3, passa a vigorar com as seguintes alterações:

"...............................................................................................................................

1.1 Para os fins deste documento, entende-se como:

AÇÃO DE FISCALIZAÇÃO DE CERTIFICAÇÃO (AFC) - Procedimentos preparatórios, levantamento de informações, ações presenciais ou à distância, levantamento de evidências, pedidos complementação de informações através do documento REQUISIÇÃO DE INFORMAÇÕES COMPLEMENTARES (RIC) [1] e atividades do fiscal que devem estar relatadas no documento RELATÓRIO DE FISCALIZAÇÃO (RF) [5].

a) AUTORIDADE OUTORGANTE - Autoridade competente e empossada no cargo de Diretor de Auditoria, Fiscalização e Normalização da AC Raiz, sendo, pela legislação, autorizado a praticar todos os atos necessários à realização do Procedimento de Fiscalização de Certificação (PFC) e que expede documentos relativos ao mesmo;

b) AUTO DE INFRAÇÃO DE CERTIFICAÇÃO (AIC) [2] - Documento preenchido pelo Fiscal da ICP-Brasil ao constatar infração por Prestador de Serviço de Certificação (PSCert) durante a fiscalização;

c) FISCAL DA ICP-BRASIL - Servidor lotado na Diretoria de Auditoria, Fiscalização e Normalização da AC Raiz e no exercício das funções de fiscal, conforme indicado no documento TERMO DE FISCALIZAÇÃO (TF) [3];

d) FISCALIZAÇÃO - Atividade de controle e inspeção sistemática, programada ou a qualquer tempo, do cumprimento das resoluções, normas, procedimentos e atividades dos Prestadores de Serviço de Certificação (PSCert) com a finalidade de examinar se as operações de cada um deles, isolada ou conjuntamente, se mantêm em conformidade com suas Declarações de Práticas, Políticas e com as Resoluções e normas gerais estabelecidas para as entidades integrantes da ICP-Brasil.

e) INFRAÇÃO

i) Não atendimento a qualquer disposição legal da ICP-Brasil ou normas complementares estabelecidas pela AC Raiz;

ii) Não-conformidade constatada a partir de fiscalização;

iii) Obstrução, omissão ou má-fé por parte do PSCert tendente a prejudicar a ação fiscalizadora da AC Raiz;

f) NOTIFICAÇÃO DA FISCALIZAÇÃO DE CERTIFICAÇÃO (NFC) [4] - Documento pelo qual a Autoridade Outorgante dá ciência à Entidade Fiscalizada e a sua responsável hierárquica para que faça ou deixe de fazer alguma coisa;

g) OBJETO DA FISCALIZAÇÃO - Descrição do ponto de controle sob verificação. É um item das resoluções, um conjunto de itens, ou itens de resoluções associados;

h) PRESTADOR DE SERVIÇO DE CERTIFICAÇÃO (PSCert) - Qualquer entidade credenciada para operar na ICP-Brasil, como: as Autoridades Certificadoras (AC); as Autoridades de Registro (AR); as Autoridades de Carimbo do Tempo (ACT), os Prestadores de Serviço de Suporte (PSS), os Prestadores de Serviço Biométrico (PSBio), os Prestadores de Serviço de Confiança de Assinatura Digital e/ou Armazenamento de Chaves Criptográficas (PSC); ou entidade vinculada, como o Laboratório de Ensaios e Auditoria (LEA) e outros que executem ou determinem a execução de itens de certificação presentes nas resoluções da ICP-Brasil;

i) PROCEDIMENTO DE FISCALIZAÇÃO DE CERTIFICAÇÃO (PFC) - Conjunto de ações que objetivam a verificação do cumprimento das normas, por parte das entidades credenciadas na ICP-Brasil, incluídos os atos administrativos de início e finalização e as ações de aplicação de penas, ampla defesa e comunicação de fiscalizações realizadas e dadas como conformes;

j) PROCESSO ADMINISTRATIVO DE FISCALIZAÇÃO (PAF) - Processo onde são arquivados todos os documentos e relatórios relativos ao Procedimento de Fiscalização de Certificação;

k) RELATÓRIO DE FISCALIZAÇÃO (RF) - Documento no qual o fiscal descreve o que constatou no Prestador de Serviço de Certificação, como foram as atividades e suas prescrições, subsidia o TFF e retrata todo a AFC, atividades executadas e constatações obtidas pelo Fiscal da ICP-Brasil;

l) REQUISIÇÃO DE INFORMAÇÕES COMPLEMENTARES (RIC) [1] - Documento no qual o fiscal ou auditor solicita informações complementares necessárias à condução do processo de fiscalização ou auditoria;

m) TERMO DE FISCALIZAÇÃO (TF) - Documento-base para a fiscalização e que indica a sua finalidade. Pode ser um TERMO DE FISCALIZAÇÃO INICIAL (TFI), TERMO DE FISCALIZAÇÃO EXTENSIVO (TFE), TERMO DE FISCALIZAÇÃO COMPLEMENTAR (TFC) ou TERMO DE FISCALIZAÇÃO FINAL (TFF).

........................................................................................................................" (NR)

Art. 6º O DOC-ICP-16, versão 1.0, passa a vigorar com as seguintes alterações:

"................................................................................................................................

4.7 Serviço de Gestão de Certificados de Atributos: trata-se de sistema de gestão do ciclo de vida de certificados de atributos regulado pela ICP-Brasil junto ao Prestador de Serviço de Confiança na modalidade de portal de assinaturas.

.................................................................................................................................

6.1.5 Prestador de Serviço de Confiança - PSC da ICP-Brasil é uma entidade credenciada, auditada e fiscalizada pelo ITI que provê serviços de armazenamento de chaves privadas para usuários finais ou serviços de assinaturas e verificações de assinaturas digitais padrão ICP-Brasil nos documentos e transações eletrônicas ou ambos.

..................................................................................................................................

6.6 Módulo de Emissão e Guarda de Certificados de Atributo

A EEA deve manter repositório de certificados de atributo, sua LCR ou OCSP, quando aplicável.

A emissão e gestão do ciclo de vida do certificado de atributo da EEA poderá utilizar-se de serviço de assinatura e verificação de assinaturas digitais provido por PSC credenciado na ICP-Brasil.

......................................................................................................................." (NR)

Art. 7º Fica excluído o item 13.2.4 do DOC-ICP-02, versão 3.0, bem como os itens 6.3.4, 6.3.5 e 6.3.6 do DOC-ICP-08, versão 4.5.

Art. 8º Ficam aprovadas as seguintes versões dos documentos:

I - DOC-ICP-02 - POLÍTICA DE SEGURANÇA DA ICP-BRASIL- versão 3.1.

II - DOC-ICP-06 - POLÍTICA TARIFÁRIA DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL - versão 3.2.

III - DOC-ICP-08 - CRITÉRIOS E PROCEDIMENTOS PARA AUDITORIA DAS ENTIDADES INTEGRANTES DA ICP-BRASIL - versão 4.6.

IV - DOC-ICP-09 - CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL - versão 3.4.

V - DOC-ICP-16 - VISÃO GERAL SOBRE CERTIFICADO DE ATRIBUTO PARA A ICP-BRASIL - versão 1.1.

Parágrafo único. As demais cláusulas dos referidos documentos, nas suas versões imediatamente anteriores, em sua ordem originária, integram as presentes versões e mantêm-se válidas.

Art. 9º Ficam aprovadas novas versões dos seguintes documentos:

I - DOC-ICP-01 - DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO DA AUTORIDADE CERTIFICADORA RAIZ DA ICP-BRASIL - versão 5.0, anexo I.

II - DOC-ICP-03 - CREDENCIAMENTO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL - versão 6.0, anexo II.

III - DOC-ICP-03.01 - CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL - versão 3.0, anexo III.

IV - DOC-ICP-04 - REQUISITOS MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL - versão 7.0, anexo IV.

V - DOC-ICP-05 - REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL - versão 5.0, anexo V.

VI - DOC-ICP-05.02 - PROCEDIMENTOS PARA IDENTIFICAÇÃO DO REQUERENTE E COMUNICAÇÃO DE IRREGULARIDADES NO PROCESSO DE EMISSÃO DE UM CERTIFICADO DIGITAL ICP-BRASIL - versão 2.0, anexo VI.

Parágrafo único. Os documentos referidos no caput substituem integralmente suas versões anteriores.

Art. 10. Os documentos alterados por esta resolução encontram-se disponibilizados, em sua totalidade, no sítio http://www.iti.gov.br. 

Art. 11. Fica revogada a Instrução Normativa nº 07, de 15 de julho de 2016, que instituiu o documento REQUISITOS ADICIONAIS PARA ADERÊNCIA AOS PROGRAMAS DE RAÍZES CONFIÁVEIS DOS FORNECEDORES DE NAVEGADORES DE INTERNET - DOC-ICP-01.02.

Art. 12. Ficam extintas, no âmbito da ICP-Brasil, as Instalações Técnicas, Instalações Técnicas Secundárias, Postos Provisórios de Autoridades de Registro e os Prestadores de Serviço de Suporte de AR.

Parágrafo único. Os processos de credenciamento referidos no caput, em trâmite junto ao ITI, serão arquivados.

Art. 13. Ficam isentas da tarifa de prestação de serviço de emissão de certificados, de que trata o item 2, alínea 'b', do DOC-ICP-06, as AC que entrarem com pedido de emissão de certificados nas cadeias SSL eCode Signing, por motivo de adequação aos requisitosWebTrust, pelo prazo de até 180 (cento e oitenta) dias a contar da data da publicação desta Resolução.

Art. 14. As entidades da ICP-Brasil têm o prazo de até 120 (cento e vinte) dias, contados da data da publicação, para submissão à aprovação, pelo ITI, dos documentos afetos às mudanças previstas nesta Resolução.

§ 1º Quando se tratar de cadeias SSL eCode Signing, antes de submeter ao ITI, deve a Autoridade Certificadora ou mesmo o Prestador de Serviço de Suporte, sempre copiada a cadeia hierárquica, mediante solicitação eletrônica encaminhada por seu(s) representante(s), requisitar, no endereço cgnpe@iti.gov.br, a geração do OID específico que será utilizado.

§ 2º Após a submissão ao ITI, da DPC e PC ajustadas, as AC estarão autorizadas a operar de acordo com as práticas declaradas de imediato, ainda que sem a aprovação expressa do ITI, sob a obrigação de correções/ajustes caso sejam apontadas após análise do ITI.

Art. 15. Para fins de auditoria, as mudanças previstas nesta Resolução devem ser observadas no ano civil subsequente ao da publicação desta Resolução.

Art. 16. As AR e as AC têm o prazo de até 120 (cento e vinte) dias, contados da data da publicação desta Resolução, para concluírem a transferência dos dossiês para o ambiente de AC.

Art. 17. Esta Resolução entra em vigor na data de sua publicação.

FERNANDO WANDSCHEER DE MOURA ALVES

Esta Resolução e seus anexos serão publicados em suplemento à presente edição.

Este conteúdo não substitui o publicado na versão certificada.