Imprensa Nacional

PORTARIA Nº 78, DE 24 DEZEMBRO DE 2018

Atualiza a certificação digital da Carteira de Identificação Estudantil - CIE.

O DIRETOR PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO - ITI, autarquia federal vinculada à Casa Civil da Presidência da República, em cumprimento à Lei Federal nº 12.933, de 26 de dezembro de 2013, e ao Decreto nº 8.537, de 05 de outubro de 2015, que tratam, entre outros, do benefício da meia-entrada em espetáculos artístico-culturais e esportivos,

Considerando que a revogação parcial da liminar proferida nos autos da ADI nº 5108-DF reestabeleceu, em parte, a redação originária da Lei nº 12.933/13, no sentido de que o padrão nacional único da Carteira de Identificação Estudantil - CIE será fixado pelas entidades nacionais expressamente nominadas (UNE, UBES, ANPG) e pelo ITI, a quem competirá, unicamente, fornece a certificação digital;

Considerando, portanto, que o papel desta Autarquia se resume à determinação do tipo de processo de certificação digital a ser utilizado e suas especificidades, e, às entidades nacionais acima referenciadas, compete fixar os demais elementos referentes ao modelo da CIE;

Considerando que os requisitos técnicos do certificado de atributo, determinados pela Portaria nº 2, de 05 de maio de 2016, serão mantidos nesta nova versão;

Considerando que as alterações previstas nesta portaria visam aperfeiçoar o atual modelo e restringe-se ás características do certificado de atributo de competência desta autarquia;

Considerando que o Decreto nº 8.727, de 28 de abril de 2016, estabelece a inclusão do nome social;

Considerando que as mudanças de composição de campos não acarretam maiores dificuldades de atualização nas aplicações existentes e inicialmente aderentes ao publicado na Portaria nº 2, de 5 de maio de 2016, resolve:

Art. 1º Fica determinado o padrão nacional de certificação digital da ICP-Brasil a ser utilizado na Carteira de Identificação Estudantil - CIE, nos termos da Lei 12.933, de 26 de dezembro de 2013.

Parágrafo único. As especificações estão dispostas no documento em anexo "Certificação de Atributo referente à Carteira de Identificação Estudantil (CACIE) - Versão 2.0", que se encontra disponibilizado no seguinte endereço eletrônico: www.iti.gov.br.

Art. 2º As CIEs emitidas até a data da entrada em vigor desta Portaria, de acordo com o padrão nacional fixado pela Portaria nº 2, de 05 de maio de 2016, serão válidas até 31 de março de 2019.

Art. 3º O ITI não possui competência legal para emitir ou fiscalizar a emissão da CIE.

Art. 4º Esta Portaria entra em vigor na data de sua publicação.

Art. 5º Revoga-se a Portaria nº 2, de 05 de maio de 2016.

GASTÃO JOSÉ DE OLIVEIRA RAMOS

ANEXO I

Certificação de Atributo referente à

Carteira de Identificação Estudantil (CACIE)

(Art. 1.º, § 2º da Lei nº 12.933, de 26/12/2013)

Versão 2.0

LISTA DE SIGLAS e ACRÔNIMOS

1. Introdução

A Carteira de Identificação Estudantil (CIE) é um documento de modelo único nacionalmente padronizado pelas entidades nacionais de representação estudantil e pelo Instituto Nacional de Tecnologia da Informação (ITI) conforme Art.1º parágrafo 2º da Lei nº 12.933/13; no formato físico de cartão ou equivalente digital, com base na certificação digital padrão ICP-Brasil.

A tecnologia utilizada para suportar o uso da certificação digital, conforme estabelecido na legislação, é o Certificado de Atributo, que viabiliza de forma segura a implementação da CIE no formato digital.

O Certificado de Atributo é uma das tecnologias disponíveis a partir do sistema de Certificação Digital padrão ICP-Brasil, padronizado no DOC-ICP-16 e DOC-ICP-16.01.

Toda CIE deve ter um certificado de atributo padrão ICP-Brasil, emitido e assinado digitalmente pela entidade emissora, e necessariamente armazenado em banco de dados, disponibilizado para consulta "on-line" a partir de "QR-Code" personalizado.

Opcionalmente, o certificado de atributo poderá ser também armazenado num cartão com chip ou em aplicativo de dispositivo móvel ("APP"), permitindo validação "off-line" da CIE.

2. Especificação do Certificado de Atributo da CIE

O formato digital da CIE será implementado por meio do uso de certificado de atributo (DOC-ICP-16), do tipo autônomo, conforme estabelecido pela ICP-Brasil.

Conforme estabelecido nos documentos DOC-ICP-16 e DOC-ICP-16.01, o perfil do certificado de atributo deverá implementar os campos apresentados na Tabela I.

Tabela I - conteúdo do Certificado de Atributo

2.1. Versão

Deve ser adotada a versão v2, representado pelo valor inteiro (1).

2.2. Titular do Certificado de Atributo

O nome do titular do certificado de atributo, pessoa física, constante no campoHolder, deverá adotar oDistinguished Name(DN) do padrão ITU X.500/ISO 9594, da seguinte forma:

C = BR

O = ICP-Brasil

OU = nome de fantasia ou sigla da entidade emissora de atributo (EEA)

CN = nome do titular do atributo

Na composição dos nomes, aplicam-se as restrições de nome conforme definido no item 2.4 deste documento.

2.3 Emissor do Certificado de Atributo

O nome da entidade emissora do certificado de atributo, pessoa jurídica, constante no campoIssuer, deverá adotar oDistinguished Name(DN) do padrão ITU X.500/ISO 9594, no mesmo formato de codificação e conteúdo do campoSubjectdo certificado da signatária do certificado de atributo (EEA).

2.4 Restrição de nomes

Na composição de nomes, aplicam-se as seguintes restrições:

a)não deverão ser utilizados sinais de acentuação, tremas ou cedilhas; e

b)além dos caracteres alfanuméricos, poderão ser utilizados somente os caracteres especiais apresentados na Tabela II.

Tabela II - Caracteres especiais admitidos na descrição de nomes

2.5 Algoritmo de Assinatura

Contém o identificador do algoritmo utilizado para validar a assinatura do Certificado de Atributo. Este algoritmo deve ser um dos algoritmos de assinatura de certificados de usuário final definido no documento PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL (DOC-ICP-01.01).

2.6 Número de Série

Este campo deve possuir o parissuer/serialNumberÚNICO. O camposerialNumberdeve ser um número inteiro e positivo sequencial com um limite máximo de até 20 octetos.

2.7 Período de Vigência

O campo período de vigência deve possuir o formatoGeneralizedTime, padrão ASN.1 e expresso em UTC (Universal Time Coordinated) AAAAMMDDHHMMSSZ.

2.8 Atributos

Este campo deve conter a informação de estudante concedida ao titular do certificado de atributo com uso do tipo:

Attribute ::= SEQUENCE {

type AttributeType,

values SET OF AttributeValue

-- at least one value is required

}

AttributeType ::= OBJECT IDENTIFIER

AttributeValue ::= ANY DEFINED BY AttributeType

São definidos como obrigatórios os seguintes componentes para o atributo estudante previsto na Lei n° 12.933/2013, nesta ordem:

a) OID = 2.16.76.1.10.1 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do titular, no formato ddmmaaaa; nas 11 (onze) posições subsequentes, o Cadastro de Pessoa Física (CPF) do titular; nas 15 (quinze) posições subsequentes, o número da matrícula do estudante; nas 15 (quinze) posições subsequentes, o número do Registro Geral - RG do titular do atributo; nas 10 (dez) posições subsequentes, as siglas do órgão expedidor do RG e respectiva UF.

b) OID = 2.16.76.1.10.2 e conteúdo = nas primeiras 40 (quarenta) posições, o nome da instituição de ensino; nas 15 (quinze) posições subsequentes, o grau de escolaridade; nas 30 (trinta) posições subsequentes, o nome do curso, nas 20 (vinte) posições subsequentes, o município da instituição e nas 2 (duas) posições subsequentes, a UF do município.

c) OID = 2.16.76.1.4.3 e conteúdo = nome social, conforme disposto no Decreto nº 8.727, de 28 de abril de 2016.

Os componentes para os atributos devem estar de acordo com as seguintes especificações:

a) O conjunto de informações definido em cada campo atributo deve ser armazenado como uma cadeia de caracteres do tipo ASN.1 OCTET STRING ou PRINTABLE STRING;

b) Quando os números de CPF e RG não estiverem disponíveis, os campos correspondentes devem ser integralmente preenchidos com caracteres "zero";

c) Se o número do RG não estiver disponível, não se deve preencher o campo de órgão emissor e UF;

d) Todas informações de tamanho variável referentes a números, tais como RG, matrícula devem ser preenchidas com caracteres "zero" a sua esquerda para que seja completado o tamanho máximo disponível para o campo;

e) As 10 (dez) posições das informações sobre órgão emissor do RG e UF referem-se ao tamanho máximo, devendo ser utilizadas apenas as posições necessárias ao seu armazenamento, da esquerda para a direita. O mesmo se aplica às 22 (vinte e duas) posições das informações sobre município e UF da instituição de ensino;

f) Apenas os caracteres de A a Z, de 0 a 9, observado o disposto no item 2.4 deste documento, poderão ser utilizados, não sendo permitidos os demais caracteres especiais.

g) Quando o tamanho do campo de cada elemento do conteúdo não for suficiente para o preenchimento completo da informação correspondente, deve-se promover a truncagem ou abreviatura dessa informação.

2.9 Extensões

Este campo deve conter as informações adicionais de associação entre os titulares dos Certificados de Atributo e seus atributos. As extensões definidas pela RFC 5755 são:

- Audit Identity

- AC Targeting

- Authority Key Identifier

- Authority Information Access

- CRL Distribution Points

- No Revocation Available

São obrigatórias as seguintes extensões:

a)"Authority Key Identifier",não crítica: o campo keyIdentifier deve conter ohashSHA-1 da chave pública do certificado digital da EEA;

b)"AuthorityInformation Access",não crítica: A primeira entrada deve conter o método de acesso id-ad-caIssuer, utilizando um dos seguintes protocolos de acesso, HTTP, HTTPS ou LDAP, para recuperação da cadeia de certificação;

c)"CRL Distribution Points",não crítica: o campo deve conter o endereço naWebonde se obtém a LCAR correspondente ao certificado de atributo.

2.10 Perfil de LCAR para certificados de atributo

2.11 Número(s) de versão

As LCARs geradas pela EEA responsável deverão implementar a versão 2 do padrão ITU X.509, de acordo com o perfil estabelecido na RFC 5280.

2.12 Extensões de LCAR para certificados de atributo e de suas entradas

São obrigatórias as seguintes extensões de LCAR:

a)"Authority Key Identifier": deve conter ohashSHA-1 da chave pública da EEA que assina a LCR; e

b)"CRL Number", não crítica: deve conter um número sequencial para cada LCAR emitida pela EEA.

A frequência máxima admitida para a emissão de LCAR para os certificados de atributo é de 6 (seis) meses.

3. Especificação do Banco de Dados

Os certificados de atributos gerados deverão estar disponíveis em banco de dados para validação de autenticidade. Cada entidade emissora de CIE será a responsável pelo conteúdo e manutenção das informações constantes no banco de dados, e o apontamento para o acesso ao certificado de atributo deverá ser representado por QR-Code já especificado para o uso no cartão.

O QR-Code é um código de barra bidimensional que possibilita conversão para texto, números, endereços web, dados de contatos, entre outros.

O padrão de QR-Code estabelecido para uso na CIE é o padrão QR-Code 2005, cuja especificação simbológica é dada pela ISO/IEC 18004:2006.

A especificação simbológica do QR-Code deverá remeter ao endereço de internet (endereçoweb) que proverá acesso ao banco de dados para possibilitar a obtenção do certificado de atributo associado à CIE emitida, que deverá ser validada por aplicação eletrônica.

4. Requisitos eletrônicos do cartão (opcional)

4.1 Chip do cartão (opcional)

4.1.1 Com contato

Todas as especificações/arquiteturas do chip com contato devem possuir características eletromagnéticas, químicas, físicas, mecânicas, de ordenamento lógico, entre outros de acordo com as recomendações ISO/IEC 7816, 10373 e 19784.

4.1.2 Sem contato

Todas as especificações/arquiteturas do chip sem contato devem possuir características eletromagnéticas, químicas, físicas, mecânicas, de ordenamento lógico, entre outros de acordo com as recomendações ISO/IEC 14443.

4.2 Cartão MIFARE (opcional)

A Carteira de Identificação Estudantil pode ser um cartão do tipo MIFARE. Os dados contidos devem respeitar as normas estaduais e municipais em relação ao uso e serviço que a CIE se prestará.

5. Requisitos gerais

5.1. Banco de dados

As entidades emissoras da CIE, conforme a determina a lei, deverão manter e disponibilizar ao Poder Público, estabelecimentos, produtoras e promotoras de eventos banco de dados com acesso "on-line" contendo todos os certificados de atributos dos estudantes portadores de CIE emitidas, acessível via código personalizado para cada estudante.

Nesse banco de dados deverão ser armazenadas e disponibilizadas para consulta todas as informações especificadas neste regulamento no formato de certificado de atributo. O acesso ao banco de dados via internet deve ser via protocolo "https" com certificado SSL emitido no âmbito da ICP-Brasil para a entidade emissora de CIE.

Os dados armazenados no banco são privados e serão usados exclusivamente para atestar a autenticidade de cada CIE.

5.2. Certificação digital

Toda CIE emitida possuirá um Certificado de Atributo devidamente assinado e armazenado em banco de dados.

O certificado de atributo deverá ser assinado via certificado digital ICP-Brasil da pessoa jurídica, quer seja a entidade estudantil responsável pela emissão da CIE.

O certificado digital da entidade emissora, denominado de Entidade Emissora de Atributo (EEA) da CIE deve ser do tipo A3 ou A4 conforme padrões da ICP-Brasil. Este certificado deverá ser utilizado para a assinatura de certificados de atributos e assinatura da Lista de Certificados de Atributos Revogados. (LCAR).

O certificado de atributo da CIE deve ser do tipo autônomo e estar disponível para acesso individualizado a partir de uma chave de acesso única e personalizada que está inserida no QR-Code juntamente com a URL do Banco de Dados.

5.3. Validação e verificação da CIE

A validação e verificação da CIE é feita por meio digital, atestando-se a autenticidade do documento emitido associado ao certificado de atributo emitido.

Com a finalidade de preservar e garantir o controle social de que trata o Art. 1º, parágrafo 4º da Lei nº 12.933/13, a validação do certificado de atributo será realizada por meio digital, através de aplicação eletrônica, capaz de fazer a leitura do QR-Code, presente na CIE, e atestar validade e autenticidade.

As entidades nacionais de representação estudantil, quer sejam UNE, UBES e ANPG, serão responsáveis por disponibilizar aplicação eletrônica para o público em geral, inclusive para dispositivos móveis (plataformas IOS e Android), de forma inteiramente gratuita.

As informações constantes do certificado de atributo vinculado à CIE deverão ser apresentadas, bem como a entidade que emitiu e assinou. A cadeia de certificação digital deverá ser validada para garantir a procedência do certificado digital padrão ICP-Brasil. A aplicação eletrônica deverá ser capaz de validar qualquer CIE gerada independentemente da entidade que emitiu, desde que atenda o presente regulamento, a padronização nacional do documento e as disposições da Lei nº 12.933/13.