Diário Oficial da União
Publicado em: 27/12/2018 | Edição: 248 | Seção: 1 | Página: 33
Órgão: Presidência da República/Casa Civil/Instituto Nacional de Tecnologia da Informação
PORTARIA Nº 78, DE 24 DEZEMBRO DE 2018
Atualiza a certificação digital da Carteira de Identificação Estudantil - CIE.
O DIRETOR PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO - ITI, autarquia federal vinculada à Casa Civil da Presidência da República, em cumprimento à Lei Federal nº 12.933, de 26 de dezembro de 2013, e ao Decreto nº 8.537, de 05 de outubro de 2015, que tratam, entre outros, do benefício da meia-entrada em espetáculos artístico-culturais e esportivos,
Considerando que a revogação parcial da liminar proferida nos autos da ADI nº 5108-DF reestabeleceu, em parte, a redação originária da Lei nº 12.933/13, no sentido de que o padrão nacional único da Carteira de Identificação Estudantil - CIE será fixado pelas entidades nacionais expressamente nominadas (UNE, UBES, ANPG) e pelo ITI, a quem competirá, unicamente, fornece a certificação digital;
Considerando, portanto, que o papel desta Autarquia se resume à determinação do tipo de processo de certificação digital a ser utilizado e suas especificidades, e, às entidades nacionais acima referenciadas, compete fixar os demais elementos referentes ao modelo da CIE;
Considerando que os requisitos técnicos do certificado de atributo, determinados pela Portaria nº 2, de 05 de maio de 2016, serão mantidos nesta nova versão;
Considerando que as alterações previstas nesta portaria visam aperfeiçoar o atual modelo e restringe-se ás características do certificado de atributo de competência desta autarquia;
Considerando que o Decreto nº 8.727, de 28 de abril de 2016, estabelece a inclusão do nome social;
Considerando que as mudanças de composição de campos não acarretam maiores dificuldades de atualização nas aplicações existentes e inicialmente aderentes ao publicado na Portaria nº 2, de 5 de maio de 2016, resolve:
Art. 1º Fica determinado o padrão nacional de certificação digital da ICP-Brasil a ser utilizado na Carteira de Identificação Estudantil - CIE, nos termos da Lei 12.933, de 26 de dezembro de 2013.
Parágrafo único. As especificações estão dispostas no documento em anexo "Certificação de Atributo referente à Carteira de Identificação Estudantil (CACIE) - Versão 2.0", que se encontra disponibilizado no seguinte endereço eletrônico: www.iti.gov.br.
Art. 2º As CIEs emitidas até a data da entrada em vigor desta Portaria, de acordo com o padrão nacional fixado pela Portaria nº 2, de 05 de maio de 2016, serão válidas até 31 de março de 2019.
Art. 3º O ITI não possui competência legal para emitir ou fiscalizar a emissão da CIE.
Art. 4º Esta Portaria entra em vigor na data de sua publicação.
Art. 5º Revoga-se a Portaria nº 2, de 05 de maio de 2016.
GASTÃO JOSÉ DE OLIVEIRA RAMOS
ANEXO I
Certificação de Atributo referente à
Carteira de Identificação Estudantil (CACIE)
(Art. 1.º, § 2º da Lei nº 12.933, de 26/12/2013)
Versão 2.0
LISTA DE SIGLAS e ACRÔNIMOS
SIGLA | DESCRIÇÃO |
AC | Autoridade Certificadora |
AR | Autoridade de Registro |
A3/A4 | Certificado Digital de Assinatura (tipo 3 ou tipo 4) |
CIE | Carteira de Identificação Estudantil |
DOC-ICP-16 | Documento de Padronização do Certificado de Atributo da ICP-Brasil |
CA | Certificado de Atributo |
EEA | Entidade Emissora de Atributos |
ICP-Brasil | Infraestrutura de Chaves Públicas Brasileira |
ITI | Instituto Nacional de Tecnologia da Informação |
LCAR | Lista de Certificados de Atributos Revogados |
1. Introdução
A Carteira de Identificação Estudantil (CIE) é um documento de modelo único nacionalmente padronizado pelas entidades nacionais de representação estudantil e pelo Instituto Nacional de Tecnologia da Informação (ITI) conforme Art.1º parágrafo 2º da Lei nº 12.933/13; no formato físico de cartão ou equivalente digital, com base na certificação digital padrão ICP-Brasil.
A tecnologia utilizada para suportar o uso da certificação digital, conforme estabelecido na legislação, é o Certificado de Atributo, que viabiliza de forma segura a implementação da CIE no formato digital.
O Certificado de Atributo é uma das tecnologias disponíveis a partir do sistema de Certificação Digital padrão ICP-Brasil, padronizado no DOC-ICP-16 e DOC-ICP-16.01.
Toda CIE deve ter um certificado de atributo padrão ICP-Brasil, emitido e assinado digitalmente pela entidade emissora, e necessariamente armazenado em banco de dados, disponibilizado para consulta "on-line" a partir de "QR-Code" personalizado.
Opcionalmente, o certificado de atributo poderá ser também armazenado num cartão com chip ou em aplicativo de dispositivo móvel ("APP"), permitindo validação "off-line" da CIE.
2. Especificação do Certificado de Atributo da CIE
O formato digital da CIE será implementado por meio do uso de certificado de atributo (DOC-ICP-16), do tipo autônomo, conforme estabelecido pela ICP-Brasil.
Conforme estabelecido nos documentos DOC-ICP-16 e DOC-ICP-16.01, o perfil do certificado de atributo deverá implementar os campos apresentados na Tabela I.
Seq. | Campo | |
1 | Versão | version v2(1) |
2 | Titular do Certificado de Atributo | holder |
3 | Emissor | issuer |
4 | Algoritmo de Assinatura | signature |
5 | Número de Série | serialNumber |
6 | Período de Validade | attCertValidityPeriod |
7 | Atributos | attributes |
8 | Extensões | extensions |
9 | Assinatura Digital | SignatureValue |
Tabela I - conteúdo do Certificado de Atributo
2.1. Versão
Deve ser adotada a versão v2, representado pelo valor inteiro (1).
2.2. Titular do Certificado de Atributo
O nome do titular do certificado de atributo, pessoa física, constante no campoHolder, deverá adotar oDistinguished Name(DN) do padrão ITU X.500/ISO 9594, da seguinte forma:
C = BR
O = ICP-Brasil
OU = nome de fantasia ou sigla da entidade emissora de atributo (EEA)
CN = nome do titular do atributo
Na composição dos nomes, aplicam-se as restrições de nome conforme definido no item 2.4 deste documento.
2.3 Emissor do Certificado de Atributo
O nome da entidade emissora do certificado de atributo, pessoa jurídica, constante no campoIssuer, deverá adotar oDistinguished Name(DN) do padrão ITU X.500/ISO 9594, no mesmo formato de codificação e conteúdo do campoSubjectdo certificado da signatária do certificado de atributo (EEA).
2.4 Restrição de nomes
Na composição de nomes, aplicam-se as seguintes restrições:
a)não deverão ser utilizados sinais de acentuação, tremas ou cedilhas; e
b)além dos caracteres alfanuméricos, poderão ser utilizados somente os caracteres especiais apresentados na Tabela II.
Caractere | Código NBR9611 (hexadecimal) |
branco | 20 |
! | 21 |
" | 22 |
# | 23 |
$ | 24 |
% | 25 |
& | 26 |
' | 27 |
( | 28 |
) | 29 |
* | 2A |
+ | 2B |
, | 2C |
- | 2D |
. | 2E |
/ | 2F |
: | 3A |
; | 3B |
= | 3D |
? | 3F |
@ | 40 |
\ | 5C |
Tabela II - Caracteres especiais admitidos na descrição de nomes
2.5 Algoritmo de Assinatura
Contém o identificador do algoritmo utilizado para validar a assinatura do Certificado de Atributo. Este algoritmo deve ser um dos algoritmos de assinatura de certificados de usuário final definido no documento PADRÕES E ALGORITMOS CRIPTOGRÁFICOS DA ICP-BRASIL (DOC-ICP-01.01).
2.6 Número de Série
Este campo deve possuir o parissuer/serialNumberÚNICO. O camposerialNumberdeve ser um número inteiro e positivo sequencial com um limite máximo de até 20 octetos.
2.7 Período de Vigência
O campo período de vigência deve possuir o formatoGeneralizedTime, padrão ASN.1 e expresso em UTC (Universal Time Coordinated) AAAAMMDDHHMMSSZ.
2.8 Atributos
Este campo deve conter a informação de estudante concedida ao titular do certificado de atributo com uso do tipo:
Attribute ::= SEQUENCE {
type AttributeType,
values SET OF AttributeValue
-- at least one value is required
}
AttributeType ::= OBJECT IDENTIFIER
AttributeValue ::= ANY DEFINED BY AttributeType
São definidos como obrigatórios os seguintes componentes para o atributo estudante previsto na Lei n° 12.933/2013, nesta ordem:
a) OID = 2.16.76.1.10.1 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do titular, no formato ddmmaaaa; nas 11 (onze) posições subsequentes, o Cadastro de Pessoa Física (CPF) do titular; nas 15 (quinze) posições subsequentes, o número da matrícula do estudante; nas 15 (quinze) posições subsequentes, o número do Registro Geral - RG do titular do atributo; nas 10 (dez) posições subsequentes, as siglas do órgão expedidor do RG e respectiva UF.
b) OID = 2.16.76.1.10.2 e conteúdo = nas primeiras 40 (quarenta) posições, o nome da instituição de ensino; nas 15 (quinze) posições subsequentes, o grau de escolaridade; nas 30 (trinta) posições subsequentes, o nome do curso, nas 20 (vinte) posições subsequentes, o município da instituição e nas 2 (duas) posições subsequentes, a UF do município.
c) OID = 2.16.76.1.4.3 e conteúdo = nome social, conforme disposto no Decreto nº 8.727, de 28 de abril de 2016.
Os componentes para os atributos devem estar de acordo com as seguintes especificações:
a) O conjunto de informações definido em cada campo atributo deve ser armazenado como uma cadeia de caracteres do tipo ASN.1 OCTET STRING ou PRINTABLE STRING;
b) Quando os números de CPF e RG não estiverem disponíveis, os campos correspondentes devem ser integralmente preenchidos com caracteres "zero";
c) Se o número do RG não estiver disponível, não se deve preencher o campo de órgão emissor e UF;
d) Todas informações de tamanho variável referentes a números, tais como RG, matrícula devem ser preenchidas com caracteres "zero" a sua esquerda para que seja completado o tamanho máximo disponível para o campo;
e) As 10 (dez) posições das informações sobre órgão emissor do RG e UF referem-se ao tamanho máximo, devendo ser utilizadas apenas as posições necessárias ao seu armazenamento, da esquerda para a direita. O mesmo se aplica às 22 (vinte e duas) posições das informações sobre município e UF da instituição de ensino;
f) Apenas os caracteres de A a Z, de 0 a 9, observado o disposto no item 2.4 deste documento, poderão ser utilizados, não sendo permitidos os demais caracteres especiais.
g) Quando o tamanho do campo de cada elemento do conteúdo não for suficiente para o preenchimento completo da informação correspondente, deve-se promover a truncagem ou abreviatura dessa informação.
2.9 Extensões
Este campo deve conter as informações adicionais de associação entre os titulares dos Certificados de Atributo e seus atributos. As extensões definidas pela RFC 5755 são:
- Audit Identity
- AC Targeting
- Authority Key Identifier
- Authority Information Access
- CRL Distribution Points
- No Revocation Available
São obrigatórias as seguintes extensões:
a)"Authority Key Identifier",não crítica: o campo keyIdentifier deve conter ohashSHA-1 da chave pública do certificado digital da EEA;
b)"AuthorityInformation Access",não crítica: A primeira entrada deve conter o método de acesso id-ad-caIssuer, utilizando um dos seguintes protocolos de acesso, HTTP, HTTPS ou LDAP, para recuperação da cadeia de certificação;
c)"CRL Distribution Points",não crítica: o campo deve conter o endereço naWebonde se obtém a LCAR correspondente ao certificado de atributo.
2.10 Perfil de LCAR para certificados de atributo
2.11 Número(s) de versão
As LCARs geradas pela EEA responsável deverão implementar a versão 2 do padrão ITU X.509, de acordo com o perfil estabelecido na RFC 5280.
2.12 Extensões de LCAR para certificados de atributo e de suas entradas
São obrigatórias as seguintes extensões de LCAR:
a)"Authority Key Identifier": deve conter ohashSHA-1 da chave pública da EEA que assina a LCR; e
b)"CRL Number", não crítica: deve conter um número sequencial para cada LCAR emitida pela EEA.
A frequência máxima admitida para a emissão de LCAR para os certificados de atributo é de 6 (seis) meses.
3. Especificação do Banco de Dados
Os certificados de atributos gerados deverão estar disponíveis em banco de dados para validação de autenticidade. Cada entidade emissora de CIE será a responsável pelo conteúdo e manutenção das informações constantes no banco de dados, e o apontamento para o acesso ao certificado de atributo deverá ser representado por QR-Code já especificado para o uso no cartão.
O QR-Code é um código de barra bidimensional que possibilita conversão para texto, números, endereços web, dados de contatos, entre outros.
O padrão de QR-Code estabelecido para uso na CIE é o padrão QR-Code 2005, cuja especificação simbológica é dada pela ISO/IEC 18004:2006.
A especificação simbológica do QR-Code deverá remeter ao endereço de internet (endereçoweb) que proverá acesso ao banco de dados para possibilitar a obtenção do certificado de atributo associado à CIE emitida, que deverá ser validada por aplicação eletrônica.
4. Requisitos eletrônicos do cartão (opcional)
4.1 Chip do cartão (opcional)
4.1.1 Com contato
Todas as especificações/arquiteturas do chip com contato devem possuir características eletromagnéticas, químicas, físicas, mecânicas, de ordenamento lógico, entre outros de acordo com as recomendações ISO/IEC 7816, 10373 e 19784.
4.1.2 Sem contato
Todas as especificações/arquiteturas do chip sem contato devem possuir características eletromagnéticas, químicas, físicas, mecânicas, de ordenamento lógico, entre outros de acordo com as recomendações ISO/IEC 14443.
4.2 Cartão MIFARE (opcional)
A Carteira de Identificação Estudantil pode ser um cartão do tipo MIFARE. Os dados contidos devem respeitar as normas estaduais e municipais em relação ao uso e serviço que a CIE se prestará.
5. Requisitos gerais
5.1. Banco de dados
As entidades emissoras da CIE, conforme a determina a lei, deverão manter e disponibilizar ao Poder Público, estabelecimentos, produtoras e promotoras de eventos banco de dados com acesso "on-line" contendo todos os certificados de atributos dos estudantes portadores de CIE emitidas, acessível via código personalizado para cada estudante.
Nesse banco de dados deverão ser armazenadas e disponibilizadas para consulta todas as informações especificadas neste regulamento no formato de certificado de atributo. O acesso ao banco de dados via internet deve ser via protocolo "https" com certificado SSL emitido no âmbito da ICP-Brasil para a entidade emissora de CIE.
Os dados armazenados no banco são privados e serão usados exclusivamente para atestar a autenticidade de cada CIE.
5.2. Certificação digital
Toda CIE emitida possuirá um Certificado de Atributo devidamente assinado e armazenado em banco de dados.
O certificado de atributo deverá ser assinado via certificado digital ICP-Brasil da pessoa jurídica, quer seja a entidade estudantil responsável pela emissão da CIE.
O certificado digital da entidade emissora, denominado de Entidade Emissora de Atributo (EEA) da CIE deve ser do tipo A3 ou A4 conforme padrões da ICP-Brasil. Este certificado deverá ser utilizado para a assinatura de certificados de atributos e assinatura da Lista de Certificados de Atributos Revogados. (LCAR).
O certificado de atributo da CIE deve ser do tipo autônomo e estar disponível para acesso individualizado a partir de uma chave de acesso única e personalizada que está inserida no QR-Code juntamente com a URL do Banco de Dados.
5.3. Validação e verificação da CIE
A validação e verificação da CIE é feita por meio digital, atestando-se a autenticidade do documento emitido associado ao certificado de atributo emitido.
Com a finalidade de preservar e garantir o controle social de que trata o Art. 1º, parágrafo 4º da Lei nº 12.933/13, a validação do certificado de atributo será realizada por meio digital, através de aplicação eletrônica, capaz de fazer a leitura do QR-Code, presente na CIE, e atestar validade e autenticidade.
As entidades nacionais de representação estudantil, quer sejam UNE, UBES e ANPG, serão responsáveis por disponibilizar aplicação eletrônica para o público em geral, inclusive para dispositivos móveis (plataformas IOS e Android), de forma inteiramente gratuita.
As informações constantes do certificado de atributo vinculado à CIE deverão ser apresentadas, bem como a entidade que emitiu e assinou. A cadeia de certificação digital deverá ser validada para garantir a procedência do certificado digital padrão ICP-Brasil. A aplicação eletrônica deverá ser capaz de validar qualquer CIE gerada independentemente da entidade que emitiu, desde que atenda o presente regulamento, a padronização nacional do documento e as disposições da Lei nº 12.933/13.
Este conteúdo não substitui o publicado na versão certificada.