-
O que é uma Autoridade de Registro – AR?
As ARs são entidades públicas ou pessoas jurídicas de direito privado credenciadas pela AC Raiz e que sempre serão vinculadas operacionalmente à determinada Autoridade Certificadora.
De acordo com o art. 7º da MP 2.200-2, as ARs têm a competência de “identificar e cadastrar usuários na presença destes; encaminhar solicitações de certificados às AC e manter registros de suas operações”.
É o elo entre o usuário e a Autoridade Certificadora – AC e tem por objetivo receber e encaminhar as solicitações de emissão ou revogação de certificados digitais às AC e identificar os solicitantes, na forma e condição regulamentada pelo DOC-ICP-05.
-
O que é um Agente de Registro – AGR?
É a pessoa responsável pela execução das atividades da AR que realiza a identificação de quem solicita os certificados. Nos normativos da ICP-Brasil, é identificada pela sigla AGR.
Os AGR devem ser funcionários ou servidores da própria organização credenciada como AR junto à ICP-Brasil. De acordo com o item 2.1.2 do DOC ICP 03.01, também é admitido que os sócios da pessoa jurídica credenciada como AR atuem como AGR.
-
Como deve ser comprovado o vínculo trabalhista de um agente de registro que reside e irá trabalhar fora do Brasil. A contratação deve seguir a legislação do país em que a AGR reside, qual o procedimento a ser seguido?
A Regulamentação sobre a segurança de pessoal e documentação do Agente de Registro (AGR) está prevista no item 2 do DOC-ICP-03.01, anexo da Instrução Normativa ITI nº 10, de 22 de outubro de 2020.
Em linhas gerais, o AGR é empregado da AR – autoridade de registro, portanto, a AR deve atender a legislação da ICP-Brasil nos quesitos de segurança de pessoal e a legislação do país em que deseje operar comercialmente, tanto para contratação de pessoas quanto para operação comercial.
-
O AGR pode ser contratado por duas Autoridades de Registro? Sendo possível o AGR sendo habilitado para emissão de certificado digital e credenciado em duas AR, o AGR pode emitir os certificados digitais das duas certificadoras no mesmo computador? O ITI proíbe a emissão de certificado digital de duas certificadoras no mesmo computador?
De acordo com a legislação trabalhista não há impedimento legal de uma pessoa ser contratada por duas ou mais empresas, desde que haja compatibilidade de horário.
Devido à criticidade da atividade do Agente de Registro, e para assegurar o cumprimento dos requisitos de segurança de pessoas estabelecidos na Política de Segurança da ICP-Brasil, recomenda-se que a prática não seja adotada.
A atuação de um Agente de Registro em entidades distintas da ICP-Brasil não permite assegurar e manter o grau de sigilo das informações sensíveis a que ele tem acesso em cada entidade.
Quanto ao uso do mesmo equipamento e de acordo com os normativos DOC-ICP-03 e DOC-ICP-03.01, não é possível a emissão de certificados digitais de duas ARs pelo mesmo computador, sob pena de descumprimento das normas da ICP Brasil, em especial o DOC ICP 03.01 nos itens:
6.1.5 O Inventário de Ativos deve relacionar, pelo menos:
a) equipamentos da AR, com respectivas especificações, atualizado mensalmente;
b) softwares instalados nos equipamentos, atualizado mensalmente.
6.1.5.1 Somente poderão constar do Inventário de Ativos os equipamentos de propriedade ou de posse da AR.
6.1.5.2 A comprovação da posse ou propriedade dos equipamentos a que se refere o item anterior, deverá ser feita sempre que assim requisitado pela AC Raiz, mediante a apresentação pela AR da respectiva nota fiscal, comodato, leasing, doação, contrato de locação de equipamentos ou documentação comprobatória equivalente.
6.1.6.2 A comprovação da posse ou propriedade dos equipamentos a que se refere o item anterior deverá ser feita sempre que assim requisitado pela AC Raiz, mediante a apresentação pela AR da respectiva nota fiscal, comodato, leasing, doação, contrato de locação de equipamentos ou documentação comprobatória equivalente.
-
Por que é obrigatória a comprovação de posse ou propriedade de equipamentos das AR nas auditorias anuais?
Sim. É obrigatória a comprovação da posse ou propriedade de equipamentos das ARs. Trata-se de requisito mínimo em segurança da informação aplicado a todas as ARs, previsto no item 6.1.5.2 do DOC-ICP-03.01.
“A comprovação da posse ou propriedade dos equipamentos a que se refere o item anterior deverá ser feita sempre que assim requisitado pela AC Raiz, mediante a apresentação pela AR da respectiva nota fiscal, comodato, leasing, doação, contrato de locação de equipamentos ou documentação comprobatória equivalente.”
-
É permitido o envio de arquivo com o certificado já emitido e senha de acesso, no caso de certificado A1, por e-mail pela AR ou AGR ao titular do certificado?
Não. O arquivo (.pf12 ou .pfx) com o certificado e a senha de acesso, para certificados do tipo A1, é constituído das chaves pública e privada criptografadas pela senha de acesso.
De acordo com o parágrafo único do art. 6º da MP 2.200-2 “O par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento.”
Caso ocorra o envio de arquivo com certificado emitido e senha de acesso, por e-mail pela AR ou AGR ao titular de certificado, o certificado digital deve ser revogado por comprometimento de chave privada.
-
Publicidade, anúncios e divulgações tais como “Seja um AGR Credenciado” ou “Torne-se uma filial nossa e emita certificados digitais”, que têm por objetivo buscar “parceiros” para as ARs e ACs?
Não é admitida a ação de marketing nessa configuração já que a atividade de identificação e validação presencial do solicitante de certificado digital é exclusiva da AR, conforme estabelecido na MP nº 2.200-2, de 24 de agosto de 2001.
Esse tipo de prática é considerado irregular de acordo com as normas.
É vedada, como descrito no item 8.1 do DOC ICP 03.01, a divulgação, anúncio ou qualquer outra forma de publicidade de atividades, serviços ou produtos relacionados com o comércio de certificado digital ICP-Brasil que não estejam normatizados e autorizados pela Infraestrutura.
-
É permitida a comercialização de certificados digitais por empresas ou indivíduos que não pertençam à estrutura da ICP-Brasil? Caso seja negativa a resposta, qual a norma em que se baseia a proibição? É permitida a publicidade dessa comercialização?
Quando a etapa de comercialização envolve identificação, cadastro ou qualquer atividade do processo de solicitação de certificados digitais à AC, ela é restrita às ARs credenciadas à ICP-Brasil, conforme Art. 7º da MP 2.200-2, de 24 de agosto de 2001 e item 8.3 do DOC-ICP-03.01.
Não há restrição para a etapa de negociar, anterior à execução da identificação, cadastro ou qualquer atividade do processo de solicitação de certificados digitais à AC.
A publicidade dessa comercialização é vedada pelo item 8A.5 do DOC-ICP-03.01.
Fonte: https://www.gov.br/iti/pt-br
