DOU de 03/04/2020 (nº 65-B, Seção 1, pág. 6)

Estabelece os procedimentos de submissão, análise, aprovação e publicação das Políticas de Segurança (PS), das Políticas de Certificados (PC), Políticas de Carimbo do Tempo (PCT) e das Declarações de Práticas das Autoridades Certificadoras (AC), das Autoridades de Carimbo do Tempo (ACT) e dos Prestadores de Serviço de Confiança (PSC), no âmbito da ICP Brasil.

O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA I N FO R M AÇ ÃO , no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9º do anexo I do Decreto nº 8.985, de 8 de fevereiro de 2017, e pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004,

CONSIDERANDO necessidade de especificar a forma que as entidades da ICP Brasil deverão encaminhar pedidos de alterações de suas Políticas de Segurança, Declarações de Prática e Políticas de Certificado para fins de manutenção de credenciamento e de administração de suas especificações, resolve:

Art. 1º – Esta Instrução Normativa regulamenta os procedimentos de submissão, análise, aprovação e publicação das Políticas de Segurança, das Políticas de Certificados, Políticas de Carimbo do Tempo, das Declarações de Práticas das Autoridades Certificadoras, das Autoridades de Carimbo do Tempo e dos Prestadores de Serviços de Confiança, no âmbito da ICP Brasil.

Parágrafo Único – O disposto nesta instrução normativa aplica-se também, no que couber, às entidades candidatas a credenciamento como AC, ACT e PSC no âmbito da ICP Brasil, quando da submissão de suas propostas de PS, de DPC, de DPCT, de DPPSC, de PC e de PCT à aprovação do ITI.

Art. 2º – Qualquer alteração nos documentos elencados no art. 1º, de entidade credenciada ou em credenciamento, deverá ser submetida para AC Raiz para avaliação e aprovação.

Parágrafo Único – Após a submissão ao ITI, dos documentos ajustados, a entidade estará autorizada a publicar em serviço de diretório ou página web e a operar de acordo com as práticas declaradas de imediato, ainda que sem a aprovação expressa do ITI, sob a obrigação de correções ou ajustes, caso sejam apontados após análise do ITI.

Art. 3º – A partir da publicação pelo ITI, em página web, da aprovação dos novos documentos, a entidade terá até 15 (quinze) dias para avaliar a necessidade, nos casos em que houve alterações, para republicar os documentos aprovados em seu repositório e, efetivamente, implementar o que neles estiver disposto, mantendo em evidência o controle de versão e sua data de referência, que devem ser os mesmos exigidos pelas alíneas “b” e “c” do inciso III do art. 6º.

Parágrafo único – Não cumprido o prazo estabelecido no caput pela entidade responsável, sem que seja apresentada justificativa apropriada, poderá o ITI cancelar a aprovação do respectivo controle de versão.

Art. 4º – As entidades da ICP-Brasil têm o prazo de até 60 (sessenta) dias, contados da data da publicação de Resolução do Comitê Gestor da ICP-Brasil que alterar os DOC-ICP-02, DOC-ICP-04, DOC-ICP-05, DOC-ICP-12, DOC-ICP-13 e DOC-ICP-17 e tenha reflexos diretos em suas PC, PCT, DPC, DPCT, DPPSC e PS, para submissão à aprovação, pelo ITI, dos documentos afetos às mudanças previstas nessa Resolução.

§ 1º – Caso a Resolução apresente um prazo de transição maior que 60 (sessenta) dias, prevalecerá o prazo estipulado na Resolução.

§ 2º – Os prazos de adequação devem ser observados nas alterações de normativas de caráter obrigatório.

Art. 5º – Adotar o controle de versão das PC, PCT, DPC, DPCT, DPPSC e PS das entidades no âmbito da ICP Brasil, com aplicação dos seguintes conceitos:

I – Controle de Versão (v.a): controle numérico de dois dígitos, separados por um ponto, sendo que o primeiro deles representa a versão do documento e o segundo a sua atualização;

II – Versão (v): número que indica a sequência das alterações nos documentos das entidades provocadas pelas edições de novas Resoluções do CG da ICP Brasil; e

III – – Atualização (a): número que indica a sequência de atualizações nos documentos das entidades provocadas por iniciativas das próprias AC ou por solicitações específicas do ITI.

§ 1º – Novas versões (v) deverão ser adotadas sempre que as alterações sejam decorrentes de imposição de Resoluções do CG da ICP Brasil. Nestes casos, o dígito correspondente às atualizações (a) deverá ser zerado.

§ 2º – Novas atualizações (a) deverão ser adotadas sempre que as alterações sejam decorrentes de iniciativas das próprias entidades ou de solicitações específicas do ITI. Nestes casos, o dígito correspondente às versões (v) deverá permanecer inalterado.

§ 3º – Quando da solicitação de nova alteração, motivada por qualquer das hipóteses previstas anteriormente, o novo controle de versão (v.a) deverá refletir todas as alterações anteriores.

Art 6º Os pedidos de alterações de PS, de DPC, de DPCT, de DPPSC, de PC e de PCT devem ser formalizados por meio de correspondência eletrônica, endereçada ao protocolo do ITI, contendo os anexos:

I – Arquivos, em formato PDF editável, com os conteúdos completos dos novos documentos propostos, já na conformação final a ser divulgada no repositório da entidade. Tais arquivos devem ser identificados pelos mesmos nomes e controles de versão citados no art. 5º;

II – Relação escrita dos itens para os quais estão sendo solicitadas alterações, apontando os textos vigentes e os textos propostos, conforme exemplo constante do Anexo I;

III – Tabela, conforme exemplo constante do Anexo II, com os seguintes campos:

a. Nomes dos documentos para os quais são solicitadas alterações;

b. Novos controles de versão dos documentos;

c. Data de criação dos documentos;

d. Hash dos arquivos correspondentes aos documentos enviados, calculados usando algoritmo SHA1.

Art. 7º – Durante o período de análise dos documentos, a remessa de eventuais correções nas alterações requeridas deve ser feita por meio de correspondência eletrônica, acompanhada dos mesmos documentos definidos no artigo anterior, sem a necessidade de novo protocolo de solicitação.

§ 1º – O período de análise será de 180 (cento e oitenta) dias a contar do recebimento do material de que tratam os incisos I, II e III do artigo 6º. Extrapolado o prazo sem que haja aprovação dos novos documentos, os mesmos ficarão tacitamente aprovados.

§ 2º – Quando houver necessidade de os documentos retornarem à entidade, seja pela ocorrência de diferenças nos resultados de hash, seja para adequação às recomendações do ITI, o prazo para análise será interrompido, recomeçando sua contagem após o recebimento do novo conjunto de documentos.

§ 3º – O prazo estabelecido pelo parágrafo 1º não se aplica às análises de alterações que, por sua natureza, necessitem de auditoria na AC ou em qualquer de suas entidades vinculadas.

Art. 8º – Em caso de flagrante não conformidade entre as normas e o descrito nos documentos encaminhados ao ITI pode ser instaurado procedimento de fiscalização para apurar eventuais desvios, com aplicação das penalidades previstas no DOC-ICP-09.

Art. 9º – As implementações de que trata esta Instrução Normativa aplicam-se exclusivamente às alterações em PS, PC, PCT, DPC, DPCT e DPPSC.

Art. 10 – As entidades deverão adequar-se às disposições desta Instrução Normativa quando da alteração em suas práticas em data imediatamente subsequente a sua aprovação.

Art. 11 – Revoga a Instrução Normativa nº 1, de 16 de fevereiro de 2005, que dispõe sobre o controle de versões das Políticas de Segurança, das Políticas de Certificados e das Declarações de Práticas de Certificação das Autoridades Certificadoras no âmbito da ICP Brasil.

Art. 12 – Esta Instrução Normativa entra em vigor na data de sua publicação.

MARCELO AMARO BUZ

ANEXO I

Exemplo de Relação exigida pelo inciso II, do art. 6º

Relação dos itens para os quais estão sendo solicitadas alterações

Estas alterações resultaram na DPC da AC XXXXXX RFB versão 3.2

ANEXO II

Exemplo de Tabela exigida pelo inciso III, do art. 6º