Conteúdo Exclusivo ! Temos a solução que você precisa.
Leis, Decretos, Decretos-lei, Leis Complementares, Emenda Constitucional, Códigos.
(D. O. 06-09-2000)
Atualizada(o) até:
Não houve.
Medida Provisória 2.200-2/2001 (ICP-Brasil).O Presidente da República, no uso das atribuições que lhe confere o art. 84, incisos IV e VI, da Constituição, Decreta:
(D. O. 06-09-2000)
Atualizada(o) até:
Não houve.
Medida Provisória 2.200-2/2001 (ICP-Brasil).O Presidente da República, no uso das atribuições que lhe confere o art. 84, incisos IV e VI, da Constituição, Decreta:
- A Infra-Estrutura de Chaves Públicas do Poder Executivo Federal - ICP-Gov será instituída nos termos deste Decreto.
- A tecnologia da ICP-Gov deverá utilizar criptografia assimétrica para relacionar um certificado digital a um indivíduo ou a uma entidade.
§ 1º - A criptografia utilizará duas chaves matematicamente relacionadas, onde uma delas é pública e, a outra, privada, para criação de assinatura digital, com a qual será possível a realização de transações eletrônicas seguras e a troca de informações sensíveis e classificadas.
§ 2º - A tecnologia de Chaves Públicas da ICP-Gov viabilizará, no âmbito dos órgãos e das entidades da Administração Pública Federal, a oferta de serviços de sigilo, a validade, a autenticidade e integridade de dados, a irrevogabilidade e irretratabilidade das transações eletrônicas e das aplicações de suporte que utilizem certificados digitais.
- A ICP-Gov deverá contemplar, dentre outros, o conjunto de regras e políticas a serem definidas pela Autoridade de Gerência de Políticas - AGP, que visem estabelecer padrões técnicos, operacionais e de segurança para os vários processos das Autoridades Certificadoras - AC, integrantes da ICP-Gov.
- Para garantir o cumprimento das regras da ICP-Gov, serão instituídos processos de auditoria, que verifiquem as relações entre os requisitos operacionais determinados pelas características dos certificados e os procedimentos operacionais adotados pelas autoridades dela integrantes.
Parágrafo único - Além dos padrões técnicos, operacionais e de segurança, a ICP-Gov definirá os tipos de certificados que podem ser gerados pelas AC.
- A arquitetura da ICP-Gov encontra-se definida no Anexo I a este Decreto.
- À Autoridade de Gerência de Políticas - AGP, integrante da ICP-Gov, compete:
I - propor a criação da Autoridade Certificadora Raiz - AC Raiz;
II - estabelecer e administrar as políticas a serem seguidas pelas AC;
III - aprovar acordo de certificação cruzada e mapeamento de políticas entre a ICP-Gov e outras ICP externas;
IV - estabelecer critérios para credenciamento das AC e das Autoridades de Registro - AR;
V - definir a periodicidade de auditoria nas AC e AR e as sanções pelo descumprimento de normas por ela estabelecidas;
VI - definir regras operacionais e normas relativas a:
a) Autoridade Certificadora - AC;
b) Autoridade de Registro - AR;
c) assinatura digital;
d) segurança criptográfica;
e) repositório de certificados;
f) revogação de certificados;
g) cópia de segurança e recuperação de chaves;
h) atualização automática de chaves;
i) histórico de chaves;
j) certificação cruzada;
l) suporte a sistema para garantia de irretratabilidade de transações ou de operações eletrônicas;
m) período de validade de certificado;
n) aplicações cliente;
VII - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Gov, em especial da Política de Certificados - PC e das Práticas e Regras de Operação da Autoridade Certificadora, de modo a garantir:
a) atendimento às necessidades dos órgãos e das entidades da Administração Pública Federal;
b) conformidade com as políticas de segurança definidas pelo órgão executor da ICP-Gov; e
c) atualização tecnológica.
- Para assegurar a manutenção do grau de confiança estabelecido para a ICP-Gov, as AC e AR deverão credenciar-se junto a AGP, de acordo com as normas e os critérios por esta autoridade estabelecidos.
- Cabe à AC Raiz a emissão e manutenção dos certificados das AC de órgãos e entidades da Administração Pública Federal e das AC privadas credenciadas, bem como o gerenciamento da Lista de Certificados Revogados - LCR.
Parágrafo único - Poderão ser instituídos níveis diferenciados de credenciamento para as AC, de conformidade com a sua finalidade.
- As AC devem prestar os seguintes serviços básicos:
I - emissão de certificados;
II - revogação de certificados;
III - renovação de certificados;
IV - publicação de certificados em diretório;
V - emissão de Lista de Certificados Revogados - LCR;
VI - publicação de LCR em diretório; e
VII - gerência de chaves criptográficas.
Parágrafo único - A disponibilização de certificados emitidos e de LCR atualizada será proporcionada mediante uso de diretório seguro e de fácil acesso.
- Cabe às AR:
I - receber as requisições de certificação ou revogação de certificado por usuários, confirmar a identidade destes usuários e a validade de sua requisição e encaminhar esses documentos à AC responsável;
II - entregar os certificados assinados pela AC aos seus respectivos solicitantes.
- A emissão de certificados será precedida de processo de identificação do usuário, segundo critérios e métodos variados, conforme o tipo ou em função do maior ou menor grau de sua complexidade.
- No processo de credenciamento das AC, deverão ser utilizados, além de critérios estabelecidos pela AGP e de padrões técnicos internacionalmente reconhecidos, aspectos adicionais relacionados a:
I - plano de contingência;
II - política e plano de segurança física, lógica e humana;
III - análise de riscos;
IV - capacidade financeira da proponente;
V - reputação e grau de confiabilidade da proponente e de seus gerentes;
VI - antecedentes e histórico no mercado; e
VII - níveis de proteção aos usuários dos seus certificados, em termos de cobertura jurídica e seguro contra danos.
Parágrafo único - O disposto nos incisos IV a VII não se aplica aos credenciamentos de AC Públicas.
- Obedecidas às especificações da AGP, os órgãos e as entidades da Administração Pública Federal poderão implantar sua própria ICP ou ofertar serviços de ICP integrados à ICP-Gov.
- A AC Privada, para prestar serviço à Administração Pública Federal, deve observar as mesmas diretrizes da AC Governamental, salvo outras exigências que vierem a ser fixadas pela AGP.
- Serão definidos tipos de certificados, no âmbito da ICP-Gov, que atendam às necessidades gerais da maioria das aplicações, de forma a viabilizar a interoperabilidade entre ambientes computacionais distintos, dentro da Administração Pública Federal.
§ 1º - Serão criados certificados de assinatura digital e de sigilo, atribuindo-se-lhes os seguintes níveis de segurança, consoante o processo envolvido:
I - ultra-secretos;
II - secretos;
III - confidenciais;
IV - reservados; e
V - ostensivos.
§ 2º - Os certificados, além de outros que a AGP poderá estabelecer, terão uso para:
I - assinatura digital de documentos eletrônicos;
II - assinatura de mensagem de correio eletrônico;
III - autenticação para acesso a sistemas eletrônicos; e
IV - troca de chaves para estabelecimento de sessão criptografada.
- À AGP compete tomar as providências necessárias para que os documentos, dados e registros armazenados e transmitidos por meio eletrônico, óptico, magnético ou similar passem a ter a mesma validade, reconhecimento e autenticidade que se dá a seus equivalentes originais em papel.
- Para instituição da ICP-Gov, deverá ser efetuado levantamento das demandas existentes nos órgãos governamentais quanto aos serviços típicos derivados da tecnologia de Chaves Públicas, tais como, autenticação, sigilo, integridade de dados e irretratabilidade das transações eletrônicas.
- O Glossário constante do Anexo II apresenta o significado dos termos e siglas em português, que são utilizados no sistema de Chaves Públicas.
- Compete ao Comitê Gestor de Segurança da Informação a concepção, a especificação e a coordenação da implementação da ICP-Gov, conforme disposto no art. 4o, inciso XIV, do Decreto 3.505, de 13/06/2000.
- Fica estabelecido o prazo de cento e vinte dias, contados a partir da data de publicação deste Decreto, para especificação, divulgação e início da implementação da ICP-Gov.
- Implementados os procedimentos para a certificação digital de que trata este Decreto, a Casa Civil da Presidência da República estabelecerá cronograma com vistas à substituição progressiva do recebimento de documentos físicos por meios eletrônicos.
- Este Decreto entra em vigor na data de sua publicação.
Brasília, 5 de setembro de 2000; FERNANDO HENRIQUE CARDOSO
Autenticação (Authentication) | Processo utilizado para confirmar a identidade de umapessoa ou entidade, ou para garantir a fonte de uma mensagem. |
Autoridade Certificadora – AC (Certification Authority – CA) | Entidade que emite certificados de acordo com as práticasdefinidas na Declaração de Regras Operacionais - DRO. É comumenteconhecida por sua abreviatura - AC. |
Autoridade Registradora – AR (Registration Authority – RA) | Entidade de registro. Pode estar fisicamentelocalizada em uma AC ou ser uma entidade de registro remota. É parteintegrante de uma AC. |
Assinatura Digital (Digital Signature) | Transformação matemática de uma mensagem por meioda utilização de uma função matemática e da criptografia assimétricado resultado desta com a chave privada da entidade assinante. |
Autorização (Authorization) | Obtenção de direitos, incluindo a habilidade deacessar uma informação específica ou recurso de uma maneira específica. |
Chave Privada (Private Key) | Chave de um par de chaves mantida secreta pelo seudono e usada no sentido de criar assinaturas para cifrar e decifrarmensagens com as Chaves Públicas correspondentes. |
Certificado de Chave Pública (Certificate) | Declaração assinada digitalmente por uma AC,contendo, no mínimo:
|
Chave Pública (Public Key) | Chave de um par de chaves criptográficas que édivulgada pelo seu dono e usada para verificar a assinatura digitalcriada com a chave privada correspondente ou, dependendo do algoritmocriptográfico assimétrico utilizado, para cifrar e decifrar mensagens. |
Cifração (Encryption) | Processo de transformação de um texto original("plaintext") em uma forma incompreensível("ciphertext") usando um algoritmo criptográfico e uma chavecriptográfica. |
Credenciamento (Accreditation) | Processo de aprovação de políticas e procedimentosde uma AC, de forma que a mesma seja autorizada a participar de uma ICP. |
Criptografia (Cryptography) | Disciplina que trata dos princípios, meios e métodospara a transformação de dados, de forma a proteger a informaçãocontra acesso não autorizado a seu conteúdo. |
| Criptografia de Chave Pública (Public Key Cryptography) | Tipo de criptografia que usa um par de chavescriptográficas matematicamente relacionadas. As Chaves Públicas podemficar disponíveis para qualquer um que queira cifrar informações parao dono da chave privada ou para verificação de uma assinatura digitalcriada com a chave privada correspondente. A chave privada é mantida emsegredo pelo seu dono e pode decifrar informações ou gerar assinaturasdigitais. |
| Declaração de Regras Operacionais – DRO (Certification Practice Statement – CPS) | Documento que contém as práticas e atividades queuma AC implementa para emitir certificados. É a declaração daentidade certificadora a respeito dos detalhes do seu sistema decredenciamento e as práticas e políticas que fundamentam a emissão decertificados e outros serviços relacionados. |
Emissão de Certificado (Certificate Issuance) | Emissão de um certificado por uma AC após a validaçãode seus dados, com a subseqüente notificação do requente sobre oconteúdo do certificado. |
| Gerenciamento de Certificado (CertificateManagement) | Ações tomadas por uma AC, baseadas na sua DRO apósa emissão do certificado, como armazenamento, disseminação e a subseqüentenotificação, publicação e renovação do certificado. Uma ACconsidera certificados emitidos e aceitos como válidos a partir da suapublicação. |
| Infra-Estrutura de Chaves Públicas – ICP (Public Key Infrastructure – PKI) | Arquitetura, organização, técnicas, práticas eprocedimentos que suportam, em conjunto, a implementação e a operaçãode um sistema de certificação baseado em criptografia de Chaves Públicas. |
Integridade de Mensagem (Message Integrity) | Garantia de que a mensagem não foi alterada durantea sua transferência, do emissor da mensagem para o seu receptor. |
| Irretratabilidade(Nonrepudiation) | Garantia de que o emissor da mensagem não irá negarposteriormente a autoria de uma mensagem ou participação em uma transação,controlada pela existência da assinatura digital que somente ele podegerar. |
| Lista de Certificados Revogados – LCR (Certification Revogation List – CRL) | Lista dos números seriais dos certificadosrevogados, que é digitalmente assinada e publicada em um repositório.A lista contém ainda a data da emissão do certificado revogado eoutras informações, tais como as razões específicas para a suarevogação. |
| Mensagem(Message) | Registro contendo uma representação digital dainformação, como um dado criado, enviado, recebido e guardado em formaeletrônica. |
| Par de Chaves(Key Pair) | Chaves privada e pública de um sistema criptográficoassimétrico. A Chave Privada e sua Chave Pública são matematicamenterelacionadas e possuem certas propriedades, entre elas a de que éimpossível a dedução da Chave Privada a partir da Chave Públicaconhecida. A Chave Pública pode ser usada para verificação de umaassinatura digital que a Chave Privada correspondente tenha criado ou aChave Privada pode decifrar a uma mensagem cifrada a partir da suacorrespondente Chave Pública. |
| Política de Certificação – PC(Certificate Police – CP) | Documento que estabelece o nível de segurança de umdeterminado certificado |
| Raiz(Root) | Primeira AC em uma cadeia de certificação, cujocertificado é auto-assinado, podendo ser verificado por meio demecanismos e procedimentos específicos, sem vínculos com este. |
| Registro(Record) | Informação registrada em um meio tangível (umdocumento) ou armazenada em um meio eletrônico ou qualquer outro meioperceptível. |
| Repositório(Repository) | Sistema confiável e acessível "on-line"para guardar e recuperar certificados e informações relacionadas comcertificados. |
| Revogação de Certificado(Certificate Revogation) | Encerramento do período operacional de umcertificado, podendo ser, sob determinadas circunstâncias, implementadoantes do período operacional anteriormente definido. |
| Sigilo(Confidentiality) | Condição na qual dados sensíveis são mantidossecretos e divulgados apenas para as partes autorizadas. |
| Sistema Criptográfico Assimétrico(Asymmetric Criptosystem) | Sistema que gera e usa um par de chaves seguras,consistindo de uma chave privada para a criação de assinaturasdigitais ou decodificar de mensagens criptografadas e uma Chave Públicapara verificação de assinaturas digitais ou de mensagens codificadas. |