Formação de Agentes de Registro - APOSTILA

Prévia do material em texto

FORMAÇÃO DE AGENTES DE REGISTRO 
Prezado(a) aluno(a)! 
Buscando otimizar o processo e melhorar os resultados alcançados, esta ação 
educacional se torna imprescindível na Formação do Agente de Registro. 
Este curso foi desenvolvido com a finalidade de atingir os objetivos específicos 
e desenvolver as competências técnicas necessárias para o Agente de 
Registro. 
No mundo real, a segurança é um conceito relativamente simples. Se as 
fechaduras nas portas e nas janelas da casa são tão fortes que o ladrão não 
pode invadir e roubar seus pertences, a casa está segura. Para maior proteção 
contra os invasores que quebram as fechaduras, você talvez tenha que instalar 
alarmes de segurança. De maneira semelhante, se alguém tentar, 
fraudulentamente, retirar dinheiro de sua conta bancária e o caixa pedir 
identificação e não confiar na história do ladrão, seu dinheiro está seguro. Da 
mesma forma, quando você assina um contrato com uma outra pessoa, as 
assinaturas são as imposições legais que orientam e impelem ambas as partes 
a honrar suas palavras. 
No mundo digital, a segurança funciona de maneira semelhante. Um dos 
principais conceitos é a privacidade, que significa que ninguém pode invadir 
seus arquivos e ler os dados sigilosos (como prontuários médicos) ou roubar 
seu dinheiro (como, por exemplo, obtendo os números do cartão de crédito ou 
informações on-line sobre sua conta no banco). A privacidade é a fechadura da 
porta. Um outro conceito, a integridade de dados, refere-se ao mecanismo que 
informa quando algo foi alterado. Esse é o alarme. Aplicando a prática de 
autenticação, podemos verificar as identidades. Isso é comparável ao RG 
requerido para retirar dinheiro de uma conta bancária. E, por fim, o não-
repúdio, também chamado de irretratabilidade, que através da assinatura de 
um documento, as pessoas se obrigam através desse ato. 
1.1.1 Objetivos Gerais da Segurança da Informação 
Os objetivos gerais da segurança da informação são: 
 Confidencialidade: garantia de que o acesso à informação 
é restrito aos seus usuários legítimos. 
 Integridade: garantia da criação legítima e da consistência 
da informação ao longo do seu ciclo de vida, em especial: 
prevenção contra criação, alteração ou destruição não 
autorizada de dados e informações. 
 Disponibilidade: garantia de que a informação e os ativos 
associados estejam disponíveis para os usuários legítimos, 
de forma oportuna. 
 
Além destes, a segurança da informação deve visar também o Não-repúdio e 
a Identificação. 
Veja o detalhamento de cada um dos objetivos a seguir: 
Confidencialidade 
x 
O meio digital (incluindo a Internet, redes locais, arquivos armazenados em 
disquetes e CDs) não foi concebido para proteger o sigilo das informações e a 
privacidade dos usuários. 
Embora estejamos acostumados à facilidade de manter nossas informações no 
papel, longe de olhares curiosos (simplesmente colocando-o em um envelope 
fechado), sofremos uma "regressão" dos mecanismos de controle quando 
passamos a utilizar o mundo digital. 
Atualmente utilizamos os e-mails como forma de comunicação rápida, mas 
nossas mensagens - se não forem protegidas - podem ser lidas enquanto 
estiverem em trânsito ou enquanto estiverem armazenadas nos servidores 
de e-mails. Fazendo uma analogia ao sistema de correios, podemos compará-
los a cartões postais cujo conteúdo está exposto e qualquer pessoa pode lê-lo. 
No ambiente digital existem vários mecanismos desenvolvidos para garantir 
nossa privacidade, mas quem realmente faz uso deles? É interessante notar 
que a maioria desses recursos já está instalada nas ferramentas que usamos 
no dia-a-dia, como o Windows e o Office. No entanto, as informações 
continuam trafegando - sem a menor proteção do conteúdo - pelas vias digitais. 
Integridade 
x 
É fácil perceber uma tentativa de fraude no papel. Seja através de um rabisco, 
uma rasura ou do corretor ortográfico líquido, é muito simples observar que a 
informação foi fisicamente adulterada. Nossa mente vem sendo treinada ao 
longo dos anos para jamais escrever documentos importantes a lápis ou 
sempre rubricar todas as folhas de um contrato. 
Sem mecanismos que garantam a integridade da informação, não poderiam 
existir instrumentos para a formalização de contratos e, provavelmente, toda a 
nossa civilização ruiria. Transpor a integridade da informação para o meio 
digital é uma necessidade básica para a evolução da Internet como canal de 
https://conecta.serpro.gov.br/mod/page/view.php?id=34974#objetivos_seguranca_info0
https://conecta.serpro.gov.br/mod/page/view.php?id=34974#objetivos_seguranca_info1
negócios, seja para o comércio eletrônico de varejo ou para o relacionamento 
entre empresas. 
Disponibilidade 
x 
Não basta ter acesso a uma informação fora de seu tempo de uso. O esforço 
para disponibilizar informação deve levar em consideração a oportunidade de 
seu uso. Uma série de ações ou de boas práticas é necessária para manter a 
disponibilidade. 
Não-repúdio 
x 
Provavelmente o menos compreendido entre todos esses assuntos. Muitos são 
adversários dessa expressão para descrever o conceito. É claro que tecnologia 
nenhuma pode impedir alguém de repudiar algo, bastando a esse alguém 
levantar o dedo e dizer: "Eu não fiz!". Ainda assim, o papel da tecnologia é o de 
funcionar como obstáculo (quase intransponível) no caminho do sucesso de tal 
tentativa. Ao tentar descrever este conceito em uma expressão, utiliza-se o 
termo "não-repúdio". Estabelecido o contexto, vamos falar sobre sua 
manifestação no meio digital. 
Historicamente, a tentativa de impedir o repúdio de transações já foi expressa 
de muitas maneiras. Desde os selos imperiais às assinaturas de próprio punho, 
muitos meios já foram utilizados e deixados de lado como mecanismos para 
impedir o posterior repúdio de algum acordo fixado entre as partes. Desde os 
grandes tratados internacionais até pequenos compromissos diários, a 
capacidade de assumir responsabilidade sem qualquer relação pode ser a 
diferença entre o sucesso fabuloso ou as brigas eternas e desgastantes 
geradas por mal entendidos. 
A necessidade de obrigar alguém a uma responsabilidade não muda por conta 
da transferência do meio físico para o meio digital. Podemos perder muitas 
oportunidades se essa necessidade não for satisfeita. Quem aceitaria 
estabelecer algum tipo de compromisso sem ter certeza de que as 
responsabilidades poderão ser cobradas, de cada uma das partes, 
posteriormente? 
Identificação 
x 
A fragilidade da identificação na Internet fica clara quando tentamos fazer 
qualquer tarefa mais "avançada" através dela. Para abrir uma conta bancária, 
precisamos ir à agência e apresentar uma série de documentos. E para realizar 
uma compra financiada? Outro pesadelo. Para extrair da Internet todo o seu 
https://conecta.serpro.gov.br/mod/page/view.php?id=34974#objetivos_seguranca_info2
https://conecta.serpro.gov.br/mod/page/view.php?id=34974#objetivos_seguranca_info3
https://conecta.serpro.gov.br/mod/page/view.php?id=34974#objetivos_seguranca_info4
potencial, precisamos ser capazes de identificar as pessoas e organizações 
com quem tratamos. 
Hoje em dia, transitamos com desenvoltura pelo mundo munidos de todo tipo 
de documentos. Com uma carteira de motorista passamos pela blitz policial no 
trânsito (já que ela nos autoriza a dirigir) e com o título de eleitor decidimos 
quem governará o país, estado ou cidade onde vivemos. Isso já faz parte da 
nossa cultura. 
O mesmo modelo pode ser transposto para a Internet, permitindo que nossos 
relacionamentos não sejam abalados ou limitados pela falta de identificação. 
Saiba Mais! 
O certificado digital é a única ferramenta que atesta a identidade do usuário em 
ambiente digital com plena validade jurídica e garante a segurança na troca 
das informações. Tudo isso a partir de padrões de criptografia 
internacionalmente reconhecidos por sua segurança tecnológica. 
 
Assista o vídeo: 
Você conhece a Certificação DigitalICP-Brasil? 
1.1.2 Criptografia 
O que é Criptografia? 
Criptografia é a arte ou ciência de escrever em cifra ou em código, de forma a 
permitir que somente o destinatário a decifre e compreenda. Nasceu da 
necessidade de manter a privacidade de informações. Desde a antiguidade já 
se tinha conhecimento da criptografia, que era utilizada na substituição ou troca 
de símbolos com o objetivo de confundir um possível interceptador das 
mensagens. Para a computação esse princípio é mantido, porém a escrita é 
substituída pelo processamento digital das informações e, com a capacidade 
de processamento de dados desta tecnologia, a criptografia tomou corpo e 
desenvolveu-se. 
Modelos de Criptografia 
Os tipos de criptografia com base em algoritmos são basicamente divididos em 
dois: Criptografia de chaves simétricas e Criptografia de chaves assimétricas. 
Chaves criptográficas 
x 
https://youtu.be/vi1uS7TMJh4
https://conecta.serpro.gov.br/mod/page/view.php?id=34975#criptografia0
Chaves são valores que contêm informações a serem utilizadas nos algoritmos 
criptográficos para produzir o texto criptografado. O tamanho das chaves, em 
geral, reflete o poder do algoritmo e é medido em bits (1024 bits, 2048 bits etc). 
Normalmente, as chaves criptográficas são números bem grandes: 40 dígitos 
para algoritmos simétricos e 300 para os assimétricos (de chave pública). 
A dificuldade para atacar as chaves criptográficas reside na necessidade de 
testar um grande número delas até encontrar a correta. Portanto, quanto maior 
o tamanho da chave, mais seguro será o sistema, pois haverá uma maior 
quantidade de chaves diferentes que precisam ser testadas. 
Comparativamente, o número de chaves possíveis em um espaço de 256 bits é 
igual ao número de átomos do universo. 
Criptografia Simétrica 
x 
Esse tipo de criptografia é mais simples e é também conhecido como algoritmo 
de chave secreta. Utiliza somente uma chave, tanto para criptografar quanto 
para decifrar os dados. 
O maior problema deste tipo de criptografia está na distribuição de forma 
segura desta chave. Torna-se necessário um canal seguro para o 
compartilhamento da chave, entre o emissor, que será utilizada na 
comunicação. 
Após a transmissão da chave por meio desse canal seguro, é necessário haver 
um gerenciamento adequado da chave a fim de garantir segurança no seu 
armazenamento, pois a perda do sigilo da chave, em qualquer etapa do 
processo, implica perda da confidencialidade da informação. 
Neste esquema criptográfico, o número de chaves necessárias para 
comunicação entre múltiplas entidades cresce com ordem quadrática, em 
geral, n pessoas deveriam fazer 1/2(n ²-n) trocas de chaves. 
Por exemplo: para que cinco pessoas compartilhem suas chaves seriam 
necessárias 10 trocas de chaves, haja vista que cada par de usuários define 
uma, e somente uma chave secreta, e que não pode ser usada para se 
comunicar com um terceiro usuário. 
Criptografia Assimétrica - Chaves públicas e privadas 
Saiba Mais! 
Veja o vídeo do ITI sobre Criptografia: #CertLive 
https://conecta.serpro.gov.br/mod/page/view.php?id=34975#criptografia1
https://conecta.serpro.gov.br/mod/page/view.php?id=34975#criptografia2
https://www.facebook.com/itigovbr/videos/2529572107367895/?t=36
1.1.3 Assinaturas e Certificados Digitais 
As assinaturas digitais também permitem a verificação da integridade do 
conteúdo que foi assinado; os certificados digitais fornecem um método 
uniforme, escalonável, sistemático e facilmente controlável para a distribuição 
de chaves públicas. 
Veja o detalhamento de cada um deles a seguir: 
Assinaturas Digitais 
x 
A criptografia de chave assimétrica ou de chave pública ajuda a resolver o 
problema de distribuição de chaves. Também resolve duas outras questões 
relacionadas à criptografia: autenticação e não-repúdio. A autenticação permite 
que alguém no mundo eletrônico confirme dados e identidades e o não-repúdio 
impede que pessoas retifiquem sua palavra eletrônica. 
Uma maneira de implementar esses recursos é utilizar uma assinatura digital. 
Início de destaque importante. 
Atenção: 
Assinatura digital não é assinatura digitalizada (através do uso de scanner ou 
leitores óticos). 
Fim de destaque importante. 
O fundamento da assinatura digital está baseado no par de chaves pública e 
privada. Dessa forma, deve existir uma chave privada (que somente a entidade 
que assinou conhece) e uma pública que servirá de base para verificação desta 
assinatura. 
A grande vantagem da assinatura digital é que ela é virtualmente impossível de 
ser forjada, em virtude das técnicas de criptografia assimétrica empregadas. 
As assinaturas digitais também permitem a verificação da integridade do 
conteúdo que foi assinado porque a assinatura digital é uma função da chave 
do usuário sobre o texto a ser assinado. Dessa maneira, podemos ter certeza 
que a assinatura foi gerada pelo detentor da chave criptográfica e aplicada 
àquele documento. Qualquer tentativa de verificação que viole tais condições 
deixará claro, no momento da verificação da assinatura, que esta não é 
legítima. 
https://conecta.serpro.gov.br/mod/page/view.php?id=34976#cert_assin_digitais0
Certificados Digitais 
x 
Como vimos até agora, a criptografia de chave pública não oferece apenas um 
mecanismo poderoso de criptografia, mas também uma maneira de identificar e 
de autenticar pessoas e até dispositivos. Entretanto, antes de poder utilizar 
essa tecnologia eficazmente, temos que lidar com uma desvantagem. Como 
com a criptografia de chave simétrica, o gerenciamento e distribuição de uma 
chave é uma questão relacionada à criptografia de chave pública. Em vez de 
confidencialidade, a principal questão na criptografia assimétrica é a 
integridade e a posse da chave pública. 
Para que os usuários finais e as partes verificadoras (aquelas que verificam a 
autenticidade do certificado de um usuário final) utilizem essa tecnologia, eles 
devem fornecer suas chaves públicas uns aos outros. O problema é que, como 
com qualquer outro dado, uma chave pública é suscetível à manipulação 
durante o trânsito. Se uma terceira parte desconhecida puder substituir uma 
chave qualquer por uma chave pública válida, o invasor poderia forjar as 
assinaturas digitais e permitir que as mensagens encriptadas fossem expostas 
a partes mal intencionadas. Essa é a razão pela qual é crucial garantir aos 
usuários que a chave seja autêntica e que tenha vindo da parte intencionada. 
Por esta razão uma solução foi desenvolvida: os certificados de chave pública, 
ou, certificados digitais que fornecem um método uniforme, escalonável, 
sistemático e facilmente controlável para a distribuição de chaves públicas. 
O certificado digital é um documento eletrônico que identifica pessoas físicas e 
jurídicas, cuja validade é garantida por uma terceira parte de confiança. 
Um certificado digital é um conjunto de dados, tais como nome, endereço, 
número de identidade e CPF, à prova de falsificação e que atesta a associação 
de uma chave pública a um usuário final. Para fornecer essa associação, um 
conjunto de terceiros confiáveis confirma a identidade do usuário, assinando 
digitalmente este certificado. 
Os terceiros são chamados de Autoridades Certificadoras (AC), que emitem 
certificados para o usuário com o nome do usuário, a chave pública e outras 
informações que o identifiquem. Após serem assinados digitalmente pela 
Autoridade Certificadora, esses certificados podem ser transferidos e 
armazenados. 
Em resumo, um certificado digital é representado por um pequeno arquivo, que 
contém os dados de seu titular, emitido por uma Autoridade Certificadora. 
Atualmente, existem certificados digitais para identificar: 
 Pessoas Físicas 
 Pessoas Jurídicas 
 Equipamentos 
https://conecta.serpro.gov.br/mod/page/view.php?id=34976#cert_assin_digitais1
 Aplicações e 
 Servidores Web 
Com este documento digital é possível realizar uma série de procedimentos 
virtualmente, sem a necessidadede se deslocar presencialmente à sede de 
órgãos governamentais e de empresas ou imprimir documentos. 
Como posso usar meu certificado digital? 
 Assinatura de documentos e contratos digitais: Os 
documentos assinados digitalmente com certificado digital 
ICP-Brasil têm a mesma validade que os documentos 
assinados em papel. Além de proporcionar economia de 
insumos, já que não há necessidade de realizar 
impressões, os documentos assinados digitalmente 
agilizam processos, pois podem ser enviados por email e 
assinados de qualquer lugar facilmente; 
 Autenticação em sistemas: Existem vários sistemas com 
informações confidenciais, especialmente de governo, que 
só podem ser acessados presencialmente, através da 
confirmação de identidade. Como o certificado digital 
garante autenticidade, ele proporciona o acesso à esses 
sistemas e informações através da internet, não havendo 
necessidade de comparecimento presencial; 
 Atualização de informações em sistemas: Além de 
garantir acesso seguro à sistemas, o certificado também 
permite a alteração rápida de informações, evitando longos 
processos burocráticos; 
 Categorias profissionais: Diversas categorias 
profissionais (médicos, advogados, contadores, militares, 
entre outros) já utilizam o certificado digital em suas rotinas. 
Com o certificado, as classes profissionais têm a 
possibilidade de trabalhar com sistemas virtuais unificados 
e seguros, proporcionando integração e desburocratização 
de processos relativos ao setor. 
Saiba Mais! 
Para conhecer as principais aplicações que fazem uso do certificado digital 
ICP-Brasil, acesse a página do ITI que apresenta uma série de Cases: 
https://www.gov.br/iti/pt-br/assuntos/certificado-digital/servicos 
 
1.2 Estrutura da ICP - Brasil 
https://www.gov.br/iti/pt-br/assuntos/certificado-digital/servicos
Para que a utilização de uma rede aberta, como é o caso da Internet, aconteça 
de forma transparente para os usuários, é preciso que haja a oferta de uma 
infraestrutura que suporte todos os serviços nela oferecidos. 
No caso específico da utilização da certificação digital, essa infraestrutura é 
disponibilizada e mantida através de uma Infraestrutura de Chaves Públicas 
(ICP). Na ICP os serviços são oferecidos aos usuários finais pelas ACs 
(Autoridades Certificadoras) e pelas ARs (Autoridades de Registro). 
Dependendo do modelo implementado, outras entidades podem estar 
presentes na ICP, como por exemplo, a Autoridade de Carimbo de Tempo 
(ACT), que é responsável em oferecer garantia temporal às transações que 
utilizam assinatura digital; algo como uma entidade de protocolo. 
A Medida Provisória 2.200-2 entrou em vigor em 24 de agosto de 2001, 
instituindo a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil, uma ICP 
de natureza pública, encabeçada e regulamentada pelo Governo Brasileiro. 
A ICP-Brasil, criada pela MP (que tem força de lei) reconhece legalmente a 
autenticidade dos documentos eletrônicos assinados por chave criptográfica 
privada, cuja titularidade da chave pública correspondente tenha sido 
certificada por entidade integrante desta ICP nacional. 
Fique por dentro! 
Para consultar a MP 2.200-2, clique aqui. 
Estrutura da ICP-Brasil 
A estrutura da ICP-Brasil é formada por um Comitê Gestor, uma Autoridade 
Certificadora Raiz, Autoridades Certificadoras, Autoridades de Registro, 
Agentes de Registro e Titulares de Certificado. 
Infraestrutura ICP - Brasil 
Comitê Gestor 
x 
O Comitê Gestor é a entidade máxima da arquitetura da ICP-Brasil, está 
vinculado à Casa Civil da Presidência da República e exerce a função de 
autoridade gestora de políticas da ICP-Brasil. 
Ao Comitê, compete: 
 Adotar as medidas necessárias e coordenar a implantação e o 
funcionamento da ICP-Brasil; 
http://www.planalto.gov.br/ccivil_03/mpv/Antigas_2001/2200-2.htm
https://conecta.serpro.gov.br/mod/page/view.php?id=34977#infraestrutura_icp_brasil0
 Estabelecer a política de certificação e as regras operacionais da 
Autoridade Certificadora Raiz (AC Raiz); e 
 Estabelecer os critérios e as normas técnicas para o 
credenciamento das ACs, das ARs e dos demais prestadores de 
serviço de suporte da ICP-Brasil. 
AC Raiz 
x 
A Autoridade Certificadora Raiz da ICP-Brasil é o Instituto Nacional da 
Tecnologia da Informação (ITI), autarquia da administração pública federal, 
ligada à Casa Civil da Presidência da República. 
É responsável pela administração direta da ICP-Brasil, coordenando a AC Raiz, 
auditando e fiscalizando as Autoridades Certificadoras (ACs) credenciadas, 
criando e modificando a legislação, promovendo fóruns sobre certificação 
digital, bem como lidando diretamente com todos os outros assuntos 
relacionados à ICP-Brasil e demais práticas de certificação digital. 
Saiba mais 
Em 30 de novembro de 2001 foi gerado o primeiro par de chaves criptográficas 
e o respectivo certificado digital da AC Raiz na presença de representantes da 
Casa Civil e do Gabinete de Segurança Institucional da Presidência da 
República da Sociedade Civil. A cerimônia de geração do par de chaves 
ocorreu nas instalações do Centro de Certificação Digital do SERPRO, no Rio 
de Janeiro. 
 
Autoridades Certificadoras 
x 
 
A AC – Autoridade Certificadora funciona como base material e técnica da 
confiança da ICP-Brasil, já que a AC gerencia os certificados em todo o seu 
ciclo de vida. 
Considerando que um certificado digital é capaz de relacionar a identidade de 
um usuário ou de um sistema a uma determinada chave pública correlacionada 
a uma assinatura digital, a AC é responsável pela emissão do certificado digital 
e pela publicação dos certificados revogados na lista de Certificados revogados 
(LCR). 
As Autoridades Certificadoras têm suas responsabilidades, regras e obrigações 
publicadas num documento intitulado de Declaração de Práticas de 
Certificação (DPC). Na DPC também são definidas as responsabilidades, 
regras e obrigações dos usuários dos certificados. É na observância dos 
termos contidos na DPC que reside a garantia da prestação de serviços de 
qualidade por parte das AC's. Outro importante documento recebe o nome de 
"Políticas de Certificados" ou "Políticas de Certificação", nele está descrito o 
https://conecta.serpro.gov.br/mod/page/view.php?id=34977#infraestrutura_icp_brasil1
https://conecta.serpro.gov.br/mod/page/view.php?id=34977#infraestrutura_icp_brasil2
processo de emissão e gerenciamento dos certificados, servindo também para 
esclarecer o processo para o usuário final do certificado. 
Autoridades de Registro 
x 
A AR – Autoridade de Registro implementa a interface entre o usuário e a 
Autoridade Certificadora. 
Suas principais funções são: 
 Identificação dos usuários; 
 Validação da solicitação; e 
 Submissão da solicitação de certificado à AC. 
Agentes de Registro 
x 
O AGR – Agente de Registro é o funcionário da Autoridade de Registro 
responsável por: 
 Validação da documentação apresentada pelo solicitante do 
certificado digital; 
 Identificação do solicitante; e 
 Solicitação de emissão do certificado utilizando o sistema da 
Autoridade Certificadora. 
É a entidade mais importante da ICP-Brasil, uma vez que toda a ICP é baseada 
em confiança. O trabalho do AGR é importantíssimo pois é ele quem faz a 
identificação dos solicitantes de certificados e validação da documentação. 
Somente após estas verificações é que a AC irá emitir o certificado digital. 
Início de destaque importante. 
De nada adianta toda a tecnologia e segurança empregada pelas ACs se o 
AGR não fizer sua função com excelência 
Titulares de Certificado 
x 
São as pessoas físicas identificadas pelo Agente de Registro e cujo certificado 
digital foi emitido pela Autoridade Certificadora. 
O primeiro passo para aquisição de um certificado digital é o preenchimento de 
um formulário disponibilizado no web site da AC. 
Após o preenchimento, o solicitante deverá se apresentar pessoalmente na AR 
para confirmar a sua identidade, bem como para comprovar,utilizando-se dos 
documentos originais, as informações fornecidas à AC. 
Após todas as validações o AGR acessa o sistema da AC para emissão do 
certificado digital 
https://conecta.serpro.gov.br/mod/page/view.php?id=34977#infraestrutura_icp_brasil3
https://conecta.serpro.gov.br/mod/page/view.php?id=34977#infraestrutura_icp_brasil4
https://conecta.serpro.gov.br/mod/page/view.php?id=34977#infraestrutura_icp_brasil5
1.3 Tipos de certificados 
Como vimos anteriormente, o certificado digital é um conjunto de dados, tais 
como nome, endereço, número de identidade e CPF, à prova de falsificação e 
que atesta a associação de uma chave pública a um usuário final. 
 
Na ICP-Brasil, existem diversos tipos de certificados e que são classificados 
quanto à sua aplicabilidade e quanto aos requisitos de segurança de proteção 
da chave privativa. 
Os certificados digitais podem ser emitidos para identificar: 
 Pessoas Físicas 
 Pessoas jurídicas 
 Equipamentos 
 Aplicações e 
 Servidores Web 
Quanto à sua aplicabilidade os certificados ICP-Brasil são classificados como: 
 Certificados de Assinatura Digital - “A” 
x 
Os certificados do tipo A são os certificados digitais utilizados para a assinatura 
de documentos, transações etc, tendo como meta provar a autenticidade e a 
autoria por parte do emissor/autor. 
 Certificados de Sigilo - “S” 
x 
Os certificados do tipo "S" são utilizados somente para proporcionar sigilo ou 
criptografia de dados. 
Este certificado não assina digitalmente um documento, ou seja, não remete a 
autoria deste documento a algum titular 
 Certificados de Carimbo de Tempo - “T” 
x 
Os certificados do tipo "T" são utilizados pelas Autoridades de Carimbo de 
Tempo (ACT). Servem para garantir o momento (data e hora) de ocorrência de 
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#classificacao_de_certificados0
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#classificacao_de_certificados1
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#classificacao_de_certificados2
um determinado evento baseando-se na data/hora nacional provida pelo 
Observatório Nacional. 
 Certificados de Assinatura de Cupom Fiscal - "CF-e-SAT" 
x 
Certificados do tipo "CF-e-SAT" são utilizados exclusivamente em 
equipamentos para assinatura de Cupom Fiscal Eletrônico – CF-e por meio do 
Sistema de Autenticação e Transmissão de Cupom Fiscal Eletrônico – SAT. 
 
Quanto aos requisitos de segurança os certificados ICP-Brasil são classificados como: 
 
 Certificados 
A1 e S1 
x 
Os certificados do tipo A1 e S1 possuem chaves criptográficas com tamanho 
mínimo de 2048 bits(RSA) ou 256 bits(ECDSA), geradas por software devendo 
ser armazenadas em repositório protegido por senha e/ou identificação 
biométrica, cifrado por software. Sua validade máxima é de 1 ano. 
 Certificados 
A2 e S2 
x 
Os certificados do tipo A2 e S2 possuem chaves criptográficas com tamanho 
mínimo de 2048 bits(RSA) ou 256 bits(ECDSA), geradas por software devendo 
ser armazenadas em cartão inteligente ou token, ambos sem capacidade de 
geração de chaves, e protegidos por senha e/ou identificação biométrica. Sua 
validade máxima é de 2 anos. 
 Certificados 
A CF-e-SAT 
x 
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#classificacao_de_certificados3
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca0
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca0
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca1
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca1
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca6
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca6
Os certificados do tipo A CF-e-SAT possuem chaves criptográficas com 
tamanho mínimo de 2048 bits(RSA), geradas por hardware criptográfico. Sua 
validade máxima é de 5 anos. 
 Certificados 
A3 e S3 
x 
Os certificados do tipo A3 e S3 possuem chaves criptográficas com tamanho 
mínimo de 2048 bits(RSA) ou 256 bits(ECDSA), geradas por hardware 
devendo ser armazenadas em cartão inteligente ou token, ambos com 
capacidade de geração de chaves, e protegidos por senha e/ou identificação 
biométrica, ou hardware criptográfico homologado junto à ICP-Brasil. Sua 
validade máxima é de 5 anos. 
 
 Certificados 
T3 
x 
Os certificados do tipo T3 possuem chaves criptográficas com tamanho mínimo 
de 2048 bits(RSA) ou 256 bits(ECDSA), geradas por hardware criptográfico 
homologado junto à ICP-Brasil. Sua validade máxima é de 5 anos. 
 Certificados 
A4 e S4 
x 
Os certificados do tipo A4 e S4 possuem chaves criptográficas com tamanho 
mínimo de 4096 bits(RSA) ou 512 bits(ECDSA), geradas por hardware 
criptográfico homologado junto à ICP-Brasil. Sua validade máxima é de 6 
anos(chaves RSA) e 11 anos(chaves ECDSA). 
 Certificados 
T4 
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca2
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca2
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca3
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca3
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca4
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca4
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca5
https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca5
x 
Os certificados do tipo T4 possuem chaves criptográficas com tamanho mínimo 
de 4096 bits(RSA) ou 512 bits(ECDSA), geradas por hardware criptográfico 
homologado junto à ICP-Brasil. Sua validade máxima é de 6 anos(chaves RSA) 
e 11 anos(chaves ECDSA). 
Os tipos de certificados mais emitidos na ICP-Brasil são os tipos A1 e A3. 
Verdadeiro ou falso? 
A principal diferença entre os certificados do tipo 1 e 3 (A1, A3, etc) é 
a segurança no processo de geração, armazenamento e uso da chave 
privada. 
Verdadeiro 
Você acertou! 
No certificado tipo 1 o par de chaves pública/privada é gerado no computador. 
É permitido fazer a cópia da chave privada e esta não é necessariamente 
protegida por senha. 
 
No certificado tipo 3 o par de chaves pública/privada é gerado em hardware isto 
é, num cartão inteligente ou token, protegido por senha e não permite a 
exportação ou qualquer outro tipo de reprodução ou cópia da chave privada. 
Por isso é considerado mais seguro. 
Armazenamento do certificado digital 
Os certificados digitais podem ser armazenados no próprio computador ou em 
algum dispositivo de armazenamento específico, dependendo do tipo 
escolhido. 
Armazenamento em software 
Os certificados gerados por software normalmente ficam armazenados no 
próprio computador onde são gerados. Para este tipo de certificado deve haver 
uma preocupação maior em se manter, no mínimo, uma cópia de segurança, 
uma vez que estão sujeitos aos problemas que porventura ocorram com o 
computador, como por exemplo, a danificação ou formatação do disco rígido. 
Na maioria dos navegadores essa cópia de segurança é obtida através do 
processo de exportação, sendo a restauração feita pelo processo de 
importação. 
Armazenamento em hardware 
As mídias mais comuns para o armazenamento do certificado digital são 
o Token e o Smartcard (cartão inteligente). Enquadrados na categoria de 
dispositivos criptográficos, são capazes de gerar e armazenar as chaves 
criptográficas que compõem os certificados digitais. 
Armazenamento em Nuvem 
O certificado digital em nuvem foi possibilitado após a criação, em 2017, 
do Prestador de Serviço de Confiança – PSC no âmbito da ICP-Brasil. 
O PSC armazena as chaves privadas dos usuários finais de certificados digitais 
ICP-Brasil em hardwares criptográficos com acesso remoto, permitindo a 
utilização do certificado digital por meio de dispositivos móveiscom total 
segurança. 
1.4 Ciclo de vida do Certificado Digital 
SOLICITAÇÃO 
O ciclo de vida do certificado digital se inicia com sua solicitação, realizada por meio do 
sistema da AC. O solicitante preenche o formulário disponível no site da AR, com as 
informações que irão constar no certificado digital, e envia este pedido à AC. 
EMISSÃO 
O pedido de certificado digital é recebido pelo sistema da AC. O AGR, após as 
validações necessárias, dá o comando no sistema para que a AC realize a emissão 
do certificado digital. 
REVOGAÇÃO 
Após sua emissão o certificado digital poderá ser revogado pela AC ou pelo 
seu titular, entre outros motivos, se houver quaisquer irregularidades em seu 
processo de emissão ou houver alteração de qualquer informação do titular do 
certificado digital. 
A ação de revogação não poderá ser desfeita nem pelo usuário, nem pelo 
AGR, nem pela AC. 
Pergunta: 
O que acontece quando um certificado digital é revogado? 
Ele é incluído na LCR – Lista de Certificados Revogados 
Você acertou! 
Quando revogados, os certificados digitais são incluídos na LCR – Lista de 
Certificados Revogados. Esta lista contém todos os certificados revogados no 
sistema da AC, mas que ainda estão dentro do prazo de validade. Uma vez 
revogado ele não poderá mais ser utilizado em sistemas que o utilizam para 
identificação pois, antes de permitir o acesso, o sistema verifica a LCR da AC. 
Uma vez expirado, o certificado é removido da LCR evitando assim que a lista 
contenha registros desnecessários. 
RENOVAÇÃO 
Próximo de sua data de vencimento o certificado digital poderá ser renovado. 
Esse processo poderá ser conduzido segundo uma das seguintes 
possibilidades: 
a) Adoção dos mesmos requisitos e procedimentos exigidos para a solicitação 
do certificado; 
b) A solicitação por meio eletrônico, assinada digitalmente com o uso de 
certificado vigente que seja pelo menos do mesmo nível de segurança, limitada 
a 1 (uma) ocorrência sucessiva. Esta hipótese é permitida apenas para os 
certificados digitais de pessoa física. Nestas condições, a presença física do 
solicitante é dispensada, devendo ainda serem observados outros requisitos 
impostos pela AR, com por exemplo, pagamento pelo novo certificado digital. 
Início de destaque importante. 
Fique por dentro! 
Na verdade não existe a renovação do certificado digital já emitido. O que 
ocorre é a emissão de um novo certificado com as mesmas características do 
anterior. O pedido deste novo é assinado digitalmente pelo certificado vigente. 
É esta assinatura digital que nos permite dispensar a presença física do titular, 
pois este já compareceu anteriormente na AR. 
 
EXPIRAÇÃO 
A partir de sua emissão inicia-se o prazo de validade do certificado digital, que 
varia de acordo com seu tipo. 
Após seu vencimento o certificado digital recebe o status de expirado. Uma 
assinatura digital realizada em data posterior à expiração do certificado não 
será válida juridicamente (as assinaturas realizadas antes do vencimento 
continuam válidas). 
Um certificado digital expirado também não será aceito pelos sistemas que o 
utilizam para identificação. 
 
Qual a validade máxima de um certificado digital? 
11 anos 
Você acertou! 
A validade do certificado digital pode variar de 1 à 11 anos, dependendo do seu 
tipo e do algoritmo de geração do par de chaves criptográficas. 
Os certificados do tipo "A4", "S4" e "T4", cujo par de chaves criptográficas 
tenha sido gerado pelo algoritmo ECDSA, podem possuir validade de até 11 
anos! 
Atenção: Para usuários finais a AC Serpro emite certificados digitais com no 
máximo 5 anos de validade. 
Fonte: DOC-ICP-04 Tabela 6 
2.1 O Agente de Registro e sua função 
Quem é o Agente de Registro? 
AGR - Agente de Registro é o profissional que trabalha em uma Autoridade de 
Registro (AR) vinculada a uma Autoridade Certificadora (AC) da ICP-Brasil e é 
responsável pelas operações diretas de validação e verificação de solicitações 
de certificados digitais. 
Função do Agente de Registro: 
A função de AGR é de extrema importância, até maior do que muitos podem 
imaginar. O Agente de Registro é a pessoa de frente da instituição de 
certificação digital, é o primeiro funcionário com quem o futuro titular, seja ele 
pessoa física ou jurídica, tem contato com a ICP-Brasil. Ele é o responsável, 
além de suas tarefas óbvias, de passar segurança ao futuro titular sobre as 
operações realizadas, elucidá-lo sobre as aplicações da certificação digital 
atualmente existentes, bem como tirar quaisquer dúvidas que possam haver. 
Portanto, devemos primar não apenas pelo bom conhecimento da área de 
certificação digital e segurança da informação, mas também pela postura do 
Agente de Registro, ante a importância de sua tarefa e as pessoas com quem 
ele poderá lidar. 
O Agente deve estar preparado para todas as tarefas que envolvam a 
validação e verificação de solicitações de certificados e revogação dos mesmos 
certificados digitais, bem como a operação das aplicações que controlam este 
processo, arquivamento de documentos digitalizados, noções de direito 
empresarial, grafoscopia, reconhecimento de assinaturas e relações humanas. 
Da mesma forma, deve seguir à risca as instruções dos documentos referentes 
aos Agentes de Registro e Autoridades de Registro da ICP-Brasil, constantes 
no documento DOC-ICP-03.01 e no item 5.3 do DOC-ICP-05, “Controle de 
Pessoal”. 
Consulte no site do ITI os documentos DOC-ICP-03.01 e DOC-ICP-05. 
As atividades realizadas pelo Agente de Registro são cruciais na emissão de 
um certificado digital. É extremamente importante que ele esteja preparado 
para a função, que deve ser encarada com responsabilidade e seriedade. 
Somente o Agente de Registro pode assegurar que um certificado digital 
pertence efetivamente ao titular cujo nome consta daquele certificado. Dele 
depende toda a Infra-estrutura de Chaves Públicas Brasileiras, cujo principal 
produto é a CONFIANÇA. 
2.2 Formação do Agente de Registro 
O Agente de Registro, como dito anteriormente, é uma figura muito importante 
da ICP-Brasil. Por este motivo a formação deste profissional segue regras 
específicas e que, caso não cumpridas, impossibilitam a pessoa de exercer tal 
função. 
Primeiramente uma pessoa que pretende ser Agente de Registro deve ser 
funcionário ou servidor da própria organização credenciada como Autoridade 
de Registro. Não são admitidos estagiários nem funcionários terceirizados. 
A formação do AGR começa por meio de: 
http://www.iti.gov.br/legislacao/143-icp-brasil/legislacao/790-doc-icp
 
Qualquer pendência encontrada nesta etapa, caso não resolvida em tempo 
hábil, impossibilitará os demais procedimentos e, por fim, a pessoa não poderá 
ser um Agente de Registro da ICP-Brasil. 
Além desta verificação, o Agente de Registro deverá ser treinado e aprovado 
em curso específico. É por isto que você está fazendo este treinamento! 
2.2.1 Procedimentos para admissão 
do Agente de Registro 
 
"Todo Agente de Registro, na ocasião de sua admissão, deve receber 
treinamento documentado, com carga horária mínima de 16 horas..." 
 
Conforme consta no item 2.3.1 do DOC-ICP-03.01, todo Agente de 
Registro, na ocasião de sua admissão, deve receber treinamento 
documentado, com carga horária mínima de 16 horas, sobre os 
seguintes temas: 
1. princípios e mecanismos de segurança da AR; 
2. sistema de certificação em uso na AC; 
3. procedimentos de recuperação de desastres e de 
continuidade do negócio; 
4. reconhecimento de assinaturas e validade dos 
documentos apresentados; 
5. outros assuntos relativos a atividades sob sua 
responsabilidade. 
Saiba mais 
O treinamento que trata sobre assinaturas e validade dos documentos será 
realizado em outro momento. Este é o curso de Grafoscopia e 
Documentoscopia, também apresentado no formato EAD. 
Após a realização dos treinamentos necessários, um dossiê de Agente 
de Registro é criado. Este dossiê contém: 
 contrato de trabalho ou cópiadas páginas da carteira de 
trabalho onde consta o registro da contratação, termo de 
posse de servidor ou comprovante de situação funcional; 
 comprovante da verificação de antecedentes criminais; 
 comprovante da verificação de situação de crédito; 
 comprovante da verificação de histórico de empregos 
anteriores; 
 comprovação de escolaridade e de residência; 
 comprovante dos treinamentos realizados; 
 resultado da entrevista inicial, com a assinatura do 
entrevistador; 
 declaração em que afirma conhecer as suas atribuições e 
que assume o dever de cumprir a Política de Segurança - 
PS da AC, as políticas e regras aplicáveis da ICP-Brasil. 
Nessa declaração assume também o dever de manter a 
confidencialidade e exclusividade de propriedade das 
informações disponibilizadas pela AC à AR e de manter 
sigilo, mesmo quando desligado da AR, sobre todas as 
informações e os processos executados na AR; 
 resultado da avaliação periódica; 
 cópia do documento, gerado em meio digital ou em papel, 
que comprove que a AR executou ou solicitou à AC a 
habilitação do Agente de Registro no sistema de 
certificação; 
 confirmação da AC ou AR quanto à inclusão do Agente em 
seu sistema de certificação. 
Saiba mais 
Os documentos que compõem o dossiê do Agente de Registro são examinados 
por uma das seguintes pessoas, que declarará, sob as penas da lei, a 
existência de tais documentos e que eles comprovam efetivamente que o 
Agente de Registro atende a todos os requisitos da ICP-Brasil pertinentes: 
 Auditor interno da AR, cadastrado junto à ICP-Brasil; 
 Auditor externo independente, cadastrado junto à ICP-Brasil; 
 Auditor ou funcionário designado da Autoridade Certificadora à qual a AR 
se vincula; 
 Representante legal da própria AR. 
 A partir deste momento o AGR está apto a integrar a equipe da 
Autoridade Certificadora e operar os sistemas da Autoridade 
Certificadora para emissão e revogação de certificados digitais. 
 Mesmo um Agente de Registro que não opere o sistema deve 
possuir o treinamento e dossiê completo. Somente após sua 
formação e com documentação completa é que a pessoa se 
tornará um Agente de Registro, podendo realizar a identificação 
presencial do solicitante de certificado, coleta e conferência da 
documentação e demais atividades pertinentes à função. 
2.3 Desligamento do Agente de Registro 
Quando o Agente de Registro é suspenso ou desligado de suas 
atividades, a AR imediatamente providencia a revogação de suas 
permissões de acesso ao sistema de certificação da AC e permissões 
de acesso físico e lógico aos equipamentos e mecanismos inerentes à 
atividade de Agente de Registro. Esses processos são documentados 
e os documentos são arquivados no dossiê do AGR. 
O dossiê do Agente de Registro deve ser atualizado com os seguintes 
documentos: 
 cópia do documento, gerado em meio digital ou em papel, 
que comprove que a AR executou ou solicitou à AC a 
desabilitação do Agente de Registro no sistema de 
certificação; 
 confirmação da AC ou AR quanto à desabilitação do Agente 
de Registro no sistema de certificação; 
 declaração assinada pelo Agente de Registro de que não 
possui pendências; 
 resultado da entrevista de desligamento, com a assinatura 
do entrevistador. 
Após o desligamento de um Agente de Registro, a pessoa não poderá 
exercer qualquer função relacionada a emissão de certificados digitais. 
Lembre-se: 
No ato de formação, o Agente de Registro leu e assinou uma 
declaração onde assume o dever de manter a confidencialidade e 
exclusividade de propriedade das informações disponibilizadas pela 
AC à AR e de manter sigilo, mesmo quando desligado, sobre todas as 
informações e os processos executados no período em que exerceu a 
função. 
Saiba mais 
Uma vez formado e habilitado no sistema de certificação da AC, o dossiê do 
Agente de Registro deverá ser mantido na AR, mesmo tendo sido desligado. 
2.4 AR e Dossiê da AR 
A Autoridade de Registro (AR) é a entidade responsável pela interface 
entre o usuário e a Autoridade Certificadora (AC) e está sempre 
vinculada a ela. Tem como objetivo principal o recebimento, 
encaminhamento de solicitações de emissão ou revogação de 
certificados digitais para as ACs e identificação, de forma presencial e 
videoconferência, de seus solicitantes. 
A AR deve possuir um dossiê, contendo os seguintes itens: 
 Relação com nome e CPF dos Agentes de Registro que 
estejam atuando, ou já tenham atuado, na AR; 
 Topologia de Rede de Comunicação entre a AR e a AC; 
 Manual Operacional do Agente de Registro; 
 Inventário de Ativos; 
 Plano de Continuidade de Negócios; 
 Análise de Risco. 
Para gerar este Dossiê a AR deve observar o que preconiza o DOC-
ICP-03.01 que aborda os seguintes itens: 
segurança de Pessoal 
x 
Os normativos que tratam da segurança de pessoas estão descritos 
no DOC-ICP-02 [2] e no DOC-ICP-05 [1]. 
Nesta função não são admitidos estagiários nem funcionários 
terceirizados no exercício das atividades de Agente de Registro. Os 
Agentes de Registro devem ser funcionários ou servidores da própria 
organização credenciada como AR junto à ICP-Brasil (Infraestrutura 
de Chaves Públicas - Brasil). 
https://conecta.serpro.gov.br/mod/page/view.php?id=34987#dossie_ar0
Cada Agente de Registro que esteja atuando ou que já tenha atuado 
na AR deve possuir um dossiê, contendo: 
1. Contrato de trabalho ou cópia das páginas da carteira 
de trabalho onde consta o registro da contratação, 
termo de posse de servidor ou comprovante de 
situação funcional; 
2. Comprovante da verificação de antecedentes 
criminais; 
3. Comprovante da verificação de situação de crédito; 
4. Comprovante da verificação de histórico de empregos 
anteriores; 
5. Comprovação de escolaridade e de residência; 
6. Comprovante dos treinamentos realizados; 
7. Resultado da entrevista inicial, com a assinatura do 
entrevistador; 
8. Declaração em que afirma conhecer as suas 
atribuições e em que assume o dever de cumprir a 
Política de Segurança - PS, as políticas e regras 
aplicáveis da ICP-Brasil. Nessa declaração assume 
também o dever de manter a confidencialidade e 
exclusividade de propriedade das informações 
disponibilizadas pela AC à AR e de manter sigilo, 
mesmo quando desligado da AR, sobre todas as 
informações e os processos executados na AR; 
9. Resultado da avaliação periódica, prevista no DOC-
ICP-02 [2]; 
10. Confirmação da AC quanto à inclusão do Agente 
em seu sistema de certificação. 
Todo Agente de Registro, na ocasião de sua admissão, deve receber 
treinamento documentado, com carga horária mínima de 16 
(dezesseis) horas, sobre os seguintes temas: 
 Princípios e mecanismos de segurança da AR; 
 Sistema de certificação em uso na AC; 
 Procedimentos de recuperação de desastres e de 
continuidade do negócio; 
 Reconhecimento de assinaturas e validade dos 
documentos apresentados; 
 Outros assuntos relativos a atividades sob sua 
responsabilidade. “ 
Além disso, os certificados de conclusão dos treinamentos devem 
obrigatoriamente compor o dossiê de cada AGR. 
Para saber mais sobre “Acompanhamento Periódico” e “Suspensão e 
Desligamento” consulte o DOC-ICP-03.01 
Segurança Física 
x 
As atividades da AR relativas à identificação da solicitação de 
certificados devem ser executadas observando o disposto nos itens 
que tratam de Identificação e Autenticação no DOC-ICP-05 [1]. 
A manutenção preventiva/corretiva das estações de trabalho da AR 
deve ser realizada apenas por agentes autorizados (pelo fabricante, 
por assistência técnica autorizada ou por pessoa designada pela AC), 
dentro do período de manutenção recomendado. Os eventos de 
manutenção devem ser documentados. 
Segurança Lógica 
x 
- Conforme o DOC-ICP-03.01, Item 4: 
 As estações de trabalho da AR, incluindo 
equipamentos portáteis, devem estar protegidas contra 
ameaças e ações não-autorizadas, bem como contra o 
acesso, uso ou exposição indevidos. 
 A(s) partição(ões) dos discos rígidos dasestações de 
trabalho da AR que contém componentes da aplicação 
da AC/AR ou que armazenem dados de solicitantes de 
certificados digitais devem ser criptografadas; ou 
políticas de segurança devem ser aplicadas as 
estações de trabalho da AR de forma a não permitir a 
gravação de arquivos locais nestes equipamentos. 
 As estações de trabalho da AR devem implementar 
aplicação que faça controle de integridade das 
configurações da aplicação de AR, bem como dos 
arquivos de configuração ou informações críticas 
mantidas na estação de trabalho. 
 As estações de trabalho da AR deverão conter apenas 
aplicações e serviços que sejam suficientes e 
necessários para as atividades corporativas. 
 O Agente de Registro não deve possuir perfil de 
administrador ou senha de root dos equipamentos ou 
com privilégios especiais do sistema, ficando essa 
https://conecta.serpro.gov.br/mod/page/view.php?id=34987#dossie_ar1
https://conecta.serpro.gov.br/mod/page/view.php?id=34987#dossie_ar2
tarefa delegada a outros da própria organização, para 
permitir segregação de funções. O Agente de Registro 
somente deve receber acesso aos serviços e 
aplicações que tenham sido especificamente 
autorizados a usar. 
Existem outras especificações sobre segurança das estações de 
trabalho que o Responsável Técnico pela AR deve manter. Mais 
detalhes são encontrados no DOC-ICP-03.01 item 4. 
Segurança da Informação 
x 
Conforme o DOC-ICP-03.01 a AC deve possuir um dossiê, contendo o 
seguinte: 
a) Relação com nome e CPF dos Agentes de Registro que estejam 
atuando, ou já tenham atuado, na AR; 
b) Topologia de Rede de Comunicação entre a AR e a AC; 
c) Manual Operacional do Agente de Registro; 
d) Inventário de Ativos; 
e) Plano de Continuidade de Negócios; 
f) Análise de Risco. 
Para tanto as AR‟s devem fornecer à AC os itens “a”, “b”, “d”, “e” e “f”. 
O Inventário de Ativos deve estar sempre atualizado, mantendo 
histórico das alterações e 
deve ser assinado pelo responsável pela AR. 
O Inventário de Ativos deve relacionar, pelo menos: 
 Equipamentos da AR, com respectivas especificações, 
atualizado mensalmente; 
 Softwares instalados nos equipamentos, atualizado 
mensalmente; 
Somente poderão constar do Inventário de Ativos os equipamentos de 
propriedade ou de posse da AR. 
https://conecta.serpro.gov.br/mod/page/view.php?id=34987#dossie_ar3
A comprovação da posse ou propriedade dos equipamentos a que se refere o 
item anterior deverá ser feita sempre que assim requisitado pela AC Raiz, 
mediante a apresentação pela AR da respectiva nota fiscal, comodato, leasing, 
doação, contrato de locação de equipamentos ou documentação comprobatória 
equivalente. 
Segurança de Rede 
x 
A AR deve encaminhar as solicitações de emissão ou de revogação de 
certificados à AC utilizando VPN (Virtual Private Network - rede privativa 
virtual), SSL (Secure Socket Layer - protocolo de comunicação seguro) ou 
outra tecnologia de igual ou superior nível de segurança e privacidade.” 
2.5 Procedimentos para a emissão de Certificados ICP - Brasil 
As atividades realizadas pelo Agente de Registro são cruciais na emissão de 
um certificado digital. É extremamente importante que ele esteja preparado 
para a função, que deve ser encarada com responsabilidade e seriedade. 
Manual 
O Agente de Registro deve estar atento quando, na emissão do certificado, o 
processo de entrega de documentos e prestações de informações é 
compartilhado por outra pessoa que esteja acompanhando o proponente. 
Deve, também, evitar atendimentos simultâneos, que geralmente se 
caracterizam quando está atendendo uma pessoa e outra se apresenta 
solicitando informações, geralmente com urgência. 
Há casos em que os fraudadores recuam ao perceber que o Agente de 
Registro está sendo diligente nos exames e nas consultas, ou seja, que está 
cumprindo os requisitos pré-determinados pela AC e pela ICP-Brasil. 
Os Agentes de Registro devem conhecer os exames básicos de segurança que 
podem ser feitos nos documentos apresentados (RG, CNH, CTPS, CPF, 
comprovante de endereço etc), bem como quais pesquisas devem ser feitas e 
quais ferramentas podem ser utilizadas para confirmá-los, detectando a fraude 
se ela existir. 
A emissão de um certificado digital ICP-Brasil significa atribuir direitos e 
deveres ao cidadão solicitante que podem afetar diretamente operações 
financeiras, mercadológicas, de acesso a sistemas, entre outras; portanto, 
trata-se de uma operação de extrema responsabilidade por parte do Agente de 
Registro. 
https://conecta.serpro.gov.br/mod/page/view.php?id=34987#dossie_ar4
Os próximos itens descreverão os passos para a solicitação, validação, 
verificação e emissão de certificados ICP-Brasil, que devem ser seguidos para 
que se obtenha a segurança necessária ao processo. 
2.5.1 Solicitação do Certificado Digital 
O processo inicial da emissão de um certificado digital é realizado por meio 
do website da Autoridade de Registro a qual o usuário está interessado em 
obter seu certificado. 
O usuário acessa o website, por meio de instruções devidamente explícitas, 
escolhe o tipo de certificado que deseja obter e preenche um formulário de 
solicitação que é posteriormente enviado para AC, de forma segura. 
Esta requisição de certificado é armazenada em um servidor localizado na AC, 
que o Agente de Registro tem acesso. Após este registro de requisição, o 
interessado deve dirigir-se a uma Autoridade de Registro portando os 
documentos exigidos para a devida validação. 
Esta atividade pode ser feita pelo solicitante, através das orientações 
constantes da Ajuda Interativa na Página de Solicitação da AR 
Porém, se o cliente quiser ou vier sem esta solicitação, faz parte das atividades 
do AGR auxiliá-lo a preencher os dados para adquirir o certificado. No entanto, 
o AGR nunca deverá preencher a senha, esta tarefa será feita pelo solicitante e 
alertado para os riscos caso esqueça. Esta orientação é para segurança do 
próprio AGR. 
2.5.2 Cadastro Biométrico do Titular do Certificado 
O Sistema Biométrico da ICP-Brasil tem por objetivo aumentar a segurança na 
identificação dos titulares e responsáveis por certificados digitais, reduzindo o 
risco de fraudes, e permitir a simplificação do processo de emissão de 
certificados digitais com verificação biométrica do requerente. 
Conforme Doc-ICP-05.03 V2.0 item 2, a coleta de dados biométricos deve ser 
feita de forma assistida (acompanhada) por um agente de registro (AGR). 
Devem ser coletados, no mínimo, as biometrias da face e das impressões 
digitais. 
A coleta é de responsabilidade da AC/PSS* e de sua rede de Autoridades de 
Registro. A AC/PSS pode utilizar tecnologia e sistemas próprios ou contratar de 
fornecedores no mercado à sua escolha, garantindo que os padrões 
estabelecidos neste documento sejam obedecidos. 
http://repositorio.serpro.gov.br/ajuda/usuarios/html/index.html
https://conecta.serpro.gov.br/mod/page/view.php?id=34991#nota1
2.5.3 Validação do Certificado Digital 
Validar um certificado digital é associar uma chave criptográfica a um 
titular (Pessoa Física, Pessoa Jurídica, Equipamento ou Aplicação) 
através de um processo realizado por um terceiro de confiança, neste 
caso, o Agente de Registro. 
Pergunta: 
O processo de certificação digital baseia-se em um par de chaves: 
chave pública e chave privada. Qual destas duas chaves é associada 
ao titular do certificado? 
Chave Pública 
Você acertou! 
A Chave Pública é a chave criptográfica associada ao titular do certificado. O 
Certificado Digital nada mais é que um certificado que diz que determinada 
chave pública pertence a determinado titular. A chave privada, por ser privada, 
é de conhecimento somente do seu titular. Nem mesmo a AC possui acesso a 
ela. 
O processo de validação do certificado digital divide-se em três 
etapas: 
 Confirmação da identidade do titular e responsáveis pelo 
certificado e validação da documentação; 
 Coleta ou confirmação da biometria do titular do certificadono sistema da AC. O AGR deverá, obrigatoriamente, 
realizar curso específico sobre esta matéria. 
 Validação e verificação dos dados da solicitação de 
certificado, no sistema da AC, com os constantes dos 
documentos apresentados. 
Confirmação da Identidade do Titular e Responsável pelo Certificado 
A comprovação da identidade de um indivíduo (pessoa física) ou de 
uma organização (pessoa jurídica) deverá ser realizada mediante a 
presença física do interessado, com base em documentos de 
identificação legalmente aceitos, ou seja, nenhum certificado ICP-
Brasil pode ser emitido sem identificação presencial do titular do 
certificado digital. 
Esta exigência é para que ocorra o Cadastro Biométrico do 
Requerente, conforme abordado no item 2.7.2 deste treinamento. 
Caso o interessado já possua cadastro biométrico, a AC SERPRO 
disponibiliza a possibilidade de o certificado ser emitido de forma 
remota, sem a presença física do requerente, que terá sua identidade 
confirmada por biometria coleta durante o processo de validação do 
certificado. Mais detalhes serão explicados no módulo 3 deste 
treinamento. 
Saiba mais 
Na ICP-Brasil não são aceitas procurações para representação da Pessoa 
Física. 
 Validação da 
documentação 
x 
A documentação que deve ser entregue pelo solicitante do certificado 
digital variará de acordo com o tipo de certificado desejado. O 
documento DOC-ICP-05 versão 6.0 define, nos itens 3.2.2, 3.2.3 e 
3.2.7, os documentos que devem ser apresentados pelos solicitantes 
e conferidos pelo Agente de Registro: 
Manual 1 
Autenticação da identificação 
da organização 
3.2.2 Autenticação da identificação da organização 
3.2.2.1 Disposições gerais 
3.2.2.1.1 Neste item devem ser definidos os procedimentos empregados pelas 
ARs vinculadas para a confirmação da identidade de uma pessoa jurídica. 
3.2.2.1.2 Será designado como responsável pelo certificado o representante 
legal da pessoa jurídica requerente do certificado, ou o procurador constituído 
na forma do item 3.2, alínea „a‟, inciso (ii) acima, o qual será o detentor da 
chave privada. 
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao0
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao0
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2a
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2a
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2a
3.2.2.1.3 Deverá ser feita a confirmação da identidade da organização e da 
pessoa física responsável pelo certificado, nos seguintes termos: 
1. apresentação do rol de documentos elencados no item 3.2.2.2; 
2. apresentação do rol de documentos do responsável pelo certificado, elencados no 
item 3.2.3.1; 
3. coleta e verificação biométrica da pessoa física responsável pelo certificado, 
conforme regulamentos expedidos, por meio de instruções normativas, pela AC 
Raiz, que definam os procedimentos para identificação do requerente e 
comunicação de irregularidades no processo de emissão de um certificado digital 
ICP-Brasil, bem como os procedimentos para identificação biométrica na ICP-
Brasil; e 
4. assinatura digital do termo de titularidade de que trata o item 4.1 pelo responsável 
pelo certificado. 
Nota 1: A AR poderá solicitar uma assinatura manuscrita ao responsável pelo 
certificado em termo específico para a comparação com o documento de 
identidade ou contrato social. Nesse caso, o termo manuscrito digitalizado e 
assinado digitalmente pelo AGR será apensado ao dossiê eletrônico do 
certificado, podendo o original em papel ser descartado. 
3.2.2.1.4 Fica dispensado o disposto no item 3.2.2.1.3, alíneas “b” e “c”, caso o 
responsável pelo certificado possua certificado digital de pessoa física ICP-
Brasil válido, do tipo A3 ou superior, com os dados biométricos devidamente 
coletados, e a verificação dos documentos elencados no item 3.2.2.2 possa ser 
realizada eletronicamente por meio de barramento ou aplicação oficial. 
3.2.2.1.5 O disposto no item 3.2.2.1.3 poderá ser realizado: 
1. mediante comparecimento presencial do responsável pelo certificado; ou 
2. por videoconferência, conforme procedimentos e requisitos técnicos definidos em 
Instrução Normativa da AC Raiz, os quais deverão assegurar nível de segurança 
equivalente à forma presencial, garantindo a validação das mesmas informações 
de identificação e biométricas, mediante o emprego de tecnologias eletrônicas 
seguras de comunicação, interação, documentação e tratamento biométrico. 
3.2.2.2 Documentos para efeitos de identificação de uma organização 
A confirmação da identidade de uma pessoa jurídica deverá ser feita mediante 
a apresentação de, no mínimo, os seguintes documentos: 
1. Relativos a sua habilitação jurídica: 
i. se pessoa jurídica criada ou autorizada a sua criação por lei, cópia do CNPJ; 
ii. se entidade privada: 
 1. certidão simplificada emitida pela Junta Comercial ou ato constitutivo, 
devidamente registrado no órgão competente, que permita a comprovação de 
quem são seus atuais representantes legais; e 
 2. documentos da eleição de seus representantes legais, quando aplicável; 
2. Relativos a sua habilitação fiscal: 
i. prova de inscrição no Cadastro Nacional de Pessoas Jurídicas – CNPJ; ou 
ii. prova de inscrição no Cadastro Específico do INSS – CEI. 
Nota 1: As confirmações de que trata o item 3.2.2.2 poderão ser feitas de 
forma eletrônica, desde que em barramentos ou aplicações oficiais de órgão 
competente. É obrigatório que essas validações constem no dossiê eletrônico 
do titular do certificado. 
3.2.2.3 Informações contidas no certificado emitido para uma organização 
3.2.2.3.1 É obrigatório o preenchimento dos seguintes campos do certificado de 
uma pessoa jurídica, com as informações constantes nos documentos 
apresentados: 
1. Nome empresarial constante do Cadastro Nacional de Pessoa Jurídica (CNPJ), 
sem abreviações; 
2. Cadastro Nacional de Pessoa Jurídica (CNPJ); 
3. Nome completo do responsável pelo certificado, sem abreviações; e 
4. Data de nascimento do responsável pelo certificado. 
3.2.2.3.2 Cada PC pode definir como obrigatório o preenchimento de outros 
campos, ou o responsável pelo certificado, a seu critério e mediante declaração 
expressa no termo de titularidade, poderá solicitar o preenchimento de campos 
do certificado com suas informações pessoais, conforme item 3.2.3.2. 
3.2.2.4 Responsabilidade decorrente do uso do certificado de uma organização 
Os atos praticados com o certificado digital de titularidade de uma organização 
estão sujeitos ao regime de responsabilidade definido em lei quanto aos 
poderes de representação conferidos ao responsável de uso indicado no 
certificado. 
Manual 2 
Autenticação da identificação 
de um indivíduo 
3.2.3 Autenticação da identidade de um indivíduo 
Neste item devem ser definidos os procedimentos empregados pelas AR 
vinculadas a uma AC para a identificação e cadastramento iniciais de um 
indivíduo na ICP-Brasil. Essa confirmação deverá ser realizada mediante a 
presença física do interessado ou por meio de videoconferência, conforme 
procedimentos e requisitos técnicos definidos em Instrução Normativa da AC 
Raiz, os quais deverão assegurar nível de segurança equivalente à forma 
presencial, garantindo a validação das mesmas informações de identificação e 
biométricas, mediante o emprego de tecnologias eletrônicas seguras de 
comunicação, interação, documentação e tratamento biométrico. 
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2b
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2b
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2b
3.2.3.1 Documentos para efeitos de identificação de um indivíduo 
Deverá ser apresentada a seguinte documentação, em sua versão original 
oficial, podendo ser física ou digital, por meio de barramento ou aplicação 
oficial, e coletada as seguintesbiometrias para fins de identificação de um 
indivíduo solicitante de certificado: 
1. Registro de Identidade ou Passaporte, se brasileiro; ou 
2. Título de Eleitor, com foto; ou 
3. Carteira Nacional de Estrangeiro – CNE, se estrangeiro domiciliado no Brasil; ou 
4. Passaporte, se estrangeiro não domiciliado no Brasil; 
5. Fotografia da face do requerente de um certificado digital ICP-Brasil, conforme 
disposto em regulamento editado por instrução normativa da AC Raiz que defina 
os procedimentos para identificação biométrica na ICP-Brasil; e 
6. Impressões digitais do requerente de um certificado digital ICP-Brasil, conforme 
disposto em regulamento editado por instrução normativa da AC Raiz que defina 
os procedimentos para identificação biométrica na ICP-Brasil. 
Nota 1: Entende-se como registro de identidade os documentos oficiais, físicos 
ou digitais, conforme admitido pela legislação específica, emitidos pelas 
Secretarias de Segurança Pública bem como os que, por força de lei, 
equivalem a documento de identidade em todo o território nacional, desde que 
contenham fotografia. 
3.2.3.1.1 Na hipótese de identificação positiva por meio do processo biométrico 
da ICP-Brasil fica dispensada a apresentação de qualquer dos documentos 
elencados no item 3.2.3.1 e a etapa de verificação. As evidências desse 
processo farão parte do dossiê eletrônico do requerente. 
3.2.3.1.2 Os documentos digitais deverão ser verificados por meio de 
barramentos ou aplicações oficiais dos entes federativos. Tal verificação fará 
parte do dossiê eletrônico do titular do certificado. Na hipótese da identificação 
positiva, fica dispensada a etapa de verificação conforme o item 3.2.3.1.3. 
3.2.3.1.3 Os documentos em papel, os quais não existam formas de verificação 
por meio de barramentos ou aplicações oficiais dos entes federativos, deverão 
ser verificados: 
1. por agente de registro distinto do que realizou a etapa de identificação; 
2. pela AR ou AR própria da AC ou ainda AR própria do PSS da AC; e 
3. antes do início da validade do certificado, devendo esse ser revogado 
automaticamente caso a verificação não tenha ocorrido até o início de sua 
validade. 
3.2.3.1.4 A emissão de certificados em nome dos absolutamente incapazes e 
dos relativamente incapazes observará o disposto na lei vigente e as normas 
editadas pelo Comitê Gestor da ICP-Brasil. 
3.2.3.1.5 Para a identificação de indivíduo na emissão de certificado digital para 
servidor público da ativa e militar da União, deverá ser observado o disposto 
item 3.2.9.3. 
Recomendamos a leitura do restante do item 3.2.3 do DOC-ICP-05, versão 6.0. 
 
Manual 3 
Autenticação da identidade 
de equipamento ou aplicação 
3.2.7 Autenticação da identidade de equipamento ou aplicação 
3.2.7.1 Disposições gerais 
3.2.7.1.1 Em se tratando de certificado emitido para equipamento ou aplicação, 
o titular será a pessoa física ou jurídica solicitante do certificado, que deverá 
indicar o responsável pela chave privada. 
3.2.7.1.2 Se o titular for pessoa física, deverá ser feita a confirmação de sua 
identidade na forma do item 3.2.3 e esta assinará o termo de titularidade de 
que trata o item 4.1. 
3.2.7.1.3 Se o titular for pessoa jurídica, deverá ser feita a confirmação da 
identidade da organização e da pessoa física responsável pelo certificado, na 
forma do item 3.2.2. 
3.2.7.1.4. Fica dispensada a observância do disposto no item 3.2.3.1 para 
certificados cujo titular seja pessoa física, caso a solicitação seja assinada com 
certificado digital ICP-Brasil válido, do tipo A3 ou superior, de mesma 
titularidade e cujos dados biométricos já tenham sido devidamente coletados. 
3.2.7.1.5 Fica dispensada a observância do item 3.2.2.1.3, alíneas “b” e “c”, 
para certificados cujo titular seja pessoa jurídica nos seguintes casos: 
1. quando a solicitação for assinada com certificado digital ICP-Brasil válido, do tipo 
A3 ou superior, de mesma titularidade e responsável, e cujos dados biométricos 
deste último tenham sido devidamente coletados; ou 
2. quando a solicitação for assinada com o certificado digital ICP-Brasil válido, do tipo 
A3 ou superior, cuja titularidade é da mesma pessoa física responsável legal da 
organização e a verificação dos documentos elencados no item 3.2.2.2 possa ser 
realizada eletronicamente por meio de barramento ou aplicação oficial. 
3.2.7.2 Procedimentos para efeitos de identificação de um equipamento ou 
aplicação 
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2c
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2c
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2c
3.2.7.2.1 Para certificados de equipamento ou aplicação que utilizem URL na 
identificação do titular, deve ser verificado se o solicitante do certificado detém 
o registro do nome de domínio junto ao órgão competente, ou se possui 
autorização do titular do domínio para usar aquele endereço. Nesse caso deve 
ser apresentada documentação comprobatória (termo de autorização de uso de 
domínio ou similar) devidamente assinado pelo titular do domínio. 
3.2.7.2.2 Para emissão de certificados do tipo T3 ou T4, para equipamentos de 
ACT credenciadas na ICP-Brasil, a solicitação deve conter o nome de servidor 
e o número de série do equipamento. Esses dados devem ser validados 
comparando-os com aqueles publicados pelo ITI no Diário Oficial da União, 
quando do deferimento do credenciamento da ACT. 
 Validação dos dados 
da solicitação 
x 
Início de destaque importante. 
Nesta etapa, o Agente de Registro deve conferir se os dados 
constantes na solicitação de certificado no sistema da AC refletem as 
informações presentes nos documentos apresentados pelos 
titulares/responsáveis. 
Caso as informações sejam divergentes dos documentos 
apresentados, o Agente de Registro deve corrigir, sempre que 
possível, os dados constantes na solicitação de certificado. Caso os 
dados não possam ser corrigidos, o Agente de Registro deve pedir ao 
solicitante do certificado que altere os dados no órgão competente, por 
exemplo, na Receita Federal do Brasil - RFB, e que depois faça uma 
nova solicitação de certificado. 
Todas as informações constantes na solicitação de certificado devem 
poder ser comprovadas por meio da documentação recolhida pelo 
Agente de Registro. 
Fim de destaque importante. 
Existe também a possibilidade da solicitação de certificado ser 
rejeitada. A rejeição pode ocorrer nas seguintes situações: 
 Suspeita da fraude na documentação apresentada pelo 
solicitante; 
 Irregularidades junto à RFB, invalidando o CPF do indivíduo; 
 Irregularidades que invalidem o CNPJ da pessoa jurídica. 
 
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao1
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao1
 2ª Verificação dos 
dados da solicitação 
x 
Se a comparação Biométrica for inferior à 85% é necessário uma 2ª Validação 
e uma justificativa. 
Conforme DOC-ICP-05 versão 6.0 – Item 3.2.3.1.3, os documentos em papel, 
os quais não existam formas de verificação por meio de barramentos ou 
aplicações oficiais dos entes federativos, deverão ser verificados: 
a) por agente de registro distinto do que realizou a etapa de identificação; 
b) pela AR ou AR própria da AC ou ainda AR própria do PSS da AC; e 
c) antes do início da validade do certificado, devendo esse ser revogado 
automaticamente caso a verificação não tenha ocorrido até o início de sua 
validade. 
Saiba Mais! 
[DOC-ICP-05 V6.0 – Item 3.2.3.1] 
3.2.3.1.1 Na hipótese de identificação positiva por meio do processo biométrico 
da ICP-Brasil fica dispensada a apresentação de qualquer dos documentos 
elencados no item 3.2.3.1 e a etapa de verificação. As evidências desse 
processo farão parte do dossiê eletrônico do requerente. 
3.2.3.1.2 Os documentos digitais deverão ser verificados por meio de 
barramentos ou aplicações oficiais dos entes federativos. Tal verificaçãofará 
parte do dossiê eletrônico do titular do certificado. 
Na hipótese da identificação positiva, fica dispensada a etapa de verificação 
conforme o item 3.2.3.1.3. 
 Assinatura do Termo 
de Titularidade de 
Certificado Digital 
x 
 
O Termo de Titularidade é o instrumento contratual que deve ser 
assinado pelo solicitante do certificado. Este documento descreve as 
regras e responsabilidades assumidas pela Autoridade Certificadora, 
solicitante do certificado e partes confiantes. Este termo é assinado 
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao2
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao2
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao3
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao3
https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao3
Digitalmente pelo AGR na ocasião da validação. O Titular do 
certificado assinará o Termo no momento da instalação do certificado, 
com o próprio certificado aprovado. 
NOTA: [DOC-ICP-05 V6.0 – Item 4.1, Nota 2] 
Na impossibilidade técnica de assinatura digital do termo de titularidade (como 
certificados SSL, de equipamento, aplicação, codesign, carimbo de tempo e 
outros que façam uso de CSR) será aceita a assinatura manuscrita do termo ou 
assinatura digital do termo com o certificado ICP-Brasil do titular do certificado 
ou responsável pelo certificado, no caso de certificado de pessoa jurídica. No 
caso de assinatura manuscrita do termo será necessária a verificação da 
assinatura contra o documento de identificação. 
Os titulares e responsáveis pelos certificados deverão lançar suas assinaturas 
conforme consta no documento de identidade apresentado. Se algum titular ou 
responsável estiver impossibilitado fisicamente de assinar, o Agente de 
Registro mencionará no Termo o fato, tomando-lhe a impressão digital, sempre 
que possível, do polegar direito. Baseando-se nos conhecimentos adquiridos 
no curso de grafoscopia, o Agente deve verificar a autenticidade da assinatura. 
2.5.4 Armazenamentos dos Dados da Solicitação 
Cópia e Armazenamento dos documentos apresentados 
As imagens dos documentos apresentados e as validações feitas devem ser 
anexadas ao dossiê do certificado aprovado. No sistema adotado pela AC 
SERPRO, o AGR deverá assinar, digitalmente, tais documentos. Mais detalhes 
serão vistos no módulo 3 deste curso. 
O item 6.2 do documento DOC-ICP-03.01 trata dos procedimentos para 
Armazenamento, manuseio, guarda e destruição de documentos: 
6.2.1 Os documentos que compõem os dossiês dos titulares de certificados e 
dos agentes de registro AR devem ser enviados à AC vinculada, inclusive os 
antigos, e guardados, preferencialmente, em ambiente computacional 
protegido, com acesso permitido somente aos agentes de registro vinculados 
ou responsáveis designados formalmente para trabalhar com os documentos. 
6.2.2 A AC pode substituir a guarda física dos documentos que compõem o 
dossiê do Agente de Registro e o dossiê do Titular do Certificado por 
digitalização dos mesmos, observado que: 
 a) documentos cuja cópia deva constar no dossiê (ex.: documentos de 
identificação apresentados pelo titular, carteira de trabalho do Agente de 
Registro etc.) devem ser digitalizados e assinados digitalmente com o 
certificado ICP-Brasil; 
 b) documentos cujo original deva constar do dossiê (ex.: termos de 
titularidade, declarações do Agente de Registro etc.) podem ser digitalizados 
para inclusão no dossiê respectivo, devendo permanecer arquivados no ponto 
de centralização da AC pelo prazo estipulado nas resoluções da ICP-Brasil; 
 c) todos os arquivos que compõem um dossiê devem ser organizados de 
forma a permitir sua recuperação conjunta, para fins de fiscalização e auditoria; 
 d) o diretório ou sistema onde são armazenados esses arquivos deve ter 
proteção contra leitura e gravação, dando permissão de acesso somente aos 
Agentes de Registro vinculados ou responsáveis designados formalmente para 
trabalhar com os documentos; 
 e) devem ser especificados procedimentos de cópia e recuperação em 
caso de sinistro. 
INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRAS. Características mínimas 
de segurança para as AR da ICP-Brasil. Brasília: ICP-Brasil, 2015. 
O sistema SCDS da AC Serpro atende todos os requisitos da ICP-
BRASIL para armazenamento de dossiês digitalizados. 
2.5.5 POP - Procedimentos Operacionais Padrão 
Para simplificar o processo e colocá-lo de uma forma mais prática, a AC Serpro 
criou os POPs – Procedimentos Operacionais Padrão que os Agentes de 
Registro devem seguir para correta validação, verificação e emissão do 
certificado digital. Neles são apresentadas as etapas e os documentos que 
devem ser verificados para realizar os procedimentos até a aprovação do 
pedido de certificado no sistema da AC. 
Procedimento Operacional Padrão para emissão de certificados digitais 
 Pessoa Física, 
tipo E-CPF 
x 
Os procedimentos devem ser seguidos na ordem em que são apresentados. 
Não é aceita procuração para representação da Pessoa Física. 
Procedimento Operacional Padrão – POP 
(https://conecta.serpro.gov.br/pluginfile.php/73713/mod_page/content/7/POP%20-
%20Procedimento%20Operacional%20Padrao%20PF%20%28v2.5%20-
%20Setembro_2020%29.pdf ) 
 Pessoa Jurídica de Direito Privado 
https://conecta.serpro.gov.br/mod/page/view.php?id=34994#procedimento_operacional_padrao0
https://conecta.serpro.gov.br/mod/page/view.php?id=34994#procedimento_operacional_padrao0
https://conecta.serpro.gov.br/pluginfile.php/73713/mod_page/content/7/POP%20-%20Procedimento%20Operacional%20Padrao%20PF%20%28v2.5%20-%20Setembro_2020%29.pdf
https://conecta.serpro.gov.br/pluginfile.php/73713/mod_page/content/7/POP%20-%20Procedimento%20Operacional%20Padrao%20PF%20%28v2.5%20-%20Setembro_2020%29.pdf
https://conecta.serpro.gov.br/pluginfile.php/73713/mod_page/content/7/POP%20-%20Procedimento%20Operacional%20Padrao%20PF%20%28v2.5%20-%20Setembro_2020%29.pdf
https://conecta.serpro.gov.br/mod/page/view.php?id=34994#pessoa_juridica_direito_publico1
As pessoas jurídicas de direito público gozam de uma posição jurídica 
diferenciada em razão da supremacia (superioridade) dos interesses. 
As pessoas jurídicas de direito público estão expostas do Nosso Código Civil 
em seu artigo 41, conforme abaixo transcrito: 
Início de legislação. 
Art. 41. São pessoas jurídicas de direito público interno": 
I - a União; 
II - os Estados, o Distrito Federal e os Territórios; 
III - os Municípios; 
IV - as autarquias, inclusive as associações públicas (Alterado pela L-011.107-
2005) ; 
V - as demais entidades de caráter público criadas por lei. 
Art. 42. São pessoas jurídicas de direito público externo os Estados 
estrangeiros e todas as pessoas que forem regidas pelo direito internacional 
público. 
Fim de legislação. 
Início de destaque importante. 
As pessoas jurídicas de direito público nascem através de Lei, ou seja, suas 
normas são regidas por Lei, portanto, não possuem Estatuto ou Contrato 
Social. Elas têm regime exclusivo e devem ser analisadas individualmente, 
caso a caso, no que tange à sua administração. 
Fim de destaque importante. 
A emissão do certificado digital é um ato que gera onerosidade indeterminada, 
ou seja, com o certificado a pessoa pode praticar um ato em nome da empresa 
tanto de um real quanto de um milhão. Logo, devemos ficar muito atentos nos 
contratos que contêm cláusulas com especificação de valores para a 
representação. 
Ao analisar a representação da sociedade no contrato/Estatuto devemos 
sempre estar atentos à ata de eleição daquele que julgamos competente para 
representar a sociedade, bem como verificar se quem assinou a ata é/são a(s) 
pessoa(s) competente(s) para eleger a pessoa como representante legal. Isso 
serve também no caso de outorga de poderes através de procurações. 
Passando para a análise dos contratos, em relação a cláusula de 
administração e representação para a assinatura