Baixe o app para aproveitar ainda mais
Prévia do material em texto
FORMAÇÃO DE AGENTES DE REGISTRO Prezado(a) aluno(a)! Buscando otimizar o processo e melhorar os resultados alcançados, esta ação educacional se torna imprescindível na Formação do Agente de Registro. Este curso foi desenvolvido com a finalidade de atingir os objetivos específicos e desenvolver as competências técnicas necessárias para o Agente de Registro. No mundo real, a segurança é um conceito relativamente simples. Se as fechaduras nas portas e nas janelas da casa são tão fortes que o ladrão não pode invadir e roubar seus pertences, a casa está segura. Para maior proteção contra os invasores que quebram as fechaduras, você talvez tenha que instalar alarmes de segurança. De maneira semelhante, se alguém tentar, fraudulentamente, retirar dinheiro de sua conta bancária e o caixa pedir identificação e não confiar na história do ladrão, seu dinheiro está seguro. Da mesma forma, quando você assina um contrato com uma outra pessoa, as assinaturas são as imposições legais que orientam e impelem ambas as partes a honrar suas palavras. No mundo digital, a segurança funciona de maneira semelhante. Um dos principais conceitos é a privacidade, que significa que ninguém pode invadir seus arquivos e ler os dados sigilosos (como prontuários médicos) ou roubar seu dinheiro (como, por exemplo, obtendo os números do cartão de crédito ou informações on-line sobre sua conta no banco). A privacidade é a fechadura da porta. Um outro conceito, a integridade de dados, refere-se ao mecanismo que informa quando algo foi alterado. Esse é o alarme. Aplicando a prática de autenticação, podemos verificar as identidades. Isso é comparável ao RG requerido para retirar dinheiro de uma conta bancária. E, por fim, o não- repúdio, também chamado de irretratabilidade, que através da assinatura de um documento, as pessoas se obrigam através desse ato. 1.1.1 Objetivos Gerais da Segurança da Informação Os objetivos gerais da segurança da informação são: Confidencialidade: garantia de que o acesso à informação é restrito aos seus usuários legítimos. Integridade: garantia da criação legítima e da consistência da informação ao longo do seu ciclo de vida, em especial: prevenção contra criação, alteração ou destruição não autorizada de dados e informações. Disponibilidade: garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos, de forma oportuna. Além destes, a segurança da informação deve visar também o Não-repúdio e a Identificação. Veja o detalhamento de cada um dos objetivos a seguir: Confidencialidade x O meio digital (incluindo a Internet, redes locais, arquivos armazenados em disquetes e CDs) não foi concebido para proteger o sigilo das informações e a privacidade dos usuários. Embora estejamos acostumados à facilidade de manter nossas informações no papel, longe de olhares curiosos (simplesmente colocando-o em um envelope fechado), sofremos uma "regressão" dos mecanismos de controle quando passamos a utilizar o mundo digital. Atualmente utilizamos os e-mails como forma de comunicação rápida, mas nossas mensagens - se não forem protegidas - podem ser lidas enquanto estiverem em trânsito ou enquanto estiverem armazenadas nos servidores de e-mails. Fazendo uma analogia ao sistema de correios, podemos compará- los a cartões postais cujo conteúdo está exposto e qualquer pessoa pode lê-lo. No ambiente digital existem vários mecanismos desenvolvidos para garantir nossa privacidade, mas quem realmente faz uso deles? É interessante notar que a maioria desses recursos já está instalada nas ferramentas que usamos no dia-a-dia, como o Windows e o Office. No entanto, as informações continuam trafegando - sem a menor proteção do conteúdo - pelas vias digitais. Integridade x É fácil perceber uma tentativa de fraude no papel. Seja através de um rabisco, uma rasura ou do corretor ortográfico líquido, é muito simples observar que a informação foi fisicamente adulterada. Nossa mente vem sendo treinada ao longo dos anos para jamais escrever documentos importantes a lápis ou sempre rubricar todas as folhas de um contrato. Sem mecanismos que garantam a integridade da informação, não poderiam existir instrumentos para a formalização de contratos e, provavelmente, toda a nossa civilização ruiria. Transpor a integridade da informação para o meio digital é uma necessidade básica para a evolução da Internet como canal de https://conecta.serpro.gov.br/mod/page/view.php?id=34974#objetivos_seguranca_info0 https://conecta.serpro.gov.br/mod/page/view.php?id=34974#objetivos_seguranca_info1 negócios, seja para o comércio eletrônico de varejo ou para o relacionamento entre empresas. Disponibilidade x Não basta ter acesso a uma informação fora de seu tempo de uso. O esforço para disponibilizar informação deve levar em consideração a oportunidade de seu uso. Uma série de ações ou de boas práticas é necessária para manter a disponibilidade. Não-repúdio x Provavelmente o menos compreendido entre todos esses assuntos. Muitos são adversários dessa expressão para descrever o conceito. É claro que tecnologia nenhuma pode impedir alguém de repudiar algo, bastando a esse alguém levantar o dedo e dizer: "Eu não fiz!". Ainda assim, o papel da tecnologia é o de funcionar como obstáculo (quase intransponível) no caminho do sucesso de tal tentativa. Ao tentar descrever este conceito em uma expressão, utiliza-se o termo "não-repúdio". Estabelecido o contexto, vamos falar sobre sua manifestação no meio digital. Historicamente, a tentativa de impedir o repúdio de transações já foi expressa de muitas maneiras. Desde os selos imperiais às assinaturas de próprio punho, muitos meios já foram utilizados e deixados de lado como mecanismos para impedir o posterior repúdio de algum acordo fixado entre as partes. Desde os grandes tratados internacionais até pequenos compromissos diários, a capacidade de assumir responsabilidade sem qualquer relação pode ser a diferença entre o sucesso fabuloso ou as brigas eternas e desgastantes geradas por mal entendidos. A necessidade de obrigar alguém a uma responsabilidade não muda por conta da transferência do meio físico para o meio digital. Podemos perder muitas oportunidades se essa necessidade não for satisfeita. Quem aceitaria estabelecer algum tipo de compromisso sem ter certeza de que as responsabilidades poderão ser cobradas, de cada uma das partes, posteriormente? Identificação x A fragilidade da identificação na Internet fica clara quando tentamos fazer qualquer tarefa mais "avançada" através dela. Para abrir uma conta bancária, precisamos ir à agência e apresentar uma série de documentos. E para realizar uma compra financiada? Outro pesadelo. Para extrair da Internet todo o seu https://conecta.serpro.gov.br/mod/page/view.php?id=34974#objetivos_seguranca_info2 https://conecta.serpro.gov.br/mod/page/view.php?id=34974#objetivos_seguranca_info3 https://conecta.serpro.gov.br/mod/page/view.php?id=34974#objetivos_seguranca_info4 potencial, precisamos ser capazes de identificar as pessoas e organizações com quem tratamos. Hoje em dia, transitamos com desenvoltura pelo mundo munidos de todo tipo de documentos. Com uma carteira de motorista passamos pela blitz policial no trânsito (já que ela nos autoriza a dirigir) e com o título de eleitor decidimos quem governará o país, estado ou cidade onde vivemos. Isso já faz parte da nossa cultura. O mesmo modelo pode ser transposto para a Internet, permitindo que nossos relacionamentos não sejam abalados ou limitados pela falta de identificação. Saiba Mais! O certificado digital é a única ferramenta que atesta a identidade do usuário em ambiente digital com plena validade jurídica e garante a segurança na troca das informações. Tudo isso a partir de padrões de criptografia internacionalmente reconhecidos por sua segurança tecnológica. Assista o vídeo: Você conhece a Certificação DigitalICP-Brasil? 1.1.2 Criptografia O que é Criptografia? Criptografia é a arte ou ciência de escrever em cifra ou em código, de forma a permitir que somente o destinatário a decifre e compreenda. Nasceu da necessidade de manter a privacidade de informações. Desde a antiguidade já se tinha conhecimento da criptografia, que era utilizada na substituição ou troca de símbolos com o objetivo de confundir um possível interceptador das mensagens. Para a computação esse princípio é mantido, porém a escrita é substituída pelo processamento digital das informações e, com a capacidade de processamento de dados desta tecnologia, a criptografia tomou corpo e desenvolveu-se. Modelos de Criptografia Os tipos de criptografia com base em algoritmos são basicamente divididos em dois: Criptografia de chaves simétricas e Criptografia de chaves assimétricas. Chaves criptográficas x https://youtu.be/vi1uS7TMJh4 https://conecta.serpro.gov.br/mod/page/view.php?id=34975#criptografia0 Chaves são valores que contêm informações a serem utilizadas nos algoritmos criptográficos para produzir o texto criptografado. O tamanho das chaves, em geral, reflete o poder do algoritmo e é medido em bits (1024 bits, 2048 bits etc). Normalmente, as chaves criptográficas são números bem grandes: 40 dígitos para algoritmos simétricos e 300 para os assimétricos (de chave pública). A dificuldade para atacar as chaves criptográficas reside na necessidade de testar um grande número delas até encontrar a correta. Portanto, quanto maior o tamanho da chave, mais seguro será o sistema, pois haverá uma maior quantidade de chaves diferentes que precisam ser testadas. Comparativamente, o número de chaves possíveis em um espaço de 256 bits é igual ao número de átomos do universo. Criptografia Simétrica x Esse tipo de criptografia é mais simples e é também conhecido como algoritmo de chave secreta. Utiliza somente uma chave, tanto para criptografar quanto para decifrar os dados. O maior problema deste tipo de criptografia está na distribuição de forma segura desta chave. Torna-se necessário um canal seguro para o compartilhamento da chave, entre o emissor, que será utilizada na comunicação. Após a transmissão da chave por meio desse canal seguro, é necessário haver um gerenciamento adequado da chave a fim de garantir segurança no seu armazenamento, pois a perda do sigilo da chave, em qualquer etapa do processo, implica perda da confidencialidade da informação. Neste esquema criptográfico, o número de chaves necessárias para comunicação entre múltiplas entidades cresce com ordem quadrática, em geral, n pessoas deveriam fazer 1/2(n ²-n) trocas de chaves. Por exemplo: para que cinco pessoas compartilhem suas chaves seriam necessárias 10 trocas de chaves, haja vista que cada par de usuários define uma, e somente uma chave secreta, e que não pode ser usada para se comunicar com um terceiro usuário. Criptografia Assimétrica - Chaves públicas e privadas Saiba Mais! Veja o vídeo do ITI sobre Criptografia: #CertLive https://conecta.serpro.gov.br/mod/page/view.php?id=34975#criptografia1 https://conecta.serpro.gov.br/mod/page/view.php?id=34975#criptografia2 https://www.facebook.com/itigovbr/videos/2529572107367895/?t=36 1.1.3 Assinaturas e Certificados Digitais As assinaturas digitais também permitem a verificação da integridade do conteúdo que foi assinado; os certificados digitais fornecem um método uniforme, escalonável, sistemático e facilmente controlável para a distribuição de chaves públicas. Veja o detalhamento de cada um deles a seguir: Assinaturas Digitais x A criptografia de chave assimétrica ou de chave pública ajuda a resolver o problema de distribuição de chaves. Também resolve duas outras questões relacionadas à criptografia: autenticação e não-repúdio. A autenticação permite que alguém no mundo eletrônico confirme dados e identidades e o não-repúdio impede que pessoas retifiquem sua palavra eletrônica. Uma maneira de implementar esses recursos é utilizar uma assinatura digital. Início de destaque importante. Atenção: Assinatura digital não é assinatura digitalizada (através do uso de scanner ou leitores óticos). Fim de destaque importante. O fundamento da assinatura digital está baseado no par de chaves pública e privada. Dessa forma, deve existir uma chave privada (que somente a entidade que assinou conhece) e uma pública que servirá de base para verificação desta assinatura. A grande vantagem da assinatura digital é que ela é virtualmente impossível de ser forjada, em virtude das técnicas de criptografia assimétrica empregadas. As assinaturas digitais também permitem a verificação da integridade do conteúdo que foi assinado porque a assinatura digital é uma função da chave do usuário sobre o texto a ser assinado. Dessa maneira, podemos ter certeza que a assinatura foi gerada pelo detentor da chave criptográfica e aplicada àquele documento. Qualquer tentativa de verificação que viole tais condições deixará claro, no momento da verificação da assinatura, que esta não é legítima. https://conecta.serpro.gov.br/mod/page/view.php?id=34976#cert_assin_digitais0 Certificados Digitais x Como vimos até agora, a criptografia de chave pública não oferece apenas um mecanismo poderoso de criptografia, mas também uma maneira de identificar e de autenticar pessoas e até dispositivos. Entretanto, antes de poder utilizar essa tecnologia eficazmente, temos que lidar com uma desvantagem. Como com a criptografia de chave simétrica, o gerenciamento e distribuição de uma chave é uma questão relacionada à criptografia de chave pública. Em vez de confidencialidade, a principal questão na criptografia assimétrica é a integridade e a posse da chave pública. Para que os usuários finais e as partes verificadoras (aquelas que verificam a autenticidade do certificado de um usuário final) utilizem essa tecnologia, eles devem fornecer suas chaves públicas uns aos outros. O problema é que, como com qualquer outro dado, uma chave pública é suscetível à manipulação durante o trânsito. Se uma terceira parte desconhecida puder substituir uma chave qualquer por uma chave pública válida, o invasor poderia forjar as assinaturas digitais e permitir que as mensagens encriptadas fossem expostas a partes mal intencionadas. Essa é a razão pela qual é crucial garantir aos usuários que a chave seja autêntica e que tenha vindo da parte intencionada. Por esta razão uma solução foi desenvolvida: os certificados de chave pública, ou, certificados digitais que fornecem um método uniforme, escalonável, sistemático e facilmente controlável para a distribuição de chaves públicas. O certificado digital é um documento eletrônico que identifica pessoas físicas e jurídicas, cuja validade é garantida por uma terceira parte de confiança. Um certificado digital é um conjunto de dados, tais como nome, endereço, número de identidade e CPF, à prova de falsificação e que atesta a associação de uma chave pública a um usuário final. Para fornecer essa associação, um conjunto de terceiros confiáveis confirma a identidade do usuário, assinando digitalmente este certificado. Os terceiros são chamados de Autoridades Certificadoras (AC), que emitem certificados para o usuário com o nome do usuário, a chave pública e outras informações que o identifiquem. Após serem assinados digitalmente pela Autoridade Certificadora, esses certificados podem ser transferidos e armazenados. Em resumo, um certificado digital é representado por um pequeno arquivo, que contém os dados de seu titular, emitido por uma Autoridade Certificadora. Atualmente, existem certificados digitais para identificar: Pessoas Físicas Pessoas Jurídicas Equipamentos https://conecta.serpro.gov.br/mod/page/view.php?id=34976#cert_assin_digitais1 Aplicações e Servidores Web Com este documento digital é possível realizar uma série de procedimentos virtualmente, sem a necessidadede se deslocar presencialmente à sede de órgãos governamentais e de empresas ou imprimir documentos. Como posso usar meu certificado digital? Assinatura de documentos e contratos digitais: Os documentos assinados digitalmente com certificado digital ICP-Brasil têm a mesma validade que os documentos assinados em papel. Além de proporcionar economia de insumos, já que não há necessidade de realizar impressões, os documentos assinados digitalmente agilizam processos, pois podem ser enviados por email e assinados de qualquer lugar facilmente; Autenticação em sistemas: Existem vários sistemas com informações confidenciais, especialmente de governo, que só podem ser acessados presencialmente, através da confirmação de identidade. Como o certificado digital garante autenticidade, ele proporciona o acesso à esses sistemas e informações através da internet, não havendo necessidade de comparecimento presencial; Atualização de informações em sistemas: Além de garantir acesso seguro à sistemas, o certificado também permite a alteração rápida de informações, evitando longos processos burocráticos; Categorias profissionais: Diversas categorias profissionais (médicos, advogados, contadores, militares, entre outros) já utilizam o certificado digital em suas rotinas. Com o certificado, as classes profissionais têm a possibilidade de trabalhar com sistemas virtuais unificados e seguros, proporcionando integração e desburocratização de processos relativos ao setor. Saiba Mais! Para conhecer as principais aplicações que fazem uso do certificado digital ICP-Brasil, acesse a página do ITI que apresenta uma série de Cases: https://www.gov.br/iti/pt-br/assuntos/certificado-digital/servicos 1.2 Estrutura da ICP - Brasil https://www.gov.br/iti/pt-br/assuntos/certificado-digital/servicos Para que a utilização de uma rede aberta, como é o caso da Internet, aconteça de forma transparente para os usuários, é preciso que haja a oferta de uma infraestrutura que suporte todos os serviços nela oferecidos. No caso específico da utilização da certificação digital, essa infraestrutura é disponibilizada e mantida através de uma Infraestrutura de Chaves Públicas (ICP). Na ICP os serviços são oferecidos aos usuários finais pelas ACs (Autoridades Certificadoras) e pelas ARs (Autoridades de Registro). Dependendo do modelo implementado, outras entidades podem estar presentes na ICP, como por exemplo, a Autoridade de Carimbo de Tempo (ACT), que é responsável em oferecer garantia temporal às transações que utilizam assinatura digital; algo como uma entidade de protocolo. A Medida Provisória 2.200-2 entrou em vigor em 24 de agosto de 2001, instituindo a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil, uma ICP de natureza pública, encabeçada e regulamentada pelo Governo Brasileiro. A ICP-Brasil, criada pela MP (que tem força de lei) reconhece legalmente a autenticidade dos documentos eletrônicos assinados por chave criptográfica privada, cuja titularidade da chave pública correspondente tenha sido certificada por entidade integrante desta ICP nacional. Fique por dentro! Para consultar a MP 2.200-2, clique aqui. Estrutura da ICP-Brasil A estrutura da ICP-Brasil é formada por um Comitê Gestor, uma Autoridade Certificadora Raiz, Autoridades Certificadoras, Autoridades de Registro, Agentes de Registro e Titulares de Certificado. Infraestrutura ICP - Brasil Comitê Gestor x O Comitê Gestor é a entidade máxima da arquitetura da ICP-Brasil, está vinculado à Casa Civil da Presidência da República e exerce a função de autoridade gestora de políticas da ICP-Brasil. Ao Comitê, compete: Adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil; http://www.planalto.gov.br/ccivil_03/mpv/Antigas_2001/2200-2.htm https://conecta.serpro.gov.br/mod/page/view.php?id=34977#infraestrutura_icp_brasil0 Estabelecer a política de certificação e as regras operacionais da Autoridade Certificadora Raiz (AC Raiz); e Estabelecer os critérios e as normas técnicas para o credenciamento das ACs, das ARs e dos demais prestadores de serviço de suporte da ICP-Brasil. AC Raiz x A Autoridade Certificadora Raiz da ICP-Brasil é o Instituto Nacional da Tecnologia da Informação (ITI), autarquia da administração pública federal, ligada à Casa Civil da Presidência da República. É responsável pela administração direta da ICP-Brasil, coordenando a AC Raiz, auditando e fiscalizando as Autoridades Certificadoras (ACs) credenciadas, criando e modificando a legislação, promovendo fóruns sobre certificação digital, bem como lidando diretamente com todos os outros assuntos relacionados à ICP-Brasil e demais práticas de certificação digital. Saiba mais Em 30 de novembro de 2001 foi gerado o primeiro par de chaves criptográficas e o respectivo certificado digital da AC Raiz na presença de representantes da Casa Civil e do Gabinete de Segurança Institucional da Presidência da República da Sociedade Civil. A cerimônia de geração do par de chaves ocorreu nas instalações do Centro de Certificação Digital do SERPRO, no Rio de Janeiro. Autoridades Certificadoras x A AC – Autoridade Certificadora funciona como base material e técnica da confiança da ICP-Brasil, já que a AC gerencia os certificados em todo o seu ciclo de vida. Considerando que um certificado digital é capaz de relacionar a identidade de um usuário ou de um sistema a uma determinada chave pública correlacionada a uma assinatura digital, a AC é responsável pela emissão do certificado digital e pela publicação dos certificados revogados na lista de Certificados revogados (LCR). As Autoridades Certificadoras têm suas responsabilidades, regras e obrigações publicadas num documento intitulado de Declaração de Práticas de Certificação (DPC). Na DPC também são definidas as responsabilidades, regras e obrigações dos usuários dos certificados. É na observância dos termos contidos na DPC que reside a garantia da prestação de serviços de qualidade por parte das AC's. Outro importante documento recebe o nome de "Políticas de Certificados" ou "Políticas de Certificação", nele está descrito o https://conecta.serpro.gov.br/mod/page/view.php?id=34977#infraestrutura_icp_brasil1 https://conecta.serpro.gov.br/mod/page/view.php?id=34977#infraestrutura_icp_brasil2 processo de emissão e gerenciamento dos certificados, servindo também para esclarecer o processo para o usuário final do certificado. Autoridades de Registro x A AR – Autoridade de Registro implementa a interface entre o usuário e a Autoridade Certificadora. Suas principais funções são: Identificação dos usuários; Validação da solicitação; e Submissão da solicitação de certificado à AC. Agentes de Registro x O AGR – Agente de Registro é o funcionário da Autoridade de Registro responsável por: Validação da documentação apresentada pelo solicitante do certificado digital; Identificação do solicitante; e Solicitação de emissão do certificado utilizando o sistema da Autoridade Certificadora. É a entidade mais importante da ICP-Brasil, uma vez que toda a ICP é baseada em confiança. O trabalho do AGR é importantíssimo pois é ele quem faz a identificação dos solicitantes de certificados e validação da documentação. Somente após estas verificações é que a AC irá emitir o certificado digital. Início de destaque importante. De nada adianta toda a tecnologia e segurança empregada pelas ACs se o AGR não fizer sua função com excelência Titulares de Certificado x São as pessoas físicas identificadas pelo Agente de Registro e cujo certificado digital foi emitido pela Autoridade Certificadora. O primeiro passo para aquisição de um certificado digital é o preenchimento de um formulário disponibilizado no web site da AC. Após o preenchimento, o solicitante deverá se apresentar pessoalmente na AR para confirmar a sua identidade, bem como para comprovar,utilizando-se dos documentos originais, as informações fornecidas à AC. Após todas as validações o AGR acessa o sistema da AC para emissão do certificado digital https://conecta.serpro.gov.br/mod/page/view.php?id=34977#infraestrutura_icp_brasil3 https://conecta.serpro.gov.br/mod/page/view.php?id=34977#infraestrutura_icp_brasil4 https://conecta.serpro.gov.br/mod/page/view.php?id=34977#infraestrutura_icp_brasil5 1.3 Tipos de certificados Como vimos anteriormente, o certificado digital é um conjunto de dados, tais como nome, endereço, número de identidade e CPF, à prova de falsificação e que atesta a associação de uma chave pública a um usuário final. Na ICP-Brasil, existem diversos tipos de certificados e que são classificados quanto à sua aplicabilidade e quanto aos requisitos de segurança de proteção da chave privativa. Os certificados digitais podem ser emitidos para identificar: Pessoas Físicas Pessoas jurídicas Equipamentos Aplicações e Servidores Web Quanto à sua aplicabilidade os certificados ICP-Brasil são classificados como: Certificados de Assinatura Digital - “A” x Os certificados do tipo A são os certificados digitais utilizados para a assinatura de documentos, transações etc, tendo como meta provar a autenticidade e a autoria por parte do emissor/autor. Certificados de Sigilo - “S” x Os certificados do tipo "S" são utilizados somente para proporcionar sigilo ou criptografia de dados. Este certificado não assina digitalmente um documento, ou seja, não remete a autoria deste documento a algum titular Certificados de Carimbo de Tempo - “T” x Os certificados do tipo "T" são utilizados pelas Autoridades de Carimbo de Tempo (ACT). Servem para garantir o momento (data e hora) de ocorrência de https://conecta.serpro.gov.br/mod/page/view.php?id=34978#classificacao_de_certificados0 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#classificacao_de_certificados1 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#classificacao_de_certificados2 um determinado evento baseando-se na data/hora nacional provida pelo Observatório Nacional. Certificados de Assinatura de Cupom Fiscal - "CF-e-SAT" x Certificados do tipo "CF-e-SAT" são utilizados exclusivamente em equipamentos para assinatura de Cupom Fiscal Eletrônico – CF-e por meio do Sistema de Autenticação e Transmissão de Cupom Fiscal Eletrônico – SAT. Quanto aos requisitos de segurança os certificados ICP-Brasil são classificados como: Certificados A1 e S1 x Os certificados do tipo A1 e S1 possuem chaves criptográficas com tamanho mínimo de 2048 bits(RSA) ou 256 bits(ECDSA), geradas por software devendo ser armazenadas em repositório protegido por senha e/ou identificação biométrica, cifrado por software. Sua validade máxima é de 1 ano. Certificados A2 e S2 x Os certificados do tipo A2 e S2 possuem chaves criptográficas com tamanho mínimo de 2048 bits(RSA) ou 256 bits(ECDSA), geradas por software devendo ser armazenadas em cartão inteligente ou token, ambos sem capacidade de geração de chaves, e protegidos por senha e/ou identificação biométrica. Sua validade máxima é de 2 anos. Certificados A CF-e-SAT x https://conecta.serpro.gov.br/mod/page/view.php?id=34978#classificacao_de_certificados3 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca0 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca0 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca1 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca1 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca6 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca6 Os certificados do tipo A CF-e-SAT possuem chaves criptográficas com tamanho mínimo de 2048 bits(RSA), geradas por hardware criptográfico. Sua validade máxima é de 5 anos. Certificados A3 e S3 x Os certificados do tipo A3 e S3 possuem chaves criptográficas com tamanho mínimo de 2048 bits(RSA) ou 256 bits(ECDSA), geradas por hardware devendo ser armazenadas em cartão inteligente ou token, ambos com capacidade de geração de chaves, e protegidos por senha e/ou identificação biométrica, ou hardware criptográfico homologado junto à ICP-Brasil. Sua validade máxima é de 5 anos. Certificados T3 x Os certificados do tipo T3 possuem chaves criptográficas com tamanho mínimo de 2048 bits(RSA) ou 256 bits(ECDSA), geradas por hardware criptográfico homologado junto à ICP-Brasil. Sua validade máxima é de 5 anos. Certificados A4 e S4 x Os certificados do tipo A4 e S4 possuem chaves criptográficas com tamanho mínimo de 4096 bits(RSA) ou 512 bits(ECDSA), geradas por hardware criptográfico homologado junto à ICP-Brasil. Sua validade máxima é de 6 anos(chaves RSA) e 11 anos(chaves ECDSA). Certificados T4 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca2 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca2 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca3 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca3 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca4 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca4 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca5 https://conecta.serpro.gov.br/mod/page/view.php?id=34978#requisitos_seguranca5 x Os certificados do tipo T4 possuem chaves criptográficas com tamanho mínimo de 4096 bits(RSA) ou 512 bits(ECDSA), geradas por hardware criptográfico homologado junto à ICP-Brasil. Sua validade máxima é de 6 anos(chaves RSA) e 11 anos(chaves ECDSA). Os tipos de certificados mais emitidos na ICP-Brasil são os tipos A1 e A3. Verdadeiro ou falso? A principal diferença entre os certificados do tipo 1 e 3 (A1, A3, etc) é a segurança no processo de geração, armazenamento e uso da chave privada. Verdadeiro Você acertou! No certificado tipo 1 o par de chaves pública/privada é gerado no computador. É permitido fazer a cópia da chave privada e esta não é necessariamente protegida por senha. No certificado tipo 3 o par de chaves pública/privada é gerado em hardware isto é, num cartão inteligente ou token, protegido por senha e não permite a exportação ou qualquer outro tipo de reprodução ou cópia da chave privada. Por isso é considerado mais seguro. Armazenamento do certificado digital Os certificados digitais podem ser armazenados no próprio computador ou em algum dispositivo de armazenamento específico, dependendo do tipo escolhido. Armazenamento em software Os certificados gerados por software normalmente ficam armazenados no próprio computador onde são gerados. Para este tipo de certificado deve haver uma preocupação maior em se manter, no mínimo, uma cópia de segurança, uma vez que estão sujeitos aos problemas que porventura ocorram com o computador, como por exemplo, a danificação ou formatação do disco rígido. Na maioria dos navegadores essa cópia de segurança é obtida através do processo de exportação, sendo a restauração feita pelo processo de importação. Armazenamento em hardware As mídias mais comuns para o armazenamento do certificado digital são o Token e o Smartcard (cartão inteligente). Enquadrados na categoria de dispositivos criptográficos, são capazes de gerar e armazenar as chaves criptográficas que compõem os certificados digitais. Armazenamento em Nuvem O certificado digital em nuvem foi possibilitado após a criação, em 2017, do Prestador de Serviço de Confiança – PSC no âmbito da ICP-Brasil. O PSC armazena as chaves privadas dos usuários finais de certificados digitais ICP-Brasil em hardwares criptográficos com acesso remoto, permitindo a utilização do certificado digital por meio de dispositivos móveiscom total segurança. 1.4 Ciclo de vida do Certificado Digital SOLICITAÇÃO O ciclo de vida do certificado digital se inicia com sua solicitação, realizada por meio do sistema da AC. O solicitante preenche o formulário disponível no site da AR, com as informações que irão constar no certificado digital, e envia este pedido à AC. EMISSÃO O pedido de certificado digital é recebido pelo sistema da AC. O AGR, após as validações necessárias, dá o comando no sistema para que a AC realize a emissão do certificado digital. REVOGAÇÃO Após sua emissão o certificado digital poderá ser revogado pela AC ou pelo seu titular, entre outros motivos, se houver quaisquer irregularidades em seu processo de emissão ou houver alteração de qualquer informação do titular do certificado digital. A ação de revogação não poderá ser desfeita nem pelo usuário, nem pelo AGR, nem pela AC. Pergunta: O que acontece quando um certificado digital é revogado? Ele é incluído na LCR – Lista de Certificados Revogados Você acertou! Quando revogados, os certificados digitais são incluídos na LCR – Lista de Certificados Revogados. Esta lista contém todos os certificados revogados no sistema da AC, mas que ainda estão dentro do prazo de validade. Uma vez revogado ele não poderá mais ser utilizado em sistemas que o utilizam para identificação pois, antes de permitir o acesso, o sistema verifica a LCR da AC. Uma vez expirado, o certificado é removido da LCR evitando assim que a lista contenha registros desnecessários. RENOVAÇÃO Próximo de sua data de vencimento o certificado digital poderá ser renovado. Esse processo poderá ser conduzido segundo uma das seguintes possibilidades: a) Adoção dos mesmos requisitos e procedimentos exigidos para a solicitação do certificado; b) A solicitação por meio eletrônico, assinada digitalmente com o uso de certificado vigente que seja pelo menos do mesmo nível de segurança, limitada a 1 (uma) ocorrência sucessiva. Esta hipótese é permitida apenas para os certificados digitais de pessoa física. Nestas condições, a presença física do solicitante é dispensada, devendo ainda serem observados outros requisitos impostos pela AR, com por exemplo, pagamento pelo novo certificado digital. Início de destaque importante. Fique por dentro! Na verdade não existe a renovação do certificado digital já emitido. O que ocorre é a emissão de um novo certificado com as mesmas características do anterior. O pedido deste novo é assinado digitalmente pelo certificado vigente. É esta assinatura digital que nos permite dispensar a presença física do titular, pois este já compareceu anteriormente na AR. EXPIRAÇÃO A partir de sua emissão inicia-se o prazo de validade do certificado digital, que varia de acordo com seu tipo. Após seu vencimento o certificado digital recebe o status de expirado. Uma assinatura digital realizada em data posterior à expiração do certificado não será válida juridicamente (as assinaturas realizadas antes do vencimento continuam válidas). Um certificado digital expirado também não será aceito pelos sistemas que o utilizam para identificação. Qual a validade máxima de um certificado digital? 11 anos Você acertou! A validade do certificado digital pode variar de 1 à 11 anos, dependendo do seu tipo e do algoritmo de geração do par de chaves criptográficas. Os certificados do tipo "A4", "S4" e "T4", cujo par de chaves criptográficas tenha sido gerado pelo algoritmo ECDSA, podem possuir validade de até 11 anos! Atenção: Para usuários finais a AC Serpro emite certificados digitais com no máximo 5 anos de validade. Fonte: DOC-ICP-04 Tabela 6 2.1 O Agente de Registro e sua função Quem é o Agente de Registro? AGR - Agente de Registro é o profissional que trabalha em uma Autoridade de Registro (AR) vinculada a uma Autoridade Certificadora (AC) da ICP-Brasil e é responsável pelas operações diretas de validação e verificação de solicitações de certificados digitais. Função do Agente de Registro: A função de AGR é de extrema importância, até maior do que muitos podem imaginar. O Agente de Registro é a pessoa de frente da instituição de certificação digital, é o primeiro funcionário com quem o futuro titular, seja ele pessoa física ou jurídica, tem contato com a ICP-Brasil. Ele é o responsável, além de suas tarefas óbvias, de passar segurança ao futuro titular sobre as operações realizadas, elucidá-lo sobre as aplicações da certificação digital atualmente existentes, bem como tirar quaisquer dúvidas que possam haver. Portanto, devemos primar não apenas pelo bom conhecimento da área de certificação digital e segurança da informação, mas também pela postura do Agente de Registro, ante a importância de sua tarefa e as pessoas com quem ele poderá lidar. O Agente deve estar preparado para todas as tarefas que envolvam a validação e verificação de solicitações de certificados e revogação dos mesmos certificados digitais, bem como a operação das aplicações que controlam este processo, arquivamento de documentos digitalizados, noções de direito empresarial, grafoscopia, reconhecimento de assinaturas e relações humanas. Da mesma forma, deve seguir à risca as instruções dos documentos referentes aos Agentes de Registro e Autoridades de Registro da ICP-Brasil, constantes no documento DOC-ICP-03.01 e no item 5.3 do DOC-ICP-05, “Controle de Pessoal”. Consulte no site do ITI os documentos DOC-ICP-03.01 e DOC-ICP-05. As atividades realizadas pelo Agente de Registro são cruciais na emissão de um certificado digital. É extremamente importante que ele esteja preparado para a função, que deve ser encarada com responsabilidade e seriedade. Somente o Agente de Registro pode assegurar que um certificado digital pertence efetivamente ao titular cujo nome consta daquele certificado. Dele depende toda a Infra-estrutura de Chaves Públicas Brasileiras, cujo principal produto é a CONFIANÇA. 2.2 Formação do Agente de Registro O Agente de Registro, como dito anteriormente, é uma figura muito importante da ICP-Brasil. Por este motivo a formação deste profissional segue regras específicas e que, caso não cumpridas, impossibilitam a pessoa de exercer tal função. Primeiramente uma pessoa que pretende ser Agente de Registro deve ser funcionário ou servidor da própria organização credenciada como Autoridade de Registro. Não são admitidos estagiários nem funcionários terceirizados. A formação do AGR começa por meio de: http://www.iti.gov.br/legislacao/143-icp-brasil/legislacao/790-doc-icp Qualquer pendência encontrada nesta etapa, caso não resolvida em tempo hábil, impossibilitará os demais procedimentos e, por fim, a pessoa não poderá ser um Agente de Registro da ICP-Brasil. Além desta verificação, o Agente de Registro deverá ser treinado e aprovado em curso específico. É por isto que você está fazendo este treinamento! 2.2.1 Procedimentos para admissão do Agente de Registro "Todo Agente de Registro, na ocasião de sua admissão, deve receber treinamento documentado, com carga horária mínima de 16 horas..." Conforme consta no item 2.3.1 do DOC-ICP-03.01, todo Agente de Registro, na ocasião de sua admissão, deve receber treinamento documentado, com carga horária mínima de 16 horas, sobre os seguintes temas: 1. princípios e mecanismos de segurança da AR; 2. sistema de certificação em uso na AC; 3. procedimentos de recuperação de desastres e de continuidade do negócio; 4. reconhecimento de assinaturas e validade dos documentos apresentados; 5. outros assuntos relativos a atividades sob sua responsabilidade. Saiba mais O treinamento que trata sobre assinaturas e validade dos documentos será realizado em outro momento. Este é o curso de Grafoscopia e Documentoscopia, também apresentado no formato EAD. Após a realização dos treinamentos necessários, um dossiê de Agente de Registro é criado. Este dossiê contém: contrato de trabalho ou cópiadas páginas da carteira de trabalho onde consta o registro da contratação, termo de posse de servidor ou comprovante de situação funcional; comprovante da verificação de antecedentes criminais; comprovante da verificação de situação de crédito; comprovante da verificação de histórico de empregos anteriores; comprovação de escolaridade e de residência; comprovante dos treinamentos realizados; resultado da entrevista inicial, com a assinatura do entrevistador; declaração em que afirma conhecer as suas atribuições e que assume o dever de cumprir a Política de Segurança - PS da AC, as políticas e regras aplicáveis da ICP-Brasil. Nessa declaração assume também o dever de manter a confidencialidade e exclusividade de propriedade das informações disponibilizadas pela AC à AR e de manter sigilo, mesmo quando desligado da AR, sobre todas as informações e os processos executados na AR; resultado da avaliação periódica; cópia do documento, gerado em meio digital ou em papel, que comprove que a AR executou ou solicitou à AC a habilitação do Agente de Registro no sistema de certificação; confirmação da AC ou AR quanto à inclusão do Agente em seu sistema de certificação. Saiba mais Os documentos que compõem o dossiê do Agente de Registro são examinados por uma das seguintes pessoas, que declarará, sob as penas da lei, a existência de tais documentos e que eles comprovam efetivamente que o Agente de Registro atende a todos os requisitos da ICP-Brasil pertinentes: Auditor interno da AR, cadastrado junto à ICP-Brasil; Auditor externo independente, cadastrado junto à ICP-Brasil; Auditor ou funcionário designado da Autoridade Certificadora à qual a AR se vincula; Representante legal da própria AR. A partir deste momento o AGR está apto a integrar a equipe da Autoridade Certificadora e operar os sistemas da Autoridade Certificadora para emissão e revogação de certificados digitais. Mesmo um Agente de Registro que não opere o sistema deve possuir o treinamento e dossiê completo. Somente após sua formação e com documentação completa é que a pessoa se tornará um Agente de Registro, podendo realizar a identificação presencial do solicitante de certificado, coleta e conferência da documentação e demais atividades pertinentes à função. 2.3 Desligamento do Agente de Registro Quando o Agente de Registro é suspenso ou desligado de suas atividades, a AR imediatamente providencia a revogação de suas permissões de acesso ao sistema de certificação da AC e permissões de acesso físico e lógico aos equipamentos e mecanismos inerentes à atividade de Agente de Registro. Esses processos são documentados e os documentos são arquivados no dossiê do AGR. O dossiê do Agente de Registro deve ser atualizado com os seguintes documentos: cópia do documento, gerado em meio digital ou em papel, que comprove que a AR executou ou solicitou à AC a desabilitação do Agente de Registro no sistema de certificação; confirmação da AC ou AR quanto à desabilitação do Agente de Registro no sistema de certificação; declaração assinada pelo Agente de Registro de que não possui pendências; resultado da entrevista de desligamento, com a assinatura do entrevistador. Após o desligamento de um Agente de Registro, a pessoa não poderá exercer qualquer função relacionada a emissão de certificados digitais. Lembre-se: No ato de formação, o Agente de Registro leu e assinou uma declaração onde assume o dever de manter a confidencialidade e exclusividade de propriedade das informações disponibilizadas pela AC à AR e de manter sigilo, mesmo quando desligado, sobre todas as informações e os processos executados no período em que exerceu a função. Saiba mais Uma vez formado e habilitado no sistema de certificação da AC, o dossiê do Agente de Registro deverá ser mantido na AR, mesmo tendo sido desligado. 2.4 AR e Dossiê da AR A Autoridade de Registro (AR) é a entidade responsável pela interface entre o usuário e a Autoridade Certificadora (AC) e está sempre vinculada a ela. Tem como objetivo principal o recebimento, encaminhamento de solicitações de emissão ou revogação de certificados digitais para as ACs e identificação, de forma presencial e videoconferência, de seus solicitantes. A AR deve possuir um dossiê, contendo os seguintes itens: Relação com nome e CPF dos Agentes de Registro que estejam atuando, ou já tenham atuado, na AR; Topologia de Rede de Comunicação entre a AR e a AC; Manual Operacional do Agente de Registro; Inventário de Ativos; Plano de Continuidade de Negócios; Análise de Risco. Para gerar este Dossiê a AR deve observar o que preconiza o DOC- ICP-03.01 que aborda os seguintes itens: segurança de Pessoal x Os normativos que tratam da segurança de pessoas estão descritos no DOC-ICP-02 [2] e no DOC-ICP-05 [1]. Nesta função não são admitidos estagiários nem funcionários terceirizados no exercício das atividades de Agente de Registro. Os Agentes de Registro devem ser funcionários ou servidores da própria organização credenciada como AR junto à ICP-Brasil (Infraestrutura de Chaves Públicas - Brasil). https://conecta.serpro.gov.br/mod/page/view.php?id=34987#dossie_ar0 Cada Agente de Registro que esteja atuando ou que já tenha atuado na AR deve possuir um dossiê, contendo: 1. Contrato de trabalho ou cópia das páginas da carteira de trabalho onde consta o registro da contratação, termo de posse de servidor ou comprovante de situação funcional; 2. Comprovante da verificação de antecedentes criminais; 3. Comprovante da verificação de situação de crédito; 4. Comprovante da verificação de histórico de empregos anteriores; 5. Comprovação de escolaridade e de residência; 6. Comprovante dos treinamentos realizados; 7. Resultado da entrevista inicial, com a assinatura do entrevistador; 8. Declaração em que afirma conhecer as suas atribuições e em que assume o dever de cumprir a Política de Segurança - PS, as políticas e regras aplicáveis da ICP-Brasil. Nessa declaração assume também o dever de manter a confidencialidade e exclusividade de propriedade das informações disponibilizadas pela AC à AR e de manter sigilo, mesmo quando desligado da AR, sobre todas as informações e os processos executados na AR; 9. Resultado da avaliação periódica, prevista no DOC- ICP-02 [2]; 10. Confirmação da AC quanto à inclusão do Agente em seu sistema de certificação. Todo Agente de Registro, na ocasião de sua admissão, deve receber treinamento documentado, com carga horária mínima de 16 (dezesseis) horas, sobre os seguintes temas: Princípios e mecanismos de segurança da AR; Sistema de certificação em uso na AC; Procedimentos de recuperação de desastres e de continuidade do negócio; Reconhecimento de assinaturas e validade dos documentos apresentados; Outros assuntos relativos a atividades sob sua responsabilidade. “ Além disso, os certificados de conclusão dos treinamentos devem obrigatoriamente compor o dossiê de cada AGR. Para saber mais sobre “Acompanhamento Periódico” e “Suspensão e Desligamento” consulte o DOC-ICP-03.01 Segurança Física x As atividades da AR relativas à identificação da solicitação de certificados devem ser executadas observando o disposto nos itens que tratam de Identificação e Autenticação no DOC-ICP-05 [1]. A manutenção preventiva/corretiva das estações de trabalho da AR deve ser realizada apenas por agentes autorizados (pelo fabricante, por assistência técnica autorizada ou por pessoa designada pela AC), dentro do período de manutenção recomendado. Os eventos de manutenção devem ser documentados. Segurança Lógica x - Conforme o DOC-ICP-03.01, Item 4: As estações de trabalho da AR, incluindo equipamentos portáteis, devem estar protegidas contra ameaças e ações não-autorizadas, bem como contra o acesso, uso ou exposição indevidos. A(s) partição(ões) dos discos rígidos dasestações de trabalho da AR que contém componentes da aplicação da AC/AR ou que armazenem dados de solicitantes de certificados digitais devem ser criptografadas; ou políticas de segurança devem ser aplicadas as estações de trabalho da AR de forma a não permitir a gravação de arquivos locais nestes equipamentos. As estações de trabalho da AR devem implementar aplicação que faça controle de integridade das configurações da aplicação de AR, bem como dos arquivos de configuração ou informações críticas mantidas na estação de trabalho. As estações de trabalho da AR deverão conter apenas aplicações e serviços que sejam suficientes e necessários para as atividades corporativas. O Agente de Registro não deve possuir perfil de administrador ou senha de root dos equipamentos ou com privilégios especiais do sistema, ficando essa https://conecta.serpro.gov.br/mod/page/view.php?id=34987#dossie_ar1 https://conecta.serpro.gov.br/mod/page/view.php?id=34987#dossie_ar2 tarefa delegada a outros da própria organização, para permitir segregação de funções. O Agente de Registro somente deve receber acesso aos serviços e aplicações que tenham sido especificamente autorizados a usar. Existem outras especificações sobre segurança das estações de trabalho que o Responsável Técnico pela AR deve manter. Mais detalhes são encontrados no DOC-ICP-03.01 item 4. Segurança da Informação x Conforme o DOC-ICP-03.01 a AC deve possuir um dossiê, contendo o seguinte: a) Relação com nome e CPF dos Agentes de Registro que estejam atuando, ou já tenham atuado, na AR; b) Topologia de Rede de Comunicação entre a AR e a AC; c) Manual Operacional do Agente de Registro; d) Inventário de Ativos; e) Plano de Continuidade de Negócios; f) Análise de Risco. Para tanto as AR‟s devem fornecer à AC os itens “a”, “b”, “d”, “e” e “f”. O Inventário de Ativos deve estar sempre atualizado, mantendo histórico das alterações e deve ser assinado pelo responsável pela AR. O Inventário de Ativos deve relacionar, pelo menos: Equipamentos da AR, com respectivas especificações, atualizado mensalmente; Softwares instalados nos equipamentos, atualizado mensalmente; Somente poderão constar do Inventário de Ativos os equipamentos de propriedade ou de posse da AR. https://conecta.serpro.gov.br/mod/page/view.php?id=34987#dossie_ar3 A comprovação da posse ou propriedade dos equipamentos a que se refere o item anterior deverá ser feita sempre que assim requisitado pela AC Raiz, mediante a apresentação pela AR da respectiva nota fiscal, comodato, leasing, doação, contrato de locação de equipamentos ou documentação comprobatória equivalente. Segurança de Rede x A AR deve encaminhar as solicitações de emissão ou de revogação de certificados à AC utilizando VPN (Virtual Private Network - rede privativa virtual), SSL (Secure Socket Layer - protocolo de comunicação seguro) ou outra tecnologia de igual ou superior nível de segurança e privacidade.” 2.5 Procedimentos para a emissão de Certificados ICP - Brasil As atividades realizadas pelo Agente de Registro são cruciais na emissão de um certificado digital. É extremamente importante que ele esteja preparado para a função, que deve ser encarada com responsabilidade e seriedade. Manual O Agente de Registro deve estar atento quando, na emissão do certificado, o processo de entrega de documentos e prestações de informações é compartilhado por outra pessoa que esteja acompanhando o proponente. Deve, também, evitar atendimentos simultâneos, que geralmente se caracterizam quando está atendendo uma pessoa e outra se apresenta solicitando informações, geralmente com urgência. Há casos em que os fraudadores recuam ao perceber que o Agente de Registro está sendo diligente nos exames e nas consultas, ou seja, que está cumprindo os requisitos pré-determinados pela AC e pela ICP-Brasil. Os Agentes de Registro devem conhecer os exames básicos de segurança que podem ser feitos nos documentos apresentados (RG, CNH, CTPS, CPF, comprovante de endereço etc), bem como quais pesquisas devem ser feitas e quais ferramentas podem ser utilizadas para confirmá-los, detectando a fraude se ela existir. A emissão de um certificado digital ICP-Brasil significa atribuir direitos e deveres ao cidadão solicitante que podem afetar diretamente operações financeiras, mercadológicas, de acesso a sistemas, entre outras; portanto, trata-se de uma operação de extrema responsabilidade por parte do Agente de Registro. https://conecta.serpro.gov.br/mod/page/view.php?id=34987#dossie_ar4 Os próximos itens descreverão os passos para a solicitação, validação, verificação e emissão de certificados ICP-Brasil, que devem ser seguidos para que se obtenha a segurança necessária ao processo. 2.5.1 Solicitação do Certificado Digital O processo inicial da emissão de um certificado digital é realizado por meio do website da Autoridade de Registro a qual o usuário está interessado em obter seu certificado. O usuário acessa o website, por meio de instruções devidamente explícitas, escolhe o tipo de certificado que deseja obter e preenche um formulário de solicitação que é posteriormente enviado para AC, de forma segura. Esta requisição de certificado é armazenada em um servidor localizado na AC, que o Agente de Registro tem acesso. Após este registro de requisição, o interessado deve dirigir-se a uma Autoridade de Registro portando os documentos exigidos para a devida validação. Esta atividade pode ser feita pelo solicitante, através das orientações constantes da Ajuda Interativa na Página de Solicitação da AR Porém, se o cliente quiser ou vier sem esta solicitação, faz parte das atividades do AGR auxiliá-lo a preencher os dados para adquirir o certificado. No entanto, o AGR nunca deverá preencher a senha, esta tarefa será feita pelo solicitante e alertado para os riscos caso esqueça. Esta orientação é para segurança do próprio AGR. 2.5.2 Cadastro Biométrico do Titular do Certificado O Sistema Biométrico da ICP-Brasil tem por objetivo aumentar a segurança na identificação dos titulares e responsáveis por certificados digitais, reduzindo o risco de fraudes, e permitir a simplificação do processo de emissão de certificados digitais com verificação biométrica do requerente. Conforme Doc-ICP-05.03 V2.0 item 2, a coleta de dados biométricos deve ser feita de forma assistida (acompanhada) por um agente de registro (AGR). Devem ser coletados, no mínimo, as biometrias da face e das impressões digitais. A coleta é de responsabilidade da AC/PSS* e de sua rede de Autoridades de Registro. A AC/PSS pode utilizar tecnologia e sistemas próprios ou contratar de fornecedores no mercado à sua escolha, garantindo que os padrões estabelecidos neste documento sejam obedecidos. http://repositorio.serpro.gov.br/ajuda/usuarios/html/index.html https://conecta.serpro.gov.br/mod/page/view.php?id=34991#nota1 2.5.3 Validação do Certificado Digital Validar um certificado digital é associar uma chave criptográfica a um titular (Pessoa Física, Pessoa Jurídica, Equipamento ou Aplicação) através de um processo realizado por um terceiro de confiança, neste caso, o Agente de Registro. Pergunta: O processo de certificação digital baseia-se em um par de chaves: chave pública e chave privada. Qual destas duas chaves é associada ao titular do certificado? Chave Pública Você acertou! A Chave Pública é a chave criptográfica associada ao titular do certificado. O Certificado Digital nada mais é que um certificado que diz que determinada chave pública pertence a determinado titular. A chave privada, por ser privada, é de conhecimento somente do seu titular. Nem mesmo a AC possui acesso a ela. O processo de validação do certificado digital divide-se em três etapas: Confirmação da identidade do titular e responsáveis pelo certificado e validação da documentação; Coleta ou confirmação da biometria do titular do certificadono sistema da AC. O AGR deverá, obrigatoriamente, realizar curso específico sobre esta matéria. Validação e verificação dos dados da solicitação de certificado, no sistema da AC, com os constantes dos documentos apresentados. Confirmação da Identidade do Titular e Responsável pelo Certificado A comprovação da identidade de um indivíduo (pessoa física) ou de uma organização (pessoa jurídica) deverá ser realizada mediante a presença física do interessado, com base em documentos de identificação legalmente aceitos, ou seja, nenhum certificado ICP- Brasil pode ser emitido sem identificação presencial do titular do certificado digital. Esta exigência é para que ocorra o Cadastro Biométrico do Requerente, conforme abordado no item 2.7.2 deste treinamento. Caso o interessado já possua cadastro biométrico, a AC SERPRO disponibiliza a possibilidade de o certificado ser emitido de forma remota, sem a presença física do requerente, que terá sua identidade confirmada por biometria coleta durante o processo de validação do certificado. Mais detalhes serão explicados no módulo 3 deste treinamento. Saiba mais Na ICP-Brasil não são aceitas procurações para representação da Pessoa Física. Validação da documentação x A documentação que deve ser entregue pelo solicitante do certificado digital variará de acordo com o tipo de certificado desejado. O documento DOC-ICP-05 versão 6.0 define, nos itens 3.2.2, 3.2.3 e 3.2.7, os documentos que devem ser apresentados pelos solicitantes e conferidos pelo Agente de Registro: Manual 1 Autenticação da identificação da organização 3.2.2 Autenticação da identificação da organização 3.2.2.1 Disposições gerais 3.2.2.1.1 Neste item devem ser definidos os procedimentos empregados pelas ARs vinculadas para a confirmação da identidade de uma pessoa jurídica. 3.2.2.1.2 Será designado como responsável pelo certificado o representante legal da pessoa jurídica requerente do certificado, ou o procurador constituído na forma do item 3.2, alínea „a‟, inciso (ii) acima, o qual será o detentor da chave privada. https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao0 https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao0 https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2a https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2a https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2a 3.2.2.1.3 Deverá ser feita a confirmação da identidade da organização e da pessoa física responsável pelo certificado, nos seguintes termos: 1. apresentação do rol de documentos elencados no item 3.2.2.2; 2. apresentação do rol de documentos do responsável pelo certificado, elencados no item 3.2.3.1; 3. coleta e verificação biométrica da pessoa física responsável pelo certificado, conforme regulamentos expedidos, por meio de instruções normativas, pela AC Raiz, que definam os procedimentos para identificação do requerente e comunicação de irregularidades no processo de emissão de um certificado digital ICP-Brasil, bem como os procedimentos para identificação biométrica na ICP- Brasil; e 4. assinatura digital do termo de titularidade de que trata o item 4.1 pelo responsável pelo certificado. Nota 1: A AR poderá solicitar uma assinatura manuscrita ao responsável pelo certificado em termo específico para a comparação com o documento de identidade ou contrato social. Nesse caso, o termo manuscrito digitalizado e assinado digitalmente pelo AGR será apensado ao dossiê eletrônico do certificado, podendo o original em papel ser descartado. 3.2.2.1.4 Fica dispensado o disposto no item 3.2.2.1.3, alíneas “b” e “c”, caso o responsável pelo certificado possua certificado digital de pessoa física ICP- Brasil válido, do tipo A3 ou superior, com os dados biométricos devidamente coletados, e a verificação dos documentos elencados no item 3.2.2.2 possa ser realizada eletronicamente por meio de barramento ou aplicação oficial. 3.2.2.1.5 O disposto no item 3.2.2.1.3 poderá ser realizado: 1. mediante comparecimento presencial do responsável pelo certificado; ou 2. por videoconferência, conforme procedimentos e requisitos técnicos definidos em Instrução Normativa da AC Raiz, os quais deverão assegurar nível de segurança equivalente à forma presencial, garantindo a validação das mesmas informações de identificação e biométricas, mediante o emprego de tecnologias eletrônicas seguras de comunicação, interação, documentação e tratamento biométrico. 3.2.2.2 Documentos para efeitos de identificação de uma organização A confirmação da identidade de uma pessoa jurídica deverá ser feita mediante a apresentação de, no mínimo, os seguintes documentos: 1. Relativos a sua habilitação jurídica: i. se pessoa jurídica criada ou autorizada a sua criação por lei, cópia do CNPJ; ii. se entidade privada: 1. certidão simplificada emitida pela Junta Comercial ou ato constitutivo, devidamente registrado no órgão competente, que permita a comprovação de quem são seus atuais representantes legais; e 2. documentos da eleição de seus representantes legais, quando aplicável; 2. Relativos a sua habilitação fiscal: i. prova de inscrição no Cadastro Nacional de Pessoas Jurídicas – CNPJ; ou ii. prova de inscrição no Cadastro Específico do INSS – CEI. Nota 1: As confirmações de que trata o item 3.2.2.2 poderão ser feitas de forma eletrônica, desde que em barramentos ou aplicações oficiais de órgão competente. É obrigatório que essas validações constem no dossiê eletrônico do titular do certificado. 3.2.2.3 Informações contidas no certificado emitido para uma organização 3.2.2.3.1 É obrigatório o preenchimento dos seguintes campos do certificado de uma pessoa jurídica, com as informações constantes nos documentos apresentados: 1. Nome empresarial constante do Cadastro Nacional de Pessoa Jurídica (CNPJ), sem abreviações; 2. Cadastro Nacional de Pessoa Jurídica (CNPJ); 3. Nome completo do responsável pelo certificado, sem abreviações; e 4. Data de nascimento do responsável pelo certificado. 3.2.2.3.2 Cada PC pode definir como obrigatório o preenchimento de outros campos, ou o responsável pelo certificado, a seu critério e mediante declaração expressa no termo de titularidade, poderá solicitar o preenchimento de campos do certificado com suas informações pessoais, conforme item 3.2.3.2. 3.2.2.4 Responsabilidade decorrente do uso do certificado de uma organização Os atos praticados com o certificado digital de titularidade de uma organização estão sujeitos ao regime de responsabilidade definido em lei quanto aos poderes de representação conferidos ao responsável de uso indicado no certificado. Manual 2 Autenticação da identificação de um indivíduo 3.2.3 Autenticação da identidade de um indivíduo Neste item devem ser definidos os procedimentos empregados pelas AR vinculadas a uma AC para a identificação e cadastramento iniciais de um indivíduo na ICP-Brasil. Essa confirmação deverá ser realizada mediante a presença física do interessado ou por meio de videoconferência, conforme procedimentos e requisitos técnicos definidos em Instrução Normativa da AC Raiz, os quais deverão assegurar nível de segurança equivalente à forma presencial, garantindo a validação das mesmas informações de identificação e biométricas, mediante o emprego de tecnologias eletrônicas seguras de comunicação, interação, documentação e tratamento biométrico. https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2b https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2b https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2b 3.2.3.1 Documentos para efeitos de identificação de um indivíduo Deverá ser apresentada a seguinte documentação, em sua versão original oficial, podendo ser física ou digital, por meio de barramento ou aplicação oficial, e coletada as seguintesbiometrias para fins de identificação de um indivíduo solicitante de certificado: 1. Registro de Identidade ou Passaporte, se brasileiro; ou 2. Título de Eleitor, com foto; ou 3. Carteira Nacional de Estrangeiro – CNE, se estrangeiro domiciliado no Brasil; ou 4. Passaporte, se estrangeiro não domiciliado no Brasil; 5. Fotografia da face do requerente de um certificado digital ICP-Brasil, conforme disposto em regulamento editado por instrução normativa da AC Raiz que defina os procedimentos para identificação biométrica na ICP-Brasil; e 6. Impressões digitais do requerente de um certificado digital ICP-Brasil, conforme disposto em regulamento editado por instrução normativa da AC Raiz que defina os procedimentos para identificação biométrica na ICP-Brasil. Nota 1: Entende-se como registro de identidade os documentos oficiais, físicos ou digitais, conforme admitido pela legislação específica, emitidos pelas Secretarias de Segurança Pública bem como os que, por força de lei, equivalem a documento de identidade em todo o território nacional, desde que contenham fotografia. 3.2.3.1.1 Na hipótese de identificação positiva por meio do processo biométrico da ICP-Brasil fica dispensada a apresentação de qualquer dos documentos elencados no item 3.2.3.1 e a etapa de verificação. As evidências desse processo farão parte do dossiê eletrônico do requerente. 3.2.3.1.2 Os documentos digitais deverão ser verificados por meio de barramentos ou aplicações oficiais dos entes federativos. Tal verificação fará parte do dossiê eletrônico do titular do certificado. Na hipótese da identificação positiva, fica dispensada a etapa de verificação conforme o item 3.2.3.1.3. 3.2.3.1.3 Os documentos em papel, os quais não existam formas de verificação por meio de barramentos ou aplicações oficiais dos entes federativos, deverão ser verificados: 1. por agente de registro distinto do que realizou a etapa de identificação; 2. pela AR ou AR própria da AC ou ainda AR própria do PSS da AC; e 3. antes do início da validade do certificado, devendo esse ser revogado automaticamente caso a verificação não tenha ocorrido até o início de sua validade. 3.2.3.1.4 A emissão de certificados em nome dos absolutamente incapazes e dos relativamente incapazes observará o disposto na lei vigente e as normas editadas pelo Comitê Gestor da ICP-Brasil. 3.2.3.1.5 Para a identificação de indivíduo na emissão de certificado digital para servidor público da ativa e militar da União, deverá ser observado o disposto item 3.2.9.3. Recomendamos a leitura do restante do item 3.2.3 do DOC-ICP-05, versão 6.0. Manual 3 Autenticação da identidade de equipamento ou aplicação 3.2.7 Autenticação da identidade de equipamento ou aplicação 3.2.7.1 Disposições gerais 3.2.7.1.1 Em se tratando de certificado emitido para equipamento ou aplicação, o titular será a pessoa física ou jurídica solicitante do certificado, que deverá indicar o responsável pela chave privada. 3.2.7.1.2 Se o titular for pessoa física, deverá ser feita a confirmação de sua identidade na forma do item 3.2.3 e esta assinará o termo de titularidade de que trata o item 4.1. 3.2.7.1.3 Se o titular for pessoa jurídica, deverá ser feita a confirmação da identidade da organização e da pessoa física responsável pelo certificado, na forma do item 3.2.2. 3.2.7.1.4. Fica dispensada a observância do disposto no item 3.2.3.1 para certificados cujo titular seja pessoa física, caso a solicitação seja assinada com certificado digital ICP-Brasil válido, do tipo A3 ou superior, de mesma titularidade e cujos dados biométricos já tenham sido devidamente coletados. 3.2.7.1.5 Fica dispensada a observância do item 3.2.2.1.3, alíneas “b” e “c”, para certificados cujo titular seja pessoa jurídica nos seguintes casos: 1. quando a solicitação for assinada com certificado digital ICP-Brasil válido, do tipo A3 ou superior, de mesma titularidade e responsável, e cujos dados biométricos deste último tenham sido devidamente coletados; ou 2. quando a solicitação for assinada com o certificado digital ICP-Brasil válido, do tipo A3 ou superior, cuja titularidade é da mesma pessoa física responsável legal da organização e a verificação dos documentos elencados no item 3.2.2.2 possa ser realizada eletronicamente por meio de barramento ou aplicação oficial. 3.2.7.2 Procedimentos para efeitos de identificação de um equipamento ou aplicação https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2c https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2c https://conecta.serpro.gov.br/mod/page/view.php?id=34992#manual_iti_4_7_2c 3.2.7.2.1 Para certificados de equipamento ou aplicação que utilizem URL na identificação do titular, deve ser verificado se o solicitante do certificado detém o registro do nome de domínio junto ao órgão competente, ou se possui autorização do titular do domínio para usar aquele endereço. Nesse caso deve ser apresentada documentação comprobatória (termo de autorização de uso de domínio ou similar) devidamente assinado pelo titular do domínio. 3.2.7.2.2 Para emissão de certificados do tipo T3 ou T4, para equipamentos de ACT credenciadas na ICP-Brasil, a solicitação deve conter o nome de servidor e o número de série do equipamento. Esses dados devem ser validados comparando-os com aqueles publicados pelo ITI no Diário Oficial da União, quando do deferimento do credenciamento da ACT. Validação dos dados da solicitação x Início de destaque importante. Nesta etapa, o Agente de Registro deve conferir se os dados constantes na solicitação de certificado no sistema da AC refletem as informações presentes nos documentos apresentados pelos titulares/responsáveis. Caso as informações sejam divergentes dos documentos apresentados, o Agente de Registro deve corrigir, sempre que possível, os dados constantes na solicitação de certificado. Caso os dados não possam ser corrigidos, o Agente de Registro deve pedir ao solicitante do certificado que altere os dados no órgão competente, por exemplo, na Receita Federal do Brasil - RFB, e que depois faça uma nova solicitação de certificado. Todas as informações constantes na solicitação de certificado devem poder ser comprovadas por meio da documentação recolhida pelo Agente de Registro. Fim de destaque importante. Existe também a possibilidade da solicitação de certificado ser rejeitada. A rejeição pode ocorrer nas seguintes situações: Suspeita da fraude na documentação apresentada pelo solicitante; Irregularidades junto à RFB, invalidando o CPF do indivíduo; Irregularidades que invalidem o CNPJ da pessoa jurídica. https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao1 https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao1 2ª Verificação dos dados da solicitação x Se a comparação Biométrica for inferior à 85% é necessário uma 2ª Validação e uma justificativa. Conforme DOC-ICP-05 versão 6.0 – Item 3.2.3.1.3, os documentos em papel, os quais não existam formas de verificação por meio de barramentos ou aplicações oficiais dos entes federativos, deverão ser verificados: a) por agente de registro distinto do que realizou a etapa de identificação; b) pela AR ou AR própria da AC ou ainda AR própria do PSS da AC; e c) antes do início da validade do certificado, devendo esse ser revogado automaticamente caso a verificação não tenha ocorrido até o início de sua validade. Saiba Mais! [DOC-ICP-05 V6.0 – Item 3.2.3.1] 3.2.3.1.1 Na hipótese de identificação positiva por meio do processo biométrico da ICP-Brasil fica dispensada a apresentação de qualquer dos documentos elencados no item 3.2.3.1 e a etapa de verificação. As evidências desse processo farão parte do dossiê eletrônico do requerente. 3.2.3.1.2 Os documentos digitais deverão ser verificados por meio de barramentos ou aplicações oficiais dos entes federativos. Tal verificaçãofará parte do dossiê eletrônico do titular do certificado. Na hipótese da identificação positiva, fica dispensada a etapa de verificação conforme o item 3.2.3.1.3. Assinatura do Termo de Titularidade de Certificado Digital x O Termo de Titularidade é o instrumento contratual que deve ser assinado pelo solicitante do certificado. Este documento descreve as regras e responsabilidades assumidas pela Autoridade Certificadora, solicitante do certificado e partes confiantes. Este termo é assinado https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao2 https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao2 https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao3 https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao3 https://conecta.serpro.gov.br/mod/page/view.php?id=34992#validacao3 Digitalmente pelo AGR na ocasião da validação. O Titular do certificado assinará o Termo no momento da instalação do certificado, com o próprio certificado aprovado. NOTA: [DOC-ICP-05 V6.0 – Item 4.1, Nota 2] Na impossibilidade técnica de assinatura digital do termo de titularidade (como certificados SSL, de equipamento, aplicação, codesign, carimbo de tempo e outros que façam uso de CSR) será aceita a assinatura manuscrita do termo ou assinatura digital do termo com o certificado ICP-Brasil do titular do certificado ou responsável pelo certificado, no caso de certificado de pessoa jurídica. No caso de assinatura manuscrita do termo será necessária a verificação da assinatura contra o documento de identificação. Os titulares e responsáveis pelos certificados deverão lançar suas assinaturas conforme consta no documento de identidade apresentado. Se algum titular ou responsável estiver impossibilitado fisicamente de assinar, o Agente de Registro mencionará no Termo o fato, tomando-lhe a impressão digital, sempre que possível, do polegar direito. Baseando-se nos conhecimentos adquiridos no curso de grafoscopia, o Agente deve verificar a autenticidade da assinatura. 2.5.4 Armazenamentos dos Dados da Solicitação Cópia e Armazenamento dos documentos apresentados As imagens dos documentos apresentados e as validações feitas devem ser anexadas ao dossiê do certificado aprovado. No sistema adotado pela AC SERPRO, o AGR deverá assinar, digitalmente, tais documentos. Mais detalhes serão vistos no módulo 3 deste curso. O item 6.2 do documento DOC-ICP-03.01 trata dos procedimentos para Armazenamento, manuseio, guarda e destruição de documentos: 6.2.1 Os documentos que compõem os dossiês dos titulares de certificados e dos agentes de registro AR devem ser enviados à AC vinculada, inclusive os antigos, e guardados, preferencialmente, em ambiente computacional protegido, com acesso permitido somente aos agentes de registro vinculados ou responsáveis designados formalmente para trabalhar com os documentos. 6.2.2 A AC pode substituir a guarda física dos documentos que compõem o dossiê do Agente de Registro e o dossiê do Titular do Certificado por digitalização dos mesmos, observado que: a) documentos cuja cópia deva constar no dossiê (ex.: documentos de identificação apresentados pelo titular, carteira de trabalho do Agente de Registro etc.) devem ser digitalizados e assinados digitalmente com o certificado ICP-Brasil; b) documentos cujo original deva constar do dossiê (ex.: termos de titularidade, declarações do Agente de Registro etc.) podem ser digitalizados para inclusão no dossiê respectivo, devendo permanecer arquivados no ponto de centralização da AC pelo prazo estipulado nas resoluções da ICP-Brasil; c) todos os arquivos que compõem um dossiê devem ser organizados de forma a permitir sua recuperação conjunta, para fins de fiscalização e auditoria; d) o diretório ou sistema onde são armazenados esses arquivos deve ter proteção contra leitura e gravação, dando permissão de acesso somente aos Agentes de Registro vinculados ou responsáveis designados formalmente para trabalhar com os documentos; e) devem ser especificados procedimentos de cópia e recuperação em caso de sinistro. INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRAS. Características mínimas de segurança para as AR da ICP-Brasil. Brasília: ICP-Brasil, 2015. O sistema SCDS da AC Serpro atende todos os requisitos da ICP- BRASIL para armazenamento de dossiês digitalizados. 2.5.5 POP - Procedimentos Operacionais Padrão Para simplificar o processo e colocá-lo de uma forma mais prática, a AC Serpro criou os POPs – Procedimentos Operacionais Padrão que os Agentes de Registro devem seguir para correta validação, verificação e emissão do certificado digital. Neles são apresentadas as etapas e os documentos que devem ser verificados para realizar os procedimentos até a aprovação do pedido de certificado no sistema da AC. Procedimento Operacional Padrão para emissão de certificados digitais Pessoa Física, tipo E-CPF x Os procedimentos devem ser seguidos na ordem em que são apresentados. Não é aceita procuração para representação da Pessoa Física. Procedimento Operacional Padrão – POP (https://conecta.serpro.gov.br/pluginfile.php/73713/mod_page/content/7/POP%20- %20Procedimento%20Operacional%20Padrao%20PF%20%28v2.5%20- %20Setembro_2020%29.pdf ) Pessoa Jurídica de Direito Privado https://conecta.serpro.gov.br/mod/page/view.php?id=34994#procedimento_operacional_padrao0 https://conecta.serpro.gov.br/mod/page/view.php?id=34994#procedimento_operacional_padrao0 https://conecta.serpro.gov.br/pluginfile.php/73713/mod_page/content/7/POP%20-%20Procedimento%20Operacional%20Padrao%20PF%20%28v2.5%20-%20Setembro_2020%29.pdf https://conecta.serpro.gov.br/pluginfile.php/73713/mod_page/content/7/POP%20-%20Procedimento%20Operacional%20Padrao%20PF%20%28v2.5%20-%20Setembro_2020%29.pdf https://conecta.serpro.gov.br/pluginfile.php/73713/mod_page/content/7/POP%20-%20Procedimento%20Operacional%20Padrao%20PF%20%28v2.5%20-%20Setembro_2020%29.pdf https://conecta.serpro.gov.br/mod/page/view.php?id=34994#pessoa_juridica_direito_publico1 As pessoas jurídicas de direito público gozam de uma posição jurídica diferenciada em razão da supremacia (superioridade) dos interesses. As pessoas jurídicas de direito público estão expostas do Nosso Código Civil em seu artigo 41, conforme abaixo transcrito: Início de legislação. Art. 41. São pessoas jurídicas de direito público interno": I - a União; II - os Estados, o Distrito Federal e os Territórios; III - os Municípios; IV - as autarquias, inclusive as associações públicas (Alterado pela L-011.107- 2005) ; V - as demais entidades de caráter público criadas por lei. Art. 42. São pessoas jurídicas de direito público externo os Estados estrangeiros e todas as pessoas que forem regidas pelo direito internacional público. Fim de legislação. Início de destaque importante. As pessoas jurídicas de direito público nascem através de Lei, ou seja, suas normas são regidas por Lei, portanto, não possuem Estatuto ou Contrato Social. Elas têm regime exclusivo e devem ser analisadas individualmente, caso a caso, no que tange à sua administração. Fim de destaque importante. A emissão do certificado digital é um ato que gera onerosidade indeterminada, ou seja, com o certificado a pessoa pode praticar um ato em nome da empresa tanto de um real quanto de um milhão. Logo, devemos ficar muito atentos nos contratos que contêm cláusulas com especificação de valores para a representação. Ao analisar a representação da sociedade no contrato/Estatuto devemos sempre estar atentos à ata de eleição daquele que julgamos competente para representar a sociedade, bem como verificar se quem assinou a ata é/são a(s) pessoa(s) competente(s) para eleger a pessoa como representante legal. Isso serve também no caso de outorga de poderes através de procurações. Passando para a análise dos contratos, em relação a cláusula de administração e representação para a assinatura
Compartilhar