Presidência
da República |
DECRETO No 3.587, DE 5 DE SETEMBRO DE 2000.
Revogado pelo
Decreto nº 3.996, de 31.10.2001 Texto para impressão |
O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84,
incisos IV e VI, da Constituição,
DECRETA:
Capítulo I
Disposições Preliminares
Art. 1º A Infra-Estrutura de Chaves Públicas do Poder
Executivo Federal - ICP-Gov será instituída nos termos deste Decreto.
Art. 2o A tecnologia da ICP-Gov deverá utilizar
criptografia assimétrica para relacionar um certificado digital a um indivíduo ou a uma
entidade.
§ 1o A
criptografia utilizará duas chaves matematicamente relacionadas, onde uma delas é
pública e, a outra, privada, para criação de assinatura digital, com a qual será
possível a realização de transações eletrônicas seguras e a troca de informações
sensíveis e classificadas.
§ 2o A
tecnologia de Chaves Públicas da ICP-Gov viabilizará, no âmbito dos órgãos e das
entidades da Administração Pública Federal, a oferta de serviços de sigilo, a
validade, a autenticidade e integridade de dados, a irrevogabilidade e irretratabilidade
das transações eletrônicas e das aplicações de suporte que utilizem certificados
digitais.
Art. 3o A ICP-Gov deverá contemplar, dentre outros, o
conjunto de regras e políticas a serem definidas pela Autoridade de Gerência de
Políticas - AGP, que visem estabelecer padrões técnicos, operacionais e de segurança
para os vários processos das Autoridades Certificadoras - AC, integrantes da ICP-Gov.
Art. 4o Para garantir o cumprimento das regras da
ICP-Gov, serão instituídos processos de auditoria, que verifiquem as relações entre os
requisitos operacionais determinados pelas características dos certificados e os
procedimentos operacionais adotados pelas autoridades dela integrantes.
Parágrafo único. Além dos
padrões técnicos, operacionais e de segurança, a ICP-Gov definirá os tipos de
certificados que podem ser gerados pelas AC.
CAPÍTULO II
DA ORGANIZAÇÃO DA ICP-Gov
Art. 5o A arquitetura da ICP-Gov
encontra-se definida no Anexo I a este Decreto.
Art. 6o À Autoridade de Gerência de Políticas - AGP,
integrante da ICP-Gov, compete:
I - propor a criação da Autoridade Certificadora Raiz - AC Raiz;
II - estabelecer e administrar as políticas a serem seguidas pelas AC;
III - aprovar acordo de certificação cruzada e mapeamento de políticas entre
a ICP-Gov e outras ICP externas;
IV - estabelecer critérios para credenciamento das AC e das Autoridades de
Registro - AR;
V - definir a periodicidade de auditoria nas AC e AR e as sanções pelo
descumprimento de normas por ela estabelecidas;
VI - definir regras operacionais e normas relativas a:
a) Autoridade Certificadora - AC;
b) Autoridade de Registro - AR;
c) assinatura digital;
d) segurança
criptográfica;
e) repositório de certificados;
f) revogação de certificados;
g) cópia de segurança e recuperação de chaves;
h) atualização automática de chaves;
i) histórico de chaves;
j) certificação cruzada;
l) suporte a sistema para garantia de irretratabilidade de transações ou de
operações eletrônicas;
m) período de validade de certificado;
n) aplicações cliente;
VII - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas
para a ICP-Gov, em especial da Política de Certificados - PC e das Práticas e Regras de
Operação da Autoridade Certificadora, de modo a garantir:
a) atendimento às necessidades dos órgãos e das entidades da Administração
Pública Federal;
b) conformidade com as políticas de segurança definidas pelo órgão executor da ICP-Gov; e
c) atualização tecnológica.
Art. 7o Para assegurar a manutenção do grau de
confiança estabelecido para a ICP-Gov, as AC e AR deverão credenciar-se junto a
AGP, de acordo com as normas e os critérios por esta autoridade estabelecidos.
Art. 8o Cabe à AC Raiz a emissão e manutenção dos
certificados das AC de órgãos e entidades da Administração Pública Federal e das AC
privadas credenciadas, bem como o gerenciamento da Lista de Certificados Revogados - LCR.
Parágrafo único. Poderão ser instituídos níveis diferenciados de
credenciamento para as AC, de conformidade com a sua finalidade.
Art. 9o As AC devem prestar os seguintes serviços básicos:
I - emissão de
certificados;
II - revogação de certificados;
III - renovação de certificados;
IV - publicação de certificados em diretório;
V - emissão de
Lista de Certificados Revogados - LCR;
VI - publicação de LCR em diretório; e
VII - gerência
de chaves criptográficas.
Parágrafo único. A disponibilização de certificados emitidos e de LCR
atualizada será proporcionada mediante uso de diretório seguro e de fácil acesso.
Art. 10. Cabe às AR:
I - receber as requisições de certificação ou revogação de certificado por
usuários, confirmar a identidade destes usuários e a validade de sua requisição e
encaminhar esses documentos à AC responsável;
II - entregar os certificados assinados pela AC aos seus respectivos
solicitantes.
CAPÍTULO III
DO MODELO OPERACIONAL
Art. 11. A emissão de certificados será precedida de processo de
identificação do usuário, segundo critérios e métodos variados, conforme o tipo ou em
função do maior ou menor grau de sua complexidade.
Art. 12. No
processo de credenciamento das AC, deverão ser utilizados, além de critérios
estabelecidos pela AGP e de padrões técnicos internacionalmente reconhecidos,
aspectos adicionais relacionados a:
I - plano de contingência;
II - política e plano de segurança física, lógica e humana;
III - análise de riscos;
IV - capacidade financeira da proponente;
V - reputação e grau de confiabilidade da proponente e de seus gerentes;
VI - antecedentes e histórico no mercado; e
VII - níveis de proteção aos usuários dos seus certificados, em termos de
cobertura jurídica e seguro contra danos.
Parágrafo único. O disposto nos incisos IV a VII não se aplica aos
credenciamentos de AC Públicas.
Art. 13. Obedecidas às especificações da AGP, os órgãos e as
entidades da Administração Pública Federal poderão implantar sua própria ICP ou
ofertar serviços de ICP integrados à ICP-Gov.
Art. 14. A AC Privada, para prestar serviço à Administração Pública
Federal, deve observar as mesmas diretrizes da AC Governamental, salvo outras exigências
que vierem a ser fixadas pela AGP.
CAPÍTULO IV
DA POLÍTICA DE CERTIFICAÇÃO
Art. 15. Serão definidos tipos de certificados, no âmbito da ICP-Gov,
que atendam às necessidades gerais da maioria das aplicações, de forma a viabilizar a
interoperabilidade entre ambientes computacionais distintos, dentro da Administração
Pública Federal.
§ 1o Serão
criados certificados de assinatura digital e de sigilo, atribuindo-se-lhes os seguintes
níveis de segurança, consoante o processo envolvido:
I -
ultra-secretos;
II -
secretos;
III -
confidenciais;
IV -
reservados; e
V -
ostensivos.
§ 2o
Os certificados, além de outros que a AGP poderá estabelecer, terão uso para:
I -
assinatura digital de documentos eletrônicos;
II -
assinatura de mensagem de correio eletrônico;
III -
autenticação para acesso a sistemas eletrônicos; e
IV -
troca de chaves para estabelecimento de sessão criptografada.
Art. 16. À AGP compete tomar as providências necessárias para que
os documentos, dados e registros armazenados e transmitidos por meio eletrônico, óptico,
magnético ou similar passem a ter a mesma validade, reconhecimento e autenticidade que se
dá a seus equivalentes originais em papel.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Art. 17. Para instituição da ICP-Gov, deverá ser efetuado levantamento
das demandas existentes nos órgãos governamentais quanto aos serviços típicos
derivados da tecnologia de Chaves Públicas, tais como, autenticação, sigilo,
integridade de dados e irretratabilidade das transações eletrônicas.
Art. 18. O Glossário constante do Anexo II apresenta o significado dos
termos e siglas em português, que são utilizados no sistema de Chaves Públicas.
Art. 19. Compete ao Comitê Gestor de Segurança da Informação a
concepção, a especificação e a coordenação da implementação da ICP-Gov, conforme
disposto no art. 4o, inciso XIV, do Decreto no 3.505,
de 13 de junho de 2000.
Art. 20. Fica estabelecido o prazo de cento e vinte dias, contados a
partir da data de publicação deste Decreto, para especificação, divulgação e início
da implementação da ICP-Gov.
Art. 21. Implementados os procedimentos para a certificação digital de
que trata este Decreto, a Casa Civil da Presidência da República estabelecerá
cronograma com vistas à substituição progressiva do recebimento de documentos físicos
por meios eletrônicos.
Art. 22. Este Decreto entra em vigor na data de sua publicação.
Brasília, 5 de setembro de 2000; 179o
da Independência e 112o da República.
FERNANDO HENRIQUE CARDOSO
Guilherme Gomes Dias
Alberto Mendes Cardoso
Este texto não substitui o
publicado no D.O.U. de 6.9.2000
ANEXO II
GLOSSÁRIO
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|