O Diretor-Presidente Substituto do Instituto Nacional de Tecnologia da Informação, no uso de suas atribuições, conforme art. 9º do Decreto, nº 4.689, de 7 de maio de 2003, Considerando a necessidade de estabelecer normas procedimentais internas referentes aos processos de credenciamento de Autoridades Certificadoras (AC), Autoridades de Registro (AR) e Prestadores de Serviço de Suporte (PSS) no âmbito desta Autarquia, Resolve:

Art. 1º Para fins desta Portaria, considera-se:

I - Prestadores de Serviço de Certificação: Autoridade Certificadora - AC (Principal ou Subseqüente), Autoridade de Registro - AR, e Prestadores de Serviço de Suporte - PSS;

II - Autoridade Certificadora Principal - AC Principal: a entidade imediatamente subseqüente à Autoridade Certificadora Raiz - AC Raiz;

III - Autoridade Certificadora Subseqüente - AC Subseqüente: a entidade imediatamente subseqüente a uma Autoridade Certificadora Principal ou a outra Autoridade Certificadora Subseqüente já credenciada;

IV - Autoridade de Registro - AR: a entidade operacionalmente vinculada a determinada AC (Principal ou Subseqüente), competente para validar a identificação e cadastrar titulares e responsáveis pelo uso de certificados digitais, na presença destes, bem como desempenhar outras atividades correlatas;

V - Prestador de Serviço de Suporte - PSS: a entidade operacionalmente vinculada a determinada AC (Principal ou Subseqüente) ou AR, competente para, entre outras atividades, disponibilizar recursos humanos especializados e/ou infra-estrutura física e lógica.

Art. 2º Considera-se, ainda, para fins desta Portaria:

I - Declaração de Prática de Certificação - DPC: documento que descreve as práticas e atividades que a Autoridade Certificadora (Principal ou Subseqüente) implementa na execução dos seus serviços, de acordo com a Resolução CG ICP-Brasil nº 8, de 12 de dezembro de 2001;

II - Política de Certificado - PC: documento que estabelece os tipos de certificados emitidos pela Autoridade Certificadora (Principal ou Subseqüente), processos de solicitação, revogação e emissão dos mesmos, e outros procedimentos empregados na prestação do serviço de certificação, de acordo com a Resolução CG ICP-Brasil nº 7, de 12 de dezembro de 2001;

III - Política de Segurança - PS: documento que contém as diretrizes de segurança que devem ser implementadas pelas entidades integrantes da ICP-Brasil, com objetivo de reduzir riscos e garantir a integridade, o sigilo e a disponibilidade dos sistemas de informação, abrangendo, entre outros, os aspectos de segurança humana, física e lógica, de acordo com a Resolução CG ICP-Brasil nº 2, de 25 de setembro de 2001;

IV - Processo Principal: o que se refere à solicitação de credenciamento de órgãos, entidades públicas, bem como pessoas jurídicas de direito privado como Autoridade Certificadora Principal;

V - Processo de AC Subseqüente: o que se refere à solicitação de credenciamento de órgãos, entidades públicas bem como pessoas jurídicas de direito privado como Autoridade Certificadora Subseqüente;

VI - Processo de AR: o que se refere à solicitação de credenciamento de órgãos, entidades públicas, bem como pessoas jurídicas de direito privado como Autoridade de Registro vinculada a determinada Autoridade Certificadora (Principal ou Subseqüente), com personalidade jurídica diversa do solicitante;

VII - Processo de PSS: o que se refere à solicitação de credenciamento de órgãos, entidades públicas, bem com pessoas jurídicas de direito privado como Prestador de Serviço de Suporte vinculado a determinada Autoridade Certificadora (Principal ou Subseqüente) ou Autoridade Registro, com personalidade jurídica diversa do solicitante;

VIII - Processo Base de Manutenção de Credenciamento - PBMC: o que conterá toda a documentação protocolada pela Autoridade Certificadora (Principal ou Subseqüente) após o seu credenciamento, à exceção da(s) Política(s) de Certificado - PC, além da documentação produzida pelo ITI; e

IX - Apenso ao Processo Base de Manutenção de Credenciamento - APBMC: o que receberá a documentação referente à(s) Política(s) de Certificado - PC gerada após a finalização do processo de credenciamento da Autoridade Certificadora (Principal ou Subseqüente).

§ 1º Todos os processos deverão ter número próprio de protocolo e indicar os números de todos os processos a ele vinculados, seguindo a cadeia de prestadores serviço de certificação até se chegar ao Processo Principal.

§ 2º Quando da solicitação de credenciamento de novas Políticas de Certificado por Autoridade Certificadora (Principal ou Subseqüente) já credenciada, será aberto novo apenso ao Processo Base de Manutenção Credenciamento com número próprio de protocolo, para autuação da citada documentação.

§ 3º As solicitações de alteração de DPC, PS e PC deverão ser encaminhadas em documentos separados, sendo a DPC e a PS juntadas ao PBMC e a PC ao APBMC.

§ 4º Não será aberto PBMC para os Processos de AR ou de PSS.

§ 5º Quando um PSS - já credenciado - solicitar novo credenciamento como entidade vinculada a outra Autoridade Certificadora ou Autoridade de Registro da mesma cadeia, não será aberto outro Processo de PSS, devendo a documentação ser juntada ao processo já em andamento.

§ 6º Quando uma AR - já credenciada - solicitar novo credenciamento como entidade vinculada a outra Autoridade Certificadora na mesma cadeia, não será aberto outro Processo de AR.

Art. 3º A solicitação de credenciamento de AC, de AR e de PSS será entregue no Protocolo-Geral do Instituto Nacional de Tecnologia da Informação - ITI, e recebida em até 30 (trinta) dias, devendo ser instruída com a documentação prevista na Resolução CG ICP-Brasil nº 6, de 22 de novembro de 2001.

Art. 4º Após a formalização e instrução do processo, este será encaminhado à Procuradoria Federal Especializada que se manifestará, mediante parecer, sobre os aspectos jurídicos da documentação entregue pelo candidato ao credenciamento.

§ 1º Estando a documentação solicitada regular e tempestiva, o Diretor-Presidente do ITI emitirá despacho de recebimento que será publicado no Diário Oficial da União, determinando o prazo para a realização das diligências de auditoria e fiscalização.

§ 2º Caso a documentação esteja incompleta, o candidato será intimado para apresentar a documentação faltante no prazo máximo de 10 (dez) dias, a contar da publicação do despacho do Diretor-Presidente do ITI no Diário Oficial da União.

§ 3º Não sendo a documentação solicitada na forma do parágrafo anterior entregue no prazo estipulado o processo de credenciamento será arquivado.

Art. 5º Após o despacho de recebimento da documentação o processo será encaminhado à Diretoria de Auditoria, Fiscalização e Normalização, para início das diligências de auditoria e fiscalização.

§ 1º Durante as diligências de auditoria e fiscalização, a AC Raiz poderá exigir documentação adicional contendo especificações sobre equipamentos, produtos de hardware e software, procedimentos técnicos e operacionais adotados pela candidata.

§ 2º A documentação solicitada na forma do parágrafo anterior será entregue diretamente à Coordenadoria-Geral de Auditoria e Fiscalização e não integrará qualquer processo.

§ 3º Durante as diligências de auditoria e fiscalização, a Diretoria de Auditoria, Fiscalização e Normalização poderá encaminhar o processo de credenciamento à Procuradoria Federal Especializada para emissão de parecer acerca de outros aspectos legais envolvidos.

Art. 6º Em continuidade às diligências de auditoria e fiscalização, a Diretoria de Auditoria, Fiscalização e Normalização encaminhará à candidata ofício com aviso de recebimento, agendando o período em que serão efetuados os procedimentos de auditoria in loco.

Parágrafo único. A desistência de solicitação de credenciamento em tramitação poderá ser requerida até a data em que for juntado aos autos o aviso de recebimento de que trata o caput.

Art. 7º Realizada inspeção in loco será efetuado relatório de auditoria e fiscalização.

§ 1º Caso os critérios exigidos para o credenciamento estejam de acordo como as normas e diretrizes da ICP-Brasil o relatório de que trata o caput será o final.

§ 2º Sendo apontado o não-cumprimento de quaisquer dos critérios exigidos para o credenciamento o relatório de que trata o caput será preliminar e a AC Raiz intimará a candidata para que os cumpra no prazo que fixar.

§ 3º Após a comunicação da candidata de que atendeu os critérios de credenciamento apontados como não cumpridos, a AC Raiz realizará auditoria complementar de modo a verificar as medidas adotadas.

Art. 8º Concluídos os procedimentos de auditoria a Diretoria de Auditoria, Fiscalização e Normalização elaborará relatório final de auditoria e fiscalização, que será submetido a aprovação do Diretor-Presidente do ITI que se manifestará sobre o deferimento ou indeferimento da solicitação de credenciamento.

Art. 9º Deferido o credenciamento será emitido o certificado pela AC Raiz ou por Autoridade Certificadora (Principal ou Subseqüente) e publicada portaria com seus dados.

Art. 10. Somente a entidade auditada e os auditores da AC Raiz têm acesso aos relatórios de auditoria e fiscalização, devendo o parecer com a conclusão do relatório de auditoria constar do processo.

Art. 11. As manifestações da Procuradoria Federal Especializada acerca das questões suscitadas pela Diretoria de Auditoria, Fiscalização e Normalização deverão ser juntadas ao respectivo processo.

Art. 12. Todos os documentos encaminhados ao ITI deverão indicar o número do processo respectivo, observadas as regras dispostas nesta Portaria, bem como o assunto tratado.

Parágrafo único. O envio de documento por meio eletrônico deverá ser assinado digitalmente com uso de certificado da ICP-Brasil e, preferencialmente, em formato Rich Text.

Art. 13. Todos os despachos, cópias das publicações no Diário Oficial da União, bem como as folhas de rosto dos faxes enviados e as confirmações serão arquivados no processo a que se referem.

Art. 14. As notificações, intimações, solicitações ou qualquer outra comunicação serão feitas, preferencialmente, por correio eletrônico assinado digitalmente, ou, na sua impossibilidade, por ofício da autoridade competente ou publicação no Diário Oficial da União.

Art. 15. Esta Portaria entra em vigor na data de sua publicação.

RENATO DA SILVEIRA MARTINI