Resolução CG/ICP nº 56 de 28/11/2008
Norma Federal - Publicado no DO em 01 dez 2008
Altera os CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES DA ICP-BRASIL.
Notas:
1) Revogada pela Resolução CG/ICP nº 72, de 18.11.2009, DOU 20.11.2009.
2) Assim dispunha a Resolução revogada:
"O SECRETÁRIO EXECUTIVO DO COMITÊ GESTOR DA INFRA-ESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA - CG ICP-BRASIL, no exercício do cargo de Coordenador do referido Comitê, no uso das atribuições legais previstas nos incisos I, V e VI do art. 4º da Medida Provisória nº 2.200-2, de 24 de agosto de 2001,
Considerando o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira - CG ICP-Brasil e fixa a competência, prevista em seu § 6º art. 2º, do Secretário Executivo para coordená-lo na hipótese de ausência do Coordenador titular e seu suplente; e
Considerando a necessidade de adequar os documentos da ICP-Brasil para incluir as referências a Carimbo do Tempo;
Resolve:
Art. 1º O Anexo da Resolução do Comitê Gestor da ICP-Brasil nº 44 , de 18 de abril de 2006, passa a vigorar dos seguintes itens:
"1.5 Para os efeitos deste documento, considera-se como ACT responsável aquela que, possuindo PSS que lhe estejam diretamente vinculados, deve providenciar a realização de auditorias em tais entidades. "
"5.2 As auditorias de conformidade de ACT ou PSS vinculados a uma ACT têm por objeto todos os aspectos relacionados com a emissão de carimbos do tempo, incluindo o controle dos processos de solicitação, emissão e entrega dos carimbos do tempo aos subscritores."
Parágrafo único. Ficam renumerados os item 5.2 e 5.3, anteriormente existentes, para 5.3 e 5.4, respectivamente.
Art. 2º O Anexo da Resolução Comitê Gestor da ICP-Brasil nº 44 , de 18 de abril de 2006, passa a vigorar com a seguinte redação:
§ 1º no item 2.2: "Cada AC e ACT deverá encaminhar para aprovação da AC Raiz, até o dia 15 (quinze) de março de cada ano, seu plano anual de auditorias para todas as entidades da ICP-Brasil a ela vinculadas diretamente"
§ 2º no item 2.4: "Cada AC e ACT deverá disponibilizar à AC Raiz e às ACs de nível imediatamente superior, se for o caso, relatórios anuais de auditoria das entidades da ICP-Brasil a ela vinculadas diretamente, no máximo em 30 (trinta) dias, contados da data de emissão do relatório de auditoria"
§ 3º no item 3.1: "Podem executar auditorias no âmbito da ICP-Brasil as seguintes entidades, observado o disposto na tabela abaixo:
a) Comitê Gestor da ICP-Brasil ou seus prepostos;
b) AC Raiz;
c) Autoridades Certificadoras;
d) Autoridades de Carimbo do Tempo;
e) Empresas de Auditoria Especializada e Independentes;
f) Órgãos de Auditoria Interna de AR, no caso de empresas que os possuam, por força de lei."
| EXECUTOR DA AUDITORIA | ||
| Pré-operacional | Operacional | |
| AC Raiz | Comitê Gestor da ICP-Brasil ou seus prepostos | Comitê Gestor da ICP-Brasil ou seus prepostos |
| AC de 1º Nível | AC Raiz | AC Raiz |
| AC de 2º Nível | AC Raiz | Empresa de Auditoria Independente cadastrada junto à ICP-Brasil |
| AR | Empresa de Auditoria Independente cadastrada junto à ICP-Brasil | AC à qual a AR se vincula ou Auditoria Interna da AR cadastrada junto à ICP-Brasil ou Empresa de Auditoria Independente cadastrada junto à ICP-Brasil |
| AR no Exterior | AC Raiz ou, a seu critério, Empresa de Auditoria Independente cadastrada junto à ICP-Brasil | AC Raiz ou, a seu critério, Empresa de Auditoria Independente cadastrada junto à ICP-Brasil |
| ACT | AC-Raiz | AC-Raiz |
| PSS | Empresa de Auditoria Independente cadastrada junto à ICP-Brasil | AC ou ACT à qual o PSS se vincula ou Empresa de Auditoria Independente cadastrada pela AC-Raiz |
§ 4º no item 3.4: "As auditorias pré-operacionais das ACs e ACTs ão sempre realizadas pela AC Raiz"
§ 5º no item 3.7: "As auditorias operacionaisdas ARs e dos PSSs deverão ser realizadas pela própria AC ou ACT à qual se vinculam ou por Empresa de Auditoria Especializada e Independente, cadastrada conforme item 6 deste documento e devidamente autorizada a atuar conforme item 7 deste documento."
§ 6º no item 5.4: "Os tópicos cobertos por uma auditoria de conformidade incluem, dentre outros:
a) Ambiente de operação
i. Segurança de Pessoas
ii. Segurança Física
iii. Segurança Lógica
iv. Segurança de Rede
v. Segurança da Informação
vi. Gerenciamento de Chaves da entidade
b.1) Ciclo de Vida dos Certificados, no caso de AC, AR ou PSS vinculado a AC ou AR
i. Solicitação
ii. Validação
iii. Emissão
iv. Revogação
b.2) Ciclo de Vida dos Carimbos do Tempo, no caso de ACT ou PSS vinculado a ACT
i. Solicitação
ii. Emissão
iii. Entrega
c) Outros Controles"
§ 7º no item 7.3: "O pedido de autorização será submetido à AC Raiz, por intermédio da AC ou ACT responsável, acompanhado da seguinte documentação:
a) Quanto aos auditores que realizarão a auditoria e, se for o caso, sócios e diretores da Empresa de Auditoria Independente, declaração de que:
i. não estão cumprindo nenhuma penalidade aplicada pela Administração Pública Federal;
ii. não foram declarados inidôneos em qualquer esfera de Governo;
iii. são totalmente independentes da entidade auditada; e
iv. não têm participação acionária na ACT, na AC Principal, nas ACs Subseqüentes, nas ARs vinculadas e na empresa prestadora de serviço de suporte que serão auditadas....."
§ 8º no item 8.1: "8.1. A AC ou ACT responsável e a entidade auditada devem fornecer ao auditor todos os elementos e condições necessárias ao perfeito desempenho de suas funções."
§ 9º no item 8.2: "Os documentos, registros históricos e demais elementos materiais que deram subsídios à elaboração dos relatórios ficarão sob guarda da AC ou ACT responsáveis, em local seguro, pelo prazo mínimo de 5 (cinco) anos, podendo a AC Raiz, a qualquer tempo, solicitar vista do material."
§ 10. no item 8.3: "O acesso aos documentos a que se refere o parágrafo anterior só será permitido com a presença simultânea de um representante da AC ou ACT responsável e de um representante da empresa de Auditoria Independente ou do Órgão de Auditoria Interna."
§ 11. no item 8.4: "Os auditores somente informarão os resultados da auditoria à entidade auditada, à AC ou ACT responsável e à AC Raiz."
§ 12. no item 8.5: "O auditor adotará, no exercício da atividade de auditoria, os procedimentos dispostos neste documento, consolidados em relatório final de auditoria, a ser submetido à AC Raiz por parte da AC ou ACT responsável.
§ 13. no item 8.6: "O relatório de auditoria poderá contemplar avaliação sobre a atuação da empresa prestadora de serviço de suporte às ACTs e ACs subseqüentes e poderá estender-se às ARs vinculadas."
§ 14. no item 9.5: "A AC Raiz, em casos de iminente dano irreparável ou de difícil reparação a terceiros, suspenderá cautelarmente, no todo ou em parte, a emissão de certificados pela AC de nível imediatamente subseqüente ao seu, ou a emissão de carimbos do tempo pelas ACTs credenciadas."
Art. 3º Fica aprovada a versão 3.0 dos CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES DA ICP-BRASIL (DOC-ICP-08),que incorpora as alterações dos artigos anteriores.
Parágrafo único. O documento citado no caput deste artigo encontra-se publicado no sítio www.iti.gov.br.
Art. 4º Esta Resolução entra em vigor na data de sua publicação.
RENATO DA SILVEIRA MARTINI"