 |
INFORMAÇÕES
AC SERPRO-SRF PERGUNTAS E RESPOSTAS |
|
INFORMAÇÕES
AC SERPRO-SRF PERGUNTAS E RESPOSTAS |
Identificações Digitais representam um meio de fornecer sua identidade em transações eletrônicas, da mesma forma como faz uma carteira de identidade ou passaporte em interações face a face. Com uma Identificação Digital, você pode garantir a seus amigos, parceiros comerciais e serviços on-line que as informações eletrônicas recebidas de você são autênticas. Este documento apresenta as Identificações Digitais e responde a perguntas sobre seu uso.
PERGUNTAS SOBRE A CERTIFICAÇÃO DIGITAL NO BRASIL
Qual é o modelo brasileiro de certificação
digital ?
Qual é a arquitetura do modelo
brasileiro de certificação digital ?
O que é o Comitê Gestor
da ICP-Brasil?
O que é a Autoridade Certificadora
Raiz (AC-Raiz)?
Quem é a AC-Raiz?
O que são as Autoridades Certificadoras
(ACs)?
O que são as Autoridades de Registro?
Os documentos assinados com certificados
ICP-Brasil são válidos juridicamente?
Apenas os certificados emitidos pela
ICP-Brasil têm validade jurídica?
Quais são os tipos de certificados
da ICP-Brasil?
Quais as diferenças entre esses
tipos? NOTA: CCD CRO/RS Indica o Certifidado p/Odontologia
O que é a ACSerpro-SRF?
O que é a DPC da ACSerpro-SRF?
Quais são as Políticas
de Certificado da ACSerpro-SRF?
Onde encontrar informações
sobre a ACSerpro-SRF?
O que é a AR da ACSerpro-SRF?
Quais são os Certificados Digitais
emitidos pela ACSerpro-SRF?
Quais são os tipos de Certificados
Digitais emitidos pela ACSerpro-SRF?
O que é Senha Forte e Senha
Fraca?
Que cuidados precisamos ter com a senha?
Como devemos gerenciar a senha?
Que aplicações devem
usar os certificados de assinatura?
Que aplicações devem
usar os certificados de sigilo?
Quem pode ter um certificado da ICP-Brasil?
Quem são os Titulares de Certificados?
Quais são as obrigações
de Titulares de Certificados?
Quais são os direitos do Usuário
de Certificado (Terceira Parte Confiável)
Qual o Ciclo de Vida de um Certificado?
Que Documentos devem ser lidos antes
da Solicitação de um Certificado e-CNPJ ?
Que Documentos devem ser lidos antes
da Solicitação de um Certificado e-CPF ?
Que Documentos devem ser lidos antes
da Solicitação de um Certificado e-SERVIDOR?
Que Documentos são requeridos
para Identificação de uma Organização na Solicitação
de um Certificado Digital?
Que Documentos são requeridos
para Identificação de uma Pessoa Física na Solicitação
de um Certificado Digital?
Que Procedimentos são necessários
para uma Solicitação de Certificado Digital?
Quando e como Renovar um Certificado
Digital?
Quando e como Revogar um Certificado
Digital?
Como funcionam as Identificações
Digitais?
Por que eu preciso de um certificado
digital?
Qual é o modelo brasileiro
de certificação digital ?
Através da medida provisória nº
2.200-2 (BRASIL, 2001), o poder executivo do presidente Fernando Henrique
Cardoso instituiu a Infraestrutura de Chaves Públicas Brasileira
- ICP-Brasil que foi criada para garantir a autenticidade, a integridade
e a validade jurídica de documentos em forma eletrônica, das
aplicações de suporte e das aplicações habilitadas
que utilizem certificados digitais, bem como a realização
de transações eletrônicas seguras. De acordo com a
medida provisória, a infra-estrutura de chaves públicas irá
utilizar-se de criptografia assimétrica com uma estrutura hierárquica
e o algoritmo matemático utilizado para criptografia deve empregar
tecnologia nacional. A tramitação de documento eletrônico
oficial somente ocorrerá quando devidamente certificado por empresa
integrante da infra-estrutura governamental e classificado quanto ao seu
nível de segurança. Essa nova modalidade de documentos não
exclui nem se sobrepõe aos documentos utilizados atualmente. São
equivalentes e isonômicos. Isto é, o sistema de certificação
eletrônica não introduz conceitos novos nas transações,
apenas estabelece equivalência e isonomia legal entre os documentos
produzidos e obtidos eletronicamente e os documentos firmados em papel,
desde que certificados na ICP- Brasil. Isto significa que as certificações
realizadas por entidades certificadoras não vinculadas à
ICP-Brasil poderão continuar sendo feitas. Nessa condição,
ao certificar determinado documento, as entidades o atestam quanto à
sua autenticidade e integridade, de modo semelhante a uma testemunha. Já
no caso de uma entidade certificadora vinculada ao sistema ICP-Brasil,
seus documentos gozarão de uma presunção de autenticidade
derivada da lei. É importante lembrar que as operações
e transações feitas com ou sem certificação,
efetuada por entidades certificadoras não vinculadas, mantém
a validade relativa que lhes é garantida nos respectivos contratos
e nas leis civis e comerciais do país e continuarão a tê-la.
Qual é a arquitetura do
modelo brasileiro de certificação digital ?
A ICP-Brasil é composta por uma Autoridade Gestora
de Políticas (AGP) e pela cadeia de autoridades certificadoras composta
pela Autoridade Certificadora Raiz - AC-Raiz, pelas Autoridades Certificadoras
- AC e pelas Autoridades de Registro - AR .
O que é o Comitê Gestor
da ICP-Brasil?
De acordo com a Medida Provisória (BRASIL, 2001),
a função de Autoridade Gestora de Políticas será
exercida pelo Comitê Gestor da ICP-Brasil, vinculado à Casa
Civil da Presidência da República e composto por cinco representantes
da sociedade civil, integrantes de setores interessados, designados pelo
Presidente da República, e um representante de cada um dos seguintes
órgãos, indicados por seus titulares: Ministério da
Justiça; Ministério da Fazenda; Ministério do Desenvolvimento,
Indústria e Comércio Exterior; Ministério do Planejamento,
Orçamento e Gestão; Ministério da Ciência e
Tecnologia; Casa Civil da Presidência da República e Gabinete
de Segurança Institucional da Presidência da República.
Este Comitê Gestor recebe apoio técnico do Centro de Pesquisa
e Desenvolvimento para a Segurança das Comunicações
- CEPESC, unidade da Agência Brasileira de Informações
- ABIN.
O que é a Autoridade Certificadora
Raiz (AC-Raiz)?
É a primeira autoridade da cadeia de certificação,
executora das Políticas de Certificados e normas técnicas
e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. A ela
compete emitir, expedir, distribuir, revogar e gerenciar os certificados
das AC de nível imediatamente subseqüente ao seu, gerenciar
a lista de certificados emitidos, revogados e vencidos, e executar atividades
de fiscalização e auditoria das ACs e das AR e dos prestadores
de serviço habilitados na ICP, em conformidade com as diretrizes
e normas técnicas estabelecidas pelo Comitê Gestor da ICP-Brasil.
É vedado à AC-Raiz emitir certificados para o usuário
final. Em 30 de novembro de 2001 foi gerado o par de chaves criptográficas
e o respectivo certificado digital da AC-Raiz da Infra-Estrutura de Chaves
Públicas Brasileira, ICPBrasil. Este evento ocorreu nas instalações
do SERPRO Rio de Janeiro, em ambiente de segurança especialmente
criado para essa finalidade. A partir dessa data é possível
emitir certificados para as Autoridades Certificadoras, AC, que desejarem
fazer parte da ICP-Brasil (BRASIL 2, 2001).
Quem é a AC-Raiz?
O Instituto Nacional de Tecnologia da Informação
(ITI) é a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves
Públicas Brasileira.
O que são as Autoridades
Certificadoras (ACs)?
Às ACs, entidades credenciadas a emitir certificados
digitais vinculando pares de chaves criptográficas ao respectivo
titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados,
bem como colocar à disposição dos usuários
listas de certificados revogados e outras informações pertinentes
e manter registro de suas operações. O par de chaves criptográficas
será gerado sempre pelo próprio titular e sua Chave Privada
de assinatura será de seu exclusivo controle, uso e conhecimento.
O que são as Autoridades
de Registro (ARs)?
São entidades operacionalmente vinculadas a uma
determinada AC. Tem como função identificar e cadastrar usuários
na presença destes para depois encaminhar solicitações
de certificados às ACs e manter registros de suas operações.
Os documentos assinados com certificados
ICP-Brasil são válidos juridicamente?
As declarações constantes dos documentos
em forma eletrônica, produzidos com a utilização de
processo de certificação disponibilizado pela ICP-Brasil,
presumem-se verdadeiras em relação aos signatários,
na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Código
Civil.
Apenas os certificados emitidos
pela ICP-Brasil têm validade jurídica?
O disposto nesta Medida Provisória não
obsta a utilização de outro meio de comprovação
da autoria e integridade de documentos em forma eletrônica, inclusive
os que utilizem certificados não emitidos pela ICP-Brasil, desde
que admitido pelas partes como válido ou aceito pela pessoa a quem
for oposto o documento.
Voltar ao sumário
Quais são os tipos de certificados
da ICP-Brasil?
São 8 (oito) os tipos inicialmente previstos de
certificados digitais para usuários finais da ICPBrasil, sendo 4
(quatro) relacionados com assinatura digital e 4 (quatro) com sigilo, conforme
o descrito a seguir: Tipos de Certificados de Assinatura Digital: Tipo
A1; Tipo A2; Tipo A3 e Tipo A4; Tipos de Certificados de Sigilo:Tipo S1;Tipo
S2;Tipo S3 e Tipo S4.
Quais as diferenças entre
esses tipos?
Os tipos de A1 a A4 e de S1 a S4, indicados acima, definem
escalas de requisitos de segurança, nas quais os tipos A1 e S1 estão
associados aos requisitos menos rigorosos e os tipos A4 e S4 aos requisitos
mais rigorosos. Certificados de tipos A1, A2, A3 e A4 serão utilizados
em aplicações como confirmação de identidade
na Web, correio eletrônico, transações on-line, redes
privadas virtuais, transações eletrônicas, informações
eletrônicas, cifração de chaves de sessão e
assinatura de documentos eletrônicos com verificação
da integridade de suas informações. Certificados de tipos
S1, S2, S3 e S4 serão utilizados em aplicações como
cifração de documentos, bases de dados, mensagens e outras
informações eletrônicas, com a finalidade de garantir
o seu sigilo. Eles se diferenciam, também, pelas características
da Chave Criptográfica (tamanho, processo de geração
em hardware ou software), mídia armazenadora (software, cartão
inteligente, token, etc), validade máxima do certificado, freqüência
de emissão de LCR e tempo limite para revogação. Assim
sendo, as características principais de cada tipo de certificado,
segundo a legislação vigente, são:
- Tipo A1 e S1 Geração do par de chaves:
por Software; Armazenamento da Chave Privada: Repositório (Software)
protegido por senha; Tamanho da chave (bits): 1024 e Validade máx:
1 ano;
- Tipo A2 e S2 Geração do par de chaves:
por Software; Armazenamento da Chave Privada: Repositório (Hardware)
protegido por senha; Tamanho da chave (bits): 1024 e Validade máx:
2 anos;
- Tipo A3 e S3 Geração do par de chaves:
por Hardware; Armazenamento da Chave Privada: Hardware (Cartão Inteligente
ou Token, ambos com capacidade de geração de chave e protegidos
por senha, ou hardware criptográfico aprovado pelo CG da ICP-Brasil);
Tamanho da chave (bits): 1024 e Validade máx: 3 anos (*);
- Tipo A4 e S4 Geração do par de chaves:
por Hardware; Armazenamento da Chave Privada: Hardware (Cartão Inteligente
ou Token, ambos com capacidade de geração de chave e protegidos
por senha, ou hardware criptográfico aprovado pelo CG da ICP-Brasil);
Tamanho da chave (bits): 2048 e Validade máx: 3 anos.
(*) no caso do certificado Tipo A3 emitido pela ACSerpro-SRF
a validade é de 2 anos.
NOTA do CCD CRO/RS - Este é o certificado indicado
para a Odontologia
O que é a ACSerpro-SRF?
O Serviço Federal de Processamento de Dados (SERPRO),
empresa subordinada ao Ministério da Fazenda, opera nas instalações
do Centro de Certificação Digital do SERPRO (CCD-SERPRO)
a Autoridade Certificadora do SERPRO-SRF (ACSerpro-SRF) como uma das Autoridades
Certificadoras que compõem a Infra-estrutura de Chaves Públicas
Brasileira, ICP-Brasil, sob a hierarquia da Autoridade Certificadora da
Secretaria da Receita Federal (AC-SRF). O propósito primário
da ACSerpro-SRF é prover serviços de certificação
aos Titulares de Certificado dentro dos seus respectivos domínios
de Política de Certificados (PC). A ACSerpro-SRF sempre que implementar
um novo tipo de certificado, sob a hierarquia da AC-SRF no âmbito
da ICP-Brasil, deverá publicar a Política de Certificados
(PC) associada ao certificado e solicitar sua aprovação junto
ao Comitê Gestor da ICP-Brasil através da AC-SRF.
O que é a DPC da ACSerpro-SRF?
Uma Declaração de Práticas de Certificação
(DPC) é o documento que contém as práticas e atividades
que uma AC implementa para emitir certificados. É identificada por
"Declaração de Práticas de Certificação
da Autoridade Certificadora do SERPRO-SRF - DPC da ACSerpro-SRF". A DPC
da ACSerpro-SRF descreve as práticas que a ACSerpro-SRF utiliza
ao emitir e administrar certificados sob a hierarquia da AC-SRF no âmbito
da ICP-Brasil. Esta DPC é escrita para suportar o uso dos certificados
da ACSerpro-SRF sob a hierarquia da AC-SRF no âmbito da ICP-Brasil.
Quais são as Políticas
de Certificado da ACSerpro-SRF?
As Políticas de Certificado implementadas pela
ACSerpro-SRF são: 1) Política de Certificado SERPRO-SRF do
Tipo A1; 2) Política de Certificado SERPRO-SRF do Tipo A3.
Onde encontrar informações
sobre a ACSerpro-SRF?
A ACSerpro-SRF mantém página Web https://thor.serpro.gov.br/acserprosrf,
que contém as seguintes informações:
1) A DPC - Declaração de Práticas
de Certificação (DPC da ACSerpro-SRF);
2) As PC - Políticas de Certificado que implementa,
PC SERPRO-SRF A1 e PC SERPRO-SRF A3;
3) Sua LCR - Lista de Certificados Revogados;
4) Certificado da ACSerpro-SRF;
5) Certificado da AC-SRF;
6) Certificado da AC-Raiz da ICP-Brasil;
7) Certificados emitidos pela ACSerpro-SRF.
O que é a AR da ACSerpro-SRF?
A AR vinculada à ACSerpro-SRF tem a responsabilidade
de tratar solicitações de certificado, autenticando a identidade
ou outras credenciais do candidato, aprovando ou rejeitando então
a solicitação. A PC implementada pela ACSerpro-SRF, sob a
hierarquia da AC-SRF no âmbito da ICP-Brasil, possui sua própria
Autoridade de Registro identificada neste mesmo item da sua PC.
Quais são os Certificados
Digitais emitidos pela ACSerpro-SRF?
A ACSerpro-SRF se destina a emitir certificados para
clientes que necessitam utilizar os certificados e-CPF, exclusivo para
pessoas físicas, e-CNPJ, exclusivo para pessoas jurídicas,
além de certificado para equipamentos (e-SERVIDOR) e aplicações.
Quais são os tipos de Certificados
Digitais emitidos pela ACSerpro-SRF?
CERTIFICADO TIPO A1
Geração do par de chaves: por Software;
Armazenamento da Chave Privada: Repositório (Software) protegido
por senha; Tamanho da chave (bits): 1024 e Validade: 1 ano
CERTIFICADO TIPO A3
Geração do par de chaves: por Hardware;
Armazenamento da Chave Privada: Hardware (Cartão Inteligente ou
Token, ambos com capacidade de geração de chave e protegidos
por senha, ou hardware criptográfico aprovado pelo CG da ICP-Brasil);
Tamanho da chave (bits): 1024 e Validade: 2 anos
Os Certificados Digitais e-CPF e e-CNPJ podem ser do
Tipo A1 ou A3.
Os Certificados Digitais e-SERVIDOR só podem ser
emitidos no Tipo A1
O que é Senha Forte e Senha
Fraca?
As senhas são individuais, secretas, intransferíveis
e devem ser protegidas com grau de segurança compatível com
a informação associada. Senha Fraca ou Óbvia é
aquela onde se utilizam caracteres de fácil associação
com o dono da senha, ou que seja muito simples ou pequenas, tais como:
datas de aniversário, casamento, nascimento, o próprio nome,
o nome de familiares, seqüências numéricas simples, palavras
com significado, dentre outras. Existem senhas extremamente fracas, como
as compostas de apenas um caractere, ou com todos os caracteres iguais,
ou comuns como NOVA, GUEST, TESTE, VISITOR, etc, que devem ser evitadas.
A Senha Fraca facilita a tarefa de um possível atacante (usuário
que pretende penetrar em um sistema no qual não possui autorização),
pois utiliza: o próprio nome do usuário, letras iniciais
do nome, nome de parentes ou datas particulares, palavras que estejam em
dicionários, nome de marcas famosas, a própria identificação
(User ID), composição de apenas uma mesma letra, seqüências
particulares do teclado (ex.: ASDFG), palavras de forma invertida, apenas
por letras, etc. A Senha Forte não deve ser uma senha pronunciável,
ou seja, uma cadeia de caracteres composta de consoantes e vogais de forma
alternada. Escolher uma seqüência que gere uma palavra sem sentido.
Deve utilizar as iniciais de uma frase fácil de lembrar, para a
memorização da senha, utiliza pares de palavras separadas
por caracteres de pontuação válidos, ou números
e utiliza pelo menos 7 caracteres.
Que cuidados precisamos ter com
a senha?
Uma vez escolhida uma boa senha, alguns cuidados ainda
devem ser seguidos: NÃO divulgar a senha ou o processo de geração
da senha; NÃO introduzir a senha quando alguém mais puder
observar suas mãos; NÃO anotar a senha em locais públicos
(mesas, paredes ou terminais). Memorizar a senha atual. Se for realmente
necessário, anotá-la em uma agenda pessoal e de forma invertida,
por exemplo. Trocar a senha periodicamente, ou quando suspeitar que ela
ficou comprometida. Quanto maior o tempo em que uma senha é usada,
maior é a oportunidade de exposição.
Como devemos gerenciar a senha?
O usuário tem responsabilidades no processo de
gerenciar suas senhas. Deve manter a senha individual, manter o sigilo
de sua senha, não a revelando à secretária, chefe,
colega, etc.; Informar ao administrador as alterações no
seu status (licença, movimentação funcional, desligamento,
etc); Trocar periodicamente sua senha, quando o sistema solicitar ou quando
houver suspeita de exposição da senha; Gerar suas senhas
de acordo com as regras e orientações definidas, de forma
a torná-las fáceis de serem lembradas e difíceis de
serem adivinhadas; memorizar suas senhas e não escrevê-las
em lugar algum; Trocar sua senha inicial no primeiro acesso; Observar as
informações fornecidas pelo sistema, referentes a data e
hora do último acesso, a partir de qual terminal, ou as últimas
tentativas sem sucesso; Relatar ao administrador as suspeitas de violação
de segurança; Identificar-se sempre que o sistema solicitar (geralmente
sistemas remotos ou de maior segurança); Assinar um termo de compromisso
reconhecendo suas responsabilidades relativas aos sistemas de infomação
e senhas.
Que aplicações devem
usar os certificados de assinatura?
Certificados de tipos A1, A2, A3 e A4 serão utilizados
em aplicações como confirmação de identidade
na Web, correio eletrônico, transações on-line, redes
privadas virtuais,transações eletrônicas, informações
eletrônicas, cifração de chaves de sessão e
assinatura de documentos eletrônicos com verificação
da integridade de suas informações.
Que aplicações devem
usar os certificados de sigilo?
Certificados de tipos S1, S2, S3 e S4 serão utilizados
em aplicações como cifração de documentos,
bases de dados, mensagens e outras informações eletrônicas,
com a finalidade de garantir o seu sigilo.
Quem pode ter um certificado da
ICP-Brasil?
Certificados de quaisquer dos tipos relacionados acima,
de assinatura ou de sigilo, podem, conforme a necessidade, ser emitidos
pelas ACs para pessoas físicas (e-CPF), pessoas jurídicas
(e-CNPJ), equipamentos ou aplicações (e-SERVIDOR).
Quem são os Titulares de
Certificados?
Titulares de Certificados são as entidades - pessoas
físicas ou jurídicas, autorizados pela AR responsável
a receber um certificado digital emitido pela ACSerpro-SRF, tanto para
sua própria utilização ou para utilização
em equipamentos e aplicações.
Quais são as obrigações
de Titulares de Certificados?
Titulares de Certificados sob esta DPC cumprem as seguintes
obrigações:
1) Fornecer, de modo completo e preciso, todas as informações
necessárias para sua identificação;
2) Garantir a proteção e o sigilo de suas
Chaves Privadas, senhas e dispositivos criptográficos de acordo
com as recomendações previstas na PC correspondente;
3) Utilizar os seus certificados e Chaves Privadas de
modo apropriado, conforme o previsto na PC correspondente;
4) Conhecer os seus direitos e obrigações,
contemplados pela DPC, pela PC correspondente e por outros documentos aplicáveis
da ICP-Brasil;
5) Notificar imediatamente a AR de qualquer erro ou defeito
nos certificados , ou de qualquer mudança subseqüente na informação
do certificado;
6) Informar à ACSerpro-SRF, através de
sua AR, qualquer comprometimento de sua Chave Privada e solicitar a imediata
revogação do certificado correspondente;
7) Assinar o Termo de Adesão e Responsabilidade
ou de Adesão e Titularidade do certificado descrito na PC implementada
pela ACSerpro-SRF.
Quais são os direitos do
Usuário de Certificado (Terceira Parte Confiável)
Considera-se Usuário de Certificado a entidade
que confia no teor, validade e aplicabilidade do certificado digital. Constituem
direitos do Usuário de Certificado:
1) Recusar a utilização do certificado
para fins diversos dos previstos na PC correspondente;
2) Verificar, a qualquer tempo, a validade do certificado.
Um certificado emitido pela ACSerpro-SRF é considerado válido
quando:
. Não constar da LCR da ACSerpro-SRF;
. Não estiver expirado; e
. Puder ser verificado com o uso de certificado válido
da ACSerpro-SRF.
O não exercício desses direitos não
afasta a responsabilidade da ACSerpro-SRF e do titular do certificado.
Qual o Ciclo de Vida de um Certificado?
Todo Certificado será objeto de uma Solicitação,
uma Validação após comprovação do pagamento
da sua respectiva taxa, uma Emissão, o Uso durante a seu Período
de Validade e uma Renovação ou uma Revogação.
Que Documentos devem ser lidos
antes da Solicitação de um Certificado e-CNPJ ?
Ao Solicitar um Certificado e-CNPJ, o interessado deverá
assinar um Termo de Adesão e Responsabilidade em que deverá
declarar conhecer e concordar com as cláusulas e condições
contidas nos documentos abaixo:
TERMO DE CONTRATO DE PRESTAÇÃO DE
SERVIÇOS DE CERTIFICAÇÃO DIGITAL DE PESSOA JURÍDICA
(e-CNPJ), que entre si firmam, de um lado, como CONTRATADA, o Serviço
Federal de Processamento de Dados (SERPRO), e, de outro, a EMPRESA CONTRATANTE
identificada no documento, e no ato representada.
Os documentos da ACSerpro-SRF:
· Declaração de Práticas
de Certificação (DPCSERPRO-SRF);
· Política de Certificados A1 (PCSERPRO-SRFA1)
· Política de Certificados A3 (PCSERPRO-SRFA3)
e
· Política de Segurança (PSSERPRO-SRF),
todos publicadas no sítio https://thor.serpro.gov.br/acserprosrf
Que Documentos devem ser lidos
antes da Solicitação de um Certificado e-CPF ?
Ao Solicitar um Certificado e-CPF, o interessado deverá
assinar um Termo de Adesão e Responsabilidade em que deverá
declarar conhecer e concordar com as cláusulas e condições
contidas nos documentos abaixo:
TERMO DE CONTRATO DE PRESTAÇÃO DE SERVIÇOS DE CERTIFICAÇÃO DIGITAL DE PESSOA FÍSICA (e-CPF), que entre si firmam, de um lado, como CONTRATADA, o Serviço Federal de Processamento de Dados (SERPRO), e, de outro, a CONTRATANTE identificada no documento.
Os documentos da ACSerpro-SRF:
· Declaração de Práticas
de Certificação (DPCSERPRO-SRF);
· Política de Certificados A1 (PCSERPRO-SRFA1)
· Política de Certificados A3 (PCSERPRO-SRFA3)
e
· Política de Segurança (PSSERPRO-SRF),
todos publicadas no sítio https://thor.serpro.gov.br/acserprosrf
Que Documentos devem ser lidos
antes da Solicitação de um Certificado e-SERVIDOR?
Ao Solicitar um Certificado e-SERVIDOR, o interessado
deverá assinar um Termo de Adesão e Responsabilidade em que
deverá declarar conhecer e concordar com as cláusulas e condições
contidas nos documentos abaixo:
TERMO DE CONTRATO DE PRESTAÇÃO DE SERVIÇOS DE CERTIFICAÇÃO DIGITAL DE EQUIPAMENTO (SERVIDOR) DE PESSOA JURÍDICA (e-SERVIDOR), que entre si firmam, de um lado, como CONTRATADA, o Serviço Federal de Processamento de Dados (SERPRO), e, de outro, a EMPRESA CONTRATANTE identificada no documento, e no ato representada.
Os documentos da ACSerpro-SRF:
· Declaração de Práticas
de Certificação (DPCSERPRO-SRF);
· Política de Certificados A1 (PCSERPRO-SRFA1)
· Política de Certificados A3 (PCSERPRO-SRFA3)
e
· Política de Segurança (PSSERPRO-SRF),
todos publicadas no sítio https://thor.serpro.gov.br/acserprosrf
Que Documentos são requeridos
para Identificação de uma Organização na Solicitação
de um Certificado Digital?
O processo de autenticação da pessoa jurídica
é feito por Autoridade de Registro (AR) da ACSerpro-SRF, e exige
a presença física do Titular do Certificado, nas Salas de
AR´s, com cópias dos documentos autenticados em cartório.
Serão exigidos os seguintes documentos e ações comprovando
a identidade da Pessoa Jurídica:
1) Registro comercial, no caso de empresa individual;
2) Ato constitutivo, estatuto ou contrato social em vigor,
devidamente registrado, em se tratando de sociedades comerciais ou civis,
e , no caso de sociedades por ações, acompanhado de documentos
de eleição de seus administradores. No momento da solicitação
do certificado de pessoa jurídica será realizada consulta
prévia à situação cadastral do CNPJ da organização,
junto ao cadastro da SRF. Se o CNPJ informado existir na base de dados,
será verificada sua situação cadastral. Se estiver
em situação que impeça o fornecimento do certificado,
isto é, se estiver em situação cadastral de INAPTO,
CANCELADO ou SUSPENSO, a solicitação do certificado não
será enviada à ACSerpro-SRF.
Que Documentos são requeridos
para Identificação de uma Pessoa Física na Solicitação
de um Certificado Digital?
O processo de autenticação da identidade
dos Titulares de Certificado é feito por Autoridade de Registro
(AR), que faz a checagem mediante a presença física do interessado
e dos documentos de identificação legalmente aceitos. São
apresentados e validados, acompanhados de cópia simples, os seguintes
documentos:
1) Cédula de Identidade;
2) Cadastro de Pessoa Física (CPF);
3) Comprovante de residência;
4) PIS/PASEP;
5) Titulo de eleitor. No momento da solicitação
do certificado será realizada consulta prévia à situação
cadastral do CPF do Titular do Certificado junto ao cadastro da SRF. Se
o CPF informado existir na base de dados, será verificada sua situação
cadastral. Se estiver em situação que impeça o fornecimento
do certificado, isto é, se estiver em situação cadastral
CANCELADO, a solicitação do certificado não será
enviada à ACSerpro-SRF.
Que Procedimentos são necessários
para uma Solicitação de Certificado Digital?
A página web para solicitação de
certificados é https://thor.serpro.gov.br/acserprosrf. Os Titulares
de Certificados escolhem o tipo do certificado, preenchem e assinam Termo
de Adesão e Responsabilidade do Certificado em duas vias, após
o preenchimento dos campos da solicitação de certificado.
Uma das vias, validada e rubricada pela AR, fica em poder do Titular do
Certificado e a outra é arquivada pela AR junto com as cópias
dos documentos apresentados pelo Titular. Os documentos apresentados pelo
Titular serão acondicionados em envelope etiquetado contendo as
seguintes informações: nome do cliente, tipo do certificado,
data da solicitação do certificado. Em seguida é arquivado
em armário específico, contendo chave, onde os envelopes
serão agrupados em ordem alfabética. A AR adota procedimentos
seguros para a guarda de toda a documentação de certificação
digital pelo prazo de 30 anos. Observações quanto ao e-SERVIDOR:
Solicitações de certificados para equipamentos e aplicações
deverão ser realizados pela pessoa física legalmente responsável
por sua utilização. Caberá à AR verificar a
autorização atribuída ao solicitante, bem como a presença
dos documentos relacionados acima, referentes ao Titular do Certificado.
O responsável de que trata o parágrafo anterior assinará
Termo de Adesão e Titularidade do certificado, a ser mantido junto
à documentação exigida neste item, e será,
para todo o efeito legal, Titular do Certificado emitido. Essa documentação
será arquivada separadamente da documentação dos Titulares
de Certificados. A solicitação do certificado de equipamento
é efetuado através da página clicando na opção
"Solicitar Certificados de Servidor" .
Quando e como Renovar um Certificado
Digital?
Os Titulares de Certificado serão comunicados
da necessidade da renovação com uma antecedência mínima
de um mês pela ACSerpro-SRF. As solicitações de renovação
de certificados, que implica na Geração de novo par de chaves
antes da expiração do atual, serão feitas pelos próprios
Titulares de Certificado quando do recebimento dessa notificação,
por meio eletrônico, na mesma página da Solicitação
do Certificado (https://thor.serpro.gov.br/acserprosrf) e assinada digitalmente
com o uso de certificado vigente de mesmo tipo, podendo repetir esse procedimento
por 2 (duas) ocorrências sucessivas.
Quando e como Revogar um Certificado
Digital?
O responsável notificará a Autoridade Certificadora
(ACSerpro-SRF) enviando a Solicitação de Revogação,
disponível no sítio (https://thor.serpro.gov.br/acserprosrf),
para que esta promova a revogação do Certificado Digital
emitido, sempre que ocorrer um dos seguintes eventos:
Houver mudança em qualquer informação
contida no Certificado Digital;
Em caso de suspeita ou evidência de comprometimento
de chaves privadas ou senhas assim como da mídia de armazenamento;ü
A pedido formal do Titular do Certificado Digital, quando não houver
mais interesse na utilização do Certificado Digital, conforme
procedimentos e prazos constantes nos itens 4.4.3 e 4.4.4 das Políticas
de Certificados. A ACSerpro-SRF promoverá a revogação
do Certificado Digital sempre que ocorra um dos seguintes eventos:
Emissão imprópria ou defeituosa do certificado;
Encerramento das operações da ACSerpro-SRF;
Certificado da ACSerpro-SRF, da AC-SRF ou da AC-Raiz
da ICP-Brasil é revogado.
Após a revogação, se a CONTRATANTE
tiver interesse em obter um novo Certificado Digital, deverá arcar
novamente com os custos descritos na Cláusula Quarta do respectivo
contrato, não havendo restituição do valor cobrado
pelo Certificado Digital anterior, mesmo que proporcional ao tempo não
utilizado.
Como funcionam as Identificações
Digitais?
Identificações Digitais usam técnicas
de criptografia de Chave Pública que utilizam duas chaves relacionadas,
uma Chave Pública e uma Chave Privada. Na criptografia de Chave
Pública, ela é disponibilizada para qualquer pessoa que deseje
se corresponder com o proprietário do par de chaves. A Chave Pública
pode ser usada para verificar uma mensagem assinada com a Chave Privada
ou para criptografar mensagens que só possam ser decodificadas com
a Chave Privada. A segurança das mensagens criptografadas dessa
forma depende da segurança da Chave Privada, que deve ser protegida
contra uso não-autorizado.
Em uma Identificação Digital, um par de chaves é vinculado a um nome de usuário e outras informações de identificação. Quando instalada em um navegador da Web, uma Identificação Digital funciona como uma credencial eletrônica que os sites podem verificar. Isso permite que elas substituam caixas de diálogo de senhas para informações ou serviços que exijam associação ou que restrinjam acesso a usuários específicos.
Uma Identificação Digital é assinada
pela Autoridade de Certificação que a emitiu. Várias
Identificações Digitais podem ser anexadas a uma mensagem
ou transação, formando uma cadeia de certificados em que
cada Identificação Digital confirma a autenticidade da anterior.
A autoridade de certificação de nível superior deve
ser independente e ter a confiança do destinatário.
Por que eu preciso de um certificado
digital?
O potencial das oportunidades de negócios e serviços
oferecidos pela Internet é fenomenal. De operações
bancárias até compras via Internet e informações
de serviços virtuais (online), a segurança continua sendo
a maior preocupação. O controle de acesso através
de uma simples senha não é mais adequado. Controlar o acesso
através de algo que você conhece, a senha, e de algo que você
possui, o certificado digital, é muito mais seguro. Mais e mais
companhias que fazem negócios na Internet estão acordando
para esta realidade e requerendo o uso de certificados digitais para seus
clientes. Todavia, não são apenas os clientes virtuais que
irão precisar de certificados digitais. Servidores que operam comércio
eletrônico na Internet irão precisar de certificados digitais
também. Aqui, por causa da verificação da identidade
pela CA antes de sua emissão, a presença de um certificado
digital atestará a integridade do negócio, fornecendo aos
consumidores virtuais a garantia que estão tratando com um negócio
legítimo.
Informações totais sobre Certificado Digital
no Serpo https://thor.serpro.gov.br/acserprosrf/docs/pcserprosrfA3.pdf