Declaração de Práticas de Negócio

SUMÁRIO
1 INTRODUÇÃO 
1.1 VISÃO GERAL
1.2 COMUNIDADE E APLICABILIDADE
1.2.1. AUTORIDADE DE REGISTRO – AR 
1.2.1.1 DADOS DA AUTORIDADE DE REGISTRO
1.3 APLICABILIDADE
2 DISPOSIÇÕES GERAIS
2.1 OBRIGAÇÕES DAS AUTORIDADES DE REGISTRO – AR
3 IDENTIFICAÇÃO E AUTENTICAÇÃO
3.1 REGISTRO INICIAL
3.1.1 DISPOSIÇÕES GERAIS
3.1.2 AUTENTICAÇÃO DA IDENTIDADE DE UM INDIVÍDUO
3.1.2.1 DOCUMENTOS PARA EFEITOS DE IDENTIFICAÇÃO DE UM INDIVÍDUO
3.1.3 AUTENTICAÇÃO DA IDENTIDADE DE UMA ORGANIZAÇÃO
3.1.3.1 DISPOSIÇÕES GERAIS
3.1.3.2 DOCUMENTOS PARA EFEITOS DE IDENTIFICAÇÃO DE UMA ORGANIZAÇÃO
3.1.3.3 INFORMAÇÕES CONTIDAS NO CERTIFICADO EMITIDO PARA UMA ORGANIZAÇÃO
3.1.4 AUTENTICAÇÃO DA IDENTIDADE DE EQUIPAMENTO, APLICAÇÃO OU CÓDIGO
3.1.4.1 DISPOSIÇÕES GERAIS
3.2 SOLICITAÇÃO DE REVOGAÇÃO
4 REVOGAÇÃO DE CERTIFICADO 
4.1 CIRCUNSTÂNCIAS PARA REVOGAÇÃO
4.2 QUEM PODE SOLICITAR A REVOGAÇÃO
4.3 PROCEDIMENTO PARA SOLICITAÇÃO DE REVOGAÇÃO
4.4 PRAZO PARA SOLICITAÇÃO DE REVOGAÇÃO
5 REQUISITOS DE TREINAMENTO
5.1 FREQUÊNCIA E REQUISITOS PARA RECICLAGEM TÉCNICA
6 LISTA DE ACRÔNIMOS 

1 INTRODUÇÃO

1.1 VISÃO GERAL
Esta Declaração de Práticas de Negócio (DPN) constitui as práticas de negócio, obrigatoriamente observados pela AC SDI integrante da Infraestrutura de Chaves Públicas Brasileira – ICP Brasil e descreve as práticas e os procedimentos utilizados pela AR HTSIGNS na execução de seus serviços.

1.2 COMUNIDADE E APLICABILIDADE

1.2.1. AUTORIDADE DE REGISTRO – AR

1.2.1.1 DADOS DA AUTORIDADE DE REGISTRO

Os processos de recebimento, validação e encaminhamento de solicitações de emissão ou de revogação de certificados digitais e de identificação de seus solicitantes, são de competência das Autoridades de Registro (ARs). Abaixo seguem dos dados da Autoridade de Registro:

RAZÃO SOCIAL: HTSIGNS TECNOLOGY LTDA
NOME DA AR: HTSIGNS
ENDEREÇO COMPLETO: RUA JERÔNIMO DURSKI, 840 PISO SUPERIOR
BIGORRILHO – CURITIBA/PR CEP 80.730-290
SITE: HTSIGNS.COM.BR
COORDENADOR DA AR: JEIL MOREIRA JUNIOR
Telefone: (41) 99759-0006
E-mail: JEILJUNIOR@HTSIGNS.COM.BR

1.3 APLICABILIDADE
A AC SDI pratica as seguintes Políticas de Certificado Digital:
Política de Certificado Nome conhecido OID
PC AC SDI A1 AC SDI 2.16.76.1.2.1.127
PC AC SDI A3 AC SDI 2.16.76.1.2.3.120

As PCs correspondentes estão relacionadas às aplicações para as quais são adequados os certificados validados pela SDI e, quando cabíveis, as aplicações para as quais existam restrições ou proibições para o uso desses certificados.

2 DISPOSIÇÕES GERAIS

2.1 OBRIGAÇÕES DAS AUTORIDADES DE REGISTRO – AR
As obrigações das ARs vinculadas são as abaixo relacionadas:
a) receber solicitações de emissão ou de revogação de certificados;
b) confirmar a identidade do solicitante e a validade da solicitação;
c) encaminhar a solicitação de emissão ou de revogação de certificado a AC SDI utilizando protocolo de comunicação seguro, conforme padrão definido no documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP BRASIL [1];
d) informar aos respectivos titulares a emissão ou a revogação de seus certificados;
e) disponibilizar os certificados emitidos pelaa AC SDI aos seus respectivos solicitantes;
f) identificar e registrar todas as ações executadas, conforme as normas, práticas e regras
estabelecidas pelo CG da ICP-Brasil;
g) manter a conformidade dos seus processos, procedimentos e atividades com as normas, critérios, práticas e regras estabelecidas pela AC SDI e pela ICP-Brasil, em especial com o contido no documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP-BRASIL [1];
h) manter e garantir a segurança da informação por ela tratada, de acordo com o estabelecido nas normas, critérios, práticas e procedimentos da ICP-Brasil;
i) manter e testar anualmente seu Plano de Continuidade do Negócio – PCN;
j) proceder o reconhecimento das assinaturas e da validade dos documentos apresentados na forma dos itens 3.1.9, 3.1.10 e 3.1.11;
k) garantir que todas as aprovações de solicitação de certificados sejam realizadas em instalações técnicas autorizadas a funcionar como AR vinculadas credenciadas.

3 IDENTIFICAÇÃO E AUTENTICAÇÃO

3.1 REGISTRO INICIAL

3.1.1 DISPOSIÇÕES GERAIS

3.1.1.1 A AC SDI utiliza os seguintes requisitos e procedimentos para realização dos seguintes
processos:

a) VALIDAÇÃO DA SOLICITAÇÃO DE CERTIFICADO – compreende as etapas abaixo, realizadas mediante a presença física do interessado, com base nos documentos de identificação citados nos itens 3.1.9, 3.1.10 e 3.1.11:

I – Confirmação da identidade de um indivíduo: comprovação de que a pessoa que se apresenta como titular do certificado de pessoa física é realmente aquela cujos dados constam na documentação apresentada, vedada qualquer espécie de procuração para tal fim. No caso de pessoa jurídica, comprovar que a pessoa física que se apresenta como a sua representante é realmente aquela cujos dados constam na documentação apresentada, admitida a procuração apenas se o ato constitutivo previr expressamente tal possibilidade, devendo-se, para tanto, revestir-se da forma pública, com poderes específicos para atuar perante a ICPBrasil e com prazo de validade de até 90 (noventa) dias. O responsável pela utilização do certificado digital de pessoa jurídica deve comparecer presencialmente, vedada qualquer espécie de procuração para tal fim.
II – Confirmação da identidade de uma organização: comprovação de que os documentos apresentados referem-se, efetivamente à pessoa jurídica titular do certificado e de que a pessoa que se apresenta como representante legal da pessoa jurídica realmente possui tal atribuição;
III – Emissão do certificado: conferência dos dados da solicitação do certificado com os constantes nos documentos apresentados e liberação da emissão do certificado no sistema da AC.

3.1.2 AUTENTICAÇÃO DA IDENTIDADE DE UM INDIVÍDUO
A confirmação da identidade é realizada mediante a presença física do interessado, com base em documentos de identificação legalmente aceitos.

3.1.2.1 DOCUMENTOS PARA EFEITOS DE IDENTIFICAÇÃO DE UM INDIVÍDUO
Durante a solicitação dos certificados e-CPF é realizada consulta da situação cadastral do solicitante mediante numero de CPF cadastrado através da RFB e consultado nesta base, conforme art. 6º da Instrução Normativa SRF N° 222. Se o CPF informado for inexistente ou se a pessoa física apresentar a condição de CANCELADA ou NULA, a solicitação não será enviada a AC SDI. Deverá ser apresentada a seguinte documentação, em sua versão original, para fins de identificação de um indivíduo solicitante de certificado:

a) Cédula de Identidade ou Passaporte, se brasileiro;
b) Carteira Nacional de Estrangeiro – CNE, se estrangeiro domiciliado no Brasil; www.htsigns.com.br Versão 1.0 01/10/2024 6 de 11
c) Passaporte, se estrangeiro não domiciliado no Brasil;
d) Caso os documentos acima tenham sido expedidos há mais de 5 (cinco) anos ou não possuam fotografia, uma foto colorida recente ou documento de identidade com foto colorida, emitido há no máximo 5 (cinco) anos da data da validação presencial;
e) Comprovante de residência ou domicílio, emitido há no máximo 3 (três) meses da data da validação presencial;
f) não se aplica.

NOTA 1: Entende-se como cédula de identidade os documentos emitidos pelas Secretarias de Segurança Pública bem como os que, por força de lei, equivalem a documento de identidade em todo o território nacional, desde que contenham fotografia.
NOTA 2: Entende-se como comprovante de residência ou de domicílio contas de concessionárias de serviços públicos, extratos bancários ou contrato de aluguel onde conste o nome do titular; na falta desses, declaração emitida pelo titular ou seu empregador.
NOTA 3: A emissão de certificados em nome dos absolutamente incapazes e dos relativamente incapazes observará o disposto na lei vigente.
NOTA 4: Para a identificação de indivíduo na emissão de certificado que integra o Documento RIC, deverá ser observado o disposto no item 3.1.1.6.
NOTA 5: Caso não haja suficiente clareza no documento apresentado, a AR deve solicitar outro documento, preferencialmente a Carteira Nacional de Habilitação – CNH ou o Passaporte Brasileiro.
NOTA 6: Deverão ser consultadas as bases de dados dos órgãos emissores da Carteira Nacional de Habilitação, e outras verificações documentais expressas no item 7 do documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS AR DA ICP BRASIL [1].
NOTA 7: Caso haja divergência dos dados constantes do documento de identidade, a emissão do certificado digital deverá ser suspensa e o solicitante orientado a regularizar sua situação junto ao órgão responsável.

3.1.3 AUTENTICAÇÃO DA IDENTIDADE DE UMA ORGANIZAÇÃO

3.1.3.1 DISPOSIÇÕES GERAIS
A confirmação da identidade de uma pessoa jurídica é feita mediante consulta as bases de dados da RFB. Em sendo o titular do certificado pessoa jurídica, será designado o representante legal da pessoa jurídica como responsável pelo certificado, que será o detentor da chave privada. Deverá ser feita a confirmação da identidade da organização e das pessoas físicas, nos seguintes termos:
a) Apresentação do rol de documentos elencados no item 3.1.10.2;
b) Apresentação do rol de documentos elencados no item 3.1.9.1 do(s) representante(s) legal(is) da pessoa jurídica e do responsável pelo uso do certificado; e www.htsigns.com.br Versão 1.0 01/10/2024 7 de 11
c) Presença física dos representantes legais e do responsável pelo uso do certificado, e assinatura do termo de titularidade de que trata o item 4.1.1.

3.1.3.2 DOCUMENTOS PARA EFEITOS DE IDENTIFICAÇÃO DE UMA ORGANIZAÇÃO
Durante a solicitação de certificado e-CNPJ é realizada consulta à situação cadastral do CNPJ junto ao cadastro da RFB. Se o CNPJ estiver INAPTO, CANCELADO, BAIXADO, NULO ou SUSPENSO – situações que impedem o fornecimento do certificado – a solicitação não poderá ser enviada para a AC SDI. A confirmação da identidade de uma pessoa jurídica deverá ser feita mediante a apresentação de, no mínimo, os seguintes documentos:

a) Relativos à sua habilitação jurídica:
I – Se pessoa jurídica criada ou autorizada por lei, cópia do ato constitutivo e CNPJ;
II – Se entidade privada:
1) Ato constitutivo, devidamente registrado no órgão competente; e
2) Documentos da eleição de seus administradores, quando aplicável.

b) Relativos a sua habilitação fiscal:
I – Prova de inscrição no Cadastro Nacional de Pessoas Jurídicas – CNPJ; ou
II – Prova de inscrição no Cadastro Específico do INSS – CEI.

3.1.3.3 INFORMAÇÕES CONTIDAS NO CERTIFICADO EMITIDO PARA UMA ORGANIZAÇÃO

É obrigatório o preenchimento dos seguintes campos do certificado de uma pessoa jurídica, com as informações constantes nos documentos apresentados:
a) Nome empresarial constante do Cadastro Nacional de Pessoas Jurídicas – CNPJ, sem abreviações;
b) Cadastro Nacional de Pessoa Jurídica (CNPJ);
c) Nome completo do responsável pelo certificado, sem abreviações;
d) Data de nascimento do responsável pelo certificado. Cada PC pode definir como obrigatório o preenchimento de outros campos ou o responsável pelo certificado poderá, a seu critério e mediante declaração expressa no termo de titularidade, solicitar o preenchimento de campos do certificado suas informações pessoais, conforme item 3.1.9.2.

3.1.4 AUTENTICAÇÃO DA IDENTIDADE DE EQUIPAMENTO, APLICAÇÃO OU CÓDIGO

3.1.4.1 DISPOSIÇÕES GERAIS
Em se tratando de certificado emitido para equipamento, aplicação ou assinatura de www.htsigns.com.br Versão 1.0 01/10/2024 8 de 11 código, o titular será a pessoa física ou jurídica solicitante do certificado, que deverá indicar o
responsável pela chave privada.
Para um certificado e-Servidor deverá ser emitida autorização pelo representante legal da pessoa jurídica perante o CNPJ e também pelo responsável pelo endereço Domain Name Service – DNS, em nome de um representante da empresa que será o responsável pelo certificado.
Para um certificado e-Aplicação ou e-Código deverá ser emitida autorização do representante legal da pessoa jurídica perante o CNPJ em nome de um representante da empresa que será o responsável pelo certificado.
Se o titular for pessoa física, deverá ser feita a confirmação de sua identidade na forma do item 3.1.9.1 e esta assinará o termo de titularidade de que trata o item 4.1.1.

3.1.11.1.3 Se o titular for pessoa jurídica, deverá ser feita a confirmação da identidade da organização e das pessoas físicas, nos seguintes termos:
a) Apresentação do rol de documentos elencados no item 3.1.10.2;
b) Apresentação do rol de documentos elencados no item 3.1.9.1 do(s) representante(s) legal(is) da pessoa jurídica e do responsável pelo uso do certificado;
c) Presença física do responsável pelo uso do certificado e assinatura do termo de titularidade de que trata o item 4.1.1; e
d) Presença física do(s) representante(s) legal(is) da pessoa jurídica e assinatura do termo de titularidade de que trata o item 4.1.1, ou outorga de procuração atribuindo poderes para solicitação de certificado para equipamento ou aplicação e assinatura do respectivo termo de titularidade.

3.2 SOLICITAÇÃO DE REVOGAÇÃO
A solicitação de revogação de certificado é feita através de formulário específico, permitindo a identificação inequívoca do solicitante. A confirmação da identidade do solicitante é feita com base na confrontação de dados entre a solicitação de revogação e a solicitação  de emissão.

4. REVOGAÇÃO DE CERTIFICADO

4.1 CIRCUNSTÂNCIAS PARA REVOGAÇÃO
Neste item, a DPC caracteriza as circunstâncias nas quais um certificado poderá ser revogado. Um certificado é obrigatoriamente revogado nas seguintes circunstâncias:
a) Quando constatada emissão imprópria ou defeituosa do mesmo;
b) Quando for necessária a alteração de qualquer informação constante no mesmo;
c) No caso de perda, roubo, modificação, acesso indevido ou comprometimento da chave privada www.htsigns.com.br Versão 1.0 01/10/2024 9 de 11 correspondente ou da sua mídia armazenadora;
d)No caso de perda, roubo, acesso indevido, comprometimento ou suspeita de comprometimento da chave privada correspondente à pública contida no certificado ou da sua mídia armazenadora;
e) No caso de falecimento do titular – pessoas físicas;
f) No caso de mudança na razão ou denominação social do titular – equipamentos, aplicações e pessoas jurídicas;
g) No caso de extinção, dissolução ou transformação do titular do certificado – equipamentos, aplicações e pessoas jurídicas;
h) No caso de falecimento ou demissão do responsável – equipamentos, aplicações e pessoas jurídicas; ou
i) Por decisão judicial.

Deve-se observar ainda que:
a) A AC SDI revogará, no prazo definido no item 4.4.3, o certificado da entidade que deixar de cumprir as políticas, normas e regras estabelecidas para a ICP-Brasil;
b) O CG da ICP-Brasil determinará a revogação do certificado da AC que deixar de cumprir a legislação vigente ou as políticas, normas, práticas e regras estabelecidas para a ICP-Brasil.
c) A AC SDI a revogação do certificado da AC SDI e Ars vinculadas, caso esta deixe de cumprir as normas, práticas e regras estabelecidas pela AC SDI.

4.2 QUEM PODE SOLICITAR A REVOGAÇÃO
A revogação de um certificado somente pode ser solicitada:
a) Pelo titular do certificado;
b) Pelo responsável pelo certificado, no caso de certificado de equipamentos, aplicações, assinaturas de códigos e pessoas jurídicas;
c) Por empresa ou órgão, quando o titular do certificado fornecido por essa empresa ou órgão for seu empregado, funcionário ou servidor;
d) Pela AC SDI
f) Pela AR Vinculada; ou
g) Por determinação do CG da ICP-Brasil ou da AC Raiz.

4.3 PROCEDIMENTO PARA SOLICITAÇÃO DE REVOGAÇÃO
Para solicitar a revogação é necessário o envio à AC SDI ou à AR vinculada de um formulário disponibilizado pela AC SDI no site www.acsdi.com.br, preenchido com os dados do solicitante, o www.htsigns.com.br Versão 1.0 01/10/2024 10 de 11 número de série do certificado e a indicação do motivo da solicitação. A AC SDI garante que todos agentes habilitados podem, facilmente e a qualquer tempo, solicitar a revogação de seus respectivos certificados conforme o item 4.4.2.

Como diretrizes gerais:
a) O solicitante da revogação de um certificado é identificado;
b) As solicitações de revogação, bem como as ações delas decorrentes são registradas e armazenadas;
c) As justificativas para a revogação de um certificado são documentadas;
d) O processo de revogação de um certificado termina com a geração e a publicação de uma LCR que contém o certificado revogado e com a atualização da situação do certificado nas bases de dados da AC SDI de consulta OCSP, quando aplicável. O prazo máximo admitido para a conclusão do processo de revogação de certificado, após o recebimento da respectiva solicitação, para todos os tipos de certificado previstos pela ICP-Brasil é de 12 (doze) horas.

A AC SDI responde plenamente por todos os danos causados pelo uso de um certificado no período compreendido entre a solicitação de sua revogação e a emissão da correspondente LCR.

4.4 PRAZO PARA SOLICITAÇÃO DE REVOGAÇÃO

4.4.4.1 A solicitação de revogação deve ser imediata quando configuradas as circunstâncias definidas no item 4.4.1.

4.4.4.2 O prazo máximo para a aceitação do certificado por seu titular, dentro do qual a revogação desse certificado pode ser solicitada sem cobrança de tarifa pela AC SDI é de 3 (três) dias.

5. REQUISITOS DE TREINAMENTO

Todo o pessoal da SDI envolvidos em atividades diretamente relacionadas com os processos de emissão de certificados recebe treinamento documentado, suficiente para o domínio dos seguintes temas:

a) Princípios e mecanismos de segurança da AC SERPRO RFB, AC SERPRO ACF, AC SERPRO ACF SSL
A1 e AC SDI e das AR vinculadas;
b) Sistema de certificação em uso na AC SDI;
c) Procedimentos de recuperação de desastres e de continuidade do negócio;
d) Reconhecimento de assinaturas e validade dos documentos apresentados, na forma do item 3.1.9 e 3.1.10 e 3.1.11; e
e) Outros assuntos relativos a atividades sob sua responsabilidade. www.htsigns.com.br Versão 1.0 01/10/2024 11 de 11

5.1 FREQUÊNCIA E REQUISITOS PARA RECICLAGEM TÉCNICA
Todo o pessoal da AC SDI envolvidos em atividades diretamente relacionadas com os processos de emissão, expedição, distribuição, revogação e gerenciamento de certificados é mantido atualizado sobre eventuais mudanças tecnológicas nos sistemas ds AC SDI e da(s) AR(s) Vinculada(s).

6. LISTA DE ACRÔNIMOS
AC Autoridade Certificadora
AC Raiz Autoridade Certificadora Raiz da ICP-Brasil
AR Autoridades de Registro
CEI Cadastro Específico do INSS
CG Comitê Gestor
CMM-SEI Capability Maturity Model do Software Engineering Institute
CMVP Cryptographic Module Validation Program
CN Common Name
CNE Carteira Nacional de Estrangeiro
CNPJ Cadastro Nacional de Pessoas Jurídicas –
COBIT Control Objectives for Information and related Technology
COSO Comitee of Sponsoring Organizations
CPF Cadastro de Pessoas Físicas
DMZ Zona Desmilitarizada
DN Distinguished Name
DPC Declaração de Práticas de Certificação
ICP-Brasil Infra-Estrutura de Chaves Públicas Brasileira
IDS Sistemas de Detecção de Intrusão
IEC International Electrotechnical Commission
ISO International Organization for Standardization
ITSEC European Information Technology Security Evaluation Criteria
ITU International Telecommunications Union
LCR Lista de Certificados Revogados
NBR Norma Brasileira
NIS Número de Identificação Social
NIST National Institute of Standards and Technology
OCSP Online Certificate Status Protocol
OID Object Identifier
OU Organization Unit
PASEP Programa de Formação do Patrimônio do Servidor Público
PC Políticas de Certificado
PCN Plano de Continuidade de Negócio
PIS Programa de Integração Social
POP Proof of Possession
PS Política de Segurança
PSS Prestadores de Serviço de Suporte
RFC Request For Comments
RG Registro Geral
SNMP Simple Network Management Protocol
TCSEC Trusted System Evaluation Criteria
TSDM Trusted Software Development Methodology
UF Unidade de Federação
URL Uniform Resource Location