Pontos de Atendimento na ICP-Brasil: ter ou não ter? | CRYPTOID

Este assunto vem sendo debatido intensamente entre os integrantes da ICP-Brasil: Autoridades Certificadoras (ACs), Autoridades de Registro (ARs) e respectivas associações, como ANCERT, ANCD e AARB.

Viviane Bertol | CEO PKI Consulting

Por Viviane Bertol

Na verdade, demorou até que a polêmica atingisse o ponto de ebulição atual, mas o fato é que é mais do que chegada a hora de se decidir sobre o tema.

Os Pontos de Atendimento (PAs) são canais de distribuição de certificados digitais, utilizados pelas Autoridades de Registro para obter capilaridade. Trata-se de empresas que fazem parceiras com as ARs para vender certificados digitais e realizar a validação presencial do solicitante do certificado, ou seja, a confirmação da identidade de um indivíduo ou organização mediante sua presença física e apresentação de documentos.

Os Pontos de Atendimento, assim como outras entidades que foram criadas na ICP-Brasil, não estavam explicitamente previstos na MP 2.200-2, que define, no seu artigo 2º:

A ICP-Brasil, cuja organização será definida em regulamento, será composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz – AC Raiz, pelas Autoridades Certificadoras – AC e pelas Autoridades de Registro – AR.

O legislador, entretanto, foi sábio ao prever naquele instrumento que ao longo do tempo outras entidades seriam necessárias para suportar o crescimento da infraestrutura. Isso fica patente no artigo 4 º da MP 2.200-2:

Compete ao Comitê Gestor da ICP-Brasil:

(…)

II – estabelecer a política, os critérios e as normas técnicas para o credenciamento das AC, das AR e dos demais prestadores de serviço de suporte à ICP-Brasil, em todos os níveis da cadeia de certificação;

Com base nesse artigo diversas entidades foram criadas por meio de Resoluções do Comitê Gestor da ICP-Brasil: Instalação Técnica de AR, Prestador de Serviços de Suporte, Prestador de Serviços de Biometria, Autoridade de Carimbo do Tempo, etc.

Os PAs, porém, até o momento não foram regulamentados, portanto não são formalizados junto ao órgão de controle, que oficialmente desconhece sua existência e localização, e esse é um dos motivos da polêmica.

Regulamentação do funcionamento das ARs

Atualmente, os regulamentos definem que uma AR deve possuir um ambiente, chamado de Instalação Técnica (IT), dotado de algumas características que objetivam trazer segurança aos processos ali desenvolvidos.

O DOC-ICP-03 – Critérios para Credenciamento das Entidades Integrantes da ICP-Brasil admite que uma AR possua mais de uma IT, desde que solicite seu credenciamento ao ITI, conforme segue:

3.2.1 Abertura de nova instalação técnica

3.2.1.1 Considera-se instalação técnica o ambiente físico de uma AR, cujo funcionamento foi autorizado pelo ITl, por tempo indeterminado, onde serão realizadas as atividades de validação e verificação da solicitação de certificados.

3.2.1.2 A AR já credenciada na ICP-Brasil poderá abrir novos endereços de instalações técnicas desde que encaminhe à AC Raiz solicitação de funcionamento, acompanhada dos seguintes documentos:

a) o formulário SOLICITAÇÃO DE FUNCIONAMENTO DE NOVOS ENDEREÇOS DE INSTALAÇÕES TÉCNICAS DE AR [6] devidamente preenchido e assinado pelos representantes legais da AR e da AC a que esteja operacionalmente vinculada;

b) indicação dos procedimentos que serão adotados quanto aos aspectos de segurança e operacionais;

c) nome e CPF das pessoas responsáveis por cada uma das novas instalações técnicas da AR;

d) nome e CPF dos agentes de registro que atuarão nas novas instalações técnicas da AR;

e) certidão da junta comercial ou alvará de funcionamento referente ao estabelecimento onde se localizará a instalação técnica e, nos casos de entidades públicas, cópia de publicação do ato que autoriza a operação naquele endereço;

f) Identificação do local onde será guardada a documentação relativa aos certificados gerados em cada instalação técnica.

Já o DOC-ICP-03.01 – Características Mínimas de Segurança para as AR da ICP-Brasil define as características do ambiente físico da IT, as configurações mínimas dos equipamentos e sistemas a serem utilizados nas atividades de registro, bem como os processos executados.

Da mesma forma, define requisitos para os Agentes de Registro que atuam no processo de emissão do certificado. Entre outros pontos, deve ser funcionário da AR, para evitar terceirização de um serviço fundamental da ICP-Brasil.

Por outro lado, o DOC-ICP-05 – Requisitos Mínimos Para as Declarações de Práticas de Certificação das Autoridades Certificadoras da ICP-Brasil estabelece que a atividade de verificação (conferência dos procedimentos realizados na validação presencial) somente pode ser realizada em uma IT.

Já a validação presencial pode ser realizada na IT ou externamente. Foi pensado para as situações eventuais em que o Agente de Registro precisasse se deslocar até a casa ou escritório do cliente. É justamente essa abertura utilizada para justificar a existência dos Pontos de Atendimento.

Funcionamento dos Pontos de Atendimento

Na prática, as atividades realizadas nos Pontos de Atendimento atendem aos regulamentos da ICP-Brasil no que diz respeito a equipamentos, sistemas e processos, já que a maior parte das ACs estabeleceu medidas para garantir que somente equipamentos com a configuração correta possam acessar o sistema, e definiu passo-a-passo os procedimentos para validação e verificação, de forma a evitar erros e omissões.

A questão do Agente de Registro ser funcionário da AR também é contornada, de uma forma criativa, na medida em que o funcionário do PA é registrado como funcionário da AR, por algumas horas diárias. Não existe impedimento legal para esse procedimento, nem na legislação trabalhista nem na regulamentação da ICP-Brasil, que não estabelece número de horas mínimo no contrato.

Já o ambiente físico dos PAs não atende a nenhum regulamento, visto que se baseia na prerrogativa da validação externa. Alguns PAs usam as mesmas medidas previstas para as ITs, mas não são a maioria.

Assim, pelo que vimos até aqui, o que distingue um Ponto de Atendimento de uma Instalação Técnica são basicamente 2 itens:

a) o ambiente físico não atende necessariamente à regulamentação;

b) não há formalização de sua existência junto ao órgão de controle.

Vale lembrar aqui que o custo para adaptar o ambiente físico aos regulamentos da ICP-Brasil não é tão alto.

Podem existir 2 tipos de ambiente: dedicado e compartilhado.

São exigências de ambos os tipos de ambiente: equipamentos de prevenção de incêndios; armário ou gabinete com chave para uso exclusivo da AR; circuitos elétricos protegidos por nobreak ou estabilizador; circuitos elétricos e lógicos protegidos por tubulação e/ou canaletas.

Para as ARs que possuem ambiente dedicado, além das exigências acima, deve haver: controle de acesso ao ambiente; porta única de entrada com fechadura tetra; paredes que previnam o acesso não autorizado e iluminação de emergência.

Para as ARs que possuem ambiente compartilhado aplicam-se, além das exigências comuns: vigilância ostensiva ou monitoramento por CFTV no ambiente da AR e controle de acesso ao prédio ou ao ambiente onde está instalada a AR.

Motivação para Criação dos Pontos de Atendimento

Dado o exposto, o que levou as ARs à criação de Pontos de Atendimento, ao invés de criar Instalações Técnicas?

A verdade é que a regulamentação da ICP-Brasil foi elaborada considerando que as ITs seriam filiais ou escritórios da Autoridade de Registro, apenas funcionando em localização diferente da sede. Isso está expresso de forma indireta no item 2.1.2 do DOC-ICP-03, que diz:

Critérios para credenciamento de AR:

Os candidatos ao credenciamento como AR devem ainda:

a) estar operacionalmente vinculados a, pelo menos, uma AC ou candidato a AC. A AR em operação está apta a operar em todas as Políticas de Certificados credenciadas pela AC vinculada.

b) ter sede administrativa, instalações operacionais e recursos de segurança física e lógica compatíveis com a atividade de registro.

c) apresentar a relação de eventuais candidatos a PSS; e

d) caso a instalação técnica se localize em endereço diferente do de sua sede administrativa, apresentar, cumulativamente:

i. no caso de entidade privada:

1. certidão atualizada da junta comercial ou do registro civil de pessoas jurídicas, conforme sua natureza;

2. alvará de funcionamento, se houver;

3. CNPJ;

ii. no caso de pessoa jurídica da administração direta, indireta, ou órgão público:

1.ato administrativo que autorize a operação naquele endereço;

iii. no caso de serviços notariais e de registro:

1.cópia do ato de outorga da delegação;

2.CNPJ.

No nosso entendimento, esse é o ponto-chave da questão. Como os custos com a criação e manutenção de escritórios ou filiais é elevado, as ARs acabaram celebrando parcerias com empresas instaladas em regiões onde não possuíam sucursais, mas desejavam vender certificados.

Para tanto as ARs adotaram a já comentada estratégia de contratar o funcionário do parceiro por algumas horas diárias e caracterizar o processo como validação externa.

Situação Atual

Hoje, os Pontos de Atendimento se disseminaram de uma tal forma que fica difícil imaginar a ICP-Brasil sem eles.

Segundo o site iti.gov.br existiam, em junho deste ano, 613 Autoridades de Registro e 2017 Instalações Técnicas. Não se pode definir exatamente a quantidade de Pontos de Atendimento, por não estarem formalizados, mas presume-se que sejam também na ordem de milhares.

Certamente, a expansão no volume de emissões de certificados ICP-Brasil, observada nos últimos anos, não teria sido tão expressiva sem a criação dos Pontos de Atendimento e sua conveniente capilaridade.

Cada vez mais as empresas de diferentes portes, localizadas em todo o território nacional, necessitam do certificado digital para os atos mais comezinhos do seu dia-a-dia, como a emissão de uma nota fiscal. Daí a importância de existirem canais de distribuição em todas as localidades.

Problemas advindos da existência dos PAs

O principal problema que observamos com relação aos Pontos de Atendimento é o fato de não serem formalizados.

Isso obriga à utilização de estratégias de contorno para sua operação, como vimos, deixando em aberto questões relativas ao ambiente físico e outras, como responsabilidade das partes.

Além disso os PAs não estão sujeitos a fiscalização e auditoria, processos esses que se aplicam a todas as entidades formalizadas da ICP-Brasil e auxiliam a manter qualidade e segurança dos processos.

Proposta de Solução

A proposta mais simples para a situação é a alteração nos regulamentos da ICP-Brasil, de forma a permitir que diferentes empresas atuem como Instalações Técnicas das ARs.

A partir daí os Pontos de Atendimento teriam existência formal, podendo atuar de forma mais transparente, sendo fiscalizados e auditados.

Vale lembrar que já existe um precedente bastante similar: até 2007 os cartórios não podiam fazer parte da ICP-Brasil porque não são pessoas jurídicas de direito privado, e assim não atendem ao disposto na MP 2.200-2, que diz, no seu Artigo 8º:

Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil, poderão ser credenciados como AC e AR os órgãos e as entidades públicos e as pessoas jurídicas de direito privado.

Na época, entidades de classe dos serviços notariais e de registro, como ANOREG e ARISP eram ARs da ICP-Brasil, porém não tinham capilaridade, que só poderia ser obtida se os cartórios e notários pudessem operar em seu nome. Esses, por sua vez, não poderiam ser ARs, segundo a MP 2.200-2.

Para contornar esse problema foi proposta alteração do DOC-ICP-03 ao Comitê Gestor da ICP-Brasil, que aprovou o texto a seguir, na Resolução 47, de 23.11.2007:

3.2.1.3 Os serviços notariais e de registro, nos termos do art. 236 da Constituição Federal, desde que formalmente vinculados a uma AR já credenciada, poderão ser autorizados a funcionar como instalação técnica e seus delegados, prepostos e funcionários a atuar como agentes de registro.

3.2.1.3.1 A autorização para que os serviços notariais e de registro funcionem como instalação técnica de uma AR, requer:

a) celebração de contrato com uma AR, que deverá conter, no mínimo, as seguintes cláusulas:

i. qualificação da AR credenciada e do titular da delegação do serviço notarial e de registro;

ii. objeto detalhado das atividades a serem desenvolvidas;

iii. designação do local onde será guardada a documentação relativa aos certificados gerados na instalação técnica;

iv. responsabilidade objetiva e solidária do titular da delegação e da AR pelas atividades de validação e verificação da solicitação de certificados;

v. compromisso de respeitar todas as regras da ICP-Brasil;

vi. obrigação de a AR verificar a conformidade dos processos executados na instalação técnica;

vii. prazo de vigência;

b) apresentação dos documentos previstos no subitem 3.2.1.2.

Percebe-se clara semelhança com a situação atual, onde as ARs precisam da capilaridade fornecida pelas parcerias com outras empresas, para poderem subsistir.

Poderiam, portanto, ser alterados os regulamentos para propiciar às empresas que desejam atuar na ICP-Brasil condições semelhantes às definidas para o caso de notários e registradores.

Uma sugestão de redação seria a seguinte:

As empresas regularmente constituídas, desde que formalmente vinculadas a uma AR já credenciada, poderão ser autorizados a funcionar como instalação técnica e seus sócios e funcionários a atuar como agentes de registro.

A autorização para que empresas funcionem como instalação técnica de uma AR, requer:

a) celebração de contrato com uma AR, que deverá conter, no mínimo, as seguintes cláusulas:

i.qualificação da AR credenciada e da empresa que atuará como Instalação Técnica;

ii. objeto detalhado das atividades a serem desenvolvidas;

iii. designação do local onde será guardada a documentação relativa aos certificados gerados na instalação técnica;

iv. responsabilidade objetiva e solidária da IT e da AR pelas atividades executadas;

v. compromisso de respeitar todas as regras da ICP-Brasil;

vi. obrigação de a AR verificar a conformidade dos processos executados na instalação técnica;

vii. prazo de vigência.

b) apresentação dos documentos previstos no subitem 3.2.1.2.

Como sugestão, final, entendemos que as ITs deveriam restringir sua atuação ao processo de validação presencial, como ocorre hoje com os Pontos de Atendimento. Assim, as ARs não perderiam o poder de fiscalização e controle sobre as operações de suas ITs.

O processo de verificação seria realizado exclusivamente em um tipo especial de IT exclusivo da própria AR, conhecido por Central de Verificação, já utilizado hoje por diversas ARs e ACs.

Conclusão

A ICP-Brasil tomou configuração diferente da inicialmente prevista, com a constituição de Pontos de Atendimento que atuam em parceria com as Autoridades de Registro, fazendo atividades de validação presencial de maneira informal.

Isso permitiu que atingisse grande capilaridade e pudesse atender à demanda cada vez maior por certificados, mas mostra-se um processo com riscos, dado que a informalidade impede o controle efetivo por parte dos órgãos fiscalizadores.

Extinguir os Pontos de Atendimento não é a melhor solução, pois atualmente o certificado digital para empresas não é um luxo, mas sim uma necessidade, imposta pelo próprio governo, nas suas diferentes esferas.

A proibição pura e simples da existência de PAs poderia causar danos aos empresários de locais distantes, que teriam de se dirigir a um centro maior para conseguir seu certificado, com custos e demanda de tempo.

A alteração dos regulamentos da ICP-Brasil, de forma a permitir que diferentes empresas atuem como Instalações Técnicas de Autoridades de Registro, seria a solução mais simples e efetiva para a questão e tem como precedente as alterações que beneficiaram os notários e registradores em 2007.

Notar o seguinte artigo da MP 2.200-2: Art. 4o Compete ao Comitê Gestor da ICP-Brasil:

(…)

II – estabelecer a política, os critérios e as normas técnicas para o credenciamento das AC, das AR e dos demais prestadores de serviço de suporte à ICP-Brasil, em todos os níveis da cadeia de certificação;

Boa pergunta é esta: qual a intenção do legislador neste ponto? Estes PSS, segundo consta na regra, são para todos os níveis da cadeia de certificação. Então, parece que os PAs poderiam aqui ser enquadrados.

Notar o seguinte artigo da MP 2.200-2: Art. 4o Compete ao Comitê Gestor da ICP-Brasil:

(…)

II – estabelecer a política, os critérios e as normas técnicas para o credenciamento das AC, das AR e dos demais prestadores de serviço de suporte à ICP-Brasil, em todos os níveis da cadeia de certificação;

Boa pergunta é esta: qual a intenção do legislador neste ponto? Estes PSS, segundo consta na regra, são para todos os níveis da cadeia de certificação. Então, parece que os PAs poderiam aqui ser enquadrados.

Sobre: Viviane Bertol

Consultora em certificação digital, com Mestrado e Doutorado nessa área pela Universidade de Brasília.

Trabalhou no Instituto Nacional de Tecnologia da Informação (ITI) na Coordenadoria-Geral de Auditoria e Fiscalização e Coordenadoria-Geral de Normalização e Pesquisa.

Participação da elaboração de metodologias de auditoria e realizado auditorias em Autoridades de Registro e Autoridades Certificadoras.

Participou da elaboração de diversos normativos da ICP-Brasil.

Colunista e membro do conselho editorial do Instituto CryptoID.

Leia outros artigos escritos pela Colunista Viviane Bertol

Contato de Viviane Bertol viviane@pkiconsulting.com

O post Pontos de Atendimento na ICP-Brasil: ter ou não ter? apareceu primeiro em CRYPTOID.

http://ift.tt/2sTEArA http://ift.tt/2aM8QhC

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s