O certificado digital deixa as operações mais seguras. Mas, para que isso aconteça, é necessário que todo processo, desde a emissão, aconteça de forma idônea. Para tal, há diversas diretrizes. É importante que as empresas do setor tenham mecanismos para garantir que sejam seguidas. Mas o primeiro passo é conhecê-las.
Neste artigo, exploraremos as principais diretrizes que regem o uso e a proteção do certificado digital, destacando a importância de cada uma para um ambiente digital seguro. Acompanhe!
Certificado digital nasceu regulamentado
A criação da Infraestrutura de Chaves Públicas do Brasil (ICP-Brasil) surgiu junto com os certificados digitais para garantir a segurança e a legitimidade deles no país. A instituição do órgão regulamentador está presente na Medida Provisória (MP) 2002-1, de agosto de 2001. A existência da ICP-Brasil desde a adoção dos certificados digitais no Brasil garante monitoramento e diretrizes para coibir irregularidades, bem como a fiscalização contínua do setor de certificação.
Outra vantagem é a atualização das normas e recomendações sempre que necessário, já que o setor é dinâmico, assim como os desafios da identificação digital.
Declaração de práticas de certificação
A RESOLUÇÃO CG ICP-BRASIL N° 177, de 20 de outubro de 2020 desempenha um papel fundamental na proteção dos certificados digitais ao aprovar a versão revisada dos “Requisitos Mínimos para as Declarações de Práticas de Certificação”. Este documento, conhecido como DOC-ICP-05, define padrões rigorosos que as Autoridades Certificadoras (ACs) da ICP-Brasil devem seguir, garantindo a segurança e confiabilidade dos certificados emitidos.
A resolução estabelece critérios claros para a validação de identidade, procedimentos de emissão e revogação de certificados, além de auditorias regulares das ACs. Isso assegura que os certificados digitais sejam emitidos e geridos com alta segurança, evitando fraudes e usos indevidos. A revisão contínua desses requisitos permite que a ICP-Brasil se adapte a novas ameaças cibernéticas, mantendo a integridade e a confiança no sistema de certificação digital.
Definição de protocolos contra fraude
A alteração do DOC-ICP-05.03, via INSTRUÇÃO NORMATIVA ITI N° 05, DE 22 DE FEVEREIRO DE 2021, incluiu a emissão de certificados por videoconferência ampliando o acesso, mantendo a integridade e segurança, mesmo em ambientes remotos.
Esses avanços permitem que as práticas de certificação acompanhem as inovações tecnológicas sem comprometer a segurança dos usuários, atendendo às necessidades atuais de flexibilidade e confiabilidade no ambiente digital.
Baseados na IN, é recomendado:
- Verificar se o documento de identificação está em conformidade com os padrões estabelecidos;
- Encaminhar o documento para análise pericial em caso de dúvidas;
- Solicitar documentação complementar quando necessário;
- Comparar a foto coletada com a foto do documento apresentado;
- Avaliar a coerência cronológica dos documentos e a idade aparente do cliente;
- Identificar se o titular possui semelhança a alguma ocorrência do SAF;
- Durante atendimento presencial ou por videoconferência, observar se o solicitante fornece os dados pessoais e empresariais corretamente e se há nervosismo incomum;
- Analisar a tela principal e o histórico da solicitação para verificar se foi gerado alerta relacionado aos dados informados;
- Em casos de indicação, buscar referências sobre o solicitante.
Credenciamento no ICP-Brasil
Outra diretriz específica é a regulamentação da publicidade e credenciamento obrigatório tanto de profissionais quanto empresas de certificação digital. Elas estão contidas na IN INSTRUÇÃO NORMATIVA ITI N° 10, DE 22 DE OUTUBRO DE 2020 e definem:
- Regras para Publicidade: as Autoridades de Registro (AR) e as Autoridades Certificadoras (AC) que estão oficialmente registradas não podem fazer propaganda ou publicidade de produtos ou serviços relacionados a certificados digitais que não tenham sido aprovados pela ICP-Brasil. Isso significa que qualquer anúncio deve seguir as normas estabelecidas para garantir que a informação seja precisa e não enganosa.
- Proibição de Transferência de Atividades: as entidades registradas, como as ARs e ACs, não podem passar suas responsabilidades ou atividades para outras empresas ou pessoas que não sejam oficialmente reconhecidas e autorizadas pelo Instituto Nacional de Tecnologia da Informação (ITI). Assim, todas as operações devem ser realizadas apenas por aqueles que têm permissão oficial, garantindo a segurança e a confiabilidade do processo.
- Divulgação em Nome da AR: Qualquer ação de marketing ou emissão de certificados digitais deve ser feita em nome da Autoridade de Registro credenciada. Isso garante transparência e autenticidade, assegurando que os clientes saibam que estão lidando com uma entidade confiável e oficialmente reconhecida.
Essas regras ajudam a manter a integridade e a segurança no uso de certificados digitais, garantindo que só entidades autorizadas promovam e lidem com esses produtos.
Comunicado de tentativa de fraude ou fraude
A maioria das normativas e diretrizes do ICP-Brasil visam previnir problemas, mas, se ocorrem, também há regras. Quando uma fraude ou tentativa de fraude na emissão de certificados digitais é identificada, é crucial que o Instituto Nacional de Tecnologia da Informação (ITI) seja informado através da Autoridade Certificadora (AC). Para formalizar o registro da fraude, a Autoridade de Registro (AR) deve emitir um Boletim de Ocorrência, conforme estipulado no item 3.5 do DOC-ICP-05.02.
Este documento exige que a AC responsável pelo certificado digital notifique a autoridade policial mais próxima sobre a fraude ocorrida. O boletim deve incluir um breve relato do método utilizado pelo fraudador, a data do atendimento, o tipo de documento apresentado e o tipo de certificado que foi alvo da fraude. Além disso, deve detalhar como a fraude ou indício foi detectado e conter informações pessoais como nome, CPF e data de nascimento do indivíduo conforme apresentado nos documentos. Atender às solicitações da AC é essencial para manter a conformidade com as normativas e assegurar a segurança operacional. A conformidade com esses procedimentos é vital para proteger a integridade do sistema de certificação digital e garantir a confiança dos usuários. Em caso de dúvidas, estamos à disposição para auxiliar.
Acompanhe as movimentações do setor
Na Syngular, acompanhamos a atualização e criação de normativas, além de difundi-las entre aqueles que devem segui-las. Também temos um setor de normas e compliance para garantir que tudo ocorra de acordo com a legislação e com credibilidade. Continue a nos acompanhar para receber conteúdo sobre as diretrizes e boas práticas!
