Embora a Infraestrutura de Chaves Públicas – ICP-BRASIL tenha mais de dezessete anos, desde a promulgação da Medida Provisória 2200/01, a falta de uma lei específica e pouca literatura, traz incertezas e dá margem para as mais diversas interpretações, deixando o empreendedor deste mercado inseguro e confuso.
Por Tatiane Forte
Pois bem, o intuito desta matéria é trazer, de forma didática, as informações básicas da ICP Brasil, quem é quem e o papel de cada um na hierarquia, desmistificando algumas crenças comuns e infundadas que circulam pelo mercado.
Vamos iniciar pelo Comitê Gestor da ICP- Brasil: este é o órgão, sem personalidade jurídica, que atua apenas normativamente e exerce a função de autoridade gestora de políticas de certificação digital.
Compete a este, coordenar o funcionamento da ICP-Brasil, estabelecer políticas, regras, critérios e normas que são votadas e decididas por seus membros, seguindo os princípios constitucionais, estabelecidos à toda Administração Pública, de forma discricionária em seu limite técnico, nunca arbitrária.
O Comitê Gestor da ICP-Brasil é composto por doze membros, sendo cinco representantes da sociedade civil, integrantes do setor interessado e sete representantes de diversos ministérios que não são remunerados para exercer tal função.
Após serem estabelecidos os critérios pelo Comitê Gestor da ICP-Brasil da ICP-Brasil, cabe ao ITI – Instituto da Tecnologia da informação, executar e fiscalizar as entidades hierarquicamente subordinadas.
O ITI – Instituto da Tecnologia da informação é uma Autarquia Federal, até então, vinculada à Casa Civil da Presidência da República que atua ainda como Autoridade Certificadora- Raiz e possui o certificado de nível mais alto da cadeia.
Por determinação disposta no art. 5º, parágrafo único da MP 2200/01, tem vedado a atividade de emissão e fornecimento de certificados digitais ao usuário final.
É importante salientar que, a atividade de certificação digital não se trata de uma concessão pública. É uma atividade privada, com base no princípio constitucional da livre iniciativa (art. 17º da CF), mas com forte presença do Estado, ou atividade regulada.
Para atuar neste mercado, o candidato a uma das entidades da cadeia deverá se submeter ao credenciamento no ITI, obedecendo aos requisitos determinados pelo Comitê Gestor e, obedecidos os requisitos disponíveis nos DOC-ICP, terá seu credenciamento deferido.
O credenciamento no ITI dá-se por ato vinculado da administração pública e a este não cabe a análise de conveniência, mas apenas atestar se os requisitos estabelecidos pelo Comitê Gestor foram atendidos.
O ente credenciado deverá manter todas as condições regulares durante o exercício das atividades para sua validade e será auditado anualmente por auditor homologado pelo ITI.
O valor cobrado pela emissão do certificado digital ou pelo serviço prestado pelas entidades credenciadas no ITI, como por exemplo, a validação externa, por não ser uma concessão pública, não se trata de taxa, mas sim de mero valor civil que pode ser livremente decidido pela Autoridade Certificadora ou Autoridade de Registro. Não existe qualquer normatização da ICP-Brasil a este respeito.
As Autoridades Certificadoras e Autoridades de Registro, podem ser empresas públicas ou privadas, desde que devidamente credenciadas pela AC-Raiz. As AC estão incumbidas de, emitir, expedir, distribuir, revogar e gerenciar os certificados. Já a Autoridade de Registro, recebe os documentos do titular do certificado digital, cadastra no sistema da AC e identifica de forma, exclusivamente presencial, o titular do certificado digital.
As Autoridades de Registro, por sua vez, poderão constituir filiais em território nacional ou internacional, desde que, dentro dos requisitos estabelecidos pelo CG-ICP e estes serão uma extensão da AR.
Seguindo a linha da Hierarquia temos, na respectiva ordem:
- Autoridade Certificadora-Raiz: Autarquia Federal
- Autoridade Certificadora de 1o nível: Empresa Pública ou Privada, credenciada no ITI;
- Autoridade Certificadora de 2o nível: Empresa Pública ou Privada, credenciada no ITI e vinculada a uma AC de primeiro nível;
- Autoridade de Registro: Empresa Pública ou Privada, credenciada no ITI e vinculada a uma AC de primeiro nível;
- Instalações Técnicas: Filiais de Autoridades de Registro, credenciada no ITI através das Autoridades Certificadoras, mas vinculadas às Autoridades de Registro;
A competência para credenciar entidade hierarquicamente abaixo da sua, é exclusiva das AC-Raiz, AC de 1o e 2o níveis.
Embora a Autoridade de Registro tenha Instalações Técnicas subordinadas à sua estrutura (com filial devidamente constituída junto à Receita Federal e Junta Comercial), só podem credenciar tais filiais através das Autoridades Certificadoras. Segundo o que determina os DOC-ICP, a comunicação com o ITI para credenciar entidades, só podem ocorrer por intermédio da Autoridade Certificadora (AC) que, através de formulário próprio, fará o pedido na AC-Raiz.
As Autoridades de Registro, estão subordinadas às Autoridades Certificadoras e devem seguir as DPCs – Declaração de Políticas de Certificado e PSs (Políticas de Segurança) desta, portanto, a Autoridade Certificadora é responsável solidária pelos atos das Autoridades de Registro.
Todas estas definições já existiam nos DOC-ICP, mas, com o excelente trabalho da atual gestão do ITI, temos um mercado mais seguro, consciente e que trata com muito mais cuidado o processo de emissão de certificados.
* Tatiane Forte é diretora da Autoridade de Registro Forte
Com informações de www.iti.gov.br, Curso de Direito da Certificação Digital – Autor: André Pinto Garcia, Constituição Federal 1988 e Direito Administrativo art. 37.
Fonte: Crypto ID
