Implementa o controle de versões das Políticas de Segurança, das Políticas de Certificados e das Declarações de Práticas de Certificação das Autoridades Certificadoras no âmbito da ICP-Brasil.

O DIRETOR-PRESIDENTE SUBSTITUTO DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso da atribuição que lhe foi conferida pelo Inciso I, do Art. 1º, do anexo I, do Decreto nº 4.689, de 7 de maio de 2003, e pelo artigo 1º da Resolução nº 33 do CG da ICP-Brasil, de 21 de outubro de 2004, e

Considerando:

 - o aumento do número de pedidos de alterações de Políticas de Certificados (PC) e de Declarações de Práticas de Certificação (DPC), seja por determinação legal, seja por iniciativa das próprias Autoridades Certificadoras (AC);

- a necessidade de facilitar o controle e agilizar a análise dessas alterações, por parte do ITI;

- a necessidade de dar publicidade, aos usuários de certificados no âmbito da ICP-Brasil, das alterações aprovadas de forma clara, concisa e ágil;

- a necessidade de suplementar o disposto na Resolução nº 6 do CG da ICP-Brasil, de 22/11/2001, itens 2.1, alínea d, e 2.2.1, alínea b, combinados com o item 4 de seu Anexo IV, e nas Resoluções nº 7 e nº 8 do CG da ICP-Brasil, ambas de 12/12/2001, em seus itens 8.3, no sentido de especificar de que forma as entidades candidatas ao credenciamento como AC da ICP-Brasil deverão encaminhar e submeter à aprovação do ITI suas propostas de Política de Segurança (PS), de DPC e de PC; e

- a necessidade de suplementar o disposto na Resolução nº 6 do CG da ICP-Brasil, de 22/11/2001, item 3.1.2, e nas Resoluções nº 7 e nº 8 do CG da ICP-Brasil, ambas de 12/12/2001, em seus itens 8.1, no sentido de especificar de que forma as AC da ICP-Brasil deverão encaminhar pedidos de alterações de suas PS, DPC e PC para fins de manutenção de credenciamento e de administração de suas especificações,

R E S O L V E :

Art. 1º Adotar o controle de versão das PS, das PC e das DPC das AC no âmbito da ICP-Brasil, na forma estabelecida por esta Instrução Normativa.

Parágrafo único. O disposto nesta instrução normativa aplica-se também, no que couber, às entidades candidatas a credenciamento como AC no âmbito da ICP-Brasil, quando da submissão de suas propostas de PS, de DPC e de PC à aprovação do ITI. Art. 2º Para fins desta Instrução Normativa aplicam-se os seguintes conceitos:

I - Controle de Versão (v.a): controle numérico de dois dígitos, separados por um ponto, sendo que o primeiro deles representa a versão do documento e o segundo a sua atualização;

II - Versão (v): número que indica a seqüência de alterações nas PS, nas DPC ou nas PC das AC provocadas pelas edições de novas Resoluções do CG da ICP-Brasil; e

III - Atualização (a): número que indica a seqüência de atualizações nas PS, nas DPC ou nas PC das AC provocadas por iniciativas das próprias AC ou por solicitações específicas do ITI.

§ 1º Novas versões (v) deverão ser adotadas sempre que as alterações sejam decorrentes de imposição de Resoluções do CG da ICP-Brasil. Nestes casos, o dígito correspondente às atualizações (a) deverá ser zerado.

§ 2º Novas atualizações (a) deverão ser adotadas sempre que as alterações sejam decorrentes de iniciativas das próprias AC ou de solicitações específicas do ITI. Nestes casos, o dígito correspondente às versões (v) deverá permanecer inalterado.

Art. 3º Quando da solicitação de nova alteração, motivada por qualquer das hipóteses previstas anteriormente, o novo controle de versão (v.a) deverá refletir todas as alterações anteriores.

Art 4º Os pedidos de alterações de PS, de PC e de DPC devem ser formalizados por meio de correspondência escrita, endereçada ao ITI, contendo:

I - Tabela, conforme exemplo constante do Anexo I, com os seguintes campos:

a) nomes dos documentos para os quais são solicitadas alterações;

b) novos controles de versão dos documentos;

c) data de criação dos documentos;

d) número dos processos em que devem ser incluídos os documentos (Processo Base de Manutenção, nos casos de PS e DPC ou Apenso, no caso de PC); e

e) hash dos arquivos correspondentes aos documentos enviados, calculados usando algoritmo SHA1.

II - Anexos:

a) relação escrita dos itens para os quais estão sendo solicitadas alterações, apontando os textos vigentes e os textos propostos;

b) mídia eletrônica (CD, disquete, etc.) contendo os arquivos, em formato RTF, com os conteúdos completos dos novos documentos propostos, já na conformação final a ser divulgada no repositório da AC. Tais arquivos devem ser identificados pelos mesmos nomes e controles de versão citados nas alíneas “a” e “b” do inciso I.

Art. 5º Durante o período de análise dos documentos, a remessa de eventuais correções nas alterações requeridas deve ser feita por meio de correspondência, acompanhada dos mesmos documentos definidos no artigo anterior.

§ 1º O período de análise será de 10 (dez) dias, prorrogável por iguais e sucessivos períodos, a contar do recebimento do material de que tratam os incisos I e II do artigo 4º.

§ 2º Quando houver necessidade de os documentos retornarem às AC, seja pela ocorrência de diferenças nos resultados de hash, seja para adequação às recomendações do ITI, o prazo para análise será interrompido, recomeçando sua contagem após o recebimento do novo conjunto de documentos.

§ 3º O prazo estabelecido pelo parágrafo 1º não se aplica às análises de alterações que, por sua natureza, necessitem de auditoria na AC ou em qualquer de suas entidades vinculadas.

Art. 6º A partir da publicação pelo ITI, no Diário Oficial da União, da aprovação do novo controle de versão, a AC terá 30 dias para publicar os documentos aprovados em seu repositório e, efetivamente, implementar o que neles estiver disposto, mantendo em evidência o controle de versão e sua data de referência, que devem ser os mesmos exigidos pelas alíneas “b” e “c” do inciso I do art. 4º.

Parágrafo único. Não cumprido o prazo estabelecido no caput pela AC responsável, sem que seja apresentada justificativa apropriada, poderá o ITI cancelar a aprovação do respectivo controle de versão.

Art. 7º Para a implantação desta sistemática será considerado como referência inicial o controle de versão 1.0, que adotará como referência as alterações impostas pela Resolução nº 37 do CG da ICPBrasil, de 21 de outubro de 2004.

Art. 8º As implementações de que trata esta Instrução Normativa aplicam-se exclusivamente às alterações em PS, PC e DPC.

Art. 9º As AC deverão enviar a este Instituto, na forma disposta pelo art. 4º, no prazo máximo de 30 dias, a contar da publicação desta Instrução Normativa, o texto integral de suas PS, DPC e PC, atualizadas até a Resolução nº 37 do CG da ICP-Brasil, de 21 de outubro de 2004, as quais receberão o controle de versão 1.0.

RENATO DA SILVEIRA MARTINI

ANEXO I

Exemplo de Tabela exigida pelo inciso I, do art. 4º