Legislação

- A arquitetura da ICP-Gov encontra-se definida no Anexo I a este Decreto.

- À Autoridade de Gerência de Políticas - AGP, integrante da ICP-Gov, compete:

I - propor a criação da Autoridade Certificadora Raiz - AC Raiz;

II - estabelecer e administrar as políticas a serem seguidas pelas AC;

III - aprovar acordo de certificação cruzada e mapeamento de políticas entre a ICP-Gov e outras ICP externas;

IV - estabelecer critérios para credenciamento das AC e das Autoridades de Registro - AR;

V - definir a periodicidade de auditoria nas AC e AR e as sanções pelo descumprimento de normas por ela estabelecidas;

VI - definir regras operacionais e normas relativas a:

a) Autoridade Certificadora - AC;

b) Autoridade de Registro - AR;

c) assinatura digital;

d) segurança criptográfica;

e) repositório de certificados;

f) revogação de certificados;

g) cópia de segurança e recuperação de chaves;

h) atualização automática de chaves;

i) histórico de chaves;

j) certificação cruzada;

l) suporte a sistema para garantia de irretratabilidade de transações ou de operações eletrônicas;

m) período de validade de certificado;

n) aplicações cliente;

VII - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Gov, em especial da Política de Certificados - PC e das Práticas e Regras de Operação da Autoridade Certificadora, de modo a garantir:

a) atendimento às necessidades dos órgãos e das entidades da Administração Pública Federal;

b) conformidade com as políticas de segurança definidas pelo órgão executor da ICP-Gov; e

c) atualização tecnológica.

- Para assegurar a manutenção do grau de confiança estabelecido para a ICP-Gov, as AC e AR deverão credenciar-se junto a AGP, de acordo com as normas e os critérios por esta autoridade estabelecidos.

- Cabe à AC Raiz a emissão e manutenção dos certificados das AC de órgãos e entidades da Administração Pública Federal e das AC privadas credenciadas, bem como o gerenciamento da Lista de Certificados Revogados - LCR.

Parágrafo único - Poderão ser instituídos níveis diferenciados de credenciamento para as AC, de conformidade com a sua finalidade.

- As AC devem prestar os seguintes serviços básicos:

I - emissão de certificados;

II - revogação de certificados;

III - renovação de certificados;

IV - publicação de certificados em diretório;

V - emissão de Lista de Certificados Revogados - LCR;

VI - publicação de LCR em diretório; e

VII - gerência de chaves criptográficas.

Parágrafo único - A disponibilização de certificados emitidos e de LCR atualizada será proporcionada mediante uso de diretório seguro e de fácil acesso.

- Cabe às AR:

I - receber as requisições de certificação ou revogação de certificado por usuários, confirmar a identidade destes usuários e a validade de sua requisição e encaminhar esses documentos à AC responsável;

II - entregar os certificados assinados pela AC aos seus respectivos solicitantes.