O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84, incisos IV e VI, da Constituição.

     DECRETA:

CAPÍTULO I
DISPOSIÇÕES PRELIMINARES

     Art. 1º A Infra-Estrutura de Chaves Públicas do Poder Executivo Federal - ICP-Gov será instituída nos termos deste Decreto.

     Art. 2º A tecnologia da ICP-Gov deverá utilizar criptografia assimétrica para relacionar um certificado digital a um indivíduo ou a uma entidade.

      § 1º A criptografia utilizará duas chaves matematicamente relacionadas, onde uma delas é pública e, a outra, privada, para criação de assinatura digital, com a qual será possível a realização de transações eletrônica seguras e a troca de informações sensíveis e classificadas.

      § 2º A tecnologia de Chaves Públicas da ICP-Gov viabilizará, no âmbito dos órgãos e das entidades da Administração Pública Federal, a oferta de serviços de sigilo, a validade, a autenticidade e integridade de dados, a irrevogabilidade e irretratabilidade das transações eletrônicas e das aplicações de suporte que utilizem certificados digitais.

     Art. 3º A ICP-Gov deverá contemplar, dentre outros, o conjunto de regras e políticas a serem definidas pela Autoridade de Gerência de Políticas - AGP, que visem estabelecer padrões técnicos, operacionais e de segurança para os vários processos das Autoridades Certificadoras - AC, integrantes da ICP-Gov.

     Art. 4º Para garantir o cumprimento das regras da ICP-Gov, serão instituídos processos de auditoria, que verifiquem as relações entre os requisitos operacionais determinados pelas características dos certificados e os procedimentos operacionais adotados pelas autoridades dela integrantes.

      Parágrafo único. Além dos padrões técnicos, operacionais e de segurança, a ICP-Gov definirá os tipos de certificados que podem ser gerados pelas AC.

CAPÍTULO II
DA ORGANIZAÇÃO DA ICP-GOV

     Art. 5º A arquitetura da ICP-Gov encontra-se definida no Anexo I a este Decreto.

     Art. 6º À Autoridade de Gerência de Políticas - AGP, integrante da ICP-Gov., compete:

      I - propor a criação da Autoridade Certificadora Raiz - AC Raiz;

      II - estabelecer e administrar as políticas a serem seguidas pelas AC;

      III - aprovar acordo de certificação cruzada e mapeamento de políticas entre a ICP-Gov e outras ICP externas;

      IV - estabelecer critérios para credenciamento das AC e das Autoridades de Registro - AR;

      V - definir a periodicidade de auditoria nas AC e AR e as sanções pelo descumprimento de normas por ela estabelecidas;

      VI - definir regras operacionais e normas relativas a:

a)

Autoridade Certificadora - AC;

b)

Autoridade de Registro - AR;

c)

assinatura digital;

d)

segurança criptográfica;

e)

repositório de certificados;

f)

revogação de certificados;

g)

cópia de segurança e recuperação de chaves;

h)

atualização automática de chaves;

i)

histórico de chaves;

j)

certificação cruzadas;

l)

suporte a sistema para garantia de irretratabilidade de transações ou de operações eletrônica;

m)

período de validade de certificado;

n)

aplicações cliente;

      VII - atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Gov. em especial da Política de Certificados - PC e das Práticas e Regras de Operação da Autoridade Certificadora, de modo a garantir:

a)

atendimento às necessidades dos órgãos e das entidades da Administração Pública Federal;

b)

conformidade com as políticas de segurança definidas pelo órgão executor da ICP-Gov; e

c)

atualização tecnológica.

     Art. 7º Para assegurar a manutenção do grau de confiança estabelecido para a ICP-Gov, as AC e AR deverão credenciar-se junto a AGP, de acordo com as normas e os critérios por esta autoridade estabelecidos.

     Art. 8º Cabe à AC Raiz a emissão e manutenção dos certificados das AC de órgãos e entidades da Administração Pública Federal e das AC privadas credenciadas, bem como o gerenciamento da Lista de Certificados Revogados - LCR.< p> Parágrafo único. Poderão ser instituídos níveis diferenciados de credenciamento para as AC, de conformidade com a sua finalidade.

     Art. 9º As AC devem prestar os seguintes serviços básicos:

      I - emissão de certificados;

      II - revogação de certificados;

      III - renovação de certificados;

      IV - publicação de certificados em diretório;

      V - emissão de Lista de Certificados Revogados - LCR;

      VI - publicação de LCR em diretório; e

      VII - gerência de chaves criptográficas.

      Parágrafo único. A disponibilização de certificados emitidos e de LCR atualizada será proporcionada mediante uso de diretório seguro e de fácil acesso.

     Art. 10. Cabe às AR:

      I - receber as requisições de certificação ou revogação de certificado por usuário, confirmar a identidade destes usuários e a validade de sua requisição e encaminhar esses documentos à AC responsável;

      II - entregar os certificados assinados pela AC aos seus respectivos solicitantes.

CAPÍTULO III
DO MODELO OPERACIONAL

     Art. 11. A emissão de certificados será precedida de processo de identificação do usuário, segundo critérios e métodos variados, conforme o tipo ou em função do maior ou menor grau de sua complexidade.

     Art. 12. No processo de credenciamento das AC, deverão ser utilizados, além de critérios estabelecidos pela AGP e de padrões técnicos internacionalmente reconhecidos, aspectos adicionais relacionados a:

      I - plano de contingência;

      II - política e plano de segurança, lógica e humana;

      III - análise de riscos;

      IV - capacidade financeira da proponente;

      V - reputação e grau de confiabilidade da proponente e de seus gerentes;

      VI - antecedentes e histórico no mercado; e

      VII - níveis de proteção aos usuários dos seus certificados, em termos de cobertura jurídica e seguro contra danos.

      Parágrafo único. O disposto nos incisos IV a VII não se aplica aos credenciamentos de AC Públicas.

     Art. 13. Obedecidas às especificações da AGP, os órgãos e as entidades da Administração Pública Federal poderão implantar sua própria ICP ou ofertar serviços de ICP integrados à ICP-Gov.

     Art. 14. A AC Privada, para prestar serviço à Administração Pública Federal, deve observar as mesmas diretrizes da AC Governamental, salvo outras exigências que vierem a ser fixadas pela AGP.

CAPÍTULO IV
DA POLÍTICA DE CERTIFICAÇÃO

     Art. 15. Serão definidos tipos de certificados, no âmbito da ICP-Gov. que atendam às necessidades gerais da maioria das aplicações, de forma a viabilizar a interoperabilidade entre ambientes computacionais distintos, dentro da Administração Pública Federal.

      § 1º Serão criados certificados de assinatura digital e de sigilo, atribuindo-se-lhes os seguintes níveis de segurança, consoante o processo envolvido:

      I - ultra-secretos;

      II - secretos;

      III - confidenciais;

      IV - reservados; e

      V - ostensivos.

      § 2º Os certificados, além de outros que a AGP poderá estabelecer, terão uso para:

      I - assinatura digital de documentos eletrônicos;

      II - assinatura de mensagem de correio eletrônico;

      III - autenticação para acesso a sistemas eletrônicos; e

      IV - troca de chaves para estabelecimento de sessão criptografada.

     Art. 16. À AGP compete tomar as providências necessárias para que os documentos, dados e registros armazenados e transmitidos por meio eletrônico, óptico, magnético ou similar passem a ter a mesma validade, reconhecimento e autenticidade que se dá a seus equivalentes originais em papel.

CAPÍTULO V
DAS DISPOSIÇÕES FINAIS

     Art. 17. Para instituição da ICP-Gov. deverá ser efetuado levantamento das demandas existentes nos órgãos governamentais quanto aos serviços típicos derivados da tecnologia de Chaves Públicas, tais como, autenticação, sigilo, integridade de dados e irretratabilidade das transações eletrônicas.

     Art. 18. O Glossário constante do Anexo II apresenta o significado dos termos e siglas em português, que são utilizados no sistema de Chaves Públicas.

     Art. 19. Compete ao Comitê Gestor de Segurança da Informação e concepção, a especificação e a coordenação da implementação da ICP-Gov, conforme disposto no art. 4º, inciso XIV, do Decreto nº 3.505, de 13 de junho de 2000.

     Art. 20. Fica estabelecido o prazo de cento e vinte dias, contados a partir da data de publicação deste Decreto, para especificação, divulgação e início da implementação da ICP-Gov.

     Art. 21. Implementados os procedimentos para a certificação digital de que trata este Decreto, a Casa Civil da Presidência da República estabelecerá cronograma com vistas à substituição progressiva do recebimento de documentos físicos por meios eletrônicos.

     Art. 22. Este Decreto entra em vigor na data de sua publicação.

     Brasília, 5 de setembro de 2000; 179º da Independência e 112º da República.

FERNANDO HENRIQUE CARDOSO
Guilherme Gomes Dias
Alberto Mendes Cardoso