Notícias
DPC – Um Guia Prático na Emissão de Certificados ICP-Brasil
Ângela Maria de Oliveira*
O objetivo deste artigo é esclarecer o que é a Declaração de Práticas de Certificação - DPC, quais são os documentos normativos que orientam sua elaboração e o seu papel para garantir a conformidade na emissão dos certificados digitais ICP-Brasil.
A Declaração de Práticas de Certificação – DPC é um documento periodicamente revisado e republicado, que descreve as práticas e os procedimentos empregados pelas Autoridades Certificadoras (AC) e utilizados pelas suas Autoridades de Registro (AR) vinculadas, na execução de seus serviços.
O Instituto Nacional de Tecnologia da Informação – ITI, como órgão que possui a missão de manter e executar as políticas da ICP-Brasil, disponibiliza em seu Site toda a documentação necessária para as empresas que decidirem credenciar-se nas cadeias da Infraestrutura de Chaves Públicas Brasileira (por exemplo, como AC e AR entre outras). Estas empresas devem ter conhecimento do conteúdo dos normativos disponibilizados antes mesmo de estarem credenciadas. O DOC-ICP-03, por exemplo, contém as regras para o credenciamento das entidades integrantes da ICP-Brasil e seus Anexos, a lista de documentos que devem ser apresentados ao Protocolo do ITI.
Já a DPC deve ser elaborada levando em consideração as diretrizes e orientações do DOC-ICP-05 – Requisitos Mínimos para as Declarações de Práticas de Certificação das Autoridades Cerificadoras da ICP-Brasil. Neste normativo estão descritas as responsabilidades e obrigações das Autoridades Certificadoras.
Assim, podemos dizer que a DPC é a declaração a respeito das práticas, atividades e políticas que fundamentam a emissão de certificados e outros serviços relacionados. O instrumento é utilizado pelas Autoridades Certificadoras para definição e operação de seus sistemas com a finalidade de garantir a emissão correta dos certificados e pelos solicitantes e partes confiáveis, para que em conjunto com a Política de Certificado (PC) e a Polítca de Segurança (PS) possam avaliar a adequação dos padrões de segurança empregados às necessidades das aplicações.
A DPC descreve os procedimentos que serão praticados pela Autoridade Certificadora e Autoridade de Registro para emissão dos certificados. É o pilar para a sustentação dos processos e ferramentas que serão desenvolvidos para as atividades inerentes a emissão dos certificados.
A DPC orienta a elaboração da Política de Certificado - uma para cada tipo de certificado emitido pela AC - que serão aplicadas pela AC. Além disto, as políticas delimitam o escopo de atuação da AC e funcionam como um guia para a gestão.
Em termos de controle e fiscalização, será o documento base utilizado nas auditorias operacionais para identificar e concluir se uma AC está em conformidade (compliance) às normas da ICP-Brasil. Destacamos que o conceito de compliance está relacionado com a excelência na promoção de práticas na gestão das organizações, visando garantir a integridade dos processos. Enfim, a busca da qualidade pela conformidade com as normas.
Cada AC deve ter a sua DPC e não importa se for AC normativa ou emissora. Tanto as ACs de primeiro quanto as de segundo nível devem escrever a sua DPC. As ARs não possuem DPC, mas devem seguir a DPC da AC a qual estão vinculadas.
A partir da Resolução 151, que trouxe a certificação Webtrust para a ICP-Brasil, as ARs devem elaborar um documento denominado Declaração de Práticas de Negócio de AR conforme descrito em Princípios e Critérios Webtrust para AR (Webtrust Principles and Criteria for Registration Autorities). A AR deve descrever suas práticas e procedimentos comerciais utilizados em conformidade com as políticas da AC a qual está vinculada.
A DPC, a PC e a PS elaboradas pela AC devem ser enviadas ao ITI para análise e aprovação.
A partir do resultado das análises podemos dizer que o maior índice de erros detectados pelo ITI está em copiar o DOC-ICP-05 como sendo a DPC da AC. A DPC é o documento que descreve as práticas e os procedimentos empregados pela AC na execução de seus serviços, portanto, deve constar as práticas específicas de cada AC.
Outro incidente que ocorre é copiar a PC e DPC de outra AC sem fazer os respectivos ajustes. É comum, principalmente, nos pedidos de credenciamento de uma nova AC, copiar ou ter como referência uma DPC ou PC já aprovada pelo ITI para outra AC. Outros erros comuns estão relacionados ao tempo verbal, grafia errada das palavras, inclusão não permitida de procedimentos, exclusão de itens obrigatórios e descrição de práticas que não serão executadas.
Nesse sentido, cabe a orientação às entidades da ICP-Brasil, mantidas e auditadas pelo ITI, para que sigam as orientações e os normativos aprovados pelo Comitê Gestor, a fim de instrumentalizar suas ações e garantir a governança em toda a cadeia de confiança da Infraestrutura de Chaves Públicas Brasileira.
Ângela Maria de Oliveira é Diretora de Auditoria, Fiscalização e Normalização do Instituto Nacional de Tecnologia da Informação - ITI