No mês de junho o Instituto Nacional de Tecnologia da Informação (ITI), publicou no Diário Oficial da União (DOU) a Instrução Normativa nº 33, que consolida novas versões das Políticas de Assinatura Digital no âmbito da Infraestrutura de Chaves Públicas Brasileiras (ICP-Brasil). Confira a seguir quais são as mudanças!
Sobre o Instituto Nacional de Tecnologia da Informação (ITI)
O Instituto Nacional de Tecnologia da Informação (ITI) é uma Autoridade Certificadora Raiz (AC Raiz), responsável por gerenciar e executar as políticas da ICP-Brasil, além de definir padrões criptográficos para assinaturas avançadas em documentos e transações eletrônica, principalmente na administração públicas.
Sobre a Infraestrutura de Chaves Públicas Brasileiras (ICP-Brasil)
A ICP-Brasil funciona como uma cadeia hierárquica de confiança, emitindo certificados digitais para pessoas físicas e jurídicas. É por meio dela que é possível assinar documentos eletrônicos com validade jurídica, acessar serviços do Governo e a realizar a identificação segura das pessoas.
Sobre as novas normas
A atualização tem o objetivo de acompanhar os avanços tecnológicos e garantir conformidade com os mais recentes padrões de segurança e interoperabilidade. As principais alterações envolvem a incorporação de novas versões das políticas de assinatura padrão, especialmente a versão indicativa 2.4, denominada “Política ICP-Brasil para assinatura digital com referência básica no formato CMS” com OID 2.16.76.1.7.1.1.2.4. Foi também reforçado o processo de verificação e segurança dessas políticas por meio da publicação, no repositório da AC-Raiz, da Lista de Políticas de Assinatura (LPA) contendo os hashes das políticas aprovadas. A LPA será assinada digitalmente com um certificado do próprio ITI, garantindo proteção contra alterações não autorizadas.
Quem será impactado e como?
Essas atualizações impactam diretamente as Autoridades Certificadoras (ACs) credenciadas na ICP-Brasil, sistemas e aplicativos emissores ou validadores de Certificados Digitais, desenvolvedores de soluções baseadas em assinatura digital padronizadas e organizações públicas ou privadas que dependem de assinatura digital com base na ICP-Brasil. Os impactos esperados são a padronização reforçada, a transparência e a confiabilidade ampliada por meio da assinatura da LPA pelo ITI e adequação técnica para certificados e sistemas que utilizam as normas ICP-Brasil, exigindo atenção às versões atualizadas.
Como aplicar as novas políticas
Para aplicar as novas políticas é necessário atualizar softwares que implementem políticas ICP-Brasil, incorporando a versão 2.4, também deve consultar a LPA no repositório da AC-Raiz para garantir uso das políticas reconhecidas, verificar certificados das ACs, assegurando que estão emitindo conforme as novas versões aprovadas e documentar conformidade, principalmente para auditorias ou registros internos de segurança de informação.
O que muda para quem usa o Certificado Digital?
Para quem utiliza o Certificado Digital, não é necessário fazer nenhuma atualização ou mudança, sendo de preocupação apenas dos órgãos e empresas citados anteriormente.