INSTRUÇÃO NORMATIVA Nº 02, DE 20 DE MARÇO DE 2020

Estabelece os procedimentos de confirmação de cadastro de requerente de certificado digital por meio de videoconferência.

Esta Instrução Normativa regulamenta os procedimentos de confirmação de cadastro de requerente de certificado digital por meio de videoconferência, no âmbito da ICP-Brasil.

Aprovar a versão 1.0 do documento DOC-ICP-05.05 – PROCEDIMENTOS DE CONFIRMAÇÃO DE CADASTRO DE REQUERENTE DE CERTIFICADO DIGITAL POR MEIO DE VIDEOCONFERÊNCIA, conforme Anexo I desta Instrução Normativa.

Esta Instrução Normativa entra em vigor em 1º de abril de 2020, exceto no tocante aos itens 2.4.2 e 2.4.3 do Anexo I, o quais entrarão em vigor em 1º de julho de 2020.

DOC-ICP-05.05 Versão 1.0  17 de março de 2020

1 DISPOSIÇÕES GERAIS

1 – Este documento se aplica ao processo de confirmação do cadastro de requerente de certificado digital por meio de videoconferência, conforme estabelecido no DOC-ICP-05 [1].

2 – As AC que implementarem a modalidade de confirmação de cadastro do requerente por videoconferência devem descrever os procedimentos empregados em suas DPC.

3- A confirmação de cadastro por meio de videoconferência será realizada por meio de comunicação interativa que permita a transmissão e captação de som, imagem e dados em tempo real.

4 – A utilização dos meios e procedimentos identificados no presente documento não impede a utilização de outros meios e procedimentos previstos nas normas da ICP-Brasil.

5 – Os resultados, sem irregularidades, da confirmação de cadastro por meio de videoconferência do requerente de um certificado digital deverão ser apensados ao dossiê eletrônico do titular e mantidos pelo período regulamentado nas normas da ICP-Brasil.

6 – Identificada alguma irregularidade na confirmação do cadastro por meio de videoconferência, o Agente de Registro – AGR deverá adotar procedimentos para, se for o caso, comunicar a tentativa de fraude, conforme estabelecido no DOC-ICP-05.02 [2].

2 CONFIRMAÇÃO DE CADASTRO POR MEIO DE VIDEOCONFERÊNCIA

1 – A confirmação de cadastro por videoconferência deve ser realizada por AGR devidamente habilitado e autorizado.

2 – Antes da confirmação do cadastro por videoconferência, o requerente deve dar autorização expressa a todo o processo de identificação, bem como a captura de fotografias e/ou captura de imagens, voz, documentos de identificação, inclusive para manutenção da gravação em dossiê eletrônico do titular do certificado.

3 – As AR e AC asseguram que os meios técnicos utilizados são adequados a garantir que a videoconferência:

a – é realizada em tempo real e sem interrupções ou pausas;

b – tem qualidade adequada de som e imagem para permitir a identificação clara do requerente, do documento de identificação, e a verificação posterior dos dados de identificação recolhidos e comprovados;

c – é gravada com indicação da respectiva data e hora sincronizada com a Fonte Confiável do Tempo – FCT da ICP-Brasil;

d – decorre por um período de tempo suficiente para assegurar a integral observância dos procedimentos completos de confirmação de cadastro regulamentados neste documento;

e – preserva integridade e confidencialidade da comunicação audiovisual entre o AGR e o requerente através da utilização de sessões de vídeo protegidas com criptografia “ponta-a-ponta”; e

f – permita que os AGR apliquem questionários sequenciais (scripts), de forma aleatória, de modo que a sequencia de perguntas nunca seja a mesma e, portanto, não possa ser prevista, entendidos estes questionários como um conjunto de perguntas feitas ao requerente, que permitam ao AGR colher informações que atestem a veracidade da identificação da pessoa que se apresenta em vídeo e o seu respectivo cadastro.

4 – Requisitos a serem observados no processo de confirmação de cadastro por videoconferência.

1 – A AR e AC devem assegurar que as condições para a admissão de confirmação de cadastro por videoconferência estão atendidas, conforme previsto no DOC- ICP-05 [1].

2 – A AR deve capturar a biometria do titular, se pessoa física, ou do responsável pelo certificado, se pessoa jurídica, para a realização de batimento biométrico (verificação on-line [1:1]), com indicação da data e hora da captura e com qualidade suficiente que permita uma identificação positiva.

3 – Os parâmetros mínimos para captura das biometrias encontram-se definidos no documento DOC-ICP-05.03 [3].

4- No caso de certificado de pessoa jurídica, a confirmação do cadastro do titular obriga a confirmação da identidade da pessoa jurídica, conforme disposto no DOC-ICP-05 [1], obrigatoriamente em formato eletrônico, verificáveis por meio de barramento ou aplicações oficiais de órgão .

5 – O AGR deve certificar-se de que as informações da pessoa jurídica constantes no documento de identificação apresentado, correspondem efetivamente à pessoa jurídica requerente a ser identificada..

6 – O AGR deve certificar-se sobre a veracidade da informação contida no documento de identificação do requerente, quando um documento de identificação for utilizado.

7 – Caso não se verifiquem as condições técnicas necessárias à boa condução do processo de comprovação da identificação, nomeadamente nos casos de existência de fraca qualidade de imagem, de condições deficientes de luminosidade ou som, ou de interrupções na transmissão do vídeo, a videoconferência é interrompida e considerada sem efeito.

8 – Sempre que, durante a videoconferência, existam suspeitas quanto à veracidade dos elementos de identificação, a videoconferência não produz os efeitos de comprovação dos elementos identificativos a que se destina.

9 – Durante o processo de confirmação do cadastro por videoconferência, deve ser enviado ao requerente um código único descartável (OTP – One Time Password) de duração limitada, especialmente produzido para este efeito, que assegure a integral rastreabilidade do procedimento de identificação e a realização da videoconferência em tempo real e sem pausas, gerado centralmente e enviado para o requerente por e-mail, SMS ou aplicativo móvel.

10 – O procedimento de comprovação de identificação só se considera completo após a inserção pelo cliente do código único mencionado no item 2.4.9 acima e da respectiva confirmação desse código único pelo sistema.

11 – Todos os prestadores de serviços de certificação – PSCert que tiverem acesso aos dados do requerente devem cumprir todas as disposições legais relativas à matéria da proteção de dados pessoais.

2 DOCUMENTOS REFERENCIADOS

1- O documento abaixo é aprovado por Resolução do Comitê Gestor da ICP-Brasil, podendo ser alterado, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br publica a versão mais atualizada desse documento e a Resolução que o aprovou.