Este documento discute as políticas de segurança da informação, computação pessoal e corporativa de uma Autoridade de Registro de Certificação Digital (AR). A AR é responsável por identificar usuários e encaminhar solicitações de certificados digitais para a Autoridade Certificadora (AC). O documento explica os papéis da AR e AC e os princípios de integridade, confidencialidade, disponibilidade e legalidade que regem as políticas de segurança.
Semelhante a AS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO, COMPUTAÇÃO PESSOAL E COMPUTAÇÃO CORPORATIVA DA AR - AUTORIDADE DE REGISTRO DE CERTIFICADO DIGITAL
[Call2Social] Aspectos legais sobre o monitoramentoScup
Semelhante a AS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO, COMPUTAÇÃO PESSOAL E COMPUTAÇÃO CORPORATIVA DA AR - AUTORIDADE DE REGISTRO DE CERTIFICADO DIGITAL (20)
AS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO, COMPUTAÇÃO PESSOAL E COMPUTAÇÃO CORPORATIVA DA AR - AUTORIDADE DE REGISTRO DE CERTIFICADO DIGITAL
1. 1
AS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO,
COMPUTAÇÃO PESSOAL E COMPUTAÇÃO
CORPORATIVA DA AR – AUTORIDADE DE REGISTRO
DE CERTIFICAÇÃO DIGITAL.
Marco Aurélio Bicalho de Abreu Chagas
De início, cabe aqui ressaltar que uma AR – Autoridade de
Registro de Certificação Digital é a responsável pela interface entre o usuário e
a Autoridade Certificadora. Vinculada a uma AC - Autoridade Certificadora -
que tem por objetivo o recebimento, validação, encaminhamento de
solicitações de emissão ou revogação de certificados digitais às AC e
identificação, de forma presencial, de seus solicitantes. É responsabilidade da
AR manter registros de suas operações.
Podem ser credenciadas como AR tanto entidades
privadas como órgãos públicos.
Compete, portanto, à Autoridade de Registro identificar e
cadastrar usuários, de forma presencial, encaminhar solicitações de
certificados à respectiva AC além, como dissemos, de manter os registros de
suas operações.
Por sua vez a AC – Autoridade Certificadora é a entidade,
subordinada a hierarquia da ICPBrasil, responsável por emitir, distribuir,
renovar, revogar e gerenciar certificados digitais. Cabe também à AC emitir
listas de certificados revogados (LCR) e manter registros de suas operações
sempre obedecendo às práticas definidas na Declaração de Práticas de
Certificação (DPC). Desempenha como função essencial a responsabilidade de
verificar se o titular do certificado possui a chave privada que corresponde à
chave pública que faz parte do certificado. Cria e assina digitalmente o
certificado do assinante, onde o certificado emitido pela AC representa a
declaração da identidade do titular, que possui um par único de chaves
(pública/privada). Na hierarquia dos Serviços de Certificação Pública, as AC
estão subordinadas à Autoridade Certificadora de nível hierarquicamente
superior.
ICPBrasil é a designação da Infra-estrutura de Chaves
Públicas Brasileiras.
Após essas digressões, constatamos que do exame
acurado do material encaminhado pela Consulente, verifica-se que tais
documentos contemplaram modelos padrões já desenvolvidos pelo órgão de
certificação digital e que dentre outras diretivas, notadamente, a política de
segurança da informação, obedecem a princípios que norteiam sua
composição, tais como o da integridade, da confidencialidade, disponibilidade e
o princípio da legalidade.
2. 2
Sobre cada um desses princípios, salientaríamos os pontos
capitais que os conceituam dentro dos paradigmas inerentes às políticas a
serem desenvolvidas no desempenho das atividades da certificação digital, a
saber:
Integridade:
o A condição na qual a informação ou os recursos da informação
são protegidos contra modificações não autorizadas.
Confidencialidade:
o Propriedade de certas informações que não podem ser
disponibilizadas ou divulgadas sem autorização prévia do seu
dono.
Disponibilidade:
o Característica da informação que se relaciona diretamente a
possibilidade de acesso por parte daqueles que a necessitam
para o desempenho de suas atividades.
Legalidade
o Estado legal da informação, em conformidade com os preceitos
da legislação em vigor.
É a seguinte a legislação em vigor pertinente à Certificação
Digital:
1ª - a Medida Provisória nº 2.200-2, de 24 de agosto de 2001
que instituiu a Infra-Estrutura de Chaves Públicas Brasileira -
ICP-Brasil;
2ª - Decretos;
3ª - Resoluções;
4ª - e outros Atos Normativos.
Essa legislação se encontra à disposição no Portal ICP-
Brasil, no seguinte endereço eletrônico: https://www.icpbrasil.gov.br/
Dentre essas normas, salientaríamos a Resolução n° 41,
de 18 de Abril de 2006, que aprova a versão 2.0 dos Requisitos Mínimos para
as POLÍTICAS DE CERTIFICADO na ICP-Brasil.
3. 3
Sob nossa ótica jurídica, nada a objetar à documentação
oferecida a exame, concernente às políticas de segurança inerentes à
Certificação Digital, desde que contemplados os dispositivos legais
mencionados que norteiam essas atividades, e aqui elencados, à guisa de
ilustração, lembrando que o artigo 5º, II, da Constituição da República, cuida do
princípio da legalidade: "ninguém será obrigado a fazer ou deixar de fazer
alguma coisa senão em virtude de lei".
Assim, na democracia política, os direitos e os deveres do
cidadão não constituem mero capricho ou mera concessão dos governantes,
mas são previstos em lei ou em ato equiparado à lei (lei delegada, medida
provisória convertida em lei).
No Estado de Direito, o poder da autoridade e a liberdade do
cidadão são regulados por normas constitucionais e por normas legais. Para
que a ordem jurídica tenha estabilidade, exige-se o respeito às regras
constitucionais e às regras legais.
Artigo elaborado em outubro/2008
Autor: MARCO AURÉLIO BICALHO DE ABREU CHAGAS
Advogado com especialidade em Direito Comercial e Tributário
Assessor jurídico da ACMINAS – ASSOCIAÇÃO COMERCIAL DE MINAS
Sócio do escritório CUNHA PEREIRA & ABREU CHAGAS – Advogados
associados.
E-mail: marcoaureliochagas@gmail.com
Home: http://br.geocities.com/marcoaureliochagas/