Decreto nº 3.587, de 5 de septiembre de 2.000 de Brasil

DECRETO Nº 3.587, de 5 de septiembre del 2000, por el que se establecen normas sobre infraestructura de claves públicas del Poder Ejecutivo Federal.                                                                                    

                 El Presidente de la República en uso de las atribuciones conferidas por el art. 84 de la Constitución, incisos IV y VI, decreta:

                 CAPÍTULO I. DISPOSICIONES GENERALES.

Artículo 1º

La Infraestructura (Emisor) de claves públicas del Poder  Ejecutivo federal se constituirá conforme a los términos del presente decreto.

Artículo 2º            

La tecnología de infraestructura de claves públicas del Poder Ejecutivo federal deberá utilizar criptografía de tipo asimétrica, que vincule un certificado digital a un individuo o entidad.

1. La criptografía utilizará dos claves matemáticamente relacionadas, en   las cuales una de ellas es pública y la otra privada, en orden a la creación de una firma digital, por la cual será posible la realización de transacciones electrónicas seguras y el intercambio de datos clasificados y sensibles.

2. La tecnología de claves públicas del Poder Ejecutivo federal facilitará, en el ámbito de los órganos y entidades de la  Administración   Pública federal, las ofertas de servicios de sigilo, la validez, la autenticidad e integridad de los datos, la irrevocabilidad e inmutabilidad de las transacciones electrónicas y de las aplicaciones de los soportes que utilicen certificados digitales.

Artículo 3º

La infraestructura de claves públicas del Poder Ejecutivo federal  ICP-Gov deberá contemplar, entre otras, un conjunto de reglas y normas  que determinará la AGP (Autoridade de Gerência de Políticas), las que deberán establecer requisitos técnicos, operacionales y de seguridad para  los servicios de las Autoridades Certificadoras, integrantes de la infraestructura de claves públicas del Poder Ejecutivo federal.

Artículo 4º

Para garantizar el cumplimiento de las reglas de ICP-Gov serán establecidos procesos de auditoria y fiscalización que verifiquen las relaciones entre los requisitos operacionales determinados por las  características de los certificados y de los procedimientos operacionales  adoptados por las autoridades que integren ICP-Gov.

Además de los requisitos técnicos, operacionales y de seguridad, la ICP-Gov definirá los tipos de certificados que podrán ser administrados por las autoridades certificadoras.

CAPÍTULO II. DE LA ORGANIZACIÓN DE LA ICP-GOV                

Artículo 5º

La arquitectura de la ICP-Gov se define en el anexo I del presente decreto.

Artículo 6º

A las autoridades de Administración de Procedimientos AGP, integrantes de la ICP-Gov, compete:

I) Proponer la creación de la autoridad certificadora general

II) Establecer y administrar las políticas a las que están sujetas las autoridades certificadoras.

III) Aprobar acuerdos de certificación común y convenciones sobre  políticas entre ICP-Gov y otras ICP externas;

IV) Establecer criterios de acreditación de autoridades certificadoras   AC y de registro AR;

V) Establecer los periodos de las auditorias sobre las AC y AR y de las    sanciones por incumplimiento a las normas establecidas;

VI) Definir reglas operacionales y normas relativas a:

a) Autoridad Certificadora – AC; 

b) Autoridad de Registro – AR; 

c) firma digital; 

d) seguridad criptográfica; 

e) depósito de certificados; 

f) revocación de certificados; 

g) copia de seguridad y recuperación de claves; 

h) actualización automática de claves; 

i) historial de claves; 

j) certificación cruzada; 

l) suporte al sistema para garantizar la inmutabilidad de transacciones u operaciones electrónicas; 

m) período de validez del certificado; 

n) aplicaciones respecto del cliente;

VII) Actualizar, ajustar y revisar los procedimientos y las prácticas establecidas para la ICP-Gov, en especial la Política de Certificados – PC  y de las Prácticas y Reglas de Operación de la Autoridad Certificadora, de   modo de garantizar: 

a) satisfacer las necesidades de los órganos y de las entidades da la Administración Pública Federal; 

b) ajustarse a las políticas de seguridad definidas por el órgano ejecutivo de la ICP-Gov; y 

c) actualización tecnológica.

Artículo 7º

Para asegurar el mantenimiento del grado de confianza establecido para la ICP-Gov, las AC y AR deberán acreditar a las AGP, de acuerdo con las normas y los criterios por esta autoridad establecidos.

Artículo 8º

La AC General debe emitir y mantener los certificados de las AC de órganos y entidades de la Administración Pública Federal y de las AC privadas acreditadas, como administrar una Lista de Certificados Revocados – LCR.

Podrán ser instituidos niveles diferenciados de acreditación de las AC, de conformidad con su finalidad.

Artículo 9º

Las AC deben prestar los siguientes servicios básicos: 

I) Emisión de certificados; 

II) Revocación de certificados; 

III) Renovación de certificados; 

IV) Publicación de certificados en un boletín o directorio; 

V) Emisión de la Lista de Certificados Revocados – LCR; 

VI) Publicación de LCR en un boletín o directorio; y 

VII) Administrar claves criptográficas.

La disponibilidad de certificados emitidos y de LCR actualizadas serán proporcionadas mediante uso de un boletín seguro y de fácil acceso.

Artículo 10º

Las AR deben: 

I) Recibir las solicitudes de certificación o revocación de certificados, por los usuarios, confirmar la identidad de dichos usuarios y la validez de su solicitud y dirigir dichos documentos a la AC responsable; 

II) Entregar los certificados asignados por la AC a sus respectivos solicitantes

CAPÍTULO III. DEL MODELO OPERACIONAL               

Artículo 11º

La emisión de los certificados será precedida de un proceso de   identificación del usuario, según métodos y criterios diversos, atendiendo a la complejidad de su tipo o función.

Artículo 12º

En el proceso de acreditación de las AC, deberán ser utilizados, además de criterios establecidos por la AGP y los procedimientos técnicos  internacionales reconocidos, aspectos adicionales relacionados a: 

I) Plano de contingencia; 

II) Política y plano de seguridad física, lógica y humana; 

III) Análisis de riesgos; 

IV) Capacidad financiera del proponente; 

V) Reputación y gran confiabilidad del proponente y de sus gerentes; 

VI) Antecedentes e historial de mercado; y 

VII) Niveles de protección a los usuarios de sus certificados, en términos de cobertura jurídica y seguro contra daños.

Lo dispueto en los incisos IV a VII no se aplican a las acreditaciones de AC Públicas.

Artículo 13º

Cumplidas las exigencias de la AGP, los órganos y las entidades de la Administración Pública Federal podrán implantar su propia ICP u ofrecer servicios de ICP integrados a ICP-Gov.

Artículo 14º

La AC Privada, para prestar servicio a la Administración Pública Federal, debe observar las mismas directrices de las AC Gubernamentales, salvo otras exigencias que fueren fijadas por la AGP.

CAPÍTULO IV. DEL PROCEDIMIENTO DE CERTIFICACIÓN                

Artículo 15º

Serán definidos tipos de certificados, en ámbito de la ICP-Gov, que atiendan a las necesidades generales de la mayoría de las aplicaciones,   de forma de hacer viable la interoperabilidad entre sistemas computacionales diferentes, dentro da Administración Pública Federal.

1. Serán creados certificados de firma digital y secreto,  atribuyéndoseles los siguientes niveles de seguridad, conforme al proceso   respectivo:

I) Ultra-secretos;

II) Secretos;

III) Confidenciales;

IV) Reservados; e

V) Públicos.

2. Los certificados, además de otras que la AGP podrá establecer, tiene     por función: 

I) Firma digital de documentos electrónicos; 

II) Firma de mensajes electrónicos; 

III) Autenticación de acceso a sistemas electrónicos; y 

IV) Cambio de claves para establecimiento de sesión criptografiada.

Artículo 16º

Compete a la AGP tomar las providencias necesarias para que los documentos, entregados y registrados, almacenados y transmitidos por medios electrónicos, ópticos, magnéticos o medio similar datos y registros almacenados y transmitidos por medio electrónico, óptico, magnético o similar pasen a tener la misma validez, reconocimiento y autenticidad que se da a sus equivalentes originarios en papel.

CAPÍTULO V. DE LAS DISPOSICIONES FINALES

Artículo 17º

Para la institución de ICP-Gov, deberá ser efectuado levantamiento de demandas existentes en los órganos gubernamentales cuando sean servicios típicos derivados de la tecnología de Claves Públicas, tales como, autenticación, secreto, integridad de datos y la no modificación de  transacciones electrónicas.

Artículo 18º

El Glosario contenido en el Anexo II …

Artículo 19º

Compete a…

Artículo 20º

Queda establecido un plazo de ciento veinte días, contados a partir de la fecha de publicación de este Decreto, para la puesta en marcha e implementación de la ICP-Gov. 

Artículo 21º 

Implementados los procedimientos para la certificación digital de que trata este Decreto, la Casa Civil de la Presidencia de la República establecerá un cronograma con vistas a la substitución progresiva de documentos físicos por documentos electrónicos.

Artículo 22º

Este Decreto entra en vigor a la fecha de su publicación. 

Brasília, 5 de septiembre del 2000. FERNANDO HENRIQUE CARDOSO

                 Guilherme Gomes Dias Alberto Mendes Cardoso

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.