DECRETO Nº 3.587, de 5 de septiembre del 2000, por el que se establecen normas sobre infraestructura de claves públicas del Poder Ejecutivo Federal.
El Presidente de la República en uso de las atribuciones conferidas por el art. 84 de la Constitución, incisos IV y VI, decreta:
CAPÍTULO I. DISPOSICIONES GENERALES.
Artículo 1º
La Infraestructura (Emisor) de claves públicas del Poder Ejecutivo federal se constituirá conforme a los términos del presente decreto.
Artículo 2º
La tecnología de infraestructura de claves públicas del Poder Ejecutivo federal deberá utilizar criptografía de tipo asimétrica, que vincule un certificado digital a un individuo o entidad.
1. La criptografía utilizará dos claves matemáticamente relacionadas, en las cuales una de ellas es pública y la otra privada, en orden a la creación de una firma digital, por la cual será posible la realización de transacciones electrónicas seguras y el intercambio de datos clasificados y sensibles.
2. La tecnología de claves públicas del Poder Ejecutivo federal facilitará, en el ámbito de los órganos y entidades de la Administración Pública federal, las ofertas de servicios de sigilo, la validez, la autenticidad e integridad de los datos, la irrevocabilidad e inmutabilidad de las transacciones electrónicas y de las aplicaciones de los soportes que utilicen certificados digitales.
Artículo 3º
La infraestructura de claves públicas del Poder Ejecutivo federal ICP-Gov deberá contemplar, entre otras, un conjunto de reglas y normas que determinará la AGP (Autoridade de Gerência de Políticas), las que deberán establecer requisitos técnicos, operacionales y de seguridad para los servicios de las Autoridades Certificadoras, integrantes de la infraestructura de claves públicas del Poder Ejecutivo federal.
Artículo 4º
Para garantizar el cumplimiento de las reglas de ICP-Gov serán establecidos procesos de auditoria y fiscalización que verifiquen las relaciones entre los requisitos operacionales determinados por las características de los certificados y de los procedimientos operacionales adoptados por las autoridades que integren ICP-Gov.
Además de los requisitos técnicos, operacionales y de seguridad, la ICP-Gov definirá los tipos de certificados que podrán ser administrados por las autoridades certificadoras.
CAPÍTULO II. DE LA ORGANIZACIÓN DE LA ICP-GOV
Artículo 5º
La arquitectura de la ICP-Gov se define en el anexo I del presente decreto.
Artículo 6º
A las autoridades de Administración de Procedimientos AGP, integrantes de la ICP-Gov, compete:
I) Proponer la creación de la autoridad certificadora general
II) Establecer y administrar las políticas a las que están sujetas las autoridades certificadoras.
III) Aprobar acuerdos de certificación común y convenciones sobre políticas entre ICP-Gov y otras ICP externas;
IV) Establecer criterios de acreditación de autoridades certificadoras AC y de registro AR;
V) Establecer los periodos de las auditorias sobre las AC y AR y de las sanciones por incumplimiento a las normas establecidas;
VI) Definir reglas operacionales y normas relativas a:
a) Autoridad Certificadora – AC;
b) Autoridad de Registro – AR;
c) firma digital;
d) seguridad criptográfica;
e) depósito de certificados;
f) revocación de certificados;
g) copia de seguridad y recuperación de claves;
h) actualización automática de claves;
i) historial de claves;
j) certificación cruzada;
l) suporte al sistema para garantizar la inmutabilidad de transacciones u operaciones electrónicas;
m) período de validez del certificado;
n) aplicaciones respecto del cliente;
VII) Actualizar, ajustar y revisar los procedimientos y las prácticas establecidas para la ICP-Gov, en especial la Política de Certificados – PC y de las Prácticas y Reglas de Operación de la Autoridad Certificadora, de modo de garantizar:
a) satisfacer las necesidades de los órganos y de las entidades da la Administración Pública Federal;
b) ajustarse a las políticas de seguridad definidas por el órgano ejecutivo de la ICP-Gov; y
c) actualización tecnológica.
Artículo 7º
Para asegurar el mantenimiento del grado de confianza establecido para la ICP-Gov, las AC y AR deberán acreditar a las AGP, de acuerdo con las normas y los criterios por esta autoridad establecidos.
Artículo 8º
La AC General debe emitir y mantener los certificados de las AC de órganos y entidades de la Administración Pública Federal y de las AC privadas acreditadas, como administrar una Lista de Certificados Revocados – LCR.
Podrán ser instituidos niveles diferenciados de acreditación de las AC, de conformidad con su finalidad.
Artículo 9º
Las AC deben prestar los siguientes servicios básicos:
I) Emisión de certificados;
II) Revocación de certificados;
III) Renovación de certificados;
IV) Publicación de certificados en un boletín o directorio;
V) Emisión de la Lista de Certificados Revocados – LCR;
VI) Publicación de LCR en un boletín o directorio; y
VII) Administrar claves criptográficas.
La disponibilidad de certificados emitidos y de LCR actualizadas serán proporcionadas mediante uso de un boletín seguro y de fácil acceso.
Artículo 10º
Las AR deben:
I) Recibir las solicitudes de certificación o revocación de certificados, por los usuarios, confirmar la identidad de dichos usuarios y la validez de su solicitud y dirigir dichos documentos a la AC responsable;
II) Entregar los certificados asignados por la AC a sus respectivos solicitantes
CAPÍTULO III. DEL MODELO OPERACIONAL
Artículo 11º
La emisión de los certificados será precedida de un proceso de identificación del usuario, según métodos y criterios diversos, atendiendo a la complejidad de su tipo o función.
Artículo 12º
En el proceso de acreditación de las AC, deberán ser utilizados, además de criterios establecidos por la AGP y los procedimientos técnicos internacionales reconocidos, aspectos adicionales relacionados a:
I) Plano de contingencia;
II) Política y plano de seguridad física, lógica y humana;
III) Análisis de riesgos;
IV) Capacidad financiera del proponente;
V) Reputación y gran confiabilidad del proponente y de sus gerentes;
VI) Antecedentes e historial de mercado; y
VII) Niveles de protección a los usuarios de sus certificados, en términos de cobertura jurídica y seguro contra daños.
Lo dispueto en los incisos IV a VII no se aplican a las acreditaciones de AC Públicas.
Artículo 13º
Cumplidas las exigencias de la AGP, los órganos y las entidades de la Administración Pública Federal podrán implantar su propia ICP u ofrecer servicios de ICP integrados a ICP-Gov.
Artículo 14º
La AC Privada, para prestar servicio a la Administración Pública Federal, debe observar las mismas directrices de las AC Gubernamentales, salvo otras exigencias que fueren fijadas por la AGP.
CAPÍTULO IV. DEL PROCEDIMIENTO DE CERTIFICACIÓN
Artículo 15º
Serán definidos tipos de certificados, en ámbito de la ICP-Gov, que atiendan a las necesidades generales de la mayoría de las aplicaciones, de forma de hacer viable la interoperabilidad entre sistemas computacionales diferentes, dentro da Administración Pública Federal.
1. Serán creados certificados de firma digital y secreto, atribuyéndoseles los siguientes niveles de seguridad, conforme al proceso respectivo:
I) Ultra-secretos;
II) Secretos;
III) Confidenciales;
IV) Reservados; e
V) Públicos.
2. Los certificados, además de otras que la AGP podrá establecer, tiene por función:
I) Firma digital de documentos electrónicos;
II) Firma de mensajes electrónicos;
III) Autenticación de acceso a sistemas electrónicos; y
IV) Cambio de claves para establecimiento de sesión criptografiada.
Artículo 16º
Compete a la AGP tomar las providencias necesarias para que los documentos, entregados y registrados, almacenados y transmitidos por medios electrónicos, ópticos, magnéticos o medio similar datos y registros almacenados y transmitidos por medio electrónico, óptico, magnético o similar pasen a tener la misma validez, reconocimiento y autenticidad que se da a sus equivalentes originarios en papel.
CAPÍTULO V. DE LAS DISPOSICIONES FINALES
Artículo 17º
Para la institución de ICP-Gov, deberá ser efectuado levantamiento de demandas existentes en los órganos gubernamentales cuando sean servicios típicos derivados de la tecnología de Claves Públicas, tales como, autenticación, secreto, integridad de datos y la no modificación de transacciones electrónicas.
Artículo 18º
El Glosario contenido en el Anexo II …
Artículo 19º
Compete a…
Artículo 20º
Queda establecido un plazo de ciento veinte días, contados a partir de la fecha de publicación de este Decreto, para la puesta en marcha e implementación de la ICP-Gov.
Artículo 21º
Implementados los procedimientos para la certificación digital de que trata este Decreto, la Casa Civil de la Presidencia de la República establecerá un cronograma con vistas a la substitución progresiva de documentos físicos por documentos electrónicos.
Artículo 22º
Este Decreto entra en vigor a la fecha de su publicación.
Brasília, 5 de septiembre del 2000. FERNANDO HENRIQUE CARDOSO
Guilherme Gomes Dias Alberto Mendes Cardoso