ITI exige informações diárias sobre emissão de certificados digitais
Instrução Normativa prevê envio dos dados mesmo nos finais de semana. Autoridades Certificadoras têm 30 dias para se adaptar
O Instituto Nacional de Tecnologia da Informação determinou o envio diário de informações pelas Autoridades Certificadoras (ACs) que emitem certificados digitais para usuários finais. A medida, materializada na Instrução Normativa 31, publicada nesta segunda, 17/3, inclui finais de semana e feriados e indica como objetivo aprimorar a transparência e a eficiência no monitoramento das emissões de certificados digitais no âmbito da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). Até então, o envio de dados era semanal.
De acordo com a Instrução Normativa, as ACs deverão enviar ao ITI, diariamente, os certificados emitidos, as biometrias atreladas a cada certificado e informações detalhadas sobre as emissões. Os arquivos dos certificados devem ser encaminhados individualmente, no formato DER (*.cer), enquanto os arquivos biométricos, que incluem dados faciais e de impressões digitais, devem seguir os padrões estabelecidos em normativas anteriores do ITI. Todos os dados devem ser compactados em um arquivo ZIP e enviados por meio de um sistema de transferência de arquivos (FTP).
Além disso, as ACs devem fornecer um arquivo CSV contendo informações detalhadas sobre cada certificado emitido e dados relacionados à emissão. Em dias sem emissões, as ACs devem enviar um arquivo CSV contendo apenas os cabeçalhos das colunas.
Também foram estabelecidas diretrizes para o envio do Plano Anual de Auditoria Operacional (PLAAO), que deve ser encaminhado anualmente até o dia 15 de dezembro. As ACs, Autoridades de Carimbo do Tempo (ACTs), Prestadores de Serviços Biométricos (PSBios) e Prestadores de Serviços de Confiança (PSCs) devem enviar o PLAAO em formato PDF e um arquivo CSV com informações detalhadas sobre as auditorias planejadas.
As entidades de auditoria têm até 15 dias após a data prevista no PLAAO para enviar relatórios de auditoria ao ITI. Esses relatórios devem ser assinados digitalmente com certificado ICP-Brasil e acompanhados de um arquivo CSV com informações sobre as não conformidades identificadas.
As ACs terão 30 dias, a partir da publicação da Instrução Normativa, para implementar a regra de envio diário de informações. Já a adequação às novas regras para o arquivo CSV, que inclui a inserção de novos campos, deve ser concluída em até 90 dias.
