A
ICP-Brasil, nasceu com o objetivo de regulamentar a
certificação digital que está em grande
ascenção no País. Em sua origem encontramos um
conjuto de normas e padrões que além de permitir a
compatibilidade entres vários tipos de certificados existentes
e prover um nivel de segurança compatível com os melhores
padrões existentes. A estratégia adotada para auditoria
nas entidades que compõem a ICP-Brasil é muito
importante, pois ela ajuda aumentar a confiabilidade desses
padrões.
O que
é ICP-Brasil?
A ICP-Brasil - Infra-estrutura
de Chaves Públicas Brasileira - é um conjunto de
entidades, padrões técnicos e regulamentos, elaborados
para suportar um sistema criptográfico com base em
certificados digitais.
Surgiu da percepção do
Governo da importância de regulamentar as atividades de
certificação digital no País, já que cresce o
números de transações eletrônicas e com isso a
necessidade de torná-lo mais seguras.
A ICP-Brasil foi instituída
pela Medida Provisória 2.200-2, de 24 de agosto de 2001, que
cria o Comitê Gestor da ICP-Brasil, a Autoridade Certificadora
Raiz Brasileira e define as demais entidades que compõem a
estrutura.
A partir dessa medida foram
elaborados os regulamentos que passaram a reger as atividades das
entidades integrantes da ICP- Brasil, chamados de
Resoluções do Comitê Gestor da ICP-Brasil (até
o momento foram aprovadas 37 resoluções, que podem ser
obtidas no site www.iti.gov.br).
Desde as primeiras
Resoluções ficou clara a importância da Auditoria
para a ICP-Brasil, como forma de assegurar a aplicação
dos normativos por parte de todos os envolvidos. As entidades
participantes da ICP-Brasil são auditadas previamente ao
credenciamento, para verificar se estão aptas a desenvolver
suas atividades conforme os regulamentos, e também anualmente,
para verificar se todos os procedimentos previstos foram
executados.
A própria AC Raiz foi
auditada por uma comissão composta de membros de diversos
órgãos do Governo federal, para ter seu funcionamento
autorizado pelo Comitê Gestor (ver Resolução 3, de
25 de setembro de 2001, que nomeia a comissão de auditoria e
Resolução 5, de 22 de novembro 2001, que publica o
relatório da auditoria realizada na AC
Raiz).
Em 2004, a
AC Raiz implantou um novo site principal, destinando o site
anterior para backup. Também foi realizada auditoria por
comissão nomeada pelo Comitê Gestor.