Todo o processo de certificação digital é acompanhado, auditado e definido por órgãos governamentais que, a partir de sua estrutura documental de registro de pessoas, é capaz de definir quais documentos são necessários para que haja segurança suficiente na emissão de um certificado digital. Sobre a emissão de certificados digitais, marque a alternativa correta.
Questão
Todo o processo de certificação digital é acompanhado, auditado e definido por órgãos governamentais que, a partir de sua estrutura documental de registro de pessoas, é capaz de definir quais documentos são necessários para que haja segurança suficiente na emissão de um certificado digital.
Sobre a emissão de certificados digitais, marque a alternativa correta.
Alternativas
a) A unidade certificadora passa por um processo rigoroso de auditoria para que possa atuar como tal, podendo emitir apenas dois tipos de certificado digital: o A1 e o A3.
b) A unidade certificadora, após passar por um rigoroso processo de controle e auditoria, deve emitir, por um determinado tempo, certificados do tipo A1 e, dependendo da qualidade e da entrega, pode solicitar a permissão para emitir certificados A3.
c) A unidade certificadora, após passar por um rigoroso processo de controle e auditoria, fica autorizada a emitir os certificados utilizados para criptografia de páginas Web (HTTPS). Os certificados do tipo A1 e A3 são emitidos pela ICP-Brasil.
d) A unidade certificadora se cadastra na ICP-Brasil e passa por um rigoroso processo de acompanhamento de sua atuação. A ICP-Brasil é o único órgão que controla toda a emissão de certificados no país, podendo emitir certificados de todos os tipos.
e) A unidade certificadora se cadastra na ICP-Brasil e passa por um rigoroso processo de acompanhamento de sua atuação. A ICP-Brasil e o ITI controlam toda a emissão de certificados no país, podendo emitir certificados de todos os tipos.
Explicação
Na Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), existe uma cadeia hierárquica de confiança.
- O ITI (Instituto Nacional de Tecnologia da Informação) é o órgão federal responsável por manter e executar as políticas da ICP-Brasil e por auditar/fiscalizar as entidades da cadeia.
- A ICP-Brasil é a infraestrutura/sistema nacional (instituída por norma federal) que define regras e padrões e dentro da qual atuam as Autoridades Certificadoras (AC) e Autoridades de Registro (AR).
- Uma unidade certificadora (AC) só pode atuar após credenciamento e submissão a regras, auditorias e acompanhamento. Ela pode emitir certificados conforme seu credenciamento dentro da ICP-Brasil (não existe a ideia de “primeiro só A1 e depois pedir A3” como regra geral).
Analisando as alternativas:
- (a) Incorreta: AC não emite “apenas A1 e A3”; há várias classes/tipos (A1, A2, A3, A4, S1, S2, S3, etc.).
- (b) Incorreta: não há essa exigência de “emitir A1 por um tempo” para depois poder solicitar A3.
- (c) Incorreta: certificados HTTPS comuns (para sites) não são, em regra, o foco da ICP-Brasil; além disso, A1/A3 não são “emitidos pela ICP-Brasil” diretamente, mas por ACs credenciadas.
- (d) Incorreta: a ICP-Brasil não é “um único órgão” que controla tudo sozinha; o ITI é o órgão governamental central na gestão/auditoria.
- (e) Correta: a AC se credencia/atua no âmbito da ICP-Brasil e há controle governamental com papel central do ITI, dentro da estrutura da ICP-Brasil.
Alternativa correta: (e).