Instrução Normativa nº 156, de 22 de dezembro de 2000. Institui os Certificados Eletrônicos da Secretaria da Receita Federal - SRF e-CPF e e-CNPJ.
O SECRETÁRIO DA RECEITA FEDERAL, no uso de
suas atribuições, resolve:
Artigo 1º.- Ficam
instituídos os Certificados Eletrônicos da SRF e-CPF e e-CNPJ, a serem
utilizados, respectivamente, pelas pessoas físicas e jurídicas,
inscritas no Cadastro de Pessoas Físicas - CPF e no Cadastro Nacional da
Pessoa Jurídica - CNPJ, no relacionamento, por meios eletrônicos, com a
SRF.DAS DEFINIÇÕES
Artigo 2º.- Para os efeitos desta
Instrução Normativa, considera-se:
I - Documento Eletrônico:
documento cujas informações são armazenadas exclusivamente em meios
eletrônicos;
II - Certificado Eletrônico: identificação
emitida por Autoridade Certificadora Credenciada, e que garante,
mediante o uso de tecnologia de chaves públicas e privadas, a
autenticidade dos emissores e destinatários dos documentos e dados que
trafegam numa rede de comunicação, bem assim a privacidade e a
inviolabilidade destes;
III - Autoridade Certificadora
Credenciada: pessoa jurídica de direito público ou privado constituída
sob as leis brasileiras, domiciliada no País, responsáveis pela emissão
e administração dos Certificados Eletrônicos e-CPF e e-CNPJ;
IV - Autoridade Credenciadora: A SRF, responsável pelo credenciamento e
auditoria das Autoridades Certificadoras;
V- Autoridade
Registradora: pessoa jurídica de direito público ou privado constituída
sob as leis brasileiras, domiciliada no País, com fé pública,
responsável pela confirmação da identidade dos usuários dos certificados
e-CPF e e-CNPJ;
VI - Usuário: pessoa física ou jurídica
titular de Certificado Eletrônico e-CPF ou e-CNPJ;
VII -
Sistema Criptográfico Assimétrico: algoritmo ou série de algoritmos,
mediante o qual é gerado um par de chaves assimétricas, exclusivas e
interdependentes, sendo uma privada e outra pública, utilizadas para
criptografar e decriptar documentos eletrônicos;
VIII - Chave
Privada: elemento do par de chaves assimétricas, de uso exclusivo do
usuário, mediante o qual se apõe a assinatura digital no documento
eletrônico ou se decripta um documento eletrônico previamente
criptografado com a chave pública correspondente;
IX - Chave
Pública: elemento do par de chaves assimétricas de uso público, por meio
do qual se verifica a assinatura digital aposta no documento eletrônico
pelo usuário do par de chaves assimétricas, ou se criptografa um
documento eletrônico a ser transmitido ao usuário do referido par de
chaves;
X - Assinatura Digital: processo eletrônico de
assinatura, baseado em sistema criptográfico assimétrico, que permite ao
usuário usar a chave privada para declarar a autoria de documento
eletrônico, garantindo a não alteração do seu conteúdo;
XI -
e-receit@ - conjunto de serviços disponibilizados pela SRF, por meio da
Internet utilizando tecnologia que garanta a autenticidade dos emissores
e destinatários dos documentos eletrônicos, bem assim a privacidade e a
inviolabilidade destes documentos.DA VALIDADE JURÍDICA
Artigo 3º.- Os documentos assinados eletronicamente, inclusive pela
SRF, mediante utilização de Certificado Eletrônico e-CPF ou e-CNPJ,
consideram-se originais e têm o mesmo valor comprobatório daqueles
emitidos em papel e firmados pelos meios convencionais.
Parágrafo único. Os documentos emitidos na forma deste artigo conterão
obrigatoriamente data, hora, minuto e segundo da emissão.
Artigo 4º.-
Os documentos assinados eletronicamente utilizando-se certificados e-CPF e
e-CNPJ revogados ou com data de validade expirada, não terão valor
legal.
DOS SERVIÇOS e-receit@
Artigo 5º.- Os
Certificados Eletrônicos e-CPF e e-CNPJ serão utilizados nas relações do
usuário com a SRF, por meio dos serviços e-receit@, objetivando
facilitar e agilizar o atendimento do contribuinte.
Parágrafo
único. Os serviços oferecidos pela SRF por meio da Internet serão
desenvolvidos prioritariamente para os usuários de Certificados
Eletrônicos.
DA AUTORIDADE CREDENCIADORA
Artigo 6º.- A SRF atuará como Autoridade Credenciadora das Autoridades Certificadoras por intermédio da Coordenação-Geral de Tecnologia e de Sistemas de Informação - COTEC, a quem compete:
I
- analisar as solicitações de credenciamento;
II - emitir
certificados para as Autoridades Certificadoras, credenciando-as a
assinar os certificados e-CPF e e-CNPJ por elas emitidos;
III
- notificar o vencimento do certificado da Autoridade Certificadora, com
uma antecedência mínima de 13 meses;
IV - revogar os
certificados das Autoridades Certificadoras que deixarem de cumprir os
requisitos estabelecidos;
V - manter na Internet, de forma
permanente, lista para acesso público, assinada e atualizada, contendo
informação de certificados emitidos e revogados de Autoridades
Certificadoras;
VI - elaborar plano de contingência de suas
atividades;
VII - aprovar o manual de procedimentos para
certificação de usuários, bem assim o plano de contingência e de
encerramento de atividades, apresentados pelas Autoridades
Certificadoras.
VIII - auditar periodicamente as atividades das Autoridades Certificadoras.
§ 1º A documentação referente ao
credenciamento e auditoria das Autoridades Certificadoras será arquivada
por prazo de dez anos.
§ 2º A auditoria periódica referida no
inciso VIII será realizada pela SRF, diretamente ou por intermédio de
profissionais ou empresas contratados para esse fim.
§ 3º As
irregularidades identificadas durante o processo de auditoria serão
notificadas à Autoridade Certificadora, estabelecendo, se for o caso,
prazo para seu saneamento.
§ 4º A Autoridade Certificadora
poderá contestar a notificação no prazo de cinco dias, contado da
notificação das irregularidades.
DA AUTORIDADE
CERTIFICADORA
Emissão do Certificado da Autoridade
Certificadora
Artigo 7º.- O credenciamento da
pessoa jurídica, na condição de Autoridade Certificadora, dar-se-á
mediante solicitação apresentada à SRF, segundo os procedimentos
descritos no Anexo I à esta Instrução Normativa.
Parágrafo
único. Deferida a solicitação, será emitido certificado específico para
a Autoridade Certificadora, com validade de quatro anos.
Condições para credenciamento
Artigo 8º.- Poderá
ser credenciada, na condição de Autoridade Certificadora, a pessoa
jurídica que atender aos seguintes requisitos:
I - estar
inscrita no CNPJ na condição Ativa Regular;
II - manter
contrato de seguro válido para cobertura da responsabilidade civil
decorrente da atividade de certificação, ajustável em função da
quantidade de certificados de usuário emitidos;
III - possuir
corpo técnico com comprovada experiência nas áreas de segurança de dados
e informações, auditoria de sistemas e demais conhecimentos necessários
para a operação como Autoridade Certificadora, e em quantidade adequada
ao eficaz desempenho dessas atividades;
IV - comprovar a
idoneidade fiscal, financeira, profissional e criminal de seus sócios,
administradores e empregados;
V - dispor de instalações adequadas, com ambientes exclusivos para realização de cada uma das atividades específicas do processo de certificação, contendo:
a)
salas-cofre com alvenaria reforçada, proteção eletromagnética e contra
incêndio, para guarda dos equipamentos servidores responsáveis pela
emissão dos certificados;
b) salas-cofre com alvenaria
reforçada e proteção contra incêndio para guarda dos documentos
relativos ao processo de certificação;
c) mecanismos de
manutenção da energia elétrica sem interrupção, mediante do uso de
nobreaks e geradores; e
d) alarmes e mecanismos de vídeo para
monitoração de acesso;
VI - utilizar servidores de página Web
e bancos de dados com implementação de mecanismos de segurança e
controle de acesso lógico utilizando certificação digital nas estações
de trabalho, equipamentos servidores e equipamentos de rede, devendo o
ambiente ser protegido por firewal;
VII - possuir controle de
acesso físico e lógico a recursos críticos, com segmentação por função,
exigindo a presença sumultânea de pelo menos duas pessoas credenciadas
para efetivar o acesso ao ambiente ou a funções críticas de sistemas;
VIII - disponibilizar, nos equipamentos servidores, somente serviços
indispensáveis à operação de certificação de modo a reduzir
vulnerabilidades dos sistemas;
IX - possuir mecanismos de
redundância instalados em todos os equipamentos de modo a garantir a
operação ininterrupta, vinte e quatro horas por dia, sete dias na
semana.Parágrafo único. Para fins de credenciamento, pessoa jurídica
deverá submeter à avaliação da SRF seu manual de procedimentos para
certificação de usuários, bem assim o plano de contingência e de
encerramento de atividades.
Renovação do credenciamento
Artigo 9º.- O credenciamento poderá será renovado, por solicitação
da pessoa jurídica, de conformidade com os procedimentos estabelecidos
no Anexo I desta Instrução Normativa, observado o disposto no inciso III
do Artigo 6º.
Revogação de certificados
Artigo10.- O certificado da Autoridade Certificadora será revogado:
I - a pedido do titular do certificado ou de seu procurador,
expressamente autorizado;
II - no caso de uso indevido do
certificado ou o não cumprimento das obrigações estabelecidas pela SRF;
III - no encerramento das atividades da Autoridade Certificadora.§1º A
revogação indicará a data, hora, minuto e segundo a partir da qual será
aplicada.
§2º O certificado não poderá ser revogado
retroativamente.
§3º O certificado revogado será incluído
imediatamente na lista de certificados revogados da SRF, que notificará
a Autoridade Certificadora.
§4º Uma vez revogado o certificado
da Autoridade Credenciadora, todos os certificados e-CPF e e-CNPJ por
ela emitidos estarão também revogados.
DAS ATRIBUIÇÕES DAS
AUTORIDADES CERTIFICADORAS
Artigo 11.- São
atribuições das Autoridades Certificadoras:
I - emitir
certificados e-CPF e e-CNPJ;
II - revogar os certificados dos
usuários que deixaram de cumprir os requisitos estabelecidos pela
Autoridade Certificadora;
III - notificar, com antecedência
mínima de um mês, o vencimento do certificado dos usuários dos
certificados e-CPF e e-CNPJ;
IV - adotar as medidas
necessárias para garantir a confidencialidade de sua chave privada,
devendo solicitar imediatamente, à Autoridade Credenciadora, a revogação
do seu certificado, em caso de comprometimento de sua segurança;
V - manter na Internet, de forma permanente, lista para acesso público,
assinada e atualizada, contendo informação de certificados e-CPF e
e-CNPJ emitidos e revogados;
VI - exigir dos usuários
exclusivamente informações indispensáveis à efetivação do processo de
certificação, vedada sua divulgação ou cessão, a qualquer título ou
forma, a terceiros;
VII - disponibilizar, na Internet, manual
de procedimentos para certificação, contendo as políticas e práticas
adotadas para esse fim, bem assim informações sobre os direitos e
obrigações do usuário e as medidas necessárias para garantir a segurança
dos certificados emitidos;
VIII - dispo nibilizar na Internet
mecanismo que permita aos usuários verificar a correta instalação dos
certificados em seus equipamentos;
IX - manter,
ininterruptamente, atividade que permita a revogação imediata do seu
certificado mediante solicitação;
X - arquivar por um período
de 10 anos toda a documentação referente à administração dos
certificados e-CPF e e-CNPJ;
XI - permitir o acesso dos
auditores autorizados pela SRF a todas as suas instalações de operação,
colocando a disposição destes todos os documentos e informações
necessários à realização da auditoria;
XII - contratar
auditoria independente para fins de verificar, anualmente, o correto
exercício das atividades de Autoridade Certificadora, de acordo com as
regras aprovadas pela SRF, devendo a primeira auditoria ser realizada
três meses após o início dessas atividades;
XIII - manter-se
permanentemente atualizada com os recursos de informática disponíveis no
mercado internacional, segundo especificações estabelecidas pela
SRF.Parágrafo único.Caso as obrigações não sejam cumpridas, o
credenciamento da Autoridade Certificadora será cancelado.
Artigo 12.- A Autoridade Certificadora responderá por perdas e danos
sofridos pelos usuários ou por terceiros, em conseqüência do não
cumprimento de suas obrigações ou da divulgação ou cessão de
informações, bem assim pelos prejuízos oriundos da concessão ou
revogação indevida, ou ainda da não revogação, em prazo hábil, de
certificados.
Artigo 13.- Quando do encerramento das
atividades ou do cancelamento do credenciamento da Autoridade
Certificadora, todos os certificados emitidos pela Certificadora se
tornarão inválidos, devendo a documentação referida no inciso X do
Artigo 11 ser imediatamente entregue à SRF.
Parágrafo único. A SRF
poderá autorizar a transferência dos certificados até então emitidos
para outra Autoridade Certificadora credenciada anteriormente, devendo,
neste caso, ser transferida, para esta, toda a documentação referente à
administração dos certificados e-CPF e e-CNPJ.
DAS
AUTORIDADES REGISTRADORAS
Artigo 14.- A SRF
elencará os órgãos ou empresas que poderão atuar como Autoridade
Registradora no processo de emissão dos certificados e-CPF e e-CNPJ.
Parágrafo único. A SRF poderá realizar auditoria das atividades
desempenhadas pelas Autoridades Registradoras.
DOS USUÁRIOS
Artigo 15.- O usuário deverá solicitar a emissão do certificado
e-CPF ou e-CNPJ, à Autoridade Certificadora credenciada, observados os
procedimentos descritos no Anexo II à esta Instrução Normativa.
Parágrafo único. Os certificados e-CPF e e-CNPJ emitidos pela Autoridade
Certificadora terão validade mínima de um ano.
Artigo 16.-
O titular do certificado e-CPF ou e-CNPJ é responsável por todos os atos
praticados perante a SRF utilizando o referido certificado e sua
correspondente chave privada, devendo adotar as medidas necessárias para
garantir a confidencialidade desta chave, e requerer imediatamente à
Autoridade Certificadora a revogação do certificado, em caso de
comprometimento de sua segurança.
Parágrafo único. É
obrigatório o uso de senha para proteção da chave privativa do titular
do certificado e-CPF ou e-CNPJ.
Renovação de certificados
Artigo 17.- Um mês antes do vencimento dos certificados e-CPF e
e-CNPJ, a Autoridade Certificadora deverá notificar os usuários para que
estes possam solicitar a renovação de seus certificados, conforme os
procedimentos estabelecidos no Anexo II à esta Instrução Normativa.
Revogação de certificados
Artigo 18.- Os certificados
e-CPF e e-CNPJ serão revogados:
I - a pedido do titular do
certificado ou de seu procurador, expressamente autorizado;
II
- de ofício ou por determinação da SRF, caso se verifique o uso indevido
do certificado emitido ou a sua expedição baseada em informações falsas,
bem assim na hipótese de extinção ou falecimento do usuário, no caso de
pessoa jurídica ou física, respectivamente;
III - no
encerramento das atividades da Autoridade Certificadora, quando não
houver transferência dos certificados para outra Autoridade;
§1º A revogação deve indicar a data, hora, minutos e segundos a partir
da qual será aplicada.
§2º Os certificados não poderão ser
revogados retroativamente.
§3º Os certificados revogados serão
incluídos imediatamente na lista de certificados revogados, devendo o
usuário ser notificado.
§4º Uma vez revogado o certificado
e-CNPJ do responsável pela Pessoa Jurídica perante a SRF, todos os
certificados da Pessoa Jurídica emitidos estarão revogados.
Artigo 19.- A Autoridade Certificadora deverá manter na Internet, de
forma ininterrupta, lista para acesso público, assinada e atualizada,
contendo informação de certificados e-CPF e e-CNPJ revogados.
DOS CERTIFICADOS
Artigo 20.- O processo de emissão
dos certificados e-CPF e e-CNPJ utilizará a seguinte estrutura
hierárquica de certificados:
I - Certificado raiz SRF ou nível
0: certificado da Autoridade Credenciadora;
II - Certificado
nível 1: certificado das Autoridades Certificadoras;
III -
Certificado nível 2: certificado de usuário e-CPF e-CNPJ.
Parágrafo único. A SRF publicará seu certificado e os certificados
emitidos para as autoridades certificadoras no Diário Oficial da União.
Artigo 21.- Os certificados e-CPF emitidos deverão obedecer ao
padrão internacional ITU-T X.509v.3 e conterão as seguintes informações:
I - nome completo do usuário e seu respectivo número de inscrição no
CPF;
II - chave pública do titular do certificado;
III - elementos que permitam identificar o sistema criptográfico
utilizado;
IV - identificação e assinatura digital da
Autoridade Certificadora emitente e da Autoridade Credenciadora;
V - data, hora, minuto e segundo de emissão do certificado;
VI
- número de série exclusivo do certificado;
VII - data de
início e fim de validade;
VIII - endereço na Internet da lista
de certificados e-CPF revogados.Parágrafo único. A SRF poderá, a
qualquer tempo, estabelecer novas informações a serem incluídas nos
certificados e-CPF emitidos pelas Autoridades Certificadoras.
Artigo 22.- Os certificados e-CNPJ emitidos deverão obedecer ao
padrão internacional ITU-T X.509v.3 e conterão as seguintes informações:
I - razão social e número de inscrição no CNPJ do usuário;
II
- nome completo e respectivo número de inscrição no CPF do responsável
pela pessoa jurídica perante o CNPJ;
III - chave pública do
certificado;
IV - elementos que permitam identificar o sistema
criptográfico utilizado;
V - identificação e assinatura
digital da Autoridade Certificadora emitente e da Autoridade
Credenciadora;
VI - data, hora, minuto e segundo de emissão do
certificado;
VII - número de série exclusivo do certificado;
VIII - data de início e fim de validade;
IX - endereço na
Internet da lista de certificados e-CNPJ revogados.
§ 1º No
caso de e-CNPJ, poderão ser emitidos certificados distintos, com perfis
de utilização distintos, para pessoas físicas autorizadas para esse fim.
§ 2º Na hipótese do parágrafo anterior, além das informações constantes
do caput, deverão ser acrescidas as relativas ao nome completo e
respectivo número de inscrição no CPF da pessoa física autorizada, bem
assim a função por ela desempenhada da pessoa jurídica.
§3º
Uma vez revogado o certificado e-CNPJ do responsável pela empresa
perante a SRF, todos os certificados da Pessoa Jurídica emitidos pela
Autoridade Certificadora estarão automaticamente revogados.
§4º A SRF poderá, a qualquer tempo, estabelecer novas informações a
serem incluídas nos certificados e-CNPJ emitidos pelas Autoridades
Certificadoras.
DAS DISPOSIÇÕES FINAIS
Artigo 23.- Na resolução de quaisquer questões judiciais entre as
Autoridades Certificadoras e os usuários dos certificados e-CPF e
e-CNPJ, fica estabelecido como foro a cidade brasileira onde se localiza
a Autoridade Certificadora.
Artigo 24.- Esta Instrução
Normativa entra em vigor na data de sua publicação.
EVERARDO MACIEL