RESOLUÇÃO CG ICP-BRASIL Nº 218, DE 24.04.2026
Altera os Requisitos Mínimos para as Declarações de Práticas de Certificação das Autoridades Certificadoras da ICP-Brasil (DOC-ICP-05), aprovados pela Resolução CG ICP-Brasil nº 177, de 20 de outubro de 2020.
O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, §1º, inc. IV, do Anexo I da Resolução CG ICP-Brasil nº 190, de 18 de maio de 2021 (Regimento Interno), torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4º da Medida Provisória nº 2.200-2, de 24 de agosto de 2001, em reunião ordinária, realizada em sessão presencial em 24 de abril de 2026, resolveu:
Art. 1º O anexo da Resolução CG ICP-Brasil nº 177, de 20 de outubro de 2020, (DOC-ICP-05) passa a vigorar com as seguintes alterações:
"3.2 Validação inicial da identidade
Deverão ser detalhados as modalidades, a forma, os procedimentos e os requisitos para a identificação e cadastramento junto à ICP-Brasil de pessoas físicas titulares ou responsáveis por certificados digitais, observada a Instrução Normativa da AC Raiz que estabelece requisitos e procedimentos para a confirmação da identidade de requerente de certificado digital no âmbito da ICP-Brasil.
3.2.1 ..........................................................................................................................................
..........................................................................................................................................
3.2.2 Autenticação da identificação da organização
3.2.2.1 Neste item devem ser definidos os procedimentos empregados pelas ARs vinculadas a uma AC para a confirmação da identidade de uma pessoa jurídica, conforme Instrução Normativa da AC Raiz que estabelece requisitos e procedimentos para a confirmação da identidade de requerente de certificado digital no âmbito da ICP-Brasil.
3.2.2.2 Deverá ser feita a confirmação da identidade da organização e da pessoa física responsável pelo certificado.
3.2.2.3 Os atos praticados com o certificado digital de titularidade de uma organização estão sujeitos ao regime de responsabilidade definido em lei.
3.2.3 Autenticação da identidade de um indivíduo
3.2.3.1 Neste item devem ser definidos os procedimentos empregados pelas AR vinculadas a uma AC para a identificação e cadastramento iniciais de um indivíduo, conforme Instrução Normativa da AC Raiz que estabelece requisitos e procedimentos para a confirmação da identidade de requerente de certificado digital no âmbito da ICP-Brasil.
3.2.3.2 A identificação será feita presencialmente ou por uma das modalidades elencadas nas alíneas a seguir, que deverão garantir nível de segurança equivalente à forma presencial, observada a Instrução Normativa da AC Raiz que estabelece requisitos e procedimentos para a confirmação da identidade de requerente de certificado digital no âmbito da ICP-Brasil:
a) videoconferência;
b) uso de certificado ICP-Brasil válido;
c) Módulo Eletrônico de AR; e
d) AR Eletrônica.
3.2.3.3 A validação da identidade do requerente de certificado digital deve compreender, no mínimo, os seguintes aspectos:
a) apresentação e verificação da documentação exigida;
b) coleta e verificação biométrica;
c) consulta à base de dados da Lista Negativa de ACs; e
d) assinatura do Termo de Titularidade.
3.2.3.4 A verificação biométrica do requerente deverá ser realizada por meio de batimento dos dados em uma das Bases Oficiais Nacionais elencadas na Instrução Normativa da AC Raiz que estabelece requisitos e procedimentos para a confirmação da identidade de requerente de certificado digital no âmbito da ICP-Brasil.
3.2.3.4.1 No caso de AR ELETRÔNICA, as Bases Oficiais Nacionais deverão ter como requisito técnico a garantia de individualização unívoca dos cidadãos, biométrica e biográfica.
a) Para as Bases Oficiais Nacionais que adotem batimento biométrico em arranjos um-para-muitos (1:N), associado a processo de higienização e deduplicação, a individualização unívoca do cidadão será assegurada exclusivamente pelo batimento biométrico, sendo dispensadas verificações adicionais com esse mesmo propósito.
b) Para as Bases Oficiais Nacionais que não implementem batimento um-para-muitos (1:N), com processo de higienização e deduplicação, a individualização unívoca do cidadão deverá ser garantida por procedimentos complementares de verificação que, em conjunto com o batimento biométrico, assegurem a inequívoca identificação do cidadão.
3.2.3.4.1.1 Quando a identificação do requerente, na modalidade AR Eletrônica, for realizada com a leitura e verificação automatizada dos dados biográficos e biométricos obtidos do Passaporte Eletrônico Brasileiro, fica dispensado o batimento dos dados em Base Oficial Nacional.
3.2.4 .......................................................................................................................
..........................................................................................................................................
3.2.7 Autenticação da identidade de equipamento ou aplicação
3.2.7.1 Em se tratando de certificado emitido para equipamento ou aplicação, o titular será a pessoa física ou jurídica solicitante do certificado, que deverá indicar o responsável pela chave privada. A confirmação da identidade do titular e a identificação do equipamento ou aplicação deverão ser realizadas conforme a Instrução Normativa da AC Raiz que estabelece requisitos e procedimentos para a confirmação da identidade de requerente de certificado digital no âmbito da ICP-Brasil.
3.3 Identificação e autenticação para pedidos de novas chaves
3.3.1 Neste item a DPC deve estabelecer os processos de identificação e confirmação do cadastro do solicitante utilizados pela AC responsável para a geração de novo par de chaves e de seu correspondente novo certificado, conforme a Instrução Normativa da AC Raiz que estabelece requisitos e procedimentos para a confirmação da identidade de requerente de certificado digital no âmbito da ICP-Brasil.
3.3.2 Caso sejam requeridos procedimentos específicos para as PC implementadas, os mesmos devem ser descritos nessas PC, no item correspondente.
3.3.3 Para os casos específicos de expiração ou revogação de um certificado de AC de nível imediatamente subsequente ao da AC responsável pela DPC, este item deve estabelecer que, após a expiração ou revogação de seu certificado, aquela AC deverá executar os processos regulares de geração de seu novo par de chaves." (NR)
Art. 2º Fica aprovada a versão 7.0 do documento Requisitos Mínimos para as Declarações de Práticas de Certificação das Autoridades Certificadoras da ICP-Brasil (DOC-ICP-05).
Parágrafo único. A identificação da versão deverá ser atualizada no preâmbulo e incluída no controle de versões do anexo da Resolução CG ICP-Brasil nº 177, de 20 de outubro de 2020
Art. 3º Esta Resolução entra em vigor em 05 de maio de 2026.
ENYLSON FLAVIO MARTINEZ CAMOLESI
(DOU de 28.04.2026 - pág. 21 - Seção 1)
