PUBLICAÇÃO
Identificação e autenticação para pedidos de novas chaves
Art. 34. A identificação e autenticação para os pedidos de novas chaves podem ser conduzidos por:
I - adoção dos mesmos requisitos e procedimentos exigidos nos dispositivos referentes à confirmação da identidade de um indivíduo, à confirmação da identidade de organizações e à identificação de equipamentos ou aplicações, todos constantes deste Regulamento;
II - solicitação, por meio eletrônico, assinada digitalmente com o uso de certificado ICP-Brasil válido, do tipo A3 ou superior, cujo certificado requisitado seja do mesmo nível de segurança ou inferior; ou
III - videoconferência.
Art. 35. Para certificados de aplicações específicas que utilizem URL, a AC poderá implementar mecanismos automatizados de gerenciamento de certificado (ACME) de forma a preservar a posse ou propriedade da URL (domínio) e a identificação do solicitante, seja pessoa física ou jurídica.
Parágrafo único. O processo automatizado mencionado no caput implica as seguintes etapas:
I - o solicitante submete uma requisição de certificado (PKCS#10) da URL desejada;
II - a requisição deverá ser acompanhada do certificado da URL solicitada, ainda válido, e o conjunto (requisição + certificado da URL) deve ter a origem e integridade garantida por certificado ICP-Brasil;
III - o aplicativo de AR valida a origem e integridade da solicitação e a requisição e, caso esteja em conformidade, encaminha desafio de prova de domínio e o Termo de Titularidade;
IV - o solicitante responde o desafio e aceita o Termo de Titularidade com o mesmo certificado utilizado, mencionado no inciso II deste parágrafo único;
V - confirmado atendimento pleno do desafio e da origem e integridade do Termo de Titularidade, o aplicativo de AR poderá emitir o certificado e encaminhá-lo ao solicitante; e
VI - todas as evidências do processo acima devem constar no dossiê do certificado.
CAPÍTULO III
DA IDENTIFICAÇÃO POR VIDEOCONFERÊNCIA
Art. 36. A identificação de requerente de certificado digital por videoconferência deve ser realizada por meio de comunicação interativa que permita a transmissão e captação de som, imagem e dados.
Art. 37. A videoconferência deve ser realizada obrigatoriamente por meio de solução tecnológica da Autoridade Certificadora, dotada de mecanismos de segurança que garantam a autenticidade, a integridade e a confidencialidade das informações capturadas.
§1º A solução tecnológica mencionada no caput deve assegurar que os meios técnicos utilizados são adequados para garantir que a videoconferência:
I - permita a detecção obrigatória de vivacidade (liveness) do requerente para minimizar o risco de manipulação de rosto e voz em montagens de vídeo conhecidas como "deepfake", com emprego de meios de detecção de ataque de apresentação para garantir que a biometria utilizada para a identificação seja de uma pessoa viva presente no momento da prova de identidade e que não se trata de um fraudador;
II - aplique meios de prevenção e detecção de ataques de injeção biométrica para assegurar que nem o requerente nem um atacante externo possam injetar, de forma indetectável, um fluxo de vídeo previamente gravado ou artificialmente gerado;
III - permita a detecção e bloqueio de drivers de câmeras virtuais, a detecção de integridade e o bloqueio de dispositivos comprometidos;
IV - permita que o AGR aplique questionários sequenciais (scripts) obrigatórios, de forma aleatória, de modo que a sequência de perguntas nunca seja a mesma e, portanto, não possa ser prevista;
V - seja realizada em tempo real e sem interrupções ou pausas;
VI - tenha qualidade adequada de som e imagem para permitir a identificação clara do requerente, das validações dos documentos de identificação, das verificações de face nas bases biométricas e biográficas e a verificação posterior dos dados de identificação recolhidos e comprovados;
VII - seja gravada com indicação da respectiva data e hora sincronizada com a Fonte Confiável do Tempo - FCT da ICP-Brasil;
VIII - tenha duração suficiente para assegurar a integral observância dos procedimentos completos de identificação do requerente; e
IX - preserve a integridade e a confidencialidade da comunicação audiovisual entre o AGR e o requerente por meio da utilização de sessões de vídeo protegidas com criptografia "ponta-a-ponta".
§2º A solução tecnológica mencionada no caput deverá ser testada periodicamente por entidades independentes, de modo a avaliar o desempenho e efetividade das tecnologias de detecção de ataque de apresentação.
§3º Na impossibilidade de realização de detecção de vivacidade, conforme disposto no inciso I, do §1º, por parte do requerente, este deve ser direcionado para outra modalidade de emissão de certificado, por meio da qual seja possível a coleta da biometria da impressão digital.
§4º Os questionários mencionados no inciso IV, do §1º, devem ser entendidos como um conjunto de perguntas feitas ao requerente, que permitam ao AGR coletar informações que atestem a veracidade da identificação da pessoa que se apresenta em vídeo.
Art. 38. No processo de identificação do requerente, devem ser observados os seguintes procedimentos:
I - antes da videoconferência, o requerente deverá enviar fotografia do documento de identificação físico e fotografia da face por meio da aplicação da AC, de forma a permitir a realização de batimentos prévios;
II - ao iniciar a videoconferência, o requerente deve dar autorização expressa a todo o processo de identificação, incluindo a captura de fotografias, imagens, voz, documentos de identificação, a submissão de verificação ao Sistema Biométrico ICP-Brasil e nas Bases Oficiais Nacionais, a gravação da videoconferência e a inclusão de todas as informações, gravações e arquivos em dossiê eletrônico do titular do certificado;
III - durante a videoconferência, o requerente deverá informar o número do seu CPF e apresentar a versão física do documento enviado previamente, que deve ser analisado e validado antes da emissão do certificado digital;
IV - a AR deve avaliar os dados dos documentos de identificação apresentados e realizar a confirmação da identidade do requerente, comunicando eventuais irregularidades, conforme disposto no Capítulo VI deste Regulamento;
V - havendo problema na validação dos documentos de identificação fornecidos pelo requerente, este deverá ser informado do problema ocorrido para que busque solucioná-lo, sob pena de não ter o certificado digital emitido; e
VI - durante a videoconferência, deve ser capturada a imagem da face (frame) do titular requerente, se pessoa física, ou do responsável pelo certificado, se pessoa jurídica, com indicação da data e hora da captura, observados os procedimentos de coleta e identificação biométrica na ICP-Brasil definidos na Instrução Normativa ITI nº 09, de 22 de outubro de 2020.
§1º Para os documentos mencionados no inciso III, do caput, que contenham tecnologias verificáveis, como QR Code, MRZ (Machine Readable Zone), NFC, Chip ou similares, a validação do código ou tecnologia embarcada deverá ser realizada durante a videoconferência, por meio de leitura automatizada ou verificação manual assistida.
§2º Feita a coleta da biometria facial (frame), nos termos do inciso VI, do caput, deverá ser realizada verificação biométrica de face (1:1) com as fotografias do documento de identificação e da face previamente encaminhadas, conforme estabelecido no inciso I, do caput deste artigo.
§3º A verificação biométrica de que trata o §2º deverá ser realizada por meio desoftwarea ser disponibilizado pela AC à AR, observando-se o seguinte:
I - caso o resultado dessa verificação biométrica seja "negativo", deve-se interromper o processo e comunicar à AC vinculada para que seja feita uma análise detalhada do caso;
II - concluindo a AR ou a AC que o requerente se trata, de fato, do titular do documento de identificação, deverá ser dado prosseguimento ao processo de identificação; ou
III - concluindo a AR ou a AC se tratar de tentativa de fraude, não deverá ser emitido o certificado digital e a AC deve realizar o procedimento de comunicação de fraude ao ITI.
Art. 39. Além da verificação biométrica junto ao documento de identificação, o AGR deve confirmar a identidade do requerente em procedimento de verificação biométrica (1:1) junto ao Sistema Biométrico ICP-Brasil ou, se acaso não constar desta, a verificação biométrica (1:1) e biográfica do requerente será submetida às Bases Oficiais Nacionais admitidas na ICP-Brasil.
§1º Caso o requerente já possua cadastro biométrico na ICP-Brasil, a verificação biométrica (1:1) deve ser realizada junto ao Sistema Biométrico ICP-Brasil, observando-se os procedimentos gerais para confirmação de identidade constantes neste Regulamento, sobretudo o inciso VII, do caput, do art. 26.
§2º Na hipótese de o requerente não possuir cadastro no Sistema Biométrico ICP-Brasil, a verificação biométrica (1:1) e biográfica deste será submetida às Bases Oficiais Nacionais admitidas na ICP-Brasil.
§3º A verificação biométrica e biográfica realizada durante o processo de videoconferência deverá observar critérios mínimos de aceitação e implementar travas sistêmicas, com base nos scores de probabilidade retornados pelas Bases Oficiais Nacionais ou serviços integrados, como o Datavalid, que considera que:
I - o processo para emissão do certificado deve prosseguir, em caso de probabilidade altíssima;
II - uma análise complementar por segundo agente especializado deve ser requerida, em caso de probabilidade alta; ou
III - o processo deve ser redirecionado para emissão presencial, em caso de probabilidade média.
§4º Caso o requerente não esteja cadastrado em Base Oficial Nacional, o processo de identificação por videoconferência deverá ser interrompido pelo AGR, encaminhando-se o requerente para o processo de emissão presencial.
§5º Concluindo a AR e a AC se tratar de tentativa de fraude, não deverá ser emitido o certificado digital e a AC deve realizar o procedimento de comunicação de fraude ao ITI, descrito neste Regulamento.
Art. 40. No caso de certificado de pessoa jurídica, a identificação do responsável pelo certificado obriga a confirmação da identificação da pessoa jurídica requerente, obrigatoriamente em formato eletrônico, verificável por meio de barramento ou aplicações oficiais, conforme disposto neste Regulamento.
Parágrafo único. O AGR deve certificar-se de que as informações da pessoa jurídica constantes no documento de identificação apresentado correspondem efetivamente à pessoa jurídica requerente a ser identificada, bem como sobre a veracidade da informação contida no documento de identificação do requerente, quando um documento de identificação for utilizado.
Art. 41. Caso não se verifiquem as condições técnicas necessárias à boa condução do processo de identificação e cadastro ou de comprovação da identidade, nomeadamente nos casos de existência de fraca qualidade de imagem, de condições deficientes de luminosidade ou som, ou de interrupções na transmissão do vídeo, a videoconferência deverá ser interrompida e considerada sem efeito.
Art. 42. Durante a realização da videoconferência, deve ser enviado ao requerente um código de verificação, único e descartável, do tipo OTP, por canal distinto da videoconferência, que assegure a integral rastreabilidade do procedimento de identificação e a realização da videoconferência em tempo real e sem pausas, gerado centralmente e enviado para o requerente por e-mail, SMS ou aplicativo móvel.
Parágrafo único. O procedimento de identificação só se considera completo após o requerente informar o código de verificação, mencionado no caput, e realizada a confirmação desse código único pelo sistema.
Art. 43. Sempre que, durante a videoconferência, existam suspeitas quanto à veracidade dos elementos de identificação, a videoconferência não produz os efeitos de comprovação dos elementos identificativos a que se destina.
Art. 44. As ACs devem estabelecer e garantir que suas ARs cumpram controles adicionais para mitigação de riscos no processo de emissão por videoconferência, compatíveis com o nível de risco identificado, destinados a assegurar a integridade, a autenticidade e a confiabilidade do processo de identificação.
Parágrafo único. Em casos de alto risco, deverá ser realizada a etapa de verificação prevista no art. 9º deste Regulamento.
Art. 45. O Agente de Registro deve receber treinamento específico e periódico que os capacite a realizar identificação remota assistida, a aplicar os mecanismos de detecção de ataque de apresentação e a identificar indícios de manipulação de mídia e imagem.
Parágrafo único. O Agente de Registro deverá ser avaliado quanto à sua capacidade de realizar a identificação remota assistida.
CAPÍTULO IV
DO MÓDULO ELETRÔNICO DE AR
Art. 46. O Módulo Eletrônico de AR pode ser utilizado por:
I - AR dos órgãos gestores de pessoas, na emissão de certificados para:
a) servidores públicos federais da ativa e militares da União;
b) servidores públicos estaduais e do Distrito Federal da ativa, desde que as Unidades da Federação possuam um Sistema de Gestão de Pessoal com individualização inequívoca e eletrônica, e que identifiquem biometricamente os servidores pela base do TSE, PSBios ou base oficial equivalente, com comprovação auditável desses cadastros; e
c) Empregados públicos federais de empresas estatais dependentes do orçamento público federal para custeio de pessoal, desde que vinculados ao Sistema de Gestão de Pessoal da Administração Pública Federal - SIGEPE;
II - AR de Bancos Múltiplos ou Caixa Econômica Federal;
III - as serventias extrajudiciais vinculadas a uma AR;
IV - ARs dos conselhos de classes profissionais regulamentados por lei específica e em conformidade com a Lei nº 6.206, de 07 de maio de 1975;
V - ARs com acesso eletrônico às bases de dados das juntas comerciais, para solicitação de certificado por meio do Balcão Único para Abertura de Empresas; e
VI - Órgão de Identificação ou Departamento de Trânsito - Detran dos Estados e do Distrito Federal, para emissão conjunta com a Carteira de Identidade Nacional - CIN ou a Carteira Nacional de Habilitação - CNH.
Art. 47. São requisitos e procedimentos comuns do Módulo Eletrônico de AR:
I - ser um sistema vinculado a uma AC credenciada pela ICP-Brasil;
II - possuir, de forma segura, registros de trilhas de auditoria;
III - ser auditado pelo ITI em procedimento pré-operacional;
IV - comunicar-se diretamente, utilizando protocolos de comunicação seguros, com os sistemas determinados formalmente pelas entidades autorizadas a utilizar Módulo Eletrônico de AR;
V - obter os dados para gerar a requisição do certificado à AC diretamente de seus respectivos sistemas eletrônicos ou base de dados, sem que haja qualquer possibilidade de alteração desses;
VI - ter a requisição do certificado assinada por funcionário autorizado como Agente de Registro devidamente cadastrado no sistema da AC, sendo a AC responsável por manter as respectivas requisições para fins de auditoria e fiscalização pela AC Raiz;
VII - o requerente deverá ter sido biometricamente identificado e individualizado pela respectiva base biométrica ou PSBio da ICP Brasil, com comprovação auditável do cadastro desses requerentes por parte da AC;
VIII - as biometrias e dados biográficos utilizados deverão ser compartilhadas com a AC, que deverá submetê-las ao PSBio para cadastramento e batimento biométrico (1:N), ou, caso o responsável já se encontre cadastrado, para o batimento biométrico (1:1) junto à ICP-Brasil;
IX - em qualquer hipótese, deve ser realizada a consulta à Lista Negativa do PSBio, devendo proceder conforme regulamentado para as situações em que haja conflito de identificação biométrica detectada pelo PSBio ou ocorrência de registro na Lista Negativa; e
X - possuir listas atualizadas com os nomes e CPF dos funcionários autorizados como Agentes de Registro a verificar as informações de solicitações de certificados por titulares.
§1º Os autorizadores, conforme mencionado no inciso X do caput, serão formalmente designados por instrumento próprio.
§2º No caso de impossibilidade da autenticação biométrica por qualquer das formas previstas, deverá ser realizada a identificação biométrica do responsável por meio do cadastramento biométrico (1:N) junto ao PSBio credenciado, conforme as normas vigentes da ICP-Brasil.
Art. 48. Para as ARs que utilizam exclusivamente Módulo Eletrônico de AR nas emissões de certificados, ficam dispensados os requisitos dispostos na Instrução Normativa ITI nº 10, de 22 de outubro de 2020, que define as características mínimas de segurança para as ARs da ICP-Brasil.
Procedimentos Específicos
Art. 49. Caso a solicitação de certificado seja realizada por meio do Balcão Único para Abertura de Empresas, as ARs com acesso eletrônico às bases de dados das juntas comerciais deverão observar o seguinte:
I - o responsável pelo uso do certificado de selo eletrônico deverá ser autenticado por meio de certificado digital de pessoa física ICP-Brasil válido ou por meio de batimento biométrico (1:1) em PSBio credenciado na ICP-Brasil, na base biométrica oficial do TSE ou em outra base biométrica oficial da União, dos Estados ou do Distrito Federal, com comprovação auditável desse processo de autenticação biométrica por parte da AC; e
II - o indivíduo identificado ou autenticado pelo Módulo Eletrônico de AR deverá ser representante legal da pessoa jurídica titular do certificado, conforme conste no registro de abertura de empresa concomitante com a solicitação do respectivo certificado.
Parágrafo único. A comprovação auditável mencionada no inciso I, do caput, poderá ser realizada pelo CPF ou outro indexador viável entre os sistemas.
Art. 50. Caso a solicitação de certificado a ser emitido em conjunto com a Carteira de Identidade Nacional - CIN ou a Carteira Nacional de Habilitação - CNH, deverão ser observados os seguintes requisitos:
I - a pessoa física titular do certificado deverá ter sido biometricamente identificada e individualizada na base biométrica do órgão responsável pela emissão da Carteira de Identidade Nacional - CIN ou da Carteira Nacional de Habilitação - CNH, conforme o caso, bem como ter dado consentimento expresso e específico para o compartilhamento com as entidades da ICP-Brasil dos dados biométricos e biográficos necessários para a identificação, cadastro e emissão do certificado digital; e
II - a AC contratada somente poderá emitir o certificado digital na modalidade em Prestador de Serviço de Confiança - PSC de armazenamento de chaves criptográficas e a habilitação do uso de chaves somente poderá ocorrer após o batimento biométrico (1:1) ou após conclusão do cadastramento biométrico.
Parágrafo único. A individualização na base biométrica, mencionada no inciso I, do caput, poderá ser realizada pelo CPF ou outro indexador viável entre os sistemas.
CAPÍTULO V
DA AR ELETRÔNICA
Art. 51. A emissão por AR Eletrônica é restrita a certificado de pessoa física e deve utilizar canal eletrônico automatizado e sem intervenção humana, baseando-se na validação biométrica em bases reconhecidas pela ICP-Brasil.
Art. 52. A emissão de certificado na modalidade AR Eletrônica é restrita à Autoridade Certificadora com instalações operacionais, recursos de segurança lógica e de pessoas compatíveis com a atividade de certificação.
Art. 53. A emissão por AR Eletrônica deve ser realizada exclusivamente por meio de dispositivo móvel, com aplicativo (APP) guiado da AC dotado de mecanismos de segurança que garantam, autenticidade, integridade e confidencialidade das informações capturadas.
Art. 54. O início da operação na modalidade AR Eletrônica está condicionado à autorização pelo ITI, que verificará a disponibilização do aplicativo da AC nas respectivas plataformas de distribuição dos provedores de sistemas operacionais de dispositivos móveis.
Art. 55. A chave privada do certificado digital emitido por meio de AR Eletrônica deverá ser gerada e mantida por Prestador de Serviço de Confiança - PSC.
Art. 56. É vedada a emissão de certificado na modalidade de AR Eletrônica para Pessoas Expostas Politicamente - PEP ou autoridades do Poder Judiciário e do Ministério Público.
Requisitos e procedimentos para emissão por AR Eletrônica
Art. 57. O aplicativo guiado da AC deve:
I - preservar a integridade e a confidencialidade da comunicação entre o APP e sistemas da AC por meio da utilização de sessões protegidas com criptografia "ponta-a-ponta";
II - verificar a sua integridade e a do seu ambiente de execução, garantindo que o dispositivo utilizado pelo requerente esteja íntegro, sem indícios de desbloqueio de privilégios administrativos do sistema operacional, devendo tal condição ser verificada por mecanismos técnicos automáticos;
III - garantir que a identidade do dispositivo móvel do requerente seja única, imutável e atestada por elemento identificador dehardware;
IV - possibilitar a captura em tempo real de imagens;
V - possibilitar a captura da fotografia do documento identificação físico;
VI - possibilitar a captura das biometrias facial e de impressão digital ou ambas;
VII - permitir a detecção obrigatória de vivacidade (liveness) do requerente para minimizar manipulação de rosto e voz em montagens de vídeo conhecidas como "deepfake", com o emprego de meios de detecção de ataque de apresentação para garantir que a biometria utilizada para a identificação seja de uma pessoa viva presente no momento da prova de identidade e que não se trata de um fraudador;
VIII - aplicar meios de prevenção e detecção de ataques de injeção biométrica para assegurar que nem o requerente nem um atacante externo possam injetar, de forma indetectável, um fluxo de vídeo previamente gravado ou artificialmente gerado; e
IX - ser testada periodicamente por entidades independentes, de modo a avaliar o desempenho e efetividade das tecnologias de detecção de ataque de apresentação.
Parágrafo único. Na impossibilidade de realização de detecção de vivacidade, conforme disposto no inciso VII, do caput, o requerente deve ser direcionado para outra modalidade de emissão de certificado, por meio da qual seja possível a coleta da biometria da impressão digital.
Art. 58. O processo de emissão por AR Eletrônica deve compreender, no mínimo:
I - a autorização expressa do requerente para todo o processo de identificação, incluindo a captura de fotografias, imagens, documentos de identificação, a submissão de verificação biométrica e a inclusão de todas as informações e arquivos em dossiê eletrônico do titular do certificado.
II - a validação automática do documento de identificação físico em aplicativos e bases oficiais;
III - o batimento biométrico positivo em base de dados da Carteira Nacional de Identidade - CIN, da Identificação Civil Nacional - ICN ou da Infraestrutura Pública Digital - IPD de Identificação Civil;
IV - a observância dos critérios mínimos de aceitação da verificação biométrica e biográfica, nos termos do §3º do art. 39 deste Regulamento, admitindo-se exclusivamente o conceito equivalente à altíssima probabilidade; e
V - o batimento negativo na lista negativa do PSBio.
§1º Para os documentos mencionados no inciso II do caput, que contenham tecnologias verificáveis, como QR Code, MRZ, NFC, Chip ou similares, a validação do código ou tecnologia embarcada deverá ser realizada por meio de leitura automatizada.
§2º O batimento biométrico de que trata o inciso III do caput pode ser substituído pelo batimento positivo na base de dados da Carteira Nacional de Habilitação, por meio do Datavalid, combinado com o batimento biométrico positivo no PSBio, até que uma das bases de dados nele previstas esteja disponível em âmbito nacional.
§3º Quando a identificação do requerente, na modalidade AR Eletrônica, for realizada com a leitura e verificação automatizada dos dados biográficos e biométricos obtidos do Passaporte Eletrônico Brasileiro, ficam dispensados os incisos II e III do caput.
Art. 59. Todo o processo referente à emissão por AR Eletrônica deverá ser encadeado, assinado digitalmente, armazenado em repositório seguro e auditável.
CAPÍTULO VI
DA COMUNICAÇÃO DE OCORRÊNCIA DE FRAUDE OU INDÍCIO
Art. 60. Quando a AR ou a AC concluir ter ocorrido fraude ou tentativa de fraude na identificação biométrica e na emissão de certificados digitais, deve comunicar tal fato ao ITI, mediante o procedimento descrito neste Capítulo e a prestação de informações constantes no adendo Métodos de Interface do Serviço de Lista Negativa (ADE-ICP-05.02.B), disponível no site do ITI.
Art. 61. A comunicação de fraude ou tentativa de fraude deve ser realizada por meio do preenchimento de campos obrigatórios e opcionais, dispostos na interface do sistema de comunicação de fraude da AC, determinado no método descrito no adendo referente aos Métodos de Interface do Serviço de Lista Negativa.
§1º No momento do preenchimento dos campos na interface do sistema de comunicação de fraude, poderá ser requerido ouploadde imagens específicas dos supostos fraudadores.
§2º As impressões digitais e a face devem ser enviadas pela AC ou PSS ao seu Sistema Biométrico para inserção dessas biometrias no respectivo repositório de Lista Negativa biométrica.
§3º As informações prestadas durante o preenchimento dos campos referentes às características dos supostos fraudadores devem retratá-los o mais fidedignamente possível.
§4º As informações mencionadas no §3º serão utilizadas posteriormente por todas as ACs para as pesquisas por características físicas na Lista Negativa da AC, sendo fundamental que estejam corretas para que se tornem eficientes.
Art. 62. Após o preenchimento dos campos do comunicado euploaddas imagens, deve-se fazer uma verificação de todas as informações inseridas e, caso estejam corretas, deve ser enviado o comunicado ao ITI, conforme descrito no ADE-ICP-05.02.B.
Art. 63. Qualquer cancelamento de fraude, feito pelas ACs por processos de auditoria e análise detalhada, deve ser enviado ao endereço de correio eletrônico [email protected] com a descrição detalhada dos motivos do cancelamento.
Art. 64. A AC emissora do certificado digital deve notificar, ou cuidar para que se notifique a ocorrência de fraude à autoridade policial competente mais próxima do ocorrido.
Art. 65. Após o registro na Lista Negativa, o dossiê de emissão do certificado, os dossiês dos AGRs que atuaram na identificação do requerente e a cópia do Boletim de Ocorrência devem ser encaminhados ao ITI, aos cuidados da Diretoria de Auditoria, Fiscalização e Normalização - DAFN.
CAPÍTULO VII
DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 66. As ACs devem realizar a pós-verificação dos certificados emitidos, de forma aleatória e distribuída entre os tipos de emissão e os tipos de certificados.
Art. 67. Todos os Prestadores de Serviços de Certificação - PSCert que tiverem acesso aos dados do requerente devem cumprir todas as disposições legais relativas à Lei Geral de Proteção de Dados - LGPD.
Art. 68. A atualização biométrica prevista no § 3º do art. 25 deste Regulamento torna-se obrigatória após 90 (noventa) dias da entrada em vigor desta Instrução Normativa.
Art. 69. Os mecanismos de segurança referentes à videoconferência, previstos nos incisos II e III do §1º do art. 37 deste Regulamento, passam a ser exigíveis após 90 (noventa) dias da entrada em vigor desta Instrução Normativa.
Art. 70. A utilização de documento físico na emissão por videoconferência, nos termos dos incisos I e III do art. 38 deste Regulamento, passa a ser obrigatória após 90 (noventa) dias da entrada em vigor desta Instrução Normativa.
Art. 71. As entidades da ICP-Brasil devem atualizar suas Declarações de Práticas de Certificação - DPCs e Políticas de Certificados - PCs, em conformidade com a Instrução Normativa nº 03, de 3 de abril de 2020, no prazo de até 60 (sessenta) dias, contados da entrada em vigor desta Instrução Normativa.
Art. 72. Ficam revogados:
I - a Instrução Normativa ITI nº 16, de 17 de novembro de 2020;
II - o artigo 1º da Instrução Normativa ITI nº 05, de 22 de fevereiro de 2021;
III - os incisos I e II do artigo 4º da Instrução Normativa ITI nº 05, de 22 de fevereiro de 2021; e
IV - a Instrução Normativa ITI nº 23, de 23 de março de 2022.
Art. 73. Esta Instrução Normativa entra em vigor em 05 de maio de 2026.
ENYLSON FLAVIO MARTINEZ CAMOLESI