Institui os Certificados Eletrônicos da Secretaria da Receita Federal e-CPF, e-CNPJ

O Secretário da Receita Federal, no uso de suas atribuições, resolve:

Artigo 1º Ficam instituídos os Certificados Eletrônicos da SRF e-CPF e e-CNPJ, a serem utilizados, respectivamente, pelas pessoas físicas e jurídicas, inscritas no Cadastro de Pessoas Físicas/ CPF e no Cadastro Nacional de Pessoas Jurídicas/ CNPJ, no relacionamento, por meios eletrônicos, com a Secretaria da Receita Federal.

DAS DEFINIÇÕES

Artigo 2º Para os efeitos desta Instrução Normativa, considera-se:

I - Documento Eletrônico: documento cujas informações são armazenadas exclusivamente em meios eletrônicos;

II - Certificado Eletrônico: identificação emitida por Autoridade Certificadora Credenciada, e que garante, mediante o uso da tecnologia de chaves públicas e privadas, a autenticidade dos emissores e destinatários dos documentos e dados que trafegam numa rede de comunicação, bem assim a privacidade e a inviolabilidade destes;

III - Autoridade Certificadora Credenciada: pessoa jurídica de direito público ou privado constituída sob as leis brasileiras, domiciliadas no País, responsáveis pela emissão e administração dos Certificados Eletrônicos e-CPF e e-CNPJ;

IV - Autoridade Credenciadora: A Secretaria da Receita Federal, responsável pelo credenciamento e auditoria das Autoridades Certificadoras;

V - Autoridade Registradora: pessoa jurídica de direito público ou privado constituída sob as leis brasileiras, domiciliadas no País, com fé pública, responsável pela confirmação da identidade dos usuários dos certificados e-CPF e e-CNPJ;

VI - Usuário: pessoa física ou jurídica titular do Certificados e-CPF ou e-CNPJ;

VII - Sistema Criptográfico Assimétrico: algoritmo ou série de algorítmos, mediante o qual é gerado um par de chaves assimétricas, exclusivas e interdependentes, sendo uma privada e outra pública, utilizadas para criptografar e descriptar documentos eletrônicos;

VIII - Chave Privada: elemento do par de chaves assimétricas, de uso exclusivo do usuário, mediante o qual se apõe a assinatura digital no documento eletrônico ou se descripta um documento eletrônico previamente criptografado com a chave pública correspondente;

IX - Chave Pública: elemento do par de chaves assimétricas, de uso público, por meio do qual se verifica a assinatura digital aposta no documento eletrônico pelo usuário do par de chaves assimétricas, ou se criptografa um documento eletrônico a ser transmitido ao usuário do referido par de chaves;

X - Assinatura Digital: processo eletrônico de assinatura, baseado no sistema criptográfico assimétrico, que permite ao usuário usar a chave privada para declarar a autoria de documento eletrônico, garantindo a não alteração do seu conteúdo;

XI - e-receit@ - conjunto de serviços disponibilizados pela Secretaria da Receita Federal, por meio da Internet utilizando tecnologia que garanta a autenticidade dos emissores e destinatários dos documentos eletrônicos, bem assim a privacidade e a inviolabilidade destes documentos;

DA VALIDADE JURÍDICA

Artigo 3º Os documentos assinados eletrônicamente, inclusive pela Secretaria da Receita Federal, mediante utilização de Certificados Eletrônicos e-CPF ou e-CNPJ, consideram-se originais e têm o mesmo valor comprobatório daqueles emitidos em papel e firmados pelos meios convencionais.

Parágrafo único. Os documentos emitidos na forma deste artigo conterão obrigatoriamente data, hora, minuto e segundo da emissão.

Artigo 4º Os documentos assinados eletronicamente utilizando-se Certificados e-CPF e e-CNPJ revogados ou com data de validade expirada, não terão valor legal.

DOS SERVIÇOS e-receit@

Artigo 5º Os Certificados Eletrônicos e-CPF e e-CNPJ, serão utilizados nas relações do usuário com a Secretaria da Receita Federal, por meio dos serviços e-receit@, objetivando facilitar e agilizar o atendimento do contribuinte.

Parágrafo único. Os serviços oferecidos pela Secretaria da Receita Federal por meio da Internet serão desenvolvidos prioritariamente para os usuários de Certificados Eletrônicos.

DA AUTORIDADE CREDENCIADORA

Artigo 6º A Secretaria da Receita Federal atuará como Autoridade Credenciadora das Autoridades Certificadoras por intermédio da Coordenação-Geral de Tecnologia e de Sistemas de Informação/ COTEC, a quem compete:

I - analisar as solicitações de credenciamento;

II - emitir certificados para as Autoridades Certificadoras, credenciando-as a assinar os certificados e-CPF e e-CNPJ por ela emitidos;

III - notificar o vencimento do certificado da Autoridade Certificadora, com uma antecedência mínima de 13 meses;

IV - revogar os certificados das Autoridades Certificadoras que deixarem de cumprir os requisitos estabelecidos;

V - manter na Internet, de forma permanente, lista para acesso público, assinada e atualizada, contendo informação dos certificados emitidos e revogados de Autoridades Certificadoras;

VI - elaborar plano de contingência de suas atividades;

VII - aprovar o manual de procedimentos para certificação de usuários, bem assim o plano de contingência e de encerramento de atividades, apresentados pelas Autoridades Certificadoras;

VIII - auditar periodicamente as atividades das Autoridades Certificadoras.

§ 1º A documentação referente ao credenciamento e auditoria das Autoridades Certificadoras será arquivada pelo prazo de dez anos.

§ 2º A auditoria periódica referida no inciso VIII será realizada pela Secretaria da Receita Federal, diretamente ou por intermédio de profissionais ou empresas contratados para esse fim.

§ 3º As irregularidades identificadas durante o processo de auditoria serão notificadas à Autoridade Certificadora, estabelecendo, se for o caso, prazo para o seu saneamento.

§ 4º A Autoridade Certificadora poderá contestar a notificação no prazo de cinco dias, contado da notificação das irregularidades.

DA AUTORIDADE CERTIFICADORA

Emissão do Certificado da Autoridade Certificadora

Artigo 7º O credenciamento da pessoa jurídica, na condição de Autoridade Certificadora, dar-se-á mediante solicitação apresentada à Secretaria da Receita Federal, segundo os procedimentos descritos no Anexo I à esta Instrução Normativa.

Parágrafo único. Deferida a solicitação, será emitido certificado específico para a Autoridade Certificadora, com validade de quatro anos.

Artigo 8º Poderá ser credenciada, na condição de Autoridade Certificadora, a pessoa jurídica que atender aos seguintes requisitos:

I - estar inscrita no CNPJ na condição Ativa Regular;

II - manter contrato de seguro válido para cobertura da responsabilidade civil decorrente da atividade de certificação, ajustável em função da quantidade de certificados de usuário emitidos;

III - possuir corpo técnico com comprovada experiência nas áreas de segurança de dados e informações, auditoria de sistemas e demais conhecimentos necessários para a operação como Autoridade Certificadora, em quantidade adequada ao eficaz desempenho dessas atividades;

IV - comprovar a idoneidade fiscal, financeira, profissional e criminal de seus sócios, administradores e empregados;

V - dispor de instalações adequadas, com ambientes exclusivos para a realização de cada uma das atividades específicas do processo de certificação, contendo:

a) salas-cofre com alvenaria reforçada, proteção eletromagnética e contra incêndio, para guarda dos equipamentos servidores responsáveis pela emissão dos certificados;

b) salas-cofre com alvenaria reforçada e proteção contra incêndio, para guarda dos documentos relativos ao processo de certificação;

c) mecanismos de manutenção da energia elétrica sem interrupção, mediante o uso de nobreaks e geradores; e

d) alarmes e mecanismos de vídeo para monitoração de acesso;

VI - utilizar servidores de página Web e bancos de dados com implementação de mecanismos de segurança e controle de acesso lógico utilizando certificação digital nas estações de trabalho, equipamentos servidores e equipamentos de rede, devendo o ambiente ser protegido por firewal;

VII - possuir controle de acesso físico e lógico a recursos críticos, com segmentação por função, exigindo a presença simultânea de pelo menos duas pessoas credenciadas para efetivar o acesso ao ambiente ou a funções críticas de sistemas;

VIII - disponibilizar, nos equipamentos servidores, somente serviços indispensáveis à operação de certificação de modo a reduzir vulnerabilidades dos sistemas;

IX - possuir mecanismos de redundância instalados em todos os equipamentos de modo a garantir a operação ininterrupta, vinte e quatro horas por dia, sete dias na semana.

Parágrafo único. Para fins de credenciamento, pessoa jurídica deverá submeter à avaliação a Secretaria da Receita Federal seu manual de procedimentos para certificação de usuários, bem assim o plano de contingência e de encerramento de atividades.

Renovação do credenciamento

Artigo 9º O credenciamento poderá ser renovado, por solicitação da pessoa jurídica, de conformidade com os procedimentos estabelecidos no Anexo I desta Instrução Normativa. observado o disposto no inciso III do artigo 6º.

Revogação de certificados

Artigo 10º O certificado da Autoridade Certificadora será revogado:

I - a pedido do titular do certificado ou de seu procurador, expressamente autorizado;

II - no caso de uso indevido do certificado ou o não cumprimento das obrigações estabelecidas pela SRF.

III - no encerramento das atividades da Autoridade Certificadora.

§ 1º A renovação indicará a data, hora, minuto e segundo a partir da qual será aplicada.

§ 2º O certificado não poderá ser revogado retroativamente.

§ 3º O certificado revogado será incluído imediatamente na lista de certificados revogados da SRF, que notificará a Autoridade Certificadora.

§ 4º Uma vez revogado o certificado da Autoridade Certificadora, todos os certificados e-CPF e e-CNPJ por ela emitidos estarão também revogados.

DAS ATRIBUIÇÕES DAS AUTORIDADES CERTIFICADORAS

Artigo 11º São atribuições das Autoridades Certificadoras:

I - emitir certificados e-CPF e e-CNPJ;

II - revogar os certificados dos usuários que deixaram de cumprir os requisitos estabelecidos pela Autoridade Certificadora;

III - notificar, com antecedência mínima de um mês, o vencimento do certificado dos usuários dos certificados e-CPF e e-CNPJ;

IV - adotar medidas necessárias para garantir a confidencialidade de sua chave privada, devendo solicitar imediatamente, à Autoridade Credenciadora, a revogação do seu certificado, em caso de comprometimento de sua segurança;

V - manter na Internet, de forma permanente, lista de acesso público, assinada e atualizada, contendo informação de certificados e-CPF e e-CNPJ emitidos e revogados;

VI - exigir dos usuários exclusivamente informações indispensáveis à efetivação do processo de certificação, vedada sua divulgação ou cessão, a qualquer título ou forma, a terceiros;

VII - disponibilizar, na Internet, manual de procedimentos para certificação, contendo as políticas e práticas adotadas para esse fim, bem assim informações sobre os direitos e obrigações do usuário e as medidas necessárias para garantir a segurança dos certificados emitidos;

VIII - disponibilizar na Internet mecanismo que permita aos usuários verificar a correta instalação dos certificados em seus equipamentos;

IX - manter, ininterruptamente, atividade que permita a revogação imediata do seu certificado mediante solicitação;

X - arquivar por um período de 10 anos toda a documentação referente à administração dos certificados e-CPF e e-CNPJ;

XI - permitir o acesso dos auditores autorizados pela SRF a todas as suas instalações de operação, colocando à disposição destes todos os documentos e informações necessárias à realização da auditoria;

XII - contratar auditoria independente para fins de verificar, anualmente, o correto exercício das atividades de Autoridade Certificadora, de acordo com as regras aprovadas pela SRF, devendo a primeira auditoria ser realizada três meses após o início dessas atividades;

XIII - manter-se permanentemente atualizada com os recursos de informática disponíveis no mercado internacional, segundo especificações estabelecidas pela SRF.

Parágrafo único. Caso as obrigações não sejam cumpridas, o credenciamento da Autoridade Certificadora será cancelado.

Artigo 12º A Autoridade Certificadora responderá por perdas e danos sofridos pelos usuários ou por terceiros, em consequência do não cumprimento de suas obrigações ou da divulgação ou cessão de informações, bem assim pelos prejuízos oriundos da concessão ou revogação indevida, ou ainda da não revogação, em prazo hábil, de certificados.

Artigo 13º Quando do encerramento de atividades ou do cancelamento do credenciamento da Autoridade Certificadora, todos os certificados emitidos pela Certificadora se tornarão inválidos, devendo a documentação referida no inciso X do artigo 11º ser imediatamente entregue à SRF.

Parágrafo único. A SRF poderá autorizar a transferência de certificados até então emitidos para outra Autoridade Certificadora credenciada anteriormente, devendo, neste caso, ser transferida, para esta, toda a documentação referente à administração dos certificados e-CPF e e-CNPJ.

DAS AUTORIDADES REGISTRADORAS

Artigo 14º A SRF elencará os órgãos ou empresas que poderão atuar como Autoridade Registradora no processo de emissão dos certificados e-CPF e e-CNPJ.

Parágrafo único. A SRF poderá realizar auditoria das atividades desempenhadas pelas Autoridades Registradoras.

DOS USUÁRIOS

Artigo 15º O usuário deverá solicitar a emissão do certificado e-CPF e e-CNPJ, à Autoridade Certificadora credenciada, observados os procedimentos descritos no Anexo II à esta Instrução Normativa.

Parágrafo único. Os certificados e-CPF e e-CNPJ emitidos pela Autoridade Certificadora terão validade mínima de um ano.

Artigo 16º O titular do certificado e-CPF ou e-CNPJ é responsável por todos os atos praticados perante a SRF utilizando o referido certificado e sua correspondente chave privada, devendo adotar as medidas necessárias para garantir a confidencialidade desta chave, e requerer imediatamente à Autoridade Certificadora a revogação do certificado, em caso de comprometimento de sua segurança.

Parágrafo único. É obrigatório o uso de senha para proteção da chave privada do titular do certificado e-CPF ou e-CNPJ.

Revogação de Certificados

Artigo 17º Um mês antes do vencimento dos certificados e-CPF e e-CNPJ, a Autoridade Certificadora deverá notificar os usuários para que estes possam solicitar a renovação de seus certificados, conforme procedimentos estabelecidos no Anexo II à esta Instrução Normativa.

Revogação de Certificados

Artigo 18º Os certificados e-CPF e e-CNPJ serão revogados:

I - a pedido do titular do certificado ou de seu procurador, expressamente autorizado;

II - de ofício ou por determinação da SRF, caso se verifique o uso indevido do certificado emitido ou a sua expedição baseada em informações falsas, bem assim na hipótese de extinção ou falecimento do usuário, no caso de pessoa jurídica ou física, respectivamente;

III - no encerramento das atividades da Autoridade Certificadora, quando não houver transferência dos certificados para outra Autoridade:

§ 1º A revogação deve indicar a data, hora, minutos e segundos a partir da qual será aplicada.

§ 2º Os certificados não poderão ser revogados retroativamente.

§ 3º Os certificados revogados serão incluídos imediatamente na lista de certificados revogados, devendo o usuário ser notificado.

§ 4º Uma vez revogado o certificado e-CNPJ do responsável pela pessoa jurídica perante a SRF, todos os certificados da pessoa jurídica emitidos estarão revogados.

Artigo 19º A Autoridade Certificadora deverá manter na Internet, de forma ininterrupta, lista para acesso público, assinada e atualizada, contendo informação dos certificados e-CPF e e-CNPJ revogados.

DOS CERTIFICADOS

Artigo 20º O processo de emissão dos certificados e-CPF e e-CNPJ utilizará a seguinte estrutura hierárquica de certificados:

I - Certificado raiz SRF ou nível 0: certificado da Autoridade Credenciadora;

II - Certificado nível 1: certificado das Autoridades Certificadoras;

III - Certificado nível 2: certificado de usuário e-CPF e e-CNPJ.

Parágrafo único. A SRF publicará ser certificado e os certificados emitidos para as Autoridades Certificadoras no Diário Oficial da União.

Artigo 21º Os certificados e-CPF emitidos deverão obedecer ao padrão internacional ITU-TX.509v.3 e conterão as seguintes informações:

I - nome completo do usuário e seu respectivo número de inscrição no CPF;

II - chave pública do titular do certificado;

III - elementos que permitam identificar o sistema criptográfico utilizado;

IV - identificação e assinatura digital da Autoridade Certificadora emitente e da Autoridade Credenciadora;

V - data, hora, minuto e segundo da emissão do certificado;

VI - número de série exclusivo do certificado;

VII - data de início e fim de validade;

VIII - endereço na Internet da lista de certficados e-CPF revogados.

Parágrafo único. A SRF poderá a qualquer tempo, estabelecer novas informações a serem incluídas nos certificados e-CPF emitidos pelas Autoridades Certificadoras.

Artigo 22º Os certificados e-CNPJ emitidos deverão obedecer ao padrão internacional ITU-TX.509.v3 e conterão as seguintes informações:

I - razão social e número de inscrição no CNPJ do usuário;

II - nome completo e respectivo número de inscrição no CPF do responsável pela pessoa jurídica perante o CNPJ;

III - chave pública do certificado;

IV - elementos que permitam identificar o sistema criptográfico utilizado;

V - identificação e assinatura digital da Autoridade Certificadora emitente e da Autoridade Credenciadora;

VI - data, hora, minuto e segundo da emissão do certificado;

VII - número de série exclusivo do certificado;

VIII - data de início e fim de validade;

IX - endereço na Internet da lista de certficados e-CNPJ revogados.

§ 1º No caso de e-CNPJ, poderão ser emitidos certificados distintos, com perfís de utilização distintos, para pessoas físicas autorizadas para esse fim.

§ 2º Na hipótese do parágrafo anterior, além das informações constantes no caput, deverão ser acrescidas as relativas ao nome completo e respectivo número de inscrição no CPF da pessoa física autorizada, bem assim a função por ela desempenhada da pessoa jurídica.

§ 3º Uma vez revogado o certificado e-CNPJ do responsável pela empresa a SRF, todos os certificados da pessoa jurídica emitidos pela Autoridade Certificadora estarão automaticamente revogados.

§ 4º A SRF poderá, a qualquer tempo, estabelecer novas informações a serem incluídas nos certificados e-CNPJ emitidos pelas Autoridades Certificadoras.

DAS DISPOSIÇÕES FINAIS

Artigo 23º Na resolução de quaisquer questões judiciais entre as Autoridades Certificadoras e os usuários dos certificados e-CPF e e-CNPJ, fica estabelecido como foro a cidade brasileira onde se localiza a Autoridade Certificadora.

Artigo 24º Esta Instrução Normativa entra em vigor na data de sua publicação.

EVERALDO MACIEL