Página 4 da Seção 1 do Diário Oficial da União (DOU) de 23 de Outubro de 2020

Diário Oficial da União
ano passado
Por que esse conteúdo está aqui?
O Jusbrasil não cria, edita ou altera o conteúdo exibido. Replicamos somente informações que foram veiculadas pelos órgãos oficiais.Toda informação aqui divulgada é pública e pode ser encontrada, também, nos sites que publicam originalmente esses diários.



. Instrução Normativa nº
05, de 19.06.2017
versão 1.5 

3.3.6.4, 3.3.6.5,
3.3.6.6, 3.3.6.8 e
8.3 

Atualização de formatos e padrões das
mensagens para os serviços de HUB
Biométrico da ICP-Brasil. 

. Instrução Normativa nº
09, de 13.09.2016
versão 1.4 

6.1 

Define parâmetros para geração do
IDN. 

. Instrução Normativa nº
04, de 07.06.2016
versão 1.3 

2, 2.1 e 2.2 

Altera os parâmetros mínimos para
coleta das biometrias. 

. Instrução Normativa nº
01, de 31.03.2016
versão 1.2 

3.2.1, 3.2.2,
3.2.2.1,
3.2.3, 3.3, 3.3.2,
3.3.3, 3.3.4, 3.3.7, 5
(novo), 5.1 e 6 

Inclusão de Formatos e padrões das
mensagens para os serviços de HUB,
tratamento de erros e procedimentos
para Autenticação e segurança. 

. Instrução Normativa nº
08, de 10.12.2015
versão 1.1 

1.2, 2.2.1, 3, 5 

Suplementa os procedimentos
biométricos da ICP-Brasil. 

. Resolução nº 114,
de 30.09.2015 
  
Aprova a versão 1.0 do Documento
ProcedimentosparaIdentificação 




. Resolução que aprovou a
alteração 

Item alterado 

Descrição da alteração 

. versão 1.0 
  
Biométrica. 

LISTA DE ACRÔNIMOS




. SIGLA 

DESCRIÇÃO 

. AC 

Autoridade Certificadora 

. AC RAIZ 

Autoridade Certificadora Raiz da ICP-BRASIL 

. ANSI 

American National Standards Institute 

. AGR 

Agente de Registro 

. CN 

Common name 

. CPF 

Cadastro de Pessoa Física 

. DOC-ICP 

Documentos Principais da ICP-BRASIL 

. FQDN 

Fully Qualified Domain Name 

. HSM 

Hardware Security Module ou Módulo de Segurança Criptográfica 

. HTTP 

Hypertext Transfer Protocol 

. ICP-Brasil 

Infraestrutura de Chaves Públicas Brasileira 

. IDN 

Identificador de registro biométrico 

. ITI 

Instituto Nacional de Tecnologia da Informação 

. ISO 

International Organization for Standardization 

. IEC 

International Engineering Consortium 

. IV 

Inicialization Vector 

. NIST 

National Institute for Standards 

. NFIQ 

NIST Fingerprint Image Quality 

.
PKCS 

Public Key Cryptography Standards 




. PSBio 

Prestador de Serviço Biométrico credenciado pela ICP-BRASIL 

. PSS 

Prestadores de Serviço de Suporte 

. SAF 

Serviço de Lista Negativa do Sistema de Comunicação de Fraude 

. SLA 

Service Level Agreement 

. TCN 

Número Único da Transação 

. XML 

EXtensible Markup Language 

. WSQ 

Wavelet Scalar Quantization 

1 INTRODUÇÃO

O Sistema Biométrico da ICP-Brasil tem por objetivo aumentar a segurança na identificação dos titulares e responsáveis por certificados digitais, reduzindo o risco de fraudes, e permitir a simplificação do processo de emissão de certificados digitais através da verificação biométrica do requerente.

1.1 Conceitos principais

a) rede PSBio: conjunto de entidades e sistemas que operam os processos de identificação biométrica na ICP-Brasil;

b) dados biométricos: imagens capturadas de face e/ou dedos, bem como templates extraídos das imagens;

c) dados biográficos: dados que permitem a identificação da pessoa física/titular de certificado digital relacionada a um conjunto de dados biométricos;

d) identificador de registro biométrico (IDN): identificador que identifica unicamente um registro biométrico de uma pessoa física na Rede PSBio, gerado de forma que não permita a identificação de seus dados biográficos;

e) transação biométrica: a transação biométrica é um conjunto de dados, em formato eletrônico, contendo dados biométricos e que tem um propósito, como cadastramento, atualização, verificação e identificação. Cada transação é identificada por um código único (TCN);

f) base biométrica ICP-Brasil: base distribuída entre os PSBio da ICP-Brasil. Contém todas as biometrias e seus respectivos identificadores de registro biométrico (IDN);

g) base biométrica local da AC: base de dados biométricos de cada AC, que relaciona dados biográficos de cada pessoa ao seu respectivo IDN e, consequentemente, aos dados biométricos;

h) exceção biométrica: notificação recebida pela AC de um conflito de biometria com outro IDN (em processo de identificação) ou não coincidência de biometria com a conhecida para aquele IDN (em processo de verificação).

1.2 Entidades

As seguintes entidades participam do procedimento de Identificação Biométrica de um titular de certificado digital:

a) AR: Autoridade de Registro responsável pela identificação do requerente de um certificado digital. Entre outros procedimentos de identificação, deve submeter à AC coleta de uma, sendo obrigatoriamente a face, ou mais biometrias para permitir a validação ou cadastro de uma biometria na Rede PSBio;

b) AC: Autoridade Certificadora responsável pela emissão do certificado digital. No processo de identificação biométrica, tem como responsabilidades principais assegurar a anonimidade das biometrias na Rede PSBio através da associação a um IDN, submissão das biometrias para um PSBio credenciado e a tomada de providências quando a Rede PSBio indica uma exceção (possível fraude ou erro);

c) PSBio: Prestador de Serviço Biométrico, responsável pela execução das operações biométricas com os dados de titulares, operando em uma base distribuída e anonimizada em conjunto com os demais PSBios credenciados, recebendo e respondendo transações de suas ACs vinculadas e de outros PSBios.

1.3 Anonimato da base biométrica ICP-Brasil

1.3.1 A base biométrica ICP-Brasil, sob responsabilidade dos PSBios credenciados, é anônima. Esse anonimato é garantido pelo fato dos registros biométricos estarem associados ao identificador de registro biométrico (IDN) único para cada pessoa, não sendo possível ao PSBio relacionar esse identificador a nenhum dado biográfico da pessoa.

1.3.2 A responsabilidade de geração do IDN é de cada AC, conforme processos descritos neste documento. É proibida a divulgação da chave secreta utilizada neste processo, sendo que essa é armazenada, com propriedade de não exportável, dentro dos HSMs de cada AC recebedora da mesma. A AC deve zelar pela proteção e não divulgação de qualquer relação dos dados biográficos com os respectivos IDNs.

1.3.3 A AC pode, por meio de uma empresa do mesmo grupo ou PSS, operar também um PSBio. Nesse caso a AC e o PSBio devem garantir a segregação entre os sistemas e entre a base biométrica local da AC e a base biométrica do PSBio, visando manter o anonimato da base no PSBio.

1.4 Geração do IDN

1.4.1 O IDN (identificador de registro biométrico) será gerado a partir do CPF da pessoa física, de forma não a existir dois IDNs para um mesmo CPF e nem tão pouco dois CPFs com mesmo IDN.

1.4.2 O serviço de geração e distribuição da chave simétrica utilizada para a geração do IDN será mantido pelo ITI, conforme descrito no DOC-ICP-05.04 [1]. Em hipótese alguma uma AC deve transmitir a chave gerada para o PSBio contratado.

1.4.3 As ACs devem guardar trilha de auditoria das operações de entrada e saída do respectivo HSM, em relação a cada requisição para cálculo do IDN, pelo período mínimo de 7 (sete) anos, conforme DOC-ICP-05 [2].

1.4.4 O IDN deve ser uma sequência de caracteres do tipo alfanumérico, gerados a partir de função criptográfica simétrica, com tamanho de 64 caracteres. A geração do IDN utilizará a chave armazenada em HSM, da seguinte forma:

1

a) o CPF é criptografado utilizando algoritmo AES-256 (modo CBC), como especificado no DOC-ICP-01.01 [3];

1

Sendo iv=0; bloco de 128 bits; padding PKCS Caractere não identificado CPF somente números, nas primeiras 11 (onze) posições (preenchimento com zeros à esquerda, se necessário).

b) em seguida o hash SHA256 (32 bytes) é calculado para o CPF criptografado no passo (a);

c) resultado de (b) é concatenado com o cálculo do hash SHA256 (32 bytes) do resultado de (b);

d) por fim, o resultado do passo (c) é codificado em BASE64 (RFC 4648) para gerar o IDN.

. IDN = BASE64 (SHA256 (AES (CPF))||SHA256 (SHA256 (AES (CPF))))

1 COLETA E PROCEDIMENTO BIOMÉTRICOS

1.1 A coleta de dados biométricos deve ser feita de forma assistida (acompanhada) por um agente de registro (AGR).

1.2 A coleta é de responsabilidade da AC através de sua rede de AR. A AC pode utilizar tecnologia e sistemas próprios, do seu PSBio ou contratar de fornecedores no mercado à sua escolha, sendo responsabilidade da AC garantir que os padrões de qualidade estabelecidos neste documento sejam obedecidos.

1.3 Todos os arquivos gerados pelas coletas das biometrias, determinadas nos itens subsequentes, devem conter trilha de auditoria em relação a data, horário e local da coleta e o registro do equipamento de coleta, conforme DOC-ICP-05 [2].

1.4 A coleta biométrica na ICP-Brasil deve ser realizada conforme os seguintes parâmetros de qualidade:

1.4.1 Parâmetros mínimos para biometria facial:

a) enquadrar a cabeça e a parte superior dos ombros para que o rosto ocupe de 70 a 80% da fotografia;

b) em foco nítido e claro;

c) de alta qualidade, sem marcas;

d) mostrar a pessoa olhando diretamente para a câmera;

e) mostrar os tons de pele naturalmente;

f) brilho e contraste adequados;

g) as fotografias tiradas com uma câmera digital devem ser de cores de alta qualidade.

h) ser neutras em cores;

i) mostrar os olhos abertos e claramente visíveis - nenhum cabelo sobre os olhos;

j) mostrar a pessoa virada diretamente para a câmera, sem olhar por cima de um ombro (estilo retrato) ou inclinado, e mostrando as duas extremidades do seu rosto com nitidez;

k) ser tiradas com um fundo claro de cor clara;

l) ser fotografadas com iluminação uniforme e não mostrar sombras ou reflexos de flash no rosto da pessoa e sem olhos vermelhos;

m) mostrar a pessoa sozinha (sem encosto da cadeira, objetos ou outras pessoas visíveis), olhando para a câmera com uma expressão neutra e com a boca fechada.

n) se a pessoa usa óculos: