INSTRUÇÃO NORMATIVA 156 SRF, DE 22-12-99
(DO-U DE 27-12-99)

OUTROS ASSUNTOS FEDERAIS
CADASTRO NACIONAL DAS PESSOAS JURÍDICAS
Certificado Eletrônico

Institui os Certificados Eletrônicos da Secretaria da Receita Federal e-CPF e e-CNPJ, a serem
utilizados, pelas pessoas físicas e jurídicas, inscritas no Cadastro de Pessoas Físicas e no
Cadastro Nacional das Pessoas Jurídicas, no relacionamento, por meios eletrônicos, com a SRF.

O SECRETÁRIO DA RECEITA FEDERAL, no uso de suas atribuições, RESOLVE:
Art. 1º – Ficam instituídos os Certificados Eletrônicos da SRF e-CPF e e-CNPJ, a serem utilizados, respectivamente, pelas pessoas físicas e jurídicas, inscritas no Cadastro de Pessoas Físicas (CPF) e no Cadastro Nacional da Pessoa Jurídica (CNPJ), no relacionamento, por meios eletrônicos, com a SRF.

DAS DEFINIÇÕES

Art. 2º – Para os efeitos desta Instrução Normativa, considera-se:
I – Documento Eletrônico: documento cujas informações são armazenadas exclusivamente em meios eletrônicos;
II – Certificado Eletrônico: identificação emitida por Autoridade Certificadora Credenciada, e que garante, mediante o uso de tecnologia de chaves públicas e privadas, a autenticidade dos emissores e destinatários dos documentos e dados que trafegam numa rede de comunicação, bem assim a privacidade e a inviolabilidade destes;
III – Autoridade Certificadora Credenciada: pessoa jurídica de direito público ou privado constituída sob as leis brasileiras, domiciliada no País, responsáveis pela emissão e administração dos Certificados Eletrônicos e-CPF e e-CNPJ;
IV – Autoridade Credenciadora: a SRF, responsável pelo credenciamento e auditoria das Autoridades Certificadoras;
V – Autoridade Registradora: pessoa jurídica de direito público ou privado constituída sob as leis brasileiras, domiciliada no País, com fé pública, responsável pela confirmação da identidade dos usuários dos certificados e-CPF e e-CNPJ;
VI – Usuário: pessoa física ou jurídica titular de Certificado Eletrônico e-CPF ou e-CNPJ;
VII – Sistema Criptográfico Assimétrico: algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas, exclusivas e interdependentes, sendo uma privada e outra pública, utilizadas para criptografar e decriptar documentos eletrônicos;
VIII – Chave Privada: elemento do par de chaves assimétricas, de uso exclusivo do usuário, mediante o qual se apõe a assinatura digital no documento eletrônico ou se decripta um documento eletrônico previamente criptografado com a chave pública correspondente;
IX – Chave Pública: elemento do par de chaves assimétricas de uso público, por meio do qual se verifica a assinatura digital aposta no documento eletrônico pelo usuário do par de chaves assimétricas, ou se criptografa um documento eletrônico a ser transmitido ao usuário do referido par de chaves;
X – Assinatura Digital: processo eletrônico de assinatura, baseado em sistema criptográfico assimétrico, que permite ao usuário usar a chave privada para declarar a autoria de documento eletrônico, garantindo a não alteração do seu conteúdo;
XI – e-receit@ – conjunto de serviços disponibilizados pela SRF, por meio da Internet utilizando tecnologia que garanta a autenticidade dos emissores e destinatários dos documentos eletrônicos, bem assim a privacidade e a inviolabilidade destes documentos.

DA VALIDADE JURÍDICA

Art. 3º – Os documentos assinados eletronicamente, inclusive pela SRF, mediante utilização de Certificado Eletrônico e-CPF ou e-CNPJ, consideram-se originais e têm o mesmo valor comprobatório daqueles emitidos em papel e firmados pelos meios convencionais.
Parágrafo único – Os documentos emitidos na forma deste artigo conterão obrigatoriamente data, hora, minuto e segundo da emissão.
Art. 4º – Os documentos assinados eletronicamente utilizando-se certificados e-CPF e e-CNPJ revogados ou com data de validade expirada, não terão valor legal.
DOS SERVIÇOS e-receit@
Art. 5º – Os Certificados Eletrônicos e-CPF e e-CNPJ serão utilizados nas relações do usuário com a SRF, por meio dos serviços e-receit@, objetivando facilitar e agilizar o atendimento do contribuinte.
Parágrafo único – Os serviços oferecidos pela SRF por meio da Internet serão desenvolvidos prioritariamente para os usuários de Certificados Eletrônicos.

DA AUTORIDADE CREDENCIADORA

Art. 6º – A SRF atuará como Autoridade Credenciadora das Autoridades Certificadoras por intermédio da Coordenação-Geral de Tecnologia e de Sistemas de Informação (COTEC), a quem compete:
I – analisar as solicitações de credenciamento;
II – emitir certificados para as Autoridades Certificadoras, credenciando-as a assinar os certificados e-CPF e e-CNPJ por elas emitidos;
III – notificar o vencimento do certificado da Autoridade Certificadora, com uma antecedência mínima de 13 meses;
IV – revogar os certificados das Autoridades Certificadoras que deixarem de cumprir os requisitos estabelecidos;
V – manter na Internet, de forma permanente, lista para acesso público, assinada e atualizada, contendo informação de certificados emitidos e revogados de Autoridades Certificadoras;
VI – elaborar plano de contingência de suas atividades;
VII – aprovar o manual de procedimentos para certificação de usuários, bem assim o plano de contingência e de encerramento de atividades, apresentados pelas Autoridades Certificadoras.
VIII – auditar periodicamente as atividades das Autoridades Certificadoras.
§ 1º – A documentação referente ao credenciamento e auditoria das Autoridades Certificadoras será arquivada por prazo de dez anos.
§ 2º – A auditoria periódica referida no inciso VIII será realizada pela SRF, diretamente ou por intermédio de profissionais ou empresas contratados para esse fim.
§ 3º – As irregularidades identificadas durante o processo de auditoria serão notificadas à Autoridade Certificadora, estabelecendo, se for o caso, prazo para seu saneamento.
§ 4º – A Autoridade Certificadora poderá contestar a notificação no prazo de cinco dias, contado da notificação das irregularidades.

DA AUTORIDADE CERTIFICADORA
Emissão do Certificado da Autoridade Certificadora

Art. 7º – O credenciamento da pessoa jurídica, na condição de Autoridade Certificadora, dar-se-á mediante solicitação apresentada à SRF, segundo os procedimentos descritos no Anexo I a esta Instrução Normativa.
Parágrafo único – Deferida a solicitação, será emitido certificado específico para a Autoridade Certificadora, com validade de quatro anos.
Condições para credenciamento
Art. 8º – Poderá ser credenciada, na condição de Autoridade Certificadora, a pessoa jurídica que atender aos seguintes requisitos:
I – estar inscrita no CNPJ na condição Ativa Regular;
II – manter contrato de seguro válido para cobertura da responsabilidade civil decorrente da atividade de certificação, ajustável em função da quantidade de certificados de usuário emitidos;
III – possuir corpo técnico com comprovada experiência nas áreas de segurança de dados e informações, auditoria de sistemas e demais conhecimentos necessários para a operação como Autoridade Certificadora, e em quantidade adequada ao eficaz desempenho dessas atividades;
IV – comprovar a idoneidade fiscal, financeira, profissional e criminal de seus sócios, administradores e empregados;
V – dispor de instalações adequadas, com ambientes exclusivos para realização de cada uma das atividades específicas do processo de certificação, contendo:
a) salas-cofre com alvenaria reforçada, proteção eletromagnética e contra incêndio, para guarda dos equipamentos servidores responsáveis pela emissão dos certificados;
b) salas-cofre com alvenaria reforçada e proteção contra incêndio para guarda dos documentos relativos ao processo de certificação;
c) mecanismos de manutenção da energia elétrica sem interrupção, mediante do uso de nobreaks e geradores; e
d) alarmes e mecanismos de vídeo para monitoração de acesso;
VI – utilizar servidores de página Web e bancos de dados com implementação de mecanismos de segurança e controle de acesso lógico utilizando certificação digital nas estações de trabalho, equipamentos servidores e equipamentos de rede, devendo o ambiente ser protegido por firewal;
VII – possuir controle de acesso físico e lógico a recursos críticos, com segmentação por função, exigindo a presença simultânea de pelo menos duas pessoas credenciadas para efetivar o acesso ao ambiente ou a funções críticas de sistemas;
VIII – disponibilizar, nos equipamentos servidores, somente serviços indispensáveis à operação de certificação de modo a reduzir vulnerabilidades dos sistemas;
IX – possuir mecanismos de redundância instalados em todos os equipamentos de modo a garantir a operação ininterrupta, vinte e quatro horas por dia, sete dias na semana.
Parágrafo único – Para fins de credenciamento, pessoa jurídica deverá submeter à avaliação da SRF seu manual de procedimentos para certificação de usuários, bem assim o plano de contingência e de encerramento de atividades.
Renovação do credenciamento
Art. 9º – O credenciamento poderá será renovado, por solicitação da pessoa jurídica, de conformidade com os procedimentos estabelecidos no Anexo I desta Instrução Normativa, observado o disposto no inciso III do artigo 6º.
Revogação de certificados
Art. 10 – O certificado da Autoridade Certificadora será revogado:
I – a pedido do titular do certificado ou de seu procurador, expressamente autorizado;
II – no caso de uso indevido do certificado ou o não cumprimento das obrigações estabelecidas pela SRF;
III – no encerramento das atividades da Autoridade Certificadora.
§ 1º – A revogação indicará a data, hora, minuto e segundo a partir da qual será aplicada.
§ 2º – O certificado não poderá ser revogado retroativamente.
§ 3º – O certificado revogado será incluído imediatamente na lista de certificados revogados da SRF, que notificará a Autoridade Certificadora.
§ 4º – Uma vez revogado o certificado da Autoridade Credenciadora, todos os certificados e-CPF e e-CNPJ por ela emitidos estarão também revogados.

DAS ATRIBUIÇÕES DAS
AUTORIDADES CERTIFICADORAS

Art. 11 – São atribuições das Autoridades Certificadoras:
I – emitir certificados e-CPF e e-CNPJ;
II – revogar os certificados dos usuários que deixaram de cumprir os requisitos estabelecidos pela Autoridade Certificadora;
III – notificar, com antecedência mínima de um mês, o vencimento do certificado dos usuários dos certificados e-CPF e e-CNPJ;
IV – adotar as medidas necessárias para garantir a confidencialidade de sua chave privada, devendo solicitar imediatamente, à Autoridade Credenciadora, a revogação do seu certificado, em caso de comprometimento de sua segurança;
V – manter na Internet, de forma permanente, lista para acesso público, assinada e atualizada, contendo informação de certificados e-CPF e e-CNPJ emitidos e revogados;
VI – exigir dos usuários exclusivamente informações indispensáveis à efetivação do processo de certificação, vedada sua divulgação ou cessão, a qualquer título ou forma, a terceiros;
VII – disponibilizar, na Internet, manual de procedimentos para certificação, contendo as políticas e práticas adotadas para esse fim, bem assim informações sobre os direitos e obrigações do usuário e as medidas necessárias para garantir a segurança dos certificados emitidos;
VIII – disponibilizar na Internet mecanismo que permita aos usuários verificar a correta instalação dos certificados em seus equipamentos;
IX – manter, ininterruptamente, atividade que permita a revogação imediata do seu certificado mediante solicitação;
X – arquivar por um período de 10 anos toda a documentação referente à administração dos certificados e-CPF e e-CNPJ;
XI – permitir o acesso dos auditores autorizados pela SRF a todas as suas instalações de operação, colocando a disposição destes todos os documentos e informações necessários à realização da auditoria;
XII – contratar auditoria independente para fins de verificar, anualmente, o correto exercício das atividades de Autoridade Certificadora, de acordo com as regras aprovadas pela SRF, devendo a primeira auditoria ser realizada três meses após o início dessas atividades;
XIII – manter-se permanentemente atualizada com os recursos de informática disponíveis no mercado internacional, segundo especificações estabelecidas pela SRF.
Parágrafo único – Caso as obrigações não sejam cumpridas, o credenciamento da Autoridade Certificadora será cancelado.
Art. 12 – A Autoridade Certificadora responderá por perdas e danos sofridos pelos usuários ou por terceiros, em conseqüência do não cumprimento de suas obrigações ou da divulgação ou cessão de informações, bem assim pelos prejuízos oriundos da concessão ou revogação indevida, ou ainda da não revogação, em prazo hábil, de certificados.
Art. 13 – Quando do encerramento das atividades ou do cancelamento do credenciamento da Autoridade Certificadora, todos os certificados emitidos pela Certificadora se tornarão inválidos, devendo a documentação referida no inciso X do artigo 11 ser imediatamente entregue à SRF.
Parágrafo único – A SRF poderá autorizar a transferência dos certificados até então emitidos para outra Autoridade Certificadora credenciada anteriormente, devendo, neste caso, ser transferida, para esta, toda a documentação referente à administração dos certificados e-CPF e e-CNPJ.

DAS AUTORIDADES REGISTRADORAS

Art. 14 – A SRF elencará os órgãos ou empresas que poderão atuar como Autoridade Registradora no processo de emissão dos certificados e-CPF e e-CNPJ.
Parágrafo único – A SRF poderá realizar auditoria das atividades desempenhadas pelas Autoridades Registradoras.

DOS USUÁRIOS

Art. 15 – O usuário deverá solicitar a emissão do certificado e-CPF ou e-CNPJ, à Autoridade Certificadora credenciada, observados os procedimentos descritos no Anexo II a esta Instrução Normativa.
Parágrafo único – Os certificados e-CPF e e-CNPJ emitidos pela Autoridade Certificadora terão validade mínima de um ano.
Art. 16 – O titular do certificado e-CPF ou e-CNPJ é responsável por todos os atos praticados perante a SRF utilizando o referido certificado e sua correspondente chave privada, devendo adotar as medidas necessárias para garantir a confidencialidade desta chave, e requerer imediatamente à Autoridade Certificadora a revogação do certificado, em caso de comprometimento de sua segurança.
Parágrafo único – É obrigatório o uso de senha para proteção da chave privativa do titular do certificado e-CPF ou e-CNPJ.
Renovação de certificados
Art. 17 – Um mês antes do vencimento dos certificados e-CPF e e-CNPJ, a Autoridade Certificadora deverá notificar os usuários para que estes possam solicitar a renovação de seus certificados, conforme os procedimentos estabelecidos no Anexo II a esta Instrução Normativa.
Revogação de certificados
Art. 18 – Os certificados e-CPF e e-CNPJ serão revogados:
I – a pedido do titular do certificado ou de seu procurador, expressamente autorizado;
II – de ofício ou por determinação da SRF, caso se verifique o uso indevido do certificado emitido ou a sua expedição baseada em informações falsas, bem assim na hipótese de extinção ou falecimento do usuário, no caso de pessoa jurídica ou física, respectivamente;
III – no encerramento das atividades da Autoridade Certificadora, quando não houver transferência dos certificados para outra Autoridade.
§ 1º – A revogação deve indicar a data, hora, minutos e segundos a partir da qual será aplicada.
§ 2º – Os certificados não poderão ser revogados retroativamente.
§ 3º – Os certificados revogados serão incluídos imediatamente na lista de certificados revogados, devendo o usuário ser notificado.
§ 4º – Uma vez revogado o certificado e-CNPJ do responsável pela Pessoa Jurídica perante a SRF, todos os certificados da Pessoa Jurídica emitidos estarão revogados.
Art. 19 – A Autoridade Certificadora deverá manter na Internet, de forma ininterrupta, lista para acesso público, assinada e atualizada, contendo informação de certificados e-CPF e e-CNPJ revogados.

DOS CERTIFICADOS

Art. 20 – O processo de emissão dos certificados e-CPF e e-CNPJ utilizará a seguinte estrutura hierárquica de certificados:
I – Certificado raiz SRF ou nível 0: certificado da Autoridade Credenciadora;
II – Certificado nível 1: certificado das Autoridades Certificadoras;
III – Certificado nível 2: certificado de usuário e-CPF e-CNPJ.
Parágrafo único – A SRF publicará seu certificado e os certificados emitidos para as autoridades certificadoras no Diário Oficial da União.
Art. 21 – Os certificados e-CPF emitidos deverão obedecer ao padrão internacional ITU-T X.509v.3 e conterão as seguintes informações:
I – nome completo do usuário e seu respectivo número de inscrição no CPF;
II – chave pública do titular do certificado;
III – elementos que permitam identificar o sistema criptográfico utilizado;
IV – identificação e assinatura digital da Autoridade Certificadora emitente e da Autoridade Credenciadora;
V – data, hora, minuto e segundo de emissão do certificado;
VI – número de série exclusivo do certificado;
VII – data de início e fim de validade;
VIII – endereço na Internet da lista de certificados e-CPF revogados.
Parágrafo único – A SRF poderá, a qualquer tempo, estabelecer novas informações a serem incluídas nos certificados e-CPF emitidos pelas Autoridades Certificadoras.
Art. 22 – Os certificados e-CNPJ emitidos deverão obedecer ao padrão internacional ITU-T X.509v.3 e conterão as seguintes informações:
I – razão social e número de inscrição no CNPJ do usuário;
II – nome completo e respectivo número de inscrição no CPF do responsável pela pessoa jurídica perante o CNPJ;
III – chave pública do certificado;
IV – elementos que permitam identificar o sistema criptográfico utilizado;
V – identificação e assinatura digital da Autoridade Certificadora emitente e da Autoridade Credenciadora;
VI – data, hora, minuto e segundo de emissão do certificado;
VII – número de série exclusivo do certificado;
VIII – data de início e fim de validade;
IX – endereço na Internet da lista de certificados e-CNPJ revogados.
§ 1º – No caso de e-CNPJ, poderão ser emitidos certificados distintos, com perfis de utilização distintos, para pessoas físicas autorizadas para esse fim.
§ 2º – Na hipótese do parágrafo anterior, além das informações constantes do caput, deverão ser acrescidas as relativas ao nome completo e respectivo número de inscrição no CPF da pessoa física autorizada, bem assim a função por ela desempenhada da pessoa jurídica.
§ 3º – Uma vez revogado o certificado e-CNPJ do responsável pela empresa perante a SRF, todos os certificados da Pessoa Jurídica emitidos pela Autoridade Certificadora estarão automaticamente revogados.
§ 4º – A SRF poderá, a qualquer tempo, estabelecer novas informações a serem incluídas nos certificados e-CNPJ emitidos pelas Autoridades Certificadoras.

DAS DISPOSIÇÕES FINAIS

Art. 23 – Na resolução de quaisquer questões judiciais entre as Autoridades Certificadoras e os usuários dos certificados e-CPF e e-CNPJ, fica estabelecida como foro a cidade brasileira onde se localiza a Autoridade Certificadora.
Art. 24 – Esta Instrução Normativa entra em vigor na data de sua publicação. (Everardo Maciel)
3 – EMISSÃO DE CERTIFICADOS e-CPF
4 – RENOVAÇÃO DE CERTIFICADOS e-CNPJ e e-CPF