Notas:

1) Revogada pela Instrução Normativa SRF nº 222, de 11.10.2002, DOU 16.10.2002.

2)

3) Assim dispunha a Instrução Normativa revogada:

"O Secretário da Receita Federal, no uso de suas atribuições, resolve:

Art. 1º Ficam instituídos os Certificados Eletrônicos da SRF e-CPF e e-CNPJ, a serem utilizados, respectivamente, pelas pessoas físicas e jurídicas, inscritas no Cadastro de Pessoas Físicas - CPF e no Cadastro Nacional da Pessoa Jurídica - CNPJ, no relacionamento, por meios eletrônicos, com a SRF.

DAS DEFINIÇÕES

Art. 2º Para os efeitos desta Instrução Normativa, considera-se:

I - Documento Eletrônico: documento cujas informações são armazenadas exclusivamente em meios eletrônicos;

II - Certificado Eletrônico: identificação emitida por Autoridade Certificadora Credenciada, e que garante, mediante o uso de tecnologia de chaves públicas e privadas, a autenticidade dos emissores e destinatários dos documentos e dados que trafegam numa rede de comunicação, bem assim a privacidade e a inviolabilidade destes;

III - Autoridade Certificadora Credenciada: pessoa jurídica de direito público ou privado constituída sob as leis brasileiras, domiciliada no País, responsáveis pela emissão e administração dos Certificados Eletrônicos e-CPF e e-CNPJ;

IV - Autoridade Credenciadora: A SRF, responsável pelo credenciamento e auditoria das Autoridades Certificadoras;

V - Autoridade Registradora: pessoa jurídica de direito público ou privado constituída sob as leis brasileiras, domiciliada no País, com fé pública, responsável pela confirmação da identidade dos usuários dos certificados e-CPF e e-CNPJ;

VI - Usuário: pessoa física ou jurídica titular de Certificado Eletrônico e-CPF ou e-CNPJ;

VII - Sistema Criptográfico Assimétrico: algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas, exclusivas e interdependentes, sendo uma privada e outra pública, utilizadas para criptografar e decriptar documentos eletrônicos;

VIII - Chave Privada: elemento do par de chaves assimétricas, de uso exclusivo do usuário, mediante o qual se apõe a assinatura digital no documento eletrônico ou se decripta um documento eletrônico previamente criptografado com a chave pública correspondente;

IX - Chave Pública: elemento do par de chaves assimétricas de uso público, por meio do qual se verifica a assinatura digital aposta no documento eletrônico pelo usuário do par de chaves assimétricas, ou se criptografa um documento eletrônico a ser transmitido ao usuário do referido par de chaves;

X - Assinatura Digital: processo eletrônico de assinatura, baseado em sistema criptográfico assimétrico, que permite ao usuário usar a chave privada para declarar a autoria de documento eletrônico, garantindo a não-alteração do seu conteúdo;

XI - e-receit@ - conjunto de serviços disponibilizados pela SRF, por meio da Internet utilizando tecnologia que garanta a autenticidade dos emissores e destinatários dos documentos eletrônicos, bem assim a privacidade e a inviolabilidade destes documentos.

DA VALIDADE JURÍDICA

Art. 3º Os documentos assinados eletronicamente, inclusive pela SRF, mediante utilização de Certificado Eletrônico e-CPF ou e-CNPJ, consideram-se originais e têm o mesmo valor comprobatório daqueles emitidos em papel e firmados pelos meios convencionais.

Parágrafo único. Os documentos emitidos na forma deste artigo conterão obrigatoriamente data, hora, minuto e segundo da emissão.

Art. 4º Os documentos assinados eletronicamente utilizando-se certificados e-CPF e e-CNPJ revogados ou com data de validade expirada, não terão valor legal.

DOS SERVIÇOS e-receit@

Art. 5º Os Certificados Eletrônicos e-CPF e e-CNPJ serão utilizados nas relações do usuário com a SRF, por meio dos serviços e-receit@, objetivando facilitar e agilizar o atendimento do contribuinte.

Parágrafo único. Os serviços oferecidos pela SRF por meio da Internet serão desenvolvidos prioritariamente para os usuários de Certificados Eletrônicos.

DA AUTORIDADE CREDENCIADORA

Art. 6º A SRF atuará como Autoridade Credenciadora das Autoridades Certificadoras por intermédio da Coordenação Geral de Tecnologia e de Sistemas de Informação - COTEC, a quem compete:

I - analisar as solicitações de credenciamento;

II - emitir certificados para as Autoridades Certificadoras, credenciando-as a assinar os certificados e-CPF e e-CNPJ por elas emitidos;

III - notificar o vencimento do certificado da Autoridade Certificadora, com uma antecedência mínima de 13 meses;

IV - revogar os certificados das Autoridades Certificadoras que deixarem de cumprir os requisitos estabelecidos;

V - manter na Internet, de forma permanente, lista para acesso público, assinada e atualizada, contendo informação de certificados emitidos e revogados de Autoridades Certificadoras;

VI - elaborar plano de contingência de suas atividades;

VII - aprovar o manual de procedimentos para certificação de usuários, bem assim o plano de contingência e de encerramento de atividades, apresentados pelas Autoridades Certificadoras.

VIII - auditar periodicamente as atividades das Autoridades Certificadoras.

§ 1º A documentação referente ao credenciamento e auditoria das Autoridades Certificadoras será arquivada por prazo de dez anos.

§ 2º A auditoria periódica referida no inciso VIII será realizada pela SRF, diretamente ou por intermédio de profissionais ou empresas contratados para esse fim.

§ 3º As irregularidades identificadas durante o processo de auditoria serão notificadas à Autoridade Certificadora, estabelecendo, se for o caso, prazo para seu saneamento.

§ 4º A Autoridade Certificadora poderá contestar a notificação no prazo de cinco dias, contado da notificação das irregularidades.

DA AUTORIDADE CERTIFICADORA

Emissão do Certificado da Autoridade Certificadora

Art. 7º O credenciamento da pessoa jurídica, na condição de Autoridade Certificadora, dar-se -á mediante solicitação apresentada à SRF, segundo os procedimentos descritos no Anexo I a esta Instrução Normativa.

Parágrafo único. Deferida a solicitação, será emitido certificado específico para a Autoridade Certificadora, com validade de quatro anos.

Condições para credenciamento

Art. 8º Poderá ser credenciada, na condição de Autoridade Certificadora, a pessoa jurídica que atender aos seguintes requisitos:

I - estar inscrita no CNPJ na condição Ativa Regular;

II - manter contrato de seguro válido para cobertura da responsabilidade civil decorrente da atividade de certificação, ajustável em função da quantidade de certificados de usuário emitidos;

III - possuir corpo técnico com comprovada experiência nas áreas de segurança de dados e informações, auditoria de sistemas e demais conhecimentos necessários para a operação como Autoridade Certificadora, e em quantidade adequada ao eficaz desempenho dessas atividades;

IV - comprovar a idoneidade fiscal, financeira, profissional e criminal de seus sócios, administradores e empregados;

V - dispor de instalações adequadas, com ambientes exclusivos para realização de cada uma das atividades específicas do processo de certificação, contendo:

a) salas-cofre com alvenaria reforçada, proteção eletromagnética e contra incêndio, para guarda dos equipamentos servidores responsáveis pela emissão dos certificados;

b) salas-cofre com alvenaria reforçada e proteção contra incêndio para guarda dos documentos relativos ao processo de certificação;

c) mecanismos de manutenção da energia elétrica sem interrupção, mediante o uso de nobreaks e geradores; e

d) alarmes e mecanismos de vídeo para monitoração de acesso;

VI - utilizar servidores de página Web e bancos de dados com implementação de mecanismos de segurança e controle de acesso lógico utilizando certificação digital nas estações de trabalho, equipamentos servidores e equipamentos de rede, devendo o ambiente ser protegido por firewal;

VII - possuir controle de acesso físico e lógico a recursos críticos, com segmentação por função, exigindo a presença simultânea de pelo menos duas pessoas credenciadas para efetivar o acesso ao ambiente ou a funções críticas de sistemas;

VIII - disponibilizar, nos equipamentos servidores, somente serviços indispensáveis à operação de certificação de modo a reduzir vulnerabilidades dos sistemas;

IX - possuir mecanismos de redundância instalados em todos os equipamentos de modo a garantir a operação ininterrupta, vinte e quatro horas por dia, sete dias na semana.

Parágrafo único. Para fins de credenciamento, pessoa jurídica deverá submeter à avaliação da SRF seu manual de procedimentos para certificação de usuários, bem assim o plano de contingência e de encerramento de atividades.

Renovação do credenciamento

Art. 9º O credenciamento poderá será renovado, por solicitação da pessoa jurídica, de conformidade com os procedimentos estabelecidos no Anexo I desta Instrução Normativa, observado o disposto no inciso III do artigo 6º.

Revogação de certificados

Art. 10. O certificado da Autoridade Certificadora será revogado:

I - a pedido do titular do certificado ou de seu procurador, expressamente autorizado;

II - no caso de uso indevido do certificado ou o não-cumprimento das obrigações estabelecidas pela SRF;

III - no encerramento das atividades da Autoridade Certificadora.

§ 1º A revogação indicará a data, hora, minuto e segundo a partir da qual será aplicada.

§ 2º O certificado não poderá ser revogado retroativamente.

§ 3º O certificado revogado será incluído imediatamente na lista de certificados revogados da SRF, que notificará a Autoridade Certificadora.

§ 4º Uma vez revogado o certificado da Autoridade Credenciadora, todos os certificados e-CPF e e-CNPJ por ela emitidos estarão também revogados.

DAS ATRIBUIÇÕES DAS AUTORIDADES CERTIFICADORAS

Art. 11. São atribuições das Autoridades Certificadoras:

I - emitir certificados e-CPF e e-CNPJ;

II - revogar os certificados dos usuários que deixaram de cumprir os requisitos estabelecidos pela Autoridade Certificadora;

III - notificar, com antecedência mínima de um mês, o vencimento do certificado dos usuários dos certificados e-CPF e e-CNPJ;

IV - adotar as medidas necessárias para garantir a confidencialidade de sua chave privada, devendo solicitar imediatamente, à Autoridade Credenciadora, a revogação do seu certificado, em caso de comprometimento de sua segurança;

V - manter na Internet, de forma permanente, lista para acesso público, assinada e atualizada, contendo informação de certificados e-CPF e e-CNPJ emitidos e revogados;

VI - exigir dos usuários exclusivamente informações indispensáveis à efetivação do processo de certificação, vedada sua divulgação ou cessão, a qualquer título ou forma, a terceiros;

VII - disponibilizar, na Internet, manual de procedimentos para certificação, contendo as políticas e práticas adotadas para esse fim, bem assim informações sobre os direitos e obrigações do usuário e as medidas necessárias para garantir a segurança dos certificados emitidos;

VIII - disponibilizar na Internet mecanismo que permita aos usuários verificar a correta instalação dos certificados em seus equipamentos;

IX - manter, ininterruptamente, atividade que permita a revogação imediata do seu certificado mediante solicitação;

X - arquivar por um período de 10 anos toda a documentação referente à administração dos certificados e-CPF e e-CNPJ;

XI - permitir o acesso dos auditores autorizados pela SRF a todas as suas instalações de operação, colocando à disposição destes todos os documentos e informações necessários à realização da auditoria;

XII - contratar auditoria independente para fins de verificar, anualmente, o correto exercício das atividades de Autoridade Certificadora, de acordo com as regras aprovadas pela SRF, devendo a primeira auditoria ser realizada três meses após o início dessas atividades;

XIII - manter-se permanentemente atualizada com os recursos de informática disponíveis no mercado internacional, segundo especificações estabelecidas pela SRF.

Parágrafo único. Caso as obrigações não sejam cumpridas, o credenciamento da Autoridade Certificadora será cancelado.

Art. 12. A Autoridade Certificadora responderá por perdas e danos sofridos pelos usuários ou por terceiros, em conseqüência do não-cumprimento de suas obrigações ou da divulgação ou cessão de informações, bem assim pelos prejuízos oriundos da concessão ou revogação indevida, ou ainda da não-revogação, em prazo hábil, de certificados.

Art. 13. Quando do encerramento das atividades ou do cancelamento do credenciamento da Autoridade Certificadora, todos os certificados emitidos pela Certificadora se tornarão inválidos, devendo a documentação referida no inciso X do artigo 11 ser imediatamente entregue à SRF.

Parágrafo único. A SRF poderá autorizar a transferência dos certificados até então emitidos para outra Autoridade Certificadora credenciada anteriormente, devendo, neste caso, ser transferida, para esta, toda a documentação referente à administração dos certificados e-CPF e e-CNPJ.

DAS AUTORIDADES REGISTRADORAS

Art. 14. A SRF elencará os órgãos ou empresas que poderão atuar como Autoridade Registradora no processo de emissão dos certificados e-CPF e e-CNPJ.

Parágrafo único. A SRF poderá realizar auditoria das atividades desempenhadas pelas Autoridades Registradoras.

DOS USUÁRIOS

Art. 15. O usuário deverá solicitar a emissão do certificado e-CPF ou e-CNPJ, à Autoridade Certificadora credenciada, observados os procedimentos descritos no Anexo II a esta Instrução Normativa.

Parágrafo único. Os certificados e-CPF e e-CNPJ emitidos pela Autoridade Certificadora terão validade mínima de um ano.

Art. 16. O titular do certificado e-CPF ou e-CNPJ é responsável por todos os atos praticados perante a SRF utilizando o referido certificado e sua correspondente chave privada, devendo adotar as medidas necessárias para garantir a confidencialidade desta chave, e requerer imediatamente à Autoridade Certificadora a revogação do certificado, em caso de comprometimento de sua segurança.

Parágrafo único. É obrigatório o uso de senha para proteção da chave privativa do titular do certificado e-CPF ou e-CNPJ.

Renovação de certificados

Art. 17. Um mês antes do vencimento dos certificados e-CPF e e-CNPJ, a Autoridade Certificadora deverá notificar os usuários para que estes possam solicitar a renovação de seus certificados, conforme os procedimentos estabelecidos no Anexo II a esta Instrução Normativa.

Revogação de certificados

Art. 18. Os certificados e-CPF e e-CNPJ serão revogados:

I - a pedido do titular do certificado ou de seu procurador, expressamente autorizado;

II - de ofício ou por determinação da SRF, caso se verifique o uso indevido do certificado emitido ou a sua expedição baseada em informações falsas, bem assim na hipótese de extinção ou falecimento do usuário, no caso de pessoa jurídica ou física, respectivamente;

III - no encerramento das atividades da Autoridade Certificadora, quando não houver transferência dos certificados para outra Autoridade;

§ 1º A revogação deve indicar a data, hora, minutos e segundos a partir da qual será aplicada.

§ 2º Os certificados não poderão ser revogados retroativamente.

§ 3º Os certificados revogados serão incluídos imediatamente na lista de certificados revogados, devendo o usuário ser notificado.

§ 4º Uma vez revogado o certificado e-CNPJ do responsável pela Pessoa Jurídica perante a SRF, todos os certificados da Pessoa Jurídica emitidos estarão revogados.

Art. 19. A Autoridade Certificadora deverá manter na Internet, de forma ininterrupta, lista para acesso público, assinada e atualizada, contendo informação de certificados e-CPF e e-CNPJ revogados.

DOS CERTIFICADOS

Art. 20. O processo de emissão dos certificados e-CPF e e-CNPJ utilizará a seguinte estrutura hierárquica de certificados:

I - Certificado raiz SRF ou nível 0: certificado da Autoridade Credenciadora;

II - Certificado nível 1: certificado das Autoridades Certificadoras;

III - Certificado nível 2: certificado de usuário e-CPF e e-CNPJ.

Parágrafo único. A SRF publicará seu certificado e os certificados emitidos para as autoridades certificadoras no Diário Oficial da União.

Art. 21. Os certificados e-CPF emitidos deverão obedecer ao padrão internacional ITU-T X.509 v.3 e conterão as seguintes informações:

I - nome completo do usuário e seu respectivo número de inscrição no CPF;

II - chave pública do titular do certificado;

III - elementos que permitam identificar o sistema criptográfico utilizado;

IV - identificação e assinatura digital da Autoridade Certificadora emitente e da Autoridade Credenciadora;

V - data, hora, minuto e segundo de emissão do certificado;

VI - número de série exclusivo do certificado;

VII - data de início e fim de validade;

VIII - endereço na Internet da lista de certificados e-CPF revogados.

Parágrafo único. A SRF poderá, a qualquer tempo, estabelecer novas informações a serem incluídas nos certificados e-CPF emitidos pelas Autoridades Certificadoras.

Art. 22. Os certificados e-CNPJ emitidos deverão obedecer ao padrão internacional ITU-T X.509 v.3 e conterão as seguintes informações:

I - razão social e número de inscrição no CNPJ do usuário;

II - nome completo e respectivo número de inscrição no CPF do responsável pela pessoa jurídica perante o CNPJ;

III - chave pública do certificado;

IV - elementos que permitam identificar o sistema criptográfico utilizado;

V - identificação e assinatura digital da Autoridade Certificadora emitente e da Autoridade Credenciadora;

VI - data, hora, minuto e segundo de emissão do certificado;

VII - número de série exclusivo do certificado;

VIII - data de início e fim de validade;

IX - endereço na Internet da lista de certificados e-CNPJ revogados.

§ 1º No caso de e-CNPJ, poderão ser emitidos certificados distintos, com perfis de utilização distintos, para pessoas físicas autorizadas para esse fim.

§ 2º Na hipótese do parágrafo anterior, além das informações constantes do caput, deverão ser acrescidas as relativas ao nome completo e respectivo número de inscrição no CPF da pessoa física autorizada, bem assim a função por ela desempenhada da pessoa jurídica.

§ 3º Uma vez revogado o certificado e-CNPJ do responsável pela empresa perante a SRF, todos os certificados da Pessoa Jurídica emitidos pela Autoridade Certificadora estarão automaticamente revogados.

§ 4º A SRF poderá, a qualquer tempo, estabelecer novas informações a serem incluídas nos certificados e-CNPJ emitidos pelas Autoridades Certificadoras.

DAS DISPOSIÇÕES FINAIS

Art. 23. Na resolução de quaisquer questões judiciais entre as Autoridades Certificadoras e os usuários dos certificados e-CPF e e-CNPJ, fica estabelecido como foro a cidade brasileira onde se localiza a Autoridade Certificadora.

Art. 24. Esta Instrução Normativa entra em vigor na data de sua publicação.

EVERARDO MACIEL

ANEXO I

1 - CREDENCIAMENTO E EMISSÃO DE CERTIFICADO DE AUTORIDADES CERTIFICADORAS

2 - RENOVAÇÃO DE CERTIFICADO DE AUTORIDADES CERTIFICADORAS

ANEXO II

1 - EMISSÃO DE CERTIFICADOS e-CNPJ DO RESPONSÁVEL PELA PESSOA JURÍDICA PERANTE A SRF

2 - EMISSÃO DE CERTIFICADOS e-CNPJ DOS DEMAIS REPRESENTANTES DA PESSOA JURÍDICA PERANTE A SRF

3 - EMISSÃO DE CERTIFICADOS e-CPF

4 - RENOVAÇÃO DE CERTIFICADOS e-CNPJ e e-CPF