Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 28/04/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025042800065
65
Nº 79, segunda-feira, 28 de abril de 2025
ISSN 1677-7042
Seção 1
Fase 3 - Elaboração do Relatório Final de Auditoria - RFA
Art. 20. O Relatório Final de Auditoria é um documento que, depois de
preenchido, deverá ter a classificação da informação adequada à criticidade do seu
conteúdo e deverá ser elaborado de acordo com o ADE-ICP-08.I - Modelo e Requisitos
para a Elaboração do Relatório Final de Auditoria, disponível no site do ITI.
Art. 21. O Relatório Final de Auditoria deve ser distribuído, no mínimo, às
seguintes autoridades:
I - entidade auditada;
II - Autoridades Certificadoras hierarquicamente vinculadas; e
III - Instituto Nacional de Tecnologia da Informação - ITI.
Parágrafo único. O RFA enviado ao ITI deverá ser acompanhado da Lista de
Verificação de Conformidade e da Declaração de não Impedimento, na forma do
Apêndice B do ADE-ICP-08.I.
Art. 22. Não será emitido relatório de auditoria operacional para o Prestador
de Serviço de Suporte - PSS.
Art. 23. Nas auditorias operacionais nas ACs, o relatório de auditoria deverá
informar em item destacado se são atendidos os critérios de realização de auditorias
operacionais nas ARs subordinadas e se são adotados controles para acompanhamento
daquelas auditorias.
Art. 24. No relatório de auditoria constará, em parágrafo destacado, o
conceito geral do PSCert atribuído pelo auditor ao auditado e os motivos que levaram
à referida conceituação. A opinião do auditor será registrada no Relatório Final de
Auditoria, que poderá ser: Adequado; Aceitável; Deficiente; Inadequado ou Inaceitável.
Emissão do Parecer de auditoria
Art. 25. Na emissão do Parecer de auditoria e na conclusão no Relatório Final
de Auditoria será utilizado o Conceito sobre o PSCert auditado, conforme a tabela a
seguir:
.
.Conceito
.Parecer
.Situação
.
.1
.Adequado
.Ausência de não conformidades
.
.2
.Aceitável
.Média da avaliação dos riscos considerada baixa
.
.3
.Deficiente
.Média da avaliação dos riscos considerada média
.
.4
.Inadequado
.Média da avaliação dos riscos considerada alta
.
.5
.Inaceitável
.Média da avaliação dos riscos considerada crítica
§ 1º A média aritmética é o somatório dos riscos encontrados nos controles
que apresentaram inconformidade, dividido pela respectiva quantidade de controles que
apresentaram não conformidade.
§ 2º Havendo dúvida quanto
ao enquadramento, pelo princípio do
conservadorismo, será adotado o conceito de maior valor numérico (mais crítico).
§ 3º O conceito "Adequado" é aplicável somente nos casos em que não
foram detectadas não conformidades durante as avaliações e verificações no decorrer da
auditoria.
Critérios para aplicação dos conceitos
Art. 26. A atribuição do conceito geral do PSCert, que constará do relatório
de auditoria, refletirá a opinião do auditor sobre o nível de risco a que o PSCert estiver
exposto. Para auxiliar nesta atribuição de conceito, o auditor poderá se valer do valor
médio das não conformidades encontradas, que não poderá prevalecer sobre a opinião
do auditor.
Parágrafo único. Toda vez que
os conceitos forem modificados em
decorrência da convicção do auditor, o relatório de auditoria destacará a situação de
forma fundamentada, cujas evidências deverão ser anexadas ao relatório destinado ao
ITI.
Art. 27. A atribuição da criticidade de cada não conformidade é de
responsabilidade do auditor, que deve se basear na metodologia adotada, confrontada
com as condições identificadas, dentro do contexto auditado.
Art. 28. A criticidade das não conformidades são classificadas como:
I - Risco crítico:
a) certificado emitido com tamanho
de chave inferior ao mínimo
estabelecido;
b) inexistência de LCR;
c) intervalo de tempo sem LCR;
d) LCR sem conteúdo; e
e) LCR com campo errado ou incorreto.
f) ausência de cobertura de seguro de responsabilidade civil;
g) ausência de realização de auditoria operacional anual;
h) qualquer ato intencional de omissão ou manipulação de dados, alteração
de documentos ou registros eletrônicos, ou qualquer ato que possa ser enquadrado
como fraude;
i) fraudes relacionadas à identificação do titular do certificado;
j) vulnerabilidade em ambiente lógico de segurança de rede;
k) ausência de sincronismo de tempo entre os servidores e a Fonte Confiável
do Tempo - FCT;
l) uso de algoritmo de criptografia diferente do estabelecido nas normas;
m) ausência de testes de restauração de cópia de segurança de base de
dados, de logs, de LCR e de certificados digitais;
n) falhas nos sistemas de controle de acesso físico e lógico aos recursos de AC;
o) ausência de sincronismo dos aplicativos de AC entre os sítios principal e
de contingência da AC;
p) falha de integridade das aplicações e bases de dados da AC;
q) uso compartilhado de equipamento computacional entre Autoridades de
Registro;
r) Autoridade de Registro sem sede administrativa em território nacional; e
s) ausência de Agente de Registro ou equipamento computacional para
operação da Autoridade de Registro.
II - Risco alto:
a) falha no dossiê de certificado emitido, quanto a documentação, poderes e
assinatura;
b) erros ou falhas em campos de certificados emitidos;
c) erros ou falhas em campos de LCR emitidas;
d) falha na apresentação de certidões de pessoal vinculado ao PSCert;
e) falha na manutenção de sistemas de ar-condicionado, sistema elétrico e de
combate a incêndio que comprometa as atividades do sítio principal e de contingência da AC;
f) falha na identificação de equipamentos que se conectam à solução de
certificação digital da AC;
g) ausência de testes de funcionamento do sítio de contingência;
h) ausência de testes de recuperação de cópia de segurança de LCR, logs de
aplicativos e bases de dados;
i) ausência ou deficiências nos procedimentos de testes de vulnerabilidade de rede;
j) ausência ou falhas na monitoração de ocorrências registradas em logs;
k) ausência de licença de software proprietário de terceiros; e
l) compartilhamento de rede de internet com outra empresa ou AR.
III - Risco médio:
a) falha
relacionada à
habilitação jurídica,
à regularidade
fiscal ou
à
qualificação econômico-financeira do PSCert;
b) falha no processo de treinamento de pessoal do PSCert;
c) falha no processo de avaliação do pessoal do PSCert;
d) falha no sistema de gravação de imagens de CFTV;
e) falha nos procedimentos de desligamento de empregados do PSCert,
mesmo que sem desligamento da empresa responsável pelo PSCert; e
f)
ausência
de
comprovante de
posse/propriedade
dos
equipamentos
computacionais e equipamentos biométricos.
IV - Risco baixo:
a) falha em inventário de ativos.
Parágrafo único.
Outras não conformidades
podem ser
associadas às
criticidades de risco elencadas, a critério do auditor.
Art. 29. Para estabelecimento do nível do risco de uma não conformidade
será utilizada ferramenta de avaliação do risco, pelo menos com a utilização da matriz
impacto versus probabilidade, onde:
Impacto
.
.Médio
.Alto
.Crítico
.
.Baixo
.Médio
.Alto
.
.Baixo
.Baixo
.Médio
Probabilidade
§ 1º Os valores a serem atribuídos aos eixos serão sempre em múltiplos de
3 (0 a 3; 0 a 6; 0 a 9; etc.), sempre em ordem crescente de exposição. Por exemplo,
se adotada a escala de 0 a 9 teríamos a gradação de zero = sem qualquer impacto, até
nove = impacto máximo possível.
§ 2º Poderá ser utilizada outra metodologia para atribuição do nível do risco,
desde que faça parte da documentação aprovada no credenciamento, evidenciada sua
aplicação de forma sistematizada pela entidade de auditoria.
Pós auditoria
Art. 30. Caso o relatório de
auditoria contenha uma ou mais não
conformidades não corrigidas durante a auditoria, o PSCert deve encaminhar à entidade
a qual está subordinado, em até dez dias, o plano de ação para regularização das não
conformidades.
§ 1º A resolução definitiva das não conformidades não pode ultrapassar
noventa dias, a partir da data do Relatório de Auditoria.
§ 2º As ACs de 1º e de 2º nível deverão encaminhar ao ITI, na primeira
quinzena de janeiro
e de julho, relatório consolidado
do acompanhamento da
regularização das não conformidades de suas entidades diretamente vinculadas.
CAPÍTULO V
DISPOSIÇÕES FINAIS
Art. 31. As entidades relacionadas no art. 2º terão o prazo de até quarenta
e cinco dias, contado a partir da publicação deste Regulamento, para adequação aos
seus requisitos.
Art. 32. A realização de
auditorias operacionais em Autoridades de
Certificadoras terá o prazo de até 1º de janeiro de 2026 para adequação ao disposto no
§ 3º do art. 17.
Art. 33. A partir de 1º de janeiro de 2026, a realização de auditorias operacionais
em Autoridade de Registro deverá atender ao disposto nos §§ 1º e 2º do art. 16.
Art. 34. A partir de noventa dias da data de publicação deste regulamento,
somente serão admitidos pedidos de credenciamento de AR cujos relatórios de auditoria
pré-operacional obedeçam ao disposto no § 3º do art. 16.
Art. 35. Fica revogada a Instrução Normativa ITI nº 06, de 20 de maio de 2021.
Art. 36. Esta Instrução Normativa entra em vigor na data de sua
publicação.
ENYLSON FLÁVIO MARTINEZ CAMOLESI
DIRETORIA DE AUDITORIA, FISCALIZAÇÃO E NORMALIZAÇÃO
D ES P AC H O
DEFIRO, a pedido, o descredenciamento da AR VBAM, CNPJ: 04.591.226/0001-
65, vinculada às AC CERTISIGN MÚLTIPLA, AC CERTISIGN RFB, AC CERTISIGN JUS e AC
SINCOR. Processo n° 00100.000754/2025-06.
PEDRO PINHEIRO CARDOSO
Diretor
SECRETARIA DO PATRIMÔNIO DA UNIÃO
PORTARIA SPU/MGI Nº 2.756, DE 9 DE ABRIL DE 2025
Doação com Encargo ao Município de Caruaru/PE
de imóvel da União, com área de terreno de
27.910,00m² e
área de
benfeitorias medindo
270,00m², localizado na Avenida José Rodrigues de
Jesus,
s/n, 
bairro
Indianópolis, 
Município
de
Caruaru, Estado
de Pernambuco,
destinado à
regularização de utilização do
imóvel com a
finalidade de manutenção do funcionamento do
Parque 
Ecológico
Ambientalista 
Severino
Montenegro,
bem como
a
construção, no
seu
interior, de um Centro de Atendimento ao Turista -
C AT .
A SECRETÁRIA DO PATRIMÔNIO DA UNIÃO, SUBSTITUTA, DO MINISTÉRIO DA
GESTÃO E DA INOVAÇÃO EM SERVIÇOS PÚBLICOS, no uso da competência que lhe foi
subdelegada pela Portaria SEDDM/ME nº 12.485, de 20 de outubro de 2021, tendo em
vista o disposto nos art. 31, inciso I e §§ 1º a 3º, da Lei nº 9.636, de 15 de maio de 1998,
no art. 76, inciso I, alínea "b", da Lei nº 14.133, de 1º de abril de 2021, e na
deliberação/autorização do Grupo Especial de Destinação Supervisionada ( G E - D ES U P - 2 ) ,
Ata de Reunião realizada em 04 de abril de 2025, bem como os elementos que integram
o Processo Administrativo 40-79-039626-27, resolve:
Art. 1º Autorizar a doação com encargo ao Município de Caruaru/PE de móvel
da União, com área de terreno de 27.910,00m² e área de benfeitorias medindo 270,00m²,
localizado na Avenida José Rodrigues de Jesus, s/n, bairro Indianópolis, Município de
Caruaru, Estado de Pernambuco, registrado na Matrícula nº 22393 do 1º Cartório de
Registro de Imóveis de Caruaru/PE e cadastrado sob RIP Imóvel nº 2381.00011.500-9.
Art. 2º A doação a que se refere o art. 1º destina-se à regularização de
utilização do imóvel com a finalidade de manutenção do funcionamento do Parque
Ecológico Ambientalista Severino Montenegro, bem como a construção, no seu interior,
de um Centro de Atendimento ao Turista - CAT.
Art. 3º Fica o donatário responsável pela regularização do imóvel no Cartório
de Registro de Imóveis.
Parágrafo único. O disposto no art. 2º deverá constar na averbação registrada
na respectiva matrícula do imóvel.
Art. 4º O donatário terá o prazo de 24 meses para cumprimento do encargo,
contado da data de assinatura do contrato, prorrogável a critério da União e desde que
requerido tempestivamente.
Art. 5º O encargo de que trata o art. 2º será permanente e resolutivo,
revertendo automaticamente o imóvel ao patrimônio da União, independentemente de
qualquer indenização por benfeitorias realizadas, se não for cumprida a finalidade da
doação, se não subsistirem as razões que a justificaram, se ao imóvel, no todo ou em
parte, vier a ser dada destinação diversa da prevista, se houver inobservância de
qualquer condição nela expressa, ou ainda, se ocorrer inadimplemento de cláusula
contratual.
Art. 6º A presente doação não exime o donatário de obter todos os
licenciamentos, autorizações e alvarás necessários à implantação e à execução do projeto,
bem como de observar rigorosamente a legislação e os respectivos regulamentos das
autoridades competentes e dos órgãos ambientais.
Art. 7º Responderá o donatário, judicial e extrajudicialmente, por quaisquer
reivindicações que venham a ser efetuadas por terceiros, concernentes ao imóvel de que
trata esta Portaria, inclusive por benfeitorias nele existentes.
Art. 8º É vedado ao donatário alienar o imóvel recebido em doação, no todo
ou em parte.
Art. 9º Os direitos e as obrigações mencionados nesta Portaria não excluem
outros, explícita ou implicitamente, decorrentes do contrato de doação e da legislação
pertinente.
Art. 10. Esta Portaria entra em vigor na data de sua publicação.
ALESSANDRA D'AVILA VIEIRA

Fechar