QUESTIONAMENTOS ACERCA DO PE 052/2012
1) Conforme determinação das normas fiscais, a Certisign está obrigada a fornecer notas
fiscais separadas, uma para certificado digital, uma vez que a emissão dessas está
caracterizada como Prestação de Serviço, incidindo assim o ISS, a outra emitida para a
venda de hardware token, pois sobre esse, incide ICMS.
R: Não se trata de um questionamento, mas de uma afirmação da licitante.
A licitante deve atender ao que determina a legislação tributária.
2) Caso ocorra a invalidação, revogação em decorrência da utilização indevida do
certificado por parte do usuário as despesas de nova emissão de certificado digital será
de responsabilidade da Contratante?
Resposta: Sim será de responsabilidade da Contratante
3) Caso as autoridades e/ou servidores não comparecerem para realizar a emissão dos
certificados digitais na data agendada entre a Contratada e à Contratante, os mesmos
deslocar-se-ão para um Ponto de atendimento da Contratada?
Resposta: Sim
4) A Contratada deve ser credenciada pela ICP-BRASIL como Autoridade Certificadora?
Resposta: Sim deve ser credenciada pela ICP-BRASIL como Autoridade Certificadora.
1. Referente às especificações técnicas do Anexo I – PROJETO BÁSICO
Certificação Digital para Pessoa Física constante no Edital nº. 052/2012,
solicitamos os seguintes esclarecimentos para melhor compreensão e
previsão dos custos envolvidos neste certame:
1.1.
A CONTRATANTE concordará em estabelecer previamente um
CRONOGRAMA
de
emissões
dos
certificados
digitais
(especificados neste certame) respeitando o prazo estipulado, a
partir da demanda do pedido do Lote pela Contratante e em
comum acordo com a Contratada, justificado pelo zelo na
qualidade de atendimento na prestação deste tipo de serviço?
Resposta do servidor Marcelo Silva de Azevedo (DTI/MPRJ): Sim
será feito um cronograma de acordo com a demanda.
1.2.
Pela leitura do Edital entendemos que todo o processo de
prestação dos serviços para emissão dos certificados digitais e a
validação presencial para conferencia documental e confirmação
de identidade dos usuários titulares, segundo as normas vigentes
da ICP-BRASIL, acontecerão SOMENTE na cidade do Rio de
Janeiro/RJ e SOMENTE nas dependências sede da Contratante
MP/RJ (Conforme endereço especificado subitem 13.21 do Edital).
Está correto o nosso entendimento?
Resposta do servidor Marcelo Silva de Azevedo (DTI/MPRJ): Sim
entendimento correto.
1.3.
Solicitamos saber se na hipótese do não comparecimento da
pessoa titular do certificado na data e dia previamente agendados
em comum acordo de ambas as partes Contratada e Contratante,
será da responsabilidade SOMENTE da CONTRATANTE e do
usuário titular do certificado? Resposta do servidor Marcelo Silva
de Azevedo (DTI/MPRJ): Sim entendimento correto.
1.6.
Solicitamos o esclarecimento se na hipótese de revogação,
invalidação, mau uso dos certificados digitais especificados neste
Edital nº. 052/2012 ou mesmo em casos do esquecimento das
senhas pessoais e de revogação (PIN e PUK) por culpa dos
usuários titulares dos certificados digitais, os custos de emissão
de um novo certificado digital pessoa física do tipo A3 e o
fornecimento de um novo Token USB, bem como dos serviços de
validação presencial (visitas locais) para conferência da
documentação do titular serão de responsabilidade SOMENTE da
CONTRATANTE?
Está correto o nosso entendimento? Resposta do servidor Marcelo
Silva de Azevedo (DTI/MPRJ): Sim entendimento correto.
1.7.
Pela leitura Anexo I – Projeto Básico entendemos que o ato de
entrega das mídias criptográficas tipo TOKENS USB (LOTE 2)
acontecerão somente em conjunto e no mesmo ato da emissão
dos respectivos certificados digitais e-CPF A3 3 anos (pessoa
física) e validação presencial para conferência documental dos
usuários titulares?
Está correto o nosso entendimento?
Resposta do servidor Marcelo Silva de Azevedo (DTI/MPRJ): Sim
entendimento correto.
1.8.
Em caso de resposta NEGATIVA à pergunta acima, esclarecemos
que a SERASA S.A. é uma empresa prestadora de serviços, Isenta
de Inscrição Estadual (não realiza operação de circulação de
mercadoria e não recolhe ICMS) e assim, em razão das
características dos serviços de emissão dos Certificados Digitais,
vale-se dos Tokens USB como insumos dos serviços que presta.
Tais insumos são postos à disposição dos contratantes dos seus
serviços no momento em que ocorre a emissão dos certificados
digitais, nunca em separado. Vale lembrar que é da essência do
certificado digital com as características licitadas neste certame
seu armazenamento nos dispositivos (Token USB).
Ressaltamos que, a flexibilização da condição, admitindo a
entrega em conjunto, na hipótese do mesmo fornecedor, por outro
lado, garantirá ao esta entidade a possibilidade de receber da
SERASA S.A a sua proposta, potencializando a competição no
certame e viabilizando a vossas senhorias a obtenção da melhor
proposta. Desta forma, a resposta positiva a essa questão altera
as disposições contidas no item 9, do Anexo I, bem como do item
13.7.1. e outras correlatas do edital. Correto nosso entendimento?
1.9.
Referente o item 9 – Local e Prazo de Entrega, solicitamos saber se
a mídia criptográfica do tipo Token do LOTE 2 poderá ser entregue
em conjunto e no momento do ato da validação presencial para a
emissão do certificado digital e-CPF A3 3 anos (pessoa física)?
Resposta do servidor Marcelo Silva de Azevedo (DTI/MPRJ): Sim
entendimento correto.
1.10.
Solicitamos o esclarecimento, se na hipótese de ocorrer que o
Licitante vencedor do LOTE 1 – Certificados Digitais e-CPF A3 3
anos (pessoa física) for DIFERENTE do licitante vencedor do LOTE
2 – Tokens USB, este último se responsabilize com todos os
custos inerentes para a devida homologação do modelo, versão e
CSP do Tokens USB com o sistema emissor de certificados
digitais da Autoridade de Registro, garantindo assim o perfeito
funcionamento e compatibilidade na utilização pelos usuários
titulares. Resposta do servidor Marcelo Silva de Azevedo
(DTI/MPRJ): Sim entendimento correto.
1.11.
Referente o ANEXO A do Termo de Referência (Anexo I do Edital) Base de cálculo para estimativa da quantidade de certificados,
emissões, renovações e horas de serviço AR, entendemos que a
Licitante vencedora deste certame, caso seja uma Autoridade
Certificadora e/ou Autoridade de Registro DIFERENTE da que foi
anteriormente Contratada pelo MP/RJ, naquilo que se refere à
RENOVAÇÃO dos 68 certificados digitais em 2012 (segundo
quadro constante do referido Anexo A), deverá tratar essa
prestação de serviços como uma NOVA EMISSÃO, baseados na
norma do ICP-BRASIL, autoridade reguladora da atividade, pela
qual a Autoridade Certificadora NÃO PODE RENOVAR um
certificado digital de outra Autoridade Certificadora e/ou
Autoridade de Registro sob hierarquias diferentes. O entendimento
ora exposto é a única forma de a Contratante MP/RJ garantir a
isonomia e a ampla competitividade entre as empresas deste
mercado.
Está correto o nosso entendimento? Resposta do servidor Marcelo
Silva de Azevedo (DTI/MPRJ): Sim entendimento correto.
2. Com relação às condições de participação na licitação, ITEM 8.2 “a.1
combinado com o item 11 do Anexo I relativo à COMPETÊNCIA E
ESPECIALIZAÇÃO DA EMPRESA, por favor, esclarecer qual o documento
que deve ser apresentado para comprovar o que consta da alínea “b” do
item 11, considerando que relatórios de auditorias são documentos internos
de cada empresa e que os documentos exigidos para comprovar a
regularidade de uma AC ou uma AR são as autorizações publicadas no
DOU, pelo ITI, órgão regulador da Atividade. Desta forma, a regularidade
operacional de uma AC deve ser comprovada pela autorização do ITI, órgão
regulador, oficialmente publicada, a qual consta da exigência da alínea “a”
do mesmo item. Qualquer outro documento para se comprovar essa
regularidade configura excessiva, passível de justificativa de relevância
técnica de sua exigência nos termos legais. O edital não está claro quanto ao
documento a ser apresentado nem quanto ao momento dessas
comprovações. Resposta colhida junto ao servidor Marcelo Silva de
Azevedo (DTI/MPRJ): A letra “b” do item 11 deve ser desconsiderada, pois já
consta da letra “a” do mesmo item. O que se exige da licitante, na fase de
habilitação, é um atestado que comprove a manutenção do regular
credenciamento junto ao ITI.
3. Referente o item 14 – DAS CONDIÇÕES DE PAGAMENTO do Edital,
esclarecemos que a SERASA S.A. é uma empresa prestadora de serviços,
isenta de Inscrição Estadual (não realiza operação de circulação de
mercadoria e não recolhe ICMS) e assim, em razão das características dos
serviços de emissão dos Certificados Digitais, vale-se das mídias
criptográficas do tipo tokens, cartão inteligente (smart card) e leitora de
cartão inteligente (smart card) como insumos dos serviços que presta. Tais
insumos são postos à disposição dos Contratantes dos seus serviços no
momento em que ocorre a emissão dos certificados digitais, nunca em
separado. Vale lembrar que é da essência do certificado digital com as
características licitadas neste certame seu armazenamento nos dispositivos
criptográficos (Tokens USB, smart card e leitora de smart card).
Portanto, devido à condição fiscal e tributária exposta, vimos
respeitosamente, solicitar a esse MINISTÉRIO PÚBLICO DO ESTADO DO RIO
DE JANEIRO a concordância na forma faturamento desta empresa Serasa
S.A. através da apresentação de Notas Fiscais Eletrônicas de Serviços (ISS).
Resposta colhida junto à Diretoria de Controle do MPRJ: O MPRJ aceita
notas fiscais eletrônicas.
4. Referente à formalização da ATA DE REGISTRO DE PREÇOS, do CONTRATO
e da NOTA DE EMPENHO constantes no Edital 052/2012, que estabelece os
procedimentos da convocação para assinatura da ATA DE REGISTRO DE
PREÇOS, do CONTRATO e da NOTA DE EMPENHO (ou instrumentos legais
equivalentes), depois de homologado e adjudicado todo o processo
licitatório com a licitante vencedora deste certame, solicitamos saber se os
tais instrumentos jurídicos poderão ser remetidos por meio eletrônico ou via
Correios para posterior devolução pela Contratada também por Correios,
respeitando o prazo máximo estabelecido no Edital e liberando a presença
física dos representantes legais da empresa Contratada até as dependências
da MP/RJ na cidade do Rio de Janeiro/RJ, justificado pelos custos de
deslocamentos desses da sede desta empresa até o Rio de Janeiro?
Resposta: o envio pelos Correios é a regra.
I – O Projeto Basico (Anexo I) em seu item 6.1.2 , letra “a” – inciso XXIV – Características
trata do requisito referente a “Política de senha complexa”. Em nosso entendimento
corresponde a que o sistema gerenciador de token permita a definição de senhas com
caracteres maiúsculos, minúsculos, números e caracteres especiais. Está correto nosso
entendimento? Em caso negativo, pedimos esclarecer com detalhes a “Politica de senha
complexa”.
Resposta: Entendimento correto.
II – O inciso XXV da letra “a” do item 6.1.2 do Projeto Basico (Anexo 1) a respeito do
requisito “Software de Gestão” aborda sobre “Permite mudança do Label”. Por questões de
segurança, depois de inicializado o label do token não pode ser alterado. Para que o label
seja alterado após inicialização, o token deve ser re-inicializado, o que causa a perda de
todos os dados contidos no mesmo. Essa solução atende às necessidades de V. Sas.?
Resposta: Positivo essa solução atende a necessidade do MPRJ.
Em relação ao Pregão Eletrônico 52/2012, no Anexo I, que trata da parte técnica, há a
seguinte exigência:
a) Ser Autoridade Certificadora ICP-Brasil, credenciada pelo ITI;
De acordo com o que foi definido pela ICP-Brasil, o atendimento ao público para emissão de
certificados digitais deverá ser realizado por Autoridades de Registro (ARs), que são
vinculadas às Autoridades Certificadoras (ACs), não diretamente através das Autoridades
Certificadoras. Diante disso, peço que verifiquem o item acima, pois entendemos que foi
escrito de forma equivocada.
Não houve nenhum equivoco no texto mencionado, a exigência do MPRJ é que a Autoridade
Certificado (AC) seja uma entidade credenciada pela ICP-BRASIL/ITI.
Confirmo o recebimento de sua resposta. No entanto insisto no questionamento, uma
vez que, conforme definido pela ICP-Brasil, o atendimento ao público para emissão de
certificados digitais é realizado por Autoridades de Registro (ARs), que são vinculadas
às Autoridades Certificadoras (ACs), não diretamente através das Autoridades
Certificadoras. Além disso, os certificados digitais emitidos através das ARs são
certificados das ACs às quais as ARs estão vinculadas. A Pronova, por exemplo, é uma
Autoridade de Registro (AR) vinculada à Autoridade Certificadora SERPRO (AC). Assim,
os certificados digitais emitidos pela Pronova são certificados digitais do SERPRO.
Envio a seguir o link para que possam visualizar a estrutura detalhada da ICP-Brasil
publicada no site do ITI, com as ACs e ARs credenciadas:
http://www.iti.gov.br/twiki/bin/viewfile/Certificacao/EstruturaIcp?rev=42;filename=Estrutu
ra_completa.pdf.
A exigência de que seja uma Autoridade Certificadora (AC) irá impedir a participação das
Autoridades de Registro (ARs), que na ICP-Brasil exercem a função de atendimento ao
público.
A restrição mencionada no questionamento não procede. Na qualidade de instituição pública,
entendemos ser mais vantajoso para atender às necessidades do MPRJ a contratação de uma
AC, nos moldes do edital publicado.
A AR PRONOVA, na qualidade de Autoridade de Registro vinculada a AC SERPRO RFB na ICPBrasil, insistimos no fato de que uma AC não possui como atribuição o atendimento aos
futuros titulares de certificados digitais no âmbito da ICP-Brasil. Com base no estabelecido
no DOC-ICP-05 disponível em http://www.iti.gov.br/twiki/pub/Certificacao/DocIcp/DOCICP-05.pdf eis as atribuições de uma AC na ICP Brasil:
a) operar de acordo com a sua DPC e com as PCs que implementa;
b) gerar e gerenciar os seus pares de chaves criptográficas;
c) assegurar a proteção de suas chaves privadas;
d) notificar a AC de nível superior, emitente do seu certificado, quando ocorrer
comprometimento de sua chave privada e solicitar a imediata revogação do correspondente
certificado;
e) notificar os seus usuários quando ocorrer: suspeita de comprometimento de sua
chave privada, emissão de novo par de chaves e correspondente certificado ou o
encerramento de suas atividades;
f) distribuir o seu próprio certificado;
g) emitir, expedir e distribuir os certificados de AC de nível imediatamente subseqüente ao
seu ou os certificados de AR a ela vinculadas e de usuários finais;
h) informar a emissão do certificado ao respectivo solicitante;
i) revogar os certificados por ela emitidos;
j) emitir, gerenciar e publicar suas LCRs e, quando aplicável, disponibilizar consulta on-line de
situação do certificado (OCSP - On-line Certificate Status Protocol);
k) publicar em sua página web sua DPC e as PCs aprovadas que implementa;
l) publicar, em sua página web, as informações definidas no item 2.6.1.2 deste documento;
m) publicar, em página web, informações sobre o descredenciamento de AR bem como
sobre extinção de instalação técnica,
n) utilizar protocolo de comunicação seguro ao disponibilizar serviços para os solicitantes ou
usuários de certificados digitais via web;
o) identificar e registrar todas as ações executadas, conforme as normas, práticas e regras
estabelecidas pelo CG da ICP-Brasil;
p) adotar as medidas de segurança e controle previstas na DPC, PC e Política de Segurança
(PS) que implementar, envolvendo seus processos, procedimentos e atividades, observadas
as normas, critérios, práticas e procedimentos da ICP-Brasil;
q) manter a conformidade dos seus processos, procedimentos e atividades com as normas,
práticas e regras da ICP-Brasil e com a legislação vigente;
r) manter e garantir a integridade, o sigilo e a segurança da informação por ela tratada;
s) manter e testar anualmente seu Plano de Continuidade do Negócio - PCN;
t) manter contrato de seguro de cobertura de responsabilidade civil decorrente das
atividades de certificação digital e de registro, com cobertura suficiente e compatível com o
risco dessas atividades, e exigir sua manutenção pelas ACs de nível subseqüente ao seu,
quando estas estiverem obrigadas a contratá-lo, de acordo com as normas do CG da ICPBrasil;
u) informar às terceiras partes e titulares de certificado acerca das garantias,
coberturas, condicionantes e limitações estipuladas pela apólice de seguro de
responsabilidade civil contratada nos termos acima;
v) informar à AC Raiz, mensalmente, a quantidade de certificados digitais emitidos; e
w) não emitir certificado com prazo de validade que se estenda além do prazo de validade
de seu próprio certificado.
Como pode ser confirmado, uma AC não faz atendimento direto aos futuros titulares de
certificados digitais (receber solicitações de emissão ou de revogação de certificados), pois
esta atividade é da COMPETÊNCIA de uma Autoridade de Registro.
Continuando com a leitura do referido documento, eis as atribuições de uma Autoridade de
Registro:
a) receber solicitações de emissão ou de revogação de certificados;
b) confirmar a identidade do solicitante e a validade da solicitação;
c) encaminhar a solicitação de emissão ou de revogação de certificado à AC responsável
utilizando protocolo de comunicação seguro, conforme padrão definido no documento
CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS ARs DA ICP-BRASIL[1];
d) informar aos respectivos titulares a emissão ou a revogação de seus certificados;
e) disponibilizar os certificados emitidos pela AC aos seus respectivos solicitantes;
f) identificar e registrar todas as ações executadas, conforme as normas, práticas e regras
estabelecidas pelo CG da ICP-Brasil;
g) manter a conformidade dos seus processos, procedimentos e atividades com as normas,
critérios, práticas e regras estabelecidas pela AC vinculada e pela ICP-Brasil, em especial com
o contido no documento CARACTERÍSTICAS MÍNIMAS DE SEGURANÇA PARA AS ARs DA ICPBRASIL [1];
h) manter e garantir a segurança da informação por elas tratada, de acordo com o
estabelecido nas normas, critérios, práticas e procedimentos da ICP-Brasil;
i) manter e testar anualmente seu Plano de Continuidade do Negócio - PCN;
j) proceder o reconhecimento das assinaturas e da validade dos documentos apresentados
na forma dos itens 3.1.9, 3.1.10 e 3.1.11;
k) garantir que todas as aprovações de solicitação de certificados sejam realizadas em
instalações técnicas autorizadas a funcionar como AR vinculadas credenciadas.
Observe que a Medida Provisória nº 2.200-2, DE 24 DE AGOSTO DE 2001, em seu artigos 7º a
9º assim estabelece:
Art. 7º Às AR, entidades operacionalmente vinculadas a determinada AC, compete
identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados
às AC e manter registros de suas operações.
Art. 8º Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil,
poderão ser credenciados como AC e AR os órgãos e as entidades públicos e as pessoas
jurídicas de direito privado.
Art. 9º É vedado a qualquer AC certificar nível diverso do imediatamente subseqüente ao
seu, exceto nos casos de acordos de certificação lateral ou cruzada, previamente aprovados
pelo Comitê Gestor da ICP-Brasil.
Portanto, a atividade licitada é, em princípio, vedada às ACs e somente pode ser prestada
pelas ARs, por força do norma legal acima e o entendimento do Ilmo Sr. Marcelo Azevedo
(Secretaria de Tecnologia da Informação e de Comunicação - Diretoria de Tecnologia da
Informação - Escritório de Projetos) está totalmente equivocado.
Desta forma, pedimos que seja REVISTO o item em questão, a fim de que seja cumprido o
que é determinado pelas regras da ICP-Brasil e seu Comitê Gestor, permitindo assim que
Autoridades de Registro credenciadas na ICP-Brasil participem deste processo licitatório, em
atendimento ao disposto no artigo 3º da Lei nº 8.666/93 e seus parágrafos, posto que a
manutenção do certame nestes termos, o que se admite somente por amor ao debate,
tornaria nulo o procedimento e nos obrigaria a uma disputa judicial desnecessária.