• Horário de funcionamento: Seg à Sex das 09h00 às 18h00
Linkedin-in Instagram Facebook-f

Governança de cadeia na ICP-Brasil: o que a IN 32/2025 reforça

Marciel

maio 4, 2026

Uncategorized

A certificação digital brasileira funciona como uma rede de confiança. Quando uma Autoridade Certificadora emite um certificado, ela não trabalha sozinha. Existem dezenas de Autoridades de Registro espalhadas pelo país fazendo o trabalho de campo: validando documentos, coletando biometrias, conferindo identidades.

O problema? Se uma dessas pontas falha, toda a cadeia está em risco.

A IN 32/2025 veio para deixar uma coisa clara: quem responde pela qualidade da operação é a AC. Sempre. Mesmo quando o erro aconteceu a 300 km de distância, numa AR que ela credenciou.

Isso tem nome: governança de cadeia.

O que é governança de cadeia na certificação digital

Governança de cadeia é o sistema de controle que uma Autoridade Certificadora mantém sobre todas as entidades vinculadas a ela. Não é fiscalização pontual. É supervisão contínua.

Pense assim: você tem uma franquia de restaurantes. Cada unidade tem autonomia operacional, mas todas seguem o mesmo manual de qualidade, usam os mesmos fornecedores, passam pelas mesmas inspeções. Se uma unidade serve comida estragada, quem responde é a marca central.

Na ICP-Brasil funciona igual.

Cadeia de confiança e responsabilidade sistêmica

Quando você apresenta um certificado digital numa operação, está apresentando uma promessa de segurança. Essa promessa foi construída em várias etapas:

  1. A AC Raiz (ITI) credenciou uma AC
  2. A AC credenciou várias ARs
  3. Uma AR validou seus documentos
  4. O certificado foi emitido

Se qualquer elo dessa corrente falhar, a promessa quebra. Por isso a responsabilidade é sistêmica. A AC não pode dizer “o erro foi da AR”. Ela escolheu credenciar aquela AR. Ela responde.

Por que a AC responde pela AR

Porque a AC tem o poder de:

  • Credenciar a AR (ou não)
  • Definir os processos operacionais
  • Auditar a execução
  • Suspender ou descredenciar quando necessário

Esse poder vem com responsabilidade. A IN 32/2025 reforça esse princípio de forma explícita no escopo de auditoria.

O que a IN 32/2025 estabelece sobre supervisão operacional

A norma não inventou conceitos novos. Ela formalizou o óbvio: se a AC supervisiona, a auditoria precisa verificar como essa supervisão acontece na prática.

Antes, muitas auditorias olhavam só para os processos internos da AC. Agora, o auditor precisa verificar se a AC está efetivamente governando a cadeia.

Consistência de processos entre entidades vinculadas

Uma AR em São Paulo não pode validar documentos de um jeito e outra AR em Manaus fazer diferente. O processo precisa ser uniforme.

A IN 32/2025 exige que a AC demonstre como garante essa uniformidade:

  • Manuais operacionais padronizados
  • Treinamento formal das ARs
  • Controle de versão dos procedimentos
  • Comunicação de mudanças normativas

Se cada AR faz do seu jeito, não existe cadeia. Existe caos.

Comunicação operacional formalizada

“Fulano me ligou e avisou” não serve mais.

A comunicação entre AC e AR precisa ser rastreável:

  • Canais oficiais definidos
  • Registro de comunicados
  • Confirmação de recebimento
  • Prazos de resposta estabelecidos

Exemplo prático: mudou uma regra de validação de documentos? A AC precisa notificar formalmente todas as ARs, registrar quem leu, quando implementou.

Monitoramento de riscos na cadeia

A AC precisa saber onde estão os pontos fracos antes que virem problemas.

Isso significa:

  • Indicadores de desempenho por AR
  • Análise de incidentes operacionais
  • Mapeamento de não conformidades
  • Planos de ação documentados

Se uma AR apresenta taxa de erro acima da média, a AC precisa agir. Não esperar a auditoria descobrir.

Os 4 pilares da maturidade operacional

Uma cadeia bem governada se sustenta em quatro pilares. Não são opcionais. São cumulativos.

Alinhamento de procedimentos

Todas as entidades vinculadas seguem os mesmos processos. Não adaptações livres. Não interpretações criativas.

Um único manual operacional. Uma única fonte de verdade.

Comunicação operacional

Canais formais. Registros permanentes. Confirmação de leitura.

Mudou algo? Todo mundo sabe. Imediatamente.

Monitoramento de riscos

Você não espera o problema explodir. Você acompanha indicadores que avisam quando algo está saindo do controle.

Como a temperatura do motor do carro. Subiu demais? Para antes de fundir.

Cultura de conformidade

O mais difícil de todos.

Não adianta ter processo perfeito no papel se na prática todo mundo dá um jeitinho. A cultura de conformidade significa que seguir as regras é o padrão, não a exceção.

Isso se constrói com:

  • Treinamento constante
  • Consequências claras para desvios
  • Reconhecimento de boas práticas
  • Liderança que dá o exemplo

Impacto para as entidades ICP-Brasil

O que muda na prática para ACs e ARs

Para as Autoridades Certificadoras:

  • Documentação de supervisão vira item de auditoria
  • Indicadores de desempenho da cadeia se tornam obrigatórios
  • Não conformidades nas ARs viram não conformidades da AC
  • Investimento em sistemas de monitoramento aumenta

Para as Autoridades de Registro:

  • Menos margem para “adaptações locais”
  • Mais cobranças sobre aderência a processos
  • Comunicação com a AC fica mais formal
  • Treinamentos se tornam mais frequentes

Como a supervisão de cadeia reduz riscos sistêmicos

Riscos sistêmicos são aqueles que afetam toda a infraestrutura, não só uma entidade isolada.

Exemplos:

  • Falha generalizada na validação de documentos
  • Uso de processos desatualizados em várias ARs
  • Incidentes de segurança não reportados
  • Perda de confiança pública na certificação digital

Quando a AC governa bem a cadeia, ela identifica desvios antes que se espalhem. É controle de epidemia aplicado à conformidade.

Governança de cadeia e modelos internacionais de PKI

O que frameworks internacionais já consolidaram

A Europa tem o eIDAS (Electronic Identification, Authentication and Trust Services). Os Estados Unidos têm o Federal PKI. Ambos consolidaram há anos o que o Brasil está formalizando agora:

  • Responsabilidade hierárquica clara
  • Supervisão ativa sobre entidades subordinadas
  • Auditoria que verifica governança, não só processos
  • Sanções proporcionais ao nível de responsabilidade

Onde o Brasil está convergindo

A IN 32/2025 aproxima o Brasil desses modelos em três pontos:

  1. Supervisão como requisito auditável (não mais “boa prática recomendada”)
  2. Responsabilidade sistêmica da AC (não mais “cada um responde por si”)
  3. Maturidade operacional como critério de avaliação (não mais checklist binário de conformidade)

Isso prepara a ICP-Brasil para reconhecimento internacional de certificados. Mercados externos exigem governança comprovada.

Como a PKI Consulting atua nesse contexto

A PKI Consulting é auditora independente credenciada na ICP-Brasil. Na prática, isso significa que avaliamos se a governança de cadeia está funcionando de verdade, não só documentada.

Durante uma auditoria de conformidade, verificamos:

  • Se os manuais operacionais estão atualizados e sendo seguidos
  • Se a comunicação entre AC e ARs deixa rastro auditável
  • Se os indicadores de risco estão sendo monitorados
  • Se existem evidências de ação corretiva quando necessário

Não é checklist. É avaliação de maturidade operacional.

E com a IN 32/2025, essa avaliação ganhou peso formal. Governança de cadeia deixou de ser diferencial. Virou requisito.

Compartilhe nas redes:

Posts Recentes

Categorias

Uncategorized
Segurança
Auditorias Operacionais