A Resolução nº 458, de 2017 regulamenta o uso de sistemas informatizados para registro e guarda de informações por regulados da ANAC.
Regulamenta, nos termos desta Resolução, o uso de sistemas informatizados para registro e guarda de informações por regulados da Agência Nacional de Aviação Civil – ANAC, em substituição aos registros em papel.
O cumprimento dos preceitos desta Resolução é facultativo, exceto se, por atos normativos específicos, for determinado compulsório para algum caso.
Um sistema de informação poderá ser utilizado para registro, guarda ou acesso a informações de registro obrigatório, desde que:
I – tenha seu escopo de utilização explicitamente autorizado pela ANAC;
II – tenha sido avaliado e acreditado por entidades competentes, demonstrado por meio de relatórios de conformidade (ex: empresas certificadoras segundo ISO/IES 27000); e
III – esteja disponível a qualquer momento para auditoria.
Um sistema já avaliado e aceito não necessita de novo processo de aceitação para o mesmo escopo, mesmo se utilizado por outra entidade.
No caso de eventual atualização de um sistema que implique na mudança do método de cumprimento dos requisitos previstos nessa resolução, um novo processo de aceitação deverá ser proposto pelo interessado.
O sistema ou solução a ser utilizado pelos interessados deverá seguir minimamente os seguintes aspectos:
I – no tocante aos requisitos de segurança, a solução planejada deverá implementar minimamente:
a) criptografia digital assimétrica;
b) assinatura digital e eletrônica;
c) hashing;
d) chave pública;
e) chave privada; e
f) certificado digital disponibilizado por uma entidade autorizada – ICP Brasil ou equivalente;
II – o processo de assinatura eletrônica dos registros e/ou documentos deverá descrever, conter ou endereçar, minimamente, os seguintes aspectos:
a) singularidade: uma assinatura eletrônica só é válida se for exclusiva ao signatário individual. Deve identificar um indivíduo específico e deve dificultar sua duplicação;
b) controle: uma assinatura eletrônica válida deve estar sob o exclusivo controle do signatário e exigir que o signatário use um nome de usuário e uma senha únicos para acessar o sistema e afixar a assinatura;
c) notificação: o sistema deve notificar o signatário de que a assinatura foi afixada;
d) intenção de assinatura: o signatário deve ser solicitado antes que sua assinatura seja afixada. Deve haver uma palavra ou declaração de intenção que transmite definitivamente a intenção do signatário de afixar sua assinatura;
e) deliberação: um indivíduo que usa uma assinatura eletrônica deve tomar ações deliberadas e reconhecíveis para afixar sua assinatura, deve restar claro o que está sendo assinado, inclusive permitindo revisar ou modificar o conteúdo a ser assinado;
f) associação da assinatura: uma assinatura deve ser anexada, ou logicamente associada, ao registro ou documento que está sendo assinado, caso contrário, tal registro ou documento não será considerado legalmente válido;
g) rastreável e recuperável: o usuário deve ser capaz de identificar e recuperar os documentos aos quais sua assinatura eletrônica foi aplicada. Uma assinatura eletrônica deve fornecer rastreabilidade positiva ao indivíduo que assinou um registro, ou qualquer outro documento;
h) protocolos de segurança e prevenção de acesso e modificação não autorizados: um processo de assinatura eletrônica deve ser seguro e deve impedir o acesso não autorizado ao sistema que afixa a assinatura aos documentos ou registros pretendidos. O processo deve garantir que somente o signatário pretendido pode afixar sua assinatura e deve impedir que pessoas não autorizadas modifiquem o conteúdo assinado ou documentos anexos. O processo deve impedir modificações em informações / dados ou entradas adicionais em registros ou documentos sem requerer uma nova assinatura. Além disso, o processo deve conter restrições e procedimentos para proibir o uso da assinatura eletrônica de um indivíduo quando o indivíduo sair ou encerrar o emprego;
i) permanente e inalterável: uma assinatura eletrônica válida deve ser uma parte permanente do registro ou documento ao qual foi afixada. As informações contidas no registro ou documento devem ser inalteráveis sem uma nova assinatura para validar a alteração;
j) identificação e autenticação: o software de assinatura eletrônica deve ter capacidades de autenticação que podem identificar uma assinatura como pertencente apenas a um determinado signatário. Um indivíduo que use uma assinatura eletrônica deve ser obrigado a usar um método de autenticação que identifique positivamente o indivíduo dentro do sistema de assinatura eletrônica;
k) corrigível: um processo de assinatura eletrônica deve incluir um meio para que um detentor de certificado corrija registros ou documentos que foram assinados eletronicamente por erro, bem como os documentos em que uma assinatura está corretamente adotada, mas as informações ou dados estão em erro. Uma assinatura eletrônica deve ser invalidada sempre que uma entrada substitutiva for feita para corrigir o registro ou documento. As informações ou assinaturas que estão sendo corrigidas devem ser anuladas, mas permanecerem no lugar. A nova informação e / ou assinatura devem ser facilmente identificáveis… (continua)/p
