Certificados SSL com EV (Extended Validation) têm um maior nível de confiança dos consumidores por conta dos rigorosos padrões de validação de autenticidade de um certificado SSL. O processo de verificação do Extended Validation exige que a GeoTrust realize uma verificação detalhada da identificação da entidade que fará uso do certificado.
Para que o seu pedido de certificado seja processado, além dos requisitos de certificado que validam o nome do domínio, você deverá providenciar os documentos dos passos a seguir:
Passos para obter autenticação EV
1. A entidade (identificada no pedido do certificado EV) deve preencher todos os dados e assinar o formulário “Acknowledgement of Agreement” presente no link abaixo: https://www.geotrust.com/support/true-businessid/ev-validation-requirements/acknowledgement-agreement.pdf
2. O formulário deve ser encaminhado primeiramente por email para nossa empresa para conferência dos dados. Após o processo de conferência, o formulário deve ser encaminhado para o número presente no documento.
3. Ao receber o formulário, a GeoTrust realiza os seguintes procedimentos de autenticação para garantir que os dados presentes no certificado são legítimos:
A. Requisitos de entidade
As seguintes entidades são elegíveis para receber Certificados EV, desde que estejam registradas e ativas junto à Receita Federal:
- Pessoa Jurídica
- Agências do Governo
- Organizações não governamentais, desde que com CNPJ ativo.
A GeoTrust deve ser capaz de confirmar as seguintes informações da entidade:
- Dados nos orgão governamentais:
- CNPJ da entidade.
- Data de constituição da entidade.
- Endereço da entidade.
- Se a entidade está ativa há menos de três anos, a GeoTrust fará a verificação que a entidade está ativa através de um dos seguintes meios:
- Através de uma empresa de auditoria corporativa (como a Dun & Bradstreet) – Ou –
- Através da verificação da existência de conta bancária com movimentação ativa em nome da entidade, através de uma declaração legal e elaborada por um advogado ou diretamente com a instituição financeira.
B. Requisitos do domínio
Para se qualificar para um certificado Extended Validation SSL, o registo do domínio deve refletir o nome da entidade do pedido de certificado. Se o registo de domínio não refletir o nome completo da entidade, identificado no pedido de certificado, é necessário uma autorização legal do administrador do domínio junto à entidade de registro, com validade jurídica.
- O domínio deve estar registrado no ICANN ou em registros IANA, como o Registro .br (para ccTLDs). Os detalhes do registo de domínio devem estar atualizados para refletir o nome da entidade como incluído no pedido de certificado.
- Para domínios registrado com a ICANN, é obrigatório que recurso de privacidade esteja desbloqueado.
- O responsável pela aprovação do certificado pela entidade deve ter conhecimento do pedido deste certificado e dos dados de propriedade da empresa durante a ligação realizada pela GeoTrust para fazer a validação da entidade.
C. Responsável pela aprovação do certificado
O responsável pela aprovação do certificado deve estar empregado na entidade solicitante do certificado e deve ter autonomia para autorizar e obter certificados digitais.
- Se o aprovador do certificado identificado no pedido do certificado está presente no contrato social ou na ata de constiuição da diretoria, devidamente registrados, com os poderes para tal, o contato será realizado com ele, sem a necessidade das seguintes autorizações:
A GeoTrust deve ser capaz de confirmar todos os seguintes requisitos do aprovador do certificado:
- Carteira de identidade do aprovador, cargo e um comprovante de que se encontra empregado pela entidade, que não seja gerado pela própria entidade.
- O aprovador de certificados está autorizado a obter os certificados EV e aprovar, em nome da entidade. Isso pode ser verificado através de um dos seguintes métodos:
- Procuração registrada em cartório
- Contrato Social
- Através de contato com os sócios da entidade ou diretoria constituída por eleição, conforme Contrato Social ou ata de constituição da diretoria, devidademente registrada em orgão competente, e confirmar a autoridade do contato da organização. Se não houver informações dos responsáveis, a GeoTrust poderá tentar contato com a entidade através do departamento de Recursos Humanos
D. Requisitos de verificação
GeoTrust deve verificar se o pedido de certificado e todos os detalhes do certificado com o aprovador do certificado identificados no pedido de certificado. GeoTrust deverá contatar o aprovador do certificado usando um número de telefone de verificação independente.
Este número de telefone será obtido através de um dos seguintes métodos:
Ao pesquisar bancos de dados de telefone qualificado para encontrar um número de telefone. A entidade deve assegurar que o seu número de telefone principal da entidade esteja listado em listas telefônicas públicas.
- Tal como previsto numa ordem judicial.
- Tal como foi confirmado durante uma visita à empresa realizada pela GeoTrust.
Durante a ligação de verificação, a GeoTrust deverá verificar os seguintes itens com o aprovador do certificado:
- O nome do solicitante no pedido de certificado e sua autoridade para obter certificados Extended Validation em nome da entidade.
- Conhecimento de propriedade da empresa e direito de utilização do domínio identificado no pedido de certificado.
- Aprovação do pedido de certificado SSL de Validação Estendida.
- Reconhecimento da assinatura e da contratação do Certificado SSL GeoTrust, que inclui todos os termos e condições Extended Validation.
E. Requisitos adicionais de Verificação
Se a GeoTrust for incapaz de verificar qualquer das informações solicitadas no seu pedido de certificado, poderemos solicitar que você forneça uma declaração com validade legal para realizar a verificação das informações
NOTA: O procedimento acima é válido para os certificados da GeoTrust. Para outras entidades, por favor entre em contato com o Atendimento CentralServer.
AVISO LEGAL: Os procedimentos descritos neste documento devem ser executados de acordo com o contexto de cada sistema, de forma a evitar impactos negativos à segurança, disponibilidade, integridade e privacidade de dados. A CentralServer se reserva o direito de modificar a qualquer tempo e sem aviso prévio as informações aqui apresentadas a fim de refletir o lançamento de novos serviços, atualizações físicas e operacionais, e evolução do estado-da-arte da tecnologia.
