CERTISIGN passam por uma auditoria de conformidade periódica ( “Auditoria de Compliance”) para garantir o cumprimento dos padrões pela AC CERTISIGN SOLUCOES CORPORATIVAS em suas operações.
Um exame anual “WebTrust for Certification Authorities v2.0 ou posterior” (ou equivalente) é realizado nas áreas de operações de datacenter e operações de gerenciamento de chaves da CERTISIGN que suportam os das ACs públicas e gerenciadas da CERTISIGN, incluindo AC CERTISIGN SOLUCOES CORPORATIVAS.
Requisitos CABF de Auditorias
Não aplicável.
Requisitos CABF de Auditorias para EV
Não aplicável.
8.1 Freqüência e Circunstâncias da Avaliação
As Auditorias de Conformidade são realizadas pelo menos anualmente, as expensas da entidade auditada. As auditorias contemplam sequências ininterruptas de períodos auditados, com cada período não superior a um ano de duração.
Certificados que são capazes de serem usados para emitir novos certificados devem ser:
. Tecnicamente limitados em conformidade com a seção 7.1.5 e auditados em conformidade apenas com a seção 8.7, ou
. Irrestrita e totalmente auditados em conformidade com todos demais os requisitos desta seção.
Um certificado é considerado capaz de ser usado para emitir novos certificados se este contém uma extensão BasicConstraints X.509v3, com a AC CERTISIGN SOLUCOES
CORPORATIVAS boolean definido como verdadeiro e, portanto, por definição, um certificado de AC raiz.
8.2 Identidade / Qualificações do Assessor
A auditoria da AC CERTISIGN SOLUCOES CORPORATIVAS deve ser realizada por um auditor qualificado.
Um auditor qualificado é entendido como uma pessoa física, pessoa jurídica, ou grupo de pessoas físicas ou jurídicas que possuem coletivamente as seguintes qualificações e habilidades:
1. Independência quanto ao objeto da auditoria;
2. A capacidade de realizar uma auditoria que atenda aos critérios especificados em um sistema de auditoria elegível (ver Seção 8.1);
3. Emprega indivíduos que têm proficiência em examinar a tecnologia Public Key Infrastructure, ferramentas e técnicas de segurança da informação, tecnologia da informação e auditoria de segurança, bem como atestado de capacidade emitido por terceiros ;
4. (Para auditorias conduzidas de acordo com qualquer uma das normas ETSI): acreditação de acordo com a ISO 17065 aplicando os requisitos especificados em ETSI EN 319 403;
5. (Para auditorias realizadas em conformidade com o padrão WebTrust): licenciados pela WebTrust;
DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO DA AC
CERTISIGN
SOLUÇÕES
CORPORATIVAS
51
7. Exceto na caso de Agências de Auditoria Interna Governamentais, mantém seguro de
responsabilidade profissional por Erros e Omissões com limite de cobertura de pelo menos um milhão de dólares norte-americanos.
8.3 Relacionamento de Assessor com a entidade
Avaliada
As auditorias de conformidade das operações da CERTISIGN são realizadas por uma empresa de auditoria que é independente da CERTISIGN.
8.4 Tópicos abordados pela Avaliação
A AC CERTISIGN SOLUCOES CORPORATIVAS deve submeter-se a uma auditoria em conformidade com um dos seguintes padrões:
1. “WebTrust for Certification Authorities v2.0”;
2. padrão nacional que realiza a auditoria em conformidade com ETSI TS 102 042 / ETSI EN 319 411-1; ou
3. Se uma AC governamental é obrigada por sua Política de Certificação a usar um sistema diferente de auditoria interna, pode faze-lo desde que a auditoria (a) abranga todos os requisitos de um dos padrões acima ou (b) consista em critérios comparáveis que estão disponíveis para análise do público.
Qualquer que seja o padrão é escolhido, ele deve incorporar a monitorização periódica e/ou os procedimentos auditáveis para garantir que as auditorias continuem a ser conduzida de acordo com os requisitos do padrão.
A auditoria deve ser conduzida por um auditor qualificado.
8.4.1. Auditorias de ARs
A AC CERTISIGN SOLUCOES CORPORATIVAS deve receber um relatório de auditoria de suas ARs, emitido de acordo com as normas de auditoria que fundamentam os regimes de auditoria citados na Seção 8.1, que fornece uma opinião se o desempenho das ARs cumpre com a DPC da AC
CERTISIGN SOLUCOES CORPORATIVAS. Se a opinião é que a AR não cumpre, então a AC CERTISIGN SOLUCOES CORPORATIVAS não deve permitir que a AR continue a realizar suas funções.
O período de auditoria da AR não deve exceder um ano (idealmente alinhado com a auditoria da AC CERTISIGN SOLUCOES CORPORATIVAS). No entanto, se a AR estiver sobre o âmbito da operação, controle ou supervisão de uma entidade do governo e padrão de auditoria for concluída ao longo de vários anos, então a auditoria anual devem cobrir pelo menos os comandos básicos que são
necessários para ser auditado anualmente por esse padrão, mais a parte de todos os controles não- essenciais que estão autorizados a ser conduzida com menos frequência, mas em nenhum caso qualquer controle não-essencial será auditado menos frequentemente do que uma vez a cada três anos.
8.4.2. Auditoria da CERTISIGN
CERTISIGN será auditada em conformidade com as orientações fornecidas no American Institute of Certificate Public Accounts’ Statement on Service Organizations Control (SOC) sobre os riscos associados com as organizações de serviços. Seus Auditorias de Conformidade serão WebTrust for Certification Authorities ou uma norma equivalente de auditoria aprovada pela CERTISIGN, que inclua: Relatório de Políticas e Procedimentos de Operação e Teste de Eficácia Operacional.
8.5 Ações tomadas como resultado de deficiência
Depois de receber o relatório de Auditoria de Conformidade, a Diretoria da entidade auditada deve contactar a parte auditada para discutir quaisquer exceções ou deficiências apresentadas pelo
DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO DA AC
CERTISIGN
SOLUÇÕES
CORPORATIVAS
52
relatório de Auditoria de Conformidade. A CERTISIGN deve também ser autorizada a discutir tais exceções ou deficiências com a entidade auditada. A entidade auditada e a Diretoria deverão, de boa fé, fazer todos os esforços comercialmente razoáveis para chegar a acordo sobre um plano de ação corretiva para corrigir os problemas geradores das exceções ou deficiências e para implementar o plano.
Em caso de falha da entidade auditada para desenvolver tal plano de ação corretiva ou implementá- lo, ou se o relatório revela exceções ou deficiências que CERTISIGN e a Diretoria da entidade auditada razoavelmente acreditam representar uma ameaça imediata para a segurança ou integridade da AC CERTISIGN SOLUCOES CORPORATIVAS , então:
(A) CERTISIGN e/ou a Diretoria deverá determinar se relatórios de revogação e de comprometimento são necessários,
(B) CERTISIGN e a Diretoria terão o direito de suspender os serviços à entidade auditada, e (C) Se necessário, a CERTISIGN e a Diretoria poderão rescindir os serviços objetos desta DPC e os termos do contrato da entidade auditada com sua Diretoria.
8.6 Comunicação dos Resultados
O relatório de auditoria deve declarar explicitamente que abrange os sistemas e processos relevantes utilizados na emissão de todos os certificados que obedecem um ou mais dos identificadores de política listados na DPC Seção 7.1.6.1.
Após qualquer Auditoria de Conformidade, a entidade auditada deve fornecer a CERTISIGN e a Diretoria o relatório anual e atestados com base na sua auditoria ou auto-auditoria até 14 dias após a conclusão da auditoria e até 45 dias após a data de aniversário do início das operações.
AC CERTISIGN SOLUCOES CORPORATIVAS disponibiliza o seu relatório anual de auditoria ao público em até três (3) meses do fim do período de auditoria. No caso de um atraso superior a três meses, a AC CERTISIGN SOLUCOES CORPORATIVAS deverá disponibilizar uma carta explicativa assinada pelo auditor qualificado.
8.7. Auto-Auditorias
8.7.1. Requisitos CABF de Auto-Auditorias
Não aplicável.
8.7.2. Requisitos CABF de auto-Auditorias para certificados EV e
Assinatura de Código EV
Não aplicável.