De tempos em tempos observadores da indústria mundial das Autoridades Certificadoras têm se perguntado se as regras e regulamentos aplicáveis adicionais para ACs e a emissão de certificados digitais seria benéfico para o ecossistema de segurança internet.
Standards and Industry Regulations Applicable to Certification Authorities
Por Kirk Hall, Trend Micro, Inc. (CA membro do Conselho de Segurança)
Para analisar esta questão, é importante primeiro reconhecer os padrões existentes e a regulamentação da indústria das Autoridades Certificadoras que estão em vigor desde 2000.
E quem são as Autoridades Certificadoras?
Tem sido erroneamente relatado que existem mais de 600 Autoridades Certificadoras confiáveis no mundo, mas isso não é o correto. Em vez disso, existem apenas cerca de 65 Autoridades Certificadoras Públicas confiáveis (incluindo as ACs de governo) com raízes nos principais navegadores e aplicações.
Isso inclui Autoridades Certificadoras que possuem múltiplas raízes nos navegadores – mas todas estas raízes estão sujeitas às mesmas normas de auditoria de desempenho unitários e requisitos a seguir.
Para obter mais informações sobre este assunto, consulte neste link.
WebTrust para Autoridades Certificadoras (2000)
A primeira exigência imposta especificamente para as Autoridades Certificadoras como um grupo foi em 2000, quando uma auditoria anual de segurança sob a WebTrust para os padrões das ACs foi mandatória para ter suas raízes instaladas nos navegadores e ser reconhecidas pelos softwares de mercado.
Consulte as normas de auditoria WebTrust originais disponíveis em neste link.
Estas normas são atualizadas constantemente e por isso as normas de auditoria WebTrust atuais são refletidas nas exigências v.2.0.
A maioria das Autoridades Certificadoras também passaram por auditorias de desempenho anual sob SAS 70 normas (mais tarde substituído por SSAE 16 / SOC 2 / SOC).
ACs também fazem regularmente auditorias complementares ou equivalentes a WebTrust.
Quase todas as Autoridades Certificadoras na América do Norte seguem os padrões WebTrust, mas as Autoridades Certificadoras em outras partes do mundo podem ser auditadas para o ETSI (European Telecommunications Standards Institute).
As Autoridades Certificadoras de Governos devem apresentar auditorias de desempenho governamental equivalente em uma base periódica também caso contrário suas raízes não são reconhecidas pela maioria dos navegadores de mercado.
WebTrust para ACs exige auditorias de desempenho anual por um auditor terceiro independente (geralmente de grandes empresas de auditoria do mundo) de operações e práticas de uma Autoridade Certificadora em cada uma das seguintes áreas substantivas:
- Divulgação de suas práticas de negócios
- Gestão de práticas de negócios
- Controles de ambientes (especialmente os controles de segurança)
- Controles de gerenciamento do ciclo de vida das chaves
- Controles de gerenciamento do ciclo de vida das chave dos usuários finais
O relatório é bem completo. Boa leitura!
(*) Campos obrigatórios
Preencha o formulário abaixo e receba o link para download:
Erro: Formulário de contato não encontrado.
