Últimas notícias

Fique informado
Regulamentos internacionais aplicáveis ​​ao setor de Autoridades Certificadoras  

Regulamentos internacionais aplicáveis ​​ao setor de Autoridades Certificadoras  

16/06/2015

Spotlight

A Estônia já está aqui. Por Marcelo Buz

Artigo do diretor-presidente do Instituto Nacional de Tecnologia da Informação – ITI, Marcelo Buz, e uma comparação entre Brasil e Estônia.

18/02/2020

A evolução do processo judicial eletrônico. Por Ophir Cavalcante Junior

O processo judicial eletrônico (PJE) veio para atender esse novo momento e a exigência de uma prestação jurisdicional mais célere.

17/02/2020

Comitê Gestor normatiza emissão de certificado digital pelos Conselhos Profissionais Federais

A digitalização de documentos e processos em diferentes setores profissionais

13/02/2020

Lei de Informatização do Processo na pauta do Supremo Tribunal Federal – Por Marcos da Costa e Augusto Marcacini

A assinatura digital, tal como a assinatura manuscrita, permite conferir a autoria de uma manifestação escrita e, evidentemente, isto impede que esta seja substituída por outra, falsa, que não foi a intenção emanada pelo sujeito que praticou o ato.

11/02/2020

Identidade Digital na Europa. Prof. Jean Martina

O sistema de identificação digital na Itália funciona de forma similar ao Brasileiro.

09/02/2020

Certificado ICP-Brasil fortalece as ações de governança cibernética nacional

A ampliação do uso do certificado digital no padrão da

06/02/2020

O que é DPC? Declaração de Práticas de Certificação

A DPC descreve os processos relacionados ao ciclo de vida dos certificados digitais emitidos por cada Autoridade Certificadora que, obrigatoriamente, deve torná-la pública

14/11/2011

De tempos em tempos observadores da indústria mundial das Autoridades Certificadoras têm se perguntado se as regras e regulamentos aplicáveis ​​adicionais para ACs e a emissão de certificados digitais seria benéfico para o ecossistema de segurança internet.

Standards and Industry Regulations Applicable to Certification Authorities

 Por Kirk Hall, Trend Micro, Inc. (CA membro do Conselho de Segurança)

Para analisar esta questão, é importante primeiro reconhecer os padrões existentes e a regulamentação da indústria das Autoridades Certificadoras que estão em vigor desde 2000.

E quem são as Autoridades Certificadoras?

Tem sido erroneamente relatado que existem mais de 600 Autoridades Certificadoras confiáveis no mundo, mas isso não é o correto. Em vez disso, existem apenas cerca de 65 Autoridades Certificadoras Públicas confiáveis (incluindo as ACs de governo) com raízes nos principais navegadores e aplicações.

Isso inclui Autoridades Certificadoras que possuem múltiplas raízes nos navegadores – mas todas estas raízes estão sujeitas às mesmas normas de auditoria de desempenho unitários e requisitos a seguir.

Para obter mais informações sobre este assunto, consulte neste link.

WebTrust para Autoridades Certificadoras (2000)

A primeira exigência imposta especificamente para as Autoridades Certificadoras como um grupo foi em 2000, quando uma auditoria anual de segurança sob a WebTrust para os padrões das ACs foi mandatória para ter suas raízes instaladas nos navegadores e ser  reconhecidas pelos softwares de mercado.

Consulte as normas de auditoria WebTrust originais disponíveis em neste link.

Estas normas são atualizadas constantemente e por isso as normas de auditoria WebTrust atuais são refletidas nas exigências v.2.0.

A maioria das Autoridades Certificadoras também passaram por auditorias de desempenho anual sob SAS 70 normas (mais tarde substituído por SSAE 16 / SOC 2 / SOC).

ACs também fazem regularmente auditorias complementares  ou equivalentes a WebTrust.

Quase todas as Autoridades Certificadoras na América do Norte seguem os padrões WebTrust, mas as Autoridades Certificadoras em outras partes do mundo podem ser auditadas para o ETSI  (European Telecommunications Standards Institute).

As Autoridades Certificadoras de Governos devem apresentar auditorias de desempenho governamental equivalente em uma base periódica também caso contrário suas raízes não são reconhecidas pela maioria dos navegadores de mercado.

WebTrust para ACs exige auditorias de desempenho anual por um auditor terceiro independente (geralmente de grandes empresas de auditoria do mundo) de operações e práticas de uma Autoridade Certificadora em cada uma das seguintes áreas substantivas:

  1. Divulgação de suas práticas de negócios
  2. Gestão de práticas de negócios
  3. Controles  de ambientes (especialmente os controles de segurança)
  4. Controles de gerenciamento do ciclo de vida das chaves
  5. Controles de gerenciamento do ciclo de vida das chave dos usuários finais

O relatório é bem completo. Boa leitura!

Preencha o cadastro para efetuar o download
(*) Campos obrigatórios

Preencha o formulário abaixo e receba o link para download:

[contact-form-7 404 "Not Found"]


 

DPC 5

 

Leia também sobre as declarações e práticas de certificação digital – DPC, que é um artigo menos técnico e ajuda a entender as regras que devem ser seguidas pelas Autoridades Certificadoras.

 

 

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

<