O que é ICP-Brasil? E qual importância da auditoria nos processos operacionais nas Autoridades de Registros
Você sabe o que é ICP-Brasil e qual a importância das auditorias operacionais para as autoridades de registro?
ICP-Brasil é a sigla para Infraestrutura de Chaves Públicas Brasileira, uma cadeia de segurança de alta confiabilidade que torna possível a emissão de certificados digitais para identificação eletrônica de empresas e cidadãos.
A Infraestrutura de Chaves Públicas Brasileira é composta por diferentes membros, dentre os quais, podemos destacar:
- Autoridade Certificadora Raiz - AC-Raiz: A AC-Raiz é a primeira autoridade da cadeia de certificação, cuja administração é de responsabilidade do ITI - Instituto Nacional de Tecnologia da Informação.
- Autoridades Certificadoras - ACs: As autoridades certificadoras são pessoas jurídicas de direito privado que recebem autorização da AC-Raiz para emissão de certificados digitais.
- Autoridades de Registro - ARs: De acordo com o art. 7º da MP 2.200-2, as ARs têm a competência de identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações.
Em outras palavras, podemos dizer que as ARs, são o elo entre o usuário e a Autoridade Certificadora - AC.
- Comitê Gestor da ICP-Brasil: De acordo com o Decreto 6.605 de 14 de outubro de 2008, o Comitê Gestor ICP - Brasil, exerce a função de autoridade gestora de políticas de certificação digital.
Importância da auditoria nas Autoridades de Registro
Agora que você já sabe o que é ICP-Brasil e quais são os principais integrantes da Infraestrutura de Chaves Públicas Brasileira, é importante destacar a importância da auditoria para a conformidade das Autoridades de Registro.
De acordo com a legislação em vigor, as Autoridades de Registro devem cumprir uma série de requisitos para atender às normas técnicas da ICP-Brasil.
Dentre as exigências, as Autoridades de Registro precisam observar normas relacionadas às instalações operacionais, recursos de segurança física e lógica.
No caso de descumprimento das normas e exigências, a Autoridade de Registro pode sofrer uma série de penalidades, dentre elas, a perda da sua concessão.
Para evitar transtornos e prejuízos, a contratação de uma auditoria externa independente e especializada é altamente recomendada.
Auditoria para manutenção da certificação ICP-Brasil
A AudiLink possui cadastro e autorização junto ao ITI para a realização de auditoria externa independente na Infraestrutura de Chaves Públicas Brasileira com o intuito de avaliar o grau de conformidade e aderência às Resoluções vigentes na ICP-Brasil.
Tipos de auditoria:
Pré-operacionais: são as auditorias realizadas antes do início das atividades do candidato a Prestador de Serviço de Certificação (PSCert), quer seja Autoridade Certificadora (AC), Autoridade de Carimbo do Tempo (ACT), Autoridade de Registro (AR), Prestador de Serviço de Suporte (PSS), Prestador de Serviço Biométrico (PSBio) ou PSC de Assinatura Digital e Armazenamento de Chaves Criptográficas;
Operacionais: são as auditorias realizadas anualmente, considerado o ano civil, em todos os PSCert para manutenção do credenciamento junto à ICP-Brasil. Tais auditorias ocorrerão a partir do primeiro ano civil seguinte à data da publicação no DOU do credenciamento do PSCert.
Nosso trabalho visa auditar a conformidade do ambiente em todos os aspectos vinculados à segurança da informação, observando os seguintes tópicos:
a) Ambiente de Operação
i. Segurança de Pessoas;
ii. Segurança Física;
iii. Segurança Lógica;
iv. Segurança de Rede;
v. Segurança da Informação;
vi. Gerenciamento de Chaves da Entidade.
b) Ciclo de Vida dos Certificados
i. Solicitação;
ii. Validação;
iii. Emissão;
iv. Revogação.
c) Outros Controles.
Para saber mais sobre os nossos serviços em auditoria independente ICP-Brasil, entre em contato conosco e agende uma reunião.
Conte com o apoio da AudiLink Auditores e Consultores para manter a conformidade da sua Autoridade Certificadora junto aos órgãos competentes.
