a) registros de acessos físicos;
b) manutenção e mudanças na configuração dos seus sistemas;
c) mudanças de pessoal;
d) relatórios de discrepância e comprometimento; e
e) registros de destruição de mídia contendo chaves criptográficas, dados de ativação de
certificados ou informação pessoal de usuário.
4.5.1.4 Para facilitar o processo de auditoria, toda a documentação relacionada aos serviços da
AC Raiz é coletada e consolidada, eletrônica ou manualmente, num local único, conforme a PS da ICP-
Brasil.
4.5.2. Freqüência de auditoria de registros
4.5.2.1. A AC Raiz garante que seus registros de auditoria são analisados mensalmente, sempre
que houver utilização de seu sistema de certificação (equipamento off-line, que permanece desligado
grande parte do tempo) ou em caso de suspeita de comprometimento da segurança.
4.5.2.2. Todos os eventos significativos são explicados em relatório de auditoria de registros. Tal
análise envolve uma inspeção breve de todos os registros, verificando que não foram alterados, seguida
de uma investigação mais detalhada de quaisquer alertas ou irregularidades nos mesmos. Todas as
ações tomadas em decorrência dessa análise são documentadas.
4.5.3. Período de retenção para registros de auditoria
A AC Raiz mantém em suas próprias instalações os seus registros de auditoria por pelo menos 2
(dois) meses e, subseqüentemente, os armazena da maneira descrita no item 4.6.
4.5.4. Proteção de registros de auditoria
O sistema de registro de eventos de auditoria inclui mecanismos para proteger os arquivos de
auditoria contra leitura não autorizada, modificação e remoção. Informações manuais de auditoria
também são protegidas contra a leitura não autorizada, modificação e remoção.
4.5.5. Procedimentos para cópia de segurança (Backup) de registros de auditoria
Os registros de eventos e sumários de auditoria do equipamento off-line utilizado pela AC Raiz
têm cópias de segurança mensais ou sempre que houver alguma utilização desse equipamento.
4.5.6. Sistema de coleta de dados de auditoria
O sistema de coleta de dados de auditoria interno à AC Raiz é uma combinação de processos
automatizados e manuais, executada por seu pessoal operacional ou por seus sistemas.
4.5.7. Notificação de agentes causadores de eventos
Quando um evento é registrado pelo conjunto de sistemas de auditoria, nenhuma notificação é
enviada à pessoa, organização, dispositivo ou aplicação que causou o evento.
4.5.8. Avaliações de vulnerabilidade
Os eventos que representem possível vulnerabilidade, detectados na análise mensal dos registros
de auditoria, são analisados detalhadamente e, dependendo de sua gravidade, são registrados em
separado. Como decorrência, ações corretivas são implementadas e registradas para fins de auditoria.
4.6. Arquivamento de Registros
4.6.1. Tipos de registros arquivados
Informações de auditoria detalhadas no item 4.5.1 e os processos de credenciamento de AC de
nível imediatamente subseqüente ao da AC Raiz.
4.6.2. Período de retenção para arquivo
A documentação relativa aos eventos relacionados no item anterior são retidos pelo seguinte
período:
a) certificados de assinatura digital e respectivas LCR deverão ser retidos permanentemente, para
fins de consulta histórica;
b) as cópias dos processos de credenciamento de AC por no mínimo, por 30 (trinta) anos a contar
da data de expiração ou revogação do certificado; e
c) as demais informações, inclusive arquivos de auditoria, deverão ser retidas por, no mínimo, 6