prepostos prepostos
AC de 1º Nível AC Raiz AC Raiz
AC de 2º Nível AC Raiz Empresa de Auditoria Independente
cadastrada junto à ICP-Brasil
AR Empresa de Auditoria Independente
cadastrada junto à ICP-Brasil
AC à qual a AR se vincula ou
Auditoria Interna da AR cadastrada
junto à ICP-Brasil ou
Empresa de Auditoria Independente
cadastrada junto à ICP-Brasil
AR no Exterior AC Raiz ou, a seu critério, Empresa
de Auditoria Independente cadastrada
junto à ICP-Brasil
AC Raiz ou, a seu critério, Empresa de
Auditoria Independente cadastrada junto
à ICP-Brasil
ACT AC-Raiz AC-Raiz
PSS Empresa de Auditoria Independente
cadastrada junto à ICP-Brasil
AC ou ACT à qual o PSS se vincula ou
Empresa de Auditoria Independente
cadastrada pela AC Raiz
§ 4º: no item 3.4: “As auditorias pré-operacionais das ACs e ACTs ão sempre realizadas pela AC Raiz”
§ 5º: no item 3.7: “As auditorias operacionaisdas ARs e dos PSSsdeverão ser realizadas pela própria AC
ou ACT à qual se vinculam ou por Empresa de Auditoria Especializada e Independente, cadastrada
conforme item 6 deste documento e devidamente autorizada a atuar conforme item 7 deste documento.”
§ 6º no item 5.4: “Os tópicos cobertos por uma auditoria de conformidade incluem, dentre outros:
a) Ambiente de operação
i. Segurança de Pessoas
ii. Segurança Física
iii. Segurança Lógica
iv. Segurança de Rede
v. Segurança da Informação
vi. Gerenciamento de Chaves da entidade
b.1) Ciclo de Vida dos Certificados, no caso de AC, AR ou PSS vinculado a AC ou AR
i. Solicitação
ii. Validação
iii. Emissão
iv. Revogação
b.2) Ciclo de Vida dos Carimbos do Tempo, no caso de ACT ou PSS vinculado a ACT
i. Solicitação
ii. Emissão
iii. Entrega
c) Outros Controles”
§ 7º: no item 7.3: “O pedido de autorização será submetido à AC Raiz, por intermédio da AC ou ACT
responsável, acompanhado da seguinte documentação:
a) Quanto aos auditores que realizarão a auditoria e, se for o caso, sócios e diretores da Empresa
de Auditoria Independente, declaração de que:
i. não estão cumprindo nenhuma penalidade aplicada pela Administração Pública Federal;
ii. não foram declarados inidôneos em qualquer esfera de Governo;
iii. são totalmente independentes da entidade auditada; e
iv. não têm participação acionária na ACT, na AC Principal, nas ACs Subseqüentes, nas
ARs vinculadas e na empresa prestadora de serviço de suporte que serão auditadas.....”
§ 8º: no item 8.1: “8.1. A AC ou ACT responsável e a entidade auditada devem fornecer ao auditor todos
os elementos e condições necessárias ao perfeito desempenho de suas funções.”
§ 9º: no item 8.2: “Os documentos, registros históricos e demais elementos materiais que deram
subsídios à elaboração dos relatórios ficarão sob guarda da AC ou ACT responsáveis, em local seguro,
pelo prazo mínimo de 5 (cinco) anos, podendo a AC Raiz, a qualquer tempo, solicitar vista do material.”
§ 10º: no item 8.3: “O acesso aos documentos a que se refere o parágrafo anterior só será permitido com