Auditorias
pré-operacionais em Autoridades de Registro também
abrangem as áreas de Segurança Física, Lógica,
de Rede e de Pessoal, bem como Segurança da
Informação e Ciclo de Vida dos
Certificados.
São,
todavia, mais simples do que as auditorias em AC, pois as
Autoridades de Registro:
-
utilizam ambientes físicos menores, que
não possuem tantos níveis de segurança de
acesso;
-
não utilizam servidores para as atividades de
AR, apenas estações de trabalho com browser para
acessar o sistema de certificação da
AC;
-
ocupam menos pessoas – pode haver AR com
apenas 2 funcionários;
-
executam apenas as etapas do ciclo de vida dos
certificados ligadas à identificação dos titulares e
a validação das
solicitações.
Em geral,
dá-se ênfase, numa auditoria pré-operacional de AR,
à verificação do treinamento e preparo dos agentes
de certificação para a execução das atividades.
Esse é um ponto crucial para a ICP-Brasil, uma vez
que:
-
o agente de validação é o elo entre
o mundo real e o mundo virtual, ou seja, é ele quem realmente
pode atestar que um dado certificado pertence efetivamente ao seu
titular, pois é ele quem faz a validação
presencial;
-
é o agente de validação que pode
orientar o titular do certificado sobre o seu uso correto e as
implicações decorrentes da guarda inadequada de sua chave
privada.
