AARB notícias 19 de maio de 2025

Confira o resumo da Instrução Normativa do ITI nº 32/2025, que estabelece critérios para auditoria na ICP-Brasil

Freepik

Por Gisele Strey, diretora Jurídica e de Compliance da AARB

 

Essa Instrução Normativa estabelece os critérios para realização de auditorias em Prestadores de Serviço de Certificação (PSCert) no âmbito da ICP-Brasil, regulamentando:

  • Auditorias pré-operacionais (antes do início das atividades) e auditorias operacionais anuais.
  • Aplicação: Empresas de auditoria independentes, auditorias internas de ARs, ACs e PSSs credenciados junto ao ITI, além dos próprios auditores do ITI.

Principais Pontos:

  1. Objetivo:
  • Avaliar conformidade dos processos e práticas dos PSCerts com políticas, declarações e normas da ICP-Brasil e do WebTrust for CAs.

 

  1. Fases da Auditoria:
  • Planejamento: Pré-avaliação documental e definição do escopo.
  • Execução: Auditorias in loco (em algumas situações, podendo ser à distância para amostras de ARs).
  • Relatório Final: Classificação do PSCert e emissão de parecer, conforme critérios de risco.

 

  1. Conceito e Parecer:

* Conceitos atribuídos: Adequado, Aceitável, Deficiente, Inadequado ou Inaceitável, conforme a média dos riscos e a análise do auditor.

* Classificação de riscos : Crítico, Alto, Médio e Baixo, com exemplos claros de cada um.

 

  1. Não conformidades em relatórios de auditoria:

Em caso de não conformidades em relatório de auditoria a AR deverá elaborar um plano de ação no prazo máximo de 10 dias, e as respectivas correções deverão ser concluídas em até 90 dias, contados a partir da data de emissão do relatório.

Atenção: Quando a auditoria operacional anterior da AR tiver conceito igual ou superior a três (Deficiente, Inadequado ou Inaceitável), a auditoria operacional subsequente deverá, obrigatoriamente, ser realizada in loco, até a obtenção de conceito 1 ou 2 (adequado ou aceitável).

 

  1. Amostragem de AR em auditorias de AC

Durante auditorias de Autoridades Certificadoras (ACs), será realizada uma amostragem de auditorias de Autoridades de Registro (ARs).

Parte dessa amostragem incluirá auditorias in loco na AR, o que significa que, dependendo da amostragem, poderá haver visitas de auditores na Autoridade de Registro fora do seu período de auditoria previamente informado no PLAAO.

 

  1. Cronograma de Adequação:

Entidades têm 45 dias para adequação aos requisitos da IN.

  • As entidades já em operação na estrutura da ICP-Brasil terão até 1º de janeiro de 2026 para se adequarem à obrigatoriedade da realização de auditorias in loco.
  • Todas as auditorias pré-operacionais deverão ser realizadas exclusivamente de forma presencial, com um prazo de 90 dias para adequação.
  • Avaliações in loco nas ARs deverão ser realizadas pelo menos a cada dois anos.

 

A partir de 90 dias da data de publicação da IN, ou seja, 23/07, somente serão admitidos pedidos de credenciamento de AR cuja auditoria pré-operacional tenha sido realizada inloco.

 

             7. Revogação:

Revoga a Instrução Normativa ITI nº 06/2021.

Normativa entra em vigor na data de sua publicação, ou seja, 23 de abril de 2025

 

* Gisele Strey é diretora Jurídica e de Compliance da AARB

Leia também

AR CertFácil adota o Selo de Ação Ética na Certificação Digital

4 de dezembro de 2023

RETROSPECTIVA AARB 2024

16 de dezembro de 2024

AR Eletrônica, riscos e desafios

5 de abril de 2023
Mais notícias

Serviços

Consultas Processuais
Consulta Jurídica
Clipping do DOU

Convênios

eGAC
pki
CryptoID
Insania
GD Giesecke+Devrient
Serpro
YIA
Class One
Partiu Clube de Vantagens
Defensus Registros
Polluz
GFSIS
Gestão AR
VHSYS
CertClube