WebTrust for CAs(WebTrust for Certification Authorities) とは、AICPA(米国公認会計士協会)とCICA(旧カナダ勅許会計士協会)が、インターネットを活用したeコマースおよびPKI(公開鍵基盤)テクノロジーに対する消費者の信頼を高めることを目的として共同開発した保証プログラムである。 現在は、CICAの後継組織である CPA Canada(Chartered Professional Accountants of Canada:カナダ公認会計士協会) によって管理されている。
CPA Canadaに所属する公認会計士事務所は、WebTrustの原則および基準に基づき、認証局(CA)によるポリシーの開示および管理の有効性について保証報告書を作成・提供することができる。 WebTrustシール が発行されると、認証局のWebサイトに掲載され、監査報告書やその他の関連情報へのリンクが付される。
WebTrustシール
WebTrustシール は、取り消しまたは一時停止されない限り、発行日から1年間有効である。 有効期間終了後には90日間の猶予期間が設けられており、この期間内に監査法人が次回の保証契約を完了し、監査を実施したうえで、資格のない保証報告書(unqualified assurance report) を CPA Canada に提出し、承認を受けることで、新たなシールが更新・発行される。
すべての WebTrust 保証スキームにおいて、初回契約の形式は以下のいずれかとなる:
- ある時点(point in time):※WebTrustシールの対象外
- 一定期間(period of time):最低2か月、最長12か月までの期間
初回契約以降は、すべての保証契約が一定期間(minimum coverage period)に基づいて実施される必要がある。
公式ホームページ:Principles and criteria and practitioner guidance
https://www.cpacanada.ca/en/business-and-accounting-resources/audit-and-assurance/overview-of-webtrust-services/principles-and-criteria
WebTrust監査
以下の規準がある。
- WebTrust Principles and Criteria for Certification Authorities
- WebTrust Principles and Criteria for Verified Mark Certificates
- WebTrust Principles and Criteria for Certification Authorities – Extended Validation TLS
- WebTrust Principles and Criteria for Certification Authorities – TLS Baseline
- WebTrust Principles and Criteria for Certification Authorities – Network Security
- WebTrust Principles and Criteria for Certification Authorities – S/MIME
- WebTrust Principles and Criteria for Certification Authorities – Code Signing Baseline Requirements
- WebTrust Principles and Criteria for Registration Authorities
WebTrust監査が可能な団体
日本では、以下の法人がCPA Canadaの資格保持者を雇用しており、国際的な監査業務に対応している。
- BDO(BDO三優監査法人)
- Deloitte(有限責任監査法人トーマツ)
- EY(EY新日本有限責任監査法人)
- KPMG(有限責任あずさ監査法人)
