zkat’s diary

技術ブログ

WebTrust基準とBaseline Requirements

ブラウザベンダに信用された認証局になる為の一つの要件として、
WebTrust認証を受けていることが挙げられると思います。

WebTrust認証を受けるに値するかは、下記の基準に基づき適切な監査人によって判断されます。

www.webtrust.org

上記の監査基準については、Baseline Requrements(以下、BR)への参照が数多く存在します。
BRは頻繁に改定されていますが、監査実施時に上記基準が参照するBRよりも新しい版が存在する場合 どの版が適用されるのでしょうか。

基準を確認すると下記のような記載がありました

The Forum may periodically publish updated Guidelines and Requirements. The auditor is generally not required to consider these updated versions until reflected in the subsequently updated Audit Criteria. However, in certain circumstances whereby a previous requirement or guidelines is eliminated or made less restrictive, the auditor may consider those changes as of their effective dates even if the changes are not reflected in the most current Audit Criteria.

端的に言うと、新たな版があってもそれを取り込んだ新たなAudit Criteria(本基準)がない場合は 特に考慮する必要がないようです。但し書きで、新しい版で要件の緩和がある場合はそれを考慮に入れてもよいといった風に読めます。

つまり監査人次第ということでしょうか。