<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 27, 2017 at 1:01 AM, Kirk Hall <span dir="ltr"><<a href="mailto:Kirk.Hall@entrustdatacard.com" target="_blank">Kirk.Hall@entrustdatacard.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div class="m_-3228071193539260421WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">You are forgetting one important factor – the immediate translation of BRs enacted by Forum members into WebTrust/ETSI audit requirements (including Effective
 Dates) that are then applied to Forum members automatically. </span></p></div></div></blockquote><div><br></div><div>Hi Kirk,</div><div><br></div><div>This wasn't forgotten - rather, it's not accurate :)</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-3228071193539260421WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> <u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">WebTrust/ETSI take what we say as Holy Writ and then audit us to it. </span></p></div></div></blockquote><div><br></div><div>Not quite. WebTrust and ETSI both audit members to Principles and Criteria derived from the Baseline Requirements, using their professional judgement to render an opinion on the matter as well as determining whether issues of non-conformance are material to the findings. As you know from your participation in the WebTrust Task Force discussions as Chair of the Forum, and as a CA, you are fully aware that WebTrust and ETSI do not comprehensively examine every individual aspect of the Baseline Requirements, but rather require CAs to demonstrate controls reflective of the principles and criteria.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-3228071193539260421WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> For this reason,
<i><u>only</u></i> the Forum (which passes the BRs) can correct a bad ballot and “instruct” the WebTrust guys on what is, and what is not, non-compliance leading to an audit qualification.  </span></p></div></div></blockquote><div><br></div><div>This is also not correct, and has been repeatedly discussed in the Forum. Please let me know if you'd like me to dig up the minuted discussions of this.</div><div><br></div><div>The findings of the Forum serve as secondary input, along with the primary input of the AICPA, with respect to the materiality of non-compliance to the principles and criteria of trust service providers. In this respect, the Forum serves much like browsers do, in providing input with respect to industry consensus and 'best practices'</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-3228071193539260421WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Even if the WebTrust team is sympathetic to their CA clients and understand
 the problem, they generally don’t have discretion to ignore violations of the BRs.  No one else can fix the problem of a bad ballot for us – not the browsers, not the auditors themselves.  And most of us don’t want a qualified audit just because of an error
 in the drafting of a ballot that passes.</span></p></div></div></blockquote><div><br></div><div>Luckily, the numerous factual inaccuracies in this render this argument moot. I do hope you can follow up with Jeff, Don, and the rest of AICPA in discussing your understanding of both the role and relationship of the Forum. As has been discussed over the past two years - and in particular, as browsers seek to better understand and appreciate the limits of audits and the ability of CAs to have non-compliance while not having it as a material finding, there is a degree of separation and independence from the Forum that establishes both WebTrust and ETSI as independent assessment criteria, informed by the discussions and decisions here, but neither bound to them nor driven by them.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-3228071193539260421WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">In this way, the Forum is different from ISO and other standards bodies, as I don’t think ISO standards go directly to an audit organization for immediate application
 to ISO members.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">We appreciate Google granting permission in this case to violate the BRs, but that won’t have any impact on what the auditors do in interpreting and auditing
 us to the BRs as amended by Ballot 214. </span></p></div></div></blockquote><div><br></div><div>That is correct. And it will always be so.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-3228071193539260421WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"> That’s why it would be appropriate to include retroactivity clauses in remedial ballots, as I have suggested.</span></p></div></div></blockquote><div><br></div><div>As explained above, this is operating on a significant misunderstanding of the role and relationship of the Forum, and as such, your suggestion is not only unnecessary, but actively detrimental to the relevance and respect of the Forum. It is important to consistently and immediately highlight these inaccuracies, lest the constant repetition of the suggestion lead it to being adopted through exhaustion.</div></div></div></div>