5.3 認證業務聲明

CPS包含證書生命周期的全部過程，如證書管理（包括發布和存檔）、吊銷、更新證書或密鑰。認證業務聲明可以由證書認證機構以公開聲明的方式發布，內容包含各種細節，如其可信系統，其在運營操作和支持證書頒發中所采納業務實踐等，其詳細程度可有所不同。
一些PKI可能不需要創建一個關于其業務實踐的徹底而細致的聲明。例如，CA本身就是依賴方，已經知道其服務的本質和可信度。另一些情況下，PKI只需提供很低保證級別的證書，如果發生泄密，被保護的應用程序只面臨很小的風險。在這些情況下，建立PKI的組織可能只希望編寫訂戶協議、依賴方協議或將二者結合在一起的協議，依不同PKI參與者的角色而定。在這種PKI中，該協議可能是PKI中唯一充當“業務聲明”的文件。因此，該協議也可被視為CPS，并以CPS命名。
同樣，由于詳細的CPS可能包含其系統的敏感信息，CA可能選擇不公布全部CPS，它可能只公布一個CPS摘要。CPS摘要中可能只包含CPS中的部分規定，即CA認為與PKI參與者相關的部分（如各參與方的責任或證書生命周期的各階段）。但CPS摘要中不會包含全部CPS中的敏感信息，這些信息可能會給一個攻擊者帶來一些關于CA操作的有用信息。在本文檔中，當使用術語CPS時，包括詳細的CPS和CPS摘要（除非另有聲明）。
CPS并不自動構成合同，也沒有自動將PKI各參與方做自動的合同綁定。當一個文檔具有訂戶或依賴方協議和CPS的雙重目的時，該文檔將可視為合同，并且與常規的訂戶或依賴方協議具有同等的效力。但是，大多數的CPS并不具有這樣的雙重目的。因此在多數情況下，只有當一個獨立的文檔在參與方之間創立了合同關系，并且該文檔部分或全部的引用了CPS時，CPS才具有合同效力。更進一步，如果某個PKI采用的是CPS摘要，該CPS摘要可以包含在任何適用的訂戶或依賴方協議當中。