sertifikaciono telo halcom a.d. beograd (halcom bg ca) · 3 elektronskih sertifikata 32 4.1 zahtev...
TRANSCRIPT
NAPOMENA: DOKUMENT SE ODNOSI NA SVE KVALIFIKOVANE ELEKTRONSKE SERTIFIKATE IZDATE NAKON 01.08.2014. GODINE
Za kvalifikovane sertifikate izdate do 31.07.2014. godine važi dokument
dostupan na: http://halcom.rs/ebb-bg/UserFiles/File/CPS_OLD.pdf
Sertifikaciono telo Halcom a.d.
Beograd (HALCOM BG CA)
CPS (Certificate Practise Statement) Opšta pravila rada sertifikacionog tela
CPName: Halcom BG CA
Dokument važi od: 01.08.2014.
2
Sadržaj 1.1 Pregled osnovnih pretpostavki 8
1.1.1 Osnovni dokumenti rada HALCOM BG CA 9 1.1.2 Međusobni odnos osnovnih dokumenata rada HALCOM BG CA 10 1.1.3 Standardi 10 1.1.4 Posebna interna pravila rada 10
1.2 Naziv dokumenta i identifikacija 10
1.3 Učesnici u PKI sistemu HALCOM BG CA 11 1.3.1 HALCOM BG CA 12 1.3.2 Registraciona tela HALCOM BG CA 14 1.3.3 Korisnici 15 1.3.4 Treće strane 17 1.3.5 Drugi učesnici 18
1.4 Korišćenje kvalifikovanih elektronskih sertifikata 19 1.4.1 Prihvatljivo korišćenje kvalifikovanih elektronskih sertifikata 19 1.4.2 Nedopušteno korišćenje 20
1.5 Administracija Praktičnih pravila rada 20 1.5.1 Organizacija administriranja Praktičnih pravila rada 20 1.5.2 Kontakt osoba 20 1.5.3 Osoba koja određuje pogodnost CPS dokumenta 21 1.5.4 Procedura odobravanja CPS dokumenta 21
1.6 Definicije i skraćenice 21
2. ODGOVORNOSTI ZA PUBLIKACIJE I REPOZITORIJUME 26
3. IDENTIFIKACIJA I AUTENTIKACIJA KORISNIKA 28
3.1 Nazivi 28 3.1.1 Tipovi imena 28 3.1.2 Potreba da imena budu sa realnim značenjem 29 3.1.3 Anonimni korisnici i korišćenje pseudonima 29 3.1.4 Pravila za interpretaciju različitih formi imena 29 3.1.5 Jedinstvenost imena 29 3.1.6 Prepoznavanje, autentikacija i uloga robnih marki („trademarks“) 29
3.2 provera identiteta 29 3.2.1 Autentikacija identiteta organizacije 30 3.2.3 Autentikacija identiteta pojedinca 30 3.2.4 Validacija autoriteta 30 3.2.5 Međusobno priznavanje 30
3.3 Identifikacija i autentikacija zahteva za obnavljanje kvalifikovanih elektronskih sertifikata 30 3.3.1 Identifikacija i autentikacija za rutinsko obnavljanje ključeva 30 3.3.2 Identifikacija i autentikacija za obnavljanje ključeva nakon opoziva 31
3.4 Identifikacija i autentikacija zahteva za opoziv kvalifikovanih elektronskih sertifikata 31
4. OPERATIVNI ZAHTEVI U VEZI ŽIVOTNOG CIKLUSA KVALIFIKOVANIH
3
ELEKTRONSKIH SERTIFIKATA 32
4.1 zahtev za dobijanje kvalifikovanog elektronskog sertifikata 32 4.1.1 Ko može da dostavi zahtev za izdavanje kvalifikovanog elektronskog sertifikata? 32 4.1.2 Proces dostavljanja zahteva za izdavanjem kvalifikovanog elektronskog sertifikata (enrollment) i odgovornosti 32
4.2 Procesiranje ZAHTEVA za dobijanje kvalifikovanih elektronskih sertifikata 33 4.2.1 Izvršavanje funkcije identifikacije i autentikacije korisnika 33 4.2.2 Potvrđivanje ili odbijanje zahteva za dobijanje kvalifikovanog certifikata korisnika 33 4.2.3 Potrebno vreme za procesiranje aplikacije korisnika 33
4.3 Izdavanje kvalifikovanih elektronskih sertifikata 34 4.3.1 Aktivnosti CA tokom procesa izdavanja kvalifikovanih elektronskih sertifikata 34
4.4 Prihvatanje kvalifikovanih elektronskih sertifikata 34 4.4.1 Sprovođenje procesa prihvatanja kvalifikovanih elektronskih sertifikata 34 4.4.2 Objavljivanje kvalifikovanih elektronskih sertifikata od strane CA 35 4.4.3 Obaveštenje drugih entiteta o izdatom sertifikatu 35
4.5 Korišćenje kvalifikovanog elektronskog sertifikata i asimetričnog para ključa 35 4.5.1 Korišćenje privatnog ključa i kvalifikovanog elektronskog sertifikata od strane korisnika 35 4.5.2 Korišćenje javnog ključa i kvalifikovanih elektronskih sertifikata od strane trećih strana 35
4.6 Obnavljanje kvalifikovanih elektronskih sertifikata 36 4.6.1 Uslovi za obnavljanje kvalifikovanih elektronskih sertifikata 36 4.6.2 Ko može zahtevati obnavljanje kvalifikovanog elektronskog sertifikata 36 4.6.3 Procesiranje zahteva za obnavljanjem kvalifikovanih elektronskih sertifikata 36 4.6.4 Obaveštenje korisnika da mu je izdat obnovljeni kvalifikovani elektronski sertifikat 36 4.6.5 Sprovođenje procesa preuzimanja obnovljenog kvalifikovanog elektronskog sertifikata 36 4.6.6 Objavljivanje obnovljenog kvalifikovanog elektronskog sertifikata od strane CA 36 4.6.7 Obaveštenje drugih entiteta od strane CA o obnovi datog kvalifikovanog elektronskog sertifikata 37
4.7 Generisanje novog para ključeva i kvalifikovanog elektronskog sertifikata korisnika 37 4.7.1 Uslovi za generisanje novog para ključeva i kvalifikovanog elektronskog sertifikata 37 4.7.2 Ko može zahtevati novi kvalifikovani elektronski sertifikat sa novim javnim ključem 37 4.7.3 Procesiranje zahteva za novim parom ključeva i sertifikatom 37 4.7.4 Obaveštenje korisnika da mu je izdat novi kvalifikovani elektronski sertifikat 37 4.7.5 Sprovođenje procesa prihvatanja novog kvalifikovanog elektronskog sertifikata 37 4.7.6 Objavljivanje novog kvalifikovanog elektronskog sertifikata od strane CA 38 4.7.7 Obaveštenje drugih entiteta od strane CA o izdavanju novog kvalifikovanog elektronskog sertifikata 38
4.8 Modifikacije kvalifikovanih elektronskih sertifikata korisnika 38 4.8.1 Uslovi za modifikaciju kvalifikovanih elektronskih sertifikata korisnika 38 4.8.2 Ko može zahtevati modifikaciju kvalifikovanih elektronskih sertifikata 38 4.8.3 Procesiranje zahteva za modifikacijom kvalifikovanih elektronskih sertifikata 38 4.8.4 Obaveštenje korisnika da mu je izdat novi modifikovani kvalifikovani elektronski sertifikat 38 4.8.5 Sprovođenje procesa prihvatanja novog modifikovanog kvalifikovanih elektronskih sertifikata 38 4.8.6 Objavljivanje novog modifikovanog kvalifikovanih elektronskih sertifikata od strane CA 38 4.8.7 Obaveštenje drugih entiteta od strane CA o izdavanju novog modifikovanog kvalifikovanih elektronskih sertifikata 38
4.9 Opoziv i suspenzija kvalifikovanih elektronskih sertifikata 38 4.9.1 Uslovi za povlačenje kvalifikovanih elektronskih sertifikata 39 4.9.2 Ko može zahtevati opoziv kvalifikovanih elektronskih sertifikata 39 4.9.3 Procedura podnošenja zahteva za opozivom kvalifikovanih elektronskih sertifikata 39 4.9.4 Grace period zahteva za opozivom kvalifikovanih elektronskih sertifikata 40 4.9.5 Vreme za koje CA mora da procesira zahtev za opoziv kvalifikovanih elektronskih sertifikata 40 4.9.6 Zahtevi za treće strane u vezi provere statusa kvalifikovanih elektronskih sertifikata 40 4.9.7 Frekvencija izdavanja registra opozvanih sertifikata (CRL) 40
4
4.9.8 Maksimalno kašnjenje u izdavanju registra opozvanih sertifikata (CRL) 40 4.9.9 Raspoloživost procedure online provere statusa kvalifikovanih elektronskih sertifikata 40 4.9.10 Zahtevi online provere statusa kvalifikovanih elektronskih sertifikata 41 4.9.11 Raspoloživost drugih formi objavljivanja statusa kvalifikovanih elektronskih sertifikata 41 4.9.12 Specijalni zahtevi u odnosu na kompromitaciju privatnog ključa 41 4.9.13 Uslovi za suspenziju kvalifikovanih elektronskih sertifikata 41 4.9.14 Ko može zahtevati suspenziju kvalifikovanih elektronskih sertifikata 41 4.9.15 Procedura zahteva za suspenzijom kvalifikovanih elektronskih sertifikata 41 4.9.16 Ograničenje perioda suspenzije kvalifikovanih elektronskih sertifikata 41
4.10 Servisi provere statusa kvalifikovanih elektronskih sertifikata 41 4.10.1 Operativne karakteristike 41 4.10.2 Raspoloživost servisa 42 4.10.3 Opciona obeležja 42
4.11 Prestanak korišćenja kvalifikovanih elektronskih sertifikata 42
4.12 Čuvanje i rekonstrukcija privatnog ključa korisnika 42 4.12.1 Politika i praksa čuvanja i rekonstrukcije privatnog ključa 42 4.12.2 Enkapsulacija sesijskog ključa i politika i praksa za rekonstrukciju 42
5. UPRAVNE, OPERATIVNE I FIZIČKE BEZBEDNOSNE KONTROLE 43
5.1 Fizičke bezbednosne kontrole 43 5.1.1 Lokacija i zgrada sertifikacionog tela 43 5.1.2 Fizički pristup 43 5.1.3 Električno napajanje i klimatizacija 44 5.1.4 Izloženost poplavama i vremenskim nepogodama 44 5.1.5 Prevencija i zaštita od požara 44 5.1.6 Medijumi za čuvanje podataka 44 5.1.7 Odlaganje smeća 45 5.1.8 Odlaganje rezervnih kopija 45
5.2 Proceduralne kontrole 45 5.2.1 Poverljive uloge 45 5.2.2 Broj osoba za pojedinačne zadatke 46 5.2.3 Identifikacija i autentikacija za svaku ulogu 48 5.2.4 Uloge koje zahtevaju razdvajanje dužnosti 48
5.3 Kadrovske bezbednosne kontrole 48 5.3.1 Kvalifikacija i iskustvo 48 5.3.2 Procedura provere biografije 48 5.3.3 Zahtevi za obučenošću 49 5.3.4 Učestanost i zahtevi ponovne obuke 49 5.3.5 Frekvencija i sekvenca rotacije poslova 49 5.3.6 Kaznene mere u odnosu na zaposlene za neautorizovane aktivnosti 49 5.3.7 Zahtevi za nezavisna lica pod ugovorom 49 5.3.8 Dokumentacija koja se dostavlja zaposlenima 49
5.4 Procedure logovanja aktivnosti za potrebe revizije 49 5.4.1 Tipovi zabeleženih događaja 49 5.4.2 Frekvencija procesiranja logova 50 5.4.3 Period čuvanja audit logova 50 5.4.4 Zaštita audit logova 50 5.4.5 Procedure back-up-a audit logova 50 5.4.6 Sistem sakupljanja audit logova 50 5.4.7 Obaveštenje subjekta koji je prouzrokovao događaj 50 5.4.8 Procena ranjivosti sistema 50
5
5.5 Arhiviranje zapisa 51 5.5.1 Tipovi arhiviranih zapisa 51 5.5.2 Period čuvanja arhive 51 5.5.3 Zaštita arhive 51 5.5.4 Procedura back-up-a arhive 51 5.5.5 Zahtevi za vremenskim pečatom zapisa 52 5.5.6 Sistem sakupljanja zapisa 52 5.5.7 Procedure za dobijanje i verifikaciju informacija iz arhive 52
5.6 Izmena ključeva 52
5.7 Kompromitacija i oporavak u slučaju katastrofe 53 5.7.1 Procedure za postupanje u incidentnim i kompromitujućim situacijama 53 5.7.2 Računarski resursi, softver ili podaci koji su oštećeni 53 5.7.3 Procedure koje se sprovode kod kompromitacije privatnog ključa korisnika 53 5.7.4 Mogućnosti kontinuiteta poslovanja nakon katastrofe 53
5.8 Završetak rada CA ili RA 53
6. TEHNIČKE BEZBEDNOSNE KONTROLE 55
6.1 Generisanje i instalacija asimetričnog para ključeva 55 6.1.1 Proces generisanja asimetričnog para ključeva HALCOM BG CA sertifikacionog tela 55 6.1.2 Isporuka privatnog ključa korisniku 56 6.1.3 Dostava javnog ključa do izdavaoca kvalifikovanih elektronskih sertifikata 56 6.1.4 Dostava javnog ključa izdavaoca kvalifikovanih elektronskih sertifikata trećim stranama 56 6.1.5 Dužine ključeva 56 6.1.6 Generisanje kriptografskih parametara i provera kvaliteta 56 6.1.7 Moguće „Key Usage" opcije 57
6.2 Zaštita privatnog ključa i tehničke kontrole kriptografskog modula 57 6.2.1 Standardi i kontrole kriptografskog hardverskog modula 57 6.2.2 Višestruka kontrola privatnog ključa (k od n procedura distribuirane odgovornosti) 57 6.2.3 Bezbedno čuvanje privatnog ključa 58 6.2.4 Backup ključeva HALCOM BG CA sertifikacionog tela 58 6.2.5 Arhiviranje privatnog ključa 58 6.2.6 Transfer privatnog ključa na hardverski kriptografski modul 58 6.2.7 Čuvanje privatnog ključa na hardverskom kriptografskom modulu 58 6.2.8 Metoda aktivacije privatnog ključa 59 6.2.9 Metoda deaktiviranja privatnog ključa 59 6.2.10 Metoda uništenja privatnog ključa 59 6.2.11 Rangiranje kriptografskih hardverskih modula 59
6.3 Neki drugi aspekti upravljanja parom ključeva 60 6.3.1 Arhiviranje javnog ključa 60 6.3.2 Periodi validnosti kvalifikovanog elektronskog sertifikata i privatnog ključa 60
6.4 Aktivacioni podaci 60 6.4.1 Generisanje i instalacija aktivacionih podataka 60 6.4.2 Zaštita aktivacionih podataka 61 6.4.3 Drugi aspekti u vezi aktivacionih podataka 61
6.5 Bezbednosne kontrole računara 61 6.5.1 Specifični zahtevi za bezbednost računara 61 6.5.2 Rangiranje bezbednosti računara 61
6.6 Životni ciklus tehničkih bezbednosnih kontrola 61 6.6.1 Kontrole sistemskog razvoja 61 6.6.2 Kontrole upravljanja bezbednošću 61
6
6.6.3 Životni ciklus bezbednosnih kontrola 61
6.7 Mrežne bezbednosne kontrole 62
6.8 Vremenski pečat 62
7. PROFILI KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA, CRL I OCSP 63
7.1 Profili kvalifikovanih elektronskih sertifikata 63 7.1.1 Broj verzije 65 7.1.2 Ekstenzije u sertifikatu 65 7.1.3 Objektni identifikatori algoritama 67 7.1.4 Forme imena 68 7.1.5 Ograničenja imena 68 7.1.6 Objektni identifikator CPS 68 7.1.7 Korišćenje „Policy Constraints“ ekstenzije 68 7.1.8 Sintaksa i semantika „Policy Qualifier“-sa 68 7.1.9 Semantika procesiranja kritične ekstenzije „Certificate Policies“ 68
7.2 Profil registra opozvanih sertifikata (CRL) 68 7.2.1 Broj verzije 69 7.2.2 CRL i CRL entry ekstenzije 69
7.3 OCSP profil 70 7.3.1 Broj verzije 70 7.3.2 OCSP ekstenzije 70
8. PROVERA USKLAĐENOSTI I DRUGA OCENJIVANJA 71
8.1 Frekvencija ili uslovi ocenjivanja 71
8.2 Identitet/kvalifikacije procenjivača 71
8.3 Odnos ocenjivača prema ocenjivanom entitetu 71
8.4 Teme pokrivene u procesu ocenjivanja 71
8.5 Aktivnosti preduzete kao rezultat utvrđenih nedostataka 71
8.6 Komunikacija rezultata 72
9. DRUGI POSLOVNI I PRAVNI ASPEKTI 73
9.1 Cene 73 9.1.1 Cene izdavanja ili obnove kvalifikovanih elektronskih sertifikata 73 9.1.2 Cena pristupa sertifikatima 73 9.1.3 Cena pristupa informacijama o statusu kvalifikovanih elektronskih sertifikata 73 9.1.4 Cene za druge servise 73 9.1.5 Politika povraćaja novca 73
9.2 Finansijska odgovornost 73 9.2.1 Pokrivenost osiguranjem 73 9.2.2 Druga dobra 73 9.2.3 Osiguranje ili garancijska pokrivenost za krajnje korisnike 74
9.3 Poverljivost poslovnih informacija 74 9.3.1 Opseg poverljivih informacija 74
7
9.3.2 Informacije koje nisu u opsegu poverljivih informacija 74 9.3.3 Odgovornost za zaštitu poverljivih informacija 74
9.4 Privatnost personalnih informacija 75 9.4.1 Plan privatnosti 75 9.4.2 Informacije koje se tretiraju kao privatne 75 9.4.3 Informacije koje se ne smatraju privatnim 75 9.4.4 Odgovornost za zaštitu privatnih informacija 75 9.4.5 Obaveštenje i saglasnost za korišćenje privatnih informacija 75 9.4.6 Otkrivanje informacija shodno pravnim i administrativnim procesima 75 9.4.7 Druge okolnosti za otkrivanje informacija 76
9.5 Prava intelektualnog vlasništva 76
9.6 Predstavljanja i garancije 76 9.6.1 CA predstavljanja i garancije 76 9.6.2 RA predstavljanja i garancije 76 9.6.3 Korisnička predstavljanja i garancije 77 9.6.4 Predstavljanja i garancije trećih strana 77 9.6.5 Predstavljanja i garancije drugih učesnika 77
9.7 Nepriznavanje garancija 77
9.8 Ograničenja odgovornosti 77
9.9 Odštete 78
9.10 Period važnosti i kraj validnosti ovih CPS 78 9.10.1 Važnost 78 9.10.2 Kraj validnosti 78 9.10.3 Efekat završetka i ponovnog rada 78
9.11 Pojedinačna obaveštenja i komunikacija sa učesnicima 78
9.12 Ispravke, modifikacije i dodaci u odnosu na ove CPS 79 9.12.1 Procedure za ispravku, modifikaciju ili dodatak 79 9.12.2 Mehanizam i period obaveštavanja 79 9.12.3 Uslovi promene objektnog identifikatora (OID) 79
9.13 Odredbe rešavanja sporova 79
9.14 Zakon koji se poštuje 79
9.15 Saglasnost sa primenljivim zakonima 80
9.16 Razne odredbe 80 9.16.1 Kompletan ugovor 80 9.16.2 Dodeljivanje 80 9.16.3 Ozbiljnost 80 9.16.4 Sprovođenje pravnog postupka 80 9.16.5 Viša sila 80
9.17 Druge odredbe 80
8
1. UVOD Ovaj dokument predstavlja praktična pravila rada (u nastavku: CPS – Certificate Practise Statement) sertifikacionog tela HALCOM BG CA koje izdaje kvalifikovane elektronske sertifikate (u daljem tekstu sertifikate) za potrebe sistema elektronskog bankarstva u Srbiji. Dokument se odnosi na izdavanje kvalifikovanih elektronskih sertifikata, definiše cilj, delovanje i metodologiju upravljanja kvalifikovanim elektronskim sertifikatima, kao i sigurnosne zahteve, koje moraju ispunjavati sertifikaciono telo HALCOM BG CA, kao i vlasnici kvalifikovanog elektronskog kvalifikovanih elektronskih sertifikata i treća lica, koja se pozivaju na te sertifikate, i odgovornost svih nabrojanih osoba. HALCOM BG CA je sertifikaciono telo koje izdaje i upravlja kvalifikovanim elektronskim sertifikatima za verifikaciju elektronskog potpisa. HALCOM BG CA sertifikaciono telo je namenjeno izdavanju kvalifikovanih elektronskih sertifikata za fizička i pravna lica i obavljanju tehnoloških usluga u vezi sa elektronskim potpisima. Sve odredbe ovih CPS u odnosu na operativni rad sertifikacionog tela HALCOM BG CA propisno su prenesene i podrobnije utvrđene u odredbama internih pravila rada sertifikacionog tela koja predstavljaju dokumente poverljive prirode i koji definišu infrastrukturu, odredbe u vezi sa zaposlenim u HALCOM BG CA (nadležnosti, zadaci, ovlašćenja i zahtevani uslovi pojedinih zaposlenih), fizičku zaštitu (pristup prostorijama, upravljanje hardverskom i programskom opremom), programsku zaštitu (zaštitni softver, zaštitne kopije, …) i interni nadzor (kontrola fizičkih pristupa, ovlašćenja, …). Oblik i sadržaj ovog CPS dokumenta usklađen je sa međunarodnom preporukom RFC 3647 (»Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework«) i evropskim standardom ETSI TS 101 456 (»Policy requirements for certification authorities issuing qualified certificates). Sertifikaciono telo HALCOM BG CA izdaje kvalifikovane elektronske sertifikate tako što formira elektronski potpis kvalifikovanih elektronskih sertifikata na osnovu svog privatnog ključa i asimetričnog kriptografskog algoritma. U tako formiranom elektronskom sertifikatu, HALCOM BG CA se identifikuje kao izdavalac kvalifikovanog elektronskog kvalifikovanih elektronskih sertifikata u skladu sa Zakonom o elektronskom potpisu i odgovarajućim podzakonskim aktima.
1.1 PREGLED OSNOVNIH PRETPOSTAVKI Ova praktična pravila uređuju namenu, delovanje i metodologiju upravljanja kvalifikovanim elektronskim sertifikatima, kao i zahteve bezbednosti koje moraju da ispunjavaju sertifikaciono telo HALCOM BG CA, vlasnici kvalifikovanih elektronskih sertifikata, treća lica i operateri koji se uzdaju u te sertifikate, te odgovornost svih pomenutih lica. HALCOM BG CA je sertifikaciono telo koje izdaje i upravlja kvalifikovanim elektronskim sertifikatima za verifikaciju elektronskog potpisa. HALCOM BG CA deluje i kao glavno sertifikaciono telo (root CA) koje zajedno sa svojim podređenim sertifikacionim telima predstavlja hijerarhijsku mrežu sertifikacionih tela koja je namenjena izdavanju kvalifikovanog elektronskog kvalifikovanih elektronskih sertifikata i vršenju tehnoloških usluga vezanih za bezbedne elektronske potpise. HALCOM BG CA izdaje dva kvalifikovanih elektronskih sertifikata (dva para asimetričnih ključeva) sa obaveznim korišćenjem bezbednosnog nosioca (smart kartice) za pravna i fizička lica za potrebe bezbednog elektronskog bankarstva u Srbiji putem servisnog centra
9
Halcom a.d. Beograd. Pogledati glavu 1.3.3.
HALCOM BG CA sertifikaciono telo, izdaje sertifikate i vrši ostale delatnosti sertifikacionih tela u skladu sa: važećom pravnom regulativom Republike Srbije, nacionalnim propisima sa područja elektronskog poslovanja i elektronskog potpisa, dokumentima ETSI ESI TS 101 862 „Qualified Certificate Profile”, RFC 3739 „Internet X.509 Public Key Infrastructure: Qualified Certificates Profile“, RFC 5280 „Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile”, ISO 27001 i ETSI TS 102 280 „X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons" i sa obaveznim sadržajem definisanim u članu 17. Zakona o elektronskom potpisu. Listu registracionih tela i operatera (RA – Registration Authority) koji omogućuju podnošenje zahteva za dobijanje kvalifikovanih kvalifikovanih elektronskih sertifikata za pravna lica i fizička lica od HALCOM BG CA, HALCOM BG CA objavljuje na svojoj web stranici. Sertifikaciono telo HALCOM BG CA je odgovorno za pružanje kompletnih usluga sertifikacije, koje uključuju sledeće servise, i to: Registraciju korisnika,
Formiranje kvalifikovanih elektronskih sertifikata,
Distribuciju kvalifikovanih elektronskih sertifikata,
Upravljanje procedurom opoziva kvalifikovanih elektronskih sertifikata i
Obezbeđivanje statusa opoziva kvalifikovanih elektronskih sertifikata.
Sertifikaciono telo HALCOM BG CA, pored navedenih servisa, obezbeđuje i formiranje asimetričnog para ključeva za korisnike, kao i distribuciju privatnog ključa i kvalifikovanog elektronskog sertifikata korisniku na bezbedan način. Sertifikaciono telo HALCOM BG CA obezbeđuje i sredstvo za formiranje elektronskog potpisa korisnicima i pridruženu lozinku (ili PIN/PUK kod) za aktivaciju sredstva, kao i njihovu bezbednu distribuciju do korisnika.
1.1.1 OSNOVNI DOKUMENTI RADA HALCOM BG CA
HALCOM BG CA utvrđuje Opšta pravila pružanja usluge sertifikacije (u daljem tekstu: Opšta pravila) u skladu sa Zakonom o elektronskom potpisu koja korisnicima obezbeđuju dovoljno informacija na osnovu kojih se mogu odlučiti o prihvatanju usluga i o obimu usluga. Opšta pravila sertifikacije HALCOM BG CA ugrađuju se u dokumenta:
1. Opšta pravila za izdavanje kvalifikovanih sertifikata (CP) za Pravna lica;
2. Opšta pravila za izdavanje kvalifikovanih sertifikata (CP) za Fizička lica;
3. Opšta pravila rada sertifikacije (Certification Practices Statement) (u daljem tekstu: Praktična pravila ili CPS) – ovaj dokument.
Politika sertifikacije i Praktična pravila su javni dokumenti. Politika sertifikacije definiše predmet rada sertifikacionog tela, dok Praktična pravila definišu procese i način njihovog korišćenja pri formiranju i upravljanju kvalifikovanim elektronskim sertifikatima.
10
1.1.2 MEĐUSOBNI ODNOS OSNOVNIH DOKUMENATA RADA HALCOM BG CA
Politika sertifikacije definiše zahteve poslovanja sertifikacionog tela, dok Praktična pravila definišu operativne procedure u cilju ispunjenja tih zahteva. Praktična pravila definišu način na koji sertifikaciono telo ispunjava tehničke, organizacione i proceduralne zahteve poslovanja koji su identifikovani u Politici sertifikacije. Politika sertifikacije je manje specifičan i detaljan dokument u odnosu na Praktična pravila koja predstavljaju mnogo detaljniji opis načina poslovanja, kao i poslovne i operativne procedure koje sertifikaciono telo primenjuje u izdavanju i upravljanju kvalifikovanim elektronskim sertifikatima. Politika sertifikacije se definiše nezavisno od specifičnog operativnog okruženja sertifikacionog tela, dok Praktična pravila daju detaljan opis organizacione strukture, operativnih procedura, kao i fizičko i računarsko okruženje sertifikacionog tela.
1.1.3 STANDARDI
Opšta pravila funkcionisanja HALCOM BG CA su u skladu sa dokumentom RFC 3647 „Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework” i evropskim standardom ETSI TS 101 456 („Policy requirements for certification authorities issuing qualified certificates“).
1.1.4 POSEBNA INTERNA PRAVILA RADA
HALCOM BG CA utvrđuje i Posebna interna pravila rada sertifikacionog tela i zaštite sistema sertifikacije (u daljem tekstu: Interna pravila) u kojima su sadržani i detaljno opisani postupci i mere koji se primenjuju prilikom izdavanja i rukovanja elektronskim kvalifikovanim elektronskim sertifikatima. Interna pravila su privatni dokument i predstavljaju poslovnu tajnu sertifikacionog tela. Interna pravila sadrže detaljne odredbe o: sistemu fizičke kontrole pristupa u pojedine prostorije sertifikacionog tela;
sistemu logičke kontrole pristupa računarskim resursima sertifikacionog tela;
sistemu za čuvanje privatnog ključa sertifikacionog tela;
sistemu distribuirane odgovornosti pri aktivaciji privatnog ključa sertifikacionog tela;
postupcima i radnjama u vanrednim situacijama (požari, poplave, zemljotresi, druge vremenske nepogode, zlonamerni upadi u prostorije ili informacioni sistem sertifikacionog tela).
HALCOM BG CA je registrovano od strane Nadležnog organa za PKI sisteme u republici Srbiji i predmet je periodične supervizije u cilju osiguravanja saglasnosti sa zahtevima navedenim u Zakonu o elektronskom potpisu i odgovarajućim podzakonskim aktima.
1.2 NAZIV DOKUMENTA I IDENTIFIKACIJA HALCOM BG CA infrastruktura sistema sa javnim ključevima (PKI – Public Key Infrastructure) je odgovorna za izdavanje sledećih tipova kvalifikovanih elektronskih sertifikata:
11
Root CA sertifikat Halcom BG CA sertifikacionog tela,
Intermediate CA sertifikat Halcom BG CA PL za pravna lica,
Intermediate CA sertifikat Halcom BG CA FL za fizička lica,
Sertifikati korisnika:
Pravna lica (ovlašćena lica pravnih lica), registrovana za obavljanje delatnosti, za potrebe elektronskog bankarstva – na smart kartici Fizička lica za potrebe elektronskog i mobilnog bankarstva – na SIM smart kartici
U okviru ovih Praktičnih pravila rada (CPS – Certificate Practice Statement) biće opisani konkretni detalji oko implementacije i procedura rada HALCOM BG CA.
Ovaj dokument predstavlja Praktična pravila Halcom BG CA. Sertifikati Halcom BG CA sadrže identifikacioni broj odgovarajuće CP politike. Zbog toga, Halcom nije ovom dokumentu dodelio CPoid broj.
Identifikaciona oznaka politike sertifikacije HALCOM BG CA je:
Za pravna lica CPOID: 1.3.6.1.4.1.5939.10.1.1
Za fizička lica CPOID: 1.3.6.1.4.1.5939.11.1.1
Identifikacioni podaci Halcom a.d. Beograd a u okviru njega HALCOM BG CA su:
HALCOM A.D BEOGRAD HALCOM BG CA Beogradska 39 11000 Beograd Srbija Tel.: (+381) 11 30 32 432 Fax: (+381) 11 33 48 998 Mail: [email protected] http://www.halcom.rs/
Jedinstveno ime (Dname – issuer):
CN= HALCOM BG CA O= Halcom a.d. C= RS
1.3 UČESNICI U PKI SISTEMU HALCOM BG CA U ovom poglavlju su opisani osnovni učesnici u PKI sistemu HALCOM BG CA. Svrha ovih Praktičnih pravila je da, pre svega, opiše odgovornosti i prava CA (Certification Authority - izdavalac kvalifikovanih elektronskih sertifikata), RA (Registration Authority - identifikator i registrator korisnika) i različitih korisnika (korisnik – vlasnik kvalifikovanih elektronskih sertifikata). Kao deo ovih CPS, opisane su procedure koje HALCOM BG CA sprovodi u procesu izdavanja kvalifikovanih elektronskih sertifikata.
12
1.3.1 HALCOM BG CA
Sertifikaciono telo je organizacija koja izdaje elektronske sertifikate. HALCOM BG CA je sertifikaciono telo (CA). HALCOM BG CA je odgovorno za publikaciju ovih Praktičnih pravila u cilju podrške izdavanju određenih tipova kvalifikovanih elektronskih sertifikata. U tom smislu, Politike sertifikacije (CP), kao i ovaj dokument HALCOM BG CA CPS (Certificate Practice Statement), predstavljaju odgovarajuće politike i praktična pravila koja se primenjuju pri izdavanju HALCOM BG CA kvalifikovanih elektronskih sertifikata. HALCOM BG CA je sertifikaciono telo koje izdaje i upravlja kvalifikovanim elektronskim sertifikatima za verifikaciju elektronskog potpisa. HALCOM BG CA predstavlja sertifikaciono telo u okviru infrastrukture HALCOM BG CA PKI sistema. HALCOM BG CA predstavlja takođe Root sertifikaciono telo koja zajedno sa svojim podređenim sertifikacionim telima čini hijerarhijsku mrežu sertifikacionih tela. Podređeno sertifikaciono telo (intermediate) izdaje kvalifikovane elektronske sertifikate pravnim i fizičkim licima, kao i vršenje drugih tehnoloških usluga vezanih za:
kvalifikovane elektronske potpise (pravna lica) i, elektronske potpise (fizička lica).
Sertifikaciono telo HALCOM BG CA izdaje kvalifikovane elektronske sertifikate fizičkim licima, kao i fizičkim licima koji se identifikuju kao pripadnici pravnih lica u Srbiji za potrebe bezbednog elektronskog bankarstva putem servisnog centra Halcom a.d. Beograd. U cilju objavljivanja trećim stranama informacija koje se odnose na opozvane sertifikate, neophodno je da se izvrši odgovarajuća publikacija liste povučenih kvalifikovanih elektronskih sertifikata (CRL – Certificate Revocation List). HALCOM BG CA objavljuje takvu listu u skladu sa uslovima definisanim u ovom dokumentu. HALCOM BG CA predstavlja hijerarhijski PKI sistem za izdavanje kvalifikovanih elektronskih sertifikata za korisnike Servisnog centra HALCOM BG CA. U pomenutoj arhitekturi, postoji (Slika 1): Halcom BG CA Root CA
Halcom BG CA PL Intermediate CA
Halcom BG CA FL Intermediate CA
Korisnici Servisnog centra – pravna (fizička lica identifikovana kao pripadnici pravnih lica) i fizička lica
13
Slika 1: Realizacija hijerarhijske strukture HALCOM BG CA PKI sistema
1.3.1.1 OBAVEZE HALCOM BG CA Sertifikaciono telo HALCOM BG CA je dužno: Vršiti usluge u skladu sa svojim internim pravilima i ostalim važećim propisima i
zakonodavstvom,
Vršiti usluge u skladu sa međunarodnim preporukama,
Objavljivati sve važne dokumente koji definišu njegov operativni rad (politike sertifikacije, zahteve, uputstva za bezbedno korišćenje kvalifikovanih elektronskih, i sl.),
Objavljivati na svojim web stranicama sve informacije o onim promenama vezanim za delatnosti sertifikacionog tela koje na bilo koji način utiču na vlasnike kvalifikovanih elektronskih sertifikata i treća lica,
Omogućiti rad registracionih tela u skladu sa odredbama politike sertifikacije i ovim CPS objavljenim od strane HALCOM BG CA i ostalim važećim propisima,
Poštovati odredbe vezane za bezbedno postupanje sa ličnim, poslovnim i poverljivim podacima sertifikacionog tela, vlasnika kvalifikovanih elektronskih sertifikata ili trećih lica,
Opozvati kvalifikovani elektronski sertifikat i objaviti opozvani kvalifikovani elektronski sertifikat u registru opozvanih kvalifikovanih elektronskih sertifikata u slučaju uslova i razloga definisanih ovim CPS dokumentom ili drugim važećim propisima,
Izdavati kvalifikovane elektronske sertifikate u skladu sa ovim CPS dokumentom i
14
ostalim propisima i preporukama.
1.3.1.2 ODGOVORNOSTI HALCOM BG CA Sertifikaciono telo HALCOM BG CA je odgovorno da: Osigura tačnost podataka u izdatim kvalifikovanim elektronskim sertifikatima,
Osigura pravilnost objavljivanja registra opozvanih kvalifikovanih elektronskih sertifikata,
Osigura jednoznačnost karakterističnih imena,
Osigura odgovarajuću fizičku bezbednost prostorija i pristupa samim prostorijama sertifikacionog tela,
Kao dobar privrednik brine za neometano delovanje i što veću raspoloživost usluga,
Kao dobar privrednik brine za što veću dostupnost usluga,
Kao dobar privrednik brine za neometano delovanje svih ostalih pratećih usluga,
Pokuša otkloniti eventualne nastale probleme što kvalitetnije i u najkraćem mogućem vremenu,
Brine za optimizaciju mašinske i programske opreme i
Obaveštava korisnike o važnim stvarima i ispunjava sve druge zahteve u skladu sa politikom sertifikacije i ovim CPS dokumentom.
Sertifikaciono telo HALCOM BG CA obezbeđuje što veći pristup svojim uslugama i to 24 sata na dan/7 dana u nedelji/365 dana u godini, izuzimajući: planirane i unapred predviđene tehničke ili servisne intervencije na infrastrukturi,
neplanirane tehničke ili servisne intervencije na infrastrukturi kao posledica nepredviđenih/iznenadnih kvarova,
tehničke ili servisne intervencije zbog kvarova infrastrukture van opsega odgovornosti sertifikacionog tela HALCOM BG CA i
nedostupnost kao posledica više sile ili vanrednih događaja.
Radove održavanja ili nadgradnje infrastrukture sertifikaciono telo HALCOM BG CA mora najaviti korisnicima i trećim licima barem tri (3) dana pre početka radova. Sertifikaciono telo HALCOM BG CA je odgovorno za sve navode u ovom dokumentu i za sprovođenje svih odredbi iz politike sertifikacije i ovog CPS dokumenta. Ostale obaveze odnosno odgovornosti sertifikacionog tela HALCOM BG CA definisane su mogućim međusobnim dogovorom sa korisnicima ili trećim licima.
1.3.2 REGISTRACIONA TELA HALCOM BG CA
Registraciono telo (RA ) vrše sledeće aktivnosti za potrebe sertifikacionog tela:
1. proveravanje identiteta budućih vlasnika kvalifikovanih elektronskih sertifikata, kao i proveravanje ostalih podataka važnih za upravljanje kvalifikovanim elektronskim sertifikatima,
2. primanje zahteva za dobijanje sertifikata, 3. primanje zahteva za opozivanje/povlačenje sertifikata, 4. izdavanje nužne dokumentacije vlasnicima, odnosno budućim vlasnicima,
kvalifikovanih elektronskih sertifikata
15
5. prosleđivanje zahteva i ostalih podataka sigurnim putem do HALCOM BG CA sertifikacionog tela.
Sertifikaciono telo HALCOM BG CA može za izvršavanje zadataka registracionog tela (RA), uz svoje sopstveno RA, takođe ovlastiti i druge organizacije u poslovnom i javnom sektoru. Svaku takvu organizaciju sertifikaciono telo HALCOM BG CA ugovorom obavezuje za ispunjavanje strogih bezbednosnih uslova u skladu sa važećim evropskim, i lokalnim propisima te međunarodnim, evropskim, i lokalnim standardima i preporukama, kao i internim pravilima HALCOM BG CA.
Sertifikaciono telo HALCOM BG CA ima široku uspostavljenu geografsku mrežu RA (registracionih tela), što budućim vlasnicima omogućuje jednostavnu prijavu u blizini sedišta datog pravnog lica.
Detaljan opis poslova i nadležnosti registracionih tela definisan je posebnim dokumentom, kao i ugovorom između registracionih tela i Halcom BG CA.
1.3.2.1 RA OBAVEZE Registraciono telo je dužno: proveravati identitet budućih vlasnika kvalifikovanih elektronskih sertifikata,
primati zahteve za sertifikacione usluge HALCOM BG CA,
proveravati zahteve za dobijanje kvalifikovanih elektronskih sertifikata,
izdavati potrebnu dokumentaciju vlasnicima odnosno budućim vlasnicima kvalifikovanih elektronskih sertifikata,
prosleđivati zahteve i ostale podatke na bezbedan način do sertifikacionog tela HALCOM BG CA.
Detaljan opis poslova i nadležnosti registracionih tela definisan je posebnim dokumentom, kao i ugovorom između registracionih tela i Halcom BG CA.
1.3.2.2 RA ODGOVORNOSTI Registraciono telo je odgovorno za sprovođenje svih odredbi iz politike sertifikacije i ovog CPS dokumenta, kao i drugih zahteva koje dogovori sa sertifikacionim telom HALCOM BG CA.
1.3.3 KORISNICI
Korisnici sertifikacionih usluga HALCOM BG CA su: pravna lica (fizička lica identifikovana kao pripadnici pravnih lica)
fizička lica.
Korisnici su strane koje: Apliciraju za dobijanje kvalifikovanog elektronskog sertifikata,
Identifikovani su kao vlasnici kvalifikovanih elektronskih sertifikata u samom sertifikatu,
Poseduju privatni ključ koji matematički odgovara javnom ključu koji je naveden u korisnikovom sertifikatu i sertifikovan od strane sertifikacionog tela.
16
Vlasnici kvalifikovanih elektronskih sertifikata koriste svoje podatke (par asimetričnih ključeva), dodeljene od strane sertifikacionog tela, za bezbedno elektronsko potpisivanje i kvalifikovane elektronske sertifikate za verifikaciju tog elektronskog potpisa.
Sertifikati korisnika koje izdaje Halcom BG CA:
0. Digital Signature, Non-Repudiation 1. Digital Signature, Key Encipherment
1.3.3.1 OBAVEZE KORISNIKA KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA Vlasnik, odnosno budući vlasnik, kvalifikovanog elektronskog kvalifikovanih elektronskih sertifikata je dužan: Upoznati se i postupati u skladu sa politikom sertifikacije i ovim CPS dokumentom
pre izdavanja kvalifikovanih elektronskih sertifikata,
Postupati u skladu sa politikom sertifikacije, ovim CPS dokumentom i ostalim važećim propisima,
Nakon preuzimanja kvalifikovanih elektronskih sertifikata proveriti podatke u sertifikatu i o eventualnim greškama ili problemima odmah obavestiti Registraciono telo ili HALCOM BG CA odnosno tražiti opoziv kvalifikovanih elektronskih sertifikata,
Pratiti sva obaveštenja HALCOM BG CA i postupati u skladu sa istim,
u skladu sa obaveštenjima primereno osavremenjivati potrebnu mašinsku i programsku opremu za bezbedan rad sa kvalifikovanim elektronskim sertifikatima,
odmah obavestiti sertifikaciono telo HALCOM BG CA o svim promenama koje su povezane sa kvalifikovanim elektronskim sertifikatom,
zahtevati opoziv kvalifikovanih elektronskih sertifikata u slučaju da je privatni ključ bio ugrožen na način koji utiče na sigurnost upotrebe ili ako postoji opasnost od zloupotrebe,
korišćenje kvalifikovanih elektronskih sertifikata samo za namene definisane u sertifikatu, i na način koji je određen politikom sertifikacije i ovim CPS dokumentom izdatim od strane HALCOM BG CA.
Vlasnik, odnosno budući vlasnik, kvalifikovanog elektronskog sertifikata je u odnosu na bezbednost privatnog ključa dužan takođe da: čuva privatni ključ i kvalifikovani elektronski sertifikat na način i na sredstvima za
bezbedno čuvanje privatnih ključeva u skladu sa obaveštenjima i preporukama HALCOM BG CA,
privatni ključ i sve ostale poverljive podatke štiti prikladnom lozinkom u skladu sa preporukama HALCOM BG CA ili na drugi način tako da su dostupni samo vlasniku,
brižljivo čuva lozinku za zaštitu privatnog ključa,
nakon isteka validnosti odnosno nakon opoziva kvalifikovanih elektronskih sertifikata postupa u skladu sa obaveštenjima sertifikacionog tela HALCOM BG CA.
1.3.3.2 ODGOVORNOSTI KORISNIKA KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA Vlasnik kvalifikovanih elektronskih sertifikata je odgovoran za:
17
Nastalu štetu u slučaju zloupotrebe kvalifikovanih elektronskih sertifikata od prijave
opoziva do samog opoziva,
Svaku štetu koja je, bilo indirektno ili direktno, prouzrokovana zbog omogućenog korišćenja, odnosno zloupotrebe, vlasnikovog kvalifikovanog elektronskog sertifikata od strane neovlašćenih lica,
Svaku drugu štetu koja nastane iz nepoštovanja odredbi politike sertifikacije, ovog CPS dokumenta i drugih dokumenata sertifikacionog tela HALCOM BG CA, kao i važećih propisa.
1.3.4 TREĆE STRANE
Treće strane su entiteti, kao na primer fizička lica (pojedinci) i/ili pravna lica (kompanije), koja prihvataju sertifikate i verifikuju elektronski potpis određenih elektronskih dokumenata koji su potpisani od strane korisnika HALCOM BG CA, kao i koja vrše validaciju kvalifikovanih elektronskih sertifikata izdatih od strane HALCOM BG CA. Treća lica nisu nužno i vlasnici kvalifikovanih elektronskih sertifikata sertfikacionog tela HALCOM BG CA ili kvalifikovanih elektronskih sertifikata drugih sertifikacionih tela. Verifikacija elektronskog potpisa dokumenata vrši se na bazi javnog ključa koji se nalazi u korisnikovom sertifikatu. U cilju provere validnosti primenjenog kvalifikovanog elektronskog sertifikata, treće strane moraju uvek da provere status datog kvalifikovanog elektronskog sertifikata u okviru Halcom BG CA registra opozvanih sertifikata (CRL) pre nego što prihvate informacije koje su navedene u sertifikatu.
1.3.4.1 OBAVEZE TREĆIH STRANA Treća strana koja se pouzdaje u kvalifikovani elektronski sertifikat izdat od strane sertifikacionog tela HALCOM BG CA mora: Postupati i koristiti kvalifikovane elektronske sertifikate u skladu i namenom
definisanom politikom sertifikacije, ovim CPS dokumentom i ostalim važećim propisima,
Brižno proučiti sve mogućnosti rizikovanja i odgovornosti kod korišćenja kvalifikovanih elektronskih sertifikata i odrediti politiku načina upotrebe,
Obavestiti HALCOM BG CA ako sazna da su privatni ključevi vlasnika kvalifikovanog elektronskog sertifikata u koga se uzdaju bili ugroženi na način koji utiče na sigurnost korišćenja, ili ako postoji opasnost zloupotrebe, ili ako su se promenili podaci navedeni u kvalifikovanom elektronskom sertifikatu,
Uzdati se u kvalifikovani elektronski sertifikat samo za namere određene u sertifikatu na način koji određuje politika sertifikacije i ovaj CPS dokument,
Za vreme korišćenja kvalifikovanog elektronskog sertifikata proveriti da li se sertifikat nalazi u registru opozvanih kvalifikovanih elektronskih sertifikata,
Za vreme korišćenja kvalifikovanog elektronskog sertifikata proveriti da li je elektronski potpis kvalifikovanih elektronskih sertifikata kreiran u vreme važenja i sa odgovarajućom namenom kvalifikovanog elektronskog sertifikata,
Za vreme korišćenja kvalifikovanog elektronskog sertifikata proveriti potpis kvalifikovanog elektronskog od strane sertifikacionog tela HALCOM BG CA koji je objavljen u ovoj politici sertifikacije, a takođe i na web stranicama HALCOM BG CA odnosno drugih izdavalaca kvalifikovanih elektronskih sertifikata.
18
Uvažavanje drugih odredbi ukoliko je sa sertifikacionim telom HALCOM BG CA sklopila dogovor o korišćenju kvalifikovanih elektronskih sertifikata.
Treće lice mora za verifikaciju potpisa odnosno druge kriptografske operacije upotrebljavati programsku i mašinsku opremu kojom je moguće na verodostojan način proveriti sve gore navedene zahteve za bezbedno korišćenje kvalifikovanih elektronskih sertifikata.
1.3.4.2 ODGOVORNOSTI TREĆIH STRANA Sa početkom korišćenja kvalifikovanih elektronskih sertifikata izdatih od strane sertifikacionog tela HALCOM BG CA, a u skladu sa politikom sertifikacije i ovim CPS dokumentom, treće lice koje se uzda u dati kvalifikovani elektronski sertifikat mora pažljivo da prouči pomenuta dokumenta i od tog trenutka da redovno prati sva obaveštenja sertifikacionog tela HALCOM BG CA. Treće lice mora uvek, ukoliko želi da koristi dati kvalifikovani elektronski sertifikat za neku kriptografsku operaciju, pouzdano da proveri da li je kvalifikovani elektronski sertifikat povučen, tj. da li se nalazi u registru opozvanih kvalifikovanih elektronskih sertifikata. Odgovarajuće ovlašćeno lice datog pravnog lica, koje nije vlasnik kvalifikovanih elektronskih sertifikata ovlašćen od strane istog pravnog lica, dužno je da zahteva opoziv datog kvalifikovanih elektronskih sertifikata ako sazna da je privatni ključ koji je pridružen datom sertifikatu ugrožen na način koji utiče na bezbednost korišćenja, ili ako postoji opasnost zloupotrebe, ili ako su se promenili podaci navedeni u sertifikatu. Treće lice može da se pouzda u kvalifikovani elektronski sertifikat do eventualnog opoziva kvalifikovanih elektronskih sertifikata. Treće lice može bilo kada da zahteva sve informacije vezane za validnost bilo kog izdatog kvalifikovanih elektronskih sertifikata, odredbe politike sertifikacije i ovog CPS dokumenta, kao i za bilo koja obaveštenja izdata od strane sertifikacionog tela HALCOM BG CA.
1.3.5 DRUGI UČESNICI
Za korišćenje kvalifikovanih elektronskih sertifikata prema CP i ovim CPS su, pored vlasnika kvalifikovanih elektronskih sertifikata, RA, HALCOM BG CA, drugih sertifikacionih tela i trećih lica, bitna i druga lica koja omogućavaju elektronsko potpisivanje ili neke druge usluge u kojima se koriste kvalifikovani elektronski sertifikati HALCOM BG CA.
1.3.5.1 OBAVEZE VEZANE ZA REPOZITORIJUM KOJI ODRŽAVA CA Strane u komunikaciji (uključujući korisnike i treće strane) koje pristupaju repozitorijumu i web sajtu HALCOM BG CA sertifikacionog tela u potpunosti su saglasne sa odredbama CP i ovih CPS, kao i sa bilo kojim drugim uslovima korišćenja koje je CA moglo učiniti dostupnim. Strane u komunikaciji demonstriraju prihvatanje uslova korišćenja navedenih u CP i ovim CPS dostavljanjem upita vezanih za status kvalifikovanih elektronskih sertifikata ili bilo kojim drugim načinom koji pokazuje korišćenje ili oslanjanje na obezbeđene informacije ili usluge. CA repozitorijum uključuje, obezbeđuje ili sadrži: Javnu dostupnost svih svojih kvalifikovanih elektronskih sertifikata (root i
itermediate CA sertifikati).
Javnu dostupnost važeće liste opozvanih kvalifikovanih elektronskih sertifikata (CRL).
19
Informacije publikovane na CA web sajtu (CP, CPS, korisnički ugovor, itd.).
Bilo koje druge usluge koje CA može reklamirati ili obezbediti putem svog web sajta.
HALCOM BG CA čini sve u svojoj moći u cilju osiguranja da strane koje pristupaju njegovom repozitorijumu dobijaju pouzdane, ažurne i tačne informacije. CA, međutim, ne može prihvatiti bilo kakvu odgovornost koja je van ograničenja definisanih u CP i ovim CPS.
1.4 KORIŠĆENJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA Sertifikati izdati od strane HALCOM BG CA sertifikacionog tela mogu se koristiti za većinu transakcija elektronskog poslovanja i elektronskog bankarstva koje se baziraju na upotrebi kvalifikovanih elektronskih sertifikata. Sa kvalifikovanim elektronskim sertifikatima sa dva para ključa za pravna lica može se formirati kvalifikovani elektronski potpis. Kvalifikovani elektronski sertifikat se kreira primenom sredstva za kreiranje kvalifikovanog elektronskog potpisa (SSCD – Secure Signature Creation Device) koji se proverava putem kvalifikovanog elektronskog sertifikata potpisnika. Ovaj potpis je pravno ekvivalentan svojeručnom potpisu u skladu sa Zakonu o elektronskom potpisu. Kvalifikovan elektronski potpis zadovoljava sledeće uslove:
1. isključivo je povezan sa potpisnikom; 1. nedvosmisleno identifikuje potpisnika; 2. nastaje korišćenjem sredstava kojima potpisnik može samostalno da upravlja i
koja su isključivo pod nadzorom potpisnika; 3. direktno je povezan sa podacima na koje se odnosi, i to na način koji
nedvosmisleno omogućava uvid u bilo koju izmenu izvornih podataka; 4. formiran je sredstvima za formiranje kvalifikovanog elektronskog potpisa; 5. proverava se na osnovu kvalifikovanog elektronskog sertifikata potpisnika.
Mobilni kvalifikovani elektronski sertifikati sa dva para ključa za fizička lica ne mogu formirati kvalifikovane elektronske potpise. Međutim, ukoliko sertifikaciono telo Halcom BG CA sklopi ugovor o priznavanju sa drugim pravnim ili fizičkim licem, mobilni kvalifikovani sertifikati za fizička lica mogu se koristiti i za elektronsko potpisivanje. HALCOM BG CA sertifikaciono telo upravlja (izdaje i overava, opoziva, obnavlja, čuva, objavljuje) kvalifikovanim elektronskim sertifikatima za verifikaciju:
kvalifikovanog elektronskog potpisa (pravna lica) i, elektronskog potpisa (fizička lica)
1.4.1 PRIHVATLJIVO KORIŠĆENJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Kvalifikovani elektronski sertifikati su namenjeni: kvalifikovanom elektronskom potpisivanju (pravna lica) i elektronskom potpisivanju (fizička lica)
jednostranih ili međusobnih komunikacija vlasnika sertifikata te korišćenju u različitim aplikacijama i za različite namene koje se pojave na tržištu. Kvalifikovani elektronski sertifikati ili ključevi se između ostalog mogu koristiti za:
identifikaciju vlasnika sertifikata,
20
dokazivanje identiteta vlasnika sertifikata,
potpisivanje dokumenata u elektronskom obliku i njihovu verifikaciju,
šifrovanje dokumenata u elektronskom obliku primenom simetričnih kriptografskih algoritama,
kontrolu pristupa Elektronski potpis može da se koristi u aplikacijama kao što su na primer:
elektronsko odnosno mobilno bankarstvo,
aplikacije e-uprave ili m-uprave,
potpisivanje elektronskih ili mobilnih formulara,
bezbedno poslovanje sa organima i organizacijama javnog sektora te ostalim pravnim ili fizičkim licima,
ostale aplikacije odnosno usluge u kojima se zahteva korišćenje kvalifikovanog elektronskog sertifikata.
Sertifikaciono telo HALCOM BG CA upravlja (izdaje i overava, opoziva, obnavlja, čuva i objavljuje) kvalifikovanim elektronskim sertifikatima pravnih i fizičkih lica za verifikaciju:
kvalifikovanog elektronskog potpisa (pravna lica) i elektronskog potpisa (fizička lica),
1.4.2 NEDOPUŠTENO KORIŠĆENJE
Zabranjeno je korišćenje kvalifikovanih elektronskih sertifikata, izdatih u skladu sa ovom CP, u suprotnosti sa odredbama same politike sertifikacije, ili važećih propisa, ili izvan opsega dozvoljenog korišćenja, određenog u prethodnom poglavlju.
Kvalifikovani elektronski sertifikati izdati od strane HALCOM BG CA nisu namenjeni daljoj prodaji.
1.5 ADMINISTRACIJA PRAKTIČNIH PRAVILA RADA U ovom poglavlju su opisane aktivnosti u vezi administracije ovih Praktičnih pravila rada (CPS) HALCOM BG CA sertifikacionog tela.
1.5.1 ORGANIZACIJA ADMINISTRIRANJA PRAKTIČNIH PRAVILA RADA
HALCOM BG CA sertifikaciono telo je odgovorno za propisnu administraciju ovih CPS, i to u smislu periodičnog pregleda i ažuriranja, kao i vanrednih promena odgovarajućih odredbi koje proističu iz eventualnih promena u zakonskoj regulativi ili tehničkim karakteristikama primenjenih kriptografskih algoritama i dužina ključeva.
Sa ovim CPS dokumentom, kao i ostalim opštim i internim pravilima rada, upravlja sertifikaciono telo HALCOM BG CA u sklopu Halcom a.d. Beograd i u sklopu PKI hijerarhije HALCOM BG CA.
1.5.2 KONTAKT OSOBA
Za sva pitanja vezana za ovaj CPS dokument, mogu se kontaktirati ovlašćena lica koja su dostupna na dole navedenoj adresi i dole navedenim telefonskim brojevima. Janez Čuk
21
HALCOM BG CA Beogradska 39 11000 Beograd Srbija Tel.: (+381) 11 33 48 998 Fax: (+381) 11 33 48 994 Mail: [email protected] http://www. halcom.rs/
1.5.3 OSOBE KOJE ODREĐUJU POGODNOST CPS DOKUMENTA
Za usklađenost poslovanja sertifikacionog tela HALCOM BG CA sa ovim CPS dokumentom su, u skladu sa svojim nadležnostima, odgovorna su ovlašćena lica za kontakt definisana u poglavlju 1.5.2.
1.5.4 PROCEDURA ODOBRAVANJA CPS DOKUMENTA
Dokument Praktična pravila rada (CPS) HALCOM BG CA sertifikacionog tela se redovno periodično pregleda i po potrebi ažurira. Internom procedurom se definiše period pregleda ovog CPS koji ne može biti manji od jedne kalendarske godine. Prema datoj internoj proceduri, CPS se može evaluirati i po potrebi ažurirati i češće nego jednom godišnje ukoliko se steknu uslovi za to. Takvi uslovi se odnose, između ostalog na vanredne promene u zakonskoj regulativi ili odgovarajuća saznanja o kritičnim slabostima primenjenih kriptografskih algoritama i dužina kriptografskih ključeva. Svaki predlog novog izmenjenog CPS dokumenta se razmatra sa tehnološkog i pravnog aspekta u cilju garantovanja zakonitosti, bezbednosti i kvaliteta. Nakon toga, novi CPS dokument se potvrđuje od strane direktora Halcom a.d. Beograd.
1.6 DEFINICIJE I SKRAĆENICE U ovom dokumentu pojedini izrazi imaju sledeće značenje: Aktivacioni podaci – Podaci, koji nisu ključevi, koji su zahtevani u cilju rada kriptografskih modula i koji moraju biti zaštićeni (kao na primer PIN, passphrase ili komponente pri manuelnom razmenjivanju ključeva). CA sertifikat – Sertifikat za dato CA izdat (elektronsko potpisan) od strane drugog CA (ukoliko se radi o Intermediate CA) ili samopotpisan (ukoliko se radi o root CA). Politika sertifikacije – Imenovan skup pravila koji indicira primenljivost kvalifikovanih elektronskih sertifikata na određeno okruženje i/ili na klasu aplikacija sa zajedničkim bezbednosnim zahtevima. Lanac (put) kvalifikovanih elektronskih sertifikata – Uređena sekvenca kvalifikovanih elektronskih sertifikata koja se, zajedno sa javnim ključem inicijalnog objekta u lancu (putu), procesira u cilju provere istog u poslednjem objektu na putu. Certificate Practice Statement (CPS) – Praktična pravila i procedure koje sertifikaciono telo primenjuje u proceduri izdavanja kvalifikovanih elektronskih sertifikata i koja, zajedno sa Politikom sertifikacije, predstavljaju javni dokument. Sertifikaciono telo – izdavač kvalifikovanih elektronskih sertifikata (issuing CA) – U kontekstu određenog kvalifikovanih elektronskih sertifikata, sertifikaciono telo – izdavalac kvalifikovanih elektronskih sertifikata je ono CA koje je izdalo (elektronsko potpisalo) kvalifikovani elektronski sertifikat.
22
Kvalifikator politike – Informacija koja zavisi od politike sertifikacije i koja je pridružena identifikatoru politike sertifikacije u okviru X.509 kvalifikovanih elektronskih sertifikata. Može da uključi i URL na kome se nalazi publikovan CPS datog sertifikacionog tela. Registraciono telo (RA) – Entitet koji je odgovoran za identifikaciju i autentikaciju/registraciju korisnika/vlasnika kvalifikovanih elektronskih sertifikata, kao i kreiranje zahteva za izdavanje kvalifikovanih elektronskih sertifikata, ali koji ne izdaje i ne potpisuje sertifikat (tj. RA vrši odgovarajuće poslove (identifikaciju korisnika) i u tom smislu je delegirano od CA). Često se i termin LRA (Local Registration Authority) koristi u istom kontekstu. Treća strana – Primalac kvalifikovanih elektronskih sertifikata koji proverava dati kvalifikovani elektronski sertifikat i/ili proverava elektronski potpis dobijenog elektronskog dokumenta primenom javnog ključa potpisnika iz kvalifikovanih elektronskih sertifikata. Treća strana proverava validnost kvalifikovanih elektronskih sertifikata u istom procesu. Treća strana može biti takođe korisnik kvalifikovanih elektronskih sertifikata izdatog od strane istog sertifikacionog tela ali i ne mora. Elektronski dokument – dokument u elektronskom obliku koji se koristi u pravnim poslovima i drugim pravnim radnjama, kao i u upravnom, sudskom i drugom postupku pred državnim organom. Elektronski potpis – skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa elektronskim dokumentom i koji služe za identifikaciju potpisnika. Kvalifikovani elektronski potpis – Elektronski potpis koji se kreira primenom sredstva za kreiranje kvalifikovanog elektronskog potpisa (SSCD – Secure Signature Creation Device) i koji se proverava putem kvalifikovanog elektronskog sertifikata potpisnika. Ovaj potpis je pravno ekvivalentan svojeručnom potpisu po Zakonu o elektronskom potpisu. Potpisnik – lice koje poseduje sredstva za elektronsko potpisivanje i vrši elektronsko potpisivanje u svoje ime ili u ime pravnog ili fizičkog lica. Podaci za formiranje elektronskog potpisa – jedinstveni podaci, kao što su kodovi ili privatni kriptografski ključevi, koje potpisnik koristi za izradu elektronskog potpisa; Sredstva za formiranje elektronskog potpisa – odgovarajuća tehnička sredstva (softver i hardver) koja se koriste za formiranje elektronskog potpisa, uz korišćenje podataka za formiranje elektronskog potpisa. Sredstva za formiranje kvalifikovanog elektronskog potpisa – sredstva za formiranje elektronskog potpisa koja ispunjavaju dodatne uslove utvrđene Zakonom o elektronskom potpisu. Podaci za proveru elektronskog potpisa – podaci, kao što su kodovi ili javni kriptografski ključevi, koji se koriste za proveru i overu elektronskog potpisa. Sredstva za proveru elektronskog potpisa – odgovarajuća tehnička sredstva (softver i hardver) koja služe za proveru elektronskog potpisa, uz korišćenje podataka za proveru elektronskog potpisa. Sredstva za proveru kvalifikovanog elektronskog potpisa – sredstva za proveru elektronskog potpisa koja ispunjavaju dodatne uslove utvrđene Zakonom o elektronskom potpisu. Elektronski sertifikat – elektronski dokument kojim se potvrđuje veza između podataka
23
za proveru elektronskog potpisa i identiteta potpisnika. Kvalifikovani elektronski sertifikat – elektronski sertifikat koji je izdat od strane sertifikacionog tela za izdavanje kvalifikovanih elektronskih sertifikata i sadrži podatke predviđene Zakonom o elektronskom potpisu. Korisnik – pravno ili fizičko lice, preduzetnik, državni organ, organ teritorijalne autonomije, organ lokalne samouprave ili fizičko lice kome se izdaje kvalifikovani elektronski sertifikat. Sertifikaciono telo – pravno lice koje izdaje elektronske sertifikate u skladu sa odredbama Zakona o elektronskom potpisu. Akreditacija – Formalna deklaracija od strane nadležnog autoriteta da izvesne funkcije/entiteti zadovoljavaju specifične formalne zahteve. Aplikacija za kvalifikovani elektronski sertifikat – Zahtev poslat od strane korisnika koji zahteva sertifikat (aplikant) ka Sertifikacionom telu u cilju izdavanja kvalifikovanih elektronskih sertifikata. Arhiva – Specifična baza podataka za čuvanje zapisa za određeni period vremena u cilju bezbednosti, backup-a ili revizije. Identifikacija – proces utvrđivanja identiteta pojedinca ili organizacije. U kontekstu PKI sistema, identifikacija se odnosi na proces utvrđivanja da dato ime pojedinca ili organizacije odgovara realnom identitetu pojedinca ili organizacije.
Autentikacija – proces utvrđivanja da je identifikovani pojedinac ili organizacija koji se prijavljuje za određeni servis pod datim imenom u stvari baš taj (pod tim imenom) pojedinac ili organizacija. Drugim rečima, autentikacija predstavlja proceduru bezbednog logičkog predstavljanja korisnika, tj. utvrđivanja njegovog elektronskog identiteta, odgovarajućoj aplikaciji ili servisu. Autorizacija – procedura utvrđivanja prava koje neki identifikovani i autentikovani korisnik ima za korišćenje odgovarajuće aplikacije ili servisa. Ekstenzije u sertifikatu – Dodatna polja u sertifikatu, pored osnovnih, koja daju bliže informacije o vlasniku (korisniku) i izdavaocu (CA) kvalifikovanih elektronskih sertifikata, itd. Hijerarhija kvalifikovanih elektronskih sertifikata – Sekvenca kvalifikovanih elektronskih sertifikata bazirana na nivoima koja ima jedan root CA sertifikat i subordinate/intermediate entitete, kao što su sertifikati drugih CA i korisnici. Upravljanje kvalifikovanim elektronskim sertifikatima – Aktivnosti pridružene upravljanju kvalifikovanim elektronskim sertifikatima uključuju izdavanje, čuvanje, isporuku, objavljivanje i povlačenje kvalifikovanih elektronskih sertifikata. Registar opozvanih kvalifikovanih elektronskih sertifikata (CRL – Certificate Revocation List) – Lista izdata i elektronski potpisana od strane CA koja uključuje povučene sertifikate, kao i razloge njihovog povlačenja. Takva lista se mora koristiti od strane trećih strana uvek kada treba proveriti validnost kvalifikovanog elektronskog sertifikata i/ili verifikaciju elektronskog potpisa. Serijski broj kvalifikovanih elektronskih sertifikata – Sekvencijalni ili slučajni broj koji jedinstveno identifikuje sertifikat u domenu datog CA.
24
Zahtev za dobijanje kvalifikovanih elektronskih sertifikata (CSR – Certificate Service Request) – Standardna forma (po PKCS#10 preporuci) koja se koristi za slanje zahteva za dobijanje kvalifikovanih elektronskih sertifikata. Sertifikacija – Proces izdavanja elektronskog kvalifikovanog elektronskog sertifikata. Asimetrični par ključeva (key pair) – Privatni ključ i javni ključ, kao matematički par koji se koriste za potrebe rada asimetričnog kriptografskog algoritma, kao što je na primer RSA algoritam. Privatni ključ – Matematički kod koji se koristi kao ključ za kreiranje elektronskog potpisa i za raspakivanje digitalne envelope – dešifrovanje simetričnog ključa primenom asimetričnog kriptografskog algoritma. Simetrični ključ je korišćen u simetričnom kriptografskom algoritmu za šifrovanje dokumenta za datog korisnika. Javni ključ – Matematički kod koji može biti javno objavljen (najčešće se objavljuje u okviru X.509v3 elektronskog kvalifikovanih elektronskih sertifikata) i koji se koristi za verifikaciju elektronskog potpisa, kreiranog pomoću odgovarajućeg privatnog ključa koji je matematički par sa datim javnim ključem, kao i za šifrovanje simetričnog ključa/podataka za korisnika koji poseduje odgovarajući privatni ključ. Šifrovanje – transformacija koja, primenom odgovarajućeg kriptografskog algoritma i odgovarajućeg kriptografskog ključa, pretvara originalnu informaciju u oblik koji se ne može čitati (šifrant). Dešifrovanje – transformacija kojom se iz šifranta dobija originalna informacija primenom odgovarajućeg kriptografskog algoritma i odgovarajućeg kriptografskog ključa. Kriptografija – nauka o primeni algoritama za zaštitu tajnosti informacija. Kriptografski algoritmi – algoritmi po kojima se vrši transformacija originalne informacije u šifrovanu informaciju (šifrant) i obratno, iz šifranta u originalnu informaciju, korišćenjem odgovarajućeg kriptografskog ključa. Kriptografski ključ – tajna i slučajna informacija odgovarajuće dužine u bitovima (na primer 128 ili 256 bita) koja se koristi u kriptografskim algoritmima, u procedurama šifrovanja i dešifrovanja. Simetrični kriptografski algoritmi – kriptografski algoritmi koji se koriste za realizaciju šifrovanja u cilju zaštite tajnosti informacija. Algoritmi se nazivaju simetričnim zato što se isti kriptografski ključ koristi za šifrovanje i za dešifrovanje. Asimetrični kriptografski algoritmi – kriptografski algoritmi koji se koriste za realizaciju tehnologije elektronskog potpisa kojim se obezbeđuje: autentičnost, integritet i neporecivost transakcija. Algoritmi se nazivaju asimetričnim zato što se različiti kriptografski ključevi koriste za šifrovanje i za dešifrovanje. Asimetrični kriptografski algoritam koristi par ključeva, javni i privatni, i to javni u postupku šifrovanja i privatni u postupku dešifrovanja. Hash algoritmi – jednosmerni kriptografski algoritmi pomoću kojih se vrši kriptografska transformacija informacije proizvoljne veličine u hash vrednost fiksne veličine (160, 224, 256, 384 ili 512 bitova). Identifikator objekta (Object identifier) – Sekvenca brojčanih komponenti koja može biti pridružena nekom registrovanom objektu i koja ima karakteristiku da je jedinstvena u svim identifikatorima objekata u okviru specifičnog domena.
25
Repozitorijum – Baza podataka i/ili direktorijum na kome su publikovani osnovni dokumenti rada CA, kao i eventualne druge informacije koje se odnose na pružanje sertifikacionih usluga od strane datog CA (kao na primer publikacija svih izdatih kvalifikovanih elektronskih sertifikata ukoliko je to dozvoljeno prema Politici sertifikacije i ukoliko su korisnici dali saglasnost za to, itd.). Povlačenje kvalifikovanih elektronskih sertifikata – Permanentno ukidanje validnosti datog kvalifikovanih elektronskih sertifikata i njegovo smeštanje u registru opozvanih sertifikata (CRL). Deljena tajna – Deo kriptografske tajne koja je podeljena na unapred definisan broj fizičkih tokena, kao na primer smart kartica. Smart kartica – Hardverski token koji sadrži čip na kojem mogu da se izvrše odgovarajuće kriptografske funkcije, kao što su: elektronski potpis, šifrovanje, generisanje para asimetričnih ključeva, itd. Korisnički ugovor – Ugovor između korisnika i CA u cilju obezbeđenja sertifikacionih usluga. Skraćenice koje se koriste u ovom dokumentu: CA – Certification Authority RA – Registration Authority PKI – Public Key Infrastructure OID – Object IDentifier TSA – Time Stamping Authority CRL – Certificate Revocation List CSR – Certificate Service Request CDP – CRL Distribution Point AIA – Authority Information Access AKI – Authority Key Identifier SKI – Subject Key Identifier RFC – Request For Comments ETSI – European Telecommunication Standardization Institute CP – Certificate Policy CPS – Certificate Practise Statement URL – Uniform Resource Locator
26
2. ODGOVORNOSTI ZA PUBLIKACIJE I REPOZITORIJUME HALCOM BG CA publikuje informacije u vezi kvalifikovanih elektronskih sertifikata koje izdaje na on-line repozitorijumu. U tom smislu, HALCOM BG CA poseduje on-line repozitorijum dokumenata u kojima se objavljuju informacije o praktičnim pravilima i politikama rada, uključujući CP kao i ova CPS. Sertifikaciono telo HALCOM BG CA javno objavljuje sve informacije koje se odnose na rad sertifikacionog tela, obaveštenja korisnicima i trećim licima, kao i ostale važne dokumente, na web stranicama Halcom a.d. Beograd, http://www.halcom.rs Dokumenti koji su javno dostupni na web sajtu su:
politika sertifikacije CP i CPS dokument,
prijavni formulari za usluge sertifikacionog tela,
uputstva za bezbedno korišćenje kvalifikovanih elektronskih sertifikata,
informacije o važećem zakonodavstvu vezano za delovanje sertifikacionog tela
ostale informacije vezane na delovanje HALCOM BG CA.
Međutim, javno nisu dostupni dokumenti koji predstavljaju interna pravila sertifikacionog tela HALCOM BG CA.
HALCOM BG CA zadržava pravo da publikuje statusne informacije o kvalifikovanim elektronskim sertifikatima i na repozitorijumu neke treće strane ukoliko je to pogodno. HALCOM BG CA zadržava pravo da učini raspoloživim i publikuje informacije u vezi sopstvenih politika i procedura rada putem bilo kog pogodnog načina. Učesnici u sertifikacionim uslugama se obaveštavaju da HALCOM BG CA zadržava pravo da publikuje informacije koje su oni dostavili, ukoliko su dali saglasnost za objavljivanje, na javno pristupačnim direktorijuma uz pridružene statusne informacije o kvalifikovanim elektronskim sertifikatima, ukoliko se na to odluči, a u skladu sa zakonom o zaštiti ličnih podataka. Iz razloga njihove osetljivosti i poslovne tajne, HALCOM BG CA neće publikovati interna pravila rada koja se odnose na izvesne pod-komponente i elemente koji uključuju određene bezbednosne kontrole, procedure koje se odnose na upravljanje ključevima, proceduru distribuirane odgovornosti, bezbednost registracionih tela, „root signing“ proceduru i sve ostale bezbednosno osetljive procedure. Opozvani kvalifikovani elektronski sertifikati se objavljuju u registru opozvanih kvalifikovanih elektronskih sertifikata (CRL) u roku od 24 (dvadesetčetiri) sata, dok se ostale javno dostupne informacije, odnosno dokumenti, objavljuju prema potrebi. HALCOM BG CA publikuje informacije o statusu kvalifikovanih elektronskih sertifikata u određenim intervalima, kako je to naznačeno u ovom CPS dokumentu.
Nova verzija CP i CPS politika objavljuje se odmah nakon prihvatanja i odobravanja istih od strane Višeg upravnog odbora sertifikacionog tela.
Registar opozvanih kvalifikovanih elektronskih sertifikata na serveru ldap.halcom.rs se obnavlja u roku od dvadesetčetiri (24) sata nakon opoziva kvalifikovanih elektronskih sertifikata (CRL). Sa zakašnjenjem od nekoliko minuta tako obnovljen registar opozvanih kvalifikovanih elektronskih sertifikata se prenosi i na web stranice HALCOM BG CA.
27
Javno dostupne informacije, odnosno dokumenti, (osim gore navedenih) objavljuju se prema potrebi. HALCOM BG CA održava raspoloživim pristup do svog javnog repozitorijuma trećim stranama sa svrhom validacije kvalifikovanih elektronskih sertifikata samog CA tela. HALCOM BG CA može ograničiti ili zabraniti pristup određenim uslugama, kao što su publikovanje statusnih informacija o bazama podataka treće strane, određenim privatnim direktorijumima, itd. Iako je pristup HALCOM BG CA repozitorijumu i direktorijumima besplatan, HALCOM BG CA zadržava pravo da naplaćuje određena specifična korišćenja svojih servisa.
Registar opozvanih kvalifikovanih elektronskih sertifikata je javno dostupan na serveru ldap.halcom.rs, TCP port 389 u skladu sa LDAP protokolom.
Odgovarajućim tehničkim uslovima (mašinska i programska oprema) HALCOM BG CA garantuje kontrole koje sprečavaju neovlašćeno dodavanje, menjanje ili brisanje podataka u registru opozvanih kvalifikovanih elektronskih sertifikata.
28
3. IDENTIFIKACIJA I AUTENTIKACIJA KORISNIKA HALCOM BG CA održava dokumentovana praktična pravila i procedure u cilju autentikacije identiteta i/ili drugih atributa aplikanata/krajnjih korisnika kvalifikovanih elektronskih sertifikata koje izdaje HALCOM BG CA sertifikaciono telo, a što se izvršava pre samog izdavanja kvalifikovanih elektronskih sertifikata. HALCOM BG CA koristi potvrđene procedure u cilju prihvatanja aplikacija od entiteta koji žele da postanu članovi HALCOM BG CA PKI hijerarhije. HALCOM BG CA autentikuje zahteve strana koje žele da povuku sertifikate u skladu sa ovim Praktičnim pravilima rada. HALCOM BG CA održava odgovarajuće procedure u cilju određivanja praktičnih pravila za dodeljivanje imena, uključujući i prepoznavanje “trademark” prava u izvesnim imenima.
3.1 NAZIVI
3.1.1 TIPOVI IMENA
U cilju identifikacije korisnika, HALCOM BG CA sprovodi odgovarajuća pravila dodeljivanja imena i identifikacije koja uključuje tipove imena pridruženih subjektu, kao na primer X.500 “distinguished” imena. Karakteristična imena koje sadrži kvalifikovani elektronski sertifikat nedvosmisleno i jednoznačno definišu vlasnika kvalifikovanih elektronskih sertifikata osim ako se, ovim dokumentom ili sadržajem kvalifikovanog elektronskog sertifikata, drugačije zahteva. U skladu sa RFC 5280, svaki kvalifikovani elektronski sertifikat sadrži podatke o vlasniku i izdavaocu kvalifikovanog elektronskog sertifikata u obliku karakterističnog imena. Karakteristično ime je formirano u skladu sa RFC 5280 i standardom X501.
Izdavalac kvalifikovanih elektronskih sertifikata je u izdatom sertifikatu naveden u polju Izdavač, engl. Issuer. Osnovni podaci o vlasniku koje sadrži karakteristično ime vlasnika kvalifikovanog elektronskog sertifikata nalaze se u izdatom sertifikatu navedeni u polju Nosilac engl. Subject. Jedinstveni serijski broj korisnika u okviru sertifikacionog tela koji se takođe sadrži u karakterističnom imenu određuje izdavalac HALCOM BG CA.
Vrsta sertifikata Naziv polja Karakteristično ime Kvalifikovani elektronski sertifikat sertifikacionog tela HALCOM BG CA
Izdavalac engl. Issuer
C= RS O= Halcom a.d. Beograd CN= HALCOM BG CA PL
Kvalifikovani elektronski sertifikat za korisnike (Digital Signature, Non-Repudiation
Korisnik, engl. Subject
C= RS G= <ime> SN= <prezime> CN=<ime, prezime, AR ID,- JMBG> O = <ime organizacije> SERIALNUMBER= <serijski br. SIM kartice> (mobilni sertifikati)
29
3.1.2 POTREBA DA IMENA BUDU SA REALNIM ZNAČENJEM
U skladu sa karakterističnim imenom, AR ID-em i jedinstvenim matičnim brojem vlasnik kvalifikovanog elektronskog sertifikata je nedvosmisleno i jednoznačno definisan.
Karakteristično ime zajedno sa AR ID-em i jedinstvenim matičnim brojem jedinstveno je u okviru sertifikacionog tela, tj. da je formirano na način da je iz istog moguće jednoznačno identifikovati pojedinca.
3.1.3 ANONIMNI KORISNICI I KORIŠĆENJE PSEUDONIMA
HALCOM BG CA ne izdaje anonimne sertifikate korisnicima.
3.1.4 PRAVILA ZA INTERPRETACIJU RAZLIČITIH FORMI IMENA
Podaci o vlasniku kvalifikovanog elektronskog sertifikata u karakterističnom imenu sadrže slova srpske abecede, dok se preostali znakovi transformišu prema donjim pravilima:
Znak Transformacija Ü Ue Ö Oe Ø Oe ß Ss Ñ N Ŕ Rz
Odgovarajućom kombinacijom slova sertifikaciono telo obezbeđuje korišćenje ostalih nepredvidivih znakova.
3.1.5 JEDINSTVENOST IMENA
Karakteristično ime zajedno sa AR ID-em i jedinstvenim matičnim brojem jedinstveno je u okviru sertifikacionog tela, tj. da je formirano na način da je iz istog moguće jednoznačno identifikovati pojedinca.
3.1.6 PREPOZNAVANJE, AUTENTIKACIJA I ULOGA ROBNIH MARKI („TRADEMARKS“)
Vlasnici kvalifikovanih elektronskih sertifikata ne smeju da zahtevaju imena koja pripadaju nekome drugome čime bi se kršila autorska ili druga prava trećih lica. Eventualne sporove rešavaju isključivo oštećena strana i vlasnik kvalifikovanog elektronskog sertifikata.
3.2 PROVERA IDENTITETA Budući vlasnik kvalifikovanog elektronskog sertifikata mora da zahteva kvalifikovani elektronski sertifikat u svoje lično ime i ime korisnika u okviru pravnog lica, kao ovlašćeno lice odgovarajućeg pravnog lica. Prijavna služba proverava identitet budućeg vlasnika kvalifikovanog elektronskog sertifikata.
30
3.2.1 AUTENTIKACIJA IDENTITETA ORGANIZACIJE
Identitet organizacije se proverava na osnovu pravnih dokumenata o uspostavljanju date organizacije, kao i ovlašćenjem da dato fizičko lice ima ovlašćenje da dobije kvalifikovani elektronski sertifikat u ime date organizacije.
3.2.3 AUTENTIKACIJA IDENTITETA POJEDINCA
Proveravanje identiteta vlasnika kvalifikovanih elektronskih sertifikata izvršava operater registracionog tela HALCOM BG CA tako što proveri lične podatke o vlasniku na osnovu ličnog identifikacionog dokumenta, a po potrebi i u odgovarajućim registrima. Dakle, u cilju identifikacije i autentikacije individualnog korisnika koji aplicira za dobijanje kvalifikovanih elektronskih sertifikata, kao ovlašćeno lice datog pravnog lica, od strane HALCOM BG CA sertifikacionog tela, CA može primeniti korake koji uključuju ali nisu ograničeni na: Provera dokumenata kao što su lična karta ili pasoš, u skladu sa važećim zakonom
za pojedinca – fizičko lice za sebe lično, odnosno fizičko lice koje aplicira za kvalifikovani elektronski sertifikat kao ovlašćeno lice pravnog lica
Utvrđivanje identiteta datog pojedinca koja se bazira na dostavljenoj dokumentaciji.
Zahtev je da se pojedinac fizički pojavi u RA (registracionom telu) u odgovarajućoj fazi pre nego što se kvalifikovani elektronski sertifikat izda.
3.2.4 VALIDACIJA AUTORITETA
Proveravanje ovlašćenja zaposlenih za dobijanje kvalifikovanih elektronskih sertifikata u ime date organizacije, predstavlja neophodan korak u cilju dobijanja kvalifikovanog elektronskog sertifikata. Kada HALCOM BG CA sertifikaciono telo pri izdavanju kvalifikovanih elektronskih sertifikata uključuje informacije o odgovarajućim ovlašćenjima, kao što su specifična prava ili dozvole, uključujući dozvolu za dobijanje kvalifikovanih elektronskih sertifikata u cilju realizacije odgovarajućih aktivnosti u ime date organizacije, HALCOM BG CA sertifikaciono telo može zahtevati specijalnu pismenu dozvolu od strane date organizacije.
3.2.5 MEĐUSOBNO PRIZNAVANJE
Sertifikaciono telo HALCOM BG CA priznaje sva akreditovana sertifikaciona tela u Republici Srbiji
3.3 IDENTIFIKACIJA I AUTENTIKACIJA ZAHTEVA ZA OBNAVLJANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA Identitet vlasnika kod ponovnog izdavanja kvalifikovanog elektronskog sertifikata se proverava: Ličnim prisustvom vlasnika kvalifikovanog elektronskog sertifikata u registracionom telu, sertifikacionog tela HALCOM BG CA
3.3.1 IDENTIFIKACIJA I AUTENTIKACIJA ZA RUTINSKO OBNAVLJANJE KLJUČEVA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
31
3.3.2 IDENTIFIKACIJA I AUTENTIKACIJA ZA OBNAVLJANJE KLJUČEVA NAKON OPOZIVA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
3.4 IDENTIFIKACIJA I AUTENTIKACIJA ZAHTEVA ZA OPOZIV KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA U cilju sprovođenja procedura identifikacije i autentikacije zahteva za povlačenjem kvalifikovanih elektronskih sertifikata za odgovarajuće tipove subjekata (CA, RA, korisnici ili drugi učesnici), zahtevi se upućuju odgovarajućem RA ili putem komunikacije do samog CA. RA sprovodi takve zahteve do HALCOM BG CA sertifikacionog tela u cilju realizacije procedure povlačenja kvalifikovanih elektronskih sertifikata. Primeri bezbednog dostavljanja zahteva za povlačenjem su overeni zahtevi od strane samih korisnika koji žele da im se povuče kvalifikovani elektronski sertifikat (ukoliko je takva mogućnost dozvoljena u okviru CPS) ili overeni zahtevi od strane RA ili CA ovlašćenih službenika. Dakle, zahtev za opoziv svog kvalifikovanog elektronskog sertifikata vlasnik preda: Lično registracionom telu gde ovlašćena lica registracionog tela provere identitet
podnosioca zahteva,
U slučaju da vlasnik kvalifikovanog elektronskog sertifikata putem telefona, elektronske pošte ili FAX-a zahteva opoziv sertifikata, sertifikaciono telo HALCOM BG CA prvo definiše suspenziju sertifikata. Tek na osnovu prijema overenog pismenog zahteva za opoziv sertifikata, koji vlasnik lično dostavi registracionom telu, faktički se sprovodi sam opoziv sertifikata.
32
4. OPERATIVNI ZAHTEVI U VEZI ŽIVOTNOG CIKLUSA KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA Za sva eksterna intermediate sertifikaciona tela, registraciona tela, korisnike ili druge učesnike postoji stalna obaveza da informišu HALCOM BG CA sertifikaciono telo o svim promenama u informacijama koje su objavljene u kvalifikovanom elektronskom sertifikatu za čitav period operativnog rada takvog kvalifikovanog elektronskog sertifikata. Određene druge obaveze se takođe mogu dodatno primeniti.
4.1 ZAHTEV ZA DOBIJANJE KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA
4.1.1 KO MOŽE DA DOSTAVI ZAHTEV ZA IZDAVANJE KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA?
Budući vlasnici kvalifikovanih elektronskih sertifikata koji se izdaju u skladu sa ovim CPS dokumentom su fizička lica i ovlašćena lica odgovarajućih pravnih lica. Što se tiče zahteva za izdavanje korisnikovog elektronskih sertifikata, HALCOM BG CA sertifikaciono telo zahteva da korisnik lično podnese zahtev sertifikacionom telu, odnosno registracionom telu, i overen i potpisan od strane zakonitog zastupnika u slučaju da je zahtev za korišćenje kvalifikovanih elektronskih sertifikata za potrebe pravnog lica, odnosno potpisan svojeručnim potpisom kada zahtev podnosi fizičko lice u svoje ime i za svoje potrebe. Zahtev za izdavanje kvalifikovanih elektronskih sertifikata od strane HALCOM BG CA sertifikacionog tela može da podnese svako ko ispunjava sledeće uslove: Korisnik mora biti prihvatljiv krajnji korisnik Servisnog centra Halcom a.d. Beograd
kako to definiše politika sertifikacije i ovaj CPS dokument.
Zahtev koji predaje korisnik mora da u sebi sadrži sve neophodne podatke, uključujući dovoljno podataka da korisnik može da bude identifikovan na jedinstven način.
4.1.2 PROCES DOSTAVLJANJA ZAHTEVA ZA IZDAVANJEM KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA (ENROLLMENT) I ODGOVORNOSTI
Kvalifikovani elektronski sertifikat se izdaje na osnovu pravilno ispunjene i potpisane narudžbenice za izdavanje kvalifikovanog elektronskog sertifikata (u daljem tekstu narudžbenica) od budućeg vlasnika sertifikata. Narudžbenica se predaje registracionom telu (RA) HALCOM BG CA lično od strane budućeg vlasnika kvalifikovanog elektronskog sertifikata. Narudžbenice za izdavanje kvalifikovanog elektronskog sertifikata dostupne su kako kod registracionih tela (RA) HALCOM BG CA tako i na web stranici HALCOM BG CA. Budući vlasnik kvalifikovanog elektronskog sertifikata lično predaje narudžbenicu/molbu u pismenom obliku. Pre izdavanja narudžbenice, HALCOM BG CA je u obavezi da upozna budućeg vlasnika, kao i pravno lice sa ovim CPS dokumentom, kao i sa ostalim informacijama o elektronskom potpisivanju i operativnom radu sertifikacionog tela HALCOM BG CA. HALCOM BG CA zadržava pravo da negativno reši molbu korisnika za izdavanje
33
kvalifikovanog elektronskog sertifikata ako je u suprotnosti sa važećim propisima Republike Srbije ili Evropske Unije.
4.2 PROCESIRANJE ZAHTEVA ZA DOBIJANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
4.2.1 IZVRŠAVANJE FUNKCIJE IDENTIFIKACIJE I AUTENTIKACIJE KORISNIKA
Ovlašćeno lice registracionog tela proverava identitet budućeg vlasnika. Budući vlasnik mora da dokaže svoj identitet važećim ličnim dokumentom sa fotografijom i ličnim prisustvom u registracionom telu. Pod ličnim identifikacionim dokumentom smatraju se važeća lična karta i pasoš. Ovlašćena lica registracionog ili sertifikacionog tela dužna su da provere identitet budućeg vlasnika sertifikata, odnosno sve one podatke koji su navedeni u zahtevu a dostupni su u službenim evidencijama odnosno u drugim službeno važećim dokumentima. Ovlašćena lica registracionog tela proverene ispunjene molbe/narudžbenice, kao i dopunsku originalnu dokumentaciju koja se zahteva, prosleđuju sertifikacionom telu HALCOM BG CA.
4.2.2 POTVRĐIVANJE ILI ODBIJANJE ZAHTEVA ZA DOBIJANJE KVALIFIKOVANOG CERTIFIKATA KORISNIKA
Nakon toga, HALCOM BG CA ili RA potvrđuju ili odbijaju zahtev za izdavanje kvalifikovanih elektronskih sertifikata. Takvo potvrđivanje ili odbijanje ne mora neophodno da bude obrazloženo podnosiocu ili bilo kojoj drugoj strani ako je u suprotnosti sa poslovnim i etičkim standardima za koje se zalaže Halcom BG CA. Ovlašćena lica sertifikacionog tela HALCOM BG CA odobravaju, odnosno u slučaju nepravilnih ili nedostajućih podataka ili neispunjavanja obaveza, odbijaju zahtev za dobijanje kvalifikovanog elektronskog sertifikata ako je u suprotnosti važećim propisima Republike Srbije ili Evropske Unije. O tome su zakoniti zastupnik pravnog lica ili budući korisnici obavešteni lično ili elektronskom poštom. Nakon dostavljanja aplikacije za izdavanje kvalifikovanih elektronskih sertifikata, ili zahteva za obnavljanjem kvalifikovanih elektronskih sertifikata, RA operator (RAO) potvrđuje ili odbija dostavljene zahteve. Nakon potvrđivanja dostavljenih informacija u aplikaciji za izdavanje kvalifikovanih elektronskih sertifikata, RAO potvrđuje ili odbija aplikaciju za izdavanje kvalifikovanih elektronskih sertifikata. Nakon potvrđivanja aplikacije za izdavanje kvalifikovanih elektronskih sertifikata, RAO šalje zahtev za izdavanje kvalifikovanih elektronskih sertifikata do HALCOM BG CA sertifikacionog tela.
4.2.3 POTREBNO VREME ZA PROCESIRANJE APLIKACIJE KORISNIKA
Pravna lica: HALCOM BG CA se po osnovu odobrenog zahteva za izdavanje kvalifikovanog elektronskog sertifikata obavezuje da najkasnije u roku od pet (5) dana izda kvalifikovani elektronski sertifikat na smart kartici ili USB ključu i lozinku za upotrebu sertifikata (PIN/PUK kod) i pošalje ih odvojeno registracionom telu koje dalje distribuira sertifikate do budućih vlasnika.
34
Fizička lica: Na osnovu odobrenog zahteva i podmirenih finansijskih obaveza vezanih za izdavanje kvalifikovanog elektronskog sertifikata mobilni operater unosi podatke u bazu, korisniku isporučuje SIM karticu i PIN/PUK kod, nakon čega je omogućeno preuzimanje sertifikata.
4.3 IZDAVANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
4.3.1 AKTIVNOSTI CA TOKOM PROCESA IZDAVANJA KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Proizvodni postupak za generisanje kvalifikovanih elektronskih sertifikata sa dva para asimetričnih ključeva sastoji se iz jasno odvojenih koraka (ili funkcija), sa odvojenim podsistemima: Pravna lica:
1. pred personalizacija bezbednosnog nosioca (generisanje ključeva na kartici i PIN/PUK koda),
2. obrada zahteva za izdavanje kvalifikovanog elektronskog sertifikata, 3. priprema kvalifikovanih elektronskih sertifikata 4. personalizacija smart kartice (izdavanje i upis sertifikata, štampanje podataka
vlasnika na smart kartici), 5. štampanje lične lozinke (PIN/PUK koda), 6. isporučivanje kvalifikovanog elektronskog sertifikata na smart kartici i lične lozinke
(PIN/PUK koda),
Kvalifikovani elektronski sertifikat na bezbednom mediju i odgovarajuća lična lozinka (PIN/PUK kod) se do registracionog tela dostavlja putem dva odvojena kanala u dve odvojene pošiljke, dok se vlasniku isporučuje lično na šalterima prijemne službe, u dve odvojene pošiljke, na dva različita šaltera. Fizička lica:
1. obrada zahteva za izdavanje kvalifikovanog elektronskog sertifikata, 2. priprema elektronskog zahteva za preuzimanje kvalifikovanog elektronskog
sertifikata na mobilnom telefonu korisnika (engl. »certificate request«), 3. isporuka elektronskog zahteva za preuzimanje kvalifikovanog elektronskog
sertifikata do sertifikacionog tela, 4. priprema kvalifikovanog elektronskog sertifikata, 5. preuzimanje kvalifikovanog elektronskog sertifikata, 6. isporuka obaveštenja vlasniku o zaključenom postupku.
Svi opisani postupci zasnovani su tako da ih ne može izvesti samostalno jedna osoba.
4.4 PRIHVATANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
4.4.1 SPROVOĐENJE PROCESA PRIHVATANJA KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Pravna lica:
Preuzimanje kvalifikovanih elektronskih sertifikata vrši se tako što budući vlasnik primi kvalifikovani elektronski sertifikat na bezbednom mediju i odgovarajuću ličnu lozinku (PIN/PUK kod) lično na šalterima prijemne službe HALCOM BG CA pogledati poglavlje 4.3.1.
35
Fizička lica: Postupak preuzimanja kvalifikovanog elektronskog sertifikata i PIN/PUK koda definisan je u četiri koraka:
1. Operater korisniku lično isporuči SIM karticu i PIN/PUK kod. 2. Korisnik se identifikuje kod RA. 3. RA unese podatke u bazu. 4. RA ili korisnik pokrene izradu kvalifikovanog elektronskog sertifikata: elektronski
se potpiše zahtev za izdavanje koji se prosledi do CA, CA izda sertifikat (kojeg korisnik preuzima sa mobilnom telefonom, putem bežične mreže operatera) i obavesti korisnika putem aplikacije na mobilnom telefonu.
Bilo koja primedba na prihvatanje izdatog kvalifikovanog elektronskog sertifikata mora biti eksplicitno dostavljena do HALCOM BG CA tela, kao sertifikacionom telu – izdavaocu. Potvrda odbijanja koja uključuje sva eventualna polja u sertifikatu koja sadrže pogrešne informacije mora takođe biti dostavljena.
4.4.2 OBJAVLJIVANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA OD STRANE CA
Kvalifikovani elektronski sertifikati se u skladu sa Zakonom i podzakonskim aktima javno ne objavljuju.
4.4.3 OBAVEŠTENJE DRUGIH ENTITETA O IZDATOM SERTIFIKATU
Sertifikaciono telo ne obaveštava druga preduzeća, odnosno organizacija, o izdavanju kvalifikovanog elektronskog sertifikata.
4.5 KORIŠĆENJE KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA I ASIMETRIČNOG PARA KLJUČA U ovom poglavlju se definišu odgovornosti koje se odnose na korišćenje asimetričnog para ključeva i kvalifikovanog elektronskog sertifikata, i to kako od strane korisnika tako i od trećih strana.
4.5.1 KORIŠĆENJE PRIVATNOG KLJUČA I KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA OD STRANE KORISNIKA
Korisnik se obavezuje da će koristiti privatni ključ i generisani kvalifikovani elektronski sertifikat od strane HALCOM BG CA sertifikacionog tela samo u predviđenim aplikacijama (elektronsko bankarstvo, itd.) koje su navedene u CP i ovim CPS, kao i u skladu sa definisanim načinom korišćenja ključa u samom sertifikatu (Key Usage i Enhanced Key Usage ekstenzije). Korišćenje privatnog ključa i kvalifikovanog elektronskog sertifikata predstavlja deo korisnikovog ugovora sa CA. U tom smislu, korisnik može koristiti svoj privatni ključ samo nakon prihvatanja odgovarajućeg kvalifikovanog elektronskog sertifikata. Takođe, korisnik mora prestati da koristi svoj privatni ključ nakon isticanja perioda validnosti ili povlačenja izdatog kvalifikovanog elektronskog sertifikata.
4.5.2 KORIŠĆENJE JAVNOG KLJUČA I KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA OD STRANE TREĆIH STRANA
Treća strana može da prihvata kvalifikovane elektronske sertifikate izdate od strane HALCOM BG CA sertifikacionog tela u onim aplikacijama koje su definisane u CP i ovim
36
CPS, kao i sa predviđenim načinom korišćenja kvalifikovanih elektronskih sertifikata definisanim u samim sertifikatima. Treća strana je obavezna da propisno i uspešno primenjuje operaciju javnog ključa koji ekstrahuje iz izdatog kvalifikovanog elektronskog sertifikata i odgovorna je da sprovodi proveru statusa opozvanosti datog kvalifikovanog elektronskog sertifikata korišćenjem metoda koji je definisan u CP i CPS dokumentima HALCOM BG CA sertifikacionog tela.
4.6 OBNAVLJANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA Obnova kvalifikovanih elektronskih sertifikata moguća je samo na osnovu zahteva vlasnika. Postupak podnošenja zahteva za obnovu kvalifikovanih elektronskih sertifikata isti je kao i kod prvobitnog izdavanja.
4.6.1 USLOVI ZA OBNAVLJANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Pre isteka validnosti kvalifikovanog elektronskog sertifikata, dostavljanjem zahteva za obnovu kvalifikovanih elektronskih sertifikata, vlasnici kvalifikovanih elektronskih sertifikata obezbeđuju kontinuitet korišćenja kvalifikovanih elektronskih sertifikata.
Zahtev za obnovu je moguće uložiti i nakon isteka validnosti kvalifikovanih elektronskih sertifikata.
4.6.2 KO MOŽE ZAHTEVATI OBNAVLJANJE KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA
Samo vlasnik kvalifikovanog elektronskog sertifikata može da traži obnovu kvalifikovanog elektronskog sertifikata.
4.6.3 PROCESIRANJE ZAHTEVA ZA OBNAVLJANJEM KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Obnovu kvalifikovanog elektronskog sertifikata zahteva korisnik dostavljanjem propisane dokumentacije za obnovu kvalifikovanog elektronskog sertifikata prijemnoj službi HALCOM BG CA. Postupak garantuje da je pravno, odnosno fizičko, lice koje uloži zahtev za obnovu kvalifikovanog elektronskog sertifikata doista vlasnik kvalifikovanog elektronskog sertifikata. Sertifikaciono telo obnavlja kvalifikovani elektronski sertifikat, tj. procesira dostavljeni zahtev i dostavlja obnovljeni kvalifikovani elektronski sertifikat korisniku. Autentikacija korisnika u cilju obnove kvalifikovanog elektronskog sertifikata vrši se na isti način kao i autentikacija pri izdavanju kvalifikovanog elektronskog sertifikata prvi put.
4.6.4 OBAVEŠTENJE KORISNIKA DA MU JE IZDAT OBNOVLJENI KVALIFIKOVANI ELEKTRONSKI SERTIFIKAT
Pogledati poglavlje 4.4.1.
4.6.5 SPROVOĐENJE PROCESA PREUZIMANJA OBNOVLJENOG KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA
Pogledati poglavlje 4.4.1.
4.6.6 OBJAVLJIVANJE OBNOVLJENOG KVALIFIKOVANOG ELEKTRONSKOG
37
SERTIFIKATA OD STRANE CA
Lista obnovljenih kvalifikovanih elektronskih sertifikata se ne objavljuje.
4.6.7 OBAVEŠTENJE DRUGIH ENTITETA OD STRANE CA O OBNOVI DATOG KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA
Sertifikaciono telo o izdavanju pojedinačnih kvalifikovanih elektronskih sertifikata vlasnicima ne obaveštava preduzeća i druge organizacije.
4.7 GENERISANJE NOVOG PARA KLJUČEVA I KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA KORISNIKA
4.7.1 USLOVI ZA GENERISANJE NOVOG PARA KLJUČEVA I KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA
Uslovi za generisanje novog para ključeva korisnika su: Kvalifikovani elektronski sertifikat datog korisnika je istekao ili
Kvalifikovani elektronski sertifikat datog korisnika je opozvan, a korisnik ima pravo da naknadno zatraži dobijanje novog kvalifikovanog elektronskog sertifikata.
Korisnici kojima je kvalifikovani elektronski sertifikat istekao, ukoliko žele da dobiju novi kvalifikovani elektronski sertifikat, moraju da podnesu zahtev za izdavanje kvalifikovanog elektronskog sertifikata koji je isti kao i svaki novi zahtev za dobijanje kvalifikovanog elektronskog sertifikata. U tom slučaju, generiše se novi par asimetričnih ključeva. Takođe, ukoliko je kvalifikovani elektronski sertifikat korisnika povučen, korisnik može dobiti novi kvalifikovani elektronski sertifikat samo na osnovu generisanog novog para asimetričnih ključeva i putem procedure koja je identična dostavljanju zahteva za izdavanje novog kvalifikovanog elektronskog sertifikata.
4.7.2 KO MOŽE ZAHTEVATI NOVI KVALIFIKOVANI ELEKTRONSKI SERTIFIKAT SA NOVIM JAVNIM KLJUČEM
Svi korisnici HALCOM BG CA sertifikacionog tela koji ispunjavaju uslove iz tačke 4.7.1.
4.7.3 PROCESIRANJE ZAHTEVA ZA NOVIM PAROM KLJUČEVA I SERTIFIKATOM
Nakon dostavljanja zahteva za izdavanjem novog kvalifikovanog elektronskog sertifikata, dalja procedura je u potpunosti identična proceduri za dobijanje prvog kvalifikovanog elektronskog sertifikata.
4.7.4 OBAVEŠTENJE KORISNIKA DA MU JE IZDAT NOVI KVALIFIKOVANI ELEKTRONSKI SERTIFIKAT
Ova procedure je identična proceduri izdavanja prvog kvalifikovanog elektronskog sertifikata.
4.7.5 SPROVOĐENJE PROCESA PRIHVATANJA NOVOG KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA
Ova procedure je identična proceduri prihvatanja prvog kvalifikovanog elektronskog sertifikata.
38
4.7.6 OBJAVLJIVANJE NOVOG KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA OD STRANE CA
Ova procedure je identična proceduri objavljivanja prvog kvalifikovanog elektronskog sertifikata.
4.7.7 OBAVEŠTAVANJE DRUGIH ENTITETA OD STRANE CA O IZDAVANJU NOVOG KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA
Ova procedura je identična proceduri obaveštavanja drugih entiteta o izdavanju prvog kvalifikovanog elektronskog sertifikata od strane CA.
4.8 MODIFIKACIJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA KORISNIKA
4.8.1 USLOVI ZA MODIFIKACIJU KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA KORISNIKA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.2 KO MOŽE ZAHTEVATI MODIFIKACIJU KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.3 PROCESIRANJE ZAHTEVA ZA MODIFIKACIJOM KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.4 OBAVEŠTENJE KORISNIKA DA MU JE IZDAT NOVI MODIFIKOVANI KVALIFIKOVANI ELEKTRONSKI SERTIFIKAT
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.5 SPROVOĐENJE PROCESA PRIHVATANJA NOVOG MODIFIKOVANOG KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.6 OBJAVLJIVANJE NOVOG MODIFIKOVANOG KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA OD STRANE CA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.7 OBAVEŠTENJE DRUGIH ENTITETA OD STRANE CA O IZDAVANJU NOVOG MODIFIKOVANOG KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9 OPOZIV I SUSPENZIJA KVALIFIKOVANIH ELEKTRONSKIH
39
SERTIFIKATA
4.9.1 USLOVI ZA POVLAČENJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Opoziv svog kvalifikovanog elektronskog sertifikata vlasnik može da zahteva bilo kada, ali svakako mora da ga zahteva u slučaju:
1. promene karakterističnog imena (DN), 2. kada se ustanovi ili sumnja da je došlo do pronevere ili zloupotrebe privatnog ključa
za elektronsko potpisivanje, 3. zamene kvalifikovanog elektronskog sertifikata drugim sertifikatom (npr. kod
gubitka bezbednosnog nosioca) Sertifikaciono telo HALCOM BG CA može da opozove kvalifikovani elektronski sertifikat bez zahteva vlasnika u slučajevima navedenim u prvom paragrafu ili na osnovu zahteva nadležnog suda ili drugog državnog nadležnog organa. Sertifikaciono telo HALCOM BG CA će na osnovu pravilnog zahteva za opoziv sertifikata, isti opozvati u roku od četiri (4) sata. Opozvani kvalifikovani elektronski sertifikat će biti označen u registru opozvanih sertifikata (CRL) prilikom izdavanja prve sledeće CRL liste koja se izdaje periodično, na svaka dvadeset četiri sata ( 24).. U slučaju da vlasnik kvalifikovanog elektronskog sertifikata isporuči sertifikacionom telu HALCOM BG CA nepravilan zahtev za opoziv, biće mu poslato upozorenje o nepravilnom zahtevu za opoziv sertifikata i biće upoznat sa uputstvima za dostavljanje pravilnog zahteva za opoziv.
4.9.2 KO MOŽE ZAHTEVATI OPOZIV KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Opoziv kvalifikovanog elektronskog sertifikata može da zahteva: Ovlašćeno lice sertifikacionog tela HALCOM BG CA,
Zakoniti zastupnik pravnog lica
Mobilni operater
Vlasnik kvalifikovanih elektronskih sertifikata,
Nadležni sud ili
Nadležni državni organ.
4.9.3 PROCEDURA PODNOŠENJA ZAHTEVA ZA OPOZIVOM KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Opoziv može da zahteva zakoniti zastupnik pravnog lica ili vlasnik sertifikata:
Lično u radno vreme registracionog tela, Elektronski, 24 sata na dan, svih dana u godini
Ako se opoziv zahteva:
Lično - potrebno je ispuniti odgovarajući zahtev za opoziv kvalifikovanog elektronskog sertifikata i predati ga registracionom telu;
Elektronski - vlasnik sertifikata mora da dostavi sertifikacionom telu HALCOM BG CA elektronski potpisanu poruku sa zahtevom za opoziv. Na osnovu te poruke sertifikaciono telo privremeno suspenduje sertifikat, a po prijemu odgovarajućeg svojeručno potpisanog zahteva za opoziv kvalifikovanog elektronskog sertifikata
40
sertifikaciono telo opoziva sertifikat. O datumu i vremenu opoziva, o podnosiocu zahteva za opoziv, kao i o uzrocima opoziva, vlasnik sertifikata mora da bude obavešten. Sudovi i administrativni organi koji takođe mogu da zahtevaju opoziv kvalifikovanih elektronskih sertifikata, taj proces izvršavaju u skladu sa propisanim procedurama.
4.9.4 GRACE PERIOD ZAHTEVA ZA OPOZIVOM KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.5 VREME ZA KOJE CA MORA DA PROCESIRA ZAHTEV ZA OPOZIV KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Sertifikaciono telo HALCOM BG CA je u obavezi da nakon prijema validnog zahteva za opoziv kvalifikovanih elektronskih sertifikata:
U roku od četiri (4) sata opozove kvalifikovani elektronski sertifikat Nakon opoziva, opozvani kvalifikovani elektronski sertifikat se upisuje u registar opozvanih kvalifikovanih elektronskih sertifikata (CRL) i objavljuje izdavanjem nove CRL koja se izdaje periodično, na svaka dvadesetčetiri (24) sata.
4.9.6 ZAHTEVI ZA TREĆE STRANE U VEZI PROVERE STATUSA KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Pre korišćenja kvalifikovanih elektronskih sertifikata izdatih od sertifikacionog tela HALCOM BG CA, treća lica koja se pouzdaju u dati kvalifikovani elektronski sertifikat moraju da provere najnoviji objavljeni registar opozvanih kvalifikovanih elektronskih sertifikata (CRL). Iz razloga verodostojnosti i celovitosti potrebno je da se uvek proveri i verodostojnost i integritet tog registra koji je elektronsko potpisan sa strane HALCOM BG CA sertifikacionog tela.
4.9.7 FREKVENCIJA IZDAVANJA REGISTRA OPOZVANIH SERTIFIKATA (CRL)
Registar opozvanih kvalifikovanih elektronskih sertifikata se ažurira/obnavlja (za pristup CRL pogledati poglavlje 7.2.3): Jedanput dnevno 24 sata nakon poslednje obnove CRL.
4.9.8 MAKSIMALNO KAŠNJENJE U IZDAVANJU REGISTRA OPOZVANIH SERTIFIKATA (CRL)
Objavljivanje novog registra opozvanih sertifikata vrši se:
U registru opozvanih sertifikata na serveru ldap.halcom.rs svakih 24 sata, A na web stranici http://domina.halcom.rs/crls sa kašnjenjem od najviše deset (10)
minuta.
4.9.9 RASPOLOŽIVOST PROCEDURE „ON LINE“ PROVERE STATUSA KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
41
4.9.10 ZAHTEVI „ON LINE“ PROVERE STATUSA KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.11 RASPOLOŽIVOST DRUGIH FORMI OBJAVLJIVANJA STATUSA KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.12 SPECIJALNI ZAHTEVI U ODNOSU NA KOMPROMITACIJU PRIVATNOG KLJUČA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.13 USLOVI ZA SUSPENZIJU KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Uslovi za suspenziju sertifikata su:
U slučaju da vlasnik sertifikata telefonski, elektronski ili FAX-om dostavi zahtev za opoziv sertifikata, isti se do prijema originalnog zahteva u pisanom obliku privremeno suspenduje.
U slučaju da vlasnik sertifikata, druga ili treća lica, državni ili drugi odgovarajući organi odnosno samo sertifikaciono telo, izraze sumnju da se u vezi sa sertifikatom postupa suprotno ovoj politici sertifikacije, odnosno suprotno važećim propisima, taj se kvalifikovani elektronski sertifikat privremeno suspenduje.
4.9.14 KO MOŽE ZAHTEVATI SUSPENZIJU KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Pogledati poglavlje 4.9.13.
4.9.15 PROCEDURA ZAHTEVA ZA SUSPENZIJOM KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Pogledati poglavlje 4.9.13.
4.9.16 OGRANIČENJE PERIODA SUSPENZIJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Pogledati poglavlje 4.9.13.
4.10 SERVISI PROVERE STATUSA KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
4.10.1 OPERATIVNE KARAKTERISTIKE
Pred-personalizacija smart kartica (generisanje ključeva i PIN/PUK koda) Priprema kvalifikovanih elektronskih sertifikata (obrada potpisanih zahteva za
sertifikate) Personalizacija smart kartica (izrada kvalifikovanih elektronskih sertifikata,
programiranje smart kartica upis generisanog sertifikata na smart karticu), štampanje podataka vlasnika na smart karticu - vizuelna personalizacija)
42
Opoziv kvalifikovanih elektronskih sertifikata HALCOM BG CA publikuje i suspendovane sertifikate u svom registru opozvanih sertifikata (CRL). Registar opozvanih kvalifikovanih elektronskih sertifikata (CRL – Certificate Revocation List) HALCOM BG CA ažurira se na svaka 24 sata. Registar opozvanih kvalifikovanih elektronskih sertifikata je javno objavljen na serveru ldap.halcom.rs putem LDAP protokola i na http://domina.halcom.rs/crls putem HTTP protokola, detalji o objavljivanju i načinu pristupa nalaze se u poglavljima 7.2 i 7.3.
4.10.2 RASPOLOŽIVOST SERVISA
Proveravanje statusa sertifikata raspoloživo je 24 sata na dan, svih dana u godini.
4.10.3 OPCIONA OBELEŽJA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.11 PRESTANAK KORIŠĆENJA KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA Odnos vlasnika i sertifikacionog tela prekida se ako: Vlasnikov kvalifikovani elektronski sertifikat istekne, a on ga ne obnovi,
je kvalifikovani elektronski sertifikat opozvan, a vlasnik ne podnese zahtev za novi.
4.12 ČUVANJE I REKONSTRUKCIJA PRIVATNOG KLJUČA KORISNIKA
4.12.1 POLITIKA I PRAKSA ČUVANJA I REKONSTRUKCIJE PRIVATNOG KLJUČA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.12.2 ENKAPSULACIJA KLJUČA I POLITIKA I PRAKSA ZA REKONSTRUKCIJU
Ovo poglavlje nije primenljivo u okviru ovih CPS.
43
5. UPRAVNE, OPERATIVNE I FIZIČKE BEZBEDNOSNE KONTROLE HALCOM BG CA sertifikaciono telo planira i izvodi sve bezbednosne mere u skladu sa standardima ISO/IEC 27001, 27002 i 27005, FIPS 140-2 level 3 i sa tehničkim zahtevima ETSI TS 101 456 - Policy requirements for certification authorities issuing qualified certificates. Oprema sertifikacionog tela HALCOM BG CA je postavljena u posebnim, odvojenim prostorijama i osigurana sistemom fizičkog i protiv-provalnog tehničkog obezbeđenja na više nivoa. Oprema je osigurana od neovlašćenog pristupa. Oprema je takođe obezbeđena i zaštićena protivpožarnim sistemom, sistemom protiv izliva vode, sistemom ventilacije i sistemom kontinualnog napajanja u više nivoa. Sertifikaciono telo HALCOM BG CA čuva rezervne i distributivne medijume tako da se u najvećoj meri sprečava gubitak, upad ili neovlašćena upotreba ili promena sačuvanih informacija. Kako za obnovu podataka tako i za arhiviranje važnih informacija obezbeđene su rezervne kopije koje su sačuvane na drugom mestu od onoga gde se drži programska oprema za upravljanje kvalifikovanih elektronskih sertifikata, u cilju obezbeđenja kontinuiteta poslovanja u slučajevima kada se iz nekih razloga unište podaci na osnovnoj lokaciji. Detaljan opis infrastrukture sertifikacionog tela HALCOM BG CA, operativni rad, postupci upravljanja infrastrukturom, kao i nadzor vezan za politiku bezbednosti operativnog rada, definisani su u internim pravilima rada sertifikacionog tela.
5.1 FIZIČKE BEZBEDNOSNE KONTROLE Oprema sertifikacionog tela je obezbeđena sistemima fizičkog i elektronskog obezbeđenja na više nivoa. Obezbeđenje infrastrukture sertifikacionog tela realizuje se u skladu sa preporukama struke za najviši nivo obezbeđenja. Celokupan opis infrastrukture sertifikacionog tela, primenjene procedure i obezbeđenje infrastrukture definisani su internim pravilima sertifikacionog tela.
5.1.1 LOKACIJA I ZGRADA SERTIFIKACIONOG TELA
HALCOM BG CA bezbedne prostorije su locirane u prostoru koji odgovara potrebama izvršenja operacija visoke bezbednosti. Postoje označene zone sa fizičkom kontrolom pristupa i zaključane kancelarije sa odgovarajućim sefovima. Oprema sertifikacionog tela HALCOM BG CA je postavljena u posebnim, bezbednim i odvojenim prostorijama. Oprema je osigurana sistemom fizičkog i elektronskog obezbeđenja na više nivoa. Detaljne odredbe nalaze se u internim pravilima sertifikacionog tela HALCOM BG CA.
5.1.2 FIZIČKI PRISTUP
Fizički pristup je ograničen implementacijom odgovarajućih mehanizama kontrole pristupa iz jedne u drugu zonu bezbednosti, kao i u zonu visoke bezbednosti. U tom smislu, CA operacije su locirane u okviru bezbedne računarske sobe koja je podržana fizičkim
44
monitorisanjem i bezbednosnim alarmima, kao i time da je obezbeđena podrška da prelazak iz zone u zonu može biti izveden samo korišćenjem tokena (bez-kontaktnih kartica). Pristup infrastrukturi sertifikacionog tela omogućen je samo ovlašćenim licima sertifikacionog tela u skladu sa njihovim zadacima i ovlašćenjima. Svi pristupi obezbeđeni su u skladu sa postojećim zakonodavstvom i preporukama. Detaljne odredbe fizičke kontrole bezbednosti nalaze se u internim pravilima sertifikacionog tela HALCOM BG CA.
5.1.3 ELEKTRIČNO NAPAJANJE I KLIMATIZACIJA
U okviru infrastrukture sertifikacionog tela obezbeđeno je kontinualno napajanje i odgovarajući klimatski sistemi. Sva oprema HALCOM BG CA sertifikacionog tela je priključena na jedinice za neprekidno napajanje. Temperatura i vlažnost vazduha u prostorijama održava se pomoću klima uređaja. Napajanje i ventilacija se održavaju sa redundansom visokog nivoa. Svi detalji o električnom napajanju i klimatizaciji se nalaze u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.1.4 IZLOŽENOST POPLAVAMA I VREMENSKIM NEPOGODAMA
Unutar prostorija HALCOM BG CA sertifikacionog tela nema vodovodnih instalacija. Prozori zadovoljavaju najmodernije standarde. Infrastruktura sertifikacionog tela HALCOM BG CA nije izložena opasnosti od poplava osim u slučaju više sile. Prostorije su zaštićene od poplava. Svi detalji se nalaze u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.1.5 PREVENCIJA I ZAŠTITA OD POŽARA
Prevencija i zaštita, kao i mere u odnosu na zaštitu od požara su implementirane. Prostorije sertifikacionog tela su osigurane od mogućih izbijanja požara. Svi detalji o prevencije i protivpožanoj zaštiti se nalaze u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.1.6 MEDIJUMI ZA ČUVANJE PODATAKA
Nosioci podataka, na papiru ili u elektronskom obliku, bezbedno se čuvaju u zaštićenim objektima. Bezbedne kopije programske opreme i šifrovanih baza sertifikacionog tela HALCOM BG CA redovno se obnavljaju i čuvaju u dve odvojene i fizički obezbeđene prostorije na različitim lokacijama. Medijumi se čuvaju na bezbedan način. „Backup“ medijumi se takođe čuvaju na odvojenoj lokaciji koja je fizički obezbeđena i zaštićena od požara i poplava.
45
5.1.7 ODLAGANJE SMEĆA
Sertifikaciono telo HALCOM BG CA obezbeđuje sigurno uklanjanje i uništavanje dokumenata u fizičkom/papirnom i elektronskom obliku. Detaljne odredbe o uništavanju podataka definišu se internim pravilima rada sertifikacionog tela HALCOM BG CA Uklanjanje otpadaka izvodi specijalna komisija u skladu sa internim pravilima sertifikacionog tela HALCOM BG CA.
Svi detalji o odlaganju smeća se nalaze u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.1.8 ODLAGANJE REZERVNIH KOPIJA
Odlaganje rezervnih kopija regulisano je internim pravilima sertifikacionog tela.
5.2 PROCEDURALNE KONTROLE HALCOM BG CA sprovodi kadrovsku i upravnu praksu koja obezbeđuje razumnu sigurnost u poverljivost i kompetenciju zaposlenih, kao i zadovoljavajuće performanse u vezi njihovih dužnosti u domenu tehnologija koje se odnose na elektronski potpis i PKI sisteme. Svaki zaposleni HALCOM BG CA potpisuje izjavu da će se pridržavati pravne regulative u vezi zaštite podataka, kao i da će zadovoljiti sve postavljene zahteve u vezi poverljivosti.
5.2.1 POVERLJIVE ULOGE
Svi zaposleni u HALCOM BG CA koji izvršavaju operacije povezane sa upravljanjem ključevima, kao i bilo koje druge operacije koje materijalno utiču na takve operacije, smatraju se osobama na poverljivim pozicijama. HALCOM BG CA sprovodi inicijalno istraživanje svih zaposlenih koji su kandidati za poverljive uloge u cilju razumnog pokušaja određivanja njihove poverljivosti i kompetencije. Operativni, organizacioni i stručni rad sertifikacionog tela HALCOM BG CA sprovodi rukovodilac interne organizacione jedinice koja je odgovorna za upravljanje kvalifikovanim elektronskim sertifikatima. Ovlašćenim licima sertifikacionog tela HALCOM BG CA smatraju se:
zaposleni u sertifikacionom telu HALCOM BG CA i zaposleni u registracionim telima.
Zaposleni u sertifikacionom telu HALCOM BG CA su raspoređeni u tri organizacione jedinice koje pokrivaju područja sledećeg sadržaja:
upravljanje informacionim sistemom, upravljanje kvalifikovanim elektronskim sertifikatima, obezbeđenje i kontrola,
Organizaciona Uloga Osnovni zadaci Broj
46
jedinica osoba Obezbeđenje i
kontrola Glavni administrator bezbednosti
Administriranje i implementacija procedura za rad sertifikacionog tela HALCOM BG CA
2
Upravljanje kvalifikovanim elektronskim sertifikatima
Sistem administrator
Prvi inženjeri bezbednosti
1. Upravljanje postupcima za izdavanje kvalifikovanih elektronskih sertifikata
2. Štampanje PIN/PUK kodova 3. Pristup protokolu
elektronskog potpisivanja (generisanja) kvalifikovanih elektronskih sertifikata
2
Drugi inženjer bezbednosti
1. Priprema kvalifikovanih elektronskih sertifikata
2. Personalizacija smart kartica 3. Opoziv kvalifikovanih
elektronskih sertifikata
2
Administratori kvalifikovanih elektronskih sertifikata
distribucija kvalifikovanih elektronskih sertifikata
1
Administratori PIN/PUK kodova
distribucija PIN/PUK kodova 1
Upravljanje informacionim
sistemom
Sistem operator Upravljanje telekomunikacijama i odgovornost za rad bezbednih sistema sertifikacionog tela
2
Evidencija Sistem evidentičar Odgovornost za održavanje arhiva i log fajlova
2
5.2.2 BROJ OSOBA ZA POJEDINAČNE ZADATKE
Operativne radne uloge planirane su tako da u najvećoj mogućoj meri sprečavaju mogućnost zloupotreba i podeljene su na pojedinačne, međusobno odvojene organizacione jedinice:
Organizaciona jedinica: Upravljanje informacionim sistemom Uloga: Glavni administrator bezbednosti Broj osoba: 2 Zadaci:
1. Odgovornost za administriranje i implementaciju bezbednosnih funkcija i procedura 2. Upravljanje aktivnostima na dodatnom unapređenju poslova generisanja, opoziva i
suspenzije kvalifikovanih elektronskih sertifikata Organizaciona jedinica: Upravljanje kvalifikovanim elektronskim sertifikatima Uloga: Prvi inženjer bezbednosti Broj osoba: 2 Zadaci:
1. Upravljanje postupcima za izdavanje kvalifikovanih elektronskih sertifikata 2. Štampanje PIN/PUK kodova 3. Pristup protokolu elektronskog potpisivanja (generisanja) CA sertifikata
47
Organizaciona jedinica: Upravljanje kvalifikovanim elektronskim sertifikatima Uloga: Drugi inženjer bezbednosti Broj osoba: 2 Zadaci:
1. Pred-personalizacija smart kartica (generisanje ključeva i PIN/PUK koda) 2. Priprema kvalifikovanih elektronskih sertifikata (obrada potpisanih zahteva za
sertifikate) 3. Personalizacija smart kartica (izrada kvalifikovanih elektronskih sertifikata,
programiranje smart kartica i upis generisanih kvalifikovanih elektronskih sertifikata na smart karticu, štampanje podataka vlasnika na smart karticu - vizuelna personalizacija)
4. Opoziv kvalifikovanih elektronskih sertifikata Organizaciona jedinica: Upravljanje kvalifikovanim elektronskim sertifikatima Uloga: Administrator kvalifikovanih elektronskih sertifikata Broj osoba: 1 Zadaci:
1. Bezbedna distribucija kvalifikovanih elektronskih sertifikata Organizaciona jedinica: Upravljanje kvalifikovanim elektronskim sertifikatima Uloga: Administrator PIN/PUK kodova Broj osoba: 1 Zadaci:
1. Distribucija PIN/PUK kodova Organizaciona jedinica: Upravljanje informacionom sistemom Uloga: Sistem operator Broj osoba: 2 Zadaci:
1. Priprema početne konfiguracije sistema, uključujući bezbedno startovanje i obustavu operativnog rada sistema
2. Početno podešavanje parametara novih podređenih sertifikacionih tela u infrastrukturi HALCOM BG CA
3. Postavljanje početne konfiguracije računarske mreže 4. Priprema medijuma za krizni ponovni start sistema u slučaju katastrofalnog gubitka
sistema, tj. incidenta sa katastrofalnim posledicama 5. Priprema sistemskih kopija, nadgradnja i obnova programske opreme, bezbedno
čuvanje kao i distribucija kopija i nadgradnji na odvojenu lokaciju 6. Administrativne funkcije koje su vezane na održavanje baze podataka
sertifikacionog tela i koje pomažu kod istraživanja eventualnog odstupanja od pravila
7. Promene imena servera i/ili mrežnih IP adresa 8. Sprovođenje arhiviranja zahtevanih sistemskih zapisa
Organizaciona jedinica: Evidencija Uloga: Sistem evidentičar Broj osoba: 2 Zadaci:
1. Održavanje arhiva i log fajlova bezbednih sistema sertifikacionog tela
48
Naveden je minimalan broj zaposlenih za pojedinačne uloge.
5.2.3 IDENTIFIKACIJA I AUTENTIKACIJA ZA SVAKU ULOGU
Svaka uloga/dužnost definiše odgovarajuće zahteve u pogledu identifikacije i autentikacije korisnika. Dokazivanje identiteta i prava pristupa za izvršavanje pojedinačnih zadataka u skladu sa ulogama pojedinačnih organizacionih jedinica, kao i za izvršavanje zadataka registracionog tela, osigurano je bezbednosnim mehanizmima i kontrolnim postupcima u skladu sa internim pravilima sertifikacionog tela HALCOM BG CA. Lista uloga i dužnosti detaljno je definisana internim pravilima HALCOM BG CA sertifikacionog tela.
5.2.4 ULOGE KOJE ZAHTEVAJU RAZDVAJANJE DUŽNOSTI
U okviru internih pravila HALCOM BG CA sertifikacionog tela definisano je koje uloge/dužnosti mogu biti kombinovane od strane jednog zaposlenog, a koje ne mogu. U internim pravilima rada sertifikacionog tela HALCOM BG CA, svakoj od prethodno navedenih uloga veoma je tačno određeno sa kojom od uloga definisani zadaci u njihovoj odgovornosti mogu ili ne mogu da budu kompatibilni. Za neke od zadataka, neophodno je prisustvo barem dva ovlašćena lica. U slučaju nepredviđenog odsustva određenih zaposlenih, njihove uloge preuzimaju drugi zaposleni, ako to prema internim pravilima nije nekompatibilno.
5.3 KADROVSKE BEZBEDNOSNE KONTROLE
5.3.1 KVALIFIKACIJA I ISKUSTVO
HALCOM BG CA izvršava neophodne aktivnosti u cilju provere zahtevane biografije, kvalifikacija, kao i iskustva neophodnog u cilju realizacije u okviru konteksta kompetencije specifičnog posla. Takve provere biografije tipično uključuju:
Kriminalne osude za ozbiljne zločine,
Pogrešne prezentacije informacija od strane kandidata,
Odgovarajuće reference.
Sertifikaciono telo HALCOM BG CA zapošljava pouzdane i stručno osposobljene zaposlene koji provereno nisu kažnjavani za bilo kakvo kriminalno delo. Svi zaposleni se redovno usavršavaju i stiču dodatna znanja vezana za svoje stručno područje. Za rad u HALCOM BG CA sertifikacionom telu neophodni su stručnjaci koji su tehnološki i profesionalno kompetentni i koji imaju potrebna znanja iz kriptografije, elektronskog potpisa, PKI sistema, smart kartica, HSM-ova, itd.
5.3.2 PROCEDURA PROVERE BIOGRAFIJE
HALCOM BG CA sertifikaciono telo realizuje relevantne provere eventualnih zaposlenih na bazi statusnih izveštaja koji su izdati od strane kompetentnih autoriteta, izjava trećih
49
strana ili izjava samih potencijalnih zaposlenih.
5.3.3 ZAHTEVI ZA OSPOSOBLJENOŠĆU
HALCOM BG CA sertifikaciono telo obezbeđuje obuku za svoje zaposlene u cilju realizacije funkcija poslovanja CA i RA.
5.3.4 UČESTANOST I ZAHTEVI PONOVNE OBUKE
Periodično ažuriranje obuke može takođe biti izvršeno u cilju uspostave kontinuiteta i ažurnosti znanja zaposlenih, kao i odgovarajućih procedura.
5.3.5 FREKVENCIJA I SEKVENCA ROTACIJE POSLOVA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
5.3.6 KAZNENE MERE U ODNOSU NA ZAPOSLENE ZA NEAUTORIZOVANE AKTIVNOSTI
HALCOM BG CA sertifikaciono telo definisalo je odgovarajuće mere za kažnjavanje zaposlenih za neovlašćene aktivnosti, neovlašćeno korišćenje odgovarajućih privilegija, kao i neovlašćeno korišćenje sistema, i predvidelo sankcije za određeno neposlovno i rizično ponašanje, a koje može biti različito u zavisnosti od različitih okolnosti. Sankcije se, u slučajevima neovlašćenog ili nemarnog izvođenja zadataka, za ovlašćena lica sertifikacionog tela, sprovode u skladu sa validnim propisima i internim pravilnikom o disciplinskoj i odštetnoj odgovornosti zaposlenog.
5.3.7 ZAHTEVI ZA NEZAVISNA LICA POD UGOVOROM
Nezavisna lica pod ugovorom su subjekti istih procedura zaštite privatnosti i uslova poverljivosti kao i zaposleni u okviru HALCOM BG CA sertifikacionog tela.
5.3.8 DOKUMENTACIJA KOJA SE DOSTAVLJA ZAPOSLENIMA
HALCOM BG CA sertifikaciono telo čini dostupnom svu neophodnu dokumentaciju zaposlenima koja se odnosi na inicijalnu obuku, do-obuku ili za druge svrhe.
5.4 PROCEDURE LOGOVANJA AKTIVNOSTI ZA POTREBE REVIZIJE Predviđene su procedure zapisivanja (logovanja) događaja i kao i revizije celokupnog sistema i implementirane su za svrhu održavanja bezbednog okruženja HALCOM BG CA sertifikacionog tela. U tom smislu, HALCOM BG CA implementira kontrole navedene u nastavku.
5.4.1 TIPOVI ZABELEŽENIH DOGAĐAJA
HALCOM BG CA sertifikaciono telo zapisuje događaje koji uključuju, ali nisu ograničeni na, operacije vezane za životni ciklus kvalifikovanih elektronskih sertifikata, pokušaje pristupa sistemu, kao i zahteve poslate sistemu. Sertifikaciono telo HALCOM BG CA redovno proverava i evidentira sve što značajno utiče na: sigurnost infrastrukture,
nesmetano delovanje svih sigurnosnih sistema,
50
kao i da li je u međuvremenu došlo do upada ili pokušaja upada neovlašćenih lica do opreme ili podataka.
Detaljni podaci o tome dati su u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.4.2 FREKVENCIJA PROCESIRANJA LOGOVA
Sertifikaciono telo HALCOM BG CA sprovodi sigurnosne preglede svoje infrastrukture, odnosno dnevnika, jednom dnevno.
5.4.3 PERIOD ČUVANJA AUDIT LOGOVA
HALCOM BG CA sertifikaciono telo procesira i arhivira audit logove na sedmičnom nivou. Dnevnici se čuvaju trajno.
5.4.4 ZAŠTITA AUDIT LOGOVA
Audit logove mogu gledati samo autorizovane osobe – sistem auditori. HALCOM BG CA implementira mehanizme zaštite audit logova od modifikacije i brisanja tako da niko ne može izvršiti pomenute operacije. Postupak zaštite audit logova precizno je definisan u internim pravilima HALCOM BG CA sertifikacionog tela.
5.4.5 PROCEDURE BACK-UP-A AUDIT LOGOVA
HALCOM BG CA sertifikaciono telo implementira procedure backup-a audit logova. Sigurnosne kopije dnevnika se izrađuju na dnevnoj bazi. Detalji su dati u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.4.6 SISTEM SAKUPLJANJA AUDIT LOGOVA
U okviru HALCOM BG CA sertifikacionog tela, audit logovi se sakupljaju i čuvaju u realnom vremenu. Podaci se za potrebe dnevnika sakupljaju bilo automatski, bilo ručno, u zavisnosti od vrste podataka. Detalji o sistemu sakupljanja audit logova dati su u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.4.7 OBAVEŠTAVANJE SUBJEKTA KOJI JE PROUZROKOVAO DOGAĐAJ
Subjekat koji je prouzrokovao određeni audit događaj se ne obaveštava o samoj audit aktivnosti.
5.4.8 PROCENA RANJIVOSTI SISTEMA
HALCOM BG CA sertifikaciono telo realizuje s vremena na vreme procenu ranjivosti sistema. Analiza dnevnika i nadzor nad sprovođenjem svih postupaka redovno se sprovode od strane
51
ovlašćenih lica sertifikacionog tela ili automatski, odgovarajućim sigurnosnim mehanizmima na svoj računarsko-komunikacionoj opremi koja je u nadležnosti sertifikacionog tela. Ocena ranjivosti se sprovodi na osnovu analize dnevnika. Detalji procene ranjivosti sistema dati su u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.5 ARHIVIRANJE ZAPISA Zahtevi za čuvanjem zapisa primenjuju se kako na HALCOM BG CA sertifikaciono telo tako i na mrežu RA. Opšte odredbe politike čuvanja zapisa HALCOM BG CA sertifikacionog tela navedene su u nastavku.
5.5.1 TIPOVI ARHIVIRANIH ZAPISA
Sertifikaciono telo HALCOM BG CA, u skladu sa odredbama važećih propisa, čuva sledeće podatke/dokumente/arhivsku građu/registratorski materijal:
dnevnike, zapisnike, sva dokazna sredstva o izvršenoj proveri identiteta vlasnika sertifikata, sve zahteve za dobijanje sertifikata, kvalifikovane elektronske sertifikate i registre opozvanih sertifikata, politike sertifikacije i druge dokumente sertifikacionog tela (opšta i interna pravila
rada), objave i obaveštenja sertifikacionog tela HALCOM BG CA i druge dokumente u skladu sa važećim propisima.
5.5.2 PERIOD ČUVANJA ARHIVE
Podaci se čuvaju u skladu sa zakonskim odredbama.
5.5.3 ZAŠTITA ARHIVE
Podaci koji se čuvaju dugotrajno čuvaju se bezbedno. Uslovi za zaštitu arhive uključuju:
Zapise koje samo sistem evidentičari (zaposleni kojima su pridružene dužnosti čuvanja podataka) mogu da vide i arhiviraju.
Zaštitu u odnosu na modifikaciju arhive, kao što je čuvanje podataka na medijumu na koji se može upisati samo jednom.
Zaštitu u odnosu na brisanje arhive.
Zaštitu u odnosu na kvarenje karakteristika medijuma vremenom na kojima se arhiva čuva, kao na primer realizacija zahteva da se podaci periodično migriraju na sveže medijume.
Detaljne odredbe dugotrajnog čuvanja definišu se u internim pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i preporukama.
5.5.4 PROCEDURA BACK-UP-A ARHIVE
HALCOM BG CA sertifikaciono telo sprovodi odgovarajuću proceduru back-up-a arhive.
52
HALCOM BG CA sertifikaciono telo realizuje zahteve za procedurom čuvanja barem dve odvojene kopije arhive koje su pod kontrolom dve različite osobe. Kopija dugotrajno čuvanih podataka bezbedno čuva se bezbedno. Detaljne odredbe dugotrajnog čuvanja kopija podataka definišu se u internim pravilima rada sertifikacionog tela HALCOM BG CA, a u skladu sa važećim propisima, standardima i preporukama.
5.5.5 ZAHTEVI ZA VREMENSKIM PEČATOM ZAPISA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
5.5.6 SISTEM SAKUPLJANJA ZAPISA
HALCOM BG CA sertifikaciono telo sprovodi odgovarajući sistem sakupljanja zapisa/logova koji se arhiviraju. Podaci se sakupljaju na način koji je u skladu sa vrstom dokumenta. Detaljne odredbe načina sakupljanja podataka definišu se u internim pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i preporukama.
5.5.7 PROCEDURE ZA DOBIJANJE I VERIFIKACIJU INFORMACIJA IZ ARHIVE
Pristup dugotrajno čuvanim podacima omogućen je samo ovlašćenim licima. U okviru HALCOM BG CA sertifikacionog tela, definisane su procedure u cilju dobijanja i verifikacije arhivskih informacija. U cilju dobijanja i verifikacije arhivskih informacija HALCOM BG CA sertifikaciono telo, kao i mreža RA, održavaju zapise pod jasnom hijerarhijskom kontrolom i sa jasnim opisom posla. HALCOM BG CA sertifikaciono telo čuva zapise u elektronskoj ili papirnoj formi. HALCOM BG CA sertifikaciono telo može zahtevati od svojih RA, korisnika ili njihovih agenata da dostave odgovarajuća dokumenta u cilju podrške ovog zahteva. Ovi zapisi mogu biti čuvani u elektronskoj, papirnoj i u bilo kojoj drugoj formi za koju HALCOM BG CA sertifikaciono telo smatra da je odgovarajuća. HALCOM BG CA sertifikaciono telo može da izmeni način čuvanja zapisa ako je to eventualno potrebno u saglasnosti sa određenim akreditacionim šemama. Detaljne odredbe u vezi pristupa dugotrajno čuvanim podacima definišu se u internim pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i preporukama.
5.6 IZMENA KLJUČEVA HALCOM BG CA sertifikaciono telo poseduje proceduru, detaljno opisanu u ovom CPS dokumentu, koja se sprovodi u slučaju isteka kvalifikovanih elektronskih sertifikata sertifikacionog tela ili povlačenja kvalifikovanih elektronskih sertifikata sertifikacionog tela. U oba slučaja, vrši se generisanje novog para ključeva sertifikacionog tela i distribucija novih kvalifikovanih elektronskih sertifikata CA tela svim korisnicima i zainteresovanim stranama, na isti način kao i kod prvog generisanog kvalifikovanih elektronskih sertifikata CA.
53
U slučaju novo izdatog sopstvenog kvalifikovanog elektronskog sertifikata sertifikacionog tela HALCOM BG CA, isti se odmah objavljuje na web stranicama sertifikacionog tela HALCOM BG CA.
5.7 KOMPROMITACIJA I OPORAVAK U SLUČAJU KATASTROFE
5.7.1 PROCEDURE ZA POSTUPANJE U INCIDENTNIM I KOMPROMITUJUĆIM SITUACIJAMA
U Posebnim internim pravilima rada, HALCOM BG CA sertifikaciono telo dokumentuje procedure koje treba izvršiti pri rešavanju incidenata, kao i izveštavanje u vezi eventualne kompromitacije ključeva.
5.7.2 RAČUNARSKI RESURSI, SOFTVER ILI PODACI KOJI SU OŠTEĆENI
HALCOM BG CA sertifikaciono telo takođe dokumentuje procedure oporavka koje se koriste ukoliko su računarski resursi, softver, i/ili podaci neispravni ili se sumnja da su neispravni. Detaljne odredbe se definišu u internim pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i preporukama.
5.7.3 PROCEDURE KOJE SE SPROVODE KOD KOMPROMITACIJE PRIVATNOG KLJUČA KORISNIKA
HALCOM BG CA sertifikaciono telo teži da ponovo uspostavi bezbedno okruženje u koracima koji uključuju, ali nisu ograničeni samo na, povlačenje neispravnih kvalifikovanih elektronskih sertifikata ili onih za koje se sumnja da su neispravni, odgovarajućih entiteta. Nakon toga, HALCOM BG CA sertifikaciono telo može ponovo izdati nove sertifikate tim entitetima.
5.7.4 MOGUĆNOSTI KONTINUITETA POSLOVANJA NAKON KATASTROFE
Plan kontinualnog poslovanja implementira se da osigura nastavak poslovanja nakon prirodne ili druge katastrofe.
5.8 ZAVRŠETAK RADA CA ILI RA Pre nego što prekine svoje aktivnosti pružanja sertifikacionih usluga, HALCOM BG CA sertifikaciono telo: Obezbeđuje svojim korisnicima koji imaju validne sertifikate obaveštenje o nameri
da prestane sa pružanjem sertifikacione usluge, tj. da prestane da izvršava aktivnosti u svojstvu CA.
Povlači sve sertifikate koji su još uvek validni (tj. one koji nisu povučeni i nije im istekao rok važnosti), nakon obaveštenja, a bez zahteva za saglasnošću korisnika.
Blagovremeno obaveštava o povlačenju kvalifikovanih elektronskih sertifikata sve korisnike na koje se to odnosi.
Čini razumne mere u cilju zaštite zapisa koje čuva u skladu sa ovim CPS dokumentom.
Ukoliko je to moguće, obezbeđuje odgovarajuće mere obezbeđenja sukcesije u smislu ponovnog izdavana kvalifikovanih elektronskih sertifikata od strane drugog
54
CA tela koje je sukcesor – nastavljač izdavanja kvalifikovanih elektronskih sertifikata datog CA – i koje poštuje ekvivalentne CP i CPS dokumente.
Detaljne odredbe protokola prilikom završetka rada CA ili RA definišu se u internim pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i preporukama.
55
6. TEHNIČKE BEZBEDNOSNE KONTROLE Ovo poglavlje definiše tehničke bezbednosne mere koje primenjuje HALCOM BG CA sertifikaciono telo u cilju zaštite svojih kriptografskih ključeva i aktivacionih podataka (kao na primer PIN-ovi, lozinke, itd.). Bezbednosno upravljanje ključevima je kritično u cilju osiguranja da svi ključevi i aktivacioni podaci budu zaštićeni i da se koriste isključivo od strane autorizovanih zaposlenih. Takođe, definisane su i druge tehničke bezbednosne kontrole koje se koriste od strane CA da bi se bezbedno izvršavale funkcije generisanja ključeva, autentikacije korisnika, registracije korisnika, izdavanja kvalifikovanih elektronskih sertifikata, povlačenja kvalifikovanih elektronskih sertifikata, revizije i arhiviranja. Tehničke kontrole uključuju životni ciklus bezbednosnih kontrola kao i operativne bezbednosne kontrole. U ovom poglavlju takođe se definišu tehničke bezbednosne kontrole nad repozitorijumima, registracionim telima, korisnicima i drugim učesnicima.
6.1 GENERISANJE I INSTALACIJA ASIMETRIČNOG PARA KLJUČEVA
6.1.1 PROCES GENERISANJA ASIMETRIČNOG PARA KLJUČEVA HALCOM BG CA SERTIFIKACIONOG TELA
Asimetrični par ključeva sertifikacionog tela HALCOM BG CA za elektronsko potpisivanje sertifikata i verifikaciju potpisa generiše se tokom uspostave sertifikacionog tela HALCOM BG CA (CA ceremonija). Za korisnike, vlasnike sertifikata, sertifikaciono telo HALCOM BG CA generiše dva asimetrična para ključeva i dva sertifikata:
privatni ključ za potpisivanje - za potrebe: o kvalifikovanog elektronskog potpisivanja (pravna lica) i o elektronskog potpisivanja (fizička lica),
privatni ključ za dešifriranje (za potrebe dešifriranja), javni ključ za verifikaciju potpisa -za verifikaciju:
o kvalifikovanog elektronskog potpisa (pravna lica) i o elektronskog potpisa (fizička lica)
javni ključ za šifriranje (za potrebe šifriranja). Oba para ključeva za vlasnika sertifikata generišu se na smart kartici u okviru sertifikacionog tela HALCOM BG CA gde se vrši i kompletna personalizacija smart kartice i štampanje PIN/PUK koda. Asimetrični parovi ključeva (privatni i javni ključ) za korisnike mobilnih kvalifikovanih elektronskih sertifikata generišu se kod proizvođača SIM kartica. Halcom BG CA sertifikati su u osnovi namenjeni elektronskom potpisivanju jednostranih ili međusobnih komunikacija vlasnika sertifikata te korišćenju u različitim aplikacijama. Pored toga sertifikati se mogu upotrebiti i za različite namene koje se pojave na tržištu, između ostalog i za šifrovanje. Halcom BG CA zbog bezbednosnih razloga upotrebljava „on-board“ sistem za generisanje ključeva. To podrazumeva da se asimetrični parovi ključeva (privatni i javni) za vlasnike
56
sertifikata generišu u smart kartici i samo se čuvaju u smart kartici i ne mogu se pročitati sa nje. Zbog svega gore navedenog otkrivanje kopije ključeva za dešifrovanje (engl. Key pair recovery) u Halcom BG CA sertifikacionom telu nije podržano. Sertifikaciono telo dostavlja korisniku (vlasniku sertifikata) kompletno programiranu smart karticu (sa dva para ključeva i dva sertifikata) kao i odštampan PIN/PUK kod.
6.1.2 ISPORUKA PRIVATNOG KLJUČA KORISNIKU
Asimetrični privatni ključevi za korisnike generišu se u okviru HALCOM BG CA sertifikacionog tela za pravna lica i kod proizvođača SIM kartica za fizička lica. Sertifikaciono telo ili RA dostavlja korisniku (vlasniku kvalifikovanih elektronskih sertifikata) kompletno programiranu smart karticu (sa dva para ključeva - privatni i javni ključ) kao i odštampan PIN/PUK kod.
6.1.3 DOSTAVA JAVNOG KLJUČA IZDAVAOCU KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Asimetrični parovi ključeva (privatni i javni ključ) za korisnike – vlasnike kvalifikovanih elektronskih sertifikata generišu sa u okviru sertifikacionog tela. Vlasnici mobilnih sertifikata u postupku preuzimanja dostavljaju svoj javni ključ u potpis sertifikacionom telu Halcom BG CA prema PKCS#10 protokolu. Kod mobilnih kvalifikovanih elektronskih sertifikata zahtev se prenosi preko mreže mobilnog operatera i to zaštićenim mrežnim povezivanjem između mobilnog operatera i sertifikacionog tela.
6.1.4 DOSTAVA JAVNOG KLJUČA IZDAVAOCA KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA TREĆIM STRANAMA
Kvalifikovani elektronski sertifikat sa javnim ključem sertifikacionog tela HALCOM BG CA vlasnicima kvalifikovanih elektronskih sertifikata, odnosno trećim licima, dostupan je: putem web stranice sertifikacionog tela
6.1.5 DUŽINE KLJUČEVA
Sertifikat Dužina ključa prema RSA [bit] Sertifikat sertfikacionog tela HALCOM BG CA (root i intermediate) 2048
Sertifikati za korisnike - pravna lica 1024 Mobilni sertifikati za korisnike – fizička lica 1024
6.1.6 GENERISANJE KRIPTOGRAFSKIH PARAMETARA I PROVERA KVALITETA
Kvalitet parametara asimetričnog para ključa sertifikacionog tela HALCOM BG CA garantovan je od strane proizvođača programske opreme, HSM (Hardware Security Module), koji koristi kvalitetne i sertifikovane hardverske generatore slučajnih brojeva (engl. random number generator).
57
6.1.7 MOGUĆE „KEY USAGE" OPCIJE
Namena upotrebe asimetričnih ključeva, odnosno kvalifikovanih elektronskih sertifikata, u skladu je sa X.509 v3 standardom i definisana je u odgovarajućoj ekstenziji kvalifikovanih elektronskih sertifikata: korišćenje ključa (engl. keyUsage) i prošireno korišćenje ključa (engl. extended keyUsage).
Elektronsko potpisivanje kvalifikovanih elektronskih sertifikata i registra opozvanih kvalifikovanih elektronskih sertifikata vrši se privatnim ključem sertifikacionog tela HALCOM BG CA, dok se za verifikaciju pomenutih potpisa koristi javni ključ iz kvalifikovanog elektronskog sertifikata sertifikacionog tela. U tom smislu, keyUsage ekstenzija u sertifikatu sertifikacionog tela sadrži odgovarajuće vrednosti. Profili kvalifikovanih elektronskih sertifikata koje izdaje sertifikaciono telo HALCOM BG CA navedeni su u poglavlju 7.1. U elektronskim sertifikatima (root, intermediate i korisnički sertifikati) izdatim od strane HALCOM BG CA sertifikacionog tela koriste se sledeće vrednosti u ekstenziji „Key Usage“: Root CA sertifikat:
Certificate Signing, Off-Line CRL Signing, CRL Signing Intermediate CA sertifikat:
Certificate Signing, Off-Line CRL Signing, CRL Signing
Sertifikati korisnika:
1. Digital Signature, Key Encipherment 2. Digital Signature, Non-Repudiation
6.2 ZAŠTITA PRIVATNOG KLJUČA I TEHNIČKE KONTROLE KRIPTOGRAFSKOG MODULA HALCOM BG CA telo koristi odgovarajuće hardverske i softverske mehanizme u cilju realizacije zadataka upravljanja ključevima CA. Hardverski i softverski mehanizmi koji štite privatne ključeve CA dokumentovani su u internim pravilima rada. Dokumenti prikazuju da su mehanizmi zaštite CA ključa u ekvivalentne snage kao i sami CA ključevi koji se štite.
6.2.1 STANDARDI I KONTROLE KRIPTOGRAFSKOG HARDVERSKOG MODULA
Privatni ključ sertifikacionog tela HALCOM BG CA zaštićen je kriptografskim modulom koji je sertifikovan u skladu sa FIPS 140-2 nivo 3 i Common Criteria EAL4+.
6.2.2 VIŠESTRUKA KONTROLA PRIVATNOG KLJUČA (K OD N PROCEDURA DISTRIBUIRANE ODGOVORNOSTI)
Procedura deljenja tajni HALCOM BG CA koristi višestruke autorizovane nosioce u cilju da zaštiti i poboljša poverljivost privatnih ključeva i obezbedi odgovarajuću proceduru oporavka ključa. Privatni ključ HALCOM BG CA sertifikacionog tela koristi se pod uslovima definisanim u okviru k od n kontrole od strane više zaposlenih sa poverljivim ulogama.
58
Pre nego što nosilac deljene tajne prihvati deljenu tajnu, on mora lično da se upozna sa kreiranjem, ponovnim kreiranjem i distribucijom tajne na sledećeg člana lanca poverljivosti. Nosilac deljene tajne može primiti deljenu tajnu na fizičkom medijumu kao što je određeni hardverski kriptografski modul (na primer smart kartica) koji je potvrđen za korišćenje od strane HALCOM BG CA sertifikacionog tela. HALCOM BG CA sertifikaciono telo čuva pisane zapise u vezi distribucije deljene tajne. Odredbe vezane za aktivaciju privatnog ključa sertifikacionog tela HALCOM BG CA definisane su u internim pravilima rada sertifikacionog tela HALCOM BG CA.
6.2.3 BEZBEDNO ČUVANJE PRIVATNOG KLJUČA
HALCOM BG CA sertifikaciono telo koristi odgovarajuće hardverske i softverske mehanizme da čuva svoje privatne ključeve. Procedura čuvanja privatnog ključa HALCOM BG CA sertifikacionog tela zahteva višestruke kontrole od strane na odgovarajući način autorizovanog osoblja sa poverljivim rolama. Autorizacija procedure čuvanja ključeva i autorizacija odgovarajućeg osoblja mora biti izvršena od strane više od jednog člana upravne strukture.
6.2.4 BACKUP KLJUČEVA HALCOM BG CA SERTIFIKACIONOG TELA
Nije primenljivo.
6.2.5 ARHIVIRANJE PRIVATNOG KLJUČA
Nije primenljivo.
6.2.6 TRANSFER PRIVATNOG KLJUČA NA HARDVERSKI KRIPTOGRAFSKI MODUL
Asimetrični par ključeva (privatni i javni) sertifikacionog tela generiše se u HSM uređaju i ne prenosi se nigde. Pravna lica: Asimetrični parovi ključeva (privatni i javni) za vlasnike kvalifikovanih elektronskih sertifikata generišu se u smart kartici i ne mogu se pročitati sa kartice. Fizička lica: Asimetrični parovi ključeva (privatni i javni) za vlasnike mobilnih kvalifikovanih elektronskih sertifikata generišu se u bezbednom okruženju proizvođača kartica (HSM) i SIM smart kartici sa koje se ne mogu pročitati.
6.2.7 ČUVANJE PRIVATNOG KLJUČA NA HARDVERSKOM KRIPTOGRAFSKOM MODULU
Asimetrični par ključeva (privatni i javni) sertifikacionog tela generiše se u HSM uređaju i isključivo se čuvaju u okviru HSM uređaja. Pravna lica:
59
Asimetrični parovi ključeva (privatni i javni) za vlasnike kvalifikovanog elektronskog kvalifikovanih elektronskih sertifikata generišu se u smart kartici i isključivo se čuvaju u smart kartici i ne mogu se pročitati sa nje. Fizička lica: Asimetrični parovi ključeva (privatni i javni) za vlasnike mobilnih kvalifikovanih elektronskih sertifikata generišu se u bezbednom okruženju proizvođača (HSM) i SIM smart kartici sa koje se ne mogu pročitati.
6.2.8 METODA AKTIVACIJE PRIVATNOG KLJUČA
Nosioci deljenih tajni (staraoci) HALCOM BG CA sertifikacionog tela imaju zadatak da aktiviraju i deaktiviraju privatni ključ CA sertifikacionog tela. Privatni ključ je tada aktivan u definisanom periodu vremena. Postupak aktivacije privatnog ključa sertifikacionog tela i procedura distribuirane odgovornosti u vezi tog postupka definisane su u internim pravilima rada sertifikacionog tela. Aktivacija privatnog ključa korisnika na smart kartici realizuje se ukucavanjem PIN koda.
6.2.9 METODA DEAKTIVIRANJA PRIVATNOG KLJUČA
Nosioci deljenih tajni (staraoci) HALCOM BG CA sertifikacionog tela imaju zadatak da aktiviraju i deaktiviraju privatni ključ CA sertifikacionog tela. Privatni ključ je tada aktivan u definisanom periodu vremena. Postupak za deaktivaciju/uništavanje privatnog ključa sertifikacionog tela HALCOM BG CA vrši se bezbednim načinom u skladu sa odredbama internih pravila rada sertifikacionog tela HALCOM BG CA. Privatni ključ se uništava na takav način da ga nije moguće ponovo koristiti.
6.2.10 METODA UNIŠTENJA PRIVATNOG KLJUČA
Privatni ključ HALCOM BG CA sertifikacionog tela se ne obnavlja. Privatni ključ HALCOM BG CA sertifikacionog tela će biti uništen na kraju svog životnog ciklusa. Privatni ključevi HALCOM BG CA sertifikacionog tela uništavaju se na kraju njihovog životnog veka u cilju garancije da oni neće nikada biti ponovo aktivirani i korišćeni. Privatni ključevi HALCOM BG CA sertifikacionog tela uništavaju se tako što se isti unište, a njihovi deljeni delovi obrišu. Postupak za uništenje privatnog ključa sertifikacionog tela bazira se na odgovarajućim funkcijama koje su podržane u HSM uređaju koji zadovoljava standarde navedene u poglavlju 6.2.1. Proces uništavanja ključeva dokumentovan je u internim pravilima rada i odgovarajući zapisi su arhivirani.
6.2.11 RANGIRANJE KRIPTOGRAFSKIH HARDVERSKIH MODULA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
60
6.3 NEKI DRUGI ASPEKTI UPRAVLJANJA PAROM KLJUČEVA
6.3.1 ARHIVIRANJE JAVNOG KLJUČA
Sertifikaciono telo HALCOM BG CA arhivira svoj javni ključ, kao i javne ključeve vlasnika kvalifikovanog elektronskog sertifikata, kao što je navedeno u poglavlju 5.5.
6.3.2 PERIODI VALIDNOSTI KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA I PRIVATNOG KLJUČA
HALCOM BG CA sertifikaciono telo izdaje korisničke kvalifikovane elektronske sertifikate sa periodom korišćenja kao što je naznačeno u kvalifikovanim elektronskim sertifikatima. U dole navedenoj tabeli data su vremena važenja privatnih i javnih ključeva sertifikacionog tela HALCOM BG CA i vlasnika kvalifikovanih elektronskih sertifikata.
Tip kvalifikovanih elektronskih sertifikata
Ključ Važenje
Root sertifikat sertifikacionog tela Halcom
BG CA
Privatni ključ 20 godina
Javni ključ 20 godina
Intermediate sertifikat sertifikacionog tela Halcom
BG CA PL
Privatni ključ 10 godina
Javni ključ 10 godina
Intermediate sertifikat sertifikacionog tela Halcom
BG CA FL
Privatni ključ 10 godina
Javni ključ 10 godina
Sertifikati za korisnike - pravna lica
Privatni ključ 3 godine
Javni ključ 3 godine
Mobilni sertifikati za korisnike -fizička lica
Privatni ključ 3 godine
Javni ključ 3 godine
Sertifikaciono telo HALCOM BG CA može u iznimnim slučajevima za pojedinačne sertifikate odrediti i kraći rok važenja kvalifikovanog elektronskog sertifikata (tj. javnog ključa u sertifikatu).
6.4 AKTIVACIONI PODACI
6.4.1 GENERISANJE I INSTALACIJA AKTIVACIONIH PODATAKA
HALCOM BG CA sertifikaciono telo dokumentuje sopstvenu distribuciju aktivacionih podataka za aktivaciju svog privatnog ključa i ima mogućnost da izmeni način distribucije tih podataka u slučaju da staraoci zahtevaju da budu zamenjeni u njihovim rolama. Za potrebe pristupa privatnim ključevima vlasnika kvalifikovanog elektronskog sertifikata koriste se PIN kodovi za pristup karticama koji se generišu u sertifikacionom telu HALCOM BG CA. PIN kod za smart karticu generiše se i štampa na specijalnim PIN/PUK kovertama u okviru sertifikacionog tela HALCOM BG CA.
61
PIN kod za pristup privatnim ključevima mobilnih kvalifikovanih elektronskih sertifikata generiše se kod proizvođača smart kartica i distribuira se od strane mobilnog operatera. Vlasnik može da promeni PIN kod nakon preuzimanja, kao i u bilo kom drugom momentu u periodu trajanja i korišćenja sertifikata
6.4.2 ZAŠTITA AKTIVACIONIH PODATAKA
PIN/PUK kodovi za smart karticu korisnika bezbedno se generišu u okviru sertifikacionog tela HALCOM BG CA. Sertifikaciono telo HALCOM BG CA isporučuje vlasniku sertifikata PIN/PUK kod lično u okviru registracionog tela. PIN kod za pristup privatnim ključevima kod mobilnih kvalifikovanih elektronskih sertifikata kreira se kod proizvođača smart kartica i distribuira se od strane mobilnog operatera. Sertifikaciono telo HALCOM BG CA preporučuje vlasniku da promeni PIN kod nakon preuzimanja ili ga čuva na sigurnom mestu koje je dostupno samo njemu.
6.4.3 DRUGI ASPEKTI U VEZI AKTIVACIONIH PODATAKA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
6.5 BEZBEDNOSNE KONTROLE RAČUNARA
6.5.1 SPECIFIČNI ZAHTEVI ZA BEZBEDNOST RAČUNARA
HALCOM BG CA sertifikaciono telo implementira bezbednosne kontrole nad računarima koji se koriste u okviru datog PKI sistema. Računari koji se koriste u okviru HALCOM BG CA sertifikacionog tela čuvaju se unutar specijalne prostorije koja je fizički obezbeđena. Pristup preko računarske mreže štiti se pomoću „firewall“ uređaja. Neautorizovan pristup računarima CA sertifikacionog tela nije dozvoljen.
6.5.2 RANGIRANJE BEZBEDNOSTI RAČUNARA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
6.6 ŽIVOTNI CIKLUS TEHNIČKIH BEZBEDNOSNIH KONTROLA
6.6.1 KONTROLE SISTEMSKOG RAZVOJA
HALCOM BG CA sertifikaciono telo realizuje periodične sistemsko-razvojne kontrole.
6.6.2 KONTROLE UPRAVLJANJA BEZBEDNOŠĆU
HALCOM BG CA sertifikaciono telo realizuje periodične bezbednosno-upravljačke kontrole.
6.6.3 ŽIVOTNI CIKLUS BEZBEDNOSNIH KONTROLA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
62
6.7 MREŽNE BEZBEDNOSNE KONTROLE HALCOM BG CA sertifikaciono telo održava i primenjuje visok nivo sistema mrežne bezbednosti, uključujući primenu „firewall“ uređaja i „intrusion detection/prevention“ sistema.
6.8 VREMENSKI PEČAT Ovo poglavlje nije primenljivo u okviru ovih CPS.
63
7. PROFILI KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA, CRL I OCSP Ovo poglavlje specificira formate kvalifikovanih elektronskih sertifikata i registra opozvanih kvalifikovanih elektronskih sertifikata (CRL) koje izdaje HALCOM BG CA sertifikaciono telo.
7.1 PROFILI KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA Profil root kvalifikovanih elektronskih sertifikata – Halcom BG CA Nazivi polja Vrednost odnosno značenje Osnovna polja u sertifikatima Varijanta engl. Version
V3
Identifikaciona oznaka kvalifikovanih elektronskih sertifikata engl. Serial Number
Jedinstven interni broj kvalifikovanih elektronskih sertifikata
Algoritam za potpis, engl. Signature algorithm
sha1RSA (OID1.2.840.113549.1.15)
Izdavač engl. Issuer
C=RS, O=Halcom a.d. Beograd, CN=Halcom BG CA
Valjanost, engl. Validity
Valid from: <početak valjanosti prema GMT> Valid to: <kraj valjanosti prema GMT>
Vlasnik, engl. Subject
CN = Halcom BG CA O = Halcom a.d. Beograd C = RS
Algoritam za javni ključ, engl. Subject Public Key Algorithm
rsaEncryption (OID 1.2.840.113549.1.1.1)
Javni ključ, engl. Public Key (... bits)
modulus, eksponent,...
Vlasnikov javni ključ koji pripada odgovarajućem paru, ključeva, šifriran alg. RSA, engl. RSA Public Key
dužina ključa je 2048 bitova
Ekstenzije u okviru X.509v3 standarda korišćenje ključa, OID 2.5.29.15, engl. Key Usage
Certificate Signing, Off-line CRL Signing, CRL Signing
Identifikator ključa vlasnika, OID 2.5.29.14, engl. Subject Key Identifier
identifikator ključa vlasnika 47 d1 d3 ab c5 a4 28 04
Osnovna ograničenja, OID 2.5.29.19, engl. Basic Constraints
Subject Type=CA Path Length Constraint=None
Dodatna identifikacija (nije deo kvalifikovanih elektronskih sertifikata) Prepoznavan otisak kvalifikovanih elektronskih sertifikata -SHA1 engl. Certificate Fingerprint – SHA1
Prepoznavan otisak sertifikata prema SHA1
Profil intermediate kvalifikovanih elektronskih sertifikata – Halcom BG CA PL i Halcom BG
64
CA FL Nazivi polja Vrednost odnosno značenje Osnovna polja u sertifikatima Varijanta engl. Version
V3
Identifikaciona oznaka kvalifikovanih elektronskih sertifikata engl. Serial Number
Jedinstven interni broj kvalifikovanih elektronskih sertifikata
Algoritam za potpis, engl. Signature algorithm
sha1RSA (OID1.2.840.113549.1.15)
Izdavač engl. Issuer
C=RS, O=Halcom a.d. Beograd, CN=Halcom BG CA
Valjanost, engl. Validity
Valid from: <početak valjanosti prema GMT> Valid to: <kraj valjanosti prema GMT>
Vlasnik, engl. Subject
Pravna lica (C=RS, O=Halcom a.d. Beograd, CN=Halcom BG CA PL)
Fizička lica (C=RS, O=Halcom a.d. Beograd, CN=Halcom BG CA FL)
Algoritam za javni ključ, engl. Subject Public Key Algorithm
rsaEncryption (OID 1.2.840.113549.1.1.1)
Javni ključ, engl. Public Key (... bits)
modulus, eksponent,...
Vlasnikov javni ključ koji pripada odgovarajućem paru, ključeva, šifriran alg. RSA, engl. RSA Public Key
dužina ključa je 2048 bitova
Ekstenzije u okviru X.509v3 standarda korišćenje ključa, OID 2.5.29.15, engl. Key Usage
Certificate Signing, Off-line CRL Signing, CRL Signing
Identifikator ključa izdavača, OID 2.5.29.35, engl. Authority Key Identifier
KeyID=47 d1 d3 ab c5 a4 28 04
Identifikator ključa vlasnika, OID 2.5.29.14, engl. Subject Key Identifier
identifikator ključa vlasnika Pravna lica 47 dd ba a4 63 34 d3 24 Fizička lica 43 40 d8 ec d2 62 80 6f
Osnovna ograničenja, OID 2.5.29.19, engl. Basic Constraints
Subject Type=CA Path Length Constraint=None
Dodatna identifikacija (nije deo kvalifikovanih elektronskih sertifikata) Prepoznavan otisak kvalifikovanih elektronskih sertifikata -SHA1 engl. Certificate Fingerprint – SHA1
Prepoznavan otisak sertifikata prema SHA1
Na osnovu politike sertifikacije (CPOID: 1.3.6.1.4.1.5939.10.1.1 i CPOID: 1.3.6.1.4.1.5939.11.1.1), sertifikaciono telo HALCOM BG CA izdaje sertifikate za pravna i fizička lica.
65
7.1.1 BROJ VERZIJE
HALCOM BG CA sertifikaciono telo izdaje elektronske sertifikate u formatu X.509v3 tako da su svi sertifikati verzije 3.
7.1.2 EKSTENZIJE U SERTIFIKATU
Podaci u sertifikatima za pravna lica su navedeni su sledećoj tabeli. Nazivi polja Vrednost odnosno značenje Osnovna polja u sertifikatima Varijanta engl. Version
V3
Identifikaciona oznaka kvalifikovanog elektronskog sertifikata engl. Serial Number
Jedinstven interni broj kvalifikovanih elektronskih sertifikata
Algoritam za potpis, engl. Signature algorithm
sha1RSA (OID1.2.840.113549.1.15)
Izdavač engl. Issuer
C=RS, O=Halcom a.d. Beograd, CN=Halcom BG CA PL
Valjanost, engl. Validity
Valid from: <početak valjanosti prema GMT> Valid to: <kraj valjanosti prema GMT>
Vlasnik, engl. Subject
karakteristično ime vlasnika, pogledati poglavlje 3.1.1.
Algoritam za javni ključ, engl. Subject Public Key Algorithm
rsaEncryption (OID 1.2.840.113549.1.1.1)
Javni ključ, engl. Public Key (... bits)
modulus, eksponent,...
Vlasnikov javni ključ koji pripada odgovarajućem paru, ključeva, šifriran alg. RSA, engl. RSA Public Key
dužina ključa je min 1024 bitova, pogledaj alineju 6.1.5.
Ekstenzije u okviru X.509v3 standarda Objava registra opozvanih kvalifikovanih elektronskih sertifikata, OID 2.5.29.31, engl. CRL Distribution Points
URL=ldap://ldap.halcom.rs/cn=Halcom%20BG%20CA%20PL,o=Halcom%20a.d%20Beograd,c=RS?certificaterevocationlist;binary
korišćenje ključa, OID 2.5.29.15, engl. Key Usage
Digital Signature, Non-Repudiation, Key Encipherment
Identifikator ključa sertifikacionog tela, OID 2.5.29.35, engl. Authority Key Identifier
KeyID=47 dd ba a4 63 34 d3 24
Identifikator ključa vlasnika, OID 2.5.29.14, engl. Subject Key Identifier
identifikator ključa vlasnika
66
Politika, u nadležnosti koje je sertifikat izdat, sa URL adresom CPS-a , OID 2.5.29.32, engl. certificatePolicies
Ovisi od vrste kvalifikovanog elektronskog sertifikata Certificate Policy: Policy Identifier=1.3.6.1.4.1.5939.10.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.halcom.rs/UserFiles/File/CPS.pdf
Oznaka kvalifikovanog kvalifikovanih elektronskih sertifikata na SSCD engl. QC SSCD Statement
30 14 30 08 06 06 04 00 0.0..... 8e 46 01 01 30 08 06 06 .F..0... 04 00 8e 46 01 04 ...F.
Sertifikat izdavača sa URL adresom OID 1.3.6.1.5.5.7.48.2 engl. Authority Information Access
[1]Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) Alternative Name: URL=http://www.halcom.rs/UserFiles/File/HalcomBGCAPLIntermediate.crt
Osnovna ograničenja, OID 2.5.29.19, engl. Basic Constraints
Subject Type=End Entity Path Length Constraint=None
Dodatna identifikacija (nije deo kvalifikovanog elektronskog sertifikata) Prepoznavan otisak kvalifikovanog elektronskog sertifikata -SHA1 engl. Certificate Fingerprint – SHA1
Prepoznavan otisak kvalifikovanog elektronskog sertifikata prema SHA1
Podaci u sertifikatima za fizička lica su navedeni su sledećoj tabeli. Nazivi polja Vrednost odnosno značenje Osnovna polja u kvalifikovanom elektronskom sertifikatu Varijanta engl. Version
V3
Identifikaciona oznaka kvalifikovanih elektronskih sertifikata engl. Serial Number
Jedinstven interni broj kvalifikovanih elektronskih sertifikata
Algoritam za potpis, engl. Signature algorithm
sha1RSA (OID1.2.840.113549.1.15)
Izdavač engl. Issuer
C=RS, O=Halcom a.d. Beograd, CN=Halcom BG CA FL
Valjanost, engl. Validity
Valid from: <početak valjanosti prema GMT> Valid to: <kraj valjanosti prema GMT>
Vlasnik, engl. Subject
karakteristično ime vlasnika, u zavisnosti od vrste kvalifikovanih elektronskih sertifikata, pogledati poglavlje 3.1.1.
Algoritam za javni ključ, engl. Subject Public Key Algorithm
rsaEncryption (OID 1.2.840.113549.1.1.1)
Javni ključ, engl. Public Key (... bits)
modulus, eksponent,...
67
Vlasnikov javni ključ koji pripada odgovarajućem paru, ključeva, šifriran alg. RSA, engl. RSA Public Key
dužina ključa je min 1024 bitova, pogledaj alineju 6.1.5.
Proširenja X.509v3 Objava registra opozvanih kvalifikovanih elektronskih sertifikata, OID 2.5.29.31, engl. CRL Distribution Points
URL=ldap://ldap.halcom.rs/cn=Halcom%20BG%20CA%20FL,o=Halcom%20a.d%20 Beograd,c=RS?certificaterevocationlist;binary
korišćenje ključa, OID 2.5.29.15, engl. Key Usage
Digital Signature, Non-Repudiation, Key Encipherment,
Prošireno korišćenje, OID 2.5.29.37, engl. Enhanced Key Usage
/
Identifikator ključa sertifikacionog tela, OID 2.5.29.35, engl. Authority Key Identifier
KeyID=43 40 d8 ec d2 62 80 6f
Identifikator ključa vlasnika, OID 2.5.29.14, engl. Subject Key Identifier
identifikator ključa vlasnika
Politika, u nadležnosti koje je sertifikat izdat, sa URL adresom CPS-a , OID 2.5.29.32, engl. certificatePolicies
Ovisi od vrste kvalifikovanih elektronskih sertifikata Certificate Policy: Policy Identifier=1.3.6.1.4.1.5939.11.1.1 1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.halcom.rs/UserFiles/File/CPS.pdf
Sertifikat izdavača sa URL adresom OID 1.3.6.1.5.5.7.48.2 engl. Authority Information Access
[1]Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) Alternative Name: URL=http://www.halcom.rs/UserFiles/File/HalcomBGCAFLIntermediate.crt
Osnovna ograničenja, OID 2.5.29.19, engl. Basic Constraints
Subject Type=End Entity Path Length Constraint=None
Dodatna identifikacija (nije deo kvalifikovanog elektronskog sertifikata) Prepoznatljiv otisak kvalifikovanih elektronskih sertifikata-SHA1 engl. Certificate Fingerprint – SHA1
Prepoznavan otisak kvalifikovanih elektronskih sertifikata prema SHA1
Ekstenzija namena korišćenja ključa (engl. Key Usage) označena je kao kritična (engl. critical).
7.1.3 OBJEKTNI IDENTIFIKATORI ALGORITAMA
Kvalifikovani elektronski sertifikati koje izdaje sertifikaciono telo HALCOM BG CA potpisani su primenom kriptografskog algoritma, određenim u polju signature algorithm: vrednost sha1RSA, identifikator objekta: OID 1.2.840.113549.1.1.5.
68
7.1.4 FORME IMENA
Pogledati poglavlje 3.1.1.
7.1.5 OGRANIČENJA IMENA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
7.1.6 OBJEKTNI IDENTIFIKATOR CPS
Ovaj dokument predstavlja Praktična pravila Halcom BG CA. Sertifikati Halcom BG CA sadrže identifikacioni broj odgovarajuće CP politike. Zbog toga, Halcom nije ovom dokumentu dodelio CPoid broj.
Identifikaciona oznaka politike sertifikacije HALCOM BG CA je:
OID = 1.3.6.1.4.1.5939.10.1.1 za pravna lica i OID = 1.3.6.1.4.1.5939.11.1.1 za fizička lica.
7.1.7 KORIŠĆENJE „POLICY CONSTRAINTS“ EKSTENZIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
7.1.8 SINTAKSA I SEMANTIKA „POLICY QUALIFIER“-SA
Pogledati poglavlje 7.1.2.
7.1.9 SEMANTIKA PROCESIRANJA KRITIČNE EKSTENZIJE „CERTIFICATE POLICIES“
U sertifikatima izdatim od strane HALCOM BG CA sertifikacionog tela, neophodno je da ekstenzija „Certificate Policies“ ima sledeće vrednosti: Odgovarajući OID politike sertifikacije po kojoj se izdaje dati kvalifikovani
elektronski sertifikat
Internet lokaciju (URL) na kojoj se nalazi ovaj CPS dokument radi preuzimanja.
7.2 PROFIL REGISTRA OPOZVANIH SERTIFIKATA (CRL) Registar opozvanih kvalifikovanih elektronskih sertifikata (CRL) izdaje sertifikaciono telo HALCOM BG CA sa karakterističnim imenom: Za pravna lica: C=RS, O=Halcom a.d. Beograd, CN=Halcom BG CA PL Za fizička lica: C=RS, O=Halcom a.d. Beograd CN=Halcom BG CA FL Registar opozvanih sertifikata se obnavlja jedanput dnevno 24 sata nakon poslednje
69
obnove CRL. Registar opozvanih kvalifikovanih elektronskih sertifikata sadrži jednoznačni interni serijski broj opozvanog kvalifikovanih elektronskih sertifikata, kao i vreme i datum opoziva.
7.2.1 BROJ VERZIJE
Registar opozvanih kvalifikovanih elektronskih sertifikata odgovara preporuci ITU-T X.509 (1997) uključujući i verziju 2 i ISO/IEC 9594-8:1997. Registar opozvanih kvalifikovanih elektronskih sertifikata dostupan je putem: LDAP protokola i
HTTP protokola.
7.2.2 CRL I CRL ENTRY EKSTENZIJE
Registar opozvanih kvalifikovanih elektronskih sertifikata uz ostale podatke, u skladu sa preporukom X.509v2, sadrži (osnovna polja i ekstenzije detaljnije su prikazani u donjoj tabeli): identifikacione oznake opozvanih kvalifikovanih elektronskih sertifikata i
vreme i datum opoziva.
Registru opozvanih sertifikata (CRL) za pravna lica: Naziv polja Vrednost odnosno značenje Osnovna polja u CRL Verzija, engl. Version
V2
Algoritam za digitalni potpis CRL, engl. Signature Algorithm
sha1RSA
Potpis sertifikacionog tela, engl. Signature
potpis HALCOM BG CA PL
Karakteristično ime sertifikacionog tela engl. Issuer
C=RS, O=Halcom a.d. Beograd, CN=Halcom BG CA PL
Vreme izdavanja CRL, engl. thisUpdate
Effective date: <vreme izdavanja prema GMT>
Vreme izdavanja sledeće CRL, engl. nextUpdate
Next Update: <vreme izdavanja sledeće CRL prema GMT>
Identifikacione oznake (serijski brojevi) opozvanih kvalifikovanih elektronskih sertifikata i vreme opoziva, engl. revokedCertificate
Serial Number: <identifikaciona oznaka (serijski broj) opozvanog kvalifikovanog elektronskog kvalifikovanih elektronskih sertifikata> Revocation Date: <vreme opoziva prema GMT>
Ekstenzije X.509v2 CRL redni broj CRL engl. CRL number
Redni broj izdatog registra opozvanih kvalifikovanih elektronskih sertifikata
identifikator ključa sertifikacionog tela, engl. Authority Key Identifier (OID 2.5.29.35)
KeyID= 47 dd ba a4 63 34 d3 24
CRL za fizička lica:
70
Naziv polja Vrednost odnosno značenje Osnovna polja u CRL Varijanta, engl. Version
V2
Algoritam za potpis, engl. Signature Algorithm
sha1RSA
Potpis sertifikacionog tela, engl. Signature
potpis Halcom BG CA
Karakteristično ime sertifikacionog tela engl. Issuer
C=RS, O=Halcom a.d. Beograd CN=Halcom BG CA FL
Vreme izdaje CRL, engl. thisUpdate
Effective date: <vreme izdaje prema GMT>
Vreme izdaje sledećeg CRL, engl. nextUpdate
Next Update: <vreme sledeće izdaje prema GMT>
Identifikacione oznake opozvanih kvalifikovanih elektronskih sertifikata i vreme opoziva, engl. revokedCertificate
Serial Number: <identifikaciona oznaka opozvanog kvalifikovanog elektronskog kvalifikovanih elektronskih sertifikata> Revocation Date: <vreme opoziva prema GMT>
Ekstenzije X.509v2 CRL redni broj CRL engl. CRL number
Redni broj izdatog registra opozvanih kvalifikovanih elektronskih sertifikata
identifikator ključa sertifikacionog tela, engl. Authority Key Identifier (OID 2.5.29.35)
KeyID=43 40 d8 ec d2 62 80 6f
Opozvani kvalifikovani elektronski sertifikati kojima je istekla validnost, ostaju izlistani u CRL, tj. ne brišu se iz CRL nakon isteka važnosti.
7.3 OCSP PROFIL Ovo poglavlje nije primenljivo u okviru ovih CPS.
7.3.1 BROJ VERZIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
7.3.2 OCSP EKSTENZIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
71
8. PROVERA USKLAĐENOSTI I DRUGA OCENJIVANJA
8.1 FREKVENCIJA ILI USLOVI OCENJIVANJA HALCOM BG CA sertifikaciono telo vrši periodičnu reviziju/proveru saglasnosti svojih osnovnih dokumenata rada, kao što su politike sertifikacije i ovaj CPS dokument, što uključuje i periodičnu superviziju od strane Nadležnog organa za akreditaciju i superviziju Republike Srbije. Operativni rad HALCOM BG CA sertifikacionog tela takođe je u saglasnosti sa najvažnijim međunarodnim i Evropskim standardima u ovoj oblasti, kao i sa Evropskom direktivom 1999/93/EC o elektronskim potpisima. U domenu izdavanja kvalifikovanih elektronskih sertifikata, HALCOM BG CA sertifikaciono telo radi u okviru ograničenja definisanim Zakonom o elektronskom potpisu Republike Srbije, kao i odgovarajućim podzakonskim aktima. HALCOM BG CA sertifikaciono telo prihvata pod određenim uslovima i proveru/reviziju internih procedura i pravila rada koja nisu javno dostupna. HALCOM BG CA evaluira rezultate ovakvih provera pre nego što ih implementira. U okviru sertifikacionog tela HALCOM BG CA postoji organizaciona jedinica za nadzor i usklađenost koju čine stručnjaci sa odgovarajućim tehnološkim i pravnim znanjima, a koji ne vrše zadatke vezane za upravljanje kvalifikovanim elektronskim sertifikatima. Pomenuta organizaciona jedinica nadzire rad sertifikacionog tela HALCOM BG CA. Organizaciona jedinica u slučaju otkrivenih nedostataka definiše odgovarajuće mere za uklanjanje tih nedostataka, koje je sertifikaciono telo HALCOM BG CA dužno da sprovede, i nadzire sprovođenje definisanih mera. Organizaciona jedinica za nadzor i usklađenost vrši nadzor rada sertifikacionog tela najmanje jedanput u godini.
8.2 IDENTITET/KVALIFIKACIJE PROCENJIVAČA HALCOM BG CA sprovodi redovne interne revizije usklađenosti poslovanja sa politikama sertifikacije, kao i sa ovim CPS dokumentom. Organizacionu jedinicu za nadzor i usklađenost čine stručnjaci sa odgovarajućim tehnološkim i pravnim znanjima.
8.3 ODNOS OCENJIVAČA PREMA OCENJIVANOM ENTITETU Ovo poglavlje nije primenljivo u okviru ovih CPS.
8.4 TEME POKRIVENE U PROCESU OCENJIVANJA U procesu ocenjivanja rada HALCOM BG CA sertifikacionog tela, bilo eventualnog eksternog od strane Nadležnog organa ili internog od strane internih auditora, vrši se provera saglasnosti osnovnih dokumenata CA sertifikacionog tela (politike sertifikacije i ovaj CPS dokument) sa postojećom zakonskom regulativom (Zakon o elektronskom potpisu i podzakonska akta), kao i da li je operativni rad HALCOM BG CA sertifikacionog tela u saglasnosti sa usvojenim i verifikovanim politikama sertifikacije (CP) i ovim praktičnim pravilima rada (CPS), kao i sa internim pravilima rada. Područja nadzora određena su u internim pravilima rada sertifikacionog tela HALCOM BG CA.
8.5 AKTIVNOSTI PREDUZETE KAO REZULTAT UTVRĐENIH
72
NEDOSTATAKA HALCOM BG CA sertifikaciono telo treba da uskladi svoje dokumente (CP, CPS i interna pravila rada) i operativni rad u skladu sa eventualnim nalazima eksternog ili internog auditinga. U slučaju utvrđenih nedostataka ili grešaka u radu sertifikacionog tela, organizaciona jedinica definiše mere za uklanjanje tih nedostataka, koje je sertifikaciono telo HALCOM BG CA dužno da sprovede, i nadzire izvođenje definisanih mera. Detalji oko sprovođenja navedenih mera definišu se u internim pravilima rada sertifikacionog tela HALCOM BG CA.
8.6 KOMUNIKACIJA REZULTATA Rezultati sprovođenja nadzora čuvaju se u okviru sertifikacionog tela HALCOM BG CA.
73
9. DRUGI POSLOVNI I PRAVNI ASPEKTI
9.1 CENE
9.1.1 CENE IZDAVANJA ILI OBNOVE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Sertifikaciono telo HALCOM BG CA definiše cenovnik korišćenja kvalifikovanih elektronskih sertifikata, svojih usluga, potrebne opreme i infrastrukture. Cena izdavanja i cbnavljanja kvalifikovanih elektronskih sertifikata definisana je važećim cenovnikom u registracionim centrima.
9.1.2 CENA PRISTUPA SERTIFIKATIMA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.1.3 CENA PRISTUPA INFORMACIJAMA O STATUSU KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Pristup registru opozvanih sertifikata (CRL) je besplatan osim ako se stranke ne dogovore drugačije. Registar opozvanih kvalifikovanih elektronskih sertifikata je besplatno dostupan svim korisnicima, bilo da su oni vlasnici kvalifikovanih elektronskih sertifikata izdatih od strane sertifikacionog tela HALCOM BG CA ili treća lica.
9.1.4 CENE ZA DRUGE SERVISE
Cene drugih usluga, opreme i infrastrukture određene su važećim cenovnikom.
9.1.5 POLITIKA POVRAĆAJA NOVCA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.2 FINANSIJSKA ODGOVORNOST
9.2.1 POKRIVENOST OSIGURANJEM
HALCOM BG CA obezbeđuje osiguranje za pokrivanje svih odgovornosti opisanih u ovom CPS dokumentu. Detaljne informacije o osiguranju objavljene su na zvaničnoj web strani sertifikacionog tela. HALCOM BG CA ne prihvata nikakvu drugu odgovornost koja izlazi iz pokrivanja definisanog ovim CPS dokumentom. Sertifikaciono telo HALCOM BG CA poseduje odgovarajuće osiguranje za bilo koju štetu koju mogu da pretrpe treća lica, a za koju je odgovorno sertifikaciono telo. Detaljne informacije objavljene su na web stranicama.
9.2.2 DRUGA DOBRA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
74
9.2.3 OSIGURANJE ILI GARANCIJSKA POKRIVENOST ZA KRAJNJE KORISNIKE
Korisnik je dužan da obešteti HALCOM BG CA sertifikaciono telo u odnosu na bilo koje aktivnosti ili propuste u odgovornosti, bilo koje gubitke ili štetu, kao i za bilo kakve troškove bilo koje vrste, uključujući razumne naknade advokata, koje bi HALCOM BG CA sertifikaciono telo moglo da ima kao rezultat: Bilo kog lažnog ili pogrešno prezentovanog podatka dostavljenog od strane
korisnika ili njihovih agenata.
Bilo kog propusta korisnika da dostavi materijalnu činjenicu da je pogrešna prezentacija ili propust učinjen iz nemarnosti ili sa namerom da se prevari HALCOM BG CA sertifikaciono telo ili bilo koje drugo lice koje prima i odnosi se prema dobijenom sertifikatu. Neobezbeđivanja odgovarajuće zaštite korisnikovog privatnog ključa, nekorišćenja bezbednog sistema kako je zahtevano, ili neizvršenja odgovarajućih preventivnih mera neophodnih da se spreči kompromitacija, gubitak, objavljivanje, modifikacija ili neautorizovano korišćenje korisnikovog privatnog ključa, ili napada na integritet privatnog ključa HALCOM BG CA sertifikacionog tela.
Kršenja bilo kojih zakona koji su primenljivi, uključujući one koji se odnose na zaštitu intelektualnih prava, viruse, pristup računarskim sistemima, itd.
9.3 POVERLJIVOST POSLOVNIH INFORMACIJA
9.3.1 OPSEG POVERLJIVIH INFORMACIJA
Sertifikaciono telo HALCOM BG CA postupa poverljivo sa sledećim podacima: Sa svim zahtevima za dobijanje kvalifikovanog elektronskog sertifikata ili drugih
usluga
Sve moguće poverljive podatke vezane za finansijske obaveze,
Sve moguće poverljive podatke koji predstavljaju predmet međusobnih ugovora sa trećim licima i
Sve ostale podatke koji su navedeni u internim pravilima rada sertifikacionog tela HALCOM BG CA.
U toku obrade svih mogućih poverljivih podataka o vlasnicima sertifikata i trećim licima, koji su nužno potrebni za usluge upravljanja kvalifikovanim elektronskim sertifikatima, sertifikaciono telo HALCOM BG CA postupa u skladu sa važećim zakonodavstvom.
9.3.2 INFORMACIJE KOJE NISU U OPSEGU POVERLJIVIH INFORMACIJA
Sertifikaciono telo HALCOM BG CA javno objavljuje samo one poslovne podatke koji nisu poverljive prirode, a u skladu sa važećim zakonodavstvom.
9.3.3 ODGOVORNOST ZA ZAŠTITU POVERLJIVIH INFORMACIJA
Sertifikaciono telo HALCOM BG CA ne preuzima nikakve odgovornosti za sadržaj podataka koje vlasnik kvalifikovanog elektronskog sertifikata elektronski šifruje ili potpisuje. Takođe, sertifikaciono telo ne preuzima nikakve odgovornosti za pitanja da li su vlasnik ili treće lice poštovali sve važeće propise, sve odredbe politike sertifikacije i drugih pravila sertifikacionog tela HALCOM BG CA, odnosno vodili računa o svim objavljenim uputstvima. Sertifikaciono telo HALCOM BG CA ne preuzima nikakve odgovornosti za posledice do kojih dolazi ukoliko vlasnik kvalifikovanog elektronskog sertifikata nije postupao u skladu sa
75
sigurnosnim zahtevima iz tačke 5.1 ovog CPS dokumenta.
9.4 PRIVATNOST PERSONALNIH INFORMACIJA
9.4.1 PLAN PRIVATNOSTI
HALCOM BG CA sertifikaciono telo pridržava se pravila zaštite privatnosti personalnih podataka i pravila poverljivosti kako je propisano u CPS dokumentu, kao i u odgovarajućim zakonskim dokumentima. Sa svim ličnim i poverljivim podacima o vlasnicima kvalifikovanih elektronskih sertifikata koji su nužno potrebni za usluge upravljanja kvalifikovanim elektronskim sertifikatima, sertifikaciono telo HALCOM BG CA postupa u skladu sa važećim zakonodavstvom.
9.4.2 INFORMACIJE KOJE SE TRETIRAJU KAO PRIVATNE
HALCOM BG CA sertifikaciono telo tretira privatnim sve informacije koje se odnose na korisnike kvalifikovanih elektronskih sertifikata. Lični podaci koji se čuvaju su svi lični podaci koje sertifikaciono telo HALCOM BG CA prikupi u okviru zahteva za svoje usluge ili u odgovarajućim registrima za dokazivanje identiteta vlasnika.
9.4.3 INFORMACIJE KOJE SE NE SMATRAJU PRIVATNIM
HALCOM BG CA sertifikaciono telo ne smatra privatnim isključivo one informacije korisnika za koje je sam korisnik dao saglasnost da se mogu publikovati. Najčešće se to odnosi samo na podatke koji se sadrže u izdatim kvalifikovanim elektronskim sertifikatima. Drugih mogućih ličnih podataka koji se javno objavljuju od strane sertifikacionog tela, osim ovih navedenih u sertifikatu i registru opozvanih kvalifikovanih elektronskih sertifikata, nema.
9.4.4 ODGOVORNOST ZA ZAŠTITU PRIVATNIH INFORMACIJA
HALCOM BG CA sertifikaciono telo je odgovorno za zaštitu privatnosti korisnikovih informacija. Sertifikaciono telo HALCOM BG CA postupa u skladu sa Zakonom o zaštiti podataka o ličnosti i drugim važećim zakonodavstvom vezanim za čuvanje i zaštitu ličnih podataka.
9.4.5 OBAVEŠTENJE I SAGLASNOST ZA KORIŠĆENJE PRIVATNIH INFORMACIJA
HALCOM BG CA sertifikaciono telo definiše uslove u vezi objavljivanja privatnih informacija za koje dati korisnik treba da da saglasnost i ti su uslovi objavljeni u ugovoru koji se potpisuje sa korisnikom. Vlasnik ovlašćuje sertifikaciono telo HALCOM BG CA za korišćenje ličnih podataka koji se nalaze na zahtevu za dobijanje kvalifikovanih elektronskih sertifikata, u skladu sa zakonom o zaštiti ličnih podataka.
9.4.6 OTKRIVANJE INFORMACIJA SHODNO PRAVNIM I ADMINISTRATIVNIM PROCESIMA
HALCOM BG CA sertifikaciono telo ne objavljuje, niti se zahteva da objavljuje, bilo koju poverljivu informaciju bez autentikovanog i potvrđenog zahteva od strane:
76
Same strane za koju se takva informacija i čuva,
Odgovarajućeg suda.
HALCOM BG CA može naplatiti odgovarajuću administrativnu cenu za procesiranje ovakvih objavljivanja. Strane u komunikaciji koje zahtevaju i dobijaju poverljive informacije imaju dozvolu za to na osnovu pretpostavke da će oni te informacije koristiti za zahtevane svrhe, da će ih osigurati od kompromitacije, i da će se uzdržati od njihovog korišćenja i objavljivanja trećim stranama. Sertifikaciono telo HALCOM BG CA ne prosleđuje lične podatke o vlasnicima kvalifikovanih elektronskih sertifikata trećim licima koja nisu navedena u kvalifikovanim elektronskim sertifikatima, osim ako se određeni podaci posebno zahtevaju za izvođenje specifičnih usluga odnosno aplikacija vezanih za sertifikate, a vlasnik kvalifikovanog elektronskog sertifikata je za te svrhe ovlastio sertifikaciono telo HALCOM BG CA (pogledati prethodno poglavlje), ili na zahtev nadležnog suda ili administrativnog organa. Lični podaci se prosleđuju i bez pismenog odobrenja vlasnika kvalifikovanog elektronskog sertifikata ukoliko je tako definisanom zakonodavstvom, odnosno važećim propisima.
9.4.7 DRUGE OKOLNOSTI ZA OTKRIVANJE INFORMACIJA
HALCOM BG CA sertifikaciono telo i njegovi partneri mogu učiniti raspoloživom specifičnu politiku privatnosti u cilju zaštite personalnih podataka aplikanta koji zahteva izdavanje kvalifikovanog elektronskog sertifikata od strane HALCOM BG CA sertifikacionog tela ili njegovog partnera putem njihovih web sajtova i/ili CP ili CPS dokumenata.
9.5 PRAVA INTELEKTUALNOG VLASNIŠTVA HALCOM BG CA sertifikaciono telo poseduje i zadržava sva prava intelektualnog vlasništva pridružena svojim bazama podataka, web sajtovima, kvalifikovanim elektronskim sertifikatima koje izdaje, kao i bilo kojim drugim publikacijama koje na bilo koji način pripadaju ili potiču od strane HALCOM BG CA sertifikacionog tela, uključujući CP i ovaj CPS dokument. Odredbe vezane na autorska, srodna i druga prava intelektualnog vlasništva:
U vezi privatnog ključa - pripadaju sva prava vlasniku kvalifikovanog elektronskog sertifikata,
U vezi javnih ključeva – sva prava nad svim podacima u sertifikatu, registru opozvanih kvalifikovanih elektronskih sertifikata, kao i na ovoj CPS dokumentu pripadaju sertifikacionom telu HALCOM BG CA.
9.6 PREDSTAVLJANJA I GARANCIJE Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.6.1 CA PREDSTAVLJANJA I GARANCIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.6.2 RA PREDSTAVLJANJA I GARANCIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
77
9.6.3 KORISNIČKA PREDSTAVLJANJA I GARANCIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.6.4 PREDSTAVLJANJA I GARANCIJE TREĆIH STRANA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.6.5 PREDSTAVLJANJA I GARANCIJE DRUGIH UČESNIKA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.7 NEPRIZNAVANJE GARANCIJA Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.8 OGRANIČENJA ODGOVORNOSTI Sertifikaciono telo HALCOM BG CA nije odgovorno za štetu koja proizlazi iz: korišćenje kvalifikovanih elektronskih sertifikata za namene i na način koji nije
izričito predviđen u politici sertifikacije i ovom CPS dokumentu,
nepravilnog ili pogrešnog obezbeđenja lozinki ili privatnih ključeva vlasnika kvalifikovanog elektronskog sertifikata, otkrivanje poverljivih podataka ili ključeva trećim licima i neodgovornog postupanja vlasnika kvalifikovanog elektronskog sertifikata,
zloupotrebe odnosno upada u informacioni sistem vlasnika kvalifikovanog elektronskog sertifikata i na taj način dolaska do podataka o kvalifikovanim elektronskim sertifikatima od strane neovlašćenih lica,
nepostupanja ili lošeg postupanja sa podacima u okviru informacione infrastrukture vlasnika kvalifikovanog elektronskog sertifikata ili trećih lica,
neproveravanja podataka i validnosti (statusa povučenosti) kvalifikovanih elektronskih sertifikata u registru opozvanih kvalifikovanih elektronskih sertifikata,
neproveravanja vremena validnosti kvalifikovanih elektronskih sertifikata,
postupanja vlasnika kvalifikovanog elektronskog sertifikata ili trećeg lica suprotno informacijama i obaveštenjima koje objavljuje sertifikaciono telo HALCOM BG CA, politikom sertifikacije, ovim CPS dokumentom i drugim propisima,
omogućenog korišćenja odnosno zloupotrebe vlasnikovog kvalifikovanog elektronskog sertifikata od strane neovlašćenih lica,
izdatog kvalifikovanog elektronskog sertifikata sa pogrešnim i neverodostojnim podacima, ili drugim radnjama vlasnika kvalifikovanog elektronskog sertifikata ili sertifikacionog tela,
korišćenja kvalifikovanih elektronskih sertifikata koji nisu validni, uz promenu podataka iz kvalifikovanih elektronskih sertifikata, elektronskih adresa ili promena imena vlasnika,
ispada infrastrukture koja nije u domenu upravljanja sertifikacionog tela HALCOM BG CA,
samih podataka koji se šifruju ili potpisuju korišćenjem kvalifikovanih elektronskih sertifikata,
78
upotrebe i pouzdanosti rada mašinske i programske opreme vlasnika kvalifikovanog elektronskog sertifikata.
9.9 ODŠTETE Za štetu je odgovorna stranka koja je istu prouzrokovala zbog nepoštovanja odredaba iz politike sertifikacije i ovog CPS dokumenta i važećeg zakonodavstva.
9.10 PERIOD VAŽNOSTI I KRAJ VALIDNOSTI OVIH CPS Sertifikaciono telo HALCOM BG CA zadržava pravo da izmeni politiku sertifikacije i ovaj CPS dokument i da nadogradi infrastrukturu bez prethodnog obaveštavanja vlasnika kvalifikovanog elektronskog sertifikata. Važeći sertifikati tako ostaju važeći do isteka njihove validnosti i za njih još uvek važi onaj CPS dokument koji je važio u vreme njihovog izdavanja. Za sve sertifikate izdate nakon početka validnosti novog CPS dokumenta, važi taj novi. Ovaj CPS dokument stupa na snagu onoga dana kada je odobren i objavljen od strane sertifikacionog tela HALCOM BG CA.
9.10.1 VAŽNOST
Nova verzija (odnosno promene) CPS dokumenta sertifikacionog tela HALCOM BG CA prethodno se, osam (8) dana pre zvaničnog datuma validnosti, objavljuje na web stranici sertifikacionog tela HALCOM BG CA sa novim identifikacionim brojem (CPSOID) i označenim datumom početka validnosti. Kraj validnosti CPS dokumenta nije određen niti je povezan sa periodom validnosti kvalifikovanih elektronskih sertifikata izdatih na osnovu ovog CPS.
9.10.2 KRAJ VALIDNOSTI
Prilikom objavljivanja novog CPS dokumenta, za sve sertifikate izdate po osnovu tog CPS, ostaju validne one odredbe koje smisaono ne mogu da se nadomeste odgovarajućim odredbama novog CPS (na primer postupak koji određuje način na koji je bio izdat taj kvalifikovani elektronski sertifikat, i sl.). Sertifikaciono telo može da, za pojedinačne odredbe validnog CPS dokumenta, objavi amandmane kao što je to navedeno u poglavlju 9.12.
9.10.3 EFEKAT ZAVRŠETKA I PONOVNOG RADA
Prilikom objavljivanja novog CPS, svi kvalifikovani elektronski sertifikati izdati nakon tog datuma procesiraju se prema novom CPS dokumentu. Novi CPS dokument ne utiče na validnost kvalifikovanih elektronskih sertifikata koji su bili izdati prema prethodnim CPS. Takvi kvalifikovani elektronski sertifikati ostaju važeći do isteka validnosti pri čemu se, gde god je to moguće procesiraju i/ili tretiraju prema novom CPS dokumentu.
9.11 POJEDINAČNA OBAVEŠTENJA I KOMUNIKACIJA SA UČESNICIMA Kontaktni podaci sertifikacionog tela objavljeni su na web stranicama istog i navedeni u poglavlju 1.3.1.
79
Kontaktni podaci vlasnika kvalifikovanog elektronskog sertifikata dostavljeni su u zahtevima vezanim za sertifikate. Kontaktni podaci trećih lica dostavljeni su u mogućem međusobnom dogovoru između trećeg lica i sertifikacionog tela HALCOM BG CA.
9.12 ISPRAVKE, MODIFIKACIJE I DODACI U ODNOSU NA OVE CPS
9.12.1 PROCEDURE ZA ISPRAVKU, MODIFIKACIJU ILI DODATAK
Promene ili dopune ovog CPS dokumenta sertifikaciono telo može da objavi u obliku promena ili dopuna ovog CPS ako se ne radi o suštinskim promenama operativnog rada sertifikacionog tela. Amandmani se usvajaju i prihvataju istim postupkom kao i sama praktična pravila rada. Ako promene i dopune suštinski utiču na operativni rad sertifikacionog tela, o tome se obaveštava nadležno Ministarstvo istim postupkom kao što to važi i za same dokumente. Način za označavanje amandmana definiše sertifikaciono telo HALCOM BG CA.
9.12.2 MEHANIZAM I PERIOD OBAVEŠTAVANJA
Sertifikaciono telo HALCOM BG CA definiše početak i kraj validnosti promena i dopuna. Promene i dopune se objavljuju sedam (7) dana pre početka validnosti na web stranicama sertifikacionog tela HALCOM BG CA.
9.12.3 USLOVI PROMENE OBJEKTNOG IDENTIFIKATORA (OID)
Ako prihvaćene promene i dopune utiču na korišćenje kvalifikovanih elektronskih sertifikata, sertifikaciono telo HALCOM BG CA može da odredi novi identifikacioni broj (CPSOID) za novi CPS, odnosno promene i dopune.
9.13 ODREDBE REŠAVANJA SPOROVA Sve pritužbe vlasnika kvalifikovanog elektronskog sertifikata rešava organizaciona jedinica za nadzor i usklađenost (poglavlje 5.3). Moguće sporove između vlasnika kvalifikovanog elektronskog sertifikata ili trećeg lica i sertifikacionog tela HALCOM BG CA rešava nadležni sud.
9.14 ZAKON KOJI SE POŠTUJE Ovaj CPS dokument je izrađen u potpunosti u skladu sa odgovarajućom zakonskom regulativom države Srbije, i to pre svega sa Zakonom o elektronskom potpisu i odgovarajućim podzakonskim aktima. Sve pravne stvari koje se odnose na HALCOM BG CA sertifikaciono telo i/ili koje se odnose na sertifikate izdate od strane HALCOM BG CA sertifikacionog tela, biće procesirane od strane odgovarajućeg suda u Srbiji. Dakle, za odlučivanje po ovom CPS dokumentu upotrebljava se pravo Republike Srbije.
80
9.15 SAGLASNOST SA PRIMENLJIVIM ZAKONIMA Nadzor nad usklađenošću operativnog rada sertifikacionog tela HALCOM BG CA sa važećim zakonodavstvom i propisima sprovodi nadležna inspekcijska služba. Interne provere usklađenosti operativnog rada sprovode ovlašćena lica u okviru sertifikacionog tela HALCOM BG CA.
9.16 RAZNE ODREDBE Sa ostalim subjektima sertifikaciono telo može da sklopi međusobne dogovore ako tako definiše važeće zakonodavstvo, odnosno drugi propisi.
9.16.1 KOMPLETAN UGOVOR
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.16.2 DODELJIVANJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.16.3 OZBILJNOST
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.16.4 SPROVOĐENJE PRAVNOG POSTUPKA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.16.5 VIŠA SILA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.17 DRUGE ODREDBE Ovo poglavlje nije primenljivo u okviru ovih CPS.