sertifikaciono telo halcom a.d. beograd (halcom bg ca) · 6.6 Životni ciklus tehničkih...
TRANSCRIPT
Sertifikaciono telo Halcom a.d. Beograd (HALCOM BG CA)
CPS (Certificate Practise Statement) Praktična pravila rada sertifikacionog tela
CPName: Halcom BG CA
CPName: Halcom BG CA PL CPOID: 1.3.6.1.4.1.5939.10.1.1
CPName: Halcom BG CA FL
CPOID: 1.3.6.1.4.1.5939.11.1.1
Dokument važi od: 01.04.20010.
2
Sadržaj
1. UVOD 9
1.1 Pregled osnovnih pretpostavki 9 1.1.1 Osnovni dokumenti rada HALCOM BG CA 10 1.1.2 Međusobni odnos osnovnih dokumenata rada HALCOM BG CA 10 1.1.3 Standardi 11 1.1.4 Posebna interna pravila rada 11
1.2 Naziv dokumenta i identifikacija 11
1.3 Učesnici u PKI sistemu HALCOM BG CA 12 1.3.1 HALCOM BG CA 12 1.3.2 Registraciona tela HALCOM BG CA 15 1.3.3 Korisnici 16 1.3.4 Treće strane 17 1.3.5 Drugi učesnici 18
1.4 Korišćenje sertifikata 19 1.4.1 Prihvatljivo korišćenje sertifikata 19 1.4.2 Zabranjeno korišćenje sertifikata 20
1.5 Administracija Praktičnih pravila rada 20 1.5.1 Organizacija administriranja Praktičnih pravila rada 20 1.5.2 Kontakt osoba 20 1.5.3 Osoba koja određuje pogodnost CPS dokumenta 21 1.5.4 Procedura odobravanja CPS dokumenta 21
1.6 Definicije i skraćenice 21
2. ODGOVORNOSTI ZA PUBLIKACIJE I REPOZITORIJUME 26
3. IDENTIFIKACIJA I AUTENTIKACIJA KORISNIKA 28
3.1 Nazivi 28 3.1.1 Tipovi imena 28 3.1.2 Potreba da imena budu sa realnim značenjem 29 3.1.3 Anonimni korisnici i korišćenje pseudonima 29 3.1.4 Pravila za interpretaciju različitih formi imena 29 3.1.5 Jedinstvenost imena 29 3.1.6 Prepoznavanje, autentikacija i uloga robnih marki („trademarks“) 29
3
3.2 Inicijalna provera identiteta 29 3.2.1 Autentikacija identiteta organizacije 30 3.2.3 Autentikacija identiteta pojedinca 30 3.2.4 Neverifikovane informacije o korisnicima 30 3.2.5 Validacija autoriteta 30 3.2.6 Kriterijumi za interoperabilnost 31
3.3 Identifikacija i autentikacija zahteva za obnavljanje ključeva 31 3.3.1 Identifikacija i autentikacija za rutinsko obnavljanje ključeva 31 3.3.2 Identifikacija i autentikacija za obnavljanje ključeva nakon opoziva 31
3.4 Identifikacija i autentikacija zahteva za povlačenje sertifikata 31
4. OPERATIVNI ZAHTEVI U VEZI ŽIVOTNOG CIKLUSA SERTIFIKATA 33
4.1 Aplikacija za dobijanje sertifikata 33 4.1.1 Ko može da dostavi aplikaciju za izdavanje sertifikata? 33 4.1.2 Proces dostavljanja zahteva za izdavanjem sertifikata (enrollment) i odgovornosti 33
4.2 Procesiranje aplikacije za dobijanje sertifikata 34 4.2.1 Izvršavanje funkcije identifikacije i autentikacije korisnika 34 4.2.2 Potvrđivanje ili odbijanje aplikacije za dobijanje s kvalifikovanog certifikata korisnika 34 4.2.3 Potrebno vreme za procesiranje aplikacije korisnika 34
4.3 Izdavanje sertifikata 34 4.3.1 Aktivnosti CA tokom procesa izdavanja sertifikata 34
4.4 Prihvatanje sertifikata 35 4.4.1 Sprovođenje procesa prihvatanja sertifikata 35 4.4.2 Objavljivanje sertifikata od strane CA 35 4.4.3 Obaveštenje drugih entiteta o izdatom sertifikatu 35
4.5 Korišćenje sertifikata i asimetričnog para ključa 35 4.5.1 Korišćenje privatnog ključa i sertifikata od strane korisnika 35 4.5.2 Korišćenje javnog ključa i sertifikata od strane trećih strana 36
4.6 Obnavljanje sertifikata 36 4.6.1 Uslovi za obnavljanje sertifikata 36 4.6.2 Ko može zahtevati obnavljanje sertifikata 36 4.6.3 Procesiranje zahteva za obnavljanjem sertifikata 36 4.6.4 Obaveštenje korisnika da mu je izdat obnovljeni sertifikat 37 4.6.5 Sprovođenje procesa prihvatanja obnovljenog sertifikata 37 4.6.6 Objavljivanje obnovljenog sertifikata od strane CA 37 4.6.7 Obaveštenje drugih entiteta od strane CA o obnovi datog sertifikata 37
4.7 Generisanje novog para ključeva i sertifikata korisnika 37 4.7.1 Uslovi za generisanje novog para ključeva i sertifikata 37 4.7.2 Ko može zahtevati novi sertifikat sa novim javnim ključem 37 4.7.3 Procesiranje zahteva za novim parom ključeva i sertifikatom 37 4.7.4 Obaveštenje korisnika da mu je izdat novi sertifikat 38 4.7.5 Sprovođenje procesa prihvatanja novog sertifikata 38 4.7.6 Objavljivanje novog sertifikata od strane CA 38 4.7.7 Obaveštenje drugih entiteta od strane CA o izdavanju novog sertifikata 38
4
4.8 Modifikacije sertifikata korisnika 38 4.8.1 Uslovi za modifikaciju sertifikata korisnika 38 4.8.2 Ko može zahtevati modifikaciju sertifikata 38 4.8.3 Procesiranje zahteva za modifikacijom sertifikata 38 4.8.4 Obaveštenje korisnika da mu je izdat novi modifikovani sertifikat 38 4.8.5 Sprovođenje procesa prihvatanja novog modifikovanog sertifikata 38 4.8.6 Objavljivanje novog modifikovanog sertifikata od strane CA 38 4.8.7 Obaveštenje drugih entiteta od strane CA o izdavanju novog modifikovanog sertifikata 38
4.9 Povlačenje i suspenzija sertifikata 39 4.9.1 Uslovi za povlačenje sertifikata 39 4.9.2 Ko može zahtevati opoziv sertifikata 39 4.9.3 Procedura podnošenja zahteva za opozivom sertifikata 39 4.9.4 Grace period zahteva za opozivom sertifikata 40 4.9.5 Vreme za koje CA mora da procesira zahtev za opoziv sertifikata 40 4.9.6 Zahtevi za treće strane u vezi provere statusa sertifikata 40 4.9.7 Frekvencija izdavanja CRL liste 40 4.9.8 Maksimalno kašnjenje u izdavanju CRL liste 41 4.9.9 Raspoloživost procedure online provere statusa sertifikata 41 4.9.10 Zahtevi online provere statusa sertifikata 41 4.9.11 Raspoloživost drugih formi objavljivanja statusa sertifikata 41 4.9.12 Specijalni zahtevi u odnosu na kompromitaciju privatnog ključa 41 4.9.13 Uslovi za suspenziju sertifikata 41 4.9.14 Ko može zahtevati suspenziju sertifikata 41 4.9.15 Procedura zahteva za suspenzijom sertifikata 41 4.9.16 Ograničenje perioda suspenzije sertifikata 41
4.10 Servisi provere statusa sertifikata 41 4.10.1 Operativne karakteristike 41 4.10.2 Raspoloživost servisa 42 4.10.3 Opciona obeležja 42
4.11 Prestanak korišćenja sertifikata 42
4.12 Čuvanje i rekonstrukcija privatnog ključa korisnika 42 4.12.1 Politika i praksa čuvanja i rekonstrukcije privatnog ključa 42 4.12.2 Enkapsulacija sesijskog ključa i politika i praksa za rekonstrukciju 42
5. UPRAVNE, OPERATIVNE I FIZIČKE BEZBEDNOSNE KONTROLE 43
5.1 Fizičke bezbednosne kontrole 43 5.1.1 Lokacija i konstrukcija sajta 43 5.1.2 Fizički pristup 43 5.1.3 Električno napajanje i klimatizacija 44 5.1.4 Izloženost poplavama i vremenskim nepogodama 44 5.1.5 Prevencija i zaštita od požara 44 5.1.6 Medijumi za čuvanje podataka 44 5.1.7 Odlaganje smeća 44 5.1.8 Odlaganje rezervnih kopija 45
5.2 Proceduralne kontrole 45 5.2.1 Poverljive uloge 45 5.2.2 Broj osoba za pojedinačne zadatke 46 5.2.3 Identifikacija i autentikacija za svaku ulogu 47 5.2.4 Uloge koje zahtevaju razdvajanje dužnosti 48
5
5.3 Kadrovske bezbednosne kontrole 48 5.3.1 Kvalifikacija i iskustvo 48 5.3.2 Procedura provere biografije 48 5.3.3 Zahtevi za obučenošću 48 5.3.4 Učestanost i zahtevi ponovne obuke 49 5.3.5 Frekvencija i sekvenca rotacije poslova 49 5.3.6 Kaznene mere u odnosu na zaposlene za neautorizovane aktivnosti 49 5.3.7 Zahtevi za nezavisna lica pod ugovorom 49 5.3.8 Dokumentacija koja se dostavlja zaposlenima 49
5.4 Procedure logovanja aktivnosti za potrebe revizije 49 5.4.1 Tipovi zabeleženih događaja 49 5.4.2 Frekvencija procesiranja logova 50 5.4.3 Period čuvanja audit logova 50 5.4.4 Zaštita audit logova 50 5.4.5 Procedure back-up-a audit logova 50 5.4.6 Sistem sakupljanja audit logova 50 5.4.7 Obaveštenje subjekta koji je prouzrokovao događaj 50 5.4.8 Procena ranjivosti sistema 50
5.5 Arhiviranje zapisa 51 5.5.1 Tipovi arhiviranih zapisa 51 5.5.2 Period čuvanja arhive 51 5.5.3 Zaštita arhive 51 5.5.4 Procedura back-up-a arhive 52 5.5.5 Zahtevi za vremenskim pečatom zapisa 52 5.5.6 Sistem sakupljanja zapisa 52 5.5.7 Procedure za dobijanje i verifikaciju informacija iz arhive 52
5.6 Izmena ključeva 52
5.7 Kompromitacija i oporavak u slučaju katastrofe 53 5.7.1 Procedure za postupanje u incidentnim i kompromitujućim situacijama 53 5.7.2 Računarski resursi, softver ili podaci koji su oštećeni 53 5.7.3 Procedure koje se sprovode kod kompromitacije privatnog ključa korisnika 53 5.7.4 Mogućnosti kontinuiteta poslovanja nakon katastrofe 53
5.8 Završetak rada CA ili RA 53
6. TEHNIČKE BEZBEDNOSNE KONTROLE 55
6.1 Generisanje i instalacija asimetričnog para ključeva 55 6.1.1 Proces generisanja asimetričnog para ključeva HALCOM BG CA tela 55 6.1.2 Isporuka privatnog ključa korisniku 55 6.1.3 Dostava javnog ključa do izdavaoca sertifikata 55 6.1.4 Dostava javnog ključa izdavaoca sertifikata trećim stranama 56 6.1.5 Dužine ključeva 56 6.1.6 Generisanje kriptografskih parametara i provera kvaliteta 56 6.1.7 Moguće „Key Usage" opcije 56
6.2 Zaštita privatnog ključa i tehničke kontrole kriptografskog modula 57 6.2.1 Standardi i kontrole kriptografskog hardverskog modula 57 6.2.2 Višestruka kontrola privatnog ključa (k od n procedura distribuirane odgovornosti) 57 6.2.3 Bezbedno čuvanje privatnog ključa 57 6.2.4 Backup ključeva HALCOM BG CA tela 57
6
6.2.5 Arhiviranje privatnog ključa 58 6.2.6 Transfer privatnog ključa na hardverski kriptografski modul 58 6.2.7 Čuvanje privatnog ključa na hardverskom kriptografskom modulu 58 6.2.8 Metoda aktivacije privatnog ključa 58 6.2.9 Metoda deaktiviranja privatnog ključa 58 6.2.10 Metoda uništenja privatnog ključa 58 6.2.11 Rangiranje kriptografskih hardverskih modula 59
6.3 Neki drugi aspekti upravljanja parom ključeva 59 6.3.1 Arhiviranje javnog ključa 59 6.3.2 Periodi validnosti sertifikata i privatnog ključa 59
6.4 Aktivacioni podaci 60 6.4.1 Generisanje i instalacija aktivacionih podataka 60 6.4.2 Zaštita aktivacionih podataka 60 6.4.3 Drugi aspekti u vezi aktivacionih podataka 60
6.5 Bezbednosne kontrole računara 60 6.5.1 Specifični zahtevi za bezbednost računara 60 6.5.2 Rangiranje bezbednosti računara 60
6.6 Životni ciklus tehničkih bezbednosnih kontrola 61 6.6.1 Kontrole sistemskog razvoja 61 6.6.2 Kontrole upravljanja bezbednošću 61 6.6.3 Životni ciklus bezbednosnih kontrola 61
6.7 Mrežne bezbednosne kontrole 61
6.8 Vremenski pečat 61
7. PROFILI SERTIFIKATA, CRL LISTA I OCSP 62
7.1 Profili sertifikata 62 7.1.1 Broj verzije 62 7.1.2 Ekstenzije u sertifikatu 62 7.1.3 Objektni identifikatori algoritama 64 7.1.4 Forme imena 64 7.1.5 Ograničenja imena 64 7.1.6 Objektni identifikator CPS 64 7.1.7 Korišćenje „Policy Constraints“ ekstenzije 64 7.1.8 Sintaksa i semantika „Policy Qualifier“-sa 64 7.1.9 Semantika procesiranja kritične ekstenzije „Certificate Policies“ 64
7.2 Profil CRL liste 65 7.2.1 Broj verzije 65 7.2.2 CRL i CRL entry ekstenzije 65
7.3 OCSP profil 67 7.3.1 Broj verzije 67 7.3.2 OCSP ekstenzije 67
8. PROVERA USKLAĐENOSTI I DRUGA OCENJIVANJA 68
8.1 Frekvencija ili uslovi ocenjivanja 68
8.2 Identitet/kvalifikacije procenjivača 68
7
8.3 Odnos ocenjivača prema ocenjivanom entitetu 68
8.4 Teme pokrivene u procesu ocenjivanja 68
8.5 Aktivnosti preduzete kao rezultat utvrđenih nedostataka 68
8.6 Komunikacija rezultata 69
9. DRUGI POSLOVNI I PRAVNI ASPEKTI 70
9.1 Cene 70 9.1.1 Cene izdavanja ili obnove sertifikata 70 9.1.2 Cena pristupa sertifikatima 70 9.1.3 Cena pristupa informacijama o statusu sertifikata 70 9.1.4 Cene za druge servise 70 9.1.5 Politika povraćaja novca 70
9.2 Finansijska odgovornost 70 9.2.1 Pokrivenost osiguranjem 70 9.2.2 Druga dobra 70 9.2.3 Osiguranje ili garancijska pokrivenost za krajnje korisnike 70
9.3 Poverljivost poslovnih informacija 71 9.3.1 Opseg poverljivih informacija 71 9.3.2 Informacije koje nisu u opsegu poverljivih informacija 71 9.3.3 Odgovornost za zaštitu poverljivih informacija 71
9.4 Privatnost personalnih informacija 72 9.4.1 Plan privatnosti 72 9.4.2 Informacije koje se tretiraju kao privatne 72 9.4.3 Informacije koje se ne smatraju privatnim 72 9.4.4 Odgovornost za zaštitu privatnih informacija 72 9.4.5 Obaveštenje i saglasnost za korišćenje privatnih informacija 72 9.4.6 Otkrivanje informacija shodno pravnim i administrativnim procesima 72 9.4.7 Druge okolnosti za otkrivanje informacija 73
9.5 Prava intelektualnog vlasništva 73
9.6 Predstavljanja i garancije 73 9.6.1 CA predstavljanja i garancije 73 9.6.2 RA predstavljanja i garancije 73 9.6.3 Korisnička predstavljanja i garancije 73 9.6.4 Predstavljanja i garancije trećih strana 73 9.6.5 Predstavljanja i garancije drugih učesnika 74
9.7 Nepriznavanje garancija 74
9.8 Ograničenja odgovornosti 74
9.9 Odštete 74
9.10 Period važnosti i kraj validnosti ovih CPS 74 9.10.1 Važnost 75 9.10.2 Kraj validnosti 75 9.10.3 Efekat završetka i ponovnog rada 75
8
9.11 Pojedinačna obaveštenja i komunikacija sa učesnicima 75
9.12 Ispravke, modifikacije i dodaci u odnosu na ove CPS 75 9.12.1 Procedure za ispravku, modifikaciju ili dodatak 75 9.12.2 Mehanizam i period obaveštavanja 76 9.12.3 Uslovi promene objektnog identifikatora (OID) 76
9.13 Odredbe rešavanja sporova 76
9.14 Zakon koji se poštuje 76
9.15 Saglasnost sa primenljivim zakonima 76
9.16 Razne odredbe 76 9.16.1 Kompletan ugovor 77 9.16.2 Dodeljivanje 77 9.16.3 Ozbiljnost 77 9.16.4 Sprovođenje pravnog postupka 77 9.16.5 Viša sila 77
9.17 Druge odredbe 77
9
1. UVOD Ovaj dokument predstavlja praktična pravila rada (u nastavku: CPS – Certificate Practise Statement) sertifikacionog tela HALCOM BG CA koje izdaje sertifikate za potrebe sistema elektronskog bankarstva u Srbiji. Dokument se odnosi na izdavanje digitalnih sertifikata, definiše cilj, delovanje i metodologiju upravljanja digitalnim sertifikatima, kao i sigurnosne zahteve, koje moraju ispunjavati sertifikaciono telo HALCOM BG CA, kao i vlasnici sertifikata i treća lica, koja se pozivaju na te sertifikate, i odgovornost svih nabrojanih osoba. HALCOM BG CA je sertifikaciono telo koje izdaje i upravlja digitalnim sertifikatima za verifikaciju elektronskog potpisa. HALCOM BG CA sertifikaciono telo je namenjeno izdavanju digitalnih sertifikata za fizička i pravna lica i obavljanju tehnoloških usluga u vezi sa elektronskim potpisima. Sve odredbe ovih CPS u odnosu na operativni rad sertifikacionog tela HALCOM BG CA propisno su prenesene i podrobnije utvrđene u odredbama internih pravila rada sertifikacionog tela koja predstavljaju dokumente poverljive prirode i koji definišu infrastrukturu, odredbe u vezi sa zaposlenim u HALCOM BG CA (nadležnosti, zadaci, ovlašćenja i zahtevani uslovi pojedinih zaposlenih), fizička zaštita (pristup prostorijama, upravljanje hardverskom i programskom opremom), programska zaštita (zaštitni softver, zaštitne kopije, …) i interni nadzor (kontrola fizičkih pristupa, ovlašćenja, …). Oblik i sadržaj ovog CPS dokumenta usklađen je sa međunarodnom preporukom RFC 3647 (»Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework«) i evropskim standardom ETSI TS 101 456 (»Policy requirements for certification authorities issuing qualified certificates). Sertifikaciono telo HALCOM BG CA izdaje elektronske sertifikate tako što formira elektronski potpis sertifikata na osnovu svog privatnog ključa i asimetričnog kriptografskog algoritma. U tako formiranom elektronskom sertifikatu, HALCOM BG CA se identifikuje kao izdavalac elektronskog sertifikata u skladu sa Zakonom o elektronskom potpisu i odgovarajućim podzakonskim aktima.
1.1 PREGLED OSNOVNIH PRETPOSTAVKI Ova praktična pravila, koja predstavljaju nedeljivu celinu HALCOM BG CA a vezano za izdavanje digitalnih sertifikata, uređuju namenu, delovanje i metodologiju upravljanja digitalnim sertifikatima, kao i zahteve bezbednosti koje moraju da ispunjavaju sertifikaciono telo HALCOM BG CA, vlasnici sertifikata, treća lica i operateri koji se uzdaju u te sertifikate, te odgovornost svih pomenutih lica. HALCOM BG CA je sertifikaciono telo koje izdaje i upravlja digitalnim sertifikatima za verifikaciju elektronskog potpisa. HALCOM BG CA deluje i kao glavno sertifikaciono telo (root CA) koje zajedno sa svojim podređenim sertifikacionom telima predstavlja hijerarhijsku mrežu sertifikacionih tela koja je namenjena izdavanju digitalnih sertifikata i vršenju tehnoloških usluga vezanih za bezbedne elektronske potpise. HALCOM BG CA izdaje dva digitalna sertifikata (dva para asimetričnih ključeva) sa obaveznim korišćenjem bezbednosnog nosioca (smart kartice) za pravna i fizička lica za potrebe bezbednog elektronskog bankarstva u Srbiji putem servisnog centra Halcom a.d. Beograd.
10
HALCOM BG CA sertifikaciono telo, izdaje digitalne sertifikate i vrši ostale delatnosti sertifikacionih tela u skladu sa: važećom pravnom regulativom Republike Srbije, nacionalnim propisima sa područja elektronskog poslovanja i elektronskog potpisa, dokumentima ETSI ESI TS 101 862 „Qualified Certificate Profile”, RFC 3739 „Internet X.509 Public Key Infrastructure: Qualified Certificates Profile“, RFC 5280 „Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile”, ISO 27001 i ETSI TS 102 280 „X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons" i sa obaveznim sadržajem definisanim u članu 17. Zakona o elektronskom potpisu. Listu prijavnih službi i operatera (RA – Registration Authority) koji omogućuju podnošenje zahteva za dobijanje digitalnih sertifikata za pravna lica i fizička lica od HALCOM BG CA, HALCOM BG CA objavljuje na svojoj web stranici. Sertifikaciono telo HALCOM BG CA je odgovorno za pružanje kompletnih usluga sertifikacije, koje uključuju sledeće servise, i to:
� Registraciju korisnika,
� Formiranje elektronskih sertifikata,
� Distribuciju elektronskih sertifikata,
� Upravljanje procedurom opoziva elektronskih sertifikata i
� Obezbeđivanje statusa opozvanosti elektronskih sertifikata.
Sertifikaciono telo HALCOM BG CA, pored navedenih servisa, obezbeđuje i formiranje asimetričnog para ključeva za korisnike, kao i distribuciju privatnog ključa i sertifikata korisniku na bezbedan način. Sertifikaciono telo HALCOM BG CA obezbeđuje i sredstvo za formiranje elektronskog potpisa korisnicima i pridruženu lozinku (ili PIN kod) za aktivaciju sredstva, kao i njihovu bezbednu distribuciju do korisnika.
1.1.1 OSNOVNI DOKUMENTI RADA HALCOM BG CA
HALCOM BG CA utvrđuje Opšta pravila pružanja usluge sertifikacije (u daljem tekstu: Opšta pravila) u skladu sa Zakonom o elektronskom potpisu koja korisnicima obezbeđuju dovoljno informacija na osnovu kojih se mogu odlučiti o prihvatanju usluga i o obimu usluga. Opšta pravila sertifikacije HALCOM BG CA ugrađuju se u dokumenta:
1. Politika sertifikacije (Certificate Policy) za Pravna lica;
2. Politika sertifikacije (Certificate Policy) za Fzička lica;
3. Praktična pravila pružanja usluge Sertifikacije (Certification Practices Statement) (u daljem tekstu: Praktična pravila ili CPS) – ovaj dokument.
Politika sertifikacije i Praktična pravila su javni dokumenti. Politika sertifikacije definiše predmet rada sertifikacionog tela, dok Praktična pravila definišu procese i način njihovog korišćenja pri formiranju i upravljanju elektronskim sertifikatima.
1.1.2 MEĐUSOBNI ODNOS OSNOVNIH DOKUMENATA RADA HALCOM BG CA
Politika sertifikacije definiše zahteve poslovanja sertifikacionog tela, dok Praktična pravila definišu operativne procedure u cilju ispunjenja tih zahteva. Praktična pravila definišu
11
način na koji sertifikaciono telo ispunjava tehničke, organizacione i proceduralne zahteve poslovanja koji su identifikovani u Politici sertifikacije. Politika sertifikacije je manje specifičan i detaljan dokument u odnosu na Praktična pravila koja predstavljaju mnogo detaljniji opis načina poslovanja, kao i poslovne i operativne procedure koje sertifikaciono telo primenjuje u izdavanju i upravljanju elektronskim sertifikatima. Politika sertifikacije se definiše nezavisno od specifičnog operativnog okruženja sertifikacionog tela, dok Praktična pravila daju detaljan opis organizacione strukture, operativnih procedura, kao i fizičko i računarsko okruženje sertifikacionog tela.
1.1.3 STANDARDI
Opšta pravila funkcionisanja HALCOM BG CA su u skladu sa dokumentom RFC 3647 „Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework” i evropskim standardom ETSI TS 101 456 („Policy requirements for certification authorities issuing qualified certificates“).
1.1.4 POSEBNA INTERNA PRAVILA RADA
HALCOM BG CA utvrđuje i Posebna interna pravila rada sertifikacionog tela i zaštite sistema sertifikacije (u daljem tekstu: Interna pravila) u kojima su sadržani i detaljno opisani postupci i mere koji se primenjuju prilikom izdavanja i rukovanja elektronskim sertifikatima. Interna pravila su privatni dokument i predstavljaju poslovnu tajnu sertifikacionog tela. Interna pravila sadrže detaljne odredbe o:
� sistemu fizičke kontrole pristupa u pojedine prostorije sertifikacionog tela;
� sistemu logičke kontrole pristupa računarskim resursima sertifikacionog tela;
� sistemu za čuvanje privatnog ključa sertifikacionog tela;
� sistemu distribuirane odgovornosti pri aktivaciji privatnog ključa sertifikacionog tela;
� postupcima i radnjama u vanrednim situacijama (požari, poplave, zemljotresi, druge vremenske nepogode, zlonamerni upadi u prostorije ili informacioni sistem sertifikacionog tela).
HALCOM BG CA je evidentirano od strane Nadležnog organa za PKI sisteme u republici Srbiji i predmet je predmet periodične supervizije u cilju osiguravanja saglasnosti sa zahtevima navedenim u Zakonu o elektronskom potpisu i odgovarajućim podzakonskim aktima.
1.2 NAZIV DOKUMENTA I IDENTIFIKACIJA Ovaj dokument presdstavlja Praktična pravila Halcom BG CA. Sertifikati Halcom BG CA sadrže identifikacioni broj odgovarajuće CP politike. Zbog toga, Halcom nije ovom dokumentu dodelio CPoid broj.
HALCOM BG CA infrastruktura sistema sa javnim ključevima (PKI – Public Key Infrastructure) je odgovorna za izdavanje sledećih tipova sertifikata:
12
Root CA sertifikat Halcom BG CA sertifikacionog tela,
Intermediat CA sertifikat Halcom BG CA PL za pravna lica,
Intermediat CA sertifikat Halcom BG CA FL za fizička lica,
Sertifikati korisnika:
Pravna lica (ovlašćena lica pravnih lica), registrovana za obavljanje delatnosti, za potrebe elektronskog i mobilnog bankarstva – na smart kartici (dva sertifikata
Fizička lica za potrebe elektronskog i mobilnog bankarstva – na smart kartici
U okviru ovih Praktičnih pravila rada (CPS – Sertificate Practise Statement) biće opisani konkretni detalji oko implementacije i procedura rada HALCOM BG CA.
Identifikaciona oznaka ovih praktičnih pravila rada HALCOM BG CA je:
Za pravna lica CPOID: 1.3.6.1.4.1.5939.10.1.1
Za fizička lica CPOID: 1.3.6.1.4.1.5939.11.1.1
Identifikacioni podaci Halcom a.d. Beograd a u okviru njega HALCOM BG CA su:
HALCOM A.D BEOGRAD HALCOM BG CA Beogradska 39 11000 Beograd Srbija Tel.: (+381) 11 30 32 432 Fax: (+381) 11 33 48 998 Mail: [email protected] http://www.halcom.rs/
Jedinstveno ime (Dname – issuer):
CN= HALCOM BG CA O= Halcom a.d. 2.5.4.54 = HALCOMBGCA C= RS
1.3 UČESNICI U PKI SISTEMU HALCOM BG CA U ovom poglavlju su opisani osnovni učesnici u PKI sistemu HALCOM BG CA. Svrha ovih Praktičnih pravila je da, pre svega, opiše odgovornosti i prava CA (Certification Authority - izdavalac sertifikata), RA (Registration Authority - identifikator i registrator korisnika) i različitih korisnika (korisnik – vlasnik sertifikata). Kao deo ovih CPS, opisane su procedure koje HALCOM BG CA sprovodi u procesu izdavanja sertifikata.
1.3.1 HALCOM BG CA
Sertifikaciono telo je organizacija koja izdaje elektronske sertifikate. HALCOM BG CA je sertifikaciono telo (CA). HALCOM BG CA je odgovorno za publikaciju ovih Praktičnih pravila u cilju podrške izdavanju određenih tipova elektronskih sertifikata. U tom smislu,
13
Politike sertifikacije (CP), kao i ovaj dokument HALCOM BG CA CPS (Certificate Practice Statement), predstavljaju odgovarajuće politike i praktična pravila koja se primenjuju pri izdavanju HALCOM BG CA elektronskih sertifikata. HALCOM BG CA je sertifikaciono telo koje izdaje i upravlja digitalnim sertifikatima za verifikaciju elektronskog potpisa. HALCOM BG CA predstavlja sertifikaciono telo u okviru infrastrukture HALCOM BG CA PKI sistema. HALCOM BG CA predstavlja takođe Root sertifikaciono telo koja izdaje digitalne sertifikate pravnim i fizičkim licima, kao i vršenje drugih tehnoloških usluga vezanih za bezbedne elektronske potpise. Sertifikaciono telo HALCOM BG CA izdaje digitalne sertifikate pravnim licima u Srbiji za potrebe bezbednog elektronskog bankarstva putem servisnog centra Halcom a.d. Beogard. U cilju objavljivanja trećim stranama informacija koje se odnose na opozvane sertifikate, neophodno je da se izvrši odgovarajuća publikacija liste povučenih sertifikata (CRL – Certificate Revocation List). HALCOM BG CA objavljuje takvu listu u skladu sa uslovima definisanim u ovom dokumentu. HALCOM BG CA predstavlja hijerarhijski PKI sistem za izdavanje elektronskih sertifikata za korisnike Servisnog centra HALCOM BG CA. U pomenutoj arhitekturi, postoji (Slika 1):
� Halcom BG CA Root CA
� Halcom BG CA PL Intermediate CA
� Halcom BG CA FL Intermediate CA
Korisnici Servisnog centra – pravna i fizička lica
14
Slika 1: Realizacija hijerarhijske strukture HALCOM BG CA PKI sistema
1.3.1.1 OBAVEZE HALCOM BG CA
Sertifikaciono telo HALCOM BG CA je dužno:
� Vršiti usluge u skladu sa svojim internim pravilima i ostalim važećim propisima i zakonodavstvom,
� Vršiti usluge u skladu sa međunarodnim preporukama,
� Objavljivati sve važne dokumente koji definišu njegov operativni rad (politike sertifikacije, zahteve, uputstva za bezbedno korišćenje digitalnih sertifikata, i sl.),
� Objavljivati na svojim web stranicama sve informacije o onim promenama vezanim za delatnosti sertifikacionog tela koje na bilo koji način utiču na vlasnike sertifikata i treća lica,
� Omogućiti rad registracionih tela u skladu sa odredbama politike sertifikacije i ovim CPS objavljenim od strane HALCOM BG CA i ostalim važećim propisima,
� Poštovati odredbe vezane za bezbedno postupanje sa ličnim, poslovnim i poverljivim podacima sertifikacionog tela, vlasnika sertifikata ili trećih lica,
� Opozvati digitalni sertifikat i objaviti opozvani sertifikat u registru opozvanih sertifikata u slučaju uslova i razloga definisanih ovim CPS dokumentom ili drugim važećim propisima,
� Izdavati digitalne sertifikate u skladu sa ovim CPS dokumentom i ostalim propisima i preporukama.
1.3.1.2 ODGOVORNOSTI HALCOM BG CA
Sertifikaciono telo HALCOM BG CA je odgovorno da:
� Osigura tačnost podataka u izdatim sertifikatima,
� Osigura pravilnost objavljivanja registra opozvanih sertifikata,
� Osigura jednoznačnost karakterističnih imena,
� Osigura odgovarajuću fizičku bezbednost prostorija i pristupa samim prostorijama sertifikacionog tela,
� Kao dobar privrednik brine za neometano delovanje i što veću raspoloživost usluga,
� Kao dobar privrednik brine za što veću dostupnost usluga,
� Kao dobar privrednik brine za neometano delovanje svih ostalih pratećih usluga,
� Pokuša otkloniti eventualne nastale probleme što kvalitetnije i u najkraćem mogućem vremenu,
� Brine za optimizaciju mašinske i programske opreme i
� Obaveštava korisnike o važnim stvarima i ispunjava sve druge zahteve u skladu sa politikom sertifikacije i ovim CPS dokumentom.
Sertifikaciono telo HALCOM BG CA obezbeđuje što veći pristup svojim uslugama i to 24 sata na dan/7 dana u sedmici/365 dana u godini, izuzimajući:
� planirane i unapred predviđene tehničke ili servisne intervencije na infrastrukturi,
� neplanirane tehničke ili servisne intervencije na infrastrukturi kao posledica
15
nepredviđenih/iznenadnih kvarova,
� tehničke ili servisne intervencije zbog kvarova infrastrukture van opsega odgovornosti sertifikacionog tela HALCOM BG CA i
� nedostupnost kao posledica više sile ili vanrednih događaja.
Radove održavanja ili nadgradnje infrastrukture sertifikaciono telo HALCOM BG CA mora najaviti korisnicima i trećim licima barem tri (3) dana pre početka radova. Sertifikaciono telo HALCOM BG CA je odgovorno za sve navode u ovom dokumentu i za sprovođenje svih odredbi iz politike sertifikacije i ovog CPS dokumenta. Ostale obaveze odnosno odgovornosti sertifikacionog tela HALCOM BG CA definisane su mogućim međusobnim dogovorom sa korisnicima ili trećim licima.
1.3.2 REGISTRACIONA TELA HALCOM BG CA
Registraciono telo (RA ili prijavna služba) vrše sledeće aktivnosti za potrebe sertifikacionog tela:
1. proveravanje identiteta budućih vlasnika digitalnih sertifikata, kao i proveravanje ostalih podataka važnih za upravljanje digitalnim sertifikatima,
2. primanje zahteva za dobijanje sertifikata,
3. primanje zahteva za opozivanje/povlačenje sertifikata,
4. izdavanje nužne dokumentacije vlasnicima, odnosno budućim vlasnicima, digitalnih sertifikata
5. prosleđivanje zahteva i ostalih podataka sigurnim putem do HALCOM BG CA sertifikacionog tela.
Sertifikaciono telo HALCOM BG CA može za izvršavanje zadataka prijavne službe (RA), uz svoje sopstveno RA, takođe opunomoćiti i druge organizacije u poslovnom i javnom sektoru. Svaku takvu organizaciju sertifikaciono telo EBB ugovorom obaveže za ispunjavanje strogih bezbednosnih uslova u skladu sa važećim evropskim, i lokalnim propisima i preporukama te internim pravilima HALCOM BG CA. Sertifikaciono telo HALCOM BG CA ima široku uspostavljenu geografsku mrežu RA (prijavnih službi), što budućim vlasnicima omogućuje jednostavnu prijavu u blizini sedišta datog pravnog lica. Informacije o lokacijama mreže RA dostupne su na web stranicama HALCOM BG CA i Halcom a.d. Beograd servisnog centra. Detaljan opis poslova i nadležnosti registracionih tela definisan je posebnim dokumentom, kao i udovorom između registracionih tela i Halcom BG CA.
1.3.2.1 RA OBAVEZE
Registraciono telo je dužno:
� proveravati identitet vlasnika sertifikata, odnosno budućih vlasnika sertifikata,
� primati zahteve za sertifikacione usluge HALCOM BG CA,
� proveravati zahteve za dobijanjem sertifikata,
� izdavati potrebnu dokumentaciju vlasnicima odnosno budućim vlasnicima sertifikata,
� prosleđivati zahteve i ostale podatke na bezbedan način do sertifikacionog tela HALCOM BG CA.
16
Detaljan opis poslova i nadležnosti registracionih tela definisan je posebnim dokumentom, kao i udovorom između registracionih tela i Halcom BG CA.
1.3.2.2 RA ODGOVORNOSTI
Registraciono telo je odgovorno za sprovođenje svih odredaba iz politike sertifikacije i ovog CPS dokumenta, kao i drugih zahteva koje dogovori sa sertifikacionim telo HALCOM BG CA.
1.3.3 KORISNICI
Korisnici sertifikacionih usluga HALCOM BG CA su:
� pravna lica (kompanije)
� fizička lica.
Korisnici su strane koje:
� Apliciraju za dobijanje sertifikata,
� Identifikovani su kao vlasnici sertifikata u samom sertifikatu,
� Poseduju privatni ključ koji matematički odgovara javnom ključu koji je naveden u korisnikovom sertifikatu i sertifikovan od strane sertifikacionog tela.
Vlasnici digitalnih sertifikata koriste svoje podatke (par asimetričnih ključeva), dodeljene od strane sertifikacionog tela, za bezbedno elektronsko potpisivanje i digitalne sertifkate za verifikaciju tog elektronskog potpisa.
1.3.3.1 OBAVEZE KORISNIKA ELEKTRONSKIH SERTIFIKATA
Vlasnik, odnosno budući vlasnik, digitalnog sertifikata je dužan:
� Upoznati se i postupati u skladu sa politikom sertifikacije i ovim CPS dokumentom pre izdavanja digitalnog sertifikata,
� Postupati u skladu sa politikom sertifikacije, ovim CPS dokumentom i ostalim važećim propisima,
� Nakon preuzimanja digitalnog sertifikata proveriti podatke u sertifikatu i o eventualnim greškama ili problemima odmah obavestiti Registraciono telo ili HALCOM BG CA odnosno tražiti opoziv digitalnog sertifikata,
� Pratiti sva obaveštenja HALCOM BG CA i postupati u skladu sa istima,
� u skladu sa obaveštenjima primereno osavremenjivati potrebnu mašinsku i programsku opremu za bezbedan rad sa digitalnim setifikatima,
� odmah obavestiti sertifikaciono telo HALCOM BG CA o svim promenama koje su povezane sa digitalnim sertifikatom,
� zahtevati opoziv digitalnog sertifikata u slučaju da je privatni ključ bio ugrožen na način koji utiče na sigurnost upotrebe ili ako postoji opasnost od zloupotrebe,
� korišćenje digitalnog sertifikata samo za namene definisane u sertifikatu, i na način koji je određen politikom sertifikacije i ovim CPS dokumentom izdatim od strane HALCOM BG CA.
Vlasnik, odnosno budući vlasnik, digitalnog sertifikata je u odnosu na bezbednost privatnog ključa dužan takođe da:
17
� čuva privatni ključ i digitalni sertifikat na način i na sredstvima za bezbedno
čuvanje privatnih ključeva u skladu sa obaveštenjima i preporukama HALCOM BG CA,
� privatni ključ i sve ostale poverljive podatke štiti prikladnom lozinkom u skladu sa preporukama HALCOM BG CA ili na drugi način tako da su dostupni samo vlasniku,
� brižljivo čuva lozinku za zaštitu privatnog ključa,
� nakon isteka validnosti odnosno nakon opoziva digitalnog sertifikata postupa u skladu sa obaveštenjima sertifikacionog tela HALCOM BG CA.
1.3.3.2 ODGOVORNOSTI KORISNIKA ELEKTRONSKIH SERTIFIKATA
Vlasnik sertifikata je odgovoran za:
� Nastalu štetu u slučaju zloupotrebe sertifikata od prijave opoziva do samog opoziva,
� Svaku štetu koja je, bilo indirektno ili direktno, prouzrokovana zbog omogućenog korišćenja, odnosno zloupotrebe, vlasnikovog sertifikata od strane neovlašćenih lica,
� Svaku drugu štetu koja nastane iz nepoštovanja odredaba politike sertifikacije, ovog CPS dokumenta i drugih dokumenata sertifikacionog tela HALCOM BG CA, kao i važećih propisa.
1.3.4 TREĆE STRANE
Treće strane su entiteti, kao na primer fizička lica (pojedinci) i/ili pravna lica (kompanije), koja prihvataju sertifikate i verifikuju elektronski potpis određenih elektronskih dokumenata koji su potpisani od strane korisnika HALCOM BG CA, kao i koja vrše validaciju sertifikata izdatih od strane HALCOM BG CA. Treća lica nisu nužno i vlasnici sertifikata sertfikacionog tela HALCOM BG CA ili digitalnih sertifikata drugih sertifikacionih tela. Verifikacija digitalnog potpisa elektronskih dokumenata se vrši na bazi javnog ključa koji se nalazi u korisnikovom sertifikatu. U cilju provere validnosti primenjenog elektronskog sertifikata, treće strane moraju uvek da provere status povučenosti datog sertifikata u okviru Halcom BG CA CRL liste pre nego što prihvate informacije koje su navedene u sertifikatu.
1.3.4.1 OBAVEZE TREĆIH STRANA
Treća strana koja se pouzdaje u digitalni sertifikat izdat od strane sertifikacionog tela HALCOM BG CA mora:
� Postupati i koristiti digitalne sertifikate u skladu i namenom definisanom politikom sertifikacije, ovim CPS dokumentom i ostalim važećim propisima,
� Brižno proučiti sve mogućnosti rizikovanja i odgovornosti kod korišćenja digitalnih sertifikata i odrediti politiku načina upotrebe,
� Obavestiti HALCOM BG CA ako sazna da su privatni ključevi vlasnika digitalnog sertifikata u koga se uzdaju bili ugroženi na način koji utiče na sigurnost korišćenja, ili ako postoji opasnost zloupotrebe, ili ako su se promenili podaci navedeni u digitalnom sertifikatu,
� Uzdati se u digitalni sertifikat samo za namere određene u sertifikatu na način koji određuje politika sertifikacije i ovaj CPS dokument,
18
� Za vreme korišćenja digitalnog sertifikata proveriti da li se sertifikat nalazi u registru opozvanih sertifikata,
� Za vreme korišćenja digitalnog sertifikata proveriti da li je digitalni potpis sertifikata kreiran u vreme važenja i sa odgovarajućom namenom digitalnog sertifikata,
� Za vreme korišćenja digitalnog sertifikata proveriti potpis digitalnog sertifikata od strane sertifikacionog tela HALCOM BG CA koji je objavljen u ovoj politici sertifikacije, a takođe i na web stranicama HALCOM BG CA odnosno drugih izdavalaca digitalnih sertifikata.
� Uvažavanje drugih odredbi ukoliko je sa sertifikacionim telom HALCOM BG CA sklopila dogovor o korišćenju digitalnih sertifikata.
Treće lice mora za verifikaciju potpisa odnosno druge kriptografske operacije upotrebljavati programsku i mašinsku opremu kojom je moguće na verodostojan način proveriti sve gore navedene zahteve za bezbedno korišćenje digitalnih sertifikata.
1.3.4.2 ODGOVORNOSTI TREĆIH STRANA
Sa početkom korišćenja sertifikata izdatih od strane sertifikacionog tela HALCOM BG CA, a u skladu sa politikom sertifikacije i ovim CPS dokumentom, treće lice koje se uzda u dati digitalni sertifikat mora pažljivo da prouči pomenuta dokumenta i od tog trenutka da redovno prati sva obaveštenja sertifikacionog tela HALCOM BG CA. Treće lice mora uvek, ukoliko želi da koristi dati sertifikat za neku kriptografsku operaciju, pouzdano da proveri da li je sertifikat povučen, tj. da li se nalazi u registru opozvanih sertifikata. Odgovarajuće ovlašćeno lice datog pravnog lica, koje nije vlasnik sertifikata ovlašćen od strane istog pravnog lica, dužno je da zahteva opoziv datog sertifikata ako sazna da je privatni ključ koji je pridružen datom sertifikatu ugrožen na način koji utiče na bezbednost korišćenja, ili ako postoji opasnost zloupotrebe, ili ako su se promenili podaci navedeni u sertifikatu. Treće lice može da se pouzda u sertifikat do eventualnog opoziva sertifikata. Treće lice može bilo kada da zahteva sve informacije vezane za validnost bilo kog izdatog sertifikata, odredbe politike sertifikacije i ovog CPS dokumenta, kao i za bilo koja obaveštenja izdata od strane sertifikacionog tela HALCOM BG CA.
1.3.5 DRUGI UČESNICI
Za korišćenje digitalnih sertifikata prema CP i ovim CPS su, pored vlasnika sertifikata, RA, HALCOM BG CA, drugih sertifikacionih tela i trećih lica, bitna i druga lica koja omogućuju elektronsko potpisivanje ili neke druge usluge u kojima se koriste digitalni sertifikati HALCOM BG CA.
1.3.5.1 OBAVEZE VEZANE ZA REPOZITORIJUM KOJI ODRŽAVA CA
Strane u komunikaciji (uključujući korisnike i treće strane) koje pristupaju repozitorijumu i web sajtu HALCOM BG CA sertifikacionog tela u potpunosti su saglasne sa odredbama CP i ovih CPS, kao i sa bilo kojim drugim uslovima korišćenja koje je CA moglo učiniti dostupnim. Strane u komunikaciji demonstriraju prihvatanje uslova korišćenja navedenih u CP i ovim CPS dostavljanjem upita vezanih za status elektronskih sertifikata ili bilo kojim drugim načinom koji pokazuje korišćenje ili oslanjanje na obezbeđene informacije ili usluge.
19
CA repozitorijum uključuje, obezbeđuje ili sadrži:
� Javnu dostupnost svih svojih sertifikata (root i itermediate CA sertifikati).
� Javnu dostupnost važeće liste opozvanih sertifikata (CRL).
� Informacije publikovane na CA web sajtu (CP, CPS, korisnički ugovor, itd.).
� Bilo koje druge usluge koje CA može reklamirati ili obezbediti putem svog web sajta.
HALCOM BG CA čini sve u svojoj moći u cilju osiguranja da strane koje pristupaju njegovom repozitorijumu dobijaju pouzdane, ažurne i tačne informacije. CA, međutim, ne može prihvatiti bilo kakvu odgovornost koja je van ograničenja definisanih u CP i ovim CPS.
1.4 KORIŠĆENJE SERTIFIKATA Sertifikati izdati od strane HALCOM BG CA tela se mogu koristiti za većinu transakcija elektronskog poslovanja i elektronskog bankarstva koje se baziraju na upotrebi elektronskih sertifikata. HALCOM BG CA sertifikaciono telo upravlja (izdaje i overava, opoziva, produžava, čuva, objavljuje) digitalnim sertifikatima za verifikaciju elektronskog potpisa koji su namenjeni pravnim licima. U ovom poglavlju je dat akcenat na prihvatljivom korišćenju elektronskih sertifikata izdatih od strane HALCOM BG CA.
1.4.1 PRIHVATLJIVO KORIŠĆENJE SERTIFIKATA
Digitalni sertifikati su namenjeni elektronskom potpisivanju jednostranih ili međusobnih komunikacija vlasnika sertifikata te korišćenju u različitim aplikacijama i za različite namene koje se pojave na tržištu. Digitalni sertifikati se između ostalog mogu koristiti za:
� identifikaciju vlasnika sertifikata,
� dokazivanje identiteta vlasnika sertifikata,
� verifikaciju elektronskog potpisa dokumenata u elektronskom obliku,
� šifrovanje dokumenata u elektronskom obliku primenom asimetričnih kriptografskih algoritama.
Elektronski potpis može da se koristi u aplikacijama kao što su na primer:
� elektronsko odnosno mobilno bankarstvo,
� aplikacije e-uprave ili m-uprave,
� potpisivanje elektronskih ili mobilnih formulara,
� bezbedno poslovanje sa organima i organizacijama javnog sektora te ostalim pravnim ili fizičkim licima,
� ostale aplikacije odnosno usluge u kojima se zahteva korišćenje digitalnog sertifikata,
� kontrola pristupa.
20
Sertifikaciono telo HALCOM BG CA upravlja (izdaje i overava, opoziva,produžava, čuva i objavljuje) digitalnim sertifikatima pravnih lica za verifikaciju elektronskog potpisa, koje su izdate ovlašćenim, odnosno zaposlenim osobama pravnih lica, registrovanim za obavljanje delatnosti. Digitalni sertifikati su namenjeni za upotrebu u specifičnim aplikacijama i za potrebe, koje definiše i javno objavi HALCOM BG CA, i to za:
� elektronsko bankarstvo,
� aplikacije G2B,
� potpisivanje elektronskih obrazaca,
� i sve ostale aplikacije koje se odnose na sertifikate izdate od HALCOM BG CA.
Digitalni sertifikat izdat od strane HALCOM BG CA se može upotrebiti za:
� šifrovanje podataka i poruka u elektronskom obliku,
� verifikaciju digitalno potpisanih podataka i poruka u elektronskom obliku, i verifikaciju identiteta potpisnika.
1.4.2 ZABRANJENO KORIŠĆENJE SERTIFIKATA
Zabranjeno je korišćenje digitalnih sertifikata, izdatih u skladu sa CP i ovim CPS dokumentom, u suprotnosti sa odredbama same politike sertifikacije i praktičnih pravila rad, ili važećih propisa, ili izvan opsega dozvoljenog korišćenja, određenog u prethodnom poglavlju. Digitalni sertifikati izdati od strane HALCOM BG CA nisu namenjeni daljoj prodaji.
1.5 ADMINISTRACIJA PRAKTIČNIH PRAVILA RADA U ovom poglavlju su opisane aktivnosti u vezi administracije ovih Praktičnih pravila rada (CPS) HALCOM BG CA sertifikacionog tela.
1.5.1 ORGANIZACIJA ADMINISTRIRANJA PRAKTIČNIH PRAVILA RADA
HALCOM BG CA telo je odgovorno za propisnu administraciju ovih CPS, i to u smislu periodičnog pregleda i ažuriranja, kao i vanrednih promena odgovarajućih odredbi koje proističu iz eventualnih promena u zakonskoj regulativi ili tehničkim karakteristikama primenjenih kriptografskih algoritama i dužina ključeva.
Sa ovim CPS dokumentom, kao i ostalim opštim i internim pravilima rada, upravlja sertifikaciono telo HALCOM BG CA u sklopu Halcom a.d. Beograd i u sklopu PKI hijerarhije HALCOM BG CA.
1.5.2 KONTAKT OSOBA
Za sva pitanja vezana za ovaj CPS dokument, možete da kontaktirate ovlašćena lica koja su dostupna na dole navedenoj adresi i dole navedenim telefonskim brojevima. Nikola Bakarič
HALCOM BG CA Beogradska 39 11000 Beograd
21
Srbija Tel.: (+381) 11 33 48 998 Fax: (+381) 11 33 48 994 Mail: [email protected] http://www. halcom.rs/
1.5.3 OSOBA KOJA ODREĐUJE POGODNOST CPS DOKUMENTA
Za usklađenosti poslovanja sertifikacionog tela HALCOM BG CA sa ovim CPS dokumentom su, u skladu sa svojim nadležnostima, odgovorna ovlašćena lica za kontakt definisana u poglavlju 1.5.2.
1.5.4 PROCEDURA ODOBRAVANJA CPS DOKUMENTA
Dokument Praktična pravila rada (CPS) HALCOM BG CA tela se redovno periodično pregleda i po potrebi ažurira. Internom procedurom se definiše period pregleda ovih CPS a koji ne može biti ređi od jednom u toku kalendarske godine. Prema datoj internoj proceduri, CPS se može evaluirati i po potrebi ažurirati i češće nego jednom godišnje ukoliko se steknu uslovi za to. Takvi uslovi se odnose, između ostalog na vanredne promene u zakonskoj regulativi ili odgovarajuća saznanja o kritičnim slabostima primenjenih kriptografskih algoritama i dužina kriptografskih ključeva. Svaki predlog novog izmenjenog CPS dokumenta se razmatra sa tehnološkog i pravnog aspekta u cilju garantovanja zakonitosti, bezbednosti i kvaliteta. Nakon toga, novi CPS dokument se potvrđuje od strane direktora Halcom a.d. Beograd.
1.6 DEFINICIJE I SKRAĆENICE U ovom dokumentu pojedini izrazi imaju sledeće značenje: Aktivacioni podaci – Podaci, koji nisu ključevi, koji su zahtevani u cilju rada kriptografskih modula i koji moraju biti zaštićeni (kao na primer PIN, passphrase, ili komponente pri manuelnom razmenjivanju ključeva). CA sertifikat – Sertifikat za dato CA izdat (digitalno potpisan) od strane drugog CA (ukoliko se radi o Intermediate CA) ili samopotpisan (ukoliko se radi o root CA). Politika sertifikacije – Imenovan skup pravila koji indicira primenljivost sertifikata na određeno okruženje i/ili na klasu aplikacija sa zajedničkim bezbednosnim zahtevima. Lanac (put) sertifikata – Uređena sekvenca sertifikata koja se, zajedno sa javnim ključem inicijalnog objekta u lancu (putu), procesira u cilju provere istog u poslednjem objektu na putu. Certificate Practice Statement (CPS) – Praktična pravila i procedure koje sertifikaciono telo primenjuje u proceduri izdavanja sertifikata i koja, zajedno sa Politikom sertifikacije, predstavljaju javni dokument. Sertifikaciono telo – izdavač sertifikata (issuing CA) – U kontekstu određenog sertifikata, sertifikaciono telo – izdavalac sertifikata je ono CA koje je izdalo (digitalno potpisalo) sertifikat. Kvalifikator politike – Informacija koja zavisi od politike sertifikacije i koja je pridružena identifikatoru politike sertifikacije u okviru X.509 sertifikata. Može da uključi i URL na kome se nalazi publikovan CPS datog sertifikacionog tela.
22
Registraciono telo (RA) – Entitet koji je odgovoran za identifikaciju i autentikaciju/registraciju korisnika/vlasnika sertifikata, kao i kreiranje zahteva za izdavanje sertifikata, ali koji ne izdaje i ne potpisuje sertifikat (tj. RA vrši odgovarajuće poslove (identifikaciju korisnika) i u tom smislu je delegirano od CA). Često se i termin LRA (Local Registration Authority) koristi u istom kontekstu. Treća strana – Primalac sertifikata koji proverava dati sertifikat i/ili proverava digitalni potpis dobijenog elektronskog dokumenta primenom javnog ključa potpisnika iz sertifikata. Treća strana proverava validnost sertifikata u istom procesu. Treća strana može biti takođe korisnik sertifikata izdatog od strane istog sertifikacionog tela ali i ne mora. Elektronski dokument – dokument u elektronskom obliku koji se koristi u pravnim poslovima i drugim pravnim radnjama, kao i u upravnom, sudskom i drugom postupku pred državnim organom. Elektronski potpis – skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa elektronskim dokumentom i koji služe za identifikaciju potpisnika. Kvalifikovani elektronski potpis – Elektronski potpis koji se kreira primenom sredstva za kreiranje kvalifikovanog elektronskog potpisa (SSCD – Secure Signature Creation Device) i koji se proverava putem kvalifikovanog elektronskog sertifikata potpisnika. Ovaj potpis je pravno ekvivalentan svojeručnom potpisu po Zakonu o elektronskom potpisu. Potpisnik – lice koje poseduje sredstva za elektronsko potpisivanje i vrši elektronsko potpisivanje u svoje ime ili u ime pravnog ili fizičkog lica. Podaci za formiranje elektronskog potpisa – jedinstveni podaci, kao što su kodovi ili privatni kriptografski ključevi, koje potpisnik koristi za izradu elektronskog potpisa; Sredstva za formiranje elektronskog potpisa – odgovarajuća tehnička sredstva (softver i hardver) koja se koriste za formiranje elektronskog potpisa, uz korišćenje podataka za formiranje elektronskog potpisa. Sredstva za formiranje kvalifikovanog elektronskog potpisa – sredstva za formiranje elektronskog potpisa koja ispunjavaju dodatne uslove utvrđene Zakonom o elektronskom potpisu. Podaci za proveru elektronskog potpisa – podaci, kao što su kodovi ili javni kriptografski ključevi, koji se koriste za proveru i overu elektronskog potpisa. Sredstva za proveru elektronskog potpisa – odgovarajuća tehnička sredstva (softver i hardver) koja služe za proveru elektronskog potpisa, uz korišćenje podataka za proveru elektronskog potpisa. Sredstva za proveru kvalifikovanog elektronskog potpisa – sredstva za proveru elektronskog potpisa koja ispunjavaju dodatne uslove utvrđene Zakonom o elektronskom potpisu. Elektronski sertifikat – elektronski dokument kojim se potvrđuje veza između podataka za proveru elektronskog potpisa i identiteta potpisnika. Kvalifikovani elektronski sertifikat – elektronski sertifikat koji je izdat od strane sertifikacionog tela za izdavanje kvalifikovanih elektronskih sertifikata i sadrži podatke predviđene Zakonom o elektronskom potpisu. Korisnik – pravno ili fizičko lice, preduzetnik, državni organ, organ teritorijalne
23
autonomije, organ lokalne samouprave ili fizičko lice kome se izdaje elektronski sertifikat. Sertifikaciono telo – pravno lice koje izdaje elektronske sertifikate u skladu sa odredbama Zakona o elektronskom potpisu. Akreditacija – Formalna deklaracija od strane nadležnog autoriteta da izvesne funkcije/entiteti zadovoljavaju specifične formalne zahteve. Aplikacija za sertifikat – Zahtev poslat od strane korisnika koji zahteva sertifikat (aplikant) ka Sertifikacionom telu u cilju izdavanja elektronskog sertifikata. Arhiva – Specifična baza podataka za čuvanje zapisa za određeni period vremena u cilju bezbednosti, backup-a ili revizije. Identifikacija – proces utvrđivanja identiteta pojedinca ili organizacije. U kontekstu PKI sistema, identifikacija se odnosi na proces utvrđivanja da dato ime pojedinca ili organizacije odgovara realnom identitetu pojedinca ili organizacije.
Autentikacija – proces utvrđivanja da je identifikovani pojedinac ili organizacija koji se prijavljuje za određeni servis pod datim imenom u stvari baš taj (pod tim imenom) pojedinac ili organizacija. Drugim rečima, autentikacija predstavlja proceduru bezbednog logičkog predstavljanja korisnika, tj. utvrđivanja njegovog elektronskog identiteta, odgovarajućoj aplikaciji ili servisu. Autorizacija – procedura utvrđivanja prava koje neki identifikovani i autentikovani korisnik ima za korišćenje odgovarajuće aplikacije ili servisa. Ekstenzije u sertifikatu – Dodatna polja u sertifikatu, pored osnovnih, koja daju bliže informacije o vlasniku (korisniku) i izdavaocu (CA) sertifikata, itd. Hijerarhija sertifikata – Sekvenca sertifikata bazirana na nivoima koja ima jedan root CA sertifikat i subordinate/intermediate entitete, kao što su sertifikati drugih CA i korisnici. Upravljanje sertifikatima – Aktivnosti pridružene upravljanju sertifikatima uključuju izdavanje, čuvanje, isporuku, objavljivanje i povlačenje sertifikata. Lista povučenih sertifikata (CRL – Certificate Revocation List) – Lista izdata i elektronski potpisana od strane CA koja uključuje povučene sertifikate, kao i razloge njihovog povlačenja. Takva lista se mora koristiti od strane trećih strana uvek kada treba proveriti validnost sertifikata i/ili verifikaciju elektronskog potpisa. Serijski broj sertifikata – Sekvencijalni ili slučajni broj koji jedinstveno identifikuje sertifikat u domenu datog CA. Zahtev za dobijanje sertifikata (CSR – Certificate Service Request) – Standardna forma (po PKCS#10 preporuci) koja se koristi za slanje zahteva za dobijanjem sertifikata. Sertifikacija – Proces izdavanja elektronskog sertifikata. Asimetrični par ključeva (key pair) – Privatni ključ i javni ključ, kao matematički par koji se koriste za potrebe rada asimetričnog kriptografskog algoritma, kao što je na primer RSA algoritam. Privatni ključ – Matematički kod koji se koristi kao ključ za kreiranje elektronskog potpisa i za raspakivanje digitalne envelope – dešifrovanje simetričnog ključa primenom asimetričnog kriptografskog algoritma. Simetrični ključ je korišćen u simetričnom
24
kriptografskom algoritmu za šifrovanje dokumenta za datog korisnika. Javni ključ – Matematički kod koji može biti javno objavljen (najčešće se objavljuje u okviru X.509v3 elektronskog sertifikata) i koji se koristi za verifikaciju elektronskog potpisa, kreiranog pomoću odgovarajućeg privatnog ključa koji je matematički par sa datim javnim ključem, kao i za šifrovanje simetričnog ključa/podataka za korisnika koji poseduje odgovarajući privatni ključ. Šifrovanje – transformacija koja, primenom odgovarajućeg kriptografskog algoritma i odgovarajućeg kriptografskog ključa, pretvara originalnu informaciju u oblik koji se ne može koristiti (šifrat). Dešifrovanje – transformacija kojom se iz šifrata dobija originalna informacija primenom odgovarajućeg kriptografskog algoritma i odgovarajućeg kriptografskog ključa. Kriptografija – nauka o primeni algoritama za zaštitu tajnosti informacija. Kriptografski algoritmi – algoritmi po kojima se vrši transformacija originalne informacije u šifrovanu informaciju (šifrat) i obratno, iz šifrata u originalnu infomaciju, korišćenjem odgovarajućeg kriptografskog ključa. Kriptografski ključ – tajna i slučajna informacija odgovarajuće dužine u bitovima (na primer 128 ili 256 bita) koja se koristi u kriptografskim algoritmima, u procedurama šifrovanja i dešifrovanja. Simetrični kriptografski algoritmi – kriptografski algoritmi koji se koriste za realizaciju šifrovanja u cilju zaštite tajnosti informacija. Algoritmi se nazivaju simetričnim zato što se isti kriptografski ključ koristi za šifrovanje i za dešifrovanje. Asimetrični kriptografski algoritmi – kriptografski algoritmi koji se koriste za realizaciju tehnologije digitalnog potpisa kojim se obezbeđuje: autentičnost, integritet i neporecivost transakcija. Algoritmi se nazivaju asimetričnim zato što se različiti kriptografski ključevi koriste za šifrovanje i za dešifrovanje. Asimetrični kriptografski algoritam koristi par ključeva, javni i privatni, i to javni u postupku šifrovanja i privatni u postupku dešifrovanja. Hash algoritmi – jednosmerni kriptografski algoritmi pomoću kojih se vrši kriptografska transformacija informacije proizvoljne veličine u hash vrednost fiksne veličine (160, 224, 256, 384 ili 512 bitova). Identifikator objekta (Object identifier) – Sekvenca intedžerskih komponenti koja može biti pridružena nekom registrovanom objektu i koja ima karakteristiku da je jedinstvena u svim identifikatorima objekata u okviru specifičnog domena. Repozitorijum – Baza podataka i/ili direktorijum na kome su publikovani osnovni dokumenti rada CA, kao i eventualne druge informacije koje se odnose na pružanje sertifikacionih usluga od strane datog CA (kao na primer publikacija svih izdatih sertifikata ukoliko je to dozvoljeno prema Politici sertifikacije i ukoliko su korisnici dali saglasnost za to, itd.). Povlačenje sertifikata – Permanentno ukidanje validnosti datog sertifikata i njegovo smeštanje na CRL listu. Deljena tajna – Deo kriptografske tajne koja je podeljena na unapred definisan broj fizičkih tokena, kao na primer smart kartica. Smart kartica – Hardverski token koji sadrži čip na kome može da se izvrše
25
odgovarajuće kriptografske funkcije, kao što su: elektronski potpis, šifrovanje, generisanje para asimetričnih ključeva, itd. Korisnički ugovor – Ugovor između korisnika i CA u cilju obezbeđenja sertifikacionih usluga. Skraćenice koje se koriste u ovom dokumentu: CA – Certification Authority RA – Registration Authority PKI – Public Key Infrastructure OID – Object IDentifier TSA – Time Stamping Authority CRL – Certificate Revocation List CSR – Certificate Service Request CDP – CRL Distribution Point AIA – Authority Information Access AKI – Authority Key Identifier SKI – Subject Key Identifier RFC – Request For Comments ETSI – European Telecommunication Standardization Institute CP – Certificate Policy CPS – Certificate Practise Statement URL – Uniform Resource Locator
26
2. ODGOVORNOSTI ZA PUBLIKACIJE I REPOZITORIJUME HALCOM BG CA publikuje informacije u vezi elektronskih sertifikata koje izdaje na on-line repozitorijumu. U tom smislu, HALCOM BG CA poseduje on-line repozitorijum dokumenata u kojima se objavljuju informacije o praktičnim pravilima i politikama rada, uključujući CP kao i ova CPS. Sertifikaciono telo HALCOM BG CA javno objavljuje sve informacije koje se odnose na rad sertifikacionog tela, obaveštenja korisnicima i trećim licima, kao i ostale važne dokumente, na web stranicama Halcom a.d. Beograd, http: //www.halcom.rs Dokumenti koji su javno dostupni na web sajtu su:
� politika sertifikacije CP i CPS dokument,
� prijavni formulari za usluge sertifikacionog tela,
� uputstva za bezbedno korišćenje digitalnih sertifikata,
� informacije o važećem zakonodavstvu vezano za delovanje sertifikacionog tela
� ostale informacije vezane na delovanje HALCOM BG CA.
Međutim javno nisu dostupni dokumenti koji predstavljaju interna pravila sertifikacionog tela HALCOM BG CA.
HALCOM BG CA zadržava pravo da publikuje statusne informacije o sertifikatima i na repozitorijumu neke treće strane ukoliko je to pogodno. HALCOM BG CA zadržava pravo da učini raspoloživim i publikuje informacije u vezi sopstvenih politika i procedura rada putem bilo kog pogodnog načina. Participanti u sertifikacionim uslugama se obaveštavaju da će HALCOM BG CA možda publikovati informacije koje su oni dostavili, i ukoliko su dali saglasnost za objavljivanje, na javno pristupačnim direktorijumima uz pridružene statusne informacije o elektronskim sertifikatima. Iz razloga njihove osetljvosti i poslovne tajne, HALCOM BG CA neće publikovati interna pravila rada koja se odnose na izvesne podkomponente i elemente koji uključuju određene bezbednosne kontrole, procedure koje se odnose na upravljanje ključevima, proceduru distribuirane odgovornosti, bezbednost registracionih tela, root signing proceduru i sve ostale bezbednosno osetljive procedure. Opozvani digitalni sertifikati se objavljuju u registru opozvanih digitalnih sertifikata (CRL) odmah, dok se ostale javno dostupne informacijem odnosno dokumenti, objavljuju prema potrebi. HALCOM BG CA publikuje statusne informacije o povučenosti digitalnih sertifikata u određenim intervalima, kako je to naznačeno u ovom CPS dokumentu.
Nova verzija CP i CPS politika se objavljuje odmah nakon prihvatanja i odobravanja istih od strane Višeg upravnog odbora sertifikacionog tela.
Lista opozvanih sertifikata se obnovi odmah nakon opoziva digitalnog sertifikata u javnom imeniku opozvanih digitalnih sertifikata. Sa zakašnjenjem od nekoliko minuta tako obnovljena CRL se prenese i na web stranice HALCOM BG CA.
Javno dostupne informacije, odnosno dokumenti, (osim gore navedenih) objavljuju se
27
prema potrebi. HALCOM BG CA održava raspoloživim pristup do svog javnog repozitorijuma trećim stranama sa svrhom validacije sertifikata samog CA tela. HALCOM BG CA može ograničiti ili zabraniti pristup određenim uslugama, kao što su publikovanje statusnih informacija o bazama podataka treće strane, određenim privatnim direktorijumima, itd. Iako je pristup HALCOM BG CA repozitorijumu i direktorijumima besplatan, HALCOM BG CA zadržava pravo da naplaćuje određena specifična korišćenja svojih servisa.
Javni imenik je javno dostupan na serveru ldap.halcom.rs, TCP port 389 u skladu sa LDAP protokolom.
Odgovarajućim tehničkim uslovima (mašinska i programska oprema) HALCOM BG CA garantuje kontrole koje sprečavaju neovlašćeno dodavanje, menjanje ili brisanje podataka u javnom imeniku digitalnih sertifikata.
28
3. IDENTIFIKACIJA I AUTENTIKACIJA KORISNIKA HALCOM BG CA održava dokumentovana praktična pravila i procedure u cilju autentikacije identiteta i/ili drugih atributa aplikanata/krajnjih korisnika sertifikata koje izdaje HALCOM BG CA sertifikaciono telo, a što se izvršava pre samog izdavanja sertifikata. HALCOM BG CA koristi potvrđene procedure u cilju prihvatanja aplikacija od entiteta koji žele da postanu članovi HALCOM BG CA PKI hijerarhije. HALCOM BG CA autentikuje zahteve strana koje žele da povuku sertifikate u skladu sa ovim Praktičnim pravilima rada. HALCOM BG CA održava odgovarajuće procedure u cilju određivanja praktičnih pravila za dodeljivanje imena, uključujući i prepoznavanje “trademark” prava u izvesnim imenima.
3.1 NAZIVI
3.1.1 TIPOVI IMENA
U cilju identifikacije korisnika, HALCOM BG CA sprovodi odgovarajuća pravila dodeljivanja imena i identifikacije koja uključuje tipove imena pridruženih subjektu, kao na primer X.500 “distinguished” imena. Karakteristična imena koje sadrži digitalni sertifikat nedvosmisleno i jednoznačno definišu vlasnika sertifikata osim ako se, ovim dokumentom ili sadržajem digitalnog sertifikata, drugačije zahteva. U skladu sa RFC 5280, svaki digitalni sertifikat sadrži podatke o vlasniku i izdavaocu digitalnog sertifikata u obliku karakterističnog imena. Karakteristično ime je formirano u skladu sa RFC 5280 i standardom X.501.
Izdavalac sertifikata je u izdatom sertifikatu naveden u polju Izdavač, engl. Issuer. Osnovni podaci o vlasniku koje sadrži karakteristično ime vlasnika digitalnog sertifikata nalaze se u izdatom sertifikatu navedeni u polju Nosilac engl. Subject. Jedinstveni serijski broj korisnika u okviru sertifikacionog tela koji se takođe sadrži u karakterističnom imenu određuje izdavalac HALCOM BG CA.
Vrsta sertifikata Naziv polja Karakteristično ime Digitalni sertifikat sertifikacionog tela HALCOM BG CA
Izdavalac engl. Issuer i
C= RS O= Halcom A.D Beograd CN= HALCOM BG CA PL
Digitalni sertifikat za korisnike
(pravna lica)
Korisnik, engl. Subject
C= RS G= <ime> SN= <prezime> CN=<ime, prezime, AR ID, JMBG> O = <ime organizacije>
Mobilni digitalni sertifikat za korisnike
(fizička lica)
Korisnik, engl. Subject
C= RS G= <ime> SN= <prezime> CN=<ime, prezime, AR ID, JMBG> SERIALNUMBER= <serijski br.>
29
3.1.2 POTREBA DA IMENA BUDU SA REALNIM ZNAČENJEM
Kada aplicira za sertifikat kod HALCOM BG CA sertifikacionog tela, ime aplikanta mora biti u potpunosti sa odgovarajućim značenjem sem ako to nije eksplicitno dozvoljeno u relevantnom proizvodnom opisu i u ovom CPS dokumentu. HALCOM BG CA izdaje sertifikate aplikantima koji dostavljaju dokumentovane aplikacije koje sadrže ime koje se može verifikovati. U skladu sa karakterističnim imenom vlasnik digitalnog sertifikata je nedvosmisleno i jednoznačno definisan.
Karakteristično ime mora da bude jedinstveno u okviru sertifikacionog tela, tj. da je formirano na način da je iz istog moguće jednoznačno identifikovati pojedinca odnosno organizaciju.
3.1.3 ANONIMNI KORISNICI I KORIŠĆENJE PSEUDONIMA
HALCOM BG CA ne izdaje anonimne sertifikate korisnicima.
3.1.4 PRAVILA ZA INTERPRETACIJU RAZLIČITIH FORMI IMENA
Podaci o vlasniku potvrde u karakterističnom imenu sadrže slova srpske abecede, dok se preostali znakovi transformišu prema donjim pravilima:
Znak Transformacija Ü Ue Ö Oe Ø Oe ß Ss Ñ N Ŕ Rz
Odgovarajućom kombinacijom slova overavač obezbeđuje korišćenje ostalih nepredvidivih znakova.
3.1.5 JEDINSTVENOST IMENA
Karakteristična imena jednoznačna su za svaki izdati digitalni sertifikat i uz jedinstveni matični broj građana nedvosmisleno i jednoznačno identifikuju vlasnika u strukturi javnog imenika.
3.1.6 PREPOZNAVANJE, AUTENTIKACIJA I ULOGA ROBNIH MARKI („TRADEMARKS“)
Vlasnici sertifikata ne smeju da zahtevaju imena koja pripadaju nekome drugome čime bi se kršila autorska ili druga prava trećih lica. Eventualne sporove rešavaju isključivo oštećena strana i vlasnik digitalnog sertifikata.
3.2 PROVERA IDENTITETA
30
Budući vlasnik digitalnog sertifikata može da zahteva digitalni sertifikat u svoje lično ime i ime korisnika u okviru pravnog lica, kao ovlašćeno lice odgovarajućeg pravnog lica. Pijavna služba proverava identitet budućeg vlasnika digitalnog sertifikata.
3.2.1 AUTENTIKACIJA IDENTITETA ORGANIZACIJE
Identitet organizacije se proverava na osnovu pravnih dokumenata o uspostavljanju date organizacije, kao i ovlašćenjem da dato fizičko lice ima ovlašćenje da dobije digitalni sertifikat u ime date organizaicje. Dakle, u cilju identifikacije i autentikacije za individualnu korisničku organizaciju koja aplicira za sertifikat kod HALCOM BG CA sertifikacionog tela (CA, RA, korisnici (u slučaju sertifikata izdatih ovlašćenim licima u organizaciji ili informacionim resursima kontrolisanim od strane organizacije) ili drugi učesnici), HALCOM BG CA sertifikaciono telo može primeniti korake koji uključuju ali nisu ograničeni na:
� Provera dokumenata kao što su identifikaciona kartica i pasoš ovlašćenog lica date organizacije koja aplicira za sertifikat.
� Utvrđivanje identiteta organizacije koja se bazira na dostavljenoj dokumentaciji.
� Zahtev je da se pojedinac, ovlašćeno lice, fizički pojavi u RA u odgovarajućoj fazi, a u svakom slučaju pre nego što se sertifikat izda.
� Primenu dodatnih zahteva za organizaciju aplikanta kao što su potpisani autorizacioni dokumenti (ovlašćenja) ili neka druga identifikaciona oznaka organizacije.
3.2.3 AUTENTIKACIJA IDENTITETA POJEDINCA
Proveravanje identiteta vlasnika sertifikata izvršava operater registracionog tela HALCOM BG CA tako što proveri lične podatke o vlasniku na osnovu ličnog identifikacionog dokumente, a po potrebi i u odgovarajućim registrima. Dakle, u cilju identifikacije i autentikacije individualnog korisnika koji aplicira za dobijanje sertifikata, kao ovlašćeno lice datog pravnog lica, od strane HALCOM BG CA sertifikacionog tela, CA može primeniti korake koji uključuju ali nisu ograničeni na:
� Provera dokumenata kao što su identifikaciona kartica i pasoš, u skladu sa važećim zakonom za pojedinca – fizičko lice za sebe lično, odnosno fizičko lice koje aplicira za sertifikat kao ovlašćeno lice pravnog lica
� Utvrđivanje identiteta datog pojedinca koja se bazira na dostavljenoj dokumentaciji.
� Zahtev je da se pojedinac fizički pojavi u RA u odgovarajućoj fazi pre nego što se sertifikat izda.
3.2.4 NEVERIFIKOVANE INFORMACIJE O KORISNICIMA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
3.2.5 VALIDACIJA AUTORITETA
Proveravanje ovlašćenja zaposlenih za dobijanje digitalnih sertifikata u ime date organizacije, predstavlja neophodan korak u cilju dobijanja digitalnog sertifikata. Kada HALCOM BG CA sertifikaciono telo pri izdavanju sertifikata uključuje informacije o odgovarajućim ovlašćenjima, kao što su specifična prava ili dozvole, uključujući dozvolu za dobijanje sertifikata u cilju realizacije odgovarajućih aktivnosti u ime date
31
organizacije, HALCOM BG CA sertifikaciono telo može zahtevati specijalnu pismenu dozvolu od strane date organizacije.
3.2.6 KRITERIJUMI ZA INTEROPERABILNOST
Sertifikaciono telo HALCOM BG CA nije dužno ugovorno sarađivati ili garantovati za ostala sertifikaciona tela čak iako drugo sertifikaciono telo ima status akreditovanog sertifikacionog tela za izdavanje kvalifikovanih digitalnih sertifikata. Sertfikaciono telo HALCOM BG CA obezbeđuje da će ispoštovati međusobno priznavanje sertifikacionih tela isključivo nakon potpisivanja pismenog ugovora sa drugim sertifikacionim telima koji moraju da ispune nivo sigurnosnih zahteva koje su uporedive ili više od onih koje propisuje sertifikaciono telo HALCOM BG CA. Ovlašćena lica sertifikacionog tela HALCOM BG CA proveravaju opšta i interna pravila drugog sertifikacionog tela, kao i njegovo ispunjavanje sigurnosnih zahteva. Troškove potrebne infrastrukture koju zahteva sertifikaciono telo HALCOM BG CA za međusobno priznavanje pokriva drugo sertifikaciono telo.
3.3 IDENTIFIKACIJA I AUTENTIKACIJA ZAHTEVA ZA OBNAVLJANJE KLJUČEVA Produžavanje validnosti digitalnog sertifikata je moguće samo dostavljanjem posebne molbe/narudžbenice od strane vlasnika sertifikata. Nakon isteka validnosti digitalnog sertifikata, vlasnik mora ponovno da dostavi zahtev za reizdavanje digitalnog sertifikata.
3.3.1 IDENTIFIKACIJA I AUTENTIKACIJA ZA RUTINSKO OBNAVLJANJE KLJUČEVA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
3.3.2 IDENTIFIKACIJA I AUTENTIKACIJA ZA OBNAVLJANJE KLJUČEVA NAKON OPOZIVA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
3.4 IDENTIFIKACIJA I AUTENTIKACIJA ZAHTEVA ZA POVLAČENJE SERTIFIKATA U cilju sprovođenja procedura identifikacije i autentikacije zahteva za povlačenjem sertifikata za odgovarajuće tipove subjekata (CA, RA, korisnici ili drugi učesnici), zahtevi se upućuju odgovarajućem RA ili putem komunikacije do samog CA. RA sprovodi takve zahteve do HALCOM BG CA sertifikacionog tela u cilju realizacije procedure povlačenja sertifikata. Primeri bezbednog dostavljanja zahteva za povlačenjem su overeni zahtevi od strane samih korisnika koji žele da im se povuče sertifikat (ukoliko je takva mogućnost dozvoljena u okviru CPS) ili overeni zahtevi od strane RA ili CA ovlašćenih službenika. Dakle, zahtev za opoziv svog digitalnog sertifikata vlasnik preda:
� Lično prijavnoj službi (registracionom telu) gde ovlašćena lica registracionog tela
32
provere identitet podnosioca molbe,
� U slučaju da vlasnik digitalnog sertifikata putem telefona, elektronske pošte ili FAX-a zahteva opoziv digitalnog sertifikata, sertifikaciono telo HALCOM BG CA prvo defniše suspenziju digitalnog sertifikata. Tek na osnovu pismenog zahteva za opoziv digitalnog sertifikata, faktički se sprovodi sam opoziv digitalnog sertifikata.
33
4. OPERATIVNI ZAHTEVI U VEZI ŽIVOTNOG CIKLUSA SERTIFIKATA Za sva eksterna intermediate sertifikaciona tela, registraciona tela, korisnike ili druge učesnike postoji stalna obaveza da informišu HALCOM BG CA telo o svim promenama u informacijama koje su objavljene u sertifikatu za čitav period operativnog rada takvog sertifikata. Određene druge obaveze se takođe mogu dodatno primeniti.
4.1 ZAHTEV ZA DOBIJANJE SERTIFIKATA
4.1.1 KO MOŽE DA DOSTAVI ZAHTEV ZA IZDAVANJE SERTIFIKATA?
Budući vlasnici digitalnih sertifikata koji se izdaju u skladu sa ovim CPS dokumentom su fizička lica koja predstavljaju ovlašćena lica odgovarajućih pravnih lica. Što se tiče zahteva za izdavanje korisnikovog sertifikata, HALCOM BG CA sertfikaciono telo zahteva da korisnik lično podnese zahtev sertifikacionom telu, odnosno prijavnoj službi, i overen i potpisan od strane zakonitog zastupnika u slučaju da je zahtev za korićenje sertifikata za potrebe pravnog lica, odnosno potpisan svojeručnim potpisaom kada kada zahtev podnosi fizičko lice u svoje ime i za svoje potrebe. Zahtev za izdavanje sertifikata od strane HALCOM BG CA tela može da podnese svako ko ispunjava sledeće uslove:
� Korisnik mora biti prihvatljiv krajnji korisnik Servisnog centra Halcom a.d. Beograd kako to definiše politika sertifikacije i ovaj CPS dokument.
� Zahtev koji predaje korisnik mora da u sebi sadrži sve neophodne podatke, uključujući dovoljno podataka da korisnik može da bude identifikovan na jedinstven način.
4.1.2 PROCES DOSTAVLJANJA ZAHTEVA ZA IZDAVANJEM SERTIFIKATA (ENROLLMENT) I ODGOVORNOSTI
Digitalni sertifikat se izdaje na osnovu pravilno ispunjene i potpisane narudžbenice za izdavanje digitalnog sertifikata (u daljem tekstu narudžbenica) od strane zakonitog zastupnika i budućeg vlasnika. Narudžbenica se preda prijavnoj službi (registracionom telu) HALCOM BG CA. Narudžbenice za izdavanje digitalnog sertifikata dostupne su kako kod prijavnih službi (registracionih tela) HALCOM BG CA tako i na web stranici HALCOM BG CA. Zakoniti zastupnik pravnog lica svojeručnim potisom i pečatom overi narudžbenicu/molbu, a budući vlasnik je podnosi u pismenom obliku. Pre izdavanja narudžbenice, HALCOM BG CA je u obavezi da upozna fizičko lice, odnosno dato pravno lice, kao i njegovog zakonitog zastupnika sa ovim CPS dokumentom, kao i sa ostalim informacijama o elektronskom potpisivanju i operativnom radu sertifikacioog tela HALCOM BG CA. HALCOM BG CA zadržava pravo da negativno reši molbu korisnika za izdavanje digitalnog sertifikata ako je u suprotnosti sa poslovnim i etičkim standardima za koje se zalaže Halcom BG CA.
34
4.2 PROCESIRANJE ZAHTEVA ZA DOBIJANJE SERTIFIKATA
4.2.1 IZVRŠAVANJE FUNKCIJE IDENTIFIKACIJE I AUTENTIKACIJE KORISNIKA
Nakon prijema aplikacije datog korisnika, HALCOM BG CA telo ili RA telo vrše, u prethodnom poglavlju, definisanu identifikacionu i autentikacionu proceduru u cilju validacije aplikacije za izdavanje sertifikata. Ovlašćeno lice registracionog tela proverava identitet budućeg vlasnika sertifikata u slučaju lične predaje zahteva za dobijanjem sertifikata. Budući vlasnik sertifikata mora da dokaže svoj identitet važećim ličnim dokumentom sa fotografijom. Po potrebi su moguće i dodatne provere identiteta. Ovlašćena lica registracionog ili sertifikacionog tela su dužna da provere identitet budućeg vlasnika sertifikata, odnosno sve one podatke koji su navedeni u zahtevu a dostupni su u službenim evidencijama odnosno u drugim službeno važećim dokumentima. Ovlašćena lica registracionog tela proverene ispunjene molbe/narudžbenice, kao i dopunsku origninalnu dokumentaciju koja se zahteva, bezbednim putem prosleđuju ka sertifikacionom telu HALCOM BG CA.
4.2.2 POTVRĐIVANJE ILI ODBIJANJE ZAHTEVA ZA DOBIJANJE KVALIFIKOVANOG CERTIFIKATA KORISNIKA
Nakon toga, HALCOM BG CA ili RA potvrđuju ili odbijaju zahtev za izdavanje sertifikata. Takvo potvrđivanje ili odbijanje ne mora neophodno da bude obrazloženo podnosiocu ili bilo kojoj drugoj strani. Ovlašćena lica sertifikacionog tela HALCOM BG CA odobravaju, odnosno u slučaju nepravilnih ili nedostajućih podataka ili neispunjavanja obaveza, odbijaju zahtev za dobijanje digitalnog sertifikata o čemu je budući vlasnik odmah obavešten lično ili elektronskom poštom. Nakon dostavljanja aplikacije za izdavanje sertifikata, ili zahteva za obnavljanjem sertifikata, RA operator (RAO) potvrđuje ili odbija dostavljene zahteve. Nakon potvrđivanja dostavljenih informacija u aplikaciji za izdavanje sertifikata, RAO potvrđuje ili odbija aplikaciju za izdavanje sertifikata. Nakon potvrđivanja aplikacije za izdavanje sertifikata, RAO šalje zahtev za izdavanje sertifikata do HALCOM BG CA tela.
4.2.3 POTREBNO VREME ZA PROCESIRANJE APLIKACIJE KORISNIKA
HALCOM BG CA po osnovu odobrenog zahteva za izdavanje digitalnog sertifikata obavezuje da najkasnije u roku od pet (5) dana izda digitalni sertifikat i pošalje ličnu lozinku (PIN kod) RAO koji dalje distribuira sertifikate do budućih vlasnika.
4.3 IZDAVANJE SERTIFIKATA
4.3.1 AKTIVNOSTI CA TOKOM PROCESA IZDAVANJA SERTIFIKATA
Proizvodni postupak za generisanje digitalnih sertifikata i za dva para asimetričnih ključeva sastoji se iz jasno odvojenih koraka (ili funkcija), sa odvojenim podsistemima:
35
1. pred personalizacija bezbednosnog nosioca (generisanje ključeva na kartici, odabir lozinke za zaštitu digitalnog sertifikata),
2. obrada zahteva za izdavanje digitalnog sertifikatra,
3. priprema digitalnih sertifikata
4. personalizacija bezbednosnog nosioca (izdavanje i zapis sertifikata, štampanje podataka vlasnika),
5. štampanje lične lozinke (PIN koda),
6. isporučivanje digitalnog sertifikata i lične lozinke (PIN koda), kao i dostavljanje obaveštenja vlasniku.
Digitalni sertifikat na bezbednom mediju i odgovarajuća lična lozinka (PIN kod) se vlasniku isporučuje lično na šalterima prijemne službe, u dve odvojene pošiljke, na dva različita šaltera.
Svi opisani postupci zasnovani su tako da ih ne može izvesti samostalno jedna osoba.
4.4 PRIHVATANJE SERTIFIKATA
4.4.1 SPROVOĐENJE PROCESA PRIHVATANJA SERTIFIKATA
Preuzimanje digitalnih sertifikata se vrši tako što budući vlasnik primi digitalni sertifikat na bezbednom mediju i odgovarajuću ličnu lozinku (PIN kod) Bilo koja primedba na prihvatanje izdatog sertifikata mora biti eksplicitno dostavljena do HALCOM BG CA tela, kao sertifikacionom telu – izdavaocu. Potvrda odbijanja koja uključuje sva eventualna polja u sertifikatu koja sadrže pogrešne informacije mora takođe biti dostavljena.
4.4.2 OBJAVLJIVANJE SERTIFIKATA OD STRANE CA
HALCOM BG CA sertifikaciono telo javno ne objavljuje izdate sertifikate.
4.4.3 OBAVEŠTENJE DRUGIH ENTITETA O IZDATOM SERTIFIKATU
Sertifikaciono tleo ne obaveštava druga preduzeća, odnosno organizacija, o izdavanju digitalnog sertifikata.
4.5 KORIŠĆENJE SERTIFIKATA I ASIMETRIČNOG PARA KLJUČA U ovom poglavlju se definišu odgovornosti koje se odnose na koriščenje asimetričnog para ključeva i sertifikata, i to kako od strane korisnika tako i od trećih strana.
4.5.1 KORIŠĆENJE PRIVATNOG KLJUČA I SERTIFIKATA OD STRANE KORISNIKA
Korisnik se obavezuje da će koristiti privatni ključ i izgenerisani sertifikat od strane HALCOM BG CA sertifikacionog tela samo u predviđenim aplikacijama (elektronsko bankarstvo, itd.) koje su navedene u CP i ovim CPS, kao i u skladu sa definisanim načinom korišćenja ključa u samom sertifikatu (Key Usage i Enhanced Key Usage ekstenzije). Korišćenje privatnog ključa i sertifikata predstavlja deo korisnikovog ugovora sa CA. U
36
tom smislu, korisnik može koristiti svoj privatni ključ samo nakon prihvatanja odgovarajučug sertifikata. Takođe, korisnik mora prestati da koristi svoj privatni ključ nakon isticanja perioda validnosti ili povlačenja izdatog sertifikata.
4.5.2 KORIŠĆENJE JAVNOG KLJUČA I SERTIFIKATA OD STRANE TREĆIH STRANA
Treća strana je obavezna da prihvata sertifikate izdate od strane HALCOM BG CA sertifikacionog tela samo u onim aplikacijama koje su definisane u CP i ovim CPS, kao i sa predviđenim načinom korišćenje sertifikata definisanom u samom sertifikatu. Treća strana je obavezna da propisno i uspešno primenjuje operaciju javnog ključa koji ekstrahuje iz izdatog sertifikata i odgovorna je da sprovodi proveru statusa povučenosti datog sertifikata korišćenjem metoda koji je definisan u CP i CPS dokumentima HALCOM BG CA sertifikacionog tela.
4.6 OBNAVLJANJE SERTIFIKATA Produžavanje validnosti digitalnog sertifikata je moguće samo dostavljanjem posebne molbe/narudžbenice od strane vlasnika. Nakon isteka validnosti digitalnog sertifikata, vlasnik mora ponovno da dostavi zahtev za reizdavanje digitalnog sertifikata.
4.6.1 USLOVI ZA OBNAVLJANJE SERTIFIKATA
Sertifikat izdat od strane HALCOM BG CA sertifikacionog tela se može obnoviti pod sledećim uslovima:
� na isti način na koji se i prvobitno izdaje i naručuje sertifikat uz upisivanje starog broja sertifikata na osnovu kog će se raditi reizdavanje
� slanjem elketronske narudžbenice, potpisane važećim kvalifikovanim digitalnim sertifikatom
Zahtev za novo izdavanje je moguće uložiti i nakon isteka validnosti digitalno sertifikata ali na način opisan u prvoj tačci.
4.6.2 KO MOŽE ZAHTEVATI OBNAVLJANJE SERTIFIKATA
Obnovu sertifikata mogu zahtevati svi korisnici HALCOM BG CA sertifikacionog tela čiji sertifikati zadovoljavaju uslove iz poglavlja 4.6.1. Neophodno je da aplikacije koje koriste sertifikate obezbede servis upozorenja korisnika mesec dana pre isteka sertifikata da je sertifikat prišao kraju svog životnog veka i da ga treba obnoviti.
Samo vlasnik digitalnog sertifikata može da traži ponovno izdavanje sertifikata.
4.6.3 PROCESIRANJE ZAHTEVA ZA OBNAVLJANJEM SERTIFIKATA
Obnovu sertifikata zahteva korisnik dostavljanjem propisane dokumentacije za obnovu sertifikata prijemnoj službi HALCOM BG CA. Postupak garantuje da je pravno, odnosno fizičko, lice koje uloži zahtev za ponovno izdavanje digitalnog sertifikata bez promene javnog ključa doista vlasnik sertifikata. Sertifikaciono telo automatski obnavlja sertifikat, tj.procesira dostavljeni zahtev i dostavlja obnovljeni sertifikat korisniku.
37
Autentikacija korisnika u cilju obnove sertifikata se vrši na isti način kao i autentikacija pri izdavnju sertifikata prvi put.
4.6.4 OBAVEŠTENJE KORISNIKA DA MU JE IZDAT OBNOVLJENI SERTIFIKAT
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.6.5 SPROVOĐENJE PROCESA PRIHVATANJA OBNOVLJENOG SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.6.6 OBJAVLJIVANJE OBNOVLJENOG SERTIFIKATA OD STRANE CA
Objavljivanje obnovljenog sertifikata na odgovarajućem repzitorijumu HALCOM BG CA sertifikacionog tela se vrši na isti način kao i objavljivanje prvi put izdatih, odnosno obnovljenih sertifikata.
4.6.7 OBAVEŠTENJE DRUGIH ENTITETA OD STRANE CA O OBNOVI DATOG SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS. Sertifikaciono telo o izdavanju pojedinačnih digitalnih sertifikata vlasnicima ne obaveštava preduzeća i druge organizacije.
4.7 GENERISANJE NOVOG PARA KLJUČEVA I SERTIFIKATA KORISNIKA
4.7.1 USLOVI ZA GENERISANJE NOVOG PARA KLJUČEVA I SERTIFIKATA
Uslovi za generisanje novog para ključeva korisnika su:
� Sertifikat datog korisnika je istekao ili
� Sertifikat datog korisnika je opozvan, a korisnik ima pravo da naknadno zatraži dobijanje novog sertifikata.
Korisnici kojima je sertifikat istekao, ukoliko žele da dobiju novi sertifikat, moraju da podnesu zahtev za izdavanje sertifikata koji je isti kao i svaki novi zahtev za dobijanje sertifikata. U tom slučaju, generiše se novi par asimetričnih ključeva. Takođe, ukoliko je sertifikat korisnika povučen, a razlog za povlačenje je kompromitacija ključa, korisnik može dobiti novi sertifikat samo na osnovu generisanog novog para asimetričnih ključeva i putem procedure koja je identična dostavljanju zahteva za izdavanje novog sertifikata.
4.7.2 KO MOŽE ZAHTEVATI NOVI SERTIFIKAT SA NOVIM JAVNIM KLJUČEM
Svi korisnici HALCOM BG CA sertifikacionog tela koji ispunjavaju uslove iz tačke 4.7.1.
4.7.3 PROCESIRANJE ZAHTEVA ZA NOVIM PAROM KLJUČEVA I SERTIFIKATOM
Nakon dostavljanja zahteva za izdavanjem novog sertifikata, dalja procedura je u potpunosti identična kao i procedura za dobijanje prvog sertifikata.
38
4.7.4 OBAVEŠTENJE KORISNIKA DA MU JE IZDAT NOVI SERTIFIKAT
Ova procedure je identična proceduri izdavanja prvog sertifikata.
4.7.5 SPROVOĐENJE PROCESA PRIHVATANJA NOVOG SERTIFIKATA
Ova procedure je identična proceduri prihvatanja prvog sertifikata.
4.7.6 OBJAVLJIVANJE NOVOG SERTIFIKATA OD STRANE CA
Ova procedure je identična proceduri objavljivanja prvog sertifikata.
4.7.7 OBAVEŠTENJE DRUGIH ENTITETA OD STRANE CA O IZDAVANJU NOVOG SERTIFIKATA
Ova procedure je identična proceduri obaveštenja drugih entiteta o izdavanju prvog sertifikata od strane CA.
4.8 MODIFIKACIJE SERTIFIKATA KORISNIKA
4.8.1 USLOVI ZA MODIFIKACIJU SERTIFIKATA KORISNIKA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.2 KO MOŽE ZAHTEVATI MODIFIKACIJU SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.3 PROCESIRANJE ZAHTEVA ZA MODIFIKACIJOM SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.4 OBAVEŠTENJE KORISNIKA DA MU JE IZDAT NOVI MODIFIKOVANI SERTIFIKAT
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.5 SPROVOĐENJE PROCESA PRIHVATANJA NOVOG MODIFIKOVANOG SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.6 OBJAVLJIVANJE NOVOG MODIFIKOVANOG SERTIFIKATA OD STRANE CA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.7 OBAVEŠTENJE DRUGIH ENTITETA OD STRANE CA O IZDAVANJU NOVOG MODIFIKOVANOG SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
39
4.9 POVLAČENJE I SUSPENZIJA SERTIFIKATA
4.9.1 USLOVI ZA POVLAČENJE SERTIFIKATA
Opoziv svog digitalnog sertifikata vlasnik može da zahteva bilo kada, ali svakako mora da ga zahteva u slučaju:
1. promene karakterističnog imena (DN),
2. kada vlasnik sertifikata promeni ključne podatke, vezane za digitalni sertifikat (ime ili prezime, elektronsku adresu, zaposlenje i slično)
3. kada se ustanovi ili sumnja da je došlo bilo do pronevere ili zloupotrebe privatnog ključa za digitalno potpisivanje,
4. zamenjivanja digitalnog sertifikata drugim sertifikatom (npr. kod gubitka bezbednosnog nosioca, gubitka lozinke/PIN za pristup podacima na kartici i slično).
Sertifikaciono telo HALCOM BG CA može da opozove digitalni sertifikat bez zahteva vlasnika u slučajevima navedenim u prvom paragrafu ili na osnovu zahteva nadležnog suda, prekršajnih organa ili drugih administrativnog organa. Sertifikaciono telo HALCOM BG CA će na osnovu pravilnog zahteva za opoziv sertifikata, isti opozvati najkasnije u roku od dvadestčetiri (24) sata. U slučaju da dođe do nepredvidivih okolnosti, sertifikaciono telo HALCOM BG CA će izuzetno da opozove digitalni sertifikat najkasnije u roku od 48 (četrdesetosam) sati nakon prijema pravilnog zahteva za opoziv istog. U tom će roku opozvani digitalni sertifikat da bude označen u javnom imeniku kao opozvan i biće dodat u registar opozvanih sertifikata (CRL). U slučaju da vlasnik digitalnog sertifikata isporuči sertfikacionom telu HALCOM BG CA nepravilan zahtev za opoziv istog, biće mu poslato upozorenje o nepravilnom zahtevu za opoziv sertifikata i biće upoznat sa uputstvima za dostavljanje pravilnog zahteva za opoziv. .
4.9.2 KO MOŽE ZAHTEVATI OPOZIV SERTIFIKATA
Opoziv digitalnog sertifikata može da zahteva:
� Ovlašćeno lice sertifikacionog tela HALCOM BG CA,
� Zakoniti zastupnik pravnog lica
� Mobilni operater
� Vlasnik sertifikata,
� Nadležni sud ili
� Nadležni državni organ.
4.9.3 PROCEDURA PODNOŠENJA ZAHTEVA ZA OPOZIVOM SERTIFIKATA
Opoziv može da zahteva vlasnik sertifikata:
� Lično u radno vreme registracionog tela,
� Elektronski, 24 sata na dan, svih dana u godini, ako se radi o mogućnosti zloupotrebe ili nepouzdanosti digitalnog sertifikata, a inače u vreme koje prema važećem zakonodavstvu važi za radno vreme državnih organa,
40
Ako se opoziv zahteva:
� Lično - potrebno je ispuniti odgovarajući zahtev za opoziv digitalnog sertifikata i predati ga registracionom telu;
� Elektronski - vlasnik sertifikata mora da dostavi sertifikacionom telu HALCOM BG CA elektronsku poruku sa zahtevom za opoziv koje mora biti digitalno potpisana odgovarajućim privatnim ključem vezanim za odgovarajući digitalni sertifikat.
O datumu i vremenu opoziva, podnosiocu zahteva za opoziv, kao i o uzrocima opoziva, vlasnik sertifikata mora da bude obavešten. Sudovi i administrativni organi koji takođe mogu da zahtevaju opoziv digitalnih sertifikata, taj proces izvršavaju u skladu sa propisanim procedurama.
4.9.4 GRACE PERIOD ZAHTEVA ZA OPOZIVOM SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.5 VREME ZA KOJE CA MORA DA PROCESIRA ZAHTEV ZA OPOZIV SERTIFIKATA
Sertifikaciono telo HALCOM BG CA je u obavezi da nakon prijema validnog zahteva za opoziv sertifikata:
� Najkasnije u roku od dvadesetčetiri (24) sata opozove sertifikat ukoliko se radi o opozivu iz razloga opasnosti zloupotrebe ili nepouzdanosti sertifikata, ili sumnje da je proneveren privatni ključ vlasnika sertifikata,
� A inače prvog radnog dana nakon prijema zahteva za opoziv Nakon opoziva, opozvani digitalni sertifikat se odmah upisuje u registar opozvanih sertifikata (CRL).
4.9.6 ZAHTEVI ZA TREĆE STRANE U VEZI PROVERE STATUSA SERTIFIKATA
Pre korišćenja digitalnih sertifikata izdatih od sertifikacionog tela HALCOM BG CA, treća lica koja se pouzdaju u dati sertifikat moraju da provere najnoviji objavljeni registar opozvanih digitalnih sertifikata (CRL). Iz razloga verodostojnosti i celovitosti potrebno je uvek da se proveri i verodostojnost i integritet tog registra koji je digitalno potpisan sa strane HALCOM BG CA sertifikacionog tela. Treće strane moraju koristiti on-line resurse koje HALCOM BG CA čini raspoloživim putem repozitorijuma u cilju provere statusa sertifikata na koje oni žele da se oslone. Treće strane moraju biti u saglasnosti sa HALCOM BG CA politikom a posebno sa obavezama trećih strana publikovanim u CP i/ili ovom CPS dokumentu.
4.9.7 FREKVENCIJA IZDAVANJA CRL LISTE
Registar opozvanih sertifikata se ažurira/obnavlja (za pristup CRL pogledati poglavlje 7.2.3):
� Nakon svakog opoziva sertifikata,
� Jedanput dnevno ako nema novih zapisa odnosno promena u registru opozvanih
41
sertifikata, i to 24 sata nakon poslednje obnove CRL.
4.9.8 MAKSIMALNO KAŠNJENJE U IZDAVANJU CRL LISTE
Objavljivanje novog registra opozvanih sertifikata izvrši se:
� U imeniku na serveru ldap.halcom.rs odmah,
� A na web stranici http://domina.halcom.rs/crls sa zakašnjenjem od najviše deset (10) minuta.
4.9.9 RASPOLOŽIVOST PROCEDURE ONLINE PROVERE STATUSA SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.10 ZAHTEVI ONLINE PROVERE STATUSA SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.11 RASPOLOŽIVOST DRUGIH FORMI OBJAVLJIVANJA STATUSA SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.12 SPECIJALNI ZAHTEVI U ODNOSU NA KOMPROMITACIJU PRIVATNOG KLJUČA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.13 USLOVI ZA SUSPENZIJU SERTIFIKATA
U slučaju da vlasnik sertifikata telefonski ili elektronski dostavlja zahtev za opoziv sertifikata, isti se do prijema originala zahteva u pisanom obliku privremeno suspenduje. U slučaju da vlasnik sertifikata, druga ili treća lica, državni ili drugi odgovarajući organi odnosno samo sertifikaciono telo, izraze sumnju da se u vezi sa sertifikatom postupa suprotno ovom CPS dokumentu, odnosno važećim propisima, taj se digitalni sertifikat privremeno suspenduje do konačne odluke.
4.9.14 KO MOŽE ZAHTEVATI SUSPENZIJU SERTIFIKATA
Pogledati poglavlje 4.9.13.
4.9.15 PROCEDURA ZAHTEVA ZA SUSPENZIJOM SERTIFIKATA
Pogledati poglavlje 4.9.13.
4.9.16 OGRANIČENJE PERIODA SUSPENZIJE SERTIFIKATA
Pogledati poglavlje 4.9.13.
4.10 SERVISI PROVERE STATUSA SERTIFIKATA
4.10.1 OPERATIVNE KARAKTERISTIKE
HALCOM BG CA publikuje sve povučene i suspendovane sertifikate u svojoj CRL listi. Lista povučenih sertifikata (CRL – Certificate Revocation List) HALCOM BG CA se ažurira sa
42
svakim povučenim sertifikatom ili svakih 24 časa. Registar opozvanih sertifikata je javno objavljen na serveru ldap.halcom.rs putem LDAP protokola i na http://domina.halcom.rs/crls putem HTTP protokola, detalji o objavljivanju i načinu pristupa nalaze se u poglavljima 7.2 i 7.3.
4.10.2 RASPOLOŽIVOST SERVISA
Treće strane moraju koristiti on-line resurse koje HALCOM BG CA čini raspoloživim putem repozitorijuma u cilju provere statusa sertifikata na koje oni žele da se oslone. Proveravanje statusa sertifikata je raspoloživo 24 sata na dan, svih dana u godini.
4.10.3 OPCIONA OBELEŽJA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.11 PRESTANAK KORIŠĆENJA SERTIFIKATA Odnos vlasnika i sertifikacionog tela prekida se ako:
� Vlasnikov sertifikat istekne a on ga ne produži,
� je sertifikat opozvan a vlasnik ne podnese zahtev za novi.
4.12 ČUVANJE I REKONSTRUKCIJA PRIVATNOG KLJUČA KORISNIKA
4.12.1 POLITIKA I PRAKSA ČUVANJA I REKONSTRUKCIJE PRIVATNOG KLJUČA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.12.2 ENKAPSULACIJA SESIJSKOG KLJUČA I POLITIKA I PRAKSA ZA REKONSTRUKCIJU
Ovo poglavlje nije primenljivo u okviru ovih CPS.
43
5. UPRAVNE, OPERATIVNE I FIZIČKE BEZBEDNOSNE KONTROLE HALCOM BG CA sertifikaciono telo planira i izvodi sve bezbednosne mere u skladu sa standardima ISO/IEC 27001, 27002 i 27005, FIPS 140-2 level 3 i sa tehničkim zahtevima ETSI TS 101 456 - Policy requirements for certification authorities issuing qualified certificates. Oprema sertifikacionog tela HALCOM BG CA je postavljena u posebnim, odvojenim prostorijama i osigurana sistemom fizičkog i protivprovalnog tehničkog obezbeđenja na više nivoa. Oprema je osigurana od neovlašćenog pristupa. Oprema je takođe obezbeđena i zaštićena protivpožarnim sistemom, sistemom protiv izliva vode, sistemom ventilacije i sistemom kontinualnog napajanja u više nivoa. Sertifikacionog telo HALCOM BG CA čuva rezervne i distributivne medijume tako da se u najvećoj meri sprečava gubitak, upad ili neovlašćena upotreba ili promena sačuvanih informacija. Kako za obnovu podataka tako i za arhiviranje važnih informacija obezbeđene su rezervne kopije koje su sačuvane na drugom mestu od onoga gde se drži programska oprema za upravljanje sertifikata, u cilju obezbeđenja kontinuiteta poslovanja u slučajevima kada se iz nekih razloga unište podaci na osnovnoj lokaciji. Detaljan opis infrastrukture sertifikacionog tela HALCOM BG CA, operativni rad, postupci upravljanja infrastrukturom, kao i nadzor vezan za politiku bezbednosti operativnog rada, definisani su u internim pravilima rada sertifikacionog tela.
5.1 FIZIČKE BEZBEDNOSNE KONTROLE Oprema sertifikacionog tela je obezbeđena sistemima fizičkog i elektronskog obezbeđenja na više nivoa. Obezbeđenje infrastrukture sertifikacionog tela realizuje se u skladu sa preporukama struke za najviši nivo obezbeđenja. Celokupan opis infrastrukture sertifikacionog tela, primenjene procedure i obezbeđenje infrastrukture definisani su internom pravilima sertifikacionog tela.
5.1.1 LOKACIJA I KONSTRUKCIJA SAJTA
HALCOM BG CA bezbedne prostorije su locirane u prostoru koji odgovara potrebama izvršenja operacija visoke bezbednosti. Postoje označene zone sa fizičkom kontrolom pristupa i zaključane kancelarije sa odgovarajućim sefovima. Oprema sertifikacionog tela HALCOM BG CA je postavljena u posebnim, bezbednim i odvojenim prostorijama. Osigurana je sistemom fizičkog i elektronskog obezbeđenja na više nivoa. Detaljne odredbe nalaze se u internim pravilima sertifikacionog tela HALCOM BG CA.
5.1.2 FIZIČKI PRISTUP
Fizički pristup je ograničen implementacijom odgovarajućih mehanizama kontrole pristupa iz jedne u drugu zonu bezbednosti, kao i u zonu visoke bezbednosti. U tom smislu, CA operacije su locirane u okviru bezbedne računarske sobe koja je podržana fizičkim monitorisanjem i bezbednosnim alarmima, kao i da je obezbeđena podrška da
44
prelazak iz zone u zonu može biti izveden samo korišćenjem tokena (beskontaktnih kartica) i listi kontrole pristupa. Pristup infrastrukturi sertfiikacionog tela omogućen je samo ovlašćenim licima sertifikacionog tela u skladu sa njihovim zadacima i ovlašćenjima. Svi pristupi obezbeđeni su u skladu sa zakonodavstvom i preporukama. Detaljne odredbe nalaze se u internim pravilima sertifikacionog tela HALCOM BG CA.
5.1.3 ELEKTRIČNO NAPAJANJE I KLIMATIZACIJA
U okviru infrastrukture sertifikacionog tela obezbeđeno je kontinualno napajanje i odgovarajući klimatski sistemi. Sva oprema HALCOM BG CA tela je priključena na jedinice za neprekidno napajanje. Temperatura i vlažnost vazduha se u prostorijama održava pomoću klima uređaja. Napajanje i ventilacija se izvršavaju sa redundansom visokog nivoa. Svi detalji se nalaze u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.1.4 IZLOŽENOST POPLAVAMA I VREMENSKIM NEPOGODAMA
Unutar prostorija HALCOM BG CA tela nema vodovodnih instalacija. Prozori zadovoljavaju najmodernije standarde. Infrastruktura sertifikacionog tela HALCOM BG CA nije izložena opasnosti od poplava osim u slučaju više sile. Prostorije su zaštićene od poplava. Svi detalji se nalaze u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.1.5 PREVENCIJA I ZAŠTITA OD POŽARA
Prevencija i zaštita, kao i mere u odnosu na zaštitu od požara su implementirane. Prostorije sertifikacionog tela su osigurane od mogućih izbijanja požara. Svi detalji se nalaze u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.1.6 MEDIJUMI ZA ČUVANJE PODATAKA
Nosioci podataka, na papiru ili u elektronskom obliku, bezbedno se čuvaju u zaštićenim objektima. Bezbedne kopije programske opreme i šifrovanih baza sertifikacionog tela HALCOM BG CA redovno se obnavljaju i čuvaju u dve odvojene i fizički obezbeđene prostorije na različitim lokacijama. Medijumi se čuvaju na bezbedan način. Backup medijumi se takođe čuvaju na odvojenoj lokaciji koja je fizički obezbeđena i zaštićena od požara i poplava.
5.1.7 ODLAGANJE SMEĆA
Sertifikaciono telo HALCOM BG CA obezbeđuje sigurno uklanjanje i uništavanje dokumenata u fizičkom/papirnom i elektronskom obliku.
45
Uklanjanje otpadaka izvodi specijalna komisija u skladu sa internim pravilima sertifikacionog tela HALCOM BG CA. Papirni otpad se propušta kroz mašine za sečenje papirnog otpada. Elektronski medijumi se pre odlaganja moraju fizički/mehanički uništiti. Iznošenje smeća se takođe kontroliše. Svi detalji se nalaze u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.1.8 ODLAGANJE REZERVNIH KOPIJA
Regulisano je internim pravilima sertifikacionog tela.
5.2 PROCEDURALNE KONTROLE HALCOM BG CA sprovodi kadrovsku i upravnu praksu koja obezbeđuje razumnu sigurnost u poverljivost i kompetenciju zaposlenih, kao i zadovoljavajuće performance u vezi sa njihovim dužnostima u domenu tehnologija koje se odnose na elektronski potpis i PKI sisteme. Svaki zaposleni HALCOM BG CA potpisuje izjavu da će se pridržavati pravne regulative u vezi zaštite podataka, kao i da će zadovoljiti sve postavljene zahteve u vezi sa poverljivošću.
5.2.1 POVERLJIVE ULOGE
Svi zaposleni u HALCOM BG CA koji izvršavaju operacije povezane sa upravljanjem ključevima, kao i bilo koje druge operacije koje materijalno utiču na takve operacije, smatraju se dužnostima na poverljivim pozicijama. HALCOM BG CA sprovodi inicijalno istraživanje svih zaposlenih koji su kandidati za poverljive uloge u cilju razumnog pokušaja određivanja njihove poverljivosti i kompetencije. Operativni, organizacioni i stručni rad sertifikacionog tela HALCOM BG CA sprovodi rukovodilac interne organizacione jedinice koja je odgovorna za upravljanje digitalnim sertifikatima. Ovlašćenim licima sertifikacionog tela HALCOM BG CA smatraju se:
� zaposleni u sertifikacionom telu HALCOM BG CA i � zaposleni u registracionim telima.
Zaposleni u sertifikacionom telu HALCOM BG CA su raspoređeni u tri organizacione jedinice koje pokrivaju područja sledećeg sadržaja:
� upravljanje informacionim sistemom, � upravljanje digitalnim sertifikatima, � obezbeđenje i kontrola,
Organizaciona
jedinica Uloga Osnovni zadaci Broj
osoba Obezbeđenje i Glavni administrator Administriranje i implementacija 2
46
kontrola bezbednosti procedura za rad sertifikacionog tela HALCOM BG CA
Sistem administrator
Prvi inženjeri bezbednosti
1. Upravljanje postupcima za izdavanje sertifikata
2. Štampanje PIN kodova 3. Pristup protokolu digitalnog
potpisivanja (generisanja) sertifikata
2
Drugi inženjer bezbednosti
1. Priprema digitalnih sertifikata 2. Personalizacija smart kartica 3. Opoziv digitalnih sertifikata
2
Administratori sertifikata
distribucija sertifikata 1
Upravljanje digitalnim
sertifikatima
Administratori PIN kodova
distribucija PIN kodova 1
Upravljanje informacionim sistemom
Sistem operator Upravljanje telekomunikacijama i odgovornost za rad bezbednih sistema sertifikacionog tela
2
Evidencija Sistem evidentičar Odgovornosta za održavanje arhiva i log fajlova
2
5.2.2 BROJ OSOBA ZA POJEDINAČNE ZADATKE
Operativne radne uloge planirane su tako da u najvećoj mogućoj meri sprečavaju mogućnost zloupotreba i podeljene su na pojedinačne, međusobno odvojene organizacione jedinice:
Organizaciona jedinica: Upravljanje informacionim sistemom Uloga: glavni administrator bezbednosti Broj osoba: 2 Zadaci:
1. Odgovornost za administriranje i implementaciju bezbednosnih funkcija i procedura
2. Upravljanje aktvnostima na dodatnom unapređenju poslova generisanja, opoziva i suspenzije kvalifikovanih elektronskih sertifikata
Organizaciona jedinica: Upravljanje digitalnim sertifikatima Uloga: prvi inženjer bezbednosti Broj osoba: 2 Zadaci:
1. Upravljanje postupcima za izdavanje sertifikata 2. Pomoć podređenim sertifikacionim telima 3. Ovlašćenja podređenih sertifikacionih tela 4. Štampanje PIN kodova 5. Pristup protokolu digitalnog potpisivanja (generisanja) sertifikata
Organizaciona jedinica: Upravljanje digitalnim sertifikatima Uloga: drugi inženjer bezbednosti Broj osoba: 2
47
Zadaci:
1. Priprema digitalnih sertifikata (obrada potpisanih zahteva za sertifikate) 2. Personalizacija smart kartica (izrada digitalnih sertifikata, programiranje smart
kartica (generisanje ključeva i upis izgenerisanog sertifikata na smart karticu), štampanje podataka vlasnika na smart karticu - vizuelna personalizacija)
3. Opoziv digitalnih sertifikata Organizaciona jedinica: Upravljanje digitalnim sertifikatima Uloga: administrator sertifikata Broj osoba: 1 Zadaci:
1. Bezbedna distribucija sertifikata vlasnicima Organizaciona jedinica: Upravljanje digitalnim sertifikatima Uloga: administrator PIN kodova Broj osoba: 1 Zadaci:
1. Distribucija PIN kodova Organizaciona jedinica: Upravljanje informacionom sistemom Uloga: sistem operator Broj osoba: 2 Zadaci:
1. Priprema početne konfiguracije sistema, uključujući bezbedno startovanje i obustavu operativnog rada sistema
2. Početno podešavanje parametara novih podređenih sertifikacionih tela u infrastrukturi HALCOM BG CA
3. Postavljanje početne konfiguracije računarske mreže 4. Priprema medijuma za krizni ponovni start sistema u slučaju katastrofalnog
gubitka sistema, tj. incidenta sa katastrofalnim posledicama 5. Priprema sistemskih kopija, nadgradnja i obnova programske opreme, bezbedno
čuvanje i distribucija kopija i nadgradnji na odvojenu lokaciju 6. Administrativne funkcije koje su vezane na održavanje baze podataka
sertifikacionog tela i koje pomažu kod istraživanja eventualnog odstupanja od pravila
7. Promene imena servera i/ili mrežnh IP adrese 8. Sprovođenje arhiviranja zahtevanih sistemskih zapisa
Organizaciona jedinica: Evidencija Uloga: sistem evidentičar Broj osoba: 2 Zadaci:
1. Održavanje arhiva i log fajlova bezbednih sistema sertifikacionog tela Naveden je minimalan broj zaposlenih za pojedinačne uloge.
5.2.3 IDENTIFIKACIJA I AUTENTIKACIJA ZA SVAKU ULOGU
Svaka uloga/dužnost definiše odgovarajuće zahteve u pogledu identifikacije i autentikacije korisnika.
48
Dokazivanje identiteta i prava pristupa za izvršavanje pojedinačnih zadataka u skladu sa ulogama pojedinačnih organizacionih jedinica, kao i za izvršavanje zadataka registracionog tela, osigurano je bezbednosnim mehanizmima i kontrolnim postupcima u skladu sa internim pravilima sertifikacionog tela HALCOM BG CA. Lista uloga i dužnosti je detaljno definisana internim pravilima HALCOM BG CA tela.
5.2.4 ULOGE KOJE ZAHTEVAJU RAZDVAJANJE DUŽNOSTI
U okviru internih pravila HALCOM BG CA tela definisano je koje uloge/dužnosti mogu biti kombinovane od strane jednog zaposlenog, a koje to ne smeju. U internim pravilima rada sertifikacionog tela HALCOM BG CA, svakoj od prethodno navedenih uloga je vrlo tačno određeno sa kojom od uloga definisani zadaci u njihovoj odgovornosti mogu ili ne mogu da budu kompatibilni. Za neke od zadataka, neophodno je prisustvo barem dva ovlašćena lica. U slučaju nepredviđenog odsustva određenih zaposlenih, njihove uloge preuzimaju drugi zaposleni, ako to prema internim pravilima nije nekompatibilno.
5.3 KADROVSKE BEZBEDNOSNE KONTROLE
5.3.1 KVALIFIKACIJA I ISKUSTVO
HALCOM BG CA izvršava neophodne aktivnosti u cilju provere zahtevane biografije, kvalifikacija, kao i iskustva neophodnog u cilju realizacije u okviru konteksta kompetencije specifičnog posla. Takve provere biografije tipično uključuju:
� Kriminalne osude za ozbiljne zločine,
� Pogrešne prezentacije informacija od strane kandidata,
� Odgovarajuće reference.
Sertifikaciono telo HALCOM BG CA zapošljava pouzdane i stručno osposobljene zaposlene koji provereno nisu kažnjavani za bilo kakvo kriminalno delo. Svi zaposleni se redovno usavršavaju i stiču dodatna znanja vezana za svoje stručno područje. Za rad u HALCOM BG CA sertifikacionom telu su neophodni stručnjaci koji su tehnološki i profesionalno kompetentni i koji imaju potrebna znanja iz kriptografije, digitalnog potpisa, PKI sistema, smart kartica, HSM-ova, itd.
5.3.2 PROCEDURA PROVERE BIOGRAFIJE
HALCOM BG CA telo realizuje relevantne provere eventualnih zaposlenih na bazi statusnih izveštaja koji su izdati od strane kompetentnih autoriteta, izjava trećih strana ili izjava samih potencijalnih zaposlenih.
5.3.3 ZAHTEVI ZA OBUČENOŠĆU
HALCOM BG CA telo obezbeđuje obuku za svoje zaposlene u cilju realizacije funkcija poslovanja CA i RA.
49
5.3.4 UČESTANOST I ZAHTEVI PONOVNE OBUKE
Periodično ažuriranje obuke može takođe biti izvršeno u cilju uspostave kontinuiteta i ažurnosti znanja zaposlenih, kao i odgovarajućih procedura.
5.3.5 FREKVENCIJA I SEKVENCA ROTACIJE POSLOVA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
5.3.6 KAZNENE MERE U ODNOSU NA ZAPOSLENE ZA NEAUTORIZOVANE AKTIVNOSTI
HALCOM BG CA telo sprovodi odgovarajuće mere za kažnjavanje zaposlenih za neovlašćene aktivnosti, neovlašćeno korišćenje odgovarajućih privilegija, kao i neovlašćeno korišćenje sistema, u cilju sankcija za određeno neposlovno i rizično ponašanje, koje može biti različito u zavisnosti od različitih okolnosti. Sankcije se, u slučajevima neovlašćenog ili nemarnog izvođenja zadataka, za ovlašćena lica sertifikacionog tela, sprovode u skladu sa validnim propisima i internim pravilnikom o disciplinskoj i odštetnoj odgovornosti zaposlenog.
5.3.7 ZAHTEVI ZA NEZAVISNA LICA POD UGOVOROM
Nezavisna lica pod ugovorom su subjekti istih procedura zaštite privatnosti i uslova poverljivosti kao i zaposleni u okviru HALCOM BG CA tela.
5.3.8 DOKUMENTACIJA KOJA SE DOSTAVLJA ZAPOSLENIMA
HALCOM BG CA telo čini dostupnom svu neophodnu dokumentaciju zaposlenima koja se odnosi na inicijalnu obuku, doobuku ili za druge svrhe.
5.4 PROCEDURE LOGOVANJA AKTIVNOSTI ZA POTREBE REVIZIJE Procedure audit logovanja uključuju logovanje događaja i reviziju samog sistema, i implementirane su za svrhu održavanja bezbednog okruženja HALCOM BG CA tela. U tom smislu, HALCOM BG CA implementira kontrole navedene u nastavku.
5.4.1 TIPOVI ZABELEŽENIH DOGAĐAJA
HALCOM BG CA telo zapisuje događaje koji uključuju ali nisu ograničeni na operacije vezane za životni ciklus sertifikata, pokušaje pristupa sistemu, kao i zahteve poslate sistemu. Sertifikaciono telo HALCOM BG CA redovno proverava i evidentira sve što značajno utiče na:
� sigurnost infrastrukture,
� nesmetano delovanje svih sigurnosnih sistema i
� da li je u međuvremenu došlo do upada ili pokušaja upada neovlašćenih lica do opreme ili podataka.
Detaljni podaci o tome su dati u internim pravilima rada sertifikacionog tela HALCOM BG CA.
50
5.4.2 FREKVENCIJA PROCESIRANJA LOGOVA
Sertifikaciono telo HALCOM BG CA sprovodi sigurnosne preglede svoje infrastrukture, odnosno dnevnika, jednom dnevno.
HALCOM BG CA čuva audit logove u realnom vremenu, koji se kasnije procesiraju i arhiviraju na sedmičnom nivou. U slučaju alarma ili incidentnog događaja, obaveštava se administrator mreže.
5.4.3 PERIOD ČUVANJA AUDIT LOGOVA
HALCOM BG CA telo procesira i arhivira audit logove na sedmičnom nivou. Dnevnici se čuvaju trajno.
5.4.4 ZAŠTITA AUDIT LOGOVA
Audit logovi se samo mogu videti od strane autorizovanog osoblja – sistem auditori. HALCOM BG CA implementira mehanizme zaštite audit logova od modifikacije i brisanja tako da niko ne može izvršiti pomenute operacije. Postupak zaštite audit logova je precizno definisan u internim pravilima HALCOM BG CA tela.
5.4.5 PROCEDURE BACK-UP-A AUDIT LOGOVA
HALCOM BG CA telo implementira procedure backup-a audit logova. Sigurnosne kopije dnevnika se izrađuju na dnevnoj bazi. Detalji su dati u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.4.6 SISTEM SAKUPLJANJA AUDIT LOGOVA
U okviru HALCOM BG CA tela, audit logovi se sakupljaju i čuvaju u realnom vremenu. Podaci se za potrebe dnevnika sakupljaju bilo automatski, bilo ručno, u zavisnosti od vrste podataka. Detalji su dati u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.4.7 OBAVEŠTENJE SUBJEKTA KOJI JE PROUZROKOVAO DOGAĐAJ
Subjekat koji je prouzrokovao određeni audit događaj se ne obaveštava o samoj audit aktivnosti.
5.4.8 PROCENA RANJIVOSTI SISTEMA
HALCOM BG CA telo realizuje s vremena na vreme procenu ranjivosti sistema. Analiza dnevnika i nadzor nad sprovođenjem svih postupaka redovno se sprovode od strane ovlašćenih lica sertifikacionog tela ili automatski odgovarajućim sigurnosnim mehanizmima na svoj računarsko-komunikacionoj opremi koja je u nadležnosti sertifikacionog tela. Ocena ranjivosti se sprovodi na osnovu analize dnevnika.
51
Detalji su dati u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.5 ARHIVIRANJE ZAPISA Zahtevi za čuvanjem zapisa se primenjuju kako na HALCOM BG CA telo tako i na mrežu RA. Opšte odredbe politike čuvanja zapisa HALCOM BG CA tela su navedene u nastavku.
5.5.1 TIPOVI ARHIVIRANIH ZAPISA
HALCOM BG CA telo čuva na bezbedan način zapise o izdatim elektronskim sertifikatima, audit podacima, informacije o podnetim aplikacijama za izdavanje sertifikata, kao i dokumentaciju o samim aplikacijama za izdavanje sertifikata. Dakle, sertifikaciono telo HALCOM BG CA, u skladu sa odredbama važećih propisa, čuva sledeće podatke/dokumente/arhivsku građu/registraturski materijal:
� dnevnike,
� zapisnike,
� sva dokazna sredstva o izvršenoj proveri identiteta vlasnika sertifikata,
� sve zahteve za dobijanjem sertifikata,
� digitalne sertifikate i registre opozvanih sertifikata,
� politike sertifikacije, CPS i druge dokumente sertifikacionog tela (opšta i interna pravila rada),
� objave i obaveštenja sertifikacionog tela HALCOM BG CA i
� druge dokumente u skladu sa valjanim propisima.
5.5.2 PERIOD ČUVANJA ARHIVE
HALCOM BG CA telo čuva na bezbedan način pomenute zapise o izdatim elektronskim sertifikatima za period koji je naznačen u vežećoj zakonskoj regulativi. Podaci se čuvaju trajno.
5.5.3 ZAŠTITA ARHIVE
Podaci koji se čuvaju dugotrajno se bezbedno čuvaju. Uslovi za zaštitu arhive uključuju:
� Zapise koje samo sistem evidentičari (zaposleni kojima su pridružene dužnosti čuvanja podataka) mogu da vide i arhiviraju.
� Zaštitu u odnosu na modifikaciju arhive, kao što je čuvanje podataka na medijumu na koga se može upisati samo jednom.
� Zaštitu u odnosu na brisanje arhive.
� Zaštitu u odnosu na kvarenje karakteristika medijuma vremenom na kojima se arhiva čuva, kao na primer realizacija zahteva da se podaci periodično migriraju na sveže medijume.
Detaljne odredbe dugotrajnog čuvanja se definišu u internim pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i preporukama.
52
5.5.4 PROCEDURA BACK-UP-A ARHIVE
HALCOM BG CA telo sprovodi odgovarajuću proceduru back-up-a arhive. HALCOM BG CA telo realizuje zahteve za procedurom čuvanja barem dve odvojene kopije arhive koje su pod kontrolom dve različite osobe. Kopija dugotrajno čuvanih podataka, bezbedno je sačuvana. Detaljne odredbe dugotrajnog čuvanja kopija podataka se definišu u internim pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i preporukama.
5.5.5 ZAHTEVI ZA VREMENSKIM PEČATOM ZAPISA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
5.5.6 SISTEM SAKUPLJANJA ZAPISA
HALCOM BG CA telo sprovodi odgovarajući sistem sakupljanja zapisa/logova koji se arhiviraju. Podaci se sakupljaju na način koji je u skladu sa vrstom dokumenta. Detaljne odredbe načina sakupljanja podataka se definišu u internim pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i preporukama.
5.5.7 PROCEDURE ZA DOBIJANJE I VERIFIKACIJU INFORMACIJA IZ ARHIVE
Pristup dugotrajno čuvanim podacima omogućen je samo ovlašćenim licima. U okviru HALCOM BG CA tela, definisane su procedure u cilju dobijanja i verifikacije arhivskih informacija. U cilju dobijanja i verifikacije arhivskih informacija HALCOM BG CA telo, kao i mreža RA, održavaju zapise pod jasnom hijerarhijskom kontrolom i sa jasnim opisom posla. HALCOM BG CA telo čuva zapise u elektronskoj ili papirnoj formi. HALCOM BG CA telo može zahtevati od svojih RA, korisnika ili njihovih agenata da dostave odgovarajuća dokumenta u cilju podrške ovog zahteva. Ovi zapisi mogu biti čuvani u elektronskoj, papirnoj i u bilo kojoj drugoj formi za koju HALCOM BG CA telo smatra da je odgovarajuća. HALCOM BG CA telo može da izmeni način čuvanja zapisa ako je to eventualno potrebno da bude u saglasnosti sa određenim akreditacionim šemama. Detaljne odredbe u vezi pristupa dugotrajno čuvanim podacima se definišu u internim pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i preporukama.
5.6 IZMENA KLJUČEVA HALCOM BG CA telo poseduje proceduru, detaljno opisanu u ovom CPS dokumentu, koja se sprovodi u slučaju isteka sertifikata sertifikacionog tela ili povlačenja sertifikata sertifikacionog tela. U oba slučaja, vrši se generisanje novog para ključeva sertifikacionog tela i distribucija novog sertifikata CA tela svim korisnicima i zainteresovanim stranama, kao i u slučaju prvog generisanog sertifikata CA.
53
Dakle, u slučaju novo izdatog sopstvenog digitalnog sertifikata sertifikacionog tela HALCOM BG CA isti se odmah objavljuje na web stranicama sertifikacionog tela HALCOM BG CA.
5.7 KOMPROMITACIJA I OPORAVAK U SLUČAJU KATASTROFE
5.7.1 PROCEDURE ZA POSTUPANJE U INCIDENTNIM I KOMPROMITUJUĆIM SITUACIJAMA
U Posebnim internim pravilima rada, HALCOM BG CA telo dokumentuje procedure koje treba izvršiti pri rešavanju incidenata, kao i izveštavanja u vezi sa eventualnom kompromitacijom ključeva.
5.7.2 RAČUNARSKI RESURSI, SOFTVER ILI PODACI KOJI SU OŠTEĆENI
HALCOM BG CA telo takođe dokumentuje procedure oporavka koje se koriste ukoliko su računarski resursi, softver, i/ili podaci neispravni ili se sumnja da su neispravni. Detaljne odredbe se definišu u internim pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i preporukama.
5.7.3 PROCEDURE KOJE SE SPROVODE KOD KOMPROMITACIJE PRIVATNOG KLJUČA KORISNIKA
HALCOM BG CA telo teži da ponovo uspostavi bezbedno okruženje u koracima koji uključuju, ali nisu ograničeni samo na, povlačenje neispravnih sertifikata, ili se sumnja da su neispravni, odgovarajućih entiteta. Nakon toga, HALCOM BG CA telo može ponovo izdati novi sertifikat datom entitetu.
5.7.4 MOGUĆNOSTI KONTINUITETA POSLOVANJA NAKON KATASTROFE
Plan kontinualnog poslovanja se implementira da osigura nastavak poslovanja nakon prirodne ili druge katastrofe.
5.8 ZAVRŠETAK RADA CA ILI RA Pre nego što prekine svoje aktivnosti pružanja sertifikacionih usluga, HALCOM BG CA telo
� Obezbeđuje svojim korisnicima koji imaju validne sertifikate obaveštenje o nameri da prestane sa pružanjem sertifikacione usluge, tj. da prestane da izvršava aktivnosti u svojstvu CA.
� Povlači sve sertifikate koji su još uvek validni (tj. one koji nisu povučeni i nije im istekao rok važnosti), nakon obaveštenja a bez zahteva za saglasnošću korisnika.
� Blagovremeno obaveštava o povlačenju sertifikata sve korisnike na koje se to odnosi.
� Čini razumne mere u cilju zaštite zapisa koje čuva u skladu sa ovim CPS dokumentom.
� Ukoliko je to moguće, obezbeđuje odgovarajuće mere obezbeđenja sukcesije u smislu ponovnog izdavana sertifikata od strane drugog CA tela koje je sukcesor – nastavljač izdavanja sertifikata datog CA – i koje poštuje ekvivalentne CP i CPS dokumente.
54
Detaljne odredbe se definišu u internim pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i preporukama.
55
6. TEHNIČKE BEZBEDNOSNE KONTROLE Ovo poglavlje definiše tehničke bezbednosne mere koje primenjuje HALCOM BG CA telo u cilju zaštite svojih kriptografskih ključeva i aktivacionih podataka (kao na primer PIN-ovi, lozinke, itd.). Bezbednosno upravljanje ključevima je kritično u cilju osiguranja da su svi ključevi i aktivacioni podaci zaštićeni i da se koriste isključivo od strane autorizovanih zaposlenih. Takođe, definisane su i druge tehničke bezbednosne kontrole koje se koriste od strane CA da se bezbedno izvršavaju funkcije generisanja ključeva, autentikacije korisnika, registracije korisnika, izdavanja sertifikata, povlačenja sertifikata, revizije i arhiviranja. Tehničke kontrole uključuju životni ciklus bezbednosnih kontrola kao i operativne bezbednosne kontrole. U ovom poglavlju se takođe definišu tehničke bezbednosne kontrole nad repozitorijumima, registracionim telima, korisnicima i drugim učesnicima.
6.1 GENERISANJE I INSTALACIJA ASIMETRIČNOG PARA KLJUČEVA
6.1.1 PROCES GENERISANJA ASIMETRIČNOG PARA KLJUČEVA HALCOM BG CA TELA
Asimetrični par ključeva sertifikacionog tela HALCOM BG CA za digitalno potpisivanje sertifikata i verifikaciju potpisa se generiše tokom uspostave sertifikacionog tela HALCOM BG CA (CA ceremonija). Za korisnike, vlasnike sertifikata, sertifikaciono telo HALCOM BG CA generiše dva asimetrična para ključeva i dva sertifikata:
� privatni ključ za podpisovanje (za potrebe digitalnog potpisivanja), � privatni ključ za dešifriranje (za potrebe dešifriranja), � javni ključ za verifikaciju podpisa (za verifikaciju digitalnog potpisa) i � javni ključ za šifriranje (za potrebe šifriranje).
Oba para ključeva za vlasnika sertifikata se generišu na smart kartici u okviru sertifikacionog tela HALCOM BG CA gde se vrši i kompletna personalizacija smart kartice i štampanje PIN koda. Sertifikaciono telo dostavlja korisniku (vlasniku sertifikata) kompletno isprogramiranu smart karticu (sa dva para ključeva i dva sertifikata) kao i odštampan PIN kod.
6.1.2 ISPORUKA PRIVATNOG KLJUČA KORISNIKU
Asimetrični privatni ključevi za korisnike se generišu u okviru HALCOM BG CA tela. Sertifikaciono telo dostavlja korisniku (vlasniku sertifikata) kompletno isprogramiranu smart karticu (sa dva para ključeva (privatni i javni ključ) i dva sertifikata) kao i odštampan PIN kod.
6.1.3 DOSTAVA JAVNOG KLJUČA DO IZDAVAOCA SERTIFIKATA
Nije primenljivo.
56
Asimetrični parovi ključeva (privatni i javni ključ) za korisnike – vlasnike sertifikata sa generišu u okviru sertifikacionog tela.
6.1.4 DOSTAVA JAVNOG KLJUČA IZDAVAOCA SERTIFIKATA TREĆIM STRANAMA
Digitalni sertifikat sa javnim ključem sertifikacionog tela HALCOM BG CA je vlasnicima sertifikata, odnosno trećim licima, dostupan:
� u javnom imeniku ldap.halcom.rs putem LDAP protokola (pogledati poglavlje 2.3),
� putem web stranice sertifikacionog tela
6.1.5 DUŽINE KLJUČEVA
Sertifikat Dužina ključa prema RSA [bit] Sertifikat sertfikacionog tela HALCOM BG CA 2048 Sertifikati za korisnike - pravna lica 1024 Mobilni sertifikati za korisnike – fizička lica 1024
6.1.6 GENERISANJE KRIPTOGRAFSKIH PARAMETARA I PROVERA KVALITETA
Kvalitet parametara asimetričnog para ključa sertifikacionog tela HALCOM BG CA garantovana je od strane proizvođača programske opreme, HSM (Hardware Security Module), koja koristi kvalitetne i sertifikovane hardverske generatore slučajnih brojeva (engl. random number generator).
6.1.7 MOGUĆE „KEY USAGE" OPCIJE
Namena upotrebe asimetričnih ključeva, odnosno sertifikata, je u skladu je X.509 v3 standardom i definisana je u odgovarajućoj ekstezniji sertifikata: korišćenje ključa (engl. keyUsage) i prošireno korišćenje ključa (engl. extended keyUsage).
Digitalno potpisivanje sertifikata i registra opozvanih sertifikata se vrši privatnim ključem sertifikacionog tela HALCOM BG CA, dok se za verifikaciju pomenutih potpisa koristi javni ključ iz digitalnog sertifikata sertifikacionog tela. U tom smislu, keyUsage ekstenzija u sertifikatu sertifikacionog tela sadrži odgovarajuće vrednosti. Profili digitalnih sertifikata koje izdaje sertifikaciono telo HALCOM BG CA su navedeni u poglavlju 7.1. U elektronskim sertifikatima (root, intermediate i korisnički sertifikati) izdatim od strane HALCOM BG CA tela koriste se sledeće vrednosti u ekstenziji „Key Usage“: Root CA sertifikat:
� Certificate Signing, Off-Line CRL Signing, CRL Signing Intermediate CA sertifikat:
• Certificate Signing, Off-Line CRL Signing, CRL Signing
57
Sertifikat korisnika:
• Digital Signature, Non-Repudiation, Key Encipherment
6.2 ZAŠTITA PRIVATNOG KLJUČA I TEHNIČKE KONTROLE KRIPTOGRAFSKOG MODULA HALCOM BG CA telo koristi odgovarajuće hardverske i softverske mehanizme u cilju realizacije zadataka upravljanja ključevima CA. Hardverski i softverski mehanizmi koji štite privatne ključeve CA su dokumentovani u internim pravilima rada. Dokumenti prikazuju da su mehanizmi zaštite CA ključa u najmanju ruku ekvivalentne snage kao i sami CA ključevi koji se štite.
6.2.1 STANDARDI I KONTROLE KRIPTOGRAFSKOG HARDVERSKOG MODULA
Privatni ključ sertifikacionog tela HALCOM BG CA zaštićen je kriptografskim modulom koji je sertifikovan u skladu sa FIPS 140-2 nivo 3 ili Common Criteria EAL4+.
6.2.2 VIŠESTRUKA KONTROLA PRIVATNOG KLJUČA (K OD N PROCEDURA DISTRIBUIRANE ODGOVORNOSTI)
Procedura deljenja tajni HALCOM BG CA koristi višestruke autorizovane nosioce u cilju da zaštiti i poboljša poverljivost privatnih ključeva i obezbedi odgovarajuću proceduru oporavka ključa. Privatni ključ HALCOM BG CA tela se koristi pod uslovima definisanim u okviru k od n kontrole od strane više zaposlenih sa poverljivim ulogama. Pre nego što nosilac deljene tajne prihvati deljenu tajnu on mora lično da se upozna sa kreiranjem, ponovnim kreiranjem i distribucijom tajne na sledećeg člana lanca poverljivosti. Nosilac deljene tajne može primiti deljenu tajnu na fizičkom medijumu, kao što je određeni hardverski kriptografski modul (na primer smart kartica) koji je potvrđen za korišćenje od strane HALCOM BG CA tela. HALCOM BG CA telo čuva pisane zapise u vezi distribucije deljene tajne. Odredbe vezane za aktivaciju privatnog ključa sertifikacionog tela HALCOM BG CA definisane su u internim pravilima rada sertifikacionog tela HALCOM BG CA.
6.2.3 BEZBEDNO ČUVANJE PRIVATNOG KLJUČA
HALCOM BG CA telo koristi odgovarajuće hardverske i softverske mehanizme da čuva svoje privatne ključeve. Procedura čuvanja privatnog ključa HALCOM BG CA tela zahteva višestruke kontrole od strane na odgovarajući način autorizovanog osoblja sa poverljivim rolama. Autorizacija procedure čuvanja ključeva i autorizacija odgovarajućeg osoblja mora biti izvršena od strane više od jednog člana upravne strukture.
6.2.4 BACKUP KLJUČEVA HALCOM BG CA TELA
Nije primenljivo.
58
6.2.5 ARHIVIRANJE PRIVATNOG KLJUČA
Nije primenljivo.
6.2.6 TRANSFER PRIVATNOG KLJUČA NA HARDVERSKI KRIPTOGRAFSKI MODUL
Asimetrični par ključeva (privatni i javni) sertifikacionog tela se generiše u HSM uređaju i ne prenosi se nigde. Asimetrični parovi ključeva (privatni i javni) za vlasnike sertifikata se generišu u smart kartici i ne mogu se iščitati sa kartice.
6.2.7 ČUVANJE PRIVATNOG KLJUČA NA HARDVERSKOM KRIPTOGRAFSKOM MODULU
Asimetrični par ključeva (privatni i javni) sertifikacionog tela se generiše u HSM uređaju i samo se čuvaju u okviru HSM uređaja. Asimetrični parovi ključeva (privatni i javni) za vlasnike sertifikata se generišu u smart kartici i samo se čuvaju u smart kartici i ne mogu se iščitati sa nje.
6.2.8 METODA AKTIVACIJE PRIVATNOG KLJUČA
Nosioci deljenih tajni (staraoci) HALCOM BG CA tela imaju zadatak da aktiviraju i deaktiviraju privatni ključ CA tela. Privatni ključ je tada aktivan u definisanom periodu vremena. Postupak aktivacije privatnog ključa sertifikacionog tela i procedura distribuirane odgovornosti u vezi tog postupka su definisane u internim pravilima rada sertifikacionog tela. Aktivacija privatnog ključa korisnika na smart kartici se realizuje ukucavanjem PIN koda.
6.2.9 METODA DEAKTIVIRANJA PRIVATNOG KLJUČA
Nosioci deljenih tajni (staraoci) HALCOM BG CA tela imaju zadatak da aktiviraju i deaktiviraju privatni ključ CA tela. Privatni ključ je tada aktivan u definisanom periodu vremena. Postupak za deaktivaciju/uništavanje privatnog ključa sertifikacionog tela HALCOM BG CA vrši se bezbednim načinom u skladu sa odredbama internih pravila rada sertifikacionog tela HALCOM BG CA. Privatni ključ se uništava na takav način da ga nije moguće ponovo koristiti.
6.2.10 METODA UNIŠTENJA PRIVATNOG KLJUČA
Privatni ključ HALCOM BG CA tela se ne obnavlja. Privatni ključ HALCOM BG CA tela će biti uništen na kraju svog životnog ciklusa. Privatni ključevi HALCOM BG CA tela se uništavaju na kraju njihovog životnog veka u cilju garancije da oni neće nikada biti ponovo aktivirani i korišćeni. Privatni ključevi HALCOM BG CA tela se uništavaju tako što se isti unište, kao i brisanjem njihovih deljenih delova/tajni. Postupak za uništenje privatnog ključa sertifikacionog tela se bazira na odgovarajućim
59
funkcijama koje su podržane u HSM uređaju koji zadovoljava standarde navedene u poglavlju 6.2.1. Proces uništavanja ključeva je dokumentovan u internim pravilima rada i odgovarajući zapisi su arhivirani.
6.2.11 RANGIRANJE KRIPTOGRAFSKIH HARDVERSKIH MODULA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
6.3 NEKI DRUGI ASPEKTI UPRAVLJANJA PAROM KLJUČEVA
6.3.1 ARHIVIRANJE JAVNOG KLJUČA
Sertifikaciono telo HALCOM BG CA arhivira svoj javni ključ, kao i javne ključeve vlasnika sertifikata, kao što je navedeno u poglavlju 5.5.
6.3.2 PERIODI VALIDNOSTI SERTIFIKATA I PRIVATNOG KLJUČA
HALCOM BG CA telo izdaje korisničke sertifikate za periodom korišćenja kao što je naznačeno u sertifikatima. U dole navedenoj tabeli su data vremena važenja privatnih i javnih ključeva sertifikacionog tela HALCOM BG CA i ovlašćenih korisnika pravnih lica – vlasnika sertifikata. Tip sertifikata Ključ Važenje
Root sertifikat sertifikacionog tela Halcom BG CA
Privatni ključ 20 godina
Javni ključ 20 godina
Intermediate sertifikat sertifikacionog tela Halcom BG CA PL
Privatni ključ 15 godina
Javni ključ 15 godina
Intermediate sertifikat sertifikacionog tela Halcom BG CA FL
Privatni ključ 15 godina
Javni ključ 15 godina
Sertifikati za korisnike - Pravna lica
Privatni ključ 3 godine
Javni ključ 3 godine
Mobilni ertifikati za korisnike - fizička lica
Privatni ključ 3 godine
Javni ključ 3 godine
Sertifikaciono telo HALCOM BG CA može u iznimnim slučajevima za pojedinačne sertifikate odrediti i kraći rok važenja sertifikata (tj. javnog ključa u sertifikatu).
60
6.4 AKTIVACIONI PODACI
6.4.1 GENERISANJE I INSTALACIJA AKTIVACIONIH PODATAKA
HALCOM BG CA telo dokumentuje sopstvenu distribuciju aktivacionih podataka za aktivaciju svog privatnog ključa i ima mogućnost da izmeni način distribucije tih podataka u slučaju da staraoci zahtevaju da budu zamenjeni u njihovim rolama. Za potrebe pristupa privatnim ključevima vlasnika sertifikata koriste se PIN kodovi za pristup karticama koji se generišu u sertifikacionom telu HALCOM BG CA. PIN kod za smart karticu, kao i administrativni PIN kod za deblokadu kartica (PUK kod) generišu se i štampaju na specijalnim PIN kovertama u okviru sertifikacionog tela HALCOM BG CA. Vlasnik može da promeni PIN kod nakon preuzimanja.
6.4.2 ZAŠTITA AKTIVACIONIH PODATAKA
Lozinka za preuzimanje mobilne potvrde kreira se sigurno kod overavača Halcom CA ili mobilnog operatera, ovisi o tome ko izvrši prijemnu službu. Lozinku za preuzimanje mobilne potvrde isporučuje mobilni operater budućem vlasniku potvrde preporučenom poštom. Do preuzimanja potvrde budući je vlasnik dužan brižno da čuva lozinku za preuzimanje mobilne potvrde, a nakon preuzimanja potvrde lozinka postane neupotrebljiva i vlasnik može da je baci. Vlasnici sami određuju lozinku kojom zaštite pristup svojim privatnim ključevima. Halcom CA preporučuje da se lozinka za pristup do privatnog ključa ne čuva odnosno da se čuva na sigurnom mestu koje je dostupno samo vlasniku.
6.4.3 DRUGI ASPEKTI U VEZI AKTIVACIONIH PODATAKA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
6.5 BEZBEDNOSNE KONTROLE RAČUNARA
6.5.1 SPECIFIČNI ZAHTEVI ZA BEZBEDNOST RAČUNARA
HALCOM BG CA telo implementira bezbednosne kotrole nad računarima koji se koriste u okviru datog PKI sistema. Računari koji se koriste u okviru HALCOM BG CA tela čuvaju se unutar specijalne prostorije koja je fizički obezbeđena. Pristup preko računarske mreže se štiti pomoću firewall uređaja. Neautorizovan pristup računarima CA tela nije dozvoljen
6.5.2 RANGIRANJE BEZBEDNOSTI RAČUNARA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
61
6.6 ŽIVOTNI CIKLUS TEHNIČKIH BEZBEDNOSNIH KONTROLA
6.6.1 KONTROLE SISTEMSKOG RAZVOJA
HALCOM BG CA telo realizuje periodične sistemsko razvojne kontrole.
6.6.2 KONTROLE UPRAVLJANJA BEZBEDNOŠĆU
HALCOM BG CA telo realizuje periodične bezbednosno upravljačke kontrole.
6.6.3 ŽIVOTNI CIKLUS BEZBEDNOSNIH KONTROLA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
6.7 MREŽNE BEZBEDNOSNE KONTROLE HALCOM BG CA telo održava i primenjuje visok nivo sistema mrežne bezbednosti, uključujući primenu firewall uređaja i intrusion detection/prevention sistema.
6.8 VREMENSKI PEČAT Ovo poglavlje nije primenljivo u okviru ovih CPS.
62
7. PROFILI SERTIFIKATA, CRL LISTA I OCSP Ovo poglavlje specificira formate sertifikata i CRL lista koje izdaje HALCOM BG CA telo.
7.1 PROFILI SERTIFIKATA Na osnovu politik sertifikacije (CPOID: 1.3.6.1.4.1.5939.10.1.1 i CPOID: 1.3.6.1.4.1.5939.11.1.1), sertifikaciono telo HALCOM BG CA izdaje sertifikate za pravna i fizička lica. .
7.1.1 BROJ VERZIJE
HALCOM BG CA telo izdaje elektronske sertifikate u formatu X.509v3 tako da su svi sertifikati verzije 3.
7.1.2 EKSTENZIJE U SERTIFIKATU
Podaci u sertifikatima za pravna lica su navedeni su sledećoj tabeli. Nazivi polja Vrednost odnosno značenje Osnovna polja u sertifikatima Varijanta engl. Version
V3
Identifikaciona oznaka potvrde engl. Serial Number
Jedinstven interni broj sertifikata
Algoritam za potpis, engl. Signature algorithm
sha1RSA (OID1.2.840.113549.1.15)
Izdavač engl. Issuer
C=RS, O=Halcom a.d. Beograd, CN=Halcom BG CA PL
Validnost, engl. Validity
Valid from: <početak validnosti prema GMT> Valid to: <kraj validnosti prema GMT>
Vlasnik, engl. Subject
karakteristično ime vlasnika, pogledati poglavlje 3.1.1.
Algoritam za javni ključ, engl. Subject Public Key Algorithm
rsaEncryption (OID 1.2.840.113549.1.1.1)
Javni ključ, engl. Public Key (... bits)
modulus, eksponent,...
Vlasnikov javni ključ koji pripada odgovarajućem paru, ključeva, šifriran alg. RSA, engl. RSA Public Key
dužina ključa je min 1024 bitova, pogledaj alineju 6.1.5.
Ekstenzije u okviru X.509v3 standarda Objava registra opozvanih sertifikata, OID 2.5.29.31, engl. CRL Distribution Points
URL=ldap://ldap.halcom.rs/cn=Halcom%20BG%20CA%20PL,o=Halcom%20a.d%20Beograd,c=RS?certificaterevocationlist;binary
korišćenje ključa, OID 2.5.29.15, engl. Key Usage
Digital Signature, Non-Repudiation,
63
Identifikator ključa overavača, OID 2.5.29.35, engl. Authority Key Identifier
KeyID=47 dd ba a4 63 34 d3 24
Identifikator ključa vlasnika, OID 2.5.29.14, engl. Subject Key Identifier
identifikator ključa vlasnika
Politika, u nadležnosti koje je sertifikat izdat, OID 2.5.29.32, engl. certificatePolicies
Ovisi od vrste potvrde Certificate Policy: Policy Identifier=1.3.6.1.4.1.5939.10.1.1
Osnovna ograničenja, OID 2.5.29.19, engl. Basic Constraints
Subject Type=End Entity Path Length Constraint=None
Dodatna identifikacija (nije deo digitalne potvrde) Prepoznavan otisak potvrde-SHA1 engl. Certificate Fingerprint – SHA1
Prepoznavan otisak potvrde prema SHA1
Nazivi polja Vrednost odnosno značenje Osnovna polja u potvrdi Varijanta engl. Version
V3
Identifikaciona oznaka potvrde engl. Serial Number
Jedinstven interni broj sertifikata
Algoritam za potpis, engl. Signature algorithm
sha1RSA (OID1.2.840.113549.1.15)
Izdavač engl. Issuer
C=RS, O=Halcom a.d. Beograd, CN=Halcom BG CA FL
Validnosti, engl. Validity
Valid from: <početak validnostii prema GMT> Valid to: <kraj validnosti prema GMT>
Vlasnik, engl. Subject
karakteristično ime vlasnika, u zavisnosti od vrste sertifikata, pogledati poglavlje 3.1.1.
Algoritam za javni ključ, engl. Subject Public Key Algorithm
rsaEncryption (OID 1.2.840.113549.1.1.1)
Javni ključ, engl. Public Key (... bits)
modulus, eksponent,...
Vlasnikov javni ključ koji pripada odgovarajućem paru, ključeva, šifriran alg. RSA, engl. RSA Public Key
dužina ključa je min 1024 bitova, pogledaj alineju 6.1.5.
Proširenja X.509v3 Objava registra opozvanih sertifikata, OID 2.5.29.31, engl. CRL Distribution Points
URL=ldap://ldap.halcom.rs/cn=Halcom%20BG%20CA%20FL,o=Halcom%20a.d%20 Beograd,c=RS?certificaterevocationlist;binary
korišćenje ključa, OID 2.5.29.15, engl. Key Usage
Digital Signature, Non-Repudiation, Key Encipherment,
Prošireno korišćenje, OID 2.5.29.37, engl. Enhanced Key Usage
/
64
Identifikator ključa overavača, OID 2.5.29.35, engl. Authority Key Identifier
KeyID=43 40 d8 ec d2 62 80 6f
Identifikator ključa vlasnika, OID 2.5.29.14, engl. Subject Key Identifier
identifikator ključa vlasnika
Politika, u nadležnosti koje je sertifikat izdat, OID 2.5.29.32, engl. certificatePolicies
Ovisi od vrste potvrde Certificate Policy: Policy Identifier=1.3.6.1.4.1.5939.11.1.1
Osnovna ograničenja, OID 2.5.29.19, engl. Basic Constraints
Subject Type=End Entity Path Length Constraint=None
Dodatna identifikacija (nije deo digitalne potvrde) Prepoznavan otisak potvrde-SHA1 engl. Certificate Fingerprint – SHA1
Prepoznavan otisak potvrde prema SHA1
Ekstenzija namena korišćenja ključa (engl. Key Usage) označena je kao kritična (engl. critical).
7.1.3 OBJEKTNI IDENTIFIKATORI ALGORITAMA
Digitalni sertifikati koje izdaje sertifikaciono telo HALCOM BG CA potpisani su primenom kriptografskog algoritma, određenim u polju signature algorithm: vrednost sha1RSA, identifikator objekta: OID 1.2.840.113549.1.1.5.
7.1.4 FORME IMENA
Pogledati poglavlje 3.1.1.
7.1.5 OGRANIČENJA IMENA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
7.1.6 OBJEKTNI IDENTIFIKATOR CPS
Objektni identifikator ovog CPS dokumenta je:
• OID = 1.3.6.1.4.1.5939.10.1.1 za pravna lica i • OID = 1.3.6.1.4.1.5939.11.1.1 za fizička lica.
7.1.7 KORIŠĆENJE „POLICY CONSTRAINTS“ EKSTENZIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
7.1.8 SINTAKSA I SEMANTIKA „POLICY QUALIFIER“-SA
Pogledati poglavlje 7.1.2.
7.1.9 SEMANTIKA PROCESIRANJA KRITIČNE EKSTENZIJE „CERTIFICATE POLICIES“
U sertifikatima izdatim od strane HALCOM BG CA tela, neophodno je da ekstenzija „Certificate Policies“ ima sledeće vrednosti:
65
� Odgovarajući OID politike sertifikacije po kojoj se izdaje dati sertifikat
� Internet lokaciju (URL) na kojoj se nalazi ovaj CPS dokument radi preuzimanja.
7.2 PROFIL CRL LISTE Registar opozvanih sertifikata (CRL) izdaje sertifikaciono telo HALCOM BG CA sa karakterističnim imenom: Za pravna lica: C=RS, O=Halcom a.d. Beograd, CN=Halcom BG CA PL Za fizička lica: C=RS, O=Halcom a.d. Beograd CN=Halcom BG CA FL Registar opozvanih sertifikata se obnavlja nakon svakog opoziva, odnosno najmanje jedanput dnevno ako nema novih opoziva, odnosno promena u registru opozvanih sertifikata (24 sata nakon poslednjeg obnavljanja). Registar opozvanih sertifikata sadrži jednoznačni interni serijski broj opozvanog sertifikata, kao i vreme i datum opoziva.
7.2.1 BROJ VERZIJE
Registar opozvanih sertifikata odgovara preporuci ITU-T X.509 (1997) uključujući i verziju 2 i ISO/IEC 9594-8:1997. Registar opozvanih sertifikata je dostupan u imeniku sertifikata (pogledaj poglavlje 2.3) putem:
� LDAP protokola i
� HTTP protokola.
7.2.2 CRL I CRL ENTRY EKSTENZIJE
Registar opozvanih sertifikata uz ostale podatke, u skladu sa preporukom X.509v2 sadrži (osnovna polja i ekstenizije detaljnije su prikazani u donjoj tabeli):
� identifikacione oznake opozvanih sertifikata i
� vreme i datum opoziva.
CRL za pravna lica: Naziv polja Vrednost odnosno značenje Osnovna polja u CRL Verzija, engl. Version
V2
Algoritam za digitalni potpis CRL, engl. Signature Algorithm
sha1RSA
66
Potpis sertifikacionog tela, engl. Signature
potpis HALCOM BG CA PL
Karakteristično ime sertifikacionog tela engl. Issuer
C=RS, O=Halcom a.d. Beograd, CN=Halcom BG CA PL
Vreme izdavanja CRL, engl. thisUpdate
Effective date: <vreme izdavanja prema GMT>
Vreme izdavanja sledeće CRL, engl. nextUpdate
Next Update: <vreme izdavanja sledeće CRL prema GMT>
Identifikacione oznake (serijski brojevi) opozvanih sertifikata i vreme opoziva, engl. revokedCertificate
Serial Number: <identifikaciona oznaka (serijski broj) opozvanog digitalnog sertifikata> Revocation Date: <vreme opoziva prema GMT>
Ekstenzije X.509v2 CRL redni broj CRL engl. CRL number
Redni broj izdatog registra opozvanih sertifikata
identifikator ključa sertifikacionog tela, engl. Authority Key Identifier (OID 2.5.29.35)
KeyID= 47 dd ba a4 63 34 d3 24
CRL za fizička lica: Naziv polja Vrednost odnosno značenje Osnovna polja u CRL Varijanta, engl. Version
V2
Algoritam za potpis, engl. Signature Algorithm
sha1RSA
Potpis overavača, engl. Signature
potpis Halcom BG CA
Karakteristično ime overavača engl. Issuer
C=RS, O=Halcom a.d. Beograd CN=Halcom BG CA FL
Vreme izdaje CRL, engl. thisUpdate
Effective date: <vreme izdaje prema GMT>
Vreme izdaje sledećeg CRL, engl. nextUpdate
Next Update: <vreme sledeće izdaje prema GMT>
Identifikacione oznake opozvanih sertifikata i vreme opoziva, engl. revokedCertificate
Serial Number: <identifikaciona oznaka opozvane dig. potvrde> Revocation Date: <vreme opoziva prema GMT>
Ekstenzije X.509v2 CRL redni broj CRL engl. CRL number
Redni broj izdatog registra opozvanih sertifikata
identifikator ključa overavača, engl. Authority Key Identifier (OID 2.5.29.35)
KeyID=43 40 d8 ec d2 62 80 6f
Opozvani digitalni sertifikati kojima je istekla validnost, ostaju izlistani u CRL, tj. ne brišu se iz CRL nakon isteka važnosti.
67
7.3 OCSP PROFIL Ovo poglavlje nije primenljivo u okviru ovih CPS.
7.3.1 BROJ VERZIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
7.3.2 OCSP EKSTENZIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
68
8. Provera usklađenosti i druga ocenjivanja
8.1 FREKVENCIJA ILI USLOVI OCENJIVANJA HALCOM BG CA telo vrši periodičnu reviziju/proveru saglasnosti svojih osnovnih dokumenata rada, kao što su politike sertifikacije i ovaj CPS dokumnet, što uključuje i periodičnu superviziju od strane Nadležnog organa za akreditaciju i superviziju Republike Srbije. Operativni rad HALCOM BG CA tela je takođe u saglasnosti sa najvažnijim međunarodnim i Evropskim standardima u ovoj oblasti, kao i sa Evropskom direktivom 1999/93/EC o elektronskim potpisima. U domenu izdavanja elektronskih sertifikata, HALCOM BG CA tela radi u okviru ograničenja definisanim u okviru Zakona o elektronskom potpisu Republike Srbije, kao i odgovarajućim podzakonskim aktima. HALCOM BG CA telo prihvata pod određenim uslovima i proveru/reviziju internih procedura i pravila rada koja nisu javno dostupna. HALCOM BG CA evaluira rezultate ovakvih provera pre nego što ih implementira. U okviru sertifikacionog tela HALCOM BG CA postoji organizaciona jedinica za nadzor i usklađenost koju čine stručnjaci sa odgovarajućim tehnološkim i pravnim znanjima, a koji ne vrše zadatke vezane za upravljanje sertifikatima. Pomenuta organizaciona jedinica nadzire rad sertifikacionog tela HALCOM BG CA. Organizaciona jedinica u slučaju otkrivenih nedostataka definiše odgovarajuće mere za uklanjanje tih nedostataka, koje je sertifikaciono telo HALCOM BG CA dužno da sprovede, i nadzire sprovođenje definisanih mera. Organizaciona jedinica za nadzor i usklađenost vrši nadzor rada sertifikacionog tela najmanje jedanput u godini.
8.2 IDENTITET/KVALIFIKACIJE PROCENJIVAČA HALCOM BG CA sprovodi redovne interne revizije usklađenosti poslovanja sa politikama sertifikacije, kao i sa ovim CPS dokumentom. Organizacionu jedinicu za nadzor i usklađenost čine stručnjaci sa odgovarajućim tehnološkim i pravnim znanjima.
8.3 ODNOS OCENJIVAČA PREMA OCENJIVANOM ENTITETU Ovo poglavlje nije primenljivo u okviru ovih CPS.
8.4 TEME POKRIVENE U PROCESU OCENJIVANJA U procesu ocenjivanja rada HALCOM BG CA sertifikacionog tela, bilo eventualnog eksternog od strane Nadležnog organa ili internog od strane internih auditora, vrši se provera saglasnosti osnovnih dokumenata CA tela (politike sertifikacije i ovaj CPS dokument) sa postojećom zakonskom regulativom (Zakon o elektronskom potpisu i podzakonska akta), kao i da li je operativni rad HALCOM BG CA tela u saglasnosti sa usvojenim i verifikovanim politikama sertifikacije (CP) i ovim praktičnim pravilima rada (CPS), kao i sa internim pravilima rada. Područja nadzora određena su u internim pravilima rada sertifikacionog tela HALCOM BG CA.
8.5 AKTIVNOSTI PREDUZETE KAO REZULTAT UTVRĐENIH
69
NEDOSTATAKA HALCOM BG CA telo treba da uskladi svoje dokumente (CP, CPS i interna pravila rada) i operativni rad u skladu sa eventualnim nalazima eksternog ili internog auditinga. U slučaju utvrđenih nedostataka ili grešaka u radu sertifikacionog tela, organizaciona jedinica definiše mere za uklanjanje tih nedostataka, koje je sertifikaciono telo HALCOM BG CA dužno da sprovede, i nadzire izvođenje definisanih mera. Detalji oko sprovođenja navedenih mera se definišu u internim pravilima rada sertifikacionog tela HALCOM BG CA.
8.6 KOMUNIKACIJA REZULTATA Rezultati sprovođenja nadzora se čuvaju u okviru sertifikacionog tela HALCOM BG CA.
70
9. DRUGI POSLOVNI I PRAVNI ASPEKTI
9.1 CENE
9.1.1 CENE IZDAVANJA ILI OBNOVE SERTIFIKATA
Sertifikaciono telo HALCOM BG CA definiše cenovnik korišćenja sertifikata, svojih usluga, potrebne opreme i infrastrukture. Cena izdavanja i obnavljanja sertifikata definisana je važećim cenovnikom u registracionim centrima.
9.1.2 CENA PRISTUPA SERTIFIKATIMA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.1.3 CENA PRISTUPA INFORMACIJAMA O STATUSU SERTIFIKATA
Pristup javnom imeniku sertifikata je besplatan osim ako se stranke ne dogovore drugačije. Registar opozvanih sertifikata je besplatno dostupan svim korisnicima, bilo da su oni vlasnici sertifikata izdatih od strane sertifikacionog tela HALCOM BG CA ili treća lica.
9.1.4 CENE ZA DRUGE SERVISE
Cene drugih usluga, opreme i infrastrukture određene su važećim cenovnikom.
9.1.5 POLITIKA POVRAĆAJA NOVCA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.2 FINANSIJSKA ODGOVORNOST
9.2.1 POKRIVENOST OSIGURANJEM
HALCOM BG CA obezbeđuje osiguranje za pokrivanje svih odgovornosti opisanih u ovom CPS dokumentu. Detaljne informacije o osiguranju objavljene su na zvaničnoj web strani sertifikacionog tela. HALCOM BG CA ne prihvata nikakvu drugu odgovornost koja izlazi iz pokrivanja definisanog ovim CPS dokumentom. Sertifikaciono telo HALCOM BG CA poseduje odgovarajuće osiguranje za bilo koju štetu koju mogu da pretrpe treća lica a za koju je odgovorno sertifikaciono telo. Detaljne informacije objavljene su na web stranicama.
9.2.2 DRUGA DOBRA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.2.3 OSIGURANJE ILI GARANCIJSKA POKRIVENOST ZA KRAJNJE KORISNIKE
Korisnik je dužan da obešteti HALCOM BG CA telo u odnosu na bilo koje aktivnosti ili
71
propuste u odgovornosti, bilo koje gubitke ili štetu, kao i za bilo kakve troškove bilo koje vrste, uključujući razumne naknade advokata, koje bi HALCOM BG CA telo moglo da ima kao rezultat:
� Bilo kog lažnog ili pogrešno prezentovanog podatka dostavljenog od strane korisnika ili njihovih agenata.
� Bilo kog propusta korisnika da dostavi materijalnu činjenicu da je pogrešna prezentacija ili propust učinjen iz nemarnosti ili sa namerom da se prevari HALCOM BG CA telo, ili bilo koje lice koje prima i odnosi se prema dobijenom sertifikatu.
� Neobezbeđivanja odgovarajuće zaštite korisnikovog privatnog ključa, nekorišćenja bezbednog sistema kako je zahtevano, ili neizvršenja odgovarajućih preventivnih mera neophodnih da se spreči kompromitacija, gubitak, objavljivanje, modifikacija ili neautorizovano korišćenje korisnikovog privatnog ključa, ili napada na integritet privatnog ključa HALCOM BG CA tela.
� Kršenja bilo kojih zakona koji su primenljivi, uključujući one koji se odnose na zaštitu intelektualnih prava, viruse, pristup računarskim sistemima, itd.
9.3 POVERLJIVOST POSLOVNIH INFORMACIJA
9.3.1 OPSEG POVERLJIVIH INFORMACIJA
Sertifikaciono telo HALCOM BG CA postupa poverljivo sa sledećim podacima:
� Sa svim zahtevima za dobijanje sertifikata ili drugih usluga
� Sve moguće poverljive podatke vezane za finansijske obaveze,
� Sve moguće poverljive podatke koji predstavljaju predmet međusobnih ugovora sa trećim licima i
� Sve ostale podatke koji su navedeni u internim pravilima rada sertifikacionog tela HALCOM BG CA.
U toku obrade svih mogućih poverljivih podataka o vlasnicima sertfikata i trećim licima, koji su nužno potrebni za usluge upravljanja sertifikata, sertifikaciono telo HALCOM BG CA postupa u skladu sa važećim zakonodavstvom.
9.3.2 INFORMACIJE KOJE NISU U OPSEGU POVERLJIVIH INFORMACIJA
Sertifikaciono telo HALCOM BG CA javno objavljuje samo one poslovne podatke koji nisu poverljive prirode a u skladu sa važećim zakonodavstvom.
9.3.3 ODGOVORNOST ZA ZAŠTITU POVERLJIVIH INFORMACIJA
Sertifikaciono telo HALCOM BG CA ne preuzima nikakve odgovornosti za sadržaj podataka koje vlasnik sertifikata elektronski šifruje ili potpisuje. Takođe, sertifikaciono telo ne preuzima nikakve odgovornosti za pitanja da li je vlasnik ili treće lice poštovao sve važeće propise, sve odredbe politike sertifikacije i drugih pravila sertifikacionog tela HALCOM BG CA, odnosno vodio računa o svim objavljenim uputstvima. Sertifikaciono telo HALCOM BG CA ne preuzima nikakve odgovornosti za posledice do kojih dolazi ukoliko vlasnik sertifikata nije postupao u skladu sa sigurnosnim zahtevima iz tačke 5.1 ovog CPS dokumenta.
72
9.4 PRIVATNOST PERSONALNIH INFORMACIJA
9.4.1 PLAN PRIVATNOSTI
HALCOM BG CA telo se pridržava pravila zaštite privatnosti personalnih podataka i pravila poverljivosti kako je propisano u CPS dokumentu, kao i u odgovarajućim zakonskim dokumentima. Sa svim ličnim i poverljivim podacima o vlasnicima sertifikata koji su nužno potrebni za usluge upravljanja sertifikatima, sertifikaciono telo HALCOM BG CA postupa u skladu sa važećim zakonodavstvom.
9.4.2 INFORMACIJE KOJE SE TRETIRAJU KAO PRIVATNE
HALCOM BG CA telo tretira privatnim sve informacije koje se odnose na korisnike sertifikata. Lični podaci koji se čuvaju su svi lični podaci koje sertifikaciono telo HALCOM BG CA prikupi sa zahtevima za svoje usluge ili u odgovarajućim registrima za dokazivanje identiteta vlasnika.
9.4.3 INFORMACIJE KOJE SE NE SMATRAJU PRIVATNIM
HALCOM BG CA telo ne smatra privatnim samo one informacije korisnika za koje je sam korisnik dao saglasnost da se mogu publikovati. Najčešće se to odnosi samo na podatke koji se sadrže u izdatim elektronskim sertifikatima. Dakle, drugih mogućih ličnih podataka koji se javno objavljuju od strane sertifikacionog tela, osim ovih navedenih u sertifikatu i registru opozvanih sertifikata, nema.
9.4.4 ODGOVORNOST ZA ZAŠTITU PRIVATNIH INFORMACIJA
HALCOM BG CA telo je odgovorno za zaštitu privatnosti korisnikovih informacija. Sertifikaciono telo HALCOM BG CA postupa u skladu sa Zakonom o zaštiti podataka o ličnosti i drugim važećim zakonodavstvom vezanim za čuvanje i zaštitu ličnih podataka.
9.4.5 OBAVEŠTENJE I SAGLASNOST ZA KORIŠĆENJE PRIVATNIH INFORMACIJA
HALCOM BG CA telo definiše uslove u vezi objavljivanja privatnih informacija za koje dati korisnik treba da da saglasnost i ti su uslovi objavljeni u ugovoru koji se potpisuje sa korisnikom. Vlasnik ovlašćuje sertifikaciono telo HALCOM BG CA za korišćenje ličnih podataka na zahtevu za dobijanje sertifikata ili kasnije u pismenom obliku.
9.4.6 OTKRIVANJE INFORMACIJA SHODNO PRAVNIM I ADMINISTRATIVNIM PROCESIMA
HALCOM BG CA telo ne objavljuje, niti se zahteva da objavljuje, bilo koju poverljivu informaciju bez autentikovanog i potvrđenog zahteva od strane:
� Same strane za koju se takva informacija i čuva,
� Odgovarajućeg suda.
HALCOM BG CA može naplatiti odgovarajuću administrativnu cenu za procesiranje ovakvih objavljivanja.
73
Strane u komunikaciji koje zahtevaju i dobijaju poverljive informacije imaju dozvolu za to na osnovu pretpostavke da će oni te informacije koristiti za zahtevane svrhe, da će ih osigurati od kompromitacije, i da će se uzdržavati od njihovog korišćenja i objavljivanja trećim stranama. Sertifikaciono telo HALCOM BG CA ne prosleđuje lične podatke o vlasnicima sertifikata trećim licima koja nisu navedena u sertifikatima, osim ako se određeni podaci posebno zahtevaju za izvođenje specifičnih usluga odnosno aplikacija vezanih za sertifikate a vlasnik sertifikata je za te svrhe ovlastio sertifikaciono telo HALCOM BG CA (pogledati prethodno poglavlje), ili na zahtev nadležnog suda ili administrativnog organa. Lični podaci se prosleđuju i bez pismenog odobrenja vlasnika sertifikata ukoliko je tako definisanom zakonodavstvom, odnosno važećim propisima.
9.4.7 DRUGE OKOLNOSTI ZA OTKRIVANJE INFORMACIJA
HALCOM BG CA telo i njegovi partneri mogu učiniti raspoloživom specifičnu politiku privatnosti u cilju zaštite personalnih podataka aplikanta koji zahteva izdavanje sertifikata od strane HALCOM BG CA tela ili njegovog partnera putem njihovih web sajtova i/ili CP ili CPS dokumenata.
9.5 PRAVA INTELEKTUALNOG VLASNIŠTVA HALCOM BG CA telo poseduje i zadržava sva prava intelektualnog vlasništva pridružena svojim bazama podataka, web sajtovima, elektronskim sertifikatima koje izdaje, kao i bilo kojim drugim publikacijama koje na bilo koji način pripadaju ili potiču od strane HALCOM BG CA tela, uključujući CP i ovaj CPS dokument. Odredbe vezane na autorska, srodna i druga prava intelektualnog vlasništva:
� U vezi privatnog ključa - pripadaju sva prava vlasniku sertifikata,
� U vezi javnih ključeva – sva prava nad svim podacima u sertifikatu, javnom imeniku sertifikata i registru opozvanih sertifikata, kao i na ovoj CPS dokumentu pripadaju sertifikacionom telu HALCOM BG CA.
9.6 PREDSTAVLJANJA I GARANCIJE Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.6.1 CA PREDSTAVLJANJA I GARANCIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.6.2 RA PREDSTAVLJANJA I GARANCIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.6.3 KORISNIČKA PREDSTAVLJANJA I GARANCIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.6.4 PREDSTAVLJANJA I GARANCIJE TREĆIH STRANA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
74
9.6.5 PREDSTAVLJANJA I GARANCIJE DRUGIH UČESNIKA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.7 NEPRIZNAVANJE GARANCIJA Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.8 OGRANIČENJA ODGOVORNOSTI Sertifikaciono telo HALCOM BG CA nije odgovorno za štetu koja proizlazi iz:
� Korišćenje sertifikata za namene i na način koji nije izričito predviđen u politici sertifikacije i ovom CPS dokumentu,
� nepravilnog ili pogrešnog obezbeđenja lozinki ili privatnih ključeva vlasnika sertifikata, otkrivanje poverljivih podataka ili ključeva trećim licima i neodgovornog postupanja vlasnika sertifikata,
� zloupotrebe odnosno upada u informacioni sistem vlasnika sertifikata i na taj način dolaska do podataka o sertifikatima od strane neovlašćenih lica,
� nepostupanja ili lošeg postupanja sa podacima u okviru informacione infrastrukture vlasnika sertifikata ili trećih lica,
� ne proveravanja podataka i validnosti (statusa povučenosti) sertifikata u registru opozvanih sertifikata,
� ne proveravanje vremena validnosti sertifikata,
� postupanja vlasnika sertifikata ili trećeg lica u suprotnosti sa informacijama i obaveštenjima koje objavljuje sertifikaciono telo HALCOM BG CA, politikom sertifikacije, ovim CPS dokumentom i drugim propisima,
� omogućenog korišćenja odnosno zloupotrebe vlasnikovog sertifikata od strane neovlašćenih lica,
� izdatog sertifikata sa pogrešnim i neverodostojnim podacima, ili drugim radnjama vlasnika sertifikata ili sertifikacionog tela,
� korišćenja sertifikata koji nisu validni, uz promenu podataka iz sertifikata, elektronskih adresa ili promena imena vlasnika,
� ispada infrastrukture koja nije u domenu upravljanja sertifikacionog tela HALCOM BG CA,
� podataka koji se šifruju ili potpisuju korišćenjem digitalnih sertifikata,
� postupanja vlasnika sertifikata u slučaju korišćenja sertifikata u slučajevima u kojima vlasnik ili treće lice poštuje sve odredbe politike sertifikacije i ovog CPS dokumenta, informacije ili obaveštenja objavljena od strane sertifikacionog tela HALCOM BG CA ili drugih važećih propisa,
� upotrebe i pouzdanosti rada mašinske i programske opreme vlasnika sertifikata.
9.9 ODŠTETE Za štetu je odgovorna stranka koja je istu prouzrokovala zbog nepoštovanja odredaba iz politike sertifikacije i ovog CPS dokumenta i važećeg zakonodavstva.
9.10 PERIOD VAŽNOSTI I KRAJ VALIDNOSTI OVIH CPS Sertifikaciono telo HALCOM BG CA zadržava pravo da izmeni politiku sertifikacije i ovaj
75
CPS dokument i da nadogradi infrastrukturu bez prethodnog obaveštavanja vlasnika sertifikata. Važeći sertifikati tako ostaju važeći do isteka njihove validnosti i za njih još uvek važi onaj CPS dokument koji je važio u vreme njihovog izdavanja. Za sve sertifikate izdate nakon početka validnosti novog CPS dokumenta, važi isti. Ovaj CPS dokument stupa na snagu onoga dana kada je odobren i objavljen od strane sertifikacionog tela HALCOM BG CA.
9.10.1 VAŽNOST
Nova verzija, odnosno promene, CPS dokumenta sertifikacionog tela HALCOM BG CA se prethodno, osam (8) dana pre zvaničnog datuma validnosti, objavljuje na web stranici sertifikacionog tela HALCOM BG CA sa novim identifikacionim brojem (CPSOID) i označenim datumom početka validnosti. Kraj validnosti CPS dokumenta nije određen niti je povezan sa periodom validnosti sertifikata izdatih na osnovu ovog CPS.
9.10.2 KRAJ VALIDNOSTI
Prilikom objavljivanja novog CPS dokumenta, za sve sertifikate izdate po osnovu tog CPS, ostaju validne one odredbe koje smisaono ne mogu da se nadomeste odgovarajućim odredbama novog CPS (na primer postupak koji određuje način na koji je bio izdat taj sertifikat, i sl.). Sertifikaciono telo može za pojedinačne odredbe validnog CPS dokumenta da objavi amandmane kao što je to navedeno u poglavlju 9.12.
9.10.3 EFEKAT ZAVRŠETKA I PONOVNOG RADA
Prilikom objavljivanja novog CPS, svi digitalni sertifikati izdati nakon tog datuma se procesiraju prema novom CPS dokumentu. Novi CPS dokument ne utiče na validnost sertifikata koji su bili izdati prema prethodnim CPS. Takvi digitalni sertifikati ostaju važeći do isteka validnosti pri čemu se, gde god je to moguće procesiraju i/ili tretiraju prema novom CPS dokumentu.
9.11 POJEDINAČNA OBAVEŠTENJA I KOMUNIKACIJA SA UČESNICIMA Kontaktni podaci sertifikacionog tela objavljeni su na web stranicama istog i navedeni u poglavlju 1.3.1. Kontaktni podaci vlasnika sertifikata dostavljeni su u zahtevima vezanim za sertifikate. Kontaktni podaci trećih lica dostavljeni su u mogućem međusobnom dogovoru između trećeg lica i sertifikacionog tela HALCOM BG CA.
9.12 ISPRAVKE, MODIFIKACIJE I DODACI U ODNOSU NA OVE CPS
9.12.1 PROCEDURE ZA ISPRAVKU, MODIFIKACIJU ILI DODATAK
Promene ili dopune ovog CPS dokumenta sertifikaciono telo može da objavi u obliku
76
promena ili dopuna ovog CPS ako se ne radi o suštinskim promenama operativnog rada sertifikacionog tela. Amandmani se usvajaju i prihvataju istim postupkom kao i sama politika. Ako promene i dopune suštinski utiču na operativni rad sertifikacionog tela, o tome se obaveštava nadležno Ministarstvo istim postupkom kao što to važi i za same dokumente. Način za označavanje amandmana definiše sertifikaciono telo HALCOM BG CA.
9.12.2 MEHANIZAM I PERIOD OBAVEŠTAVANJA
Sertifikaciono telo HALCOM BG CA definiše početak i kraj validnosti promena i dopuna. Promene i dopune se objave sedam (7) dana pre početka validnosti na web stranicama sertifikacionog tela HALCOM BG CA.
9.12.3 USLOVI PROMENE OBJEKTNOG IDENTIFIKATORA (OID)
Ako prihvaćene promene i dopune utiču na korišćenje sertifikata, sertifikaciono telo HALCOM BG CA može da odredi novi identifikacioni broj (CPSOID) za novi CPS. odnosno promene i dopune.
9.13 ODREDBE REŠAVANJA SPOROVA Sve pritužbe vlasnika sertifikata rešava organizaciona jedinica za nadzor i usklađenost (poglavlje 5.3). Moguće sporove između vlasnika sertifikata ili trećeg lica i sertifikacionog tela HALCOM BG CA rešava nadležni sud.
9.14 ZAKON KOJI SE POŠTUJE Ovaj CPS dokument je izrađen u potpunosti u skladu sa odgovarajućom zakonskom regulativom države Srbije, i to pre svega sa Zakonom o elektronskom potpisu i odgovarajućim podzakonskim aktima. Sve pravne stvari koje se odnose na HALCOM BG CA telo i/ili koje se odnose na sertifikate izdate od strane HALCOM BG CA tela, biće procesuirane od strane odgovarajućeg suda u Srbiji. Dakle, za odlučivanje po ovom CPS dokumentu upotrebljava se pravo Republike Srbije.
9.15 SAGLASNOST SA PRIMENLJIVIM ZAKONIMA Nadzor nad usklađenošću operativnog rada sertifikacionog tela HALCOM BG CA sa važećim zakonodavstvom i propisima sprovodi nadležna inspekcijska služba. Interne provere usklađenosti operativnog rada sprovode ovlašćena lica u okviru sertifikacionog tela HALCOM BG CA.
9.16 RAZNE ODREDBE Sa ostalim subjektima sertifikaciono telo može da sklopi međusobne dogovore ako tako defniše važeće zakonodavstvo, odnosno drugi propisi.
77
9.16.1 KOMPLETAN UGOVOR
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.16.2 DODELJIVANJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.16.3 OZBILJNOST
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.16.4 SPROVOĐENJE PRAVNOG POSTUPKA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.16.5 VIŠA SILA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.17 DRUGE ODREDBE Ovo poglavlje nije primenljivo u okviru ovih CPS.