Certifikační politika kořenové kvalifikované certifikační autority (algoritmus RSA) je

Transkript

1 První certifikační autorita, a.s. Certifikační politika kořenové kvalifikované certifikační autority (algoritmus RSA) Certifikační politika kořenové kvalifikované certifikační autority (algoritmus RSA) je veřejným dokumentem, který je vlastnictvím společnosti První certifikační autorita, a.s., a byl vypracován jako nedílná součást komplexní bezpečnostní dokumentace. Žádná část tohoto dokumentu nesmí být kopírována bez písemného souhlasu majitele autorských práv. Verze 1.0 Copyright První certifikační autorita, a.s.

2 OBSAH 1 Úvod Přehled Název a jednoznačné určení dokumentu Participující subjekty Certifikační autority (dále CA ) Registrační autority (dále RA ) Držitelé kvalifikovaných certifikátů a podepisující nebo označující osoby, kteří požádali o vydání kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu (dále certifikátu), a kterým byl certifikát vydán Spoléhající se strany Jiné participující subjekty Použití certifikátu Přípustné použití certifikátu Omezení použití certifikátu Správa politiky Organizace spravující certifikační politiku nebo certifikační prováděcí směrnici Kontaktní osoba organizace spravující certifikační politiku nebo certifikační prováděcí směrnici Subjekt odpovědný za rozhodování o souladu postupů poskytovatele s postupy jiných poskytovatelů certifikačních služeb Postupy při schvalování souladu podle bodu Přehled použitých pojmů a zkratek Odpovědnost za zveřejňování a úložiště informací a dokumentace Úložiště informací a dokumentace Zveřejňování informací a dokumentace Periodicita zveřejňování informací Řízení přístupu k jednotlivým typům úložišť Identifikace a autentizace Pojmenování Typy jmen Požadavek na významovost jmen Anonymita a používání pseudonymu Pravidla pro interpretaci různých forem jmen Jedinečnost jmen...19 verze 1.0 strana 2 / 59

3 3.1.6 Obchodní značky Počáteční ověření identity Ověřování souladu dat, tj. postup při ověřování, zda má osoba data pro vytváření elektronických podpisů odpovídající datům pro ověřování elektronických podpisů nebo data pro vytváření elektronických značek odpovídající datům pro ověřování elektronických značek Ověřování identity právnické osoby nebo organizační složky státu Ověřování identity fyzické osoby Neověřené informace vztahující se k držiteli certifikátu nebo podepisující či označující osobě Ověřování specifických práv Kritéria pro interoperabilitu Identifikace a autentizace při zpracování požadavků na výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Identifikace a autentizace při rutinní výměně dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a jim odpovídajících dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek (dále párová data ) Identifikace a autentizace při výměně párových dat po zneplatnění certifikátu Identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu Požadavky na životní cyklus certifikátu Žádost o vydání certifikátu Subjekty oprávněné podat žádost o vydání certifikátu Registrační proces a odpovědnosti poskytovatele a žadatele Zpracování žádosti o certifikát Identifikace a autentizace Přijetí nebo zamítnutí žádosti o certifikát Doba zpracování žádosti o certifikát Vydání certifikátů Úkony CA v průběhu vydávání certifikátu Oznámení o vydání certifikátu držiteli certifikátu, podepisující nebo označující osobě Převzetí vydaného certifikátu Úkony spojené s převzetím certifikátu Zveřejňování vydaných certifikátů poskytovatelem Oznámení o vydání certifikátu jiným subjektům...23 verze 1.0 strana 3 / 59

4 4.5 Použití párových dat a certifikátu Použití dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a certifikátu držitelem certifikátu, podepisující nebo označující osobou Použití dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek a certifikátu spoléhající se stranou Obnovení certifikátu Podmínky pro obnovení certifikátu Subjekty oprávněné požadovat obnovení certifikátu Zpracování požadavku na obnovení certifikátu Oznámení o vydání obnoveného certifikátu držiteli certifikátu, podepisující nebo označující osobě Úkony spojené s převzetím obnoveného certifikátu Zveřejňování vydaných obnovených certifikátů poskytovatelem Oznámení o vydání obnoveného certifikátu jiným subjektům Výměna dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Podmínky pro výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Subjekty oprávněné požadovat výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Zpracování požadavku na výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek Oznámení o vydání certifikátu s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek podepisující nebo označující osobě Úkony spojené s převzetím certifikátu s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek Zveřejnění vydaných certifikátů s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek Oznámení o vydání certifikátu s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek jiným subjektům Změna údajů v certifikátu Podmínky pro změnu údajů v certifikátu Subjekty oprávněné požadovat změnu údajů v certifikátu Zpracování požadavku na změnu údajů v certifikátu...26 verze 1.0 strana 4 / 59

5 4.8.4 Oznámení o vydání certifikátu se změněnými údaji podepisující nebo označující osobě Úkony spojené s převzetím certifikátu se změněnými údaji Zveřejňování vydaných certifikátů se změněnými údaji Oznámení o vydání certifikátu se změněnými údaji jiným subjektům Zneplatnění a pozastavení platnosti certifikátu Podmínky pro zneplatnění certifikátu Subjekty oprávněné žádat o zneplatnění certifikátu Požadavek na zneplatnění certifikátu Doba odkladu požadavku na zneplatnění certifikátu Maximální doba, za kterou musí poskytovatel realizovat požadavek na zneplatnění certifikátu Povinnosti spoléhajících se stran při ověřování, zda nebyl certifikát zneplatněn Periodicita vydávání seznamu zneplatněných certifikátů Maximální zpoždění při vydávání seznamu zneplatněných certifikátů Možnost ověřování statutu certifikátu on-line (dále OCSP ) Požadavky při ověřování statutu certifikátu on-line Jiné způsoby oznamování zneplatnění certifikátu Případné odlišnosti postupu zneplatnění v případě kompromitace dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Podmínky pro pozastavení platnosti certifikátu Subjekty oprávněné požadovat pozastavení platnosti certifikátu Zpracování požadavku na pozastavení platnosti certifikátu Omezení doby pozastavení platnosti certifikátu Služby související s ověřováním statutu certifikátu Funkční charakteristiky Dostupnost služeb Další charakteristiky služeb statutu certifikátu Ukončení poskytování služeb pro držitele certifikátu, podepisující nebo označující osobu Úschova dat pro vytváření elektronických podpisů nebo pro vytváření elektronických značek u důvěryhodné třetí strany a jejich obnova Politika a postupy při úschově a obnovování dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek...29 verze 1.0 strana 5 / 59

6 Politika a postupy při zapouzdřování a obnovování šifrovacího klíče pro relaci Management, provozní a fyzická bezpečnost Fyzická bezpečnost Umístění a konstrukce Fyzický přístup Elektřina a klimatizace Vlivy vody Protipožární opatření a ochrana Ukládání médií Nakládání s odpady Zálohy mimo budovu Procesní bezpečnost Důvěryhodné role Počet osob požadovaných na zajištění jednotlivých činností Identifikace a autentizace pro každou roli Role vyžadující rozdělení povinností Personální bezpečnost Požadavky na kvalifikaci, zkušenosti a bezúhonnost Posouzení spolehlivosti osob Požadavky na přípravu pro výkon role, vstupní školení Požadavky a periodicita školení Periodicita a posloupnost rotace pracovníků mezi různými rolemi Postihy za neoprávněné činnosti zaměstnanců Požadavky na nezávislé zhotovitele (dodavatele) Dokumentace poskytovaná zaměstnancům Auditní záznamy (logy) Typy zaznamenávaných událostí Periodicita zpracování záznamů Doba uchování auditních záznamů Ochrana auditních záznamů Postupy pro zálohování auditních záznamů Systém shromažďování auditních záznamů (interní nebo externí) Postup při oznamování události subjektu, který ji způsobil Hodnocení zranitelnosti Uchovávání informací a dokumentace Typy informací a dokumentace, které se uchovávají...35 verze 1.0 strana 6 / 59

7 5.5.2 Doba uchování uchovávaných informací a dokumentace Ochrana úložiště uchovávaných informací a dokumentace Postupy při zálohování uchovávaných informací a dokumentace Požadavky na používání časových razítek při uchovávání informací a dokumentace Systém shromažďování uchovávaných informací a dokumentace (interní nebo externí) Postupy pro získání a ověření uchovávaných informací a dokumentace Výměna dat pro ověřování elektronických značek v nadřízeném kvalifikovaném systémovém certifikátu poskytovatele Obnova po havárii nebo kompromitaci Postup v případě incidentu a kompromitace Poškození výpočetních prostředků, softwaru nebo dat Postup při kompromitaci dat pro vytváření elektronických značek poskytovatele Schopnost obnovit činnost po havárii Ukončení činnosti CA nebo RA Technická bezpečnost Generování a instalace párových dat Generování párových dat Předání dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek podepisující nebo označující osobě Předání dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek poskytovateli certifikačních služeb Poskytování dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek certifikační autoritou spoléhajícím se stranám Délky párových dat Generování parametrů dat pro ověřování elektronických podpisů nebo dat pro ověření elektronických značek a kontrola jejich kvality Omezení pro použití dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek Ochrana dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a bezpečnost kryptografických modulů Standardy a podmínky používání kryptografických modulů Sdílení tajemství Úschova dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek...40 verze 1.0 strana 7 / 59

8 6.2.4 Zálohování dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Uchovávání dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Transfer dat pro vytváření elektronických značek do kryptografického modulu nebo z kryptografického modulu Uložení dat pro vytváření elektronických značek v kryptografickém modulu Postup při aktivaci dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Postup při deaktivaci dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Postup při zničení dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Hodnocení kryptografických modulů Další aspekty správy párových dat Uchovávání dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek Maximální doba platnosti certifikátu vydaného podepisující nebo označující osobě a párových dat Aktivační data Generování a instalace aktivačních dat Ochrana aktivačních dat Ostatní aspekty aktivačních dat Počítačová bezpečnost Specifické technické požadavky na počítačovou bezpečnost Hodnocení počítačové bezpečnosti Bezpečnost životního cyklu Řízení vývoje systému Kontroly řízení bezpečnosti Řízení bezpečnosti životního cyklu Síťová bezpečnost Časová razítka Profily certifikátu, seznamu zneplatněných certifikátů a OCSP Profil certifikátu Číslo verze Rozšiřující položky v certifikátu Objektové identifikátory (dále OID ) algoritmů Způsoby zápisu jmen a názvů...49 verze 1.0 strana 8 / 59

9 7.1.5 Omezení jmen a názvů OID certifikační politiky Rozšiřující položka Policy Constrainsts Syntaxe a sémantika rozšiřující položky kvalifikátorů politiky Policy Qualifiers Způsob zápisu kritické rozšiřující položky Certificate Policies Profil seznamu zneplatněných certifikátů Číslo verze Rozšiřující položky seznamu zneplatněných certifikátů a záznamů v seznamu zneplatněných certifikátů Profil OCSP Číslo verze Rozšiřující položky OCSP Hodnocení shody a jiná hodnocení Periodicita hodnocení nebo okolnosti pro provedení hodnocení Identita a kvalifikace hodnotitele Vztah hodnotitele k hodnocenému subjektu Hodnocené oblasti Postup v případě zjištění nedostatků Sdělování výsledků hodnocení Ostatní obchodní a právní záležitosti Poplatky Poplatky za vydání nebo obnovení certifikátu Poplatky za přístup k certifikátu na seznamu vydaných certifikátů Poplatky za informace o statutu certifikátu nebo o zneplatnění certifikátu Poplatky za další služby Jiná ustanovení týkající se poplatků (vč. refundací) Finanční odpovědnost Krytí pojištěním Další aktiva a záruky Pojištění nebo krytí zárukou pro koncové uživatele Citlivost obchodních informací Výčet citlivých informací Informace mimo rámec citlivých informací Odpovědnost za ochranu citlivých informací Ochrana osobních údajů...54 verze 1.0 strana 9 / 59

10 9.4.1 Politika ochrany osobních údajů Osobní údaje Údaje, které nejsou považovány za citlivé Odpovědnost za ochranu osobních údajů Oznámení o používání důvěrných informací a souhlas s používáním citlivých informací Poskytnutí citlivých informací pro soudní či správní účely Jiné okolnosti zpřístupňování osobních údajů Práva duševního vlastnictví Zastupování a záruky Zastupování a záruky CA Zastupování a záruky RA Zastupování a záruky držitele certifikátu, podepisující nebo označující osoby Zastupování a záruky spoléhajících se stran Zastupování a záruky ostatních zúčastněných subjektů Zřeknutí se záruk Omezení odpovědnosti Odpovědnost za škodu, náhrada škody Doba platnosti, ukončení platnosti Doba platnosti Ukončení platnosti Důsledky ukončení a přetrvání závazků Komunikace mezi zúčastněnými subjekty Změny Postup při změnách Postup při oznamování změn Okolnosti, při kterých musí být změněn OID Řešení sporů Rozhodné právo Shoda s právními předpisy Další ustanovení Rámcová dohoda Postoupení práv Oddělitelnost ustanovení Zřeknutí se práv Vyšší moc...58 verze 1.0 strana 10 / 59

11 9.17 Další opatření Závěrečná ustanovení...59 tab. 1 - Vývoj dokumentu Verze Datum vydání Schválil Ředitel společnosti První certifikační autorita, a.s. Poznámka První vydání. verze 1.0 strana 11 / 59

12 1 ÚVOD Tento dokument byl vypracován na základě požadavků platné legislativy vztahující se k problematice využívání kryptografických algoritmů v procesu poskytování certifikačních služeb. Kořenová kvalifikovaná certifikační autorita (algoritmus RSA) společnosti První certifikační autorita, a.s., (dále též Autorita), vydává v hierarchické dvoustupňové struktuře certifikačních autorit, v souladu s platnou legislativou a s požadavky technických standardů, kvalifikovaný systémový certifikát s algoritmem RSA kořenové certifikační autority, certifikáty s algoritmem RSA pro podřízené certifikační autority a certifikát svého OCSP respondéru s algoritmem RSA. 1.1 Přehled Dokument Certifikační politika kořenové kvalifikované certifikační autority (algoritmus RSA), dále též CP, vypracovaný společností První certifikační autorita, a. s., (dále též I.CA) se zabývá skutečnostmi, vztahujícími se k procesům životního cyklu jí vydávaných certifikátů a striktně dodržuje strukturu, jejíž předlohou je osnova platného standardu RFC, s přihlédnutím k platným standardům Evropské unie a k právu České republiky v dané oblasti (jednotlivé kapitoly jsou proto v tomto dokumentu zachovány i v případě, že jsou ve vztahu k ní irelevantní). Dokument je rozdělen do devíti základních kapitol, jejichž stručný popis je uveden v následujícím seznamu: Kapitola 1 identifikuje tento dokument přiřazeným jedinečným identifikátorem, obecně popisuje subjekty, které participují na poskytování této certifikační služby a definuje přípustné využívání vydávaných certifikátů. Kapitola 2 popisuje problematiku odpovědností za zveřejňování informací, resp. dokumentace. Kapitola 3 popisuje procesy identifikace a autentizace žadatele o vydání certifikátu, resp. zneplatnění certifikátu, včetně definování typů a obsahů používaných jmen ve vydávaných certifikátech. Kapitola 4 definuje procesy životního cyklu jí vydávaných certifikátů, tzn. žádost o vydání a vlastní vydání certifikátu, žádost o zneplatnění a vlastní zneplatnění certifikátu, služby související s ověřováním stavu certifikátu, ukončení poskytování certifikačních služeb atd. Kapitola 5 zahrnuje problematiku fyzické, procesní a personální bezpečnosti, včetně definování množiny zaznamenávaných událostí, uchovávání těchto záznamů a reakce po haváriích nebo kompromitaci. Kapitola 6 je zaměřena na technickou bezpečnost typu generování veřejných a soukromých klíčů, ochrany soukromých klíčů, včetně počítačové a síťové ochrany. Kapitola 7 definuje profil vydávaných certifikátů a seznamů zneplatněných certifikátů. Kapitola 8 je zaměřena na problematiku hodnocení poskytovaných certifikačních služeb. Kapitola 9 zahrnuje problematiku obchodní a právní. Tento dokument může být mimo jiné využit nezávislými institucemi (např. auditorskými společnostmi) jako základ pro potvrzení toho, že certifikační služby v oblasti vydávaní certifikátů, poskytované společností První certifikační autorita, a.s., je možné považovat za důvěryhodné. verze 1.0 strana 12 / 59

13 Bližší podrobnosti o naplnění položek certifikátů vydávaných podle této politiky a o jejich správě jsou uvedeny v odpovídající certifikační prováděcí směrnici (dále CPS). 1.2 Název a jednoznačné určení dokumentu Název tohoto dokumentu: Certifikační politika kořenové kvalifikované certifikační autority (algoritmus RSA) OID politiky: Participující subjekty Certifikační autority (dále CA ) Kořenová kvalifikovaná certifikační autorita (algoritmus RSA), tj. Autorita, vydává v hierarchické dvoustupňové struktuře certifikačních autorit, v souladu s platnou legislativou a s požadavky technických standardů, certifikáty s algoritmem RSA pro podřízené certifikační autority a pro OCSP respondér Autority. Autorita je ve stavu off-line a v žádném okamžiku tedy nemá propojení s externí sítí. Ve stavu on-line je pouze její OCSP respondér. Fyzicky je informační systém Autority realizován vyhrazenými počítači, HSM modul obsahující soukromý klíč je k informačnímu systému Autority připojen prostřednictvím vyhrazeného zabezpečeného rozhraní Registrační autority (dále RA ) Na procesech životního cyklu Autoritou vydávaných certifikátů se podílí speciální registrační autorita ve vlastnictví I.CA Držitelé kvalifikovaných certifikátů a podepisující nebo označující osoby, kteří požádali o vydání kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu (dále certifikátu), a kterým byl certifikát vydán Certifikáty jsou vydávány výhradně pro certifikační autority provozované společností I.CA a pro OCSP respondér Autority. Oprávněným žadatelem a následně držitelem certifikátů je I.CA jako právnická osoba Spoléhající se strany Spoléhající se stranou jsou subjekty spoléhající se při své činnosti na certifikát vydaný podle této CP Jiné participující subjekty Jinými participujícími subjekty jsou orgány dozoru, orgány činné v trestním řízení a další, kterým to dle platné legislativy přísluší. verze 1.0 strana 13 / 59

14 1.4 Použití certifikátu Přípustné použití certifikátu Certifikáty vydávané Autoritou podle této CP smějí být používány výhradně pro ověřování: elektronických značek jí vydaných certifikátů, seznamů zneplatněných certifikátů Autority (CRL) a OCSP odpovědí respondéru Autority, elektronických značek certifikátů a seznamů zneplatněných certifikátů (CRL) vydaných podřízenými certifikačními autoritami a OCSP odpovědí vydaných OCSP respondéry podřízených certifikačních autorit Omezení použití certifikátu Certifikáty vydávané Autoritou podle této CP nesmějí být používány v rozporu s přípustným použitím popsaným v kap a dále pro jakékoliv nelegální účely. 1.5 Správa politiky Organizace spravující certifikační politiku nebo certifikační prováděcí směrnici Tuto CP, resp. jí odpovídající certifikační prováděcí směrnici (dále též CPS), spravuje společnost První certifikační autorita, a.s Kontaktní osoba organizace spravující certifikační politiku nebo certifikační prováděcí směrnici Kontaktní osoba společnosti První certifikační autorita, a.s., v souvislosti s touto CP, resp. s odpovídající CPS, je uvedena na internetové adrese viz kap Subjekt odpovědný za rozhodování o souladu postupů poskytovatele s postupy jiných poskytovatelů certifikačních služeb Jedinou osobou, která je odpovědná za rozhodování o souladu postupů společnosti První certifikační autorita, a.s., s postupy jiných poskytovatelů certifikačních služeb, je ředitel společnosti První certifikační autorita, a.s Postupy při schvalování souladu podle bodu V případě, že je potřebné provést změny v této CP s ohledem na soulad dle kap a vytvořit její novou verzi, určuje ředitel společnosti První certifikační autorita, a.s., osobu, která je oprávněna tyto změny provést. Nabytí platnosti nové verze CP předchází její schválení ředitelem společnosti První certifikační autorita, a.s. Dále platí požadavky kap verze 1.0 strana 14 / 59

15 1.6 Přehled použitých pojmů a zkratek tab. 2 - Pojmy a zkratky Pojem bit CA CRL (Certificate Revocation List) držitel certifikátu elektronický podpis, resp. elektronická značka hash kořenový certifikát kvalifikovaný kvalifikovaný certifikát certifikát, systémový Vysvětlení z anglického binary digit - číslice dvojkové soustavy je základní a současně nejmenší jednotkou informace používanou především v číslicové a výpočetní technice certifikační autorita seznam zneplatněných certifikátů obsahující certifikáty, které, již nelze pokládat za platné, někdy se pro seznam zneplatněných certifikátů certifikačních autorit užívá pojem Authority Revocation List (ARL) fyzická osoba, právnická osoba nebo organizační složka státu, která požádala o vydání certifikátu pro sebe nebo pro podepisující osobu a které byl certifikát vydán (v případě této CP První certifikační autorita, a.s.) elektronický podpis - údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě elektronickou značkou údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které splňují následující požadavky: jsou jednoznačně spojené s označující osobou a umožňují její identifikaci prostřednictvím kvalifikovaného systémového certifikátu, byly vytvořeny a připojeny k datové zprávě pomocí prostředků pro vytváření elektronických značek, které označující osoba může udržet pod svou výhradní kontrolou, jsou k datové zprávě, ke které se vztahují, připojeny takovým způsobem, že je možné zjistit jakoukoli následnou změnu dat, transformace, která jako vstup přijímá řetězec znaků o libovolné délce a výsledkem je řetězec znaků s pevnou délkou self-signed (viz vysvětlení dále) certifikát certifikační autority na vrcholu hierarchické struktury certifikačních autorit certifikát, který má náležitosti podle platné legislativy ČR OCSP respondér server, obvykle provozovaný vydavatelem certifikátu, poskytující podepsané odpovědi, v jakém stavu je certifikát specifikovaný v dotazu off-line nepřipojený k počítači, počítačové síti, nebo Internetu verze 1.0 strana 15 / 59

16 on-line označující osoba párová data podepisující osoba MVČR RA self-signed certifikát soukromý klíč spoléhající se strana veřejný klíč zákon o ochraně utajovaných informací zákoník práce připojený k počítači, počítačové síti, nebo Internetu fyzická osoba, právnická osoba nebo organizační složka státu, která drží prostředek pro vytváření elektronických značek a označuje datovou zprávu elektronickou značkou (v případě této CP První certifikační autorita, a.s.) jedinečná data pro vytváření elektronického podpisu, resp. elektronické značky, spolu s odpovídajícími daty pro ověřování elektronického podpisu, resp. elektronické značky fyzická osoba, která je držitelem prostředku pro vytváření elektronických podpisů a jedná jménem svým nebo jménem jiné fyzické či právnické osoby Ministerstvo vnitra České republiky registrační autorita certifikát veřejného klíče podepsaný soukromým klíčem tvořícím s tímto veřejným klíčem párová data jedinečná data pro vytváření elektronického podpisu, resp. elektronické značky subjekt, spoléhající se při své činnosti na certifikát vydaný I.CA jedinečná data pro ověřování elektronického podpisu, resp. elektronické značky zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů ZOOÚ zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (zákon o ochraně osobních údajů), ve znění pozdějších předpisů ZoEP zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů verze 1.0 strana 16 / 59

17 2 ODPOVĚDNOST ZA ZVEŘEJŇOVÁNÍ A ÚLOŽIŠTĚ INFORMACÍ A DOKUMENTACE 2.1 Úložiště informací a dokumentace Společnost První certifikační autorita, a.s., zřizuje a provozuje úložiště informací a dokumentace, za která taktéž jako poskytovatel certifikačních služeb odpovídá. 2.2 Zveřejňování informací a dokumentace Základní adresy, na nichž lze nalézt veřejné informace o společnosti První certifikační autorita, a.s., případně odkazy pro zjištění dalších informací, jsou: a) adresa sídla společnosti: První certifikační autorita, a.s. Podvinný mlýn 2178/ Praha 9 Česká republika b) internetová adresa c) sídla registračních autorit. Adresy, které slouží pro kontakt veřejnosti s I.CA, jsou: a) sídla registračních autorit, b) elektronická poštovní adresa info@ica.cz. I.CA zveřejňuje výše uvedené kontaktní adresy na své internetové adrese a pracovištích RA. Pracovníci RA, včetně smluvních partnerů, jsou rovněž povinni tyto informace na vyžádání sdělit veřejnosti. Na výše uvedené internetové adrese lze získat informace o certifikátech vydaných podle této CP a o seznamech zneplatněných certifikátů (CRL). V případech odejmutí akreditace, nebo vzniku důvodné obavy ze zneužití soukromého klíče Autority, oznámí I.CA tuto skutečnost na výše uvedené internetové adrese a prostřednictvím celostátně distribuovaného deníku Hospodářské noviny, nebo Mladá fronta Dnes. 2.3 Periodicita zveřejňování informací Autorita zveřejňuje informace s následující periodicitou: certifikační politika - po ověření kořenového kvalifikovaného systémového certifikátu Autority, resp. po ověření jí vydaného kvalifikovaného systémového certifikátu podřízené certifikační autority poskytující kvalifikované certifikační služby dozorovým orgánem, certifikační prováděcí směrnice - neprodleně (jsou-li určeny ke zveřejnění), seznam vydaných certifikátů - aktualizace při každém vydání nového certifikátu určeného ke zveřejnění, seznam zneplatněných certifikátů - po každé změně a dále v pravidelných intervalech (nejméně jednou ročně), verze 1.0 strana 17 / 59

18 informace požadované platnou legislativou - bezodkladně, ostatní veřejné informace - není předem určeno, obecně však platí, že tyto informace musí reflektovat aktuální stav poskytovaných služeb. 2.4 Řízení přístupu k jednotlivým typům úložišť Veškeré veřejné informace (viz kap. 2.2 a 2.3) zpřístupňuje I.CA bezplatně bez omezení. Neveřejné informace jsou dostupné pouze pověřeným zaměstnancům I.CA, smluvním partnerům nebo subjektům definovaným platnou legislativou. Přístup k těmto informacím je řízen pravidly popsanými v interní dokumentaci. verze 1.0 strana 18 / 59

19 3 IDENTIFIKACE A AUTENTIZACE 3.1 Pojmenování Typy jmen Veškerá jména jsou konstruována v souladu se standardem X.501, resp. s navazujícím standardem X Požadavek na významovost jmen U všech certifikátů musí jména vyjadřovat účel, ke kterému je certifikát vydáván (název podřízené certifikační autority, označení OCSP respondéru) Anonymita a používání pseudonymu Není relevantní pro tento dokument, není podporováno Pravidla pro interpretaci různých forem jmen Údaje uváděné v procesu žádosti o certifikát se do vydávaných certifikátů přenášejí ve tvaru, ve kterém jsou uvedeny v předkládaných dokumentech Jedinečnost jmen Jména (položky Subject a Issuer) musí být jedinečná. Společnost První certifikační autorita, a.s., zaručuje jedinečnost těchto položek v certifikátech vydávaných dle této CP Obchodní značky Certifikáty vydávané podle této CP mohou obsahovat pouze obchodní značky vlastněné společností První certifikační autorita, a.s. 3.2 Počáteční ověření identity Ověřování souladu dat, tj. postup při ověřování, zda má osoba data pro vytváření elektronických podpisů odpovídající datům pro ověřování elektronických podpisů nebo data pro vytváření elektronických značek odpovídající datům pro ověřování elektronických značek Soulad dat se ověřuje tak, že je žádost o příslušný certifikát ve formátu PKCS#10, obsahující veřejný klíč, podepsána soukromým klíčem, který odpovídá veřejnému klíči, obsaženému v předkládané žádosti. Tímto způsobem žadatel o certifikát dokazuje, že v době tvorby žádosti o certifikát vlastnil soukromý klíč, odpovídající veřejnému klíči, který je v této žádosti obsažen. verze 1.0 strana 19 / 59

20 3.2.2 Ověřování identity právnické osoby nebo organizační složky státu Certifikáty vydávané dle této CP jsou vydávány pouze pro právnickou osobu I.CA. Její identita se prokazuje výpisem z Obchodního rejstříku Ověřování identity fyzické osoby Fyzickou osobou, která může ve jménu společnosti První certifikační autorita, a.s., žádat o vydání certifikátu dle této CP, je výhradně ředitel společnosti První certifikační autorita, a.s. V procesu ověřování identity jsou vyžadovány dva doklady, obsahující následující údaje. Primárním osobním dokladem pro občany ČR musí být občanský průkaz. Primárním osobním dokladem pro cizince je platný cestovní pas, popř. obdobný doklad stejné právní váhy. Z tohoto dokladu jsou ověřovány následující údaje: celé občanské jméno, datum narození (nebo rodné číslo u občanů České republiky, resp. Slovenské republiky), číslo předloženého primárního osobního dokladu, adresa trvalého bydliště (je-li v primárním dokladu uvedena). Sekundární osobní doklad musí být vydán orgánem veřejné moci nebo jinou organizací, jejíž existenci lze doložit, a musí obsahovat celé občanské jméno fyzické osoby vyřizující žádost a dále nejméně jeden z následujících údajů: datum narození žadatele (nebo rodné číslo u občanů ČR), adresu trvalého bydliště žadatele, fotografii obličeje žadatele. Údaje požadované v sekundárním osobním dokladu musí být shodné s těmito údaji v primárním osobním dokladu Neověřené informace vztahující se k držiteli certifikátu nebo podepisující či označující osobě Všechny informace musí být řádným způsobem ověřeny Ověřování specifických práv Není relevantní pro tento dokument Kritéria pro interoperabilitu Případná spolupráce společnosti První certifikační autorita, a.s., s jinými poskytovateli certifikačních služeb je vždy založena na písemné smlouvě s těmito poskytovateli. verze 1.0 strana 20 / 59

21 3.3 Identifikace a autentizace při zpracování požadavků na výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Identifikace a autentizace při rutinní výměně dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a jim odpovídajících dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek (dále párová data ) Je nutné vydat nový certifikát s novým veřejným klíčem. Platí stejné požadavky, jako v případě počátečního ověření identity Identifikace a autentizace při výměně párových dat po zneplatnění certifikátu Je nutné vydat nový certifikát s novým veřejným klíčem. Platí stejné požadavky, jako v případě počátečního ověření identity. 3.4 Identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu Oprávněnou osobou žádat o zneplatnění certifikátu Autority i certifikátu jí vydaného je ředitel I.CA. Žadatelem o zneplatnění certifikátu Autority může být taktéž představitel úřadu, který společnost První certifikační autorita, a.s., akreditoval. Žádost od úřadu musí být písemná, nebo musí být doručena do datové schránky. Samotnému procesu zneplatnění certifikátu Autority musí být ředitel I.CA vždy osobně přítomen. verze 1.0 strana 21 / 59

22 4 POŽADAVKY NA ŽIVOTNÍ CYKLUS CERTIFIKÁTU 4.1 Žádost o vydání certifikátu Subjekty oprávněné podat žádost o vydání certifikátu Žádost o vydání certifikátu Autoritou je oprávněn podat ředitel I.CA Registrační proces a odpovědnosti poskytovatele a žadatele Písemná žádost o vydání certifikátu je předkládána vedení společnosti První certifikační autorita, a.s., prostřednictvím jejího ředitele a musí obsahovat název a OID této certifikační politiky (viz kapitola 1.2), včetně uvedení požadovaného jména CA (tzv. commonname, viz kapitola 7). Žádost musí být podepsána ředitelem I.CA Odpovědnost žadatele Žadatel je povinen zejména: poskytovat pravdivé a úplné informace při registraci žádosti o vydání certifikátu, seznámit se s CP, podle které mu bude vydán certifikát Odpovědnost poskytovatele Poskytovatel certifikačních služeb je zejména povinen certifikační služby poskytovat v souladu s platnou legislativou, příslušnou CP a CPS, Systémovou bezpečnostní politikou CA a provozní dokumentací. 4.2 Zpracování žádosti o certifikát Identifikace a autentizace Žadatel o certifikát se identifikuje a autentizuje způsobem, uvedeným v kapitolách a Přijetí nebo zamítnutí žádosti o certifikát Na základě písemné žádosti (viz kap ) rozhodne vedení společnosti První certifikační autorita, a.s., o vydání certifikátu CA s příslušným jménem, případně o zamítnutí žádosti. Výsledek je dokumentován Doba zpracování žádosti o certifikát Doba zpracování písemné žádosti o vydání certifikátu nepřekročí pět pracovních dnů ode dne předložení žádosti vedení společnosti. verze 1.0 strana 22 / 59

23 4.3 Vydání certifikátů Úkony CA v průběhu vydávání certifikátu Po kladném vyřízení žádosti o certifikát (viz kap. 4.2) následuje proces vydávání certifikátu, v jehož průběhu jsou prováděny nezbytné kontroly (formální správnost údajů obsažených v žádosti, řádné naplnění položek žádosti), zejména ověření: identity právnické osoby (viz kap ), identity fyzické osoby žadatele o certifikát (viz kap ), dalších údajů obsažených v písemné žádosti, souladu údajů obsažených v žádosti o certifikát ve formátu PKCS#10 s údaji obsaženými v předkládaných dokumentech, vlastnictví příslušného soukromého klíče (viz kap ), Pokud některá z výše uvedených ověření skončí negativně, proces vydání certifikátu je ukončen Oznámení o vydání certifikátu držiteli certifikátu, podepisující nebo označující osobě Žadatel o certifikát je osobně přítomen vydání certifikátu. 4.4 Převzetí vydaného certifikátu Úkony spojené s převzetím certifikátu Žadatel o certifikát, nebo jím určený pracovník, je povinen překontrolovat, zda jsou údaje obsažené ve vydaném certifikátu v souladu s údaji uvedenými v žádosti a v předkládaných dokumentech Zveřejňování vydaných certifikátů poskytovatelem Certifikáty vydané podle této CP jsou zveřejněny způsobem podle bodu 2.2. Certifikát kořenové kvalifikované certifikační autority a certifikáty podřízených certifikačních autorit související s kvalifikovanými certifikačními službami jsou předány dozorovému orgánu Oznámení o vydání certifikátu jiným subjektům Platí ustanovení kap a požadavky platné legislativy. verze 1.0 strana 23 / 59

24 4.5 Použití párových dat a certifikátu Použití dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a certifikátu držitelem certifikátu, podepisující nebo označující osobou Povinností označující osoby mj. je: používat soukromý klíč a jemu odpovídající veřejný klíč obsažený ve vydaném certifikátu v souladu s touto CP, nakládat se soukromým klíčem, odpovídajícím veřejnému klíči v certifikátu vydaném podle této CP, tak, aby nemohlo dojít k jeho neoprávněnému použití, v případě kompromitace, nebo podezření na kompromitaci, soukromého klíče odpovídajícího veřejnému klíči v certifikátu certifikační autority vydaném podle této CP, o této skutečnosti okamžitě informovat v souladu s platnou legislativou (ZoEP) a zároveň ukončit jeho používání Použití dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek a certifikátu spoléhající se stranou Spoléhající se strany jsou zejména povinny: získat z bezpečného zdroje certifikát kořenové Autority (internetová adresa uvedená v kap. 2.2, internetová adresa dozorového orgánu, pracoviště RA) a ověřit kontrolní součet tohoto certifikátu, provádět veškeré úkony potřebné k tomu, aby si ověřily, že certifikát vydaný Autoritou nebyl zneplatněn, mj. ověřit platnost: kořenového certifikátu, jí vydaného certifikátu podřízené certifikační autority. 4.6 Obnovení certifikátu Je nutné vydat nový certifikát s novým veřejným klíčem. Platí stejné požadavky jako v případě počátečního ověření identity - viz kap Podmínky pro obnovení certifikátu Viz kap Subjekty oprávněné požadovat obnovení certifikátu Viz kap Zpracování požadavku na obnovení certifikátu Viz kap verze 1.0 strana 24 / 59

25 4.6.4 Oznámení o vydání obnoveného certifikátu držiteli certifikátu, podepisující nebo označující osobě Viz kap Úkony spojené s převzetím obnoveného certifikátu Viz kap Zveřejňování vydaných obnovených certifikátů poskytovatelem Viz kap Oznámení o vydání obnoveného certifikátu jiným subjektům Viz kap Výměna dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Je nutné vydat nový certifikát s novým veřejným klíčem. Platí stejné požadavky jako v případě počátečního ověření identity Podmínky pro výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Viz kap Subjekty oprávněné požadovat výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Viz kap Zpracování požadavku na výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek Viz kap Oznámení o vydání certifikátu s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek podepisující nebo označující osobě Viz kap Úkony spojené s převzetím certifikátu s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek Viz kap verze 1.0 strana 25 / 59

26 4.7.6 Zveřejnění vydaných certifikátů s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek Viz kap Oznámení o vydání certifikátu s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek jiným subjektům Viz kap Změna údajů v certifikátu Je nutné vydat nový certifikát s novým veřejným klíčem. Platí stejné požadavky jako v případě počátečního ověření identity Podmínky pro změnu údajů v certifikátu Viz kap Subjekty oprávněné požadovat změnu údajů v certifikátu Viz kap Zpracování požadavku na změnu údajů v certifikátu Viz kap Oznámení o vydání certifikátu se změněnými údaji podepisující nebo označující osobě Viz kap Úkony spojené s převzetím certifikátu se změněnými údaji Viz kap Zveřejňování vydaných certifikátů se změněnými údaji Viz kap Oznámení o vydání certifikátu se změněnými údaji jiným subjektům Viz kap verze 1.0 strana 26 / 59

27 4.9 Zneplatnění a pozastavení platnosti certifikátu Podmínky pro zneplatnění certifikátu Certifikát může být zneplatněn na základě následujících okolností: dojde ke kompromitaci, resp. existuje důvodné podezření, že došlo ke kompromitaci, soukromého klíče, odpovídajícího veřejnému klíči tohoto certifikátu, žádost ředitele I.CA, nastanou-li skutečnosti uvedené v ZoEP Subjekty oprávněné žádat o zneplatnění certifikátu Žádost o zneplatnění mohou podat: ředitel I.CA, další subjekty definované ZoEP Požadavek na zneplatnění certifikátu Viz kap Doba odkladu požadavku na zneplatnění certifikátu Není relevantní pro tento dokument, služba odkladu požadavku na zneplatnění certifikátu není poskytována Maximální doba, za kterou musí poskytovatel realizovat požadavek na zneplatnění certifikátu Požadavek na zneplatnění certifikátu musí být realizován bezodkladně po přijetí oprávněné žádosti o zneplatnění. CRL obsahující sériové číslo zneplatněného certifikátu musí být vydán neprodleně po zneplatnění tohoto certifikátu Povinnosti spoléhajících se stran při ověřování, zda nebyl certifikát zneplatněn Spoléhající se strany jsou povinny postupovat v souladu s kap Periodicita vydávání seznamu zneplatněných certifikátů Seznam zneplatněných certifikátů, vydaných dle této CP, je vydáván po každém zneplatnění certifikátu a dále v pravidelných intervalech, nejvýše jeden rok od vydání předchozího CRL Maximální zpoždění při vydávání seznamu zneplatněných certifikátů Seznam zneplatněných certifikátů je zveřejňován neprodleně po jeho vydání. verze 1.0 strana 27 / 59

28 4.9.9 Možnost ověřování statutu certifikátu on-line (dále OCSP ) Služba ověřováni stavu certifikátu vydaného Autoritou s využitím protokolu OCSP je veřejně dostupná Požadavky při ověřování statutu certifikátu on-line Viz kap Jiné způsoby oznamování zneplatnění certifikátu Není relevantní pro tento dokument, jiná služba oznamování zneplatnění certifikátu není poskytována Případné odlišnosti postupu zneplatnění v případě kompromitace dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Postup pro zneplatnění certifikátu v případě kompromitace soukromého klíče není odlišný od výše popsaného postupu pro zneplatnění certifikátu Podmínky pro pozastavení platnosti certifikátu Není relevantní pro tento dokument, služba pozastavení platnosti certifikátu není poskytována Subjekty oprávněné požadovat pozastavení platnosti certifikátu Není relevantní pro tento dokument, služba pozastavení platnosti certifikátu není poskytována Zpracování požadavku na pozastavení platnosti certifikátu Není relevantní pro tento dokument, služba pozastavení platnosti certifikátu není poskytována Omezení doby pozastavení platnosti certifikátu Není relevantní pro tento dokument, služba pozastavení platnosti certifikátu není poskytována Služby související s ověřováním statutu certifikátu Funkční charakteristiky Seznamy veřejných certifikátů vydaných Autoritou jsou poskytovány formou zveřejňování informací, seznamy zneplatněných certifikátů Autoritou vydaných certifikátů jsou poskytovány jak formou zveřejňování informací, tak uvedením distribučních míst CRL ve verze 1.0 strana 28 / 59

29 vydaných certifikátech. OCSP odpovědi OCSP respondéru Autority poskytují informaci o stavu certifikátu vydaného Autoritou Dostupnost služeb Autorita garantuje zajištění nepřetržité dostupnosti (7 dní v týdnu, 24 hodin denně) a integrity seznamu jí vydaných certifikátů a seznamu zneplatněných certifikátů (platné CRL), a dále dostupnost služeb OCSP Další charakteristiky služeb statutu certifikátu Další charakteristiky služeb stavu certifikátu nejsou poskytovány Ukončení poskytování služeb pro držitele certifikátu, podepisující nebo označující osobu Viz kap Úschova dat pro vytváření elektronických podpisů nebo pro vytváření elektronických značek u důvěryhodné třetí strany a jejich obnova Není relevantní pro tento dokument, služba úschovy soukromého klíče není poskytována Politika a postupy při úschově a obnovování dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Není relevantní pro tento dokument, služba úschovy soukromého klíče není poskytována Politika a postupy při zapouzdřování a obnovování šifrovacího klíče pro relaci Není relevantní pro tento dokument, služba úschovy soukromého klíče není poskytována. verze 1.0 strana 29 / 59

30 5 MANAGEMENT, PROVOZNÍ A FYZICKÁ BEZPEČNOST Management bezpečnosti je zaměřen především na: systémy poskytovaných certifikačních služeb, veškeré procesy podporující poskytování certifikačních služeb. Oblasti managementu provozní a fyzické bezpečnosti jsou řešeny jak v základních dokumentech Celková bezpečnostní politika, Systémová bezpečnostní politika CA, Certifikační prováděcí směrnice, Plán pro zvládání krizových situací a plán obnovy, tak v upřesňujících bezpečnostních normách a směrnicích. Uvedené dokumenty reflektují výsledky periodicky provedené analýzy rizik. 5.1 Fyzická bezpečnost Umístění a konstrukce Objekty provozního pracoviště jsou umístěny v geograficky odlišných lokalitách, které jsou dále jiné, než ředitelství společnosti, obchodní a vývojová pracoviště, pracoviště registračních autorit a obchodních míst. Zařízení určená k výkonu hlavních certifikačních služeb jsou umístěna ve vyhrazených prostorách provozních pracovišť. Tyto prostory jsou zabezpečené obdobně, jako zabezpečené oblasti kategorie Důvěrné podle zákona o ochraně utajovaných informací Fyzický přístup Požadavky na fyzický přístup do jednotlivých vyhrazených prostor (chráněných mechanickými a elektronickými prostředky) provozních pracovišť jsou uvedeny v interní dokumentaci společnosti. Ochrana objektů je řešena elektronickým zabezpečovacím systémem (EZS), připojením na pult centrální ochrany (PCO) a případně speciálním systémem pro snímání, přenos a zobrazování pohybu osob a dopravních prostředků Elektřina a klimatizace V prostorách určených k výkonu hlavních certifikačních služeb je dostatečně dimenzovaná aktivní klimatizace, která udržuje celoroční teplotu v rozmezí 20 C ± 5 C. Přívod elektrické energie je jištěn pomocí UPS (Uninterruptible Power Supply) a diesel agregátu Vlivy vody Všechny kritické systémy provozních pracovišť jsou umístěny takovým způsobem, aby nemohly být zaplaveny ani stoletou vodou. Provozní pracoviště jsou dle potřeby vybavena čidly průniku vody pro případ zaplavení vodou z topení, nebo vodou ze střechy při prudkém dešti Protipožární opatření a ochrana V objektech provozních pracovišť je instalována elektronická požární signalizace (EPS). Vstupní dveře vyhrazených prostor, ve kterých jsou umístěna zařízení, určená k výkonu verze 1.0 strana 30 / 59