Certifikační prováděcí směrnice

Transkript

1 První certifikační autorita, a.s. Certifikační prováděcí směrnice (algoritmus RSA) Certifikační prováděcí směrnice (algoritmus RSA) je veřejným dokumentem, který je vlastnictvím společnosti První certifikační autorita, a.s., a byl vypracován jako nedílná součást komplexní bezpečnostní dokumentace. Žádná část tohoto dokumentu nesmí být kopírována bez písemného souhlasu majitele autorských práv. Verze 1.3 Copyright První certifikační autorita, a.s.

2 OBSAH 1 Úvod Přehled Název a jednoznačné určení dokumentu Participující subjekty Certifikační autority (dále CA ) Registrační autority (dále RA ) Držitelé kvalifikovaných certifikátů a podepisující nebo označující osoby, kteří požádali o vydání kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu (dále certifikátu), a kterým byl certifikát vydán Spoléhající se strany Jiné participující subjekty Použití certifikátu Přípustné použití certifikátu Omezení použití certifikátu Správa politiky Organizace spravující certifikační politiku nebo certifikační prováděcí směrnici Kontaktní osoba organizace spravující certifikační politiku nebo certifikační prováděcí směrnici Subjekt odpovědný za rozhodování o souladu postupů poskytovatele s postupy jiných poskytovatelů certifikačních služeb Postupy při schvalování souladu podle bodu Přehled použitých pojmů a zkratek Odpovědnost za zveřejňování a úložiště informací a dokumentace Úložiště informací a dokumentace Zveřejňování informací a dokumentace Periodicita zveřejňování informací Řízení přístupu k jednotlivým typům úložišť Identifikace a autentizace Pojmenování Typy jmen Požadavek na významovost jmen Anonymita a používání pseudonymu Pravidla pro interpretaci různých forem jmen Jedinečnost jmen...23 verze 1.3 strana 2 / 72

3 3.1.6 Obchodní značky Počáteční ověření identity Ověřování souladu dat, tj. postup při ověřování, zda má osoba data pro vytváření elektronických podpisů odpovídající datům pro ověřování elektronických podpisů nebo data pro vytváření elektronických značek odpovídající datům pro ověřování elektronických značek Ověřování identity právnické osoby nebo organizační složky státu Ověřování identity fyzické osoby Neověřené informace vztahující se k držiteli certifikátu nebo podepisující či označující osobě Ověřování specifických práv Kritéria pro interoperabilitu Identifikace a autentizace při zpracování požadavků na výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Identifikace a autentizace při rutinní výměně dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a jim odpovídajících dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek (dále párová data ) Identifikace a autentizace při výměně párových dat po zneplatnění certifikátu Identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu Certifikáty poskytovatele (I.CA) Certifikáty koncových uživatelů Požadavky na životní cyklus certifikátu Žádost o vydání certifikátu Subjekty oprávněné podat žádost o vydání certifikátu Registrační proces a odpovědnosti poskytovatele a žadatele Zpracování žádosti o certifikát Identifikace a autentizace Přijetí nebo zamítnutí žádosti o certifikát Doba zpracování žádosti o certifikát Vydání certifikátů Úkony CA v průběhu vydávání certifikátu Oznámení o vydání certifikátu držiteli certifikátu, podepisující nebo označující osobě Převzetí vydaného certifikátu Úkony spojené s převzetím certifikátu...28 verze 1.3 strana 3 / 72

4 4.4.2 Zveřejňování vydaných certifikátů poskytovatelem Oznámení o vydání certifikátu jiným subjektům Použití párových dat a certifikátu Použití dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a certifikátu držitelem certifikátu, podepisující nebo označující osobou Použití dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek a certifikátu spoléhající se stranou Obnovení certifikátu Podmínky pro obnovení certifikátu Subjekty oprávněné požadovat obnovení certifikátu Zpracování požadavku na obnovení certifikátu Oznámení o vydání obnoveného certifikátu držiteli certifikátu, podepisující nebo označující osobě Úkony spojené s převzetím obnoveného certifikátu Zveřejňování vydaných obnovených certifikátů poskytovatelem Oznámení o vydání obnoveného certifikátu jiným subjektům Výměna dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Podmínky pro výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Subjekty oprávněné požadovat výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Zpracování požadavku na výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek Oznámení o vydání certifikátu s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek podepisující nebo označující osobě Úkony spojené s převzetím certifikátu s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek Zveřejnění vydaných certifikátů s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek Oznámení o vydání certifikátu s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek jiným subjektům Změna údajů v certifikátu Podmínky pro změnu údajů v certifikátu...31 verze 1.3 strana 4 / 72

5 4.8.2 Subjekty oprávněné požadovat změnu údajů v certifikátu Zpracování požadavku na změnu údajů v certifikátu Oznámení o vydání certifikátu se změněnými údaji podepisující nebo označující osobě Úkony spojené s převzetím certifikátu se změněnými údaji Zveřejňování vydaných certifikátů se změněnými údaji Oznámení o vydání certifikátu se změněnými údaji jiným subjektům Zneplatnění a pozastavení platnosti certifikátu Podmínky pro zneplatnění certifikátu Subjekty oprávněné žádat o zneplatnění certifikátu Požadavek na zneplatnění certifikátu Doba odkladu požadavku na zneplatnění certifikátu Maximální doba, za kterou musí poskytovatel realizovat požadavek na zneplatnění certifikátu Povinnosti spoléhajících se stran při ověřování, zda nebyl certifikát zneplatněn Periodicita vydávání seznamu zneplatněných certifikátů Maximální zpoždění při vydávání seznamu zneplatněných certifikátů Možnost ověřování statutu certifikátu on-line (dále OCSP ) Požadavky při ověřování statutu certifikátu on-line Jiné způsoby oznamování zneplatnění certifikátu Případné odlišnosti postupu zneplatnění v případě kompromitace dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Podmínky pro pozastavení platnosti certifikátu Subjekty oprávněné požadovat pozastavení platnosti certifikátu Zpracování požadavku na pozastavení platnosti certifikátu Omezení doby pozastavení platnosti certifikátu Služby související s ověřováním statutu certifikátu Funkční charakteristiky Dostupnost služeb Další charakteristiky služeb statutu certifikátu Ukončení poskytování služeb pro držitele certifikátu, podepisující nebo označující osobu Úschova dat pro vytváření elektronických podpisů nebo pro vytváření elektronických značek u důvěryhodné třetí strany a jejich obnova...35 verze 1.3 strana 5 / 72

6 Politika a postupy při úschově a obnovování dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Politika a postupy při zapouzdřování a obnovování šifrovacího klíče pro relaci Management, provozní a fyzická bezpečnost Fyzická bezpečnost Umístění a konstrukce Fyzický přístup Elektřina a klimatizace Vlivy vody Protipožární opatření a ochrana Ukládání médií Nakládání s odpady Zálohy mimo budovu Procesní bezpečnost Důvěryhodné role Počet osob požadovaných na zajištění jednotlivých činností Identifikace a autentizace pro každou roli Role vyžadující rozdělení povinností Personální bezpečnost Požadavky na kvalifikaci, zkušenosti a bezúhonnost Posouzení spolehlivosti osob Požadavky na přípravu pro výkon role, vstupní školení Požadavky a periodicita školení Periodicita a posloupnost rotace pracovníků mezi různými rolemi Postihy za neoprávněné činnosti zaměstnanců Požadavky na nezávislé zhotovitele (dodavatele) Dokumentace poskytovaná zaměstnancům Auditní záznamy (logy) Typy zaznamenávaných událostí Periodicita zpracování záznamů Doba uchování auditních záznamů Ochrana auditních záznamů Postupy pro zálohování auditních záznamů Systém shromažďování auditních záznamů (interní nebo externí) Postup při oznamování události subjektu, který ji způsobil...43 verze 1.3 strana 6 / 72

7 5.4.8 Hodnocení zranitelnosti Uchovávání informací a dokumentace Typy informací a dokumentace, které se uchovávají Doba uchování uchovávaných informací a dokumentace Ochrana úložiště uchovávaných informací a dokumentace Postupy při zálohování uchovávaných informací a dokumentace Požadavky na používání časových razítek při uchovávání informací a dokumentace Systém shromažďování uchovávaných informací a dokumentace (interní nebo externí) Postupy pro získání a ověření uchovávaných informací a dokumentace Výměna dat pro ověřování elektronických značek v nadřízeném kvalifikovaném systémovém certifikátu poskytovatele Obnova po havárii nebo kompromitaci Postup v případě incidentu a kompromitace Poškození výpočetních prostředků, softwaru nebo dat Postup při kompromitaci dat pro vytváření elektronických značek poskytovatele Schopnost obnovit činnost po havárii Ukončení činnosti CA nebo RA Technická bezpečnost Generování a instalace párových dat Generování párových dat Předání dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek podepisující nebo označující osobě Předání dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek poskytovateli certifikačních služeb Poskytování dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek certifikační autoritou spoléhajícím se stranám Délky párových dat Generování parametrů dat pro ověřování elektronických podpisů nebo dat pro ověření elektronických značek a kontrola jejich kvality Omezení pro použití dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek Ochrana dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a bezpečnost kryptografických modulů Standardy a podmínky používání kryptografických modulů...51 verze 1.3 strana 7 / 72

8 6.2.2 Sdílení tajemství Úschova dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Zálohování dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Uchovávání dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Transfer dat pro vytváření elektronických značek do kryptografického modulu nebo z kryptografického modulu Uložení dat pro vytváření elektronických značek v kryptografickém modulu Postup při aktivaci dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Postup při deaktivaci dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Postup při zničení dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Hodnocení kryptografických modulů Další aspekty správy párových dat Uchovávání dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek Maximální doba platnosti certifikátu vydaného podepisující nebo označující osobě a párových dat Aktivační data Generování a instalace aktivačních dat Ochrana aktivačních dat Ostatní aspekty aktivačních dat Počítačová bezpečnost Specifické technické požadavky na počítačovou bezpečnost Hodnocení počítačové bezpečnosti Bezpečnost životního cyklu Řízení vývoje systému Kontroly řízení bezpečnosti Řízení bezpečnosti životního cyklu Síťová bezpečnost Časová razítka Profily certifikátu, seznamu zneplatněných certifikátů a OCSP Profil certifikátu Číslo verze...61 verze 1.3 strana 8 / 72

9 7.1.2 Rozšiřující položky v certifikátu Objektové identifikátory (dále OID ) algoritmů Způsoby zápisu jmen a názvů Omezení jmen a názvů OID certifikační politiky Rozšiřující položka Policy Constrainsts Syntaxe a sémantika rozšiřující položky kvalifikátorů politiky Policy Qualifiers Způsob zápisu kritické rozšiřující položky Certificate Policies Profil seznamu zneplatněných certifikátů Číslo verze Rozšiřující položky seznamu zneplatněných certifikátů a záznamů v seznamu zneplatněných certifikátů Profil OCSP Číslo verze Rozšiřující položky OCSP Hodnocení shody a jiná hodnocení Periodicita hodnocení nebo okolnosti pro provedení hodnocení Identita a kvalifikace hodnotitele Vztah hodnotitele k hodnocenému subjektu Hodnocené oblasti Postup v případě zjištění nedostatků Sdělování výsledků hodnocení Ostatní obchodní a právní záležitosti Poplatky Poplatky za vydání nebo obnovení certifikátu Poplatky za přístup k certifikátu na seznamu vydaných certifikátů Poplatky za informace o statutu certifikátu nebo o zneplatnění certifikátu Poplatky za další služby Jiná ustanovení týkající se poplatků (vč. refundací) Finanční odpovědnost Krytí pojištěním Další aktiva a záruky Pojištění nebo krytí zárukou pro koncové uživatele Citlivost obchodních informací Výčet citlivých informací...65 verze 1.3 strana 9 / 72

10 9.3.2 Informace mimo rámec citlivých informací Odpovědnost za ochranu citlivých informací Ochrana osobních údajů Politika ochrany osobních údajů Osobní údaje Údaje, které nejsou považovány za citlivé Odpovědnost za ochranu osobních údajů Oznámení o používání důvěrných informací a souhlas s používáním citlivých informací Poskytnutí citlivých informací pro soudní či správní účely Jiné okolnosti zpřístupňování osobních údajů Práva duševního vlastnictví Zastupování a záruky Zastupování a záruky CA Zastupování a záruky RA Zastupování a záruky držitele certifikátu, podepisující nebo označující osoby Zastupování a záruky spoléhajících se stran Zastupování a záruky ostatních zúčastněných subjektů Zřeknutí se záruk Omezení odpovědnosti Odpovědnost za škodu, náhrada škody Doba platnosti, ukončení platnosti Doba platnosti Ukončení platnosti Důsledky ukončení a přetrvání závazků Komunikace mezi zúčastněnými subjekty Změny Postup při změnách Postup při oznamování změn Okolnosti, při kterých musí být změněn OID Řešení sporů Rozhodné právo Shoda s právními předpisy Další ustanovení Rámcová dohoda Postoupení práv...71 verze 1.3 strana 10 / 72

11 Oddělitelnost ustanovení Zřeknutí se práv Vyšší moc Další opatření Závěrečná ustanovení...72 tab. 1 - Vývoj dokumentu Verze Datum vydání Schválil Ředitel společnosti První certifikační autorita, a.s Ředitel společnosti První certifikační autorita, a.s Ředitel společnosti První certifikační autorita, a.s Ředitel společnosti První certifikační autorita, a.s. Poznámka První vydání. Aktualizace OID certifikačních politik (TSA, OCSP). Aktualizace OID certifikační politiky SSL. Rozšíření podporovaných CP. verze 1.3 strana 11 / 72

12 1 ÚVOD Kořenová kvalifikovaná certifikační autorita (algoritmus RSA) společnosti První certifikační autorita, a.s., vydává v hierarchické dvoustupňové struktuře certifikačních autorit, v souladu s platnou legislativou a s požadavky technických standardů, kvalifikovaný systémový certifikát s algoritmem RSA kořenové certifikační autority, certifikáty s algoritmem RSA pro vydávající certifikační autority a certifikát svého OCSP respondéru s algoritmem RSA. Tyto vydávající certifikační autority potom vydávají certifikáty pro TSS systému TSA, certifikáty svých OCSP respondérů, pokud je služba OCSP poskytována a certifikáty koncovým uživatelům. Pozn.: Pokud jsou v dalším textu uváděny odkazy na standardy nebo zákony, jedná se vždy buď o uvedený standard nebo zákon, resp. standard či zákon, který ho nahrazuje. Pokud by byla tato politika v rozporu se standardy nebo zákony, které nahradí dosud platné, bude vydána její nová verze. 1.1 Přehled Dokument Certifikační prováděcí směrnice (algoritmus RSA), dále též CPS, vypracovaný společností První certifikační autorita, a. s., (dále též I.CA) se zabývá skutečnostmi, vztahujícími se k procesům životního cyklu vydávaných certifikátů a dodržuje strukturu, jejíž předlohou je osnova platného standardu RFC 3647, s přihlédnutím k platným standardům Evropské unie a k právu České republiky v dané oblasti (jednotlivé kapitoly jsou proto v tomto dokumentu zachovány i v případě, že jsou ve vztahu k ní irelevantní). Týká se certifikačních politik uvedených v kap Dokument je rozdělen do devíti základních kapitol, jejichž stručný popis je uveden v následujícím seznamu: Kapitola 1 identifikuje tento dokument přiřazeným jedinečným identifikátorem, obecně popisuje subjekty, které participují na poskytování této certifikační služby a definuje přípustné využívání vydávaných certifikátů. Kapitola 2 popisuje problematiku odpovědností za zveřejňování informací, resp. dokumentace. Kapitola 3 popisuje procesy identifikace a autentizace žadatele o vydání certifikátu, resp. zneplatnění certifikátu, včetně definování typů a obsahů používaných jmen ve vydávaných certifikátech. Kapitola 4 definuje procesy životního cyklu jí vydávaných certifikátů, tzn. žádost o vydání a vlastní vydání certifikátu, žádost o zneplatnění a vlastní zneplatnění certifikátu, služby související s ověřováním stavu certifikátu, ukončení poskytování certifikačních služeb atd. Kapitola 5 zahrnuje problematiku fyzické, procesní a personální bezpečnosti, včetně definování množiny zaznamenávaných událostí, uchovávání těchto záznamů a reakce po haváriích nebo kompromitaci. Kapitola 6 je zaměřena na technickou bezpečnost typu generování veřejných a soukromých klíčů, ochrany soukromých klíčů, včetně počítačové a síťové ochrany. Kapitola 7 definuje profil vydávaných certifikátů a seznamů zneplatněných certifikátů. Kapitola 8 je zaměřena na problematiku hodnocení poskytovaných certifikačních služeb. verze 1.3 strana 12 / 72

13 Kapitola 9 zahrnuje problematiku obchodní a právní. Tento dokument může být mimo jiné využit nezávislými institucemi (např. auditorskými společnostmi) jako základ pro potvrzení toho, že certifikační služby v oblasti vydávaní certifikátů, poskytované společností První certifikační autorita, a.s., je možné považovat za důvěryhodné. 1.2 Název a jednoznačné určení dokumentu Název tohoto dokumentu: Certifikační prováděcí směrnice (algoritmus RSA) OID dokumentu: není přiřazeno Tato CPS se vztahuje k následujícím CP: OID CP Certifikační politika kořenové kvalifikované certifikační autority (algoritmus RSA) Certifikační politika vydávání SSL certifikátů (algoritmus RSA), verze Certifikační politika vydávání certifikátů OCSP respondérů (algoritmus RSA), verze Certifikační politika vydávání certifikátů pro systém TSA (algoritmus RSA), verze Certifikační politika vydávání kvalifikovaných certifikátů pro elektronické podpisy (algoritmus RSA), verze Certifikační politika vydávání systémových certifikátů (algoritmus RSA), verze Certifikační politika vydávání komerčních certifikátů (algoritmus RSA), verze Certifikační politika vydávání technologických (komerčních serverových) certifikátů (algoritmus RSA), verze Certifikační politika vydávání komerčních certifikátů pro elektronické pečetě (algoritmus RSA), verze Certifikační politika vydávání kvalifikovaných certifikátů SK pro elektronické podpisy (algoritmus RSA), verze Certifikační politika vydávání kvalifikovaných systémových certifikátů SK (algoritmus RSA), verze Certifikační politika vydávání kvalifikovaných mandátních certifikátů SK (algoritmus RSA), verze 1.00 verze 1.3 strana 13 / 72

14 1.3 Participující subjekty Certifikační autority (dále CA ) Kořenová certifikační autorita Kořenová kvalifikovaná certifikační autorita (algoritmus RSA) vydává v hierarchické dvoustupňové struktuře certifikačních autorit, v souladu s platnou legislativou a s požadavky technických standardů, certifikáty s algoritmem RSA pro vydávající certifikační autority a pro svůj OCSP respondér. Kořenová kvalifikovaná certifikační autorita je ve stavu off-line a v žádném okamžiku tedy nemá propojení s externí sítí. Ve stavu on-line je pouze její OCSP respondér. Fyzicky je její informační systém realizován vyhrazenými počítači, HSM modul obsahující soukromý klíč je k tomuto informačnímu systému připojen prostřednictvím vyhrazeného zabezpečeného rozhraní Vydávající certifikační autority Veřejné certifikační autority, provozované společností První certifikační autorita, a.s., poskytující certifikační služby koncovým uživatelům Registrační autority (dále RA ) Registrační autority, využívané v procesech životního cyklu certifikátů, vydávaných koncovým uživatelům. Tyto RA mohou být stacionární nebo mobilní Držitelé kvalifikovaných certifikátů a podepisující nebo označující osoby, kteří požádali o vydání kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu (dále certifikátu), a kterým byl certifikát vydán Certifikáty poskytovatele (I.CA) Certifikáty jsou vydávány výhradně pro certifikační autority, jejich OCSP respondéry a pro TSS systému TSA, vše provozované I.CA. Oprávněným žadatelem a následně držitelem certifikátů je I.CA jako právnická osoba Certifikáty koncových uživatelů Certifikáty jsou vydávány koncovým uživatelům, využívajícím certifikační služby I.CA Spoléhající se strany Spoléhající se stranou jsou subjekty spoléhající se při své činnosti na certifikát vydaný podle CP společnosti První certifikační autorita, a.s Jiné participující subjekty Jinými participujícími subjekty jsou orgány dozoru, orgány činné v trestním řízení a další, kterým to dle platné legislativy přísluší. verze 1.3 strana 14 / 72

15 1.4 Použití certifikátu Přípustné použití certifikátu Certifikáty kořenové CA smějí být používány výhradně pro ověřování jí vydaných certifikátů, seznamů jí zneplatněných certifikátů (CRL, resp. ARL) a OCSP odpovědí vydaných jejím OCSP respondérem. Certifikáty vydávajících certifikačních autorit smějí být používány výhradně pro ověřování certifikátů a seznamů zneplatněných certifikátů (CRL) vydaných těmito vydávajícími certifikačními autoritami a OCSP odpovědí vydaných OCSP respondéry (jsou-li implementovány) těchto vydávajících certifikačních autorit. Certifikáty TSS systému TSA smějí být používány výhradně pro ověřování časových razítek vydaných těmito TSS. Certifikáty koncových uživatelů smějí být používány obecně v procesech PKI, tedy ověřování elektronických podpisů /elektronických značek/ elektronických pečetí, identifikace, autentizace a šifrování Omezení použití certifikátu Certifikáty vydávané v souladu s konkrétní CP nesmějí být používány v rozporu s použitím popsaným v této CP a dále pro jakékoliv nelegální účely. 1.5 Správa politiky Organizace spravující certifikační politiku nebo certifikační prováděcí směrnici Tuto CPS a jí odpovídající certifikační politiky spravuje společnost První certifikační autorita, a.s Kontaktní osoba organizace spravující certifikační politiku nebo certifikační prováděcí směrnici Kontaktní osoba společnosti První certifikační autorita, a.s., v souvislosti touto CPS a odpovídajícími certifikačními politikami, je uvedena na internetové adrese (viz kap. 2.2) Subjekt odpovědný za rozhodování o souladu postupů poskytovatele s postupy jiných poskytovatelů certifikačních služeb Jedinou osobou, která je odpovědná za rozhodování o souladu postupů společnosti První certifikační autorita, a.s., s postupy jiných poskytovatelů certifikačních služeb, je ředitel společnosti První certifikační autorita, a.s Postupy při schvalování souladu podle bodu V případě, že je potřebné provést změny v této CPS, nebo některé certifikační politice a vytvořit její novou verzi, určuje ředitel společnosti První certifikační autorita, a.s., osobu, verze 1.3 strana 15 / 72

16 která je oprávněna tyto změny provést. Nabytí platnosti nové verze CP /CPS předchází její schválení ředitelem společnosti První certifikační autorita, a.s. Dále platí požadavky kap Přehled použitých pojmů a zkratek tab. 2 - Pojmy Pojem bit Certifikát Vysvětlení z anglického binary digit - číslice dvojkové soustavy - základní a současně nejmenší jednotka informace v číslicové technice v tomto dokumentu kvalifikovaný certifikát pro elektronický podpis dozorový orgán orgán dozoru nad dodržováním legislativy týkající se elektronického podpisu dvoufaktorová autentizace elektronická pečeť elektronická značka elektronický podpis autentizace využívající dvou ze tří faktorů - něco vím (heslo), něco mám (např. čipová karta, hardwarový token) nebo něco jsem (otisky prstů, snímání oční sítnice či duhovky) v tomto dokumentu elektronická pečeť, resp. zaručená elektronická pečeť dle platné legislativy týkající se elektronického podpisu v tomto dokumentu elektronická značka dle platné legislativy týkající se elektronického podpisu v tomto dokumentu elektronický podpis, resp. zaručený elektronický podpis, resp. uznávaný elektronický podpis, resp. kvalifikovaný elektronický podpis dle platné legislativy týkající se elektronického podpisu hashovací funkce transformace, která jako vstup přijímá řetězec znaků o libovolné délce a výsledkem je řetězec znaků s pevnou délkou (hash) infrastrukturní certifikát certifikát sloužící v procesech vydávání certifikátů koncovým uživatelům, vydávání seznamů zneplatněných certifikátů a poskytování informací o stavu certifikátů kořenová CA certifikační autorita vydávající certifikáty podřízeným certifikačním autoritám kvalifikovaný kvalifikovaný certifikát, kvalifikovaný certifikát, certifikát certifikát, systémový nadřízený systémový systémový kvalifikovaný prostředek pro vytváření elektronických podpisů legislativa týkající se elektronického podpisu certifikát, který má náležitosti podle platné legislativy týkající se elektronického podpisu prostředek pro vytváření elektronických podpisů, který splňuje požadavky stanovené v příloze II eidas aktuálně platná legislativa České republika a Slovenské republiky vztahující se k elektronickému podpisu a nařízení verze 1.3 strana 16 / 72

17 OCSP respondér Organizace párová data písemná smlouva eidas server poskytující protokolem OCSP údaje o stavu certifikátu veřejného klíče právnická osoba nebo organizační složka státu soukromý a jemu odpovídající veřejný klíč text smlouvy v elektronické nebo listinné podobě podepisující osoba fyzická osoba, která drží prostředek pro vytváření elektronických podpisů vydávající, podřízená CA pro účely tohoto dokumentu CA vydávající certifikáty koncovým uživatelům prostředek pro vytváření elektronických podpisů v tomto dokumentu - technické zařízení nebo programové vybavení, které se používá k vytváření elektronických podpisů, resp. konfigurované programové vybavení nebo technické zařízení, které se používá k vytváření elektronických podpisů; Směrnice SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 1999/93/ES ze dne 13. prosince 1999 o zásadách Společenství pro elektronické podpisy smluvní partner soukromý klíč spoléhající se strana TWINS veřejný klíč zákon o ochraně utajovaných informací zákoník práce poskytovatel vybraných certifikačních služeb, který zajišťuje na základě písemné smlouvy pro I.CA certifikační služby nebo jejich části - nejčastěji se jedná o smluvní RA jedinečná data pro vytváření elektronické podpisu subjekt spoléhající se při své činnosti na certifikát obchodní produkt I.CA, obsahující dvojici certifikátů: kvalifikovaný certifikát vydaný v souladu s legislativou týkající se elektronického podpisu, komerční certifikát vydaný výhradně na základě smluvního vztahu mezi I.CA a koncovým uživatelem jedinečná data pro ověřování elektronické podpisu zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů tab. 3 - Zkratky Pojem BIH CA CEN CP Vysvětlení Bureau International de l Heure, (anglicky The International Time Bureau), Mezinárodní časová služba certifikační autorita European Committee for Standardization, asociace sdružující národní standardizační orgány certifikační politika verze 1.3 strana 17 / 72

18 CPS CRL CWA ČR ČSN DER, PEM certifikační prováděcí směrnice Certificate Revocation List, seznam zneplatněných certifikátů obsahující certifikáty, které již nelze pokládat za platné CEN Workshop Agreement, referenční dokument CEN Česká republika označení českých technických norem způsoby zakódování (formáty) certifikátu eidas NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES EN EPS ESI ETSI EU EZS FIPS html http European Standard, typ ETSI standardu elektrická požární signalizace Electronic Signatures and Infrastructures European Telecommunications Standards Institute, evropský standardizační institut v oblasti informačních a komunikačních technologií Evropská unie elektronická zabezpečovací signalizace Federal Information Processing Standard, označení standardů v oblasti informačních technologií pro nevojenské státní organizace ve Spojených státech Hypertext Markup Language, značkovací jazyk pro vytváření hypertextových dokumentů Hypertext Transfer Protocol, protokol pro výměnu textových dokumentů ve formátu html https Hypertext Transfer Protocol Secure, protokol pro zabezpečenou výměnu textových dokumentů ve formátu html I.CA ICA_OID První certifikační autorita, a.s. OID z prostoru přiděleného I.CA IEC International Electrotechnical Commission, světová organizace publikující standardy pro elektrotechniku, elektroniku, sdělovací techniku a příbuzné obory ISMS ISO ITU ITU-T Information Security Management System, systém řízení bezpečnosti informací International Organization for Standardization, mezinárodní organizace sdružující národní standardizační organizace, označení standardů International Telecommunication Union Telecommunication Standardization Sector of ITU verze 1.3 strana 18 / 72

19 MPSV OCSP OID OSVČ PCO Ministerstvo práce a sociálních věcí Online Certificate Status Protocol, protokol pro zjišťování stavu certifikátu veřejného klíče Object Identifier, objektový identifikátor, číselná identifikace objektu osoba samostatně výdělečně činná pult centrální ochrany PDCA Plan-Do-Check-Act, Plánování-Zavedení-Kontrola-Využití, Demingův cyklus, metoda neustálého zlepšování PDS PKCS PKI PUB QESCD RA RFC RSA SHA SSCD TS TSA TSS UPS URI UTC X.501, X.509, X.520 PKI Disclosure Statement, zpráva pro uživatele Public Key Cryptography Standards, označení skupiny standardů pro kryptografii s veřejným klíčem Public Key Infrastructure, infrastruktura veřejných klíčů Publication, označení standardu FIPS Qualified Electronic Signature Creation Device, zařízení pro tvorbu kvalifikovaného elektronického podpisu (dle definice v eidas) registrační autorita Request for Comments, označení řady standardů a dalších dokumentů popisujících internetové protokoly, systémy apod. šifra s veřejným klíčem pro podepisování a šifrování (iniciály původních autorů Rivest, Shamir a Adleman) typ hashovací funkce Secure Signature Creation Device, bezpečné zařízení pro tvorbu elektronického podpisu (dle definice ve Směrnici) Technical Specification, typ ETSI standardu Time Stamping Authority, autorita časových razítek, obsahující více serverů, vydávajících časová razítka, kdy každý z nich disponuje jedinečným soukromým klíčem a tedy i kvalifikovaným systémovým certifikátem Time Stamp Server, server vytvářející časová razítka Uninterruptible Power Supply/Source, zdroj nepřerušovaného napájení Uniform Resource Identifier, textový řetězec s definovanou strukturou sloužící k přesné specifikaci zdroje informací Universal Co-ordinated Time, standard přijatý pro světový koordinovaný čas - funkci oficiálního časoměřiče atomového času pro celý svět vykonává Bureau International de l Heure (BIH) standardy pro systémy založené na veřejném klíči ZOOÚ zákon č. 101/2000 Sb., o ochraně osobních údajů verze 1.3 strana 19 / 72

20 a o změně některých zákonů (zákon o ochraně osobních údajů), ve znění pozdějších předpisů, zákon Slovenské republiky č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov verze 1.3 strana 20 / 72

21 2 ODPOVĚDNOST ZA ZVEŘEJŇOVÁNÍ A ÚLOŽIŠTĚ INFORMACÍ A DOKUMENTACE 2.1 Úložiště informací a dokumentace Společnost První certifikační autorita, a.s., zřizuje a provozuje úložiště informací a dokumentace. 2.2 Zveřejňování informací a dokumentace Základní adresy, na nichž lze nalézt veřejné informace o společnosti První certifikační autorita, a.s., případně odkazy pro zjištění dalších informací, jsou: adresa sídla společnosti: První certifikační autorita, a.s. Podvinný mlýn 2178/ Praha 9 Česká republika internetová adresa sídla registračních autorit. Adresy, které slouží pro kontakt veřejnosti s I.CA, jsou: sídla registračních autorit, elektronická poštovní adresa info@ica.cz. I.CA zveřejňuje výše uvedené kontaktní adresy na své internetové adrese a pracovištích RA. Pracovníci RA, včetně smluvních partnerů, jsou rovněž povinni tyto informace na vyžádání sdělit veřejnosti. Na výše uvedené internetové adrese lze získat informace o: veřejných certifikátech - přímo se zveřejňují následující informace (ostatní informace lze získat z certifikátu): číslo certifikátu, obsah položky Obecné jméno (commonname), údaj o počátku platnosti (s uvedením hodiny, minuty a sekundy), odkazy na místo, kde lze certifikát získat v určených formátech (DER, PEM, TXT), seznamech zneplatněných certifikátů (CRL) - přímo se zveřejňují následující informace (ostatní informace lze získat ze samotného CRL): datum vydání CRL, číslo CRL, odkazy na místo, kde lze CRL získat v určených formátech (DER, PEM, TXT). verze 1.3 strana 21 / 72

22 Povolenými protokoly pro přístup k veřejným informacím jsou http a https. I.CA může bez udání důvodu přístup k některým informacím zrušit nebo pozastavit. V případech odejmutí akreditace, nebo vzniku důvodné obavy ze zneužití soukromého klíče poskytovatele, oznámí I.CA tuto skutečnost na výše uvedené internetové adrese a prostřednictvím celostátně distribuovaného deníku Hospodářské noviny nebo Mladá fronta Dnes, RESP. Hospodárske noviny nebo Sme. 2.3 Periodicita zveřejňování informací Viz kapitola 2.3 konkrétní CP. 2.4 Řízení přístupu k jednotlivým typům úložišť Veškeré veřejné informace (viz kap. 2.2 a 2.3) zpřístupňuje I.CA bezplatně bez omezení. Neveřejné informace jsou dostupné pouze pověřeným zaměstnancům I.CA, smluvním partnerům nebo subjektům definovaným platnou legislativou. Přístup k těmto informacím je řízen pravidly popsanými v interní dokumentaci, zejména: Operátor CA, Směrnice pro pracovníky RA I.CA, Řízení bezpečnosti informací, Příručka administrátora, Bezpečnostní incidenty, HSM/Private Server, Správa TSS, Dokumenty agendy certifikačních služeb, Dílčí spisový a skartační řád pro agendy certifikačních služeb, Dílčí spisový a skartační plán pro agendy certifikačních služeb. verze 1.3 strana 22 / 72

23 3 IDENTIFIKACE A AUTENTIZACE 3.1 Pojmenování Typy jmen Veškerá jména jsou konstruována v souladu se standardem X.501, resp. s navazujícím standardem X Požadavek na významovost jmen V procesu vydávání Certifikátu je vždy vyžadována významovost všech ověřitelných jmen uvedených v položkách polí Subject, resp. SubjectAlternativeName. Konkrétní obsah jmen je definován v konkrétní CP Anonymita a používání pseudonymu Viz kapitola konkrétní CP Pravidla pro interpretaci různých forem jmen Údaje uváděné v procesu žádosti o certifikát se do vydávaných certifikátů přenášejí ve tvaru, ve kterém jsou uvedeny v předkládaných dokumentech Jedinečnost jmen Uvedeno v konkrétní politice Obchodní značky Všechna pole certifikátu, které jsou v procesu vydání certifikátu ověřována, mají předepsanou strukturu a musí být doložena jejich správnost, úplnost a oprávněnost použití - včetně obchodní značky. 3.2 Počáteční ověření identity Postup ověřování identity je uveden v konkrétní CP a dále upřesněn v interním dokumentu: Směrnice pro pracovníky RA I.CA. verze 1.3 strana 23 / 72

24 3.2.1 Ověřování souladu dat, tj. postup při ověřování, zda má osoba data pro vytváření elektronických podpisů odpovídající datům pro ověřování elektronických podpisů nebo data pro vytváření elektronických značek odpovídající datům pro ověřování elektronických značek Soulad dat se ověřuje tak, že je žádost o příslušný certifikát ve formátu PKCS#10, obsahující veřejný klíč, je elektronicky podepsána/ elektronicky označena/ opatřena elektronickou pečetí vytvořenou soukromým klíčem, který odpovídá veřejnému klíči, obsaženému v předkládané žádosti. Tímto způsobem žadatel o certifikát dokazuje, že v době tvorby žádosti o certifikát vlastnil soukromý klíč, odpovídající veřejnému klíči, který je v této žádosti obsažen Ověřování identity právnické osoby nebo organizační složky státu Identita se prokazuje výpisem z Obchodního rejstříku. Blíže je postup popsán v interním dokumentu: Směrnice pro pracovníky RA I.CA Ověřování identity fyzické osoby Postup je popsán v konkrétní CP a dále v interním dokumentu: Směrnice pro pracovníky RA I.CA Neověřené informace vztahující se k držiteli certifikátu nebo podepisující či označující osobě Neověřované informace jsou vždy uvedeny v konkrétní CP Ověřování specifických práv Adresu elektronické pošty je možno umístit v rozšíření Certifikátu, konkrétně v poli rfc822name položky SubjectAlternativeName, pouze tehdy, byla-li tato skutečnost v procesu vydání Certifikátu pro tuto žádost ověřena. Příznak, že klíčový pár byl generován na certifikovaném zařízení typu SSCD/QESCD lze do Certifikátu vložit pouze tehdy, byla-li tato skutečnost v procesu vydání Certifikátu pro tuto žádost ověřena. Postup ověřování dalších specifických práv je opsán v konkrétní CP Kritéria pro interoperabilitu Případná spolupráce společnosti První certifikační autorita, a.s., s jinými poskytovateli certifikačních služeb je vždy založena na písemné smlouvě s těmito poskytovateli. verze 1.3 strana 24 / 72

25 3.3 Identifikace a autentizace při zpracování požadavků na výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Identifikace a autentizace při rutinní výměně dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a jim odpovídajících dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek (dále párová data ) Vždy je nutné vydat nový certifikát s novým veřejným klíčem. Konkrétní požadavky jsou uvedeny v konkrétní CP Certifikáty poskytovatele (I.CA) Jedná se o vydání prvotního certifikátu, kdy platí stejné požadavky, jako v případě počátečního ověření identity Certifikáty koncových uživatelů V případě SSL certifikátů se vždy jedná o vydání prvotního certifikátu, kdy platí stejné požadavky, jako v případě počátečního ověření identity. Pro ostatní typy certifikátů lze vydat tzv. následný certifikát, kdy je standardní žádost o certifikát (s novým veřejným klíčem) předávná ke zpracování elektronicky podepsána /označena/opatřena elektronickou pečetí vytvořenou soukromým klíčem, náležícím veřejnému klíči v platném certifikátu, ke kterému je vydáván tento následný certifikát. V tomto případě není vyžadována fyzická přítomnost žadatele o certifikát na RA a žadatel o certifikát tímto podpisem /značkou/ pečetí potvrzuje, že údaje o subjektu nebyly změněny Identifikace a autentizace při výměně párových dat po zneplatnění certifikátu I.CA nepodporuje výměnu párových dat již zneplatněného certifikátu. Jediný způsob, jak získat nový certifikát, je získání nového certifikátu s novým veřejným klíčem. 3.4 Identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu Konkrétní způsoby identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu jsou uvedeny v konkrétní CP Certifikáty poskytovatele (I.CA) Oprávněnou osobou žádat o zneplatnění certifikátu: kořenové certifikační autority i jí vydaného certifikátu OCSP respondéru, vydávající certifikační autority i jí vydaného certifikátu OCSP respondéru, TSS systému TSA, je ředitel I.CA. verze 1.3 strana 25 / 72

26 Žadatelem o zneplatnění certifikátu kořenové certifikační autority, popř. certifikátu, souvisejícího s kvalifikovanými certifikačními službami, může být taktéž představitel úřadu, který společnost První certifikační autorita, a.s., akreditoval. Žádost od úřadu musí být písemná, nebo být doručena do datové schránky I.CA. Samotnému procesu zneplatnění takového certifikátu musí být ředitel I.CA vždy osobně přítomen Certifikáty koncových uživatelů Možné způsoby identifikace a autentizace jsou následující: osobně na RA, prostřednictvím formuláře na webových stránkách společnosti (s využitím hesla pro zneplatnění certifikátu), prostřednictvím nepodepsané elektronické zprávy (obsahující heslo pro zneplatnění certifikátu), prostřednictvím elektronicky podepsané /elektronicky označené /opatřené elektronickou pečetí elektronické zprávy (realizovány soukromým klíčem příslušným k předmětnému certifikátu, jenž má být zneplatněn, nebo soukromým klíčem z podpisového certifikátu), prostřednictvím datové schránky (s využitím hesla pro zneplatnění certifikátu), prostřednictvím doporučené listovní zásilky na adresu sídla I.CA (s využitím hesla pro zneplatnění certifikátu). Údaje, které musí žádost o zneplatnění certifikátu obsahovat, jsou uvedeny v kapitole I.CA si vyhrazuje právo akceptování i jiných forem postupů pro identifikaci a autentizaci zpracování požadavku na zneplatnění certifikátu. verze 1.3 strana 26 / 72

27 4 POŽADAVKY NA ŽIVOTNÍ CYKLUS CERTIFIKÁTU 4.1 Žádost o vydání certifikátu Subjekty oprávněné podat žádost o vydání certifikátu Žádost o vydání certifikátu může podat fyzická osoba nebo organizace. Subjekty oprávněné podat žádost o vydání certifikátu jsou uvedeny v konkrétní CP Registrační proces a odpovědnosti poskytovatele a žadatele Procesy prováděné v průběhu registračního procesu jsou uvedeny v konkrétní CP Odpovědnost žadatele Žadatel je povinen zejména: poskytovat pravdivé a úplné informace při registraci žádosti o vydání certifikátu, seznámit se s CP, podle které mu bude vydán certifikát Odpovědnost poskytovatele Poskytovatel certifikačních služeb je zejména povinen certifikační služby poskytovat v souladu s platnou legislativou, konkrétní CP a touto CPS, Systémovou bezpečnostní politikou CA a provozní dokumentací. 4.2 Zpracování žádosti o certifikát Proces zpracování žádosti o certifikát je popsaný v interní dokumentaci: Směrnice pro pracovníky RA I.CA, Operátor CA Identifikace a autentizace Žadatel o certifikát se identifikuje a autentizuje způsobem, popsaným v kapitolách a Přijetí nebo zamítnutí žádosti o certifikát V případě vydávání certifikátů poskytovatele rozhodne vedení společnosti První certifikační autorita, a.s., na základě písemné žádosti o vydání certifikátu, případně o zamítnutí žádosti. Výsledek je dokumentován. Pokud některá z ověření, prováděna pracovníkem RA skončí negativně, proces vydání certifikátu je ukončen. V opačném případě pracovník RA vydání certifikátu schválí. Postupy pro přijetí nebo odmítnutí žádosti o certifikát jsou uvedeny v konkrétní CP a v interní dokumentaci: verze 1.3 strana 27 / 72

28 Směrnice pro pracovníky RA I.CA Doba zpracování žádosti o certifikát V případě vydávání certifikátů poskytovatele doba zpracování písemné žádosti o vydání certifikátu nepřekročí pět pracovních dnů ode dne předložení žádosti vedení společnosti. Certifikáty koncových uživatelů jsou vydávány obratem po ověření žádosti na RA, v případě následného certifikátu po kontrole operátorem CA. Výjimku tvoří SSL certifikáty, kdy doba zpracování žádosti o certifikát zpravidla nepřekročí pět pracovních dnů (z důvodu ověřování údajů v žádosti). 4.3 Vydání certifikátů Úkony CA v průběhu vydávání certifikátu V procesu vydávání certifikátu provádějí operátoři CA kontroly na shodnost údajů, obsažených v žádosti o certifikát (struktura PKCS#10) a údajů, doplněných pracovníkem RA. V případě nesrovnalostí komunikují operátoři CA s pracovníkem příslušné RA. Kontroly na formální správnost údajů jsou taktéž prováděny programovým vybavením informačního systému CA. Postupy jsou uvedeny v konkrétní CP a upřesněny v interní dokumentaci: Směrnice pro pracovníky RA I.CA, Operátor CA Oznámení o vydání certifikátu držiteli certifikátu, podepisující nebo označující osobě V případě, že žadatel o certifikát je osobně přítomen vydání certifikátu, získá oznámení o jeho vydání od pracovníka RA. Vydaný certifikát je vždy automaticky zaslán na kontaktní e- mailovou adresu žadatele. Uvedené postupy jsou detailně popsány v interní dokumentaci: Směrnice pro pracovníky RA I.CA, Operátor CA. 4.4 Převzetí vydaného certifikátu Úkony spojené s převzetím certifikátu Úkony spojené s převzetím certifikátu jsou vždy popsány v konkrétní CP. Proces je detailně popsán v interní dokumentaci: Směrnice pro pracovníky RA I.CA, Operátor CA. verze 1.3 strana 28 / 72

29 4.4.2 Zveřejňování vydaných certifikátů poskytovatelem Certifikáty poskytovatele jsou zveřejňovány na webových stránkách I.CA, certifikáty související s kvalifikovanými certifikačními službami jsou navíc předány dozorovému orgánu. Veřejné certifikáty koncových uživatelů jsou zveřejněny způsobem podle bodu Oznámení o vydání certifikátu jiným subjektům Platí ustanovení kap Použití párových dat a certifikátu Použití dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a certifikátu držitelem certifikátu, podepisující nebo označující osobou Povinností držitele certifikátu, resp. držitele soukromého klíče mj. je: bez zbytečného odkladu podávat přesné, pravdivé a úplné informace společnosti I.CA ve vztahu k vydanému certifikátu, v případě koncového uživatele dodržovat veškerá relevantní ustanovení smlouvy o poskytování této certifikační služby, používat soukromý klíč a jemu odpovídající veřejný klíč obsažený ve vydaném certifikátu v souladu s konkrétní CP, nakládat se soukromým klíčem, odpovídajícím veřejnému klíči v certifikátu, tak, aby nemohlo dojít k jeho neoprávněnému použití, pokud hrozí nebezpečí zneužití soukromého klíče odpovídajícího veřejnému klíči v certifikátu, požádat neprodleně o zneplatnění tohoto certifikátu Použití dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek a certifikátu spoléhající se stranou Spoléhající se strany jsou zejména povinny ověřit elektronický podpis /elektronickou značku/ elektronickou pečeť dokumentu, byl-li tento elektronicky podepsán /elektronicky označen/ opatřen elektronickou pečetí, tj.: získat z bezpečného zdroje certifikát kořenové certifikační autority a ověřit kontrolní součet tohoto certifikátu, provádět veškeré úkony potřebné k tomu, aby si ověřily, že certifikát vydaný kořenovou certifikační autoritou nebyl zneplatněn, mj. ověřit platnost: kořenového certifikátu, jí vydaného certifikátu, provádět veškeré úkony potřebné k tomu, aby si ověřily, že elektronický podpis / elektronická značka/ elektronická pečeť certifikátu koncového uživatele jsou platné. verze 1.3 strana 29 / 72