Certifikač ní politika C EZ, a. s. pro interní subjekty

Certifikač ní politika C EZ, a. s. pro interní subjekty Tato certifikační politika se týká certifikátů vystavovaných interním subjektům ČEZ, a. s. a dceřiných společností ČEZ, a. s. CP OID: 1.3.6.1.4.1.36828.2.1.1.1.1.2 Verze CP: 1.1 Autoři: Petr Šetka, Mainstream Technologies, s.r.o. Petr Tesař, ČEZ, a. s. Dušan Křístek, ČEZ ICT Services, a. s. Historie změn Verze Datum vydání Poznámka 1.0 1. 3. 2011 Výchozí dokument 1.1 9. 8. 2012 Přidána nová šablona certifikátu CEZINT: Wireless Access Stránka 1 z 42

Obsah 1 Úvod... 9 1.1 Přehled... 9 1.2 Název dokumentu a identifikace... 9 1.3 Účastníci PKI... 9 1.3.1 Certifikační autority... 9 1.3.2 Registrační autority... 10 1.3.3 Žadatelé o certifikát... 10 1.3.4 Držitel certifikátu... 10 1.3.5 Spoléhající se strany... 10 1.3.6 Další zúčastněné subjekty... 10 1.4 Použití certifikátů... 10 1.4.1 Přípustné použití certifikátu... 10 1.4.2 Omezení použití certifikátu... 10 1.5 Správa politiky... 11 1.5.1 Organizace pověřená správou dokumentu... 11 1.5.2 Kontaktní osoba... 11 1.5.3 Osoba odpovědná za soulad CP s odpovídající CPS... 11 1.5.4 Postupy při schvalování CP... 11 1.6 Definice a zkratky... 11 2 Odpovědnost za zveřejňování a úložiště informací a dokumentace... 12 2.1 Úložiště informací a dokumentace... 12 2.2 Zveřejňování informací a dokumentace... 12 2.2.1 Zveřejňování certifikátů a CRL... 13 2.2.2 Zveřejňování informací o certifikačních autoritách... 13 2.3 Periodicita zveřejňování informací... 13 2.4 Řízení přístupů k jednotlivým typům úložišť... 13 3 Identifikace a ověření... 14 3.1 Pojmenování... 14 3.1.1 Typy jmen... 14 3.1.2 Požadavky na významovost jmen... 14 3.1.3 Anonymita a používání pseudonymu... 14 3.1.4 Pravidla pro interpretaci různých forem názvů... 14 3.1.5 Jedinečnost jmen... 14 Stránka 2 z 42

3.1.6 Obchodní značky... 14 3.2 Počáteční ověření identity... 14 3.2.1 Metody důkazu vlastnictví soukromého klíče... 14 3.2.2 Ověřování identity organizace... 15 3.2.3 Ověření identity žadatele o certifikát... 15 3.2.4 Neověřované informace o žadateli o certifikát... 16 3.2.5 Ověřování oprávnění... 16 3.2.6 Kritéria pro interoperabilitu (spolupráci)... 16 3.3 Identifikace a ověření požadavků na vydání následného certifikátu... 16 3.3.1 Identifikace a ověření požadavků při standardním vydání následného certifikátu... 16 3.3.2 Identifikace a ověření požadavků na vydání následného certifikátu po zneplatnění certifikátu o obnovu odvolaných certifikátů s novým párem klíčů... 17 3.4 Identifikace a ověření požadavků na zneplatnění certifikátu... 17 4 Požadavky na životní cyklus certifikátu... 17 4.1 Žádost o vystavení certifikátu... 17 4.1.1 Subjekty oprávněné podat žádost o vystavení certifikátu... 17 4.1.2 Proces vystavení certifikátu a odpovědnosti poskytovatele a žadatele... 17 4.2 Zpracování žádosti o certifikát... 19 4.2.1 Identifikace a ověření... 19 4.2.2 Přijetí nebo zamítnutí žádosti o certifikát... 19 4.2.3 Doba zpracování žádosti o certifikát... 19 4.3 Vystavení certifikátu... 19 4.3.1 Úkony CA při vystavování certifikátu... 19 4.3.2 Oznámení žadateli o vystavení certifikátu... 20 4.4 Převzetí vystaveného certifikátu... 20 4.4.1 Úkony spojené s převzetím certifikátu... 20 4.4.2 Zveřejnění certifikátu certifikační autoritou... 20 4.4.3 Oznámení jiným entitám o vystavení certifikátu... 20 4.5 Použití páru klíčů a certifikátu... 20 4.5.1 Soukromý klíč žadatele a přípustné použití certifikátu... 20 4.5.2 Veřejný klíč certifikátu a spoléhající se strany... 21 4.6 Prodloužení platnosti certifikátu... 21 4.7 Vystavení následného certifikátu... 21 4.7.1 Podmínky pro vydání následného certifikátu... 21 Stránka 3 z 42

4.7.2 Subjekty oprávněné požadovat následný certifikát... 21 4.7.3 Zpracování požadavku o následný certifikát... 21 4.7.4 Oznámení žadateli o vystavení nového certifikátu... 21 4.7.5 Úkony spojené s převzetím následného certifikátu... 21 4.7.6 Zveřejnění následného certifikátu certifikační autoritou... 21 4.7.7 Oznámení jiným entitám o vystavení certifikátu... 22 4.8 Změna údajů v certifikátu... 22 4.9 Zneplatnění a pozastavení platnosti certifikátu... 22 4.9.1 Podmínky pro zneplatnění certifikátu... 22 4.9.2 Subjekty oprávněné žádat o zneplatnění certifikátu... 22 4.9.3 Postup zneplatnění certifikátu... 22 4.9.4 Doba odkladu požadavku na zneplatnění certifikátu... 22 4.9.5 Doba, ve které musí dojít k zneplatnění certifikátu... 22 4.9.6 Povinnosti spoléhajících se stran při ověřování, zda byl certifikát zneplatněn... 22 4.9.7 Periodicita vydávání seznamu zneplatněných certifikátů (CRL)... 23 4.9.8 Maximální zpoždění při zveřejnění seznamu zneplatněných certifikátů (CRL)... 23 4.9.9 Možnost ověřování statutu certifikátu online... 23 4.9.10 Požadavky na ověřování statutu certifikátu online... 23 4.9.11 Jiné způsoby oznamování zneplatnění certifikátu... 23 4.9.12 Speciální požadavky pro zneužití klíčů... 23 4.9.13 Podmínky pro pozastavení platnosti certifikátu... 23 4.9.14 Subjekty oprávněné požadovat pozastavení platnosti certifikátu... 23 4.9.15 Zpracování požadavku na pozastavení platnosti certifikátu... 23 4.9.16 Omezení doby pozastavení platnosti certifikátu... 23 4.10 Služby související s ověřováním... 23 4.10.1 Funkční charakteristiky... 23 4.10.2 Dostupnost služeb... 24 4.10.3 Další možnosti... 24 4.11 Ukončení poskytování služeb pro držitele certifikátu... 24 4.12 Uchování a obnova klíčů... 24 4.12.1 Zásady a postupy pro uchování a obnovu klíčů... 24 4.12.2 Zásady a postupy zapouzdření šifrovacího klíče relace a jeho obnovení... 25 5 Management, provozní, fyzická a personální bezpečnosti... 25 5.1 Fyzické zabezpečení... 25 Stránka 4 z 42

5.1.1 Umístění a konstrukce... 25 5.1.2 Fyzický přístup... 25 5.1.3 Elektřina a klimatizace... 25 5.1.4 Vliv vody... 25 5.1.5 Protipožární opatření a ochrana... 25 5.1.6 Ukládání médií... 25 5.1.7 Nakládání s odpady... 25 5.1.8 Zálohy mimo budovu... 25 5.2 Procesní bezpečnost... 26 5.2.1 Důvěryhodné role... 26 5.2.2 Počet osob požadovaných pro jednotlivé činnosti... 26 5.2.3 Identifikace a ověření pro každou roli... 26 5.2.4 Role vyžadující rozdělení povinností... 26 5.3 Personální bezpečnost... 26 5.3.1 Požadavky na kvalifikaci, zkušenosti a bezúhonnost... 26 5.3.2 Posouzení spolehlivosti osob... 26 5.3.3 Požadavky na přípravu pro výkon role, vstupní školení... 26 5.3.4 Požadavky a periodicita školení... 26 5.3.5 Periodicita a posloupnost rotace pracovníků mezi různými rolemi... 27 5.3.6 Postihy za neoprávněné činnosti zaměstnanců... 27 5.3.7 Požadavky na nezávislé zhotovitele (dodavatele)... 27 5.3.8 Dokumentace poskytovaná zaměstnancům... 27 5.4 Auditní záznamy... 27 5.4.1 Typy zaznamenávaných událostí... 27 5.4.2 Periodicita zpracování záznamů... 27 5.4.3 Doba uchování auditních záznamů... 27 5.4.4 Ochrana auditních záznamů... 27 5.4.5 Postupy pro zálohování auditních záznamů... 27 5.4.6 Systém shromažďování auditních záznamů... 27 5.4.7 Postup při oznamování událostí subjektu, který ji způsobil... 27 5.4.8 Hodnocení zranitelnosti... 27 5.5 Archivace záznamů... 28 5.5.1 Typy záznamů... 28 5.5.2 Doba archivace záznamů... 28 Stránka 5 z 42

5.5.3 Ochrana úložiště pro archivaci záznamů... 28 5.5.4 Postupy při zálohování archivu záznamů... 28 5.5.5 Požadavky na použití časových razítek při archivaci záznamů... 28 5.5.6 Systém shromažďování archivovaných informací... 28 5.5.7 Postup získání a ověření archivovaných informací... 28 5.6 Výměna klíčů... 28 5.7 Obnova po havárii a kompromitaci... 28 5.7.1 Postup v případě incidentu a kompromitace... 29 5.7.2 Poškození výpočetních prostředků, softwaru nebo dat... 29 5.7.3 Postupy při kompromitaci soukromého klíče subjektu... 29 5.7.4 Schopnost obnovení činnosti po havárii... 29 5.8 Ukončení činnosti CA... 30 5.8.1 Ukončení činnosti kořenové CA... 30 5.8.2 Ukončení činnosti podřízených CA... 30 6 Technické zabezpečení... 30 6.1 Generování a instalace páru klíčů... 30 6.1.1 Generování páru klíčů... 30 6.1.2 Předání soukromého klíče žadateli... 31 6.1.3 Předání veřejného klíče vystaviteli certifikátu... 31 6.1.4 Předání veřejného klíče CA spoléhajícím se stranám... 31 6.1.5 Délky klíčů... 31 6.1.6 Generování parametrů veřejných klíčů a kontrola jejich kvality... 31 6.1.7 Účely použití klíčů... 31 6.2 Ochrana soukromých klíčů CA... 31 6.3 Další aspekty správy páru klíčů... 31 6.3.1 Archivace veřejných klíčů... 31 6.3.2 Doba platnosti certifikátů a doba platnosti klíčů... 31 6.4 Aktivační data... 32 6.4.1 Generování a instalace aktivačních dat... 32 6.4.2 Ochrana aktivačních dat... 32 6.4.3 Další aspekty aktivačních dat... 32 6.5 Počítačové zabezpečení... 32 6.5.1 Specifické technické požadavky na počítačové zabezpečení... 32 6.5.2 Hodnocení počítačového zabezpečení... 32 Stránka 6 z 42

6.6 Zabezpečení životního cyklu... 32 6.6.1 Řízení vývoje systému... 32 6.6.2 Kontroly řízení zabezpečení... 32 6.6.3 Řízení zabezpečení životního cyklu... 32 6.7 Síťové zabezpečení... 32 6.8 Časová razítka... 32 7 Profily certifikátů, seznamů CRL a OCSP... 33 7.1 Profil certifikátu... 33 7.1.1 Číslo verze... 33 7.1.2 Rozšíření certifikátu... 33 7.1.3 Identifikátory OID algoritmů... 37 7.1.4 Zápis jmen a názvů... 37 7.1.5 Omezení jmen a názvů... 37 7.1.6 OID certifikační politiky... 37 7.1.7 Rozšíření Policy Constraints... 37 7.1.8 Syntaxe a sémantika rozšíření Policy Qualifiers... 37 7.1.9 Způsob zápisu rozšíření Certificate Policies... 37 7.2 Profil seznamu zneplatněných certifikátů (CRL)... 37 7.2.1 Číslo verze... 38 7.2.2 Rozšiřující položky seznamu zneplatněných certifikátů a záznamů v něm... 38 7.3 Profil OCSP... 38 7.3.1 Číslo verze... 38 7.3.2 Rozšíření OCSP... 39 8 Audit... 39 8.1 Periodicita nebo okolnosti pro provedení hodnocení... 39 9 Ostatní obchodní a právní záležitosti... 39 9.1 Poplatky... 39 9.2 Finanční odpovědnost... 39 9.3 Důvěrnost obchodních informací... 39 9.4 Ochrana osobních údajů... 39 9.4.1 Politika ochrany osobních údajů... 39 9.4.2 Osobní údaje... 39 9.4.3 Údaje, které nejsou považovány za senzitivní... 39 9.4.4 Odpovědnost za ochranu osobních údajů... 39 Stránka 7 z 42

9.4.5 Souhlas se zpracováním osobních údajů... 40 9.4.6 Poskytnutí osobních údajů pro soudní či správní účely... 40 9.4.7 Jiné okolnosti zpřístupnění osobních údajů... 40 9.5 Práva duševního vlastnictví... 40 9.6 Zajištění a záruky... 40 9.6.1 Zajištění a záruky CA... 40 9.6.2 Zajištění a záruky RA... 40 9.6.3 Zajištění a záruky držitele certifikátu... 41 9.6.4 Zajištění a záruky spoléhajících se stran... 41 9.6.5 Zajištění a záruky ostatních subjektů... 41 9.7 Zřeknutí se záruk... 41 9.8 Omezení odpovědnosti... 41 9.9 Odpovědnost za škodu, náhrada škody... 41 9.10 Doba platnosti, ukončení platnosti... 41 9.10.1 Doba platnosti... 41 9.10.2 Ukončení platnosti... 41 9.10.3 Důsledky ukončení a přetrvání závazků... 41 9.11 Komunikace mezi zúčastněnými subjekty... 41 9.12 Změny... 41 9.12.1 Postup při změnách... 41 9.12.2 Postup při oznamování změn... 42 9.12.3 Okolnosti, při kterých musí být změněn identifikátor OID... 42 9.13 Řešení sporů... 42 9.14 Rozhodné právo... 42 9.15 Shoda s právními předpisy... 42 9.16 Další ustanovení... 42 9.16.1 Rámcová dohoda... 42 9.16.2 Postoupení práv... 42 9.16.3 Oddělitelnost ustanovení... 42 9.16.4 Zřeknutí se práv... 42 9.16.5 Vyšší moc... 42 9.17 Další opatření... 42 Stránka 8 z 42

1 Úvod Tento dokument představuje certifikační politiku společnosti ČEZ, a. s. Dokument odpovídá RFC 3647, některé části jsou proto uvedeny, i když se této certifikační politiky netýkají. 1.1 Přehled Tato CP popisuje požadavky, které musejí být splněny při práci s příslušnými certifikáty. Je určena pro budoucí i současné držitele certifikátů. 1.2 Název dokumentu a identifikace Název dokumentu Verze dokumentu CP 0.6 OID této certifikační politiky 1.3.6.1.4.1.36828.2.1.1.1.1.2. Datum vydání Datum platnosti Certifikační politika ČEZ, a. s. pro interní subjekty Do zneplatnění nebo do ukončení poskytování služeb certifikačních autorit ČEZ, a. s. 1.3 Účastníci PKI Poskytovatelem certifikačních služeb je ČEZ, a. s. který k tomuto účelu vybudoval infrastrukturu veřejných klíčů (dále jen PKI ČEZ, a. s. ). PKI ČEZ, a. s. je provozována společností ČEZ ICT Services, a. s. (dále jen Provozovatel certifikačních služeb ). V rámci PKI ČEZ, a. s. je provozována kořenová certifikační autorita CEZ Root CA a podřízené certifikační autority poskytující jednotlivé certifikační služby. Tato kapitola popisuje jednotlivé účastníky (subjekty) v rámci PKI ČEZ, a. s. Kontaktní a identifikační údaje poskytovatele certifikačních služeb: ČEZ, a. s. IČ 45274649, DIČ CZ45274649 Duhová 2 / 1444, 140 53 Praha 4 Tel: 841 842 843 e-mail: pki@cez.cz 1.3.1 Certifikační autority PKI ČEZ, a. s. je tvořena následující hierarchií certifikačních autorit (CA): CEZ Root CA je kořen hierarchie certifikačních autorit provozovaných v rámci PKI ČEZ, a. s. Úkolem CEZ Root CA je vydávat a spravovat certifikáty podřízených certifikačních autorit působících v rámci PKI hierarchie ČEZ, a. s. CEZ Internal CA je podřízená certifikační autorita, jejímž úkolem je vydávat certifikáty interním subjektům (zaměstnanci ČEZ, a. s. a jejich dceřiných společností, webové servery a jiná zařízení provozovaná ČEZ ICTS, a.s.). Výše uvedené certifikační autority musí splňovat podmínky popsané v této certifikační politice. Stránka 9 z 42

1.3.2 Registrační autority Registrační autorita (RA) je místo, kde dochází k ověření identity uživatele pro účel vydání certifikátu na token (čipovou kartu). Registrační autorita následně zprostředkovává proces vydání a předání certifikátu uživateli. RA také vystavené certifikáty zneplatňuje. 1.3.3 Žadatelé o certifikát Žadatelé o certifikát jsou objekty (uživatelské účty, počítače, aplikace, služby), které požádaly o vystavení certifikátu. V některých případech může být žadatelem jiná entita, než pro kterou je certifikát určen (například při vystavování certifikátů zapsaných na token pro uživatele nebo při vystavování certifikátů pro webové servery, o které žádají jejich správci). V takovém případě je žadatelem osoba podávající žádost o certifikát, entita, jíž bude certifikát patřit, je pak označována jako předmět (subjekt). Odpovědnost za takto vystavený certifikát nese vždy žadatel. 1.3.4 Držitel certifikátu Držitel certifikátu je subjekt, který požádal nebo prostřednictvím kterého bylo požádáno o vydání certifikátu a kterému byl vydán certifikát vydán. 1.3.5 Spoléhající se strany Spoléhající se stranou je obecně entita spoléhající se na certifikát vystavený CA. 1.3.6 Další zúčastněné subjekty Nejsou uplatněny. 1.4 Použití certifikátů 1.4.1 Přípustné použití certifikátu Certifikáty vystavené vydávající certifikační autoritou CEZ Internal CA v souladu s touto certifikační politikou slouží k: Zajištění integrity dat Zajištění neodmítnutelnosti odpovědnosti Zajištění důvěrnosti dat Ustanovení sdíleného tajemství (klíče) v rámci protokolu pro bezpečnou výměnu dat Přímé šifrování a dešifrování dat Podepisování a ověření certifikátů Podepisování a ověřování CRL Podepisování a ověřování časových razítek V případech použití certifikátu (resp. privátního klíče s ním spojeného) pro tyto účely se vlastní použití řídí příslušnými standardy. 1.4.2 Omezení použití certifikátu Certifikáty podléhající této certifikační politice lze využít pouze v infrastruktuře poskytovatele certifikačních služeb (a/nebo spřízněných organizací), jenž certifikát vystavil, nebo pro přístup k aplikacím, které poskytovatel certifikačních služeb (a/nebo spřízněná organizace) vlastní či provozuje. Certifikáty nelze používat v rozporu s platnými právními předpisy. Stránka 10 z 42

1.4.2.1 Spřízněná organizace Spřízněnou organizací je myšlena organizace majetkové propojená s poskytovatelem certifikačních služeb (ČEZ, a. s.). 1.5 Správa politiky 1.5.1 Organizace pověřená správou dokumentu Za správu této certifikační politiky odpovídá poskytovatel certifikačních služeb - ČEZ, a. s., IČ 45274649, se sídlem Duhová 2/1444, 140 53 Praha 4. 1.5.2 Kontaktní osoba Kontaktní osobou pro účely správy této certifikační politiky je CA Administrátor. Další informace je možné získat na e-mailové adrese pki@cez.cz a na webové adrese poskytovatele certifikačních služeb http://pki.cez.cz. 1.5.3 Osoba odpovědná za soulad CP s odpovídající CPS Za vhodnost a soulad této certifikační politiky s příslušnou certifikační prováděcí směrnicí odpovídá CA Administrátor. 1.5.4 Postupy při schvalování CP Tato certifikační politika je spravována v souladu s interními pravidly poskytovatele certifikačních služeb. Nové verze certifikační politiky vznikají podle potřeby, zejména však při změně konfigurace CA, šablon certifikátů či souvisejících postupů, které ovlivní její obsah, nebo pokud jakékoli jiné okolnosti její úpravu vyžadují. CP schvaluje CA Administrátor. 1.6 Definice a zkratky Následující tabulka obsahuje definice použitých názvů a zkratek. Zkratka CA CP CPS CA ČEZ HSM Žadatel Subjekt Držitel certifikátu Poskytovatel certifikačních služeb Provozovatel certifikačních služeb CRL Karta zaměstnance Definice Certifikační autorita entita vystavující certifikáty na základě schválených žádostí., generující seznamy CRL Certifikační politika Certifikační prováděcí směrnice Skupina zahrnující všechny certifikační a registrační autority provozované ČEZ, a. s. Hardware Secure Module Entita odesílající žádost certifikační autoritě o vystavení certifikátu Entita, pro kterou byl certifikát vystaven nebo je vystavován Entita, která certifikát vlastní a využívá jej při své činnosti Společnost ČEZ, a. s. Společnost ČEZ ICT Services, a. s. Seznam zneplatněných certifikátů Identifikační karta zaměstnance společnosti ČEZ, a. s., nebo její dceřiné společnosti Stránka 11 z 42

Security World Certifikát (v oblasti PKI) Nadřízený certifikát Kořenový nadřízený certifikát Následný certifikát Prvotní certifikát Párové klíče Statut certifikátu Pozastavený certifikát Zablokovaný certifikát Zneplatněný certifikát Expirovaný certifikát Vysoce zabezpečené a vysoce dostupné prostředí tvořené více moduly HSM a chráněné operátorskými kartami s fragmenty přístupových klíčů. Výpadek jednoho boxu HSM neznamená přerušení komunikace se soukromými klíči, které jsou tímto prostředím chráněny Je datová zpráva, která je vydána CA, spojuje veřejný klíč (=data pro ověřování elektronických podpisů) s podepisující osobou a umožňuje ověřit její identitu. Certifikát, s nímž spojené párové klíče slouží k podepisování a ověřování certifikátů nebo časových razítek. Nadřízený certifikát, který je podepsán privátním klíčem příslušným veřejnému klíči uvedenému v tomto certifikátu (angl. self-signed). Je na vrcholu hierarchie důvěry. V rámci PKI ČEZ, a s. je pouze u CEZ Root CA. Certifikát, který byl vydán podepisující osobě na základě nové žádosti o certifikát elektronicky podepsané platným privátním klíčem souvisejícím s již vydaným certifikátem, ke kterému je vydán tento následný certifikát, ať již z důvodu výměny veřejného klíče nebo navíc i změny některých údajů v certifikátu. Certifikát, který není vydáván jako následný certifikát. Vzájemně svázaná dvojice klíčů pro vytváření digitálních podpisů (soukromý klíč) a pro ověřování digitálních podpisů (veřejný klíč). Veřejné klíče jsou vesměs publikovány v certifikátech spolu s dalšími údaji zejména o identitě podepisujícího subjektu. Stav, ve kterém se certifikát nachází, tj. platný, zneplatněný, zablokovaný, pozastavený, expirovaný. Certifikát ve stavu, kdy jej nelze používat pro ověřování digitálních podpisů a příslušný soukromý klíč nelze používat pro vytváření digitálních podpisů, nicméně vydávající CA jej může učinit znovu platným. Stav, ve kterém se certifikát nachází od okamžiku, kdy jej CA, která jej vydala, zneplatnila do doby, kdy tato CA zveřejnila CRL, ve kterém je tento certifikát poprvé zařazen. Certifikát, který byl CA, která jej vydala, zneplatněn bez možnosti obnovení platnosti. Certifikát po skončení doby platnosti uvedené v tomto certifikátu. 2 Odpovědnost za zveřejňování a úložiště informací a dokumentace 2.1 Úložiště informací a dokumentace Za zabezpečení úložiště informací a dokumentace odpovídá společnost ČEZ, a. s., jako poskytovatel certifikačních služeb. 2.2 Zveřejňování informací a dokumentace Vystavené certifikáty jsou uloženy v databázích certifikačních autorit ČEZ, a. s. Informace o vystavených certifikátech, o provozu certifikačních autorit a dokumentaci CA jsou zveřejňovány v dále uvedeném rozsahu. Stránka 12 z 42

2.2.1 Zveřejňování certifikátů a CRL Certifikáty kořenové certifikační autority a podřízených certifikačních autorit jsou zveřejňovány: V interním úložišti Active Directory společnosti Na webové stránce poskytovatele na adrese http://pki.cez.cz V souborovém systému certifikačních autorit Certifikáty vystavené koncovým uživatelům nejsou veřejné. Seznamy zneplatněných certifikátů (CRL) kořenové certifikační autority a podřízené certifikační autority jsou zveřejňovány: V interním úložišti Active Directory společnosti: Na webové stránce na adrese http://pki.cez.cz V souborovém systému certifikačních autorit 2.2.2 Zveřejňování informací o certifikačních autoritách Certifikační politiky, certifikační prováděcí směrnice, případně další dokumenty týkající se provozu certifikační autorit v rámci PKI ČEZ, a. s. jsou zveřejňovány na webové stránce: http://pki.cez.cz 2.3 Periodicita zveřejňování informací Informace jsou zveřejňovány v následujících intervalech: Seznam CRL kořenové certifikační autority CEZ Root CA je zveřejňován ihned po jeho vygenerování, nejpozději však před koncem platnosti předchozího seznamu CRL, tj. alespoň jednou za 365 dnů Seznam CRL podřízené certifikační autority CEZ Internal CA je zveřejňován ihned po jeho vygenerování, obvykle jednou denně, nejpozději však jednou za 4 dny Nadřízené certifikáty v rámci PKI ČEZ, a. s. jsou zveřejňovány ihned po jejich vystavení nebo obnovení Certifikační politika je zveřejňována po schválení a vydání nové verze, vždy však před počátkem platnosti daného dokumentu Certifikační prováděcí směrnice (CPS) není zveřejňována; je zveřejňována pouze její aktuální verze a CPS je dostupná individuálně na vyžádání 2.4 Řízení přístupů k jednotlivým typům úložišť Certifikační politika, certifikační prováděcí směrnice, certifikáty kořenových CA a seznamy odvolaných certifikátů (CRL) jsou přístupné pro čtení bez jakéhokoli omezení. Úprava zveřejněných údajů je povolena pouze autorizované osobě a procesům certifikačních autorit ČEZ, a. s. Stránka 13 z 42

3 Identifikace a ověření 3.1 Pojmenování 3.1.1 Typy jmen Název subjektu v certifikátu je vytvořen podle standardu X.501, e-mailová adresa (je-li v certifikátu obsažena) odpovídá standardu RFC 822. 3.1.2 Požadavky na významovost jmen Certifikáty pro uživatele obsahují jejich jména v běžné formě, aby bylo možné jednoduše určit subjekt certifikátu. U certifikátů pro technické zařízení je v položce subjekt uveden název technického zařízení (tzv. host name) název nebo úplný název technického zařízení v doméně. Nadřízené certifikáty obsahují takové názvy, aby z nich bylo možné určit identitu CA. 3.1.3 Anonymita a používání pseudonymu Certifikační autority v rámci PKI infrastruktury ČEZ, a. s. nepodporují použití pseudonymu žadatele o certifikát v položce Subject certifikátu. 3.1.4 Pravidla pro interpretaci různých forem názvů V certifikátech vydávaných certifikačními autoritami ČEZ, a. s. jsou podporovány pouze následující znakové sady: UTF8 US ASCII E-mailová adresa uvedená v rozšíření Subject Alternative Name certifikátu může být kódována pouze znakovou sadou US ASCII. 3.1.5 Jedinečnost jmen Certifikáty mají přiřazen jedinečný identifikátor SerialNumber. Subjekt může disponovat více certifikáty se shodným názvem v položce Subject (a různým SerialNumber ). Dále mohou existovat i certifikáty různých držitelů se shodným názvem (například v případě shody jmen uživatelů). 3.1.6 Obchodní značky Žadatelé o certifikát nesmí při podávání žádosti o certifikát uvádět ve svých názvech žádná slova či označení, která představují duševní vlastnictví jiných osob, nebo která nemají oprávnění užívat. Odpovědnost za dodržení tohoto ustanovení nese žadatel o certifikát. 3.2 Počáteční ověření identity 3.2.1 Metody důkazu vlastnictví soukromého klíče Žadatel o certifikát musí dokázat, že vlastní soukromý klíč tím, že certifikační autoritě dodá elektronickou žádost o certifikát ve formátu PKCS#10 (tato žádost je podepsána soukromým klíčem odpovídající veřejnému klíči uvedenému v žádosti) nebo jinou ekvivalentní kryptografickou metodou. Tento požadavek se neuplatní, je-li pár kryptografických klíčů generován v zastoupení žadatele o certifikát, například při generování klíčů na tokenu. V tomto případě je vyžadována osobní účast a ověření identity žadatele o certifikát (subjektu) na pracovišti registrační autority (RA). Stránka 14 z 42

Vygenerování kryptografického páru klíčů a žádosti o certifikát proběhne přímo na pracovišti registrační autority (RA) za účasti žadatele o certifikát. 3.2.2 Ověřování identity organizace Neprovádí se. 3.2.3 Ověření identity žadatele o certifikát Ověření identity individuálních žadatelů o certifikát je závislé na typu vystavovaného certifikátu, a probíhá takto: Šablona (typ) certifikátu Zásady vystavení (OID) Postup ověření identity CEZINT: S/MIME Signature 1.3.6.1.4.1.36828.2.1.1.1.1.2 Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) CEZINT: S/MIME Encryption CEZINT: S/MIME Signature Smartcard CEZINT: S/MIME Encryption Smartcard 1.3.6.1.4.1.36828.2.1.1.1.1.2 Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) 1.3.6.1.4.1.36828.2.1.1.1.1.2 Žadatel o certifikát se musí osobně dostavit na pracoviště registrační autority (RA) a prokázat se Operátorovi RA platnou kartou zaměstnance. Operátor RA kontroluje platnost karty zaměstnance a shodu fotografie na kartě zaměstnance se skutečností. 1.3.6.1.4.1.36828.2.1.1.1.1.2 Žadatel o certifikát se musí osobně dostavit na pracoviště registrační autority (RA) a prokázat se Operátorovi RA platnou kartou zaměstnance. Operátor RA kontroluje platnost karty zaměstnance a shodu fotografie na kartě zaměstnance se skutečností. CEZINT: Web Server 1.3.6.1.4.1.36828.2.1.1.1.1.2 Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) CEZINT: Wireless Access 1.3.6.1.4.1.36828.2.1.1.1.1.2 Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) CEZINT: RA Enrollment Agent Smartcard 1.3.6.1.4.1.36828.2.1.1.1.1.2 Žadatel o certifikát se musí osobně dostavit na pracoviště registrační autority (RA), ověřit se v Active Directory a prokázat se osobě Certificate Manager platnou kartou zaměstnance. Certificate Manager kontroluje platnost karty zaměstnance a shodu fotografie na kartě zaměstnance se skutečností. Stránka 15 z 42

Šablona (typ) certifikátu Zásady vystavení (OID) Postup ověření identity CEZINT: Enrollment Agent Smartcard 1.3.6.1.4.1.36828.2.1.1.1.1.2 Žadatel o certifikát se musí osobně dostavit na pracoviště registrační autority (RA) a prokázat se osobě Operátor RA (která je zároveň držitelem certifikátu vystaveného na základě šablony CEZINT: RA Enrollment Agent Smartcard) platnou kartou zaměstnance. Operátor Ra kontroluje platnost karty zaměstnance a shodu fotografie na kartě zaměstnance se skutečností. CEZINT: Key Recovery Agent Domain Controller Authentication Directory Email Replication Stránka 16 z 42 1.3.6.1.4.1.36828.2.1.1.1.1.2 Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) 1.3.6.1.4.1.36828.2.1.1.1.1.2 Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) 1.3.6.1.4.1.36828.2.1.1.1.1.2 Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) 3.2.4 Neověřované informace o žadateli o certifikát RA nezodpovídá za správnost ostatních atributů certifikátu vyjma CN, C, T, E, a případně AN. 3.2.5 Ověřování oprávnění Pokud žadatel žádá o vydání certifikátu, který zajišťuje speciální oprávnění, např. oprávnění pro operátora RA, musí předložit písemný dokument/dokumenty vlastnoručně podepsané odpovědným řídícím pracovníkem, na základě kterých bude moci operátor RA tyto skutečnosti věrohodně ověřit. Žadatelé o vydání nadřízených certifikátů, pokud nejsou přímo Administrátorem CA, musí hodnověrným způsobem prokázat, že jsou oprávněni žádat o vydání nadřízených certifikátů. 3.2.6 Kritéria pro interoperabilitu (spolupráci) Spolupráce s jinými poskytovateli certifikačních služeb je možná po schválení Bezpečnostním garantem CA a na základě uzavřené písemné smlouvy. 3.3 Identifikace a ověření požadavků na vydání následného certifikátu Proces obnovy certifikátů vydáním následného certifikátu (angl. re-key ) představuje vygenerování nového páru klíčů (pro nahrazení páru klíčů, který vyprší) a následné předání žádosti o certifikát certifikační autoritě. 3.3.1 Identifikace a ověření požadavků při standardním vydání následného certifikátu U certifikátů, jejichž žadatelé se při jeho prvotním vystavení ověřují v adresářové službě, nedochází při procesu vydávání následného certifikátu k žádnému dalšímu ověření nad rámec adresářové služby. U certifikátů zapsaných na tokeny zasílá Držitel certifikátu žádost o vystavení následného certifikátu podepsanou soukromým klíčem příslušným k platnému a obnovovanému certifikátu. V takovém

případě se identita držitele neověřuje. Nevyužije-li Držitel tuto možnost (zaslat žádost o vystavení certifikátu podepsanou soukromým klíčem platného certifikátu), musí se na pracovišti RA identifikovat Operátorovi stejným způsobem jako při vystavení prvotního certifikátu. 3.3.2 Identifikace a ověření požadavků na vydání následného certifikátu po zneplatnění certifikátu o obnovu odvolaných certifikátů s novým párem klíčů Pokud byl certifikát zneplatněn, provede se identifikace a ověření žadatele o následný certifikát jako v případě, kdy žadatel žádá o vydání prvotního certifikátu. 3.4 Identifikace a ověření požadavků na zneplatnění certifikátu O zneplatnění požadavku může požádat držitel certifikátu. Držitel certifikátu, který žádá o zneplatnění certifikátu, prokáže svoji totožnost ověřením identity v adresářové službě Active Directory a následném zadání požadavku na zneplatnění certifikátu do interního systému Service Desk. V požadavku na zneplatnění uvede sériové číslo certifikátu a jméno subjektu certifikátu. Ke zneplatnění certifikátu držitele může dojít také z vůle poskytovatele certifikačních služeb. V takovém případě je oprávněným žadatelem o zneplatnění certifikátu Bezpečnostní garant CA. 4 Požadavky na životní cyklus certifikátu 4.1 Žádost o vystavení certifikátu 4.1.1 Subjekty oprávněné podat žádost o vystavení certifikátu Žádost o vystavení certifikátu mohou podle této certifikační politiky podávat: Subjekty ověřené v adresářové službě Active Directory Autorizované osoby provozovatele certifikačních služeb 4.1.2 Proces vystavení certifikátu a odpovědnosti poskytovatele a žadatele 4.1.2.1 Certifikáty pro koncové uživatele Šablona (typ) certifikátu Vystavení certifikátu CEZINT: S/MIME Signature Automatické vystavení certifikátu (tzv. Auto enrollment ) CEZINT: S/MIME Encryption Automatické vystavení certifikátu (tzv. Auto enrollment ) CEZINT: S/MIME Signature Certifikát na token vystaví a token žadateli na RA předá Smartcard Operátor RA po ověření identity Žadatele a ověření existence CEZINT: S/MIME Encryption schváleného požadavku v aplikaci Service Desk. Smartcard CEZINT: Wireless Access Automatické vystavení certifikátu (tzv. Auto enrollment ) CEZINT: Web Server Proces vystavení certifikátu se skládá z následujících kroků: Vyplnění elektronické žádosti o certifikát webového serveru (webová aplikace, místní aplikace) a generování páru klíčů provede správce příslušného serveru Doručení žádosti o certifikát obsahující veřejný klíč certifikační autoritě Ujištění o vlastnictví soukromého klíče Schválení žádosti a vystavení certifikátu provede Stránka 17 z 42

Šablona (typ) certifikátu CEZINT: RA Enrollment Agent Smartcard CEZINT: Enrollment Agent Smartcard CEZINT: Key Recovery Agent Domain Controller Authentication Directory Email Replication Vystavení certifikátu certifikační autorita automaticky Předání (doručení) certifikátu žadateli. Žadatel o tento certifikát podá žádost o certifikát na pracovišti RA (je tím ověřen v Active Directory). Žádost schválí Certificate Manager po ověření identity žadatele, poté žadatel žádost dokončí. Certifikát na token vystaví a token žadateli na RA předá Operátor RA po ověření identity Žadatele. Žadatel o tento certifikát požádá prostřednictvím aplikace S*Key na počítači RA. Žádost schválí Certificate Manager po ověření identity všech držitelů čipových karet s fragmentem soukromého klíče KRA. Automatické vystavení certifikátu (tzv. Auto enrollment ) Automatické vystavení certifikátu (tzv. Auto enrollment ) 4.1.2.2 Nadřízené certifikáty Proces vystavení nadřízených certifikátů v rámci PKI ČEZ, a. s. probíhá v rámci ceremoniálu generování klíčů za účasti osob v bezpečnostních rolích PKI. Odpovědnost za organizaci a průběh ceremoniálu má Bezpečnostní garant CA. 4.1.2.3 Odpovědnosti poskytovatele certifikačních služeb Poskytovatel certifikačních služeb je zejména povinen: V procesu registrace žadatele o certifikát ověřit správnost údajů v žádosti Do dvou pracovních dnů od podání žádosti posoudit žádost o certifikát (resp. žádost o následný certifikát), vydat rozhodnutí, zda bude certifikát vydán, a o tomto rozhodnutí informovat žadatele o certifikát Vydat certifikát obsahující věcně správné údaje Zveřejňovat důležité dokumenty vztahující se životnímu cyklu vydávaných certifikátů (zejména CP, CPS) na webových stránkách poskytovatele certifikačních služeb Zveřejnit nadřízené certifikáty kořenové certifikační autority CEZ Root CA a podřízených certifikačních autorit, aby se každý mohl ujistit o identitě poskytovatele certifikačních služeb Poskytovat certifikační služby v souladu s platnými právními předpisy a v souladu s dokumentací PKI (certifikační politika, certifikační prováděcí směrnice, systémová bezpečnostní politika a s ostatní provozní dokumentace) 4.1.2.4 Odpovědnosti žadatele Žadatel je povinen zejména: Poskytovat pravdivé a úplné informace při podání žádosti o prvotní certifikát (nebo následný certifikát) Zkontrolovat, zda jsou údaje uvedené v certifikátu správné Nakládat se soukromým klíčem, který odpovídá veřejnému klíči v certifikátu tak, aby nemohlo dojít k jeho neoprávněnému zneužití Užívat soukromý klíč a odpovídající certifikát pouze pro účely stanovené v této certifikační politice Stránka 18 z 42

V případě podezření na zneužití soukromého klíče neprodleně informovat poskytovatele certifikačních služeb, požádat o zneplatnění certifikátu a ukončit používání příslušného soukromého klíče Seznámit se s certifikační politikou a další dokumentací týkající se používání certifikačních služeb 4.2 Zpracování žádosti o certifikát 4.2.1 Identifikace a ověření Každý žadatel o certifikát, ať již z pozice žadatele či budoucího vlastníka certifikátu, musí být identifikován a ověřen v adresářové službě Active Directory cezdata.corp. Žadatelé o certifikáty zapsané na tokeny se musí osobně dostavit na pracoviště registrační autority (RA), kde je jejich identita ověřena na základě fotografie na zaměstnanecké kartě. 4.2.2 Přijetí nebo zamítnutí žádosti o certifikát Žádosti o certifikáty vystavované automaticky (tzv. autoenrollment) probíhají pro ověřené subjekty taktéž automaticky, subjekt je nemůže nijak ovlivnit. Žádosti o certifikáty podané subjektem budou automaticky přijaty, je-li subjekt ověřen v adresářové službě Active Directory cezdata.corp a má-li oprávnění o certifikát požádat. V opačném případě nelze žádost podat. Žádosti o certifikáty uložené na tokenech přijímá Operátor RA po úspěšném ověření identity Žadatele na pracovišti RA pomocí karty zaměstnance a současně při existenci schváleného požadavku žadatele o takový certifikát v aplikaci Service Desk. Při neověření identity Žadatele, absenci schváleného požadavku v aplikaci Service Desk či pochybnostech je Operátor RA oprávněn žádost o certifikát odmítnout. 4.2.3 Doba zpracování žádosti o certifikát Rozhodnutí o vydání certifikátu na základě žádosti je poskytovatel certifikačních služeb povinen učinit do dvou pracovních dnů. Do následujícího pracovního dne je pak v případě kladného rozhodnutí poskytovatel povinen certifikát vystavit. Žádosti o certifikáty vystavované automaticky (tzv. auto enrollment) jsou schvalovány ihned po ověření identity subjektu. 4.3 Vystavení certifikátu 4.3.1 Úkony CA při vystavování certifikátu Certifikáty vystavované automaticky (tzv. autoenrollment) budou certifikační autoritou vystaveny ihned po úspěšném ověření subjektu v Active Directory a dokončení procesu žádosti o certifikát, který je spuštěn taktéž automaticky. Certifikáty pro webové servery a řadiče domény budou certifikační autoritou vystaveny ihned po úspěšném ověření subjektu v Active Directory a autorizaci jeho požadavku na základě oprávnění žádat o certifikát. Certifikáty zapsané na tokeny budou certifikační autoritou vystaveny ihned po úspěšném ověření subjektu a dokončení procesu žádosti o certifikát, který spouští interaktivně agent. Stránka 19 z 42

Ostatní certifikáty vystaví certifikační autorita ihned po schválení žádosti oprávněnou osobou. 4.3.2 Oznámení žadateli o vystavení certifikátu Žadatelům o certifikát se odesílá oznámení v případě, byla-li žádost o vystavení certifikátu odmítnuta. Oznámení odesílá aplikace Service Desk. 4.4 Převzetí vystaveného certifikátu 4.4.1 Úkony spojené s převzetím certifikátu Certifikáty vystavené automaticky (tzv. auto enrollment) se automaticky instalují na koncové zařízení žadatele. Certifikáty pro webové servery a certifikáty vystavené po schválení oprávněné osoby budou, je-li to nutné, neprodleně předány subjektům v elektronické podobě (např. prostřednictvím elektronické pošty). Certifikáty zapsané na tokenech se přebírají osobním převzetím tokenu od operátora RA. Žadatel o certifikát je povinen zkontrolovat správnost údajů uvedených v certifikátu. V případě certifikátu uloženého na tokenech, podepisuje žadatel protokol o převzetí certifikátu, ve kterém je obsaženo rovněž upozornění na povinnosti, které z používání certifikátu vyplývají. 4.4.2 Zveřejnění certifikátu certifikační autoritou Certifikační autorita CEZ Internal CA nezveřejňuje vystavené certifikáty koncových uživatelů. Certifikáty vystavené certifikační autoritou CEZ Root CA (tj. nadřízené certifikáty) jsou zveřejněny v adresářové službě a na webových stránkách poskytovatele certifikačních služeb (viz kapitola 2.2.1). 4.4.3 Oznámení jiným entitám o vystavení certifikátu Žádným jiným entitám (subjektům) se neoznamuje informace o vystavení certifikátu. 4.5 Použití páru klíčů a certifikátu 4.5.1 Soukromý klíč žadatele a přípustné použití certifikátu Soukromé klíče odpovídající certifikátům vystavovaných dle této CP jsou uloženy: V chráněných softwarových úložištích Na tokenech, nebo V hardwarovém modulu (HSM) Držitel certifikátu je povinen nakládat se svým soukromým klíčem odpovídajícím certifikátu vystavenému v souladu s touto certifikační politikou tak, aby nemohlo dojít k jeho neoprávněnému zneužití. V případě ztráty, odcizení nebo podezření na zneužití soukromého klíče je držitel certifikátu povinen o této skutečnosti neprodleně informovat poskytovatele certifikačních služeb a zároveň ukončit používání takového soukromého klíče. Stránka 20 z 42

4.5.2 Veřejný klíč certifikátu a spoléhající se strany Uživatel certifikátu (spoléhající se strana) vydaného certifikační autoritou CEZ Internal CA podle této certifikační politiky je povinen: Získat nadřízené certifikáty ČEZ, a. s., které jsou v hierarchii certifikátu, z důvěryhodného zdroje (např. webové stránky poskytovatele certifikačních služeb) Před použitím certifikátu ověřit jeho platnost, stejně jako platnost certifikátů certifikačních autorit, vůči aktuálnímu seznamu zneplatněných certifikátů (CRL) Zvážit vhodnost použití certifikátu k zamýšlenému účelu, Spoléhající se strana použije veřejný klíč z certifikátu k verifikování příslušného digitálního podpisu. V případě platnosti digitálního podpisu a platnosti certifikátu může spoléhající strana předpokládat, že předmětný digitální podpis vytvořila entita, která je uvedena v tomto certifikátu. 4.6 Prodloužení platnosti certifikátu Certifikátům vydaným podle této CP nelze prodlužovat dobu platnosti. 4.7 Vystavení následného certifikátu 4.7.1 Podmínky pro vydání následného certifikátu Žadatel musí požádat o vystavení následného certifikátu před vypršením platnosti certifikátu, ke kterému žádá o následný certifikát. 4.7.2 Subjekty oprávněné požadovat následný certifikát Požádat o vystavení následného certifikátu mohou koncové subjekty nebo oprávněné osoby poskytovatele certifikačních služeb. 4.7.3 Zpracování požadavku o následný certifikát Požadavky na vystavení následných certifikátů vystavovaných automaticky (tzv. autoenrollment) budou zpracovány certifikační autoritou automaticky na základě ověření subjektu nebo žadatele v adresářové službě Active Directory. Požadavky na vystavení následných certifikátů vyžadující ruční schválení žádosti (certifikáty na tokenech) proběhnou ihned po schválení takové žádosti oprávněnou osobou poskytovatele certifikačních služeb. Při schvalování žádosti se postupuje v souladu s ustanoveními v článku 4.2. 4.7.4 Oznámení žadateli o vystavení nového certifikátu Žadatelům o certifikát se neodesílá žádné oznámení. 4.7.5 Úkony spojené s převzetím následného certifikátu Certifikáty vystavené automaticky se nepřebírají (jsou automaticky uloženy v chráněném úložišti subjektu), certifikáty vystavené po schválení oprávněné osoby budou subjektům neprodleně předány v elektronické podobě. 4.7.6 Zveřejnění následného certifikátu certifikační autoritou Certifikační autorita CEZ Internal CA nezveřejňuje vystavené certifikáty koncových uživatelů. Certifikáty autorit vystavené certifikační autoritou CEZ Root CA jsou zveřejněny v adresářové službě Active Directory a na webových stránkách poskytovatele certifikačních služeb (viz kapitola 2.2.1). Stránka 21 z 42

4.7.7 Oznámení jiným entitám o vystavení certifikátu Žádným entitám se neoznamuje informace o vystavení certifikátu. 4.8 Změna údajů v certifikátu Podle této CP není podporováno žádné vystavení dalšího nového certifikátu na párové klíče, které příslušely již jednou vystavenému certifikátu. 4.9 Zneplatnění a pozastavení platnosti certifikátu Platnost certifikátu je ukončena v okamžiku jeho zneplatnění a zveřejnění na seznamu zneplatněných certifikátů (CRL). Platnost certifikátu taktéž skončí (i bez zneplatnění) v čase uvedeném v certifikátu. 4.9.1 Podmínky pro zneplatnění certifikátu Důvody pro zneplatnění certifikátu jsou následující: Podezření z kompromitace odpovídajícího soukromého klíče Žádost držitele certifikátu Ukončení zaměstnaneckého poměru subjektu v ČEZ, a. s. nebo v dceřiné společnosti ČEZ Na základě zjištění CA ČEZ nebo spolupracujících subjektů se věcný obsah certifikátu stane neplatným Porušení ustanovení certifikační politiky ze strany držitele certifikátu Dojde ke kompromitaci soukromého klíče CEZ Internal CA, která certifikát vydala 4.9.2 Subjekty oprávněné žádat o zneplatnění certifikátu O zneplatnění certifikátu vydaného CEZ Internal CA může požádat jeho držitel a jeho nadřízený nebo správce certifikátů certifikační autority, který certifikát vystavila (osoba v roli Certificate manager). O zneplatnění nadřízených certifikátů vydaných CEZ Root CA může požádat Bezpečnostní garant CA. 4.9.3 Postup zneplatnění certifikátu 4.9.3.1 Postup pro zneplatnění certifikátů koncových uživatelů Držitel certifikátů nebo jeho nadřízený předá žádost o zneplatnění certifikátu prostřednictvím aplikace Service Desk správci certifikátů certifikační autority, který certifikát vystavila. Správce certifikátů CA poté spustí proces zneplatnění certifikátu. Správce certifikátů CA může taktéž spustit proces zneplatnění certifikátu bez žádosti jeho držitele. 4.9.3.2 Postup pro zneplatnění nadřízených certifikátů O zneplatnění nadřízených certifikátů může požádat Bezpečnostní garant CA. 4.9.4 Doba odkladu požadavku na zneplatnění certifikátu Požadavky na zneplatnění certifikátu by měly být předány bez prodlení v co nejkratší době po identifikaci skutečnosti, která je důvodem pro zneplatnění certifikátu. 4.9.5 Doba, ve které musí dojít k zneplatnění certifikátu Správce certifikátů CA provede zneplatnění certifikátu a zveřejnění seznamu zneplatněných certifikátů (CRL) s tímto certifikátem nejpozději do 2 pracovních dnů od přijetí žádosti. 4.9.6 Povinnosti spoléhajících se stran při ověřování, zda byl certifikát zneplatněn Viz odstavec 4.5.2. Stránka 22 z 42

4.9.7 Periodicita vydávání seznamu zneplatněných certifikátů (CRL) Seznam zneplatněných certifikátů (CRL) vydávající certifikační autority CEZ Internal CA je vydáván jednou denně s dobou platnosti 4 dny. Seznam zneplatněných certifikátů kořenové certifikační autority CEZ Root CA je vydáván každých 350 až 365 dnů s platností 365 dnů. Pokud vyprší platnost zneplatněného certifikátu, je z následných seznamů zneplatněných certifikátů vypuštěn. Seznam zneplatněných certifikátů (CRL) je zveřejňován na následujících místech: Na webových stránkách poskytovatele certifikačních služeb http://pki.cez.cz V adresářové službě Active Directory Primárním zdrojem aktuálního CRL je adresářová služba Active Directory. 4.9.8 Maximální zpoždění při zveřejnění seznamu zneplatněných certifikátů (CRL) Seznamy zneplatněných certifikátů (CRL) jsou zveřejňovány bez zbytečného odkladu ihned po jejich vydání. 4.9.9 Možnost ověřování statutu certifikátu online Není poskytováno. 4.9.10 Požadavky na ověřování statutu certifikátu online Žádné ustanovení. 4.9.11 Jiné způsoby oznamování zneplatnění certifikátu Nejsou poskytovány. 4.9.12 Speciální požadavky pro zneužití klíčů Nejsou stanoveny. 4.9.13 Podmínky pro pozastavení platnosti certifikátu Certifikátům vydaným podle této CP nelze pozastavit platnost. 4.9.14 Subjekty oprávněné požadovat pozastavení platnosti certifikátu Není poskytováno. 4.9.15 Zpracování požadavku na pozastavení platnosti certifikátu Není poskytováno. 4.9.16 Omezení doby pozastavení platnosti certifikátu Není poskytováno. 4.10 Služby související s ověřováním 4.10.1 Funkční charakteristiky Statut certifikátu lze zjistit na platném seznamu zneplatněných certifikátů (CRL). Primárním zdrojem seznamu CRL je adresářová služba Active Directory a webové stránky http://pki.cez.cz. Stránka 23 z 42

4.10.2 Dostupnost služeb Seznam zneplatněných certifikátů je k dispozici 7 dnů v týdnu 24 hodin denně. 4.10.3 Další možnosti Nejsou stanoveny. 4.11 Ukončení poskytování služeb pro držitele certifikátu Poskytování služeb je pro držitele certifikátu automaticky ukončeno vypršením platnosti certifikátu nebo jeho zneplatněním. Dále je poskytování služeb ukončeno okamžikem, kdy pominou důvody užití certifikátu (například ukončením ověřování pomocí certifikátů na webovém serveru). 4.12 Uchování a obnova klíčů Certifikační autorita CEZ Internal CA uchovává soukromé klíče držitelů certifikátů pro certifikáty vystavené na základě následujících šablon: CEZINT: S/MIME Encryption CEZINT: S/MIME Encryption Smartcard 4.12.1 Zásady a postupy pro uchování a obnovu klíčů Soukromé klíče držitelů certifikátů jsou u vybraných typů certifikátů (viz. ustanovení 4.12 ) v prostředí PKI ČEZ, a. s. archivovány. Archivované soukromé klíče jsou uloženy v zašifrované formě. Soukromý klíč může být bez vědomí držitele obnoven pouze, nařizují-li tak právní předpisy, nebo pokud si to vyžádá nadřízený držitele. Obnova archivovaného klíče probíhá na pracovišti RA a účastní se jí následující role: Držitelé potřebného počtu fragmentů klíče role Key Recovery Agent, kteří dešifrují datový objekt soukromého klíče získaného z databáze certifikační autority CEZ Internal CA; jeden z nich zároveň určí, k jakému záznamu v aplikaci Service Desk bude soukromý klíč obnoven Aplikace, která zašifruje získaný soukromý klíč, klíč odešle uživateli jako e-mailovou zprávu a heslo ke klíči formou SMS Poskytoval certifikačních služeb je povinen: V případě, že je prováděna archivace soukromých klíčů u vybraného typu certifikátu, upozornit na tuto skutečnost držitele certifikátů Přijmout veškerá bezpečnostní opatření, která zajistí ochranu archivovaných soukromých klíčů proti jejich zneužití Zajistit ochranu všech informací, včetně klíčů agentů obnovení, které lze využít k obnovení soukromých klíčů Obnovit soukromý klíč jen na základě oprávněného požadavku Neposkytovat držitelům informace o obnovení klíčů, pokud o toto obnovení přímo nepožádali Nezveřejňovat archivované klíče a související informace žádné třetí straně s výjimkou zákonných požadavků nebo v případě požadavku nadřízených držitele Stránka 24 z 42

4.12.2 Zásady a postupy zapouzdření šifrovacího klíče relace a jeho obnovení Soukromé klíče jsou uloženy v databázi certifikační autority CEZ Internal CA v zašifrované podobě. V průběhu přenosu do databáze je klíč zašifrován, v databázi je pak uložen taktéž zašifrovaný. Šifrovací klíče pro přenos a uložení soukromého klíče se liší. Proces obnovení soukromého klíče je popsán v odstavci 4.12.1. 5 Management, provozní, fyzická a personální bezpečnosti 5.1 Fyzické zabezpečení 5.1.1 Umístění a konstrukce Certifikační autority provozované v souladu s touto certifikační politikou jsou umístěny v prostorách datových center provozovatele certifikačních služeb. Tato pracoviště jsou proti neoprávněnému vniknutí chráněna mechanickými prostředky a bezpečnostní službou. Je zpracována bezpečnostní dokumentace stanovující požadavky na fyzickou bezpečnost těchto prostor. 5.1.2 Fyzický přístup Každé pracoviště má vlastní provozní řád, ve kterém je definováno kdo a za jakých podmínek má na dané pracoviště přístup. Na všechny pracoviště je řízen fyzický přístup osob tak, aby byly splněny požadavky na fyzickou bezpečnost. 5.1.3 Elektřina a klimatizace Pracoviště jsou připojena na nepřetržitý zdroj napájení (UPS) a jsou vybavena klimatizačními jednotkami pro udržení optimální teploty. 5.1.4 Vliv vody Pracoviště jsou umístěna mimo zátopové oblasti. 5.1.5 Protipožární opatření a ochrana Pracoviště jsou vybavena elektronickou požární signalizací. Signalizace je vyvedena na pracoviště obsazené nepřetržitě 24x7. 5.1.6 Ukládání médií Pro data související s certifikačními službami jsou k dispozici trezory. 5.1.7 Nakládání s odpady Papírové dokumenty a média používaná v souvislosti s certifikačními službami jsou v případě nepotřebnosti likvidována bezpečným způsobem. 5.1.8 Zálohy mimo budovu Záložní datová centra jsou v případě výpadku aktuálních k dispozici, musí však mezi nimi dojít k migraci virtuálního serveru hostujícího certifikační autoritu CEZ Internal CA a serverů s doplňkovými aplikacemi. Zálohy serverů jsou uloženy na jiném fyzickém místě, než jsou umístěny servery. Stránka 25 z 42