Verze: 1.1 Odpovídá: Jií Hejl Datum: 25.8.2005 Utajení: Veejný dokument

Verze: 1.1 Odpovídá: Jií Hejl Datum: 25.8.2005 Utajení: Veejný dokument eidentity a.s. Vinohradská 184,130 00 Praha 3 Tel: 222 866 150-1 fax: 222 866 190 Email: info@eidentity.cz

Copyright 2005 e-identity a.s. Žádná ást tohoto dokumentu nesmí být kopírována žádným zpsobem bez písemného souhlasu majitel autorských práv. Nkteré názvy produkt a spoleností citované v tomto díle mohou být ochranné známky píslušných vlastník. Schváleno: Verze Schválil 1.1 Ladislav Šedivý Historie dokumentu: Verze Datum Autor Poznámka 1.0 20.02. Jií Hejl komplexní verze 2005 1.1 25.8. 2005 Jií Hejl zjednodušení poskytovaných služeb, konsolidace pojm, rejstík zkratek Utajení: Veejný dokument Strana: 2/64

!" 1 Úvod...9 1.1 Pehled...9 1.2 Název a identifikace dokumentu...9 1.3 Subjekty participující na PKI...10 1.3.1 Certifikaní autority...10 1.3.2 Registraní autority...10 1.3.3 Držitelé kvalifikovaných certifikát oznaující osoby...10 1.3.4 Spoléhající se strany... 11 1.3.5 Jiní úastníci... 11 1.4 Použití certifikátu... 11 1.4.1 Pípustné použití certifikátu... 11 1.4.2 Nepípustné použití certifikátu... 11 1.5 Správa politiky... 11 1.5.1 Organizace spravující dokument... 11 1.5.2 Kontaktní osoba...12 1.5.3 Subjekt odpovdný za rozhodování o souladu dokumentace...12 1.5.4 Postupy schvalování...12 1.6 Pehled použitých pojm a zkratek...12 2 Odpovdnost za publikování a úložišt...13 2.1 Úložišt...13 2.2 Zveejování informací...13 2.3 Periodicita zveejování...14 2.4 ízení pístupu k úložišti...14 3 Identifikace a autentizace...16 3.1 Pojmenování...16 3.1.1 Typy jmen...16 3.1.2 Požadavek na sémantický význam jmen...21 3.1.3 Anonymita a používání pseudonymu...21 3.1.4 Pravidla pro interpretaci rzných forem pojmenování...21 3.1.5 Jednoznanost jmen...21 3.1.6 Rozpoznávání, autentizace a význam obchodních znaek...21 3.2 Poátení ovení identity...21 3.2.1 Metody dkazu vlastnictví (POP - proof of possession) soukromého klíe...21 3.2.2 Prokázání identity právnické osoby...21 3.2.3 Prokázání identity fyzické osoby...22 3.2.4 Neovované informace...22 3.2.5 Ovování specifických práv...22 3.2.6 Kritéria pro interoperaci (spolupráci)...22 3.3 Identifikace a autentizace pro požadavky na výmnu klíe (Re-key)...22 3.3.1 Identifikace a autentizace pi rutinní výmn klíe...22 3.3.2 Identifikace a autentizace pro výmnu klíe po zneplatnní...22 3.4 Identifikace a autentizace pro požadavek na zneplatnní...22 4 Funkní požadavky na životní cyklus certifikátu...24 4.1 Žádost o vydání certifikátu...24 4.1.1 Kdo mže podat žádost o vydání certifikátu...24 4.1.2 Registraní proces a odpovdnosti...24 Utajení: Veejný dokument Strana: 3/64

4.2 Zpracování žádosti o certifikát...24 4.2.1 Identifikace a autentizace...24 4.2.2 Pijetí nebo zamítnutí žádosti o certifikát...28 4.2.3 Doba zpracování žádosti o certifikát...29 4.3 Vydání certifikátu...29 4.3.1 Úkony CA v prbhu vydávání certifikátu...29 4.3.2 Oznámování vydání certifikátu oznaující osob...29 4.4 Pevzetí certifikátu...29 4.4.1 Úkony spojené s pevzetím certifikátu...29 4.4.2 Zveejování vydaných certifikát certifikaní autoritou...29 4.4.3 Oznámení vydání certifikátu jiným subjektm...30 4.5 Použití párových klí a certifikátu...30 4.5.1 Použití soukromého klíe a certifikátu držitelem/oznaující osobou...30 4.5.2 Použití veejného klíe a certifikátu spoléhající se stranou...30 4.6 Obnovení certifikátu...31 4.6.1 Okolnosti pro obnovení certifikátu...31 4.6.2 Kdo mže požadovat obnovení...31 4.6.3 Zpracování požadavku na obnovu certifikátu...31 4.6.4 Oznámení o vydání obnoveného certifikátu držiteli/podepisující osob...31 4.6.5 Úkony spojené s pevzetím obnoveného certifikátu...31 4.6.6 Zveejování vydaných obnovených certifikát certifikaní autoritou...31 4.6.7 Oznámování vydání certifikátu jiným subjektm...31 4.7 Výmna klíe (re-key) v certifikátu...31 4.7.1 Okolnosti pro výmnu klíe v certifikátu...31 4.7.2 Kdo mže požadovat výmnu klíe v certifikátu...32 4.7.3 Provedení požadavku na výmnu klíe...32 4.7.4 Oznámení o vydání certifikátu s vymnným klíem podepisující osob...32 4.7.5 Úkony spojené s pevzetím certifikátu s vymnným klíem podepisující osobou..32 4.7.6 Zveejování vydaných certifikátu s vymnným klíem...32 4.7.7 Oznámení o vydání certifikátu s vymnným klíem jiným subjektm...32 4.8 Zmna certifikátu (modification)...32 4.8.1 Okolnosti pro zmnu certifikátu...32 4.8.2 Subjekty oprávnné požadovat zmnu certifikátu...32 4.8.3 Zpracování požadavku na zmnu certifikátu...32 4.8.4 Oznámení o vydání zmnného certifikátu podepisující osob...33 4.8.5 Úkony spojené s pevzetím zmnného certifikátu...33 4.8.6 Zveejování vydaných zmnných certifikát...33 4.8.7 Oznámení o vydání zmnného certifikátu jiným subjektm...33 4.9 Zneplatnní a pozastavení platnosti certifikátu...33 4.9.1 Okolnosti pro zneplatnní certifikátu...33 4.9.2 Subjekty oprávnné žádat o zneplatnní certifikátu...33 4.9.3 Provedení požadavku na zneplatnní certifikátu...33 4.9.4 Doba odkladu požadavku na zneplatnní certifikátu...33 4.9.5 Maximální doba, za kterou musí CA realizovat požadavek na zneplatnní certifikátu 34 4.9.6 Povinnosti spoléhajících se stran pi ovování, zda nebyl certifikát zneplatnn...34 4.9.7 Periodicita vydávání CRL...34 4.9.8 Maximální zpoždní CRL...34 4.9.9 Možnost ovování zneplatnní/statusu certifikátu on-line...34 Utajení: Veejný dokument Strana: 4/64

4.9.10 Požadavky pi on-line ovování zneplatnní/statusu certifikátu...34 4.9.11 Jiné zpsoby oznamování zneplatnní certifikátu...34 4.9.12 Speciální podmínky pi kompromitaci soukromého klíe...34 4.9.13 Okolnosti pro pozastavení platnosti certifikátu...34 4.9.14 Kdo mže požadovat pozastavení platnosti certifikátu...35 4.9.15 Zpracování požadavku na pozastavení platnosti certifikátu...35 4.9.16 Omezení doby pozastavení platnosti certifikátu...35 4.10 Služby statutu certifikátu...35 4.10.1 Funkní charakteristiky...35 4.10.2 Dostupnost služeb...35 4.10.3 Další charakteristiky služeb statutu certifikátu...35 4.11 Ukonení poskytování služeb pro podepisující osobu...35 4.12 Úschova klíe u dvryhodné tetí strany a jeho obnova...36 4.12.1 Politika a postupy pi úschov a obnovování klíe...36 4.12.2 Politika a postup pi zapouzdování (encapsulation) a obnovování relaního klíe (session key)...36 5 Budovy, management a provozní ízení...37 5.1 Kontrola fyzické bezpenosti...37 5.1.1 Umístní a konstrukce...37 5.1.2 Fyzický pístup...37 5.1.3 Elektina a klimatizace...37 5.1.4 Vlivy vody...37 5.1.5 Protipožární opatení a ochrana...38 5.1.6 Ukládání médií...38 5.1.7 Nakládání s odpady...38 5.1.8 Zálohy mimo budovu...38 5.2 Kontrola procedurální bezpenosti...38 5.2.1 Dvryhodné role...38 5.2.2 Poet osob požadovaných na zajištní jednotlivých inností...38 5.2.3 Identifikace a autentizace pro každou roli...39 5.2.4 Role vyžadující rozdlení povinností...39 5.3 Kontroly personální bezpenosti...39 5.3.1 Požadavky na kvalifikaci, zkušenosti a bezúhonnost...39 5.3.2 Postupy pi ovování zázemí osob...40 5.3.3 Požadavky na pípravu pro výkon role, vstupní školení...40 5.3.4 Požadavky a periodicita školení...40 5.3.5 Periodicita a posloupnost job rotation mezi rznými rolemi...40 5.3.6 Postihy za neautorizované innosti zamstnanc...40 5.3.7 Požadavky na nezávislé zhotovitele (dodavatele)...41 5.3.8 Dokumentace poskytovaná zamstnancm...41 5.4 Auditní záznamy (logy)...41 5.4.1 Typy zaznamenávaných událostí...41 5.4.2 Periodicita zpracování záznam...41 5.4.3 Doba uchování auditních záznam...41 5.4.4 Ochrana auditních záznam...41 5.4.5 Postupy pi zálohování auditních záznam...41 5.4.6 Systém shromažování auditních záznam...41 5.4.7 Oznamování subjektu, který zpsobil událost...42 5.4.8 Hodnocení zranitelnosti...42 Utajení: Veejný dokument Strana: 5/64

5.5 Archivace záznam...42 5.5.1 Typy záznam, které se archivují...42 5.5.2 Doba uchování archivovaných záznam...42 5.5.3 Ochrana úložišt archivovaných záznam...42 5.5.4 Postupy pi zálohování archivovaných záznam...42 5.5.5 Požadavky na používání asových razítek u archivovaných záznam...42 5.5.6 Systém shromažování archivovaných záznam...43 5.5.7 Postupy pro získání a ovení archivních údaj...43 5.6 Výmna klíe CA...43 5.7 Obnova po havárii nebo kompromitaci...43 5.7.1 Postup v pípad incidentu a kompromitace...43 5.7.2 Poškození výpoetních prostedk, softwaru a/nebo dat...43 5.7.3 Postup pi kompromitaci soukromého klíe ACAeID...43 5.7.4 Schopnost pokraovat v innosti po havárii...43 5.7.5 Ukonení innosti CA nebo RA...44 6 Kontroly technické bezpenosti...45 6.1 Generování a instalace párových klí...45 6.1.1 Generování párových klí...45 6.1.2 Pedání soukromého klíe podepisující osob...45 6.1.3 Pedání veejného klíe certifikaní autorit...45 6.1.4 Pedání veejného klíe CA potenciálním spoléhajícím se stranám...45 6.1.5 Délky klíe...46 6.1.6 Parametry pro generování veejného klíe a ovování kvality...46 6.1.7 Úel použití klíe (pole použití klíe pro X.509 v3)...46 6.2 Ochrana soukromého klíe a kontroly kryptografického modulu...46 6.2.1 Standardy a kontroly kryptografických modul...46 6.2.2 Sdílení tajemství (m z n)...46 6.2.3 Úschova soukromých klí...46 6.2.4 Zálohování soukromých klí...47 6.2.5 Archivace soukromých klí...47 6.2.6 Transfer soukromých klí do/z kryptografického modulu...47 6.2.7 Uložení soukromých klí v kryptografickém modulu...47 6.2.8 Postup aktivování soukromého klíe...47 6.2.9 Postup pi deaktivaci soukromého klíe...47 6.2.10 Postup pi zniení soukromého klíe...47 6.2.11 Hodnocení kryptografických modul...48 6.3 Další aspekty klíového hospodáství...48 6.3.1 Archivace veejného klíe...48 6.3.2 Maximální doba platnosti certifikátu vydaného podepisující osob a párových klí 48 6.4 Aktivaní data...48 6.4.1 Generování a instalace aktivaních dat...48 6.4.2 Ochrana aktivaních dat...48 6.4.3 Ostatní aspekty archivaních dat...48 6.5 ízení poítaové bezpenosti...49 6.5.1 Specifické technické požadavky na poítaovou bezpenost...49 6.5.2 Hodnocení poítaové bezpenosti...49 6.6 Technické kontroly životního cyklu...49 6.6.1 ízení vývoje systému...49 Utajení: Veejný dokument Strana: 6/64

6.6.2 Kontroly ízení bezpenosti...49 6.7 ízení síové bezpenosti...50 6.8 asová razítka...50 7 Certifikát, CRL a OCSP profily...51 7.1 Profil certifikátu...51 7.1.1 íslo verze...51 7.1.2 Rozšíení certifikátu...52 7.1.3 Objektové identifikátory (OID) algoritm...54 7.1.4 Zpsoby zápisu jmen a názv...54 7.1.5 Omezení jmen a názv...54 7.1.6 Objektový identifikátor certifikaní politiky...54 7.1.7 Rozšiující položka policy constraints...55 7.1.8 Syntaxe a sémantika/význam rozšiující položky kvalifikátor politiky policy qualifiers...55 7.1.9 Zpsob zápisu kritické rozšiující položky Certificate Policies...55 7.2 Profil CRL...55 7.2.1 íslo verze...56 7.2.2 Rozšíení CRL a CRL entry...56 7.3 Profil OCSP...56 7.3.1 íslo verze...56 7.3.2 Rozšíení OCSP...56 8 Audit shody a ostatní hodnocení...57 8.1 Periodicita hodnocení nebo okolnosti pro provedení hodnocení...57 8.2 Identita a kvalifikace hodnotitele...57 8.3 Vztah hodnotitele k hodnocené entit...57 8.4 Hodnocené oblasti...57 8.5 Postup v pípad zjištní nedostatk...57 8.6 Sdlování výsledk hodnocení...57 9 Ostatní obchodní a právní záležitosti...58 9.1 Poplatky...58 9.1.1 Poplatky za vydání, píp. obnovení certifikátu...58 9.1.2 Poplatky za pístup k certifikátu...58 9.1.3 Poplatky za informace o stavu certifikátu a o zneplatnní...58 9.1.4 Poplatky za další služby...58 9.1.5 Jiná ustanovení týkající se poplatk...58 9.2 Finanní zodpovdnost...58 9.2.1 Krytí pojištním...58 9.2.2 Další aktiva...58 9.2.3 Pojištní nebo krytí zárukou pro koncové entity/uživatele...59 9.3 Dvrnost obchodních informací...59 9.3.1 Stupnice (klasifikace) dvrnosti informací...59 9.3.2 Informace mimo rámec stupnice dvrnosti informací...59 9.3.3 Odpovdnost za ochranu dvrných informací...59 9.4 Dvrnost osobních informací...59 9.4.1 Plán dvrnosti...59 9.4.2 Osobní údaje...59 9.4.3 Informace, které nejsou osobními údaji...59 9.4.4 Odpovdnost za ochranu osobních údaj...60 9.4.5 Oznámení a souhlas s používáním osobních údaj...60 Utajení: Veejný dokument Strana: 7/64

9.4.6 Zpístupování osobních údaj...60 9.4.7 Jiné náležitosti zpístupování osobních údaj...60 9.5 Práva duševního vlastnictví...60 9.6 Zastupování a záruky...60 9.6.1 Zastupování a záruky CA...60 9.6.2 Zastupování a záruky RA...61 9.6.3 Zastupování a záruky podepisující osoby...61 9.6.4 Zastupování a záruky spoléhajících se stran...61 9.6.5 Zastupování a záruky ostatních úastník...61 9.7 Zeknutí se záruk...61 9.8 Hranice (meze) odpovdnosti...61 9.9 Náhrada škody...61 9.10 Doba platnosti, ukonení platnosti...61 9.10.1 Doba platnosti...62 9.10.2 Ukonení...62 9.10.3 Dsledky ukonení a petrvání závazk...62 9.11 Komunikace mezi úastníky...62 9.12 Zmny...62 9.12.1 Postup pi zmnách...62 9.12.2 Postup pi oznámování zmn...62 9.12.3 Okolnosti, pi kterých musí být zmnn OID...62 9.13 Opatení pro ešení spor...62 9.14 Relevantní právní úprava...63 9.15 Shoda s právními pedpisy...63 9.16 Další ustanovení...63 9.16.1 Celková dohoda...63 9.16.2 Postoupení práv...63 9.16.3 Oddlitelnost...63 9.16.4 Platby obhájcm a zeknutí se práv...63 9.16.5 Vyšší moc...63 9.17 Další opatení...63 10 Závrená ustanovení...64 Utajení: Veejný dokument Strana: 8/64

Úvod #$ Tato Certifikaní politika pro kvalifikované systémové certifikáty obsahuje zásady a postupy související se zajištním innosti akreditovaného poskytovatele certifikaních služeb podle zákona. 227/2000 Sb. a pedpis souvisejících. Tato Certifikaní politika stanovuje zásady, které poskytovatel certifikaních služeb uplatuje pi zajišování kvalifikovaných certifikaních služeb: vydání kvalifikovaného systémového certifikátu, vydání následného kvalifikovaného systémového certifikátu. Pojem kvalifikovaný systémový certifikát je popsán v zákon 227/2000 Sb. a využívá se k ovení elektronické znaky fyzické osoby, právnické osoby nebo organizaní složky státu. Tato Certifikaní politika je urena žadatelm o poskytnutí výše vyjmenované služby, všem spoléhajícím se stranám a jiným úastníkm PKI. Tato Certifikaní politika nevyžaduje na stran oznaující osoby používání prostedku pro bezpené vytváení elektronických znaek. Struktura tohoto dokumentu vychází z dokumentu RFC 3647 - Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework. Systém ACAeID je budován a provozován ve shod s právním prostedím eské republiky. %&' Postupy, pravidla, technologie a ostatní skutenosti popsané v této CP dokladují dvryhodnost a integritu ešení ACAeID pi poskytování certifikaních služeb a to po celou dobu životního cyklu certifikát i jiných produkt, poskytovaných provozovatelem. Informace o dalších provozovaných službách jsou popsány v jejich projektové dokumentaci, jejich Certifikaních politikách a na internetových stránkách provozovatele. Zajištní bezpeného provozovaní všech kvalifikovaných certifikaních služeb je popsáno v Certifikaní provádcí smrnici QS. Ve veejné ásti webového prostoru provozovatele jsou umístny informace, které umožní zájemci i žadateli kvalifikovan se rozhodnout o poskytovaných službách, svých povinnostech a právech. K dispozici mu je také tato Certifikaní politika a další dokumenty. () * eský normalizaní institut pidlil spolenosti eidentity a.s. OID ve tvaru 1.2.203.27112489. Utajení: Veejný dokument Strana: 9/64

Úvod Podtída 1.2.203.27112489.1. je intern urena pro dokumentaci ACAeID, její další lenní je ureno íslem dokumentu a jeho verzí, tedy nap. 10.2.1.1 znaí dokument D10.2 ve verzi 1.1. Tato Certifikaní politika - QSC má tyto identifikaní znaky: Identifikaní znak Význam identifikaního znaku Hodnota Název dokumentu Název dokumentu v itelné podob Certifikaní politika ACAeID - QSC OID Identifikace dokumentu v rámci prostoru OID eidentity a.s. 1.2.203.27112489.1.10.2.1.1 +,--%. 1.3.1 Certifikaní autority ACAeID eidentity a.s. tvoí koenová autorita (RCA) a autorita vydávající kvalifikované certifikáty pro podepisující a oznaující osoby (QCA). Koenová autorita RCA vydává certifikáty pouze podízeným certifikaním autoritám a vydala tedy i kvalifikovaný systémový certifikát pro vydávající certifikaní autoritu QCA. Tato vydávající autorita QCA nevydává certifikáty pro žádné podízené certifikaní autority, ale jen jednotlivým žadatelm. Spolenost eidentity a.s. provozuje i další certifikaní autority, které se ídí svými Certifikaními politikami a provozními pedpisy. 1.3.2 Registraní autority Jako Registraní autority pracují dvryhodní Operátoi registraního místa, kteí provádjí proces ovení skuteností nutných pro vydání certifikátu, pípadn pijímají žádost o zneplatnní certifikátu. S každým Operátorem registraního místa je uzavena Smlouva o innosti, operátoi jsou pravideln školeni a kontrolováni. Operátorem se mže stát pouze osoba, která dosáhla uritých kvalit a splnila kvalifikaní pedpoklady. 1.3.3 Držitelé kvalifikovaných certifikát oznaující osoby Oznaující osobou se stává každá fyzická osoba, právnická osoba nebo organizaní složka státu, která je využívá prostedku pro vytváení elektronických znaek a oznauje datovou zprávu elektronickou znakou založenou na kvalifikovaném systémovém certifikátu, vydaného QCA podle zákona 227/2000 Sb. Utajení: Veejný dokument Strana: 10/64

Úvod 1.3.4 Spoléhající se strany Spoléhající se stranou je každý jedinec nebo skupina, která využívá kvalifikovaných systémových certifikát vydaných QCA a/nebo elektronických znaek s nimi souvisejících. 1.3.5 Jiní úastníci Další úastníci jsou orgány dozoru podle zákona 227/2000 Sb. a orgány inné v trestním ízení, pípadn další orgány, kterým to ze zákona písluší. / %0 Kvalifikované systémové certifikáty vydané podle této Certifikaní politiky se mohou použít jen k úelm, které stanovuje zákon 227/2000 Sb. 1.4.1 Pípustné použití certifikátu Typickými aplikacemi, které je možné použít v souvislosti s kvalifikovanými systémovými certifikáty, vydávanými podle této politiky, jsou aplikace umožující vytváet a ovovat elektronické znaky jako napíklad systémy elektronické pošty, podepisovací a ovovací aplikace pro elektronické znakování (tj. vytváení elektronických znaek podle zákona 227/2000Sb.) dokument a jiných typ soubor obecn, pokud jsou v souladu s požadavky zákona 227/2000 Sb. 1.4.2 Nepípustné použití certifikátu Kvalifikované systémové certifikáty se nesmí používat v rozporu s úelem, ke kterému byly vydány a to jak z technického hlediska (nap. podle omezení KeyUsage) tak i z právního hlediska (nap. v rozporu se zákonem 227/2000 Sb.). Takovým nepípustným použitím kvalifikovaného systémového certifikátu mže být napíklad jeho použití pro šifrování i identifikaci úastníka šifrované komunikace v prostedí protokolu SSL/TLS. 1 Za údržbu tohoto dokumentu odpovídá pedseda Výboru pro politiky. 1.5.1 Organizace spravující dokument eidentity a.s. Vinohradská 184 130 00 Praha 3 Utajení: Veejný dokument Strana: 11/64

Úvod eská republika 1.5.2 Kontaktní osoba Pedseda Výboru pro politiky eidentity a.s. Vinohradská 184 130 00 Praha 3 eská republika Tel: +420 222 866 150 Fax: +420 222 866 190 Email: PAA-manager@acaeid.cz 1.5.3 Subjekt odpovdný za rozhodování o souladu dokumentace Soulad Certifikaní politiky s jí odpovídající Certifikaní provádcí smrnicí schvaluje Výbor pro politiky na základ schze Výboru a v souladu s jednacím ádem tohoto orgánu. 1.5.4 Postupy schvalování Postupy jsou ureny jednacím ádem Výboru pro politiky. 2 %&'03'-* 4) Zákon ACAeID, ACA RCA QCA RM ORM CP CPS QC QSC RQSC CRL poskytovatel, PCS EVI soukromý klí veejný klí revokace DN Zákon 227/2000 Sb. o elektronickém podpisu Informaní systém eidentity a.s., poskytující kvalifikované certifikaní služby Koenová certifikaní autorita, jako souást ACAeID Vydávající certifikaní autorita, jako souást ACAeID Registraní místo Operátor registraního místa Certifikaní politika Certifikaní provádcí smrnice Kvalifikovaný certifikát Kvalifikovaný systémový certifikát Koenový kvalifikovaný systémový certifikát Seznam zneplatnných certifikát Poskytovatel certifikaních služeb Evidenní ást informaního systému PCS Data pro vytváení elektronických podpis nebo znaek Data pro ovování elektronických podpis nebo znaek zneplatnní certifikátu Distinguished Name Jednoznaná identifikace držitele certifikátu Utajení: Veejný dokument Strana: 12/64

Odpovdnost za publikování a úložišt % $5( 67%8!9. $:(;# 9 <=65 QCA zveejuje seznam vydaných kvalifikovaných certifikát a seznam zneplatnných certifikát vetn kvalifikovaných systémových certifikát. Každý žadatel o poskytnutí služby i oznaující osoba má navíc pístup do svého místa u provozovatele, kde má k dispozici seznam všech svých poskytnutých i práv poskytovaných služeb a mže jejich stav sledovat a mnit v rozsahu své autorizace v systému. #0>? V informaním systému ACAeID jsou zpracovávány a uchovávány informace v souladu se zákonem 227/2000 Sb. a zákonem 101/2000 Sb. tak, aby záznamy nebo jejich zmny mohly provádt pouze povené osoby, aby bylo možno kontrolovat správnost záznam a aby jakékoliv technické nebo programové zmny, porušující tyto bezpenostní požadavky, byly zjevné. Zveejované informace jsou ureny zejména spoléhajícím se tetím stranám, aby bylo možné rozhodnout o platnosti kvalifikovaného systémového certifikátu s požadovaným stupnm dvry. 7 &-@ * K veejným informacím je možné pistupovat pomocí webových služeb. Vydané kvalifikované systémové certifikáty jsou zveejnny v Seznamu vydaných kvalifikovaných certifikát, který je dostupný na adresách http://www.acaeid.cz/aca/certs, http://pub1.acaeid.cz/aca/certs, http://pub2.acaeid.cz/aca/certs. Veejn dostupné jsou tyto položky certifikátu: Sériové íslo certifikátu Platnost od do U certifikát, k jejichž zveejnní dal držitel souhlas, jsou veejn dostupné ješt tyto položky: Držitel (Subject) Vlastní certifikát ve formátu DER, PEM a TXT Kvalifikované systémové certifikáty, které byly zneplatnny, jsou zveejnny v Seznamu zneplatnných kvalifikovaných certifikát. Aktuální seznam (poslední platný) bude dostupný (vždy nejmén na jednom míst) v elektronické form ve formátu CRL na adresách: http://www.acaeid.cz/aca/crl/actual.crl http://pub1.acaeid.cz/aca/crl/actual.crl Utajení: Veejný dokument Strana: 13/64

Odpovdnost za publikování a úložišt http://pub2.acaeid.cz/aca/crl/actual.crl Souástí zveejnných informací bude i informace o poadí a dob zveejnní aktuálního CRL a historie zveejnných CRL. Informace o dob zveejnní aktuálního CRL bude poskytnuta v souboru http://www.acaeid.cz/aca/crl/actual-date.txt http://pub1.acaeid.cz/aca/crl/actual-date.txt http://pub2.acaeid.cz/aca/crl/actual-date.txt a bude ve tvaru YYYYMMDDHHMMSS. V osobním útu Žadatele mže žádající osoba získat další podrobnjší informace o stavu své žádosti i o odebíraných službách. Tyto informace jsou však neveejné a jsou dostupné jen píslušné osob Žadatele. Souástí veejn dostupných informací je také dokument Certifikaní politika - QSC, který je zveejnn ve formátu PDF na adresách: http://www.acaeid.cz/aca/cp-qsc.pdf http://pub1.acaeid.cz/aca/cp-qsc.pdf http://pub2.acaeid.cz/aca/cp-qsc.pdf Na této adrese je dostupná platná verze Certifikaní politiky. Historie verzí je pístupná na webových stránkách provozovatele spolu s vyznaením období platnosti. Zveejnn na webových stránkách poskytovatele je také kvalifikovaný systémový certifikát koenové (RCA) a vydávající (QCA) certifikaní autority. Pro ovení správnosti tchto certifikát jsou tyto také zveejnny na stránkách Ministerstva informatiky R a ve Vstníku tohoto ministerstva. Dále jsou na webových stránkách poskytovatele zveejnny i procesní, obchodní a další pomocné informace, které se vztahují k poskytovaným službám. + %) &-@ Certifikaní politika je schválena díve, než je podle ní možné vydat první certifikát. Periodicita zveejování dalších informací není urena a závisí na nutnosti udržovat informace v aktuálním stavu. Periodicita zveejování CRL je popsána v kapitole 4.9.7. / A)&BC0> Publikování CP schvaluje a odpovdnou osobu uruje Výbor pro politiky v souladu s jednacím ádem tohoto Výboru. Zveejnní a aktualizaci Seznamu vydaných kvalifikovaných certifikát a Seznamu Utajení: Veejný dokument Strana: 14/64

Odpovdnost za publikování a úložišt zneplatnných kvalifikovaných certifikát provádí obsluha ACAeID s frekvencí, která je v souladu s tímto dokumentem. Utajení: Veejný dokument Strana: 15/64

Identifikace a autentizace + D(6E.D86D( 67D + %-* 3.1.1 Typy jmen Kvalifikované systémové certifikáty vydávající QCA eidentity a.s. obsahují v polích Subject a Issuer jména ve formátu podle doporuení X.501. 3.1.1.1 Vydávající certifikaní autorita QCA Položka Subject vydávající certifikaní autority se sestává z komponent uvedených v následující tabulce. Atribut Pravidlo vyplnní Country (C) pevný text CZ Hodnota Organization (O) pevný text eidentity a.s. Organizational Unit (OU) pevný text Akreditovaný poskytovatel certifikaních služeb Locality (L) pevný text Vinohradská 184, 130 00 Praha 3 Common Name (CN) pevný text ACAeID Qualified Issuer Certificate (kvalifikovaný systémový certifikát vydávající CA) Položka Issuer vydávající certifikaní autority se sestává z komponent uvedených v následující tabulce: Atribut Pravidlo vyplnní Country (C) pevný text CZ Hodnota Organization (O) pevný text eidentity a.s. Organizational Unit (OU) pevný text Akreditovaný poskytovatel certifikaních služeb Locality (L) pevný text Vinohradská 184, 130 00 Praha 3 Common Name (CN) pevný text ACAeID Qualified Root Certificate (kvalifikovaný systémový certifikát koenové CA) Utajení: Veejný dokument Strana: 16/64

Identifikace a autentizace 3.1.1.2 Vydávané certifikáty Kvalifikované systémové certifikáty žadatel obsahují DN (Distinguished Name) v poli Subject, které se skládá z komponent v následující tabulce. Atribut Význam ím se dokládá Country (C) Kód státu, kde má žadatel trvalý pobyt nebo kde má sídlo Organization (O) Název organizace žadatele Organizational Unit (OU) Organizaní jednotka Identifikaní prkaz, cestovní pas, výpis z obchodního rejstíku, zizovací listina apod. Výpis z obchodního rejstíku, živnostenský list, zizovací listina, prohlášení osoby s oprávnním za organizaci jednat. Název organizace mže být doplnn o identifikaní íslo, které bude uvedeno za mezerou v hranatých závorkách, uvozené I a mezerou Nap. prohlášením osoby s oprávnním za organizaci jednat Omezení podle ISO 3166 Pro osoby stojící mimo organizaci vyplní tuto položku poskytovatel. Mže být vyznaena jen jedna organizace. Certifikát uživatele mže obsahovat jeden nebo více tchto atribut. Nepovinné. Hodnota píklad CZ eidentity a.s. [I 27112489] Elektronická podatelna Utajení: Veejný dokument Strana: 17/64

Identifikace a autentizace Atribut Význam ím se dokládá Locality (L) Name (Name) Given Name Surname Common Name (CN) Adresa sídla organizace pro žadatele - právnickou osobu Adresa bydlišt pro žadatele - fyzickou osobu Celé jméno žadatele vetn pípadných titul Jméno oznaující osoby Píjmení oznaující osoby Obsahem pole je celé jméno oznaující osoby. Výpis z obchodního rejstíku, živnostenský list, zizovací listina, prohlášení osoby s oprávnním za organizaci jednat, identifikaní prkaz, cestovní pas, další uznaný osobní doklad. Identifikaní prkaz, cestovní pas, další uznaný osobní doklad. Identifikaní prkaz, cestovní pas, další uznaný osobní doklad. Identifikaní prkaz, cestovní pas, další uznaný osobní doklad. Osobní doklad, prohlášení odpovdné osoby za organizaci. Omezení Hodnota píklad Povinné. Vinohradská 22, 130 00 Praha 3 Nepovinné Nepovinné Obsahuje jméno (jména) žadatele Nepovinné Píjmení žadatele Penáší se Name nebo Given Name (pokud je vyplnno) a po pidané mezee Surname JUDr. Jan Tadeáš Novák Jan Tadeáš Novák Utajení: Veejný dokument Strana: 18/64

Identifikace a autentizace Atribut Význam ím se dokládá Email Address (E) Title (Title) Kontaktní emailová adresa. Titul i pracovní role nebo oznaení prostedku pro vytváení elektronických znaek prohlášením majitele domény i držitele emailové adresy v pípad veejných domén Prohlášením osoby s oprávnním jednat za organizaci i dokladem nebo prohlášením žadatele Omezení Nepovinné Nepovinné. Hodnota píklad jan.novak@eidentity.cz Utajení: Veejný dokument Strana: 19/64

Identifikace a autentizace Atribut Význam ím se dokládá SerialNumber Pro fyzickou osobu obsahuje údaj spravovaný ústedním orgánem státní správy, na základ kterého je možné osobu jednoznan identifikovat uvozený zkratkou správce a pomlkou nebo hodnotu, pidlenou poskytovatelem certifikaních služeb - v tomto pípad je uvozena etzcem QCAnebo údaj pidlený žadateli od MPSV, uvozený etzcem MPSV-. Pro právnickou osobu nebo organizaní složku státu obsahuje I organizace nebo hodnotu, pidlenou poskytovatelem certifikaních služeb - v tomto pípad je uvozena etzcem QCA- Rozhodnutím o pidlení ústedním orgánem státní správy Výpisem z obchodního rejstíku, živnostenským listem, zizovací listinou, prohlášením osoby s oprávnním za organizaci jednat. Omezení Hodnota píklad Utajení: Veejný dokument Strana: 20/64

Identifikace a autentizace 3.1.2 Požadavek na sémantický význam jmen Všechna pojmenování uvedená v DN certifikátu musí být smysluplná a doložitelná. 3.1.3 Anonymita a používání pseudonymu QCA nevydává anonymní certifikáty. Kvalifikovaný systémový certifikát nelze ani vystavit na pseudonym. 3.1.4 Pravidla pro interpretaci rzných forem pojmenování Tam, kde to RFC3280 dovoluje, lze použít národní znakové sady v kódování UTF8. 3.1.5 Jednoznanost jmen QCA eidentity zaruuje automatickou kontrolou unikátnost vazby DN v poli Subject certifikátu na jednoho konkrétního uživatele i prostedek na vytváení elektronických znaek. Uživatel však mže mít více certifikát se stejným i jiným DN v poli Subject. 3.1.6 Rozpoznávání, autentizace a význam obchodních znaek Všechny údaje uvedené v kvalifikovaném systémovém certifikátu uživatele se musí prokazateln vztahovat k jeho osob. QCA eidentity tuto skutenost ovuje. To vyluuje možnost zneužití obchodní znaky tetí osoby. + %?& 3.2.1 Metody dkazu vlastnictví (POP - proof of possession) soukromého klíe Žadatel o kvalifikovaný certifikát musí prokázat vlastnictví soukromého klíe odpovídajícímu veejnému klíi, který má být uveden v kvalifikovaném systémové certifikátu. Za prokazatelnou se považuje žádost ve formátu PKCS#10, nebo ekvivalentní metoda (nap. SPKAC). Principem je pedání veejného klíe spolu s pípadnými dalšími daty certifikaní autorit tak, aby tento balík nebo jeho otisk byl podepsán odpovídajícím soukromým klíem. Vtšinou se taková zpráva vytváí prostedky prostedí, ve kterém se klíe a kvalifikovaný systémový certifikát budou používat. 3.2.2 Prokázání identity právnické osoby Identitu prokazuje právnická osoba pedložením originálu nebo notásky ovené kopie výpisu z obchodního rejstíku, živnostenského listu i jiné listiny, na základ které byla organizace zízena. Z dokladu musí být patrno úplné obchodní jméno organizace, pidlené identifikaní íslo, sídlo a statutární orgán. Pro úely jednání s eidentity a.s. mže statutární orgán Utajení: Veejný dokument Strana: 21/64