AUTHENTICATIEHANDLEIDING. Websitebeveiligingsoplossingen

Websitebeveiligingsoplossingen

AUTHENTICATIEHANDLEIDING

Inhoudsopgave Inleiding.......................................................................................................................................................................... 3 Soorten certificaten ..................................................................................................................................................... 4 Authenticatiematrix...................................................................................................................................................... 5 Zwarte lijsten van Amerikaanse overheid.................................................................................................................... 6 Organisatieauthenticatie...........................................................................................................................................7-8 Rechtsgebied Proof of Right met voorbeelden Domeinauthenticatie............................................................................................................................................... 9-10 WHOIS Domeinvereisten Alternatieve goedkeuringsmethoden Beoordeling organisatorische eenheid/bevestiging van operationeel bestaan.....................................................11 Adresverificatie...........................................................................................................................................................12 Extern telefoonnummer........................................................................................................................................ 13-14 Vereisten aan contactgegevens..................................................................................................................................15 Bevestiging dienstverband en bevoegdheid voor EV................................................................................................16 Verificatiegesprek/Bevestiging van overeenstemming......................................................................................... 17-18 Domain Validated-certificaten...................................................................................................................................19 Symantec Safe Site......................................................................................................................................................20 Professional Opinion Letter........................................................................................................................................21 Best practices..............................................................................................................................................................22 Partnerresources.........................................................................................................................................................23 Contactgegevens.........................................................................................................................................................24

Inleiding Bij Symantec werken wij onvermoeibaar aan het stimuleren van innovatie en technologie om 's werelds informatie te beschermen tegen voortdurend veranderende bedreigingen. Als onderdeel van het bevorderen van innovatie is authenticatie een cruciaal onderdeel van onze portefeuille. Symantec was één van de drijvende krachten achter de Certification Authority and Browser Forum Baseline Requirements en hanteert deze. Het doel hiervan is de veiligheid rond SSL-activiteiten en authenticatieprocessen verder te versterken en betere bescherming van en meer vertrouwen in online transacties te bewerkstelligen. De CA/B Forum Baseline Requirements, die bijdragen aan het minimaliseren van risico en het bevorderen van het vertrouwen van gebruikers, leggen de lat voor alle CA's hoger wat betreft standaarden en authenticatieveiligheid. Onze gevestigde authenticatie- en verificatieprocedures helpen online handelaren bedrijfsmatig te groeien, versterken het vertrouwen van consumenten door verificatie en verlagen het risico op fraude. Deze procedures zijn het resultaat van jarenlange exploitatie van een vertrouwde internetinfrastructuur en de authenticatie van ruim een half miljoen bedrijven. Als gewaardeerde bevoegde partner in het Partnerprogramma websitebeveiliging is uw kennis van onze authenticatieactiviteiten essentieel voor uw bedrijfscontinuïteit en verkoopsuccessen. Deze handleiding is door Websitebeveiligingsoplossingen van Symantec opgesteld om de kracht en betrouwbaarheid van dit proces voor u inzichtelijker te maken en u te helpen het authenticatieproces te doorlopen. Individuen en bedrijven starten het authenticatieproces door het verstrekken van informatie aan Symantec als onderdeel

van het online inschrijvingsproces. Afhankelijk van het soort certificaat dat wordt aangevraagd, kan Symantec het volgende verifiëren: •D  at de organisatie en organisatorische contactpersonen niet zijn opgenomen op één van de zwarte entiteitlijsten van de Amerikaanse overheid: Denied Countries List, Denied Persons List, Denied Entities List, US Treasury Department List, of dat op hen een embargo, sanctie of overige beperking rust. •D  at de organisatie beschikt over credentials (afgegeven door een overheid), zoals statuten of een bedrijfslicentie, die het de organisatie toestaat in het zakelijk verkeer te handelen. •D  at de organisatie de domeinnaam bezit waarvoor het certificaat is verstrekt OF dat zij een wettelijk gebruiksrecht op die domeinnaam heeft verkregen van de eigenaar van het domein. •D  at de contactpersonen van de organisatie via een extern telefoonnummer kunnen worden geverifieerd als zijnde medewerkers van de organisatie die het certificaat aanvraagt. •D  at de organisatie activiteiten onderneemt vanaf een geverifieerd fysiek adres. •B  ovendien beoordeelt Symantec zorgvuldig eventuele informatie die is aangemerkt als zijnde niet in overeenstemming met de order. Deze uitgebreide handleiding biedt gedetailleerde informatie over de betrokken processen van inschrijving tot verstrekking op een gebruiksvriendelijke en leesbare manier.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Soorten certificaten 3. Extended Validation (EV) SSL-certificaten passen een strenger authenticatieniveau toe en leveren de hoogste mate van zekerheid die momenteel op de markt verkrijgbaar is.

Met het Partnerprogramma websitebeveiliging van Symantec hebt u toegang tot de bekendste beveiligingsoplossingen. Dit partnerprogramma omvat het topsegment websitebeveiligings- en SSL-producten van toonaangevende aanbieders. Deze handleiding verdeelt het beschikbare productaanbod in het Partnerprogramma websitebeveiliging onder in 5 verschillende categorieën, die hieronder worden beschreven: 1. Domain Validated (DV) SSL-certificaten bieden versleuteling met enkel domeinauthenticatie en verifiëren dat de aanvrager aan het gebruik van het domein is gelieerd. Beschikbare Domain Validated SSL-producten: • Thawte SSL123 • GeoTrust QuickSSL Premium • RapidSSL 2. Organization Validated (OV) SSL-certificaten bieden volledige bedrijfsauthenticatie, in combinatie met verificatie van de bedrijfsidentiteit en domeineigenaarschap.

Beschikbare Organization Validated SSL-producten: • Symantec Secure Site • Symantec Secure Site Pro • Symantec Secure Site Wildcard • GeoTrust True Business ID • GeoTrust True Business ID Wildcard • Thawte SSL Web Server • Thawte SGC SuperCert • Thawte Wildcard SSL

Beschikbare Extended Validation-producten: • Symantec Secure Site with EV • Symantec Secure Site Pro with EV • Thawte SSL Web Server with EV • GeoTrust True Business ID with EV 4. Code Signing-id's bieden volledige bedrijfsauthenticatie. De id genereert een digitale handtekening die authenticatie van de broncode verzorgt en de integriteit van de code verzekert.

Beschikbare Code Signing-producten: • Symantec Code Signing for Organizations • Thawte Code Signing for Organizations • Symantec Code Signing for Individuals • Thawte Code Signing for Individuals

Ons partnerprogramma omvat het topsegment websitebeveiligings- en SSL-producten van toonaangevende aanbieders.

5. S  ymantec Safe Site verifieert de identiteit en bevestigt dat de site een dagelijkse malwarescan heeft ondergaan door het weergeven van het Norton Secured Seal. Symantec Safe Site biedt geen SSL-versleuteling. Beschikbare Symantec Safe Site-producten: • Symantec Safe Site for Organizations • Symantec Safe Site for Individuals

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Safe Site*

Code Signing

Extended Validation

Organization Validation

Domain Validation*

Thawte SSL123

•

•

•

GeoTrust QuickSSL Premium

•

•

•

RapidSSL

•

Symantec Secure Site Symantec Secure Site Pro Symantec Secure Site Wildcard GeoTrust True Business ID GeoTrust True Business ID Wildcard Thawte SSL Web Server Thawte SGC SuperCert Thawte Wildcard SSL Symantec Secure Site with EV Symantec Secure Site Pro with EV Thawte SSL Web Server with EV GeoTrust True Business ID with EV Symantec Code Signing for Organizations Thawte Code Signing for Organizations Symantec Code Signing for Individuals Thawte Code Signing for Individuals Symantec Safe Site for Organizations Symantec Safe Site for Individuals

• • • • • • • • • • • • • • • • •

•

•

• • • • • • • • • • • • • •

• • • • • • • • • • • •

•

• •

• • • • • • • • • • • • • • • • • •

• • • •

• • • •

• •

• • • • • • • • • • • • • • • • • •

• • • •

• • • • • • • • • • • • • • • • • •

Bevestiging van overeenstemming

Verificatie van contactpersoon

Bevestiging dienstverband en bevoegdheid contactpersoon voor EV

Bevestiging van extern telefoonnummer

Verificatie van zakelijk adres

Verificatie van operationeel bestaan

Beoordeling organisatorische eenheid

Domeinauthenticatie

Productnaam

Organisatieauthenticatie

Het authenticatieniveau varieert per certificaatcategorie en producttype. Daarom hebben wij een uitgebreide handleiding opgesteld zodat u beter inzicht krijgt in de betrokken processen bij de verificatie van elk certificaat. De onderstaande authenticatieproductmatrix geeft een schematisch overzicht van alle authenticatiemogelijkheden. Voor gedetailleerde instructies over elk van deze stappen verwijzen wij u naar elders in deze handleiding.

Zwarte lijsten van Amerikaanse overheid

Authenticatieproductmatrix

• • • •

*Deze producten hanteren gespecialiseerde authenticatiepraktijken. Zie de inhoudsopgave voor specifieke onderdelen met meer informatie.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Zwarte lijsten van Amerikaanse overheid De Amerikaanse overheid geeft onderstaande zwarte lijsten uit en is verantwoordelijk voor het onderhouden ervan. Op deze lijsten staan organisaties en individuen vermeld waarvoor geldt dat het Symantec verboden is met hen zaken te doen. Symantec zal een organisatie geen certificaat verstrekken wanneer die organisatie of een op de order vermelde contactpersoon op één van deze lijsten voorkomt, waaronder begrepen de volgende lijsten: • De Denied Persons List van het Bureau of Industry and Security van het Amerikaanse Ministerie van Economische Zaken: Deze personen hebben de Export Administration Regulations geschonden. De Denied Persons List bevat informatie over de namen en adressen van bedrijven en individuen die de toegang tot Amerikaanse goederen is ontzegd, inclusief de reden(en) voor deze vermelding.

Daarnaast verzekert Symantec dat diens klanten niet uit een Denied Country komen, zijnde een land waarvoor geldt dat de Amerikaanse overheid verbiedt dat Amerikaanse bedrijven en diens niet-Amerikaanse vestigingen hieraan bepaalde producten verkopen. Deze landen kunnen op enig moment worden gewijzigd en zijn momenteel: • Cuba • Iran • Syrië • Sudan • Noord-Korea

• De Denied Entities List van het Bureau of Industry and Security van het Amerikaanse Ministerie van Economische Zaken: Deze personen, landen of organisaties vertegenwoordigen volgens de Amerikaanse overheid een onacceptabel risico op de wederrechtelijke ontwikkeling van massavernietigingswapens of projectielen om deze wapens in te zetten. • De List of Specially Designated Nationals and Blocked Persons van het Amerikaanse Ministerie van Financiën: Dit zijn specifiek aangewezen staatsburgers en anderen wier eigendommen door de Amerikaanse overheid zijn bevroren teneinde burgers te helpen de verschillende sanctieprogramma's van de OFAC (Office of Foreign Assets Control) na te leven.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Organisatieauthenticatie Als onderdeel van het authenticatieproces van Symantec verifiëren wij de tijdens de inschrijving opgegeven naam van de organisatie zoals deze op het SSL-certificaat zal worden vermeld. De organisatie die een certificaat aanvraagt moet een actieve entiteit zijn, zoals bevestigd door de verantwoordelijke overheidsinstantie voor het registreren van bedrijven binnen het specifieke rechtsgebied (gewest, staat, land) waarnaar in de certificaataanvraag is verwezen. Een exacte overeenkomst tussen de ingeschreven organisatienaam en bevestigde naam is vereist. Wij accepteren geen spelfouten, ongeregistreerde letterwoorden of afkortingen als onderdeel van de organisatienaam. Belangrijke opmerking: Extended Validation-certificaten vereisen een exacte overeenkomst tussen de organisatienaam en bevestigde naam, inclusief aanduidingen van zakelijke rechtsvorm (bv. Inc, Corp, LLC, Ltd, Pty Ltd, etc.) Symantec heeft toegang tot een uitgebreid netwerk overheidsbronnen wereldwijd. In veruit de meeste gevallen weet Symantec een gedeponeerd Proof of Right-document te lokaliseren in één van de vele overheids- of particuliere databases waartoe wij toegang hebben. Voorbeelden van bronnen van overheidsinstanties zijn onder andere: • California Secretary of State (voor Amerikaanse bedrijven gevestigd in de Amerikaanse staat Californië) • City of Chicago, IL (bedrijfslicenties voor de stad Chicago) • National Credit Union Administration (federale kredietverenigingen in de Verenigde Staten) • UK Companies House • Kamer van Koophandel (KvK) (in Nederland geregistreerde bedrijven) • New Zealand Companies Office • State Administration for Industry & Commerce van de Volksrepubliek China

Als een bepaalde bron echter niet beschikbaar is of als wij uw organisatie niet via de beschikbare bronnen kunnen verifiëren, kunnen wij verzoeken om een recente, door een overheidsinstantie uitgegeven bedrijfscredential, doorgaans een Proof of Right (POR) genoemd. Een Proof of Right is een document dat een bedrijf of organisatie het recht geeft onder die naam te handelen. Als voor uw organisatie een Proof of Right-document is vereist, zullen wij contact opnemen met de bij de inschrijving opgegeven organisatorische contactpersoon en om een kopie van een acceptabel Proof of Right-document verzoeken. Enkele voorbeelden van acceptabele documenten zijn (geen uitputtende lijst): •S  tatuten/oprichtingsakte •B  edrijfs-/leveranciers-/ wederverkopers-/ handelaarslicentie •H  andvesten/samenwerkingsovereenkomsten •R  egistratie van handels- of aangenomen naam/ handelend onder de naam/verklaring van aangenomen naam •U  ittreksel handelsregister Zodra een acceptabel Proof of Right-document van de klant is ontvangen, zullen wij deze mondeling verifiëren met de uitgevende instantie. Als wij de geldigheid van het document niet bij de uitgevende instantie kunnen bevestigen, kunnen wij een externe partij inschakelen om het bestaan van de organisatie te verifiëren. NB: wanneer op enig moment documentatie is vereist voor een order, kan dit een vertraging in de uitgifte van het betreffende certificaat betekenen. Het is niet mogelijk certificaten te verstrekken totdat alle documentatie in orde is en bij de uitgevende instantie is geverifieerd. Tijdige aanlevering van documentatie is daarom van essentieel belang.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Organisatieauthenticatie Zoals aangegeven op de vorige pagina, wordt het volgende geverifieerd met behulp van bronnen van overheidsinstanties: 1. De naam van de organisatie in de inschrijving: moet exact overeenkomen met de bedrijfsregistratie 2. Het rechtsgebied: land, staat en plaats (indien van toepassing) moeten overeenkomen met de inschrijving 3. De organisatiestatus: moet actief of soortgelijk zijn; inactieve/ opgeheven of soortgelijke organisaties kunnen geen SSLcertificaat verkrijgen en moeten hun status bijwerken.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

0

0

Organisatie: Symantec (UK) Limited Land: GB Staat: Berkshire Gewest (plaats): Reading

Organisatie: Symantec Corporation Land: VS Staat: Californië Gewest (plaats): Mountain View

Organisatie: Symantec (UK) Limited Land: VS Staat: Californië Gewest (plaats): Mountain View

Organisatie: SYMC LTD Land: GB Staat: Berkshire Gewest (plaats): Reading

0 x

x

0 x

Terug naar inhoudsopgave

Domeinauthenticatie Alvorens Symantec uw websitedomeinna(a)m(en) kan verifiëren, moeten wij kunnen bewijzen dat u de domeinna(a)m(en) die u wenst te beveiligen in bezit hebt of dat u over een wettelijk gebruiksrecht op die domeinnaam beschikt. Wat betreft laatstgenoemde, controleren wij online databases waarin de wettelijke eigenaar van elke door ons beveiligde domeinnaam is opgenomen. Een WHOIS-rapport is een dienst die de meeste domeinnaamregistrars aanbieden en informatie geeft over het eigendom (de registrant) van het domein alsmede contactgegevens.

Voor het achterhalen van bijvoorbeeld de eigenaar van het domein Symantec.com: 1. Voeren we een WHOIS-zoekopdracht uit 2. Voeren we het betreffende domein in (bv. Symantec.com) en bekijken we de zoekresultaten 3. De registrant (eigenaar) van het domein is Symantec Corporation

Afhankelijk van uw domeinextensie(s) zal Symantec verschillende WHOIS-databases doorzoeken teneinde vast te stellen op welke naam het domein staat geregistreerd (wie de eigenaar is). Belangrijke opmerking: algemene intranetnamen (die geen Fully Qualified Domain Name bevatten) zijn op basis van brancherichtlijnen niet langer toegestaan (CA Browser Forum). Ook zijn wij verplicht te verifiëren dat de in de certificaatinschrijving genoemde domeinen zijn geregistreerd bij een domeinregistrar die is geaccrediteerd door: • ICANN (Internet Corporation for Assigned Names and Numbers): voor topleveldomeinen niet zijnde landcodes (.com, .net, .org, .biz, etc.) en internationale topleveldomeinextensies zijnde landcodes (.de, .uk, .au, .cn, etc.) • IANA (Internet Assigned Numbers Authority): voor internationale topleveldomeinextensies zijnde landcodes (.de, .uk, .au, .cn, etc.)

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Domeinauthenticatie Wat gebeurt er als het domein niet is geregistreerd op de naam van de organisatie die op de certificaatinschrijving staat vermeld? • Als de registrant (eigenaar) van de in de order ingeschreven domein(en) niet overeenkomt met de juridische organisatienaam (zoals geverifieerd tijdens organisatieauthenticatie), kunnen wij om een update van de registrantinformatie verzoeken bij de domeinregistrar om de volledige juridische organisatienaam weer te geven. • Bij een Privately Registered-domein, wat inhoudt dat de ware identiteit van de registrant niet openbaar wordt gemaakt, zullen wij verzoeken dat de identiteit (korte tijd) wel wordt vrijgegeven teneinde het eigenaarschap te kunnen bevestigen. Ook kunnen wij het domein goedkeuren als: • Het domein staat geregistreerd op naam van een geverifieerde moedermaatschappij/dochteronderneming of juridisch gelieerde organisatie. • Autorisatie wordt gegeven door de domeinbeheerder (vermeld in het WHOIS-rapport) dat de organisatie exclusieve controle over het domein heeft. Dit kan op één van volgende manieren plaatsvinden: – Mondelinge bevestiging: door te bellen met het telefoonnummer vermeld in de WHOIS – Schriftelijke bevestiging: door een e-mail te sturen naar de in de WHOIS vermelde beheerder (antwoord moet worden ontvangen vanaf hetzelfde e-mailadres als waarnaar het was verstuurd); of door het versturen van een verzoek naar de volgende vooraf goedgekeurde aliassen op uw domein • admin@ • administrator@ • webmaster@ • hostmaster@ • postmaster@

Voorbeeld: voor de inschrijving van www.symantec.com sturen wij bijvoorbeeld een e-mail naar [email protected] • Er een Professional Opinion Letter is ingediend, ondertekend en bekrachtigd door een licentiehoudende advocaat of erkend accountant in hetzelfde land als de organisatie. (Zie het hoofdstuk over Professional Opinion Letters) • De klant een praktische demonstratie van domeincontrole kan geven. Dit houdt de publicatie door de klant van een veiligheidscode op hun website in (verstrekt door onze authenticatievertegenwoordiger). – Onze authenticatievertegenwoordiger moet de organisatorische contactpersoon kunnen bereiken op een geverifieerd extern telefoonnummer dat op naam van de organisatie staat. – Als de organisatorische of technische contactpersoon niet rechtstreeks in staat is de praktische demonstratie uit te voeren, is het toegestaan een medewerker binnen de organisatie bij het gesprek te betrekken die wel in staat is aan de eisen van de praktische demonstratie te voldoen. Wel moet de organisatorische of technische contactpersoon aan de lijn blijven. – Zodra onze authenticatievertegenwoordiger de veiligheidscode en domeincontrole heeft bevestigd, kan de code weer van de website worden gehaald. Als er voor een bepaald topleveldomein geen WHOIS beschikbaar is (bv. zm-domeinen), dient de registrant rechtstreeks te worden bevestigd via de IANA-lijsten van de registrar verantwoordelijk voor dat topleveldomein.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Organisatorische eenheid/bevestiging van operationeel bestaan Als onderdeel van de CA/Browser Forum Baseline Requirements voor SSL-certificaten moet de tijdens de inschrijving in het Certificate Signing Request (CSR) opgenomen organisatorische eenheid worden bevestigd.

De Extended Validation-richtlijnen van het Certification Authority/Browser Forum stellen dat van organisaties die Extended Validation aanvragen eerst het operationele bestaan moet worden bevestigd.

Het veld voor organisatorische eenheid mag NIET het volgende bevatten: • Ongeverifieerde juridische namen (bv. Corp, Ltd., etc.) • Ongeverifieerde handelsnamen (bv. Handelend als) • Ongeverifieerde handelsmerken (bv. (tm)) • Ongeverifieerde persoonsnamen (Marc Smith) • Domeinnamen en IP-adressen

Symantec moet verifiëren dat de organisatie die zich inschrijft in staat is om in het zakelijk verkeer te handelen. Aan de vereiste inzake operationeel bestaan is voldaan als de organisatie meer dan 3 jaar bestaat en is geregistreerd, zoals bevestigd door de gebruikte bron tijdens organisatieauthenticatie.

Het veld voor organisatorische eenheid mag wel het volgende bevatten: • Afdelingsnamen • Servernamen (geen domeinnaam) • Algemene woorden en zinsdelen U mag het veld voor organisatorische eenheid leeg laten of toegestane informatie uit bovenstaande lijst opnemen. Alle in het veld voor organisatorische eenheid opgenomen informatie moet worden geverifieerd. Als wij de informatie niet kunnen verifiëren en dit niet-toegestane informatie betreft, zal onze authenticatievertegenwoordiger informatie in het CSRgedeelte eerst moeten bijwerken of (gedeeltelijk) verwijderen alvorens het certificaat kan worden verstrekt.

Voor een organisatie die minder dan 3 jaar staat geregistreerd, kunnen wij het operationeel bestaan bevestigen door: • Gebruik te maken van een geldig Dun & Bradstreet-rapport • Te verifiëren dat de organisatie over een depositorekening met direct opvraagbaar tegoed beschikt (zoals een betaalrekening) op één van de volgende manieren: -D  ocument van een onder toezicht staande financiële instelling waarin wordt geverifieerd dat de aanvrager bij die instelling een actieve en actuele depositorekening met direct opvraagbaar tegoed aanhoudt. Dit document/deze informatie moet rechtstreeks mondeling met de financiële instelling worden bevestigd, via een extern telefoonnummer, alvorens wij dit kunnen accepteren. - Een Professional Opinion Letter.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Adresverificatie Afhankelijk van het producttype verifieert Symantec mogelijk het vermelde adres op een inschrijving voor een certificaat. De te verifiëren informatie en de vereisten verschillen per producttype; wel moeten alle onvolkomenheden zijn gecorrigeerd alvorens het certificaat wordt uitgegeven. Safe Site (uitsluitend) Deze stap is vereist voor producten waarbij in het Certificate Seal een adres wordt weergegeven. Het fysieke adres van de organisatie dient te worden bevestigd via één van onderstaande externe bronnen: • Een bron van een overheidsinstantie gebruikt voor organisatieauthenticatie • Een door Symantec goedgekeurde externetelefoonnummerdatabase • Geldig Dun & Bradstreet-rapport • WHOIS-rapport • Mondelinge bevestiging via het verificatiegesprek Als het adres niet via één van bovenstaande bronnen kan worden geverifieerd, zullen wij om één van de volgende documenten verzoeken waarin de naam en het adres van de organisatie staan vermeld: • Bank- of verzekeringsafschrift • Gas-/water-/elektriciteitsrekening • Telefoonrekening

Extended Validation Het adres van de inschrijving moet een fysiek adres en mag geen postbus zijn en moet een geverifieerd geldig zakelijk adres zijn voor de organisatie of diens geverifieerde moedermaatschappij/dochteronderneming. • D  e moedermaatschappij/dochteronderneming moet zich in hetzelfde land bevinden als het land wiens rechtsmacht van toepassing is • B  ij een dochteronderneming moet sprake zijn van een meerderheidsbelang Dit adres moet kunnen worden geverifieerd via ÉÉN van de volgende bronnen: • E  en bron van een overheidsinstantie gebruikt tijdens organisatieauthenticatie • E  en geldig Dun & Bradstreet-rapport • E  en Global Authentication & Verification Report • E  en Professional Opinion Letter Komt het adres niet overeen, dan kan de organisatorische contactpersoon worden gevraagd een alternatief, verifieerbaar organisatieadres te verstrekken. De order moet vervolgens worden bijgewerkt om overeen te komen met het geverifieerde adres.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Bevestiging van extern telefoonnummer Symantec moet in staat zijn contact op te nemen met de organisatie van de klant en kunnen bevestigen dat de organisatorische contactpersoon een voltijdmedewerker is van de in de inschrijving genoemde organisatie. Teneinde dit proces te starten, zal ons authenticatieteam proberen een onafhankelijk geverifieerd (extern) telefoonnummer voor de organisatie te verkrijgen. Bevestiging dat de technische contactpersoon een voltijdmedewerker is, is toegestaan bij inschrijvingen voor Organization-Validated (OV) SSL-certificaten. Organization Validated en Safe Site (uitsluitend) Het telefoonnummer moet op naam staan van de organisatie (of geverifieerde geregistreerde handelsnaam of wettelijk gelieerde organisatie) in het land vermeld op het certificaatverzoek. Het telefoonnummer moet worden verkregen via een door Symantec goedgekeurde externe bron, zoals: • Goedgekeurd online telefoonboek (Gouden Gids) • Inlichtingendienst • Overheidsbron gebruikt voor de authenticatie van de organisatie • Dun & Bradstreet-rapport Als het ons niet lukt een geldig extern telefoonnummer van de organisatie te vinden, zullen wij per e-mail contact opnemen met de organisatorische contactpersoon en de volgende alternatieve opties aanbieden: • Het verstrekken van een geldig telefoonnummer via een Professional Opinion Letter for SSL, ondertekend en bekrachtigd door een licentiehoudende advocaat of erkend accountant in hetzelfde land als de organisatie.

• Een telefoonrekening op naam van de organisatie, inclusief het factuuradres en telefoonnummer waarvoor wordt gefactureerd. – Symantec moet vervolgens de informatie mondeling bevestigen met de uitgevende telefoonmaatschappij, via een extern telefoonnummer voor die telefoonmaatschappij. •G  ecertificeerde gas-/water-/elektriciteitsrekening, afschrift van financiële instelling, leaseovereenkomst of telefoonrekening op naam van de organisatie, inclusief het factuuradres en telefoonnummer waarvoor wordt gefactureerd. – Deze documenten moeten zijn gewaarmerkt en bekrachtigd door één van de volgende professionals in het rechtsgebied van de klant. • Notaris • Overheidsfunctionaris • Licentiehoudende advocaat • Erkend accountant De professional die de brief opstelt, zal worden geverifieerd (bij de geregistreerde Orde van Advocaten/ Raad voor de Accountancy/Kamer van Toezicht Notariaat/ overheidsinstantie) in het betreffende rechtsgebied. Als wij niet in staat zijn de professional te verifiëren, kunnen wij een ondertekende brief door die persoon niet accepteren.

Ons authenticatieteam zal proberen een onafhankelijk geverifieerd (extern) telefoonnummer voor de organisatie te verkrijgen.

Opmerking: wij accepteren geen facturen van virtuele PBXbedrijven, virtuele kantoor-/doorschakeldiensten en Voice over IP (VOIP)-diensten die geen telefoonnummers op hun facturen vermelden

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Bevestiging van extern telefoonnummer Safe Site en Code Signing for Organizations (uitsluitend) De Safe Site- en Code Signing for Organizations-procedure voor het verkrijgen van een extern telefoonnummer is gelijk aan die van een Organization Validated-certificaat, met echter maar één alternatieve optie: • Een notarieel verleden brief van een notaris die door de organisatorische contactpersoon is ondertekend. – Deze brief moet notarieel zijn verleden door een notaris of soortgelijke professional in het land van het rechtsgebied van de aanvrager of een rechtsgebied waarin de aanvrager een bevestigd kantoor of fysieke faciliteit heeft. – De notaris of soortgelijke professional dient de eigen certificeringsinformatie te vermelden aangezien wij diens actieve status zullen verifiëren. Een acceptabele notarisbrief komt in de plaats van het definitieve verificatiegesprek. Code Signing for Individuals Ter bevestiging zal een id-formulier aan de aanvrager worden gestuurd met het verzoek een kopie van een geldig paspoort en bevestiging van het telefoonnummer te verstrekken. Als een paspoort niet beschikbaar is, worden twee geldige methoden van identificatie geaccepteerd: • Door een overheid verstrekt identiteitsbewijs met vermelding van volledige naam en foto: – Rijbewijs – Nationale of staatsidentiteitskaart – Militaire identiteitskaart

Het identificatieformulier moet notarieel zijn verleden door een notaris of soortgelijke professional in het land van het rechtsgebied van de aanvrager of een rechtsgebied waarin de aanvrager een bevestigd kantoor of fysieke faciliteit heeft. Extended Validation Teneinde een telefoonnummer te verkrijgen/bevestigen voor een Extended Validation-order, moet het telefoonnummer op naam staan van de organisatie (of geverifieerde geregistreerde handelsnaam of wettelijk gelieerde organisatie), inclusief het volledige geverifieerde zakelijke adres. Het telefoonnummer moet worden verkregen via een door Symantec goedgekeurde externe bron, zoals: • Goedgekeurd online telefoonboek (Gouden Gids) • Inlichtingendienst • Overheidsbron gebruikt voor de authenticatie van de organisatie • Dun & Bradstreet-rapport Als het ons niet lukt een geldig extern telefoonnummer van de organisatie te vinden, zullen wij per e-mail contact opnemen met de organisatorische contactpersoon en de volgende alternatieve optie aanbieden: • Het verstrekken van een geldig telefoonnummer via een Professional Opinion Letter for EV, ondertekend en bekrachtigd door een licentiehoudende advocaat of erkend accountant in hetzelfde land als de organisatie.

• Secundair identiteitsbewijs met vermelding van volledige naam: – Ziekenhuiskaart – Medewerkersbadge – Gas-/water-/elektriciteitsrekening – Sociale-zekerheidskaart – Leeftijdsbewijs – Studentenkaart <> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Domain Validated

Extended Validation

Symantec Safe Site

Zijn gratis e-mailadressen toegestaan? (bv. yahoo, gmail, hotmail, etc.)

J (heeft niet de voorkeur)

N

J

N

J

Is gebrek aan overeenstemming tussen persoonlijk e-mailadres en naam contactpersoon toegestaan? (bv. Jill Smith [email protected]

N

N

N

N

N

Is in het adresveld een postbus toegestaan?

J

J

J

N

J

Moet de organisatorische contactpersoon een medewerker zijn van de organisatie die zich inschrijft?

J

J

J

J

J

Mag voor de organisatorische contactpersoon een functienaam of alias worden opgegeven? (bv. netwerkbeheerder, IT-afd.)

J

N

J

N

N

Moet de technische contactpersoon een medewerker zijn van de organisatie die zich inschrijft?

N

J

N

N

N

Mag voor de organisatorische contactpersoon een functienaam of alias worden opgegeven? (bv. netwerkbeheerder, IT-afd.)

J

N

J

N

J

Algemene regels (alle contactpersonen)

Vereisten aan contactgegevens

Technische contactpersoon

Organisatorische contactpersoon

Zorg ervoor dat uw klanten zich bewust zijn van het inschrijvingsproces voor het certificaat en dat zij tijdig gehoor geven aan alle pogingen contact op te nemen. Zo niet kan dit tot een vertraging in de uitgifte van het certificaat leiden.

Organization Validated

Symantec verifieert de op de inschrijving voor het certificaat vermelde contactgegevens. De te verifiëren informatie en de vereisten verschillen per producttype en merk; wel moeten alle onvolkomenheden zijn gecorrigeerd alvorens het certificaat wordt uitgegeven.

Code Signing

Vereisten aan contactgegevens

Belangrijke opmerking: de factureringsgegevens worden vooraf ingevuld op basis van de Partner Centeraccount en vereisen geen verdere authenticatie.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Dienstverband en bevoegdheid organisatorische contactpersoon voor EV Voor Extended Validation-certificaten moet Symantec in staat zijn contact op te nemen met uw organisatie en kunnen bevestigen dat de organisatorische contactpersoon die het certificaat aanvraagt een medewerker is van de in de order vermelde organisatie. Daarnaast moet deze persoon de bevoegdheid hebben om het certificaat namens de organisatie aan te schaffen. Bevestiging dienstverband organisatorische contactpersoon Het dienstverband van de organisatorische contactpersoon kan op verschillende wijzen worden bevestigd: • Als de organisatorische contactpersoon staat vermeld als zijnde een functionaris of bestuurder van de organisatie in: – De bedrijfsregistratie gebruikt tijdens organisatieauthenticatie – Een geldig Dun & Bradstreet-rapport – Het Global Authentication & Verification Report • Bevestiging bij de afdeling Human Resources van de organisatie – Symantec zal contact opnemen op het externe telefoonnummer (zie Bevestiging van extern telefoonnummer) • Professional Opinion Letter

Bevestiging bevoegdheid organisatorische contactpersoon Bevoegdheid geeft aan dat de organisatorische contactpersoon bevoegd is het EV-certificaat namens de organisatie aan te schaffen. De bevoegdheid kan op verschillende manieren worden vastgesteld: • De bevestiging van de bevoegdheid is een feit als de organisatorische contactpersoon staat vermeld als zijnde een functionaris of bestuurder van de organisatie in: – De bedrijfsregistratie gebruikt tijdens organisatieauthenticatie – Een geldig Dun & Bradstreet-rapport – Het Global Authentication & Verification Report • Bevestiging van de bevoegdheid van de organisatorische contactpersoon is een feit als de functienaam van de organisatorische contactpersoon door Human Resources wordt bevestigd als zijnde iemand met veronderstelde bevoegdheid – Veronderstelde bevoegdheid geldt voor iemand met de titel directeur of hoger (VP, Officer, CEO, CIO, etc.) • Bevestiging van de bevoegdheid is ook een feit via een ondertekende Bevestiging van overeenstemming. Als de organisatorische contactpersoon niet iemand is met veronderstelde bevoegdheid, kan bevestiging van bevoegdheid worden verkregen door iemand met veronderstelde bevoegdheid of door de persoon die door Human Resources wordt bevestigd als zijnde de directe leidinggevende van de organisatorische contactpersoon.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Verificatiegesprek /Bevestiging van overeenstemming De laatste stap in het validatieproces is het verificatiegesprek of -bericht. Symantec gebruikt het eerder verkregen externe telefoonnummer om de organisatorische of technische contactpersoon (indien rechtstreeks in dienst bij de organisatie) te bereiken en de inschrijvingsgegevens te verifiëren. In sommige gevallen kunnen wij het certificaat uitgeven zonder rechtstreeks met de organisatorische of technische contactpersoon te spreken. In andere gevallen is rechtstreeks contact vereist. Zie onderstaande matrix voor een overzicht van acceptabele verificatiemethoden per producttype/categorie.

Productcategorie/ -naam

Verificatiegesprek met organisatorische contactpersoon

Domain Validation

• **

Organization Validated

•

Extended Validation

•

Code Signing for Organizations

•

Code Signing for Individuals

•

Safe Site for Organizations

•

Safe Site Individuals

Verificatiegesprek met technische contactpersoon

Verificatie via bevestigde e-mail

Persoonlijke voicemailbevestiging

Verificatie niet vereist

• •*

•*

• •

*Kan enkel worden gebruikt indien dienstbetrekking en contactgegevens zijn bevestigd **Vereist voor grote ondernemingen, financiële instellingen en bekende handelsmerken

Na het voltooien van de inschrijving moet de in de inschrijving voor het certificaat vermelde organisatorische contactpersoon een Abonnementsovereenkomst (ook wel de Bevestiging van overeenstemming genoemd) voor een Extended Validation invullen. Dit is zowel online mogelijk als door het formulier te ondertekenen en aan ons per fax of e-mail te retourneren.

Bevestiging van overeenstemming-formulier De in de inschrijving voor het certificaat vermelde organisatorische contactpersoon ontvangt een kopie van het Bevestiging van overeenstemming-formulier per e-mail. Het Bevestiging van overeenstemming-formulier heeft twee onderdelen: een vereist deel en een optioneel deel. Vereiste content: Ordernummer: Ik, , verklaar de Abonnementsovereenkomst voor een SSL-certificaat van Symantec versie 6.0, waarin alle Extended Validation-voorwaarden zijn opgenomen en waarvan een exemplaar verkrijgbaar is op https://www.symantec.com/about/profile/policies/repository.jsp?tab=Tab2#stncps, te hebben gelezen en bevestig hierbij deze namens te accepteren. Inzake het aanvragen van dit Extended Validation-certificaat en het namens mijn organisatie accepteren van deze overeenkomst, bevestig ik dat (aanvrager) een van rechtswege bindende Abonnementsovereenkomst aangaat die voor de aanvrager aanzienlijke verplichtingen met zich meebrengt. Ik begrijp en erken dat een EV-certificaat fungeert als een vorm van digitale identiteit voor de aanvrager en dat het verlies of misbruik van deze identiteit aanzienlijke schade voor de aanvrager kan betekenen. Door deze Abonnementsovereenkomst te ondertekenen, verklaar ik de bevoegdheid te bezitten een digitaal equivalent van een firmastempel, zegel of (indien van toepassing) bestuurshandtekening te verkrijgen teneinde de authenticiteit van de website van het bedrijf vast te stellen en dat de aanvrager verantwoordelijk is voor elk gebruik van diens EV-certificaat. Door het ondertekenen van deze overeenkomst namens de aanvrager, verklaar ik verder dat ik (i) handel als een bevoegde vertegenwoordiger van de aanvrager, (ii) uitdrukkelijk door de aanvrager ben bevoegd Abonnementsovereenkomsten te tekenen en aanvragen van EV-certificaten namens de aanvrager goed te keuren en (iii) het exclusieve recht van de aanvrager op het/de in de EV-certificaten op te nemen domein(en) heb bevestigd. Volledige naam van de organisatorische contactpersoon: Handtekening: _______________________________________ Functienaam:__________________________________________ Datum:__________________________________________ Plaats van ondertekening (bv. stad, staat): __________________________________________

Het formulier dient te worden aangevuld met de juiste variabele velden (organisatorische contactpersoon en organisatie), die overeenstemmen met de inschrijving, en de rest van het formulier mag op geen enkele wijze worden aangepast. Belangrijke opmerking: Het is van cruciaal belang dat de Bevestiging van overeenstemming enkel wordt ondertekend door de organisatorische contactpersoon. Zo niet dan is deze nietig en kunnen wij deze niet accepteren.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Bevestiging van overeenstemming Optionele content: Overige gegevens organisatorische contactpersoon (optioneel) Ten behoeve van de orderverwerking raden wij aan Symantec te voorzien van onderstaande aanvullende contactgegevens. Wij raden bovendien aan dat u deze personen verwittigt dat Symantec contact met hen zal opnemen om bepaalde gegevens aangaande uw order voor een Extended Validation-certificaat te verifiëren. Human Resources-contactpersoon. Symantec neemt mogelijk contact op met deze persoon om uw dienstverband en

Bevestiging van overeenstemming – online Voor alle drie de SSL-merken in het Partnerprogramma websitebeveiliging van Symantec die Extended Validationcertificaten aanbieden, geldt dat de Bevestiging van overeenstemming ook online kan worden ingevuld. Gedurende de definitieve verificatie van de order is online bevestiging mogelijk door de volgende stappen te volgen:

functienaam te verifiëren. Naam _______________________________________________________ Telefoon_________________________________

Toestel _____________

De Human Resources-contactpersoon zal worden benaderd om de medewerkersverificatie te voltooien. Teneinde vertragingen te voorkomen, raden wij aan de Human Resource-contactpersoon op de hoogte te stellen van ons voornemen contact met hem/haar op te nemen. Een nieuw Bevestiging van overeenstemming-formulier is niet voor elke inschrijving vereist, mits de organisatorische contactpersoon en technische contactpersoon dezelfde blijven.

1. Een authenticatievertegenwoordiger van Symantec stuurt een gepersonaliseerde koppeling per e-mail naar het geverifieerde e-mailadres van de organisatorische contactpersoon (e-mail dient door de contactpersoon direct tijdens definitieve verificatie of door Human Resources te worden geverifieerd). 2. De authenticatievertegenwoordiger van Symantec voorziet de organisatorische contactpersoon bovendien mondeling van een veiligheidscode (telefonisch). 3. De organisatorische contactpersoon klikt vervolgens op de koppeling en controleert de overeenkomst. Na acceptatie van de voorwaarden en succesvol indienen van de eerder verstrekte veiligheidscode is het proces afgerond. Een nieuw Bevestiging van overeenstemming-formulier is niet voor elke inschrijving vereist, mits de organisatorische en technische contactpersonen dezelfde blijven.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Domain Validated-certificaten Domain Validated (DV) SSL-certificaten bieden versleuteling met enkel domeinauthenticatie. Deze certificaten omvatten niet de authenticatie van de bedrijfsidentiteit, maar bieden bevestiging dat de aanvrager aan het gebruik van het domein is gelieerd alvorens wij deze kunnen accepteren. Authenticatie van Domain Validated-producten bestaat uit het bevestigen dat de in het certificaatverzoek vermelde domeinnaam is geregistreerd en dat de domeingoedkeurder controle heeft over het domein. Volgend op de inschrijving bij het Partner Center wordt per e-mail een goedkeuringsverzoek (ook wel de Approver E-mail genoemd) gestuurd naar het tijdens het inschrijvingsproces geselecteerde e-mailadres. Wat volgt zijn enkele van de mogelijke e-mailopties tijdens het inschrijvingsproces: • Een e-mailadres vermeld in de openbare domeinregistratiedatabase (WHOIS-rapport) of • Eén van onderstaande, vooraf gedefinieerde e-mailaliassen (veelvuldig gebruikt door domeinbeheerders) in combinatie met het domein uit de certificaatinschrijving. - admin@ - administrator@ - hostmaster@ - webmaster@ - postmaster@

Voorbeeld: als de algemene naam voor het certificaat www.abc.com is, is bijvoorbeeld [email protected] een geldig e-mailadres voor de goedkeurder Zodra de Approver E-mail is ontvangen, dient de ontvanger op de koppeling te klikken om het verzoek goed te keuren of te weigeren. Dit proces bevestigt dat de goedkeurder aan de domeineigenaar is gelieerd. Als websitebeveiligingspartner kunt u de Approver E-mail opnieuw versturen of het e-mailadres van de goedkeurder veranderen (in één van bovenstaande toegestane aliassen) binnen uw Partner Center. Zie onze Knowledgebase Solutions voor specifieke instructies. Belangrijke opmerking: als het Domain Validatedcertificaatverzoek een grote onderneming, bekend handelsmerk of WILLEKEURIGE financiële instelling betreft, MOET de organisatorische contactpersoon een medewerker van de onderneming zijn. Bovendien is Symantec verplicht een verificatiegesprek te houden met de organisatorische contactpersoon op een extern telefoonnummer. (Een order voor www.visa.com moet bijvoorbeeld als organisatorische contactpersoon een medewerker van Visa vermelden en deze contactpersoon zal volledig worden geverifieerd)

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Symantec Safe Site Symantec Safe Site laat door het weergeven van het Norton Secured Seal aan de wereld zien dat Symantec uw identiteit heeft bevestigd en dat uw site een dagelijkse malwarescan ondergaat. Symantec Safe Site is verkrijgbaar voor zowel organisaties als individuen, maar biedt geen SSL-versleuteling. Symantec Safe Site for Organizations De authenticatiestappen voor Symantec Safe Site for Organizations kunt u raadplegen in de authenticatieproductmatrix. De authenticatiestappen omvatten onder andere: • Zwarte lijsten van de overheid • Organisatieauthenticatie • Domeinauthenticatie • Beoordeling organisatorische eenheid • Verificatie van zakelijk adres • Bevestiging van extern telefoonnummer • Verificatie van contactpersoon Symantec Safe Site for Individuals Symantec Safe Site-orders op naam van individuen ondergaan op het moment van inschrijving een geautomatiseerd validatieproces. De aanvrager wordt enkele vragen gesteld om zijn of haar identiteit te bevestigen. Als de aanvrager dit validatieproces met succes doorloopt, wordt de order doorgezet naar de stap domeinauthenticatie.

Als de aanvrager het validatieproces niet met succes doorloopt, moet deze persoon het formulier Notarized Confirmation (Individuals) invullen en retourneren. Dit formulier wordt vervolgens bewaard en is 25 maanden geldig. • Het formulier dient vergezeld te gaan van een fotokopie van een door de overheid uitgegeven identiteitsbewijs met foto, afgegeven in hetzelfde land als het land dat is vermeld in de inschrijving. • Als de identificatie geen adres bevat, dient dit met de hand op het formulier te worden bijgeschreven. Opmerking: het formulier Notarized Confirmation (Individuals) is niet noodzakelijk voor zelfstandige ondernemers in Oostenrijk, Duitsland, Frankrijk en Zwitserland, mits zij geldige bedrijfsregistratiedocumentatie overleggen Zodra de persoonlijke bevestiging is afgerond, wordt de order doorgezet naar domeinauthenticatie. Voor Symantec Safe Site for Individuals geldt dat de naam van de registrant (domeineigenaar) in een WHOIS-rapport overeen moet komen met de in de inschrijving vermelde persoon. Belangrijke opmerking: als het domein is geregistreerd op naam van iemand anders dan de persoon die zich voor het certificaat heeft ingeschreven, zal de domeinregistratie moeten worden bijgewerkt. Er zijn geen alternatieve methoden om domeinen voor dit type order goed te keuren.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Professional Opinion Letters Als wij niet in staat zijn één of meerdere validatiestappen van de order te bevestigen, kunnen wij om een Professional Opinion Letter (POL) verzoeken. De Professional Opinion Letter verifieert de gegevens van het certificaat en de organisatie door middel van een enkel document. Deze brief kan worden aangevraagd om één van onderstaande aspecten te bevestigen: • Authenticiteit van POR-documenten: documenten moeten bij POL zijn bijgesloten (uitsluitend OV) • Dienstbetrekking en bevoegdheid van de organisatorische contactpersoon (uitsluitend EV) • Zakelijk adres en telefoonnummer van de organisatie • Exclusief gebruiksrecht van organisatie op het domein • Operationeel bestaan van de organisatie (via bevestiging van een actieve depositorekening met direct opvraagbaar tegoed) (uitsluitend EV) Een Professional Opinion Letter is geen vervanging voor het verificatiegesprek Vereisten aan Professional Opinion Letter Een Professional Opinion Letter moet worden opgesteld door een: • Advocaat (procureur, jurist, pleitbezorger of equivalent) in het bezit van een licentie voor het uitoefenen van een advocatenpraktijk in het land van het rechtsgebied waar de aanvrager is gevestigd of enig rechtsgebied waar de aanvrager een bevestigd kantoor of fysieke faciliteit heeft. (EV en OV) OF

• Erkend accountant (registeraccountant of equivalent) in het bezit van een licentie voor het uitoefenen van een accountantspraktijk in het land van het rechtsgebied waar de aanvrager is gevestigd of enig rechtsgebied waar de aanvrager een kantoor of fysieke faciliteit heeft. (EV en OV) OF • Bevoegde overheidsfunctionaris (conform nationale regelgeving) in het land van het rechtsgebied waar de aanvrager is gevestigd of enig rechtsgebied waar de aanvrager een kantoor of fysieke faciliteit heeft. (uitsluitend OV) - H  ieronder vallen onder andere griffiers, gerechtsdienaren, registratieambtenaren, politierechters, kantonrechters en politieagenten. - Ook notarissen (buiten de VS en Canada) in dienst van de overheid of werkzaam als juridisch professional zijn soms bevoegd de POL te ondertekenen. De professional die de brief opstelt zal worden geverifieerd bij de geregistreerde Orde van Advocaten of Raad voor de Accountancy in het betreffende rechtsgebied. Als wij niet in staat zijn de professional te verifiëren, kunnen wij een ondertekende brief door die persoon niet accepteren. Belangrijke opmerking: EV-orders vereisen dat alle informatie in de Professional Opinion Letter rechtstreeks wordt bevestigd bij de advocaat of erkend accountant. Met hen zal contact worden opgenomen via de contactgegevens gedeponeerd bij de geregistreerde Orde van Advocaten of Raad voor de Accountancy in het betreffende rechtsgebied. Wij verzoeken u deze persoon te informeren over ons voornemen contact met hem of haar op te nemen om de informatie te verifiëren.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Best practices Ons streven is uw order zo snel mogelijk te leveren met strikte inachtneming van de authenticatievereisten. Een certificaat dat nog niet alle validatiestappen heeft doorlopen, wordt mogelijk niet door Symantec uitgegeven; dit zou de integriteit van het certificaat in het geding kunnen brengen. • Teneinde de uitgifte van uw order te versnellen, verzoeken wij u te verzekeren dat: – De inschrijving de juridische naam en rechtsgebied van de organisatie vermeldt – De organisatie actief en gerenommeerd is – Het domein is geregistreerd onder de juridische naam van de organisatie vermeld in de inschrijving (of van het individu indien van toepassing) – De organisatorische contactpersoon een vaste medewerker is van de organisatie die zich heeft ingeschreven (indien van toepassing) • Meldingen of informatieverzoeken worden naar de op de order vermelde organisatorische en technische contactpersonen gestuurd. Zorg ervoor dat uw klanten op de hoogte zijn van de inschrijving voor een certificaat en dat zij tijdig reageren op onze verzoeken. Zo niet dan kan dit leiden tot vertraging in de uitgifte van het certificaat. • Als u als partner niet als contactpersoon op de order staat vermeld, kunt u de orderstatus raadplegen en opmerkingen plaatsen in het Partner Center of API (quick search).

Extended Validation • Als een organisatie diens handelend als- of handelend onder de naam-naam op het certificaat wenst te vermelden, kan dit uitsluitend in het veld voor organisatienaam onder de volgende voorwaarden: – De handelsnaam is geverifieerd bij de betreffende overheidsinstantie als zijnde geldig en behorende bij de organisatie. – De naam wordt weergegeven in combinatie met de geverifieerde organisatienaam (oprichtingsnaam) Voorbeeld: Alphabet Soup (ABC Inc) Handelsnaam: Alphabet Soup Organisatienaam: ABC Inc. – Als de volledige organisatienaam plus handelsnaam onze grens van 64 tekens overschrijdt, kan enkel de organisatienaam worden gebruikt. Code Signing • Omdat zowel de organisatorische contactpersoon als technische contactpersoon van een Code Signing-order medewerkers moeten zijn van de organisatie die zich heeft ingeschreven, kan een partner zichzelf niet vermelden op deze inschrijvingen voor certificaten. • Het Code Signing-certificaat moet worden gedownload in dezelfde webbrowser die de CSR genereerde.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Partnerresources Naast deze Authenticatiehandleiding voor partners beschikken wij over aanvullende tools en resources waarmee partners snel effectiever aan de slag kunnen. Meld u vandaag nog aan.

Aanvullende resources: Symantec Knowledgebase: https://products.websecurity.symantec.com/geocenter/reseller/logon.do

Thawte Knowledgebase: • Partner Center: Symantec: https://products.websecurity.symantec.com/geocenter/reseller/logon.do Thawte: https://products.thawte.com/geocenter/reseller/logon.do GeoTrust: https://products.geotrust.com/geocenter/reseller/logon.do RapidSSL: https://products.geotrust.com/geocenter/reseller/logon.do

https://products.thawte.com/geocenter/reseller/logon.do

GeoTrust Knowledgebase: https://products.geotrust.com/geocenter/reseller/logon.do

Voor een overzicht van FAQ's voor Partner Center zoekt u binnen de Knowledgebase op AR1648.

• PartnerNet: https://partnernet.symantec.com/Partnercontent/Login.jsp PartnerNet is ontworpen uitsluitend voor onze partnercommunity en heeft alles wat u nodig hebt om nieuwe zakelijke mogelijkheden te benutten en tegemoet te komen aan de toenemende behoeften van uw klanten. Beschikbare resources in het Partner Center of op PartnerNet: • Authenticatievideo • Webcasttrainingen per productcategorie: – Domain Validated (DV) – Organization Validated (OV) – Extended Validation (EV) – Code Signing – Symantec Safe Site • Road to Profitability R2P: www.roadtoprofitability.com Neem een rondleiding door ons Partnerprogramma websitebeveiliging. Onderweg krijgt u direct waardevolle informatie waarmee u beter in staat bent vandaag nog winstgevender te worden en deze trend in de toekomst voort te zetten.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave

Contactgegevens Bezoek onze website http://go.symantec.com/wspp Voor contact met Partner Support 866-893-6565 (optie 7) of 650-426-3347 (optie 7) e-mail: [email protected] (VS, Canada en Latijns-Amerika) e-mail: [email protected] (Europa en Afrika) e-mail: [email protected] (Azië, Australië en Nieuw-Zeeland) Voor contact met het Partner Sales Team binnen de VS Ga naar go.symantec.com/wspp om te chatten met een verkoopmedewerker 866-893-6565 (optie 6) of 650-426-3347 (optie 6) e-mail: [email protected]

Over Symantec Symantec beschermt 's werelds informatie en is wereldwijd marktleider in oplossingen op het gebied van beveiliging, back-up en beschikbaarheid. Onze innovatieve producten en diensten beschermen mensen en informatie onder alle omstandigheden, van het kleinste mobiele apparaat tot zakelijke datacenters en cloudsystemen. Onze toonaangevende sectorkennis wat betreft het beschermen van gegevens, identiteiten en interacties, geeft onze klanten vertrouwen in een wereld waar iedereen is verbonden. Ga voor meer informatie naar www.symantec.com.

Symantec Worlwide Corporate Heaquarters 350 Ellis St. Mountain View, CA 94043 USA +1 (650) 527 8000 1 (800) 721 3934 www.symantec.com

Symantec Worldwide Corporate Headquarters 350 Ellis St. Mountain View, CA 94043 USA +1 (650) 527 8000 1 (800) 721 3934 www.symantec.com

Voor contact met het Partner Sales Team buiten de VS Ga naar go.symantec.com/wspp om te chatten met een verkoopmedewerker +49 69380789081 (Duitsland) +33 157324268 (Frankrijk) +44 2034505486 (Verenigd Koninkrijk) +27 21 819 2800 (Zuid-Afrika) Raadpleeg voor overige specifieke landenkantoren en contactnummers onze website.

<> Eigendomsrechtelijk beschermde en vertrouwelijke informatie van Symantec Het beleid wordt voortdurend door Symantec geëvalueerd en kan zonder voorafgaande berichtgeving op enig moment worden gewijzigd.

Terug naar inhoudsopgave