Certifikační politika CEZ, a. s. pro interní subjekty Tato certifikační politika se týká certifikátů vystavovaných interním subjektům ČEZ, a. s. a dceřiných společností ČEZ, a. s. CP OID: 1.3.6.1.4.1.36828.2.1.1.1.1.2 Verze CP: 1.1 Autoři: Petr Šetka, Mainstream Technologies, s.r.o. Petr Tesař, ČEZ, a. s. Dušan Křístek, ČEZ ICT Services, a. s.
Historie změn Verze
Datum vydání
Poznámka
1.0
1. 3. 2011
Výchozí dokument
1.1
9. 8. 2012
Přidána nová šablona certifikátu CEZINT: Wireless Access
Stránka 1 z 42
Obsah 1
Úvod ................................................................................................................................................ 9 1.1
Přehled .................................................................................................................................... 9
1.2
Název dokumentu a identifikace ............................................................................................. 9
1.3
Účastníci PKI ............................................................................................................................ 9
1.3.1
Certifikační autority ......................................................................................................... 9
1.3.2
Registrační autority ....................................................................................................... 10
1.3.3
Žadatelé o certifikát....................................................................................................... 10
1.3.4
Držitel certifikátu ........................................................................................................... 10
1.3.5
Spoléhající se strany ...................................................................................................... 10
1.3.6
Další zúčastněné subjekty ............................................................................................. 10
1.4
1.4.1
Přípustné použití certifikátu .......................................................................................... 10
1.4.2
Omezení použití certifikátu ........................................................................................... 10
1.5
3
Správa politiky ....................................................................................................................... 11
1.5.1
Organizace pověřená správou dokumentu ................................................................... 11
1.5.2
Kontaktní osoba............................................................................................................. 11
1.5.3
Osoba odpovědná za soulad CP s odpovídající CPS....................................................... 11
1.5.4
Postupy při schvalování CP ............................................................................................ 11
1.6 2
Použití certifikátů .................................................................................................................. 10
Definice a zkratky .................................................................................................................. 11
Odpovědnost za zveřejňování a úložiště informací a dokumentace............................................. 12 2.1
Úložiště informací a dokumentace........................................................................................ 12
2.2
Zveřejňování informací a dokumentace ................................................................................ 12
2.2.1
Zveřejňování certifikátů a CRL ....................................................................................... 13
2.2.2
Zveřejňování informací o certifikačních autoritách....................................................... 13
2.3
Periodicita zveřejňování informací ........................................................................................ 13
2.4
Řízení přístupů k jednotlivým typům úložišť ......................................................................... 13
Identifikace a ověření .................................................................................................................... 14 3.1
Pojmenování .......................................................................................................................... 14
3.1.1
Typy jmen ...................................................................................................................... 14
3.1.2
Požadavky na významovost jmen .................................................................................. 14
3.1.3
Anonymita a používání pseudonymu ............................................................................ 14
3.1.4
Pravidla pro interpretaci různých forem názvů ............................................................. 14
3.1.5
Jedinečnost jmen ........................................................................................................... 14
Stránka 2 z 42
3.1.6 3.2
Obchodní značky ........................................................................................................... 14
Počáteční ověření identity..................................................................................................... 14
3.2.1
Metody důkazu vlastnictví soukromého klíče ............................................................... 14
3.2.2
Ověřování identity organizace....................................................................................... 15
3.2.3
Ověření identity žadatele o certifikát ............................................................................ 15
3.2.4
Neověřované informace o žadateli o certifikát ............................................................. 16
3.2.5
Ověřování oprávnění ..................................................................................................... 16
3.2.6
Kritéria pro interoperabilitu (spolupráci) ...................................................................... 16
3.3
Identifikace a ověření požadavků na vydání následného certifikátu .................................... 16
3.3.1
Identifikace a ověření požadavků při standardním vydání následného certifikátu ...... 16
3.3.2 Identifikace a ověření požadavků na vydání následného certifikátu po zneplatnění certifikátu o obnovu odvolaných certifikátů s novým párem klíčů ............................................... 17 3.4 4
Identifikace a ověření požadavků na zneplatnění certifikátu ............................................... 17
Požadavky na životní cyklus certifikátu ......................................................................................... 17 4.1
Žádost o vystavení certifikátu ............................................................................................... 17
4.1.1
Subjekty oprávněné podat žádost o vystavení certifikátu ............................................ 17
4.1.2
Proces vystavení certifikátu a odpovědnosti poskytovatele a žadatele........................ 17
4.2
Zpracování žádosti o certifikát .............................................................................................. 19
4.2.1
Identifikace a ověření .................................................................................................... 19
4.2.2
Přijetí nebo zamítnutí žádosti o certifikát ..................................................................... 19
4.2.3
Doba zpracování žádosti o certifikát ............................................................................. 19
4.3
Vystavení certifikátu .............................................................................................................. 19
4.3.1
Úkony CA při vystavování certifikátu............................................................................. 19
4.3.2
Oznámení žadateli o vystavení certifikátu .................................................................... 20
4.4
Převzetí vystaveného certifikátu ........................................................................................... 20
4.4.1
Úkony spojené s převzetím certifikátu .......................................................................... 20
4.4.2
Zveřejnění certifikátu certifikační autoritou ................................................................. 20
4.4.3
Oznámení jiným entitám o vystavení certifikátu .......................................................... 20
4.5
Použití páru klíčů a certifikátu ............................................................................................... 20
4.5.1
Soukromý klíč žadatele a přípustné použití certifikátu ................................................. 20
4.5.2
Veřejný klíč certifikátu a spoléhající se strany .............................................................. 21
4.6
Prodloužení platnosti certifikátu ........................................................................................... 21
4.7
Vystavení následného certifikátu .......................................................................................... 21
4.7.1
Stránka 3 z 42
Podmínky pro vydání následného certifikátu................................................................ 21
4.7.2
Subjekty oprávněné požadovat následný certifikát ...................................................... 21
4.7.3
Zpracování požadavku o následný certifikát ................................................................. 21
4.7.4
Oznámení žadateli o vystavení nového certifikátu ....................................................... 21
4.7.5
Úkony spojené s převzetím následného certifikátu ...................................................... 21
4.7.6
Zveřejnění následného certifikátu certifikační autoritou .............................................. 21
4.7.7
Oznámení jiným entitám o vystavení certifikátu .......................................................... 22
4.8
Změna údajů v certifikátu...................................................................................................... 22
4.9
Zneplatnění a pozastavení platnosti certifikátu .................................................................... 22
4.9.1
Podmínky pro zneplatnění certifikátu ........................................................................... 22
4.9.2
Subjekty oprávněné žádat o zneplatnění certifikátu..................................................... 22
4.9.3
Postup zneplatnění certifikátu ...................................................................................... 22
4.9.4
Doba odkladu požadavku na zneplatnění certifikátu .................................................... 22
4.9.5
Doba, ve které musí dojít k zneplatnění certifikátu ...................................................... 22
4.9.6
Povinnosti spoléhajících se stran při ověřování, zda byl certifikát zneplatněn ............. 22
4.9.7
Periodicita vydávání seznamu zneplatněných certifikátů (CRL) .................................... 23
4.9.8
Maximální zpoždění při zveřejnění seznamu zneplatněných certifikátů (CRL) ............. 23
4.9.9
Možnost ověřování statutu certifikátu online ............................................................... 23
4.9.10
Požadavky na ověřování statutu certifikátu online ....................................................... 23
4.9.11
Jiné způsoby oznamování zneplatnění certifikátu ........................................................ 23
4.9.12
Speciální požadavky pro zneužití klíčů .......................................................................... 23
4.9.13
Podmínky pro pozastavení platnosti certifikátu............................................................ 23
4.9.14
Subjekty oprávněné požadovat pozastavení platnosti certifikátu ................................ 23
4.9.15
Zpracování požadavku na pozastavení platnosti certifikátu ......................................... 23
4.9.16
Omezení doby pozastavení platnosti certifikátu ........................................................... 23
4.10
5
Služby související s ověřováním............................................................................................. 23
4.10.1
Funkční charakteristiky .................................................................................................. 23
4.10.2
Dostupnost služeb ......................................................................................................... 24
4.10.3
Další možnosti ............................................................................................................... 24
4.11
Ukončení poskytování služeb pro držitele certifikátu ........................................................... 24
4.12
Uchování a obnova klíčů........................................................................................................ 24
4.12.1
Zásady a postupy pro uchování a obnovu klíčů............................................................. 24
4.12.2
Zásady a postupy zapouzdření šifrovacího klíče relace a jeho obnovení ...................... 25
Management, provozní, fyzická a personální bezpečnosti ........................................................... 25 5.1
Fyzické zabezpečení............................................................................................................... 25
Stránka 4 z 42
5.1.1
Umístění a konstrukce ................................................................................................... 25
5.1.2
Fyzický přístup ............................................................................................................... 25
5.1.3
Elektřina a klimatizace ................................................................................................... 25
5.1.4
Vliv vody ........................................................................................................................ 25
5.1.5
Protipožární opatření a ochrana ................................................................................... 25
5.1.6
Ukládání médií ............................................................................................................... 25
5.1.7
Nakládání s odpady ....................................................................................................... 25
5.1.8
Zálohy mimo budovu ..................................................................................................... 25
5.2
Procesní bezpečnost .............................................................................................................. 26
5.2.1
Důvěryhodné role .......................................................................................................... 26
5.2.2
Počet osob požadovaných pro jednotlivé činnosti ........................................................ 26
5.2.3
Identifikace a ověření pro každou roli ........................................................................... 26
5.2.4
Role vyžadující rozdělení povinností ............................................................................. 26
5.3
Personální bezpečnost .......................................................................................................... 26
5.3.1
Požadavky na kvalifikaci, zkušenosti a bezúhonnost..................................................... 26
5.3.2
Posouzení spolehlivosti osob......................................................................................... 26
5.3.3
Požadavky na přípravu pro výkon role, vstupní školení ................................................ 26
5.3.4
Požadavky a periodicita školení..................................................................................... 26
5.3.5
Periodicita a posloupnost rotace pracovníků mezi různými rolemi .............................. 27
5.3.6
Postihy za neoprávněné činnosti zaměstnanců ............................................................ 27
5.3.7
Požadavky na nezávislé zhotovitele (dodavatele) ......................................................... 27
5.3.8
Dokumentace poskytovaná zaměstnancům ................................................................. 27
5.4
Auditní záznamy .................................................................................................................... 27
5.4.1
Typy zaznamenávaných událostí ................................................................................... 27
5.4.2
Periodicita zpracování záznamů .................................................................................... 27
5.4.3
Doba uchování auditních záznamů................................................................................ 27
5.4.4
Ochrana auditních záznamů .......................................................................................... 27
5.4.5
Postupy pro zálohování auditních záznamů .................................................................. 27
5.4.6
Systém shromažďování auditních záznamů .................................................................. 27
5.4.7
Postup při oznamování událostí subjektu, který ji způsobil .......................................... 27
5.4.8
Hodnocení zranitelnosti ................................................................................................ 27
5.5
Archivace záznamů ................................................................................................................ 28
5.5.1
Typy záznamů ................................................................................................................ 28
5.5.2
Doba archivace záznamů ............................................................................................... 28
Stránka 5 z 42
5.5.3
Ochrana úložiště pro archivaci záznamů ....................................................................... 28
5.5.4
Postupy při zálohování archivu záznamů ...................................................................... 28
5.5.5
Požadavky na použití časových razítek při archivaci záznamů ...................................... 28
5.5.6
Systém shromažďování archivovaných informací ......................................................... 28
5.5.7
Postup získání a ověření archivovaných informací........................................................ 28
5.6
Výměna klíčů ......................................................................................................................... 28
5.7
Obnova po havárii a kompromitaci ....................................................................................... 28
5.7.1
Postup v případě incidentu a kompromitace ................................................................ 29
5.7.2
Poškození výpočetních prostředků, softwaru nebo dat ................................................ 29
5.7.3
Postupy při kompromitaci soukromého klíče subjektu ................................................. 29
5.7.4
Schopnost obnovení činnosti po havárii ....................................................................... 29
5.8
6
Ukončení činnosti CA ............................................................................................................. 30
5.8.1
Ukončení činnosti kořenové CA..................................................................................... 30
5.8.2
Ukončení činnosti podřízených CA ................................................................................ 30
Technické zabezpečení .................................................................................................................. 30 6.1
Generování a instalace páru klíčů ......................................................................................... 30
6.1.1
Generování páru klíčů ................................................................................................... 30
6.1.2
Předání soukromého klíče žadateli ............................................................................... 31
6.1.3
Předání veřejného klíče vystaviteli certifikátu .............................................................. 31
6.1.4
Předání veřejného klíče CA spoléhajícím se stranám .................................................... 31
6.1.5
Délky klíčů ...................................................................................................................... 31
6.1.6
Generování parametrů veřejných klíčů a kontrola jejich kvality ................................... 31
6.1.7
Účely použití klíčů .......................................................................................................... 31
6.2
Ochrana soukromých klíčů CA ............................................................................................... 31
6.3
Další aspekty správy páru klíčů.............................................................................................. 31
6.3.1
Archivace veřejných klíčů .............................................................................................. 31
6.3.2
Doba platnosti certifikátů a doba platnosti klíčů .......................................................... 31
6.4
Aktivační data ........................................................................................................................ 32
6.4.1
Generování a instalace aktivačních dat ......................................................................... 32
6.4.2
Ochrana aktivačních dat ................................................................................................ 32
6.4.3
Další aspekty aktivačních dat ........................................................................................ 32
6.5
Počítačové zabezpečení......................................................................................................... 32
6.5.1
Specifické technické požadavky na počítačové zabezpečení ........................................ 32
6.5.2
Hodnocení počítačového zabezpečení .......................................................................... 32
Stránka 6 z 42
6.6
7
6.6.1
Řízení vývoje systému.................................................................................................... 32
6.6.2
Kontroly řízení zabezpečení........................................................................................... 32
6.6.3
Řízení zabezpečení životního cyklu ............................................................................... 32
6.7
Síťové zabezpečení ................................................................................................................ 32
6.8
Časová razítka ........................................................................................................................ 32
Profily certifikátů, seznamů CRL a OCSP........................................................................................ 33 7.1
Číslo verze ...................................................................................................................... 33
7.1.2
Rozšíření certifikátu ....................................................................................................... 33
7.1.3
Identifikátory OID algoritmů ......................................................................................... 37
7.1.4
Zápis jmen a názvů ........................................................................................................ 37
7.1.5
Omezení jmen a názvů .................................................................................................. 37
7.1.6
OID certifikační politiky ................................................................................................. 37
7.1.7
Rozšíření „Policy Constraints“ ....................................................................................... 37
7.1.8
Syntaxe a sémantika rozšíření „Policy Qualifiers“ ......................................................... 37
7.1.9
Způsob zápisu rozšíření „Certificate Policies“ ............................................................... 37
Profil seznamu zneplatněných certifikátů (CRL) .................................................................... 37
7.2.1
Číslo verze ...................................................................................................................... 38
7.2.2
Rozšiřující položky seznamu zneplatněných certifikátů a záznamů v něm ................... 38
7.3
Profil OCSP ............................................................................................................................. 38
7.3.1
Číslo verze ...................................................................................................................... 38
7.3.2
Rozšíření OCSP ............................................................................................................... 39
Audit .............................................................................................................................................. 39 8.1
9
Profil certifikátu ..................................................................................................................... 33
7.1.1
7.2
8
Zabezpečení životního cyklu .................................................................................................. 32
Periodicita nebo okolnosti pro provedení hodnocení ........................................................... 39
Ostatní obchodní a právní záležitosti ............................................................................................ 39 9.1
Poplatky ................................................................................................................................. 39
9.2
Finanční odpovědnost ........................................................................................................... 39
9.3
Důvěrnost obchodních informací .......................................................................................... 39
9.4
Ochrana osobních údajů........................................................................................................ 39
9.4.1
Politika ochrany osobních údajů ................................................................................... 39
9.4.2
Osobní údaje.................................................................................................................. 39
9.4.3
Údaje, které nejsou považovány za senzitivní ............................................................... 39
9.4.4
Odpovědnost za ochranu osobních údajů ..................................................................... 39
Stránka 7 z 42
9.4.5
Souhlas se zpracováním osobních údajů ....................................................................... 40
9.4.6
Poskytnutí osobních údajů pro soudní či správní účely ................................................ 40
9.4.7
Jiné okolnosti zpřístupnění osobních údajů .................................................................. 40
9.5
Práva duševního vlastnictví ................................................................................................... 40
9.6
Zajištění a záruky ................................................................................................................... 40
9.6.1
Zajištění a záruky CA ...................................................................................................... 40
9.6.2
Zajištění a záruky RA ...................................................................................................... 40
9.6.3
Zajištění a záruky držitele certifikátu............................................................................. 41
9.6.4
Zajištění a záruky spoléhajících se stran ........................................................................ 41
9.6.5
Zajištění a záruky ostatních subjektů ............................................................................ 41
9.7
Zřeknutí se záruk ................................................................................................................... 41
9.8
Omezení odpovědnosti ......................................................................................................... 41
9.9
Odpovědnost za škodu, náhrada škody................................................................................. 41
9.10
Doba platnosti, ukončení platnosti ....................................................................................... 41
9.10.1
Doba platnosti ............................................................................................................... 41
9.10.2
Ukončení platnosti......................................................................................................... 41
9.10.3
Důsledky ukončení a přetrvání závazků ........................................................................ 41
9.11
Komunikace mezi zúčastněnými subjekty ............................................................................. 41
9.12
Změny .................................................................................................................................... 41
9.12.1
Postup při změnách ....................................................................................................... 41
9.12.2
Postup při oznamování změn ........................................................................................ 42
9.12.3
Okolnosti, při kterých musí být změněn identifikátor OID ............................................ 42
9.13
Řešení sporů .......................................................................................................................... 42
9.14
Rozhodné právo..................................................................................................................... 42
9.15
Shoda s právními předpisy .................................................................................................... 42
9.16
Další ustanovení .................................................................................................................... 42
9.16.1
Rámcová dohoda ........................................................................................................... 42
9.16.2
Postoupení práv............................................................................................................. 42
9.16.3
Oddělitelnost ustanovení .............................................................................................. 42
9.16.4
Zřeknutí se práv ............................................................................................................. 42
9.16.5
Vyšší moc ....................................................................................................................... 42
9.17
Další opatření ........................................................................................................................ 42
Stránka 8 z 42
1 Úvod Tento dokument představuje certifikační politiku společnosti ČEZ, a. s. Dokument odpovídá RFC 3647, některé části jsou proto uvedeny, i když se této certifikační politiky netýkají.
1.1 Přehled Tato CP popisuje požadavky, které musejí být splněny při práci s příslušnými certifikáty. Je určena pro budoucí i současné držitele certifikátů.
1.2 Název dokumentu a identifikace Název dokumentu Verze dokumentu OID této certifikační politiky Datum vydání Datum platnosti
Certifikační politika ČEZ, a. s. pro interní subjekty CP 0.6 1.3.6.1.4.1.36828.2.1.1.1.1.2. Do zneplatnění nebo do ukončení poskytování služeb certifikačních autorit ČEZ, a. s.
1.3 Účastníci PKI Poskytovatelem certifikačních služeb je ČEZ, a. s. který k tomuto účelu vybudoval infrastrukturu veřejných klíčů (dále jen „PKI ČEZ, a. s.“). PKI ČEZ, a. s. je provozována společností ČEZ ICT Services, a. s. (dále jen „Provozovatel certifikačních služeb“). V rámci PKI ČEZ, a. s. je provozována kořenová certifikační autorita CEZ Root CA a podřízené certifikační autority poskytující jednotlivé certifikační služby. Tato kapitola popisuje jednotlivé účastníky (subjekty) v rámci PKI ČEZ, a. s. Kontaktní a identifikační údaje poskytovatele certifikačních služeb: ČEZ, a. s. IČ 45274649, DIČ CZ45274649 Duhová 2 / 1444, 140 53 Praha 4 Tel: 841 842 843 e-mail:
[email protected] 1.3.1 Certifikační autority PKI ČEZ, a. s. je tvořena následující hierarchií certifikačních autorit (CA):
CEZ Root CA je kořen hierarchie certifikačních autorit provozovaných v rámci PKI ČEZ, a. s. Úkolem CEZ Root CA je vydávat a spravovat certifikáty podřízených certifikačních autorit působících v rámci PKI hierarchie ČEZ, a. s. CEZ Internal CA je podřízená certifikační autorita, jejímž úkolem je vydávat certifikáty interním subjektům (zaměstnanci ČEZ, a. s. a jejich dceřiných společností, webové servery a jiná zařízení provozovaná ČEZ ICTS, a.s.).
Výše uvedené certifikační autority musí splňovat podmínky popsané v této certifikační politice. Stránka 9 z 42
1.3.2 Registrační autority Registrační autorita (RA) je místo, kde dochází k ověření identity uživatele pro účel vydání certifikátu na token (čipovou kartu). Registrační autorita následně zprostředkovává proces vydání a předání certifikátu uživateli. RA také vystavené certifikáty zneplatňuje. 1.3.3 Žadatelé o certifikát Žadatelé o certifikát jsou objekty (uživatelské účty, počítače, aplikace, služby), které požádaly o vystavení certifikátu. V některých případech může být žadatelem jiná entita, než pro kterou je certifikát určen (například při vystavování certifikátů zapsaných na token pro uživatele nebo při vystavování certifikátů pro webové servery, o které žádají jejich správci). V takovém případě je „žadatelem“ osoba podávající žádost o certifikát, entita, jíž bude certifikát patřit, je pak označována jako „předmět (subjekt)“. Odpovědnost za takto vystavený certifikát nese vždy žadatel. 1.3.4 Držitel certifikátu Držitel certifikátu je subjekt, který požádal nebo prostřednictvím kterého bylo požádáno o vydání certifikátu a kterému byl vydán certifikát vydán. 1.3.5 Spoléhající se strany Spoléhající se stranou je obecně entita spoléhající se na certifikát vystavený CA. 1.3.6 Další zúčastněné subjekty Nejsou uplatněny.
1.4 Použití certifikátů 1.4.1 Přípustné použití certifikátu Certifikáty vystavené vydávající certifikační autoritou CEZ Internal CA v souladu s touto certifikační politikou slouží k:
Zajištění integrity dat Zajištění neodmítnutelnosti odpovědnosti Zajištění důvěrnosti dat Ustanovení sdíleného tajemství (klíče) v rámci protokolu pro bezpečnou výměnu dat Přímé šifrování a dešifrování dat Podepisování a ověření certifikátů Podepisování a ověřování CRL Podepisování a ověřování časových razítek
V případech použití certifikátu (resp. privátního klíče s ním spojeného) pro tyto účely se vlastní použití řídí příslušnými standardy. 1.4.2 Omezení použití certifikátu Certifikáty podléhající této certifikační politice lze využít pouze v infrastruktuře poskytovatele certifikačních služeb (a/nebo spřízněných organizací), jenž certifikát vystavil, nebo pro přístup k aplikacím, které poskytovatel certifikačních služeb (a/nebo spřízněná organizace) vlastní či provozuje. Certifikáty nelze používat v rozporu s platnými právními předpisy. Stránka 10 z 42
1.4.2.1 Spřízněná organizace Spřízněnou organizací je myšlena organizace majetkové propojená s poskytovatelem certifikačních služeb (ČEZ, a. s.).
1.5
Správa politiky
1.5.1 Organizace pověřená správou dokumentu Za správu této certifikační politiky odpovídá poskytovatel certifikačních služeb - ČEZ, a. s., IČ 45274649, se sídlem Duhová 2/1444, 140 53 Praha 4. 1.5.2 Kontaktní osoba Kontaktní osobou pro účely správy této certifikační politiky je CA Administrátor. Další informace je možné získat na e-mailové adrese
[email protected] a na webové adrese poskytovatele certifikačních služeb http://pki.cez.cz. 1.5.3 Osoba odpovědná za soulad CP s odpovídající CPS Za vhodnost a soulad této certifikační politiky s příslušnou certifikační prováděcí směrnicí odpovídá CA Administrátor. 1.5.4 Postupy při schvalování CP Tato certifikační politika je spravována v souladu s interními pravidly poskytovatele certifikačních služeb. Nové verze certifikační politiky vznikají podle potřeby, zejména však při změně konfigurace CA, šablon certifikátů či souvisejících postupů, které ovlivní její obsah, nebo pokud jakékoli jiné okolnosti její úpravu vyžadují. CP schvaluje CA Administrátor.
1.6
Definice a zkratky
Následující tabulka obsahuje definice použitých názvů a zkratek. Zkratka CA CP CPS CA ČEZ HSM Žadatel Subjekt Držitel certifikátu Poskytovatel certifikačních služeb Provozovatel certifikačních služeb CRL Karta zaměstnance
Stránka 11 z 42
Definice Certifikační autorita – entita vystavující certifikáty na základě schválených žádostí., generující seznamy CRL Certifikační politika Certifikační prováděcí směrnice Skupina zahrnující všechny certifikační a registrační autority provozované ČEZ, a. s. Hardware Secure Module Entita odesílající žádost certifikační autoritě o vystavení certifikátu Entita, pro kterou byl certifikát vystaven nebo je vystavován Entita, která certifikát vlastní a využívá jej při své činnosti Společnost ČEZ, a. s. Společnost ČEZ ICT Services, a. s. Seznam zneplatněných certifikátů Identifikační karta zaměstnance společnosti ČEZ, a. s., nebo její dceřiné společnosti
Security World
Certifikát (v oblasti PKI)
Nadřízený certifikát Kořenový nadřízený certifikát
Následný certifikát
Prvotní certifikát Párové klíče
Statut certifikátu Pozastavený certifikát
Zablokovaný certifikát
Zneplatněný certifikát Expirovaný certifikát
Vysoce zabezpečené a vysoce dostupné prostředí tvořené více moduly HSM a chráněné operátorskými kartami s fragmenty přístupových klíčů. Výpadek jednoho boxu HSM neznamená přerušení komunikace se soukromými klíči, které jsou tímto prostředím chráněny Je datová zpráva, která je vydána CA, spojuje veřejný klíč (=data pro ověřování elektronických podpisů) s podepisující osobou a umožňuje ověřit její identitu. Certifikát, s nímž spojené párové klíče slouží k podepisování a ověřování certifikátů nebo časových razítek. Nadřízený certifikát, který je podepsán privátním klíčem příslušným veřejnému klíči uvedenému v tomto certifikátu (angl. self-signed). Je na vrcholu hierarchie důvěry. V rámci PKI ČEZ, a s. je pouze u CEZ Root CA. Certifikát, který byl vydán podepisující osobě na základě nové žádosti o certifikát elektronicky podepsané platným privátním klíčem souvisejícím s již vydaným certifikátem, ke kterému je vydán tento následný certifikát, ať již z důvodu výměny veřejného klíče nebo navíc i změny některých údajů v certifikátu. Certifikát, který není vydáván jako následný certifikát. Vzájemně svázaná dvojice klíčů pro vytváření digitálních podpisů (soukromý klíč) a pro ověřování digitálních podpisů (veřejný klíč). Veřejné klíče jsou vesměs publikovány v certifikátech spolu s dalšími údaji zejména o identitě podepisujícího subjektu. Stav, ve kterém se certifikát nachází, tj. platný, zneplatněný, zablokovaný, pozastavený, expirovaný. Certifikát ve stavu, kdy jej nelze používat pro ověřování digitálních podpisů a příslušný soukromý klíč nelze používat pro vytváření digitálních podpisů, nicméně vydávající CA jej může učinit znovu platným. Stav, ve kterém se certifikát nachází od okamžiku, kdy jej CA, která jej vydala, zneplatnila do doby, kdy tato CA zveřejnila CRL, ve kterém je tento certifikát poprvé zařazen. Certifikát, který byl CA, která jej vydala, zneplatněn bez možnosti obnovení platnosti. Certifikát po skončení doby platnosti uvedené v tomto certifikátu.
2
Odpovědnost za a dokumentace
zveřejňování
2.1
Úložiště informací a dokumentace
a
úložiště
informací
Za zabezpečení úložiště informací a dokumentace odpovídá společnost ČEZ, a. s., jako poskytovatel certifikačních služeb.
2.2
Zveřejňování informací a dokumentace
Vystavené certifikáty jsou uloženy v databázích certifikačních autorit ČEZ, a. s. Informace o vystavených certifikátech, o provozu certifikačních autorit a dokumentaci CA jsou zveřejňovány v dále uvedeném rozsahu. Stránka 12 z 42
2.2.1 Zveřejňování certifikátů a CRL Certifikáty kořenové certifikační autority a podřízených certifikačních autorit jsou zveřejňovány:
V interním úložišti Active Directory společnosti Na webové stránce poskytovatele na adrese http://pki.cez.cz V souborovém systému certifikačních autorit
Certifikáty vystavené koncovým uživatelům nejsou veřejné. Seznamy zneplatněných certifikátů (CRL) kořenové certifikační autority a podřízené certifikační autority jsou zveřejňovány:
V interním úložišti Active Directory společnosti: Na webové stránce na adrese http://pki.cez.cz V souborovém systému certifikačních autorit
2.2.2 Zveřejňování informací o certifikačních autoritách Certifikační politiky, certifikační prováděcí směrnice, případně další dokumenty týkající se provozu certifikační autorit v rámci PKI ČEZ, a. s. jsou zveřejňovány na webové stránce:
http://pki.cez.cz
2.3
Periodicita zveřejňování informací
Informace jsou zveřejňovány v následujících intervalech:
Seznam CRL kořenové certifikační autority CEZ Root CA je zveřejňován ihned po jeho vygenerování, nejpozději však před koncem platnosti předchozího seznamu CRL, tj. alespoň jednou za 365 dnů Seznam CRL podřízené certifikační autority CEZ Internal CA je zveřejňován ihned po jeho vygenerování, obvykle jednou denně, nejpozději však jednou za 4 dny Nadřízené certifikáty v rámci PKI ČEZ, a. s. jsou zveřejňovány ihned po jejich vystavení nebo obnovení Certifikační politika je zveřejňována po schválení a vydání nové verze, vždy však před počátkem platnosti daného dokumentu Certifikační prováděcí směrnice (CPS) není zveřejňována; je zveřejňována pouze její aktuální verze a CPS je dostupná individuálně na vyžádání
2.4
Řízení přístupů k jednotlivým typům úložišť
Certifikační politika, certifikační prováděcí směrnice, certifikáty kořenových CA a seznamy odvolaných certifikátů (CRL) jsou přístupné pro čtení bez jakéhokoli omezení. Úprava zveřejněných údajů je povolena pouze autorizované osobě a procesům certifikačních autorit ČEZ, a. s.
Stránka 13 z 42
3
Identifikace a ověření
3.1
Pojmenování
3.1.1 Typy jmen Název subjektu v certifikátu je vytvořen podle standardu X.501, e-mailová adresa (je-li v certifikátu obsažena) odpovídá standardu RFC 822. 3.1.2 Požadavky na významovost jmen Certifikáty pro uživatele obsahují jejich jména v běžné formě, aby bylo možné jednoduše určit subjekt certifikátu. U certifikátů pro technické zařízení je v položce subjekt uveden název technického zařízení (tzv. host name) název nebo úplný název technického zařízení v doméně. Nadřízené certifikáty obsahují takové názvy, aby z nich bylo možné určit identitu CA. 3.1.3 Anonymita a používání pseudonymu Certifikační autority v rámci PKI infrastruktury ČEZ, a. s. nepodporují použití pseudonymu žadatele o certifikát v položce Subject certifikátu. 3.1.4 Pravidla pro interpretaci různých forem názvů V certifikátech vydávaných certifikačními autoritami ČEZ, a. s. jsou podporovány pouze následující znakové sady:
UTF8 US ASCII
E-mailová adresa uvedená v rozšíření Subject Alternative Name certifikátu může být kódována pouze znakovou sadou US ASCII. 3.1.5 Jedinečnost jmen Certifikáty mají přiřazen jedinečný identifikátor „SerialNumber“. Subjekt může disponovat více certifikáty se shodným názvem v položce Subject (a různým „SerialNumber“). Dále mohou existovat i certifikáty různých držitelů se shodným názvem (například v případě shody jmen uživatelů). 3.1.6 Obchodní značky Žadatelé o certifikát nesmí při podávání žádosti o certifikát uvádět ve svých názvech žádná slova či označení, která představují duševní vlastnictví jiných osob, nebo která nemají oprávnění užívat. Odpovědnost za dodržení tohoto ustanovení nese žadatel o certifikát.
3.2
Počáteční ověření identity
3.2.1 Metody důkazu vlastnictví soukromého klíče Žadatel o certifikát musí dokázat, že vlastní soukromý klíč tím, že certifikační autoritě dodá elektronickou žádost o certifikát ve formátu PKCS#10 (tato žádost je podepsána soukromým klíčem odpovídající veřejnému klíči uvedenému v žádosti) nebo jinou ekvivalentní kryptografickou metodou. Tento požadavek se neuplatní, je-li pár kryptografických klíčů generován v zastoupení žadatele o certifikát, například při generování klíčů na tokenu. V tomto případě je vyžadována osobní účast a ověření identity žadatele o certifikát (subjektu) na pracovišti registrační autority (RA).
Stránka 14 z 42
Vygenerování kryptografického páru klíčů a žádosti o certifikát proběhne přímo na pracovišti registrační autority (RA) za účasti žadatele o certifikát. 3.2.2 Ověřování identity organizace Neprovádí se. 3.2.3 Ověření identity žadatele o certifikát Ověření identity individuálních žadatelů o certifikát je závislé na typu vystavovaného certifikátu, a probíhá takto: Šablona (typ) certifikátu CEZINT: S/MIME Signature
Zásady vystavení (OID) 1.3.6.1.4.1.36828.2.1.1.1.1.2
CEZINT: S/MIME Encryption
1.3.6.1.4.1.36828.2.1.1.1.1.2
CEZINT: S/MIME Signature Smartcard
1.3.6.1.4.1.36828.2.1.1.1.1.2
CEZINT: S/MIME Encryption Smartcard
1.3.6.1.4.1.36828.2.1.1.1.1.2
CEZINT: Web Server
1.3.6.1.4.1.36828.2.1.1.1.1.2
CEZINT: Wireless Access
1.3.6.1.4.1.36828.2.1.1.1.1.2
CEZINT: RA Enrollment Agent Smartcard
1.3.6.1.4.1.36828.2.1.1.1.1.2
Stránka 15 z 42
Postup ověření identity Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) Žadatel o certifikát se musí osobně dostavit na pracoviště registrační autority (RA) a prokázat se Operátorovi RA platnou kartou zaměstnance. Operátor RA kontroluje platnost karty zaměstnance a shodu fotografie na kartě zaměstnance se skutečností. Žadatel o certifikát se musí osobně dostavit na pracoviště registrační autority (RA) a prokázat se Operátorovi RA platnou kartou zaměstnance. Operátor RA kontroluje platnost karty zaměstnance a shodu fotografie na kartě zaměstnance se skutečností. Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) Žadatel o certifikát se musí osobně dostavit na pracoviště registrační autority (RA), ověřit se v Active Directory a prokázat se osobě Certificate Manager platnou kartou zaměstnance. Certificate Manager kontroluje platnost karty zaměstnance a shodu fotografie na kartě zaměstnance se skutečností.
Šablona (typ) certifikátu CEZINT: Enrollment Agent Smartcard
Zásady vystavení (OID) 1.3.6.1.4.1.36828.2.1.1.1.1.2
CEZINT: Key Recovery Agent
1.3.6.1.4.1.36828.2.1.1.1.1.2
Domain Controller Authentication
1.3.6.1.4.1.36828.2.1.1.1.1.2
Directory Email Replication
1.3.6.1.4.1.36828.2.1.1.1.1.2
Postup ověření identity Žadatel o certifikát se musí osobně dostavit na pracoviště registrační autority (RA) a prokázat se osobě Operátor RA (která je zároveň držitelem certifikátu vystaveného na základě šablony CEZINT: RA Enrollment Agent Smartcard) platnou kartou zaměstnance. Operátor Ra kontroluje platnost karty zaměstnance a shodu fotografie na kartě zaměstnance se skutečností. Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos) Žadatel o certifikát je ověřen adresářovou službou Active Directory (protokol Kerberos)
3.2.4 Neověřované informace o žadateli o certifikát RA nezodpovídá za správnost ostatních atributů certifikátu vyjma CN, C, T, E, a případně AN. 3.2.5 Ověřování oprávnění Pokud žadatel žádá o vydání certifikátu, který zajišťuje speciální oprávnění, např. oprávnění pro operátora RA, musí předložit písemný dokument/dokumenty vlastnoručně podepsané odpovědným řídícím pracovníkem, na základě kterých bude moci operátor RA tyto skutečnosti věrohodně ověřit. Žadatelé o vydání nadřízených certifikátů, pokud nejsou přímo Administrátorem CA, musí hodnověrným způsobem prokázat, že jsou oprávněni žádat o vydání nadřízených certifikátů. 3.2.6 Kritéria pro interoperabilitu (spolupráci) Spolupráce s jinými poskytovateli certifikačních služeb je možná po schválení Bezpečnostním garantem CA a na základě uzavřené písemné smlouvy.
3.3
Identifikace a ověření požadavků na vydání následného certifikátu
Proces obnovy certifikátů vydáním následného certifikátu (angl. „re-key“) představuje vygenerování nového páru klíčů (pro nahrazení páru klíčů, který vyprší) a následné předání žádosti o certifikát certifikační autoritě. 3.3.1 Identifikace a ověření požadavků při standardním vydání následného certifikátu U certifikátů, jejichž žadatelé se při jeho prvotním vystavení ověřují v adresářové službě, nedochází při procesu vydávání následného certifikátu k žádnému dalšímu ověření nad rámec adresářové služby. U certifikátů zapsaných na tokeny zasílá Držitel certifikátu žádost o vystavení následného certifikátu podepsanou soukromým klíčem příslušným k platnému a obnovovanému certifikátu. V takovém Stránka 16 z 42
případě se identita držitele neověřuje. Nevyužije-li Držitel tuto možnost (zaslat žádost o vystavení certifikátu podepsanou soukromým klíčem platného certifikátu), musí se na pracovišti RA identifikovat Operátorovi stejným způsobem jako při vystavení prvotního certifikátu. 3.3.2
Identifikace a ověření požadavků na vydání následného certifikátu po zneplatnění certifikátu o obnovu odvolaných certifikátů s novým párem klíčů Pokud byl certifikát zneplatněn, provede se identifikace a ověření žadatele o následný certifikát jako v případě, kdy žadatel žádá o vydání prvotního certifikátu.
3.4
Identifikace a ověření požadavků na zneplatnění certifikátu
O zneplatnění požadavku může požádat držitel certifikátu. Držitel certifikátu, který žádá o zneplatnění certifikátu, prokáže svoji totožnost ověřením identity v adresářové službě Active Directory a následném zadání požadavku na zneplatnění certifikátu do interního systému Service Desk. V požadavku na zneplatnění uvede sériové číslo certifikátu a jméno subjektu certifikátu. Ke zneplatnění certifikátu držitele může dojít také z vůle poskytovatele certifikačních služeb. V takovém případě je oprávněným žadatelem o zneplatnění certifikátu Bezpečnostní garant CA.
4
Požadavky na životní cyklus certifikátu
4.1
Žádost o vystavení certifikátu
4.1.1 Subjekty oprávněné podat žádost o vystavení certifikátu Žádost o vystavení certifikátu mohou podle této certifikační politiky podávat:
Subjekty ověřené v adresářové službě Active Directory Autorizované osoby provozovatele certifikačních služeb
4.1.2
Proces vystavení certifikátu a odpovědnosti poskytovatele a žadatele
4.1.2.1 Certifikáty pro koncové uživatele Šablona (typ) certifikátu Vystavení certifikátu CEZINT: S/MIME Signature Automatické vystavení certifikátu (tzv. „Auto enrollment“) CEZINT: S/MIME Encryption Automatické vystavení certifikátu (tzv. „Auto enrollment“) CEZINT: S/MIME Signature Certifikát na token vystaví a token žadateli na RA předá Smartcard Operátor RA po ověření identity Žadatele a ověření existence schváleného požadavku v aplikaci Service Desk. CEZINT: S/MIME Encryption Smartcard CEZINT: Wireless Access Automatické vystavení certifikátu (tzv. „Auto enrollment“) CEZINT: Web Server Proces vystavení certifikátu se skládá z následujících kroků: Vyplnění elektronické žádosti o certifikát webového serveru (webová aplikace, místní aplikace) a generování páru klíčů – provede správce příslušného serveru Doručení žádosti o certifikát obsahující veřejný klíč certifikační autoritě Ujištění o vlastnictví soukromého klíče Schválení žádosti a vystavení certifikátu – provede Stránka 17 z 42
Šablona (typ) certifikátu
Vystavení certifikátu certifikační autorita automaticky Předání (doručení) certifikátu žadateli.
CEZINT: RA Enrollment Agent Smartcard
Žadatel o tento certifikát podá žádost o certifikát na pracovišti RA (je tím ověřen v Active Directory). Žádost schválí Certificate Manager po ověření identity žadatele, poté žadatel žádost dokončí. Certifikát na token vystaví a token žadateli na RA předá Operátor RA po ověření identity Žadatele. Žadatel o tento certifikát požádá prostřednictvím aplikace S*Key na počítači RA. Žádost schválí Certificate Manager po ověření identity všech držitelů čipových karet s fragmentem soukromého klíče KRA. Automatické vystavení certifikátu (tzv. „Auto enrollment“) Automatické vystavení certifikátu (tzv. „Auto enrollment“)
CEZINT: Enrollment Agent Smartcard CEZINT: Key Recovery Agent
Domain Controller Authentication Directory Email Replication
4.1.2.2 Nadřízené certifikáty Proces vystavení nadřízených certifikátů v rámci PKI ČEZ, a. s. probíhá v rámci ceremoniálu generování klíčů za účasti osob v bezpečnostních rolích PKI. Odpovědnost za organizaci a průběh ceremoniálu má Bezpečnostní garant CA. 4.1.2.3 Odpovědnosti poskytovatele certifikačních služeb Poskytovatel certifikačních služeb je zejména povinen:
V procesu registrace žadatele o certifikát ověřit správnost údajů v žádosti Do dvou pracovních dnů od podání žádosti posoudit žádost o certifikát (resp. žádost o následný certifikát), vydat rozhodnutí, zda bude certifikát vydán, a o tomto rozhodnutí informovat žadatele o certifikát Vydat certifikát obsahující věcně správné údaje Zveřejňovat důležité dokumenty vztahující se životnímu cyklu vydávaných certifikátů (zejména CP, CPS) na webových stránkách poskytovatele certifikačních služeb Zveřejnit nadřízené certifikáty kořenové certifikační autority CEZ Root CA a podřízených certifikačních autorit, aby se každý mohl ujistit o identitě poskytovatele certifikačních služeb Poskytovat certifikační služby v souladu s platnými právními předpisy a v souladu s dokumentací PKI (certifikační politika, certifikační prováděcí směrnice, systémová bezpečnostní politika a s ostatní provozní dokumentace)
4.1.2.4 Odpovědnosti žadatele Žadatel je povinen zejména:
Poskytovat pravdivé a úplné informace při podání žádosti o prvotní certifikát (nebo následný certifikát) Zkontrolovat, zda jsou údaje uvedené v certifikátu správné Nakládat se soukromým klíčem, který odpovídá veřejnému klíči v certifikátu tak, aby nemohlo dojít k jeho neoprávněnému zneužití Užívat soukromý klíč a odpovídající certifikát pouze pro účely stanovené v této certifikační politice
Stránka 18 z 42
V případě podezření na zneužití soukromého klíče neprodleně informovat poskytovatele certifikačních služeb, požádat o zneplatnění certifikátu a ukončit používání příslušného soukromého klíče Seznámit se s certifikační politikou a další dokumentací týkající se používání certifikačních služeb
4.2
Zpracování žádosti o certifikát
4.2.1 Identifikace a ověření Každý žadatel o certifikát, ať již z pozice žadatele či budoucího vlastníka certifikátu, musí být identifikován a ověřen v adresářové službě Active Directory cezdata.corp. Žadatelé o certifikáty zapsané na tokeny se musí osobně dostavit na pracoviště registrační autority (RA), kde je jejich identita ověřena na základě fotografie na zaměstnanecké kartě. 4.2.2 Přijetí nebo zamítnutí žádosti o certifikát Žádosti o certifikáty vystavované automaticky (tzv. autoenrollment) probíhají pro ověřené subjekty taktéž automaticky, subjekt je nemůže nijak ovlivnit. Žádosti o certifikáty podané subjektem budou automaticky přijaty, je-li subjekt ověřen v adresářové službě Active Directory cezdata.corp a má-li oprávnění o certifikát požádat. V opačném případě nelze žádost podat. Žádosti o certifikáty uložené na tokenech přijímá Operátor RA po úspěšném ověření identity Žadatele na pracovišti RA pomocí karty zaměstnance a současně při existenci schváleného požadavku žadatele o takový certifikát v aplikaci Service Desk. Při neověření identity Žadatele, absenci schváleného požadavku v aplikaci Service Desk či pochybnostech je Operátor RA oprávněn žádost o certifikát odmítnout. 4.2.3 Doba zpracování žádosti o certifikát Rozhodnutí o vydání certifikátu na základě žádosti je poskytovatel certifikačních služeb povinen učinit do dvou pracovních dnů. Do následujícího pracovního dne je pak v případě kladného rozhodnutí poskytovatel povinen certifikát vystavit. Žádosti o certifikáty vystavované automaticky (tzv. auto enrollment) jsou schvalovány ihned po ověření identity subjektu.
4.3
Vystavení certifikátu
4.3.1 Úkony CA při vystavování certifikátu Certifikáty vystavované automaticky (tzv. autoenrollment) budou certifikační autoritou vystaveny ihned po úspěšném ověření subjektu v Active Directory a dokončení procesu žádosti o certifikát, který je spuštěn taktéž automaticky. Certifikáty pro webové servery a řadiče domény budou certifikační autoritou vystaveny ihned po úspěšném ověření subjektu v Active Directory a autorizaci jeho požadavku na základě oprávnění žádat o certifikát. Certifikáty zapsané na tokeny budou certifikační autoritou vystaveny ihned po úspěšném ověření subjektu a dokončení procesu žádosti o certifikát, který spouští interaktivně agent. Stránka 19 z 42
Ostatní certifikáty vystaví certifikační autorita ihned po schválení žádosti oprávněnou osobou. 4.3.2 Oznámení žadateli o vystavení certifikátu Žadatelům o certifikát se odesílá oznámení v případě, byla-li žádost o vystavení certifikátu odmítnuta. Oznámení odesílá aplikace Service Desk.
4.4
Převzetí vystaveného certifikátu
4.4.1 Úkony spojené s převzetím certifikátu Certifikáty vystavené automaticky (tzv. auto enrollment) se automaticky instalují na koncové zařízení žadatele. Certifikáty pro webové servery a certifikáty vystavené po schválení oprávněné osoby budou, je-li to nutné, neprodleně předány subjektům v elektronické podobě (např. prostřednictvím elektronické pošty). Certifikáty zapsané na tokenech se přebírají osobním převzetím tokenu od operátora RA. Žadatel o certifikát je povinen zkontrolovat správnost údajů uvedených v certifikátu. V případě certifikátu uloženého na tokenech, podepisuje žadatel protokol o převzetí certifikátu, ve kterém je obsaženo rovněž upozornění na povinnosti, které z používání certifikátu vyplývají. 4.4.2 Zveřejnění certifikátu certifikační autoritou Certifikační autorita CEZ Internal CA nezveřejňuje vystavené certifikáty koncových uživatelů. Certifikáty vystavené certifikační autoritou CEZ Root CA (tj. nadřízené certifikáty) jsou zveřejněny v adresářové službě a na webových stránkách poskytovatele certifikačních služeb (viz kapitola 2.2.1). 4.4.3 Oznámení jiným entitám o vystavení certifikátu Žádným jiným entitám (subjektům) se neoznamuje informace o vystavení certifikátu.
4.5
Použití páru klíčů a certifikátu
4.5.1 Soukromý klíč žadatele a přípustné použití certifikátu Soukromé klíče odpovídající certifikátům vystavovaných dle této CP jsou uloženy:
V chráněných softwarových úložištích Na tokenech, nebo V hardwarovém modulu (HSM)
Držitel certifikátu je povinen nakládat se svým soukromým klíčem odpovídajícím certifikátu vystavenému v souladu s touto certifikační politikou tak, aby nemohlo dojít k jeho neoprávněnému zneužití. V případě ztráty, odcizení nebo podezření na zneužití soukromého klíče je držitel certifikátu povinen o této skutečnosti neprodleně informovat poskytovatele certifikačních služeb a zároveň ukončit používání takového soukromého klíče.
Stránka 20 z 42
4.5.2 Veřejný klíč certifikátu a spoléhající se strany Uživatel certifikátu (spoléhající se strana) vydaného certifikační autoritou CEZ Internal CA podle této certifikační politiky je povinen:
Získat nadřízené certifikáty ČEZ, a. s., které jsou v hierarchii certifikátu, z důvěryhodného zdroje (např. webové stránky poskytovatele certifikačních služeb) Před použitím certifikátu ověřit jeho platnost, stejně jako platnost certifikátů certifikačních autorit, vůči aktuálnímu seznamu zneplatněných certifikátů (CRL) Zvážit vhodnost použití certifikátu k zamýšlenému účelu,
Spoléhající se strana použije veřejný klíč z certifikátu k verifikování příslušného digitálního podpisu. V případě platnosti digitálního podpisu a platnosti certifikátu může spoléhající strana předpokládat, že předmětný digitální podpis vytvořila entita, která je uvedena v tomto certifikátu.
4.6
Prodloužení platnosti certifikátu
Certifikátům vydaným podle této CP nelze prodlužovat dobu platnosti.
4.7
Vystavení následného certifikátu
4.7.1 Podmínky pro vydání následného certifikátu Žadatel musí požádat o vystavení následného certifikátu před vypršením platnosti certifikátu, ke kterému žádá o následný certifikát. 4.7.2 Subjekty oprávněné požadovat následný certifikát Požádat o vystavení následného certifikátu mohou koncové subjekty nebo oprávněné osoby poskytovatele certifikačních služeb. 4.7.3 Zpracování požadavku o následný certifikát Požadavky na vystavení následných certifikátů vystavovaných automaticky (tzv. autoenrollment) budou zpracovány certifikační autoritou automaticky na základě ověření subjektu nebo žadatele v adresářové službě Active Directory. Požadavky na vystavení následných certifikátů vyžadující ruční schválení žádosti (certifikáty na tokenech) proběhnou ihned po schválení takové žádosti oprávněnou osobou poskytovatele certifikačních služeb. Při schvalování žádosti se postupuje v souladu s ustanoveními v článku 4.2. 4.7.4 Oznámení žadateli o vystavení nového certifikátu Žadatelům o certifikát se neodesílá žádné oznámení. 4.7.5 Úkony spojené s převzetím následného certifikátu Certifikáty vystavené automaticky se nepřebírají (jsou automaticky uloženy v chráněném úložišti subjektu), certifikáty vystavené po schválení oprávněné osoby budou subjektům neprodleně předány v elektronické podobě. 4.7.6 Zveřejnění následného certifikátu certifikační autoritou Certifikační autorita CEZ Internal CA nezveřejňuje vystavené certifikáty koncových uživatelů. Certifikáty autorit vystavené certifikační autoritou CEZ Root CA jsou zveřejněny v adresářové službě Active Directory a na webových stránkách poskytovatele certifikačních služeb (viz kapitola 2.2.1). Stránka 21 z 42
4.7.7 Oznámení jiným entitám o vystavení certifikátu Žádným entitám se neoznamuje informace o vystavení certifikátu.
4.8
Změna údajů v certifikátu
Podle této CP není podporováno žádné vystavení dalšího nového certifikátu na párové klíče, které příslušely již jednou vystavenému certifikátu.
4.9
Zneplatnění a pozastavení platnosti certifikátu
Platnost certifikátu je ukončena v okamžiku jeho zneplatnění a zveřejnění na seznamu zneplatněných certifikátů (CRL). Platnost certifikátu taktéž skončí (i bez zneplatnění) v čase uvedeném v certifikátu. 4.9.1 Podmínky pro zneplatnění certifikátu Důvody pro zneplatnění certifikátu jsou následující:
Podezření z kompromitace odpovídajícího soukromého klíče Žádost držitele certifikátu Ukončení zaměstnaneckého poměru subjektu v ČEZ, a. s. nebo v dceřiné společnosti ČEZ Na základě zjištění CA ČEZ nebo spolupracujících subjektů se věcný obsah certifikátu stane neplatným Porušení ustanovení certifikační politiky ze strany držitele certifikátu Dojde ke kompromitaci soukromého klíče CEZ Internal CA, která certifikát vydala
4.9.2 Subjekty oprávněné žádat o zneplatnění certifikátu O zneplatnění certifikátu vydaného CEZ Internal CA může požádat jeho držitel a jeho nadřízený nebo správce certifikátů certifikační autority, který certifikát vystavila (osoba v roli Certificate manager). O zneplatnění nadřízených certifikátů vydaných CEZ Root CA může požádat Bezpečnostní garant CA. 4.9.3
Postup zneplatnění certifikátu
4.9.3.1 Postup pro zneplatnění certifikátů koncových uživatelů Držitel certifikátů nebo jeho nadřízený předá žádost o zneplatnění certifikátu prostřednictvím aplikace Service Desk správci certifikátů certifikační autority, který certifikát vystavila. Správce certifikátů CA poté spustí proces zneplatnění certifikátu. Správce certifikátů CA může taktéž spustit proces zneplatnění certifikátu bez žádosti jeho držitele. 4.9.3.2 Postup pro zneplatnění nadřízených certifikátů O zneplatnění nadřízených certifikátů může požádat Bezpečnostní garant CA. 4.9.4 Doba odkladu požadavku na zneplatnění certifikátu Požadavky na zneplatnění certifikátu by měly být předány bez prodlení v co nejkratší době po identifikaci skutečnosti, která je důvodem pro zneplatnění certifikátu. 4.9.5 Doba, ve které musí dojít k zneplatnění certifikátu Správce certifikátů CA provede zneplatnění certifikátu a zveřejnění seznamu zneplatněných certifikátů (CRL) s tímto certifikátem nejpozději do 2 pracovních dnů od přijetí žádosti. 4.9.6 Povinnosti spoléhajících se stran při ověřování, zda byl certifikát zneplatněn Viz odstavec 4.5.2. Stránka 22 z 42
4.9.7 Periodicita vydávání seznamu zneplatněných certifikátů (CRL) Seznam zneplatněných certifikátů (CRL) vydávající certifikační autority CEZ Internal CA je vydáván jednou denně s dobou platnosti 4 dny. Seznam zneplatněných certifikátů kořenové certifikační autority CEZ Root CA je vydáván každých 350 až 365 dnů s platností 365 dnů. Pokud vyprší platnost zneplatněného certifikátu, je z následných seznamů zneplatněných certifikátů vypuštěn. Seznam zneplatněných certifikátů (CRL) je zveřejňován na následujících místech:
Na webových stránkách poskytovatele certifikačních služeb http://pki.cez.cz V adresářové službě Active Directory
Primárním zdrojem aktuálního CRL je adresářová služba Active Directory. 4.9.8 Maximální zpoždění při zveřejnění seznamu zneplatněných certifikátů (CRL) Seznamy zneplatněných certifikátů (CRL) jsou zveřejňovány bez zbytečného odkladu ihned po jejich vydání. 4.9.9 Možnost ověřování statutu certifikátu online Není poskytováno. 4.9.10 Požadavky na ověřování statutu certifikátu online Žádné ustanovení. 4.9.11 Jiné způsoby oznamování zneplatnění certifikátu Nejsou poskytovány. 4.9.12 Speciální požadavky pro zneužití klíčů Nejsou stanoveny. 4.9.13 Podmínky pro pozastavení platnosti certifikátu Certifikátům vydaným podle této CP nelze pozastavit platnost. 4.9.14 Subjekty oprávněné požadovat pozastavení platnosti certifikátu Není poskytováno. 4.9.15 Zpracování požadavku na pozastavení platnosti certifikátu Není poskytováno. 4.9.16 Omezení doby pozastavení platnosti certifikátu Není poskytováno.
4.10
Služby související s ověřováním
4.10.1 Funkční charakteristiky Statut certifikátu lze zjistit na platném seznamu zneplatněných certifikátů (CRL). Primárním zdrojem seznamu CRL je adresářová služba Active Directory a webové stránky http://pki.cez.cz.
Stránka 23 z 42
4.10.2 Dostupnost služeb Seznam zneplatněných certifikátů je k dispozici 7 dnů v týdnu 24 hodin denně. 4.10.3 Další možnosti Nejsou stanoveny.
4.11
Ukončení poskytování služeb pro držitele certifikátu
Poskytování služeb je pro držitele certifikátu automaticky ukončeno vypršením platnosti certifikátu nebo jeho zneplatněním. Dále je poskytování služeb ukončeno okamžikem, kdy pominou důvody užití certifikátu (například ukončením ověřování pomocí certifikátů na webovém serveru).
4.12
Uchování a obnova klíčů
Certifikační autorita CEZ Internal CA uchovává soukromé klíče držitelů certifikátů pro certifikáty vystavené na základě následujících šablon:
CEZINT: S/MIME Encryption CEZINT: S/MIME Encryption Smartcard
4.12.1 Zásady a postupy pro uchování a obnovu klíčů Soukromé klíče držitelů certifikátů jsou u vybraných typů certifikátů (viz. ustanovení 4.12 ) v prostředí PKI ČEZ, a. s. archivovány. Archivované soukromé klíče jsou uloženy v zašifrované formě. Soukromý klíč může být bez vědomí držitele obnoven pouze, nařizují-li tak právní předpisy, nebo pokud si to vyžádá nadřízený držitele. Obnova archivovaného klíče probíhá na pracovišti RA a účastní se jí následující role:
Držitelé potřebného počtu fragmentů klíče role Key Recovery Agent, kteří dešifrují datový objekt soukromého klíče získaného z databáze certifikační autority CEZ Internal CA; jeden z nich zároveň určí, k jakému záznamu v aplikaci Service Desk bude soukromý klíč obnoven Aplikace, která zašifruje získaný soukromý klíč, klíč odešle uživateli jako e-mailovou zprávu a heslo ke klíči formou SMS
Poskytoval certifikačních služeb je povinen:
V případě, že je prováděna archivace soukromých klíčů u vybraného typu certifikátu, upozornit na tuto skutečnost držitele certifikátů Přijmout veškerá bezpečnostní opatření, která zajistí ochranu archivovaných soukromých klíčů proti jejich zneužití Zajistit ochranu všech informací, včetně klíčů agentů obnovení, které lze využít k obnovení soukromých klíčů Obnovit soukromý klíč jen na základě oprávněného požadavku Neposkytovat držitelům informace o obnovení klíčů, pokud o toto obnovení přímo nepožádali Nezveřejňovat archivované klíče a související informace žádné třetí straně s výjimkou zákonných požadavků nebo v případě požadavku nadřízených držitele
Stránka 24 z 42
4.12.2 Zásady a postupy zapouzdření šifrovacího klíče relace a jeho obnovení Soukromé klíče jsou uloženy v databázi certifikační autority CEZ Internal CA v zašifrované podobě. V průběhu přenosu do databáze je klíč zašifrován, v databázi je pak uložen taktéž zašifrovaný. Šifrovací klíče pro přenos a uložení soukromého klíče se liší. Proces obnovení soukromého klíče je popsán v odstavci 4.12.1.
5
Management, provozní, fyzická a personální bezpečnosti
5.1
Fyzické zabezpečení
5.1.1 Umístění a konstrukce Certifikační autority provozované v souladu s touto certifikační politikou jsou umístěny v prostorách datových center provozovatele certifikačních služeb. Tato pracoviště jsou proti neoprávněnému vniknutí chráněna mechanickými prostředky a bezpečnostní službou. Je zpracována bezpečnostní dokumentace stanovující požadavky na fyzickou bezpečnost těchto prostor. 5.1.2 Fyzický přístup Každé pracoviště má vlastní provozní řád, ve kterém je definováno kdo a za jakých podmínek má na dané pracoviště přístup. Na všechny pracoviště je řízen fyzický přístup osob tak, aby byly splněny požadavky na fyzickou bezpečnost. 5.1.3 Elektřina a klimatizace Pracoviště jsou připojena na nepřetržitý zdroj napájení (UPS) a jsou vybavena klimatizačními jednotkami pro udržení optimální teploty. 5.1.4 Vliv vody Pracoviště jsou umístěna mimo zátopové oblasti. 5.1.5 Protipožární opatření a ochrana Pracoviště jsou vybavena elektronickou požární signalizací. Signalizace je vyvedena na pracoviště obsazené nepřetržitě 24x7. 5.1.6 Ukládání médií Pro data související s certifikačními službami jsou k dispozici trezory. 5.1.7 Nakládání s odpady Papírové dokumenty a média používaná v souvislosti s certifikačními službami jsou v případě nepotřebnosti likvidována bezpečným způsobem. 5.1.8 Zálohy mimo budovu Záložní datová centra jsou v případě výpadku aktuálních k dispozici, musí však mezi nimi dojít k migraci virtuálního serveru hostujícího certifikační autoritu CEZ Internal CA a serverů s doplňkovými aplikacemi. Zálohy serverů jsou uloženy na jiném fyzickém místě, než jsou umístěny servery.
Stránka 25 z 42
5.2
Procesní bezpečnost
5.2.1 Důvěryhodné role Pro správu a provoz certifikačních služeb ČEZ, a. s. jsou definovány bezpečnostní role. Poskytovatel certifikačních služeb má vytvořeny pravidla pro obsazování osob do těchto rolí, pro jmenování a odvolávání pracovníků. Oprávnění přístupu (na úrovni fyzického a logického přístupu k informačním aktivům certifikačních autorit) jsou založena na těchto bezpečnostních rolích. 5.2.2 Počet osob požadovaných pro jednotlivé činnosti Vystavující certifikační autorita CEZ Internal CA vyžaduje pro správu a další činnosti separaci rolí. Držitel současně více než jediné bezpečnostní role ztratí ke správě veškerá oprávnění. Jednotlivé specifické kroky správy může provádět vždy jen jediná osoba s výjimkou následujících kroků (v závorce uvedený nutný počet osob):
Obnova certifikátu a CRL kořenové certifikační autority CEZ Root CA (3 osoby) Obnova certifikátu vystavující certifikační autority CEZ Internal CA (4 osoby) Obnova archivovaného soukromého klíče držitele certifikátu (2 osoby) Restartování serveru s vystavující CEZ Internal CA (2 osoby)
5.2.3 Identifikace a ověření pro každou roli Obsluha každé bezpečnostní role se musí před přístupem k informačním aktivům certifikačních autorit nejprve ověřit v adresářové službě. Používá se ověření pomocí jména a hesla a/nebo pomocí certifikátu. 5.2.4 Role vyžadující rozdělení povinností Certifikační autorita CEZ Internal CA vystavující certifikáty je provozována v režimu separace rolí. Doplňkové činnosti jsou zabezpečeny tak, aby je nemohl provést pouze jediný pracovník.
5.3
Personální bezpečnost
5.3.1 Požadavky na kvalifikaci, zkušenosti a bezúhonnost Role zajišťující chod a správu certifikačních služeb jsou dle existujících procedur obsazovány důvěryhodnými a zkušenými pracovníky. Obdobné procedury platí i pro spolupráci s externími subjekty (dodavateli). 5.3.2 Posouzení spolehlivosti osob Do rolí správy certifikačních služeb jsou jmenovány osoby, které patří mezi zaměstnance provozovatele certifikačních služeb a které mají dobré pracovní i osobní reference. U externích dodavatelů se uplatní stejná měřítka. 5.3.3 Požadavky na přípravu pro výkon role, vstupní školení Všichni pracovníci podílející se na chodu a správě certifikačních služeb jsou vyškoleni. Součástí školení je i školení o bezpečnosti PKI infrastruktury a o chování v havarijních situacích. 5.3.4 Požadavky a periodicita školení Školení obsluhy je organizováno při změnách v konfiguraci či postupech správy, nejméně jednou za dva roky.
Stránka 26 z 42
5.3.5 Periodicita a posloupnost rotace pracovníků mezi různými rolemi Žádné ustanovení. 5.3.6 Postihy za neoprávněné činnosti zaměstnanců Postihy za porušení pracovní kázně se řídí organizačními předpisy provozovatele certifikačních služeb nebo smlouvami mezi jimi a externími dodavateli. 5.3.7 Požadavky na nezávislé zhotovitele (dodavatele) Na smluvní (externí) pracovníky jsou uplatňována obdobná kritéria jako na zaměstnance provozovatele certifikačních služeb. 5.3.8 Dokumentace poskytovaná zaměstnancům Zaměstnanci udržující chod a spravující certifikační služby mají k dispozici následující dokumentaci:
Certifikační prováděcí směrnice Certifikační politiky Systémová bezpečnostní politika Příručka pro obsluhu
5.4
Auditní záznamy
5.4.1 Typy zaznamenávaných událostí V prostředí PKI ČEZ, a. s. se automaticky protokolují události uvedené v kapitole 5.5.1. 5.4.2 Periodicita zpracování záznamů Auditní záznamy kontrolují pověření pracovníci v intervalu minimálně 1x za 14 dní. 5.4.3 Doba uchování auditních záznamů Auditní záznamy jsou v místě vzniku ponechány do doby, než jsou archivovány v souladu s odstavcem 5.5.2. 5.4.4 Ochrana auditních záznamů Auditní záznamy jsou uchovávány tak, aby byly chráněny proti krádeži, neoprávněnému zpřístupnění a modifikaci, zničení (úmyslnému i neúmyslnému). 5.4.5 Postupy pro zálohování auditních záznamů Auditní záznamy se nezálohují, podléhají pouze archivaci. 5.4.6 Systém shromažďování auditních záznamů Auditní záznamy jsou shromažďovány v databázi dohledového systému. Každý auditní záznam obsahuje alespoň informace o serveru, který jej generoval, času, datu a identifikaci události. 5.4.7 Postup při oznamování událostí subjektu, který ji způsobil Subjektu, který způsobil událost v auditním logu, není taková skutečnost oznamována. 5.4.8 Hodnocení zranitelnosti Auditní záznamy certifikačních autorit jsou pravidelně vyhodnocovány v souladu s odstavcem 5.4.2. na výskyt nestandardních stavů a událostí, které mohou znamenat pokus o narušení zabezpečení. Na jejich základě dochází k vyhodnocení stavu prostředí, a to alespoň jednou za rok.
Stránka 27 z 42
5.5
Archivace záznamů
5.5.1 Typy záznamů Archivují se následující typy záznamů:
Záznamy o požadavku na vystavení certifikátu včetně výsledku Záznamy o neoprávněném požadavku na vystavení certifikátu včetně výsledku Záznamy o pokusu neoprávněného přístupu do systému Záznamy o zneplatnění certifikátu Záznamy o zveřejnění CRL Vystavená CRL Záznamy o nedostupnosti služby Certificate Services Záznamy o obnově soukromého klíče subjektu Záznamy o změně nastavení auditu
5.5.2 Doba archivace záznamů Auditní záznamy se archivují po dobu 5 let. 5.5.3 Ochrana úložiště pro archivaci záznamů Archiv je zabezpečen mechanicky a je chráněn proti vlivům prostředí (teplota, požár). Pro uložení archivních informací jsou dispozici trezory. 5.5.4 Postupy při zálohování archivu záznamů Archivované záznamy nejsou dále zálohovány. 5.5.5 Požadavky na použití časových razítek při archivaci záznamů Časová razítka nejsou používána. 5.5.6 Systém shromažďování archivovaných informací Informace o činnosti certifikačních služeb jsou archivovány společně pro všechny certifikační autority tvořící certifikační služby. 5.5.7 Postup získání a ověření archivovaných informací Přístup k archivům mají pouze osoby v definovaných rolích správy.
5.6
Výměna klíčů
Platnost klíčů certifikačních autorit v rámci PKI ČEZ, a. s. je omezena. Klíče certifikačních autorit jsou nahrazeny novými klíči nejpozději na konci své životnosti. S dostatečným předstihem (nejpozději 1 rok) před vypršením platnosti certifikátu CEZ Root CA nebo CEZ Internal CA se musí uskutečnit ceremoniál generování soukromých klíčů CA. Postup ceremoniálu generování soukromých klíčů CA je uveden v dokumentu pro obsluhu certifikačních služeb.
5.7
Obnova po havárii a kompromitaci
Pro obsluhu certifikačních služeb byl vypracován dokument obsahující postupy pro krizové situace a následnou obnovu.
Stránka 28 z 42
5.7.1 Postup v případě incidentu a kompromitace Zabezpečení informačních aktiv certifikačních autorit v případě havárie je popsáno v dokumentu obsahující postupy pro krizové situace a následnou obnovu. Zálohy prostředí certifikačních autorit jsou ukládány také mimo lokalitu datového centra, ve kterém jsou umístěny prostředky certifikačních autorit, aby je bylo možné použít v případě totální havárie. 5.7.2 Poškození výpočetních prostředků, softwaru nebo dat Zabezpečení informačních aktiv certifikačních autorit v případě havárie je popsáno v dokumentu obsahující postupy pro krizové situace a následnou obnovu. V rámci záloh a archivace jsou k dispozici jednotlivé součásti certifikačních služeb, které umožňují provést obnovu i na jiný hardware. 5.7.3
Postupy při kompromitaci soukromého klíče subjektu
5.7.3.1 Kompromitace soukromého klíče kořenové certifikační autority V případě podezření z kompromitace soukromého klíče kořenové certifikační autority CEZ Root CA bude mimořádně ukončena činnost této certifikační autority. Oznámení o tomto kroku, včetně důvodů, bude k dispozici na webové stránce na adrese http://pki.cez.cz, a všichni držitelé certifikátů budou na tento stav upozorněni e-mailovou zprávou. Obratem budou zneplatněny certifikáty všech podřízených certifikačních autorit a bude zveřejněn nový seznam CRL, což zneplatní všechny vystavené certifikáty. Kořenová certifikační autorita bude poté zničena (odinstalovány certifikační služby a operační systém, bezpečně smazány obsahy všech datových médií, včetně záloh soukromých klíčů), její média budou vymazána a bude o tom pořízen zápis. 5.7.3.2 Kompromitace soukromého klíče podřízené certifikační autority V případě podezření z kompromitace soukromého klíče podřízené certifikační autority CEZ Internal CA bude mimořádně ukončena její činnost. Oznámení o tomto kroku, včetně důvodů, bude k dispozici na webové stránce na adrese http://pki.cez.cz a dané certifikační autority (viz kapitola 2.2.1.) a všichni držitelé certifikátů od této autority budou na tento stav upozorněni e-mailovou zprávou. Obratem bude zneplatněn certifikát této podřízené certifikační autority a bude zveřejněn nový seznam CRL, což zneplatní všechny certifikáty vystavené touto autoritou. Podřízená certifikační autorita bude poté zničena (odinstalovány certifikační služby a operační systém, bezpečně smazány obsahy všech datových médií, včetně záloh soukromých klíčů), její média budou vymazána a bude o tom pořízen zápis. 5.7.4 Schopnost obnovení činnosti po havárii Pokračování procesů certifikační autority po havárii závisí na typu havárie a jejích následcích a je věcí rozhodnutí Bezpečnostního garanta CA. Při rozhodnutí o neukončení provozu nepřekročí doba výpadku certifikační autority 7 dnů.
Stránka 29 z 42
5.8
Ukončení činnosti CA
5.8.1 Ukončení činnosti kořenové CA Ukončení činnosti kořenové certifikační autority CEZ Root CA bude oznámeno na webové stránce http://pki.cez.cz. Nebude-li kořenová CA schopna zajistit případné zneplatnění vydaných certifikátů a zveřejnění CRL po celou dobu jejich platnosti, musí o této skutečnosti informovat držitele platných certifikátů spolu s uvedením data, dokdy bude její služba poskytována. Minimální doba je v tomto případě 1 měsíc od zaslání upozornění. K tomuto datu zneplatní kořenová CA všechny vydané certifikáty a zveřejní poslední seznam CRL. Poskytovatel certifikačních služeb zajistí prokazatelné zničení kořenové certifikační autority (odinstaluje certifikační služby a operační systém, bezpečně vymaže obsah všech datových médií, včetně záloh soukromých klíčů), jeho média budou vymazána a bude o tom pořízen zápis. 5.8.2 Ukončení činnosti podřízených CA Ukončení činnosti podřízené certifikační autority CEZ Internal CA bude oznámeno na webové stránce tohoto úřadu a na webové stránce kořenové CA http://pki.cez.cz. Nebude-li podřízená CA schopna zajistit případné zneplatnění vydaných certifikátů a zveřejnění CRL po celou dobu jejich platnosti, musí o této skutečnosti informovat držitele platných certifikátů spolu s uvedením data, dokdy bude její služba poskytována. Minimální doba je v tomto případě 1 měsíc od zaslání upozornění. K tomuto datu zneplatní podřízená CA všechny vystavené certifikáty a zveřejní poslední seznam CRL. Kořenová CA provede následně zneplatnění certifikátu podřízené CA a zveřejní nový seznam CRL. Poskytovatel certifikačních služeb zajistí prokazatelné zničení podřízené certifikační autority (odinstaluje certifikační služby a operační systém, bezpečně vymaže obsah všech datových médií, včetně záloh soukromých klíčů), její média budou vymazána a bude o tom pořízen zápis.
6
Technické zabezpečení
6.1
Generování a instalace páru klíčů
6.1.1 Generování páru klíčů Soukromé klíče žadatelů o certifikát jsou generovány a uchovávány v dedikovaném softwarovém úložišti žadatele nebo (v případě certifikátů zapsaných na tokeny) jsou uloženy v dedikovaném úložišti na hardwarovém tokenu. Kryptografický pár klíčů vystavující certifikační autority CEZ Internal CA je generován a uložen v externím certifikovaném hardwarovém modulu (HSM). Pro přístup do tohoto úložiště je nutné vlastnit čipovou kartu a kód PIN. Privátní klíč certifikační autority nelze exportovat mimo modul HSM. Kryptografický pár klíčů kořenové certifikační autority CEZ Root CA je generován a uložen (v šifrované podobě) v dedikovaném softwarovém úložišti na serveru kořenové certifikační autority. Disk serveru kořenové certifikační je chráněn fyzickými prostředky (trezor s řízeným přístupem). Stránka 30 z 42
6.1.2 Předání soukromého klíče žadateli Služba generování soukromého klíče pro žadatele není podporována. Žadatel musí generovat privátní klíč sám. 6.1.3 Předání veřejného klíče vystaviteli certifikátu Žadatelé o certifikát zasílají své žádosti o certifikáty ve formě požadavku PKCS#10. 6.1.4 Předání veřejného klíče CA spoléhajícím se stranám Nadřízené certifikáty jsou zveřejněny způsobem popsaným v kapitole 2. Certifikáty koncových uživatelů nejsou zveřejněny. 6.1.5 Délky klíčů Klíče kořenového certifikační autority CEZ Root CA mají délku 4 096 bitů. Klíče podřízené certifikační autority CEZ Internal CA mají délku 2 048 bitů. Klíče držitelů certifikátů mají délku 1 024, nebo 2 048 bitů. 6.1.6 Generování parametrů veřejných klíčů a kontrola jejich kvality Parametry využívané při vytváření veřejných klíčů žadatelů jsou generovány jejich vlastním SW nebo HW vybavením. Certifikační autorita vydá certifikát každému oprávněnému žadateli na základě správně poskytnuté žádosti. 6.1.7 Účely použití klíčů Veřejné klíče držitelů mohou být použity pouze v souladu s pravidly popsanými v odstavci 1.4.
6.2
Ochrana soukromých klíčů CA
Při poskytování certifikačních služeb je používán hardwarový kryptografický modul (HSM) pro ochranu soukromého klíče certifikační autority CEZ Internal CA. Soukromé klíče ostatních držitelů certifikátů jsou uloženy buď v jejich chráněných úložištích operačního systému, nebo na tokenech. Další otázky ochrany soukromých klíčů příslušných k nadřízeným certifikátům jednotlivých úrovňových CA, normy pro kryptografické moduly, metody sdílení tajemství, zálohování těchto soukromých klíčů, aktivace, deaktivace, import, export soukromého klíče, uložení a ničení soukromého klíče jsou podrobně popsány v příslušné CPS a Systémové bezpečnostní politice.
6.3
Další aspekty správy páru klíčů
6.3.1 Archivace veřejných klíčů Veřejné klíče ve formě certifikátů koncových uživatelů jsou archivovány pro účely obnovení infrastruktury PKI po havárii. 6.3.2 Doba platnosti certifikátů a doba platnosti klíčů Doba platnosti certifikátů koncových uživatelů je dána nastavením šablony certifikátu, a pohybuje se od 1 do 2 roků (dle typu certifikátu). Doba platnosti páru klíčů je shodná s platností certifikátu, Doba platnosti certifikátů vystavující certifikační autority CEZ Internal CA je 5 let a shoduje se s dobou platnosti páru klíčů. Doba platnosti certifikátu kořenové certifikační autority CEZ Root CA je 10 let a shoduje se s dobou platnosti páru klíčů.
Stránka 31 z 42
6.4
Aktivační data
6.4.1 Generování a instalace aktivačních dat Aktivační data (hesla, kódy PIN) jsou spolu s tokeny uživatelům předávány ve výchozí a jednotné podobě. Každý držitel tokenu je povinen definovat kód PIN vy smyslu „silného hesla“. PIN lze z pohledu držitele tokenu měnit bez omezení. 6.4.2 Ochrana aktivačních dat Aktivační data musejí být chráněna před prozrazením neoprávněným osobám. 6.4.3 Další aspekty aktivačních dat Nejsou implementovány.
6.5
Počítačové zabezpečení
6.5.1 Specifické technické požadavky na počítačové zabezpečení Každá součást certifikační autority je zabezpečena na logické úrovni v souladu s doporučeními výrobce operačního systému a nadstavbových aplikací. 6.5.2 Hodnocení počítačového zabezpečení Součásti certifikačních služeb Windows Server 2008 R2 mají bezpečnostní certifikaci FIPS 140-2 Level 1.
6.6
Zabezpečení životního cyklu
6.6.1 Řízení vývoje systému Implementace systému certifikační autority byla provedena v souladu s doporučeními výrobce a dle bezpečnostních zásad poskytovatele certifikačních služeb pro oblast změnového řízení. Veškeré změny v prostředí certifikačních autorit ČEZ, a. s. jsou řízeny dle těchto bezpečnostních zásad. 6.6.2 Kontroly řízení zabezpečení Provozovaná PKI ČEZ, a. s. je předmětem kontroly a auditu dle standardních postupů poskytovatele certifikačních služeb. 6.6.3 Řízení zabezpečení životního cyklu Není implementováno.
6.7
Síťové zabezpečení
Kořenová certifikační autorita CEZ Root CA není připojena k síti ostatních serverů či jiných počítačů. Podřízená certifikační autorita CEZ Internal CA je v síti s ostatními servery, počítači a dalšími zařízeními.
6.8
Časová razítka
Nejsou používána.
Stránka 32 z 42
7
Profily certifikátů, seznamů CRL a OCSP
7.1
Profil certifikátu
Profily vystavovaných certifikátů odpovídají RFC 3280 (Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile). Certifikáty pro koncové subjekty jsou vystavovány s následujícími položkami: Položka Verze Sériové číslo Vystavitel Platnost od Platnost do Předmět Veřejný klíč
Hodnota V3 Jedinečné číslo certifikátu Označení vystavitele certifikátu (CN = CEZ Internal CA, O = CEZ, a.s., C = CZ) Datum počátku platnosti certifikátu Datum konce platnosti certifikátu Označení subjektu certifikátu Veřejný klíč subjektu certifikátu
7.1.1 Číslo verze Vystavované certifikáty splňují standardu X.509, verze 3. 7.1.2
Rozšíření certifikátu
7.1.2.1 Key Usage Toto rozšíření je řešeno nastavením odpovídajícího bitu dle následující tabulky:
True True
Ano True
Ano True
Ano True
Ano True
True
True True
7.1.2.2 Certificate Policy Toto rozšíření je v příslušných certifikátech uvedené v následující formě:
Stránka 33 z 42
Directory Email Replication
Ano True True
CEZINT: Key Reovery Agent
CEZINT S/MIME Signature Smartcard
CEZINT S/MIME Encryption Smartcard Ano
CEZINT: RA Enrollemnt Agent Smartcard
Ano True True
Domain Controller Authentication
True
CEZINT S/MIME Signature
CEZINT S/MIME Encryption Ano
CEZINT: Enrollemnt Agent Smartcard
Ne True
CEZINT: Wireless Access
Ano
CEZINT: Web Server
Kritický 0 digitalSignature 1 nonRepudiation 2 KeyEncipherment 3 dataEncipherment 4 keyAgreement 5 keyCertSign 6 cRLSign 7 encipherOnly 8 decipherOnly
CEZ Internal CA
CEZ Root CA
Bit/název
Ano
Ano True
Ano True
True
True
True
Directory Email Replication
Domain Controller Authentication
CEZINT: Key Reovery Agent
CEZINT: RA Enrollemnt Agent Smartcard
CEZINT: Enrollemnt Agent Smartcard
CEZ INT: Wireless Access
CEZINT: Web Server
CEZINT S/MIME Signature Smartcard
CEZINT S/MIME Encryption Smartcard
CEZINT S/MIME Signature
CEZINT S/MIME Encryption
CEZ Internal CA
Certificate Policy
Hodnota
Policy Identifier=CEZ Internal CA CPS (1.3.6.1.4.1.36828.2.1.1.1.1.2) Policy Qualifier Id=CPS Qualifier: http://pki.cez.cz
7.1.2.3 Certificate Template Information Toto rozšíření obsahuje v certifikátech pro subjekty jiné než CA informace o názvu šablony a její verzi. Názvy šablon jsou (vyjma nadřízených certifikátů ) uvedeny v záhlaví tabulek obsahujících parametry certifikátů. 7.1.2.4 Basic Constraints Toto rozšíření obsahují pouze nadřízené certifikáty a je následující: Certifikační autorita CEZ Root CA CEZ Internal CA
Basic Constraints
Kritický
Subject Type=CA, Path Length Constraint=1 Subject Type=CA, Path Length Constraint=0
Ano Ano
7.1.2.5 Subject Alternative Name Toto rozšíření obsahuje pro jednotlivé certifikáty následující hodnoty. Nadřízené certifikáty toto pole nemají. Certifikát CA/šablona CEZINT: S/MIME Encryption CEZINT: S/MIME Signature CEZINT: S/MIME Encryption Smartcard CEZINT: S/MIME Signature Smartcard CEZINT: Web Server CEZINT: Wireless Access CEZINT: Enrollment Agent Smartcard CEZINT: RA Enrollment Agent Smartcard CEZINT: Key Recovery Agent Domain Controller Authentication Directory Email Replication
Stránka 34 z 42
Subject Alternative Name E-mail E-mail E-mail E-mail Common name User Principal Name User Principal Name User Principal Name User Principal Name DNS name DNS name
Kritický Ne Ne Ne Ne Ne Ne Ne Ne Ne Ne Ne
7.1.2.6 Enhanced Key Usage Toto rozšíření je v příslušných certifikátech uvedeno v následující formě. Nadřízené certifikáty toto pole nemají. Certifikát CA/šablona CEZINT: S/MIME Encryption CEZINT: S/MIME Signature CEZINT: S/MIME Encryption Smartcard CEZINT: S/MIME Signature Smartcard CEZINT: Web Server CEZINT: Wireless Access CEZINT: Enrollment Agent Smartcard CEZINT: RA Enrollment Agent Smartcard CEZINT: Key Recovery Agent Domain Controller Authentication
Directory Email Replication
Extended Key Usage Secure Email Secure Email Secure Email Secure Email Server Authentication, Client Authentication Client Authentication Certificate Request Agent Certificate Request Agent Key Recovery Agent Client Authentication, Server Authentication, Smart Card Logon Directory Service Email Replication
Kritický Ne Ne Ne Ne Ne Ne Ne Ne Ne Ne
Ne
7.1.2.7 CRL Distribution Points Toto rozšíření obsahuje cesty URL k platnému seznamu CRL v následující podobě: Certifikát CA/šablona CEZ Root CA CEZ Internal CA CEZINT: S/MIME Encryption CEZINT: S/MIME Signature CEZINT: S/MIME Encryption Smartcard CEZINT: S/MIME Signature Smartcard CEZINT: Web Server CEZINT: Wireless Access CEZINT: Enrollment Agent Smartcard CEZINT: RA Enrollment Agent Smartcard CEZINT: Key Recovery Agent Domain Controller Authentication Directory Email Replication
CRL Distribution Point Nemá ldap:///CN=CEZ%20Root%20CA,CN=WINPPKIROOT,CN=CDP,CN=Publi c%20Key%20Services,CN=Services,CN=Configuration,DC=cezdata,DC= corp?certificateRevocationList?base?objectClass=cRLDistributionPoint http://pki.cez.cz/CEZ%20Root%20CA.crl
7.1.2.8 Authority Information Access Toto rozšíření obsahuje cesty URL k certifikátům CA v následující podobě: Certifikát CA/šablona CEZ Root CA CEZ Internal CA CEZINT: S/MIME Encryption CEZINT: S/MIME Signature Stránka 35 z 42
Authority Information Access Nemá Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) Alternative Name: URL=ldap:///CN=CEZ%20Root%20CA,CN=AIA,CN=Public%20Key%20S
CEZINT: S/MIME Encryption Smartcard CEZINT: S/MIME Signature Smartcard CEZINT: Web Server CEZINT: Wireless Access CEZINT: Enrollment Agent Smartcard CEZINT: RA Enrollment Agent Smartcard CEZINT: Key Recovery Agent Domain Controller Authentication Directory Email Replication
ervices,CN=Services,CN=Configuration,DC=cezdata,DC=corp?cACertifi cate?base?objectClass=certificationAuthority Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) Alternative Name: URL=http://pki.cez.cz/WINPPKIROOT_CEZ%20Root%20CA.crt
7.1.2.9 Authority Key Identifier Toto rozšíření obsahuje 160 bitový řetězec hash spočítaný algoritmem SHA1 z veřejného klíče CA, která certifikát vystavila (odpovídá rozšíření Subject Key Identifier nadřazené CA): Certifikát CA/šablona CEZ Root CA CEZ Internal CA CEZINT: S/MIME Encryption CEZINT: S/MIME Signature CEZINT: S/MIME Encryption Smartcard CEZINT: S/MIME Signature Smartcard CEZINT: Web Server CEZINT: Wireless Access CEZINT: Enrollment Agent Smartcard CEZINT: RA Enrollment Agent Smartcard CEZINT: Key Recovery Agent Domain Controller Authentication Directory Email Replication
Authority Key Identifier Nemá 1f 68 c3 2c 03 ea ef ce 72 d0 b0 74 22 cb c4 f3 ed 7a 23 a1 15 93 db 8c 57 f9 77 f4 4e d2 3e 34 cc c5 ff 01 65 a9 1c be
7.1.2.10 Subject Key Identifier Toto rozšíření obsahuje 160bitový řetězec hash spočítaný algoritmem SHA1 z veřejného klíče certifikátu. Certifikát CA/šablona CEZ Root CA CEZ Internal CA CEZINT: S/MIME Encryption CEZINT: S/MIME Signature CEZINT: S/MIME Encryption Smartcard CEZINT: S/MIME Signature Smartcard CEZINT: Web Server CEZINT: Wireless Access CEZINT: Enrollment Agent Smartcard CEZINT: RA Enrollment Agent Smartcard CEZINT: Key Recovery Agent Domain Controller Authentication Directory Email Replication Stránka 36 z 42
Subject Key Identifier 1f 68 c3 2c 03 ea ef ce 72 d0 b0 74 22 cb c4 f3 ed 7a 23 a1 15 93 db 8c 57 f9 77 f4 4e d2 3e 34 cc c5 ff 01 65 a9 1c be Různé hodnoty (nelze predikovat)
7.1.3 Identifikátory OID algoritmů Certifikáty vzešlé z této infrastruktury PKI jsou podepsané algoritmem sha256RSA, který je v souladu s RFC 5754. 7.1.4 Zápis jmen a názvů Jména a názvy se používají v souladu s pravidly v odstavcích 3.1.1. až 3.1.4. 7.1.5 Omezení jmen a názvů Není stanoveno. 7.1.6 OID certifikační politiky Tato certifikační politika má přidělena následující OID: 1.3.6.1.4.1.36828.2.1.1.1.1.2 7.1.7 Rozšíření „Policy Constraints“ Nepoužívá se. 7.1.8 Syntaxe a sémantika rozšíření „Policy Qualifiers“ Policy Qualifiers obsahují následující atributy: Certifikát CA/šablona CEZ Root CA CEZ Internal CA
CEZINT: S/MIME Encryption CEZINT: S/MIME Signature CEZINT: S/MIME Encryption Smartcard CEZINT: S/MIME Signature Smartcard CEZINT: Web Server CEZINT: Wireless Access CEZINT: Enrollment Agent Smartcard CEZINT: RA Enrollment Agent Smartcard CEZINT: Key Recovery Agent Domain Controller Authentication Directory Email Replication
Atribut
Hodnota
Null
Null
Id = User Notice
Notice Text=Certifikacni autorita CEZ, a.s., pro interni subjekty, CPS a dalsi informace na http://pki.cez.cz http://pki.cez.cz/ http://pki.cez.cz/
Id = CPS Id = CPS
7.1.9 Způsob zápisu rozšíření „Certificate Policies“ Viz odstavec 7.1.2.2.
7.2
Profil seznamu zneplatněných certifikátů (CRL)
Profil CRL kořenové CEZ Root CA je následující: Stránka 37 z 42
Rozšíření Verze Vystavitel Datum začátku platnosti Příští aktualizace Algoritmus podpisu Identifikátor klíče autority (nekritické) Verze CA (nekritické) Číslo seznamu CRL (nekritické) Příští publikování seznamu CRL (nekritické) Seznam zneplatnění
Hodnota V2 CN=CEZ Root CA, O=CEZ, a.s., C=CZ Datum a čas vystavení seznamu CRL Datum a čas vystavení + 365 dnů sha256 Viz odstavec 7.1.2.10 V0.0 Pořadové číslo aktuálního seznamu CRL Datum a čas kdy CA publikuje nový seznam CRL Přehled zneplatněných certifikátů sestávající ze sériového čísla a data zneplatnění.
Profil vystavující CEZ Internal CA je následující: Rozšíření Verze Vystavitel Datum začátku platnosti Příští aktualizace Algoritmus podpisu Identifikátor klíče autority (nekritické) Verze CA (Nekritické) Číslo seznamu CRL (nekritické) Příští publikování seznamu CRL (nekritické) Umístění publikovaných seznamů CRL (nekritické) Nejčerstvější seznam CRL (nekritické)
Seznam zneplatnění
Hodnota V2 CN=CEZ Internal CA,O=CEZ, a.s.,C=CZ Datum a čas vystavení seznamu CRL Datum a čas vystavení + 4 dny sha256 Viz odstavec 7.1.2.10 V0.0 Pořadové číslo aktuálního seznamu CRL Datum, kdy CA publikuje nový seznam CRL URL=ldap:///CN=CEZ%20Internal%20CA,CN=WINPPKISUB,C N=CDP,CN=Public%20Key%20Services,CN=Services,CN=Conf iguration,DC=cezdata,DC=corp?certificateRevocationList?ba se?objectClass=cRLDistributionPoint URL=ldap:///CN=CEZ%20Internal%20CA,CN=WINPPKISUB,C N=CDP,CN=Public%20Key%20Services,CN=Services,CN=Conf iguration,DC=cezdata,DC=corp?deltaRevocationList?base?o bjectClass=cRLDistributionPoint URL=http://pki.cez.cz/CEZ%20Internal%20CA+.crl Přehled zneplatněných certifikátů sestávající ze sériového čísla a data zneplatnění.
7.2.1 Číslo verze Seznamy zneplatněných certifikátů jsou vydávány podle standardu X.509 verze 2. 7.2.2 Rozšiřující položky seznamu zneplatněných certifikátů a záznamů v něm Viz odstavec 7.2.
7.3
Profil OCSP
Nepoužívá se. 7.3.1 Číslo verze Nepoužívá se.
Stránka 38 z 42
7.3.2 Rozšíření OCSP Nepoužívá se.
8
Audit
8.1
Periodicita nebo okolnosti pro provedení hodnocení
PKI ČEZ, a. s. je předmětem kontroly a auditu dle standardních postupů poskytovatele certifikačních služeb. Tato pravidelná kontrola může být rozhodnutím Bezpečnostního garanta CA doplněna dalšími kontrolami. Další podrobnosti: Způsob provádění auditu Kvalifikace auditora Auditorův vztah k auditované straně Témata zahrnující audit Opatření v případě zjištění nedostatků Předání výsledků a odvolání proti výsledkům auditu jsou popsány v příslušné CPS.
9
Ostatní obchodní a právní záležitosti
9.1
Poplatky
Certifikační služby ČEZ, a. s. jsou poskytovány bezplatně.
9.2
Finanční odpovědnost
Tyto skutečnosti nejsou relevantní pro tuto CP.
9.3
Důvěrnost obchodních informací
Žádné ustanovení.
9.4
Ochrana osobních údajů
9.4.1 Politika ochrany osobních údajů Společnost ČEZ, a. s. a její dceřiné společnosti zajišťují ochranu osobních údajů osob, k nimž získají přístup při poskytování certifikačních služeb. 9.4.2 Osobní údaje Za osobní údaje jsou považované informace stanovené zákonem č. 101/2000 Sb. 9.4.3 Údaje, které nejsou považovány za senzitivní Osobní údaje nepovažované za senzitivní jsou zejména informace pracovního charakteru, jako čísla služebních telefonů, názvy funkcí, služební e-mailové adresy apod., pokud nejsou jiným platným interním dokumentem Skupiny ČEZ explicitně považovány za senzitivní. 9.4.4 Odpovědnost za ochranu osobních údajů Ochrana osobních údajů je řešena v souladu s požadavky zákona č. 101/2000 Sb. Stránka 39 z 42
9.4.5 Souhlas se zpracováním osobních údajů Žadatel o certifikát dává během žádosti o certifikát souhlas se zpracováním osobních údajů nutných pro vystavení certifikátu. 9.4.6 Poskytnutí osobních údajů pro soudní či správní účely Veškeré osobní údaje zpracovávané v PKI ČEZ, a. s. jsou zpřístupněny orgánům zmocněným ze zákona v případech, kdy to zákon vyžaduje. Zpřístupnění takových informací zajistí Bezpečnostní garant PKI, popřípadě jím písemně pověřená osoba. 9.4.7 Jiné okolnosti zpřístupnění osobních údajů Žádná ustanovení.
9.5
Práva duševního vlastnictví
Tato CP plně respektuje zákon č. 121/2000 Sb., autorský zákon, a zákon č. 137/1995 Sb., o ochranných známkách.
9.6
Zajištění a záruky
Společnost ČEZ, a. s. zaručuje, že splní veškeré povinnosti uložené touto CP. 9.6.1 Zajištění a záruky CA CA ČEZ poskytuje u certifikátů vydaných podle této CP záruky na:
Jednoznačnost sériového čísla vydaných certifikátů Kryptografickou odolnost použitých algoritmů pro výpočet hash a digitálního podpisu Správné použití soukromých klíčů příslušných k vydaným nadřízeným certifikátům Vydávání pouze těch certifikátů, které jsou popsány v této CP Vztah mezi držitelem soukromého klíče a subjektem uvedeným v certifikátu obsahujícím veřejný klíč, který je příslušný k podepisovacímu soukromému klíči Shodu identifikačních údajů uvedených v žádosti o vydání certifikátu s těmito údaji obsaženými ve vydaném certifikátu Časové limity uvedené v této CP na vydání CRL Přístup ke skladům vydaných certifikátů a CRL Bezpečnost osobních údajů o uživatelích, které byly využity pro vydání osobních certifikátů
CA ČEZ neposkytuje žádné finanční záruky. Veškeré záruky je možné uznat jen tehdy, pokud uživatel neporušil povinnosti plynoucí z této CP. Na používání certifikátu a párových klíčů mimo pracovní účely v rámci Skupiny ČEZ se záruky nevztahují. 9.6.2 Zajištění a záruky RA RA ručí za to, že všechny žádosti o vydání certifikátů jí předložené, budou zpracovány a vyhodnoceny podle platné CP. Rovněž RA ručí, že všechny žádosti o zneplatnění certifikátu jí předložené budou zpracovány a vyhodnoceny podle platné CP. RA ručí za to, že identifikační údaje žadatele uvedené v žádosti o vydání certifikátu jsou shodné s identifikačními údaji, které žadatel RA předložil.
Stránka 40 z 42
9.6.3 Zajištění a záruky držitele certifikátu Držitel certifikátu zaručuje, že jeho identifikační údaje uvedené v certifikátu jsou pravdivé. Rovněž musí zajistit svou bezvýhradní kontrolu nad použitím soukromého klíče příslušného k danému certifikátu určenému k digitálnímu podepisování a autentizaci. 9.6.4 Zajištění a záruky spoléhajících se stran Spoléhající strana zaručuje, že v případech, kdy k jejímu dalšímu jednání je potřebné ověření digitálního podpisu pomocí certifikátu, provede po kladném výsledku ověření daného digitálního podpisu akce v souladu s deklarovaným dalším svým jednáním. 9.6.5 Zajištění a záruky ostatních subjektů Tato CP nedefinuje požadavky na zajištění a záruky ostatních subjektů.
9.7
Zřeknutí se záruk
ČEZ, a. s., neposkytuje žádné další záruky vyjma těch uvedených v odstavci 9.6.
9.8
Omezení odpovědnosti
ČEZ, a. s., neodpovídá za škodu vyplývající z použití certifikátu, pokud nebyly dodrženy podmínky jeho použití uvedené v certifikační politice, prováděcí směrnici a souvisejících dokumentech. ČEZ, a. s., neodpovídá za škodu vyplývající z použití certifikátu v období po přijetí žádosti o jeho zneplatnění, učinila-li všechny kroky vyplývající z prováděcí směrnice a certifikační politiky.
9.9
Odpovědnost za škodu, náhrada škody
ČEZ, a. s., odpovídá držiteli certifikátu za vzniklou škodu dle platných právních předpisů.
9.10
Doba platnosti, ukončení platnosti
9.10.1 Doba platnosti Doba platnosti této certifikační politiky je od data vydání (viz odstavec 1.2) do odvolání. 9.10.2 Ukončení platnosti Platnost tohoto dokumentu je ukončena:
Jeho nahrazením novější verzí, nebo Ukončením poskytování certifikačních služeb
9.10.3 Důsledky ukončení a přetrvání závazků V případě ukončení platnosti tohoto dokumentu z důvodu ukončení poskytování certifikačních služeb zůstávají v platnosti ustanovení uvedená v kapitole 9 týkající se obchodních a právních záležitostí.
9.11
Komunikace mezi zúčastněnými subjekty
Není touto politikou stanovena.
9.12
Změny
9.12.1 Postup při změnách Postupy pro změny probíhají dle odstavce 1.5.
Stránka 41 z 42
9.12.2 Postup při oznamování změn Změny týkající se infrastruktury PKI a dokumentů budou oznamovány na webové stránce http://pki.cez.cz. 9.12.3 Okolnosti, při kterých musí být změněn identifikátor OID OID jsou přiřazeny následujícím objektům:
Certifikačním politikám, podle kterých se vystavují certifikáty
Změny v CP, které se týkají zásadních skutečností významně ovlivňujících základní bezpečnostní funkce certifikátů, jako změna délky platnosti certifikátů, změna kryptografických aspektů (použité algoritmy, velkosti klíčů, hashovací funkce) apod., jsou okolnostmi, na základě kterých je nutné nové verzi CP přidělit nové OID. V případě ostatních změn v CP je možné ponechat stávající OID.
9.13
Řešení sporů
Není touto směrnicí stanoveno.
9.14
Rozhodné právo
Není touto směrnicí stanoveno.
9.15
Shoda s právními předpisy
Není touto směrnicí stanoveno.
9.16
Další ustanovení
9.16.1 Rámcová dohoda Žádná ustanovení. 9.16.2 Postoupení práv Není touto směrnicí stanoveno. 9.16.3 Oddělitelnost ustanovení Žádná ustanovení. 9.16.4 Zřeknutí se práv Žádná ustanovení. 9.16.5 Vyšší moc Žádná ze stran nenese odpovědnost za porušení svých povinností způsobeným vyšší mocí.
9.17
Další opatření
Žádná ustanovení.
Stránka 42 z 42