Certifikační autorita Corporate Portal O2 CZ
Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
Obsah .................................................................................................................................... ...........1 1 Úvodní ustanovení...................................................................................... .........................7 1.1 Obsah dokumentu.............................................................................. ...........................7 1.1.1 Definice pojmů............................................................................. ...........................7 1.1.2 Použité zkratky............................................................................................... .........8 1.2 Identifikace dokumentu....................................................................................... ...........8 1.3 Zúčastněné strany a oblast použití....................................................... .........................8 1.3.1 Certifikační autorita......................................................................... ........................8 1.3.2 Registrační autorita............................................................................... ..................9 1.3.3 Zákazník................................................................................... ..............................9 1.3.4 Vlastník certifikátu.................................................................................. .................9 1.3.5 Oblast použití...................................................................................... ....................9 1.4 Kontaktní informace.............................................................................................. .........9 2 Odpovědnosti a pravomoci............................................................................................ .....10 2.1 Povinnosti.................................................................................................... ................10 2.1.1 Povinnosti certifikační autority................................................................. ..............10 2.1.2 Povinnosti registrační autority..................................................... ..........................10 2.1.3 Povinnosti spoléhající se strany....................................................... .....................10 2.2 Odpovědnost....................................................................................... ........................10 2.2.1 Odpovědnost certifikační autority.................................................... ......................10 2.2.2 Odpovědnost registrační autority................................................................ ...........11 2.2.3 Odpovědnost žadatelů a uživatelů................................................................... ......11 2.2.4 Odpovědnost kontaktní osoby zákazníka....................................... .......................11 2.3 Finanční odpovědnost.......................................................................................... ........11 2.4 Výklad a výkonné mechanismy....................................................................... .............11 2.5 Poplatky a cenová politika................................................................ ...........................12 2.6 Zveřejňování informací....................................................................... .........................12 2.6.1 Informace zveřejňované certifikační autoritou............................... ........................12 2.6.2 Způsob a periodicita zveřejňování............................................................... ..........12 2.6.3 Kontrola přístupu........................................................................................ ...........12 2.6.4 Uložení dat a jejich správa............................................................ ........................12 2.7 Hodnocení shody (audit)....................................................................................... .......12 2.7.1 Periodicita provádění auditů...................................................................... ............12 Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
2.7.2 Kvalifikace auditora............................................................................ ...................13 2.7.3 Vztah auditora k poskytovateli certifikačních služeb.................................... ..........13 2.7.4 Oblasti auditu................................................................................... .....................13 2.7.5 Opatření v případě zjištění nedostatků..................................................... .............13 2.7.6 Distribuce a projednání výsledků auditu.................................................. ..............13 2.8 Zásady ochrany informací.......................................................................................... ..13 2.8.1 Specifikace chráněných informací............................................................... ..........13 2.8.2 Veřejné informace......................................................................... ........................13 2.8.3 Zveřejňování informací o zneplatněných certifikátech.......................... .................14 3 Identifikace a autentizace........................................................................................ ...........15 3.1 Vstupní registrace............................................................................................... .........15 3.1.1 Typy podporovaných jmen..................................................................................... 15 3.1.2 Požadavky na věcnou správnost jmen............................................... ...................15 3.1.3 Pravidla pro interpretaci různých forem jmen................................. .......................15 3.1.4 Jednoznačnost jmen.................................................................... .........................15 3.1.5 Postup v případě kolize jmen....................................................... .........................16 3.1.6 Uznávání, autentizace a role ochranných známek............................ ....................16 3.1.7 Způsob ověření vazby mezi soukromým a veřejným klíčem klienta......................16 3.1.8 Způsob prokázání identity organizace....................................................... ............16 3.1.9 Způsob prokázání identity fyzické osoby................................................. ..............16 3.2 Vydání následného certifikátu v době platnosti certifikátu.............................. ..............16 3.3 Vydání následného certifikátu při neplatnosti dříve vydaného certifikátu.....................16 3.4 Podání žádosti o ukončení platnosti certifikátu....................................... .....................16 4 Provozní požadavky............................................................................................. ..............17 4.1 Žádost o vydání certifikátu a její zpracování............................................ ....................17 4.1.1 Žádost o vydání certifikátu pro kontaktní osobu zákazníka...................................17 4.1.2 Žádost o vydání certifikátu pro jinou osobu zákazníka................... .......................17 4.2 Vydání certifikátu................................................................................ .........................18 4.2.1 Vydání certifikátu na základě aktivačního kódu..................................... ................18 4.2.2 Vydání certifikátu existujícímu uživateli korporátního portálu................................ .18 4.2.3 Vydání následného certifikátu existujícímu uživateli korporátního portálu.............18 4.3 Akceptace certifikátu vlastníkem...................................................................... ............19 4.4 Ukončení platnosti certifikátu....................................................................... ................19 4.4.1 Důvody k ukončení platnosti certifikátu....................................... ..........................19 4.4.2 Osoby oprávněné žádat o ukončení platnosti certifikátu.......................................19 Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
4.4.3 Postup při podání žádosti o ukončení platnosti certifikátu.....................................19 4.4.4 Možnost odkladu zneplatnění certifikátu............................................................... .20 4.4.5 Pozastavení platnosti certifikátu............................................................. ...............20 4.4.6 Osoby oprávněné žádat o pozastavení platnosti certifikátu........................... ........20 4.4.7 Postup pro pozastavení platnosti certifikátu.................................... ......................20 4.4.8 Omezení doby pozastavení platnosti certifikátu........................... .........................20 4.4.9 Frekvence vydání seznamu certifikátů, které byly zneplatněny.............................20 4.4.10 Požadavky na ověření přítomnosti certifikátu na CRL........................ .................20 4.4.11 On-line dostupnost seznamu certifikátů, které byly zneplatněny......................... .20 4.4.12 Požadavky na on-line ověření......................................................... ....................20 4.4.13 Jiné formy zpřístupnění CRL.................................................................. .............20 4.4.14 Požadavky na použití těchto forem....................................... ..............................20 4.4.15 Zvláštní požadavky při kompromitaci klíče................................... .......................20 4.5 Procedury bezpečnostního auditu................................................................................ 21 4.5.1 Typy zaznamenávaných událostí............................................ ..............................21 4.5.2 Vyhodnocování událostí bezpečnostního dohledu................................................21 4.5.3 Doba uchovávání záznamů bezpečnostního dohledu..................... ......................21 4.5.4 Zabezpečení záznamů bezpečnostního dohledu......................... .........................21 4.5.5 Zálohovací procedury bezpečnostního dohledu................................. ...................21 4.5.6 Systém sběru a zpracování údajů................................................... ......................21 4.5.7 Systémové hlášení o provedení záznamu bezpečnostního dohledu průvodci událostí................................................................................................ ..........................21 4.5.8 Hodnocení zranitelnosti................................................................................ .........21 4.6 Archivace záznamů................................................................................................... ...21 4.6.1 Typy uchovávaných záznamů................................................... ............................21 4.6.2 Období archivace a kontroly čitelnosti archivovaných záznamů............................22 4.6.3 Zabezpečení archivních záznamů............................................................... ..........22 4.6.4 Zálohovací procedury archivu..................................................... ..........................22 4.6.5 Požadavky na časová razítka pro záznamy.............................. ............................22 4.6.6 Proces pořízení archivních záznamů...................................... ..............................22 4.6.7 Postupy zpřístupnění a ověřování archivních záznamů........................................22 4.7 Výměna klíčů............................................................................................. ..................22 4.8 Obnovení činnosti po nehodě nebo po kompromitaci párových dat poskytovatele......22 4.9 Ukončení činnosti poskytovatele certifikačních služeb......................................... ........22 5 Mechanismy fyzické, procedurální a personální bezpečnosti............................. ................24 Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
5.1 Fyzická bezpečnost............................................................................... ......................24 5.2 Procedurální bezpečnost.......................................................................... ...................24 5.3 Personální bezpečnost........................................................................ ........................24 5.3.1 Požadavky na osobnostní profil, kvalifikaci a praxi v oboru osob v důvěryhodných rolích............................................................................................................ ..................24 5.3.2 Způsob prověřování osob v důvěryhodných rolích........................... .....................24 5.3.3 Požadavky na školení a další vzdělávání pro každou roli............................... .......24 5.3.4 Proškolování a jeho frekvence.................................................... ..........................24 5.3.5 Rotace osob a časové a organizační rozvržení......................................... ............24 5.3.6 Sankce za neautorizované činnosti...................................................... .................24 5.3.7 Požadavky na smluvní pracovníky................................................. .......................24 5.3.8 Poskytování dokumentace............................................................. .......................24 6 Technická bezpečnost....................................................................................... .................25 6.1 Generování párových dat a jejich instalace................................................................. .25 6.1.1 Generování párových dat...................................................................... ................25 6.1.2 Doručení soukromého klíče jeho vlastníku............................................. ...............25 6.1.3 Doručení veřejného klíče poskytovateli certifikačních služeb................................25 6.1.4 Distribuce veřejného klíče poskytovatele certifikačních služeb.......................... ....25 6.1.5 Délka veřejného klíče.............................................................................. ..............25 6.1.6 Generování parametrů veřejného klíče........................................ .........................25 6.1.7 Testování kvality parametrů........................................................................... ........25 6.1.8 Hardwarové/softwarové generování párových dat............................................... ..26 6.2 Ochrana soukromého klíče........................................................................... ...............26 6.2.1 Standardy a normy pro kryptografický modul................................. .......................26 6.2.2 Řízení přístupu k soukromému klíči více osobami............................................... ..26 6.2.3 Možnost obnovy soukromého klíče................................................ .......................26 6.2.4 Záloha soukromého klíče................................................................ ......................26 6.2.5 Archivace soukromého klíče............................................................................ ......26 6.2.6 Vkládání soukromého klíče do kryptografického modulu................................. ......26 6.2.7 Způsob aktivace soukromého klíče................................................ .......................26 6.2.8 Způsob deaktivace soukromého klíče.......................................... .........................26 6.2.9 Způsob zničení soukromého klíče......................................................... ................26 6.3 Další požadavky na správu párových dat...................................... ..............................26 6.3.1 Archivace veřejného klíče.................................................................................. ....26 6.3.2 Doba platnosti certifikátů....................................................................... ................27 Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
6.4 Aktivační data..................................................................................... .........................27 6.4.1 Generování aktivačních dat a jejich instalace................................................... .....27 6.4.2 Ochrana aktivačních dat..................................................................................... ...27 6.4.3 Další aspekty aktivačních dat................................................................... .............27 6.5 Počítačová bezpečnost.......................................................................................... ......27 6.5.1 Specifické bezpečnostní technické požadavky................................................ ......27 6.5.2 Hodnocení počítačové bezpečnosti.................................................................. .....27 6.6 Řízení bezpečnosti v průběhu životního cyklu........................................ .....................27 6.7 Bezpečnost počítačové sítě.......................................................................... ...............28 6.8 Kontroly bezpečnosti kryptografického modulu................................................... .........28 7 Certifikáty a CRL profily.............................................................................................. ........29 7.1 Profil certifikátu......................................................................................... ...................29 7.2 Profil seznamu zneplatněných certifikátů.......................................................... ...........29 8 Správa specifikace.......................................................................................... ...................30 8.1 Procedury změny specifikace................................................................ ......................30 8.2 Postup zveřejňování a oznamování............................................................... ..............30 8.3 Procedura schvalování certifikační politiky.................................................................. .30
Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
1 1.1
Úvodní ustanovení Obsah dokumentu
Tato certifikační politika upravuje procesy při poskytování certifikačních služeb certifikační autoritou Corporate Portal O2 CZ. Struktura a obsah dokumentu vychází z doporučení RFC 2527. Certifikační autorita Corporate Portal O2 CZ není akreditovanou certifikační autoritou a nevydává kvalifikované certifikáty ve smyslu zákona č. 227/2000 Sb. O elektronickém podpisu. Certifikační autorita Corporate Portal O2 CZ je podřízenou certifikační autoritou korporátní certifikační autority společnosti Telefónica O2 Czech Republic, a.s. (dále jen CA O2 CZ) . 1.1.1 Definice pojmů Aktivační kód – číslo předávané žadateli o certifikát po ověření jeho identity. Toto číslo je spojeno s MSISDN telefonu, který má uživatel v držení. Autorizační kód – řetězec zaslaný uživateli na MSISDN jeho telefonu po zadání aktivačního kódu. Autorizační kód je považován za důvěrnou informaci a musí být předáván kanálem nezávislým na kanálu použitém pro předání aktivačního kódu (typicky pomocí SMS). Autentizace (authentication) – ověření identity uživatele (ujištění, že konkrétní uživatel je skutečně ten, za koho se prohlašuje) Certifikační autorita (Certificate Authority, CA) – administrativní orgán se stanoveným okruhem působnosti, která vydává certifikáty uživatelům a registruje je (v tomto širším významu certifikační autorita již zahrnuje registrační autoritu). Certifikační politika (Certificate Policy) – souhrn organizačních a provozních pravidel pro vydávání certifikátů určité skupině uživatelů, pro konkrétní aplikace, se stanovením bezpečnostních požadavků Certifikát (certificate) – datová struktura, spojující data pro ověření podpisu nebo pro dešifrování zprávy s osobou vlastníka a stvrzuje tak ověření identity této osoby. Certifikát je vydáván poskytovatelem certifikačních služeb jeho pravost je potvrzena elektronickým podpisem certifikační autority Distinguish name (DN) - jednoznačné jméno subjektu vyhovující normě X.500. Identifikace (identification) – zjištění totožnosti uživatele Kontaktní osoba - pověřená osoba firemního zákazníka společnosti Telefónica O2 Czech Republic, a.s. zodpovědná za komunikaci s Linkou pro firemní zákazníky. Linka pro firemní zákazníky – organizační jednotka společnosti Telefónica O2 Czech Republic, a.s. zodpovědná za komunikaci s firemními zákazníky, přijímání a zpracování jejich požadavků, reklamací apod. Párová data – data pro vytváření elektronického podpisu a jim odpovídající data pro ověřování elektronického podpisu nebo data pro šifrování a jim odpovídající data pro dešifrování. Podřízená certifikační autorita – certifikační autorita, jejíž certifikát byl podepsán jinou (nadřízenou) certifikační autoritou. Vztah podřízenosti certifikačních autorit umožňuje uživateli, který důvěřuje nadřízené CA, důvěřovat i podřízené CA. Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
Registrační autorita (Registration Authority, RA) – administrativní orgán, který identifikuje a autentizuje subjekty žádající o vydání certifikátu (sama však certifikáty nepodepisuje ani nevydává). Revokační autorita (Revocation Authority, RevA) - administrativní orgán, který je zodpovědný za identifikaci a autentizaci subjektů podávajících žádost o revokaci certifikátů a za zpracování žádosti. Seznam zneplatněných certifikátů (Certificate Revocation List, CRL) – seznam certifikátů, které pozbyly platnosti ještě před vypršením lhůty platnosti certifikátu (například z důvodu prozrazení soukromého klíče, vydání následného certifikátu nebo ukončení pracovního poměru uživatele u zákazníka). 1.1.2
1.2
Použité zkratky Zkratka Anglický originál
Český překlad
CA
Certification Authority
Certifikační autorita
CP
Certificate Policy
Certifikační politika
CRL
Certificate Revocation List Seznam zneplatněných certifikátů
DN
Distinguished Name
Rozlišovací jméno
RA
Registration Authority
Registrační autorita
Identifikace dokumentu
Tento dokument je uložen u poskytovatele certifikačních služeb, jímž je Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336 Tato verze certifikační politiky byla vytvořena 31.3.2008 a je označena jako Draft 0.4.
1.3
Zúčastněné strany a oblast použití
Zúčastněnými stranami jsou Telefónica O2 Czech Republic, a.s. jako poskytovatel certifikačních služeb. Zákazník jako subjekt, který má se společností Telefónica O2 Czech Republic, a.s. uzavřenou rámcovou smlouvu. Pracovníci zákazníka jako uživatelé aplikací provozovaných na korporátním portálu, pokud používají autentizaci pomocí certifikátu vydaného dle této CP. 1.3.1 Certifikační autorita Společnost Telefónica O2 Czech Republic, a.s. provozuje certifikační autoritu Corporate Portal O2 CZ v rámci korporátního portálu. Tato CA vydává certifikáty uživatelům aplikací provozovaných na korporátním portále, pokud tito uživatelé chtějí využívat autentizaci pomocí certifikátu.
Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
Certifikační autorita Corporate Portal O2 CZ není kořenovou certifikační autoritou, ale je podřízenou certifikační autoritou autority CA O2 CZ. 1.3.2 Registrační autorita Registrační autoritou certifikační autority Corporate Portal O2 CZ je Linka pro firemní zákazníky, jejíž kontaktní údaje jsou uvedeny v kapitole 1.4. Funkci registrační autority může vykonávat též kontaktní osoba zákazníka, a to pouze pro registraci dalších osob téhož zákazníka. Kontaktní osoba musí být v takovém případě nejprve sama úspěšně zaregistrována Linkou pro firemní zákazníky. 1.3.3 Zákazník Zákazníkem se pro účely tohoto dokumentu rozumí subjekt, který má uzavřenou rámcovou smlouvu se společností Telefónica O2 Czech Republic, a.s. a tedy má definovány kontaktní osoby a přístupový identifikační kód. 1.3.4 Vlastník certifikátu Vlastníkem certifikátu vydaného certifikační autoritou Corporate Portal O2 CZ je vždy fyzická osoba, která o certifikát požádala, úspěšně prošla procesem zpracování žádosti a byl jí na základě tohoto procesu vydán certifikát. 1.3.5 Oblast použití Certifikační autorita Corporate Portal O2 CZ vydává certifikáty určené výhradně pro autentizaci uživatelů na korporátním portále.
1.4
Kontaktní informace
Služby registrační autority, zneplatnění certifikátů, informace a pomoc zákazníkům poskytují specialisté Linky pro firemní zákazníky. Kontaktní údaje jsou zveřejněny na adrese http://www.cz.o2.com/sme/cz/pece_a_podpora/kontakty/linka_pro_firemni_zakazniky.html. Telefonní kontakt:
800 203 203 nebo *52 z O2 mobilního telefonu
Telefonní kontakt ze zahraničí:
+420 720 720 720
Fax:
+420 271 482 552
E-mail:
[email protected]
Pracovní doba: Každý pracovní den od 8:00 do 19:00 hod. Pro řešení neodkladných požadavků mimo tuto dobu budete přesměrováni na zákaznickou linku s nepřetržitým provozem.
Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
2 2.1
Odpovědnosti a pravomoci Povinnosti
2.1.1 Povinnosti certifikační autority Certifikační autorita Corporate Portal O2 CZ je povinna: Vydávat certifikáty uživatelům, kteří předloží platný aktivační a autorizační kód. Rušit platnost certifikátů a vydávat a zveřejňovat CRL. Zajistit přístup k certifikátu CA. Zajistit přístup k platné certifikační politice. 2.1.2 Povinnosti registrační autority Registrační autorita, tedy pracovníci Linky pro firemní zákazníky případně kontaktní osoby zákazníka jsou povinni: Ověřit identitu žadatele o certifikát. Ověřit, zda má žadatel přístup k telefonu, na nějž bude zaslán autorizační kód. Předat žadateli aktivační kód. Pracovníci Linky pro firemní zákazníky jsou dále povinni po ověření identity uživatele a na základě jeho žádosti neprodleně zneplatnit jeho certifikát. 2.1.3 Povinnosti spoléhající se strany Certifikáty vydané certifikační autoritou Corporate Portal O2 CZ jsou určeny výhradně k autentizaci vlastníka certifikátu při přístupu na korporátní portál. Korporátní portál je povinen ověřit, že je certifikát vydán certifikační autoritou Corporate Portal O2 CZ a že je platný. Akceptace certifikátů pro jiné účely není v souladu s touto politikou.
2.2
Odpovědnost
2.2.1 Odpovědnost certifikační autority Certifikační autorita Corporate Portal O2 CZ zaručuje jedinečnost sériového čísla ve vydaných certifikátech. Certifikační autorita Corporate Portal O2 CZ používá svůj soukromý (podpisový) klíč CA pouze k vydávání certifikátů a podpisu vydaných CRL a je zodpovědná za jeho zneužití. Certifikační autorita Corporate Portal O2 CZ není zodpovědná za škody způsobené: Neautorizovaným použitím certifikátů a použitím certifikátů mimo způsoby použití popsané v těchto pokynech. Použitím certifikátů pro jiné účely než popsané v této CP, zejména při použití/akceptaci třetími stranami. Ztrátou služeb CA a RA v důsledku války, přírodních katastrof nebo jiných neřiditelných sil. Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
2.2.2 Odpovědnost registrační autority Registrační autorita je povinna ověřovat přesnost, pravdivost a úplnost identifikačních údajů poskytovaných žadateli v době žádosti o certifikát. Registrační autorita spolupracuje s obchodními složkami společnosti Telefónica O2 Czech Republic, a.s. při ověřování dat. Registrační autorita předává žádosti o certifikát certifikační autoritě ke zpracování. Registrační autorita je povinna neprodleně zrušit platnost aktivačního kódu v případě, že ji kontaktní osoba hodnověrným způsobem informuje o tom, že uživatel pro kterého byl kód vydán ztratil přístup k telefonu, na který má být zaslán odpovídající autorizační kód. Registrační autorita je současně zodpovědná za vykonávání funkcí revokační autority; zajišťuje tedy službu zneplatnění certifikátu. Ověření identity uživatele žádajícího o zneplatnění certifikátu probíhá stejným způsobem, jako ověření identity uživatele žádajícího o nový certifikát. 2.2.3 Odpovědnost žadatelů a uživatelů Žadatelé o certifikát nebo uživatelé certifikátu jsou povinni: Poskytovat pravdivé, úplné a platné identifikační údaje, zejména jméno, příjmení, příslušnost k organizaci zákazníka a MSISDN telefonu, který mají k dispozici. Při registraci na korporátním portále volit vhodné uživatelské jméno. Používat certifikáty pouze v souladu s touto certifikační politikou a obchodními podmínkami poskytování služeb společnosti Telefónica O2 Czech Republic, a.s. Chránit soukromé klíče před zneužitím. Neprodleně informovat RA o důvodném podezření na vyzrazení soukromého klíče. Neprodleně informovat RA o ztrátě telefonu pro nějž byl vydán aktivační kód. Informovat RA o změnách informací uvedených v certifikátu nebo v žádosti o certifikát, a to do pěti pracovních dní. 2.2.4 Odpovědnost kontaktní osoby zákazníka Kontaktní osoba zákazníka, která byla ověřena Linkou pro firemní zákazníky a byl jí udělen přístup do korporátního portálu, je oprávněna udělit dalším uživatelům téhož zákazníka přístup do korporátního portálu a tím i možnost požádat o certifikát podepsaný certifikační autoritou Corporate Portal O2 CZ. Kontaktní osoba zákazníka je v případě udělování přístupu dalším uživatelům povinna zejména: Ověřit přesnost, pravdivost a úplnost identifikačních údajů uživatele. Zajistit zrušení platnosti vydaného aktivačního kódu v případě, kdy jej uživatel hodnověrným způsobem informuje o ztrátě přístupu k telefonu, na nějž má být zaslán odpovídající autorizační kód. Zajistit zneplatnění certifikátu v případě ukončení pracovního poměru uživatele.
2.3
Finanční odpovědnost
Není definována
2.4
Výklad a výkonné mechanismy
V souvislosti s provozem certifikační autority Corporate Portal O2 CZ budou uplatňovány právní normy České republiky. Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
2.5
Poplatky a cenová politika
Certifikační služby korporátního portálu jsou zpoplatněny v rámci aplikací provozovaných na korporátním portále podle platného ceníku společnosti Telefónica O2 Czech Republic, a.s.
2.6
Zveřejňování informací
2.6.1 Informace zveřejňované certifikační autoritou Certifikační autorita Corporate Portal O2 CZ zveřejňuje na stránkách korporátního portálu zejména: Dokument certifikační politika. Certifikát podepisující certifikační autority spolu s otiskem tohoto certifikátu. Seznam zneplatněných certifikátů. Odkaz na kořenový certifikát CA O2 CZ spolu s otiskem tohoto certifikátu. Odkaz na seznam zneplatněných certifikátů kořenové certifikační autority CA O2 CZ. 2.6.2 Způsob a periodicita zveřejňování Certifikační politika je zveřejněna po celou dobu platnosti a dále minimálně do doby ukončení platnosti posledního z certifikátů, který byl vydán na základě této certifikační politiky. Dokument je k dispozici na stránkách korporátního portálu a na vyžádání v elektronické podobě u pracovníků Linky pro firemní zákazníky. Certifikační politika je uložena v aplikaci „Řídící dokumenty“ společnosti Telefónica O2 Czech Republic, a.s. Certifikát podepisující certifikační autority je zveřejněn po celou dobu jeho platnosti. Certifikát je k dispozici na stránkách korporátního portálu a na vyžádání u pracovníků Linky pro firemní zákazníky. Seznam zneplatněných certifikátů je k dispozici na stránkách korporátního portálu a je aktualizován po zneplatnění některého certifikátu, nejméně však jednou za měsíc. 2.6.3 Kontrola přístupu Přístup k informacím vyjmenovaným v kapitole 2.6.1 není omezen. 2.6.4 Uložení dat a jejich správa Repozitory (služby LDAP serveru) není veřejně poskytována. Informace vyjmenované v kapitole 2.6.1 jsou zpřístupněny prostřednictvím korporátního portálu.
2.7
Hodnocení shody (audit)
Předmětem auditu je ověření shody certifikačních operací s předpisovou základnou certifikační autority Corporate Portal O2 CZ. 2.7.1 Periodicita provádění auditů První audit bude proveden do 12 měsíců od zahájení provozu certifikační autority Corporate Portal O2 CZ. Další audit bude prováděn vždy nejpozději do 24 měsíců od dokončení posledního auditu.
Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
2.7.2 Kvalifikace auditora Audity jsou prováděny sekcí Interního auditu a řízení rizik společnosti Telefónica O2 Czech Republic, a.s. za součinnosti s oddělením bezpečnosti informací. 2.7.3 Vztah auditora k poskytovateli certifikačních služeb Auditor a auditovaná entita jsou nezávislé organizační jednotky v rámci společnosti Telefónica O2 Czech Republic, a.s. 2.7.4 Oblasti auditu Audit zkoumá shodu procesů s touto certifikační politikou, zejména: řízení služeb, shodu s legislativou, shodu s interními předpisy, shodu se standardy, provoz služeb, používání služeb, softwarovou funkčnost. 2.7.5 Opatření v případě zjištění nedostatků V důsledku zjištění nedostatků může být rozhodnuto o jedné z následujících tří akcí: pokračování v provozu, pokračování v provozu s nižší úrovní záruk, dočasné přerušení provozu. 2.7.6 Distribuce a projednání výsledků auditu Dojde-li v důsledku nedostatků k omezení provozu certifikační autority Corporate Portal O2 CZ, jsou uživatelé vhodným způsobem informováni.
2.8
Zásady ochrany informací
Informace, které nelze považovat za veřejné, jsou chráněny podle vnitřních předpisů společnosti Telefónica O2 Czech Republic, a.s. 2.8.1 Specifikace chráněných informací Chráněnými informacemi certifikační autority Corporate Portal O2 CZ jsou zejména: Soukromý klíč certifikační autority. Osobní data vlastníků certifikátů s výjimkou těch, které jsou součástí certifikátu. Chráněné firemní informace související s provozem CA. 2.8.2 Veřejné informace Veřejné informace jsou definovány v kapitole 2.6.1. „Informace zveřejňované certifikační autoritou“ Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
2.8.3 Zveřejňování informací o zneplatněných certifikátech Seznam zneplatněných certifikátů lze získat na stránkách korporátního portálu. CRL obsahuje sériová čísla zneplatněných certifikátů. Důvod zneplatnění není zveřejňován.
Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
3 3.1
Identifikace a autentizace Vstupní registrace
Každý žadatel o přístup do korporátního portálu musí projít registrační procedurou popsanou v kapitole 4.1. Na základě této registrace mu pak může být zřízen přístup do korporátního portálu a certifikační autorita Corporate Portal O2 CZ pak na žádost uživatele vydá certifikát k autentizaci. Ověření totožnosti odpovědných osob zákazníka provádí pracovníci Linky pro firemní zákazníky podle interních pracovních postupů. Odpovědné osoby zákazníka postupují při ověřování totožnosti dalších pracovníků zákazníka podle interních pravidel zákazníka. Výsledkem úspěšné vstupní registrace je vydání aktivačního kódu spojeného s MSISDN telefonu, který má ověřená osoba v držení alespoň do doby vytvoření požadavku na certifikát. 3.1.1 Typy podporovaných jmen Certifikáty vydané certifikační autoritou Corporate Portal O2 CZ obsahují jediné jméno a to v poli SubjectName (jméno předmětu). Toto pole obsahuje rozlišovací jméno (DN) podle norem řady X.500. Certifikační autorita Corporate Portal O2 CZ tvoří DN podle následujících pravidel: Všechny subjekty, jimž byl vydán certifikát certifikační autoritou Corporate Portal O2 CZ jsou umístěny ve větvi s prefixem: ou=Corporate Portal, o=O2, c=CZ DN certifikační autority neobsahuje již žádné další RDN, je tedy: ou=Corporate Portal, o=O2, c=CZ DN uživatelů obsahují dále RDN s jediným atributem commonName, má tedy následující formát: cn=
, ou=Corporate Portal, o=O2, c=CZ 3.1.2 Požadavky na věcnou správnost jmen Hodnotou atributu commonName je uživatelské jméno uživatele korporátního portálu, pro nějž je certifikát vydáván. Uživatel nesmí jako uživatelské jméno volit výrazy vulgární, propagující fašismus, rasovou a třídní nenávist. 3.1.3 Pravidla pro interpretaci různých forem jmen Položky DN a jejich části RDN se interpretují tak, jak bylo definováno v částech 3.1.1 a 3.1.2 těchto pokynů. 3.1.4 Jednoznačnost jmen Vzhledem k tomu, že certifikační autorita Corporate Portal O2 CZ vydává certifikáty pouze uživatelům korporátního portálu, je zajištěno, že uživatelské jméno je vždy jednoznačné a tudíž je jednoznačná i hodnota atributu commonName a tedy i celého DN. Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
3.1.5 Postup v případě kolize jmen V případě, kdy pracovník RA nebo kdokoli jiný zjistí kolizi jmen, tj. výskyt stejného DN pro dva nebo více subjektů, je povinen tuto skutečnost nahlásit jako bezpečnostní incident. Taková událost se posuzuje jako bezpečnostní incident. Řešení spočívá ve zneplatnění jednoho nebo více kolizních certifikátů a opětovné registraci jejich držitelů pod novými jmény. 3.1.6 Uznávání, autentizace a role ochranných známek Poskytovatel uznává práva spojená s ochrannými známkami podle zákonů České Republiky a mezinárodních právních norem, které se Česká Republika zavázala respektovat. Ochranná známka může být součástí certifikátu. Veškeré důsledky plynoucí z neoprávněného užívání ochranné známky nese uživatel. 3.1.7 Způsob ověření vazby mezi soukromým a veřejným klíčem klienta Důkaz vlastnictví soukromého klíče při vydávání Web certifikátu je prováděn automaticky prostřednictvím protokolu SSL. 3.1.8 Způsob prokázání identity organizace Způsob prokázání identity osoby a způsob prověření jejího oprávnění jednat za organizaci je definován v interních postupech Linky pro firemní zákazníky. 3.1.9 Způsob prokázání identity fyzické osoby Kontaktní osoba zákazníka je identifikována standardními interními postupy Linky pro firemní zákazníky, tedy zejména vlastnictvím telefonu a znalostí smluveného identifikačního kódu. Prověření totožnosti žadatelů, kteří nejsou kontaktními osobami je ponecháno na kontaktních osobách.
3.2
Vydání následného certifikátu v době platnosti certifikátu
Aktualizace certifikátů uživatelů korporátního portálu je prováděna manuálně prostřednictvím procesů popsaných v kapitole 4. Nejdéle 1 měsíc před vypršením platnosti certifikátu je uživatel korporátním portálem při každém přihlášení upozorněn na nutnost získat nový certifikát. Po přihlášení k příslušné Web stránce má uživatel k dispozici automatický nástroj na podání nové žádosti o certifikát a instalaci nového certifikátu.
3.3
Vydání následného certifikátu při neplatnosti dříve vydaného certifikátu
Uživatel použije postup pro vydání nového certifikátu.
3.4
Podání žádosti o ukončení platnosti certifikátu
Každý uživatel může požádat o ukončení platnosti certifikátu po přihlášení do korporátního portálu. Kontaktní osoba může požádat o ukončení platnosti certifikátu telefonátem nebo e-mailem na Linku pro firemní zákazníky. Oprávněnost požadavku je ověřována standardními interními postupy Linky pro firemní zákazníky.
Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
4 4.1
Provozní požadavky Žádost o vydání certifikátu a její zpracování
Registrační procedura se liší podle role uživatele v organizaci zákazníka. Uživatel na základě registrační procedury získá aktivační kód s jehož pomocí se může zaregistrovat v korporátním portále. Při registraci si může zvolit autentizaci pomocí certifikátu, který si následně vygeneruje nebo autentizaci pomocí jména a hesla. Vzhledem k tomu, že registrační procedura probíhá v obou případech stejně, může autentizovaný uživatel kdykoliv požádat o vydání certifikátu a to bez ohledu na způsob autentizace, který použil. 4.1.1 Žádost o vydání certifikátu pro kontaktní osobu zákazníka Předpoklady: Zákazník má rámcovou smlouvu se společností Telefónica O2 Czech Republic, a.s. V rámci této smlouvy je definována jedna nebo více kontaktních osob a zákazníkovi je přidělen pětimístný identifikační kód. Prvotní registrace kontaktních osob probíhá telefonicky prostřednictvím Linky pro firemní zákazníky. Jako prostředek k prvotní autentizaci je použit identifikační kód vydaný kontaktní osobě zákazníka v rámci interních procedur společnosti Telefónica O2 Czech Republic, a.s. 1. Kontaktní osoba zákazníka telefonicky kontaktuje Linku pro firemní zákazníky a žádá o přidělení přístupu na korporátní portál nebo do některé z aplikací provozovaných na korporátním portále. 2. Pracovník Linky pro firemní zákazníky provede ověření žadatele na základě identifikačního kódu. 3. Po úspěšném ověření zadá pracovník Linky pro firemní zákazníky data uživatele do korporátního portálu včetně MSISDN, na který má být doručen autorizační kód. Po zadání všech potřebných údajů je automaticky vygenerován aktivační kód. 4. Pracovník Linky pro firemní zákazníky sdělí aktivační kód kontaktní osobě. Dále informuje kontaktní osobu, aby se pro vydání certifikátu připojila na stránky korporátního portálu. 5. Kontaktní osoba pokračuje procesem vydání certifikátu podle bodu Vydání certifikátu na základě aktivačního kódu. 4.1.2 Žádost o vydání certifikátu pro jinou osobu zákazníka Předpoklady: Kontaktní osobě zákazníka byl přidělen přístup do korporátního portálu a dostatečná oprávnění pro zřízení nového uživatele. 1. Uživatel žádá kontaktní osobu o přidělení přístupu na korporátní portál nebo do některé z aplikací provozovaných na korporátním portále. 2. Kontaktní osoba zodpovídá za autentizaci uživatele a jeho administraci v korporátním portále nebo v příslušné aplikaci včetně zadání MSISDN pro doručení autorizačního kódu. Po zadání všech potřebných údajů je automaticky vygenerován aktivační kód. 3. Kontaktní osoba předá uživateli aktivační kód a informuje uživatele o způsobu vydání certifikátu prostřednictvím korporátního portálu. 4. Uživatel pokračuje procesem vydání certifikátu podle bodu Vydání certifikátu na základě aktivačního kódu. Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
4.2
Vydání certifikátu
4.2.1 Vydání certifikátu na základě aktivačního kódu Předpoklady: Uživatel obdržel aktivační kód a adresu webových stránek korporátního portálu. 1. Uživatel se připojí na webové stránky korporátního portálu a zvolí volbu Registrace. 2. Uživatel zadá aktivační kód. 3. Uživatel obdrží autorizační kód prostřednictvím SMS zprávy. 4. Uživatel zadá autorizační kód do příslušného formuláře, vybere si uživatelské jméno, způsob autentizace pomocí certifikátu a vyplní další požadované informace. 5. Korporátní portál zkontroluje jedinečnost uživatelského jména a formální správnost ostatních údajů. 6. Na straně klienta je v úložišti webového prohlížeče automaticky vygenerován pár klíčů, a podepsaný požadavek na certifikát (ve formátu PKCS#10 nebo SPKAC), který je prostřednictvím korporátního portálu odeslán do certifikační autority Corporate Portal O2 CZ. 7. Certifikační autorita Corporate Portal O2 CZ vystaví uživateli certifikát a ten je nahrán do úložiště webového prohlížeče. 4.2.2 Vydání certifikátu existujícímu uživateli korporátního portálu Předpoklady: Uživatel získal přístup na korporátní portál registrační procedurou popsanou v kapitole Žádost o vydání certifikátu a její zpracování a Vydání certifikátu na základě aktivačního kódu. Uživatel buď při registraci nebo kdykoliv později zvolil autentizaci pomocí jména a hesla a aktuálně má tuto autentizační metodu aktuálně platnou. 1. Uživatel se připojí na webové stránky korporátního portálu a přihlásí se. 2. Uživatel zvolí editaci uživatelského profilu. 3. Uživatel změní způsob autentizace na certifikát. 4. Na straně klienta je v úložišti webového prohlížeče automaticky vygenerován pár klíčů, a podepsaný požadavek na certifikát (ve formátu PKCS#10 nebo SPKAC), který je prostřednictvím korporátního portálu odeslán do certifikační autority Corporate Portal O2 CZ. 5. Certifikační autorita Corporate Portal O2 CZ vystaví uživateli certifikát a ten je nahrán do úložiště webového prohlížeče. 4.2.3 Vydání následného certifikátu existujícímu uživateli korporátního portálu Předpoklady: Uživatel získal přístup na korporátní portál registrační procedurou popsanou v kapitole Žádost o vydání certifikátu a její zpracování a Vydání certifikátu na základě aktivačního kódu. Uživatel má platnou autentizační metodu certifikát. 1. Uživatel se připojí na webové stránky korporátního portálu a přihlásí se. 2. Uživatel zvolí editaci uživatelského profilu. 3. Uživatel zvolí Stáhnout certifikát. 4. Na straně klienta je v úložišti webového prohlížeče automaticky vygenerován pár klíčů, a podepsaný požadavek na certifikát (ve formátu PKCS#10 nebo SPKAC), Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
který je prostřednictvím korporátního portálu odeslán do certifikační autority Corporate Portal O2 CZ. 5. Certifikační autorita Corporate Portal O2 CZ vystaví uživateli certifikát a ten je nahrán do úložiště webového prohlížeče.
4.3
Akceptace certifikátu vlastníkem
Není definována.
4.4
Ukončení platnosti certifikátu
4.4.1 Důvody k ukončení platnosti certifikátu Certifikátům vydaným certifikační autoritou Corporate Portal O2 CZ může být ukončena platnost zejména na základě některého z následujících důvodů: Vlastník certifikátu požádá o ukončení platnosti certifikátu například z důvodu pozbytí platnosti některého z údajů uvedených v certifikátu. Kontaktní osoba zákazníka požádá o ukončení platnosti certifikátu některého z uživatelů, kterým přidělila přístup. Dojde ke kompromitaci soukromého klíče nebo vznikne důvodná obava z možnosti zneužití párových dat. V takovém případě podává žádost o ukončení kontaktní osoba zákazníka. Zákazník ukončí smluvní vztah se společností Telefónica O2 Czech Republic, a.s. V takovém případě ruší všechny přístupy do korporátního portálu včetně pracovník Linky pro firemní zákazníky. 4.4.2 Osoby oprávněné žádat o ukončení platnosti certifikátu Každý uživatel může požádat o ukončení platnosti vlastního certifikátu po přihlášení do korporátního portálu. Kontaktní osoba může požádat o ukončení platnosti vlastního certifikátu nebo certifikátu libovolného jiného uživatele zákazníka, za nějž vystupuje. 4.4.3 Postup při podání žádosti o ukončení platnosti certifikátu Přihlášený uživatel ukončí platnost certifikátu: Změnou autentizační metody na jméno a heslo Stažením nového certifikátu Kontaktní osoba žádá o ukončení platnosti certifikátu: Telefonátem na Linku pro korporátní zákazníky E-mailem na Linku pro korporátní zákazníky Pracovník linky pro firemní zákazníky ověří oprávněnost požadavku podle standardních interních postupů Linky pro firemní zákazníky a podle situace: Ukončí platnost portálového účtu, ke kterému se lze přihlásit příslušným certifikátem Nastaví příslušnému uživateli přihlašovací metodu jméno a heslo a nastaví heslo podle požadavku uživatele Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
Nastaví příslušnému uživateli přihlašovací metodu jméno a heslo a vytvoří aktivační klíč pro obnovení přístupu k účtu. Uživatel si následně obnoví přístup k účtu. 4.4.4 Možnost odkladu zneplatnění certifikátu Není definována. 4.4.5 Pozastavení platnosti certifikátu Není definováno. 4.4.6 Osoby oprávněné žádat o pozastavení platnosti certifikátu Nejsou definovány. 4.4.7 Postup pro pozastavení platnosti certifikátu Není definován. 4.4.8 Omezení doby pozastavení platnosti certifikátu Není definováno. 4.4.9 Frekvence vydání seznamu certifikátů, které byly zneplatněny Seznam zneplatněných certifikátů je obvykle vydáván jednou za měsíc a při přijetí žádosti o zneplatnění certifikátu z důvodu kompromitace soukromého klíče. Správce korporátního portálu může vydat mimořádné CRL. 4.4.10 Požadavky na ověření přítomnosti certifikátu na CRL Korporátní portál ověřuje přítomnost certifikátu v CRL při každém pokusu o přihlášení do korporátního portálu pomocí certifikátu vydaného certifikační autoritou Corporate Portal O2 CZ. 4.4.11 On-line dostupnost seznamu certifikátů, které byly zneplatněny Seznam zneplatněných certifikátů je veřejně přístupný na stránkách korporátního portálu. 4.4.12 Požadavky na on-line ověření Korporátní portál ověřuje přítomnost certifikátu v CRL při každém pokusu o přihlášení do korporátního portálu pomocí certifikátu vydaného certifikační autoritou Corporate Portal O2 CZ. 4.4.13 Jiné formy zpřístupnění CRL Nejsou definovány. 4.4.14 Požadavky na použití těchto forem Nejsou definovány. 4.4.15 Zvláštní požadavky při kompromitaci klíče Kompromitace klíče musí být neprodleně nahlášena lince pro firemní zákazníky, která zajistí odpovídající protiopatření. Po odvolání platnosti certifikátu uživatel nemůže využívat služby vyžadující klientský certifikát dokud si nevygeneruje nový certifikát. Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
4.5
Procedury bezpečnostního auditu
4.5.1 Typy zaznamenávaných událostí Všechny významné bezpečnostní události v korporátním portále jsou automaticky označeny časem události a zaznamenány v auditních souborech. To zahrnuje zejména: Vydání aktivačních kódů. Použití aktivačních kódů. Úspěšné a neúspěšné pokusy o registraci, přihlášení a obnovení přístupu k účtu. Změnu autentizační metody. Zneplatnění certifikátu Vystavení CRL Přijetí žádosti o vydání certifikátu včetně formy této žádosti (PKCS10 nebo SPKAC) Vydání certifikátu 4.5.2 Vyhodnocování událostí bezpečnostního dohledu Není definováno. 4.5.3 Doba uchovávání záznamů bezpečnostního dohledu Není definováno. 4.5.4 Zabezpečení záznamů bezpečnostního dohledu Není definováno. 4.5.5 Zálohovací procedury bezpečnostního dohledu Nejsou definovány. 4.5.6 Systém sběru a zpracování údajů Auditní záznamy jsou zpracovány standardními procesy oddělení provozu a archivovány nejméně 1 rok. 4.5.7
Systémové hlášení o provedení záznamu bezpečnostního dohledu průvodci událostí Není definováno. 4.5.8 Hodnocení zranitelnosti Není definováno.
4.6
Archivace záznamů
4.6.1 Typy uchovávaných záznamů Při inicializaci korporátního portálu budou archivována následující data: Konfigurační soubory certifikační autority Dále budou archivována data vznikající za provozu: Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
Modifikace a update konfiguračních souborů certifikační autority Všechny vydané certifikáty Všechny vydané CRL Auditní soubory popsané v kapitole 4.5.1. Typy zaznamenávaných událostí. 4.6.2 Období archivace a kontroly čitelnosti archivovaných záznamů Období archivace je definováno postupy oddělení provozu a je v současnosti 1 rok. 4.6.3 Zabezpečení archivních záznamů Není definováno. 4.6.4 Zálohovací procedury archivu Nejsou definovány. 4.6.5 Požadavky na časová razítka pro záznamy Nejsou definovány. 4.6.6 Proces pořízení archivních záznamů Není definován. 4.6.7 Postupy zpřístupnění a ověřování archivních záznamů Přístup k archivním záznamům je definován pravidly oddělení provozu.
4.7
Výměna klíčů
Nejméně 18 měsíců (doba platnosti vydaných certifikátů) před ukončením platnosti certifikátu certifikační autority Corporate Portal O2 CZ jako podepisující autority budou vygenerována nová párová data a nový certifikát certifikační autority, který bude nadále výhradně používán pro vydávání certifikátů uživatelům. Platnost starého certifikátu vyprší současně s posledními vydanými uživatelskými certifikáty.
4.8
Obnovení činnosti po nehodě nebo po kompromitaci párových dat poskytovatele
V případě rozsáhlé havárie nebo vážné kompromitace je nutno k obnově bezpečného prostředí provést minimálně následující kroky: Podle povahy havárie je odvolána platnost některých nebo všech uživatelských certifikátů; Podle povahy havárie se nadále nevydávají uživatelské certifikáty a je vydán nový certifikát CA k novým párovým datům. Jsou přijata další interní opatření dle příslušných předpisů. O změnách, které se dotýkají uživatelů budou uživatelé vhodným způsobem informováni.
4.9
Ukončení činnosti poskytovatele certifikačních služeb
V případě ukončení činnosti certifikační autority Corporate Portal O2 CZ musí být o této skutečnosti s předstihem informováni všichni uživatelé. Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
U všech certifikátů vydaných certifikační autoritou Corporate Portal O2 CZ bude odvolána jejich platnost.
Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
5
Mechanismy fyzické, procedurální a personální bezpečnosti
5.1
Fyzická bezpečnost
Certifikační autorita Corporate Portal O2 CZ je nainstalována na stroji umístěném v uzamčené místnosti s chráněným přístupem s režimem upraveným interními předpisy společnosti Telefónica O2 Czech Republic, a.s. Certifikáty uživatele s odpovídajícími párovými daty jsou uloženy u uživatele. Za bezpečnost uložení párových dat odpovídá uživatel.
5.2
Procedurální bezpečnost
Certifikační autorita Corporate Portal O2 CZ je provozována na serveru umístěném ve 4. bezpečnostní zóně. Přístup k souborům certifikační autority má pouze vlastník aplikace a správce systému. Přístupy na server jsou monitorovány.
5.3
Personální bezpečnost
5.3.1
Požadavky na osobnostní profil, kvalifikaci a praxi v oboru osob v důvěryhodných rolích Požadavky na pracovníky Linky pro firemní zákazníky jsou definovány interními předpisy společnosti Telefónica O2 Czech Republic, a.s. Požadavky na správce aplikace a na administrátory serverů jsou definovány interními předpisy společnosti Telefónica O2 Czech Republic, a.s. 5.3.2 Způsob prověřování osob v důvěryhodných rolích Definován interními předpisy společnosti Telefónica O2 Czech Republic, a.s. pro osoby v příslušné pracovní pozici. 5.3.3 Požadavky na školení a další vzdělávání pro každou roli Nejsou definovány. 5.3.4 Proškolování a jeho frekvence Není definováno. 5.3.5 Rotace osob a časové a organizační rozvržení Není definováno. 5.3.6 Sankce za neautorizované činnosti Nejsou definovány. 5.3.7 Požadavky na smluvní pracovníky Nejsou definovány. 5.3.8 Poskytování dokumentace Není definováno. Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
6 6.1
Technická bezpečnost Generování párových dat a jejich instalace
6.1.1 Generování párových dat Párová data certifikační autority Corporate Portal O2 CZ jsou generována při instalaci a jsou uložena na serveru, kde je certifikační autorita provozována. Certifikát k veřejnému klíči je podepsán korporátní certifikační autoritou CA O2 CZ. Párová data uživatele jsou generována lokálně u uživatele na jeho PC. 6.1.2 Doručení soukromého klíče jeho vlastníku Certifikační autorita negeneruje soukromý klíč žadatele a nedochází tudíž k jeho doručení. Soukromý klíč zůstává neustále pod kontrolou žadatele. 6.1.3 Doručení veřejného klíče poskytovateli certifikačních služeb Doručení veřejného klíče směrem od klienta k vydavateli certifikátu probíhá formou zabezpečeného HTTPS spojení, a to v okamžiku klientova odesílání žádosti o certifikát. 6.1.4 Distribuce veřejného klíče poskytovatele certifikačních služeb Veřejný klíč certifikační autority je dostupný na stránkách korporátního portálu. 6.1.5 Délka veřejného klíče Podpisové páry klíčů uživatelů používají modul alespoň 1024 bitů. Podpisový pár klíčů certifikační autority Corporate Portal O2 CZ používá modul 2048 bitů. 6.1.6 Generování parametrů veřejného klíče Pokud uživatel používá prohlížeč Microsoft Internet Explorer, jsou párová data klienta a požadavek na certifikát generovány pomocí softwarového poskytovatele certifikačních služeb (CSP), který je součástí systému Windows. Při generování párových dat jsou použity parametry: providerName: Microsoft Enhanced Cryptographic Provider v1.0 Key: RSA1024BIT_KEY Key generation properties: o
CRYPT_EXPORTABLE – privátní klíč lze exportovat do p12 souboru
o
CRYPT_USER_PROTECTED – uživatel je při generování klíče dialogovým oknem vyzván k výběru úrovně zabezpečení
HashAlgorithm: MD5 Při použití jiných prohlížečů jsou párová data klienta vytvářena pomocí HTML elementu KEYGEN a uživatel je v takovém případě vyzván, aby zvolil modul délky alespoň 1024. 6.1.7 Testování kvality parametrů Certifikační autorita Corporate Portal O2 CZ kontroluje, že veřejný klíč v požadavku na certifikát byl vygenerován pro algoritmus RSA s minimální délkou modulu1024 bitů. Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
6.1.8 Hardwarové/softwarové generování párových dat Párová data klienta jsou softwarově generovány na jeho PC.
6.2
Ochrana soukromého klíče
6.2.1 Standardy a normy pro kryptografický modul Certifikační autorita Corporate Portal O2 CZ používá jako kryptografický modul OpenSSL verze 0.9.8e. 6.2.2 Řízení přístupu k soukromému klíči více osobami Přístup k soukromému klíči certifikační autority uloženém v souboru podle standardu PCKS#12 mají pouze správce aplikace a administrátor serveru. Pro použití soukromého klíče je nutná znalost hesla, které zná pouze správce aplikace a je zazálohováno. 6.2.3 Možnost obnovy soukromého klíče Soukromý klíč certifikační autority lze obnovit obnovou souboru, ve kterém je soukromý klíč uložen. 6.2.4 Záloha soukromého klíče Zálohováni skoukromého klíče je prováděno standardním způsobem zálohováním souboru se soukromým klíčem. Zálohovací postupy a režim přístupu k zálohám se řídí interními postupy divize Provoz. 6.2.5 Archivace soukromého klíče Archivace soukromého klíče je prováděna standardním zabezpečeným způsobem formou zálohy šifrované databáze. 6.2.6 Vkládání soukromého klíče do kryptografického modulu Není definováno. 6.2.7 Způsob aktivace soukromého klíče Soukromý klíč certifikační autority smí být použit pouze na serveru, kde je autorita nainstalována. Při použití klíče je nutná znalost hesla definovaného při instalaci aplikace. Za správné použití soukromého klíče odpovídá administrátor aplikace. 6.2.8 Způsob deaktivace soukromého klíče Není definován. 6.2.9 Způsob zničení soukromého klíče Zničení soukromého klíče probíhá na aplikační úrovni formou bezpečného a trvalého vymazání souboru i všech záloh.
6.3
Další požadavky na správu párových dat
6.3.1 Archivace veřejného klíče Archivace veřejného klíče je prováděna standardním způsobem formou těchto záloh: Záloha adresáře s nainstalovanou certifikační autoritou Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
Záloha interního LDAP adresáře s certifikáty 6.3.2 Doba platnosti certifikátů Certifikát certifikační autority Corporate Portal O2 CZ je vydán s platností 10 let. Uživatelské certifikáty jsou vytvářeny s platností 18 měsíců.
6.4
Aktivační data
6.4.1 Generování aktivačních dat a jejich instalace Generování aktivačních dat probíhá na úrovni korporátního portálu. Instalace (přenos) aktivačních dat klientovi probíhá dvěma nezávislými kanály: aplikační přenos formou zabezpečeného https spojení zaslání SMS zprávy na klientem definované MSISDN 6.4.2 Ochrana aktivačních dat Zajištění ochrany aktivačních dat se děje ve třech úrovních: bezpečné úložiště aktivačních dat v databázi korporátního portálu klientovo zabezpečené https spojení s korporátním portálem autorizovaná a automatizovaná GSM komunikace formou SMS zprávy klientovi 6.4.3 Další aspekty aktivačních dat V okamžiku úspěšného použití aktivačních kódů dojde k jejich zneplatnění, tzn. nelze je využít pro vygenerování dalšího certifikátu.
6.5 6.5.1
Počítačová bezpečnost Specifické bezpečnostní technické požadavky Certifikační autorita Corporate Portal O2 CZ je provozována na operačním systému Sun Solaris. Operační systém je opatřen všemi vyžadovanými a dostupnými bezpečnostními opravami. Certifikační autorita je provozována ve 4. bezpečnostní zóně. Přístup k certifikační autoritě z jiných bezpečnostních zón je možný výhradně pomocí JMS.
6.5.2 Hodnocení počítačové bezpečnosti Certifikační autorita Corporate Portal O2 CZ je hodnocena dle interních bezpečnostních strandardů standardními procedurami společnosti Telefónica O2 Czech Republic, a.s. pro korporátní informační systémy.
6.6
Řízení bezpečnosti v průběhu životního cyklu
Certifikační autorita Corporate Portal O2 CZ podléhá systému řízení bezpečnosti informací (ISMS) společnosti Telefónica O2 Czech Republic, a.s. v jehož rámci je pravidelně kontrolován a vylepšován podle cyklu PDCA ( Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
6.7
Bezpečnost počítačové sítě
Je v souladu s interními předpisy společnosti Telefónica O2 Czech Republic, a.s.
6.8
Kontroly bezpečnosti kryptografického modulu
Není definováno
Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
7 7.1
Certifikáty a CRL profily Profil certifikátu
Certifikační autorita Corporate Portal O2 CZ vydává certifikáty ve formátu X.509 verze 3 s následujícím formátem polí: Version: V3 Serial number: unikátní sériové číslo generované certifikační autoritou Corporate Portal O2 CZ pro každý certifikát Signature algorithm: sha1RSA Issuer: DN certifikační autority, tedy OU=Corporate Portal, O=O2, C=CZ Validity: období platnosti certifikátu (notBefore, notAfter) 18 měsíců Subject: DN přiřazené uživateli Subject public key information: identifikátor algoritmu (RSA s SHA-1 nebo MD5) a veřejný klíč Key Usage: Digital Signature Certificate Policy: URL souboru s certifikační politikou platnou v době vydání certifikátu. Certifikační politika je zpřístupněna na korporátním portále na URL https://corporate.cz.o2.com/ca/CertificatePolicy_v1.0.doc CRL Distribution Points: URL souboru s posledním vydaným seznamem zneplatněných certifikátu. CRL je zpřístupněno na korporátním portále na URL https://corporate.cz.o2.com/ca/CRL.crl Žádné z rozšíření není definováno jako kritické.
7.2
Profil seznamu zneplatněných certifikátů
Seznamy zneplatněných certifikátů vydávané certifikační autoritou Corporate Portal O2 CZ jsou ve formátu X.509 verze 2 s následujícím formátem polí: Version: V2 Issuer: DN certifikační autority, tedy OU=Corporate Portal, O=O2, C=CZ Effective date: datum vytvoření CRL Signature algorithm: sha1RSA CRL Number: Pořadové číslo vydaného CRL Seznam sériových čísel zneplatněných certifikátů.
Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336
8 8.1
Správa specifikace Procedury změny specifikace
Změny týkající se údajů v těchto pokynech, které budou mít minimální nebo žádný vliv na uživatele, mohou být prováděny beze změny v číslování verzí těchto pokynů a bez oznámení uživatelům. Změny certifikační politiky nebo změny týkající se údajů v těchto pokynech, které budou mít dopad na uživatele, mohou být provedeny 30 dní po oznámení uživatelům a číslo verze těchto pokynů bude příslušně zvýšeno.
8.2
Postup zveřejňování a oznamování
Třicet dní před zásadními změnami těchto pokynů bude oznámení o chystaných změnách zveřejněno na intranetu a WWW stránkách společnosti Telefónica O2 Czech Republic, a.s..
8.3
Procedura schvalování certifikační politiky
Schvalování certifikační politiky a zapracování změn se řídí interní směrnicí M832.SM0001 Řídicí dokumenty (Managing Documents) společnosti Telefónica O2 Czech Republic, a.s. a celý proces probíhá v aplikaci "Řídící dokumentace", která je dostupná oprávněným uživatelům na Portále 2000.
Telefónica O2 Czech Republic, a.s., Za Brumlovkou 266/2, 140 22 Praha 4 – Michle, www.cz.o2.com zapsaná v Obchodním rejstříku Městského soudu v Praze, oddíl B, vložka 2322 IČ 60193336, DIČ CZ60193336