COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN BESCHIKKING VAN DE COMMISSIE. van

NL

NL

NL

COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN

Brussel, 22.12.2008 C(2008) 8657 definitief NIET VOOR PUBLICATIE

BESCHIKKING VAN DE COMMISSIE van 22.12.2008 tot vaststelling van een certificaatbeleid als vereist in de technische specificaties in verband met de normen voor veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten en tot bijwerking van de normatieve referentiedocumenten

NL

NL

BESCHIKKING VAN DE COMMISSIE van 22.12.2008 tot vaststelling van een certificaatbeleid als vereist in de technische specificaties in verband met de normen voor veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten en tot bijwerking van de normatieve referentiedocumenten (Alleen de Bulgaarse, Tsjechische, Nederlandse, Estse, Finse, Franse, Duitse, Griekse, Hongaarse, Italiaanse, Zweedse, Letse, Litouwse, Maltese, Poolse, Portugese, Roemeense, Slowaakse, Sloveense en Spaanse teksten zijn authentiek)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN, Gelet op Verordening (EG) nr. 2252/2004 van de Raad van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten, hierna „de verordening” genoemd, en met name op artikel 2 daarvan, en de technische specificaties die zijn vastgesteld bij Beschikking C(2006) 2909 van de Commissie van 28 juni 2006, Overwegende hetgeen volgt:

NL

(1)

Overeenkomstig Beschikking C(2006) 2909 van de Commissie van 28 juni 2006 moest in een latere fase een certificaatbeleid worden ontwikkeld om te zorgen voor een samenhangende implementatie in alle lidstaten.

(2)

Tegelijkertijd worden de normatieve referentiedocumenten aangepast aan de meest recente versies, die geen aanzienlijke wijzigingen bevatten ten opzichte van de vorige versies.

(3)

Deze referentiedocumenten werden beschouwd als aanvullende referentiedocumenten die geen effect hebben op de uitvoeringstermijn van Verordening (EG) nr. 2252/2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten.

(4)

Overeenkomstig Besluit 2000/365/EG van de Raad van 29 mei 2000 betreffende het verzoek van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland deel te mogen nemen aan enkele van de bepalingen van het Schengenacquis heeft het Verenigd Koninkrijk niet deelgenomen aan de vaststelling van de verordening en is die niet bindend voor, noch van toepassing op het Verenigd Koninkrijk, aangezien zij een ontwikkeling vormt van de bepalingen van het Schengenacquis. Deze beschikking is derhalve niet tot het Verenigd Koninkrijk gericht.

(5)

Overeenkomstig Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis heeft Ierland niet deelgenomen aan de vaststelling van de verordening en is die niet

2

NL

bindend voor, noch van toepassing op Ierland, aangezien zij een ontwikkeling vormt van de bepalingen van het Schengenacquis. Deze beschikking van de Commissie is derhalve niet tot Ierland gericht. (6)

Overeenkomstig de artikelen 1 en 2 van het aan het Verdrag betreffende de Europese Unie en het Verdrag tot oprichting van de Europese Gemeenschap gehechte Protocol heeft Denemarken niet deelgenomen aan de vaststelling van de verordening en is die bijgevolg niet bindend voor, noch van toepassing op Denemarken. Aangezien de verordening evenwel tot doel heeft het Schengenacquis te ontwikkelen krachtens de bepalingen van titel IV van het derde deel van het Verdrag tot oprichting van de Europese Gemeenschap, heeft Denemarken overeenkomstig artikel 5 van genoemd protocol bij brief van 6 juni 2005 gemeld dat het de verordening in zijn nationale recht had omgezet. Denemarken is derhalve krachtens internationaal recht verplicht deze beschikking uit te voeren. Bijgevolg dient Denemarken een afschrift van deze beschikking te ontvangen.

(7)

Wat IJsland en Noorwegen betreft, vormt deze beschikking een ontwikkeling van bepalingen van het Schengenacquis, in de zin van de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis, die betrekking hebben op het gebied bedoeld in artikel 1, onder B, van Besluit 1999/437/EG van de Raad van 17 mei 1999 inzake bepaalde toepassingsbepalingen van die overeenkomst. Noorwegen en IJsland zijn derhalve door deze beschikking van de Commissie gebonden.

(8)

Wat Zwitserland betreft, vormt deze beschikking een ontwikkeling van bepalingen van het Schengenacquis, in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis, die vallen onder het gebied bedoeld in artikel 4, lid 1, van het besluit van de Raad betreffende de ondertekening namens de Europese Gemeenschap en de voorlopige toepassing van sommige bepalingen van die overeenkomst.

(9)

De in deze beschikking beoogde maatregelen zijn in overeenstemming met het advies van het comité dat werd opgericht bij artikel 6 van Verordening (EG) nr. 1683/95,

HEEFT DE VOLGENDE BESCHIKKING VASTGESTELD: Artikel 1 (1) Overeenkomstig punt 5.5.3 van de bijlage bij Beschikking C(2006) 2909 van 28 juni 2006 wordt het gemeenschappelijke certificaatbeleid in bijlage 1 vastgelegd. (2) De in punt 7 van de bijlage bij Beschikking C(2006) 2909 van 28 juni 2006 vermelde normatieve referentiedocumenten worden bijgewerkt zoals bepaald in bijlage 2. Artikel 2 Deze beschikking is gericht tot het Koninkrijk België, de Republiek Bulgarije, de Tsjechische Republiek, de Bondsrepubliek Duitsland, de Republiek Estland, de Helleense Republiek, het

NL

3

NL

Koninkrijk Spanje, de Franse Republiek, de Italiaanse Republiek, de Republiek Cyprus, de Republiek Letland, de Republiek Litouwen, het Groothertogdom Luxemburg, de Republiek Hongarije, de Republiek Malta, het Koninkrijk der Nederlanden, de Republiek Oostenrijk, de Republiek Polen, de Portugese Republiek, Roemenië, de Republiek Slovenië, de Slowaakse Republiek, de Republiek Finland en het Koninkrijk Zweden. Zij moet worden overgemaakt aan de Republiek IJsland, het Koninkrijk Noorwegen en de Zwitserse Bondsstaat. Artikel 3 Deze beschikking vervangt Beschikking C(2008) 4336 definitief van de Commissie van 25 september 2008. Gedaan te Brussel, 22.12.2008.

Voor de Commissie Jacques BARROT Vicevoorzitter

NL

4

NL

BIJLAGE BIJLAGE I BIJ BESCHIKKING C(2008) …. VAN DE COMMISSIE VAN … GEMEENSCHAPPELIJK CERTIFICAATBELEID VOOR DE INFRASTRUCTUUR MET UITGEBREIDE TOEGANGSCONTROLE VOOR DOOR DE LIDSTATEN VAN DE EU AFGEGEVEN PASPOORTEN EN REISDOCUMENTEN Versie 1.0 11 maart 2008 1.

INLEIDING

Het certificaatbeleid (certificate policy, afgekort CP) heeft als doel te zorgen dat er tussen de CVCA's (country verifying certification authorities, nationale certificeringsautoriteiten) en de DV's (document verifiers, documentencontroleurs) van verschillende lidstaten vertrouwen en voldoende interoperabiliteit tot stand worden gebracht, zodat de publieke-sleutelinfrastructuur met uitgebreide toegangscontrole (extended access control-public key infrastructure, afgekort EAC-PKI) kan werken. Dit certificaatbeleid is opgesteld overeenkomstig punt 5.5.3 van de technische specificaties in verband met de normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten, vastgelegd in Beschikking C(2006) 2909 van de Commissie van 28 juni 20061. Het certificaatbeleid heeft alleen betrekking op het gebruik van certificaten ten behoeve van grenscontrole, zodat binnen een EAC-PKI de toegang tot op paspoorten en reisdocumenten opgeslagen vingerafdrukgegevens kan worden gecontroleerd. Dit gemeenschappelijke certificaatbeleid vormt een gemeenschappelijke reeks minimumvereisten waarop elke lidstaat zijn nationale certificaatbeleid voor het gebruik van certificaten ten behoeve van grenscontrole MOET baseren. Een nationaal certificaatbeleid MOET ten minste voldoen aan de normen van dit gemeenschappelijke certificaatbeleid, doch MAG binnen de betrokken lidstaat verdere beperkingen opleggen aan de controle en het gebruik van certificaten. Een lidstaat MAG NIET van een DV in een andere lidstaat verlangen dat er andere beperkingen dan die welke in dit gemeenschappelijke certificaatbeleid zijn opgenomen, worden opgelegd, als voorafgaande voorwaarde om aan die DV een certificaat af te geven. De afgifte van certificaten door een CVCA aan binnenlandse DV's valt buiten het kader van dit gemeenschappelijke certificaatbeleid. Dit certificaatbeleid is gebaseerd op de Technical Guideline „Advanced Security Mechanisms for Machine Readable Travel Documents – Extended Access Control (EAC)”, Version 1.1.1,

1

NL

Niet bekendgemaakt in het Publicatieblad - beschikbaar op http://ec.europa.eu/justice_home/doc_centre/freetravel/documents/doc_freetravel_documents_nl.htm

5

NL

TR-03110, die door het Bundesamt für Sicherheit in der Informationstechnik is gepubliceerd (hierna „TR-EAC” genoemd). 1.1.

Overzicht

Een certificaatbeleid is een reeks regels in verband met de toepasbaarheid van een certificaat op een specifieke gebruikersgroep of -klasse met gemeenschappelijke beveiligingsvereisten. Voor de CVCA's en DV's biedt dit beleid dezelfde kwaliteit als die welke wordt geboden door het Extended normalized certificate policy (NCP+), dat in ETSI TS 102 042, version 1.2.2 (2005-06) is vastgelegd. Dit certificaatbeleid werkt binnen de publieke-sleutelinfrastructuur die in punt 2.2 (public key infrastructure) van de TR-EAC is beschreven. 1.2.

Documentatienaam en -kencijfer

Dit gemeenschappelijke certificaatbeleid wordt aan de hand van zijn naam en versienummer geïdentificeerd. Een nationaal certificaatbeleid MOET een objectindicator (OID) bevatten die het document en de versie eenduidig MOET identificeren. 1.3.

Deelnemers aan de publieke-sleutelinfrastructuur

In dit punt wordt een overzicht gegeven van de certificeringsautoriteiten, de registratieautoriteiten, de certificaathouders en de vertrouwende partijen van de EAC-PKI. De EAC-PKI maakt deel uit van de internationale beveiligingsinfrastructuur die de integriteit en authenticiteit van door een lidstaat afgegeven machineleesbare reisdocumenten moet garanderen en verifiëren. Het overzicht van alle deelnemers aan de publieke-sleutelinfrastructuur is samengevat in tabel 1. Certificeringsautoriteit

Registratieautoriteit

CVCA

X

X

DV

X

X

Controlesysteem Machineleesbaar reisdocument

Certificaathouder

Vertrouwende partij

X

X

X

X X

Tabel 1 Overzicht van de deelnemers aan de publieke-sleutelinfrastructuur van een EAC-PKI 1.3.1.

Certificeringsautoriteiten

Nationale certificeringsautoriteit (country verifying certification authority) – De stamcertificeringsautoriteit van een nationale EAC-PKI wordt country verifying certification authority (afgekort CVCA) genoemd. De publieke sleutels van een nationale CVCA zijn

NL

6

NL

opgenomen in zelf ondertekende CVCA-certificaten en CVCA-verbindingscertificaten. Beide categorieën worden CVCA-certificaten genoemd. De toegangsrechten tot gevoelige gegevens die op chips in binnenlandse machineleesbare reisdocumenten zijn opgeslagen, worden door een nationale CVCA voor alle DV's (zowel binnenlandse als buitenlandse) vastgesteld door de afgifte van DV-certificaten die recht geven op toegangscontroleattributen. Een nationale CVCA geeft certificaten af aan zijn certificaathouders (abonnees). In dit document wordt een certificaathouder documentencontroleur (document verifier, afgekort DV) genoemd. Een DV is een organisatorische eenheid die bij elkaar horende controlesystemen beheert. Certificeringsautoriteit voor documentencontroleurs (document verifier certification authority) – Elk land MAG slechts één certificeringsautoriteit op DV-niveau hebben. Voor sommige lidstaten is dit echter misschien niet mogelijk vanwege de wijze waarop de bevoegdheid voor grens- en immigratiecontrole binnen de betrokken lidstaat is verdeeld. In dat geval MOETEN de DV's de subjectregistratie op gecoördineerde wijze doen verlopen, teneinde de administratieve overlast tot een minimum te beperken. Een DV maakt gebruik van een certificeringsautoriteit voor zijn controlesystemen. De toegangsrechten in en de geldigheidsduur van door een DV afgegeven controlesysteemcertificaten stemmen doorgaans overeen met de toegangsrechten in en de geldigheidsduur van het onderliggende DV-certificaat. De DV MAG echter de toegangsrechten of de geldigheidsduur verder beperken. 1.3.2.

Registratieautoriteiten

Nationale registratieautoriteit (country verifying registration authority) – Voor elke nationale CVCA is er slechts één registratieautoriteit, de overeenstemmende nationale registratieautoriteit (country verifying registration authority, afgekort CVRA). Doorgaans treedt dezelfde instantie op als CVCA en CVRA. De nationale CVRA is verantwoordelijk voor de identificatie en authenticatie van certificaataanvragen van DV's, dat wil zeggen de certificaataanvragen die alleen door een DV mogen worden ingediend. Daarnaast initieert een CVRA de afgifte van certificaten aan DV's en valideert zij het proces van intrekking en hernieuwing van certificaten die door de overeenstemmende CVCA worden afgegeven. Hieronder in dit document zal de CVRA worden geacht deel uit te maken van de CVCA en zal alleen de term CVCA worden gebruikt. De lidstaten MOGEN de rollen van de CVCA en de CVRA naar goeddunken verdelen of combineren. Registratieautoriteit voor documentencontroleurs (document verifier registration authority, afgekort DVRA) – Elke lidstaat MAG slechts één registratieautoriteit voor elke DV aanwijzen. DV's zijn verantwoordelijk voor de identificatie en authenticatie van certificaataanvragen voor controlesystemen. Daarnaast initieert een DV de afgifte van certificaten aan controlesystemen en valideert hij het proces van intrekking en hernieuwing van certificaten. Hieronder in dit document zal de DVRA worden geacht deel uit te maken van de DV en zal alleen de term DV worden gebruikt. De lidstaten MOGEN de rollen van de DV en de DVRA naar goeddunken verdelen of combineren.

NL

7

NL

1.3.3.

Certificaathouders

In het kader van dit beleid zijn de certificaathouders de DV's en de controlesystemen. De definitie van DV kan in punt 1.3.1 worden gevonden. In het kader van dit certificaatbeleid wordt controlesysteem gedefinieerd als de infrastructuur, de hardware en de software die nodig zijn om certificaten van een DV van een lidstaat te verkrijgen, om die certificaten op te slaan en te beheren en om met behulp van die certificaten op machineleesbare reisdocumenten opgeslagen vingerafdrukgegevens te kunnen lezen, met inbegrip van de mechanismen om de toegang tot de controlesystemen te controleren. 1.3.4.

Vertrouwende partijen

De vertrouwende partijen binnen een EAC-PKI zijn de DV's, de controlesystemen en de machineleesbare reisdocumenten. Een vertrouwende partij is een instantie die de handtekening van een certificaat verifieert met behulp van een betrouwbaar certificeringspad (zie punt 1.4). Een lidstaat moet duidelijk aangeven welk betrouwbaar certificeringspad een vertrouwende partij moet gebruiken om een certificaat te verifiëren (zie punt 1.4). 1.3.5.

Overige deelnemers

Indien een lidstaat andere deelnemers aanwijst, dan moet hij aan dit punt voldoen. Overige door een lidstaat aangewezen deelnemers die een rol hebben binnen de publieke-sleutelinfrastructuur of daarmee interageren, mogen niet optreden in strijd met de beveiligingsvereisten die in dit certificaatbeleid zijn vastgelegd. 1.4.

Gebruik van certificaten

– Opdat de controlesystemen overeenkomstig de certificaten de op het machineleesbare reisdocument opgeslagen vingerafdrukgegevens zouden kunnen lezen, uitsluitend om de identiteit van de houder te verifiëren aan de hand van direct beschikbare vergelijkbare kenmerken. – De sleutelparen en certificaten van een CVCA van een lidstaat worden voor de volgende doeleinden gebruikt: – de private sleutel van de CVCA moet worden gebruikt om nationale en buitenlandse DV-certificaten te ondertekenen en mag worden gebruikt voor de ondertekening van certificaataanvragen van DV's die bij de CVCA van een andere gemachtigde lidstaat moeten worden ingediend (zie punt 3.4); – het CVCA-certificaat moet worden gebruikt om handtekeningen van een nationale DV of een DV van een andere lidstaat te verifiëren; – de private sleutel van de DV moet controlesysteemcertificaten te ondertekenen;

worden

gebruikt

om

nationale

– het DV-certificaat moet worden gebruikt om de handtekening op een nationaal of buitenlands controlesysteemcertificaat te verifiëren.

NL

8

NL

Dankzij deze certificaten kunnen de controlesystemen overeenkomstig de certificaten de op het machineleesbare reisdocument opgeslagen vingerafdrukgegevens lezen, uitsluitend om de identiteit van de houder te verifiëren aan de hand van direct beschikbare vergelijkbare kenmerken. Hiervoor moet duidelijk worden aangegeven welk betrouwbaar certificeringspad moet worden gebruikt. Een door een CVCA beheerd betrouwbaar certificeringspad moet bestaan uit de volgende certificaten: – een CVCA-certificaat: een zelf ondertekend certificaat; – indien nodig, een tussenliggend CVCA-verbindingscertificaat; – een DV-certificaat: DV-certificaten zijn ten minste door de nationale CVCA ondertekend; – een controlesysteemcertificaat: controlesysteemcertificaten zijn door de DV ondertekend. Bij de vertrouwende partijen moet het betrouwbare certificeringspad bestaan uit: – DV: • een nationaal CVCA-certificaat en een CVCA-certificaat van een gemachtigde lidstaat; – controlesysteem: • een nationaal DV-certificaat, een nationaal CVCA-certificaat van een gemachtigde lidstaat;

CVCA-certificaat

en

een

– machineleesbare reisdocument: een controlesysteemcertificaat van een gemachtigde lidstaat, een DV-certificaat van een gemachtigde lidstaat en een nationaal CVCA-certificaat, en mogelijk een nationaal CVCA-verbindingscertificaat en het overeenstemmende CVCA-certificaat. Opmerking: „nationaal” verwijst naar de lidstaat die de CVCA, de DV en het controlesysteem aanwijst en het machineleesbare reisdocument afgeeft, terwijl „gemachtigde lidstaat” verwijst naar de lidstaat die via een DV (en een controlesysteem) gegevens mag lezen die zijn opgeslagen op machineleesbare reisdocumenten van nationale onderdanen die door de nationale CVCA van de onderdaan zijn ondertekend. 1.5.

Beleidsbeheer

Europese Commissie Directoraat-generaal Justitie, vrijheid en veiligheid Directoraat A, Eenheid B1 1049 Brussel België 1.6.

Terminologie, definities en acroniemen

De woorden „MOET”, „MOET…NIET”, „MOETEN”, „MOETEN…NIET”, „AANBEVOLEN”, „MAG”, „MAG…NIET”, „MOGEN”, „MOGEN…NIET”, „MAG

NL

9

NL

GEEN”, „MOGEN GEEN” „FACULTATIEF” en „FACULTATIEVE” in dit document moeten worden uitgelegd zoals beschreven in [RFC2119]. „Lidstaat” wordt gedefinieerd als een staat die deelneemt aan Verordening (EG) nr. 2252/2004. „Binnenlands” wordt gedefinieerd als van dezelfde lidstaat. „Buitenlands” wordt gedefinieerd als van een andere lidstaat. Een „geldige sleutel” wordt gedefinieerd als een sleutel met een geldigheidsduur die valt binnen de geldigheidsduur van het overeenstemmende, niet-ingetrokken certificaat van de certificaathouder. In aanhangsel A.1.2 zijn nog andere in dit beleid gebruikte definities en acroniemen opgenomen. 2.

VERANTWOORDELIJKHEDEN BEWAARPLAATSEN

OP

HET

GEBIED

VAN

PUBLICATIE

EN

De Europese Commissie is op Europees niveau verantwoordelijk voor het beheer van een lijst met de contactgegevens van de CVCA's en DV's. De inhoud en integriteit van deze lijst worden met diplomatieke middelen gegarandeerd. De overeenstemmende informatie is beschikbaar op de website van het directoraat-generaal Justitie, vrijheid en veiligheid (DG JLS) van de Europese Commissie. 3.

IDENTIFICATIE EN AUTHENTICATIE

3.1.

Benaming

Zoals bepaald in TR-EAC A.4.1 wordt de referentie van de certificeringsautoriteit gebruikt om de publieke sleutel te identificeren die moet worden gebruikt om de handtekening van de certificeringsautoriteit (CVCA of DV) te verifiëren. De referentie van de certificeringsautoriteit MOET gelijk zijn aan de referentie van de certificaathouder in het overeenstemmende certificaat van de certificeringsautoriteit (CVCA-verbindingscertificaat of DV-certificaat). In de referentie van de certificaathouder MOET een publieke sleutel van de certificaathouder geïdentificeerd zijn. Het MOET gaan om een uniek identificatiegegeven van de afgevende certificeringsautoriteit. De referentie MOET bestaan uit de volgende aaneengeschakelde elementen: – 1) de ALPHA-2 landcode overeenkomstig ISO 3166-1 van het land van de certificeringsautoriteit; – 2) een geheugensteuntje dat de certificaathouder voorstelt; – 3) een numeriek of alfanumeriek volgnummer.

NL

10

NL

OPMERKING: het is niet gegarandeerd dat de referentie van de certificaathouder algemeen een uniek identificatiegegeven is. De lidstaten moeten identiteit als volgt definiëren: – CVCA-certificaat: • referentie van de certificeringsautoriteit: nationale CVCA-identiteit; • referentie van de certificaathouder: nationale CVCA-identiteit; – DV-certificaat: • referentie van de certificeringsautoriteit: nationale CVCA-identiteit of identiteit van de CVCA van een andere gemachtigde lidstaat (zie punt 3.3); • referentie van de certificaathouder: nationale DV-identiteit; – controlesysteemcertificaat: • referentie van de certificeringsautoriteit: nationale DV-identiteit; • referentie van de certificaathouder: nationale controlesysteemidentiteit. 3.2.

Initiële identiteitsvalidatie

3.2.1.

Nationale CVCA

Elke lidstaat MOET duidelijk aangeven wie verantwoordelijk is voor de authenticatie en de definitie van de CVCA-identiteit. 3.2.2.

Communicatie tussen CVCA en CVCA

Om aanvragen van DV's te valideren, moet een CVCA de identiteit van de DV bij de CVCA van die lidstaat kunnen bevestigen. De CVCA's van de deelnemende staten MOETEN derhalve elkaars identiteit valideren, alvorens DV's certificaataanvragen kunnen indienen. De validatie van de identiteit van de CVCA MOET onder toezicht van de Europese Commissie worden verricht. CVCA's MOETEN de volgende informatie aan de Europese Commissie toezenden, zodat die aan de andere deelnemende CVCA's kan worden medegedeeld: (a)

het nationale certificaatbeleid;

(b)

het publieke onderdeel van de beschrijving van de certificeringspraktijken van de CVCA, voor zover die beschrijving bestaat;

(c)

een kopie van de publieke sleutel van de CVCA.

Indien er zich in deze informatie wijzigingen voordoen, MOETEN de CVCA's de bijgewerkte versie aan de Europese Commissie toezenden, zodat die aan de andere deelnemende CVCA's kan worden medegedeeld.

NL

11

NL

3.2.3.

Communicatie tussen DV en CVCA

Wanneer een DV van een lidstaat voor het eerst registratie-informatie aan een CVCA in een andere lidstaat toezendt, MOET dit via een gezamenlijk gekozen betrouwbaar kanaal verlopen. De DV MOET de volgende registratie-informatie toezenden: (a)

het publieke onderdeel van certificeringspraktijken van de DV;

de

beschrijving

van

de

(b)

het meest recente conformiteitscertificaat van de DV met het nationale certificaatbeleid;

(c)

een lijst van de organisaties die controlesystemen gebruiken waarvoor de DV verantwoordelijk is;

(d)

een certificaataanvraag als bedoeld in TR-EAC, punt A.4.2. Deze certificaataanvraag MOET een externe handtekening als bedoeld in TR-EAC, punt A.4.2.4, omvatten, ondertekend door de toezichthoudende CVCA van de DV.

Indien er zich in bovenstaande informatie een substantiële wijziging voordoet, MOET de DV nadere gegevens over de wijziging aan de CVCA toezenden, zodat die kan beoordelen of er een nieuwe initiële identiteitsvalidatie nodig is. 3.2.4.

Communicatie tussen controlesysteem en DV

DV's MOETEN beschikken over een specifiek mechanisme om een geauthenticeerd controlesysteem te identificeren. Bij het genereren van het initiële sleutelmateriaal en het opstellen van de certificaataanvraag MOETEN de door de DV gemachtigde personeelsleden fysiek aanwezig zijn. 3.3.

Identificatie en authenticatie van aanvragen om een nieuwe sleutel

Overeenkomstig TR-EAC, punt A.4.2. 3.3.1.

DV ten aanzien van CVCA

De CVCA MOET de geldigheid van de aanvraag garanderen door te bevestigen dat:

NL

(a)

de aanvraag overeenkomstig TR-EAC, punt A.4.2, is geformatteerd;

(b)

de DV nog steeds als geldig is opgenomen in de lijst van de CVCA van de lidstaat van de DV;

(c)

het conformiteitscertificaat van de DV geldig is;

(d)

de externe handtekening van de aanvraag gecreëerd is met een sleutel die geldig is voor een certificaat van die DV en die door de CVCA is afgegeven.

12

NL

3.3.2.

Controlesysteem ten aanzien van DV

De DV MAG slechts een certificaat afgeven, wanneer is bevestigd dat:

4.

(a)

het controlesysteem nog steeds als geldig geregistreerd staat;

(b)

het controlesysteem niet als gestolen of vermist is opgegeven.

OPERATIONELE

VEREISTEN IN VERBAND MET DE LEVENSCYCLUS VAN HET

CERTIFICAAT

4.1.

Certificaataanvraag

4.1.1.

CVCA

Elke lidstaat moet bepalen welke instantie bevoegd is om de creatie van een CVCA toe te staan. 4.1.2.

DV ten aanzien van CVCA

Na een succesvolle initiële identiteitsvalidatie overeenkomstig punt 3.2.3 MOET een certificaataanvraag van een DV worden verricht overeenkomstig TR-EAC A.4.2 (certificaataanvragen) en TR-EAC 2.2.2 (documentencontroleurs). 4.1.3.

Controlesysteem ten aanzien van DV

Controlesystemen MOGEN certificaataanvragen indienen zodra een succesvolle initiële identiteitsvalidatie overeenkomstig punt 3.2.4 is verricht. 4.2.

Behandeling van certificaataanvragen

4.2.1.

Certificaten die door een CVCA aan een CVCA worden afgegeven

Een CVCA MAG alleen tijdens een met zijn nationale certificaatbeleid conforme sleutelceremonie een zelf ondertekend CVCA-certificaat of een verbindingscertificaat met een vroeger CVCA-certificaat afgeven. CVCA's MOETEN controleren dat een certificaataanvraag toegestaan en geldig is (zie punt 4.1.1). 4.2.2.

Certificaten die door een CVCA aan een DV worden afgegeven

Een CVCA MAG alleen een certificaat afgeven aan een DV die zijn eigen nationale certificaatbeleid (dat van de DV) naleeft, voor zover dit nationale certificaatbeleid ten minste met dit certificaatbeleid in overeenstemming is en het gebruik (al dan niet van overheidswege) van op machineleesbare reisdocumenten opgeslagen vingerafdrukgegevens met punt 1.4 van dit document in overeenstemming is. CVCA's MOETEN controleren dat een certificaataanvraag geldig is. CVCA's MOETEN de ontvangst van een certificaataanvraag onmiddellijk bevestigen.

NL

13

NL

De CVCA MOET de certificaataanvraag binnen een termijn van 72 uur behandelen, overeenkomstig punt 5.5.2 van Beschikking C(2006) 2909 van 28 juni 2006 van de Commissie. Indien een CVCA-systeem gedurende deze termijn niet operationeel is, MOET het alle deelnemende DV's ten laatste zeven dagen vóór een gepland uitvallen van de dienst daarvan in kennis stellen, en zo snel als redelijkerwijs mogelijk in geval van een niet-gepland uitvallen van de dienst. 4.2.3.

Certificaten die door een DV aan een controlesysteem worden afgegeven

Een DV MAG alleen een certificaat afgeven aan een controlesysteem dat in overeenstemming is met zijn eigen nationale certificaatbeleid en dat de certificaten overeenkomstig punt 1.4 van dit document gebruikt. DV's MOETEN controleren dat een certificaataanvraag geldig is alvorens een certificaat af te geven. 4.3.

Afgifte van een certificaat

4.3.1.

Certificaten die door een CVCA worden afgegeven

CVCA's MOETEN maatregelen nemen tegen de vervalsing van certificaten en garanderen dat de procedures voor de afgifte van certificaten veilig met de erbij horende registratie, hernieuwing van certificaten of sleutelvernieuwing (met inbegrip van het verstrekken van een subjectgegenereerde publieke sleutel) verbonden zijn. Certificaten MOETEN in overeenstemming met TR-EAC A.4 (CV certificates) worden gegenereerd en afgegeven. 4.3.2.

Certificaten die door een DV worden afgegeven

DV's MOETEN ervoor zorgen dat zij certificaten veilig afgeven, zodat de authenticiteit gegarandeerd is. DV's MOETEN maatregelen nemen tegen de vervalsing van certificaten en garanderen dat de procedures voor de afgifte van certificaten veilig met de erbij horende registratie, hernieuwing van certificaten of sleutelvernieuwing (met inbegrip van het verstrekken van een subjectgegenereerde publieke sleutel) verbonden zijn. Certificaten MOETEN in overeenstemming met TR-EAC A.4 (CV certificates) worden gegenereerd en afgegeven. 4.4.

Aanvaarding van certificaten

Een zelf ondertekend CVCA-certificaat MOET na zijn creatie aan het einde van de sleutelceremonie worden aanvaard door de instantie die verantwoordelijk is voor de CVCA. Een DV of controlesysteem MOET worden geacht een certificaat bij ontvangst te hebben aanvaard.

NL

14

NL

4.5.

Regels voor de beveiliging van het sleutelpaar en de certificaten

CVCA's, DV's en controlesystemen MOETEN aan de volgende vereisten voldoen. • Zij moeten ervoor zorgen dat overeenkomstig de vereisten van dit beleid correcte en volledige informatie, inzonderheid in verband met de registratie, aan de CVCA's en DV's wordt toegezonden. • Het sleutelpaar wordt alleen gebruikt met naleving van de beperkingen die door dit certificaatbeleid worden opgelegd. • Zij moeten ervoor zorgen er geen ongeoorloofd gebruik van de private sleutel wordt gemaakt. • De sleutels worden overeenkomstig TR-EAC gegenereerd. • Private sleutels mogen alleen worden gebruikt voor ondertekening of ontcijfering binnen een beveiligd cryptografisch toestel als beschreven in punt 6.2. • Zij moeten een CVCA/DV onverwijld op de hoogte brengen indien een van de volgende gebeurtenissen zich voordoet binnen de in het certificaat opgegeven geldigheidsduur: • een private sleutel is verloren, gestolen, mogelijk gecompromitteerd; of • de controle over de private sleutel is verloren ingevolge de compromittering van activeringsgegevens (bijvoorbeeld de PIN-code) of ingevolge andere redenen; en/of • er zijn onnauwkeurigheden of wijzigingen in de inhoud van het certificaat, zoals gemeld aan de certificaathouder of het subject. • Na compromittering wordt het gebruik van een private sleutel onmiddellijk en permanent stopgezet. • Indien gemeld is dat een private sleutel van een CVCA of DV gecompromitteerd is, MAG er NIET meer worden vertrouwd op certificaten die met deze private sleutel zijn ondertekend en MOETEN er passende maatregelen worden genomen. Het sleutelpaar en de certificaten MOETEN worden gebruikt zoals door de afgever van het certificaat (CVCA of DV) is aangegeven in het vak van het certificaat waarin de bevoegdheid van de certificaathouder is vermeld. DV's en controlesystemen MOGEN de private sleutel alleen gebruiken overeenkomstig het DV- of controlesysteemcertificaat, en alleen voor de volgende doeleinden: • het doel dat is beschreven in punt 1.4 (gebruik van certificaten) van dit certificaatbeleid; • overeenkomstig de inhoud van de afgegeven certificaten. 4.6.

Hernieuwing van certificaten

Niet toegestaan.

NL

15

NL

4.7.

Vernieuwing van de sleutel van een certificaat

Vernieuwing van de sleutel van certificaten MAG alleen gebeuren wanneer: (a)

het DV- of controlesysteemcertificaat bijna verstreken is;

(b)

een DV-certificaat ingetrokken is;

(c)

een sleutel van een controlesysteem gecompromitteerd is;

(d)

een DV- of controlesysteemcertificaat moet worden gewijzigd omdat de attributen van de DV of het controlesysteem zijn gewijzigd.

De CVCA of DV MOET garanderen dat aanvragen voor certificaten die aan een vroeger geregistreerde DV of een vroeger geregistreerd controlesysteem werden afgegeven, volledig en correct zijn en volgens de procedure worden toegestaan. De CVCA of DV MOET: (a)

het bestaan en de geldigheid controleren van het certificaat waarvan de sleutel moet worden vernieuwd, en controleren dat de informatie die wordt gebruikt om de identiteit en de attributen van de DV of het controlesysteem te verifiëren, nog steeds geldig is;

(b)

alleen een nieuw certificaat afgeven op basis van de verificatie van de handtekening van het subject op de aanvraag, indien de cryptografische beveiliging van die handtekeningsleutel nog steeds voldoende is voor de geldigheidsduur van het nieuwe certificaat en er geen aanwijzingen bestaan dat de sleutel gebruikt is om de handtekening van het subject op de aanvraag te genereren, gecompromitteerd is.

Certificaten MOETEN worden afgegeven overeenkomstig punt 4.3 (afgifte van een certificaat). Indien een DV-certificaat bijna verstreken is (zie punt 4.7, onder (a)) MOET TR-EAC A.4.2 (certificaataanvragen) worden gevolgd. Indien een DV-certificaat ingetrokken of verstreken is of moet worden gewijzigd (zie punt 4.7, onder (b), (c) en (d)) staat vernieuwing van de sleutel gelijk met de procedures waarin een DV voor de eerste maal een DV-certificaat aanvraagt. Indien een private sleutel van een controlesysteem gecompromitteerd of verstreken is, staat vernieuwing van de sleutel gelijk met de procedures waarin een controlesysteem voor de eerste maal een controlesysteemcertificaat aanvraagt. 4.8.

Wijziging van een certificaat

Dit valt onder punt 4.7 (vernieuwing van de sleutel van een certificaat) van dit document. 4.9.

Intrekking en schorsing van een certificaat

Zie punt 5.7 (herstel van compromittering en rampen) van dit document.

NL

16

NL

4.10.

Certificaatstatusdiensten

Zie punt 5.7 (herstel van compromittering en rampen) van dit document. 4.11.

Einde van het certificaat

Niet van toepassing. 4.12.

Bewaring van de sleutel en herstel

MAG NIET worden gebruikt. 5.

BEHEERS-, OPERATIONELE EN FYSIEKE CONTROLES

5.1.

Fysieke controles

Alle CVCA's en DV's MOETEN garanderen dat zij hun diensten in een beveiligde omgeving verrichten. De beveiliging MOET zich onder meer uitstrekken tot:

5.2.

(a)

locatie en bouw van de kantoren: de CVCA en DV moeten werken in een fysiek beschermde ruimte;

(b)

fysieke toegang: de toegang tot de CVCA en DV moet worden beperkt en gecontroleerd. Alleen bevoegde personen hebben fysieke toegang tot de omgeving van de CVCA en DV;

(c)

opslag van gegevens: de gegevensdragers moeten worden beschermd tegen ongeoorloofd(e) of onopzettelijk(e) gebruik, toegang, bekendmaking of beschadiging door mensen of andere bedreigingen (bijvoorbeeld vuur, water);

(d)

afvalverwijdering: er moeten procedures worden ingesteld voor de verwijdering van afval, teneinde te voorkomen dat gevoelige gegevens door niet-bevoegde personen worden gebruikt, ingezien of bekendgemaakt;

(e)

back-up buiten de kantoren: er MAG back-up van kritieke gegevens buiten de kantoren worden geïnstalleerd.

Procedurele controles en beheer van de systeemtoegang

Er MOETEN procedurele controles worden ingesteld, en in het bijzonder de scheiding van plichten door de toepassing van een vierogenbeginsel voor kritieke taken. Alle CVCA's, DV's en controlesystemen MOETEN garanderen dat de systeemtoegang tot de EAC-PKI-toestellen beperkt is tot personen die gemachtigd zijn op „need-to-know”-basis. Met name de volgende vereisten zijn van toepassing.

NL

(a)

Er MOETEN controles (bijvoorbeeld firewalls) worden ingesteld om de interne netwerkdomeinen van de certificeringsautoriteit te beschermen tegen externe netwerkdomeinen die voor derden toegankelijk zijn.

(b)

Gevoelige gegevens MOETEN tegen ongeoorloofde toegang of wijziging worden beschermd.

17

NL

5.3.

(c)

Gevoelige gegevens MOETEN worden beschermd (bijvoorbeeld door encryptie en een integriteitsmechanisme) wanneer zij via niet-beveiligde netwerken worden uitgewisseld.

(d)

Alle CVCA's, DV's en controlesystemen MOETEN werkelijk gebruikersbeheer garanderen (dit omvat operatoren, systeembeheerders en alle gebruikers die rechtstreeks toegang tot het systeem hebben gekregen), teneinde de beveiliging van het systeem door middel van user account management, audits en tijdige wijziging of intrekking van toegangsrechten te handhaven.

(e)

De CVCA, DV en het controlesysteem MOETEN garanderen dat alleen gemachtigde personeelsleden toegang tot informatie en de functies van de systeemapplicaties hebben, en dat de EAC-PKI-systemen voldoende computerbeveiligingscontroles bieden voor de scheiding van vertrouwensfuncties, waaronder de scheiding tussen de functie van beveiligingsbeheerder en de operationele functies. Met name het gebruik van systeemhulpprogramma's moet worden beperkt en nauwgezet worden gecontroleerd. De toegang MOET zodanig worden beperkt dat alleen toegang wordt gegeven tot de middelen die nodig zijn voor het verrichten van de aan een gebruiker toegewezen taak of taken.

(f)

De personeelsleden van de CVCA, DV en het controlesysteem MOETEN worden geïdentificeerd en geauthenticeerd alvorens zij EAC-PKI-toepassingen in verband met certificaatbeheer of toegang tot machineleesbare reisdocumenten mogen gebruiken.

(g)

De personeelsleden van de CVCA, DV en het controlesysteem MOETEN over hun activiteiten verantwoording afleggen, bijvoorbeeld door het bijhouden van event-logs (zie punt 5.4).

(h)

Gevoelige gegevens MOETEN worden beschermd tegen bekendmaking door opnieuw gebruikte gegevensdragers (bijvoorbeeld gewiste bestanden) die toegankelijk zijn voor niet-gemachtigde gebruikers.

Controles van personeelsleden

Alle EAC-PKI-systemen, dat wil zeggen de CVCA-, de DV- en de controlesystemen, MOETEN gekwalificeerde en ervaren personeelsleden inzetten. Met name de volgende vereisten zijn van toepassing.

NL

(a)

Alle CVCA's, DV's en controlesystemen MOETEN voldoende personeelsleden tewerkstellen die beschikken over de deskundige kennis, de ervaring en de kwalificaties die nodig zijn voor de aangeboden diensten, naargelang van de functie.

(b)

De personeelsleden MOETEN een binnenlandse veiligheidsscreening ondergaan die aangepast is aan de ta(a)k(en) die zij verrichten.

(c)

Er MOETEN passende tuchtmaatregelen worden genomen tegen personeelsleden die het beleid of de procedures van de CVCA, de DV of het controlesysteem schenden.

18

NL

5.4.

(d)

De taken en verantwoordelijkheden op het gebied van beveiliging, die in het beveiligingsbeleid van het systeem zijn beschreven, MOETEN in de functiebeschrijvingen worden opgenomen. Vertrouwensfuncties waarvan de beveiliging van de werking van het systeem afhankelijk is, MOETEN duidelijk geïdentificeerd zijn.

(e)

Voor alle personeelsleden (zowel tijdelijke als vaste) MOETEN functiebeschrijvingen worden opgesteld met als uitgangspunt de scheiding van taken en het beginsel van „least privilege”.

(f)

De personeelsleden MOETEN administratieve en beheersprocedures en -processen toepassen die in overeenstemming zijn met de in punt 5.2 beschreven procedurele controles.

(g)

Alle personeelsleden van de CVCA's, DV's en controlesystemen met vertrouwensfuncties MOGEN GEEN tegenstrijdige belangen hebben die de onpartijdigheid van de werking van het systeem in het gedrang kunnen brengen.

(h)

De personeelsleden die binnen de EAC-PKI toegang hebben tot private sleutels, MOETEN formeel gezien in een vertrouwensfunctie worden aangewezen door een hogere ambtenaar die verantwoordelijk is voor de beveiliging van het controlesysteem.

(i)

De CVCA's, DV's en controlesystemen MOGEN vertrouwens- of beheersfuncties NIET toewijzen aan personen die veroordeeld zijn voor ernstige misdrijven of andere inbreuken waardoor hun geschiktheid voor de functie in het gedrang komt. Personeelsleden MOGEN GEEN toegang hebben tot vertrouwensfuncties zolang de nodige controles niet zijn voltooid.

Procedures voor audit-logging

Alle CVCA's, DV's en controlesystemen MOETEN passende loggingprocedures invoeren om elk geoorloofd en ongeoorloofd gebruik van hun systeem binnen de EAC-PKI te analyseren en te herkennen. CVCA's, DV's en controlesystemen MOETEN garanderen dat alle relevante informatie met betrekking tot een certificaat gedurende een passende termijn wordt opgeslagen, die ten minste voldoende lang is om de naleving van de in deel 8 (nalevingsaudit en andere evaluaties) beschreven auditvereisten te kunnen garanderen. CVCA's en DV's MOETEN garanderen dat:

NL

(a)

de vertrouwelijkheid en integriteit van huidige en gearchiveerde gegevens betreffende certificaten worden gehandhaafd;

(b)

gegevens betreffende gearchiveerd;

(c)

het precieze tijdstip van belangrijke gebeurtenissen in de omgeving, in het sleutelbeheer en in het beheer van de certificaten wordt opgetekend;

certificaten

19

volledig

en

vertrouwelijk

worden

NL

(d)

alle gebeurtenissen in verband met de levenscyclus van sleutels worden opgetekend;

(e)

alle gebeurtenissen in verband met de levenscyclus van certificaten worden opgetekend;

(f)

alle gebeurtenissen in verband met registratie worden opgetekend;

(g)

alle aanvragen en verslagen in verband met intrekking, en de daaruit voortvloeiende maatregelen, worden opgetekend;

(h)

van de specifieke op te tekenen gebeurtenissen en gegevens bewijsmateriaal wordt bijgehouden;

(i)

gebeurtenissen zodanig worden opgetekend dat zij niet gemakkelijk kunnen worden gewist of vernietigd (tenzij voor overdracht naar opslagmedia op lange termijn) gedurende de termijn waarbinnen de informatie MOET worden opgetekend.

Controlesystemen MOETEN een dagboek bijhouden, waarin:

5.5.

(a)

het sleutelbeheer van het controlesysteem zodanig MOET worden opgetekend dat de verantwoordelijke DV misbruik van het systeem kan opsporen en passende tegenmaatregelen kan nemen;

(b)

aantekeningen beschermd zijn tegen wijziging of wissen;

(c)

gegevens MOETEN worden bijgehouden aan de hand waarvan de auditor kan bevestigen dat misbruik kan worden opgespoord.

Procedures voor de archivering van gegevens

Alle CVCA's, DV's en controlesystemen MOETEN passende procedures voor de archivering van gegevens toepassen voor hun systeem binnen de EAC-PKI. De procedures MOETEN de integriteit, authenticiteit en vertrouwelijkheid van de gegevens garanderen. De archieven MOETEN zodanig worden gecreëerd dat zij niet kunnen worden gewist of vernietigd (tenzij voor overdracht naar opslagmedia op lange termijn) gedurende de termijn waarbinnen zij moeten worden gehouden. Alleen gemachtigde personeelsleden MOGEN toegang tot de archieven krijgen. Indien de originele media de gegevens niet gedurende de vereiste periode kunnen bewaren, wordt door de archiefsite een mechanisme vastgesteld om de gearchiveerde gegevens periodiek naar nieuwe media over te dragen. Controlesystemen MOGEN GEEN op machineleesbare reisdocumenten opgeslagen vingerafdrukgegevens optekenen of overdragen. Deze biometrische gegevens MOETEN onmiddellijk worden gewist nadat de vingerafdrukken die van de houder zijn genomen en de op het machineleesbare reisdocument gelezen vingerafdrukgegevens zijn vergeleken.

NL

20

NL

Gearchiveerde gegevens MOETEN worden bewaard gedurende de termijn die nodig is voor het verkrijgen van het nodige juridische bewijsmateriaal in overeenstemming met de toepasselijke wetgeving van de lidstaat. 5.6.

Verandering van de sleutel

De CVCA's en DV's MOETEN garanderen dat de sleutels worden gegenereerd in gecontroleerde omstandigheden en in overeenstemming met de procedures die in punt 5.2 (beheers-, operationele en fysieke controles) zijn vastgesteld. De CVCA MOET volledige zelf ondertekende certificaten samen met verbindingscertificaten verstrekken. 5.7.

Herstel van compromittering en rampen

De CVCA's MOETEN redelijke maatregelen treffen om ervoor te zorgen dat de continuïteit van de dienst verzekerd is, waaronder:

5.7.1.

(a)

maatregelen om het effect van het wegvallen van elektriciteit te beperken;

(b)

maatregelen om het effect van gebeurtenissen als overstroming of brand te beperken;

(c)

maatregelen om het effect van het verlies van beschikbare personeelsleden met een sleutel te beperken.

Procedures om incidenten en compromitteringen te behandelen

Indien er zich een ramp voordoet, waaronder de compromittering van de private sleutel van de deelnemer, MOETEN alle CVCA's, DV's en controlesystemen ervoor zorgen dat de dienst zo snel mogelijk wordt hersteld. Met name de volgende vereisten zijn van toepassing.

NL

1.

Alle CVCA's, DV's en controlesystemen MOETEN een continuïteitsplan vaststellen en handhaven waarin beschreven is welke maatregelen moeten worden genomen indien er zich een ramp voordoet (zie ook punt 5.7.4).

2.

Van de gegevens van de CVCA- en DV-systemen die nodig zijn om de CVCA- en DV-dienst te hervatten, MOET een back-up worden genomen, die op een veilige plaats wordt opgeslagen zodat de CVCA en DV snel de dienst kunnen hervatten indien er zich incidenten of rampen voordoen.

3.

De taken in verband met back-up en herstel MOETEN worden verricht door personeelsleden met een vertrouwensfunctie.

4.

Het continuïteitsplan van de EAC-PKI (of herstelplan bij rampen) MOET de compromittering of vermoedelijke compromittering van een private sleutel als ramp behandelen en MOET voorzien in passende procedures daarvoor (zie ook punt 5.7.3).

21

NL

5.7.2.

Beschadiging van computers, software en/of gegevens

Indien een private CVCA-sleutel niet kan worden gebruikt vanwege niet-kritieke redenen, wordt de in punt 5.6 beschreven procedure gevolgd. 5.7.3.

Procedures bij de compromittering van een private sleutel

Een DV MOET onmiddellijk alle CVCA's die voor die DV certificaten hebben afgegeven, melden dat een private sleutel van een DV of computersysteem gecompromitteerd of misbruikt is. Indien een controlesysteem verloren of gestolen is, MOET de verantwoordelijke DV alle CVCA's die voor die DV certificaten hebben afgegeven, zo snel mogelijk van dit incident in kennis stellen, doch uiterlijk bij de volgende certificaataanvraag. Elk land MOET aan alle andere landen melden hoe de gevraagde informatie beschikbaar wordt gesteld. 5.7.4.

Capaciteit voor continuïteit na een ramp

Alle CVCA's MOETEN over een continuïteitsplan beschikken waarin is uitgelegd hoe hun dienst zal worden gehandhaafd indien er zich een incident voordoet dat hun normale capaciteit in het gedrang brengt. 5.8.

Stopzetting van een CVCA of DV

Indien een CVCA zijn dienst stopzet, MOET hij: • alle CVCA's waarbij hij geregistreerd is, van die stopzetting in kennis stellen; • alle CVCA's waarbij hij geregistreerd is, in kennis stellen van de CVCA die eventueel de verantwoordelijkheid voor de nationale DV's zal overnemen; • alle DV's waaraan hij certificaten verstrekt, van de stopzetting in kennis stellen; • alle DV's waaraan hij certificaten verstrekt, in kennis stellen van de CVCA die eventueel de certificaten in zijn plaats zal afgeven; • ervoor zorgen dat de CVCA die hem vervangt, certificaten blijft verstrekken voor machineleesbare reisdocumenten die door de oorspronkelijke CVCA zijn afgegeven; • zijn private sleutels vernietigen of van het verdere gebruik van die sleutels afzien. Indien een DV zijn werking stopzet, MOET hij zijn nationale CVCA daarvan in kennis stellen, die op zijn beurt alle CVCA's die aan die DV certificaten afgeven, daarvan in kennis stelt.

NL

22

NL

6.

TECHNISCHE BEVEILIGINGSCONTROLES

6.1.

Genereren van sleutelparen

De CVCA's en DV's MOETEN garanderen dat de sleutels van de certificeringsautoriteit gegenereerd worden in gecontroleerde omstandigheden overeenkomstig deel 5 (beheers-, operationele en fysieke controles) van dit document. Sleutels MOETEN worden gegenereerd met een betrouwbaar toestel dat voldoet aan de in aanhangsel B opgenomen vereisten. Voor het verstrijken van een ondertekeningssleutel van een CVCA of DV, MOET de CVCA of DV een nieuw sleutelpaar voor de ondertekening van certificaten genereren en MOET hij alle nodige maatregelen nemen om onderbreking van de dienst van CVCA's, DV's of controlesystemen die van die sleutel afhangen, te voorkomen. De nieuwe sleutel MOET overeenkomstig TR-EAC en dit beleid worden gegenereerd en verdeeld. De CVCA's en DV's MOETEN garanderen dat de integriteit en authenticatie van hun publieke sleutels en daarmee verbonden parameters tijdens de verdeling aan de DV's en controlesystemen gehandhaafd blijven. 6.2.

Bescherming van private sleutels en controles bij de ontwikkeling van encryptiemodules

Private ondertekeningssleutels MOETEN worden bewaard en gebruikt binnen een betrouwbaar toestel dat voldoet aan de in aanhangsel B opgenomen vereisten. De CVCA's MOETEN technische en procedurele mechanismen vaststellen, waardoor gevoelige verrichtingen met een CVCA-sleutel (zoals creatie, back-up, herstel, vernietiging en gebruik) slechts mogelijk zijn indien verschillende personeelsleden met een vertrouwensfunctie daaraan deelnemen. De DV's MOETEN technische en procedurele mechanismen vaststellen, waardoor gevoelige verrichtingen met een DV-sleutel (zoals creatie, back-up, herstel, vernietiging en gebruik) slechts mogelijk zijn indien verschillende personeelsleden met een vertrouwensfunctie daaraan deelnemen. De DV moet de vertrouwensfuncties met zijn hardwarebeveiligingsmodule authenticeren, zodat de DV-sleutel kan worden gebruikt. Verrichtingen met de sleutel van controlesystemen (zoals creatie, back-up, herstel, vernietiging en gebruik) MOETEN worden beperkt tot gemachtigde personeelsleden die daartoe zijn aangewezen. Buiten het toestel voor de creatie van handtekeningen MOETEN private ondertekeningssleutels beschermd zijn op hetzelfde niveau als het niveau dat door het toestel voor de creatie van handtekeningen wordt geboden. Indien van private sleutels back-ups worden gemaakt, MOETEN deze door personeelsleden met een vertrouwensfunctie worden opgeslagen en hersteld, waarbij ten minste een dubbele controle in een fysiek beveiligde omgeving wordt verricht. Het aantal hiertoe gemachtigde personeelsleden MOET zo laag mogelijk worden gehouden.

NL

23

NL

Voor back-upkopieën van de private ondertekeningssleutels MOET hetzelfde of een strenger beveiligingsniveau gelden als of dan voor de sleutels die momenteel in gebruik zijn. Indien sleutels in een specifieke hardwaremodule voor sleutelbeheer worden opgeslagen, MOETEN toegangscontroles worden ingevoerd om ervoor te zorgen dat de sleutels niet buiten de hardwaremodule toegankelijk zijn. Private ondertekeningssleutels MOGEN NIET na hun levenscyclus worden gebruikt en alle kopieën van de sleutel MOETEN aan het einde van hun levensduur worden vernietigd of buiten gebruik worden gesteld. De beveiliging van cryptografische toestellen MOET gedurende hun volledige levenscyclus worden gegarandeerd. Er moet met name voor worden gezorgd dat cryptografische hardware waarmee certificaten worden ondertekend en ingetrokken, tijdens het vervoer of de opslag niet kan worden gemanipuleerd en correct werkt en dat opgeslagen private sleutels vernietigd worden wanneer het toestel buiten gebruik wordt gesteld. 6.3.

Andere aspecten van sleutelpaarbeheer

De operationele perioden waarvan sprake in punt 5.5.1 van Beschikking C(2006) 2909 van de Commissie van 28 juni 2006 zijn de volgende:

6.4.

Instantie

Minimale geldigheidsduur

Maximale geldigheidsduur

CVCA-certificaat

6 maanden

3 jaar

DV-certificaat

2 weken

3 maanden

Controlesysteemcertificaat

1 dag

1 maand

Activeringsgegevens

De vereisten die voor activeringsgegevens gelden, MOETEN door de DV zelf worden vastgesteld op basis van een risicoanalyse. De deblokkering van de activeringsgegevens is MOGELIJK, doch dit MOET in overeenstemming zijn met het beveiligingsniveau dat door de activeringsgegevens wordt geboden. 6.5.

Computerbeveiligingscontroles

De CVCA's, DV's en controlesystemen MOETEN voldoen aan de procedures voor computerbeveiligingscontroles die in deel 5 (beheers-, operationele en fysieke controles) zijn beschreven. De CVCA-, DV- en controlesysteemcomponenten MOGEN de volgende functionaliteiten omvatten: – geauthenticeerde logins voor personeelsleden met een vertrouwensfunctie;

NL

24

NL

– discretionaire toegangscontrole; – beveiligingsaudit (met integriteitsbescherming); – verbod van hergebruik; – gebruik van cryptografie voor sessiecommunicatie en databankbeveiliging; – betrouwbaar pad voor identificatie en authenticatie; – domeinisolering voor processen; – zelfbescherming voor het operationele systeem. 6.6.

Beveiligingscontroles tijdens de levenscyclus

De betrouwbare toestellen die door de CVCA's, DV's en controlesystemen worden gebruikt, MOETEN tegen wijziging worden beschermd. Wanneer de CVCA, de DV of het controlesysteem in het kader van een systeemontwikkelingsproject de vereisten voor betrouwbare systemen of producten vaststelt, MOET een analyse van de beveiligingsvereisten worden verricht, teneinde te garanderen beveiliging deel uitmaakt van de IT-systemen. Procedures om wijzigingen te controleren, MOETEN bestaan en beschreven zijn, en gebruikt worden voor bijwerkingen, wijzigingen en spoedeisende herstellingen van software voor de operationele software van CVCA's, DV's en controlesystemen. 6.7.

Netwerkbeveiligingscontroles

De CVCA's, DV's en controlesystemen MOETEN voldoen aan de procedures voor netwerkbeveiligingscontroles die in deel 5 (beheers-, operationele en fysieke controles) zijn beschreven. 6.8.

Tijdregistratie

Niet van toepassing. 7.

CERTIFICAAT- EN CRL-PROFIELEN

7.1.

Certificaatprofiel

CV-certificaten als bedoeld in TR-EAC A.4.1 (CV certificates). 7.2.

CRL-profiel

Niet van toepassing. 7.3.

OCSP-profiel

Niet van toepassing.

NL

25

NL

8.

NALEVINGSAUDIT EN ANDERE EVALUTIES

Een DV kan alleen aantonen dat hij aan dit certificaatbeleid voldoet, indien hij kan aantonen dat hij voldoet aan een nationaal certificaatbeleid dat in overeenstemming is met de normen in dit document. Andere CVCA's moeten nagaan of het nationale certificaatbeleid in overeenstemming is met dit certificaatbeleid, alvorens zij certificaten afgeven aan DV's die overeenkomstig dat beleid optreden. In geval van geschil MOET onder toezicht van de Europese Commissie arbitrage plaatsvinden. DV's MOETEN een onafhankelijke geaccrediteerde vennootschap/organisatie („auditor”) aanwijzen, die hun activiteiten toetst aan hun nationale certificaatbeleid en hun beschrijving van de certificeringspraktijken. De auditor MOET door zijn nationale accreditatie-instantie geaccrediteerd zijn. Bij de audit MOET niet alleen worden nagegaan dat procedurele beveiligingscontroles zijn vastgesteld, doch ook dat deze controles in de praktijk worden verricht. De audit moet ook slaan op de werking en het beheer van de controlesystemen waarvoor de DV een certificaat heeft afgegeven. Ten minste om de drie jaar MOET een audit worden verricht. Ten minste jaarlijks MOET de auditor een evaluatie doen verrichten door een team van een of meer controleurs, teneinde te garanderen dat dit certificaatbeleid voortdurend wordt nageleefd. De DV kan alleen aantonen dat hij dit certificaatbeleid volgt indien hij een „conformiteitsverklaring” kan overleggen, die door de auditor is afgegeven en waarin wordt bevestigd dat de DV aan dit certificaatbeleid voldoet doordat hij aan zijn nationale certificaatbeleid voldoet. Indien bij een audit blijkt dat een DV niet aan zijn nationale certificaatbeleid voldoet, MOET de DV alle CVCA's waarvan hij certificaten ontvangt, hiervan in kennis stellen. Indien vaststaat dat een DV niet aan zijn nationale certificaatbeleid voldoet of indien zijn certificering ongeldig is geworden of verstrijkt, MOGEN andere lidstaten niet langer DV-certificaten aan die DV afgeven. Het is aanbevolen dat een DV voor zijn certificerings- en registratiefunctionaliteit overeenkomstig IS/IEC 27001 een informatiebeveiligingsbeheerssysteem (ISMS) instelt. Het ISMS is gebaseerd op een ISMS-beleid waarvan de reikwijdte is vastgesteld door het nationale certificaatbeleid en de daarbij horende beschrijving van de certificeringspraktijken. 9.

ANDERE OPERATIONELE EN JURIDISCHE KWESTIES

9.1.

Vergoedingen

Niet van toepassing. 9.2.

Financiële aansprakelijkheid

Niet van toepassing.

NL

26

NL

9.3.

Vertrouwelijkheid van bedrijfsinformatie

Niet van toepassing. 9.4.

Bescherming van persoonsgegevens

Controlesystemen mogen geen op machineleesbare reisdocumenten opgeslagen vingerafdrukgegevens optekenen of overdragen. Deze biometrische gegevens MOETEN onmiddellijk worden gewist nadat de vingerafdrukken die van de drager zijn afgenomen en de op het machineleesbare reisdocument gelezen vingerafdrukgegevens zijn vergeleken. 9.5.

Intellectuele-eigendomsrechten

Niet van toepassing. 9.6.

Voorwaarden en garanties

Niet van toepassing. 9.7.

Garantiebeperkingen

Niet van toepassing. 9.8.

Beperkingen van de aansprakelijkheid

Niet van toepassing. 9.9.

Schadevergoedingen

Niet van toepassing. 9.10.

Termijnen en beëindiging

Niet van toepassing. 9.11.

Individuele berichten en communicatie met deelnemers

Alle taken in verband met sleutelbeheer MOETEN via betrouwbare communicatiekanalen worden verricht. Alle CVCA's en DV's MOETEN die communicatie ten minste per e-mail kunnen laten plaatsvinden, hoewel ook andere online- en offline-communicatiekanalen onderling MOGEN worden afgesproken. Indien de normale communicatiekanalen van de CVCA verstoord zijn, MOET hij de DV's die certificaathouder zijn, in kennis stellen van een alternatief kanaal waarlangs certificaataanvragen kunnen worden ingediend. Dit MOET gebeuren binnen een termijn die het risico beperkt dat huidige certificaten verstrijken. E-mailberichten MOETEN aan de volgende format voldoen en indien nodig MOETEN MIME-bijlagen worden gebruikt.

NL

27

NL

9.11.1. Register Betreft:

Register

Tekst:

URLs die moeten worden gebruikt om de betrokken staat te contacteren

Bijlagen:

Geen

9.11.2. CVCA-certificaat Betreft:

CVCA-certificaat

Tekst:

Niet nader gespecificeerd

Bijlagen:

CVCA-verbindingscertifica(a)t(en)

9.11.3. Certificaataanvraag van een DV Betreft:

Certificaataanvraag van een DV

Tekst:

Niet nader gespecificeerd

Bijlagen:

Certificaataanvra(a)g(en)

9.11.4. Bevestiging van de ontvangst van een certificaataanvraag van een DV Betreft:

Bevestiging van de ontvangst van een certificaataanvraag van een DV

Tekst:

Niet nader gespecificeerd

Bijlagen:

Certificaataanvra(a)g(en)

9.11.5. DV-certificaat Betreft:

[Antwoord op een] certificaataanvraag van een DV

Tekst:

Indien geen DV-certificaat wordt afgegeven, de reden waarom

Bijlagen:

DV-certificaat (ten minste indien er een wordt afgegeven)

9.11.6. Schorsing van de CVCA-dienst

NL

Betreft:

{Landen} Schorsing CVCA

Tekst:

Nadere gegevens over de begin- en de einddatum van de schorsing van de CVCA-dienst

Bijlagen:

Niet nader gespecificeerd

28

NL

9.12.

Wijzigingen

Lidstaten mogen hun nationale certificaatbeleid herzien. Op elk ogenblik kunnen herzieningen naar goeddunken van de lidstaat worden doorgevoerd. Rectificaties van spel- of tikfouten die geen wijziging van het certificaatbeleid meebrengen, mogen zonder voorafgaande kennisgeving worden doorgevoerd, doch na de wijziging moeten de lidstaten en de Europese Commissie daarvan in kennis worden gesteld. Alvorens grote wijzigingen in het certificaatbeleid in verband met beveiliging goed te keuren, MOET de lidstaat de Europese Commissie en de andere lidstaten die DV's hebben die door de nationale CVCA zijn ondertekend, daarvan in kennis stellen. Een lidstaat MOET andere gemachtigde lidstaten en de Europese Commissie en de CVCA's en DV's ten minste drie maanden vooraleer de procedure voor de wijziging van het certificaatbeleid wordt aangevat, in kennis stellen van zijn voornemen om het certificaatbeleid te wijzigen en van de omvang van de wijziging. De objectindicatoren van het certificaatbeleid MOETEN worden gewijzigd indien een lidstaat bepaalt dat een wijziging in het certificaatbeleid een wijziging meebrengt van het niveau van vertrouwen dat door het certificaatbeleid wordt geboden. 9.13.

Geschillenbeslechtingsprocedures

Niet van toepassing. 9.14.

Toepasselijk recht

Niet van toepassing. 9.15.

Naleving van het toepasselijke recht

Niet van toepassing. 9.16.

Diverse bepalingen

Niet van toepassing. 9.17.

Overige bepalingen

Niet van toepassing.

NL

29

NL

AANHANGSEL A.1. DEFINITIES

NL

1.

Certificeringsautoriteit – Een instantie die certificaten afgeeft.

2.

Lijst van ingetrokken certificaten – Een lijst van de certificaten die ingetrokken zijn.

3.

Certificaatbeleid – Een certificaatbeleid is een reeks regels in verband met de toepasbaarheid van een certificaat op een specifieke gebruikersgroep of -klasse met gemeenschappelijke beveiligingsvereisten.

4.

Beschrijving van de certificeringspraktijken – Een verklaring in verband met de praktijken die door een certificeringsautoriteit worden toegepast bij het afgeven, beheren, intrekken en hernieuwen of vernieuwen van de sleutel van certificaten.

5.

Gemeenschappelijk certificaatbeleid – Het door de Commissie bekendgemaakte certificaatbeleid, waarin de minimumvereisten zijn opgenomen waaraan het nationale certificaatbeleid van elke lidstaat moet voldoen, teneinde in de EAC-PKI te worden opgenomen.

6.

Gemeenschappelijke criteria – Gemeenschappelijke criteria voor de evaluatie van de beveiliging van informatietechnologie, de titel van een reeks documenten waarin een bepaalde reeks evaluatiecriteria voor de beveiliging van IT zijn opgenomen.

7.

Extended Access Control Public Key Infrastructure – De infrastructuur die nodig is om de toegang tot op paspoorten en reisdocumenten opgeslagen vingerafdrukgegevens te controleren door middel van uitgebreide toegangscontrole.

8.

Document Signer – De instantie die het originele document ondertekent, in dit geval de organisatie die de machineleesbare reisdocumenten afgeeft.

9.

Document Verifier – Een instantie binnen de EAC-PKI die bij CVCA's certificaataanvragen indient en op basis van die certificaten controlesysteemcertificaten afgeeft.

10.

Betrouwbaarheidsniveau – Een numerieke rang die aan een IT-systeem of –product wordt toegekend nadat zijn beveiliging aan de gemeenschappelijke criteria is getoetst.

11.

Controlesysteem – Het operationele systeem dat op machineleesbare reisdocumenten opgeslagen vingerafdrukgegevens leest.

12.

International Civil Aviation Organisation – Een organisatie van de VN met als taak het aanmoedigen van de planning en ontwikkeling van internationaal luchtvervoer. In die rol stelt zij internationale normen voor machineleesbare reisdocumenten vast.

13.

Sleutelceremonie – Een procedure waarbij met behulp van een encryptiemodule een sleutelpaar wordt gegenereerd en waarin de publieke sleutel wordt gecertificeerd.

14.

Verbindingscertificaat – Verbindingscertificaten garanderen de continuïteit van de dienst zonder dat er via een andere weg een nieuw zelfondertekend certificaat van de stam-CVCA wordt uitgewisseld.

30

NL

NL

15.

Machineleesbaar reisdocument – Een internationaal reisdocument dat naast met het blote oog leesbare gegevens, ook gegevens bevat die met een machine leesbaar zijn.

16.

Nationaal certificaatbeleid – Het certificaatbeleid van een lidstaat in verband met de procedure voor de afgifte en de ontvangst van certificaten voor en van andere lidstaten.

17.

Objectindicator – Een unieke numerieke sequentie aan de hand waarvan een document kan worden geïdentificeerd.

18.

Publieke onderdeel van de beschrijving van de certificeringspraktijken – Een onderdeel van de bepalingen van een volledige beschrijving van de certificeringspraktijken, dat door de certificeringsautoriteit wordt bekendgemaakt.

19.

Registratieautoriteit – Een instantie die de procedure voor certificaataanvragen vaststelt, die certificaataanvragers identificeert en authenticeert, die procedures voor de intrekking van certificaten inleidt of verder behandelt, en die namens de certificeringsautoriteit aanvragen om hernieuwing van certificaten of vernieuwing van de sleutel van certificaten goedkeurt.

20.

Betrouwbaar certificeringspad – Een keten van de verschillende certificaten die nodig zijn om een certificaat dat de vereiste publieke sleutel bevat, te valideren. Een keten van certificaten bestaat uit een of meer CVCA-certificaten, verbindingscertificaten waar nodig, een DV-certificaat en het controlesysteemcertificaat.

31

NL

AANHANGSEL A.2. ACRONIEMEN CA

Certificeringsautoriteit

CC

Gemeenschappelijke criteria

CP

Certificaatbeleid

CPS

Beschrijving van de certificeringspraktijken

CRL

Lijst van ingetrokken certificaten

CSCA Nationale ondertekeningsautoriteit CSPKI Nationale publieke-sleutelinfrastructuur voor ondertekening CVRA Nationale registratie-autoriteit CVCA Nationale certificeringsautoriteit EAC-PKI DV

Publieke-sleutelinfrastructuur met uitgebreide toegangscontrole

Documentencontroleur

EAC Uitgebreide toegangscontrole EAL

Betrouwbaarheidsniveau

ICAO Internationale Burgerluchtvaartorganisatie IS

Controlesysteem

MRTD Machineleesbaar reisdocument

NL

OID

Objectindicator

RA

Registratieautoriteit

32

NL

AANHANGSEL B.1. VEREISTEN VOOR CERTIFICERINGSAUTORITEITEN De encryptiemodules die door certificeringsautoriteiten worden gebruikt, MOETEN overeenkomstig een van de volgende normen worden geëvalueerd en gecertificeerd: • FIPS PUB 140-1 niveau 3 of hoger2; • FIPS PUB 140-2 niveau 3 of hoger3; • PP-SSCD4,5,6; • BSI Cryptographic Modules Security Level “Enhanced”7. AANHANGSEL B.2. VEREISTEN VOOR CONTROLESYSTEMEN De lidstaten MOETEN overeenkomstig deel 6 beveiligingsdoelstellingen voor hun controlesystemen vastleggen. De controlesystemen MOETEN op minimumniveau 2 worden geëvalueerd en het onderdeel sleutelbeheer MOET op niveau 4, verhoogd met de test VLA4 of VAN5, worden geëvalueerd.

2 3 4 5 6 7

NL

Beveiligingsvereisten voor encryptiemodules (FIPS PUB 140-1). Beveiligingsvereisten voor encryptiemodules (FIPS PUB 140-2). BSI-PP-0004-2002T Protection Profile – Secure Signature-Creation Device Type 1, Version 1.05 BSI-PP-0005-2002T Protection Profile – Secure Signature-Creation Device Type 2, Version 1.04 BSI-PP-0006-2002T Protection Profile – Secure Signature-Creation Device Type 3, Version 1.05 BSI-PP-0036-2008: Cryptographic Modules Security Level "Enhanced" Version 1.01

33

NL

BIJLAGE II BIJ BESCHIKKING C(2008) …. VAN DE COMMISSIE WIJZIGINGEN IN DE NORMATIEVE REFERENTIEDOCUMENTEN DIE ZIJN OPGENOMEN IN PUNT 7 VAN DE BIJLAGE BIJ BESCHIKKING C(2006) 2909 VAN 28 JUNI 2008 1.

Referentiedocument nr. 13 wordt als volgt gewijzigd: „Advanced Security Mechanisms for Machine Readable Travel Documents – Extended Access Control (EAC) Version 1.11”

2.

Referentiedocument nr. 17 wordt als volgt gewijzigd: „Common Criteria Protection Profile for Machine Readable Travel Document with “ICAO Application”, Extended Access Control, Version 1.2”

NL

34

NL