Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
Az Educatio Társadalmi Szolgáltató Közhasznú Társaság zártkörű, fokozott biztonságú hitelesítés szolgáltatásának HSZSZ-1 jelű hitelesítés szolgáltatási szabályzata v 4.0 Hatálybalépés dátuma: 2007. május 30.
Időpont
Jóváhagyta
2007. 04. 30.
Kerekes Gábor ügyvezető
Időpont
Készítette
2007. 04. 30.
Dr. Polyák Edit Tóth Elemér
1/63
Aláírás
Aláírás
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
Változáskövetés Időpont
Referencia
Tartalom
2006. 06.08.
Dr. Polyák Edit
1. érvényes verzió
Tóth Elemér 2006. 09.21.
Dr. Polyák Edit
Tóth Elemér
2007. 04.09.
Dr. Polyák Edit Tóth Elemér
2007. 04. 30.
Dr. Polyák Edit Tóth Elemér
2/63
A zárt szolgáltatásra vonatkozó szabályok megerősítése A kulcscserére és a kiadott tanúsítvány módosításra vonatkozó szabályok módosítása. Valamint 1.3 pontban a szereplők meghatározásának, az 1.6 pontban a meghatározások pontosítása. 6.2.10 HSM nyilvántartásba vételének törlése .A zárt kör felsőoktatási intézményekre történő kiterjesztésével összefüggő módosítások; módosítások a regisztrációs eljárásokban, a szerepkörökben, valamint a hivatkozásokban 1.6 pontban szereplő meghatározások pontosítása, aláíróra és előfizetőre vonatkozó rendelkezések pontosítása; CRL / delta-CRL és a kulcsok védelmére vonatkozó információk pontosítása
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
Tartalom 1.
Bevezetés...............................................................................................................................11 1.1
Áttekintés ........................................................................................................................11
1.1.1
A Szabályzat ............................................................................................................11
1.1.2
A Szabályzat hatálya ...............................................................................................12
1.1.3
A szolgáltató ............................................................................................................12
1.1.4
Szolgáltatások..........................................................................................................13
1.1.5
Szabványok és előírások .........................................................................................14
1.1.6
Tanúsítványfajták.....................................................................................................14
1.1.7
Aláíró eszköz szolgáltatás .......................................................................................14
1.2
A dokumentum neve és azonosítója ...............................................................................17
1.3
PKI szereplők ..................................................................................................................17
1.3.1
Hitelesítés-szolgáltatók ............................................................................................17
1.3.2
Regisztráló szervezetek ............................................................................................17
1.3.3
Előfizetők és Alanyok ...............................................................................................18
1.3.4
Érintett felek .............................................................................................................18
1.4
Tanúsítvány használat ....................................................................................................19
1.5
Kapcsolattartás ...............................................................................................................19
1.5.1
A Szolgáltató adatai .................................................................................................19
1.5.2
Ügyfélszolgálat .........................................................................................................19
1.5.3 A Szolgáltatási szabályzat jelen Hitelesítési rendnek való megfelelőségéért felelős személy/szervezet ..................................................................................................................20 1.5.4
A Szolgáltatási szabályzat elfogadási eljárása..........................................................20
1.6
Meghatározások..............................................................................................................20
1.7
Rövidítések és jelölések..................................................................................................22
1.8
Hivatkozások ....................................................................................................................23
2.
3/63
Közzétételre és tárolásra vonatkozó felelősségek .................................................................24
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
2.1
Adatok, adatbázisok .......................................................................................................24
2.2
A tanúsítványokra vonatkozó információk közzététele ...................................................24
2.3
A közzététel gyakorisága ................................................................................................24
3.
Azonosítás és hitelesítés........................................................................................................26 3.1
Megnevezési konvenciók ................................................................................................26
3.1.1
Név típusok ..............................................................................................................26
3.1.2
Álnevek használata ..................................................................................................27
3.1.3
A különböző elnevezési formák értelmezési szabályai .............................................27
3.1.4
A nevek egyedisége .................................................................................................27
3.1.5
Márkanevek elismerése, azonosításuk és szerepük..................................................27
3.2
Kezdeti regisztrálás /személyazonosság megállapítása ................................................27
3.2.1
A magánkulcs birtoklásának igazolása ....................................................................27
3.2.2
Szervezet azonosságának hitelesítése .....................................................................28
3.2.3
Személy azonosságának hitelesítése .......................................................................28
3.2.4
Eszköz regisztrációja ...............................................................................................29
3.3
Azonosítás és hitelesítés kulcs megújítás kérelem esetén .............................................29
3.4
Azonosítás és hitelesítés tanúsítvány visszavonási kérelem esetén...............................29
4.
A tanúsítvány életciklusra vonatkozó követelmények ............................................................29 4.1
4.1.1
Ki nyújthat be tanúsítványkérelmet ..........................................................................29
4.1.2
A tanúsítvány igénylés folyamata és a résztvevők felelőssége .................................30
4.2
A tanúsítványkérelem feldolgozása............................................................................31
4.2.1
Az azonosítási és hitelesítési funkciók megvalósítása .............................................31
4.2.2
A tanúsítványkérelem jóváhagyása vagy visszautasítása.........................................32
4.3
4/63
Tanúsítványkérelem........................................................................................................29
Tanúsítvány kibocsátás ...............................................................................................32
4.3.1
A hitelesítés-szolgáltató tevékenysége a tanúsítvány kibocsátás során...................32
4.3.2
Az előfizető és az aláíró értesítése a tanúsítvány kibocsátásról...............................33
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
4.3.3
A tanúsítvány kibocsátásának időpontja..................................................................33
4.3.4
A tanúsítvány érvényessége....................................................................................33
4.4
Tanúsítvány elfogadás .................................................................................................33
4.4.1
A tanúsítvány elfogadás esetei .................................................................................33
4.4.2
A tanúsítvány közzététele a hitelesítés-szolgáltató által...........................................33
4.5
Kulcspár- és tanúsítvány használat ............................................................................33
4.5.1
Az alany magánkulcs- és tanúsítvány használata.....................................................33
4.5.2
Az érintett felek nyilvános kulcs- és tanúsítvány használata ....................................34
4.6
Tanúsítvány megújítás .................................................................................................34
4.6.1
A tanúsítvány megújítás körülményei ......................................................................34
4.6.2
Ki kérelmezheti a megújítást.....................................................................................35
4.6.3
A tanúsítvány megújítási kérelmek feldolgozása......................................................35
4.6.4
Az aláíró értesítése az új tanúsítvány kibocsátásáról ...............................................35
4.6.5
A megújított tanúsítvány elfogadása........................................................................35
4.7
Kulcscsere.......................................................................................................................36
4.8
Tanúsítvány módosítás ...................................................................................................36
4.9
Tanúsítvány visszavonás és felfüggesztés .....................................................................36
5/63
4.9.1
A visszavonás körülményei......................................................................................36
4.9.2
Ki kérelmezheti a visszavonást.................................................................................37
4.9.3
Visszavonási kérelemre vonatkozó eljárás...............................................................37
4.9.4
A visszavonási kérelemre vonatkozó kivárási idő....................................................37
4.9.5
A visszavonási eljárás maximális hossza.................................................................38
4.9.6
Az érintett felek kötelezettsége a visszavonási információ ellenőrzésére.................38
4.9.7
A visszavonási lista kibocsátás gyakorisága ...........................................................38
4.9.8
A visszavonási lista előállítása és közzététele közötti idő maximális hossza.............38
4.9.9
Valósidejű tanúsítvány állapot ellenőrzés elérhetősége ...........................................38
4.9.10
A valósidejű tanúsítvány állapot ellenőrzésre vonatkozó követelmények................38
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
4.9.11
A visszavonási hirdetmények egyéb elérhető formái................................................39
4.9.12
A kulcs kompromittálódásra vonatkozó speciális követelmények............................39
4.9.13
A felfüggesztés körülményei ....................................................................................39
4.9.14
Ki kérelmezheti a felfüggesztést ...............................................................................39
4.9.15
A felfüggesztési kérelemre vonatkozó eljárás ..........................................................39
4.9.16
A felfüggesztés maximális hossza ...........................................................................39
4.9.17
A felfüggesztésből visszaállítás körülményei............................................................40
4.9.18
Mikor szabad a felfüggesztésből visszaállítani a tanúsítványt?...............................40
4.9.19
Ki kérelmezheti a felfüggesztésből visszaállítást?.....................................................40
4.9.20
A felfüggesztésből visszaállítási kérelemre vonatkozó eljárás .................................40
4.10
Tanúsítvány állapot szolgáltatások..............................................................................40
4.10.1
Működési jellemzők ..................................................................................................41
4.10.2
A szolgáltatás rendelkezésre állása..........................................................................41
4.10.3
Nem kötelező tulajdonságok.....................................................................................41
4.11
A tanúsítvány előfizetés vége......................................................................................41
4.12
Kulcs letétbe helyezése és visszaállítása....................................................................41
5.
Elhelyezési, irányítási és működtetési előírások ....................................................................42 5.1
5.1.1
A telephely elhelyezése és szerkezeti felépítése.....................................................43
5.1.2
Fizikai hozzáférés .....................................................................................................44
5.1.3
Áramellátás és légkondicionálás..............................................................................44
5.1.4
Beázás és elárasztódás veszély kezelése .................................................................44
5.1.5
Tűzmegelőzés és tűzvédelem ...................................................................................44
5.1.6
Adathordozók tárolása .............................................................................................44
5.1.7
Hulladék megsemmisítése ........................................................................................45
5.1.8
A mentési példányok fizikai elkülönítése .................................................................45
5.2
6/63
Fizikai előírások ..............................................................................................................43
Eljárásbeli előírások ........................................................................................................45
Educatio Társadalmi Szolgáltató Közhasznú Társaság
5.2.1
Bizalmi munkakörök .................................................................................................45
5.2.2
Az egyes feladatokhoz szükséges személyzeti létszámok........................................46
5.2.3
Az egyes munkakörökben elvárt azonosítás és hitelesítés ......................................46
5.2.4
Egymást kizáró munkakörök....................................................................................47
5.3
Személyzetre vonatkozó előírások .................................................................................47
5.3.1
Képzettségre, gyakorlatra és biztonsági ellenőrzésre vonatkozó követelmények.......47
5.3.2
Előélet vizsgálatára vonatkozó eljárások..................................................................47
5.3.3
Kiképzési követelmények .........................................................................................47
5.3.4
Továbbképzési gyakoriságok és követelmények......................................................48
5.3.5
Munkabeosztás körforgásának gyakorisága és sorrendje........................................48
5.3.6
Felhatalmazás nélküli tevékenységek büntető következményei................................48
5.3.7
Szerződéses viszonyban foglalkoztatottakra vonatkozó követelmények..................48
5.3.8
A személyzet számára biztosított dokumentációk ....................................................48
5.4
Naplózási eljárások .........................................................................................................48
5.4.1
A tárolt események típusai.......................................................................................48
5.4.2
A napló fájl feldolgozásának gyakorisága................................................................49
5.4.3
A naplófájl megőrzési időtartama .............................................................................50
5.4.4
A naplófájl védelme ..................................................................................................50
5.4.5
A naplófájl archiválási eljárásai ................................................................................50
5.5
7/63
HSZSZ-1 Szolg. Szabályzat
Adatok archiválása..........................................................................................................50
5.5.1
Az archivált adatok típusai .......................................................................................50
5.5.2
Az archívum megőrzési időtartama ..........................................................................51
5.5.3
Az archívum védelme ...............................................................................................51
5.5.4
Az archívum mentési folyamatai ...............................................................................51
5.5.5
Az adatok időbélyegzésére vonatkozó követelmények .............................................51
5.5.6
Az archívum gyűjtési rendszere (belső vagy külső)..................................................51
5.5.7
Archív információk hozzáférését és ellenőrzését végző eljárások............................51
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
5.6
Kulcscsere.......................................................................................................................52
5.7
Kompromittálódást és katasztrófát követő helyreállítás ..................................................52
5.7.1
Váratlan esemény és kompromittálódás kezelési eljárások .....................................52
5.7.2
Meghibásodott számítási erőforrások, szoftverek és/vagy adatok ...........................52
5.7.3
Magánkulcs kompromittálódása esetén követendő eljárások...................................52
5.7.4
Működés folyamatosságának biztosítása katasztrófát követően ..............................52
5.8 6.
Hitelesítés szolgáltató vagy regisztrációs szervezet leállítása........................................53
Műszaki biztonsági intézkedések ...........................................................................................53 6.1
Kulcspár előállítása és telepítése....................................................................................53
6.1.1
Kulcspár előállítás....................................................................................................54
6.1.2
Magánkulcs eljuttatása az előfizetőhöz, aláíróhoz ....................................................54
6.1.3
A nyilvános kulcs eljuttatása a tanúsítvány kibocsátóhoz........................................55
6.1.4
A hitelesítés szolgáltató nyilvános kulcsának közzététele az érintett felek számára ..55
6.1.5
Kulcsméretek............................................................................................................55
6.1.6
Nyilvános kulcs paraméterek előállítása, a paraméterek ellenőrzése .......................55
6.1.7 A kulcs használat célja (az X.509 v3 kulcshasználati mező tartalmának megfelelően)...........................................................................................................................55 6.2 A szolgáltatói magánkulcsok védelme és a kriptográfiai modulokkal kapcsolatos műszaki előírások ....................................................................................................................................55
8/63
6.2.1
Magánkulcs többszereplős ("n-ből m") használata...................................................56
6.2.2
Magánkulcs letétbe helyezése ..................................................................................56
6.2.3
Magánkulcs mentése ................................................................................................56
6.2.4
Magánkulcs archiválása ...........................................................................................56
6.2.5
Magánkulcs bejuttatása kriptográfiai modulba, vagy onnan történő exportja ...........56
6.2.6
Magánkulcs tárolása kriptográfiai modulban ............................................................56
6.2.7
A magánkulcs aktiválásának módja .........................................................................57
6.2.8
A magánkulcs deaktiválásának módja .....................................................................57
6.2.9
A magánkulcs megsemmisítésének módja...............................................................57
Educatio Társadalmi Szolgáltató Közhasznú Társaság
6.2.10 6.3
HSZSZ-1 Szolg. Szabályzat
A kriptográfiai modulok értékelése...........................................................................57
A kulcspár kezelésének egyéb szempontjai ...................................................................57
6.3.1
Nyilvános kulcs archiválása .....................................................................................57
6.3.2
A tanúsítványok és kulcspárok használatának periódusa .......................................57
6.4
Aktivizáló adatok .............................................................................................................58
6.4.1
Aktivizáló adatok előállítása és telepítése ...............................................................58
6.4.2
Az aktivizáló adatok védelme ...................................................................................58
6.4.3
Az aktivizáló adatok egyéb szempontjai .............................................................58
6.5
Informatikai biztonsági előírások.....................................................................................58
6.5.1
Speciális informatikai biztonsági műszaki követelmények .......................................58
6.5.2
Az informatikai biztonság értékelése .......................................................................58
6.6
Életciklusra vonatkozó műszaki előírások.......................................................................59
6.6.1
Rendszerfejlesztési előírások ...................................................................................59
6.6.2
Biztonságkezelési előírások .....................................................................................59
6.7
Hálózatbiztonsági előírások ............................................................................................59
6.8
Időbélyegzés ...................................................................................................................59
7.
Tanúsítvány-, és tanúsítvány visszavonási lista.....................................................................59 7.1
Tanúsítványprofilok .........................................................................................................59
7.2
Tanúsítvány visszavonási lista profil ...............................................................................59
8.
Megfelelőségi audit és egyéb ellenőrzések............................................................................59
9.
Egyéb üzleti és jogi kérdések.................................................................................................59 9.1
Díjak.................................................................................................................................59
9.2
Anyagi felelősségvállalás ................................................................................................60
9.3
Az üzleti információk bizalmassága ................................................................................60
9.4
A személyes adatok védelme...........................................................................................60
9.5
Szellemi tulajdonjogok ....................................................................................................60
9.6
Tevékenységért viselt felelősség és helytállás .........................................................60
9/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
9.6.1
A hitelesítés-szolgáltató felelőssége és helytállása..................................................60
9.6.2
A regisztrációs szervezet felelőssége és helytállása................................................60
9.6.3
Az aláíró / előfizető felelőssége és helytállása .........................................................61
9.6.4
Az érintett fél felelőssége .........................................................................................61
9.7
Helytállás érvénytelenségi köre ......................................................................................61
9.8
Felelősségi korlátozások .................................................................................................61
9.9
Kártérítési kötelezettségek ..............................................................................................61
9.10
Érvényesség ................................................................................................................62
9.11
A felek közötti kommunikációra vonatkozó előírások ..................................................62
9.12
Kiegészítések...............................................................................................................62
9.13
Vitás kérdések megoldása ...........................................................................................62
9.14
Irányadó jog .................................................................................................................62
9.15
Az érvényben lévő jogszabályoknak való megfelelőség .............................................62
10/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
1. Bevezetés Az elektronikus aláírásról szóló 2001. évi XXXV. törvény (Eat.) 1.§ (2) bekezdése értelmében egymással szerződéses viszonyban álló felek az elektronikusan aláírt elektronikus dokumentumok szervezetek (személyek) korlátozott és zárt körében való elfogadásának feltételeit – az Eat. 3. § (2) bekezdése szerinti korlátok között - a törvény szabályaitól eltérően is megállapíthatják. Jelen Hitelesítés Szolgáltatási Szabályzat alapján nyújtott hitelesítés szolgáltatás nem minősül nyilvános szolgáltatásnak. A fenti rendelkezés alapján a jelen hitelesítés szolgáltatási szabályzat (továbbiakban: HSZSZ) egyrészről az Oktatási és Kulturális Minisztérium, a közoktatásról szóló 1993. évi LXXIX. tv-ben (Közoktatási törvény) meghatározott általános iskolák és középfokú oktatási intézmények vezetői, továbbá a képviselettel meghatalmazott helyettesítő személyek, másrészről az Educatio Társadalmi Szolgáltató Közhasznú Társaság (Educatio Kht. vagy Szolgáltató) közötti szerződéses viszony szerint zárt körben érvényes. A HSZSZ érvényes továbbá egyrészről a felsőoktatásról szóló 2005. évi CXXXIX. tv-ben (felsőoktatási törvény) meghatározott felsőoktatási intézmények vezetői, valamint ezen személyek képviselettel meghatalmazottjai, másrészről az Educatio Kht. közötti szerződéses viszony szerinti zárt körben. Az Educatio Kht. által kibocsátott tanúsítványok felhasználása kizárólag az Educatio Kht. és az Aláírók egymás közötti kapcsolattartása, kommunikációja, szerződéskötése, valamint ezen belül a közoktatásról szóló törvény végrehajtásáról szóló 20/1997 (II. 13.) Kormányrendeletben, továbbá a felsőoktatási törvényben és a felsőoktatási törvény egyes rendelkezéseinek végrehajtásáról szóló 79/2006 (IV.5.) Kormány rendeletben meghatározott, Educatio Kht. felé történő adatszolgáltatás teljesítése céljából lehetséges. A tanúsítványok felhasználása az Educatio Kht-tól eltérő harmadik személy irányában nem megengedett.
1.1
Áttekintés
Ez a hitelesítés szolgáltatási szabályzat a nyilvánosan hozzáférhető, ”Az Educatio Társadalmi Szolgáltató Közhasznú Társaság zártkörű, fokozott biztonságú hitelesítés szolgáltatásának HR-1 jelű hitelesítési rendje” című dokumentumban foglaltak alapján készült.
1.1.1 A Szabályzat A szolgáltatási szabályzat a szolgáltató tevékenységével kapcsolatos részletes eljárási és egyéb működési szabályokat tartalmazó dokumentum. A szolgáltatási szabályzat célja, hogy összefogja azokat a szabályzatokat és információkat, melyeket a hitelesítés-szolgáltatóval valamilyen módon kapcsolatba kerülő feleknek érdemes tudni. Mint ilyen, a szolgáltató működésének átláthatóságát biztosítja, s lehetővé teszi a felhasználók számára, hogy megállapítsák a szolgáltató által kialakított rendszer és működtetési gyakorlata, illetve a kiadott tanúsítványfajtái (pl. személyes, eszköz) és tanúsítvány-profiljai (a tanúsítványok logikai adattartalma fajtánként) mennyiben felelnek meg az elvárásaiknak. A szolgáltatási szabályzat ellenőrzésével a tanúsítvány elfogadóinak egyértelműen meg kell tudni
11/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
állapítani a tanúsítvány kezelésének módját, az általa garantált biztonság mértékét és az erre vonatkozó technikai, üzleti és pénzügyi garanciákat, jogi felelősségvállalásokat. A tanúsítványok végfelhasználóinak tevékenységére vonatkozóan jelen szabályzattól független egyéb szolgáltatói szabályzatok is élhetnek előírásokkal. Amennyiben e szabályzatok bármely vonatkozásban ellentmondással vagy eltérő kikötéssel élnének, jelen szolgáltatási szabályzat előírásai tekintendők magasabb szintűnek, s ezek alkalmazandóak. Jelen dokumentum a Közoktatási törvényben meghatározott általános iskolák és középfokú oktatási intézmények vezetői, valamint a felsőoktatási törvényben meghatározott felsőoktatási intézmények vezetői, továbbá ezen személyek képviselettel meghatalmazottjai kriptográfiai hardver eszköz használatát megkövetelő hitelesítési szolgáltatási szabályzat. Jelen szolgáltatási szabályzat követi az európai szabványosítás keretében RFC 3647 [14]-ban definiált specifikációt.
1.1.2 A Szabályzat hatálya Csak a szolgáltató aláírásával ellátott szolgáltatási szabályzat változata tekinthető hitelesnek.
Tárgyi hatály:
A tárgyi hatály az 1.1.4 fejezetben ismertetett szolgáltatások nyújtását és igénybevételét foglalja magában.
Időbeli hatály:
Az időbeli hatály a változáskezelés táblázatban feltüntetett jelen szabályzati verzióra érvényes hatálybalépés dátumától kezdődően határozatlan időre szól (hatálya megszűnik a szolgáltatási tevékenység beszüntetésekor, illetve egy újabb szabályzat verzió hatályba lépésékor).
Személyi hatály:
A személyi hatály a PKI szereplők közösségének (lásd. 1.3 pont), minden egyes tagjára, jogi és természetes személyekre egyaránt kiterjed. 1. táblázat
1.1.3 A szolgáltató
Jelen szabályzatban a szolgáltatónak nevezett entitás (továbbiakban: Szolgáltató vagy hitelesítés-szolgáltató) az Educatio Társadalmi Szolgáltató Közhasznú Társaság (Educatio Kht.) és a vele kapcsolatban álló regisztráló szervezetek együttesen. Szolgáltatót jogi értelemben Educatio Kht.. képviseli. További adatok az 1.5.1 pontban találhatók. Az Educatio Társadalmi Szolgáltató Közhasznú Társaságot a felsőoktatási felvételi rendszer fejlesztése és üzemeltetése, a felsőoktatási felvételi eljárás lebonyolítása és a felsőoktatási felvételihez kapcsolódó tájékoztatási feladatok ellátása céljából alapította az Oktatási Minisztérium (az Oktatási és Kulturális Minisztérium jogelődje) 2000-ben.
12/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
Az Oktatási Minisztérium döntésének eredményeképpen – a Minisztériummal kötött közhasznú szerződés módosításai alapján – a Társaság feladatai az Országos Felsőoktatási Felvételi Iroda (jelenlegi nevén Országos Felsőoktatási Információs Központ) (OFIK) működtetése mellett 2001ben kibővültek a SuliNET Programiroda és a győri Közoktatási Információs Iroda (KII), 2002-ben a Hallgatói Információs Központ (HIK), majd 2003-tól a Diákigazolvány Ügyfélszolgálat (jelenlegi nevén Oktatási Kártyaközpont) működtetésével. A közoktatási intézménytörzset az Educatio Kht. keretein belül működő győri Közoktatási Információs Iroda kezeli. Ebben szerepelnek az intézményi egyedi azonosítók, illetve az elhelyezkedéssel, feladat-ellátással, telephelyekkel stb. kapcsolatos adatok. Az adatok megtekintése és a módosítások bejelentése Internetes felületen az Educatio Kht. portáljain keresztül is lehetséges. Az Oktatási Minisztérium (OM) a felsőoktatási felvételi rendszer kialakítása, üzemeltetése, és fejlesztése érdekében hozta létre az OFIK elődjét, az Országos Felsőoktatási Felvételi Irodát (OFI) 1985-ben. A felsőoktatási felvételi eljárás lebonyolítása és a felsőoktatási felvételi tájékoztatás jelentős - országosan egyedülálló - informatikai hátteret igényel. Az ügyintézés lelkét, az OFIK-ban kialakított központi adatbázisok és programok jelentik, ezekhez a felsőoktatási intézmények kliens-programokkal kapcsolódnak. Ez a rendszer teszi lehetővé a tömeges mennyiségű adat és információ tárolását, kezelését. A Diákigazolvány Ügyfélszolgálatot azzal a céllal hozták létre, hogy gondoskodjon a diákigazolvány-igénylések feldolgozásáról és a diákigazolványok előállításáról. Az igénylők tájékoztatása érdekében az Ügyfélszolgálat külön call-centert üzemeltet, ahol minden érdeklődő személyre szabottan is választ kaphat kérdéseire. A Szolgáltató hitelesítés szolgáltatási rendszerének regisztrációs feladatait részben a KII és az Oktatási Kártyaközpont, diákigazolvány ügyfélszolgálata részben szerződéses partner(ek) végzi(k) el. A Szolgáltató központi hitelesítés szolgáltatási (PKI CA/RA) rendszerét az OFIK működteti és menedzseli. A hitelesítés szolgáltatás ügyfélszolgálati teendőit az Oktatási Kártyaközpont diákigazolvány ügyfélszolgálata látja el.
1.1.4 Szolgáltatások A Szolgáltató a hitelesítés-szolgáltatás keretében az alábbi tevékenységeket végzi: -
13/63
kezdeti regisztrálás és személyazonosság megállapítása tanúsítványkérelem feldolgozása tanúsítvány kibocsátás tanúsítvány elfogadás tanúsítvány megújítás és módosítás tanúsítvány visszavonás és felfüggesztés tanúsítvány állapot szolgáltatás kulcscsere tanúsítványarchiválási szolgáltatás aláíró eszköz szolgáltatás
Educatio Társadalmi Szolgáltató Közhasznú Társaság
-
HSZSZ-1 Szolg. Szabályzat
egyedi név szolgáltatás adattárolási szolgáltatás
1.1.5 Szabványok és előírások A Szabályzat az EU elvárásai, illetve a X.509 Nyilvános kulcsú infrastruktúra – tanúsítvány politika és szolgáltatási szabályzat keretrendszer [14] specifikáció alapján készült. A Szabályzat a zártkörű felhasználásra vonatkozó elvárások szerint megfelel az elektronikus aláírásról szóló 2001. évi XXXV. törvény [1] (továbbiakban: Eat.) vonatkozó előírásainak és ajánlásainak. A Szabályzat a Szolgáltató HR-1 jelű hitelesítési rendjében [9] előírtaknak megfelel.
1.1.6 Tanúsítványfajták A Szolgáltató az alábbi tanúsítványfajtákat bocsátja ki:
S.
Megnevezés
1.a
Személyes (végfelhasználói) tanúsítvány közoktatási ügyfelek számára
Tranzakciós limit 0 Ft
Korlátozás Nem használható pénzügyi tranzakciókban! Csak zárt körben alkalmazható!
1.b
Személyes (végfelhasználói) tanúsítvány felsőoktatási ügyfelek számára
0 Ft
Nem használható pénzügyi tranzakciókban! Csak zárt körben alkalmazható!
2.
Eszköz tanúsítvány
0 Ft
Nem használható pénzügyi tranzakciókban!
3.
Szolgáltatói tanúsítvány
0 Ft
A Szolgáltató saját maga számára kibocsátott tanúsítvány.
2. táblázat
Szolgáltató az egyes tanúsítványok profiljait egy külön dokumentumban [8] rögzítette. Kérésre ezt a dokumentumot az érdeklődők megtekinthetik.
1.1.7 Aláíró eszköz szolgáltatás A Szolgáltató az ügyfelei és saját munkatársai számára aláírás-létrehozó eszközön (kriptográfiai hardver eszközön; ú.n. chipkártyán) aláírás-létrehozó adat elhelyezése szolgáltatást végez. Az alkalmazott chipkártya az Axalto Cyberflex 64K típusú terméke. Ez a chipkártya megfelelő 14/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
biztonsági garanciát nyújtó nemzetközi tanúsítvánnyal rendelkezik, a chipkártya által megvalósított kriptográfiai algoritmusok és paramétereik megfelelnek a nemzetközi elvárásoknak. Ezen szolgáltatás során a Szolgáltató: a) megszemélyesíti a chipkártyát, amely során vizuálisan megszemélyesíti a kártyát, elhelyezi a chipmodulon az elektronikus aláírás alkalmazást, beállítja a biztonságos működéshez szükséges kulcsokat, az aktivizáló adatot (PIN-t) és más adatokat, elkészíti a zárt PIN-borítékot b) az átadásra felkészített kártyát és PIN-borítékot az ügyfélhez történő átadásig biztonságosan tárolja és szállítja c) az aláírás létrehozó adat az ügyfél közreműködésével kerül a chipmodulba, amely során az ügyfél a PIN-boríték felhasználásával megadja a chipmodult védő PIN-kódot a Szolgáltató által rendelkezésére bocsátott szoftvernek, mire az utasítás ad a chipmodul számára, hogy az az aláírás létrehozó adatot megfelelően védett körülmények között hozza létre A PIN-kód megváltoztatása az ügyfél részéről a műveletet megelőzően is és azt követően az ügyfél által biztonságos körülmények között biztosított. A Szolgáltató gondoskodik arról, hogy a rendszerében és az átadás során ne kerüljenek tárolásra kulcsok és aktivizáló adatok, a munkafolyamatokban gondoskodik arról, hogy az abban dolgozó munkatársak se ismerhessék meg ezeket a kulcsokat és aktivizáló adatokat. A chipmodul biztosítja az aláírás létrehozó titkosságát és sértetlenségét. 1.1.7.1 Chipkártya paraméterek
Paraméter megnevezése
Érték
Kártya címke:
Educatio.cm1.typecard
A kártya technológiája
Java card
Több alkalmazásra is megfelel
Initial PIN
Nincs
az alkalmazott technológia alapján nem szükséges
User PIN és Unblock PIN
igen, mindkettő
PIN és PUK megadása
GINA
Nem
Microsoft szolgáltatás
Aláíró kulcsok száma
3
Aláíró kulcsok mérete közoktatási ügyfeleknél
1024 bit
Aláíró kulcsok mérete felsőoktatási ügyfeleknél
2048 bit
15/63
Megjegyzés
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
Titkos terület mérete
10 000 byte
Nyilvános terület mérete
20 000 byte
Crypto API
Igen
Microsoft szolgáltatás
PKCS#11 közoktatási ügyfeleknél
Nem
egyéb szolgáltatás
PKCS#11 felsőoktatási ügyfeleknél
Igen
egyéb szolgáltatás
Protected Mode
Igen
Generate Key on Card
Igen
PIN hossz legalább
6
PIN hossz legfeljebb
12
Ismételhető karakterek
2
A regisztráció során keletkezik a kulcs.
PIN próbálkozások száma 3
hibás megadások száma
PIN váltás
Engedélyezett
ügyfél lecseréli
PIN history
Nincs
adható többször is ugyanaz a PIN
Hibát követő feloldás
engedélyezett Unblock PIN-nel PIN boríték tartalmazza
Megadható PIN karakterek
alfanumerikus és nem alfanumerikus is
kisbetű, nagybetű, szám és jel
Unblock PIN hossz lega.
8
PUK!
Unblock PIN hossz legf.
12
PUK!
Unblock PIN próbálkozások száma
10
PUK! Ezt követően a kártya hozzáférhetetlen lesz!
Unblock PIN váltás
Engedélyezett
ügyfél lecserélheti
Unblock PIN history
1
az előzőtől eltérőt fogad el! 3. táblázat
16/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
1.2
HSZSZ-1 Szolg. Szabályzat
A dokumentum neve és azonosítója
A jelen dokumentumban meghatározott Hitelesítési szolgáltatási szabályzat (továbbiakban: HSZSZ) neve és azonosítói az alábbiak: Megnevezés:
Az Educatio Társadalmi Szolgáltató Közhasznú Társaság zártkörű, fokozott biztonságú hitelesítés szolgáltatásának HSZSZ-1 jelű hitelesítés szolgáltatási szabályzata
Azonosító:
EDUCAHSZSZ-1
OID:
1.3.6.1.4.1.27537.2.2
A Szabályzat alapján a Szolgáltató a következő hitelesítési rendnek való megfelelést vállalja: ”Az Educatio Társadalmi Szolgáltató Közhasznú Társaság zártkörű, fokozott biztonságú hitelesítés szolgáltatásának HR-1 jelű hitelesítési rendje” [9]
1.3
PKI szereplők
A kibocsátott tanúsítványok és aláírás-létrehozó eszközök alkalmazó közössége a Szolgáltató, a vele szerződéses kapcsolatban álló regisztrációs egységek, a tanúsítványok végfelhasználói (a Szolgáltató szerződéses ügyfelei) és az érintett felek (szintén a Szolgáltató szerződéses ügyfelei).
1.3.1 Hitelesítés-szolgáltatók Szolgáltató – saját szervezetén belül – hitelesítő szervezetet működtet, melynek feladata a tanúsítványok központi létrehozása, kibocsátása és menedzsmentje, a regisztráló szervezetektől kapott kérelmeknek megfelelően. A Szolgáltató önhitelesített rendszert működtet, amely azt jelenti, hogy úgy nevezett gyökér hitelesítő egység nem tanúsítja az alkalmazott rendszert. Szolgáltató hitelesítő szervezete a szabályzatok menedzsmentjével kapcsolatos feladatokat is ellátja.
1.3.2 Regisztráló szervezetek Szolgáltató – saját szervezetén belül, valamint partnerein keresztül – regisztráló szervezeteket működtet, amelyek az alábbi feladatokat látják el: •
17/63
kezdeti regisztráció: amely az ügyfelek igénylésének az átvételéből és az átvett adatok ellenőrzéséből tevődik össze; ezen feladatokat
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
a közoktatási intézményi igénylők esetében az Educatio Társadalmi Szolgáltató Közhasznú Társaság Közoktatási Információs Irodája (KII) látja el, az igénylők a KII http://www.kir.hu honlapján keresztül közlik igényeiket; o a felsőoktatási intézmény igénylők esetében az Educatio Társadalmi Szolgáltató Közhasznú Társaság Országos Felsőoktatási Információs Központja (OFIK) látja el, az igénylők a http://www.felvi.hu/ honlapon jelentik be igényüket; o további igényeket az Educatio Társadalmi Szolgáltató Közhasznú Társaság ügyvezetőjéhez eljuttatott levélben lehet megadni, ld. kapcsolati pont az 1.5.2 szerint a személyazonosítást, az aláíró eszköz, valamint az aktivizáló adat (PIN) átadását, az aláírás létrehozó adat és aláírás ellenőrző adat generálásának felügyeletét, a tanúsítvány lekérését a hitelesítő egységtől (CA) és a tanúsítvány elhelyezését az aláíró eszközön, valamint a biztonságos környezet helyi menedzselését egy külső regisztrációt végző munkatárs (XRO) látja el az ügyfélnél; a Szolgáltató telephelyén ezeket a feladatokat biztonságos körülmények között a regisztrációs munkatárs (RO) látja el a tanúsítvány kibocsátásával kapcsolatos egyéb feladatok elvégzését a Szolgáltató, tanúsítvány-adminisztrációs (cert admin) szerepkörben dolgozó munkatársai a kijelölt biztonsági felelős és PKI szakértő munkatársakkal együttműködve biztosítják, a további tanúsítványmenedzsment feladatok ellátása során a felhasználókkal történő kapcsolattartást a Szolgáltatóhoz tartozó Oktatási Kártyaközpont diákigazolvány ügyfélszolgálatának munkatársai (DÜ) látják el. A regisztrálók feladata az ügyfélszolgálati teendők ellátása, illetve felelősek a tanúsítványtár eléréséért és a tanúsítványállapotok ügyfél oldali beállításáért is. o
•
• • •
A regisztráló szervezet feladatát jelen szabályzat előírásainak megfelelően végzi. A regisztrációs feladatok egy részének elvégzésével a Szolgáltató az EURO ONE Számítástechnikai Zrt-t bízta meg.
1.3.3 Előfizetők és Alanyok Az előfizetők a jelen HSzSz 1.6 pontjában meghatározott személyek. Jelen Hitelesítés szolgáltatási szabályzatban az alanyok, azaz az aláírók a Közoktatási törvényben meghatározott általános iskolák és középfokú oktatási intézmények, valamint a felsőoktatási törvényben meghatározott felsőoktatási intézmények vezetői és ezen személyek képviselettel meghatalmazottjai.
1.3.4 Érintett felek Az érintett fél az a személy, vagy szervezet, illetve eszköz (entitás), aki/amely egy adott tanúsítványon alapuló nyilvános kulcsú technikára hagyatkozva jár el. Jelen Hitelesítés Szolgáltatási szabályzat vonatkozásában érintett fél minden olyan felhasználó, aki vagy amely a Hitelesítés szolgáltatóval ezen Hitelesítés szolgáltatási szabályzathoz kötötten szerződéses jogviszonyban áll.
18/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
1.4
HSZSZ-1 Szolg. Szabályzat
Tanúsítvány használat
A jelen Szolgáltatási szabályzat szerint a Szolgáltató HR-1 jelű hitelesítési rendje [9] által meghatározott tanúsítványhasználat engedélyezett, illetve ebben találhatók az esetleges korlátozások és tiltások is.
1.5
Kapcsolattartás
1.5.1 A Szolgáltató adatai A szervezet adatai Szervezet neve:
EDUCATIO Társadalmi Szolgáltató Közhasznú Társaság
Szervezet címe:
1134 Budapest, Váci út 37.
Cégjegyzékszám:
01-14-000308
Telefonszám:
+36(1)477-3276
Faxszám:
+36(1)477-3136
Email cím:
[email protected]
Honlap:
http://www.educatio.hu/e-sign.html 4. táblázat
1.5.2 Ügyfélszolgálat A szolgáltatással kapcsolatos kérdésekkel, problémákkal a végfelhasználók az Oktatási Kártyaközpont diákigazolvány ügyfélszolgálatához fordulhatnak szóban vagy írásban. Szolgáltató webes információs rendszere és email fiókjai minden nap 0-24 óráig fogadják a bejelentéseket. Szolgáltató a bejelentésre legkésőbb a következő munkanapon reagál, válasz email cím vagy telefonszám birtokában küldi meg a válaszát. Amennyiben a válasz tartalmilag nem teljes, a komplett válasz várható elkészültének idejét a Szolgáltató megadja. Szolgáltató a jelzett telefonszámokon, munkanapokon 8 és 17 óra között érhető el.
Az ügyfélszolgálat adatai Neve:
19/63
Oktatási Kártyaközpont Diákigazolvány
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
Ügyfélszolgálat Telefonszám:
+36(1)447-4041
Faxszám:
+36(1) 688-8686
Email cím:
[email protected]
Honlap:
http://www.diakigazolvany.hu 5. táblázat
1.5.3 A Szolgáltatási szabályzat jelen megfelelőségéért felelős személy/szervezet
Hitelesítési
rendnek
való
a) A Szolgáltatási szabályzatot kibocsátó szolgáltató felelős a Szolgáltatási szabályzat jelen dokumentumban meghatározott Hitelesítési rendnek [9] való megfelelőségéért és az ebben foglaltak szerinti szolgáltatás nyújtásáért.
1.5.4 A Szolgáltatási szabályzat elfogadási eljárása a) A Szolgáltatási szabályzatot a Szolgáltató ügyvezetője hagyja jóvá.
1.6
Meghatározások
Alany
A hitelesítés-szolgáltató által kiadott tanúsítványban azonosított természetes személy, aki a tanúsítványban szereplő aláírás-ellenőrző adatnak (nyilvános kulcsnak) megfelelő aláíráslétrehozó adatot (kriptográfiai magánkulcsot) birtokolja, vagy szervezet, amely a szerver tanúsítványában szereplő aláírás-ellenőrző adatnak (nyilvános kulcsnak) megfelelő aláíráslétrehozó adatot (kriptográfiai magánkulcsot) birtokolja.
Aláíró
Az a természetes személy, aki az aláíráslétrehozó eszközt birtokolja és a saját vagy más személy nevében elektronikus aláírásra jogosult.
Bizalmi közösség
Azokat a PKI szereplőket, akik, illetve amelyek elfogadják és alkalmazzák a Hitelesítési rendben és Szolgáltatási szabályzatban rögzített meghatározásokat, leírásokat és feltételeket, valamint korlátozásokat egy
20/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
Bizalmi közösségbe tartozónak tekintjük. Elektronikus aláírás
Elektronikus dokumentumhoz azonosítás céljából hozzárendelt vagy azzal logikailag összekapcsolt elektronikus adat.
Előfizető
A hitelesítés-szolgáltatónál egy vagy több aláíróhoz kapcsolódó szolgáltatási díj megfizetését vállaló természetes, vagy jogi személy, vagy jogi személyiség nélküli szervezet, aki közvetlenül vagy közvetve elfogadja a hitelesítés-szolgáltató kikötéseit és feltételeit, valamint a szolgáltatás díjának megfizetésére köteles.
Entitás
Személyek, szervezetek és eszközök (általában, de nem kizárólagosan: szerverek).
Érintett fél
Az érintett fél az az entitás, aki egy adott tanúsítványon alapuló nyilvános kulcsú technikára (elektronikus aláírásra, titkosításra vagy hitelesítésre) hagyatkozva jár el
Hitelesítési rend
Olyan szabálygyűjtemény, mely egy tanúsítvány felhasználhatóságát határozza meg egy közös biztonsági követelményekkel rendelkező közösség és/vagy alkalmazások egy osztálya számára.
Hitelesítés-szolgáltató (HSz)
A tanúsítványba foglalt nyilvános kulcs és a tulajdonos azonosító adatainak hiteles összekapcsolásáért felelős, a kommunikációban résztvevő felek mindegyike által hitelesnek tartott szervezet.
Időbélyegzés
Az a folyamat, melynek során az elektronikus dokumentumhoz olyan igazolás rendelődik, amely tartalmazza a bélyegzés hiteles időpontját, és amely a dokumentumhoz oly módon kapcsolódik, hogy minden -az igazolás kiadását követő - módosítás érzékelhető.
Igénylő
Az a személy, aki a tanúsítvány alanya képviseletében, számára tanúsítvány kiadását kérelmezi, és elfogadja a hitelesítés-szolgáltató kikötéseit és feltételeit.
Magánkulcs
A 2001. évi XXXV. törvény szerinti „aláíráslétrehozó adat” egyik elterjedt megnevezése. Kriptográfiai kulcs, „privát kulcsnak” is nevezik. jelen dokumentumban a „magánkulcs” jelenik meg.
Nyilvános kulcs
A 2001. évi XXXV. törvény szerinti „aláírás-ellenőrző adat” egyik elterjedt megnevezése. Kriptográfiai
21/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
kulcs, „publikus kulcsnak” is nevezik. Jelen dokumentumban a „nyilvános kulcs” jelenik meg. Nyilvános (PKI)
kulcsú
infrastruktúra
A tanúsítványok és kulcsok kezelését biztosító jogszabályok, irányelvek, eljárások, szervezetek, hardver és szoftvereszközök összessége.
Szolgáltatási szabályzat
A hitelesítés-szolgáltató tevékenységével kapcsolatos részletes eljárási és egyéb működési szabályokat tartalmazó szabályzat.
Szolgáltatói kulcspár
A szolgáltatói aláírás-létrehozó adat (kriptográfiai magánkulcs) és a szolgáltatói aláírás-ellenőrző adat (kriptográfiai nyilvános kulcs)
Szolgáltatói magánkulcs
Olyan aláírás-létrehozó adat (kriptográfiai magánkulcs), amelyet a hitelesítésszolgáltató saját szolgáltatása keretében így különösen a tanúsítvány kibocsátásához, a visszavonási nyilvántartások aláírásához, az időbélyegzéshez, a naplózáshoz, az archiváláshoz használ.
Szolgáltatói nyilvános kulcs
Olyan aláírás-ellenőrző adat (kriptográfiai nyilvános kulcs), amelyet a szolgáltatói magánkulcs használatával létrehozott elektronikus aláírás ellenőrzésére használnak.
Tanúsítvány
Hitelesítés-szolgáltató által kibocsátott digitális igazolás, amely a belefoglalt nyilvános kulcsot egy meghatározott entitáshoz kapcsolja
Tanúsítvány visszavonási lista
(CRL) Valamely okból visszavont, vagy felfüggesztett, azaz érvénytelenített tanúsítványok azonosítóit tartalmazó elektronikus lista, melyet a hitelesítés-szolgáltató bocsát ki, s aláírásával hitelesít.
1.7
Rövidítések és jelölések
CRL
tanúsítvány visszavonási lista
Certificate Revocation List
DN
megkülönböztetett név
Distinguished Name
KHE
kriptográfiai hardver eszköz
EHR
Egységesített Hitelesítési rend
22/63
Normalized Certification Policy
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
EHR+
kriptográfiai hardver eszköz használatát megkövetelő Egységesített Hitelesítési rend
(extended) Normalized Certification Policy
OCSP
valós idejű tanúsítvány állapot protokoll
On-line Certificate Status Protocol
OID
objektum azonosító
PKI
publikus kulcsú infrastruktúra
Public Key Infrastructure
URI
egységes forrás azonosító
Object Identifier Uniform Resource Identifier
URL
egységes forrás meghatározó
Uniform Resource Locator
UTF
egységes átalakítás formátum
Unicode Transformation Format
1.8
Hivatkozások
Jelen szabályzat az alábbi dokumentumok felhasználásával készült: [1]
2001. évi XXXV. törvény az elektronikus aláírásról.
[2]
FIPS PUB 140: "Kriptográfiai modulok biztonsági követelményei"
[3]
MSZ/ISO/IEC 15408 1999: Informatika - Biztonságtechnika - Az informatikai biztonságértékelés közös szempontjai (1-3 részek)
[4]
CEN CWA 14167-2: Védelmi profil hitelesítés-szolgáltató aláírási műveletét végző, mentési funkcióval rendelkező kriptográfiai moduljára
[5]
ETSI TS 102 042 Szabályozási követelmények a nyilvános kulcsú tanúsítványokat kibocsátó hitelesítés-szolgáltatók számára (Műszaki specifikáció) v1.2.1 (2005-05
[6]
RFC 3280 a X.509 3-as verziójú tanúsítványok és 2-es verziójú CRL-ek
[7]
Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható végfelhasználói tanúsítványok szerkezetének és adattartalmának műszaki specifikációjára
[8]
Az Educatio Kht. elektronikus aláíráshoz kapcsolódó hitelesítés szolgáltatásának CERTP-1 tanúsítvány-profilja
[9]
”Az Educatio Társadalmi Szolgáltató Közhasznú Társaság zártkörű, fokozott biztonságú hitelesítés szolgáltatásának HR-1 jelű hitelesítési rendje”
[10]
„Az Educatio Társadalmi Szolgáltató Közhasznú Társaság ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK zártkörű elektronikus aláírás hitelesítés szolgáltatások igénybevételéhez”
23/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
[11]
„Országos Felsőoktatási Információs Központ Informatikai szabályzata”
[12]
„Országos Felsőoktatási Információs Központ számítógépes rendszerének adatkezelési és adatvédelmi szabályzata”
[13]
ETSI TS 102 280 X.509 V.3 a természetes személyek számára kiadandó tanúsítvány profilja
[14]
RFC 3647 Internet X.509 Nyilvános kulcsú infrastruktúra – tanúsítvány politika és szolgáltatási szabályzat keretrendszer
2. Közzétételre és tárolásra vonatkozó felelősségek 2.1
Adatok, adatbázisok
A Szolgáltató felügyeli a hitelesítő egységet, a kártyakibocsátást és a regisztrációt (beleértve az igénylést is) – ezek adatait, valamint a tanúsítványokra vonatkozó adatokat biztonságosan menedzseli. Szolgáltató nyilvános szabályzataiban csak azon eljárásait hozza nyilvánosságra, melyek ismerete a szolgáltatás biztonságát nem veszélyezteti.
2.2
A tanúsítványokra vonatkozó információk közzététele
A Szolgáltató a http://www.educatio.hu honlapján keresztül folyamatosan elérhetővé teszi a Hitelesítési rend [9], a jelen Szolgáltatási szabályzat, valamint az Általános szerződési feltételek [10] dokumentumokat. A Szolgáltató a http://crl.pkica1.educatio.hu/certenroll/educatio-ca1.crl fájlban adja meg a visszavonási listát. A Szolgáltatói hitelesítő egység (CA) tanúsítványának elérése http://crl.pkica1.educatio.hu/certenroll/educatio-ca1.crt azonosító megadásával történhet.
a
Mindazon ügyfelekre vonatkozóan, akik nyilatkozatban hozzájárultak ahhoz, hogy a tanúsítványaikat nyilvánosságra hozhatja a Szolgáltató, egy tanúsítvány kereső web-es alkalmazás felhasználásával a Szolgáltató lekérdezési lehetőséget biztosít az Interneten keresztül. Az alkalmazás címe: http://www.educatio.hu.
2.3
A közzététel gyakorisága
Tanúsítványok, kikötések és feltételek nyilvánosságra hozatala: a)
24/63
A hitelesítés-szolgáltató biztosítja saját szolgáltatói tanúsítványai, valamint az általa kibocsátott tanúsítványok használatára vonatkozó kikötések és feltételek folyamatos
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
elérhetőségét (a 4.10.2 pontban meghatározott rendelkezésre állás mellett).
Visszavonási állapot információ nyilvánosságra hozatala: A Szolgáltató az alábbi funkciókat kizárólag munkaidőben látja el. b)
A Szolgáltató a telefonon érkező visszavonási és felfüggesztési kérelem fogadásakor megállapítja a kérelem érvényességét és a kérelmező jogosultságát.
c)
A jogos felfüggesztési kérelem esetén elvégzi a felfüggesztési műveletet és utasítást ad a rendszernek, hogy ezen eseményhez kapcsolódóan módosított visszavonási állapotot tegyen közzé. A felfüggesztett tanúsítvány -- a PKI technológia alapján -- a visszavonási állapotot mutató adatsorozatban (CRL listában) visszavont tanúsítványként jelenik meg, amíg az ügyfél felfüggesztésre vonatkozó törlési (visszaállítási) igénye alapján szolgáltatói eljárás nem hajtódik végre. A Szolgáltató a nyilvántartásában 1 órán belül átvezeti az érvényes kérelem szerinti visszavonási állapot megváltozását és ezt az állapotot rendkívüli visszavonási lista („CRL fájl”) kiadásával késedelem nélkül nyilvánossá teszi.
d)
A jogos visszavonási kérelem esetén a Szolgáltató tájékoztatja az ügyfelet, hogy a visszavonási művelet két szakaszból áll. Az első szakaszban a megjelölt tanúsítvány felfüggesztésre kerül, majd a Szolgáltató további jogosultság ellenőrzést végez. Ennek részeként az ügyfél által megadott telefonszámon a Szolgáltató regisztrációs munkatársa (RO) felhívja az ügyfelet, és megerősítés esetén engedélyezi a visszavonást. A felfüggesztési állapot törlésre kerül.
e)
A Szolgáltató a tanúsítvány visszavonási listákat rendszeresen („CRL fájlokat”) legfeljebb 24 óránként közzé teszi.
f)
A Szolgáltató a visszavonási listák frissítését („delta CRL” fájlokat) 3 óránként adja ki.
2.4
Az adatbázisok elérésének szabályozása
Tanúsítványok, kikötések és feltételek elérhetősége: a)
A tanúsítványtár egy 2.2. pont szerint egy web-es alkalmazáson keresztül, a szolgáltatói tanúsítványok, valamint a tanúsítványok használatára vonatkozó kikötések és feltételek (Hitelesítési rend [9], a jelen Szolgáltatási szabályzat, Általános szerződési feltételek [10]) nyilvánosak és nemzetközileg elérhetők az Interneten.
b)
Külön kérésre a Hitelesítési rend [9], a jelen Szolgáltatási szabályzat, Általános szerződési feltételek [10] az ügyfélszolgálaton nyomtatásban is átvehetők. Ezért a szolgáltatásért a Szolgáltató eseti megállapodás alapján külön díjat számolhat fel.
Visszavonási állapot információ elérhetősége:
25/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
A Szolgáltató a visszavonási állapot információt tanúsítvány visszavonási lista CRL és delta CRL formájában teszi közzé. A tanúsítvány visszavonási lista (beleértve ennek bármely változatát is), nyilvánosan és korlátozás nélkül (nemzetközileg is) elérhető.
3. Azonosítás és hitelesítés 3.1
Megnevezési konvenciók
Az azonosítók a Szolgáltató szabályzatai alapján értelmezhetők. Az ékezetes magánhangzók használatánál a Szolgáltató magyar helyesírás szabályait alkalmazza. Ennek megfelelően a Szolgáltató a nevekben szereplő ékezetes betűket eredeti írásmódjuk szerint feltüntetve az UTF-8 kódolásban rögzíti
3.1.1 Név típusok a) A hitelesítés-szolgáltató által kiállított tanúsítványokra a következő névkonvenció érvényes: o
X.500 formátum (ITU-T X.501 /ISO/IEC 9594-2:1997, RFC 3280), A Szolgáltató neve: A Szolgáltató a tanúsítványban az aláíró/tulajdonos, illetve tanúsítvány kiadói nevét (common name; cn) „Educatio Társadalmi Szolgáltató Közhasznú Társaság” megnevezéssel szerepelteti. A Szolgáltató technikai azonosító nevét (X.509 distinguish name; dn) a következők alkotják: •
a cn szerinti név (ld. előbb),
•
a szervezeti megjelölés (organization; o): „OFIK”, és
•
országnév jelzése (country; c): „HU”.
Az ügyfél/aláíró neve: A Szolgáltató a tanúsítványban az aláíró nevét (common name; cn) az igénylésben megadott névvel betű szerint megegyezően rögzíti. A tanúsítvány vezetéknév (surname;sn) mezője nincs kitöltve. A tanúsítvány tulajdonos (subject) mezőjében az ügyfél egyedi technikai azonosító nevét (X.509 distinguish name; dn) a következők alkotják:
26/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
•
az aláíró elektronikus levél címe (email;e),
•
a cn szerinti név,
•
a pedagógus azonosítója (organization unit; ou), illetve a Szolgáltató által külön erre a célra képzett technikai szám
•
és az „educatio”, valamint „cadomain” belső technikai azonosítók (dc).
3.1.2 Álnevek használata a) A hitelesítés-szolgáltató a tanúsítványok DN mezőjében szereplő személynevet álnévnek minősíti.
3.1.3 A különböző elnevezési formák értelmezési szabályai A nevek és azonosítók értelmezése során az ügyfeleknek és a Szolgáltatónak a jelen Szolgáltatási szabályzatban leírtak alapján kell eljárniuk. Amennyiben a nevek és azonosítók, illetve a tanúsítványban foglalt adatok értelmezésével kapcsolatban további információra van szükség, akkor ezt a Szolgáltató jelen Szolgáltatási szabályzat alapján megadja.
3.1.4 A nevek egyedisége A Szolgáltató gondoskodik arról, hogy az általa kiadott tanúsítványokban használt egyedi technikai azonosító neveket (X.509 distinguish name; dn) sohasem fogja egy másik entitáshoz rendelni.
3.1.5 Márkanevek elismerése, azonosításuk és szerepük Nem alkalmazható.
3.2
Kezdeti regisztrálás /személyazonosság megállapítása
3.2.1 A magánkulcs birtoklásának igazolása a) A tanúsítvány generálása előtt a Szolgáltató megbízható rendszere – a jelen Szolgáltatási szabályzat 1.1.7 pontja szerint – biztosítja, hogy az igénylő által képviselt alany ténylegesen birtokolja a tanúsítványba foglalandó nyilvános kulcsnak megfelelő magánkulcsot.
27/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
3.2.2 Szervezet azonosságának hitelesítése Hitelesítés szolgáltató nem vizsgálja egy aláíró jogi szervezethez, jogi személyiség nélküli szervezethez, gazdálkodó szervezethez kapcsolódó képviseleti jogát, illetve ebben az értelemben nem azonosít szervezetet.
3.2.3 Személy azonosságának hitelesítése 3.2.3.1 A közoktatási intézményvezető személy regisztrációja
illetve
a
képviselettel
meghatalmazott
a) A Hitelesítés szolgáltató csak olyan igénylők regisztrációját vállalja, akik a Hitelesítés szolgáltató Közoktatási Információs Irodájának (KIR) rendszerébe az igénybejelentés során „mester-jelszóval” már bejegyzésre kerültek. b) A regisztrációt végző szervezet megbízott ügyintézője (RO, XRO) aláírásával igazolja, hogy az aláírót a személyes regisztráció során azonosította és az aláíró a szolgáltatási szerződést az ügyintéző jelenlétében aláírta. c) A regisztráció során bemutatott hatósági igazolvány azonosító adatait, a megadott adatok egyezését és a hatósági igazolvány érvényességét a regisztrációs szervezet közhiteles nyilvántartásban ellenőrzi a hitelesítés szolgáltatás nyilvánossá válásának előfeltételeként. Amennyiben az adott hatósági igazolvány vonatkozásában ez megvalósítható, a hatósági igazolványt folyamatosan elérhető elektronikus nyilvántartásban ellenőrzi. 3.2.3.2 A felsőoktatási intézményvezető illetve a képviselettel meghatalmazott személy regisztrációja A Hitelesítés szolgáltató csak olyan igénylők regisztrációját vállalja, akik a Hitelesítés szolgáltató Országos Felsőoktatási Információs Központjának (OFIK) rendszerében az igényüket bejelentették (bejelentkeztek), vagy a regisztrációt végző szervezet munkatársai előtt e célból személyesen megjelentek és az intézményvezetőjük szabályszerűen aláírt meghatalmazásával rendelkeznek. A regisztrációt végző szervezet regisztrációban részt vevő ügyintézője aláírásával igazolja, hogy az aláírót a személyes regisztráció során azonosította és az aláíró a szolgáltatási szerződést az ügyintéző jelenlétében aláírta. A regisztráció során bemutatott hatósági igazolvány azonosító adatait, a megadott adatok egyezését és a hatósági igazolvány érvényességét a regisztrációs szervezet közhiteles nyilvántartásban ellenőrizi a hitelesítés szolgáltatás nyilvánossá válásának előfeltételeként. Amennyiben az adott hatósági igazolvány vonatkozásában ez megvalósítható, a hatósági igazolványt folyamatosan elérhető elektronikus nyilvántartásban ellenőrizi.
3.2.3.3 Más személyek regisztrációja a) A Hitelesítés szolgáltató az Oktatási és Kulturális Minisztériumból és háttérintézményeiből
28/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
csak a Hitelesítés szolgáltató mindenkori ügyvezetője által szabadon meghatározott igénylők regisztrációját vállalja. b) A regisztrációhoz szükséges megadni az azonosításhoz szükséges adatokat is. c) A személy azonosságának hitelessége egyébként megegyezik a fenti 3.2.3.1. és 3.2.3.2 pontokban leírt regisztrációs eljárás b)-c) pontjaiban megadottakkal.
3.2.4 Eszköz regisztrációja Eszközhöz tartozó tanúsítványt a Hitelesítés-szolgáltató csak saját maga számára bocsát ki.
3.3
Azonosítás és hitelesítés kulcs megújítás kérelem esetén
Tanúsítvány kulcscseréjét a Szolgáltató nem támogatja. Amennyiben kulcscsere válna szükségessé, abban az esetben új tanúsítvány-igénylést kell beadni a jelen szabályzatban meghatározottak szerint. (Ld. a 4. pontot)
3.4
Azonosítás és hitelesítés tanúsítvány visszavonási kérelem esetén
A felhasználó a Szolgáltató Ügyfélszolgálatán keresztül tudja a tanúsítványt visszavonatni. Az Ügyfélszolgálat a visszavonó személy azonosságát a rendszerben tárolt titkos kérdés – válasz párral állapítja meg. Az Ügyfélszolgálat csak azon esetekben kezdeményezi a visszavonást, illetve fogadja el a visszavonási kérelmet, ha a visszavonást kérő mind a kérdést, mind a választ helyesen adta meg.
4. A tanúsítvány életciklusra vonatkozó követelmények 4.1
Tanúsítványkérelem
4.1.1 Ki nyújthat be tanúsítványkérelmet a) Tanúsítványkérelmet a Közoktatási törvényben meghatározott általános iskolák illetve középfokú oktatási intézmények vezetői, a felsőoktatási törvényben meghatározott felsőoktatási intézmények vezetői, az Oktatási és Kulturális Minisztérium illetve háttérintézményeinek munkatársai, megbízottjai meghatalmazás birtokában és a Szolgáltató munkatársai meghatalmazás alapján nyújthatnak be a saját részükre, illetve a képviselettel meghatalmazott személyek részére. b) A Szolgáltató azt megelőzően, hogy az aláíróval (alannyal) szerződéses kapcsolatot létesít, tájékoztatja az aláírót (alanyt) a tanúsítvány használatával kapcsolatos feltételekről, valamint a nyilvánosan elérhető Hitelesítési rend [9], jelen Szolgáltatási szabályzat, továbbá az Általános szerződési feltételek [10] dokumentumokról és a szolgáltatási szerződésről, és a felhasználás technikai lehetőségeiről.
29/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
c) Amennyiben az előfizető nem azonos az aláíróval (alannyal), őt is tájékoztatni kell kötelességeiről. d) A Szolgáltató a b) pontban említett kikötéseket és feltételeket tartalmazó, közérthető nyelven megfogalmazott dokumentumokat elektronikusan letölthető formában és tartós eszközön (pl. papírra vagy CD-re írva) egyaránt hozzáférhetővé teszi.
4.1.2 A tanúsítvány igénylés folyamata és a résztvevők felelőssége a) Az aláírónak illetve az előfizetőnek a tanúsítványigénylés folyamatában meg kell adnia azon cím- és egyéb adatait, melyek alapján a későbbiekben az aláíróval illetve előfizetővel fel lehet venni a kapcsolatot. b) A Szolgáltató nyilvántartásba vesz minden, az alany azonosságának igazolására használt információt, beleértve az igazoláshoz használt dokumentáció regisztrációs számát és az annak érvényességével kapcsolatos esetleges korlátozásokat. c) A Szolgáltató nyilvántartásba vesz több, megállapodást1, beleértve az alábbiakat:
az
aláíróval
illetve
előfizetővel
aláírt
- annak megerősítését, hogy a regisztráció során megadott információ pontos2. - az aláíró illetve az előfizető nyilatkozatát arra vonatkozóan, hogy kötelezettségeit megismerte és azok betartását vállalja, - az aláíró nyilatkozatát arra vonatkozóan, hogy a részére biztosított kriptográfiai hardver eszköz használatával kapcsolatos kötelezettségeit megismerte és azok betartását vállalja, - az érintett hozzájárulását az egyes szolgáltatások során felhasznált információk Hitelesítés-szolgáltató által történő nyilvántartásba vételéhez, - azt, hogy az előfizető megköveteli-e, az alany pedig hozzájárul-e a tanúsítvány közzétételéhez és milyen feltételek mellett, d) A fent megnevezett nyilvántartásokat a Szolgáltató a keletkezéstől számított 10 évig megőrzi, illetve jogi eljárásokban a tanúsítványon keresztüli bizonyításához szükséges ideig.
1
Az aláíró illetve az előfizető ezen megállapodás különböző pontjaihoz a regisztráció különböző fázisai során is hozzájárulhat. Például a tanúsítványban szereplő információk korrektségére vonatkozó megállapodás a megállapodás egyéb szempontjait követően is megköthető.
2
A fenti megállapodás elektronikus formát is ölthet.
30/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
4.2
HSZSZ-1 Szolg. Szabályzat
A tanúsítványkérelem feldolgozása
4.2.1 Az azonosítási és hitelesítési funkciók megvalósítása a) Közoktatási intézményvezető igénylése esetén a regisztrációt megelőzően az igénylő az „Elektronikus adatlap a fokozott biztonságú aláírás (digitális aláírás) igénybevételéhez” (http://www.kir.hu/pki adatlap/) megnevezésű adatlap útján, felhasználónévvel és „mesterjelszóval” védett web-lapon bejelenti igényét, valamint megadja az azonosításhoz szükséges adatokat. Felsőoktatási intézményvezető igénylése esetén a regisztrációt megelőzően az Igénylő az OFIK webes felületén bejelentkezve kitölti az elektronikus aláírást igényléséhez szükséges adatlapot (http://www.felvi.hu) b) Az aláírás létrehozó eszközt kizárólag az aláíró veheti át személyesen, és az átvétel során hitelesen kell igazolnia a személyazonosságát a regisztrációs tisztviselő számára személyazonosság igazolására alkalmas hatósági igazolvány alapján. Ennek hiányában az eszköz nem kerül átadásra. c) A regisztrációs munka igazolásához szükséges eljárás részeként a Hitelesítés szolgáltató – az aláíró hozzájárulása esetén – archiválja a bemutatott hatósági igazolvány fénymásolóval készült képét. A hatósági igazolvány fénymásolóval történő lemásolásakor keletkező lapon a Hitelesítés-szolgáltató megbízottja az adatkezeléshez nem szükséges adatokat fekete tollal kifesti, hogy azok a továbbiakban olvashatatlanok legyenek. Ezt a kifestett lapot mind az aláíró, mind a Hitelesítésszolgáltató megbízottja aláírásával hitelesíti. Hozzájárulás hiányában az aláíró teljes bizonyító erejű okiratban nyilatkozatot ad, amelyben kijelenti, hogy a Hitelesítés-szolgáltató által rögzített személyes adatok megfelelnek a valóságnak, valamint a személyazonosító igazolványban rögzítetteknek. d) A regisztráció során a megbízott a szolgáltatási szerződés kitöltésével rögzíti a regisztrációs adatokat, és a regisztráció és a személyazonosság ellenőrzése alapjául szolgáló, rögzítendő adatok helyességét az igénylő saját kezű aláírásával ellátva igazolja. e) A megbízott tájékoztatja az aláírót a hitelesítés szolgáltatásról és az aláírás-létrehozó eszköz (kriptográfiai hardver eszköz) használatáról. A tájékoztatás fő elemeit és adattartalmát a jelen Szolgáltatási szabályzat 1.1.7 pontja tartalmazza. f)
Ezt követően az aláírók illetve az előfizető aláírja a Szolgáltatási szerződést.
g) A regisztrációt végző szervezet regisztrációban részt vevő ügyintézője aláírásával igazolja, hogy az aláírót a személyes regisztráció során azonosította és az aláíró a szolgáltatási szerződést az ügyintéző jelenlétében aláírta. h) Az aláírás-létrehozó eszközön ((kriptográfiai hardver eszköz: chipkártyán) az aláíráslétrehozó adat elhelyezése része a regisztrációs eljárásnak. A hitelesítés szolgáltatás megbízottja átadás-átvételi jegyzőkönyv ellenében adja át a névre szóló, perszonalizált biztonságos chipkártyát. Ez az átadás két szakaszból áll:
31/63
-
az első szakaszban az átadó megbízott nyilatkozik arról, hogy az eszköz az aláírás létrehozására alkalmas és az aláírás ellenőrzéséhez szükséges kulcspárokat és ezekhez a névre szóló tanúsítványt nem tartalmazza, ezek a regisztrációs eljárás második szakaszában kerülnek fel az eszközre
-
a második szakaszban az átadó megbízott kéri az igénylő aláírót, hogy a PIN
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
boríték alapján az aláírás létrehozó eszközt (chipkártyát) aktivizálja és ezzel tegye alkalmassá a következő eljárások elvégzésére: a tanúsítványhoz tartozó kulcspár generálására és a tanúsítvány elhelyezésére. i)
A regisztráció során bemutatott hatósági igazolvány azonosító adatait, a megadott adatok egyezését és a hatósági igazolvány érvényességét a regisztrációs szervezetnek közhiteles nyilvántartásban kell ellenőriznie a hitelesítés szolgáltatás nyilvánossá válásának előfeltételeként. Amennyiben az adott hatósági igazolvány vonatkozásában ez megvalósítható, a hatósági igazolványt folyamatosan elérhető elektronikus nyilvántartásban kell ellenőrizni.
4.2.2 A tanúsítványkérelem jóváhagyása vagy visszautasítása a) A Szolgáltató csak akkor fogadja el a tanúsítványkérelmet, ha a következő feltételek teljesülnek: -
benyújtották a kérelmét a tanúsítvány kibocsátónak, a természetes személy (akinek nevében az igénylő eljár) azonos a kérelemben szereplő alannyal, a kérelemben szereplő adatok ellenőrizhetők és pontosak.
4.3 Tanúsítvány kibocsátás A tanúsítvány kibocsátás a regisztrációs eljárás alatt történik a Szolgáltató által meghatározott regisztrációs pontokon. Ezeken a helyeken biztosítani kell a regisztrációs eljáráshoz szükséges feltételeket. A feltételek meghatározását a Szolgáltató, a teljesítést a Szolgáltató és az ügyfél együttesen biztosítja.
4.3.1 A hitelesítés-szolgáltató tevékenysége a tanúsítvány kibocsátás során A tanúsítvány létrehozása a regisztrációs eljárás során keletkező automatikus tanúsítvány kérelemre történik. Ez egy zárt technológiai folyamat. A tanúsítványkiadási folyamat az alábbi fő lépésekből áll: •
Az ügyfél és a külső regisztrációs munkatárs (XRO) kölcsönösen igazolják személyazonosságukat (első szintű azonosítás), az XRO bemutatja az ügyfélnek a Szolgáltatótól kapott névre szóló megbízólevelét
•
Az igénylés során megkapott e-mail-re érkező elektronikus levél felhasználásával hozzá jut egy központi felhasználónévhez és jelszóhoz. Ezzel az azonosítóval az ügyfél belép a tanúsítvány igénylő weboldalra és az XRO közre működésével igényel egy tanúsítványt.
•
Az ügyfél (az aláíró kulcs generálását követően, ld. 1.1.7 pont) késedelem nélkül megkapja a hozzá tartozó tanúsítványt, amelyet az informatikai alkalmazás a chipkártyára tölt. Az ügyfél a tanúsítványt chipkártyán veszi át.
32/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
A tanúsítvány azonnal megjelenik a tanúsítványtárban, onnan a 2.2 pont szerint egy web-es alkalmazással lekérhető. A Szolgáltató a tanúsítványkiadást biztonsági naplózás mellett hajtja végre.
4.3.2 Az előfizető és az aláíró értesítése a tanúsítvány kibocsátásról Külön értesítésre nincs szükség, ld. az előző 4.3.1 pontot.
4.3.3 A tanúsítvány kibocsátásának időpontja A tanúsítvány kibocsátásának az időpontja a tanúsítvány létrehozásának az időpontjának felel meg.
4.3.4 A tanúsítvány érvényessége A tanúsítvány érvényessége a tanúsítvány kibocsátásának az időpontjától számított 1 év.
4.4
Tanúsítvány elfogadás
4.4.1 A tanúsítvány elfogadás esetei a) A tanúsítványt igénylő aláíró a tanúsítvány aktiválása (használatba vétele) előtt köteles visszaigazolni a tanúsítvány átvételét, és a tanúsítvány adatainak helyességét. A visszaigazolás egyben a Hitelesítési rend, a Szolgáltatási szabályzat és az Általános szerződési feltételek, valamint az esetleges egyedi szerződéses kikötések elfogadását is jelenti.
4.4.2 A tanúsítvány közzététele a hitelesítés-szolgáltató által A tanúsítvány nyilvánosságra hozatala csak az érintett előfizető, illetve alany hozzájárulása esetén megengedett.
4.5
Kulcspár- és tanúsítvány használat
4.5.1 Az alany magánkulcs- és tanúsítvány használata a) Az alany magánkulcsát és tanúsítványát csak a hitelesítés-szolgáltatóval szerződésben rögzített korlátozásnak megfelelően használhatja.
33/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
b) Az alany csak a megfelelő tanúsítvány elfogadása után (lásd 4.4.) használhatja magánkulcsát. c) Az alany a megfelelő tanúsítvány lejárta után nem használhatja tovább magánkulcsát. d) Az alanynak az adott helyzetben általában elvárható gondosságot kell tanúsítania annak érdekében, hogy megelőzze magánkulcsának illetéktelen felhasználását. e) Az alany különböző magánkulcsait csak olyan célokra és olyan alkalmazásokkal használhatja, melyek összhangban vannak a megfelelő tanúsítványok „kulcshasználat" és „kiterjesztett kulcshasználat" mezőinek tartalmával (lásd még 6.1.7 és 7.1.2).
4.5.2 Az érintett felek nyilvános kulcs- és tanúsítvány használata Annak érdekében, hogy az érintett fél megalapozottan hagyatkozhasson a tanúsítvánnyal igazolt kriptográfiai kulcspár használatával működő alkalmazásra, a kulcspár megfelelő használatát és a hozzá tartozó tanúsítványt az adott helyzetben tőle általában elvárható gondossággal ellenőriznie kell. Ennek során többek között az alábbiakra kell figyelemmel lennie: a) Az érintett fél csak olyan célokra és olyan alkalmazásokkal fogadhat el nyilvános kulcsokat, melyek összhangban vannak a megfelelő tanúsítványok „kulcshasználat" és „kiterjesztett kulcshasználat" mezőinek tartalmával. b) Mielőtt egy tanúsítványba foglalt nyilvános kulcsot felhasználna, az érintett félnek ellenőriznie kell a tanúsítvány érvényességét, valamint azt, hogy a tanúsítvány nincs felfüggesztve, illetve visszavonva az érvényes visszavonási állapot információ alapján, a tanúsítványt kibocsátó szolgáltató szabályzatainak megfelelően. c) Amennyiben ésszerű módon egy tanúsítványra kíván hagyatkozni, az érintett félnek figyelembe kell vennie a tanúsítvány felhasználására vonatkozó valamennyi korlátozást, mely a tanúsítványban és a tanúsítványt kibocsátó szolgáltató szabályzatokban szerepel.
4.6
Tanúsítvány megújítás
A tanúsítvány megújítás az a folyamat, amelynek során a hitelesítés-szolgáltató úgy bocsát ki egy megújított tanúsítványt, hogy abban az eredeti tanúsítvány alanyra vonatkozó adatai (köztük a nyilvános kulcs is) változatlanok.
4.6.1 A tanúsítvány megújítás körülményei a) A tanúsítvány megújítása akkor lehetséges, ha valamennyi alábbi feltétel teljesül:
34/63
-
a tanúsítvány érvényes,
-
a tanúsítvány nem szerepel a tanúsítvány visszavonási listán,
-
a kezdeti regisztráció alkalmával rögzített, tanúsítványba foglalt összes adat még érvényes,
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
-
a tanúsítványhoz tartozó magánkulcs nem kompromittálódott,
-
a tanúsítvány még nem volt korábban megújítva.
4.6.2 Ki kérelmezheti a megújítást a) A tanúsítvány megújítást a Szolgáltató és olyan személy kezdeményezheti, aki a tanúsítvány alanya.
4.6.3 A tanúsítvány megújítási kérelmek feldolgozása A hitelesítés-szolgáltatónak gondoskodnia kell arról, hogy egy már korábban nála nyilvántartásba vett alany tanúsítványára vonatkozó megújítási kérelem teljes, pontos és kellőképpen hiteles legyen. Különösképpen: a) A hitelesítés-szolgáltatónak ellenőriznie kell a tanúsítvány létezését és érvényességét, valamint azt, hogy az alany azonosságának és jellemzőinek igazolására használt információ még mindig érvényes-e. b) Amennyiben a hitelesítés-szolgáltató bármely feltétele, illetve kikötése megváltozott, azokat közölnie kell az aláíróval illetve az előfizetővel, és azok aláíró illetve előfizető általi elfogadását a 4.1.2 c) pontjának megfelelően rögzíteni kell. c) Amennyiben bármilyen az aláíróra vagy az előfizetőre vonatkozó információ megváltozott, azt a 3.2.3 pontnak megfelelően a hitelesítés-szolgáltatónak ellenőriznie kell, nyilvántartásba kell vennie, és ehhez az előfizető hozzájárulását be kell szereznie. d) A hitelesítés-szolgáltató csak akkor bocsáthat ki egy új tanúsítványt az aláíró korábbiakban tanúsított nyilvános kulcsának felhasználásával, ha annak kriptográfiai biztonsága még megfelelő az új tanúsítvány tervezett élettartamára, és nincsenek arra utaló jelek, hogy az aláíró magánkulcsa kompromittálódott. A fent leírt eljárásnak az a célja, hogy a hitelesítés-szolgáltató meggyőződjön arról, hogy a tanúsítvány megújításra vonatkozó kérelmet az arra jogosult kérelmezi, az előfizető a megváltozott szolgáltatói feltételekről, kikötésekről tudomást szerezzen, azokat elfogadja, illetve a megújítás során a szolgáltató megbízható tanúsítványt állítson elő.
4.6.4 Az aláíró értesítése az új tanúsítvány kibocsátásáról A Szolgáltató az aláírót elektronikus levélben értesíti az új tanúsítvány kibocsátásáról annak kibocsátását megelőzően.
4.6.5 A megújított tanúsítvány elfogadása Lásd. a 4.4.1 pontban.
35/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
4.7
HSZSZ-1 Szolg. Szabályzat
Kulcscsere
A kulcscsere az a folyamat, amelynek során a hitelesítés-szolgáltató úgy bocsát ki egy megújított tanúsítványt, hogy abban az eredeti tanúsítvány alanyra vonatkozó adatai közül csak a nyilvános kulcs kerül lecserélésre. Tanúsítvány kulcscseréjét a Szolgáltató nem támogatja. A tanúsítványban szereplő nyilvános kulcs lecserélésére vonatkozó igényt a Szolgáltató új tanúsítvány-igénylési kérelemként kezeli. Ld. még a 3.3 pontban.
4.8
Tanúsítvány módosítás
A tanúsítvány módosítás az a folyamat, amelynek során a hitelesítés-szolgáltató úgy bocsát ki egy módosított tanúsítványt, hogy abban az eredeti tanúsítvány alanyra vonatkozó adatai - a nyilvános kulcs kivételével - változnak, és a tanúsítvány az új adatokkal, valamint a régi nyilvános kulccsal kerül kiadásra. Tanúsítvány módosítását a Szolgáltató nem támogatja.
4.9
Tanúsítvány visszavonás és felfüggesztés
A hitelesítés-szolgáltatónak gondoskodik arról, hogy hiteles és érvényes tanúsítvány visszavonási (felfüggesztési) kérelmek esetén a tanúsítványok a 2.3 pontban meghatározottak szerint visszavonásra (felfüggesztésre) kerüljenek, s erről az aláírók, előfizetők, illetve érintett felek hiteles és megbízható információt kapjanak.
4.9.1 A visszavonás körülményei a) A hitelesítés-szolgáltató köteles intézkedni a tanúsítvány visszavonásáról az alábbi esetekben: •
az aláíró illetve az előfizető nem tudja hitelt érdemlően bizonyítani, hogy eleget tesz a szolgáltatási szerződésben és az ÁSzF-ben foglalt feltételeknek,
•
a szolgáltatással kapcsolatos - jogszabályban, a szolgáltatási szabályzatban vagy az általános szerződési feltételekben meghatározott - rendellenességről szerez tudomást, s ez a rendellenesség nem orvosolható,
•
a hitelesítés-szolgáltató tudomására jut, hogy a tanúsítványban foglalt adatok nem felelnek meg a valóságnak, vagy a magánkulcs nem az aláíró kizárólagos birtokában van,
•
az aláíró intézmény-vezetői illetve képviselettel meghatalmazotti státusza megszűnik és nem kerül továbbfoglalkoztatásra pedagógus munkakörben (nevelő- és oktatómunkát közvetlenül segítő alkalmazotti munkakörben, pedagógiai előadó vagy pedagógiai szakértő munkakörben), vagy oktatói, kutatói, tanári munkakörben, avagy ilyen foglalkoztatását a megszűnéstől számított 30 napon belül nem jelentik be a közoktatás vagy a felsőoktatás információs rendszerébe,
36/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
•
a hitelesítés-szolgáltató és az aláíró illetve előfizető között a szerződés megszűnt,
•
a hitelesítés-szolgáltató tevékenységét befejezte, vagy
•
a visszavonást jogszabály kötelezővé teszi..
4.9.2 Ki kérelmezheti a visszavonást a) Tanúsítvány visszavonási kérelmet az alábbiak kezdeményezhetik: -
olyan személy, aki ismeri a visszavonási ellenőrző adatokat
-
a hitelesítés-szolgáltató.
4.9.3 Visszavonási kérelemre vonatkozó eljárás a) A tanúsítványok visszavonásának eljárásai: -
a kérelem beadásának módja: telefonon keresztül a Szolgáltató Ügyfélszolgálatánál történik. A bejelentő a neve és az oktatói azonosítója, majd a titkos kérdése és a válasz megadásával azonosítja magát. Kéri a visszavonást.
-
eljárás abban az esetben, ha a bejelentő nem tudja jogosultságát igazolni. Ebben az esetben személyesen kell megjelennie a Szolgáltatónál.
b) A visszavonásra vonatkozó kérelmeket és jelentéseket hitelesíteni kell, és ellenőrizni kell, hogy hiteles forrásból származnak-e3. Az ilyen jellegű jelentéseket és kérelmeket meg kell erősíteni, amennyiben ezt a hitelesítés-szolgáltató szabályzatában megköveteli. c) Egy visszavont tanúsítványban szereplő aláírót (alanyt), és ahol ez alkalmazható az előfizetőt, tájékoztatni kell a tanúsítvány állapotának megváltozásáról. d) Ha egy tanúsítvány véglegesen visszavonásra került (azaz nem felfüggesztésre), azt technikailag nem lehet érvényesre visszaállítani.
4.9.4 A visszavonási kérelemre vonatkozó kivárási idő a) A hitelesítés-szolgáltató a visszavonási, illetve felfüggesztési kérelem fogadását követő, munkaidőben számított 3 órán belül megállapítja a kérelem érvényességét (a kérelmező jogosultságát), és érvényes kérelem esetén a visszavonási állapot megváltozását a nyilvántartásában átvezeti. b) A visszavonási kérelemre vonatkozó kivárási idő betartását úgy teljesíti, hogy a kivárási
3
Amennyiben harmadik fél kérelmezi a visszavonást, a kérelem hitelessége nem biztos hogy ellenőrizhető, ezért a Szolgáltatási szabályzatban meghatározott kiegészítő ellenőrzések végrehajtásával lehet csak elfogadni.
37/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
időn belül a tanúsítványt a szolgáltató nem visszavonja, hanem felfüggeszti, és a visszavonást később - esetleg összetettebb felhasználó-azonosítást követően végzi el. c) Az a) pontban foglaltak teljesítését követő, munkaidőben számított 1 órán belül a hitelesítés-szolgáltató a visszavonási (illetve felfüggesztési) kérelem szerint módosított visszavonási állapotot közzéteszi.
4.9.5 A visszavonási eljárás maximális hossza a) A hitelesítés-szolgáltató a benyújtott visszavonási (felfüggesztési) kérelmeket a fenti 4.9.4 pontban foglaltak szerint, feldolgozza, és az arra jogosult által benyújtott kérelmeket teljesíti. b) A visszavonási eljárás maximális hossza munkaidőben számítva 4 óra. (lásd 4.9.4).
4.9.6 Az érintett felek kötelezettsége a visszavonási információ ellenőrzésére a) Amennyiben az érintett felek kellő gondossággal kívánnak eljárni a tanúsítvány visszavonási állapotának ellenőrzésekor, a tanúsítvány visszavonási információ hitelességéről és sértetlenségéről is meg kell győződniük.
4.9.7 A visszavonási lista kibocsátás gyakorisága a) A hitelesítés-szolgáltató által kibocsátott tanúsítvány visszavonási listák („CRL” fájlt) kibocsátási ideje 24 óra. b) A hitelesítés-szolgáltatónak különbségi visszavonási lista frissítést („delta CRL” fájlt) bocsát ki minden tanúsítványállapot változást (mint szignifikáns eseményt) követő 1 órán belül (lásd 4.9.8), de időzítve legalább 3 óránként.
4.9.8 A visszavonási lista előállítása és közzététele közötti idő maximális hossza a) A visszavonási lista előállítása és közzététele között legfeljebb 1 óra telhet el (lásd 4.9.4 c).
4.9.9 Valósidejű tanúsítvány állapot ellenőrzés elérhetősége a) A hitelesítés-szolgáltató nem nyújt valósidejű tanúsítvány állapot szolgáltatást.
4.9.10 A valósidejű tanúsítvány állapot ellenőrzésre vonatkozó követelmények a) Lásd 4.9.9 pont.
38/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
4.9.11 A visszavonási hirdetmények egyéb elérhető formái A Tanúsítványok aktuális állapota, ennek megfelelően a visszavonási információk is elérhetők az Interneten, a http://www.educatio.hu oldalon keresztül. Az elérés egy nyilvános lekérdezésen keresztül valósul meg, ahol a Tanúsítvány tulajdonosok általuk engedélyezett adatai találhatók meg.
4.9.12 A kulcs kompromittálódásra vonatkozó speciális követelmények Megegyezik a tanúsítvány visszavonási követelményekkel, ld. 4.9.1-3 pontokat.
4.9.13 A felfüggesztés körülményei A hitelesítés-szolgáltató felfüggeszti a Tanúsítvány érvényességét és ezt nyilvánosan elérhető helyen közzéteszi (a http://www.educatio.hu web lapon), amennyiben •
az aláírást létrehozó adat nem az aláíró kizárólagos birtokában van (például elveszíti a chipkártyáját).
4.9.14 Ki kérelmezheti a felfüggesztést Tanúsítvány felfüggesztési kérelmet az alábbiak kezdeményezhetik: -
olyan személy, aki ismeri a visszavonási ellenőrző adatokat
-
a hitelesítés-szolgáltató.
4.9.15 A felfüggesztési kérelemre vonatkozó eljárás A tanúsítványok felfüggesztésének eljárásai: -
a kérelem beadásának módja: telefonon keresztül a Szolgáltató Ügyfélszolgálatánál történik. A bejelentő a neve és az oktatási azonosítója, majd a titkos kérdése és a válasz megadásával azonosítja magát. Kéri a felfüggesztést.
-
eljárás abban az esetben, ha a bejelentő nem tudja jogosultságát igazolni. Ebben az esetben személyesen kell megjelennie a Szolgáltatónál.
4.9.16 A felfüggesztés maximális hossza A felfüggesztés maximális hossza, azaz a felfüggesztéstől a visszavonásig illetve aktiválásig eltelt idő maximum 30 nap.
39/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
4.9.17 A felfüggesztésből visszaállítás körülményei A hitelesítés-szolgáltató a felfüggesztésből visszaállított állapotot, a Tanúsítvány érvényességét és ezt nyilvánosan elérhető helyen közzéteszi (a http://www.educatio.hu web lapon), amennyiben •
az aláírást létrehozó adat az aláíró kizárólagos birtokában volt, és tudomása szerint nem is került ki onnan (például nem veszítette el a chipkártyáját).
4.9.18 Mikor szabad a felfüggesztésből visszaállítani a tanúsítványt? A felfüggesztésből csak abban az esetben szabad a tanúsítványt visszaállítani, ha hitelt érdemlően megállapítható, hogy a tanúsítványt nem használhatta senki. Amennyiben ez nem állapítható meg, a tanúsítvány visszavonását kell kérni.
4.9.19 Ki kérelmezheti a felfüggesztésből visszaállítást? Tanúsítvány felfüggesztési kérelmet az alábbiak kezdeményezhetik: -
olyan személy, aki ismeri a visszavonási ellenőrző adatokat
-
a hitelesítés-szolgáltató.
4.9.20 A felfüggesztésből visszaállítási kérelemre vonatkozó eljárás A tanúsítványok felfüggesztésből visszaállítás eljárásai: -
a kérelem beadásának módja: telefonon keresztül a Szolgáltató Ügyfélszolgálatánál történik. A bejelentő a neve és az oktatási azonosítója, majd a titkos kérdése és a válasz megadásával azonosítja magát. Kéri a felfüggesztésből a visszaállítást.
-
eljárás abban az esetben, ha a bejelentő nem tudja jogosultságát igazolni. Ebben az esetben személyesen kell megjelennie a Szolgáltatónál.
4.10 Tanúsítvány állapot szolgáltatások A hitelesítés-szolgáltatónak a visszavont tanúsítványok listáját tanúsítványokban meghatározott URL-en kell elérhetővé tennie4.
4
az
általa
kibocsátott
Amennyiben a hitelesítés-szolgáltató valósidejű tanúsítvány állapot szolgáltatást is biztosít, akkor Szolgáltatási szabályzatában vállalnia kell ennek a szolgáltatásnak az elérhetővé tételét is, az általa kibocsátott tanúsítványokban meghatározott URL-en
40/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
4.10.1 Működési jellemzők Nincs megkötés.
4.10.2 A szolgáltatás rendelkezésre állása a) A hitelesítés-szolgáltatónak biztosítania kell a tanúsítványtár, valamint a szolgáltató által kibocsátott tanúsítványok használatára vonatkozó kikötések és feltételek folyamatos elérhetőségét, 99%-os rendelkezésre állás mellett, ahol az eseti szolgáltatás-kiesések nem haladhatják meg a 24 órát. b) A hitelesítés-szolgáltatónak biztosítania kell a visszavonási nyilvántartások és a visszavonás kezelési szolgáltatás legalább 99%-os rendelkezésre állását, az eseti szolgáltatás-kiesések nem haladhatják meg a 24 órát.
4.10.3 Nem kötelező tulajdonságok Nincs megkötés.
4.11 A tanúsítvány előfizetés vége A Szolgáltató által kiadott tanúsítványok érvényességi ideje és az adott tanúsítvány előfizetési ideje megegyezik. Amennyiben az alany még a tanúsítványban feltüntetett érvényességi idő lejárta előtt fel kívánja mondani az előfizetést (a szolgáltatási szerződést), a Szolgáltató – a visszavonásra vonatkozó szabályok betartása mellett -- visszavonja a tanúsítványt. A visszavonással egy időben szűnik meg a szolgáltatási szerződés. Ha a tanúsítvány érvényességének lejártától számított 90 napon belül az alany a Szolgáltató (ÁSzF) előírásai szerint nem újítja meg a tanúsítványt, a szolgáltatási szerződés automatikusan megszűnik.
4.12 Kulcs letétbe helyezése és visszaállítása Szolgáltató ügyfeleinek nem nyújt magánkulcs letéti szolgáltatást (key-escrow). Az aláíró magánkulcsa csak a számára biztosított chipkártyán van tárolva, egyéb más módon a Szolgáltató nem készít másolatot róla és nem tárolja. A Szolgáltató a saját, nem chipkártyán tárolt szolgáltatói aláíró és titkosító kulcsait biztonságosan elmentve is, védett körülmények között tárolja.
41/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
5. Elhelyezési, irányítási és működtetési előírások A biztonsági előírásokról általában: A Szolgáltató megfelelő tervezéssel, megfelelő eszközök üzembe állításával, továbbá megfelelő, szakmailag képzett személyzettel, valamint kontrollok alkalmazásával gondoskodik arról, hogy a Szolgáltatás az elvárt színvonalon működjön és kellő, az elismert szabványoknak megfelelő adminisztratív és irányítási eljárások kerüljenek alkalmazásra. Különösképpen: a) A hitelesítés-szolgáltató felelősséget vállal minden hitelesítési szolgáltatásáért, még akkor is, ha bizonyos funkciókat alvállalkozóknak ad ki. A harmadik felek felelősségét a hitelesítés-szolgáltató egyértelműen meghatározza, és megfelelő szerződéses konstrukciókat és technikákat biztosít ahhoz, hogy a harmadik felek a hitelesítés-szolgáltató által megkövetelt összes ellenőrzés végrehajtására legyenek szorítva. A Szolgáltató felelősséget vállal a Szolgáltatási szabályzatban és a Hitelesítési rendben [9] leírt szabályaira és ezek gyakorlati megvalósítására vonatkozóan. b) A Szolgáltató a biztonságkezeléshez szükséges informatika biztonsági infrastruktúrát folyamatosan fenntartja. A hitelesítés szolgáltatási rendszer üzemeltetéséért az a Szolgáltató „OFIK” elnevezésű szervezeti egység a felelős. A biztonság szintjére hatást gyakorló bárminemű változtatást a hitelesítés-szolgáltató felső vezetésének kell jóváhagynia. c) A hitelesítés-szolgáltatónak gondoskodnia kell az informatikai biztonság fenntartásáról akkor is, ha a hitelesítés-szolgáltató funkciókra vonatkozó felelősség más szervezethez, illetve egységhez lett kiadva. d) A hitelesítés-szolgáltató felső vezetősége felelős gyakorlatai megfelelő megvalósításáért. A hitelesítés-szolgáltató biztonsági műveletei el vannak különítve az egyéb műveletektől. A hitelesítés-szolgáltató biztonsági műveleteivel kapcsolatos felelősségek közé tartoznak az alábbiak: -
-
42/63
az OFIK Informatikai Egység mint üzemeltető szervezeti egységgel közösen, a Szolgáltatóra vonatkozóan o
üzemeltetési eljárások és felelősségek,
o
erőforrás gazdálkodás,
o
hálózat menedzselés,
o
adathordozó eszköz kezelése és biztonsága,
o
biztonsági rendszerek tervezése és elfogadása,
o
folyamatos működés biztosítása,
o
káros szoftver elleni védelem,
o
kockázatkezelés,
o
fizikai biztonság,
továbbá kifejezetten a hitelesítés szolgáltatásra vonatkozóan
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
o
üzemeltetési felelősség,
o
PKI CA/RA biztonsági rendszerek tervezése és elfogadása,
o
PKI CA rendszer folyamatos működés biztosítása,
o
a biztonsági napló aktív felügyelete, eseményelemzések és nyomkövetések,
o
adat és szoftver csere, valamint változásmenedzsment.
E felelősségeket a hitelesítés-szolgáltató biztonsági műveletei kezelik, azokat nem szakértő üzemeltető személyzet csak megfelelő felügyelet és a felelősségre vonhatóságot biztosító ellenőrzési rend mellett hajthatja végre.
Az értékek osztályozása, minősítése és kezelése A Szolgáltató gondoskodik arról, hogy eszközei és információi megfelelő szintű védelemben részesüljenek.
5.1
Fizikai előírások
A Szolgáltató gondoskodik arról, hogy a kritikus szolgáltatásokhoz történő fizikai hozzáférés ellenőrzött legyen, és a kritikus szolgáltatások eszközeinek fizikai kockázatát minimalizálja. A hitelesítés szolgáltatási rendszert üzemeltető OFIK Informatikai Egység üzemi területét (szerver szoba, raktárak) megfelelő biztonsági berendezésekkel (beléptetőrendszer, tűzjelző, riasztó, stb.) védik, és oda illetéktelenek nem léphetnek be. A zárt helyiségbe csak az Informatikai Egység dolgozói, illetve az egyedi engedéllyel rendelkezők léphetnek be. Munkavégzés céljából átmenetileg idegen személyek is tartózkodhatnak ott, de őket felügyelet nélkül hagyni szigorúan tilos. A hitelesítés szolgáltatási rendszer elkülönített biztonsági zónában üzemel. Az OFIK Informatikai szabályzata [11] és a adatkezelési és adatvédelmi szabályzata [12] az alapja a hitelesítés szolgáltatáshoz kapcsolódó fizikai és informatikai infrastruktúra felhasználásának. Ezek a Szolgáltató belső dokumentumai, nem nyilvános dokumentumok.
5.1.1 A telephely elhelyezése és szerkezeti felépítése A hitelesítés-szolgáltató általános tevékenységével kapcsolatosan a Szolgáltató a) biztosítja az értékek elvesztésének, sérülésének, és kompromittálódásának, valamint a működési tevékenységek megzavarásának elkerülését, b) érvényre juttatja az előírásokat és más adminisztratív intézkedéseket az információ és az információ feldolgozó berendezések kompromittálódásának, illetve ellopásának elkerülése érdekében.
43/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
Tanúsítvány előállítással, alanyok kriptográfiai hardver eszközzel való ellátásával, visszavonás kezeléssel kapcsolatosan a Szolgáltató c) fizikai védelmet biztosít a tanúsítvány előállítás, az alanyok kriptográfiai hardver eszközeinek tárolása és szállítása, illetve a visszavonás-kezelés szolgáltatások köré; ehhez biztosítja az egyértelműen meghatározott, működtetett és menedzselt biztonsági eszközök alkalmazását, d) érvényt szerez azon előírásoknak és más adminisztratív intézkedéseknek, melyek a Hitelesítés szolgáltató szolgáltatásokkal kapcsolatos berendezéseinek, információinak, adathordozóinak és szoftvereinek jogosulatlan elvitelét akadályozzák meg.
5.1.2 Fizikai hozzáférés a) A szolgáltatás nyújtásával összefüggésben használt elektronikus aláírási termékeket, illetve azokat a helyiségeket, amelyekben a szolgáltató ilyen termékeket helyez el, a jogosulatlan hozzáféréstől a Szolgáltató fizikailag is védi. b) A hitelesítés-szolgáltató biztosítja, hogy a fenti a) pontban említett helyiségekbe csak olyan személyek jussanak be, akik erre jogosultak.
5.1.3 Áramellátás és légkondicionálás A Szolgáltató infrastruktúrája biztosítja a folyamatos/szünetmentes áramellátást és a rendszer elemeinek üzemeltetéséhez szükséges klíma viszonyokat.
5.1.4 Beázás és elárasztódás veszély kezelése A Szolgáltató infrastruktúrája beázás és elárasztódás ellen védett.
5.1.5 Tűzmegelőzés és tűzvédelem A Szolgáltató szervertermében tűzvédelmi rendszer működik.
5.1.6 Adathordozók tárolása a) Szolgáltató az adathordozó eszközöket biztonságosan kezeli azok sérülése, ellopása és jogosulatlan hozzáférés elleni védelme érdekében. b) Az adathordozó eszközök biztonságos kezelése megfogalmazott követelmények szerint történik.
44/63
az
elfogadott
rendszertervben
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
5.1.7 Hulladék megsemmisítése a) Az érzékeny adatokat tartalmazó adathordozó eszközöket – amennyiben azokra már nincs szükség – a Szolgáltató biztonságosan megsemmisíti. A következő eljárások valósulnak meg: -
a papíralapú dokumentumokat aprítógéppel felaprítják, a hajlékony lemezeket a házából való kibontás után aprítógéppel felaprítják, egyéb más mágneses adathordozókat, demagnetizálás után összetörik, egyéb más adathordozókat összetörik.
5.1.8 A mentési példányok fizikai elkülönítése A hitelesítő és regisztrációs szervezet biztonság-kritikus adatainak mentési példányait biztonsági kategóriánként, személyi felelősség mellett Szolgáltató biztonsági zónáiban tárolják.
5.2
Eljárásbeli előírások
A hitelesítés-szolgáltató eljárásbeli előírásainak megfelelnek a személyes adatok védelmére, valamint a jogszabályban nevesített, vagy az aláíróval illetve az előfizetővel kötött szerződésben meghatározott titokfajták kezelésére vonatkozó jogszabályi és mértékadó dokumentumokban meghatározott, a legjobb gyakorlatot tükröző műszaki-szervezési előírásoknak. (lásd 9.15 a) A Szolgáltató gondoskodik arról, hogy rendszereit biztonságosan, szabályszerűen, a meghibásodás minimális kockázata mellett üzemeltesse. Ennek keretében a) A személyzetnek olyan adminisztratív és kezelési eljárásokat és folyamatokat kell végeznie, amely szinkronban van a hitelesítés-szolgáltató informatika biztonság kezelési (ellenőrzési és üzemeltetési) eljárásaival (lásd 5. e. pontot).
5.2.1 Bizalmi munkakörök a) A hitelesítés-szolgáltató szolgáltatási és informatikai biztonsági megfelelése érdekében bizalmi munkaköröket és felelősségeket határozott meg, amelyeket megbízó levéllel, illetve a munkaköri leírásokban is dokumentál. b) Az alábbi munkakörök tartoznak a bizalmi munkakörök közé: -
Biztonsági tisztviselő (SO): a szolgáltatás biztonságáért, a biztonsági irányelvek és szabályzatok érvényre juttatásáért általánosan felelős személy.
-
Rendszeradminisztrátor (admin) és üzemeltető (operator): az informatikai rendszer telepítését, konfigurálását, karbantartását, valamint az informatikai rendszer folyamatos üzemeltetését, mentését és helyreállítását végző személy.
-
Független rendszervizsgáló (auditor): a hitelesítés-szolgáltató naplózott, illetve archivált adatállományát vizsgáló, a hitelesítés-szolgáltató által a szabályszerű működés érdekében megvalósított kontroll intézkedések betartásának ellenőrzéséért, a meglévő
45/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
eljárások folyamatos vizsgálatáért és monitorozásáért felelős személy. -
Regisztrációs felelős (RO): a szolgáltatás igénybe vételéhez kapcsolódó tájékoztatásért, a személyazonosításért, a személyadatok kezeléséért, az aláírást-létrehozó eszköz átadásáért, a tanúsítványok előállításának, kibocsátásának kezdeményezéséért, a tanúsítványok biztonságos visszavonásának és felfüggesztésének jóváhagyásáért felelős személy.
-
Megbízott regisztrációs munkatárs (XRO): szolgáltatás igénybe vételéhez kapcsolódó tájékoztatásért, a személyazonosításért, a személyadatok kezeléséért, az aláírástlétrehozó eszköz átadásáért, a tanúsítványok előállításának, kibocsátásának kezdeményezéséért felelős személy..
c) A Szolgáltató üzemeltetési eljárásokat dolgozott ki valamennyi olyan bizalmi és adminisztratív feladatra, amely hatást gyakorol a hitelesítési szolgáltatásokra. A Szolgáltató ezeket az eljárásokat betartja és betartatja.
5.2.2 Az egyes feladatokhoz szükséges személyzeti létszámok a) A Szolgáltató biztosítja a biztonságos működés beindításához, fenntartásához és esetleges leállításához szükséges szakképzett munkatári létszámot. b) A kizárólagosan védett környezetben, legalább két, bizalmi munkakört betöltő, erre feljogosított személy együttes részvételével, más személyek jelenlétét kizárva kerülhet sor az alábbi funkciók végrehajtására: -
a hitelesítés-szolgáltató saját szolgáltatói kulcsának előállítása (6.1.1),
-
a hitelesítés-szolgáltató szolgáltatói magánkulcsának mentése (6.2.4),
-
a hitelesítés-szolgáltató szolgáltatói magánkulcsának visszaállítása (6.2.2),
-
a hitelesítés-szolgáltató szolgáltatói magánkulcsának megsemmisítése (6.2.10).
5.2.3 Az egyes munkakörökben elvárt azonosítás és hitelesítés c) A hitelesítés-szolgáltató személyzete a tanúsítvány kezeléssel kapcsolatos kritikus alkalmazások használata előtt megfelelő azonosítási és hitelesítési eljáráson esnek át. d) Egyes kritikus munkafolyamatok esetén az egyes– például a regisztrációs munkatárs (RO), valamint az ügyfélszolgálati – munkakörökben dolgozó munkatársak chipkártyás azonosítással végezhetik csak el munkájukat. e) A Szolgáltatáshoz tartozó szerverterembe a beléptetés chipkártyával történik, a szolgáltatás szervereit magába foglaló rack-szekrény csak kulccsal nyitható.
46/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
5.2.4 Egymást kizáró munkakörök a) A bizalmi munkakörök közötti személyi átfedések megakadályozására vonatkozóan a Szolgáltató biztosítja, hogy: -
a biztonsági tisztviselő (SO) nem töltheti be a független rendszervizsgáló (auditor) munkakört;
-
a biztonsági tisztviselő (SO) nem töltheti be a rendszeradminisztrátor munkakört;
-
az auditor nem töltheti be más bizalmi személy munkakörét.
5.3
Személyzetre vonatkozó előírások
a) A hitelesítés-szolgáltató gondoskodik arról, hogy személyzeti gyakorlata fokozza és támogassa a hitelesítés-szolgáltató működésének megbízhatóságát.
5.3.1 Képzettségre, követelmények
gyakorlatra
és
biztonsági
ellenőrzésre
vonatkozó
a) A Szolgáltató olyan munkatársakat alkalmaz, amely rendelkezik a kínált szolgáltatáshoz szükséges és megfelelően naprakész tudással és tapasztalattal.
5.3.2 Előélet vizsgálatára vonatkozó eljárások a) A hitelesítés-szolgáltató a bizalmi munkakörbe, illetve a vezetőségbe kinevezett személyek büntetlen előéletét ellenőrzi.
5.3.3 Kiképzési követelmények a) Szolgáltató az üzemeltető személyzetet a rendszer használatba vétele előtt kiképezte -
a nyilvános kulcsú infrastruktúra elméletéből,
-
a rendszer használatáról,
-
a regisztrációs, tanúsítási és visszavonási eljárásrendekről,
-
az egyes tevékenységek jogi következményeiről,
-
az informatikai biztonsági követelményekről,
-
a Hitelesítési rend és a Szolgáltatási szabályzat alkalmazásának jelentőségéről.
47/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
5.3.4 Továbbképzési gyakoriságok és követelmények A képzést a Szolgáltató megismétli minden, a rendszerben történő változás után (a változás által érintett területen). Továbbiak a Szolgáltató személyzeti politikájában találhatók.
5.3.5 Munkabeosztás körforgásának gyakorisága és sorrendje Körforgást a munkabeosztások között Szolgáltató nem alkalmaz.
5.3.6 Felhatalmazás nélküli tevékenységek büntető következményei Az ide vonatkozó szabályokat a hatályos jogszabályok ás a Szolgáltató Szervezeti és Működési Szabályzata tartalmazzák.
5.3.7 Szerződéses viszonyban foglalkoztatottakra vonatkozó követelmények Az ide vonatkozó szabályokat a hatályos jogszabályok ás a Szolgáltató Szervezeti és Működési Szabályzata tartalmazzák.
5.3.8 A személyzet számára biztosított dokumentációk a) A személyzet számára biztosítandó dokumentációk tartalmazzák a biztonságos üzemeltetéshez szükséges ismereteket.
5.4
Naplózási eljárások
A Szolgáltató a biztonságos környezet fenntartása érdekében eseménynaplózó és ellenőrző rendszert használ a Hitelesítési rend [9] előírásai szerint.
5.4.1 A tárolt események típusai A hitelesítés-szolgáltató általános tevékenységével kapcsolatosan: a) A Szolgáltató rendszerei naplózzák az alábbi eseményeket: -
a működtető rendszerek környezetében bekövetkező, tanúsítványok kezelésével kapcsolatos események,
-
a naplózási funkció elindítása és leállítása,
-
a naplózási paraméterek megváltoztatása,
48/63
illetve
a
kulcsok
és
Educatio Társadalmi Szolgáltató Közhasznú Társaság
-
HSZSZ-1 Szolg. Szabályzat
a naplózás tárolási hibája miatt végzett tevékenységek.
A regisztrációval kapcsolatosan: b) A Szolgáltató gondoskodik arról, hogy naplózásra kerüljön valamennyi regisztrációval kapcsolatos esemény, köztük a tanúsítvány megújításra, módosítására vonatkozó kérelmek, és e kérelmek jóváhagyásával kapcsolatos események is.
A tanúsítvány előállítással kapcsolatosan: c) A Szolgáltató naplózza a saját szolgáltatói kulcsai életciklusával kapcsolatos összes eseményt, továbbá d) a saját tanúsítványai életciklusával kapcsolatos összes eseményt, és e) az általa kibocsátott tanúsítványok életciklusával kapcsolatos összes eseményt.
Az alanyok kriptográfiai hardver eszközzel való ellátásával kapcsolatosan: f)
A Szolgáltató naplózza eseményeket, valamint
az
általa
gondozott
kulcsok
életciklusával
kapcsolatos
g) a kriptográfiai hardver eszközök felkészítésével (megszemélyesítésével) és átadásával kapcsolatos valamennyi eseményt.
A visszavonás és felfüggesztés kezeléssel kapcsolatosan: h) A Szolgáltató gondoskodik arról, hogy a visszavonás és a felfüggesztés kezeléssel kapcsolatos összes kérés és jelentés naplózva legyen.
5.4.2 A napló fájl feldolgozásának gyakorisága A Szolgáltató folyamatos felügyelő és riasztó eszközöket működtet annak érdekében, hogy a képes legyen felismerni, regisztrálni az erőforrásaihoz történő hozzáférésre irányuló jogosulatlan és/vagy szabálytalan próbálkozásokat, illetve képes legyen időben reagálni ezekre. A visszavonás állapotokat kezelő alkalmazás hozzáférés ellenőrzést végez a visszavonás állapot információ módosítására irányuló próbálkozások esetében. a) A Szolgáltató auditora naponta kiértékeli a napló fájlokat és ennek alapján jelentést készít a menedzsment számára.
49/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
5.4.3 A naplófájl megőrzési időtartama A naplóadatokat a Szolgáltató archiválja. Az archívum megőrzési idejét lásd az 5.5.2 pontban.
5.4.4 A naplófájl védelme a) A naplózott adatállomány tartalmazza a naplózott esemény bekövetkezésének dátumát és pontos idejét, az esemény követhetőségéhez, rekonstruálásához szükséges adatokat, az események kiváltásában közreműködő felhasználó vagy más érintett személy nevét. b) A naplózási rendszer regisztrálja a naplózásra vonatkozó módosítási kísérletet. c) A naplózott adatállomány védelmét az archiválási eljárás biztosítja, amelynek következében a napló minden bejegyzése védetté válik a módosítástól. A Szolgáltató biztosítja, hogy a napló tartalmához csak arra feljogosított személy, elsősorban a független rendszervizsgáló férhessen hozzá. d) A napló kezelését olyan módon kell megoldani, hogy kizárható legyen a napló megsemmisítése, a napló bejegyzéseinek törlése, módosítása, a bejegyzések sorrendjének bármilyen módon történő megváltoztatása.
5.4.5 A naplófájl archiválási eljárásai A napló fájl napi rendszerességgel archiválásra kerül, két példányban.
5.4.6 A naplózás adatgyűjtési rendszere (belső vagy külső) A naplózás komplex, a teljes rendszer biztonsági eseményeit kezelő és magába foglaló rendszer.
5.5
Adatok archiválása
A Szolgáltató a tanúsítványokra vonatkozó minden lényeges információt a Hitelesítés rend [9] szerint archiválja (rögzíti, és megfelelő ideig tárolja).
5.5.1 Az archivált adatok típusai a) A Hitelesítés rend [9] szerint, egyéb információk nem kerülnek tárolásra.
50/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
5.5.2 Az archívum megőrzési időtartama a) A Szolgáltató a tanúsítványokkal kapcsolatos elektronikus információkat - beleértve az azok előállításával összefüggőket is - és az ahhoz kapcsolódó személyes adatokat legalább a tanúsítvány érvényességének lejártától számított 10 évig, illetőleg az elektronikus aláírással, illetve az azzal aláírt elektronikus dokumentummal kapcsolatban felmerült jogvita jogerős lezárásáig őrzi meg. b) Az a) pontban meghatározott adatokon kívüli naplózott adatokat a keletkezésüktől, a Szolgáltatási szabályzatot és annak módosításait pedig hatályon kívül helyezésétől számított 10 évig őrizni meg. c) a Hitelesítési rend [9] meghatározásain túlmenően egyéb naplóbejegyzéseket a Szolgáltató nem őriz meg.
5.5.3 Az archívum védelme a) A Szolgáltató az archivált adatállomány minden bejegyzését védi a jogosulatlan módosítástól, törléstől. Az archivált adatállományt a megsemmisítésétől, és a jogosulatlanul hozzáféréstől a Szolgáltató adminisztratív szabályozása védi.
5.5.4 Az archívum mentési folyamatai Az archivum mentése naponta 2 példányban történik egyszer írható CD, ill. DVD egységekre. Ezen kívül heti, havi mentésekre és hosszú távú archiválásokra kerül sor. A mentést hordozó médiát a Szolgáltató biztonságos környezetben tárolja, külön helyen.
5.5.5 Az adatok időbélyegzésére vonatkozó követelmények Az adatokhoz csak a külső szolgáltatóhoz szinkronizált rendszeridő kapcsolódik.
5.5.6 Az archívum gyűjtési rendszere (belső vagy külső) A külső regisztrációs pontokon keletkezett iratokat a regisztrációt végző munkatársak (XRO) bizalmasan tárolják és őrzik. Az elektronikus másolati példányban létező iratok elektronikus üzenet formájában kerülnek a Szolgáltató központi adattárba.
5.5.7 Archív információk hozzáférését és ellenőrzését végző eljárások A Szolgáltató a Hitelesítési rendben [9] meghatározottak szerint biztosítja az archív információhoz történő hozzáférést és ellenőrzést. a) Az archívumhoz Szolgáltató ügyfélszolgálatán keresztül biztosít hozzáférést.
51/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
5.6
HSZSZ-1 Szolg. Szabályzat
Kulcscsere
Nincs.
5.7
Kompromittálódást és katasztrófát követő helyreállítás
A Szolgáltató a Hitelesítési rend [9] előírásai szerint gondoskodik arról, hogy katasztrófa esetén, beleértve a saját szolgáltatói magánkulcsának kompromittálódását, illetve kritikus szoftver/hardver komponenseinek meghibásodását is, az üzemeltetés a lehető legrövidebb időn belül helyreálljon.
5.7.1 Váratlan esemény és kompromittálódás kezelési eljárások a) A Szolgáltató a rendkívüli üzemeltetési helyzetek esetére (különösen a kompromittálódás és a katasztrófa bekövetkezésére) olyan eljárást alkalmaz, amely lehetővé teszi a megbízható szolgáltatás mielőbbi helyreállítását.
5.7.2 Meghibásodott számítási erőforrások, szoftverek és/vagy adatok a) A Szolgáltató a biztonsági események és hibás működések által okozott kárt eseményjelentés és eseménykezelési gyakorlati eljárások használatán keresztül minimalizálja.
5.7.3 Magánkulcs kompromittálódása esetén követendő eljárások a) Saját magánkulcsának kompromittálódása esetén a Szolgáltató az alábbiakat vállalja: -
A kompromittálódásról tájékoztatja az összes aláírót, előfizetőt, érintett felet és egyéb olyan más hitelesítés-szolgáltatót, amellyel kapcsolata van.
-
Jelzi, hogy az adott szolgáltatói kulcs felhasználásával kiadott tanúsítványok és visszavonási állapot információk már nem érvényesek.
b) Az aláíró számára kibocsátott tanúsítványhoz tartozó magánkulcs kompromittálódása esetén a Szolgáltató az alábbiakat vállalja: -
A kompromittálódásról (a visszavonás kezelés, illetve szolgáltatásokon keresztül) tájékoztatja az összes érintett felet.
visszavonás
állapot
5.7.4 Működés folyamatosságának biztosítása katasztrófát követően Természeti vagy más katasztrófát követően, illetve a Szolgáltató berendezéseinek meghibásodása esetén Szolgáltató a következő szolgáltatások legfeljebb 3 munkanapon belüli elindítását vállalja: 52/63
visszavonáskezelés-szolgáltatás, visszavonási állapot közzététele szolgáltatás.
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
Minden egyéb szolgáltatás elindítását Szolgáltató 5 munkanapon belül vállalja.
5.8
Hitelesítés szolgáltató vagy regisztrációs szervezet leállítása
A Szolgáltató a jogszabályokban előírtaknak megfelelően gondoskodik a szolgáltatásainak megszüntetéséből származó, az aláírókat, előfizetőket és az érintett feleket érintő potenciális zavar minimalizálásáról, továbbá a jogi eljárásokhoz szükséges tanúsítványnyilvántartások fenntartásáról. A hitelesítés-szolgáltató általános tevékenységével kapcsolatosan: a) Mielőtt a Szolgáltató leállítja szolgáltatásait, legalább az alábbi eljárásokat hajtja végre: -
A Szolgáltató legalább 60 nappal a leállítás előtt értesíti az általa kibocsátott és még vissza nem vont tanúsítványok tulajdonosait,
-
A Szolgáltató legalább 20 nappal a leállítás előtt visszavonja az általa kibocsátott és még vissza nem vont tanúsítványokat, de nyilvánosságra hozatali kötelezettségének egészen a leállításig továbbra is eleget tesz,
-
A Szolgáltató elektronikus levél útján tájékoztatja az összes aláírót, előfizetőt, érintett felet .
-
A Szolgáltató megszűnteti a tanúsítványok kibocsátását és megújítását.
-
A Szolgáltató megszűnteti a tanúsítványok kibocsátási folyamatában a hitelesítésszolgáltató nevében eljáró alvállalkozások összes felhatalmazását.
-
A Szolgáltató magánkulcsait meg kell semmisítenie, illetve vissza kell vonni a használatból a (6.2.10) alatt meghatározottak szerint.
b) A Szolgáltató tevékenysége befejezésekor az informatikai rendszerében foglalt adatairól teljes körű mentést készít. A mentett adatállományokat a Szolgáltató védi a jogosulatlan módosítástól, illetve biztosítja azt, hogy az adatállomány tartalmához jogosulatlan személyek ne férhessenek hozzá. Biztosítja továbbá, hogy az adatok a megőrzési időn belül az arra jogosult személyek számára hozzáférhetőek és értelmezhetőek legyenek.
6. Műszaki biztonsági intézkedések A Szolgáltató módosítás ellen védett megbízható rendszereket és termékeket kell használ.
6.1
Kulcspár előállítása és telepítése
A Szolgáltató valamennyi általa (saját maga, címtárak, regisztrációs szervezetek, illetve alanyok
53/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
számára) előállított magánkulcsát biztonságos és az ipari szabványoknak, valamint a hatályos jogszabályi előírásoknak megfelelően hozza létre.
6.1.1 Kulcspár előállítás A Szolgáltató saját kulcspárjának előállítása: a) A szolgáltatói magánkulcs előállítását fizikailag védett környezetben (lásd 5.1 pont), legalább két, bizalmi munkakört (lásd 5.2.1 pont) betöltő, erre feljogosított személy együttes részvételével, más személyek jelenlétét kizárva végzi el. b) A hitelesítés-szolgáltató kulcs előállítását Utimaco Cryptoserver 2000 kriptográfiai eszközzel hajtja végre. c) A kriptográfiai eszközzel az RSA kulcspár előállítása az [1] 18.§ szerint kiadott NHH határozatban szereplő, RSA kulcspár előállításra alkalmasnak elismert algoritmussal történik.
A Szolgáltató által más felek számára előállított kulcspár előállítása: d) A Szolgáltató által más felek (pl. bizalmi munkakört betöltő saját munkatársai) számára előállított kulcsok előállítását fizikailag védett környezetben végzi a Hitelesítési Rendben [9] előírtak alapján. e) A hitelesítés-szolgáltató más alanyok számára az 1.1.7 pont szerint generál kulcspárakat. f)
A Szolgáltató által más felek (pl. bizalmi munkakört betöltő saját munkatársai és az alanyok) számára előállított kulcsokat olyan algoritmussal állítja elő, melyet az [1] 18.§-a szerint kiadott NHH határozat erre a felhasználásra alkalmasnak ismer el.
6.1.2 Magánkulcs eljuttatása az előfizetőhöz, aláíróhoz a) Személyes tanúsítványhoz a Szolgáltató nem tárol, nem szállít magánkulcsokat. b) Eszköztanúsítványok kiadásához, igény esetén a Szolgáltató kulcspárakat generál az alábbiak szerint: -
54/63
Az így előállított kulcsokat az igénylő által történő átvételig biztonságos módon tárolja, az aláírás létrehozó adatot (magánkulcsot) az igénylőnek úgy adja át, hogy az aláírás létrehozó adat titkossága ne sérüljön meg, az aláírás-létrehozó eszköz (PKCS#12 fájl) aktivizálási adatát (PIN kódját) biztonságosan készíti el és az aláírás-létrehozó eszköztől elkülönítve biztonságosan tárolja. Az előfizető az aláírás-létrehozó eszközt és a PIN kódot tartalmazó borítékot az átvétel írásos elismerésével veheti át.
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
6.1.3 A nyilvános kulcs eljuttatása a tanúsítvány kibocsátóhoz a) A Szolgáltató regisztrációs szervezetétől az ott (kriptográfiai hardver eszközön) előállított kulcspár nyilvános kulcs részét olyan módon juttatja el a tanúsítvány létrehozását végző hitelesítés-szolgáltatóhoz, ami biztosítja a továbbított adat sértetlenségét, valamint a feladó hitelességét.
6.1.4 A hitelesítés szolgáltató nyilvános kulcsának közzététele az érintett felek számára a) A Szolgáltató a saját szolgáltatói nyilvános kulcsát tartalmazó tanúsítványt a web-lapján elérhetővé teszi az érintett felek számára. A tanúsítvány elérhetősége a következő: http://crl.pkica1.educatio.hu/certenroll/educatio-ca1.crt
6.1.5 Kulcsméretek A hitelesítés szolgáltató saját kulcsának mérete: a)
A hitelesítés szolgáltató RSA szolgáltatói kulcsa legalább 4096 bites.
A hitelesítés-szolgáltató által más felek számára előállított kulcsok mérete: b) a hitelesítés-szolgáltató által más felek (címtárak, regisztrációs szervezetek és alanyok) számára előállított RSA kulcsok hossza legalább 1024 bites.
6.1.6 Nyilvános kulcs paraméterek előállítása, a paraméterek ellenőrzése A nyilvános kulcs paraméterek megfelelnek a magyar előírásoknak, és előállításuk során a megfelelő szabványok, algoritmusok kerültek alkalmazásra.
6.1.7 A kulcs használat célja (az X.509 v3 kulcshasználati mező tartalmának megfelelően) a) A Szolgáltató a kulcshasználati tartalmat a Hitelesítési rendben [9] határozza meg.
6.2
A szolgáltatói magánkulcsok védelme és a kriptográfiai modulokkal kapcsolatos műszaki előírások
A Hitelesítési rendben [9] meghatározottak szerint.
55/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
6.2.1 Magánkulcs többszereplős ("n-ből m") használata a) A Szolgáltató a magánkulcsait csak bizalmi munkakört betöltő személyzet állíthatja vissza, védett környezetben (lásd 5.1 pont), más személyek jelenlétét kizárva.
6.2.2 Magánkulcs letétbe helyezése a) A Hitelesítési rend [9] előírása szerint a Szolgáltató a magánkulcsát letétbe helyezi. A magánkulcsok helyreállítása a kriptográfiai eszközbe ennek felhasználásával történik.
6.2.3 Magánkulcs mentése a) Mentési célból (például a kriptográfiai egység klónozásához szükséges módon) a Szolgáltató a magánkulcsait csak védett környezetben (5.1), legalább két, bizalmi munkakört (5.2.1) betöltő, erre feljogosított személy együttes részvételével, más személyek jelenlétét kizárva másolja le. b) A Szolgáltatói magánkulcsainak mentett másolatait a Utimaco Cryptoserver 2000 biztonsági eljárásai hozzák létre.
6.2.4 Magánkulcs archiválása a) A Hitelesítési rend [9] előírása alapján nem engedélyezett művelet!
6.2.5 Magánkulcs bejuttatása kriptográfiai modulba, vagy onnan történő exportja a) A Szolgáltató magánkulcsai a kriptográfiai modulban jönnek létre, így ilyenkor azt kívülről nem szükséges bejuttatni. b) A szolgáltatói magánkulcsok kriptográfiai modulba kívülről történő bejuttatására egyedül a magánkulcs véletlen megsérülése, megsemmisülése esetén lehet szükség. Az ilyen esetekre a 6.2.2 pont elvárása vonatkozik. c) A szolgáltatói magánkulcsok kriptográfiai modulból történő exportálására kizárólag mentési célból kerülhet sor. Az ilyen esetekre a 6.2.4 pont elvárásai vonatkoznak.
6.2.6 Magánkulcs tárolása kriptográfiai modulban a) A Szolgáltató a magánkulcsait üzem közben és üzemen kívül egy Utimaco Cryptoserver 2000 hardver kriptográfiai modulban tárolja. A Szolgáltató a kriptográfiai hardver biztonsági funkcióinak és az adminisztratív intézkedéseinek ellenőrzött alkalmazásával megfelelő hozzáférés-ellenőrzéseket végez annak biztosítása érdekében, hogy a magánkulcsok a kriptográfiai modulon kívül ne legyenek hozzáférhetők.
56/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
6.2.7 A magánkulcs aktiválásának módja A Szolgáltató Utimaco Cryptoserver 2000 hardver kriptográfiai modulja csak a felhasználót engedélyező módban teszi elérhetővé a szolgáltató magánkulcsait. Ehhez a felhasználónak az azonosító és hitelesítő adatait kell megadnia.
6.2.8 A magánkulcs deaktiválásának módja Ha a Utimaco Cryptoserver 2000 kriptográfiai modul (szabályos vagy szabálytalan módon) kikerül az aktív állapotból -- például a hozzá tartozó szerviz leállása miatt -- a kulcs addig nem hozzáférhető, amíg a felhasználó az azonosító és hitelesítő adatait újra meg nem adja.
6.2.9 A magánkulcs megsemmisítésének módja a) A magánkulcs megsemmisítését a Utimaco Cryptoserver 2000 hardver kriptográfiai moduljához rendelt kulccsal lehet elvégezni. Ez a kulcs hardver és adminisztratív biztonsági eszközökkel van védve.
6.2.10 A kriptográfiai modulok értékelése a) A Szolgáltató által használt kriptográfiai modulok megfelelnek a FIPS 140-2 3-as szintnek.
6.3
A kulcspár kezelésének egyéb szempontjai
6.3.1 Nyilvános kulcs archiválása A Szolgáltató a nyilvános kulcsait archiválja.
6.3.2 A tanúsítványok és kulcspárok használatának periódusa a) A Szolgáltató magánkulcsainak használati periódusa nem haladja meg azok érvényességi idejét. b) A hitelesítés-szolgáltató által az ügyfelek számára kibocsátott tanúsítványok használati periódusa (érvényességi időtartama) 1 év.
57/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
6.4
HSZSZ-1 Szolg. Szabályzat
Aktivizáló adatok
6.4.1 Aktivizáló adatok előállítása és telepítése A pontos szabályok az alany (ügyfelek és a Szolgáltató) érdekében nem nyilvánosak!
6.4.2 Az aktivizáló adatok védelme a) A Szolgáltató a kriptográfiai hardver eszközhöz tartozó aktivizáló adatokat (PIN kód) csak abból a célból rögzíti, hogy azt a szolgáltatást igénybe vevő személy számára – másolat megőrzése nélkül - átadhassa. b) A Szolgáltató a kriptográfiai hardver eszközhöz tartozó aktivizáló adatot (PIN kód) a kriptográfiai hardver eszköztől elkülönítve osztja szét. c) A Szolgáltató a kriptográfiai hardver eszközt, valamint az ehhez tartozó aktivizáló adatokat (PIN kód) biztonságosan osztja/szállítja ki.
6.4.3 Az aktivizáló adatok egyéb szempontjai A pontos szabályok az alany (ügyfelek és a Szolgáltató) érdekében nem nyilvánosak!
6.5
Informatikai biztonsági előírások
6.5.1 Speciális informatikai biztonsági műszaki követelmények A hitelesítés-szolgáltatónak gondoskodnia kell arról, hogy az informatikai rendszeréhez való hozzáférés kellően felhatalmazott egyénekre legyen korlátozva. Különösképpen: A hitelesítés-szolgáltató általános tevékenységével kapcsolatosan: A Szolgáltató a Hitelesítési rend [9] elvárásait teljesíti.
6.5.2 Az informatikai biztonság értékelése A Szolgáltató a Hitelesítési rend [9] elvárásait teljesíti.
58/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
6.6
HSZSZ-1 Szolg. Szabályzat
Életciklusra vonatkozó műszaki előírások
6.6.1 Rendszerfejlesztési előírások A Szolgáltató a Hitelesítési rend [9] elvárásait teljesíti.
6.6.2 Biztonságkezelési előírások A Szolgáltató a Hitelesítési rend [9] elvárásait teljesíti.
6.7
Hálózatbiztonsági előírások
A Szolgáltató gondoskodik arról, hogy informatikai rendszerében megfelelő hálózat biztonsági ellenőrzésekre kerüljön sor. Ennek következtében a Szolgáltató teljesíti a Hitelesítési rend [9] elvárásait.
6.8
Időbélyegzés
A Szolgáltató szinkronizálva.
megbízható
rendszereinek
belső
órája
szabványos
időforráshoz
van
7. Tanúsítvány-, és tanúsítvány visszavonási lista 7.1
Tanúsítványprofilok
A Szolgáltató a Hitelesítési rend [9] előírásait teljesíti.
7.2
Tanúsítvány visszavonási lista profil
A Szolgáltató a Hitelesítési rend [9] előírásait teljesíti.
8. Megfelelőségi audit és egyéb ellenőrzések A Szolgáltató a Hitelesítési rend [9] előírásait teljesíti.
9. Egyéb üzleti és jogi kérdések 9.1
Díjak
A mindenkor érvényes szolgáltatások díjait a Szolgáltató saját Internetes oldalán (web-lapján) 59/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
közzéteszi. A web-lap elérése: http://www.educatio.hu A díjfizetés tekintetében az Általános Szerződési Feltételek 8. pontjában meghatározottak irányadók.
9.2
Anyagi felelősségvállalás
Lásd 9.9 pont
9.3
Az üzleti információk bizalmassága
A Szolgáltató az információkat a saját adatkezelési utasításai szerint kezeli. További felvilágosítást az ügyfélszolgálati munkatársak adnak.
9.4
A személyes adatok védelme
a) A Szolgáltató az információkat a saját adatkezelési utasításai szerint kezeli. További felvilágosítást az ügyfélszolgálati munkatársak adnak. b) A Szolgáltató működése és szabályzatai megfelelnek a Személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992 évi LXIII. törvény követelményeinek.
9.5
Szellemi tulajdonjogok
A szolgáltatási tevékenység során alkalmazott összes név, termék, szabályzat, CRL a Szolgáltató tulajdonát képezi. A szoftver, firmware és hardver komponensek részben a Szolgáltató tulajdonát képezik, részben azokat jogszerűen használja.
9.6
Tevékenységért viselt felelősség és helytállás
9.6.1 A hitelesítés-szolgáltató felelőssége és helytállása A Szolgáltató a Hitelesítési rend [9] előírásait teljesíti.
9.6.2 A regisztrációs szervezet felelőssége és helytállása Lásd 9.6.1 pont
60/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
9.6.3 Az aláíró / előfizető felelőssége és helytállása Az aláíró az aláírás létrehozó adatot kizárólag az aláírás létrehozására használhatja, beleértve a tanúsítványban jelölt esetleges egyéb korlátozásokat is. Az aláíró felelőssége, hogy az aláírás létrehozó adatot a tőle elvárható legnagyobb gondossággal birtokolja.
9.6.4 Az érintett fél felelőssége a) Az érintett felek számára rendelkezésre bocsátott kikötéseknek és feltételeknek tartalmazniuk kell egy megjegyzést, miszerint: „Ha ésszerű módon egy tanúsítványra kívánnak hagyatkozni, az alábbiakat kell tenniük: -
ellenőrizzék a tanúsítvány érvényességét, azt, hogy a tanúsítvány nincs felfüggesztve, illetve visszavonva az érvényes visszavonási állapot információ szerint, a Hitelesítési rendben és a Szolgáltatási szabályzatnak megfelelően;
-
vegyék figyelembe a tanúsítvány felhasználására vonatkozó valamennyi korlátozást, mely a tanúsítványban, a Hitelesítési rendben és a Szolgáltatási szabályzatban szerepel;
-
tegyenek meg minden, megállapodásokban, máshol előírt, illetve az adott helyzetben általában elvárható egyéb óvintézkedést."
9.7
Helytállás érvénytelenségi köre
Szolgáltató a Tanúsítványt kizárólag Magyarország területére érvényesen, valamint 0 Ft kötelezettségvállalással bocsátja ki. Ezen korlátokat meghaladó ügyletekben kibocsátott és aláírt elektronikus dokumentumokból származó követelésekért, illetve az így okozott kárért a Szolgáltató nem felel.
9.8
Felelősségi korlátozások
A Szolgáltató kizárja felelősségét, ha az aláírás ellenőrzés lépései a Hitelesítési rendben [9] meghatározott módon bármi okból – beleértve a Szolgáltatónál keletkező működtetési és menedzselési problémát is – nem hajthatóak végre az aláírás ellenőrzésének időpontjában, és az elektronikus aláírás, illetve az aláírással ellátott dokumentum az aláírás ellenőrzője által ennek ellenére elfogadásra kerül.
9.9
Kártérítési kötelezettségek
A Szolgáltató a Hitelesítési rend [9] előírásait teljesíti.
61/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
HSZSZ-1 Szolg. Szabályzat
9.10 Érvényesség Jelen Hitelesítési szolgáltatási szabályzat visszavonásig érvényes.
9.11 A felek közötti kommunikációra vonatkozó előírások Szolgáltató köteles az ÁSzF és a HSzSz módosításait azok hatályba lépése előtt 30 nappal közzétenni. Azok az aláírók és előfizetők, akik a módosítást nem fogadják el, jogosultak – együttesen - a hatálybalépést követően 15 napon belül 15 napos felmondási idővel az Szolgáltatási Szerződést felmondani. A Szerződés felmondása egyben a kiadott Tanúsítvány iránti visszavonási kérelemnek is tekinthető és a Szolgáltató jogosult a Tanúsítványt adatbázisából törölni.
9.12 Kiegészítések Nincs.
9.13 Vitás kérdések megoldása Az esetleges jogvitákra értékhatártól függően a Pesti Központi Kerületi Bíróság (Budapest), illetve a Fővárosi Bíróság (Budapest) illetékességét kötik ki.
9.14 Irányadó jog A hitelesítés-szolgáltató működésének jogi vonatkozásaira a Magyar Köztársaság törvényei az irányadók.
9.15 Az érvényben lévő jogszabályoknak való megfelelőség A jelen dokumentumban megfogalmazott Hitelesítési rend rendeleteknek és irányelveknek való megfelelőséget tűzi célul:
az
alábbi
törvényeknek,
a) Személyes adatok védelméről és a közhasznú adatok nyilvánosságáról szóló 1992 évi LXIII. törvény b) Az elektronikus aláírásról szóló 2001. évi XXXV. törvény c) 9/2005 (VII.21.) IHM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról d) 45/2005 (III. 11.) Kormányrendelet a Nemzeti Hírközlési Hatóságnak az elektronikus
62/63
Educatio Társadalmi Szolgáltató Közhasznú Társaság
aláírással kapcsolatos szabályairól
feladat-
és
hatásköréről,
HSZSZ-1 Szolg. Szabályzat
valamint
eljárásának
részletes
e) 3/2005 (III. 18.) IHM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről f)
4/2006 (IV. 19.) IHM rendelet a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással összefüggő nyilvántartással kapcsolatos tevékenységéért fizetendő díjakról
g) 7/2002 (IV. 26.) MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatási szakértő nyilvántartásba vételéről h) 2/2002 (IV. 26.) MeHVM irányelv a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről i)
Az Európai Parlament és a Tanács 1999/93/EK számú irányelve az elektronikus aláírással kapcsolatos közösségi keretrendszerről
j)
A közigazgatási hatósági eljárás és szolgáltatás szabályairól szóló 2004. évi CXL. törvény és az elektronikus ügyintézéshez kapcsolódó végrehajtási rendeletek, azaz a 193/2005 (IX.22.), 194/2005 (IX.22.) és 195/2005 (IX.22.) számú kormányrendeletek.
63/63