Gemnet Certification Practice Statement

Gemnet Certification Practice Statement 1.2.528.1.1013.1.1

Versie 1.0 Den Haag, september 2010

2

Inhoudsopgave Lijst met afkortingen ........................................................................................................................... 6 Begrippenlijst ...................................................................................................................................... 7 1 Inleiding........................................................................................................................................ 10 1.1 Overzicht ............................................................................................................................... 10 1.1.1 Certificaat klassen ......................................................................................................... 10 1.1.2 Certificaat typen ............................................................................................................ 11 1.1.3 Opbouw CPS ................................................................................................................. 11 1.1.4 Geldigheid CPS ............................................................................................................. 11 1.2 Identificatie............................................................................................................................ 12 1.2.1 Unieke document identificatoren................................................................................... 12 1.3 Gebruikersgemeenschap en toepassingsgebied..................................................................... 12 1.3.1 Certificatie Autoriteiten................................................................................................. 12 1.3.2 Registratie Autoriteiten ................................................................................................. 12 1.3.3 Eindgebruikers of eind entiteiten................................................................................... 12 1.3.4 Toepassingsgebied......................................................................................................... 13 1.4 Contact informatie................................................................................................................. 13 1.4.1 Informatie met betrekking tot de organisatie................................................................. 13 1.4.2 Contact persoon............................................................................................................. 14 1.4.3 Vaststelling toepasbaarheid CPS op CP ........................................................................ 14 1.4.4 Normenkader ................................................................................................................ 14 2 Algemene bepalingen .................................................................................................................. 15 2.1 Verplichtingen ....................................................................................................................... 15 2.1.1 Verplichtingen van de CA ............................................................................................. 15 2.1.2 Verplichtingen van de RA ............................................................................................. 16 2.1.3 Verplichtingen van de LRA........................................................................................... 17 2.1.4 Verplichtingen van de Certificaathouder....................................................................... 18 2.1.5 Verplichtingen van de Vertrouwende Partij .................................................................. 18 2.2 Aansprakelijkheid.................................................................................................................. 18 2.2.1 Aanvaarding van aansprakelijkheid............................................................................... 19 2.2.2 Aansprakelijkheid voor onjuiste gegevens, onjuiste identificatie ondertekenaar en nietfunctionerende software ................................................................................................................ 19 2.2.3 Ontbreken van in redelijkheid vertrouwen .................................................................... 19 2.2.4 Uitsluiting aansprakelijkheid......................................................................................... 20 2.3 Financiële verantwoordelijkheid ........................................................................................... 20 2.3.1 Vrijwaring door vertrouwende partijen ......................................................................... 20 2.4 Interpretatie en handhaving ................................................................................................... 20 2.4.1 Toepasselijk recht.......................................................................................................... 20 2.4.2 Partiële geldigheid, aanvulling, kennisgeving............................................................... 20 2.4.3 Geschilbeslechting......................................................................................................... 21 2.5 Tarieven................................................................................................................................. 21 2.5.1 Certificaat uitgifte en heruitgifte tarieven ..................................................................... 21 2.5.2 Certificaat toegangstarieven .......................................................................................... 21 2.5.3 Revocatie of status informatie toegangstarieven ........................................................... 21 2.5.4 Tarieven voor andere diensten zoals informatie omtrent policies ................................. 22 2.5.5 Restitutie beleid............................................................................................................. 22 2.6 Publicatie en elektronische opslagplaats ............................................................................... 22 2.6.1 Publicatie van CSP informatie....................................................................................... 22 2.6.2 Publicatie frequentie...................................................................................................... 22 2.6.3 Toegang tot gepubliceerde informatie........................................................................... 22 2.6.4 Elektronische opslagplaats ............................................................................................ 23 2.7 Conformiteitsbeoordeling...................................................................................................... 23 2.8 Vertrouwelijkheid.................................................................................................................. 23 2.8.1 Vertrouwelijke informatie ............................................................................................. 23

3

3

4

5

6

2.8.2 Niet-vertrouwelijke informatie...................................................................................... 23 2.8.3 Openbaarmaking van certificaat intrekkinginformatie.................................................. 24 2.8.4 Verstrekking aan opsporingsambtenaren....................................................................... 24 2.8.5 Verstrekking in verband met privaatrechtelijke bewijsvoering..................................... 24 2.8.6 Verstrekking op verzoek van de eigenaar...................................................................... 24 2.8.7 Andere omstandigheden die kunnen leiden tot informatieverstrekking ........................ 24 2.9 Intellectuele eigendom........................................................................................................... 24 Identificatie en authenticatie ...................................................................................................... 25 3.1 Initiële registratie................................................................................................................... 25 3.1.1 Type namen ................................................................................................................... 25 3.1.2 Noodzaak van betekenisvolle naamgeving.................................................................... 25 3.1.3 Regels voor interpretatie van verschillende wijze van naamgeving.............................. 26 3.1.4 Uniciteit van namen....................................................................................................... 26 3.1.5 Naamgeving geschil beslechting ................................................................................... 26 3.1.6 Erkenning, authenticatie en de rol van merknamen....................................................... 26 3.1.7 Methode om bezit van private sleutel aan te tonen ....................................................... 26 3.1.8 Authenticatie van organisatorische identiteit ................................................................ 26 3.1.9 Authenticatie en identificatie van de aanvrager ............................................................ 27 3.2 Routinematige sleutel herverstrekking .................................................................................. 27 3.3 Vernieuwing van sleutels na intrekking van het certificaat................................................... 28 3.4 Verzoeken tot intrekking ....................................................................................................... 28 Operationele voorwaarden en vereisten.................................................................................... 29 4.1 Certificaataanvraag................................................................................................................ 29 4.2 Uitgifte van certificaten......................................................................................................... 29 4.3 Acceptatie van certificaten .................................................................................................... 29 4.4 Intrekking van certificaten..................................................................................................... 30 4.4.1 Omstandigheden die leiden tot intrekking..................................................................... 30 4.4.2 Wie mag een verzoek tot intrekking doen? ................................................................... 30 4.4.3 Procedure voor een verzoek tot intrekking.................................................................... 31 4.4.4 Intrekkingsverzoek respijt periode ................................................................................ 31 4.4.5 Omstandigheden die leiden tot schorsing...................................................................... 31 4.4.6 Vereisten m.b.t. checken van CRL ................................................................................ 31 4.4.7 Beschikbaarheid van de mogelijkheid online intrekking/status te checken .................. 31 4.4.8 Limiet aan schorsingsperiode ........................................................................................ 32 4.4.9 Frequentie CRL aanpassing........................................................................................... 32 4.5 Security Audit Procedures..................................................................................................... 32 4.5.1 Vastlegging van gebeurtenissen .................................................................................... 32 4.5.2 Bewaartermijn audit-log................................................................................................ 33 4.5.3 Audit-log back-up procedure......................................................................................... 33 4.6 Archivering van documenten ................................................................................................ 33 4.7 Wijziging sleutel.................................................................................................................... 33 4.8 Compromittering en calamiteit herstel .................................................................................. 33 4.9 CSP beëindiging .................................................................................................................... 34 Fysieke, Procedurele en Personele Beveiligings Middelen....................................................... 35 5.1 Fysieke en omgevings beveiliging ........................................................................................ 35 5.1.1 Fysieke Beveiligingsmiddelen....................................................................................... 35 5.2 Procedurele beveiligings middelen........................................................................................ 35 5.3 Personele beveiligingsmiddelen ............................................................................................ 35 Technische beveiligingsmiddelen ............................................................................................... 37 6.1 Genereren van sleutelparen en installatie .............................................................................. 37 6.1.1 Genereren van sleutelparen ........................................................................................... 37 6.1.2 Overdracht van private sleutel aan eindgebruiker ......................................................... 37 6.1.3 Beschikbaarheid publieke sleutels................................................................................. 37 6.1.4 Overdracht van de publieke sleutel van CSP aan eindgebruikers ................................. 38 6.1.5 Sleutellengtes................................................................................................................. 38

4

6.1.6 Genereren van publieke sleutel parameters ................................................................... 38 6.1.7 Kwaliteits check parameters.......................................................................................... 38 6.1.8 Genereren van sleutels in hardware/software................................................................ 38 6.1.9 Doeleinden sleutel gebruik (volgens het X.509 v3 key usage veld).............................. 38 6.2 Bescherming van de private sleutel....................................................................................... 38 6.2.1 Standaarden voor cryptografische module .................................................................... 38 6.2.2 Multi-persoons (n uit m) controle op private sleutel ..................................................... 39 6.2.3 Private sleutel escrow .................................................................................................... 39 6.2.4 Backup private sleutel ................................................................................................... 39 6.2.5 Private sleutel archivering ............................................................................................. 39 6.2.6 Toegang tot private sleutels in cryptografische module................................................ 39 6.2.7 Activering van de private sleutels ................................................................................. 39 6.2.8 Deactivering van de private sleutels.............................................................................. 39 6.2.9 Methode voor het vernietigen van de private sleutels ................................................... 40 6.3 Andere aspecten van sleutelpaar management ...................................................................... 40 6.3.1 Archiveren van publieke sleutels................................................................................... 40 6.3.2 Gebruiksduur voor de publieke en private sleutels ....................................................... 40 6.4 Activeringsgegevens ............................................................................................................. 40 6.4.1 Genereren en installeren van activeringsgegevens ........................................................ 40 6.4.2 Activeringsgegevens bescherming ................................................................................ 40 6.5 Computer beveiligingsbeheer................................................................................................ 40 6.5.1 Specifieke technische vereisten ten aanzien van de computerbeveiliging .................... 40 6.5.2 Computer beveiligingsclassificatie................................................................................ 41 6.6 Technische middelen m.b.t. levenscyclus ............................................................................. 41 6.7 Netwerk beveiligingsmiddelen.............................................................................................. 41 6.8 Beveiliging bij ontwikkeling van cryptografische onderdelen.............................................. 41 7 Certificaat en CRL Profielen...................................................................................................... 42 7.1 Certificaat Profiel .................................................................................................................. 42 7.2 CRL Profiel ........................................................................................................................... 43 8 Specificatie Beheer ...................................................................................................................... 44 8.1 Specificatie procedure wijziging CPS ................................................................................... 44

5

Lijst met afkortingen Afkorting CA CEN CP CPS CRL CSP EESSI ETSI FIPS ITSEC LDAP LRA NOREA OCSP OID PKI RA Richtlijn EH RSA SSCD VPN Wbp

Betekenis Certificatie Autoriteit (Certification Authority) Centre Européene de Normalisation Certificate Policy Certification Practice Statement Certificaten Revocatie Lijst Certification Service Provider ofwel certificatiedienstverlener European Electronic Signature Standardization Initiative European Telecommunication Standardisation Institute Federal Information Processing Standards Information Technology Security Lightweight Directory Access Protocol Lokale Registratie Autoriteit Nederlandse Orde van Register EDP Auditors Online Certificate Status Protocol Object Identifier Public Key Infrastructure Registratie Autoriteit (Registration Authority) Europese richtlijn elektronische handtekeningen Rivest, Shamir en Adelman Secure Signature Creation Device Virtual Private Network Wet bescherming persoonsgegevens

6

Begrippenlijst Aanvrager: Een natuurlijke of rechtspersoon die een aanvraag tot uitgifte van een certificaat indient bij een Registratie Autoriteit. In het kader van de PKI voor de overheid: De aanvrager hoeft niet dezelfde partij te zijn als de abonnee of de certificaathouder, maar is wel één van de twee. In de domeinen Overheid-Overheid en Overheid-Bedrijven is het bijvoorbeeld goed denkbaar dat de aanvrager iemand van Personeelszaken is, terwijl de abonnee het bedrijf of de instelling is en de certificaathouder een medewerker van dat bedrijf of die instelling. Abonnee: een natuurlijke of rechtspersoon die zich aanmeldt bij een Registratie Autoriteit om een publieke sleutel en identiteit te laten certificeren in een publieke sleutel certificaat voor een door de abonnee vertegenwoordigde certificaathouder. De abonnee gaat hiervoor een contractuele relatie aan met de bij de Registratie Autoriteit behorende CSP. Certificaat: een door Gemnet uitgegeven elektronische bevestiging die gegevens voor het verifiëren van een handtekening aan een bepaalde persoon verbindt en de identiteit van die persoon bevestigt. Certificaathouder: een natuurlijke of rechtspersoon, ten behoeve van wie een certificaat is uitgegeven, wiens identiteit kan worden vastgesteld met behulp van het certificaat en die het certificaat daadwerkelijk en exclusief gebruikt. Certificate Policy (CP): een benoemde verzameling regels die de toepasbaarheid van een certificaat aangeeft voor een bepaalde gemeenschap en/of toepassingsklasse met gemeenschappelijke beveiligingseisen. Met behulp van een CP kunnen eindgebruikers en vertrouwende partijen bepalen hoeveel vertrouwen zij kunnen stellen in het verband tussen de publieke sleutel en de identiteit van de houder van de publieke sleutel. Certificaten revocatie lijst (CRL): een openbaar toegankelijke en te raadplegen lijst (databank) van ingetrokken certificaten, beschikbaar gesteld, ondertekend en onder verantwoordelijkheid vallend van Gemnet. Certificatie Autoriteit (CA): een entiteit die door één of meer eindgebruikers wordt vertrouwd om certificaten te maken en toe te wijzen. Optioneel kan een CA de sleutels voor eindgebruikers aanmaken. In het kader van de PKI voor de overheid: Een organisatie die feitelijk certificaten genereert en intrekt. Het functioneren als CA is een deelactiviteit die onder de verantwoordelijkheid van de CSP wordt uitgevoerd. Certificatiediensten: het afgeven, beheren en intrekken van certificaten door certificatiedienstverleners. Certification Practice Statement (CPS): een document dat de door een CSP gevolgde procedures en getroffen maatregelen ten aanzien van alle aspecten van de dienstverlening beschrijft. Het CPS beschrijft daarmee op welke wijze de CSP voldoet aan de eisen zoals gesteld in de van toepassing zijnde Certificate Policy. Certificatiedienstverlener: zie Certification Service Provider. Certification Service Provider (CSP): een dienst of een natuurlijke of rechtspersoon die certificaten afgeeft of andere diensten in verband met elektronische handtekeningen verleent. Digitale handtekening: zie “Geavanceerde elektronische handtekening”.

7

Eindgebruiker: een natuurlijke of rechtspersoon die binnen de PKI voor de overheid één of meer van de volgende rollen vervult: certificaathouder, abonnee of vertrouwende partij. Elektronische handtekening: elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie; Elektronische opslagplaats: locatie waar relevante informatie ten aanzien van de dienstverlening van Gemnet te vinden. Geavanceerde elektronische handtekening: een elektronische handtekening die voldoet aan de volgende eisen: a) Zij is op unieke wijze aan de ondertekenaar verbonden; b) Zij maakt het mogelijk de ondertekenaar te identificeren; c) Zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; d) Zij is op zodanige wijze aan het elektronisch bestand waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord; Gekwalificeerd certificaat: certificaat dat voldoet aan de eisen die zijn omschreven in bijlage I van de Europese Richtlijn Elektronische handtekeningen en wordt uitgegeven door een certificatiedienstverlener die voldoet aan de eisen die zijn beschreven in bijlage II van die Richtlijn. Gegevens voor het vervaardigen van handtekeningen: unieke gegevens, zoals codes of private cryptografische sleutels, die door de ondertekenaar worden gebruikt om een elektronische handtekening te maken. In gekwalificeerde certificaten die berusten op publieke sleutel codering, zoals behandeld in dit document, bestaan de gegevens voor het vervaardigen van handtekeningen bijvoorbeeld uit een private sleutel. Derhalve wordt in dit document de term private sleutel gebruikt voor de gegevens voor het vervaardigen van handtekeningen. Handtekeningverificatie gegevens: gegevens, zoals codes of publieke cryptografische sleutels, die worden gebruikt teneinde een elektronische handtekening te verifiëren. In gekwalificeerde certificaten die berusten op publieke sleutel codering, zoals behandeld in dit document, bestaan de gegevens voor het verifiëren van handtekeningen bijvoorbeeld uit een publieke sleutel. Derhalve wordt in dit document de term publieke sleutel gebruikt voor de gegevens voor het verifiëren van handtekeningen. Lokale Registratie Autoriteit (LRA): de organisatie-eenheid of functie, aan wie de uitvoering van de taak van Registratie Autoriteit is opgedragen, en die fysiek de identificatie gegevens van een aanvrager verzamelt, controleert, registreert en doorstuurt ten behoeve van de certificaatuitgifte. Middel voor het vervaardigen van handtekeningen: geconfigureerde software of hardware die wordt gebruikt voor het implementeren van de gegevens voor het vervaardigen van handtekeningen. Ondertekenaar: een persoon die de beschikking heeft over een middel voor het aanmaken van handtekeningen en handelt hetzij uit eigen naam hetzij uit naam van de dienst of de natuurlijke of rechtspersoon die hij vertegenwoordigt Public Key Infrastructure (PKI): het geheel van organisatie, procedures en techniek, benodigd voor het uitgeven, gebruiken en beheer van certificaten. Qualified Certificate Policy (QCP): Certificate Policy die de vereisten bevat die zijn omschreven in de bijlagen I en II van de Europese Richtlijn Elektronische handtekeningen.1

1

Richtlijn 99/93/EG van 13 december 1999 van het Europese Parlement en de Raad van de Europese Unie betreffende een gemeenschappelijk kader voor elektronische handtekeningen, PbEG L 13/12.

8

Registratie Autoriteit (RA): een Registratie Autoriteit zorgt voor de verwerking van certificaataanvragen en alle daarbij behorende taken waarbij de verificatie van de identiteit van de certificaathouder de belangrijkste is. Root certificaat: dit is het certificaat behorend bij de plek waar het vertrouwen in alle in de PKI uitgegeven certificaten zijn oorsprong vindt. Er is geen hoger liggende Certificatie Autoriteit waaraan het vertrouwen wordt ontleend. Dit certificaat wordt door de houder zelf ondertekend. Alle onderliggende certificaten worden uitgegeven door de houder van het stamcertificaat. Root Certification Authority (Root-CA): een Certificatie Autoriteit die direct wordt vertrouwd door een eindgebruiker. Hiermee wordt bedoeld dat het beveiligd verkrijgen van de publieke sleutel van de Root-CA één of meer stappen buiten het betreffende systeem om vereist. De Root-CA hoeft niet noodzakelijkerwijs aan de top van een hiërarchie te zijn gepositioneerd. Smartcard: een plastic kaart ter grootte van een creditcard die in een chip elektronica bevat, inclusief een microprocessor, geheugenruimte. De kaarten kunnen worden gebruikt om informatie op te slaan en zijn makkelijk mee te nemen. Veilig middel voor het aanmaken van handtekeningen: een middel voor het aanmaken van handtekeningen dat voldoet aan de eisen van bijlage III uit de Richtlijn elektronische handtekeningen.2 De smartcard is een veilig middel. Vertrouwelijkheidscertificaat: certificaat waarin de publieke sleutel wordt gecertificeerd van het sleutelpaar dat voor vertrouwelijkheidsdiensten wordt gebruikt. Vertrouwende partij: de natuurlijke of rechtspersoon die ontvanger is van een certificaat en die handelt in vertrouwen op dat certificaat. Vrijwillige certificering: een vergunning waarin de rechten en verplichtingen betreffende de verlening van certificatiediensten zijn vermeld en die op verzoek van de betrokken certificatiedienstverlener wordt afgegeven door de openbare of particuliere instantie die is belast met de vastlegging en de handhaving van die rechten en verplichtingen, wanneer de certificatiedienstverlener de uit de vergunning voortvloeiende rechten niet kan uitoefenen zolang hij het besluit van die instantie niet heeft ontvangen.

2

Idem.

9

1

Inleiding

1.1

Overzicht

Gemnet is een certificatiedienstverlener (CSP) die diensten op het gebied van Public Key Infrastructure (PKI) verleent. Gemnet verleent haar diensten aan organisaties in de publieke sector. Gemnet heeft de intentie diensten aan te bieden onder de PKI voor de overheid.3 Dit Certification Practice Statement (CPS) vormt de beschrijving van de wijze waarop Gemnet invulling heeft gegeven aan haar dienstverlening en bevat naast een beschrijving van de Gemnet Public Key Infrastructure de procedures die Gemnet hanteert bij de uitgifte van certificaten. Dit CPS is slechts één van de documenten die van toepassing zijn op de dienstverlening door Gemnet. Andere documenten zijn te vinden via de website (www.gemnetcsp.nl). Naast dit CPS kan ten aanzien van de door Gemnet uitgegeven certificaten een Certificate Policy (CP) gelden. In een dergelijke CP wordt de toepasbaarheid van een certificaat aangegeven voor een bepaalde gemeenschap en/of toepassingsklasse met gemeenschappelijke beveiligingseisen. Een verwijzing naar de toepasselijke CP wordt in het certificaat vermeld door middel van opname van een ‘object identifier’ (OID).4 Voor een overzicht van de verschillende relevante documenten binnen de CSP-dienstverlening van Gemnet wordt verwezen naar het document ‘positionering documenten’, te vinden via de website (www.gemnetcsp.nl). Voor de invulling van de dienstverlening maakt Gemnet gebruik van Getronics-diensten. Het deel van de dienstverlening dat Gemnet van Getronics afneemt is gecertificeerd. Meer informatie over de dienstverlening van Getronics is te vinden op https://www.pki.getronicspinkroccade.nl . 1.1.1

Certificaat klassen

Gemnet onderscheidt twee klassen certificaten, te weten: 1. Klasse x certificaten 2. Klasse y certificaten 3. Klasse test certificaten Deze verschillende klassen certificaten worden onder verschillende roots uitgegeven. De klasse x certificaten worden onder een door Gemnet ingestelde root uitgegeven, de klasse y certificaten worden via een tussenliggende root onder de root van de PKI voor de overheid uitgegeven. Op dit moment worden nog geen klasse y certificaten uitgegeven. De bepalingen die van toepassing zijn op de klasse y certificaten zijn derhalve op dit moment nog niet van toepassing. Aan het gebruik van de klasse test certificaten kunnen geen enkele rechten worden ontleend. De hieronder volgende bepalingen uit dit CPS zijn niet op deze certificaten van toepassing. Op de klasse test certificaten is geen CP van toepassing. De certificaten uit de klasse test zijn slechts bedoeld om te testen. 3 4

Zie www.pkioverheid.nl. Dit is een nummer dat naar een bepaald document verwijst.

10

Bepalingen in dit CPS die alleen op klasse x certificaten van toepassing zijn worden in het vervolg met een gestippelde blauwe omlijning aangegeven. Bepalingen in dit CPS die alleen op klasse y certificaten van toepassing zijn worden in het vervolg met een aaneengesloten oranje omlijning aangegeven. Bepalingen zonder omlijning zijn zowel op de klasse x als de klasse y certificaten van toepassing. De klasse x certificaten worden direct onder de Gemnet CSP CA uitgegeven. De klasse y certificaten worden uitgegeven binnen de hiërarchie van de PKI voor de overheid5. Meer informatie over de PKI voor de overheid is te vinden op www.pkioverheid.nl. 1.1.2

Certificaat typen

De klasse x certificaten kunnen voor verschillende toepassingen worden gebruikt. Bij deze specifieke toepassingen kan onder andere worden gedacht aan authenticatie binnen Virtual Private Networks (VPN’s), authenticatie binnen specifieke toepassingen en / of het versleutelen van gegevens. De specifieke gebruiksgrenzen zijn opgenomen in de toepasselijke CP. De certificaten mogen uitsluitend voor de betreffende doeleinden zoals opgenomen in de toepasselijke Certificate Policy (CP) worden gebruikt. Van de klasse y certificaten worden drie typen certificaten uitgegeven, te weten certificaten voor: a) b) c)

authenticiteit (identificatie) onweerlegbaarheid (elektronische handtekening) vertrouwelijkheid (versleuteling)

De certificaten mogen uitsluitend voor de betreffende doeleinden zoals opgenomen in paragraaf 1.3.4 worden gebruikt. De certificaten worden in een smartcard gegenereerd. De gebruikte smartcards voldoen aan de eisen die krachtens de Richtlijn EH aan een veilig middel worden gesteld.

1.1.3

Opbouw CPS

De paragraafindeling van dit CPS is conform het ‘Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework’ (RFC 2527 van de Internet Engineering Task Force).6 1.1.4

Geldigheid CPS

Dit CPS (versie 1.0) is geldig vanaf 10 september 2010.

5

De infrastructuur die door de overheid is ontwikkeld om betrouwbare communicatie van en met de overheid mogelijk te maken. 6 www.ietf.org.

11

1.2

Identificatie

1. 2. 3. 4.

“Gemnet Certification Practice Statement” Versie 1.0 september 2010 Vindplaats www.gemnetcsp.nl

1.2.1

Unieke document identificatoren.

Dit CPS wordt geïdentificeerd met het onderstaande unieke nummer (OID). 1.2.528.1.1013.1.1 {iso(1) member-body(2) nni(528) nederlandse-organisatie(1) gemnet(1013) CPS (1) Versie (1)} Een OID is een rij van getallen die op unieke wijze en permanent een object aanduidt. Een OID maakt het mogelijk een bepaald document (in dit geval dit CPS) te identificeren.

1.3

Gebruikersgemeenschap en toepassingsgebied

Dit CPS is van toepassing op certificaathouders, abonnees en vertrouwende partijen (eindgebruikers). Binnen de Gemnet PKI treedt Gemnet op als certificatiedienstverlener (CSP) die certificaten uitgeeft aan certificaathouders en abonnees. Dit CPS dient steeds te worden gelezen in combinatie met de toepasselijke CP(’s). In de uitgegeven certificaten wordt zowel het CPS als de toepasselijke CP(’s) vermeld. Gemnet is eindverantwoordelijk voor de certificatiediensten die zij verleent. 1.3.1

Certificatie Autoriteiten

Gemnet heeft de volledige CA-functionaliteit aan Getronics uitbesteed. Gemnet maakt gebruik van het deel van de dienstverlening van Getronics dat vrijwillig gecertificeerd volgens ETSI TS 101 456 "Policy requirements for certification authorities issuing qualified certificates". Voor meer informatie over de wijze waarop Getronics haar dienstverlening heeft ingericht wordt verwezen naar https://www.pki.getronicspinkroccade.nl . 1.3.2

Registratie Autoriteiten

Er worden twee verschillende RA functionaliteiten onderscheiden. Er is een centrale RA welke door Gemnet wordt vervuld. Daarnaast kunnen op lokaal niveau Lokale RA’s (LRA’s) opereren, aan wie een gedeelte van het daadwerkelijk registratieproces is gedelegeerd. 1.3.3

Eindgebruikers of eind entiteiten

Houder van een Gemnet certificaat kunnen zijn: 1.

Natuurlijke personen

12

2. 3.

Natuurlijke persoon inclusief link naar rechtspersonen of andere organisatie Andere CA’s

1.3.4

Toepassingsgebied

Gemnet certificaten mogen slechts worden gebruikt voor de doelen die aangegeven worden in de certificaten, CPS of toepasselijke CP. Gemnet certificaten mogen niet gebruikt worden voor zeer risicovolle toepassingen zoals de besturing van kerncentrales, luchtverkeersgeleiding en dergelijke, waar gebreken kunnen leiden tot de dood, lichamelijk letsel of ernstige milieuschade. Functionele gebruiksgrenzen Gemnet geeft klasse x certificaten uit die slechts binnen één enkele toepassing mogen worden gebruikt. Gemnet kan ook klasse x certificaten uitgeven die een breder of smaller toepassingsbereik hebben. De gebruiksgrenzen kunnen in het concrete geval in de toepasselijke CP worden gevonden. De klasse y certificaten mogen, afhankelijk van het type, gebruikt worden voor a) authenticiteit (identificatie) b) onweerlegbaarheid (elektronische handtekening) c) vertrouwelijkheid (versleuteling) ad a) Authenticiteitcertificaten kunnen worden gebruikt voor het betrouwbaar identificeren en authenticeren van personen, organisaties en middelen langs elektronische weg. Dit betreft zowel de identificatie van personen onderling als tussen personen en middelen. ad b) Onweerlegbaarheidscertificaten kunnen worden gebruikt om geavanceerde elektronische handtekeningen te zetten, die ten aanzien van gegevens in elektronische vorm voldoen aan alle wettelijke vereisten voor een handtekening, net zoals een handgeschreven handtekening dat doet voor gegevens op papier, zoals wordt aangegeven in artikel 5 lid 1 van de Richtlijn EH. De klasse y onweerlegbaarheidscertificaten zijn gekwalificeerde certificaten in de zin van de Richtlijn EH. ad c) Vertrouwelijkheidcertificaten kunnen worden gebruikt voor het beschermen van de vertrouwelijkheid van gegevens, die worden uitgewisseld en/of opgeslagen in elektronische vorm. Dit betreft zowel de uitwisseling tussen personen onderling als tussen personen en geautomatiseerde middelen.

1.4

Contact informatie

1.4.1

Informatie met betrekking tot de organisatie

Dit CPS is opgesteld door: Gemnet Maanplein 110 2516 CK Den Haag

13

1.4.2

Contact persoon

Contactpersoon met betrekking tot de PKI dienstverlening is: Directeur Gemnet Gemnet Maanplein 110 2516 CK Den Haag tel. 070-3436900 fax 070-3436990 [email protected] 1.4.3

Vaststelling toepasbaarheid CPS op CP

De Directie van Gemnet stelt vast of het CPS toepasbaar is op een bepaalde CP. 1.4.4

Normenkader

Gemnet voldoet aan de wettelijke eisen die zijn opgenomen in de Wet bescherming persoonsgegevens (Wbp). Gemnet voldoet aan ETSI 102 042 v. 1.1.1 (2002-04) ‘Policy requirements for certification authorities issuing public key certificates’. Gemnet voldoet bij de uitgifte van de klasse y certificaten ten aanzien van de onweerlegbaarheidscertificaten aan de eisen zoals gesteld in Richtlijn 99/93/EG van 13 december 1999 van het Europese Parlement en de Raad van de Europese Unie betreffende een gemeenschappelijk kader voor elektronische handtekeningen, PbEG L 13/12. Gemnet voldoet ten aanzien van de onweerlegbaarheidscertificaten aan de eisen zoals gesteld in ETSI 101 456, v.1.2.1 (2002-4) ‘Policy requirements for certification authorities issuing qualified certificates’. Gemnet voldoet ten aanzien van alle andere typen certificaten van klasse y aan het normenkader van de PKI voor de overheid zoals gesteld in het Programma van Eisen.7 Gemnet treedt op als ‘certificatiedienstverlener’8 in de zin van de Richtlijn EH en als ‘CA’ in de zin van de EESSI/ETSI ‘Policy requirements for certification authorities issuing qualified certificates’9 en ‘Policy requirements for certification authorities issuing public key certificates’.10 Klasse y certificaten worden uitgegeven volgens het ‘Qualified Certificate Policy Public + Secure Signature Creation Device (QCP public + SSCD)’ zoals opgenomen in ETSI 101 456 v. 1.2.1.

7

Zie hiervoor www.pkioverheid.nl. Ook wel CSP of Certification Service Provider genoemd. 9 ETSI 101 456. 10 ETSI 102 042. 8

14

2

Algemene bepalingen

2.1

Verplichtingen

Gemnet treedt formeel op als CA. Gemnet voldoet dan ook aan alle onderstaande verplichtingen. Dat Gemnet bepaalde onderdelen van haar dienstverlening heeft uitbesteed doet hieraan niets af.11 Gemnet treedt op als certificatiedienstverlener in de zin van de Richtlijn EH.

2.1.1

Verplichtingen van de CA

Gemnet heeft het technisch beheer van de CA functie aan Getronics uitbesteed. 1. 2. 3. 4. 5. 6.

7.

8.

9. 10.

11. 12. 13. 14.

De CA houdt zich bij de uitvoering van zijn taak aan het CPS, de toepasselijke CP(’s) en andere onderliggende overeenkomsten. De CA neemt passende maatregelen om fouten in de inhoud van een certificaat te voorkomen. De CA meldt revocatie van een certificaat aan zowel de certificaathouder als de aanvrager en RA. Daarnaast wordt het certificaat opgenomen in de Certificaten Revocatie Lijst (CRL). De CA verwerkt een geautoriseerde revocatieaanvraag terstond en onverwijld. De CA behandelt een accurate en volledige certificaataanvraag binnen een redelijke termijn. De CA bewaart haar private sleutel, alsmede wachtwoorden en tokens die daar toegang toe bieden zeer zorgvuldig. De private sleutel is middels tamper proof hardware beveiligd tegen misbruik. De CA zorgt voor een goed beveiligde productie omgeving. De CA maakt gebruik van betrouwbare systemen en producten die beschermd zijn tegen onbevoegde wijziging en die de technische en cryptografische veiligheid garanderen van de processen die zij ondersteunen. Bij de verwerking van persoonsgegevens voldoet de CA aan de Wet bescherming persoonsgegevens (Wbp). De CSP meldt de verwerking aan bij het College Bescherming Persoonsgegevens. De CA gebruikt haar private sleutel slechts conform dit CPS en de eventueel toepasselijke CP, ze gebruikt haar sleutel niet voor andere dan de daar genoemde doelen. De CA stelt alle gerelateerde CA’s, RA’s en certificaathouders zo snel als redelijkerwijs mogelijk is op de hoogte van een eventuele compromittering van haar private sleutel. Zij maakt daartoe gebruik van het tijdens registratieproces opgegeven e-mail adres. Daarnaast worden voornoemde partijen en de vertrouwende partijen door middel van publicatie in een landelijk dagblad op de hoogte gesteld. De CA communiceert veilig met de (L)RA. De CA voorziet de (L)RA van informatie rond de status van certificaatuitgifte na certificaataanvraag. De CA heeft voldoende financiële middelen tot zijn beschikking, met name met het oog op aansprakelijkheid wegens schade.12 De CA legt gedurende een gepaste periode alle relevante informatie met betrekking tot de uitgifte en het beheer van alle certificaten vast, met name om ten behoeve van gerechtelijke procedures de certificatie te kunnen bewijzen. Hierbij is informatie over de houders van certificaten inbegrepen. Dit vastleggen vindt elektronisch plaats.13 Middelen die toegang verschaffen tot elektronisch opgeslagen informatie zijn eveneens gedurende deze termijn beschikbaar.

11

Conform EESSI Policy Requirements criteria. Richtlijn EH Bijlage II onder h. 13 Conform Richtlijn EH Bijlage II onder i. 12

15

15.

16. 17.

18.

De CA garandeert dat de gegevens voor het aanmaken van de handtekening en die voor het verifiëren van de handtekening, - ingeval zij beide door de certificatiedienstverlener worden gegenereerd -, complementair kunnen worden gebruikt.14 De CA stelt de aanvrager op de hoogte van certificaatuitgifte. Certificaatuitgifte vindt alleen plaats met toestemming van de toekomstige certificaathouder. Een certificaataanvraag van de toekomstige certificaathouder wordt geacht een dergelijke toestemming te bevatten. Opname van het certificaat in een directory gebeurt alleen met toestemming van de certificaathouder.15

2.1.2

Verplichtingen van de RA

1.

De RA’s houden zich bij het uitvoeren van hun taak aan het CPS, de eventueel toepasselijke CP en andere onderliggende overeenkomsten. De RA communiceert veilig met de CA. De RA verifieert met daartoe geschikte middelen en overeenkomstig de nationale wetgeving, de identiteit van de persoon aan wie een gekwalificeerd certificaat wordt uitgegeven. De RA heeft voldoende financiële middelen tot zijn beschikking om in overeenstemming met de Richtlijn EH te kunnen functioneren, met name met het oog op aansprakelijkheid wegens schade.16 De RA legt gedurende een gepaste periode alle relevante informatie met betrekking tot een gekwalificeerd certificaat vast, met name om ten behoeve van gerechtelijke procedures de certificatie te kunnen bewijzen. Dit vastleggen mag elektronisch plaatsvinden. Er geldt een bewaartermijn van 7 jaar na de expiratiedatum van het certificaat.17 Specifieke informatie uit dit archief moet makkelijk ontsluitbaar zijn. De RA maakt gebruik van betrouwbare systemen en producten die beschermd zijn tegen wijziging en die de technische en cryptografische veiligheid garanderen van de processen die zij ondersteunen. De RA bewaart haar private sleutel, alsmede wachtwoorden en tokens die daar toegang toe bieden zeer zorgvuldig. De private sleutel is middels tamper proof hardware beveiligd tegen misbruik. De RA zorgt voor een goed beveiligde werkomgeving. De RA is de verantwoordelijke voor de persoonsgegevens die zij in het kader van de CSP dienstverlening verwerkt. Bij de verwerking van persoonsgegevens voldoet zij aan de Wet bescherming persoonsgegevens. De RA mag haar private sleutel slechts conform het CPS en de eventueel toepasselijke CP gebruiken, ze mag haar sleutel ook niet voor andere dan de daar genoemde doelen gebruiken. De RA stelt de CA, andere RA’s waarmee ze samenwerkt en certificaathouders zo snel als redelijkerwijs mogelijk is op de hoogte van een eventuele compromittering van haar private sleutel. Zij maakt daartoe gebruik van het tijdens het registratieproces opgegeven e-mail adres. Daarnaast worden voornoemde partijen en de vertrouwende partijen door middel van publicatie in een landelijk dagblad op de hoogte gesteld. De RA zal moeten kunnen toetsen of de certificaataanvrager op het tijdstip van de afgifte van het certificaat, houder is van de gegevens voor het aanmaken van de handtekening.18 In de registratieprocedure verkrijgt de RA de toestemming voor het gebruik van persoonsgegevens rechtstreeks van de certificaathouder zelf of met diens uitdrukkelijke toestemming, slechts voorzover afgifte en beheer van certificaten zulks vereisen.19

2. 3. 4.

5.

6.

7.

8. 9.

10. 11.

12. 13.

14

Richtlijn EH artikel 6 lid 1 onder c. Richtlijn EH Bijlage II onder l. 16 Richtlijn EH Bijlage II onder h. 17 Richtlijn EH Bijlage II onder i. 18 Richtlijn EH artikel 6 lid 1 onder b. 19 Richtlijn EH artikel 8 lid 2. 15

16

14.

15.

2.1.3

De RA neemt passende maatregelen om fouten in de inhoud van een certificaataanvraag te voorkomen. Zij is intern ten opzichte van de CA aansprakelijk voor fouten in de inhoud van certificaten door onjuiste certificaataanvragen. De RA zorgt er voor dat de certificaten uitsluitend publiekelijk toegankelijk zijn in die gevallen waarvoor de certificaathouder toestemming heeft gegeven. Verplichtingen van de LRA

Op lokaal niveau kunnen abonnees een loketfunctie uitoefenen. Deze loketfunctie wordt ook wel Lokale Registratie Autoriteit (LRA) genoemd. De LRA is verantwoordelijk voor de juiste identificatie van de personen die een certificaat bij hem aanvragen. Contactpersonen binnen de organisatie van klanten van Gemnet kunnen als LRA worden ingeschakeld. 1. 2. 3. 4.

5. 6.

7.

8.

9. 10.

11.

De LRA houdt zich bij het uitvoeren van zijn taak aan het CPS, de eventueel toepasselijke CP en andere onderliggende overeenkomsten. De LRA communiceert veilig met de CA. De LRA zorgt voor een adequate beveiliging van gegevens. De LRA maakt gebruik van betrouwbare systemen en producten die beschermd zijn tegen onbevoegde wijziging en die de technische en cryptografische veiligheid garanderen van de processen die zij ondersteunen.20 De LRA verifieert met daartoe geschikte middelen en overeenkomstig de nationale wetgeving, de identiteit van de persoon aan wie een klasse y certificaat wordt uitgegeven. De LRA legt gedurende een gepaste periode alle relevante informatie met betrekking tot een gekwalificeerd certificaat vast, met name om ten behoeve van gerechtelijke procedures de certificatie te kunnen bewijzen. Dit vastleggen mag elektronisch plaatsvinden. Er geldt een bewaartermijn van 7 jaar na de expiratiedatum van het certificaat.21 Specifieke informatie uit dit archief moet makkelijk ontsluitbaar zijn. De LRA bewaart haar private sleutel, alsmede wachtwoorden en tokens die daar toegang toe bieden, zeer zorgvuldig. De private sleutel is middels tamper proof hardware beveiligd tegen misbruik. Voorzover de LRA persoonsgegevens verwerkt doet hij dat in opdracht van de RA. Ten opzichte van de centrale RA kan de LRA als bewerker in de zin van de Wbp functioneren.22 De RA werkt op zijn beurt onder verantwoordelijkheid van de CSP, welke laatste als verantwoordelijke fungeert in de zin van de Wet bescherming persoonsgegevens. De LRA functioneert als bewerker voorzover er geen sprake is van een hiërarchische verhouding tussen RA en LRA. De LRA mag haar private sleutel slechts conform het CPS en de eventueel toepasselijke CP gebruiken, ze mag haar sleutel ook niet voor andere dan de daar genoemde doelen gebruiken. De LRA stelt de CA, de centrale RA en andere RA’s waarmee hij samenwerkt en certificaathouders zo snel als redelijkerwijs mogelijk is op de hoogte van een eventuele compromittering van zijn private sleutel. Hij maakt daartoe gebruik van het tijdens het registratieproces opgegeven e-mail adres. Daarnaast worden voornoemde partijen en de vertrouwende partijen door middel van publicatie in een landelijk dagblad op de hoogte gesteld. De LRA moeten passende maatregelen nemen om fouten in de inhoud van een certificaataanvraag te voorkomen. Hij is intern ten opzichte van de centrale RA aansprakelijk voor fouten in de inhoud van certificaten.

20

Richtlijn EH Bijlage II onder f. Richtlijn EH Bijlage II onder i. 22 De Wbp schrijft in art. 14 voor dat tussen verantwoordelijke en bewerker een overeenkomst moet worden gesloten. Daarin wordt (schriftelijk) vastgelegd dat de verantwoordelijke de bewerker opdraagt persoonsgegevens te verwerken. De bewerker moet zorg dragen voor voldoende beveiligingsmaatregelen , waarop door de verantwoordelijke toezicht wordt gehouden. 21

17

12.

In de registratieprocedure verkrijgt de LRA de toestemming voor het gebruik van persoonsgegevens rechtstreeks van de certificaathouder zelf of met diens uitdrukkelijke toestemming, slechts voorzover afgifte en beheer van certificaten zulks vereisen.23

2.1.4

Verplichtingen van de Certificaathouder

De certificaathouder/aanvrager dient: 1.

accurate en volledige informatie aan de CA en/of RA te verstrekken in overeenkomst met de vereisten van de Richtlijn EH en geldend Nederlands recht ten aanzien van identificatie, met name voor wat betreft de registratie; het handtekening-sleutelpaar alleen te gebruiken voor elektronische handtekeningen, en overeenkomstig elke andere beperking die aan de gebruiker is kenbaar gemaakt; redelijke zorg in acht te nemen om te voorkomen dat de private sleutel onbevoegd wordt gebruikt; indien de toepasselijke certificate policy (CP) vereist dat er een veilig middel (smartcard) voor het aanmaken van certificaten wordt gebruikt, een dergelijk middel te gebruiken. de CA terstond en onverwijld in te lichten wanneer zich een van de onderstaande gevallen voordoet voor het einde van de in het certificaat aangegeven geldigheidsduur: - de private sleutel van de gebruiker is verloren, gestolen, mogelijkerwijs aangetast; of - de controle over de private sleutel van de gebruiker is verloren gegaan door aantasting van activeringsgegevens (bijv. PIN code) of door andere oorzaken; en/of - onnauwkeurigheid of wijzigingen in de inhoud van het certificaat. na uitgifte van een certificaat, expliciet de ontvangst aan Gemnet te melden. passende voorzorgsmaatregelen te nemen om te voorkomen dat de smartcard met daarop de private sleutel(s) onbevoegd wordt gebruikt. de activeringsgegevens (PIN code) gescheiden van de smartcard te bewaren. na compromittering van zijn private sleutel het gebruik daarvan onmiddellijk en definitief te staken.

2. 3. 4. 5.

6. 7. 8. 9.

2.1.5

Verplichtingen van de Vertrouwende Partij

De vertrouwende partij is verplicht, wanneer deze in redelijkheid wil kunnen vertrouwen op een certificaat: 1.

de geldigheid van het certificaat door middel van actuele informatie over intrekking, waarvan de vertrouwende partij op de hoogte is gebracht, te verifiëren en de geldigheid te controleren van de volledige keten van certificaten van het certificaat van de gebruiker tot en met de bron waarop wordt vertrouwd (root); en kennis te nemen van alle beperkingen betreffende het gebruik van het certificaat (zie paragraaf 1.3.4); en alle overige voorzorgsmaatregelen te nemen die zijn voorgeschreven in eventuele nadere overeenkomsten, voorwaarden (met name in de Vertrouwende Partij Voorwaarden) of elders aan hem zijn bekend gemaakt.

2. 3. 4.

2.2

Aansprakelijkheid

Gemnet is, voor wat betreft de door haar uitgegeven klasse x certificaten betreft, aansprakelijk voor schade die aan Gemnet kan worden toegerekend op basis van toepasselijk dwingend nationaal recht of 23

Richtlijn EH artikel 8 lid 2.

18

op basis van aangegane overeenkomsten of toepasselijke voorwaarden. De inhoud van de aansprakelijkheidsbepaling kan daarbij afhangen van de rol die de schadelijdende partij vervult (bijvoorbeeld vertrouwende partij, certificaathouder of abonnee). Gemnet is, voor wat de door haar uitgegeven gekwalificeerde klasse y certificaten betreft, aansprakelijk overeenkomstig artikel 6 van de Richtlijn EH en met inachtneming van toepasselijk dwingend nationaal recht.24

2.2.1

Aanvaarding van aansprakelijkheid

Gemnet zal de nodige zorgvuldigheid betrachten bij de uitvoering van de dienstverlening. Gemnet zal in geval van een aan haar toe te rekenen tekortkoming in de nakoming van een overeenkomst er voor zorgdragen dat deze tekortkoming zo spoedig mogelijk wordt hersteld. De door Gemnet aanvaarde aansprakelijkheid voor directe en indirecte schade is, per gebeurtenis, beperkt tot een bedrag van maximaal € 1.000.000 (één miljoen euro).

2.2.2 Aansprakelijkheid voor onjuiste gegevens, onjuiste identificatie ondertekenaar en nietfunctionerende software Gemnet is, voor wat de door haar uitgegeven gekwalificeerde klasse y certificaten betreft, uitsluitend aansprakelijk voor de schade die diensten of natuurlijke of rechtspersonen lijden die in redelijkheid op een gekwalificeerd certificaat vertrouwen ten aanzien van: 1.

de juistheid op het tijdstip van afgifte van het certificaat van alle gegevens op het certificaat en de opneming in het certificaat van alle voor een certificaat voorgeschreven regels.

2.

het feit dat diegene die in het certificaat is geïdentificeerd als ondertekenaar, op het tijdstip van uitgifte van het certificaat, de houder was van de gegevens voor het aanmaken van elektronische handtekeningen die overeenstemmen met de in het certificaat vermelde gegevens voor het verifiëren van elektronische handtekeningen;

3.

het feit dat de gegevens voor het aanmaken van elektronische handtekeningen en de gegevens voor het verifiëren van elektronische handtekeningen, indien deze beide door de certificatiedienstverlener zijn gegenereerd, complementair kunnen worden gebruikt;

tenzij Gemnet bewijst dat zij niet onzorgvuldig heeft gehandeld. Deze aansprakelijkheid vloeit voort uit de Richtlijn EH en de omzetting daarvan in Nederlands recht.

2.2.3

Ontbreken van in redelijkheid vertrouwen

Diensten, natuurlijke personen of rechtspersonen worden geacht niet in redelijkheid op het certificaat te hebben vertrouwd als zij de intrekkingsstatus (ingetrokken / niet ingetrokken) en de geldigheid van het certificaat niet hebben vastgesteld, of anderszins niet hebben voldaan aan de verplichtingen bedoeld in de paragrafen 2.1.4 en 2.1.5 van dit CPS. 24

Met name de Wet elektronische handtekeningen.

19

2.2.4

Uitsluiting aansprakelijkheid

Gemnet aanvaardt geen aansprakelijkheid voor schade die voortvloeit uit het gebruik van certificaten dat ligt buiten de grenzen die Gemnet heeft aangegeven in het certificaat of in het CPS of toepasselijke CP. De gestelde beperkingen zijn onder andere te vinden in paragraaf 1.3.4 van dit CPS. Gemnet is niet aansprakelijk voor schade aan diensten of natuurlijke of rechtspersonen die is ontstaan doordat zij op de geldigheid van het certificaat vertrouwen nadat het is ingetrokken. Gemnet is niet aansprakelijk voor schade ten gevolge van het verlies van gegevens wegens het verlies van de smartcard of private sleutel. Voor de certificaathouder, de abonnee (LRA) en de vertrouwende partij zijn de verder toepasselijke aansprakelijkheidsbepalingen in de op hen van toepassing zijnde documenten terug te vinden. Deze documenten zijn te vinden via www.gemnetcsp.nl.

2.3

Financiële verantwoordelijkheid

Gemnet heeft adequate regelingen, onder andere in de vorm van verzekeringen, om aansprakelijkheden te dekken die voortkomen uit zijn werkzaamheden en/of activiteiten, met name om het risico te dragen van aansprakelijkheid voor schade. Daarnaast heeft Gemnet de financiële stabiliteit en middelen die nodig zijn voor de bedrijfsvoering. 2.3.1

Vrijwaring door vertrouwende partijen

Vertrouwende partijen vrijwaren Gemnet voor aanspraken op schadevergoeding indien zij -

-

niet aan de verplichtingen van de vertrouwende partij zoals opgenomen in paragraaf 2.1.5 van dit CPS en de vertrouwende partij voorwaarden hebben voldaan; vertrouwen op een certificaat waar dit als onredelijk kan worden beschouwd. Hieronder valt onder andere vertrouwen op een certificaat dat buiten het toegestane toepassingsgebied wordt gebruikt en vertrouwen op een ingetrokken certificaat; de geldigheid van het certificaat niet hebben gecontroleerd; de schade niet binnen een redelijke termijn hebben gemeld.

2.4

Interpretatie en handhaving

2.4.1

Toepasselijk recht

Op dit CPS en op de certificatiedienstverlening door Gemnet is Nederlands recht van toepassing. 2.4.2

Partiële geldigheid, aanvulling, kennisgeving

Indien enige bepaling in dit CPS nietig is of vernietigd wordt, zullen de overige bepalingen van dit CPS volledig van kracht blijven voor zover deze, gelet op de inhoud en de strekking van die overige bepalingen, niet in onverbrekelijk verband met de nietige of vernietigde bepaling staan.

20

Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de geldigheid van dit CPS voort te duren, blijven na ontbinding van dit CPS bestaan. Van de bepalingen uit dit CPS kan niet mondeling worden afgeweken. 2.4.3

Geschilbeslechting

Alle geschillen die tussen partijen mochten ontstaan naar aanleiding van de totstandkoming, de uitleg of de uitvoering van dit CPS, dan wel naar aanleiding van overeenkomsten, dan wel transacties die daaruit voortvloeien, daarvan het gevolg zijn of daarmee verband houden, zullen worden beslecht overeenkomstig het Arbitragereglement van de Stichting Geschillenoplossing Automatisering (SGOA).25 Tevens is van toepassing het Minitrial reglement van deze stichting. Een en ander laat het recht van partijen om te allen tijde te kiezen voor de rechtsgang middels de bevoegde Nederlandse rechter onverlet. Indien Gemnet als eisende partij optreedt is zij, in afwijking van het voorgaande, bevoegd om een geschil aanhangig te maken bij de voor de gebruiker van haar CSP-diensten in aanmerking komende buitenlandse rechter.

2.5

Tarieven

2.5.1

Certificaat uitgifte en heruitgifte tarieven

Gemnet en haar klanten kunnen eindgebruikers kosten in rekening brengen voor het uitgeven, beheren en vernieuwen van certificaten. De tarieven voor het uitgeven, beheren en vernieuwen van certificaten worden door Gemnet vastgesteld. Aanpassingen in de tarieven zullen een maand van tevoren worden aangekondigd op door Gemnet te bepalen wijze. Tarieven voor maatwerk worden in overleg vastgesteld. Dit alles geldt tenzij in de toepasselijke CP anders is bepaald. 2.5.2

Certificaat toegangstarieven

De tarieven die in rekening worden gebracht voor toegang tot certificaten worden in het tarievenoverzicht vermeld. Gemnet verrekent de kosten voor het gebruik van certificaten uitsluitend via de prijs van de certificaten.

2.5.3

Revocatie of status informatie toegangstarieven

Eventuele tarieven die in rekening worden gebracht voor het raadplegen van de status van certificaten worden in het tarievenoverzicht vermeld.

25

www.sgoa.org.

21

2.5.4

Tarieven voor andere diensten zoals informatie omtrent policies

Informatie in het CPS en de eventueel toepasselijke CP(’s) is vrij en openbaar toegankelijk. In onderscheiden gevallen kan door Gemnet een apart tarief in rekening worden gebracht voor het opvragen van specifieke informatie. 2.5.5

Restitutie beleid

Wanneer er fouten in de registratieprocedure en/of in de certificaatuitgifte zijn gemaakt dan dient het certificaat te worden ingetrokken. In de gevallen dat deze fouten te wijten zijn aan Gemnet en/of de door haar ingeschakelde personen of organisaties wordt het volledige bedrag voor certificaatuitgifte vergoed. Deze vergoeding geldt niet voor het geval dat de fout aan de LRA valt toe te rekenen.

2.6

Publicatie en elektronische opslagplaats

2.6.1

Publicatie van CSP informatie

1.

De publieke sleutel van de GemNet root CA is online beschikbaar, zodat deze in software kan worden geïmplementeerd. Het CPS is online beschikbaar. Eventueel toepasselijke CP’s zijn online beschikbaar. De CRL is online beschikbaar. De uitgegeven certificaten zijn online beschikbaar voor de gebruikers, mits de certificaathouder hier toestemming voor heeft gegeven. Gemnet zorgt voor een snelle en veilige directory dienst.26 De directory is beveiligd, onder andere tegen ongeautoriseerde aanpassing. De directory dienst is online toegankelijk. De directory voldoet aan de X.500 standaard. Informatie over de intrekkings-status is 24 uur per dag, 7 dagen per week te raadplegen. In geval van systeemdefecten, serviceactiviteiten, of andere factoren die buiten het bereik van Gemnet liggen, doet Gemnet al het mogelijke om er voor te zorgen dat deze informatie zo snel mogelijk weer bereikbaar is. Gemnet is niet verantwoordelijk voor de niet beschikbaarheid vanwege natuurrampen of andere omstandigheden waar Gemnet niet verantwoordelijk voor kan worden geacht.

2. 3. 4. 5. 6. 7. 8. 9.

10.

2.6.2

Publicatie frequentie

Zie paragraaf 4.4.9 voor de publicatiefrequentie van de CRL. Zie paragraaf 8.1 voor de publicatiefrequentie van het CPS. 2.6.3

Toegang tot gepubliceerde informatie

Informatie in de elektronische opslagplaats is vrij en openbaar toegankelijk. De website van Gemnet (www.gemnetcsp.nl) fungeert als elektronische opslagplaats. In deze elektronische opslagplaats zijn onder andere het CPS en de Vertrouwende Partij Voorwaarden te vinden. Verdere verveelvoudiging en/of openbaarmaking van deze informatie in andere gevallen dan 26

Richtlijn EH Bijlage II onder b.

22

waarin dit CPS voorziet, is verboden zonder schriftelijke toestemming van Gemnet. 2.6.4

Elektronische opslagplaats

Gemnet zorgt voor de beschikbaarheid van de informatie in de elektronische opslagplaats (www.gemnetcsp.nl). In geval deze informatie niet beschikbaarheid is zorgt Gemnet er voor dat deze informatie zo snel mogelijk weer beschikbaar is, behoudens in het geval het niet beschikbaar zijn niet is te wijten aan door of namens Gemnet geleverde apparatuur, programmatuur, infrastructuur materialen en/of documentatie. 2.7

Conformiteitsbeoordeling

De door Gemnet ingezette omgeving wordt regelmatig onderworpen aan een audit. De auditor is opgenomen in het register van NOREA als Register EDP auditor, en hij controleert de procedures in ieder geval aan de hand van het TTP.nl accreditatieschema (Requirements and Guidance for the Certification of the Public Key Infrastructure of Certification Service Providers). Gemnet wordt op vrijwillige basis gecertificeerd. Teneinde aan te tonen dat Gemnet voldoet aan de betrouwbaarheidseisen voor het aanbieden van certificatiediensten worden de veiligheidsprocedures zoals beschreven in dit CPS in ieder geval één keer per jaar onderworpen aan een audit. De auditor is opgenomen in het register van NOREA als Register EDP auditor, en hij controleert deze procedures in ieder geval aan de hand van het TTP.nl accreditatieschema (Requirements and Guidance for the Certification of the Public Key Infrastructure of Certification Service Providers). De conformiteitsbeoordeling heeft nog niet plaatsgevonden.

2.8

Vertrouwelijkheid

2.8.1

Vertrouwelijke informatie

Alle onderstaande informatie wordt als vertrouwelijk beschouwd en wordt niet aan derden verstrekt in andere gevallen dan waarin voorzien in dit CPS: 2.8.2

Aanvraaginformatie Overeenkomsten met eindgebruikers Overeenkomsten met LRA’s Concrete beveiligingsprocedures en maatregelen Private sleutels Niet-vertrouwelijke informatie

Gegevens zoals ze in het certificaat voorkomen zijn niet vertrouwelijk in het geval de certificaathouder toestemming voor publicatie heeft gegeven.27 De benodigde toestemming voor publicatie wordt gedurende de aanvraagprocedure verkregen.

27

Richtlijn EH Bijlage II onder l.

23

2.8.3

Openbaarmaking van certificaat intrekkinginformatie

Informatie met betrekking tot intrekking van certificaten is beschikbaar via de CRL. De daar gegeven informatie betreft slechts het certificaatnummer, het moment van intrekking en de status (geldig/ingetrokken) van het certificaat. Slechts de betrokken certificaathouder wordt op de hoogte gesteld van de reden voor intrekking van zijn certificaat. 2.8.4

Verstrekking aan opsporingsambtenaren

Gemnet verstrekt vertrouwelijke gegevens niet aan opsporingsambtenaren, behoudens voor zover weten regelgeving Gemnet daartoe noodzaakt. 2.8.5

Verstrekking in verband met privaatrechtelijke bewijsvoering

Het certificaat en de bij de certificaataanvraag verstrekte gegevens zullen blijven opgeslagen gedurende een nader aan de gebruiker opgegeven periode (zie paragraaf 4.6) en voor zover nodig voor het leveren van bewijs van certificatie in de rechtsgang. Vertrouwelijke gegevens zullen slechts ter bewijsvoering aan andere partijen dan de certificaathouder worden verstrekt ingeval van toestemming door de certificaathouder. Gemnet stelt certificaathouder altijd van dergelijke verstrekkingen op de hoogte. 2.8.6

Verstrekking op verzoek van de eigenaar

Gemnet verstrekt de certificaathouder desgevraagd de hem betreffende persoonsgegevens. Door Gemnet kan een tarief worden gevraagd per verstrekking. Dit tarief wordt bekendgemaakt op het tarievenoverzicht van Gemnet. 2.8.7

Andere omstandigheden die kunnen leiden tot informatieverstrekking

Geen bepalingen.

2.9

Intellectuele eigendom

Het auteursrecht, merkrecht, octrooirecht en /of overige intellectuele eigendomsrechten die kunnen worden onderscheiden met betrekking tot de volgende objecten berusten bij Gemnet: -

Gemnet CPS certificaten CRLs Directory informatie alle overige objecten die zijn gerelateerd aan de Gemnet dienstverlening

24

3

Identificatie en authenticatie

3.1

Initiële registratie

De registratieprocedure voor de uitgifte van klasse x certificaten kan op verschillende wijzen worden ingericht. Daarbij kan onder andere gedacht worden aan de instelling van centrale en /of lokale Registratie Autoriteiten. De registratieprocedure voor de uitgifte van klasse y certificaten wordt omschreven in het document “AORA 2002”. Gemnet garandeert dat de certificaathouder/aanvrager op de juiste wijze wordt geïdentificeerd en geauthenticeerd met daartoe geschikte middelen en overeenkomstig de in Nederland toepasselijke wetgeving, en dat certificaataanvragen volledig, correct en bevoegd gedaan worden.28

3.1.1

Type namen

De in certificaten gebruikte namen voldoen aan de X.501 naam standaard. De namen bestaan uit de hieronder volgende onderdelen. Attribuut Country (C) Organization (O) Organizational Unit (OU)

State or Province (S) Locality (L) Common Name (CN) E-Mail Address (E)

Waarde NL of niet gebruikt Gemnet kan meerdere elementen bevatten waaronder de naam van de organisatie of het organisatie-onderdeel en een verwijzing naar de toepasselijke Vertrouwende Partij Voorwaarden provincie of niet gebruikt lokatie of niet gebruikt bevat de voor- en achternaam van de certificaathouder e-mail adres

Namen van personen opgenomen in het certificaat voldoen aan het naamformaat zoals gedefinieerd in NEN 1888:1999 ONTW NL, Algemene persoonsgegevens; Definities, tekensets en uitwisselingsformats van het Nederlands Normalisatie Instituut.

3.1.2

Noodzaak van betekenisvolle naamgeving

Naamgeving die in de door de CA uitgegeven certificaten wordt gehanteerd is ondubbelzinnig, zodanig dat het voor de vertrouwende partij mogelijk is de identiteit van de certificaathouder of organisatie vast te stellen. Gemnet neemt geen pseudoniemen in de door haar uitgegeven certificaten op.

28

Europese Richtlijn, bijlage II onder d.

25

3.1.3

Regels voor interpretatie van verschillende wijze van naamgeving

Geen bepalingen. 3.1.4

Uniciteit van namen

1. 2.

De gebruikte namen identificeren de certificaathouder op unieke wijze. Uniciteit van namen binnen de X.501 name space is het uitgangspunt.

3.1.5

Naamgeving geschil beslechting

In gevallen waarin partijen het oneens zijn over het gebruik van namen beslist Gemnet hierover na afweging van de betrokken belangen, voorzover hierin niet wordt voorzien door dwingend nationaal recht of overige toepasselijke regelgeving. 3.1.6

Erkenning, authenticatie en de rol van merknamen

Aanvrager, certificaathouder en abonnee dragen de volledige verantwoordelijkheid voor de juridische gevolgen van het gebruik van de door hen opgegeven naam. De naam van een organisatorische entiteit zoals deze wordt genoemd in het uittreksel van een erkend register of in de wet of het besluit waarbij de organisatorische entiteit is ingesteld, wordt gebruikt in het certificaat. Bij het gebruik van merknamen neemt Gemnet de nodige zorgvuldigheid in acht. De (L)RA en Gemnet zijn niet gehouden een onderzoek in te stellen naar mogelijke inbreuken op handelsnamen of merkrecht die ontstaan als gevolg van het gebruik van een naam die deel uitmaakt van de in het certificaat noodzakelijke gegevens. Gemnet heeft het recht wijzigingen aan te brengen in naamattributen, wanneer deze in strijd zijn met een merkrecht of andere intellectuele eigendomsrechten. 3.1.7

Methode om bezit van private sleutel aan te tonen

1.

Gemnet kan met het oog op de gebruikmaking van veilige en betrouwbare systemen en ter controle van correct werkende processen aan certificaathouders de verplichting opleggen om aan te tonen dat voor het certificaat noodzakelijke sleutelparen correct werken. Deze verplichting geldt niet als dit van de certificaathouder een onevenredige inspanning vergt. Certificaathouder kan bezit van de private sleutel aantonen door een daartoe bestemd bericht te ondertekenen met de private sleutel waarvan bezit moet worden aangetoond. Een geslaagde verificatie door Gemnet bewijst dat de private sleutel in het bezit van de verzender is.

2. 3.

3.1.8

Authenticatie van organisatorische identiteit

1.

Een organisatorische identiteit kan slechts worden gehouden door een rechtspersoon of een overheidsinstelling.

26

2.

Rechtspersonen of overheidsinstellingen kunnen slechts geïdentificeerd worden met een certificaat wanneer de certificaten gekoppeld zijn aan een natuurlijke persoon, bijvoorbeeld een medewerker van de rechtspersoon of organisatie. 3. Van de rechtspersoon of overheidsinstelling dient het volgende bewijs te worden overlegd: volledige naam en wettelijke status van de rechtspersoon of andere organisatorische entiteit; een overheidsbesluit of een recent uittreksel uit een erkend register. relevante, bestaande registratie-informatie (bijv. bedrijfsregistratie) van de bijbehorende rechtspersoon of andere organisatorische entiteit. 4. Voor de overige benodigde bewijsstukken wordt verwezen naar paragraaf 3.1.9

3.1.9

Authenticatie en identificatie van de aanvrager

Indien de aanvrager/certificaathouder een natuurlijke persoon is, dient er bewijs geleverd te worden van: -

volledige naam (met inbegrip van achternaam en voorna(a)m(en); geboortedatum en -plaats nummer en aard identiteitsdocument, als bedoeld in art 1 van de Wet op de Identificatieplicht e-mail adres. voor zover van toepassing bewijs dat de certificaathouder is verbonden aan de rechtspersoon of organisatie.

De vaststelling van de identiteit van de aanvrager aan de hand van bovengenoemde bewijsstukken dient te geschieden in aanwezigheid van de aanvrager in persoon of met gebruikmaking van middelen die eenzelfde mate van bewijskracht opleveren als in geval van verschijning in persoon. Dergelijk bewijsmateriaal betreft documentatie die verkregen is als gevolg van een aanvraag die verschijning in persoon voorschrijft.29 Indien de certificaathouder een natuurlijke persoon is van wie de identiteit is vastgesteld in samenhang met een rechtspersoon of (overheids)instelling, dient bewijs te worden overlegd van: -

-

volledige naam (met inbegrip van achternaam en voorna(a)m(en); geboortedatum en -plaats, een nationaal erkend registratienummer, of andere eigenschappen die kunnen worden gebruikt om, voor zover mogelijk, de persoon van andere personen met dezelfde naam te kunnen onderscheiden. volledige naam en wettelijke status van de bijbehorende rechtspersoon of overheidsinstelling; relevante, bestaande registratie-informatie (bijv. bedrijfsregistratie) van de bijbehorende rechtspersoon of overheidsinstelling; bewijs dat de aanvrager is verbonden aan de rechtspersoon of overheidsinstelling.

3.2

Routinematige sleutel herverstrekking

-

In het geval de sleutelparen vernieuwd moeten worden voor het verlopen van de geldigheidsduur van een certificaat kan na een daartoe strekkend verzoek van de certificaathouder of abonnee een nieuw sleutelpaar worden gegenereerd. Dit verzoek bevat in ieder geval gegevens die overeen dienen te komen met de oorspronkelijke aanvraaggegevens. Alleen in het geval dat de gegevens overeenkomen wordt een nieuw sleutelpaar gegenereerd. In alle andere gevallen worden gegevens overlegd conform de procedure voor de aanvraag van een certificaat gehanteerd als beschreven in paragraaf 3.1.9. 29

ETSI TS 101 456, v 1.2.1., april 2002, § 7.3.1 sub c.

27

Het vernieuwen van certificaten wordt altijd vooraf gegaan door een controle of aan alle eisen, die onder 3.1 zijn gesteld, voldaan is.

3.3

Vernieuwing van sleutels na intrekking van het certificaat

Gemnet certificeert bestaande sleutels niet na intrekking van het certificaat.

3.4

Verzoeken tot intrekking

Alle bevoegd gedane verzoeken tot intrekking worden door Gemnet in behandeling genomen.

28

4

Operationele voorwaarden en vereisten

4.1

Certificaataanvraag

1.

De aanvrager dient een certificaataanvraag in te vullen en dient zich te identificeren conform het in de paragrafen 3.1.8 en 3.1.9 gestelde, of het in de toepasselijke CP bepaalde. Gemnet of de LRA brengt alvorens een contractuele verbintenis aan te gaan met een persoon die een certificaat ter ondersteuning van zijn elektronische handtekening wenst, deze met behulp van een duurzaam communicatiemiddel op de hoogte van de exacte voorwaarden voor het gebruik van het certificaat, met inbegrip van eventuele beperkingen inzake dit gebruik, het bestaan van een vrijwillige certificering en de procedures voor geschillenbeslechting. Deze informatie wordt schriftelijk en in gemakkelijk te begrijpen taal opgesteld en kan eventueel langs elektronische weg worden toegezonden.30 De voor de uitgifte van een certificaat noodzakelijke gegevens worden aan Gemnet verstrekt tijdens de registratie procedure. Deze gegevens worden alleen verzameld voor de voor certificatiedienstverlening noodzakelijke doeleinden. Voor het overige zijn de bepalingen van paragraaf 2.1.2. van toepassing. Gemnet legt gedurende 7 jaar elektronisch of op andere wijze de relevante informatie met betrekking tot certificaatuitgifte vast, met name om ten behoeve van gerechtelijke procedures de certificatie te kunnen bewijzen. Gemnet verwerkt alleen persoonsgegevens die van de betrokkene zelf of met diens uitdrukkelijke toestemming zijn verkregen, voor zover de verwerking van deze persoonsgegevens voor de afgifte en het beheer van het certificaat is vereist.31 Gemnet verwerkt alleen persoonsgegevens die van de betrokkene zelf of met diens ondubbelzinnige toestemming zijn verkregen, voor zover de verwerking van deze persoonsgegevens voor de afgifte en het beheer van het certificaat is vereist.

2.

3.

4.

5.

6.

4.2

Uitgifte van certificaten

1.

Nadat een aanvrager een certificaataanvraag heeft ingediend en gecontroleerd is of aan de eisen uit paragraaf 3.1 is voldaan wordt een certificaataanvraag goedgekeurd. Indien niet voldaan is aan de eisen wordt de certificaataanvraag afgekeurd Na goedkeuring wordt een certificaat gegeneerd en uitgegeven. Gemnet bepaalt de datum en tijdstip van uitgifte van certificaten. Gemnet draagt er zorg voor dat deze precies kunnen worden vastgesteld.32 In het geval van bewijsvoering geldt het door Gemnet bepaalde tijdstip als het tijdstip van uitgifte. Indien de voor de verstrekking van een certificaat benodigde gegevens en / of bewijsstukken niet worden verstrekt behoudt Gemnet zich het recht voor niet over te gaan tot uitgifte van een certificaat.

2. 3. 4. 5.

4.3

Acceptatie van certificaten

1.

Nadat het certificaat gegenereerd is stelt Gemnet de aanvrager hiervan op de hoogte en vermeldt aan de aanvrager de wijze waarop deze zijn certificaat uitgereikt zal krijgen.

30

Richtlijn EH Bijlage II onder k. Zie Wet elektronische handtekeningen. 32 Richtlijn EH Bijlage II onder c. 31

29

2.

Het certificaat wordt aan de aanvrager geacht te zijn uitgereikt als deze het certificaat heeft ontvangen.

4.4

Intrekking van certificaten

1.

4.

Gemnet zorgt er voor dat datum en tijdstip van intrekking van certificaten precies kunnen worden vastgesteld. In het geval Gemnet aansprakelijk wordt gesteld als is omschreven in paragraaf 2.2 geldt het door Gemnet vastgestelde tijdstip als het tijdstip van intrekking. Gemnet kan niet aansprakelijk worden gesteld voor schade aan diensten of natuurlijke of rechtspersonen die is ontstaan doordat zij op de geldigheid van het certificaat vertrouwen nadat het is ingetrokken. Voor het overige is paragraaf 2.2 van toepassing. Als een certificaat is ingetrokken kan het niet opnieuw geldig worden verklaard.

4.4.1

Omstandigheden die leiden tot intrekking

1.

De volgende redenen zijn dwingend aanleiding om een verzoek om intrekking van het certificaat in te dienen: verlies; diefstal; wijziging; niet toegestane openbaarmaking van de geheime sleutel behorend bij het sleutelpaar van de certificaathouder. Intrekking kan worden verzocht in het door Gemnet vast te stellen geval van certificaatgebruik buiten de in dit CPS aangegeven grenzen, buiten de beperkingen zoals aangegeven bij het sluiten van de certificaatovereenkomst, buiten de beperkingen zoals op het certificaat vermeld of overige gevallen waarin naar het oordeel van Gemnet sprake is van oneigenlijk certificaatgebruik waardoor in redelijkheid niet meer kan worden vertrouwd op het certificaat. Intrekking kan worden verzocht in die gevallen waarbij een dienst of natuurlijke of rechtspersoon niet meer kan worden geacht te kunnen voldoen aan de uit dit CPS of overige overeenkomsten voortvloeiende verplichtingen, zulks naar het oordeel van Gemnet. Redenen voor intrekking van het certificaat zijn verder de wijziging van de in het certificaat vermelde gegevens met betrekking tot naam, adres, woonplaats, e-mailadres en mogelijk andere wijzigingen in de voor de betrouwbaarheid van het certificaat noodzakelijke gegevens, bijvoorbeeld de beëindiging van het dienstverband of overlijden van de certificaathouder. De genoemde redenen tot intrekking kunnen slechts leiden tot uitgifte van een nieuw certificaat als daar bij de opgave van de wijzigingen om wordt gevraagd. Deze uitgifte geldt als een nieuwe uitgifte als bedoeld in paragraaf 4.1 en 4.2. Certificaten kunnen ook worden ingetrokken als maatregel om een calamiteit te voorkomen, c.q. te bestrijden. Als calamiteit wordt zeker de aantasting of vermeende aantasting van de private sleutel van de CSP, waarmee certificaten worden ondertekend, beschouwd. Certificaten kunnen door Gemnet worden ingetrokken indien de certificaathouder zich niet houdt aan de bepalingen opgenomen in de “Certificaathouder Overeenkomst” of aan de verplichtingen opgenomen in paragraaf 2.1.4 van dit CPS.

2. 3.

2.

3.

4.

5.

6.

7.

4.4.2

Wie mag een verzoek tot intrekking doen?

1.

De CA verzorgt de daadwerkelijke intrekking alleen na een daartoe strekkend verzoek van de CA, de RA, de LRA, de certificaathouder of het van toepassing zijnde, erkende register.

30

2.

3. 4. 5. 6.

De CA verzorgt de daadwerkelijke intrekking alleen na een daartoe strekkend verzoek van de partij die een verzoek tot intrekking mag doen. De partijen die een dergelijk verzoek mogen doen staan opgenomen in de CP. Een weigering tot intrekking na een opdracht tot intrekking kan alleen plaatsvinden op grond van zwaarwegende redenen. De reden(en) voor (weigering van) intrekking wordt vastgelegd. De LRA kan alleen verzoeken tot intrekking doen met betrekking tot de via haar aangevraagde certificaten. Gemnet mag een verzoek tot intrekking doen als gerede twijfel is ontstaan ten aanzien van de betrouwbaarheid van een private sleutel. De beweegreden voor elke intrekking geïnitieerd door Gemnet, wordt gedocumenteerd, gearchiveerd en getekend door ten minste één daartoe bevoegde medewerker.

4.4.3

Procedure voor een verzoek tot intrekking

1. 2. 3.

Gemnet draagt zorg voor een prompte en veilige intrekking na een verzoek tot intrekking van de in paragraaf 4.4.2 genoemde personen of organisaties. Het verzoek tot intrekking kan schriftelijk, elektronisch of mondeling geschieden. Na een mondeling verzoek tot intrekking volgt zo spoedig mogelijk, maar in ieder geval binnen 24 uur na dit verzoek een schriftelijke of elektronische bevestiging van een daartoe bevoegde persoon of organisatie.

4.4.4

Intrekkingsverzoek respijt periode

Na de ontvangst van het intrekkingsverzoek zal Gemnet zo snel mogelijk de procedure voor een verzoek tot intrekking doorlopen. 4.4.5

Omstandigheden die leiden tot schorsing

Niet van toepassing. 4.4.6

Vereisten m.b.t. checken van CRL

1. 2. 3.

Vertrouwende partijen zijn verplicht de certificaat status te controleren. De status van certificaten kan via de CRL, of via OCSP worden gecontroleerd. Ingetrokken certificaten blijven minimaal op de CRL staan totdat de geldigheidsdatum van het certificaat is gepasseerd. De samenstelling van de CRL in de loop der tijd (CRL historie) wordt door Gemnet gearchiveerd. Dit archief is alleen toegankelijk voor door Gemnet geautoriseerde natuurlijke of rechtspersonen.

4.4.7

Beschikbaarheid van de mogelijkheid online intrekking/status te checken

1.

Gemnet behoudt zich het recht voor de CRL te gebruiken voor het aanbieden van een centrale validatiefunctionaliteit. Dat houdt in dat de CRL toegankelijk is voor vertrouwende partijen. De certificaatstatus is via OCSP opvraagbaar, zowel voor Gemnet, als voor vertrouwende partijen. Gedurende de aanvraag- en identificatieprocedure verlenen certificaathouders de noodzakelijke toestemming voor deze centrale validatiefunctionaliteit. Zonder deze toestemming worden gegevens niet openbaar gemaakt.

2. 3.

31

4.4.8

Limiet aan schorsingsperiode

Geen bepalingen. 4.4.9

Frequentie CRL aanpassing

De maximale vertraging tussen de ontvangst van een intrekkingsverzoek door Gemnet en de verandering van de revocatie status informatie die voor alle vertrouwende partijen beschikbaar is, is 24 uur. De maximale vertraging tussen de ontvangst van een intrekkingsverzoek door Gemnet en de verandering van de revocatie status informatie die voor alle vertrouwende partijen beschikbaar is, is 4 uur.

4.5

Security Audit Procedures

4.5.1

Vastlegging van gebeurtenissen

Gemnet houdt voor audit-doeleinden overzichten bij van het aanmaken van accounts, installatie van nieuwe software of software updates, datum en tijd en andere beschrijvende informatie betreffende back-ups, afsluiten en (her-)starten van het systeem, datum en tijd van alle hardware wijzigingen, datum en tijd van audit-log dumps. Gemnet houdt de volgende gebeurtenissen handmatig of automatisch bij: levenscyclus gebeurtenissen ten aanzien van de CA sleutel, waaronder: het genereren van sleutels, backup, opslag, herstel, archivering en vernietiging; levenscyclus gebeurtenissen ten aanzien van de cryptografische apparatuur. levenscyclus gebeurtenissen ten aanzien van het beheer van het certificaat van de CA en abonnee, waaronder: certificaataanvragen, heruitgifte en intrekking; geslaagde of niet-geslaagde verwerking van aanvragen; het genereren en het uitgeven van certificaten en CRL’s. beveiliging gerelateerde gebeurtenissen, waaronder: geslaagde en niet-geslaagde pogingen om toegang tot het systeem te verkrijgen PKI en beveiligingsactiviteiten ondernomen door personeel; het lezen, schrijven of verwijderen van beveiligingsgevoelige bestanden of records; veranderingen in het beveiligingsprofiel; systeem crashes, hardware uitval, en andere onregelmatigheden; firewall en router activiteiten ; bezoek van personen aan de CA faciliteit. De onderdelen van de logs bevatten de volgende elementen: datum en tijd; volgnummer; identiteit invoerder; soort. De log van de RA ten aanzien van de certificaataanvraag bevat informatie, waaronder: 32

-

soort identiteitsdocument dat door aanvrager is getoond; record met uniek identificerende data , nummers of een combinatie daarvan (bijvoorbeeld het paspoortnummer) van identiteitsdocumenten, indien van toepassing; opslaglocatie van kopieën van aanvragen en identiteitsdocumenten; identiteit van de entiteit die de aanvraag heeft goedgekeurd; gebruikte methode om identiteitsdocumenten te valideren, indien gebruikt; naam van de ontvangende CA of verzoekende RA, indien van toepassing. gebeurtenissen met betrekking tot de voorbereiding van smartcards.

4.5.2

Bewaartermijn audit-log

De geconsolideerde audit-logs worden voor een periode van tenminste zeven jaar bewaard.

4.5.3

Audit-log back-up procedure

Geen bepalingen.

4.6

Archivering van documenten

Gemnet bewaart alle relevante documentatie en informatie in ieder geval gedurende een periode van zeven jaar. Gemnet zorgt daarnaast voor de leesbaarheid en toegankelijkheid van de informatie. Alle noodzakelijke apparatuur en software voor het ontsluiten van de informatie wordt gedurende dezelfde periode wordt bewaard. Gemnet zorgt voor een zorgvuldige en beveiligde wijze van opslag en archivering.

4.7

Wijziging sleutel

Gemnet licht bij het verlopen van een certificaat de gebruiker minimaal twee maanden van tevoren in. Gemnet laat een dergelijke wijziging van sleutels vooraf gaan door een controle of aan de eisen, die in paragraaf 3.1 zijn gesteld, is voldaan.

4.8

Compromittering en calamiteit herstel

Gemnet heeft procedures geïmplementeerd om in geval van een calamiteit de gevolgen hiervan te minimaliseren. Gemnet kan bij eventuele compromittering van sleutels of in geval van calamiteiten een onderzoek instellen, maar is hiertoe niet verplicht. Compromittering van de private sleutel van Gemnet wordt beschouwd als een calamiteit. Gemnet stelt vertrouwende partijen zo spoedig mogelijk op de hoogte van de compromittering van de private sleutel van Gemnet door de informatie te publiceren op www.gemnetcsp.nl. Gemnet zal redelijke inspanningen verrichten om abonnees en certificaathouders op de hoogte te stellen van de compromittering van de private sleutel van Gemnet. Daartoe zal zij aan certificaathouders een e-mailbericht sturen naar het door hen opgegeven e-mailadres.

33

4.9

CSP beëindiging

In het geval dat Gemnet de certificatiedienstverlening beëindigt zullen certificaathouders en abonees tenminste 3 maanden van tevoren worden ingelicht. Gemnet is gehouden maatregelen te nemen om mogelijke schade voor betrokken partijen die in redelijkheid vertrouwen op het certificaat te beperken. Gemnet zorgt er voor dat het bewijs van certificatie nodig om bewijs te kunnen leveren in een rechtsgang blijft bestaan. Gemnet zorgt ervoor dat mogelijke verstoringen voor eindgebruikers als gevolg van de beëindiging van de CSP minimaal blijven. In geval Gemnet haar diensten beëindigt zal Gemnet: -

-

alle eindgebruikers en eventuele andere CSP's waarmee overeenkomsten of andere vormen van reguliere samenwerking bestaan, informeren; dient alle autorisaties te beëindigen van onderaannemers die namens Gemnet werkzaam zijn in het proces van het uitgeven van certificaten; het nodige te ondernemen om verplichtingen over te dragen voor het handhaven van registratie-informatie en de gearchiveerde logbestanden gedurende de periode, zoals aangegeven aan eindgebruikers; de private sleutels van Gemnet vernietigen of buiten gebruik stellen.

34

5

Fysieke, Procedurele en Personele Beveiligings Middelen

Gemnet maakt gebruik van betrouwbare systemen en producten, die beschermd zijn tegen wijziging. Gemnet garandeert door de volgende maatregelen de technische en cryptografische veiligheid van de gebruikte processen. Deze processen worden door onafhankelijke auditors gecontroleerd.

5.1

Fysieke en omgevings beveiliging

Gemnet heeft een deel van de operationele dienstverlening aan Getronics uitbesteed. Getronics maakt hiervoor gebruik van haar infrastructuur in Apeldoorn. Procedures die door Getronics worden uitgevoerd worden geaudit door externe auditors. De dienstverlening omvat in ieder geval de volgende maatregelen: 5.1.1

Fysieke Beveiligingsmiddelen.

1. Fysieke beveilingsmaatregelen zijn getroffen ten aanzien van de locatie en de constructie van gebouwen van waaruit de dienstverlening plaats vindt. 2. Er vindt een toegangscontrole voor personeel plaats, die daarnaast wordt gelogd. 3. Bij stroomuitval kan er gebruik worden gemaakt van eigen stroomvoorziening. Daarnaast is er continue luchtbeheersing teneinde de veiligheid en betrouwbaarheid te garanderen. 4. In de nabijheid van het dienstverleningscentrum vindt geen waterwinning of wateropslag plaats. Het dienstencentrum heeft een eigen waterbeheersingssysteem en waterafvoersysteem in geval van overstroming. 5. Ten behoeve van brandpreventie, brandmelding en brandbestrijding zijn voorzorgsmaatregelen en beheersingsmaatregelen getroffen. 6. Voor de opslag en het bewaren van data en de gegevensdragers wordt gebruik gemaakt van adequate beveiligingsprocedures. 7. Ten aanzien van het verwerken en afvoeren van afval draagt Gemnet zorg voor onafhankelijke voorzieningen die zijn gescheiden van de normale verwerkingsprocedures. Daarnaast geldt voor het afvoeren en vernietigen van gegevensdragers een speciale beveiligingsprocedure. 8. Getronics zorgt in opdracht van Gemnet voor de afgescheiden reserveopslag van gegevensdragers.

5.2

Procedurele beveiligings middelen

Gemnet draagt zorg voor procedurele beveiligingsmiddelen door de toepassing van procedures die zijn gebaseerd op ITIL beheersingsprocessen. Deze hebben betrekking op de volgende deelgebieden: dienstenbeheer, beschikbaarheidsbeheer, capaciteitsbeheer, helpdeskbeheer, incidentbeheer, probleembeheer, wijzigingsbeheer, beveiligingsbeheer, configuratiebeheer, operationeel beheer en calamiteitenbeheer.

5.3

Personele beveiligingsmiddelen

Personeel in dienst van Gemnet en door Gemnet ingeschakelde toeleveranciers beschikken over de benodigde kennis, ervaring en kwalificaties die noodzakelijk zijn voor de aangeboden diensten, met name de competentie op het gebied van beheer. Personeel in dienst van Gemnet beschikt tevens over expertise inzake technologie voor elektronische handtekeningen, en is bekend met goede beveiligingsprocedures.

35

Het personeel in dienst van Gemnet past adequate procedures en processen op het gebied van administratie en beheer toe, die voldoen aan erkende normen. Gemnet zorgt er voor dat alleen bevoegde personen gegevens kunnen invoeren en wijzigen.

36

6

Technische beveiligingsmiddelen

6.1

Genereren van sleutelparen en installatie

Bij het genereren van sleutelparen maakt Gemnet gebruik van veilige middelen en betrouwbare systemen. 33 Gemnet zorgt er voor dat de betrouwbaarheid en de veiligheid van de systemen in ieder geval voldoen aan internationaal erkende standaards. Het genereren van de sleutels geschiedt in een middel dat tenminste voldoet aan FIPS 140-1 level 2. Het genereren van de sleutels geschiedt in een middel dat ofwel: voldoet aan de eisen zoals beschreven in FIPS 140-2 level 3 of hoger; of een betrouwbaar systeem is dat voldoet aan EAL 4+ of hoger in overeenstemming met ISO 15408, zie Cryptographic module for CSP Signing Operations, of gelijkwaardige beveiligingscriteria.

CA Gemnet genereert sleutelparen in een beveiligde omgeving met gebruikmaking van betrouwbare middelen. Gemnet staat in voor de correcte werking van twee bij elkaar horende sleutels (publieke en private sleutel). Gebruiker De certificaten worden in een smartcard gegenereerd. Op de smartcard kunnen meerdere certificaten worden opgeslagen. 6.1.1

Genereren van sleutelparen

Bij het genereren van sleutelparen maakt Gemnet gebruik van betrouwbare procedures in een beveiligde omgeving, die voldoet aan objectieve en internationaal erkende standaards. 6.1.2

Overdracht van private sleutel aan eindgebruiker

Na het genereren van de certificaten in de smartcard wordt de smartcard door middel van een commercieel postbedrijf aan de certificaathouder of LRA geleverd. De benodigde PIN-code voor de smartcard wordt gescheiden verstrekt.

6.1.3

Beschikbaarheid publieke sleutels

Gemnet stelt publieke sleutels op een beveiligde en betrouwbare wijze aan vertrouwende partijen ter beschikking.

33

Als bedoeld in bijlage III van de Richtlijn EH.

37

6.1.4

Overdracht van de publieke sleutel van CSP aan eindgebruikers

De publieke sleutel van Gemnet wordt aan vertrouwende partijen beschikbaar gesteld op een wijze die de integriteit van de publieke sleutel van de Gemnet waarborgt en de herkomst ervan aantoont. De publieke sleutel kan gedownload worden op www.gemnetcsp.nl. 6.1.5

Sleutellengtes

CA De sleutellengte van de CA is minstens 1024 bits RSA. De sleutellengte van CA-certificaten van na 12 augustus 2010 is minstens 2048 bits RSA. RA De sleutellengte van de RA is minstens 1024 bits RSA. De sleutellengte van RA-certificaten van na 12 augustus 2010 is minstens 2048 bits RSA. Eindgebruiker De sleutellengte van de eindgebruiker is minstens 1024 bits RSA. De sleutellengte van certificaten van na 12 augustus 2010 is minstens 2048 bits RSA. 6.1.6

Genereren van publieke sleutel parameters

Geen bepalingen. 6.1.7

Kwaliteits check parameters

Geen bepalingen. 6.1.8

Genereren van sleutels in hardware/software

Gemnet genereert sleutels in hardware (smartcard). 6.1.9

Doeleinden sleutel gebruik (volgens het X.509 v3 key usage veld)

De publieke sleutels behorende bij Gemnet certificaten zijn uitsluitend bedoeld voor de doeleinden die beschreven zijn in paragraaf 1.3.4 en zijn opgenomen in (de extensies van) het certificaat.

6.2

Bescherming van de private sleutel

6.2.1

Standaarden voor cryptografische module

Voor operationeel gebruik worden de cryptografische gegevens opgeslagen in een host security module (HSM). De HSM voldoet aan de eisen zoals beschreven FIPS 140-2 niveau 3 of hoger.

38

6.2.2

Multi-persoons (n uit m) controle op private sleutel

De private sleutel van Gemnet is niet in één stuk leesbaar. 6.2.3

Private sleutel escrow

Er vindt geen escrow van de private sleutels plaats. 6.2.4

Backup private sleutel

Er wordt een backup gemaakt van de private sleutel(s) van Gemnet. De backup wordt in versleutelde vorm in cryptografische modules en bijbehorende opslagapparatuur bewaard. Van de private sleutels van eindgebruikers wordt geen backup gemaakt. 6.2.5

Private sleutel archivering

Geen bepalingen. 6.2.6

Toegang tot private sleutels in cryptografische module

Voor de private sleutels van Gemnet die zijn opgeslagen in een cryptografische hardwaremodule wordt toegangsbeveiliging gebruikt die zeker stelt dat de sleutels niet buiten de hardwaremodule worden gebruikt. 6.2.7

Activering van de private sleutels

1. Slechts door middel van een sleutel ceremonie en de daarvoor noodzakelijk aanwezige functionarissen worden de private sleutels van Gemnet geactiveerd. Gemnet zorgt voor een zorgvuldige procedure in een beveiligde omgeving. 2. In de gevallen door Gemnet te bepalen kan de private sleutel worden gedeactiveerd met inachtneming van dezelfde zorgvuldigheidsprocedures als onder lid 1 genoemd. 3. In gevallen door Gemnet te bepalen kan de private sleutel worden vernietigd met inachtneming van zorgvuldige procedures in een beveiligde omgeving die in overeenstemming zijn met het te bereiken doel. Gemnet draagt er in ieder geval zorg voor dat de nog geldige private sleutels definitief worden vernietigd. 6.2.8

Deactivering van de private sleutels

Zie paragraaf 6.2.7.

39

6.2.9

Methode voor het vernietigen van de private sleutels

De private sleutels waarmee certificaten worden ondertekend kunnen na het einde van hun levenscyclus niet meer worden gebruikt. Gemnet zorgt voor een adequate vernietiging waarbij wordt voorkomen dat het mogelijk is de vernietigde sleutels te herleiden uit de restanten.

6.3

Andere aspecten van sleutelpaar management

Alle aspecten van het sleutelmanagement worden door Gemnet uitgevoerd door toepassing van zorgvuldige procedures die in overeenstemming zijn met het beoogde doel. 6.3.1

Archiveren van publieke sleutels

Publieke sleutels worden gearchiveerd door Gemnet. 6.3.2

Gebruiksduur voor de publieke en private sleutels

Voor het CA sleutelpaar en certificaat wordt een geldigheidsduur van maximaal 10 jaar gehanteerd. Voor het CA sleutelpaar en certificaat wordt een geldigheidsduur van maximaal 6 jaar gehanteerd. Voor het sleutelpaar van de eindgebruiker en het certificaat wordt een maximale geldigheidsduur van 3 jaar na de uitgiftedatum gehanteerd.

6.4

Activeringsgegevens

6.4.1

Genereren en installeren van activeringsgegevens

Als er activeringsgegevens zijn verbonden aan het gebruik van een smartcard (bijvoorbeeld een PINcode), dan worden deze op veilige wijze voorbereid en gedistribueerd (gescheiden van de smartcard).

40

ERROR: syntaxerror OFFENDING COMMAND: --nostringval-STACK: