Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra (HR-MTT)

NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.

Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra (HR-MTT)

Verziószám

1.2

OID szám

0.2.216.1.200.1100.100.42.3.1.1.1.2

Hatósági azonosító jel

NI-14020702-HR

Hatályba lépés dátuma

2014.03.15.

Hatósági nyilvántartásba vétel száma

EF/50690-12/2013

Dokumentum besorolása

Publikus

© Copyright NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. – Minden jog fenntartva

Változáskövetés Verzió

Dátum

A változás leírása

1.0

2013.08.01

Első változat

1.1

2013.09.02.

Audit észrevételei alapján módosított változat

1.2

2014.02.07.

Hatóság észrevételei alapján módosított változat

Készítette

Ellenőrizte

Jóváhagyta

Pándi Boglárka

Kővári Ferenc

Ferencz Attila

Kővári Ferenc

Bódi Antal

Ferencz Attila

Kővári Ferenc

dr. Sandl Judit

Ferencz Attila

Kővári Ferenc

NISZ Zrt. Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra v1.2

2/40

TARTALOMJEGYZÉK 1.

2.

Bevezetés ___________________________________________________________________________ 7 1.1.

Szolgáltató adatai _______________________________________________________________ 7

1.2.

Áttekintés ______________________________________________________________________ 7

1.2.1.

A hitelesítési rend célja ____________________________________________________________ 7

1.2.2.

Jogszabályok, szabványok _________________________________________________________ 7

1.3.

Hitelesítési rend azonosítása ______________________________________________________ 8

1.4.

Felhasználói közösség, alkalmazhatóság ____________________________________________ 9

1.4.1.

A Szolgáltató regisztrációs szervezete ________________________________________________ 9

1.4.2.

A Szolgáltató hitelesítő szervezete ___________________________________________________ 9

1.4.3.

Hitelesítési Rend és Szabályozási Csoport _____________________________________________ 9

1.4.4.

Előfizetők és Aláírók (Felhasználók) __________________________________________________ 9

1.4.5.

Érintett felek _____________________________________________________________________ 9

1.4.6.

Alkalmazhatóság ________________________________________________________________ 10

1.5.

Tanúsítvány típusok és tanúsítvány fajták __________________________________________ 10

1.5.1.

Minősített tanúsítványok általános jellemzői ___________________________________________ 10

1.5.2.

Nyilvános körben kibocsátott és biztonságos aláírás-létrehozó eszköz alkalmazását nem megkövetelő minősített tanúsítvány (MTT) ____________________________________________ 11

1.5.3.

Nyilvános körben kibocsátott és biztonságos aláírás-létrehozó eszköz alkalmazását megkövetelő minősített tanúsítvány (MTT+BALE) _________________________________________________ 11

1.5.4.

Tanúsítványok fajták és használati jellemzői ___________________________________________ 11

Általános rendelkezések ______________________________________________________________ 12 2.1.

Feladatok és hatáskörök _________________________________________________________ 12

2.1.1.

A Szolgáltató feladatai és hatásköre _________________________________________________ 12

2.1.2.

Az Előfizető és az Aláíró feladata és jogköre ___________________________________________ 14

2.1.3.

Érintett félre vonatkozó ajánlások ___________________________________________________ 15

2.2.

Felelősségek __________________________________________________________________ 16

2.2.1.

A Szolgáltató felelőssége__________________________________________________________ 16

2.2.2.

Az Előfizető és az Aláíró felelőssége _________________________________________________ 16

2.2.3.

Érintett fél felelőssége ____________________________________________________________ 17

2.3.

Az anyagi felelősség mértéke _____________________________________________________ 17

2.4.

Értelmezés és alkalmazás ________________________________________________________ 17

2.4.1.

Irányadó jog ____________________________________________________________________ 17

2.4.2.

Hatályosság, megszűnés, értesítések ________________________________________________ 17

2.4.3.

Vitás kérdések kezelése __________________________________________________________ 18

2.5.

Díjak _________________________________________________________________________ 18

2.6.

Közzététel _____________________________________________________________________ 18

2.6.1.

Szolgáltatói információk közzététele _________________________________________________ 18

2.6.2.

A közzététel gyakorisága __________________________________________________________ 18

2.6.3.

Elérési szabályok ________________________________________________________________ 18

2.6.4.

Tanúsítványtár és tanúsítvány visszavonási lista________________________________________ 18

2.7.

A megfelelőség vizsgálata _______________________________________________________ 19

2.7.1.

Vizsgálatok gyakorisága __________________________________________________________ 19


3/40

3.

4.

2.7.2.

Az átvizsgáló szervezet jellemzői____________________________________________________ 19

2.7.3.

Hiányosságok kezelése ___________________________________________________________ 19

2.7.4.

Eredmény kommunikációja ________________________________________________________ 19

2.8.

Bizalmasság – Adatkezelési elvek _________________________________________________ 19

2.8.1.

Bizalmas információk _____________________________________________________________ 20

2.8.2.

Nem bizalmas információk _________________________________________________________ 20

2.8.3.

Tanúsítvány visszavonási és felfüggesztési okok felfedése _______________________________ 20

2.8.4.

Feltárás törvényi meghatalmazással rendelkezők részére ________________________________ 20

2.8.5.

Információszolgáltatás polgári eljárás keretében ________________________________________ 20

2.8.6.

Feltárás tulajdonos kérésére _______________________________________________________ 20

2.8.7.

Feltárás más esetekben ___________________________________________________________ 20

2.9.

Szellemi tulajdonhoz fűződő jogok ________________________________________________ 20

Azonosítás és hitelesítés _____________________________________________________________ 22 3.1.

Regisztráció ___________________________________________________________________ 22

3.1.1.

Nevek típusa. Álnevek használata. __________________________________________________ 22

3.1.2.

Nevek szemantikája ______________________________________________________________ 22

3.1.3.

Nevek egyedisége _______________________________________________________________ 22

3.1.4.

Név igénylési viták feloldása _______________________________________________________ 22

3.1.5.

Védjegyek elismerésének és hitelesítésének módszere __________________________________ 22

3.1.6.

Az aláírás-létrehozó adat birtoklás ellenőrzésének módszere ______________________________ 23

3.1.7.

Személyazonosság megállapítása___________________________________________________ 23

3.1.8.

Szervezeti azonosság és hovatartozás megállapítása ___________________________________ 23

3.1.9.

Eszköz azonosság megállapítása ___________________________________________________ 23

A tanúsítvány-életciklusra vonatkozó követelmények ______________________________________ 24 4.1.

Tanúsítványigénylés ____________________________________________________________ 24

4.2.

A tanúsítvány kérelem feldolgozása _______________________________________________ 24

4.2.1.

Azonosítási funkciók megvalósítása _________________________________________________ 24

4.2.2.

A tanúsítványigénylés jóváhagyása vagy visszautasítása _________________________________ 24

4.2.3.

A tanúsítványigénylések feldolgozásának időtartama ____________________________________ 24

4.3.

Tanúsítvány kibocsátás _________________________________________________________ 24

4.4.

Tanúsítvány elfogadás __________________________________________________________ 24

4.4.1.

Tanúsítvány közzététele a hitelesítés-szolgáltató által ___________________________________ 25

4.4.2.

A további szereplők értesítése a tanúsítvány kibocsátásáról _______________________________ 25

4.5.

Kulcspár és tanúsítvány használat ________________________________________________ 25

4.5.1.

Az alany magánkulcs- és tanúsítvány használata _______________________________________ 25

4.5.2.

Az Érintett felek nyilvános kulcs- és tanúsítvány használata _______________________________ 25

4.6.

Tanúsítványok érvényessége, megújítása __________________________________________ 25

4.6.1.

A tanúsítványok érvényessége _____________________________________________________ 25

4.6.2.

A tanúsítványok megújítása ________________________________________________________ 25

4.6.3.

Érvénytelen tanúsítványok megőrzése _______________________________________________ 26

4.7.

Kulcscsere ____________________________________________________________________ 26

4.8.

Tanúsítvány-módosítás __________________________________________________________ 26

4.9.

Tanúsítvány visszavonás és felfüggesztés __________________________________________ 26


4/40

4.9.1.

Visszavonáshoz/felfüggesztéshez vezető körülmények __________________________________ 26

4.9.2.

Visszavonás kérelmezése _________________________________________________________ 26

4.9.3.

Visszavonási kérelemre vonatkozó eljárás ____________________________________________ 26

4.9.4.

A felfüggesztési kérelemre vonatkozó eljárás __________________________________________ 27

4.9.5.

Kivárási idő visszavonási/felfüggesztési kérelem esetén __________________________________ 27

4.9.6.

A Szolgáltatót és az Előfizetőt érintő felelősségi szabályok ________________________________ 27

4.9.7.

Felfüggesztett állapotra vonatkozó korlátozások, újraérvényesítés __________________________ 28

4.9.8.

A visszavonási információ ellenőrzése az érintett felek részéről ____________________________ 28

4.9.9.

Visszavonási lista (CRL) és kibocsátásának gyakorisága _________________________________ 28

4.9.10. A visszavonási lista előállítása és közzététele közötti leghosszabb idő_______________________ 28 4.9.11. A visszavonási listák ellenőrzése ____________________________________________________ 28 4.9.12. Visszavonási állapot közlés más formái_______________________________________________ 28 4.9.13. Intézkedések magánkulcs kompromittálódás esetén _____________________________________ 28

5.

4.10.

Kulcsletét _____________________________________________________________________ 29

4.11.

OCSP szolgáltatás ______________________________________________________________ 29

Fizikai, eljárásrendi, és személyi biztonsági szabályozások _________________________________ 30 5.1.

Fizikai biztonsági szabályozások __________________________________________________ 30

5.1.1.

Hitelesítő Központok _____________________________________________________________ 30

5.1.2.

Regisztrációs Iroda ______________________________________________________________ 30

5.2.

Eljárásrendi szabályozások ______________________________________________________ 30

5.3.

Humán szabályozások ___________________________________________________________ 30

5.3.1.

Bizalmi munkakörök ______________________________________________________________ 30

5.3.2.

Az egyes feladatokhoz szükséges személyzeti létszámok ________________________________ 31

5.3.3.

A bizalmi munkakörökben elvárt azonosítás és hitelesítés ________________________________ 31

5.3.4.

Egymást kizáró munkakörök _______________________________________________________ 31

5.3.5.

Személyzetre vonatkozó előírások __________________________________________________ 31

5.3.6.

Képzettségre, gyakorlatra és biztonsági ellenőrzésre vonatkozó követelmények _______________ 31

5.3.7.

Biztonsági háttér ellenőrzésekre vonatkozó eljárások ____________________________________ 32

5.3.8.

Képzési követelmények ___________________________________________________________ 32

5.3.9.

Továbbképzési gyakoriságok és követelmények ________________________________________ 32

5.3.10. A felhatalmazás nélküli tevékenységek büntető következményei ___________________________ 32 5.3.11. A szerződéses alkalmazottakra vonatkozó követelmények ________________________________ 32 6.

Műszaki biztonsági óvintézkedések_____________________________________________________ 33 6.1.

Kriptográfiai kulcspár előállítás és aláírás-létrehozó eszköz megszemélyesítés ___________ 33

6.1.1.

Kulcspár előállítás _______________________________________________________________ 33

6.1.2.

Az aláírás-létrehozó eszköz megszemélyesítése _______________________________________ 33

6.1.3.

Az aláírás-létrehozó adat eljuttatása az Aláíróhoz (Előfizetőhöz) ___________________________ 33

6.1.4.

Az Aláírók aláírás-ellenőrző adatának eljuttatása az érintett felekhez ________________________ 34

6.1.5.

A Szolgáltató aláírás-ellenőrző adatainak eljuttatása a felhasználói közösséghez ______________ 34

6.1.6.

Kulcs méretek, algoritmusok, paraméterek ____________________________________________ 34

6.1.7.

Szolgáltatói kulcsgenerálás ________________________________________________________ 34

6.1.8.

Kulcs felhasználási célok __________________________________________________________ 34

6.2.

Aláírás-létrehozó adat védelme ___________________________________________________ 34


5/40

7.

8.

9.

6.2.1.

A HSM-re vonatkozó szabványok ___________________________________________________ 34

6.2.2.

A több-szereplős (“n-ből m”) magánkulcs visszaállítás ellenőrzése __________________________ 34

6.2.3.

Aláírás-létrehozó adat letét ________________________________________________________ 34

6.2.4.

Aláírás-létrehozó adat mentése, duplikálása ___________________________________________ 34

6.2.5.

Aláírás-létrehozó adat BALE eszközön, kriptográfiai modulban ____________________________ 35

6.2.6.

Aláírás-létrehozó adat aktiválása ____________________________________________________ 35

6.2.7.

Aláírás-létrehozó adat deaktiválása __________________________________________________ 35

6.2.8.

Aláírás-létrehozó adat megsemmisítése ______________________________________________ 35

6.3.

Kulcspár kezelés egyéb aspektusai ________________________________________________ 35

6.3.1.

Aláírás-ellenőrző adat archiválása ___________________________________________________ 35

6.3.2.

Aláírás-létrehozó és aláírás-ellenőrző adatok felhasználási ideje ___________________________ 35

6.4.

Aktiválási adatok _______________________________________________________________ 36

6.4.1.

Aktiválási adatok generálása és installációja ___________________________________________ 36

6.4.2.

Aktiválási adatok védelme _________________________________________________________ 36

6.4.3.

Aktiválási adatok egyéb aspektusai __________________________________________________ 36

6.5.

Számítógép biztonsági szabályok _________________________________________________ 36

6.5.1.

Számítógép biztonság technikai követelményei_________________________________________ 36

6.5.2.

Számítógép biztonsági ellenőrzések _________________________________________________ 36

6.6.

Életciklus technikai szabályok ____________________________________________________ 37

6.6.1.

Rendszerfejlesztési szabályok ______________________________________________________ 37

6.6.2.

Biztonságkezelési szabályok _______________________________________________________ 37

6.6.3.

Életciklus biztonsági értékelések ____________________________________________________ 37

6.6.4.

Minimális szolgáltatás rendkívüli üzemeltetési helyzetben ________________________________ 37

6.6.5.

A rendkívüli üzemeltetési helyzet jelzése______________________________________________ 37

6.7.

Hálózati biztonsági szabályok ____________________________________________________ 37

6.8.

Kriptográfiai (HSM) modul ellenőrzése _____________________________________________ 37

Tanúsítvány, CRL és OCSP profil ______________________________________________________ 38 7.1.

Tanúsítvány profil ______________________________________________________________ 38

7.1.1.

Alap mezők ____________________________________________________________________ 38

7.1.2.

Tanúsítvány kiterjesztések _________________________________________________________ 38

7.2.

Tanúsítvány-visszavonási profil ___________________________________________________ 38

7.3.

OCSP profil ____________________________________________________________________ 38

Hitelesítési Rend adminisztráció _______________________________________________________ 39 8.1.

Változatkezelési eljárások ________________________________________________________ 39

8.1.1.

Változtatási eljárások _____________________________________________________________ 39

8.2.

Közzétételi és tájékoztatási elvek __________________________________________________ 39

8.3.

HR-MTT elfogadási eljárások _____________________________________________________ 39

Hivatkozások _______________________________________________________________________ 40


6/40

1. Bevezetés Jelen dokumentum a NISZ Zrt. (továbbiakban Szolgáltató) hitelesítés-szolgáltatása keretében kibocsátott minősített tanúsítványokra vonatkozó Hitelesítési Rend (továbbiakban HR-MTT). A NISZ Zrt. a minősített tanúsítványokkal kapcsolatosan a 2001. évi XXXV. számú, elektronikus aláírásról szóló törvényben meghatározott szolgáltatások közül a következőket nyújtja: a.

elektronikus aláírás hitelesítés-szolgáltatás (a továbbiakban: hitelesítés-szolgáltatás)

b.

aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése

Jelen Hitelesítési Rend a fenti szolgáltatások (a továbbiakban Szolgáltatások) keretében kibocsátott és az 1.2.1 pontban jelzett minősített tanúsítványok kezelésére (előállítás, kibocsátás, közzététel, megújítás, felfüggesztés, újraérvényesítés, visszavonás) vonatkozó követelményeket, a tanúsítványok tartalmának és érvényességének ellenőrzési eljárásait és a Szolgáltatások működtetésének követelményeit tartalmazza A Szolgáltató a Szolgáltatásait a vele szerződéses viszonyban álló Előfizetők valamint a velük kapcsolatban álló Aláírók részére nyújtja. A Szolgáltató az elektronikus aláírások hitelességét ellenőrző Érintett felek részére bizonyos szolgáltatási elemeket hozzáférhetővé tesz.

1.1.

Szolgáltató adatai

Jelen Hitelesítési Rend szerint kibocsátott minősített tanúsítványokkal kapcsolatos Szolgáltatásokat a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. (Szolgáltató) nyújtja. A Szolgáltató általános adatait, valamint a Szolgáltatásokért illetékes szervezetének (Ügyfélkapcsolati Irodának) az elérhetőségét, nyitva tartását, a Szolgáltatóval való kapcsolattartás módját és az illetékes fogyasztóvédelmi szerv elérhetőségét a NISZ Zrt. „Szolgáltatási Szabályzat a minősített elektronikus aláírással kapcsolatos szolgáltatásokhoz” c. szabályzata (továbbiakban HSZSZ-M) tartalmazza.

1.2.

Áttekintés

1.2.1. A hitelesítési rend célja A hitelesítési rend egy olyan szabálygyűjtemény, mely egy tanúsítványtípus felhasználhatóságát határozza meg egy közös biztonsági követelményekkel rendelkező közösség és/vagy alkalmazás számára, valamint rögzíti azokat a követelményeket, amelyeket a Szolgáltatónak a tanúsítvány kezelés folyamatában teljesítenie kell. Jelen Hitelesítési Rendben (HR-MTT) a követelmények az alábbiakban felsorolt tanúsítványtípusokra vonatkoznak: [MTT]

Nyilvános körben kibocsátott, aláírás létrehozó eszköz használatát nem megkövetelő minősített tanúsítványok

[MTT+BALE]

Nyilvános körben kibocsátott, biztonságos aláírás-létrehozó eszköz alkalmazását megkövetelő minősített tanúsítványok

[NKET]

Nyilvános körben kibocsátott minősített tanúsítványok, melyek a 2004. évi CXL. törvény (KET) és a vonatkozó rendeletei alapján a közigazgatásban nem alkalmazhatók

[KET]

Nyilvános körben kibocsátott minősített tanúsítványok, melyek a 2004. évi CXL. törvény (KET) és a vonatkozó rendeletei a közigazgatásban alkalmazhatóak

Jelen Hitelesítési Rendben (HR-MTT) a különböző tanúsítványtípusokra vonatkozó követelményeket a fent alkalmazott jelölések mutatják. Amennyiben az alkalmazott jelölések nem kerülnek külön feltüntetésre, akkor a követelmények általános szabályként értendők. Ezen tanúsítványtípusok kibocsátására és felhasználására vonatkozó részletes szabályokat a Szolgáltató HSZSZ-M dokumentuma tartalmazza.

1.2.2. Jogszabályok, szabványok A jelen hitelesítési rend a következő jogszabályokat, szabványokat és ajánlásokat veszi figyelembe: 2001. évi XXXV. törvény az elektronikus aláírásról (a továbbiakban: Eat.), 3/2005. (III. 18.) IHM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről


7/40

4/2006. (IV. 19.) IHM rendelet a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással összefüggő nyilvántartással kapcsolatos tevékenységéért fizetendő díjakról 9/2005. (VII. 21.) IHM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról, 45/2005. (III. 11.) Korm. rendelet a Nemzeti Média- és Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól 7/2002 (IV. 26) MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatási szakértő nyilvántartásba vételéről 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól 78/2010. (III.25). Korm. rendelet az elektronikus aláírás közigazgatási használatához kapcsolódó követelményekről és az elektronikus kapcsolattartás egyes szabályairól A hitelesítési rend szerkezetére és tartalmára vonatkozóan: RFC 2527 illetve 3647 (Internet X.509 Nyilvános kulcsú infrastruktúra – tanúsítvány és szolgáltatási szabályzat keretrendszer) A minősített tanúsítványok és visszavonási listák szerkezetére, tartalmára vonatkozóan: International Telecommunication Union X.509 “Információ technológia – Nyílt rendszerek kapcsolódása Könyvtár: Nyilvános kulcs és attribútum tanúsítvány keretrendszer” ajánlás 3-as verziója ETSI TS 101 862 Minősített tanúsítvány profil RFC 2459 illetve RFC 3280 (Internet X.509 Nyilvános kulcsú infrastruktúra – Tanúsítvány és Tanúsítvány visszavonási lista profil) RFC 3739 (Internet X.509 Nyilvános kulcsú infrastruktúra – Minősített tanúsítvány profil) A minősített hitelesítés-szolgáltatókra vonatkozóan: 2/2002. (IV. 26) MeHVM irányelve a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről1, ETSI TS 101 456 (Minősített tanúsítványokat kibocsátó hitelesítés-szolgáltatókra vonatkozó szabályozási követelmények). Az OCSP szolgáltatásra vonatkozóan: IETF RFC 2560 szabvány Az informatikai biztonsági követelményekre vonatkozóan: ITSEC2, CC3, MeHITB 12. ajánlás A kriptográfiai modulra, az aláírás-létrehozó eszközre vonatkozóan: NIST FIPS PUB 140-1 (1994. január 11.) (Kriptográfiai modulok biztonsági követelményei), ITSEC, CC, CEN 14167-2 munkacsoport egyezmény: „Védelmi profil hitelesítés-szolgáltató aláíró műveleteit megvalósító kriptográfiai modulra” (MCSO-PP, HSM-PP), CEN 14167-3 munkacsoport egyezmény: „Védelmi profil hitelesítés-szolgáltató kulcs előállítási szolgáltatásait megvalósító kriptográfiai modulra” (CMCKG-PP, HSM-PP)

1.3.

Hitelesítési rend azonosítása

Jelen dokumentum teles neve: NISZ Zrt.„Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra” A dokumentum rövid neve: HR-MTT. A dokumentum objektum azonosítója és verziószáma a címlapon található. A dokumentum hatósági nyilvántartásba vételi száma valamint hatósági azonosító jele szintén a címlapon található Jelen HR-MTT-nek csak a Szolgáltató aláírásával ellátott változata tekinthető hitelesnek.

1

2 3

A 2/2002 MeHVM irányelv nem hatályos, de aktuális részeit Szolgáltató ajánlásként figyelembe veszi ITSEC = Information Technology Security Evaluation Criteria (Információtechnológia Biztonsági Értékelési Kritériumok) az Európai Közösség ajánlása az IT termékek és rendszerek biztonságának funkcionális és minősítési követelményeire. CC = Common Criteria (Közös /Informatikai Biztonsági/ Követelmények) az Európai Közösség, az Egyesült Államok és Kanada közös ajánlása az IT termékek biztonsági minősítésének követelményeire.


8/40

1.4.

Felhasználói közösség, alkalmazhatóság

1.4.1. A Szolgáltató regisztrációs szervezete A Szolgáltató – saját szervezetén belül – ügyfélkapcsolati irodát és regisztrációs irodát kell működtessen. Az Ügyfélkapcsolati Iroda elvégzi az igénylők illetve Előfizetők adatainak felvételét, az igénylők személyazonosságának megállapítását, a tanúsítvány kérelmek összeállítását és gondoskodik az előfizetői szerződésben foglaltak teljesítéséről. A Regisztrációs Iroda biztosítja az igénylők illetve Előfizetők technikai regisztrációját, a tanúsítványok előállításának, felfüggesztésének és visszavonásának jóváhagyását illetve kezelését. A Regisztrációs Iroda biztosítja az aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezését [MTT+BALE] tanúsítvány esetén. A Szolgáltató saját szervezetén kívüli regisztrációs szervezeteket is működtethet, a vele szerződéses alapon együttműködő Társaságokkal (mint szerződött közreműködők) együtt. Ezen regisztrációs szervezetek elvégzik a saját igénylőik és előfizetőik adatainak rögzítését, ellenőrzését, az igénylők személyazonosságának megállapítását, a tanúsítvány kérelmek összeállítását és Szolgáltatóhoz történő továbbítását. Biztosítják a tanúsítványok és az aláírás létrehozó eszközök szétosztását, a tanúsítvány kibocsátását és visszavonását, és egyéb azonosítási, tanúsítványmenedzsment és adminisztrációs feladatokat látnak el.

1.4.2. A Szolgáltató hitelesítő szervezete A hitelesítő szervezet a Szolgáltató központi szervezete, amely a hitelesítő központokból, a szolgáltatás-támogató informatikai rendszer központi erőforrásaiból, azt ezt körül vevő biztonságos fizikai környezetből, valamint az üzemeltető és szolgáltatást ellátó személyzetből áll. Feladata a különböző osztályú és típusú tanúsítványok előállítása, ezek publikálása, a regisztrációs szervezettől érkező kiadási, megújítási, felfüggesztési, újraérvényesítési és visszavonási igényeknek a végrehajtása, a tanúsítványok állapotára vonatkozó információk előállítása és közzététele a szolgáltatási szabályzatnak (HSZSZ-M) megfelelően, valamint a szolgáltatást támogató informatikai rendszer üzemeltetése.

1.4.3. Hitelesítési Rend és Szabályozási Csoport A Hitelesítési Rend és Szabályozási Csoport a Szolgáltató által létrehozott szervezeti egység, amely a hitelesítés szolgáltatással kapcsolatos hitelesítési rendek, szolgáltatási szabályzatok és egyéb szabályzatok elkészítéséért, elfogadásáért, karbantartásáért és adminisztrációjáért felelős.

1.4.4. Előfizetők és Aláírók (Felhasználók) Előfizető a Szolgáltatóval szerződéses viszonyban álló szervezet, amely megrendeli a Szolgáltatótól a tanúsítványokat illetve a Szolgáltatásokat, a vele kapcsolatban álló illetve a képviseletében eljáró Aláírók számára. Aláíró: a) az a természetes személy, aki az aláírás-létrehozó eszközt birtokolja vagy aki a szolgáltató által üzemeltetett aláírás-létrehozó eszközön lévő aláírás-létrehozó adathoz kizárólagosan hozzáfér és a saját vagy más személy nevében aláírásra jogosult, b) a jogi személy vagy közhiteles nyilvántartásban szereplő jogi személyiség nélküli szervezet, amely az aláíráslétrehozó eszközt birtokolja, és akinek a nevében az őt képviselő természetes személy az elektronikus aláírást az elektronikus dokumentumon elhelyezi, valamint c) aki meghatározza, hogy a nevében jogszabályban meghatározott feltételeknek megfelelő informatikai eszköz elektronikus aláírást elektronikus dokumentumon elhelyezzen.

1.4.5. Érintett felek Az Érintett fél (aláírás ellenőrző) olyan természetes vagy jogi személy, aki vagy amely, az aláírt elektronikus dokumentum fogadója, és egy adott tanúsítványon alapuló elektronikus aláírásra hagyatkozva jár el az aláírás hitelességének ellenőrzésekor.


9/40

1.4.6. Alkalmazhatóság 1.4.6.1.

A hitelesítési rend hatálya

A hitelesítési rend személyi hatálya a Szolgáltatóra, annak a szolgáltatásban közreműködő munkatársaira és a felhasználói közösségre (Előfizetők, Aláírók, Érintett felek) terjed ki. A hitelesítési rend tárgyi hatálya kiterjed az 1. pontban meghatározott szolgáltatásokra, az 1.2.1 pontban meghatározott tanúsítványokra, valamint a Szolgáltatónak a Szolgáltatásokkal kapcsolatban álló összes objektumára és tárgyi eszközére:

1.4.6.2.

Tanúsítványok alkalmazhatósága

Engedélyezett alkalmazási lehetőségek A kibocsátott előfizetői tanúsítványokhoz kapcsolódó magánkulcsok (aláírás-létrehozó adatok) kizárólag elektronikus aláírások megtételére használhatók. A magánkulcsokhoz tartozó nyilvános kulcsok (aláírás-ellenőrző adatok) és tanúsítványok az elektronikus aláírások ellenőrzésére használhatók fel. Korlátozott alkalmazási lehetőségek Szolgáltató területi, pénzügyi, stb. korlátozásokat szabhat az előfizetői szerződésben, amelyeket a kibocsátott előfizetői tanúsítványban fel kell tüntetni. Egyébként a Szolgáltató nem korlátozza a kibocsátott tanúsítványok felhasználhatóságát. Az Előfizető szervezet élhet korlátozásokkal Aláíró és érintett felek tanúsítvány felhasználási tevékenységével kapcsolatosan. Tiltott alkalmazási lehetőségek Az előfizetői tanúsítványokat tilos felhasználni titkosításra, azonosításra, más nyilvános kulcsú tanúsítványok aláírására, vagy bármilyen hitelesítés szolgáltatás nyújtásához.

1.5.

Tanúsítvány típusok és tanúsítvány fajták

A jelen hitelesítési rend - az 1.2.1 pontnak megfelelően - alapvetően két minősített tanúsítvány típusra vonatkozik: [MTT]

Nyilvános körben kibocsátott, aláírás létrehozó eszköz használatát nem megkövetelő minősített tanúsítványok

[MTT+BALE]

Nyilvános körben kibocsátott, biztonságos aláírás-létrehozó eszköz alkalmazását megkövetelő minősített tanúsítványok

Fenti két típuson belül jelen hitelesítési rend leírja azon követelményeket is, amely az alábbi tanúsítványokra vonatkozik: [NKET]

Nyilvános körben kibocsátott minősített tanúsítványok, melyek a 2004. évi CXL. törvény (KET) és a vonatkozó rendeletei alapján a közigazgatásban nem alkalmazhatók

[KET]

Nyilvános körben kibocsátott minősített tanúsítványok, melyek a 2004. évi CXL. törvény (KET) és a vonatkozó rendeletei alapján a közigazgatásban alkalmazhatóak

1.5.1. Minősített tanúsítványok általános jellemzői Minősített tanúsítvány az Eat. 2. számú mellékletében foglalt követelményeknek megfelelő olyan tanúsítvány, amelyet minősített szolgáltató bocsátott ki. A minősített tanúsítványoknak tartalmazniuk kell az alábbiakat: a. annak megjelölését, hogy a tanúsítvány minősített tanúsítvány b. a Szolgáltató és székhelyének (ország-) azonosítóját c. az Aláíró nevét vagy egy álnevét, ennek jelzésével d. a tanúsítvány szándékolt felhasználásától függően az Aláíró külön jogszabályban, a Szolgáltatási Szabályzatban és az Általános Szerződési Feltételekben (továbbiakban: ÁSZF-PKI) meghatározott speciális jellemzőit e. az Aláíró által birtokolt aláírás-létrehozó adatnak megfelelő aláírás-ellenőrző adatot f. a tanúsítvány érvényességi idejének kezdetét és végét, valamint azt az időtartamot, ameddig a Szolgáltató az Eat. 9. § (7) bekezdés szerinti feladatokat ellátja g. a tanúsítvány azonosító kódját h. a tanúsítványt kibocsátó Szolgáltató fokozott biztonságú elektronikus aláírását i. a tanúsítvány használhatósági körére vonatkozó esetleges korlátozásokat j. a tanúsítvány felhasználásának korlátjait, (beleértve a kötelezettségvállalás korlátait is)


10/40

k.

szervezet képviseletére jogosító elektronikus aláírás tanúsítványa esetén a tanúsítvány ezen minőségét és a képviselt szervezet azonosító adatait.

1.5.2. Nyilvános körben kibocsátott és biztonságos aláírás-létrehozó eszköz alkalmazását nem megkövetelő minősített tanúsítvány (MTT) Az [MTT] olyan minősített tanúsítvány, amely: a.

megfelel az Eat. 2. számú mellékletében meghatározott követelményeknek

b.

olyan Szolgáltató adta ki, amely teljesíti az Eat. 3. számú mellékletében meghatározott követelményeket

c.

a tanúsítvány használatához illetve a kulcspár előállításához nem kapcsolódik biztonságos aláírás létrehozó eszköz

d.

nyilvános körben került kibocsátásra

Az [MTT] tanúsítványtípussal illetve a kapcsolódó magánkulccsal készített elektronikus aláírást fokozott biztonságú elektronikus aláírásnak kell tekinteni.

1.5.3. Nyilvános körben kibocsátott és biztonságos aláírás-létrehozó eszköz alkalmazását megkövetelő minősített tanúsítvány (MTT+BALE) Az MTT+BALE olyan minősített tanúsítvány, amely: a.

megfelel az Eat. 2. számú mellékletében meghatározott követelményeknek

b.

olyan Szolgáltató adta ki, amely teljesíti az Eat. 3. számú mellékletében meghatározott követelményeket

c.

a kulcspár előállításához olyan biztonságos aláírás-létrehozó eszköz került felhasználásra, amely eleget tesz az Eat. 1. számú mellékletében meghatározott követelményeknek

d.

nyilvános körben került kibocsátásra.

Az [MTT+BALE] tanúsítványtípussal illetve a kapcsolódó magánkulccsal készített elektronikus aláírást minősített elektronikus aláírásnak kell tekinteni.

1.5.4. Tanúsítványok fajták és használati jellemzői A fentiekben körülírt tanúsítványok felhasználási területe és célja szerint Szolgáltató megkülönböztet:  előfizetői,  szolgáltatói, és  teszt tanúsítványokat. Előfizetői tanúsítvány a Szolgáltatóval szerződéses viszonyban álló Előfizető (illetve a vele kapcsolatban álló Aláírók) számára kibocsátott tanúsítvány (végfelhasználói tanúsítvány). Szolgáltatói tanúsítvány a Szolgáltató által saját célra illetve a Szolgáltatások nyújtásához kapcsolódóan kibocsátott tanúsítvány; Előfizető ezeket nem igényelheti. Teszt tanúsítvány a Szolgáltató által kizárólag tesztelési célokból kiadott tanúsítvány. Jelen hitelesítési rendben foglaltak az előfizetői tanúsítványokra vonatkoznak, kivéve, ahol a szövegben a szolgáltatói, vagy a teszt tanúsítványokra való konkrét utalás található. A tanúsítványok tulajdonosa (alanya) alapján a Szolgáltató megkülönböztet:  „személyes” tanúsítványokat  „munkatársi” tanúsítványokat  „szervezeti vagy eszköz” tanúsítványokat Személyes tanúsítvány esetén az Aláíró olyan természetes személy, aki magánszemélyként kerül regisztrálásra és ennek megfelelően kerül feltüntetésre a tanúsítványban, Magánszemély a Szolgáltatótól közvetlenül nem igényelhet tanúsítványt. Munkatársi tanúsítvány esetén az Aláíró olyan természetes személy, aki egy szervezethez tartozik, és azt képviseli valamilyen minőségben (jellemzően Előfizető munkavállalójaként), és ennek megfelelően kerül regisztrálásra illetve feltüntetésre a tanúsítványban. Szervezeti vagy eszköz tanúsítvány esetében az Aláíró nem természetes személy, hanem egy szervezet, amely ennek megfelelően kerül regisztrálásra illetve feltüntetésre a tanúsítványban. Az egyes tanúsítvány fajtákra vonatkozó további részleteket a Szolgáltató HSZSZ-M dokumentuma tartalmazza.


11/40

2. Általános rendelkezések 2.1.

Feladatok és hatáskörök

2.1.1. A Szolgáltató feladatai és hatásköre 1.

2. 3. 4. 5. 6.

7.

8.

9. 10.

11.

12. 13. 14. 15.

16.

17.

4

Szolgáltatónak az 1. fejezetben meghatározott Szolgáltatások nyújtása során általánosságban az alábbi szolgáltatás elemeket kell biztosítania:  regisztráció  tanúsítvány előállítás  tanúsítvány kiadás és szétosztás  visszavonás kezelés (ebben felfüggesztés és újraérvényesítés biztosítása)  visszavonási állapot közzététele  aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése ([MTT+BALE] tanúsítvány esetén) A Szolgáltatónak gondoskodnia kell a hitelesítés-szolgáltatásra vonatkozó valamennyi, a jelen hitelesítési rendben részletezett állítás teljesüléséről, amennyiben azok az adott tanúsítványokra alkalmazhatók. A Szolgáltatónak szolgáltatásait nyilvánosan elérhetővé kell tenni. A Szolgáltató jogi személy. A Szolgáltató köteles rendszeresen felülvizsgálni és újra kiadni a jelen hitelesítési rendet és szolgáltatási szabályzatát (HSZSZ-M). Tanúsítvány előállítás és kiadás az igénylők illetve Előfizetők által szolgáltatott és a Regisztrációs Szervezet által ellenőrzött adatok alapján történhet. A Szolgáltató a tanúsítvány kibocsátását követően a tanúsítvány adataiban nem változtathat. A Szolgáltató köteles közzétenni Tanúsítványtárában az általa kibocsátott előfizetői tanúsítványokat, a Tanúsítványok Visszavonási Listájában pedig a felfüggesztett és visszavont előfizetői tanúsítványokat. A Tanúsítványtár, a Tanúsítványok Visszavonási Listája (CRL4) elérhetőségét a Szolgáltatónak 99,9%-os rendelkezésre állással kell biztosítania úgy, hogy az elérhetőség kiesése esetenként nem lépheti túl a 3 órás időtartamot. A Szolgáltató kötelezettséget vállal arra, hogy hiánytalan igénybejelentés és megrendelés esetén a regisztrációt követő napokban, de legkésőbb 30 munkanapon belül a tanúsítvány kiadására intézkedik és erről az Előfizetőt vagy az Aláírót értesíti. A Szolgáltatónak a szolgáltatások működtetése és menedzselése során ügyfélkapcsolati tevékenységet kell biztosítania. A Szolgáltatónak rendkívüli üzemeltetési helyzetben is biztosítania kell tanúsítványtára és visszavonási nyilvántartásai elérhetőségét, visszavonás kezelési illetve visszavonási állapot közzétételi szolgáltatásait minden érdekelt fél számára. Ügyfélszolgálata útján folyamatos elérhetőséget kell biztosítania a tanúsítvány visszavonási és felfüggesztési igények fogadására és kezelésére. A Szolgáltatónak az Internetes honlapján keresztül bárki számára folyamatosan elérhetővé kell tenni a jogszabály szerinti nyilvántartásokat és a tanúsítvány kibocsátására vonatkozó szolgáltatási szabályzatát (HSZSZ-M) valamint általános szerződési feltételeit (ÁSZF-PKI). A Szolgáltató a lejárat előtt értesítést küldhet a lejáró tanúsítványokról az Előfizető vagy az Aláíró részére. Szolgáltató a tanúsítványban köteles feltünteti az Előfizetői Szerződésben rögzített, a tanúsítvány felhasználhatóságával kapcsolatos korlátozásokat. A Szolgáltató felfüggesztheti vagy visszavonhatja a tanúsítványt, ha a 4.9.1 fejezetben részletezett körülmények ezt indokolják Szolgáltató köteles megőrizni a tanúsítványokkal kapcsolatos adatokat és az ahhoz kapcsolódó személyes adatokat legalább a tanúsítvány érvényességének lejáratától számított 10 évig, illetőleg – amennyiben ezen időszakban az elektronikus aláírással vagy az azzal aláírt elektronikus dokumentummal kapcsolatosan jogvita merül fel és azt a Szolgáltatónak írásban bejelentették – a jogvita jogerős lezárásáig. Ugyanezen határidőig olyan eszközt is köteles biztosítani, amellyel a kibocsátott tanúsítványok tartalma megállapítható. Ha a Szolgáltató be kívánja fejezni tevékenységét, erről legalább hatvan nappal korábban köteles értesíteni az Előfizetőket és az illetékes hatóságot (Nemzeti Média- és Hírközlési Hatóság, a továbbiakban: NMHH). A bejelentés időpontjától kezdve a Szolgáltató nem bocsáthat ki új tanúsítványt. A Szolgáltató a tevékenység befejezése előtt köteles visszavonnni az általa kibocsátott és még érvényes tanúsítványokat. A Szolgáltató a tevékenysége befejezéséig köteles eleget tenni a nyilvánosságra hozatali kötelezettségének. A Szolgáltató intézkedni köteles az iránt, hogy legkésőbb a tevékenysége befejezésekor más - vele legalább azonos besorolású - szolgáltató átvegye nyilvántartásait, így különösen a visszavont tanúsítványok nyilván-

CRL: Certifcate Revocations List


12/40

tartását, valamint ellássa a hatályos jogszabályokban foglalt feladatokat. A Szolgáltató a visszavont tanúsítványokkal kapcsolatos minden adatot - beleértve a személyes adatokat is – köteles átadni ezen szolgáltatónak.

2.1.1.1.

A Hitelesítő Szervezet feladatai és hatásköre

A Szolgáltató hitelesítő szervezetének, illetve az általa működtetett hitelesítő központoknak (CA-knak) a feladata a általánosságban a tanúsítványok előállítása, valamint a visszavonási listák aláírásával közreműködés a visszavonási állapot közzétételében. A hitelesítő szervezet feladata az [MTT] tanúsítványok esetén a kapcsolódó kulcspár előállítása is, kivéve, ha Szolgáltató és Előfizető közös megegyezése alapján a kulcspárt Előfizető állítja elő. A tanúsítványok előállítása során a hitelesítő központok aláírják a tanúsítvány adatokat és kötelesek gondoskodni arról, hogy a kibocsátott tanúsítványokhoz tartozó kulcsok és a tanúsítványokba foglalt nevek egyediek legyenek a szolgáltatás körén belül. A visszavonási állapot közzétételében való közreműködés keretén belül a hitelesítő központok fogadják a visszavonási kérelmeket, új tanúsítvány visszavonási listát készítenek, és azt aláírásukkal hitelesítik. Az 1. szintű hitelesítő központ (Főtanúsítvány-kiadó, azaz „Root CA”) alapvető feladata és hatásköre a 2. szintű hitelesítő központ („Produktív CA”) hitelesítése, ezen belül feladatai tételesen a következők: 1. Saját (szolgáltatói) kulcspár generálása és tanúsítvány előállítása önhitelesítéssel, magánkulcsának fokozott biztonságú védelme 2. További szolgáltatói kulcspárok és tanúsítványok előállítása 3. A 2. szintű hitelesítő központok ("Produktív CA”-k) hitelesítési kérelmeinek fogadása és ellenőrzése, részükre tanúsítványok előállítása, hitelesítése 4. A „Produktív CA” tanúsítvány visszavonási és tanúsítvány megújítási kérelmeinek feldolgozása. 5. A „Produktív CA” tanúsítványainak és visszavonási listáinak publikálása. A 2. szintű „Produktív CA” alapvető feladata és hatásköre a Regisztrációs Szervezet által regisztrált Előfizetők tanúsítványainak hitelesítése: 1. Saját szolgáltatói kulcspár generálása és magánkulcsának fokozott biztonságú védelme. 2. A Regisztrációs Szervezettől kapott hitelesítési kérelmek fogadása és ellenőrzése. 3. [MTT] tanúsítványok esetén Előfizetői kulcspár generálása (kivéve, ha Szolgáltató és Előfizető közös megegyezése alapján a kulcspárt Előfizető állítja elő). 4. Előfizetői tanúsítványok előállítás és publikálása a Tanúsítványtárban 5. Regisztrációs Irodától érkező tanúsítvány visszavonási, felfüggesztési, újraérvényesítési és tanúsítvány megújítási kérelmek feldolgozása,valamint a tanúsítvány visszavonási listák előállítása és publikálása. 6.

online tanúsítvány-állapot szolgáltatás (OCSP – Online Certificate Status Protocol) nyújtása, ennek keretében a szabványos kérések fogadása, ellenőrzése, és a szabványos OCSP válaszok elküldése

2.1.1.2.

A Regisztrációs Iroda (RA) feladatai és hatásköre

A Regisztrációs Iroda feladata általánosságban az igénylők illetve Előfizetők technikai regisztrációja, a tanúsítványok előállításának, felfüggesztésének és visszavonásának jóváhagyása, valamint az aláírás létrehozó adat és kapcsolódó aktivizáló ada(ok) kezelése és szétosztása. A Regisztrációs Iroda feladata [MTT+BALE] tanúsítványok esetén az előfizetői kulcspár generálása és aláíráslétrehozó eszközön az aláírás-létrehozó adat elhelyezése. Ezen belül a Regisztrációs Iroda feladatai tételesen a következők: 1. [MTT+BALE] tanúsítvány esetén előkészíti a biztonságos aláírás-létrehozó eszközt az aláírás-létrehozó eszközön történő Előfizetői kulcspár generáláshoz 2. elvégzi a tanúsítvány kibocsátásához szükséges ellenőrzéseket, elküldi a tanúsítvány előállítási kérelmet a hitelesítő központnak, (visszautasítja a tanúsítvány kiadását, amennyiben a tanúsítvány-igénylés nem felel meg az elvárt feltételeknek) 3. fogadja a hitelesítő központtól kapott előfizetői tanúsítványokat és ellenőrzi azok hitelességét és sértetlenségét, 4. kezdeményezi a tanúsítványok elküldését a Tanúsítványtárba 5. [MTT+BALE] tanúsítvány esetén megszemélyesíti a biztonságos aláírás-létrehozó eszközt és azt eljuttatja az Ügyfélkapcsolati Irodához, előállíttatja a kezdeti aktivizáló adatot (PIN kódot) a hitelesítő központtal, majd azt a biztonságos aláírás-létrehozó eszköztől elkülönítve eljuttatja az Ügyfélkapcsolati Irodához, 6. [MTT] tanúsítvány esetén előállíttatja az aktivizáló adatot (PIN kód) a hitelesítő központtal, majd azt az aláírás-létrehozó adattól elkülönítve eljuttatja az Ügyfélkapcsolati Irodához 7. formai szempontból ellenőrzi a tanúsítvány visszavonásra, felfüggesztésre, vagy újraérvényesítésére vonatkozó kérelmek hitelességét és érvényességét, a szabályos kérelmeket elküldi a hitelesítő központnak,


13/40

8. 9.

visszautasítja a szabálytalan tanúsítvány visszavonásra, felfüggesztésre, vagy felfüggesztés megszüntetésére vonatkozó kérelmeket, fogadja és feldolgozza a tanúsítvány megújítási kérelmeket, ezeket elküldi a hitelesítő központnak.

2.1.1.3.

Az Ügyfélkapcsolati Iroda feladatai és hatásköre

Az Ügyfélkapcsolati Iroda szolgáltatás igénylés és teljesítés keretén belül: 1. gondoskodik az Igénylő megfelelő tájékoztatásáról és azonosításáról 2. ellenőrzi a 3.1 pontban és az ÁSZF-PKI-ben előírt adatszolgáltatási követelmények szerint megadott adatok alapján a szolgáltatást igénylő ügyfél személyazonosságát és az Aláíró adatait 3. meghatározza a Tanúsítványba kerülő adatokat, ellenőrzi az Igénylő által átadott dokumentumok valódiságát, érvényességét, sértetlenségét és hitelességét, 4. lehetőség szerint ellenőrzi a dokumentumok érvényességét, valódiságát valós idejű nyilvántartásokban is, 5. előkészíti az Előfizetői Szerződést 6. elszámolja és kiszámlázza a szolgáltatások ellenértékét, 7. nyilvántartásba veszi a regisztráció során felvett adatokat és megőrzi azokat. 8. bizalmas információként kezeli az Előfizető és az Aláíró minden adatát, kivéve azokat, amelyek a tanúsítványba kerülnek 9. gondoskodik az aláírás-létrehozó eszköz és a PIN boríték biztonságos kezeléséről és átadásáról, 10. tájékoztatja az Előfizetőt tanúsítványa lejáratát megelőzően 11. az Aláíró adatainak változása és tanúsítvány megújítási kérelem esetén ellenőrzi a már korábban nyilvántartásba vett adatokat és intézkedik a Regisztrációs Iroda felé a kérelem teljesítésére. 12. kezeli a szolgáltatással kapcsolatos bejelentéseket, kérdéseket, panaszokat. A visszavonás kezelés szolgáltatás keretén belül: 1. ellenőrzi a tanúsítvány visszavonásra, felfüggesztésre, vagy felfüggesztés megszüntetésére vonatkozó kérelmek hitelességét, 2. visszautasítja (az ok megjelölésével) a nem hiteles vagy szabálytalan, tanúsítvány visszavonásra, felfüggesztésre, vagy felfüggesztés megszüntetésére vonatkozó kérelmeket, 3. a visszavonási kérelem elfogadása után intézkedik a tanúsítvány visszavonására, 4. tájékoztatja a visszavont, illetve felfüggesztett tanúsítvány tulajdonosát tanúsítványa állapotának változásáról.

2.1.1.4.

A Hitelesítési Rend és Szabályozási Csoport feladatai és hatásköre

A Hitelesítési Rend és Szabályozási Csoport fő feladata a szolgáltatásokkal kapcsolatos hitelesítési rendek, szolgáltatási szabályzatok és belső szabályzatok kezelése. Hatáskörébe tartozik a Szolgáltató és felhasználói közösség igényeinek felmérése és folyamatos követése, ezek alapján a közösség működésére vonatkozó alapelvek lefektetése, s ebből levezetve a Szolgáltató szabályzatainak, úgymint a hitelesítési rendek, szolgáltatási és biztonsági szabályzatok készítése és rendszeres karbantartása. A Hitelesítési Rend és Szabályozási Csoport feladatai tételesen a következők: 1. A hitelesítési rendek elkészítése és karbantartása. 2. A szolgáltatási szabályzatok elkészítése és karbantartása. 3. A hitelesítési rendek és szabályzatok közötti összhang biztosítása. 4. A szolgáltatói szabályzatok verzióinak nyilvántartása és megőrzése. 5. Nyilvános szabályzatok hitelesítése, publikálása. 6. A regisztrációs folyamat szabályozása, ellenőrzése, felülvizsgálata.

2.1.1.5.

Az Ügyfélszolgálat feladata

A Tanúsítványokkal kapcsolatos felfüggesztési, illetve visszavonási kérelmeket a Szolgáltató Ügyfélszolgálata telefonon keresztül folyamatosan (napi 24 órában) fogadja és a felfüggesztési kérelmeket végrehajtja.

2.1.2. Az Előfizető és az Aláíró feladata és jogköre Az Előfizető és az Aláíró feladata általánosságban a Szolgáltató szerződéses feltételeinek és szabályzatainak megfelelően eljárni a Szolgáltatások igénybevétele során. Ennek során az Aláíró köteles: 1. önmagát az Ügyfélkapcsolati Irodán hiteles okmányokkal igazolni, 2. a tanúsítvány igénylését és magánkulcsának felhasználását úgy végezni, hogy az harmadik fél jogait ne sértse,


14/40

3. 4. 5. 6. 7. 8.

9.

10.

11. 12. 13.

a tanúsítvány igénylés és a regisztráció során valós adatokat megadni, [MTT+BALE] tanúsítvány esetén biztosítani az aláírás-létrehozó eszközének valamint a PIN és PUK kódjának védelmét, [MTT] tanúsítvány esetén biztosítani az aláírás-létrehozó adatának (magánkulcsának) valamint a PINkódjának védelmét három munkanapon belül jelezni Szolgáltatónál a regisztráció során felvett adataiban történő változásokat, különös tekintettel a tanúsítványba foglalt adatokra, az aláírás-létrehozó adatát jelen hitelesítési rendben és az előfizetői szerződésben rögzített korlátozásoknak megfelelően használni, tudomásul venni, hogy magánkulcsának védelme és az elektronikus aláírás készítése kizárólag a saját felelőssége, ezért ezzel - így különösen a magánkulcsának illetéktelen harmadik személyhez kerülésével - kapcsolatban a Szolgáltatót semmiféle felelősség nem terheli, [MTT+BALE] tanúsítvány esetén azonnal intézkedni tanúsítványának visszavonása, illetve felfüggesztése végett, ha az aláírás létrehozó eszköz és/vagy a PIN illetve PUK kód nem az Aláíró kizárólagos birtokában van (elveszett, ellopták, esetleg kompromittálták), vagy ennek alapos gyanúja áll fenn [MTT] tanúsítvány esetén azonnal intézkedni tanúsítványának visszavonása, illetve felfüggesztése végett, ha az aláírás létrehozó adat és/vagy a PIN kód nem az Aláíró kizárólagos birtokában van (elveszett, ellopták, esetleg kompromittálták), vagy ennek alapos gyanúja áll fenn. kompromittálódás esetén a magánkulcsának használatát azonnal és véglegesen megszakítani, a tanúsítványhoz kapcsolódó elektronikus aláírással ellátott elektronikus dokumentummal kapcsolatos jogvita megindulásáról haladéktalanul tájékoztatni a Szolgáltatót, az OCSP válasz felhasználók kötelesek a kért OCSP válaszok vétele után meggyőződni arról, hogy azt a Szolgáltató elektronikusan aláírta, az aláírás az OCSP válaszadásra szolgáló kulccsal történt-e és a hozzátartozó tanúsítvány érvényes-e;

Az Aláíró jogosult arra, hogy a magánkulcsot birtokolja és a jogszabályokban meghatározott módon elektronikus aláíráshoz felhasználja. Előfizető köteles: 1.

szervezeti adatait az Ügyfélkapcsolati Irodán hiteles okmányokkal igazolni

2.

a tanúsítvány igénylés és regisztráció során valós adatokat megadni, harmadik fél jogainak megsértése nélkül

3.

három munkanapon belül jelezni Szolgáltatónál a regisztráció során felvett adataiban történő változásokat, különös tekintettel a tanúsítványba foglalt adatokra

4.

[MTT+BALE] tanúsítvány esetén azonnal intézkedni a vele kapcsolatban álló Aláírók tanúsítványainak viszszavonása, illetve felfüggesztése végett, ha az aláírás-létrehozó eszköz és/vagy a PIN illetve PUK-kód nem az Aláíró kizárólagos birtokában van (elveszett, ellopták, esetleg kompromittálták), vagy ennek alapos gyanúja áll fenn

5.

[MTT] tanúsítvány esetén azonnal intézkedni a vele kapcsolatban álló Aláírók tanúsítványainak visszavonása, illetve felfüggesztése végett, ha az aláírás-létrehozó adat és/vagy a PIN kód nem az Aláíró kizárólagos birtokában van (elveszett, ellopták, esetleg kompromittálták), vagy ennek alapos gyanúja áll fenn

6.

tájékoztatni a Szolgáltatót az aláírással vagy az elektronikusan aláírt elektronikus dokumentummal, illetve a tanúsítvánnyal kapcsolatban észlelt - a szolgáltatási szabályzatban (HSZSZ-M) meghatározott – rendellenességről, valamint az aláírással illetve az elektronikusan aláírt elektronikus dokumentummal kapcsolatos jogvita megindulásáról.

7.

a szolgáltatások díjait az előfizetői szerződésben foglaltak szerint megfizetni Szolgáltató részére

2.1.3. Érintett félre vonatkozó ajánlások Az Érintett félnek ajánlott a Szolgáltató szabályzataiban leírtaknak megfelelően a legnagyobb gondossággal eljárni az elektronikus aláírás és a tanúsítvány érvényességének elbírálásakor, ezen belül: 1. az elektronikus aláírás elfogadása előtt ajánlott megértenie az elektronikus aláírással kapcsolatos technikai, jogi, biztonsági és egyéb vonatkozásokat, 2. ajánlott megismernie Szolgáltató nyilvánosan elérhető szabályzatait (HSZSZ-M, ÁSZF-PKI és jelen HRMTT), 3. különösen ajánlott az elektronikus aláírás ellenőrzését elvégeznie az Aláíró tanúsítványának segítségével, meggyőződve az üzenet eredetiségéről és az aláírás valódiságáról, 4. ajánlott egyértelműen meggyőződnie a Tanúsítványban feltűntetett azonosító és egyéb adatok alapján, illetve a törvényesen rendelkezésre álló módszerek segítségével az Aláíró személyéről,


15/40

a tanúsítvány érvényességét illetve hatályosságát indokolt ellenőriznie a nyilvánosan elérhető tanúsítványban, 6. ajánlott elvégeznie a teljes tanúsítási lánc ellenőrzését az alábbiak szerint: 6.1 meggyőződni a Kibocsátó kilétéről a tanúsítvány kibocsátójának azonosítója alapján; 6.2 meggyőződni az Aláíró tanúsítványának integritásáról a Szolgáltató (Kibocsátó) tanúsítványának segítségével; 6.3 indokolt ellenőriznie a tanúsítvány állapotát a tanúsítvány visszavonási listák (CRL) áttanulmányozásával vagy OCSP szolgáltatás igénybe vételével; 6.4 ajánlott tanulmányoznia a tanúsítvány összes attribútumát, és az adott tranzakcióra vonatkozó előírásoknak, valamint józan megfontolásoknak megfelelően döntést hozni az aláírás elfogadásáról, 7. ajánlott visszautasítani az elektronikus aláírás elfogadását, ha az elektronikus aláírás, az Aláíró tanúsítványa, vagy a tanúsítási lánc tanúsítványainak valamely adata annak érvénytelenségére utal, illetve ha az az adott kontextusban nem elfogadható; az aláírás elfogadása nem jelentheti az aláírt üzenet tartalmának tudomásul vételét vagy elfogadását, 8. Az OCSP választ aláíró kulcs tanúsítványának az Érintett fél által történő ellenőrzésére vonatkozóan általában érvényesek a fentiekben leírt, a tanúsítvány és a tanúsítási lánc ellenőrzésre vonatkozó szabályok. 9. Egy OCSP válasszal ellátott állomány átvétele után az Érintett félnek ajánlott ellenőriznie a Szolgáltató általi aláírás megtörténtét, az Szolgáltató OCSP választ aláíró kulcsához tartozó tanúsítvány érvényességét a Visszavont Tanúsítványok Listája segítségével a fentiekben leírt módon. 10. Az ellenőrzés a tanúsítvány érvényességének lejárta után is elvégezhető, mert az Eat. 9.§ (7. bek.) alapján a tanúsítványokat és a tanúsítványok ellenőrzéséhez szükséges adatokat a Szolgáltatónál a tanúsítvány lejártát követő 10 évig, illetve az aláírt és/vagy OCSP válasszal ellátott dokumentummal kapcsolatban felmerült jogvita lezárásáig meg kell őrizni és hozzáférhetővé kell tenni. A tanúsítvány tartalmának megállapításához a Szolgáltatónak kell biztosítania a megfelelő eszközt. 5.

2.2.

Felelősségek

2.2.1. A Szolgáltató felelőssége A Szolgáltató a vele szerződéses jogviszonyban nem álló harmadik személlyel szemben a Magyar Köztársaság Polgári Törvénykönyvéről szóló 1959. évi IV. törvény 339. §-a szerint felelős az elektronikus aláírással aláírt elektronikus dokumentummal okozott kárért, ha mulasztása bizonyítható. A Szolgáltató a vele szerződéses jogviszonyban álló Előfizetővel szemben a szerződésszegésért való felelősség szabályai szerint felelős az elektronikus aláírással aláírt elektronikus dokumentummal okozott kárért, ha megszegte a szolgáltatási szabályzatban (HSZSZ-M), az általános szerződési feltételekben (ÁSZF-PKI) vagy az Előfizetői Szerződésben előírtakat, továbbá az Eat. 7. § (2) bekezdésében, a 9-11. §-okban vagy a 14.§-ban foglaltakat. E szabályok megtartását kétség esetén a Szolgáltatónak kell bizonyítania. A tanúsítványokhoz illetve a tranzakciós limitekhez kapcsolódó felelősségvállalás mértékét, mely tanúsítvány típusonként és egyedi tanúsítványonként is maximált összegű, az Előfizetői Szerződésben kell rögzíteni. A Szolgáltató nem vállal felelősséget, ha a Szolgáltató által kibocsátott tanúsítvány a jelen hitelesítési rendben és a szolgáltatási szabályzatban (HSZSZ-M) előírtaktól eltérő módon kerül felhasználásra. A Szolgáltató nem felelős az olyan károkért, melyek abból adódtak, hogy az Érintett fél a tanúsítványok ellenőrzése és felhasználása során nem a hatályos jogszabályok szerint járt el, illetve nem tanúsította a tőle elvárható gondosságot. A Szolgáltató azáltal, hogy az Előfizetők részére tanúsítványokat bocsát ki, semmilyen körülmények között sem tekinthető az Előfizetők vagy az érintett felek ügynökének, megbízottjának, képviselőjének, vagy bármilyen más, az Előfizetői Szerződésben meghatározottól eltérő funkciójú partnerének a Szolgáltatások vonatkozásában.

2.2.2. Az Előfizető és az Aláíró felelőssége Az Előfizetőnek és az Aláírónak felelőssége áll fenn a regisztráció során megadott adatainak valódiságával kapcsolatban. Az Előfizetőnek és az Aláírónak kártérítési felelőssége áll fenn a Szolgáltatóval szemben azokért a veszteségekért és károkért, melyeket a regisztráció során megadott helytelen adataival, vagy az azokban bekövetkezett változások be nem jelentésével, vagy egyéb kötelezettségeinek be nem tartásával számára okoz. Az Előfizető felelős azért, ha Aláíró magánkulcsát nem a szolgáltatási szabályzatban és a vonatkozó jogszabályokban meghatározott módon és célra használta. [MTT+BALE] tanúsítvány esetén az Előfizető és az Aláíró felelős az aláírás-létrehozó eszköz átvételét követően annak biztonságos megőrzéséért, a kapcsolódó PIN illetve PUK kód illetéktelenek tudomására jutásának megakadályozásáért. [MTT] tanúsítvány esetén az Előfizető és az Aláíró felelős az aláírás-létrehozó adat átvételét követően annak biztonságos megőrzéséért, a kapcsolódó PIN kód illetéktelenek tudomására jutásának megakadályozásáért.


16/40

Az OCSP választ kérő fél felelős az OCSP válaszon található elektronikus aláírás helyességének és az OCSP választ aláíró kulcs tanúsítványa érvényességének az ellenőrzésért. Az Előfizető illetve Aláíró részére történő átadást követően Szolgáltató nem vállalhat felelősséget a biztonságos aláírás-létrehozó eszköz elvesztéséből, vagy az aláírás-létrehozó adat (magánkulcs) biztonságának egyéb módon történő sérüléséből, illetve a PIN és/vagy PUK kód illetéktelen személy tudomására jutásából származó károkért. Aláíró felelősséget visel és tudomásul veszi, hogy a magánkulcsával készített elektronikus aláírás a saját elektronikus aláírásának minősül, és viseli ennek jogkövetkezményeit.

2.2.3. Érintett fél felelőssége Az Érintett fél az elektronikus aláírás és a Szolgáltató által kibocsátott tanúsítványok elfogadása során a tőle elvárható gondossággal jár el és az adott helyzetben általában elvárható magatartást tanúsítja. Az Érintett Félnek e tekintetben javasolt megismernie a jelen szolgáltatási szabályzatban rá vonatkozó ajánlásokat.

2.3.

Az anyagi felelősség mértéke

A Szolgáltató anyagi felelősségének mértékéről, illetve annak korlátairól az általános szerződési feltételekben (ÁSZF-PKI) kell rendelkezni. A Szolgáltató az anyagi felelősségre vonhatóság, az általa okozott károkkal kapcsolatos saját felelősség, illetve a neki okozott károkért járó kártérítés megállapíthatósága, dokumentálása és bizonyíthatósága érdekében köteles naplózni tevékenységeit, védeni a naplóbejegyzések sértetlenségét és hitelességét, valamint hosszú távon megőrizni azokat.

2.4.

Értelmezés és alkalmazás

2.4.1. Irányadó jog A Szolgáltató tevékenységét a mindenkor hatályos magyar jogszabályoknak megfelelően köteles végezni. Szerződéseire, szabályzataira és azok teljesítésére a magyar jog az irányadó és azokat a magyar jog szerint kell értelmezni. A Szolgáltató tevékenységére elsősorban az 1.2.2 pontban felsorolt jogszabályok mérvadók: Ezeken túlmenően a Szolgáltatónak az üzleti titkok vonatkozásában az 1996. évi LVII. törvény a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról, a személyes adatok vonatkozásban az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) szerint kell eljárni. Szolgáltató figyelembe veszi még az Európai Parlament és Európa Tanács az elektronikus aláírások közösségi programjáról szóló 1999/93/EK irányelvét is.

2.4.2. Hatályosság, megszűnés, értesítések 2.4.2.1.

Hatályosság

A hitelesítési rend a szolgáltatási szabályzattal és az általános szerződési feltételekkel kiegészítve a felhasználói közösség résztvevőinek valamennyi kötelezettségét, felelősségét és jogát tartalmazza. A fenti dokumentumok egyetlen pontja sem értelmezhető a jelen dokumentumba foglalt értelmezéstől eltérően. A hitelesítési rend személyi és tárgyi hatályát az 1.4.6.1 pont tartalmazza. A hitelesítési rend időbeli hatálya a címlapon feltüntetett hatálybalépés dátumával kezdődik és határozatlan időre szól. Időbeli hatálya megszűnik a szolgáltatási tevékenység beszüntetésekor, illetve egy újabb verzió hatályba lépésével. A hitelesítés rend módosítását a vonatkozó jogszabályok szerint 30 nappal előzetesen be kell jelenteni az illetékes hatóság (NMHH) részére nyilvántartásba vétel céljából.

2.4.2.2.

Megszűnés

A hitelesítési rend a Szolgáltató szolgáltatási tevékenységének befejezésével tekintendő megszűntnek.

2.4.2.3.

Értesítések

A Szolgáltató az Aláírókat, Előfizetőket és Érintett feleket a Szolgáltatások Internetes honlapján történő közzététellel, illetve az Ügyfélkapcsolati Irodában elérhető dokumentumokkal tájékoztatja. Az Ügyfélkapcsolati Iroda az Előfizetőket és Aláírókat esetenként írásban vagy elektronikus úton is értesítheti.


17/40

Az Előfizetők, az Aláírók és az Érintett felek vagy bármely harmadik fél megkeresheti az Ügyfélkapcsolati Irodát írásban postai úton, e-mail-ben vagy faxon, továbbá munkanapokon ügyfélfogadási időben személyesen vagy telefonon. Az írásban vagy elektronikus úton történő kommunikáció esetében a feladó nevét és elérhetőségét fel kell tüntetni és a feladónak a küldeményt hitelesítenie kell.

2.4.3. Vitás kérdések kezelése Bármely vitás kérdés felmerülése esetén az Aláírónak és/vagy az Előfizetőnek kötelessége a Szolgáltató haladéktalan értesítése és teljeskörű tájékoztatása a kérdés minden vonatkozását érintően, a vita jogi útra terelése előtt. Panaszt az Ügyfélkapcsolati Irodán lehet írásban vagy szóban előterjeszteni. A panaszt a Szolgáltató köteles az előterjesztéstől számított 15 munkanapon belül kivizsgálni és ennek eredményéről a panaszost írásban tájékoztatni. A jogviták esetén követendő eljárást az általános szerződési feltételekbe kell foglalni.

2.5.

Díjak

A Szolgáltató jogosult önálló üzletpolitikát kialakítani és Szolgáltatásaiért díjat szedni. A Szolgáltató díjazására vonatkozó információkat a szolgáltatási szabályzat (HSZSZ-M) tartalmazza. A szolgáltatási díjakat a Szolgáltató Internetes honlapján keresztül is közzéteheti.

2.6.

Közzététel

2.6.1. Szolgáltatói információk közzététele A Szolgáltatónak gondoskodnia kell arról, hogy az általa kibocsátott előfizetői és szolgáltatói tanúsítványok, a tanúsítványokkal kapcsolatos szabályzatok, a tanúsítványok felfüggesztett vagy visszavont állapotára vonatkozó információk, valamint az egyéb közérdekű szolgáltatói közlemények és információk az Előfizetők, Aláírók és az Érintett felek részére folyamatosan rendelkezésre álljanak. A Szolgáltatónak a szolgáltatói információkat a Szolgáltatások Internetes honlapján keresztül kell elérhetővé tennie. Szolgáltatónak csak saját elektronikus aláírásával ellátott szabályzatai tekinthetők hitelesnek. A dokumentumok nyomtatott változatai semmilyen formában sem tekinthetők hivatalos példánynak vagy hiteles másolatnak.

2.6.2. A közzététel gyakorisága A Szolgáltató a kibocsátott előfizetői tanúsítványokat a Tanúsítványtárban 24 órán belül köteles közzétenni. A Szolgáltató az általa működtetett hitelesítő központok szolgáltatói tanúsítványait 24 órán belül köteles közzétenni. A Szolgáltató a Visszavont Tanúsítványok listáját a visszavonást (vagy felfüggesztést, illetve az újraérvényesítést) követő 60 percen belül köteles közzétenni. A Szolgáltató a Visszavont Tanúsítványok Listáját legfeljebb 24 óránként frissíti, azaz, két egymást követő viszszavonási lista megjelenése közötti idő nem haladhatja meg a 24 órát.

2.6.3. Elérési szabályok A Szolgáltató minden Aláíró, Előfizető és Érintett fél számára köteles elérhetővé tenni a Szolgáltatások internetes honlapját, a szolgáltatói információk közzététele céljából. A Szolgáltató biztosítja, hogy belső adatbázisait és egyéb adatállományait csak és kizárólag a Szolgáltató biztonsági szabályzatai által meghatározott szerepkörű és jogosultságú munkatársai érhetik el egyénileg differenciált azonosítás-hitelesítési és feljogosítási eljárásban.

2.6.4. Tanúsítványtár és tanúsítvány visszavonási lista A Szolgáltató az általa kibocsátott előfizetői tanúsítványokat a Tanúsítványtárában helyezi el és a Szolgáltatások internetes honlapján teszi hozzáférhetővé. Szolgáltató keresési lehetőséget biztosíthat a Tanúsítványtárban az Aláíró illetve Előfizető tanúsítványban foglalt adatai alapján. A Szolgáltató a tanúsítványok felfüggesztett vagy visszavont állapotára vonatkozó információkat a Szolgáltatások internetes honlapján a visszavont tanúsítványok listája (CRL – Certificate Revocation List) révén teszi elsődlegesen hozzáférhetővé; emellett a tanúsítványok állapotára vonatkozóan Szolgáltató OCSP szolgáltatást is nyújt.


18/40

2.7.

A megfelelőség vizsgálata

Szolgáltatónak megfelelőségi vizsgálatokat és ellenőrzéseket kell elvégeznie illetve elvégeztetnie annak érdekében, hogy a Szolgáltatásaival kapcsolatos folyamatai, személyzete, eszközei és környezete mindenkor megfeleljenek a vonatkozó jogszabályi és szakmai követelményeknek. A Szolgáltatónak a Szolgáltatások nyújtása során olyan elektronikus aláírási terméket kell használnia, amely rendelkezik a 9/2005. (VII. 21.) IHM rendelet szerint kijelölt szervezet vagy ezzel egyenértékű Európai Uniós szervezet által kiadott tanúsítással, illetve szerepel az illetékes hatóság (NMHH) nyilvántartásában. [MTT+BALE] tanúsítványok esetén Szolgáltatónak csak olyan biztonságos aláírás létrehozó eszközt kell biztosítania Előfizetők illetve Aláírók részére, amely rendelkezik a 9/2005. (VII. 21.) IHM rendelet szerint kijelölt szervezet vagy ezzel egyenértékű Európai Uniós szervezet által kiadott tanúsítással, illetve szerepel az illetékes hatóság (NMHH) nyilvántartásában. Fentiek alapján a megfelelőségi vizsgálatoknak ki kell terjedniük az alábbiakra:  dokumentálás és folyamatok megfelelősége, adatvédelem  a személyi állomány ellenőrzése  eszközök, termékek tanúsítottságának megfelelősége  fizikai környezet és szolgáltatói rendszerek biztonsága

2.7.1. Vizsgálatok gyakorisága A megfelelőségi vizsgálatokat a szolgáltatási tevékenység kezdetekor el kell végezni, és rendszeresen meg kell ismételni. A Szolgáltató megbízásából elvégzett külső, illetve belső vizsgálatokat a Biztonsági Szabályzatában megjelölt rendszerességgel kell elvégezni. Az illetékes hatóság (NMHH) által a jogszabályoknak megfelelően végzett átfogó helyszíni ellenőrzésre évente kerül sor. Fentieken túl a vizsgálatokat a jogszabályi feltételek vagy Szolgáltatásokban bekövetkezett jelentősebb változások alkalmával is el kell végezni.

2.7.2. Az átvizsgáló szervezet jellemzői A Szolgáltató megfelelőségi vizsgálatai lehetnek külső vagy belső ellenőrzések illetve auditok. A vizsgálatokat végző szervezeteknek, személyeknek függetlennek kell lenniük a Szolgáltató Szolgáltatásokért felelős szervezeti egységétől. A vizsgálatokat csak megfelelő jogi és szakmai ismeretek birtokában lévő, tapasztalt szakemberek végezhetik.

2.7.3. Hiányosságok kezelése A vizsgálatok során feltárt hiányosságok kezelésére és megszüntetésére Szolgáltatónak eljárásokat kell kialakítania, és ezeket a szolgáltatási szabályzatában (HSZSZ-M) ismertetnie kell.

2.7.4. Eredmény kommunikációja A hiányosságok kezeléséről és megszűntetéséről a Szolgáltató az illetékes hatóságot (NMHH) tájékoztatja. A Szolgáltató nem köteles a feltárt konkrét hiányosságokat nyilvánosságra hozni.

2.8.

Bizalmasság – Adatkezelési elvek

Szolgáltatónak gondoskodnia kell a jogszabályoknak való megfelelésről. Ennek keretén belül:  a felvett adatokat és a fontos bejegyzéseket védenie kell az elveszéstől, tönkretételtől és hamisítástól. A jogszabályoknak való megfelelés, valamint az alapvető üzleti tevékenységek támogatása érdekében szükség van a lényeges bejegyzések biztonságos megőrzésére is.  biztosítania kell az adatvédelmi törvényeknek való megfelelést  megfelelő technikai és szervezeti intézkedéseket kell hoznia a személyes adatok felhatalmazás nélküli, illetve törvénytelen kezelése ellen, valamint a személyes adatok véletlen elveszése, megsemmisülése, illetve károsodása ellen,  gondoskodnia kell az Aláíróra vonatkozó adatok és információk bizalmas kezeléséről, kivéve, ha felfedésükhöz ők maguk hozzájárulnak, vagy ha bíróság illetve jogszabály ezt előírja


19/40

2.8.1. Bizalmas információk Szolgáltató bizalmas információként kell kezelje az Aláírók valamint Előfizetők (tanúsítványba foglalt adatai kivételével) minden olyan adatát, amely nem nyilvános adat. Szolgáltató ezen kívül bizalmas információként kezelje a következő adatokat és dokumentumokat:    

magánkulcsok és aktivizáló kódok, tanúsítványigénylések és szerződések, tranzakciós és napló adatok, nem nyilvános szabályzatok, illetve minden olyan adat, amelynek nyilvánosságra kerülése a szolgáltatás biztonságát előnytelenül befolyásolná.

2.8.2. Nem bizalmas információk A Szolgáltató a regisztrációs űrlapon köteles külön jelölni mindazon adatokat, melyek – az Előfizető vagy az Aláíró hozzájárulásával - a Tanúsítványtárban hozzáférhető előfizetői tanúsítványban nyilvánosságra kerülnek.

2.8.3. Tanúsítvány visszavonási és felfüggesztési okok felfedése A Szolgáltató az általa kibocsátott tanúsítványok felfüggesztését és visszavonását tanúsítvány-visszavonási listákban, illetve OCSP szolgáltatás keretében teszi közzé. A Szolgáltató a tanúsítvány visszavonás okát a vonatkozó szakmai ajánlások által támogatott módon fel kell tüntesse a visszavonási listában, illetve az OCSP kérésekre adott válaszaiban. Ezen kívül a visszavonással kapcsolatos minden egyéb adatot bizalmasan kell kezeljen.

2.8.4. Feltárás törvényi meghatalmazással rendelkezők részére A Szolgáltató az elektronikus aláírás felhasználásával elkövetett bűncselekmények felderítése vagy megelőzése céljából, illetőleg nemzetbiztonsági érdekből – az érintett személyazonosságát igazoló adatok tekintetében – az Eat. 11.§ paragrafusa alapján köteles adatokat továbbítani a nyomozó hatóságnak és a nemzetbiztonsági szolgálatoknak. Az adatátadás tényét rögzíteni kell, az adatátadásról a Szolgáltató sem az Előfizetőt sem az Aláírót nem tájékoztathatja.

2.8.5. Információszolgáltatás polgári eljárás keretében A Szolgáltató a tanúsítvány érvényességét érintő polgári peres, illetve nem peres eljárás során - az érintettség igazolása esetén - az Aláíró személyazonosságát igazoló adatokat átadhatja az ellenérdekű peres félnek vagy képviselőjének feltárhat bizalmas felhasználói információkat, illetőleg azt közölheti a megkereső bírósággal az Eat. 11.§ paragrafusa alapján. A Szolgáltató köteles rögzíteni az információszolgáltatás tényét és arról az Előfizetőt tájékoztatni.

2.8.6. Feltárás tulajdonos kérésére Szolgáltató a törvényi meghatalmazással rendelkezők részére történő adatszolgáltatáson túl más Társaság üzleti titkát, az Előfizetők és az Aláírók nem nyilvános személyes adatait csak az Aláíró illetve Előfizető írásos meghatalmazása alapján tárhatja fel harmadik fél részére.

2.8.7. Feltárás más esetekben Szolgáltatónak tevékenysége befejezésekor nyilvántartásait, a bizalmas adatokkal együtt, át kell adnia más - vele azonos besorolású – szolgáltató részére az Eat. 16. § (2.) bekezdése szerint.

2.9.

Szellemi tulajdonhoz fűződő jogok

A Szolgáltató által ügyfelei részére kibocsátott tanúsítvány és az ennek megfelelő kulcspár tulajdonosa az Előfizető, teljes jogú használója pedig az Aláíró, tekintet nélkül arra a fizikai közegre, amely tárolja és védi a kulcsokat. A Szolgáltató a tanúsítványt a kikötéseiben és feltételeiben ismertetett módon közzéteheti, sokszorosíthatja, viszszavonhatja, s egyéb módon kezelheti. A visszavonási információ a Szolgáltató tulajdonát képezi. A Szolgáltató által az Aláíró részére kibocsátott egyedi azonosító a Szolgáltató tulajdonát képezi. A tanúsítványban szereplő megkülönböztető név használatára a megnevezett Aláíró jogosult.


20/40

Az Aláíró egyedi azonosítójában szereplő bármilyen védjegy, szervezeti és személynév, egyéb adat az Előfizető vagy Aláíró tulajdonát képezheti. A Szolgáltató szabályzatai, szerződéses feltételei a Szolgáltató tulajdonát képezik. A tanúsítványban szereplő hitelesítő azonosító a Szolgáltató tulajdonát képezi.


21/40

3. Azonosítás és hitelesítés 3.1.

Regisztráció

A Szolgáltatónak a tanúsítvány igényléséhez szükséges regisztráció során: a.

gondoskodnia kell arról, hogy az igénylők illetve Előfizetők tanúsítvány kérelmei pontosak, hitelesek és teljesek legyenek

b.

megfelelő források igazolásán alapulva meg kell vizsgálnia az Aláírók és Előfizetők azonosságára vonatkozó bizonyítékokat, valamint nevük és a hozzá kapcsolódó adatok pontosságát

3.1.1. Nevek típusa. Álnevek használata. Valódi nevek: A tanúsítványban szereplő valódi név (betű-, szóköz- és ékezet-helyesen) azonos kell legyen a regisztráció során a személyazonosság igazolására elfogadott hatósági személyazonosító igazolványban (személyi igazolvány, jogosítvány vagy útlevél) feltüntetett névvel. Álnevek használata: A közigazgatásban alkalmazható tanúsítványok ([KET] esetén Szolgáltató kizárja az álnevek használatát, kivéve, ha a tanúsítványt a külön jogszabályban meghatározott pszeudonim azonosítási szinthez kapcsolódó elektronikus ügyintézéshez igényelték. A közigazgatásban nem alkalmazható tanúsítványok esetén ([NKET]) Szolgáltató biztosítja az álnév használatát, Előfizető erre vonatkozó kifejezett igénye alapján. Az álnevet a tanúsítványban jelezni kell.

3.1.2. Nevek szemantikája A tanúsítványokban szereplő névmegadás meg kell feleljen az ITU-T5 X.500 ajánlásának. A nevek megadásakor a következő szabályok szerint kell eljárni: Természetes személy alany esetében a tanúsítványban feltüntetett név azonos kell legyen a személyazonosság igazolására elfogadott hatósági személyazonosító igazolványban foglalt névvel betű szerint megegyezően, a névben szereplő ékezetes betűket eredeti írásmódjuk szerint feltüntetve a CN mezőben, az UTF-8 kódolást használva. Nem természetes személy alany vagy álnév használata esetében a tanúsítványban feltüntetett név megegyezik az Előfizető által az igénylés során megadott névvel, az UTF-8 kódolást használva. A Szolgáltató fenntartja a jogot az egyes személyeket vagy csoportokat esetlegesen sértő (pl. jóízlést, szemérmet, etnikai hovatartozást sértő) álnevek és egyéb adatok megadásának elutasítására.

3.1.3. Nevek egyedisége A Szolgáltató köteles biztosítani a tanúsítványokban használt megkülönböztető nevek (DN) egyediségét. Erről a Szolgáltató elsődlegesen az Aláíró nevének valamint egy Szolgáltató által alkalmazott egyedi azonosítónak a „Tulajdonos” mezőben való szerepeltetésével kell gondoskodnia. A megkülönböztető nevek egyediségére Aláíró email címe is felhasználható, a „Tulajdonos alternatív neve” mezőben való szerepeltetéssel

3.1.4. Név igénylési viták feloldása Szolgáltatónak a név igénylési viták feloldásával kapcsolatos eljárását a szolgáltatási szabályzatában (HSZSZM) ismertetnie kell.

3.1.5. Védjegyek elismerésének és hitelesítésének módszere Szolgáltatónak a védjegyek elismerésével és hitelesítésével kapcsolatos eljárását a szolgáltatási szabályzatában (HSZSZ-M) ismertetnie kell.

5

„Information Technology - Open Systems Interconnection - The directory: Overview of concepts, models and services”


22/40

3.1.6. Az aláírás-létrehozó adat birtoklás ellenőrzésének módszere [MTT+BALE] tanúsítványok esetén az Aláíró számára az aláírás-létrehozó adat és az aláírás-ellenőrző adat (kriptográfiai kulcspár) előállítása a Szolgáltatások keretében és a Szolgáltató által kell történjen, kiemelt biztonságú környezetben. A kriptográfiai kulcspár a biztonságos aláírás-létrehozó eszközön áll elő, ezért az aláírás-létrehozó adat és az aláírás-ellenőrző adat birtoklásának és egymáshoz tartozásának ellenőrzésére nincs szükség, csupán a biztonságos aláírás-létrehozó eszköz átvételének igazolása szükséges. A biztonságos aláírás-létrehozó eszköz átvételénél az Aláíró vagy az Előfizető által kijelölt személy aláírásával igazolja ezek valamint a kapcsolódó aktivizáló adatok (PIN illetve PUK kód) átvételét. [MTT] tanúsítványok esetén az Aláíró számára az aláírás-létrehozó adat és az aláírás-ellenőrző adat (kriptográfiai kulcspár) előállítása a Szolgáltatások keretében és – az alábbiakban jelzett kivételtől eltekintve – a Szolgáltató által kell történjen, kiemelt biztonságú környezetben. Erre tekintettel az aláírás-létrehozó adat és az aláírásellenőrző adat birtoklásának és egymáshoz tartozásának ellenőrzésére nincs szükség, csupán az aláíráslétrehozó adat és a kapcsolódó tanúsítvány átvételének igazolása szükséges. A aláírás-létrehozó adat átvételénél az Aláíró vagy az Előfizető által kijelölt személy aláírásával igazolja ezek valamint a kapcsolódó aktivizáló adat (PIN kód) átvételét. Azon [MTT] tanúsítványok esetén, amelyeknél a kriptográfiai kulcspárt - a Szolgáltató és Előfizető közös megegyezése alapján - az Előfizető generálja le, az aláírás-létrehozó adat és az aláírás-ellenőrző adat birtoklásának és egymáshoz tartozásának ellenőrzéséhez Előfizető ún. PKCS10-es kérést kell benyújtson az igénylés keretében, Szolgáltató regisztrációs szervezetéhez.

3.1.7. Személyazonosság megállapítása A tanúsítványok igénylésekor az Előfizető részéről eljáró természetes személy igénylőt (munkatársi tanúsítvány esetén az Aláírót, szervezeti vagy eszköz tanúsítvány esetén a kapcsolattartót) az Eat. 12. § értelmében a Szolgáltató köteles ellenőrizni illetve a személyazonosságát megállapítani. A személyazonosság megállapítása – jelen hitelesítési rendben jelzett minősített tanúsítványok esetén - kizárólag személyes megjelenés keretében történhet, az igénylő személyazonosító igazolványa, útlevele, gépjármű vezetői engedélye vagy egyéb, személyazonosításra alkalmas okmánya alapján, amely okmány adatait a regisztrációs űrlapnak is tartalmaznia kell. A tanúsítvány megrendelés nem fogadható el, ha az okmányok személyhez tartozásával, eredetiségével, valódiságával vagy érvényességével kapcsolatban kétsége merül fel. A személyazonosság hitelesítésének eljárását Szolgáltatónak a szolgáltatási szabályzatában (HSZSZ-M) kell ismertetnie. [KET] Közigazgatásban alkalmazható, hatóságok által használt aláíráshoz tartozó tanúsítvány esetén a személyazonosság megállapítása - a vonatkozó jogszabály (78/2010. Kormányrendelet 12§ 2). bekezdés) alapján, erre vonatkozó előzetes megállapodást követően – az illetékes hatóság humánpolitikai szervezete által is elvégezhető, a saját személyzeti nyilvántartására alapozva. Ez esetben nem szükséges az Eat. 12. § szerinti ellenőrzés elvégzése, és Szolgáltató elfogadja az így elvégzett regisztrációt.

3.1.8. Szervezeti azonosság és hovatartozás megállapítása Az tanúsítványok igénylésekor a személyazonosság megállapításán túl az Előfizető (mint képviselt szervezet) azonosítását is el kell végezni, mivel a szervezet adatai is bekerülnek a tanúsítványba. Igazolni kell azt is, hogy az Előfizető részéről eljáró természetes személy valóban az Előfizető szervezetéhez tartozik, illetve hogy jogosult a szervezet nevében az adott tanúsítványt igényelni. A szervezet azonosítása történhet 30 napnál nem régebbi cégkivonat vagy – nem gazdasági társaság esetén – egyéb hivatalos szervezeti dokumentum alapján. A szervezethez tartozás illetve az igénylési jogosultság a szervezet erre vonatkozó nyilatkozata és a hivatalos képviselő aláírási címpéldánya alapján igazolható. A tanúsítvány megrendelés nem fogadható el, amennyiben a dokumentumok tartalmával, szervezethez tartozásával, eredetiségével, valódiságával vagy érvényességével kapcsolatban kétség merül fel. A szervezet azonosításának eljárását Szolgáltatónak a szolgáltatási szabályzatban (HSZSZ-M) kell ismertetnie

3.1.9. Eszköz azonosság megállapítása Amennyiben az Aláíró nem természetes személy hanem egy szervezet illetve gépi aláírás esetén, a tanúsítvány igénylésekor az Előfizető részéről eljáró természetes személy (kapcsolattartó) illetve a szervezet azonosítása mellett szükséges az Előfizető írásos nyilatkozata az eszköz megnevezéséről valamint hozzájárulásáról ahhoz, hogy a kapcsolattartó jogosult a szervezet nevében az adott tanúsítványt igényelni. A tanúsítvány megrendelés nem fogadható el, ha az azonosítás-hitelesítés vagy az azt követő ellenőrzések során a kapcsolattartónak vagy az eszköznek az Előfizetőhöz tartozásával kapcsolatban kétség merül fel.


23/40

4. A tanúsítvány-életciklusra vonatkozó követelmények 4.1.

Tanúsítványigénylés

A Szolgáltatónak azt megelőzően, hogy egy Előfizetővel szerződéses kapcsolatot létesít, tájékoztatnia kell az Előfizetőt (illetve az Aláírókat) a tanúsítvány használatával kapcsolatos kikötésekről és feltételekről. Tanúsítvány igényléséhez ki kell tölteni egy Szolgáltató által erre a célra rendszeresített regisztrációs űrlapot és le kell folytatni a szolgáltatási szabályzatban részletezett regisztrációs eljárást. Az űrlap igényelhető az Ügyfélkapcsolati Irodánál, vagy letölthető a Szolgáltatások internetes honlapjáról. A regisztrációs űrlap aláírásával a tanúsítvány igénylő hozzájárul a Szolgáltatások nyújtásához szükséges adatoknak a Szolgáltató által történő nyilvántartásba vételéhez, tanúsítványa és az azzal kapcsolatos állapot információk szolgáltatói tanúsítványtárban való közzétételéhez, s ezen adatok harmadik félhez történő továbbításához a Szolgáltató szolgáltatásainak leállítása esetén, illetve egyéb, jogszabályok által meghatározott esetekben. Az igénylés keretében Előfizetőnek alá kell írnia a Szolgáltatásokra vonatkozó Előfizetői Szerződést. Az Előfizetői Szerződés aláírásával Előfizető egyúttal nyilatkozik arról is, hogy a Szolgáltató feltételei és kikötései, valamint saját kötelezettségei vonatkozásában tájékoztatást kapott, azokat elfogadja. Az Előfizető illetőleg igénylő aláírásával igazolja azt is, hogy: a. vállalja az aláírás-létrehozó eszköz használatát, védelmét b. garantálja feltüntetett adatainak valódiságát c. megfizeti a szolgáltatások díját d. az adatok későbbi változásairól a Szolgáltatót értesíti. A regisztráció során az Ügyfélkapcsolati Iroda nyilvántartásba veszi az Aláíró azonosítására használt adatokat, beleértve az igazoláshoz használt dokumentumokat és az azok érvényességével kapcsolatos esetleges korlátozásokat.

4.2.

A tanúsítvány kérelem feldolgozása

4.2.1. Azonosítási funkciók megvalósítása A Szolgáltató a jelen hitelesítési rend 3. fejezetében leírt azonosítási követelmények szerint kell eljárjon a regisztráció illetve a tanúsítvány kérelem feldolgozása során.

4.2.2. A tanúsítványigénylés jóváhagyása vagy visszautasítása Sikeres regisztráció után az Ügyfélkapcsolati Iroda a tanúsítvány igényt a Regisztrációs Iroda felé továbbítja. Amennyiben a regisztráció sikertelen, az Ügyfélkapcsolati Iroda hiánypótlásra szólíthatja fel az Előfizetőt illetve az Aláírót. Ennek elmaradása esetén Szolgáltató a tanúsítványigénylést visszautasítja, és erről írásban értesíti az Előfizetőt. A tanúsítványigénylés visszautasítása esetén a Szolgáltató nem köti meg az Előfizetői szerződést.

4.2.3. A tanúsítványigénylések feldolgozásának időtartama A tanúsítványigénylések feldolgozásának időtartama – jelen hitelesítési rend 2.1.1 pontjának megfelelően - legfeljebb 30 nap.

4.3.

Tanúsítvány kibocsátás

Sikeres regisztráció után a Regisztrációs Iroda előállítja a tanúsítványkérelmet, majd a hitelesítés szolgáltatást támogató informatikai rendszerben elindítja a tanúsítvány kibocsátást. Az elkészült tanúsítványt az Aláíró vagy Előfizető kijelölt kapcsolattartója személyesen kell átvegye az Ügyfélkapcsolati Iroda munkatársától.

4.4.

Tanúsítvány elfogadás

A tanúsítvány elfogadása az Aláíró vagy az Előfizető kijelölt kapcsolattartója részéről az átvétellel történik meg. Az átvétel során illetve az aláírás-létrehozó adat használatba vétele előtt az Aláírónak illetve Előfizető kijelölt kapcsolattartójának köteles ellenőrizni a tanúsítványban feltüntetett adatok helyességét. Amennyiben bármilyen rendellenességet talál, az aláírás-létrehozó adatot nem használhatja fel, hanem azonnal intézkednie kell a tanúsítvány visszavonására.


24/40

4.4.1. Tanúsítvány közzététele a hitelesítés-szolgáltató által Az Előfizető illetve az Aláíró hozzájárulása esetén a Szolgáltató a kibocsátott tanúsítványokat Tanúsítványtárában teszi közzé.

4.4.2. A további szereplők értesítése a tanúsítvány kibocsátásáról Közigazgatásban használható tanúsítványok esetén ([KET]), amennyiben a tanúsítvány hivatali ügyintéző részére került kiadásra, a vonatkozó jogszabályoknak megfelelően (78/2010- Kormány rendelet szerint), a Szolgáltatónak a kibocsátott tanúsítványokról értesítenie kell az ügyintéző hivatalát is.

Kulcspár és tanúsítvány használat

4.5.

4.5.1. Az alany magánkulcs- és tanúsítvány használata Az Aláíró magánkulcsát és tanúsítványát csak a tanúsítvány elfogadása után (lásd 4.4 pont), az előfizetői szerződésben rögzített korlátozásnak megfelelően használhatja. Az Aláíró magánkulcsát csak olyan célokra és olyan alkalmazásokkal használhatja, melyek összhangban vannak a tanúsítványok „kulcshasználat” és „kiterjesztett kulcshasználat” mezőinek tartalmával. Az Aláíró a tanúsítvány lejárta után nem használhatja tovább magánkulcsát.

4.5.2. Az Érintett felek nyilvános kulcs- és tanúsítvány használata Annak érdekében, hogy az Érintett fél megalapozottan hagyatkozhasson a tanúsítvánnyal igazolt kriptográfiai kulcspár használatával működő alkalmazásra, a kulcspár megfelelő használatát és a hozzá tartozó tanúsítványt az adott helyzetben tőle általában elvárható gondossággal ajánlott ellenőriznie. Ennek során többek között az alábbiakra ajánlott figyelemmel lennie: a.

Az Érintett félnek ajánlott csak olyan célokra és olyan alkalmazásokkal nyilvános kulcsokat elfogadni, melyek összhangban vannak a megfelelő tanúsítványok „kulcshasználat” és „kiterjesztett kulcshasználat” mezőinek tartalmával.

b.

Mielőtt egy tanúsítványba foglalt nyilvános kulcsot felhasználna, az Érintett félnek ajánlott ellenőrizni a tanúsítvány érvényességét, valamint azt, hogy a tanúsítvány nincs felfüggesztve, illetve visszavonva az érvényes visszavonási állapot információ alapján.

c.

Amennyiben ésszerű módon egy tanúsítványra kíván hagyatkozni, az Érintett félnek ajánlott figyelembe vennie a tanúsítvány felhasználására vonatkozó valamennyi korlátozást, mely a tanúsítványban szerepel.

Tanúsítványok érvényessége, megújítása

4.6.

4.6.1. A tanúsítványok érvényessége A Szolgáltató által kibocsátott előfizetői tanúsítványok érvényességi ideje 2 év, de ettől rövidebb is lehet (1 év), mely esetben az időtartamot az előfizetői szerződésben rögzíteni kell Az érvényesség kezdete (év, hónap, nap, óra, perc, másodperc) nem lehet korábbi, mint a kibocsátás napja. Az 1 éves érvényességi idővel kibocsátott előfizetői tanúsítványok érvényessége az Előfizető kérésére az érvényességi idő lejárata előtt legfeljebb egy alkalommal és legfeljebb egy évre meghosszabbítható (tanúsítvány megújítás).

4.6.2. A tanúsítványok megújítása Tanúsítvány megújítás során a Szolgáltató a tanúsítványban az Aláíró változatlan nyilvános kulcsát és változatlan egyéb adatait hitelesíti új érvényességi időtartamra (előző pontnak megfelelően). Tanúsítvány megújítása akkor lehetséges, ha: a.

a tanúsítvány még nem járt le, és nem szerepel a visszavonási listában

b.

a tanúsítványban rögzített adatok érvényességéről és változatlanságáról az Előfizető írásban nyilatkozik.

A Szolgáltató regisztrációs szervezete az Előfizető nyilatkozata alapján adatai érvényességéről és változatlanságáról az illetékes hatóságokkal egyeztetést végezhet. Ha a feltételek teljesülnek, Szolgáltató megújítja a tanúsítványt, és publikálja a Tanúsítványtárában. A tanúsítványt Aláíró vagy Előfizető kijelölt kapcsolattartója letöltheti a Szolgáltató Tanúsítványtárából.


25/40

Ha a feltételek valamelyike nem teljesül, új tanúsítványt kell igényelni a regisztrációs eljárás újbóli végrehajtásával. A Szolgáltató a tanúsítvány megújítás szükségességéről a lejárat előtt értesítést küldhet az Előfizetőnek és/vagy Aláírónak.

4.6.3. Érvénytelen tanúsítványok megőrzése A Szolgáltató a lejárt és a visszavont előfizetői tanúsítványokat a lejárattól, illetve a visszavonástól számított 10 évig, illetve a tanúsítványhoz kapcsolódó privát kulccsal aláírt elektronikus dokumentummal kapcsolatos jogvita lezárásáig megőrzi. A Szolgáltató ugyanezen határidőig olyan eszközt biztosít, mellyel a kibocsátott tanúsítvány tartalma megállapítható. E megőrzési kötelezettségnek a Szolgáltató minősített archiválási szolgáltató igénybevételével is eleget tehet.

4.7.

Kulcscsere

A kulcscsere az a folyamat, amelynek során a Szolgáltató úgy bocsát ki egy új tanúsítványt egy már kibocsájtott tanúsítványhoz kapcsolódó Aláíró számára, hogy az új tanúsítvány az Aláíró változatlan adatai mellett az új nyilvános kulcsát tartalmazza. Kulcscserére a következő esetekben lehet szükség: a.

a tanúsítvány valamilyen okból visszavonásra került,

b.

a tanúsítvány lejárt,

c.

a magánkulcsot tartalmazó biztonságos aláírás-létrehozó eszköz megsérült és nem használható

A kulcscserét az Előfizető kezdeményezheti. Kulcscsere esetén a Szolgáltató lefolytatja a regisztrációs eljárást. A kulcscsere keretében az új tanúsítvány kibocsátása és publikálása megegyezik az új tanúsítványra vonatkozó eljárásokkal.

4.8.

Tanúsítvány-módosítás

A tanúsítvány-módosítás az a folyamat, amelynek során a hitelesítés-szolgáltató úgy bocsát ki egy módosított tanúsítványt, hogy abban az eredeti tanúsítvány alanyra vonatkozó adatai – a nyilvános kulcs kivételével – változnak, és a tanúsítvány az új adatokkal, valamint a régi nyilvános kulccsal kerül kiadásra. Tanúsítvány-módosítást Szolgáltató jelen hitelesítési rend szerinti tanúsítványokra nem engedélyez.

4.9.

Tanúsítvány visszavonás és felfüggesztés

A Szolgáltató a tanúsítványok érvényességének kezelésére mind tanúsítvány visszavonási, mind tanúsítvány felfüggesztési szolgáltatást nyújt (felfüggesztés esetében a tanúsítvány csak rövid, átmeneti időszakra lesz érvénytelen). Ennek keretében a tanúsítvány visszavonási és felfüggesztési kérelmeket köteles feldolgozni és az állapotváltozást valamint a visszavonási információkat köteles közzétenni az előírások szerinti időn belül. Az erre vonatkozó részletes eljárásrendet Szolgáltatónak a szolgáltatási szabályzatában (HSZSZ-M) ismertetnie kell.

4.9.1. Visszavonáshoz/felfüggesztéshez vezető körülmények A Szolgáltatónak a szolgáltatási szabályzatában (HSZSZ-M) ismertetnie kell, hogy a vonatkozó jogszabályban (Eat) felsorolt esetekben illetve azokon túl milyen körülmények között lehet, illetve kell visszavonási illetve felfüggesztési kérelmet benyújtani.

4.9.2. Visszavonás kérelmezése Tanúsítvány visszavonását az előző pontban feltüntetett körülmények alapján az Aláíró, az Előfizető vagy annak regisztráció során nyilvántartásba vett kapcsolattartója, a Szolgáltató, az illetékes hatóság (NMHH) vagy más harmadik fél kezdeményezheti. Az Előfizetőnek és a Szolgáltatónak kötelessége, harmadik félnek joga az előző (4.9.1.) pontban feltűntetett esetekben a visszavonás azonnali kezdeményezése.

4.9.3. Visszavonási kérelemre vonatkozó eljárás Visszavonási igényt írásban vagy személyesen kell benyújtani Szolgáltató részére. Szolgáltatónak ellenőriznie kell a kérelmező jogosultságát, valamint a kérelemben foglalt tanúsítvány adatait, és meg kell állapítani a visszavonási okát.


26/40

Ha a visszavonási okok megalapozottak és az ellenőrzések sikeresek, a Szolgáltató el kell végezze a tanúsítvány visszavonását és ezt közzé kell tegye a visszavont tanúsítványok listájában. Szolgáltatónak a visszavonás megtörténtéről vagy visszautasításáról értesítenie kell az Aláírót, az Előfizetőt illetve a visszavonás kérelmezőjét. Tanúsítvány visszamenőleges visszavonása nem megengedett. Szolgáltató a már egyszer végérvényesen viszszavont tanúsítvány érvényességét nem állíthatja vissza érvényesre.

4.9.4. A felfüggesztési kérelemre vonatkozó eljárás 4.9.4.1.

Ki kérelmezheti a felfüggesztést

A felfüggesztést kérelmezheti az Aláíró vagy az Előfizető illetve annak képviselője, valamint harmadik személy. A Szolgáltató is kezdeményezheti a tanúsítvány felfüggesztését, ha: a.

a Szolgáltató tudomására jutott alapos gyanú a regisztrációs adatok valótlanságáról,

b.

az Előfizető vagy az aláíró visszavonási kérelme kiegészítésre szorul.

4.9.4.2.

A felfüggesztési eljárás

A felfüggesztési eljárás megegyezik a visszavonási eljárással (lásd 4.9.3 pont), az alábbi kiegészítésekkel. Tanúsítvány felfüggesztési igény telefonon is bejelenthető a Szolgáltató Ügyfélszolgálatán. Telefonon történt bejelentés esetén a Szolgáltató a személyes adatok bemondása után felfüggesztési jelszóval azonosítja a felfüggesztés kérelmezőjét, majd elvégzi a felfüggesztés kérelem formai és tartalmi ellenőrzését, illetve ezek sikeressége esetén a tanúsítvány felfüggesztését. A felfüggesztett tanúsítványok is a visszavont tanúsítványok listájában kerülnek közzétételre,

4.9.5. Kivárási idő visszavonási/felfüggesztési kérelem esetén A visszavonási/felfüggesztési kérelem esetén a Szolgáltató soron kívül köteles megtenni ennek végrehajtását a kérelem elfogadása után. A Szolgáltató akkor tekinti a visszavonási/felfüggesztési kérelmet elfogadottnak, ha annak jogosságáról meggyőződött.

4.9.5.1.

Kivárási idő felfüggesztési kérelem esetén

a.

Felfüggesztési kérelem esetén a kérelem elfogadására a Szolgáltató nem alkalmaz kivárási időt. A felfüggesztési kérelem elfogadását követően azonnal intézkedik a tanúsítvány felfüggesztéséről, majd a tanúsítvány-állapot megváltozását nyilvántartásában átvezeti és a felfüggesztési állapotot 1 órán belül közzéteszi.

b.

Ha a Szolgáltatónak a felfüggesztési kérelem hitelességéről kétségei merülnek fel, akkor a felfüggesztési kérelmet azonnal visszautasítja.

4.9.5.2.

Kivárási idő visszavonási kérelem esetén

Visszavonási kérelem esetén a kérelem elfogadására a Szolgáltató kivárási időt alkalmaz: a.

A Szolgáltató a visszavonási kérelem fogadásától számított 3 órán belül dönt a kérelem érvényességéről (elbírálja a kérelmező jogosultságát), és érvényes kérelem esetén a visszavonási állapot megváltozását nyilvántartásában átvezeti.

b.

Ha a Szolgáltató a visszavonási kérelem érvényességéről 3 órán belül nem tud kétséget kizáróan meggyőződni, akkor erről a kérelmezőt értesíti és a tanúsítványt nem visszavonja, hanem 4.9.4.2 pont szerint felfüggeszti. A visszavonást később, a kérelmező hiteles azonosítását követően végzi el.

c.

A visszavonási kérelem elfogadását követően a Szolgáltató a visszavonási kérelem szerint módosított visszavonási állapotot 1 órán belül közzéteszi.

4.9.6. A Szolgáltatót és az Előfizetőt érintő felelősségi szabályok a.

A visszavonási/felfüggesztési kérelem bejelentésének a Szolgáltatóhoz történő megérkezéséig és elfogadásáig az ÁSZF-PKI-nek megfelelően az Előfizető illetve Aláíró felelős a felmerülő károkért.

b.

A visszavonási/felfüggesztési kérelem elfogadásától a visszavonás/felfüggesztés tényének a visszavont tanúsítványok listájában való megjelenésig a Szolgáltató felelős a felmerülő károkért. Ez alól kivételt képez a bizonyíthatóan csalárd szándékkal történt visszavonás/felfüggesztés kérés, amely esetben a felmerülő károkért a Szolgáltató nem vállal felelősséget.

c.

A felfüggesztett/visszavont tanúsítványnak a visszavont tanúsítványok listájában való megjelenése után az Érintett fél felelős a felmerülő károkért.


27/40

Az Érintett fél, amennyiben a tudomására jut egy adott tanúsítvány érvénytelenségére utaló információ, nem hagyatkozhat kizárólag a visszavont tanúsítványok listájában megjelenő érvényességi adatokra.

4.9.7. Felfüggesztett állapotra vonatkozó korlátozások, újraérvényesítés 4.9.7.1. A felfüggesztés megengedett időtartama Tanúsítvány felfüggesztett állapotban legfeljebb 5 naptári napig lehet. Ha a felfüggesztést az Előfizető vagy az Aláíró kérte, akkor a kérelmezőnek ezen időszak alatt értesítenie kell a Szolgáltatót a tanúsítvány érvényesítése vagy visszavonása felől. Ha ilyen értesítés nem történik Szolgáltató a tanúsítványt visszavonja. Ha a felfüggesztésről a Szolgáltató határozott, akkor 5 napon belül dönt a tanúsítvány visszavonásáról is. Amenynyiben Szolgáltató nem képes ezen időszak alatt a körülmények kivizsgálására, akkor a tanúsítványt visszavonja, valamint az Előfizető igénye estén részére térítésmentesen új tanúsítványt bocsát ki.

4.9.7.2. A felfüggesztés megszüntetése A felfüggesztés megszüntetésének, és ezzel a tanúsítvány újraérvényesítésének feltételei a következők: a.

Az újraérvényesítést csak az Aláíró, Előfizető vagy annak a regisztráció során nyilvántartásba vett képviselője kérheti,

b.

Az újraérvényesítést kérő személyt azonosítani kell.

c.

A felfüggesztés megszüntetése csak a felfüggesztési időszak vége előtt kérhető

Az újraérvényesítés kéréséhez a következő adatokat kell megadni: a.

a felfüggesztett tanúsítvány sorszáma,

b.

a felfüggesztés megszüntetését kérő személy azonosító adatai,

c.

a felfüggesztés megszüntetésének oka.

4.9.8. A visszavonási információ ellenőrzése az érintett felek részéről Ha az Érintett felek kellő gondossággal kívánnak eljárni a tanúsítvány visszavonási állapotának ellenőrzésekor, akkor indokolt meggyőződniük a tanúsítvány visszavonási információ hitelességéről is.

4.9.9. Visszavonási lista (CRL) és kibocsátásának gyakorisága A visszavonási listában a visszavont és felfüggesztett tanúsítványok kerülnek feltüntetésre. A felfüggesztett tanúsítványok az újraérvényesítés hatására kerülhetnek ki a listából. Szolgáltató fenntartja a jogát arra vonatkozóan, hogy a lejárt tanúsítványokat kitörölje a listából. A Szolgáltató által kezelt visszavonási listák érvényességi ideje 24 óra. Szolgáltató legkésőbb a lista érvényességi idejének lejártakor új listát bocsát ki, szintén 24 órás érvényességi idővel. A Szolgáltató egy-egy tanúsítvány felfüggesztését, visszavonását illetve újraérvényesítését követően 1 órán belül új visszavonási listát tesz közzé.

4.9.10. A visszavonási lista előállítása és közzététele közötti leghosszabb idő A visszavonási lista előállítása és közzététele közötti leghosszabb idő 1 óra lehet.

4.9.11. A visszavonási listák ellenőrzése A visszavonási listákat az Érintett feleknek ajánlott ellenőrizni - saját felelősségükre - a tanúsítványok elfogadását megelőzően. A tanúsítványhoz tartozó visszavonási lista elérhetőségét a tanúsítvány tartalmazza. A lista ellenőrzése abból áll, hogy a kérdéses tanúsítványt a lista tartalmazza-e (és ha igen, milyen időponttól), a lista hiteles és sértetlen-e, s a kérdéses tranzakció szempontjából időben releváns-e.

4.9.12. Visszavonási állapot közlés más formái A Szolgáltató a visszavonási listák közzététele mellett online tanúsítvány-állapot szolgáltatást (OCSP) is nyújt (ld. 4.11 pont).

4.9.13. Intézkedések magánkulcs kompromittálódás esetén Az aláírás-létrehozó adat tényleges vagy vélelmezett kompromittálódása esetén a tanúsítvány visszavonásáról illetve felfüggesztéséről azonnal intézkedni kell. Alapos gyanú esetén az aláírás-létrehozó adat használatát azonnal be kell szüntetni.


28/40

Az Előfizetőnek kötelessége a kompromittálódott aláírás-létrehozó adat által esetlegesen érintett felek értesítése, és minden intézkedés megtétele az esetleges károk megelőzése és enyhítése érdekében.

4.10. Kulcsletét A Szolgáltató kulcsletétet nem szolgáltat.

4.11. OCSP szolgáltatás OCSP szolgáltatás igénylése esetén a felhasználói közösséget tájékoztatni kell a használat módjáról, az azzal járó kötelezettségekről és felelősségről. Az OCSP kérelmek teljesítését a Szolgáltató hitelesítő szervezete automatikusan végzi: a. a kérelmet a szolgáltatás igénybe vétele céljából definiált kommunikációs csatornán keresztül, a tanúsítványban szereplő címen fogadja, b. az OCSP kérés kiszolgálása az RFC 2560 ajánlás szerinti „application/ocsp-request” MIME-TYPE elküldésére valósul meg. Az OCSP válaszban megadott idő 1 másodpercen belüli pontosságot kell biztosítson. Az OCSP válaszadó egység órájának pontosságát folyamatosan ellenőrizni kell.


29/40

Fizikai, eljárásrendi, és személyi biztonsági szabályozások

5.

A Szolgáltatónak gondoskodnia kell arról, hogy kellő, az elismert szabványoknak megfelelő fizikai, eljárásbeli és személyzeti biztonsági óvintézkedések, illetve az ezeket érvényre juttató adminisztratív és irányítási eljárások kerüljenek alkalmazásra. A Szolgáltatásokat támogató informatikai rendszer személyi és fizikai környezete kialakítása során figyelembe kell venni a 2/2002 MeHVM irányelvben rögzített biztonsági követelményeket.

5.1.

Fizikai biztonsági szabályozások

A Szolgáltató általános tevékenységével kapcsolatosan a Szolgáltatónak: a.

biztosítania kell az értékek elvesztésének, sérülésének, és kompromittálódásának, valamint a működési tevékenységek megzavarásának elkerülését.

b.

óvintézkedéseket kell tennie az információ és az információ feldolgozó berendezések kompromittálódásának, illetve ellopásának elkerülése érdekében.

Szolgáltatónak megfelelő biztonsági környezet létrehozásával fizikai védelmet kell biztosítani az alábbi szolgáltatás elemek számára: a.

kulcspár generálás

b.

tanúsítvány előállítás,

c.

aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése ([MTT+BALE] tanúsítvány esetén)

d.

visszavonás kezelés.

Bármely más szervezettel megosztott rész e környezeten kívül kell essen. A Szolgáltatónak óvintézkedéseket kell tennie a fizikai és környezetbiztonsági rendszer erőforrások, illetve a működésük támogatására használt berendezések megvédése érdekében, úgymint fizikai hozzáférés szabályozás, a természeti katasztrófa elleni védelem, a villámvédelem és tűzbiztonság tényezőivel kapcsolatos védelem, a támogató eszközök (ezen belül az áram és klíma berendezések) meghibásodásával, az építmény összeomlásával, vízvezeték szivárgással kapcsolatos védelem, lopás, betörés és behatolás elleni védelem, katasztrófa utáni helyreállítással kapcsolatos védelem.

5.1.1. Hitelesítő Központok A hitelesítő központok a Szolgáltató legmagasabb védelmi szintet képező objektumában (központi géptermében) kell elhelyezkedjenek, mivel biztonsági szempontból a legkritikusabb hardver/szoftver egységeket tartalmazzák. Az objektum védelmét a 2/2002 MeHVM irányelv ide vonatkozó ajánlása szerint kell biztosítani.

5.1.2. Regisztrációs Iroda A regisztrációs irodában találhatók a regisztrációs munkahelyek és munkaállomások. Az iroda védelmét is a 2/2002 MeHVM irányelv ide vonatkozó ajánlása szerint kell biztosítani.

5.2.

Eljárásrendi szabályozások

A Szolgáltatónak gondoskodnia kell arról, hogy rendszereit biztonságosan, szabályszerűen, a meghibásodás minimális kockázata mellett üzemeltessék. A Szolgáltató személyzete a feladatokat olyan eljárásrendi szabályok alapján kell végezze, amelyek szinkronban vannak a jogszabályi és belső biztonsági előírásokkal.

5.3.

Humán szabályozások

5.3.1. Bizalmi munkakörök A Szolgáltatónak egyértelműen azonosítania kell azokat a munkaköröket, amelyektől a Szolgáltatások biztonsága függ. Ezeket a bizalmi munkaköröket és felelősségeket belső leírásokban dokumentálni kell. A bizalmi munkaköröknek a vonatkozó jogszabály (3/2005. (III.18.) IHM rendelet alapján) az alábbiak minősülnek: A hitelesítés-szolgáltató informatikai rendszeréért általánosan felelős vezető Biztonsági tisztviselő: a szolgáltatás biztonságáért, a biztonsági irányelvek és szabályzatok érvényre juttatásáért általánosan felelős személy.


30/40

Rendszeradminisztrátor: az informatikai rendszer telepítését, konfigurálását, karbantartását végző személy. Rendszerüzemeltető: az informatikai rendszer folyamatos üzemeltetését, mentését és helyreállítását végző személy. Független rendszervizsgáló: a hitelesítés-szolgáltató naplózott, illetve archivált adatállományát vizsgáló, a hitelesítés-szolgáltató által a szabályszerű működés érdekében megvalósított kontroll intézkedések betartásának ellenőrzéséért, a meglévő eljárások folyamatos vizsgálatáért és monitorozásáért felelős személy. Regisztrációs felelős: a végtanúsítványok előállításának, kibocsátásának, visszavonásának és felfüggesztésének jóváhagyásáért felelős személy. A bizalmi munkakörök mellett Szolgáltató bizalmi szerepköröket is alkalmazhat a Szolgáltatások nyújtásához. Bizalmi munkakörökbe illetve szerepkörökbe a Szolgáltató felső vezetősége kell kinevezze a hitelesítésszolgáltató munkatársait. A bizalmi munkakört illetve szerepkört betöltő személynek munkaviszonyban kell állnia a Szolgáltatóval.

5.3.2. Az egyes feladatokhoz szükséges személyzeti létszámok A Szolgáltató belső leírásainak támogatniuk kell a bizalmi munkaköri feladatok szétválasztásának és a legkisebb meghatalmazás elvének szempontjait. A leírásoknak többek között meg kell határozniuk az egyes feladatokhoz szükséges létszámot is. A PKI rendszerben minden jelentős rendszer-telepítést, hardver-konfigurálást és szoftver-frissítést igénylő beavatkozást legalább két erre feljogosított, bizalmi munkakört betöltő személy egyidejű jelenlétében szabad elvégezni. A műveletek sikerességét biztonsági tisztviselőnek kell ellenőrizni. Továbbá, csak védett környezetben legalább két, erre feljogosított, bizalmi munkakört betöltő személy együttes részvételével, a Szolgáltató vezetője által kijelölt bizottság jelenlétében, előre megtervezett kulcsceremónia keretében, illetéktelenek kizárásával, ellenőrzött és jegyzőkönyvezett módon kerülhet sor az alábbi funkciók végrehajtására:: a. a PKI alkalmazások telepítéséhez szükséges adminisztratív kulcspárok generálása b. a hitelesítő központok szolgáltatói tanúsítványaihoz tartozó kulcspárjainak generálása c. a szolgáltatói nyilvános kulcsokat tartalmazó token Root CA-hoz való továbbítása, illetve a Root CA által kibocsátott tanúsítványok visszaszállítása d. a Root CA nyilvános kulcsát tartalmazó tokennek a Produktív CA-hoz való továbbítása e. Root CRL generálás f. a szolgáltatói magánkulcsok biztonsági mentése g. a szolgáltatói magánkulcsok mentésből történő visszaállítása h. a szolgáltatói magánkulcsok (és másodpéldányainak) megsemmisítése

5.3.3. A bizalmi munkakörökben elvárt azonosítás és hitelesítés A Szolgáltató bizalmi munkaköröket betöltő személyzetét megfelelően azonosítani és hitelesíteni kell, mielőtt a tanúsítvány kiadással, megújítással, visszavonással kapcsolatos kritikus alkalmazásokat használnák.

5.3.4. Egymást kizáró munkakörök A bizalmi munkakörök közötti személyi átfedésekre Szolgáltatónak be kell tartani a vonatkozó jogszabályi (3/2005. IHM rendelet szerinti) kizárásokat.

5.3.5. Személyzetre vonatkozó előírások A Szolgáltatónak gondoskodnia kell arról, hogy személyzeti előírásai, illetve a munkatársak alkalmazására vonatkozó gyakorlatai fokozzák és támogassák a Szolgáltató működésének megbízhatóságát.:

5.3.6. Képzettségre, gyakorlatra és biztonsági ellenőrzésre vonatkozó követelmények A Szolgáltató a bizalmi munkakörökben olyan személyzetet foglalkoztathat, amely rendelkezik a nyújtott Szolgáltatásokhoz szükséges képzettséggel, gyakorlattal, és megfelelt a Szolgáltató által lefolytatott biztonsági ellenőrzéseken.


31/40

5.3.7. Biztonsági háttér ellenőrzésekre vonatkozó eljárások A Szolgáltatónak nem szabad bizalmi munkakörbe olyan személyt kijelölni, aki bűncselekményért, illetve más olyan vétségért el lett ítélve, amely az illető alkalmasságát befolyásolja. A munkatársak nem szabad ellássanak biztonsági munkaköri feladatokat mindaddig, amíg a személyükre és alkalmasságukra vonatkozó ellenőrzések végrehajtása meg nem történik. A munkatársak kilépésekor Szolgáltatónak gondoskodni kell a bizalmi munkakörhöz való jogosultságok megvonásáról és az egyéb szükséges intézkedések meghozataláról.

5.3.8. Képzési követelmények A Szolgáltató a bizalmi munkakörökben olyan személyzetet foglalkoztathat, amely rendelkezik a nyújtott Szolgáltatásokhoz szükséges képzettséggel, gyakorlattal, Az üzemeltető személyzetet a rendszer használatba vétele előtt ki kell képezni a.

a nyilvános kulcsú infrastruktúra elméletéből,

b.

a rendszer használatáról,

c.

a regisztrációs, tanúsítási és visszavonási eljárásrendekről,

d.

a hitelesítés szolgáltatás jogi következményeiről,

e.

a Hitelesítési Rend és a Szolgáltatási Szabályzat alkalmazásának jelentőségéről

f.

a rendszer használatáról és az informatikai biztonsági követelményekről,

5.3.9. Továbbképzési gyakoriságok és követelmények 6

Abban az esetben, amikor a Szolgáltatásokban jelentős változás következik be, valamennyi munkatársat, az őt érintő mélységben továbbképzésben kell részesíteni, és át kell adni a számára szükséges dokumentációkat.7 A kisebb változásokról azok8 bekövetkezése előtt a munkatársakat írásban kell tájékoztatatni a változásokról.

5.3.10. A felhatalmazás nélküli tevékenységek büntető következményei Valamennyi bizalmi munkakört betöltő munkatársat tájékoztatni kell azokról a munkajogi vagy büntető következményekről, melyek a munkaköri kötelezettségek, illetve törvények megsértését szankcionálják.

5.3.11. A szerződéses alkalmazottakra vonatkozó követelmények A Szolgáltató bizalmi munkakörben csak munkaviszonyban álló személyt alkalmazhat. Az egyéb feladatok ellátására, vállalkozási vagy megbízási szerződésben foglalkoztatott személyeket a Szolgáltató csak előzetes biztonsági ellenőrzést követően foglalkoztathatja. Az ellenőrzött személyekkel a Szolgáltatónak írásos megállapodást kell kötni, amelyben rögzíteni kell a biztonsági szabályokat is, így a titoktartásra vonatkozó kikötéseket.

6

Jelentős változásnak minősül a szervezeti biztonságpolitika módosulása, a szoftver vagy hardver rendszer változása (upgr ade), valamint a kulcs kezelés és biztonság kezelési óvintézkedések változásai. 7 Attól függően, hogy a bekövetkező jelentős változás előre tervezett volt, vagy váratlanul kellett sort keríteni rá, a továbbképzés illeszkedik az éves továbbképzési tervekbe, vagy rendkívüli módon, soron kívül iktatódik be. 8 Kisebb változásnak minősül, pl. egy új, kevés tapasztalattal rendelkező munkatárs munkába állása, mely a vele dolgozóktól átmenetileg nagyobb figyelmet és óvatosságot igényel.


32/40

6. Műszaki biztonsági óvintézkedések A Szolgáltatónak megbízható, az informatikai biztonság szempontjából értékelt és minősített termékekből álló, egységes informatikai rendszert kell használni Szolgáltatásai nyújtásához.

6.1.

Kriptográfiai kulcspár előállítás és aláírás-létrehozó eszköz megszemélyesítés

6.1.1. Kulcspár előállítás A Szolgáltató maga kell előállítsa a szolgáltatói kulcspárokat (az aláírás-létrehozó és az aláírás-ellenőrző adato9 kat) fizikailag védett környezetben, kriptográfiai modulban (HSM ). A kriptográfiai modulnak meg kell felelnie a jelen szabályzat 6.2.1 pontja szerinti követelményeknek. A szolgáltatói aláírás-létrehozó adatok teljes életciklusuk alatt a kriptográfiai modulban kell maradjanak. [MTT+BALE] tanúsítványok esetén az előfizetői kulcspárokat a Szolgáltató magán a biztonságos aláíráslétrehozó eszközön kell generálja. A biztonságos aláírás létrehozó eszköznek meg kell felelnie az Eat. 1. sz. mellékletében foglalt követelményeknek, továbbá teljesítenie kell a vonatkozó (Eat. 7. § (5)-(6) bekezdéseiben foglalt) feltételeket, azaz rendelkeznie kell az illetékes hatóság (NMHH) által nyilvántartott, vagy az Európai Unió valamely tagállamában nyilvántartásba vett, tanúsításra jogosult szervezetek által kiadott igazolással. A Szolgáltató nem fogadhat el az Előfizető által generált kulcspárt ezen tanúsítványok esetén. [MTT] tanúsítványok esetén az előfizetői kulcspárt – ezzel ellentétes megegyezés hiányában - a Szolgáltató kell generálja, a saját fizikailag védett környezetében, a fentiekhez hasonlóan tanúsított és nyilvántartásba vett kriptográfiai modulban (HSM), [MTT] tanúsítványok esetén a Szolgáltató az aláírás-létrehozó adat aktivizálásához PIN kódot kell biztosítson. A PIN kódot fizikailag védett környezetben kell előállítania, és a kódot tartalmazó PINborítékot az aláírás-létrehozó adattól elkülönítve kell tárolnia. [MTT] tanúsítványok esetén – erre vonatkozó megegyezés alapján - Szolgáltató elfogadhat Előfizető által generált kulcspárt is, de ez esetben Előfizetőnek nyilatkoznia kell, hogy ezt fizikailag védett környezetben, kriptográfiai modulban (HSM) hajtotta végre. Ilyen esetben a PIN-kódot nem Szolgáltató biztosítja, hanem az Előfizető maga generálja le. Az OCSP választ aláíró szolgáltatói kulcspárt Szolgáltató maga kell generálja és tárolja, fizikailag védett környezetben; a tanúsított HSM modul használata nem követelmény, Az aláíró kulcs teljes életciklusa alatt ezen fizikailag védett környezetben kell maradjon.

6.1.2. Az aláírás-létrehozó eszköz megszemélyesítése [MTT+BALE] tanúsítványok esetén a biztonságos aláírás-létrehozó eszköz megszemélyesítését a Szolgáltató maga kell elvégezze fizikailag védett környezetben üzemelő megszemélyesítő rendszeren. [MTT+BALE] tanúsítványok esetén amennyiben a biztonságos aláírás létrehozó eszköz bankkártya méretű chip kártya, úgy a megszemélyesítés szolgáltatáshoz vizuális megjelenítés, egy oldali nyomással történő grafikus megszemélyesítés is kapcsolódik az Aláíró nevével és cégnevével, vagy az Előfizetői Szerződésben meghatározott egyedi adattartalommal. [MTT+BALE] tanúsítványok esetén a Szolgáltató az aláírás-létrehozó adat aktivizálásához (a biztonságos aláírás létrehozó eszközhöz) PIN illetve PUK kódot kell biztosítson. A PIN és PUK kódot fizikailag védett környezetben kell előállítania, és a kódokat tartalmazó PIN-borítékot az aláírás-létrehozó eszköztől elkülönítve kell tárolnia.

6.1.3. Az aláírás-létrehozó adat eljuttatása az Aláíróhoz (Előfizetőhöz) A Szolgáltató az aláírás-létrehozó adatot, illetve a megszemélyesített biztonságos aláírás-létrehozó eszközt az átvételig fizikailag védett környezetben tárolja és biztosítja, hogy az aláírás-létrehozó adat illetve a kapcsolódó aktivizáló adat titkossága ne sérüljön. [MTT] tanúsítványok esetén Szolgáltató az aláírás-létrehozó adatot, valamint a PIN kódot tartalmazó borítékot személyesen adja át az Aláírónak, illetve – ha Aláíró nem természetes személy – az Előfizető kapcsolattartójának. [MTT+BALE] tanúsítványok esetén Szolgáltató a biztonságos aláírás létrehozó eszközt a rajta levő aláírás létrehozó adattal és a PIN illetve PUK kódot tartalmazó borítékot személyesen adja át az Aláírónak, illetve – ha Aláíró nem természetes személy – az Előfizető kapcsolattartójának. [KET] Közigazgatásban alkalmazható, hatóságok által használt aláíráshoz tartozó tanúsítvány esetén Szolgáltató az aláírás létrehozó adatot illetve eszközt - a vonatkozó jogszabály (78/2010. Kormányrendelet 12§ 2). bekezdés) 9

Hardware Security Module


33/40

alapján, erre vonatkozó előzetes megállapodást követően - a hatóság humánpolitikai szervezetének is átadhatja. Ez esetben a humánpolitikai szervezetnek gondoskodnia kell az aláírás létrehozó adatok illetve eszközök átadásáról. Az aláírás-létrehozó adat illetve eszköz átvételének megtagadása visszavonási kérelemnek számít.

6.1.4. Az Aláírók aláírás-ellenőrző adatának eljuttatása az érintett felekhez A Szolgáltató az Aláírók aláírás-ellenőrző adatát (nyilvános kulcsát) a tanúsítványba foglalva a Szolgáltatások internetes honlapján levő Tanúsítványtárán keresztül köteles mindenki számára elérhetővé tenni.

6.1.5. A Szolgáltató aláírás-ellenőrző adatainak eljuttatása a felhasználói közösséghez A Szolgáltató köteles a hitelesítő központok (Root CA, Produktív CA) aláírás-ellenőrző adatait (nyilvános kulcsait) a Szolgáltatások internetes honlapján keresztül mindenki számára elérhetővé tenni.

6.1.6. Kulcs méretek, algoritmusok, paraméterek A Szolgáltató a Szolgáltatások nyújtása során – mind a szolgáltatói, mind pedig az előfizetői kulcsok, algoritmusok és paraméterek tekintetében - az illetékes hatóság (NMHH) vonatkozó határozatának megfelelő szabványos kulcsméreteket és algoritmuskészletet kell használjon. Az alkalmazott kulcsméreteket és algoritmus készletet a Szolgáltató szolgáltatási szabályzata tartalmazza.

6.1.7. Szolgáltatói kulcsgenerálás A szolgáltatói tanúsítványokhoz a kulcselőállítás a 6.1.1 pontban leírtak szerint védett környezetben és tanúsított HSM modulban kell történjen. A kulcsgenerálás során be kell tartani az 5.3.2 pontban leírt adminisztratív biztonsági követelményeket.

6.1.8. Kulcs felhasználási célok A jelen hitelesítési rend szerinti előfizetői tanúsítványokhoz kapcsolódó magánkulcsokat kizárólag elektronikus aláírásra szabad felhasználni. A szolgáltatói magánkulcsok használati célja kizárólag tanúsítványok, visszavonási listák, illetve OSCP válaszok aláírása.

6.2.

Aláírás-létrehozó adat védelme

6.2.1. A HSM-re vonatkozó szabványok [MTT] tanúsítványok esetén az aláírás-létrehozó adatok előállítására a Szolgáltató csak olyan kriptográfiai modult (HSM) használhat, amely teljesíti a vonatkozó (Eat. 7. § (5)-(6) bekezdéseiben foglalt) feltételeket, azaz rendelkezik az illetékes hatóság (NMHH) által nyilvántartott, vagy az Európai Unió valamely tagállamában nyilvántartásba vett, tanúsításra jogosult szervezet által kiadott igazolással. A Szolgáltató saját szolgáltatói magánkulcsainak tárolására illetve használatára a fentiekhez hasonlóan csak olyan kriptográfiai modult (HSM) használhat, amely teljesíti a vonatkozó (Eat. 7. § (5)-(6) bekezdéseiben foglalt) feltételeket, azaz rendelkezik az illetékes hatóság (NMHH) által nyilvántartott, vagy az Európai Unió valamely tagállamában nyilvántartásba vett, tanúsításra jogosult szervezetek által kiadott igazolással.

6.2.2. A több-szereplős (“n-ből m”) magánkulcs visszaállítás ellenőrzése A Szolgáltató biztonsági megfontolásból alkalmazza az „n-ből m” ellenőrzést a Root CA kulcsgondozási funkcióinak aktivizálásánál.

6.2.3. Aláírás-létrehozó adat letét A Szolgáltató jelen hitelesítési rend szerinti minősített tanúsítványokhoz nem nyújt magánkulcs letétszolgáltatást. Az előfizetői aláírás-létrehozó adatot, vagy annak előállítására, visszafejtésére alkalmas programot, adatot nem tárol.

6.2.4. Aláírás-létrehozó adat mentése, duplikálása A Szolgáltató az előfizetői aláírás-létrehozó adatot semmilyen formában nem mentheti vagy tárolhatja.


34/40

A Szolgáltatónál a Hitelesítő Központ aláíró magánkulcsai10 biztonsági okokból duplikálásra kerülnek. A mentés titkosított formában, speciális eszközök alkalmazásával történik. HSM modulban generált szolgáltatói kulcspárok esetében a magánkulcs nyílt (titkosítatlan) formában semmilyen körülmények között sem hagyhatja el a HSM modult. A szolgáltatói magánkulcsok csak a modul (token) mentésénél, duplikálásánál hagyják el a modult. A mentési (klón) modulba ilyen esetekben a magánkulcs rejtjeles védelem alatt másolódik át.

6.2.5. Aláírás-létrehozó adat BALE eszközön, kriptográfiai modulban [MTT+BALE] tanúsítványok esetén az előfizetői kulcspárokat a Szolgáltató kizárólag a biztonságos aláíráslétrehozó eszközön generálja, így a magánkulcsok semmilyen körülmények között sem hagyják el azokat. A biztonságos aláírás-létrehozó eszközt a Szolgáltató PIN-kóddal védve adja át.

6.2.6. Aláírás-létrehozó adat aktiválása Az aláírás-létrehozó adat aktiválása az Aláíró vagy Előfizető kijelölt felhasználója által történik a PIN kód megadásával. [MTT+BALE] tanúsítványok esetében az aláírás-létrehozó adat az aktiváláskor sem hagyja el a biztonságos aláírás-létrehozó eszközt, azt onnan leolvasni nem lehet.

6.2.7. Aláírás-létrehozó adat deaktiválása Az aláírás-létrehozó adat deaktiválása az Aláíró az Aláíró vagy Előfizető kijelölt felhasználója által történhet, az aláíró alkalmazásból való kijelentkezéskor, vagy – [MTT+BÍALE] tanúsítványok esetén - amikor a biztonságos aláírás-létrehozó eszközt eltávolítják az olvasóból.

6.2.8. Aláírás-létrehozó adat megsemmisítése Az előfizetői tanúsítvány lejárta után az aláírás-létrehozó adat fizikai megsemmisítését az Aláírónak saját felelősségi körében úgy kell elvégezni, hogy az semmilyen körülmények között ne legyen újra felhasználható. A szolgáltatói aláírás-létrehozó adatok megsemmisítése a Szolgáltató kötelessége.

6.3.

Kulcspár kezelés egyéb aspektusai

6.3.1. Aláírás-ellenőrző adat archiválása A Szolgáltató köteles minden általa előállított és kibocsátott aláírás ellenőrző adatot a tanúsítványba foglalva megőrizni illetve archiválni az érvényesség lejártától számított 10 évig. Az archivált tanúsítványokról biztonsági mentést is kell készíteni.

6.3.2. Aláírás-létrehozó és aláírás-ellenőrző adatok felhasználási ideje Az aláírás-létrehozó adat (aláíró kulcs) és az aláírás-ellenőrző adat (nyilvános kulcs) érvényességi ideje megegyezik a kulcsok hitelességét igazoló tanúsítvány érvényességi idejével: Root CA aláíró kulcs és tanúsítvány érvényessége:

20 év

OCSP válasz egység aláíró kulcs és tanúsítvány érvényessége:

legfeljebb 30 nap

Produktív CA aláíró kulcs és tanúsítvány érvényessége:

legfeljebb 15 év

Előfizetői aláíró kulcs és tanúsítvány érvényessége:

legfeljebb 2 év

A tanúsítványok és a benne foglalt aláírás-ellenőrző adatok (nyilvános kulcsok) érvényességének kezdete a kibocsátás időpontjával (év, hónap, nap, óra, perc, másodperc) egyezik meg.

10 A kriptográfiai modul (tanúsítványokat, illetve visszavonási listákat aláíró) magánkulcsai, valamint az OCSP válaszokat aláíró magánkulcsok.


35/40

6.4.

Aktiválási adatok

6.4.1. Aktiválási adatok generálása és installációja Az aláírás-létrehozó adatok aktivizáló adatait (PIN kód) – a 6.1.1. pontban jelzett kivételtől eltekintve - a Szolgáltató állítja elő. A Szolgáltató az aktivizáló adatokat biztonságos körülmények között, véletlenszám generátor segítségével, kriptográfiai modul felhasználásával (HSM) kell előállítsa, amely teljesíti a vonatkozó (Eat. 7. § (5)-(6) bekezdéseiben foglalt) feltételeket, azaz rendelkezik az illetékes hatóság (NMHH) által nyilvántartott, vagy az Európai Unió valamely tagállamában nyilvántartásba vett, tanúsításra jogosult szervezet által kiadott igazolással.

6.4.2. Aktiválási adatok védelme A Szolgáltató a PIN kódokat műszaki és szervezési intézkedésekkel kell megvédje, és kizárólag az Aláíró illetve Előfizető kapcsolattartója részére (illetve hatóság humánpolitikai szervezet részére) adhatja át, személyesen, az aláírás-létrehozó eszköztől elkülönítve. A Szolgáltató az PIN-kódot csak abból a célból állítja elő és rögzítheti, hogy azt az Aláíró illetve Előfizető kapcso11 lattartója számára - másolat megőrzése nélkül - átadhassa . Az átvételt követően az Aláírónak illetve Előfizetőnek saját felelősségi körében kell biztosítania PIN kód kizárólagos birtoklását, és védelmét. Az átvétel után az Aláíró a saját munkaállomásán megváltoztathatja a PIN kódot, amelyhez megfelelő programmal kell rendelkeznie. Az Aláíró a későbbiekben is bármikor megváltoztathatja a PIN kódját. Az Előfizető aláírás-létrehozó adatának aktiválási adatát a Szolgáltató az aláírás-létrehozó adat előállítása után megsemmisíti, büntetőjogi felelőssége mellett nem hozza harmadik fél tudomására. A Szolgáltató a saját aktiválási adatait a vonatkozó belső biztonsági szabályzata által meghatározott fokozott biztonsági szinten védi.

6.4.3. Aktiválási adatok egyéb aspektusai Az Előfizető aktiválási adatát Szolgáltató nem tárolhatja, és nem állíthatja újra elő az Előfizető, harmadik fél, vagy hatóság kifejezett kérése esetén sem. Az aktiváló adat elvesztése, elfelejtése vagy illetéktelen kezekbe történő jutása esetén minden esetben új kulcspárt és aktiválási adatot kell előállítani.

6.5.

Számítógép biztonsági szabályok

6.5.1. Számítógép biztonság technikai követelményei A Számítógép biztonság technikai követelményeit Szolgáltató elsősorban a 2/2002 MeHVM ajánlás alapján határozza meg. Ennek alapján Szolgáltatónak olyan megbízható informatikai rendszert (beleértve a redundáns kiépítést) és technológiákat kell kialakítania és üzemeltetnie, amelyek biztosítják a Szolgáltató megbízható működését a Szolgáltatások nyújtásához. Ennek ismertetését Szolgáltató részben a nyilvános szolgáltatási szabályzatában (HSZSZ-M), részben a belső biztonsági szabályzataiban írja le..

6.5.2. Számítógép biztonsági ellenőrzések A számítógép biztonsági értékelések illetve ellenőrzések rendszerét az alábbi táblázat szerint kell felépíteni. BIZTONSÁGI ELLENŐRZÉS TÍPUSA

VÉGZI

RENDSZERESSÉG

IT infrastruktúra

Rendszerüzemeltető operátorok

Naponta

Operatív

PKI alkalmazás és naplók

Rendszervizsgálók

Naponta

Belső ellenőrzés

IT infrastruktúra

biztonsági tisztviselő

11

Évente egyszer

3/2005. (III. 18.) IHM rendelet 40. §, 4. bek. szerint.


36/40

PKI alkalmazás

biztonsági tisztviselő Évente egyszer

Külső ellenőrzés

6.6.

IT infrastruktúra

Külső auditor

Évente egyszer

PKI alkalmazás

Külső auditor

Évente egyszer

Életciklus technikai szabályok

6.6.1. Rendszerfejlesztési szabályok A Szolgáltatónak gondoskodnia kell arról, hogy az általa, illetve a nevében végzett valamennyi rendszerfejlesztési projektjében a biztonság követelményeit már a tervezési és követelmény-meghatározási fázisban figyelembe vegyék, annak érdekében, hogy a biztonság beépüljön az informatikai rendszerekbe. Az IT életciklusra vonatkozó rendszerfejlesztési szabályokat a Szolgáltató belső információbiztonsági szabályzata tartalmazza, amely pontosan meghatározza a tervezés és előkészítés, a projekt és kivitelezés, a működtetés és a menedzselés, valamint a visszacsatolás illetve visszavonás/rekonstrukció ciklus időszakok feladatait és az alkalmazott módszertanokat.

6.6.2. Biztonságkezelési szabályok A Szolgáltató olyan eszközöket és eljárásokat kell alkalmazzon, melyek garantálják a kritikus szolgáltatásait megvalósító megbízható informatikai rendszereire az operációs rendszer beállítások, valamint a hálózati konfiguráció biztonságát, egyúttal az alkalmazott biztonsági mechanizmusok sértetlenségének, helyes működésének ellenőrzését. A biztonságkezelési szabályokat a Szolgáltató belső társasági szintű és rendszer szintű információbiztonsági szabályzatai tartalmazzák.

6.6.3. Életciklus biztonsági értékelések A Szolgáltató által alkalmazott megbízható informatikai rendszerek a Szolgáltató belső biztonsági szabályzata és előírásai szerinti fokozott biztonsági osztálya követelményeinek felelnek meg. .Az életciklus biztonsági értékeléseket a 6.5.2 táblázat alapján történő ellenőrzési rendszerben kell elvégezni.

6.6.4. Minimális szolgáltatás rendkívüli üzemeltetési helyzetben A Szolgáltató rendkívüli üzemeltetési helyzetben is biztosítja Tanúsítványtárának elérhetőségét, a tanúsítványok felfüggesztésére és visszavonására vonatkozó kérelmek fogadását és teljesítését, valamint a visszavonási/felfüggesztési állapot közzétételét a visszavonási listákban. Rendkívüli üzemeltetési helyzetben a Szolgáltató minden egyéb szolgáltatást szüneteltet.

6.6.5. A rendkívüli üzemeltetési helyzet jelzése Amennyiben a Szolgáltató rendszerében olyan jellegű hiba illetve esemény következik be, amely 3 óránál nagyobb szolgáltatás kieséssel jár, az eseményről Szolgáltatónak értesítenie kell az illetékes hatóságot (NMHH) és lehetőségei szerint a felhasználó közösség tagjait.

6.7.

Hálózati biztonsági szabályok

A hálózati védelmi intézkedéseket a Szolgáltató belső biztonsági szabályzata fokozott biztonsági osztálya biztonsági szintnek megfelelően kell megvalósítani. A Szolgáltatónak gondoskodnia kell arról, hogy informatikai rendszerében megfelelő hálózatbiztonsági ellenőrzésekre kerüljön sor. Az érzékeny adatokat meg kell védeni, amikor azok átvitele nem biztonságos hálózatokon keresztül történik. A Hitelesítő Központ és a Regisztrációs Iroda közötti kommunikációt biztosító belső hálózatot védeni kell a sértetlenség és letagadhatatlanság érdekében, illetve bizalmasság elvesztése ellen. A Szolgáltató hitelesítés-szolgáltatást és OCSP-t támogató informatikai rendszerénél a védett belső és a külső hálózatok biztonságos elválasztását tűzfallal és betörés figyelő rendszerrel (IDS) kell biztosítani. A Hitelesítő Központ nem folytathat közvetlen külső kommunikációt a végfelhasználókkal.

6.8.

Kriptográfiai (HSM) modul ellenőrzése

A Szolgáltatónak gondoskodnia kell a kriptográfiai hardver modul biztonságáról annak teljes élettartama alatt.


37/40

7. Tanúsítvány, CRL és OCSP profil 7.1.

Tanúsítvány profil

7.1.1. Alap mezők A Szolgáltató által kibocsátott tanúsítványok alapmezői feleljenek meg az RFC 3280 ajánlásban leírt X. 509 3-as verziójú tanúsítványok alapmezőinek. A további információkat a Szolgáltató szolgáltatási szabályzata (HSZSZ-M) tartalmazza

7.1.2. Tanúsítvány kiterjesztések A Szolgáltató által kibocsátott tanúsítványok kiterjesztései az ITU X.509 szabvány 3. változatának, az EU ETSI TS 101 862 és az RFC 3739 szabványoknak megfelelő tanúsítvány kiterjesztéseket kell támogassák. A további információkat a Szolgáltató szolgáltatási szabályzata (HSZSZ-M) tartalmazza

7.2.

Tanúsítvány-visszavonási profil

A Szolgáltató által kibocsátott tanúsítványok visszavonási listák feleljenek meg az RFC 3280 ajánlásban leírt X. 509 2-es verziójú tanúsítvány visszavonási listáknak. A további információkat a Szolgáltató szolgáltatási szabályzata (HSZSZ-M) tartalmazza.

7.3.

OCSP profil

A Szolgáltató által befogadott OCSP kérések és a kibocsátott OCSP válaszok szerkezetének követnie kell az RFC 2560 szabványt.


38/40

8. Hitelesítési Rend adminisztráció 8.1.

Változatkezelési eljárások

8.1.1. Változtatási eljárások A Szolgáltatónak szervezetén belül Hitelesítési Rend és Szabályozási Csoportot kell működtetnie, amely többek között a jelen hitelesítési rend karbantartásáért is felelős. A változtatási igényeket e csoport gyűjti egybe, a módosításokat elvégzi, a belső és külső tájékoztatási kötelezettségeknek eleget tesz, s a változtatásokat életbe lépteti. A változtatásokat gyűjtve a Hitelesítési Rend és Szabályozási Csoport belső nem nyilvános munkaváltozatokat hozhat létre a szabályzatokból, melyek a közzététel előtt belső felülvizsgálaton kell átessenek. A Szolgáltató a változásokat kötegelve szerkeszti új szabályzati változattá, törekedve arra, hogy új szabályzatot csak a lehető legritkábban kelljen kibocsátania. A hitelesítési rend módosított változatai mindig új verziószámmal kerülnek nyilvánosságra.

8.2.

Közzétételi és tájékoztatási elvek

A Szolgáltató jelen HR-MTT-t és egyéb kapcsolódó dokumentumait az Aláírók, Előfizetők és az Érintett felek rendelkezésére kell bocsássa, a tanúsítványtípusnak való megfelelés felméréséhez szükséges mértékig. A Szolgáltató nyilvános szabályzataiban csak azon eljárásait hozza nyilvánosságra, melyek ismerete a szolgáltatások biztonságát nem veszélyezteti. A Szolgáltató több belső biztonsági és egyéb szabályzattal, operatív szintű előírással rendelkezik, melyeket bizalmasan kezel (lásd: 9 fejezet). A 2.7 pontban leírt tanúsítási eljárások ezeket a dokumentumokat is vizsgálják. A Szolgáltató a jelen szabályzatát valamint a tanúsítvány használatával kapcsolatos kikötéseit és feltételeit a Szolgáltatások internetes honlapján teszi közzé.

8.3.

HR-MTT elfogadási eljárások

A HR-MTT jóváhagyása előtt Szolgáltató meg kell vizsgálja a hitelesítési rend tartalmi és formai megfelelőségét a vonatkozó jogszabályok, előírások és szakmai ajánlások – különösképpen az RFC 3647 - tekintetében. A HR-MTT ellenőrzésére illetve jóváhagyására a Szolgáltató belső szervezete illetve a Szolgáltatásokért felelős vezetője rendelkezik hatáskörrel és felelősséggel. A HR-NMT jogszabályoknak való megfelelőségét a Nemzeti Média- és Hírközlési Hatóság is ellenőrzi. Módosítás esetén a Szolgáltató a HR-NMT változtatásokkal egybeszerkesztett új verziójának tervezetét hatósági felülvizsgálat és nyilvántartásba vétel céljából át kell adja illetve be kell jelentse az illetékes hatóságnak (Nemzeti Média- és Hírközlési Hatóság), legalább a módosítást életbe lépését megelőzően 30 nappal korábban. Az új verzió hatályba léptetésének feltétele, hogy azt a hatóság nyilvántartásba vegye.


39/40

9. Hivatkozások A Szolgáltató hivatkozott dokumentumai: A NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. Szervezeti és Működési Szabályzata, A NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. Adatvédelmi és biztonsági szabályzata NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. PKI Szolgáltatások biztonsági szabályzata (PKI-IBSZ) NISZ Nemzeti Infokommunikációs Szolgáltató Zrt Általános Szerződési Feltételek PKI szolgáltatásokhoz (ÁSZF-PKI) NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. Szolgáltatási szabályzat a minősített elektronikus aláírással kapcsolatos szolgáltatásokhoz (HSZSZ-M) NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. A PKI Szolgáltatások Üzletmenet-folytonossági Terve (PKI-BCP/DRP)


40/40

Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra (HR-MTT)

Recommend Documents