ING Public Key Infrastructure ING PKI Postup při vydávaní certifikátů Verze 5.2 – květen 2012
Tiráž
Zpracovatel
ING PKI Policy Approval Authority (PAA)
Další kopie
Další kopie tohoto dokumentu je možno získat z internetových stránek společnosti ING: www.ing.com/pki nebo si je vyžádat zprávou elektronické pošty zaslané v angličtině na adresu:
[email protected] (in English language).
Verze dokumentu
Verze 5.2 - květen 2012
Všeobecné údaje
Tento dokument je veřejně přístupný i mimo skupinu ING Group. Copyright 2012 ING Bank N.V. Veškerá práva vyhrazena.
Výtah
Tyto Postupy při vydávání certifikátů (Certificate Policy - CP) pro CA pro zákazníky PKI společnosti ING obsahují pravidla, kterými se řídí vydávání a používání Certifikátů Zákazníky podílejících se na systému ING Public Key Infrastructure (PKI), v souladu s Podmínkami poskytování certifikačních služeb PKI společnosti ING (ING PKI Certification Practice Statement - CPS).
Cílová skupina
Informace obsažené v tomto dokumentu jsou určeny pro všechny uživatele firemního systému PKI společnosti ING.
Odkazy
• • • • • •
ING PKI Certificate Practice Statement ING PKI Certificate Policy Root CA ING PKI Employee Certificate Policy ING PKI Technical Certificate Policy ANSI X9.79 7.1 ETSI 102.042
ING Public Key Infrastructure / ING PKI Postup při vydávaní certifikátů Verze 5.2 květen 2012 2
Obsah
1. 1.1. 1.2. 1.3.
Přehled 4 Definice pojmů 4 Identifikace 4 Správa a kontaktní informace 5
2.
Použitelnost 5
3. 3.1. 3.1.1 3.1.2 3.2. 3.2.1 3.2.2 3.3. 3.4. 3.5.
Povinnosti 5 Povinnosti CA 5 Fyzické osoby 5 Neosobní zařízení 5 Povinnosti RA 6 Fyzické osoby 6 Neosobní zařízení 6 Povinnosti koncového uživatele 6 Povinnosti spoléhající se strany 6 Povinnosti úložiště 6
4. 4.1. 4.2. 4.3.
Odpovědnost 6 Odpovědnost CA 6 Odpovědnost RA 7 Nadřazená legislativa 7
5.
Zachování důvěrnosti 7
6.
Identifikace a ověření 7
7.
Postup podání žádosti o Certifikát 7
8.
Vydání a o doručení Certifikátu 8
9.
Přijetí Certifikátu 8
10.
Administrativní postupy 8
ING Public Key Infrastructure / ING PKI Postup při vydávaní certifikátů Verze 5.2 květen 2012 3
1. Přehled Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 1.1. Podle těchto Zásad bude společnost ING Bank N.V. vystupovat jako instituce Certifikační autority Zákazníků pro systém ING PKI (ING PKI Customer CA). Systém ING PKI a související pravidla, směrnice a postupy jsou založeny na dokumentu ETSI 102.042. Certifikáty, které jsou institucí ING PKI Customer CA vydávány, jsou použitelné výhradně pro elektronickou komunikaci mezi společností ING a jejími Zákazníky (např. fyzickými osobami, zařízeními, resp. aplikacemi) a poskytují ověřené propojení mezi identitou Zákazníka (např. fyzickou osobou, zařízením nebo aplikací) a Veřejným klíčem. Zákaznické certifikáty mohou být vydány fyzickým osobám a neosobním zařízením (např. technické certifikáty pro Zákazníky společnosti ING). Soukromé klíče spojené s Certifikáty vydanými institucí ING PKI Customer CA mohou být uloženy buď na kartě Smart Card nebo jako Softwarový token. Jestliže je Soukromý klíč uložen na kartě Smart Card, jeho Certifikát udává vysokou úroveň zabezpečení pro všechny Spoléhající se strany. Jestliže je Soukromý klíč uložen v Softwarovém tokenu, udává jeho Certifikát střední úroveň jistoty pro všechny Spoléhající se strany. Podle těchto Zásad nemohou Soukromé klíče uložené v Softwarovém tokenu nikdy poskytnout vysokou úroveň zabezpečení. Každý Certifikát vydaný institucí ING PKI Customer CA potvrzuje: • identitu Koncového uživatele uvedeného v Certifikátu; • status Koncového uživatele jako Zaměstnance Zákazníka; • status Koncového uživatele jako zařízení nebo aplikace vlastněné, řízené nebo spravované Zákazníkem společnosti ING, a • podle situace, status doménového jména uvedeného v Certifikátu, co by vlastnictví Zákazníka společnosti ING. Jestliže společnost ING Customer CA 2005 omezí své služby certifikace na neosobní zařízení (např. technické certifikáty pro Zákazníky společnosti ING), může tyto služby poskytnout prostřednictvím jedné nebo více fyzických osob zastupujících daný certifikovaný hardware. Proto, jestliže v těchto případech tyto Postupy hovoří o Koncovém uživateli, není tím myšlen pouze daný hardware, ale také jeho zástupce/zástupci.
Podle těchto Zásad mohou být Zařízení Zákazníka pro účely certifikace zastupována pouze Zaměstnanci Zákazníka společnosti ING. O Certifikáty vydávané institucí ING PKI Customer CA mohou Zaměstnanci Zákazníka společnosti ING požádat jeho jménem. Podle těchto Zásad nebude Certifikát vydán fyzické osobě, která není Zaměstnancem Zákazníka společnosti ING, ani jiné osobě ani právnímu subjektu. Spoléhání se na Certifikát podle těchto Zásad je omezeno výhradně na společnost ING. Žádná jiná strana se na tento Certifikát nesmí spoléhat. Křížová certifikace s certifikačními autoritami provozovanými jinými stranami, než společností ING, není těmito Zásadami povolena. 1.1. Definice pojmů Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 1.2. Definice pojmů použitých v těchto Zásadách jsou uvedeny ve Slovníčku pojmů ING PKI. 1.2. Identifikace Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 1.3. Název Zásad
Zásady pro Zákaznické certifikáty ING PKI
Označení Zásad
Vydavatelem tohoto Certifikátu je společnost ING Bank N.V. Na použití se mohou vztahovat omezení; podrobnosti jsou uvedeny v dokumentech CP a CPS. Další informace získáte na stránkách www.ing.com/ pki nebo prostřednictvím e-mailu zaslaného v angličtině na adresu
[email protected] (in English language)
Verze Zásad
5.2
Status Zásad
Konečná
ING Public Key Infrastructure / ING PKI Postup při vydávaní certifikátů Verze 5.2 květen 2012 4
Číslo Zásad/OID pro střední úroveň jistoty
1.3.6.1.4.1.2787.200.1.6.3.50
Číslo Zásad/OID pro vysokou úroveň jistoty
1.3.6.1.4.1.2787.200.1.6.3.70
Číslo Zásad/OID pro vysokou úroveň (bez možnosti odmítnutí) jistoty
1.3.6.1.4.1.2787.200.1.6.3.71
Datum vydání
29. května 2012
Datum platnosti
neuvedeno
Související dokument CPS
Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement)
1.3. Správa a kontaktní informace Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 1.6. Tyto Postupy při vydávání certifikátů instituce ING PKI Customer CA spravuje útvar ING PKI Policy Approval Authority (PAA). Veškeré dotazy týkající se těchto zásad je možno zasílat e-mailem (v angličtině) na adresu:
[email protected] (in English language).
2. Použitelnost Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 1.4, 1.5. Certifikáty vydané podle těchto Zásad je možno použít pouze a výhradně pro elektronickou komunikaci mezi Zákazníky a společností ING, včetně zařízení a aplikací. V závislosti na svém typu je každý Certifikát vystavený institucí ING PKI Customer CA potvrzením identity Koncového uživatele a jeho statusu jako Zaměstnance Zákazníka společnosti ING, a to vysoké nebo střední úrovně, a Koncovému uživateli umožňuje: • identifikovat se vůči, resp. být ověřen Zaměstnanci společnosti ING, sítěmi nebo aplikacemi společnosti ING;
• odesílat podepsané zprávy vybraným Zaměstnancům společnosti ING, organizačním složkám společnosti ING nebo oddělením organizační složky; • dostávat zašifrované zprávy od vybraných Zaměstnanců společnosti ING, organizačních složek společnosti ING nebo oddělení organizační složky, aby tyto zprávy rozšifroval; • podepisovat transakce; • využívat aplikace využívající virtuální privátní síť (Virtual Private Network - VPN); • vytvářet spojení využívající protokol Secure Socket Layer (SSL) za účelem zachování důvěrnosti, a • umožnit aplikace využívající virtuální privátní síť (Virtual Private Network - VPN) v souladu s ustanoveními zvláštní smlouvy s některou z organizačních složek společnosti ING. Rozhodnutí, pro jaká sdělení, včetně, ale nejen, transakcí, se bude spoléhat na Certifikát vystavený institucí ING PKI Technical CA, je plně a výhradně v odpovědnosti Spoléhající se strany, která bude používat vlastní předpoklady důvěryhodnosti postupů předcházejících vydání Certifikátu (které jsou popsány v Části č. 6 těchto Zásad). Tyto Postupy při vydávání certifikátů jsou závazné pro každého Koncového uživatele, který žádá o, resp. získá Certifikát vystavený institucí ING PKI Customer CA, a to na základě Ustanovení a podmínek instituce ING PKI Customer CA (dále v textu označované jen jako „Ustanovení“).
3. Povinnosti Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 2.1. 3.1. Povinnost CA Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 2.1.1. 3.1.1 Fyzické osoby Povinnosti instituce ING PKI Customer CA vztahující se na fyzické osoby jsou řešeny výhradně Ustanoveními a dokumentem Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certification Practice Statement). Tyto Postupy při vydávání certifikátů nestanovují žádné doplňující povinnosti. 3.1.2 Neosobní zařízení Instituce ING PKI Customer CA, včetně jejích Operátorů, je povinna:
ING Public Key Infrastructure / ING PKI Postup při vydávaní certifikátů Verze 5.2 květen 2012 5
• postupovat v souladu s těmito Zásadami a dokumentem ING PKI CPS a v souladu s veškerými příslušnými zákony nadřazené jurisdikce; • pravidelně ověřovat, zda všechny podřízené RA dodržují příslušná ustanovení těchto Zásad a dokumentu ING PKI CPS; • Certifikát vytvářet výhradně po přijetí platného schválení k vydání Certifikátu od příslušné RA; • Aktivační údaje a Soukromé klíče distribuovat jejich Koncovým uživatelům zabezpečeným způsobem, a • Certifikáty uložit v úložišti PKI společnosti ING a udržovat v něm uložené informace o Certifikátech, včetně údajů CRL. 3.2. Povinnosti RA Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 2.1.2. 3.2.1 Fyzické osoby Povinnosti RA, které jsou podřízeny instituci ING PKI Customer CA jsou řešeny pouze a výhradně v Ustanoveních a dokumentem Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certification Practice Statement). Tyto Zásady nestanovují žádné doplňující povinnosti. 3.2.2 Neosobní zařízení Každá RA, včetně jejích Operátorů, je povinna: • ověřit totožnost Koncových uživatelů způsobem odpovídajícím postupem definovaným v těchto Zásadách a v dokumentu ING PKI CPS; • přijmout všechna odpovídající opatření k tomu, aby bylo zajištěno, že Koncoví uživatelé budou seznámeni se svými právy a povinnostmi souvisejícími s používáním Certifikátů vydaných podle těchto Zásad; • postupovat v souladu s těmito Zásadami a dokumentem ING PKI CPS a v souladu s veškerými příslušnými zákony nadřazené jurisdikce, a • archivovat doklady o všech kontrolách provedených před schválením vydání Certifikátu. 3.3. Povinnosti Koncového uživatele Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 2.1.3. Povinnosti Koncových uživatelů instituce ING PKI Customer CA jsou řešeny výhradně Ustanoveními a dokumentem Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certification Practice Statement). Tyto Postupy při vydávání certifikátů nestanovují žádné doplňující povinnosti.
3.4. Povinnosti Spoléhající se strany Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 2.1.4. Všechny osoby nebo právní subjekty jednající v postavení Spoléhající se strany jsou povinny: • Certifikáty ověřit v souladu s postupem pro cestu pro pověření certifikátu popsanou v dokumentu in ITU-T Rec. X.509:1997 | ISO/IEC 9594-8 (1997), při uvážení veškerých kritických rozšíření, a • Certifikátu vystavenému institucí ING PKI Technical CA důvěřovat pouze tehdy, jestliže jeho platnost nepropadla, není pozastavený ani zrušený, a také pouze tehdy, jestliže může být vytvořen řádný řetězec důvěry k instituci ING PKI Root CA. 3.5. Povinnosti Úložiště Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 2.1.5. Veškeré povinnosti týkající se Úložiště PKI společnosti ING (ING PKI Repository) jsou řešeny výhradně Ustanoveními a dokumentem Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certification Practice Statement). Tyto Postupy při vydávání certifikátů nestanovují žádné doplňující povinnosti.
4. Odpovědnost Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 2.2. 4.1. Odpovědnost CA Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 2.2.1 Společnost ING Bank N.V. neponese žádnou odpovědnost za žádné (finanční) škody způsobené škodami na majetku (‘vermogensschade’), ani za čistě finanční škody (‘zuivere vermogensschade’), které by zahrnovaly, ale nejen, škody způsobené pozdním dodáním, ztrátou nebo poškozením dat, ztrátami zisku nebo příjmu, které by vznikly Zákazníkům nebo jiným stranám. V žádném případě nepřevýší celková odpovědnost společnosti ING Bank N.V. částku 1.000.000 eur (jednoho milionu eur) za jednu událost. Společnost ING Bank N.V. neponese odpovědnost za obsah sdělení, resp. transakcí, iniciovaných Zákazníky nebo jinými
ING Public Key Infrastructure / ING PKI Postup při vydávaní certifikátů Verze 5.2 květen 2012 6
stranami, ani za škody vzniklé v souvislosti s použitím Certifikátu způsobem, který není povolen těmito Zásadami nebo dokumentem ING PKI CPS povolen. Společnost ING odmítá jakoukoli odpovědnost za ztrátu dat (včetně Certifikátů) i za nemožnost využít ING PKI z důvodu závady nebo chyby ve funkci telekomunikací nebo zařízení pro přenos dat, bez ohledu na způsob, jakým se přenos provádí. Dokument Ustanovení a Podmínky může v případě potřeby stanovit doplňující ustanovení. 4.2. Odpovědnost RA Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 2.2.2 Společnost ING Bank N.V. nenese žádnou odpovědnost za organizační složky společnosti ING vystupující v roli RA podřízené instituci ING PKI Technical CA. Jestliže budou škody způsobeny Zákazníky nebo jinými stranami v důsledku činnosti RA instituce ING PKI Technical CA, budou se tyto události považovat za součást odpovědnosti CA definované a omezené ustanovením článku č. 4.1. Dokument Ustanovení a Podmínky může v případě potřeby stanovit doplňující ustanovení. 4.3. Nadřazená legislativa Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 2.4.1 Zpracování, platnost, výklad, vynutitelnost a uplatňování těchto Zásad se řídí zákony Nizozemí. Při řešení sporů se postupuje výhradně podle Ustanovení. Tyto Postupy při vydávání certifikátů nestanovují žádné doplňující povinnosti.
5. Zachování důvěrnosti Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 2.8 Veškeré údaje o Zákaznících získané během registrační fáze jsou považovány za důvěrné a je s nimi nakládáno v plném souladu s příslušnou legislativou vztahující se na ochranu údajů. Prohlášení o zachování důvěrnosti v systému ING PKI (ING PKI Privacy Statement) se vztahuje na všechny činnosti ING PKI včetně činností instituce ING PKI Customer CA.
6. Identifikace a ověření Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 3.1 Před tím, než instituce ING PKI Customer CA vydá Certifikát, RA Zákazníka řádně ověří totožnost Koncového uživatele. Ověření žádosti vyžaduje doložení statutu Koncového uživatele coby Zaměstnance Zákazníka, buď prověřením údajů předložených Koncovým uživatelem nebo odkazem v informačním systému – např. aktuální databázi osobního oddělení. Je možná i „odvozená“ registrace, a to v případě, že Koncový uživatel byl již předregistrován u společnosti ING nebo u Zákazníka, nebo že byl již zaregistrován v informačním systému třetí strany, který je z hlediska ověření totožnosti považován za důvěryhodný, ovšem to pouze za předpokladu, že postupy při takové předchozí registraci jsou v souladu s požadavky těchto Zásad. Požadavky na informace (informační systémy) poskytující doklady o statusu koncového uživatele coby zákazníka společnosti ING budou popsány v příslušných postupech pro požadavky na registraci. Doklady, které bude muset Koncový uživatel předložit a další požadavky na identifikaci a ověření budou popsány v příslušných postupech pro požadavky na registraci. Jména, která budou zapsána pro účely certifikátů musí být smysluplná v takovém rozsahu, aby tato jména byla vysledovatelná zpět k odběrateli.
7. Postup podání žádosti o Certifikát Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 4.1 Zpracování každé žádosti o vydání Certifikátu institucí ING PKI Customer CA se musí sestávat přinejmenším z následujících kroků: • předložení dokladu totožnosti a dokladu o statusu Zaměstnance ze strany Koncového uživatele, a to v souladu s ustanovením Části č. 6 těchto Zásad; • v případě, že pár klíčů vytváří žadatel, předložení dokladu o vlastnictví Soukromého klíče ze strany Koncového uživatele, a • uložení dokladů RA souvisejících se všemi provedenými kroky zjištění a ověření totožnosti.
ING Public Key Infrastructure / ING PKI Postup při vydávaní certifikátů Verze 5.2 květen 2012 7
8. Vystavení a doručení Certifikátu Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 4.2 Teprve po úspěšném zjištění a ověření totožnosti Koncového uživatele v souladu s Částmi č. 6 a 7 těchto Zásad instituce ING PKI Customer CA: • se vygeneruje Certifikát s využitím obsahu Žádosti; • jestliže dvojici klíčů generuje ING PKI Customer CA, vygeneruje odpovídající Veřejný a Soukromý klíč, nebo jestliže dvojici klíčů generuje Koncový uživatel, ověří vlastnictví Soukromého klíče; • zabezpečeným způsobem předá Koncovému uživateli Certifikát a v případě, kdy dvojici klíčů generovala instituce ING PKI Customer CA, také příslušný Soukromý klíč, a • předá Aktivační údaje a pokyny pro vyzvednutí, resp. přijetí Certifikátu. Certifikáty, resp. Soukromé klíče budou doručeny přímo Koncovému uživateli, a to odděleně od Aktivačních údajů. V případě, že dvojici Klíčů generovala instituce ING PKI Customer CA, bude Soukromý klíč zabezpečeným způsobem předán Koncovému uživateli, a to oddělenou cestou od Aktivačních údajů.
Přijetí Certifikátu bude mí za následek zrušení statusu „Pozastaveno“ karty Smart Card. Použití Certifikátu Koncovým uživatelem potvrzuje akceptaci Certifikátu ze strany Koncového uživatele.
10. Administrativní postupy Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 8 RA bude Koncového uživatele informovat o: • vydání certifikátu; • pozastavení certifikátu; • zrušení certifikátu; • vypršení certifikátu, a to v případě, že takové oznámení nebude součástí aktuální činnosti RA. Pro tyto Postupy při vydávání certifikátů platí rovněž Administrativní postupy uvedené v dokumentu ING PKI CPS.
Jestliže je Certifikát uložen na kartě Smart Card, bude tato karta Smart Card Koncovému uživateli doručena se statusem „Pozastaveno“. Přijetí Certifikátu bude mít za následek zrušení tohoto statusu karty Smart Card. Jakmile instituce ING PKI Customer CA Certifikát vystaví, bude tento okamžitě nabídnut k uveřejnění v Úložišti systému PKI společnosti ING.
9. Přijetí Certifikátu Viz dokument Podmínky poskytování certifikačních služeb ING PKI (ING PKI Certificate Practice Statement), § 4.3 Koncový uživatel musí požadovaný Certifikát výslovně přijmout. Přijetím Certifikátu Koncový uživatel potvrzuje, že podle jeho vědomostí: • k Soukromému klíči odpovídajícímu Veřejnému klíči obsaženému v Certifikátu neměla nikdy přístup nepovolaná osoba • k Aktivačním údajům neměla nikdy přístup nepovolaná osoba, a • veškeré informace obsažené v Certifikátu jsou správné a aktuální.
ING Public Key Infrastructure / ING PKI Postup při vydávaní certifikátů Verze 5.2 květen 2012 8
PCM306 0115 © ING Bank N.V.
Další informace Další informace naleznete na stránkách www.ing.com/pki případně si je můžete vyžádat zprávou elektronické pošty zaslanou v angličtině na adresu
[email protected] (in English language)