107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

Politica de Certificare
certSIGN

Versiunea 1.1 Data: Iulie, 2009

Copyright 2005-2009 certSIGN. Toate drepturile rezervate.

107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

Copyright 2005-2009 certSIGN. Toate drepturile rezervate.

2/13

107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

Cuprins
Introducere ............................................................................................................................... 4 Certificatele .............................................................................................................................. 4 2.1. Certificate de Clas 1 ...................................................................................................... 6 2.2. Certificate de Clas 2 ...................................................................................................... 6 2.3. Certificate de Clas 3 ...................................................................................................... 7 2.4. Certificate de Clas 4 ...................................................................................................... 8 3. Jetoane de ne-repudiere............................................................................................................ 8 3.1. Mrcile Temporale .......................................................................................................... 9 3.2. Rspunsul de confirmare OCSP.................................................................................... 10 4. Garaniile oferite de certSIGN ............................................................................................... 10 5. Acceptarea certificatului ........................................................................................................ 10 6. Serviciul de certificare ........................................................................................................... 11 7. Entitatea Partener ................................................................................................................... 12 8. Abonatul................................................................................................................................. 12 9. Actualizarea politicii de certificare ........................................................................................ 12 10. Taxe........................................................................................................................................ 13 1. 2.

Copyright 2005-2009 certSIGN. Toate drepturile rezervate.

3/13

107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

1.

Introducere

Politica de Certificare a certSIGN (CP) descrie regulile i principiile generale aplicate de certSIGN n procesul de certificare a cheilor publice i folosire a autoritii de marcare a timpului (TSA), precum i a altor servicii de ne-repudiere. Politica de certificare definete: entitile implicate n procesele de certificare, responsabilitile i obligaiile fiecrei entiti, tipurile de certificate, tipurile de confirmri, procedurile de verificare a identitii i aria de aplicabilitate. Descrierea detaliata a regulilor de mai sus este prezentata n Codul de Practici i Proceduri (CPP). Cunoaterea Politicii de Certificare, precum i al Codului de Practici i Proceduri prezint importan n mod special pentru abonaii i entitile partener ale certSIGN.

2.

Certificatele

Certificatul este un ir de date (mesaj) care conine cel puin numele i identificatorul autoritii, identificatorul abonatului, cheia sa public, perioada de validitate, numrul serial i semnatura autoritii emitente. Certificatele sunt utilizate pentru a lega datele personale ale abonatului de cheile publice specifice. Proprietarul certificatului este, de asemenea, i proprietarul cheii private, corespunztoare cheii publice coninut n certificat. Datele de identificare coninute n certificat permit altor pri s determine cu exactitate proprietarul certificatului. Dac cheia privat este utilizat n timpul semnarii electronice a unui mesaj, destinatarul mesajului poate fi sigur c mesajul a fost creat folosind cheia privat, corespunztoare cheii publice coninut n certificat (deci a fost creat de proprietarul certificatului) i mesajul nu a fost modificat de ctre altcineva. Autoritatea de Certificare certSIGN CA confirm prin emiterea unui certificat pentru un abonat:

Copyright 2005-2009 certSIGN. Toate drepturile rezervate.

4/13

107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

Identitatea acestuia sau credibilitatea altor date, ca de exemplu adresa csuei de pot electronic; Cheia public coninut de certificat aparine abonatului respectiv. Datorit celor de mai sus, entitile partener, dup recepia unui mesaj semnat, pot determina cine este proprietarul certificatului care a semnat mesajul i, opional, l pot trage pe acesta la rspundere pentru aciunile sale sau angajamentele luate. certSIGN furnizeaz servicii n concordan cu legislaia i practicile n domeniu. Cheile autoritii de certificare sunt protejate folosind module hardware de securitate (Hardware Security Module - HSM), certificate conform FIPS 140-1 nivel 3. certSIGN implementeaz controalele fizice i procedurale ale sistemului. Autoritatea de Certificare certSIGN emite certificate de diferite Clase, avnd nivele de credibilitate diferite. Credibilitatea certificatului depinde de procedura de verificare a identitii abonatului i de efortul depus de operatorii certSIGN pentru a verifica datele trimise de ctre solicitant n cererea sa de nregistrare. Clasa certificatului poate, de asemenea, s depind de Clasa de securitate a serverului sau dispozitivului de reea pentru care se emite certificatul. Specialitii certSIGN pot verifica starea tehnic i Clasa de securitate a sistemului informatic al unui abonat nainte de a emite un certificat din cea mai nalt Clas de credibilitate. Autoritatea de Certificare certSIGN CA emite certificate pentru publicul larg i furnizeaz servicii specifice unei infrastructuri de chei publice. Printre cele mai importante aplicaii ale certificatelor emise de certSIGN CA, se numr (fr a se limita la): Semnarea documentelor electronice, Securizarea mesajelor de e-mail (pot electronic), Securizarea tranzaciilor Web, Securizarea comunicaiilor de reea, Semnarea codului pentru aplicaii, Marcarea timpului.

Copyright 2005-2009 certSIGN. Toate drepturile rezervate.

5/13

107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

2.1. Certificate de Clas 1

Certificatele de Clas 1 sunt emise de Autoritatea de Certificare certSIGN Demo CA Class 1. Aceste certificate sunt folosite numai pentru scopuri demonstrative i nu ofer nici o garanie asupra identitii subiectului. Certificatele demo sunt destinate n principal pentru testarea performanei aplicaiilor sau dispozitivelor nainte de cumprarea certificatelor finale. Autoritatea de Certificare certSIGN Demo CA Class 1 emite certificate pentru aproape toate scopurile. n majoritatea cazurilor, n timpul procesului de nregistrare se verific adresa csuei de mesagerie electronic i/sau numele i prenumele persoanei fizice sau al reprezentantului persoanei juridice. Certificatele de Clasa 1 conin urmtorul identificator de politic: {certSIGN} id-policy(1) id-cp(1)id-Class-1(1) certSIGN nu i asum nici o obligaie financiar i nu ofer nici o garanie pentru certificatele (i coninutul acestora) emise n cadrul politicii de mai sus.

2.2. Certificate de Clas 2

Certificatele de Clas 2 sunt emise de Autoritatea de Certificare certSIGN Personal CA Class 2. Acestea sunt certificate personale i sunt destinate n principal pentru securizarea corespondenei electronice sau autentificarea clienilor n timpul sesiunilor online. Operatorii Autoritii de Certificare certSIGN Personal CA Class 2 verific datele furnizate de clieni n timpul procesului de certificare. Identitatea persoanei fizice solicitante sau a reprezentantului persoanei juridice este supus unei verificri detaliate. Autenticitatea adresei csuei de mesagerie electronic inclus n certificat este de asemenea verificat. Certificatele de Clasa 2 conin urmtorul identificator de politic: {certSIGN} .id-policy(1). id-cp(1).id-Class-2(2) Certificatele emise n cadrul acestei politici ofer garanii i responsabiliti limitate.

{certSIGN}=1.3.6.1.4.1.25017= iso(1). identified-organization(3). dod(6). internet(1). private(4). enterprise(1). certSIGNs IANNA assigned number (20715)

Copyright 2005-2009 certSIGN. Toate drepturile rezervate.

6/13

107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

2.3. Certificate de Clas 3

Certificatele de Clas 3 sunt emise de Autoritatea de Certificare certSIGN Enterprise CA Class 3. Certificate emise n aceast clas pot fi certificate calificate sau certificate pentru securizarea obiectelor binare i protecia transmisiilor de date utiliznd protocoalele IPSec, SSL i TLS. Operatorii certSIGN Enterprise CA Class 3 verific datele furnizate de clieni (organizaii sau instituii) n timpul procesului de nregistrare. Toate datele ce urmeaz a fi incluse n certificat sunt verificate. Sunt necesare documente adiionale care s confirme autenticitatea organizaiei i dreptul de utilizare a domeniului Internet. Pe baza unui certificat emis de certSIGN Enterprise CA Class 3 se poate determina cu exactitate identitatea unui subiect sau autenticitatea unei organizaii. Certificatele calificate emise de certSIGN tot n Clasa 3 pot fi utilizate pentru crearea de semnaturi electronice care s nlocuiasc semnaturile olografe. Certificatele calificate sunt emise de Autoritatea de Certificare certSIGN Qualified CA Class 3. Aceste certificate sunt conforme cu Directiva 1999/93/EC a Parlamentului European referitoare la Cadrul Comunitar privind Semnatura Electronica, Legea Semnaturii Electronice 455/2001 din Romnia i Hotrrea de Guvern 1259/Decembrie 2001 privind Normele de Aplicare ale Legii Semnaturii Electronice. Certificatele de Clasa 3 conin urmtorul identificator de politic: {certSIGN} id-policy(1) id-cp(1)id-Class-3(3) n plus, pentru certificatele calificate se adaug urmtorul identificator de politic: itu-t(0).identified-organization(4).etsi(0).qualified-certificate-policies(1456).policyidentifiers(1). qcp-public-with-sscd (1)

Responsabilitatea financiar a certSIGN pentru datele din certificatele emise n cadrul politicii de mai sus este prezentat n Codul de Practici i Proceduri (CPP) (a se vedea http://www.certSIGN.ro/repository). Certificatele emise n cadrul acestei politici ofer garanii i responsabiliti complete.

Copyright 2005-2009 certSIGN. Toate drepturile rezervate.

7/13

107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

2.4. Certificate de Clas 4

Certificatele de Clas 4 sunt emise de Autoritatea de Certificare certSIGN Non-Repudiation CA Class 4. Aceste certificate sunt destinate n principal Autoritilor de Certificare subordonate sau altor furnizori de servicii de ncredere (OCSP sau Autoriti de Marcare Temporal). Operatorii certSIGN Non-Repudiation CA Class 4 verific identitatea clienilor care trebuie s se prezinte personal la unul din ghieele certSIGN. Se vor verifica mputernicirea din partea firmei, autenticitatea i corectitudinea documentelor de identitate furnizate precum i actele organizaiei. certSIGN Non-Repudiation CA Class 4 accept i documente autentificate de ctre un notar. Pe baza unui certificat emis de certSIGN Non-Repudiation CA Class 4 se poate determina cu exactitate identitatea unui subiect, autenticitatea unei organizaii sau credibilitatea unei Autoriti de Certificare externe. Perioada de valabilitate a unui certificat de Clas 4 este de minim 2 ani. Cheile abonatului ce deine un certificat de Clas 4 trebuie protejate utiliznd module hardware de securitate (HSM). Certificatele de Clas 4 conin urmtorul identificator de politic: {certSIGN} id-policy(1) id-cp(1)id-Class-4(4)

Certificatele emise n cadrul acestei politici ofer garanii i responsabiliti complete. Abonatul certSIGN poate alege tipul de certificat potrivit nevoilor sale. Tipurile de certificate sunt descrise pe larg n Codul de Practici i Proceduri (CPP) care poate fi consultat pe site-ul Web al certSIGN. De asemenea, aceste informaii pot fi primite i prin pot electronica trimind un mesaj la adresa: office@certSIGN.ro.

3.

Jetoane de ne-repudiere
informaiile furnizate de ctre client (de exemplu, valoare hash, numrul serial al certificatului, numrul cererii etc.) unei autoriti de ne-repudiere i semnatura electronica a autoritii respective.

Jetoanele de ne-repudiere sunt structuri de date (mesaje) coninnd cel puin:

Autoritile de ne-repudiere care ofer servicii clienilor sunt afiliate la certSIGN.

Copyright 2005-2009 certSIGN. Toate drepturile rezervate.

8/13

107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

Prin emiterea unui jeton, o autoritate de ne-repudiere confirm apariia unui eveniment n momentul crerii acestuia sau la un moment de timp anterior. Acest eveniment poate fi: transmiterea unui document, data crerii semnaturii etc. Entitatea partener poate verifica, pe baza datelor recepionate, corectitudinea semnaturii bazndu-se pe ncrederea n certSIGN CA.

3.1. Mrcile Temporale

Mrcile temporale sunt emise de Autoritatea certSIGN Time-Stamping Authority. Mrcile temporale, ca element de baz n asigurarea ne-repudierii, sunt emise att persoanelor private ct i celor aparinnd unei organizaii. Mrcile temporale pot fi ncorporate n: semnaturi electronice, acceptarea tranzaciilor electronice, arhivarea datelor, notarizarea documentelor electronice etc. Regulile ce stabilesc modul de operare al Autoritii de Marcare Temporal precum i alte informaii suplimentare legate de acest sistem sunt descrise ntr-un document separat (a se vedea Politica certSIGN Time-Stamping Authority). Jetonul de marcare temporal conine urmtorul identificator de politic: {certSIGN}*.id-Time-Stamping(2).Id-Policy(1) Responsabilitatea financiar a certSIGN pentru timpul, data i alte informaii suplimentare incluse n mrcile temporale emise n cadrul politicii de mai sus este prezentat n Politica certSIGN Time-Stamping Authority (a se vedea http://www.certSIGN.ro/repository). certSIGN Time-Stamping Authority ofer garanii pentru mrcile temporale emise n limitele specificate n Politica certSIGN Time-Stamping Authority.

{certSIGN}=1.3.6.1.4.1.25017= iso(1). identified-organization(3). dod(6). internet(1). private(4). enterprise(1). certSIGNs IANNA assigned number (25017)
Copyright 2005-2009 certSIGN. Toate drepturile rezervate.
9/13

107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

3.2. Rspunsul de confirmare OCSP

Rspunsurile OCSP (Online Certificate Status Protocol) sunt emise de Autoritatea certSIGN Validation Service. Rspunsurile OCSP sunt utilizate n principal pentru determinarea strii certificatelor. Aceste servicii sunt disponibile public i reprezint o alternativ la Listele de Certificate Revocate (Certificate Revocation List CRL). certSIGN Validation Service ofer garanii pentru rspunsurile OCSP emise, n limitele descrise n CPP. Modul de funcionare al autoritii OCSP i informaii suplimentare privind acest serviciu sunt prezentate pe pagina web (a se vedea http://www.certSIGN.ro) i n CPP.

4.

Garaniile oferite de certSIGN

n funcie de tipul de certificat emis, certSIGN garanteaz c va depune efortul necesar pentru a verifica n mod corespunztor informaiile incluse n cadrul certificatelor (a se vedea Codul de Practici i Proceduri - Capitolul 2.1: Obligaii). Verificarea informaiilor este important n primul rnd pentru entitile partenere ce primesc mesaje de la un abonat care se identific printrun certificat digital calificat emis de certSIGN. n consecin, certSIGN este responsabil din punct de vedere financiar pentru pagubele rezultate ca urmare a neglijenei sau erorilor comise de certSIGN n ceea ce privete aceste tipuri de certificate. Responsabilitile certSIGN depind de clasa certificatului abonatului, iar responsabilitatea este att fa de abonat ct i fa de entitile partenere care au ncredere n informaiile din certificat (a se vedea Codul de Practici i Proceduri Capitolul 2.2 Responsabiliti Juridice i 2.3 Responsabiliti de natur financiar). Garaniile certSIGN pot fi limitate de anumite restricii. Aceste restricii sunt aduse la cunotin abonatului care confirm acest lucru n cadrul unei declaraii (a se vedea declaraia de Acceptare a Certificatului). certSIGN garanteaz unicitatea semnaturilor electronice pentru abonaii si.

5.

Acceptarea certificatului

Responsabilitile i garaniile certSIGN se aplic din momentul acceptrii certificatului de ctre abonat. Modalitatea de furnizare a certificatului i acceptana certificatului sunt descrise n Codul de Practici i Proceduri (a se vedea capitolul 4.4 Acceptarea Certificatului) i sunt detaliate n acordurile ncheiate cu abonaii.

Copyright 2005-2009 certSIGN. Toate drepturile rezervate.

10/13

107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

6.

Serviciul de certificare
(1) nregistrarea, (2) emiterea unui certificat digital, (3) rennoirea unui certificat, (4) revocarea unui certificat i (5) verificarea strii unui certificat.

certSIGN furnizeaz patru servicii de baz:

n plus, certSIGN ofer i urmtoarele servicii de ne-repudiere: (6) Autoritate de Marcare Temporal, (7) Serviciu de validare on-line a strii certificatelor digitale. nregistrarea are ca scop verificarea identitii unui abonat i preced operaiunea de emitere a certificatului (a se vedea Codul de Practici i Proceduri, capitolul 4.1 Trimiterea cererii i Capitolul 4.3 Emiterea certificatului digital). Rennoirea unui certificat are loc atunci cnd un abonat nregistrat deja dorete s obin un certificat pentru o aceeai cheie public cu modificarea perioadei de valabilitate (a se vedea Codul de Practici i Proceduri, Capitolul 4.7 Certificarea cheii i schimbarea cheii certificatului). Revocarea unui certificat are loc atunci cnd cheia privat corespunztoare cheii publice din certificatul digital a fost compromis sau este susceptibil c ar putea fi compromis (a se vedea Codul de Practici i Proceduri, Capitolul 4.9 Revocarea i suspendarea certificatelor). Verificarea strii unui certificat este un serviciu prin care certSIGN confirm validitatea unui certificat digital, folosind Listele de Certificate Revocate (CRL) emise de autoritile afiliate. Verificarea strii unui certificat se poate realiza i prin intermediul serviciului de validare on-line a strii certificatelor (a se vedea Codul de Practici i Proceduri, Capitolul 4.9.7 Verificarea online a strii certificatelor).

Copyright 2005-2009 certSIGN. Toate drepturile rezervate.

11/13

107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

certSIGN permite ca fiecare pereche de chei (privat-public) s fie generat de ctre abonat. certSIGN poate face recomandri cu privire la dispozitivele pentru generarea cheilor. n anumite condiii specifice, certSIGN poate genera perechi de chei unice i livra aceste chei abonailor.

7.

Entitatea Partener

Entitatea partener este obligat s verifice n mod corespunztor fiecare semnatur electronic de pe documentele recepionate (inclusiv certificatul digital). Pe timpul procesului de verificare, entitatea partener trebuie s utilizeze procedurile i resursele puse la dispoziie de certSIGN. Acestea specific, printre altele, faptul c trebuie verificat lista de certificate revocate publicat de certSIGN i cile de certificare permise (a se vedea Codul de Practici i Proceduri, Capitolul 2.1.4 Obligaiile entitilor partener). Fiecare document pentru care exist probleme la verificarea semnaturii digitale trebuie s fie respins i trebuie s fie verificat prin alte modaliti sau proceduri, de exemplu verificarea documentului la un notar.

8.

Abonatul

Abonatul este obligat s pstreze n siguran cheia sa privat, pentru a preveni accesul neautorizat la aceasta al unei tere pri. n cazul n care exist bnuiala c a fost accesat de o ter parte, abonatul este obligat s anune imediat autoritatea care a emis certificatul sau digital. Informaiile furnizate autoritii trebuie s fie suficiente pentru a determina cu exactitate identitatea persoanei creia i se va revoca certificatul digital.

9.

Actualizarea politicii de certificare

Politica de certificare a certSIGN se poate modifica periodic. Aceste modificri vor fi disponibile tuturor abonailor prin intermediul site-lui Web al certSIGN. Abonaii care nu accept modificrile aduse politicii de certificare trebuie s trimit ctre certSIGN o declaraie n acest sens i s renune la serviciile oferite de certSIGN.

Copyright 2005-2009 certSIGN. Toate drepturile rezervate.

12/13

107A, Sos Oltenitei Sector 4, CP 041303 Bucharest, Romania

Tel: 0040 21 3119904 Fax: 0040 21 3119905 email:office@certsign.ro

10. Taxe
Serviciile de certificare furnizate de certSIGN sunt disponibile comercial. Tarifele pentru aceste servicii depind de clasa certificatelor emise sau deinute de un abonat i de tipul de serviciu cerut. Tarifele sunt prezentate n listele de preuri, disponibile pe site-ul certSIGN (http://www.certSIGN.ro).

Copyright 2005-2009 certSIGN. Toate drepturile rezervate.

13/13