Contratto di adesione GlobalSign - Certificati digitali e servizi - Versione 2.

6 Il presente documento la traduzione della versione originale in inglese, disponibile all'indirizzo www.globalsign.com/repository. Nel caso in cui si manifesti una discrepanza tra l'interpretazione di una versione tradotta e la versione originale in inglese, sar la versione originale in inglese a prevalere. LEGGERE ATTENTAMENTE IL PRESENTE CONTRATTO PRIMA DI UTILIZZARE IL CERTIFICATO DIGITALE RILASCIATO ALL'UTENTE O ALLA SUA ORGANIZZAZIONE. LA RICHIESTA DI UN CERTIFICATO DIGITALE COMPORTA L'ACCETTAZIONE DEI TERMINI DEL PRESENTE CONTRATTO. QUALORA L'UTENTE NON ACCETTI TUTTI I TERMINI E LE CONDIZIONI DEL PRESENTE CONTRATTO, TENUTO AD ANNULLARE TEMPESTIVAMENTE L'ORDINE ENTRO 7 GIORNI DALLA RICHIESTA AL FINE DI OTTENERE IL RIMBORSO DEL RELATIVO PREZZO CORRISPOSTO. PER QUALSIASI CHIARIMENTO IN MERITO AL PRESENTE CONTRATTO O PER QUALSIASI ALTRA INFORMAZIONE INERENTE AD ESSO, CONTATTARE GLOBALSIGN TRAMITE EMAIL ALL'INDIRIZZO legal@globalsign.com. Il presente Contratto di adesione GlobalSign ("Contratto") ha effetto dalla data della richiesta del Certificato digitale ("Data di entrata in vigore") ed stipulato tra GlobalSign ("GlobalSign") e il committente che riceve il Certificato digitale ("Sottoscrittore"). Per "GlobalSign", parte contraente nel presente Contratto, si intende GMO GlobalSign Limited, GMO GlobalSign, Inc., GMO GlobalSign Pte. Ltd , GMO GlobalSign Certificate Services Pvt. Ltd oppure GMO GlobalSign Russia LLC ovvero la persona giuridica GlobalSign alla quale il Sottoscrittore ha inoltrato un ordine di acquisto del Certificato digitale. 1.0 Definizioni e integrazioni a scopo di riferimento All'interno del presente contratto sono adottate le definizioni seguenti Committente: entit privata, azienda, ente pubblico, organismo internazionale o persona fisica che richiede l'emissione (o il rinnovo) di un Certificato digitale, da qui in avanti denominato "Soggetto". Rappresentante del committente: persona fisica impiegata presso il Committente o agente del Committente che agisce con l'autorit esplicita del Committente. CA/Browser Forum: gruppo di esperti del settore composto da fornitori di applicazioni software e autorit di certificazione (CA, Certification Authority). Sul sito www.cabfoum.org sono disponibili le informazioni dettagliate su questo gruppo. Responsabile approvazione certificato: rappresentante del Committente a cui stato espressamente delegato il potere di rappresentare il Committente al fine di (i) agire in qualit di Richiedente certificato e autorizzare altri dipendenti o terzi ad agire come Richiedente certificato, e di (ii) approvare le Richieste di certificato inviate da altri Richiedenti certificato. Richiedente certificato: rappresentante del Committente a cui stata esplicitamente affidata l'autorit di rappresentare il Committente, o un terzo (ad esempio un ISP o una societ di hosting) che compila e invia Richieste di certificato per conto del Committente. I Richiedenti certificato possono essere approvati in via preliminare attraverso le funzionalit di un Servizio gestito quale MSSL o ePKI. Elenco di revoche di certificati: insieme di dati elettronici contenenti informazioni sui Certificati digitali revocati. Autorit di certificazione: GlobalSign o persona giuridica certificata da GlobalSign per emettere il Certificato digitale al Soggetto. GlobalSign Autorit di certificazione del Committente da qui in avanti. Firmatario del contratto: rappresentante del Committente con potere di firma e presentazione di un Contratto di adesione o di altro contratto di servizio. Certificato digitale: insieme di dati elettronici con Firma digitale di GlobalSign, costituito da una Chiave pubblica, da informazioni di identificazione del proprietario della Chiave

Contratto di adesione - versione 2.6

Pag. 1 di 10

pubblica, e da informazioni di validit. Il termine "Certificato" si riferisce all'ipotesi in cui GlobalSign abbia emesso un Certificato digitale valido che non sia stato revocato. Depositario del certificato digitale: persona fisica nominata responsabile per l'intero ciclo di vita del Certificato digitale. Questo soggetto pu anche non coincidere con il Sottoscrittore. Firma digitale: informazioni crittografate mediante una Chiave privata che vengono accodate a dati elettronici per identificare il proprietario della Chiave privata e verificare l'integrit dei dati elettronici. L'espressione "con Firma digitale" si riferisce a dati elettronici ai quali stata apposta una Firma digitale. Gli standard di PKI (Public Key Infrastructure) del North American Energy Standards Board (NAESB) - WEQ-012 v3.0: dettagli tecnici e gestionali a cui un'Autorit di certificazione (CA, Certification Authority) deve conformarsi per poter essere accreditata come Autorit di certificazione autorizzata (ACA, Authorized Certification Authority) dal NAESB Online Certificate Status Protocol ("OCSP"): protocollo per Internet (IP, Internet Protocol) utilizzato per ottenere in tempo reale lo stato di revoca di un certificato digitale. Plug-in OneClickSSL: applicazione software progettata e sviluppata per semplificare la richiesta e l'installazione di certificati SSL/TLS e dimostrare la titolarit di un dominio. Chiave privata: chiave matematica tenuta segreta dal proprietario e utilizzata per creare Firme digitali e per decrittare dati elettronici. Chiave pubblica: chiave matematica disponibile pubblicamente, utilizzata per verificare le Firme digitali create con la Chiave privata corrispondente e per crittografare dati elettronici, i quali potranno essere decrittati solo utilizzando la Chiave privata corrispondente. Ente di registrazione: ente responsabile dell'identificazione e dell'autenticazione totale o parziale del "Soggetto" al quale successivamente possibile emettere certificati. Sottoscrittore: soggetto responsabile della gestione del ciclo di vita del certificato digitale e tutte le chiavi pubbliche e private associate, nonch destinatario del presente Contratto.

A scopo di riferimento inclusa la seguente Informativa sulle pratiche di certificazione (Certification Practice Statement, da qui in avanti denominata "CPS") e le linee guida associate: CPS di GlobalSign per prodotti di GlobalSign: la CPS di GlobalSign incorporata nel presente Contratto. La CPS pi recente si trova all'indirizzo http://www.globalsign.com/repository. CPS di GlobalSign per Adobe: la CPS di GlobalSign per la firma di PDF per Adobe CDS incorporata nel presente Contratto. La CPS pi recente si trova all'indirizzo http://www.globalsign.com/repository. Requisiti di base definiti dal CA/Browser Forum per l'emissione di certificati attendibili pubblicamente.

2.0 Autorit di utilizzo dei certificati digitali 2.1 Concessione di autorit A partire dalla Data di entrata in vigore e fino al termine indicato nel periodo di validit di ogni Certificato digitale emesso (dalla data "Valido da" alla data "Valido fino a"), con il presente Contratto, GlobalSign concede al Sottoscrittore l'autorit di utilizzare il Certificato digitale richiesto in combinazione con gli impieghi della Chiave privata e/o della Chiave pubblica. Gli obblighi del Sottoscrittore di cui alla sezione 4.0 relativamente alla protezione della Chiave privata sono applicabili dalla data di entrata in vigore. 2.2 Limiti di autorit Il Sottoscrittore utilizzer il Certificato digitale richiesto solo in combinazione con software di crittografia dotato di regolare licenza. Il Certificato digitale pu essere installato solo su sistemi o server fisici cos come stabilito e specificato durante il processo di iscrizione.

Contratto di adesione - versione 2.6

Pag. 2 di 10

3.0 Servizi forniti da GlobalSign A seguito della sottoscrizione del presente Contratto e del pagamento di tutti i costi applicabili, in aggiunta alla "Concessione di autorit", GlobalSign o un provider terzo nominato da GlobalSign fornir al Sottoscrittore a partire dall'emissione del Certificato digitale i seguenti servizi. 3.1 Trasmissione di elenchi di revoche di certificati (CRL), di servizi dell'Online Certificate Status Protocol (OCSP) e delle informazioni sull'autorit di emissione del certificato GlobalSign compir ogni ragionevole sforzo nel compilare, aggregare e rendere disponibile elettronicamente a tutti il Certificato digitale firmato ed emesso da un'Autorit di certificazione di GlobalSign: elenchi di revoche di certificati (CRL) per qualsiasi Certificato digitale contenente un punto di distribuzione di CRL (CDP), risponditori OCSP per tutti i certificati contenenti un URL di risponditore OCSP, nonch rilascio di informazioni inerenti il Certificato digitale dai punti di accesso alle informazioni di autorit (AIA); ad ogni modo GlobalSign non potr comunque essere ritenuta inadempiente degli obblighi assunti in caso di ritardi o problemi inerenti le sue prestazioni, che siano derivanti da guasti alle apparecchiature o interruzioni di telecomunicazioni di qualsiasi natura, i quali esulino dal ragionevole controllo di GlobalSign. 3.2 Servizi di revoca per i certificati digitali 3.2.1 GlobalSign revocher il Certificato digitale emesso al verificarsi di quanto segue: Il Sottoscrittore richiede la revoca del Certificato digitale attraverso un account di GlobalSign Certificate Centre (GCC), attraverso il quale si esercita il controllo del ciclo di vita del Certificato digitale, Il Sottoscrittore richiede la revoca del Certificato digitale attraverso una procedura di revoca di OneClickSSL, Il Sottoscrittore richiede la revoca attraverso una richiesta autenticata sottoposta al gruppo di supporto di GlobalSign o all'Ente di registrazione di GlobalSign, GlobalSign rileva con ragionevole evidenza che la Chiave privata del Sottoscrittore (corrispondente alla Chiave pubblica nel Certificato) stata compromessa, creata mediante un algoritmo di scarsa efficacia, o che il Certificato digitale stato utilizzato in un qualsiasi altro modo non corretto o inappropriato, GlobalSign riceve comunicazione o viene a conoscenza in altro modo che un Sottoscrittore viola uno qualsiasi dei suoi obblighi materiali stabiliti dal Contratto di adesione, GlobalSign riceve comunicazione o viene a conoscenza in altro modo che un Sottoscrittore utilizza il certificato per attivit criminali quali attacchi di tipo phishing, truffe, certificazione o firma di malware, e cos via, GlobalSign riceve comunicazione o viene a conoscenza in altro modo che un Tribunale o un arbitro ha revocato il diritto di un Sottoscrittore all'utilizzo di uno qualsiasi degli elementi contenuti nei campi Soggetto o Nome alternativo soggetto del Certificato digitale, o che il Sottoscrittore non ha rinnovato o non detiene pi il controllo di uno qualsiasi di tali elementi, GlobalSign riceve comunicazione o viene a conoscenza in altro modo di un cambio materiale nelle informazioni contenute nel Certificato digitale, A sua sola discrezione, GlobalSign ha la comprova che il Certificato digitale non era stato emesso in conformit con la migliore procedura o con uno qualsiasi dei criteri pubblicati da GlobalSign, GlobalSign rileva che una qualsiasi informazione che compare nel Certificato digitale inesatta, GlobalSign cessa le attivit per qualsiasi ragione senza disporre la fornitura del supporto di revoca del Certificato digitale da parte di un'altra Autorit di certificazione,

Contratto di adesione - versione 2.6

Pag. 3 di 10

Il diritto di GlobalSign di emettere Certificati digitali scade o viene revocato o terminato, La Chiave privata di GlobalSign relativa al Certificato dell'Autorit di certificazione emittente viene compromessa, GlobalSign riceve comunicazione o viene a conoscenza in altro modo che un Sottoscrittore, in forma di persona fisica o giuridica, stato inserito in una lista nera ("blacklist") di soggetti da evitare, oppure opera da una destinazione vietata dalle leggi in vigore nella giurisdizione in cui opera GlobalSign, L'utilizzo continuato del certificato dannoso per le attivit aziendali di GlobalSign e dei soggetti che si affidano a essa.

3.2.2 Nella valutazione della dannosit per GlobalSign derivante dall'utilizzo di un certificato, GlobalSign prende in considerazione, tra le altre cose, gli aspetti seguenti: la natura e il numero di reclami ricevuti, l'identit del reclamante o dei reclamanti, la legislazione relativa vigente, nonch risposte da parte del Sottoscrittore al presunto utilizzo dannoso. 3.3 Servizi correlati al sigillo di sito per certificati SSL/TLS e risposte OCSP/CRL GlobalSign autorizza il Committente a porre sul proprio sito Web il Sigillo di sito GlobalSign fino a una frequenza di 500.000 [cinquecentomila] impression al giorno. GlobalSign conserva il diritto di limitare o interrompere la disponibilit del sigillo se questo limite viene superato. GlobalSign offre un servizio, operativo 24 ore su 24 e 7 giorni su 7, per il controllo della validit di un certificato emesso attraverso un risponditore OCSP o un elenco di revoche di certificati (CRL). stabilita la frequenza massima di 500.000 [cinquecentomila] convalide al giorno per certificato. GlobalSign conserva il diritto di applicare l'OCSP Stapling se il limite viene superato. 3.4 Servizi di aggiunta di timestamp per Certificato digitale CodeSigning GlobalSign offre la possibilit di aggiungere il timestamp di codice firmato con il suo Certificato digitale CodeSigning come servizio gratuito, purch utilizzato in modo ragionevole. stabilito il ragionevole limite di 50 operazioni di timestamp al mese per la durata del certificato. GlobalSign negher il diritto ritirando il servizio o addebitando un costo per il servizio laddove il volume di operazioni di aggiunta di timestamp eseguite superi questo limite. 3.5 Servizi di aggiunta di timestamp per la firma di PDF per Certificati digitali CDS di Adobe GlobalSign offre la possibilit di aggiungere il timestamp a documenti PDF (Portable Document Format) mediante un servizio a pagamento. Il numero di firme all'anno consentite con questo servizio viene concordato nel corso del processo di richiesta. GlobalSign negher il diritto ritirando il servizio o addebitando costi aggiuntivi per il servizio laddove il volume di operazioni di aggiunta di timestamp eseguite superi il limite concordato. 4.0 Obblighi del Sottoscrittore Nel presente Contratto di adesione, Microsoft espressamente indicata come terza parte beneficiaria per i certificati Code Signing ed Extended Validation (EV) Code Signing. Il Sottoscrittore garantisce e si impegna a rispettare quanto di seguito riportato, nei confronti di GlobalSign e di tutti i fornitori software con cui GlobalSign abbia stipulato contratti per l'inclusione del suo certificato radice (root certificate) nel software da essi distribuito, e nei confronti di tutti i beneficiari di certificati digitali che si affidano di fatto a un certificato valido. 4.1 Controllo esclusivo del dominio per certificati digitali SSL/TLS Il Sottoscrittore riconosce e dichiara di disporre del controllo esclusivo del dominio o dell'indirizzo IP indicato in SubjectAltName per il quale richiede il certificato digitale SSL/TLS. Nel caso in cui Sottoscrittore non abbia pi il controllo di uno dei domini indicati, tenuto a informare

Contratto di adesione - versione 2.6

Pag. 4 di 10

immediatamente GlobalSign, in conformit agli obblighi indicati nella sezione "Segnalazione e Revoca" del presente Contratto. 4.2 Controllo esclusivo dell'email per certificati digitali PersonalSign Il Sottoscrittore riconosce e dichiara di disporre del controllo esclusivo dell'indirizzo email per il quale richiede il certificato digitale PersonalSign. Nel caso in cui il Sottoscrittore non abbia pi il controllo di uno degli indirizzi email indicati, tenuto a informare immediatamente GlobalSign, in conformit agli obblighi indicati nella sezione "Segnalazione e Revoca" del presente Contratto. 4.3 Accuratezza dei dati Il Sottoscrittore si impegna a fornire a GlobalSign o a un qualsiasi Ente di registrazione GlobalSign informazioni che siano sempre accurate e complete. Il Sottoscrittore si asterr dall'inviare a GlobalSign o a un qualsiasi Ente di registrazione GlobalSign materiale con contenuti illegali o lesivi dei diritti di qualsiasi parte. Ci include informazioni ingannevoli e fuorvianti nell'attributo Subject:organizationalUnitName. 4.4 Generazione e utilizzo di chiavi 4.4.1 Se il Sottoscrittore o il Richiedente certificato intende generare le chiavi, dovr utilizzare sistemi affidabili per generare coppie di chiavi pubbliche-private. In questo caso, sono applicabili i termini seguenti: Le chiavi devono essere generate utilizzando una piattaforma riconosciuta come adatta a questo scopo. Nel caso di firme di PDF per Adobe CDS e di EV Code Signing, il sistema deve essere compatibile con FIPS 140-2 di livello 2,Devono essere utilizzati una lunghezza e un algoritmo riconosciuti come adatti per le firme digitali, Il Sottoscrittore dovr assicurare che la chiave pubblica inviata all'Autorit di certificazione GlobalSign corrisponda correttamente alla chiave privata utilizzata, Il Sottoscrittore dovr porre tutta la dovuta attenzione nell'evitare l'utilizzo non autorizzato della propria chiave privata. 4.4.2 Se le chiavi vengono generate da GlobalSign per conto del Sottoscrittore in opzione tra PKCS#12 o AutoCSR oppure nel caso il Sottoscrittore abbia installato e utilizzi il plug-in OneClickSSL, GlobalSign far tutto il possibile per utilizzare sistemi affidabili per generare coppie di chiavi pubbliche-private. In questi casi, sono applicabili anche i termini seguenti: GlobalSign generer chiavi utilizzando una piattaforma riconosciuta come adatta allo scopo e accerter che le chiavi vengano crittografate quando trasportate al Sottoscrittore, GlobalSign utilizzer un algoritmo e una lunghezza chiave riconosciuti come adatti per le firme digitali.

4.4.3 Nel caso in cui le chiavi siano generate in ambito hardware come richiesto dalla CPS in vigore: Il Sottoscrittore gestisce i processi, inclusa, ma non ad essa limitata, la modifica dei dati di attivazione, che assicuri che ciascuna chiave privata nell'ambito di un HSM o token venga utilizzata da un'unica persona dell'organizzazione (il "Depositario del certificato digitale") in modo consapevole ed esplicito, Il Sottoscrittore assicura che il Depositario del certificato digitale abbia ricevuto la formazione sulla sicurezza adeguata agli scopi per i quali il certificato digitale viene emesso, Tutte le parti si impegnano a prendere tutte le misure necessarie a garantire il controllo unico, la riservatezza e la protezione adeguata della chiave privata da includere nel certificato digitale richiesto, cos come del meccanismo di autenticazione associato per accedere alla chiave (password di accesso a un token o a un modulo di protezione hardware. 4.5 Utilizzo di certificati digitali GlobalSign Il Sottoscrittore tenuto sia a installare il certificato digitale solo sulla piattaforma specifica del certificato concordato e descritta nei Criteri del certificato corrispondenti, sia a utilizzare il

Contratto di adesione - versione 2.6

Pag. 5 di 10

certificato GlobalSign in modo conforme a tutta la normativa vigente, unicamente in base alle licenze della piattaforma stabilita, solo per attivit aziendali autorizzate ed esclusivamente in modo conforme al presente Contratto di adesione. Nel caso di un Certificato digitale utilizzato per porre la firma a un file PDF, il Sottoscrittore dovr conservare le informazioni che permettono di stabilire chi ha concesso l'approvazione per la firma di un documento specifico. In nessuna circostanza il certificato dovr essere utilizzato per attivit criminali quali attacchi di tipo phishing, truffe, certificazione o firma di malware. Nel caso di certificati EV Code Signing, il Sottoscrittore accetta di non firmare intenzionalmente software che contiene Codice sospetto, di farsi carico degli obblighi e delle garanzie aggiuntive correlate e di utilizzare il certificato EV Code Signing secondo le seguenti modalit: a) unicamente per firmare codice che conforme ai requisiti stabiliti nel documento Guidelines for the Issuance and Management of Extended Validation Code Signing Certificates V1.1 (linee guida per l'emissione e la gestione di certificati EV Code Signing) del CA/Browser Forum. b) unicamente in conformit con tutte le leggi applicabili c) unicamente per attivit aziendali autorizzate, e d) unicamente in conformit con il presente Contratto di adesione 4.6 Accettazione di un Certificato digitale Il Sottoscrittore deve astenersi dall'utilizzo del Certificato digitale fino al controllo e alla verifica dell'accuratezza dei dati inseriti nel Certificato stesso. 4.7 Segnalazione e revoca 4.7.1 Il Sottoscrittore deve immediatamente impedire l'utilizzo del Certificato digitale e della chiave privata associata, richiedendo contestualmente a GlobalSign la revoca del Certificato digitale nei seguenti casi: Perdita, furto, modifica, divulgazione non autorizzata o altra condizione che possa compromettere la chiave privata del "Soggetto" del certificato, Il Sottoscrittore indica che la Richiesta di firma del certificato (CSR) non stata autorizzata e che l'autorizzazione non pu avere effetto retroattivo, Il Sottoscrittore ha violato un obbligo materiale della CPS, Il Sottoscrittore richiede per iscritto all'Autorit di certificazione la revoca del certificato (o utilizza un meccanismo concordato per autenticare la richiesta di revoca all'Autorit di certificazione, come nel caso di un account GCC) L'esecuzione degli obblighi di una persona derivanti dalla CPS ritardata o si rende impossibile a causa di un disastro naturale, un guasto informatico o alle comunicazioni o per altre cause che non ricadono sotto il controllo diretto della persona e, di conseguenza, la sicurezza e l'integrit delle informazioni di un terzo vengono materialmente minacciate o compromesse, Modifica delle informazioni relative al "Soggetto" del Certificato digitale, Termine del presente Contratto di adesione, Termine o conclusione dell'affiliazione tra il "Soggetto" del Certificato digitale e il Sottoscrittore, Le informazioni contenute nel certificato digitale, diverse dalle "Informazioni sul Sottoscrittore" non verificate contenute nel campo OU, non risultano corrette o sono state modificate, Termine dell'utilizzo del Certificato digitale, In caso di EV Code Signing, vi sia prova che il certificato stato utilizzato per firmare codice sospetto. 4.7.2 Nei seguenti casi, il Sottoscrittore tenuto a cessare immediatamente qualsiasi utilizzo della chiave privata corrispondente alla chiave pubblica indicata nel Certificato digitale: Revoca del certificato digitale a causa della effettiva o sospetta compromissione della chiave privata,

Contratto di adesione - versione 2.6

Pag. 6 di 10

Revoca del Certificato digitale da parte di GlobalSign per effettiva violazione del Contratto di adesione, Scadenza del certificato digitale in seguito alla quale la CPS proibisce esplicitamente il rinnovo del Certificato digitale che utilizza lo stesso materiale della chiave. Il contenuto tecnico o il formato del Certificato presenta un rischio inaccettabile per i fornitori software o per le parti che si affidano a esso (la CA/Browser Forum potrebbe stabilire che le dimensioni della chiave o un algoritmo di crittografia/firma deprecato determini un rischio inaccettabile e che il Certificato debba essere revocato e sostituito dalle Autorit di certificazione entro un determinato intervallo di tempo).

4.8 NAESB - Obblighi specifici I Sottoscrittori NAESB riconoscono di aver compreso i seguenti obblighi relativi agli standard WEQ PKI attraverso GlobalSign. Le Entit finali che partecipano allo standard sulle pratiche aziendali WEQ-012 v3.0 devono essere registrati nel registro EIR del NAESB e fornire prova di essere un'entit autorizzata a concorrere nel settore dell'elettricit all'ingrosso. Le entit o le organizzazioni che richiedono accesso ad applicazioni che utilizzano l'autenticazione specificata nello standard sulle pratiche aziendali WEQ012 di NAESB, ma che non dispongono della qualifica di partecipante al mercato dell'elettricit all'ingrosso (ad esempio agenzie normative, universit, societ di consulenza e cos via), dovranno procedere alla registrazione. Le Entit finali registrate e la comunit di utenti che rappresentano dovranno soddisfare tutti gli obblighi di Entit finale elencati in detti standard di pratiche aziendali. Ciascuna organizzazione o ente sottoscrittore riconosce di aver compreso gli obblighi descritti di seguito, relativi allo standard WEQ 012 v3.0 PKI tramite CA di GlobalSign, nel modo seguente:Ciascuna organizzazione Entit finale certificher al proprio ente di certificazione di aver letto, compreso e riconosciuto il seguente standard di pratiche aziendali WEQ-012. A. L'Entit finale consapevole della necessit dell'industria elettrica di poter contare sulla sicurezza delle comunicazioni elettroniche private, al fine di favorire gli scopi seguenti: Riservatezza: garanzia riconosciuta a un'entit secondo la quale nessuno, eccetto i destinatari esplicitamente designati, pu leggere una particolare porzione di dati; Autenticazione: garanzia riconosciuta a un'entit della fondatezza dell'identit dichiarata da un'altra entit; Integrit: garanzia riconosciuta a un'entit dell'integrit dei dati (nessuna manipolazione n intenzionale, n involontaria) in uno specifico intervallo temporale o di contenuti; Non disconoscimento: una parte non pu negare di aver partecipato alla transazione o di aver inviato il messaggio elettronico. B. L'Entit finale consapevole che l'Industria adotta la crittografia a chiave pubblica, nella quale si utilizzano certificati con chiave pubblica che hanno lo scopo di collegare una chiave pubblica di una persona o di un sistema di computer all'entit corrispondente, al fine di permettere lo scambio simmetrico di chiavi di crittografia. C. L'Entit finale ha esaminato il documento Certification Practices Statement dell'autorit di certificazione scelta alla luce degli standard industriali identificati dall'autorit di certificazione. Le Entit finali avranno l'obbligo di registrare il proprio codice identificativo aziendale legale e di stabilire un "Codice di entit" che sar pubblicato nel registro EIR del NAESB e utilizzato in tutte le applicazioni del Sottoscrittore inviate da detta Entit finale e nei certificati emessi a detta Entit finale.

Contratto di adesione - versione 2.6

Pag. 7 di 10

Le Entit finali dovranno inoltre essere soddisfare i seguenti requisiti: Proteggere le proprie chiavi private dall'accesso di altri. Documentare, attraverso il registro EIR del NAESB, l'entit specifica scelta che GlobalSign utilizzer come propria Autorit di certificazione autorizzata. Perfezionare tutti i contratti e gli accordi con GlobalSign secondo quanto stabilito nel documento Certification Practices Statement di GlobalSign, richiesti da GlobalSign per poter emettere certificati alla Entit finale per l'uso a scopo di protezione di comunicazioni elettroniche. Aderire a tutti gli obblighi richiesti e stabiliti da GlobalSign all'interno del contratto delle pratiche di certificazione, quali le procedure di applicazione dei certificati, la verifica/comprova dell'identit del committente, le pratiche di gestione dei certificati. Dichiarare che si fa riferimento a un programma di gestione di certificati PKI, che tutti i dipendenti coinvolti in detto programma sono stati adeguatamente formati e che ha stabilito una serie di controlli atti a garantire la conformit con il programma. Detto programma includer, tra gli altri: - Criteri di sicurezza e gestione delle chiavi private dei certificati - Criteri di revoca dei certificati Identificare il tipo di Sottoscrittore (ovvero individuale, ruolo, dispositivo o applicazione) e fornire informazioni complete e accurate per ogni richiesta di certificato.

5.0 Licenza di pubblicazione delle informazioni Il Sottoscrittore accetta il diritto di GlobalSign di pubblicare il numero di serie del Certificato digitale del Sottoscrittore unitamente alla diffusione dei CRL e dell'eventuale OCSP all'interno e all'esterno della gerarchia delle Autorit di certificazione di GlobalSign. 6.0 Limitazione di garanzia GLOBALSIGN NON IN ALCUN CASO DA RITENERSI RESPONSABILE, AD ECCEZIONE DEI CASI DI FRODE O CONDOTTA DOLOSA, PER QUALSIASI DANNO INDIRETTO, INCIDENTALE O CONSEGUENTE, O PER PERDITA DI PROFITTI, PERDITA DI DATI O PER ALTRI DANNI INDIRETTI, INCIDENTALI, CONSEGUENTI DERIVANTI O CAUSATI DA UTILIZZO, CONSEGNA, ASSEGNAZIONE DI LICENZA, INADEGUATEZZA O TOTALE MANCANZA DELLE PRESTAZIONI DI CERTIFICATI, FIRME DIGITALI O DA QUALSIASI ALTRA TRANSAZIONE O SERVIZIO OFFERTO O CONTEMPLATO DALLA CPS; FANNO ECCEZIONE DANNI DOVUTI ALL'ATTENDIBILIT (IN ACCORDO CON LA CPS) DELLE INFORMAZIONI VERIFICATE AL MOMENTO DELL'EMISSIONE DEL CERTIFICATO FINO A UN DETERMINATO IMPORTO, COS COME INDICATO DAL DOCUMENTO DI COMUNICAZIONE DELLA GARANZIA CONTENUTO NELL'ARCHIVIO LEGALE CORRISPONDENTE DEL SITO WEB DI GLOBALSIGN. TUTTAVIA, GLOBALSIGN NON DA RITENERSI RESPONSABILE NEL CASO IN CUI L'INESATTEZZA NELLE INFORMAZIONI VERIFICATE SIA DOVUTA AD ATTI FRAUDOLENTI O CONDOTTA DOLOSA DEL COMMITTENTE. PERTANTO GLOBALSIGN NON POTR ESSERE RITENUTA RESPONSABILE NEL CASO IN CUI L'UTENTE NON ABBIA RISPETTATO I SUOI OBBLIGHI INDICATI NELLA CPS E NEL PRESENTE CONTRATTO. 7.0 Termine e scioglimento del rapporto contrattuale Il rapporto contrattuale regolato nel presente Contratto sar sciolto per le seguenti cause: Scadenza di un qualsiasi Certificato digitale emesso per il Sottoscrittore da GlobalSign direttamente o indirettamente oppure attraverso un servizio MSSL o ePKI non ancora in scadenza, Violazione da parte del Sottoscrittore degli obblighi materiali indicati nel presente Contratto di adesione, qualora non sia sanata entro trenta (30) giorni dalla ricezione della notifica da GlobalSign. 8.0 Effetto dello scioglimento del rapporto contrattuale

Contratto di adesione - versione 2.6

Pag. 8 di 10

Allo scioglimento del rapporto contrattuale regolato dal presente Contratto di adesione per qualsiasi causa, GlobalSign pu revocare il Certificato digitale del Sottoscrittore secondo le procedure di GlobalSign in vigore in quel momento. In seguito alla revoca del Certificato digitale del Sottoscrittore per qualsiasi causa, avr termine tutta l'autorit concessa al Sottoscrittore derivante da quanto indicato nella Sezione 2. Il termine dell'autorit non avr effetto sulle Sezioni 4, 5, 6, 8 e 9 del presente Contratto di adesione, che continuer ad avere piena efficacia per permettere il completamento dei doveri qui indicati. 9.0 Disposizioni varie 9.1 Foro competente Se la parte contraente GMO GlobalSign Limited, il presente Contratto sar disciplinato, analizzato e interpretato in conformit alla giurisdizione di Inghilterra e Galles, senza riguardo ad alcun conflitto di leggi. Il giudizio avr luogo presso le sedi dei tribunali di Inghilterra. Se la parte contraente GMO GlobalSign Inc., il presente Contratto sar disciplinato, analizzato e interpretato in conformit alla giurisdizione dello Stato del New Hampshire, Stati Uniti d'America, senza riguardo ad alcun conflitto di leggi. Il giudizio avr luogo presso le sedi dei tribunali dello Stato del New Hampshire. Se la parte contraente GMO GlobalSign Pte. Ltd., il presente Contratto sar disciplinato, analizzato e interpretato in conformit alla giurisdizione di Singapore, senza riguardo ad alcun conflitto di leggi. Il giudizio avr luogo presso le sedi dei tribunali di Singapore.

Se la parte contraente GMO GlobalSign Certificate Services Pvt. Ltd, il presente Contratto sar disciplinato, analizzato e interpretato in conformit alla giurisdizione dell'India e delle sue leggi dello Stato, senza riguardo ad alcun conflitto di leggi. Il giudizio avr luogo presso le sedi dei tribunali dell'India. Se la parte contraente GMO GlobalSign Russia LLC, il presente Contratto sar disciplinato, analizzato e interpretato in conformit alla giurisdizione della Federazione Russa, senza riguardo ad alcun conflitto di leggi. Il giudizio avr luogo presso le sedi dei tribunali della Federazione Russa.

9.2 Efficacia del vincolo Ad eccezione di quanto diversamente stabilito, il presente Contratto sar vincolato a, e avr effetto a beneficio di, eredi, esecutori testamentari, discendenti, rappresentanti, amministratori e aventi diritto delle parti contraenti. Il presente Contratto e il Certificato digitale del Sottoscrittore non possono essere ceduti dal Sottoscrittore. Ogni trasferimento o delega presunta sar nulla e inefficace e consentir a GlobalSign di sciogliere il presente Contratto. 9.3 Completezza del Contratto Questo Contratto costituisce il Contratto completo tra le parti e sostituisce tutti gli accordi informali precedenti tra le parti, che siano essi scritti o orali. 9.4 Clausola salvatoria Nel caso in cui qualsiasi disposizione del presente Contratto sia o diventi invalida, inattuabile o inefficace, per qualsiasi ragione e a qualsiasi grado, la validit, l'efficacia e l'attuabilit delle restanti disposizioni non verr pregiudicata. RESTA ESPRESSAMENTE INTESO E CONCORDATO TRA LE PARTI CHE TUTTE LE CLAUSOLE DEL PRESENTE CONTRATTO RELATIVE A UNA LIMITAZIONE DI RESPONSABILIT, LIMITAZIONE DI GARANZIE O ESCLUSIONI DI RESPONSABILIT PER DANNI SONO SEPARABILI E INDIPENDENTI DA QUALSIASI ALTRA CLAUSOLA E APPLICABILI IN QUANTO TALI. 9.5 Note legali Nel caso in cui il Sottoscrittore desideri o venga sollecitato a fornire qualsiasi avviso, domanda o richiesta a GlobalSign nel rispetto del presente Contratto, dovr farlo espressamente in forma scritta e, pertanto, tali comunicazioni avranno efficacia solo se consegnate mediante corriere che confermi la ricevuta per iscritto o per posta, raccomandata o assicurata, posta preaffrancata, richiesta di ricevuta di ritorno, indirizzata a GlobalSign presso uno dei nostri uffici di tutto il mondo,

Contratto di adesione - versione 2.6

Pag. 9 di 10

elencati nella pagina http://www.globalsign.com/company/contact.htm, all'attenzione dell'Ufficio legale. Tali comunicazioni saranno valide dalla data di ricezione. 9.6 Licenza di utilizzo di database di terze parti Per le persone fisiche, GlobalSign pu convalidare dati quali nome, indirizzo e altre informazioni personali fornite durante la richiesta attraverso database di terzi. Accettando il presente Contratto, il Sottoscrittore acconsente all'esecuzione di tali controlli. Nell'esecuzione di tali controlli, informazioni personali fornite dal Sottoscrittore potranno essere trasmesse a centrali rischi registrate, nelle quali possono essere conservati record contenenti tali informazioni. Tale controllo ha come unico scopo quello della conferma dell'identit del soggetto e, pertanto, non seguir alcun controllo di natura creditizia. Questo processo non influenza la classificazione del credito del Sottoscrittore.

Se la parte contraente GMO GlobalSign Russia LLC, essa pu, per le persone fisiche, convalidare dati quali nome, indirizzo e altre informazioni personali fornite durante la richiesta. Accettando il presente Contratto, il Sottoscrittore acconsente al trattamento da parte di GlobalSign dei propri dati personali nei modi seguenti: raccolta, classificazione, elaborazione, memorizzazione, modifica, utilizzo, spersonalizzazione, blocco ed eliminazione, ai sensi della Legge della Federazione Russa n. 152-FZ del 27.07.2006, nonch trasferimento a terzi nei casi specificati dalle regolamentazioni delle autorit supreme e dalla legge.
9.7 Nomi di marchi, loghi In virt del presente Contratto o del suo adempimento, il Sottoscrittore e GlobalSign non acquisiranno alcun diritto di alcun tipo in relazione a marchi di fabbrica, nomi di marchi, loghi o nomi di prodotti delle altre parti e non faranno alcun uso degli stessi per qualsiasi ragione, eccetto a seguito di diversa autorizzazione scritta concessa dalla parte proprietaria di tutti i diritti relativi agli stessi. 10.0 INFORMATIVA In caso di errore nel Certificato digitale, il Sottoscrittore tenuto a informare immediatamente GlobalSign presso uno dei suoi uffici internazionali elencati nella pagina http://www.globalsign.com/company/contact.htm. Trascorsi 7 giorni dalla ricezione senza alcun rifiuto da parte del Sottoscrittore, il Certificato digitale da considerarsi accettato. I rimborsi effettuati da GlobalSign sono in conformit al documento Criteri di rimborso di GlobalSign ("GlobalSign Refund Policy") pubblicato nella pagina http://www.globalsign.com/repository/.

Contratto di adesione - versione 2.6

Pag. 10 di 10