DigiSign - Codul de Practici si Proceduri si Politica de Certificare

S.C. DigiSign S.A.

Codul de practici i proceduriiPolitica de Certificare

Versiunea 2.0.2Data : 13-03-2012

1 Introducere81.1 Rezumat81.2 Identificarea si numele documentului101.3 Sfera de aplicabilitate111.3.1 Autoriti de certificare111.3.2 Autoriti de nregistrare111.3.3 Utilizatorii finali121.3.4 Aplicabilitate131.2.4.1 Aplicabilitatea vizat131.2.4.2 Restricii de aplicabilitate131.4 Detalii de contact141.4.1 Organizarea i administrarea CPP-ului141.4.2 Persoan de contact142 Dispoziii generale152.1 Obligaii152.1.1 Obligaiile Autoritii de Certificare - AC152.1.2 Obligaiile Autoritii de nregistrare - AI162.1.3 Obligaiile utilizatorului172.1.4 Obligaiile prilor contractante182.1.5 Obligaiile S.C. DigiSign S.A.192.2 Responsabilitate192.2.1 Responsabilitatea Autoritii de Certificare - AC202.2.1.1 Garaniile Autoritii de Certificare - AC....................................................................202.2.1.2 Fora major212.2.2 Responsabilitatea Autoritii de nregistrare - AI212.2.3 Responsabilitatea utilizatorului212.2.3.1 Garaniile utilizatorului212.2.3.2 Compromiterea cheii private222.2.4 Responsabilitatea prilor contractante222.3 Responsabiliti financiare222.3.1 Despgubirea de ctre abonai222.3.2 Procese administrative232.4Interpretare i sancionare232.4.1 Legea aplicabil232.4.2 Proceduri privind soluionarea litigiilor232.5 Taxe242.5.1 Taxe de emitere sau rennoire a certificatului242.5.2 Taxe pentru alte servicii242.5.3 Politica de restituire242.6 Publicarea i nregistrarea informaiilor252.6.1 Publicarea informaiilor despre AC252.6.2 Frecvena publicrii252.6.3 Controlul accesului la informaii252.7 Audit de conformitate252.7.1 Frecvena auditului de conformitate252.7.2 Identitatea/ calificarea verificatorului252.7.3 Relaia auditorului cu partea verificat302.7.4 Aciuni acceptate ca rezultat al deficienei302.7.5 Comunicarea rezultatelor302.8 Confidenialitate312.8.1 Tipuri de informaii confideniale i private312.8.2 Dezvluirea informaiilor ctre persoanele oficiale312.9 Drepturi de proprietate intelectual312.9.1 Drepturi de proprietate asupra informaiilor privind certificatele i revocarea lor312.9.2 Drepturi de proprietate asupra numelor322.9.3 Drepturi de proprietate asupra cheilor323 Identificare i autentificare333.1 nregistrarea iniiala333.1.1 Tipuri de nume333.1.2 Necesitatea ca numele s fie distincte363.1.3 Unicitatea numelor373.1.4 Procedura care se aplic n litigiile ce au ca obiect dreptul la nume373.1.5 Metode pentru a dovedi posesia cheii private373.1.6 Autentificarea identitii companiei383.1.7 Autentificarea identitii persoanelor fizice383.2 nlocuirea i nnoirea393.2.1 Rennoirea i nlocuirea certificatelor403.2.2 nlocuirea i rennoirea certificatelor AC403.3 nlocuire dup revocare413.4 Cererea de revocare424 Cerine operaionale434.1 Cererea pentru certificat434.1.1 Cererea pentru certificat depusa pentru certificatele utilizatorului final434.1.2 Cererile de certificate pentru AC, AI444.1.2.1Certificate AC444.1.2.2Certificate AI444.2 Emiterea certificatului454.2.1 Emiterea certificatelor pentru utilizatorul final454.2.2 Eliberarea de certificate pentru AC, AI i infrastructur454.3 Acceptarea certificatului464.3.1 Revocarea certificatului464.3.1.1Circumstane pentru revocarea certificatelor utilizatorului final464.3.1.2Circumstane pentru revocarea certificatelor de AC sau AI474.3.2 Solicitarea revocrii484.3.2.1Urmtoarele entiti pot solicita revocarea unui certificat al utilizatorului final:484.3.2.2Urmtoarele entiti pot solicita revocarea unui certificat AC, AI sau de infrastructur:484.3.3 Procedura pentru solicitarea revocrii484.3.3.1Procedura pentru solicitarea revocrii unui certificat al utilizatorului final484.3.3.2Procedura pentru solicitarea revocrii unui certificat AC sau AI494.3.4 Perioada de graie pentru solicitarea revocrii494.3.5 Circumstane pentru suspendare494.3.6 Frecvena publicrii listei certificatelor revocate (CRL)494.3.7 Cerine pentru verificarea listei certificatelor revocate494.3.8 Revocare on-line/disponibilitate pentru verificarea statutului504.3.9 Cerine speciale privind compromiterea cheii504.4 Proceduri de verificare a securitii504.4.1 Tipuri de evenimente nregistrate504.4.2 Frecvena procesrii de loguri524.4.3 Perioada de pstrare pentru log-ul de verificare524.4.4 Protecia log-ului de verificare524.4.5 Proceduri de salvare a log-ului de verificare524.5 Dosarele de arhiv534.5.1 Tipuri de evenimente nregistrate534.5.2 Perioada de pstrare n arhiv534.5.3 Protecia arhivei544.5.4 Proceduri de salvare a arhivei544.5.5 Cerine pentru marcare temporala aplicat nregistrrilor544.6 Schimbarea cheii544.7 Compromiterea cheii554.8 ncheierea AC565 Controale de securitate fizic, procedural i de personal575.1 Controale fizice575.1.1 Amplasare i construcie575.1.2 Acces fizic575.1.3 Energie i aer condiionat595.1.4 Expunerile la ap605.1.5 Prevenirea i protecia mpotriva focului605.1.6 Mediul de stocare605.1.7 Dispunerea lucrurilor nefolositoare605.1.8 Salvarea datelor605.2 Controale procedurale615.2.1 Funcii de ncredere615.2.2 Numrul de persoane necesare pentru fiecare sarcina625.2.3 Identificarea i autentificarea pentru fiecare funcie625.3 Controale de personal635.3.1 Cerine privind trecutul, calificrile, experiena i acceptarea635.3.2 Proceduri de verificare a informaiilor cu privire la personal635.3.3 Cerine de pregtire645.3.4 Cerinele i frecvena cursurilor de perfecionare655.3.5 Sanciuni pentru aciuni neautorizate655.3.6 Cerine pentru contractarea personalului 655.3.7 Documentaia furnizat personalului666 Controale de securitate tehnic676.1 Generarea i instalarea perechii de chei676.1.1 Generarea perechii de chei676.1.2 Livrarea ctre entitate a cheii private686.1.3 Livrarea cheii publice ctre emitentul de certificate686.1.4 Livrarea cheii publice de autoritatea de certificare ctre utilizatori 686.1.5 Mrimile cheii686.1.6 Generarea cheii de hardware/software696.1.7 Scopurile utilizrii cheii696.2 Protecia cheii private706.2.1 Standarde pentru modulele criptografice706.2.2 Controlul cheii private realizat de mai multe persoane706.2.3 Pstrarea n custodie a cheii private716.2.4 Salvarea cheii private716.2.5 Arhivarea cheii private716.2.6 Intrarea cheii private n modulul criptografic716.2.7 Metoda de activare a cheii private726.2.7.1 Cheile private ale utilizatorului final726.2.7.1.1 Certificate calificate DigiSign 726.2.7.2 Cheile private ale administratorilor726.2.7.2.1 Administratorii726.2.7.3 Cheile private deinute de DigiSign S.A.736.2.8 Metoda dezactivrii cheii private736.2.9 Metoda distrugerii cheii private746.3 Alte aspecte legate de managementul perechii de chei746.3.1 Arhivarea cheii publice746.3.2 Perioadele de utilizare a cheilor private i publice746.4 Datele de activare766.4.1 Instalarea i generarea datelor de activare766.4.2 Protecia datelor de activare766.5 Controlul securitii computerelor776.5.1 Condiii specifice privind securitatea tehnic a computerelor776.5.2 Clasarea securitii computerelor786.6 Controlul tehnic al ciclului de via796.6.1 Controlul sistemului de dezvoltare796.6.2 Controlul managementului securitii796.7 Controlul securitii reelei796.8 Controlul modulelor criptografice797 Profilul certificatelor i al LCR (lista certificatelor revocate)807.1 Profilul certificatelor807.1.1 Numrul versiunii957.1.2 Extensiile certificatelor957.1.2.1 Utilizarea cheii967.1.2.2 Politicile privind extensiile certificatelor967.1.2.3 Constrngeri de baz967.1.2.4 Punctele de distribuire ale LCR967.1.2.5 Identificator pentru cheia public a autoritii977.1.2.6 Identificatorul cheii subiectului 977.1.2.7 Identificatorii algoritmului unui obiect977.1.3 Formele numelui977.2 Profilul LCR987.2.1 Numrul versiunii988 Administrarea specificaiilor998.1.1 Procedurile de modificare a specificaiilor998.1.2 Aspecte care pot fi schimbate fr ntiinare prealabil998.1.3 Probleme care pot fi modificate cu ntiinare prealabil998.1.3.1 Lista problemelor998.1.3.2 Mecanismul ntiinrii998.1.3.3 Perioada comentariilor1008.1.3.4 Mecanismul de gestionare a comentariilor1008.2 Publicarea politicilor1018.2.1 Documente care nu se public n CPP1018.2.2 Distribuirea CPP1019 Acronime i definiii102Definiii10210 Actualizari110Nr. Crt.110Versiunea in vigoare110Data110

Observaii preliminare

DigiSign este marca nregistrat a S.C. DigiSign S.A.Logo-ul DigiSign este marc nregistrat a S.C. DigiSign S.A.

Aceasta lucrare nu poate fi reprodus, sub nici o form, prin nici un mijloc (fie ca este electronic, mecanic, fotocopiere, nregistrare sau altele) fr acordul prealabil, n scris, al S.C. DigiSign S.A.

Cererile de obinere a permisiunii de reproducere a CPP (Codului de Practici i Proceduri) al S.C. DigiSign S.A. (precum i cele de copii de la S.C. DigiSign S.A.) trebuie adresate ctre:

S.C. DigiSign S.A.Str. Virgil Madgearu nr 2-6, Sector 1, 014135, BucurestiTel: +40-31-6201284Fax: +40-31-6201286e-mail:cpp@digisign.ro

IntroducereAcest document constituie Codul de Practici i Proceduri (numit n continuare prescurtat i CPP) i Politica de Certificare (numit n continuare prescurtat i CP) al S.C. DigiSign S.A. Acest CPP i CP descrie practicile si procedurile de lucru i poilitica de certificare pe care autoritatea de certificare DigiSign S.A. (AC) le utilizeaz n furnizarea serviciilor de certificare, care emite, administreaz, revoc i rennoiete certificatele n conformitate cu prevederile reglementrilor legale n materie, i anumeLegea nr. 455/2001privind semntura electronic,Hotrrea Guvernului nr. 1259/2001privind aprobarea Normelor tehnice i metodologice pentru aplicarea Legii nr. 455/2001 privind semntura electronic, cu modificrile ulterioare iDirectiva 1999/93/ECa Parlamentului European i al Consiliului European i ncheiat la 13 Decembrie 1999 privind stabilirea cadrului comunitar pentru semntur electronic, cu modificrile i completrile ulterioare. De asemenea, acest document descrie practicile si procedurile pe care S.C Digisign S.A. le utilizeaza in furnizarea serviciilor de marcare temporala, n conformitate cu prevederile reglementrilor legale n domeniu, respectiv legea 451/2004, si Ordinul nr. 492/15.06.2009.RezumatAcest cod de practici i proceduri se aplic companiei DigiSign S.A., ca Autoritate de Certificare (AC) i ca Autoritate de nregistrare (AI), precum i oricror AC-uri sau AI-uri aflate n relaie de subordonate sau aflate n relaie contractual cu S.C. DigiSign S.A.

(a)Rolul CPP-ului DigiSign S.A.

Acest document prezint i explic practicile i procedurile de lucru ale companiei DigiSign S.A., coninnd printre altele:

ndatoririle autoritii de certificare, ale autoritii de nregistrare precum i ale utilizatorilor de certificate digitale, n special n cazul certificatelor calificate;

Problemele legale referitoare la serviciile de certificare oferite de compania DigiSign S.A.;

Revizuirea practicilor de securitate i audit la care se supune compania DigiSign S.A.;

Metodele folosite pentru a confirma identitatea solicitanilor certificatului;

Procedurile operaionale pentru serviciile de certificare, realizate de S.C.DigiSign S.A; solicitri cu privire la emiterea, aprobarea, revocarea i rennoirea certificatelor;

Procedurile de securitate operaional pentru nregistrrile de verificare, reinerea rapoartelor i recuperarea dup dezastru utilizate n cadrul S.C. DigiSign S.A;

Practicile de securitate fizic, de personal, de management al cheilor, i de securitate logic ale S.C. DigiSign S.A.;

Lista de certificate emise, precum si lista de certificate revocate deinute de S.C. DigiSign S.A,

Administrarea CPP-ului i CP-ului, inclusiv metode de mbuntire.

(b)Informaii referitore la certificate digitale

Specialitii companiei DigiSign S.A. care au participat la realizarea Codului de Practici i Proceduri pleac de la premiza c cititorul are cunotine generale despre semntura digital i PKI. Dac nu, DigiSign S.A. sftuiete cititorul s se documenteze n ceea ce privete folosirea infrastructurii de chei publice (eng.PKI). Informaii generale i pregtitoare sunt prezentate de ctre compania DigiSign S.A. la:http://www.digisign.ro/

(c)ndeplinirea standardelor n vigoare

Certificatele calificate DigiSign pot fi utilizate pentru semnturi digitale i autentificare web, toate mpreun sau separat (n funcie de serviciul ales de beneficiar) ca dovad a identitii n orice tip de tranzacii electronice. Certificatele furnizeaz sigurana identitii utilizatorului pe baza prezenei fizice a acestuia n faa unei persoane care i confirm identitatea, folosind cel puin o form de identificare recunoscut de autoriti.

Identificarea si numele documentuluiAutoritate: DigiSign S.A.Titlu: Codul de Practicii Proceduri iPolitica de CertificareExpira: Acest document nu expira si este valid pana la publicarea unei noi versiuni.Identificatoarele controlate de DigiSign sunt urmatoarele:1.3.6.1.4.1.35285.1.1.1Politica de Certificare - Certificate Digitale Calificate1.3.6.1.4.1.35285.1.1.2Politica de Certificare - Certificate Digitale Calificate1.3.6.1.4.1.35285.1.1.3Politica de Certificare-Code Signing1.3.6.1.4.1.35285.2.1.1Politica de Certificare - Serviciul de Marcare Temporala1.3.6.1.4.1.35285.3.1.1Politica de Certificare - Serviciul de validare OCSP1.3.6.1.4.1.35285.0.1.0Politica de Certificare Profil certificat pentru autoritatea de DEMO DigiSign1.3.6.1.4.1.35285.0.1.1Politica de Certificare-Profil certificat pentru certificate emise sub autoritatea DigiSign DEMO CA

Structura OIDAsignat pentru ISO:1Organizatie recunoscuta de ISO:3Departamentul de aparare al SUA:6Internet:1Privat:4Companie privata inregistrata la IANA:1DigiSign:35285Tipul certificatelor:0certificat digital de tipDEMO1certificat digitalcalificat2certificat de marcaretemporala3certificat de validareOCSPAutoritatea de Certificare:(DigiSign Qualified Root CA v2,DigiSign Qualified Publica CA,DigiSign Demo CA)1Versiuni minore:(diferdin punct de vedereKeyUsage i Key Length)1/2/3Sfera de aplicabilitateMajoritatea utilizatorilor de certificate digitale furnizate de DigiSign S.A. sunt localizai n Romnia.Autoriti de certificareTermenul autoritate de certificare cuprinde toate entitile care emit certificate respectnd propriul CPP, care poate fi acelai pentru fiecare ACP, sau poate diferi de la un ACP la altul, n funcie de scopul ACP-ului. Termenul ACP se refer la o subcategorie de emiteni numiteAutoriti de Certificare Primare-AC, care se comport ca rdcini (eng. root). Fiecare ACP este o entitate DigiSign. Subordonate ACP-ului sunt autoritile de certificare, care emit certificate semnatarilor sau altor AC-uri. Toate ACP-urile DigiSign sunt gzduite de centrul de procesare propriu, aflat pe teritoriul Romniei, n sedii strict securizate.

Autoriti de nregistrareAutoritatea de nregistrare - AIasist unAutoritatea de CertificareACprin ndeplinirea funciilor de confirmare a identitii, de aprobare sau respingere a cererilor pentru certificat, de cerere a revocrii certificatelor i de aprobare sau respingere a cererilor de rennoire.

Toate AI-urile DigiSign care asista ACP-urile DigiSign la emiterea de certificate abonailor-utilizatori finali sunt gzduite n propriile locaii securizate.

Utilizatorii finaliS.C. DigiSign S.A. ofer certificate calificate DigiSign pentru orice tip de utilizatori, n condiiile respectrii legislaiei n vigoare.

AplicabilitateAcest CPP se adreseaz tuturor participanilor, incluznd DigiSign S.A., distribuitori, abonai i alte pri contractante. Acest CPP descrie practicile care guverneaz utilizarea certificatelor calificate DigiSign. Utilizatorilor de servicii DigiSign li se permite s foloseasc certificate pentru aplicaii de mare securitate care sunt descrise n prezentul CPP.

1.2.4.1Aplicabilitatea vizatCertificatele calificate DigiSign destinate utilizatorilor permit terilor, participani n procesul de comunicare electronic s verifice semnturile digitale. Supus legilor n vigoare, o semntur digital sau o tranzacie interacionnd cu certificatul calificat DigiSign va fi valid indiferent de locul n care certificatul calificat DigiSign este emis sau de locul unde semntura digital a fost creat sau utilizat i indiferent de locul unde AC-ul sau utilizatorul i desfoar activitatea.

1.2.4.2Restricii de aplicabilitaten general, certificatele calificate DigiSign au scopuri generale. Cerificatele calificate DigiSign pot fi folosite la nivel global. Utilizarea certificatelor calificate DigiSign nu este limitat la un anumit mediu de afaceri, cum ar fi un program pilot, un sistem de servicii financiare sau un mediu de piaa virtual. S.C. DigiSign S.A. sau ceilali participani nu sunt responsabili pentru monitorizarea sau impunerea vreunei restricii n aceste medii.

Cu toate acestea, anumite certificate calificate DigiSign au funcii limitate. De exemplu,certificatele ACP nu pot fi utilizate pentru alte funcii dect cele de ACP. Mai mult, certificatele pentru client se supun aplicaiilor clientului i nu vor fi folosite ca certificate de server. n plus, certificatele de administrator nu vor fi utilizate dect pentru a executa funciile de administrator.

De asemenea, n ceea ce privete certificatele calificate DigiSign, care respect standardul X.509 v3 n privina certificatelor i X.509 v2 n privina listei certificatelor revocate - CRL (derivat din RFC 3280 Internet X.509 Public Key Infrastructure.Certificate and Certificate Revocation List (CRL) Profile), extensia de folosire a cheii limiteaz scopurile tehnice pentru care poate fi utilizat o cheie privat corespunztoare cheii publice dintr-un certificat. n plus, certificatele de utilizator final nu pot fi utilizate ca certificate AC. Aceast restricie este confirmat de absenta unei extensii.

n general, certificatele pot fi utilizate doar cu extensia folosit la generarea lor, concordnd cu legea aplicabil, i, particular vorbind, pot fi utilizate doar la extensia permis de legile aplicabile.

Detalii de contactOrganizarea i administrarea CPP-uluiPersonalul care administreaz acest CPP este constituit n grupul de dezvoltare a practicilor i procedurilor DigiSign S.A.ntrebrile cu privire la grupul de dezvoltare a practicilor i procedurilor companiei DigiSign S.A. ar trebui adresate dup cum urmeaz:

S.C. DigiSign S.A.Str. Virgil Madgearu nr 2-6, Sector 1, 014135, BucurestiTel: +40-31-6201284Fax: +40-31-6201286e-mail:cpp@digisign.ron atenia: Practici de Dezvoltare CPP

Persoan de contactAdresai ntrebri despre acest CPP la urmtoarea adres:

S.C. DigiSign S.A.Str. Virgil Madgearu nr 2-6, Sector 1, 014135, BucurestiTel: +40-31-6201284Fax: +40-31-6201286e-mail:cpp@digisign.roDispoziii generaleObligaiiObligaiile Autoritii de Certificare - ACS.C. DigiSign S.A. face eforturi continue ca s asigure buna legtura dintre serviciile oferite utilizatorilor i abonaii la aceste servicii, ambii constituindu-se n pri contractante, obligaiile ambelor pri fiind stipulate clar i fr echivoc n cadrul contractului dintre pri n spiritul prezentului CPP.O Autoritate de Certificare care emite certificate, asumndu-i politica de certificare aflat n mod public la dispoziia utilizatorului final n vederea consultrii, are urmtoarele obligaii principale:Crearea unor documente care s reflecte clar modalitile de lucru, procedurile aplicabile i aplicate, politica general a firmei, obligaiile i drepturile prilor contractante, politica de certificare etc. - CPP (Codul de Practici i Proceduri), CP (Politica de Certificare) i afiarea lui n mod public (pe Internet) dup ce a fost aprobat de persoanele responsabile din cadrul AC-ului;

Modul de desfurare a activitii AC-ului s se conformeze strict cu prevederile CPP-ului aprobat;

Modalitatea de punere n practic a CPP-ului i a Politicilor de Certificare ale AC-ului s se bazeze pe o infrastructura (de comunicaii, software i hardware) fiabil, capabil n orice moment de a garanta buna desfurare a activitii AC-ului conform cu politica de funcionare 24x7 impus nu numai de legile romneti n vigoare privind Autoritile de Certificare ce emit certificate calificate, dar i de realitile lumii contemporane n ceea ce privete afacerile desfurate pe Internet;

Garantarea faptului c cererile de emitere de certificate sunt procesate (n sensul identificrii persoanei numai pe baza modalitilor puse la dispoziie de legile romne n vigoare) numai de o AI aflat n legtur contractual cu AC-ul emitent de certificate (i cruia i se subordoneaz), i care la rndul ei se conformeaz cadrului general stabilit de prezentul CPP, n strns legtur i cu documentul ce statuteaz Politica de Certificare a AC-ului;

Garantarea faptului c activitatea AI-ului pe linia identificrii persoanelor ce se nregistreaz n vederea obinerii unui certificat digital calificat se desfoar n litera i spiritulLegii nr. 677/ 2001 pentru protecia persoanelor cu privire laprelucrarea datelor cu caracter personal i libera circulaie a acestor date;

Garantarea faptului c informaiile incluse n certificate sunt valide i conform realitii la momentul aprobrii certificatului, precum i garantarea meninerii conform Legii 455/2001 a actelor ce fac dovada identitii persoanelor nregistraten vederea eliberrii certificatului calificat;

Garantarea aducerii la cunotina utilizatorilor a obligaiilor pe care le au n concordan cu acest CPP, prin prisma faptului c sunt posesori i virtual utilizatori ai certificatelor digitale calificate, precum i informarea acestora asupra riscului la care se supun prin nerespectarea acestor obligaii;

Revocarea (sau suspendarea dup caz) a certificatelor acelor utilizatori despre care s-a stabilit (sau exist dubii) c au acionat contrar obligaiilor ce revin utilizatorilor, aa cum se desprind ele din acest CPP, cu obligativitatea AC-ului de a anuna utilizatorul despre msura luat;

Serviciile de nregistrare n vederea emiterii de certificate i de ridicare a certificatelor n urma aprobrii acestora, servicii ce sunt destinate utilizatorului final trebuie s fie furnizate exclusiv prin mijloace electronice, bazate pe o infrastructur care s permit rularea acestora pe Internet (iar n cazuri particulare pe Intranet), cu obligativitatea AC-ului de a menine un registru de evident a certificatelor emise de ctre toate ACP-urile subordonate, registru ce trebuie actualizat dinamic astfel nct el s reflecte situaia la zi a certificatelor emise ctre abonai;

Obligaiile Autoritii de nregistrare - AIAI const ntr-un centru de procesare unde se garanteaz ndeplinirea funciilor de validare, de aprobare sau respingere a cererilor pentru certificat prin cererea revocrii certificatelor i prin aprobarea cererilor de rennoire. n prevederile CPP-ului sunt specificate obligaiile AI DigiSign S.A.O AI care realizeaz funcii de nregistrare se va conforma prevederilor acestui CPP aprobat. AC-urile sunt responsabile pentru asigurarea faptului c certificatele sunt generate i administrate n conformitate cu acest CPP i cu Politica de Certificare a AC-ului, i c funciile de generare, administrare i retragere a certificatelor sunt realizate numai de cei care neleg cerinele politicii de certificare asociate i care sunt de acord s le respecte. Cerinele de securitate impuse AC-urilor sunt asemntoare celor impuse oricror AI-uri datorit faptului c AI-urile sunt responsabile pentru informaia colectat. AI este responsabila cu:Distribuirea de chei si/sau certificate ctre abonai;

Trimiterea de cereri ctre AC pentru eliberarea, suspendarea, revocarea sau rennoirea certificatelor;

Verificarea prealabila a datelor furnizate de abonai pentru aceste cereri, conform cerinelor din CPP;

Asigurarea faptului ca PIN-ul si cheia privat ce urmeaz s se distribuie ctre abonat nu sunt interceptate de ctre tere pri;

Transmiterea unui contract (Acordul Prilor) ce urmeaz a fi semnat, ctre fiecare utilizator ce urmeaz a fi deintorul unui certificat.

Obligaiile utilizatoruluiServiciile de certificare efectuate de ctre S.C. DigiSign S.A. apar la:http://ca-services.digisign.ro/registru/sihttps://secure.digisign.ro/portal/register_certificate.php

Prestarea n bune condiiuni a serviciilor respective presupune ca solicitanii certificatelor s furnizeze informaii complete i precise n cererile pentru certificate i s-i manifeste acceptul fa de serviciu, ca o condiie de obinere a certificatului.

Efectuarea respectivului serviciu pune n practic obligaii specifice care apar n CPP pentru abonaii DigiSign S.A. Serviciile cer abonailor s-i foloseasc certificatele n concordan cu CPP 1.2.2. Cer, de asemenea, abonailor s-i protejeze cheile private n concordan cu CPP 6.1 - 6.4. Sub regimul serviciilor, dac un utilizator descoper sau are motive s cread c cheia sa privat sau datele de activare a proteciei cheii private au fost compromise, sau alte informaii cuprinse n certificat sunt incorecte sau s-au schimbat, trebuie n mod prompt :S anune DigiSign S.A. care a aprobat cererea utilizatorului pentru certificat, sau o AC sau o AI, n concordan cu CPP 4.4.1 i cererea de revocare a certificatului n concordan cu CPP 3.4;

Sa inceteze utilizarea cheii private din momentul sesizarii compromiterii acesteia.

Utilizarea acestor servicii puse la dispoziie de ctre DigiSign S.A. abonailor presupune ca acetia s sisteze utilizarea cheii private la finalul perioadei de valabilitate a acestora, conform CPP 6.3.2.

Obligaiile prilor contractanteAcordul prilor contractante privind serviciul de furnizare de certificate digital de catre S.C. DigiSign S.A. poate fi consultat la:http://www.digisign.ro/uploads/contract.pdfAcordurile prilor contractante confirma c nainte de orice act de suport, prile contractante trebuie s evalueze n mod independent folosirea certificatului pentru orice scop dat i s determine c certificatul va fi folosit ntr-un scop corespunztor. Acesta confirma c DigiSign S.A., din punctul de vedere al AC i AI, nu este responsabil pentru folosirea necorespunztoare a certificatului. Acordul prilor contractante prevede n mod expres c acestea nu trebuie s foloseasc certificatele dincolo de limitele stipulate n CPP 1.2.4.2.

Acordurile prilor contractante confirma mai departe c prile trebuie s utilizeze un software i/sau hardware adecvat ca s execute verificarea semnturii digitale sau alte operaiuni criptografice pe care le doresc, ca o condiie de siguran a certificatelor n legtur cu fiecare astfel de operaie. Astfel de operaiuni includ identificarea unui lan de certificate i verificarea semnturilor digitale a tuturor certificatelor din lanul respectiv. Sub regimul acestor acorduri, prile contractante nu trebuie s se bazeze pe un certificat dect dac aceste proceduri de verificare au fost fcute cu succes.

Acordurile prilor contractante oblig de asemenea prile s verifice statutul certificatului pe care doresc s se bazeze, ct i a tuturor certificatelor din lanul de certificate. Dac oricare dintre certificatele din lanul de certificate a fost revocat, n conformitate cu acordurile prilor contractante, prile contractante nu trebuie s se bazeze pe certificatul utilizatorului final sau pe alte certificate revocate din lanul de certificate. In cazul in care partea contractanta a fost informata de compromiterea cheii private a unei autoritati din lantul de certificare, aceasta se obliga sa sa se asigure ca utilizatorii finali ai partii contractante nu vor mai folosi certificatele.

n ncheiere, acordul prilor contractante prevede c acceptarea termenilor este o condiie pentru folosirea de certificate calificate. Utilizatorii pri contractante cu DigiSign S.A., care sunt de altfel i abonai, sunt de acord s fie legai de condiiile prilor contractante din aceasta seciune, atunci cnd au acceptat acest serviciu.

Acordurile prilor contractante confirma c dac toate verificrile descrise mai sus au fost fcute cu succes, prile contractante sunt ndreptite s se bazeze pe certificat. Dac circumstanele indic nevoia de asigurri adiionale, prile contractante trebuie s obin astfel de asigurri, pentru un grad sporit de siguran.

Obligaiile S.C. DigiSign S.A.DigiSign S.A. este responsabil cu funciile de depozitare i afiare n mod public a certificatelor digitale emise de AC-urile proprii. DigiSign S.A. public n registrul propriu certificatele pe care le emite.

n cazul revocrii unui certificat, DigiSign S.A. public o ntiinare a revocrii n registrul propriu. DigiSign S.A. emite liste de revocare a certificatelor pentru propriile AC-uri.

ResponsabilitateResponsabilitatea Autoritii de Certificare - ACRspunderea furnizorilor de servicii de certificare este reglementat de lege in sensul ca, n art. 41 din Legea nr. 455/2001 privind semntura electronic, se prevede ca furnizorul de servicii de certificare, care elibereaz certificate prezentate ca fiind calificate sau care garanteaz asemenea certificate, este rspunztor pentru prejudiciul adus oricrei persoane care i ntemeiaz conduita pe efectele juridice ale respectivelor certificate: a) n ceea ce privete exactitatea, n momentul eliberrii certificatului, a tuturor informaiilor pe care le conine; b) n ceea ce privete asigurarea c, n momentul eliberrii certificatului, semnatarul identificat n cuprinsul acestuia deinea datele de generare a semnturii corespunztoare datelor de verificare a semnturii menionate n respectivul certificat; c) n ceea ce privete asigurarea c datele de generare a semnturii corespund datelor de verificare a semnturii, n cazul n care furnizorul de servicii de certificare le genereaz pe amndou; d) n ceea ce privete suspendarea sau revocarea certificatului, n cazurile i cu respectarea condiiilor prevzute la art. 24 alin. (1) i (2); e) n privina ndeplinirii tuturor obligaiilor prevzute la art. 13-17 i la art. 19-22, cu excepia cazurilor n care furnizorul de servicii de certificare probeaz c, dei a depus diligena necesar, nu a putut mpiedica producerea prejudiciului.De asemenea,furnizorul de servicii de certificare poate s indice n cuprinsul unui certificat calificat restricii ale utilizrii acestuia, precum i limite ale valorii operaiunilor pentru care acesta poate fi utilizat, cu condiia ca respectivele restricii s poat fi cunoscute de teri. Furnizorul de servicii de certificare nu va fi rspunztor pentruprejudiciile rezultnd din utilizarea unui certificat calificat cu nclcarea restriciilor prevzute n cuprinsul acestuia. (art. 42 din Legea nr. 455/2001 privind semntura electronic)Orice intentie de modificare a procedurilor de securitate si de certificare va fi comunicata autoritatii de reglementare si supraveghere specializate in domeniu, cu cel putin 10 zile inainte, precizand data si ora la care modificarea intran vigoare.Modificarea va fi confirmata n termen de 24 de ore autoritatii.n cazurile de urgenta, n care securitatea serviciilor de certificare este afectata, se pot efectua modificari ale procedurilor de securitate si de certificare, urmnd a se comunica, n termen de 24 de ore, autoritatii de reglementare si supraveghere specializate n domeniu modificarile efectuate si justificarea deciziei luate.

2.2.1.1 Garaniile Autoritii de Certificare - ACFurnizorul de servicii de certificare calificat trebuie s dispun de resurse financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfurrii activitilor legate de certificarea semnturilor electronice. In acest sens, asigurarea se realizeaz fie prin subscrierea unei polie de asigurare la o societate de asigurri, fie prin intermediul unei scrisori de garanie din partea unei instituii financiare de specialitate, fie printr-o alt modalitate stabilit prin decizie a autoritii de reglementare i supraveghere specializate n domeniu. Suma asigurat i suma acoperita prin scrisoare de garanie sunt stabilite de ctre Ministerul Comunicaiilor si Tehnologiei Informaiei, in calitate de autoritate de reglementare si supraveghere specializat n domeniu. (art. 22 din Legea nr. 455/2001 privind semntura electronic).Serviciile DigiSign S.A. includ de asemenea o garanie pentru abonai dup cum urmeaz:Nu exist interpretri greite ale entitilor care aprob cererile pentru certificat sau care emit certificatul,

Nu exist erori privind informaiile referitoare la certificat, fcute de entitile care rspund de aprobarea cererii pentru certificat, aceleai care rspund i de emiterea certificatului,

Certificatele abonailor satisfac toate cerinele acestui CPP,

Serviciile de revocare i utilizarea registrului conform cu acest CPP n toate aspectele importante.

Acordurile prilor contractante conin o garanie pentru pri care se bazeaz pe un certificat n care:Toate informaiile din sau incorporate ntr-un astfel de certificat, excepie fcnd informaiile neverificate despre utilizator, sunt precise;

n cazul certificatelor aprute n registrul DigiSign S.A., certificatul a fost emis pentru o persoan fizic sau companie i utilizatorul a acceptat certificatul n concordan cu CPP 4.3;

Entitile care aprob cererile pentru certificat i emit certificate au respectat acest CPP atunci cnd au emis certificatele.

2.2.1.2 Fora majorn msura limitelor legale, serviciile DigiSign S.A. i acordurile prilor contractante includ o clauz de for major care protejeaz prile.

Responsabilitatea Autoritii de nregistrare - AIGaraniile i limitele responsabilitii dintre o AI i AC care asist emiterea certificatelor pe de o parte, i utilizatorul respectiv, pe de alt parte, se supun i sunt guvernate de ctre acordurile dintre acetia cu respectarea legilor n vigoare.

Responsabilitatea utilizatorului2.2.3.1 Garaniile utilizatoruluiServiciile DigiSign S.A. cer abonailor s garanteze c:Fiecare semntura digital creat prin utilizarea cheii private corespunztoare cheii publice din certificat este semntura digital a utilizatorului i c certificatul a fost acceptat i este operaional (nu este expirat sau revocat) la momentul n care semntura digital a fost creat;

Nici o persoan neautorizat nu a avut acces la cheia privat a utilizatorului;

Toate relatrile fcute de utilizator n cererea pentru certificat sunt adevrate;

Toate informaiile furnizate de utilizator i coninute de certificat sunt adevrate;

Certificatul este folosit exclusiv pentru semnare i autentificare, n concordan cu CPP;

Utilizatorul este un utilizator final, nu o AC i nu folosete cheia privat corespunztoare cheii publice din certificat pentru semnarea digital a oricrui certificat (sau orice alt format de cheie public certificat) sau lista de revocare acertificatelor, ca AC sau n alt calitate.

2.2.3.2Compromiterea cheii privateTitularii de certificate sunt obligai s solicite, de ndat, revocarea certificatelor, n cazul n care:au pierdut datele de creare a semnturii electronice;

au motive s cread c datele de creare a semnturii electronice au ajuns la cunotina unui ter neautorizat;

informaiile eseniale cuprinse n certificat nu mai corespund realitii.

Responsabilitatea prilor contractantePrile contractante admit c au informaii suficiente pentru a lua o decizie n msura n care au ales s se bazeze pe informaiile dintr-un certificat, c sunt singurii responsabili pentru decizia de a se baza sau nu pe astfel de informaii, i c vor suporta consecinele legale n cazul nerespectrii obligaiilor de ctre pri, conform CPP 2.1.4.

Responsabiliti financiareDespgubirea de ctre abonain msura limitelor legale, S.C. DigiSign S.A. solicit abonailor s o despgubeasc n unul din urmtoarele cazuri:Falsitate sau relatare greit n cererea pentru certificate;

Relatarea greit a unei informaii importante n cererea pentru certificat, dac relatarea greit sau omisiunea a fost fcut din neglijen sau cu intenia de a nela una dintre pri;

Neprotejarea cheii private sau neluarea msurilor de protecie necesare prevenirii, compromiterii, pierderii, dezvluirii, modificrii sau folosirii neautorizate a cheii private a utilizatorului;

Utilizatorul a folosit un nume (inclusiv un nume comun, nume de domeniu sau adresa de e-mail), care ncalc drepturile de proprietate intelectual a unui ter.

Procese administrativeDigiSign S.A. are suficiente resurse financiare ca s-i menin operaiunile i s-i execute ndatoririle i trebuie s suporte riscul rspunderii fa cealalt parte contractant, conform art. 22 din Legea nr. 455/2001 privind semntura electronic.

Interpretare i sancionareLegea aplicabilPrevederile cuprinse in Codul de Practici si Proceduri si Politica de Certificare se supun legii romne in materie, lege care guverneaz i interpretarea clauzelor cuprinse n acest document.

Proceduri privind soluionarea litigiilorn situaia apariiei unei nenelegeri ntre prile contractante, acestea vor ncerca soluionarea acestora n termen de 60 de zile de la notificarea transmis de ctre o parte ctre cealalt parte (perioad de negociere iniial) i, n cazul n care prile nu ajung la o soluie acceptat de comun acord, acestea se pot adresa instanei de judecat competente.

TaxeTaxe de emitere sau rennoire a certificatuluiDigiSign S.A. este ndreptit s taxeze utilizatorul final pentru emiterea, administrarea i rennoirea certificatelor.

Taxe pentru alte serviciiDigiSign S.A. este ndreptit s perceap taxe pentru serviciile conexe (ex. Servicii de implementare, consultan, colarizare, etc.) daca acestea fac obiectul acordului dintre parti.

Politica de restituireDigiSign S.A. ader i susine procedurile riguroase i politicile privind operarea i emitereacertificatelor. Cu toate acestea, dac un utilizator nu este satisfcut complet de certificatul emis pentru el, poate cere DigiSign S.A. s revoce certificatul n treizeci (30) de zile de la emitere i s restituie utilizatorului taxa. n perioada iniial de treizeci (30) de zile un utilizator poate cere companiei DigiSign S.A. s revoce certificatul i s-i fie restituit taxa dac DigiSign S.A. nu respect garania sau orice alt obligaie impus de CPP privind utilizatorul sau certificatul acestuia. Dup ce DigiSign S.A. revoc certificatul, va credita imediat contul crii de credit a utilizatorului (dac certificatul a fost pltit cu carte de credit) sau va rambursa utilizatorului suma pltita pentru certificat. Pentru a cere o restituire v rugm s sunai la departamentul de relaii cu clienii. Aceast politic de restituire nu este o msura exclusiv i nu limiteaz alte msuri care pot fi disponibile abonailor.

Publicarea i nregistrarea informaiilorPublicarea informaiilor despre ACDigiSign S.A. public anumite informaii despre AC n registrul de pe site-ul web al DigiSign S.A. la adreselehttp://ca-services.digisign.ro/registru/, https://secure.digisign.ro/portal/register_certificate.phpsau prin intermediul serviciului de directoare bazat pe LDAP v3, la adresa ldap.digisign.ro, port 389.

DigiSign S.A. public acest CPP, serviciile i acordurile prilor contractante pe site-ului web al S.C. DigiSign S.A.DigiSign S.A. public statutul informaiilor privind certificatele.

Frecvena publicriiActualizrile fcute la acest CPP sunt publicate n concordan cu CPP 8. Actualizrile serviciilor furnizate de ctre DigiSign S.A. sunt publicate dac este necesar. Certificatele sunt publicate dup emitere. Controlul accesului la informaiiInformaiile publicate pe site-ului web al S.C. DigiSign S.A. sunt informaii publice. Accesul doar pentru a citi aceste informaii nu este restricionat. Compania DigiSign S.A. solicit persoanelor s accepte acordul prilor contractante sau acordul de utilizare al listei de revocare a certificatelor ca o condiie pentru a putea accesa certificatele, statutul informaiilor privind certificatele sau listele de revocare a certificatelor. S.C. DigiSign S.A.a implementat msuri de securitate logic i fizic pentru a preveni intrarea persoanelor neautorizate care ar putea aduga, terge sau modifica registrul.

Audit de conformitateDigiSign S.A. va avea dreptul s execute revizuiri i investigaii ca s asigure credibilitatea DigiSign S.A. care includ, dar nu se limiteaz la:DigiSign S.A. sau reprezentanii autorizai de ea vor avea dreptul s realizeze propriile Revizuiri suplimentare privind administrarea riscului, pe baza constatrilor incomplete sau excepionale ntr-un audit de conformitate sau ca o parte a procesului de risc total de management n cursul normal al activitii.

DigiSign S.A. sau reprezentanii autorizai de ea vor avea dreptul s delege executri de verificare, revizuiri sau investigaii unui ter - firma de audit. Entitile care se supun unei verificri, revizuiri sau investigaii coopereaz cu DigiSign S.A. i cu personalul care execut verificarea, revizuirea sau investigarea.

Frecvena auditului de conformitateAuditul de conformitate este realizat anual, iar costurile sunt suportate de entitatea care este supus verificrii.

Identitatea/ calificarea verificatoruluiAuditul de conformitate cu politicile i practicile DigiSign S.A. este realizat de o firm public ce:demonstreaz competena n domeniul IT&C n general i pe linia PKI n special;

este recunoscut ca firm de audit i consultan.

n cazul S.C. DigiSign S.A. auditul este asigurat de firmaTV.

Relaia auditorului cu partea verificatAuditul de conformitate cu politicile i practicile DigiSign S.A. este realizat de o firm deaudit public, independent de DigiSign S.A.

Scopul audituluiDigiSign S.A.include controalele mediului AC, AI i operaiunile de administrare a cheii.

Aciuni acceptate ca rezultat al deficienein cazul auditului de conformitate cu politicile i practicile DigiSign S.A., pot rezulta excepii i neconformiti semnificative, n ceea ce privete delimitarea aciunilor care vor avea loc. Delimitarea este fcut de administraia companiei DigiSign S.A. cu acceptul auditorului. Administraia DigiSign S.A. este responsabil cu dezvoltarea i implementarea unui plan activ de implementare de aciuni preventive i corective. Dac DigiSign S.A. consider c astfel de excepii sau neconformiti pun n pericol securitatea sau integritatea, va fi dezvoltat un plan de rectificare n 30 de zile i va fi implementat ntr-o perioad de timp eficient. n cazul neconformitilor mai puin grave, administraia companiei DigiSign S.A. le va evalua i va determina aciunile preventive i corective corespunztoare.

Comunicarea rezultatelorRezultatele auditului de conformitate cu politicile i practicile companiei DigiSign S.A. vor fi puse la dispoziia administraiei DigiSign S.A.

ConfidenialitateDigiSign S.A. a implementat politica de confidenialitate, care poate fi gsit la: http://www.digisign.ro/ro/footer/politica_de_confidentialitateTipuri de informaii confideniale i privateUrmtoarele rapoarte se supun CPP 2.8.2, i sunt confideniale i private (Informaii confideniale/private):Rapoartele cererilor pentru certificate (se supun CPP 2.8.2),

Rapoarte tranzacionale (att rapoarte totale, ct i procesul de audit al tranzaciilor),

Rapoartele de audit DigiSign S.A., create de DigiSign S.A. sau de auditorii lor (interni sau externi).

Planurile n caz de incidente i pentru recuperarea dup dezastru,

Msuri de securitate care controleaz operaiunile de hardware i software ale DigiSign S.A. i administrarea serviciilor pentru certificat i serviciile destinate nscrierii.

Dezvluirea informaiilor ctre persoanele oficialeDezvluirea informaiilor confideniale de ctre DigiSign S.A. se va face numai n temeiul legii romne n vigoare.

Drepturi de proprietate intelectual

Drepturi de proprietate asupra informaiilor privind certificatele i revocarea lorDigiSign S.A. deine toate drepturile de proprietate intelectual asupra certificatelor calificate emise de aceasta si se bucura de toate drepturile conferite de dreptul acestuia de autor al operei create, in virtuteaLegii nr. 8/1996privind dreptul de autor si drepturile conexe, cu modificrile si completrile ulterioare.

Drepturi de proprietate asupra numelorSolicitantul de certificat pstreaz toate drepturile pe care le are n ceea ce privete orice marc comercial,marca de serviciusau numele mrcii coninute n orice solicitare pentru certificate, precum i numele de utilizator din orice certificat emis unui solicitant.

Drepturi de proprietate asupra cheilorCheile criptografice folosite de DigiSign S.A. i certificatele auto-semnate sunt proprietate a DigiSign S.A. n ncheiere, fr limitarea anterioar a majoritii,prile secreteale perechilor de chei ale AC sunt proprietate a Digisign S.A. care deine toate drepturile de proprietate intelectual n i pentru acestepri secrete.

Identificare i autentificarenregistrarea iniialaTipuri de numeCertificatele de AC ale DigiSign S.A. conin nume caracteristiceX.501(cunoscut ca standardISO/IEC 9594-2) n cmpurile emitorului i subiectului. Numele caracteristice ale AC-ului DigiSign S.A. constau n componentele specificate n tabelul 2 de mai jos.SimbolValoare

ara (C) =RO sau sau cod de tara conform ISO 3166

Compania (O) =DigiSign S.A.

Element de organizaie (OU) =Certificatele AC-ului DigiSign S.A. pot conine multiple simboluri OU. Astfel de simboluri pot conine unul sau mai multe dintre punctele urmtoare:Numele AC-ului

O declaraie referitoare la condiiile de utilizare a certificatului, din Acordul Prilor Contractante i

O ntiinare privind drepturile de autor.

Jude/Sector (S) =Nu se utilizeaz.

Localitate (L) =Nu se utilizeaz.

Nume (CN) =Acest simbol include numele AC-ului (dac numele AC-ului nu este specificat ntr-un atribut OU) sau nu estefolosit.

Tabelul 2 Atribute Distinguished Name n certificatele de AC

Certificatele pentru abonai-utilizatori finali conin un nume caracteristic X.501 n cmpul de nume principal i conine componentele specificate n tabelul 3 de mai jos

SimbolImportana(Valoare)

ara (C) =RO sau cod de tara conform ISO 3166

Jude/Sector (S) =Indica judeul/sectorul utilizatorului sau nu sunt utilizate.

Localitate (L) =Indica localitatea utilizatorului sau nu sunt utilizate.

Companie (O) =Simbolul companiei este utilizat dup cum urmeaz:DigiSign S.A. pentru certificatele utilizatorilor care nu sunt afiliai unei organizaii

Numele organizaiei utilizatorului pentru certificatele individuale ale utilizatorilor afiliai unei organizaii

Element de organizaie (OU) =Certificatele DigiSign S.A. pentru utilizatorii finali pot conine multiple atribute OU. Aceste atribute pot conine unul sau mai multe din punctele urmtoare:Element de organizaie pentru utilizator (pentru certificatele companiei sau pentru utilizatorii afiliai unei organizaii)

O declaraie referitoare la condiiile de utilizare a certificatului din acordul prilor contractante

O ntiinare privind drepturile de autor

Autentificat de DigiSign S.A.. n certificatele ale cror aplicaii au fost autentificate de DigiSign S.A.

Text care s descrie tipul certificatului.

Functie (T) =Acest camp indica functia utilizatorului.

Nume de familie (SN) =Indica numele de familie al utilizatorului.

Prenume (G) =Indica prenumele utilizatorului.

Cod de identificare al semnatarului (SERIALNUMBER) =Indica codul de identificare al semnatarului conform hotararii de guvernnr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice si metodologice pentru aplicarea Legii nr.455/2001privind semnatura electronica.

Nume (2.5.4.41) =Campul reprezinta numele intreg al utilizatorului.

Nume (CN) =Acest simbol include:Nume (pentru certificatele individuale).

Denumirea companiei (pentru certificatele achiziionate n numele companiei)

OCSP Responder Name (pentru OCSP Responder Certificates)

Numele de domeniu (pentru certificatele de server)

Timestamp Authority Name (pentru certificatele de marcare temporale)

E-Mail Address (E) =Adresa de e-mail a utilizatorului

Tabelul 3 Atribute Distinguished Name n certificatele utilizatorilor finali

Numele (CN)= este o component pentru distinguished name n cadrul certificatelor pentru utilizatorii finali, care trebuiete a fi verificat i validat de o AI n cazul certificatelor calificate.

Importana numelui inclus n numele caracteristicprincipalal certificatului individual rezid din faptul c acesta reprezint numele general acceptat al persoanei fizice.Necesitatea ca numele s fie distincteCertificatele calificate DigiSign trebuie s conin nume distincte sau un pseudonim, permind determinarea identitii persoanei fizice casubiectal certificatului. n cererea de emitere certificate, beneficiarul poate alege s utilizeze pseudonim. Atunci cnd se utilizeaza un pseudonim, identitatea reala a titularului nu poate fi divulgatade catre DigiSign dect cu consimtamntul titularului sau n cazurile prevazute la art. 15 alin. (3) din Legea 455/2001. Certificatul calificat va indica n mod expresfaptul caeste utilizat un pseudonim (in spatiul Nume Comun al certificatului va apare suffixul :PN), atunci cnd titularul se identificaprintr-un pseudonim.La solicitarea titularului DigiSign va putea nscrie n certificatul calificat si alte informatii dect cele mentionate la alin. (1), cu conditia ca acestea sanu fie contrare legii, bunelor moravuri sau ordinii publice, si numai dupao prealabilaverificare a exactitatii acestor informatii.Codul de identificare a certificatului calificat se formeaz prin alipirea codului de identificare a furnizorului a numrului de ordine al certificatului.Codul personal de identificare a semnatarului rezult prin alipirea codului de identificare a furnizorului, iniialele numelui sau pseudonimului semnatarului i numrul de ordine al acestuia n lista clienilor cu aceleai iniiale.

Unicitatea numelorDigiSign S.A. permite ca numele sau combinatia de nume si alte elemente ale subiecilor sa nu fie unice n cadrul domeniului unui AC.Procedura care se aplic n litigiile ce au ca obiect dreptul la numeSolicitanilor de certificate li se interzice utilizarea, n cererile pentru certificate, a numelor care ncalc dreptul de proprietate al altor persoane. Oricum, compania DigiSign S.A. nu verific dac un solicitant are drepturi de proprietate intelectual pentru numele care apare n cererea pentru certificat i nici nu arbitreaz, mediaz sau rezolv disputele n ceea ce privete proprietatea asupra numelui de domeniu, a mrcii comerciale saua mrcii de serviciu.Metode pentru a dovedi posesia cheii privateDigiSign S.A. verific posesia cheii private a solicitantului de certificat prin utilizarea unei cereri de certificat semnat digital, n conformitate cu standardul PKCS #10, sau alt demonstraie asemntoare din punct de vedere criptografic sau alt metod aprobat de DigiSign S.A.

n cazul n care o pereche de chei este generat de DigiSign S.A., n numele semnatarului (ex: acolo unde cheile deja generate sunt plasate pe smart card-uri), aceast cerere nu este aplicabil.

Autentificarea identitii companieiPentru cererile de certificate de AC sunt create CSR-uri pentru semnarea perechilor de chei de ctre cheia de root a DigiSign S.A., iar cererile sunt procesate i aprobate de personalul autorizat al DigiSign S.A., folosind un proces controlat care cere participarea mai multor angajai de ncredere ai companiei DigiSign S.A.

Autentificarea identitii persoanelor fizicePentru certificatele individuale (n numele propriei AI care deservete AC-ul), S.C. DigiSign S.A. confirm c:Solicitantul certificatului este persoana identificat n cererea pentru certificate;

Informaiile care apar n certificat sunt corecte sau au fost corecte la momentul aprobrii certificatului.

n plus, DigiSign S.A. desfoar i alte proceduri mult mai detaliate, descrise mai jos, pentru certificatele calificate DigiSign.

3.1.8 Certificate calificate DigiSign

Autentificarea cererilor pentru certificatele calificate DigiSign se bazeaz pe prezena fizic a solicitantului n fa unui reprezentant autorizat al companiei DigiSign S.A., notarpublic sau alte persoane oficiale care se supun jurisdiciei DigiSign S.A. Agentul, notarul sau alt persoan oficial verific identitatea solicitantului pe baza unui act de identitate valabil pe teritoriul Romaniei, cum ar fi: cartea (buletinul) de identitate, paaportul sau o alta legitimaie de identificare, toate acestea fiind nsoite i de o declaraie care s confirme identitatea solicitantului de certificate calificate.DigiSign nu colecteaza date cu caracter personal dect de la persoana care solicitaun certificat sau, cu consimtamntul expres al acesteia, de la terti. Colectarea se face doar n masura n care aceste informatii sunt necesare n vederea eliberarii si conservarii certificatului. Datele pot fi colectate si utilizate n alte scopuri doar cu consimtamntul expres al persoanei care solicitacertificatul.

nlocuirea i nnoireanainte de expirarea termenului legal de valabilitate un an a unui certificat al utilizatorului, acesta trebuie s obin un nou certificat pentru a menine continuitatea utilizrii certificatului. DigiSign S.A. solicit ca utilizatorul s genereze o nou pereche de chei pentru a nlocui perechea de chei expirat (definit tehnic nlocuire).

n general, nlocuirea este descris ca rennoire a certificatului, punnd accent pe faptul c vechiul certificat a fost nlocuit cu unul nou i fr s scoat n eviden dac a fost generat sau nu o nou pereche de chei. Pentru certificatele calificate DigiSign, acest titlu nu este important pentru c o nou pereche de chei este ntotdeauna generat, ca parte a procesului de rennoire a certificatului utilizatorului final.

Clase i tipuri de certificateCerine privind rennoirea i nlocuirea

Certificate calificateUtilizatorul nu are o opiune care s i permit trimiterea unei perechi de chei deja existente pentru a fi rennoit. n consecin, procesul de rennoire const n generarea altei perechi de chei care s corespund unui certificat cu aceleai date ca certificatul expirat.

Certificate ACRennoirea certificatelor AC este permis att timp ct durata cumulat de funcionare a perechii de chei AC nu depete durata maxim de funcionare specificat n CPP 6.3.2. AC-urile DigiSignS.A. pot fi nlocuite n concordan cu CPP 4.7.

Tabelul 4 Condiii de rennoire i nlocuire a certificatelor

Rennoirea i nlocuirea certificatelorDac nu au fost revocate, certificatele abonailor pot fi nlocuite n concordan cu tabelul 5 de mai jos.

PerioadaCerina

Cu 30 de zile nainte de expirarea certificatuluin cadrul perioadei specificate, utilizatorii pot consulta si utiliza procedura de reinnoire a certificatelor. Procedura este publicata pe site-ul Digisign, laObtinere certificate calificate,respectivReinnoire certificate calificate

Tabelul 5 Condiii privind nlocuirea i rennoirea certificatelor utilizatorilor finali

nlocuirea i rennoirea certificatelor ACCheile autoritilor de certificare subordonate DigiSign S.A. pot fi nlocuite periodic, conform CPP 4.7.

Certificatele de AC subordonate DigiSign S.A. pot fi rennoite respectnd parametrii specificai n CPP la punctul 6.3.2. De exemplu, dac un certificat al AC a fost emis iniial pe o perioad de 10 ani, se poate rennoi n perioada de valabilitate a perechii de chei a AC-ului pentru o perioad de 20 de ani, atingnd perioada de valabilitate maxim de 30 de ani. Rennoirea certificatului de AC nu este permis dup expirarea lui.nlocuire dup revocareNu este permis nlocuirea dup revocare, n cazul n care:Revocarea a avut loc pentru c certificatul a fost emis unei alte persoane dect celei numite drept subiect al certificatului,

Certificatul a fost emis fr autorizarea persoanei numite drept subiect al certificatului,

Entitatea care aprob cererea utilizatorului de certificat descoper sau are motiv s cread c anumite informaii nscrise n cererea pentru certificate sunt false.

Subiect al paragrafului menionat nainte, certificatele utilizatorilor care au fost revocate pot fi nlocuite n concordan cu tabelul 6 de mai jos.

Perioada de timpCerine

nainte de expirarea certificatuluiPentru nlocuirea unui certificat individual, dup revocarea acestuia, DigiSign S.A. verific dac persoana care dorete nlocuirea certificatului este de fapt utilizatorul iniial prin folosirea cerinelor de validare a unei cereri originale de certificat pentru a nlocui certificatul dup revocare. Astfel de certificate conin acelai nume al subiectului ca i numele care apare pe certificatul care este nlocuit.

Dup expirarea certificatuluin aceast situaie se procedeaz ca n cazul unei cereri primare de certificat.

Tabel 6 Condiii pentru nlocuirea certificatului dup revocare

Cererea de revocarenainte de revocarea unui certificat, DigiSign verific faptul c revocarea a fost solicitat de ctre posesorul certificatului, entitatea care a aprobat cererea de certificat. Procedurile agreate pentru autentificarea cererilor de revocare ale utilizatorului includ:Trimiterea de ctre utilizator a parolei de verificare i revocarea automat a certificatului, dac aceasta se potrivete cu parola de verificare oficial;

Primirea unui mesaj cu explicaii din partea utilizatorului care solicit revocarea i care conine de asemenea o semntur digital, care poate fi verificat, n legtur cu certificatul care urmeaz s fie revocat;

Comunicarea cu utilizatorul, care furnizeaz asigurri cu privire la faptul c persoan care solicit revocarea este chiar utilizatorul. n funcie de circumstane, aceast comunicare se realizeaz prin: telefon, fax, e-mail, pot sau servicii de curierat.

Administratorii DigiSign au dreptul s solicite revocarea certificatelor utilizatorului final.Cererile din partea DigiSign de a revoca un certificat AC sunt autentificate de ctre un quorum de decizie, pentru a asigura c revocarea a fost de fapt solicitat de ctre AC.

Cerine operaionaleCererea pentru certificatCererea pentru certificat depusa pentru certificatele utilizatorului finalPentru certificate DigiSign, toi solicitanii de certificate vor urma procesul de nscriere, care const din:Completarea unei cereri pentru certificat i furnizarea informaiilor cerute,

Generarea sau crearea condiiilor pentru generarea unei perechi de chei, n concordan cu punctul 6.1,

Demonstrarea ctre DigiSign n continuarea punctului 3.1.7 c solicitantul certificatului deine cheia privat corespunztoare cheii publice transmis ctre DigiSign,

Manifestarea acordului serviciului aferent.

Cererile pentru certificat sunt trimise la DigiSign pentru procesare, aprobare sau respingere. Entitatea care proceseaz cererea pentru certificat, conform punctului 4.2 poate fi reprezentat de dou entiti, dup cum se arat n tabelul urmtor.

Clasa certificatului/CategoriaEntitatea care proceseaz cererile pentru certificateEntitatea care elibereaz certificate

Certificate calificate DigiSignDigiSign S.A.DigiSign S.A.

CA, InfrastructuraDigiSign S.A.DigiSign S.A.

Tabel 7 Entiti care primesc cererile pentru certificateCererile de certificate pentru AC, AICertificate ACPentru AC-urile DigiSign, cererile de certificate sunt create i aprobate de ctre personalul autorizat, printr-un proces de control ce necesit participarea mai multor persoane de ncredere.Certificate AIDigiSign S.A. opereaz task-uri administrative care emit certificate pentru AI-uri i sisteme AI, incluznd:Personalul DigiSign (administratorii DigiSign) care proceseaz cererile pentru certificate n numele DigiSign, n cadrul DigiSign

Serverele de administrare automat care proceseaz cererile pentru certificate pentru DigiSign, unde s-a stabilit un proces de autentificare i administrare automat.

Pentru toate aceste AI, ca abonai la AC-ul administrativ aferent, se aplic cerinele pentru certificatele administrator clasa 3, specificate n CPP la punctul 4.1.1.

Emiterea certificatuluiEmiterea certificatelor pentru utilizatorul finalDup ce un solicitant de certificat trimite cererea, DigiSign, (vezi punctul4.1.1) ncearc s confirme informaiile din aceasta cerere (altele dect informaiile neverificate despre utilizator), conform CPP 3.1.8.1, 3.1.9. Dup ndeplinirea cu succes a tuturor procedurilor de autentificare solicitate la punctul 3.1, administratorul DigiSign aprob cererea pentru certificat. Dac procesul de autentificare nu are succes, DigiSign respinge cererea pentru certificat.

Un certificat este procesat i eliberat n urma aprobrii unei cereri sau pe baza primirii unei cereri a AI de a elibera certificatul. Cnd DigiSign aprob o cerere pentru certificat i comunic acceptul ctre utilizator, DigiSign proceseaz un certificat i l elibereaz solicitantului de certificat. Procedurile acestei seciuni se folosesc , de asemenea, i pentru emiterea de certificate n cazul unei cereri pentru a nlocui (a rennoi) un certificat.Eliberarea de certificate pentru AC, AI i infrastructurDigiSign S.A. elibereaz certificatele necesare pentru ca DigiSign s ndeplineasc funcii de AC sau AI.Acceptarea certificatuluiDup generarea certificatului, DigiSign S.A. ntiineaz abonaii c certificatele lor sunt disponibile i le transmit procedurile de intrare n posesie. Dup eliberare, certificatele sunt disponibile pentru utilizatorii finali. Certificatul poate fi trimis solicitantului in urmatoarele modalitatiPrin posta, cu confirmare la primire(pentru certificatele calificate)

Personal (pentru certificatele calificate)

Numai pentru certificate simple:DigiSign poate trimite utilizatorului un cod PIN pe care acesta l introduce n pagina de web de nscriere pentru a obine certificatul. Descrcarea unui certificat sau instalarea sa dintr-un mesaj care l are ataat, reprezint acceptarea certificatului de ctre utilizator.

Revocarea certificatuluiCircumstane pentru revocarea certificatelor utilizatorului finalUn certificat al utilizatorului final este revocat dac:DigiSign sau un utilizator are motive puternice s cread c a fost compromis cheia privat a utilizatorului,

DigiSign S.A. are motive s cread c utilizatorul a nclcat o obligaie material, de reprezentare sau de garanie, conform acordului dintre pri,

Acordul dintre pri s-a ncheiat,

DigiSign S.A. are motive s considere c certificatul nu a fost eliberat n conformitate cu procedurile solicitate de codul de practici i proceduri, certificatul a fost eliberat unei alte persoane dect cea numit drept subiect al certificatului sau certificatul a fost eliberat fr autorizarea persoanei numite drept subiect al certificatului,

DigiSign S.A. are motive s considere c anumite informaii din cererea pentru certificat sunt false;

DigiSign S.A. stabilete c nu a fost ndeplinit sau a fost amnat o condiie esenial pentru eliberarea certificatului;

Informaiile din certificat, altele dect informaiile neverificate despre utilizator, sunt incorecte sau s-au schimbat;

Utilizatorul solicit revocarea certificatului n concordan cu punctul 3.4.

DigiSign poate revoca de asemenea un certificat de administrator dac autoritatea administratorului de a aciona ca administrator s-a ncheiat sau s-a terminat din alte motive.

Acordul dintre pri al DigiSign solicit utilizatorilor finali sa anune imediat DigiSign, n cazul n care se bnuiete sau chiar a avut loc compromiterea cheilor private.

DigiSign se obliga sa revoce certificatul utilizatorului final in termen de 24 de ore de la indeplinirea conditiilor mentionate mai sus.Circumstane pentru revocarea certificatelor de AC sau AIDigiSign S.A. va revoca certificatele de AC sau AI, n cazul n care:DigiSign descoper sau are motive s considere c a fost compromis cheia privata AC sau AI DigiSign;

DigiSign descoper sau are motive s considere c certificatul nu a fost eliberat n conformitate cu procedurile solicitate de codul de practici i proceduri, certificatul a fost eliberat unei alte persoane dect cea numit drept subiect al certificatului sau certificatul a fost eliberat fr autorizarea persoanei numite drept subiect al certificatului;

DigiSign S.A. stabilete c nu a fost ndeplinit sau a fost amnat o condiie esenial pentru eliberarea certificatului;

DigiSign S.A. solicit revocarea certificatului.

Solicitarea revocriiUrmtoarele entiti pot solicita revocarea unui certificat al utilizatorului final:DigiSign S.A., care a aprobat cererea utilizatorului pentru certificat, poate solicita revocarea oricrui certificat al unui utilizator final sau al unui administrator.

Abonaii individuali pot solicita revocarea propriilor certificate.

Un reprezentant autorizat al DigiSign, care a primit un certificat de administrator, este ndreptit s solicite revocarea unui certificat de administrator.

Urmtoarele entiti pot solicita revocarea unui certificat AC, AI sau de infrastructur:Numai DigiSign este ndreptit s solicite sau s iniieze revocarea certificatului emis propriilor componente AC sau AI.

Procedura pentru solicitarea revocriiProcedura pentru solicitarea revocrii unui certificat al utilizatorului finalUn utilizator final care solicit revocarea trebuie s comunice aceasta cerere la DigiSign S.A. Comunicarea unei astfel de revocri se va face n concordan cu punctul 3.4.Procedura pentru solicitarea revocrii unui certificat AC sau AIConsiliul de administratie impreuna cu membrii qvorumului de acces (m of n) pot decide revocarea cheilor unui certificat AC sau AI al Digisign S.A si pot initia procedura de revocare a acestora.

Perioada de graie pentru solicitarea revocriiCererile de revocare trebuie trimise ct mai prompt ntr-o perioad de timp rezonabil.Circumstane pentru suspendareDigiSign suspenda certificatele in conditiile prevazute de Legea 455/2001.Frecvena publicrii listei certificatelor revocate (CRL)DigiSign public lista certificatelor revocate, artnd starea de revocare a certificatelor. Listele certificatelor revocate, pentru AC care emit certificate de AC, sunt publicate pe un termen definit de validitatea certificatului de AC subordinat i de asemenea ori de cte ori este revocat un certificat AC.Cerine pentru verificarea listei certificatelor revocateO metod prin care prile, avnd o relaie de ncredere pot verifica starea certificatului este consultarea celei mai recente liste de revocare a certificatelor, publicat de ctre AC-ul care a emis certificatul pe care doresc s se bazeze acestea.Pentru DigiSign S.A., listele certificatelor revocate sunt expediate la Digisign Public CRL,DigiSign Qualified Public CAiDigiSign Qualified Root CA,DigiSign for UNNPRsau in registrul DigiSign.

Un tabel de referin privind starea certificatelor este publicat n registru pentru a ajuta prile, avnd o relaie de ncredere s determine starea de revocare a certificatelor pentru AC-ul aferent.Revocare on-line/disponibilitate pentru verificarea statutuluiPe lng publicarea listelor de revocare a certificatelor, DigiSign, furnizeaz informaii despre statutul certificatului, prin interogarea unor baze de date din registrul propriu.

Cerine speciale privind compromiterea cheiiDigiSign depune eforturi pentru a ntiina prile dac descoper, are motive s considere sau chiar a fost compromis cheia privat a DigiSign AC.

Proceduri de verificare a securitiiTipuri de evenimente nregistrateDigiSign S.A. monitorizeaz manual sau automat urmtoarele evenimente semnificative:Evenimente legate de administrarea cheii AC, incluznd:

Generarea cheii, backup, stocare, recuperare, arhivare i distrugere

Evenimente legate de dispozitivul criptografic pentru administrarea continu.

Evenimente legate de administrarea certificatului AC i a utilizatorului, incluznd:

Cererile pentru certificate, nnoirea, nlocuirea i revocarea

Procesarea reuit sau nereuit a cererilor

Generarea i emiterea de certificate i liste de revocare a certificatelor.

Evenimente legate de securitate, incluznd:

ncercri reuite sau nereuite de acces la sistemul infrastructurii cheii publice

Aciuni ale infrastructurii cheii publice i ale sistemului de securitate pe care le execut personalul DigiSign

Dosare sau nregistrri sensibile de securitate, citite, scrise sau terse

Schimbri n profilul securitii

Cderi ale sistemului, defectri ale hardware-ului i altele

Activitate de firewall i router

Intrarea/ieirea din locaia AC, destinat vizitatorilor.

Intrrile n fiierul de log cuprind urmtoarele elemente:Data i ora intrrii

Numrul serial sau de ordine al intrrii, pentru intrrile automate

Identitatea entitii care realizeaz intrarea

Tipul de intrare.

AI-urile DigiSign i administratorii DigiSign monitorizeaz informaiile cererii de certificat, incluznd:Tipul de document(e) de identificare prezentate de ctre solicitantul certificatului;

Dosar al datelor unice de identificare, numere sau o combinaie (de ex. numrul carnetului de conducere al solicitantului) a documentelor de identificare, dac este posibil;

Locaia stocrii copiilor dup aplicaii i dup documentele de identificare;

Identitatea entitii care accept aplicaia;

Metoda folosit pentru a valida documentele de identificare, dac exist;

Numele AC-ului care primete sau al AI-ului care trimite, dac este posibil.

Frecvena procesrii de loguriLog-urile de verificare sunt examinate cel puin o data pe sptmn pentru evenimente semnificative de securitate i operaionale. n plus, DigiSign S.A trece n revista log-urile sale de verificare pentru activiti suspecte sau neobinuite, ca rspuns la alertrile generate i bazate pe iregularitati i incidente n cadrul sistemului AC.Procesarea log-ului de verificare const din revizuirea log-urilor de verificare i a documentaiei pentru toate evenimentele semnificative ntr-un sumar al log-ului de verificare. Revizuirea log-ului de verificare include verificarea faptului ca log-ul nu a fost falsificat, o scurt inspectare a tuturor intrrilor n fiierul de log i o investigare mai profund a oricror alertri sau iregularitati din log-uri. Aciunile care se ntreprind, bazate pe revizuirile log-ului de verificare, trebuie de asemenea s fie susinute cu documente.Perioada de pstrare pentru log-ul de verificareLog-urile de verificare sunt reinute pe site cel puin dou (2) luni dup procesare i dup aceea sunt arhivate, n concordan cu punctul 4.6.2.Protecia log-ului de verificareFiierele log-ului de verificare electronic i manual sunt protejate mpotriva examinrii neautorizate, modificrii, tergerii sau altor tipuri de falsificri prin folosirea controalelor de acces fizic i logic.Proceduri de salvare a log-ului de verificareSalvrile incrementale ale log-urilor de verificare sunt create zilnic, iar copiile complete de siguran sunt realizate sptmnal.Dosarele de arhivTipuri de evenimente nregistratePe lng log-urile de verificare specificate la punctul 4.5, DigiSign pstreaz, atunci cnd i se cere, documentaia pentru:Acionarea DigiSign, n conformitate cu codul de practici i proceduri i alte obligaii din acordurile cu abonaii,

Aciuni i informaii eseniale pentru fiecare cerere de certificat i pentru emiterea,eliberarea, folosirea, revocarea, expirarea i nlocuirea tuturor certificatelor care se emit.

nregistrrile DigiSign despre evenimentele legate de certificat includ:Identitatea utilizatorului numit n fiecare certificat,

Identitatea persoanei care solicit revocarea certificatului,

Alte fapte reprezentate n certificat;

Anumite fapte eseniale previzibile, legate de emiterea certificatului inclusiv, dar nu limitndu-se la att, informaii relevante pentru ncheierea cu succes a verificrii conformitii, conform punctului 2.7.

nregistrrile pot fi meninute electronic sau pe o copie pe un dispozitiv de stocare extern, cu condiia ca acestea s fie indexate, stocate, pstrate i sa poata fi restaurate n mod corespunztor i complet.Perioada de pstrare n arhivnregistrrile legate de certificatele calificate DigiSign sunt pstrate zece (10) de ani de la data expirrii sau revocrii certificatului.Dac este necesar, DigiSign S.A. poate implementa perioade mai lungi de pstrare, pentru a se conforma legilor n vigoare.Protecia arhiveiDigiSign S.A. i protejeaz dosarele arhivate, alctuite conform punctului 4.6.1, astfel nct numai persoanele de ncredere autorizate s aib acces la datele arhivate. Datele arhivate electronic sunt protejate mpotriva examinrii neautorizate, modificrii, tergerii sau altui tip de falsificare, prin implementarea controalelor corespunztoare de acces fizic i logic. Mediile care dein datele arhivate i aplicaiile solicitate pentru a procesa datele arhivate sunt meninute pentru a asigura faptul c datele arhivate pot fi accesate n perioada stabilit la punctul 4.6.2.Proceduri de salvare a arhiveiDigiSign S.A realizeaz arhive electronice care conin informaii despre certificatele sale emise i execut copii de siguran complet. Copii ale nregistrrilor pstrate pe hrtie sunt meninute ntr-un sediu de recuperare din afara sediului principal.Cerine pentru marcare temporala aplicat nregistrrilorCertificatele, listele de certificate revocate i alte intrri n baze de date de revocare conin informaii referitoare la or i dat. Trebuie notat faptul c astfel de informaii despre or si data se bazeaz pe baza de timp oficiala pe teritoriul Romaniei.n situatia n care detecteazacazuri n care au fost emise marci temporale cu depasirea valorii de +/- 1 secunda fata de baza de timp, furnizorul va transmite MCSI o nstiintare n acest sens.

Schimbarea cheiiPerechile de chei ale AC-ului DigiSign sunt retrase din folosin la sfritul perioadei maxime de valabilitate, dup cum se definete la punctul 6.3.2. Certificatele AC-ului DigiSign pot fi rennoite att timp ct perioada cumulativ de valabilitate certificata a perechii de chei a AC nu depete perioada maxim de valabilitate a perechii de chei a AC. Dac este necesar, vor fi generate noi perechi de chei pentru AC, de exemplu pentru a nlocui perechi de chei ale AC care au fost retrase, pentru a le suplimenta pe cele existente, active i pentru a susine noi servicii, n concordan cu punctul 6.1.

nainte de expirarea certificatului AC pentru o AC superioara, sunt iniiate procedurile de schimbare a cheii, pentru a facilita o trecere lin a entitilor n ierarhia AC superioara, de la vechea pereche de cheiAC superioara la o nou pereche de chei AC. Procesul de schimbare a cheii AC a DigiSign solicit ca:O AC superioara s nceteze s emit noi certificate subordonate AC, nu mai trziu de 60 de zile nainte de data (data de ncetare a emiterii) la care timpul rmas din valabilitatea perechii de chei a AC superioara este egal cu perioada de valabilitate a certificatului, aprobat pentru tipuri precise de certificate eliberate de AC subordonate n ierarhia AC superioara.

Dup validarea cu succes a cererilor pentru certificat al AC subordonata (sau utilizator final) primite dup data de ncetare a emiterii, certificatele vor fi semnate cu o noua pereche de chei ale AC.

AC superioara s continue s elibereze liste de certificate revocate semnate cu cheia privat original a AC superioara, pn la data de expirare a ultimului certificat emis prin folosirea perechii originale de chei.

Compromiterea cheiiPe baza suspectrii sau a certitudinii privind compromiterea unui AC DigiSign, echipa de rspuns la incidentul compromiterii (ERIC) iniiaz procedurile de rspuns n cazul compromiterii cheii. Aceast echipa, care include personal din securitate, operaii criptografice de afaceri, servicii de producie i ali reprezentani ai managementului, evalueaz situaia, dezvolt un plan de aciune i implementeaz acest plan, avnd aprobarea managementului executiv al DigiSign S.A.

Dac este solicitat revocarea certificatului de AC, se ntreprind urmtoarele proceduri:Este comunicat prilor de ncredere situaia certificatului revocat, prin registrul DigiSign S.A.,

AC-ul va genera o nou pereche de chei, excepie fcnd cazul n care AC-ul este limitat.

ncheierea ACn cazul n care DigiSign intentioneazasanceteze activitatile legate de certificarea semnaturilor electronice sau aflacava fi n imposibilitate de a continua aceste activitati va informa cu cel putin 30 de zile nainte de ncetare autoritatea de reglementare si supraveghere specializatan domeniu despre intentia sa, respectiv despre existenta si natura mprejurarii care justificaimposibilitatea de continuare a activitatilor. In situatia n care DigiSign se aflan imposibilitate de a continua activitatile legate de certificarea semnaturilor electronice si nu a putut prevedea aceastasituatie cu cel putin 30 de zile nainte ca ncetarea activitatilor sa se produca, va informa autoritatea de reglementare si supraveghere specializata n domeniu, n termen de 24 de ore din momentul n care a luat cunostintasau trebuia si putea saia cunostintadespre imposibilitatea continuarii activitatilor. Informarea trebuie sa se refere la existenta si natura mprejurarii care justificaimposibilitatea de continuare a activitatilor.DigiSign poate transfera, n tot sau n parte, activitatile sale unui alt furnizor de servicii de certificare. Transferul va opera potrivit urmatoarelor conditii:a)DigiSign va nstiinta fiecare titular de certificate neexpirate, cu cel putin 30 de zile nainte, despre intentia sa de transferare a activitatilor legate de certificarea semnaturilor electronice catre un alt furnizor de servicii de certificare;b) DigiSign va mentiona identitatea furnizorului de servicii de certificare caruia intentioneaza sa i transfere activitatile sale;c) DigiSign va face cunoscute fiecarui titular de certificat posibilitatea de a refuza acest transfer, precum si termenul si conditiile n care refuzul poate fi exercitat; n lipsa uneiacceptari exprese a titularului, n termenul precizat de furnizorul de servicii de certificare, certificatul va fi revocat de catre acesta din urma.
n cazul ncetarii activitatii, DigiSign are obligatia satransfere unui alt furnizor de servicii de marcare temporalasau, dupacaz, autoritatii registrul electronic operativ de evidenta, registrul marcilor temporale, precum si documentatia aferenta algoritmilor si procedurilor de generare a marcilor temporale emise.

Controale de securitate fizic, procedural i de personalDigiSign a implementat politica de securitate DigiSign, care susine cerinele de securitate prezentate n acest cod de practici i proceduri.

Controale fizice

Amplasare i construcieOperaiile AC ale DigiSign sunt dirijate din sediul din str Virgil Madgearu 2-6, sector 1, Bucuresti, Romania, care satisface cerinele securitii i cerinele de verificare. De asemnea, Digisign SA dispune de un sediu secundar in str. N.G.Caramfil, nr. 44, bl. 11B, sc. B, ap. 30, sector 1, Bucuresti. Toate operaiile AC i AI ale DigiSign sunt dirijate dintr-un mediu protejat, special echipat pentru a mpiedica, a preveni i a detecta penetrarea ascuns saufi.Acces fizicSistemele AC ale DigiSign sunt protejate pe nivele de securitate fizic, cu solicitarea accesului la un nivel inferior nainte de a ctiga acces la unul superior. n plus, sistemul de securitate fizic include i nivele suplimentare pentru securitatea administrrii cheilor criptografice.Accesul la primul nivel necesit folosirea unui card de proximitate ca ecuson pentru angajai(sau amprenta digitala). Accesul fizic la nivelul unu este logat automat. Nivelul doi de securitate asigura controlul accesului tuturor persoanelor care ptrund in aria AC prin utilizarea cardului de proximitate. Personalul ne-escortat, incluznd angajaii care nu beneficiaz de acces liber, nu au voie s intre ntr-o arie securizat la acest nivel. Accesulfizic la acest nivel este logat automat. Nivelul trei al centrului de date ntrete controlul accesului individual. Persoanele fizice care se bucur de acces ne-escortat la acest nivel trebuie s satisfac politica angajatului de ncredere. i acest acces fizic este logat automat.Cheile criptografice ale AC DigiSign SA sunt pstrate si protejate la sediul din Virgil Madgearu 2-6. Sistemele AC ale DigiSign sunt protejate de patru nivele de securitate fizic, cu solicitarea accesului la un nivel inferior nainte de a ctiga acces la unul superior. n plus, sistemul de securitate fizic include i nivele suplimentare pentru securitatea administrrii cheilor criptografice.

Mecanismul de control acces

Nivelul de acces unu necesit utilizarea unui card de proximitate cu zona de acces limitata la etajul corespondent. Accesul la acest nivel este monitorizat i nregistrat automat.

Nivelul doi impune controlul accesul individual pentru toate persoanele care ptrund n aria AI si AC, facilitate care necesit utilizarea amprentei. Accesul fizic la nivelul doi este monitorizat automat.

Nivelul trei permite accesul insotit in incinta custii situate in datacenter. Este interzis accesul fizic la acest nivel tuturor vizitatorilor si angajatilor cu nivel inferior de acces. i accesul la acest nivel este monitorizat.

Nivelul patru al centrului de date impune controlul accesului individual iar camera pentru ceremonia cheii impune controlul dual, fiecare prin utilizarea unui factor dublu de autentificare, biometric si cartela de proximitate. Accesul la acest nivel este monitorizat automat.

CSU-urile online sunt protejate prin folosirea dulapurilor ncuiate. Accesul la CSU-uri i la materialul important este restricionat, n concordan cu cerinele DigiSign de separare a ndatoririlor. Deschiderea i nchiderea dulapurilor sau containerelor de la aceste nivele este log-ata n scopul verificrii. Accesul fizic restricionat din ce n ce mai mult ajut controlul accesului la fiecare nivel.

Tabel 8 Mecanismul de control accesEnergie i aer condiionatLocaiile securizate ale DigiSign sunt echipate cu salvarea de siguran fundamental:Sisteme energetice pentru a asigura acces continuu i nentrerupt la energia electrica

Sisteme de nclzire/ventilaie/aer condiionat pentru a controla temperatura i umiditatea relativ.

Expunerile la apDigiSign i-a luat precauii deosebite pentru a minimiza impactul expunerii la ap a sistemelor DigiSign.Prevenirea i protecia mpotriva foculuiDigiSign S.A. i-a luat precauii deosebite pentru a preveni i a stinge focul sau alte expuneri la flacr sau fum. Msurile DigiSign de prevenire i protecie mpotriva focului au fost stabilite pentru a respecta reglementrile cu privire la prevenirea si stingerea incendiilor i sigurana la foc.Mediul de stocareToate mediile n care exist software de producie i date, verificare, arhiv sau informaii salvate se afl n sediile DigiSign, cu controale de acces fizic i logic, pentru a permite accesul numai pentru personalul autorizat i pentru a proteja aceste medii mpotriva pagubelor accidentale (cauzate de apa, foc sau cmp electromagnetic).Dispunerea lucrurilor nefolositoareDocumentele i materialele sensibile sunt distruse nainte de a fi aruncate. nainte de a fi aruncate, dispozitivele criptografice sunt distruse fizic sau minimizate, n concordan cu ndrumrile anterioare ale productorului. Alte lucruri nefolositoare sunt aruncate, innd cont de cerinele DigiSign.Salvarea datelorDigiSign S.A. ntreprinde salvrile de rutin ale datelor importante de sistem, ale datelor despre log-urile de verificare i ale altor informaii sensibile. Controale proceduraleFuncii de ncrederePrintre persoanele de ncredere se numr toi angajaii, furnizorii i consultanii care au acces la sau controleaz operaiile de autentificare i criptare care pot influena:Validarea informaiilor din cererile pentru certificate;

Acceptarea, respingerea sau alte procesri ale cererilor pentru certificate, ale cererilor de revocare, ale cererilor de nnoire sau ale informaiilor de nscriere;

Emiterea sau revocarea certificatelor, inclusiv personalul care are acces la pri restricionate ale registrului su;

Manipularea informaiilor sau cererilor utilizatorului.

Printre persoanele de ncredere se numr, dar nu se limiteaz numai la att:Personalul de la serviciu clieni,

Personalul care se ocupa de operaiile criptografice ale activitii,

Personalul de securitate,

Personalul de la sistemul de administrare,

Personalul de la departamentul tehnic,

Directorii care se ocup cu administrarea loialitii de infrastructur.

DigiSign S.A. consider categoriile de personal identificate mai sus, n aceasta seciune, drept persoane de ncredere ce au o poziie de ncredere. Persoanele care doresc sa devin persoane de ncredere prin obinerea unei poziii de ncredere trebuie s ndeplineasc cerinele de selecie prezentate la punctul 5.3.Numrul de persoane necesare pentru fiecare sarcinaDigiSign S.A. menine o politic i proceduri de control riguroase pentru a asigura separarea responsabilitilor. Cele mai sensibile sarcini, precum accesul i managementul hardware-ului criptografic al AC (elementele de semnare criptografica sau CSU) i materialul asociat, necesit mai multe persoane de ncredere.

Aceste proceduri de control intern sunt desemnate pentru a asigura c cel puin doi dintre membrii de ncredere trebuie s aib acces fizic sau logic la dispozitiv. Accesul la hardware-ul criptografic al AC este strict intensificat prin intermediul mai multor persoane de ncredere de-a lungul ciclului su de funcionare, de la primire i recepie pn ladistrugerea final logic i/sau fizic. Dup ce un modul este activat cu chei operaionale, sunt invocate controalele de acces pentru a menine controlul separat asupra accesului fizic i logic la dispozitiv. Persoanele care au acces fizic la module nu dein prile secrete i viceversa. Cerinele pentru datele de activare a cheii private a AC i prile secrete sunt specificate la punctul 6.2.7.

Alte operaii precum validarea i emiterea de certificate clasa 3 necesit participarea a cel puin 2 persoane de ncredere.Identificarea i autentificarea pentru fiecare funciePentru tot personalul care dorete s se numere printre persoanele de ncredere, verificarea identitii se realizeaz prin prezena sa fizic n faa persoanelor de ncredere ale DigiSign S.A. de la departamentul Resurse Umane sau avnd funcii n securitate i se realizeaz o verificare a actelor de identificare. Identitatea este confirmat apoi prin procedurile de verificare de fond, prevzute la punctul 5.3.1.

DigiSign S.A. asigur c, personalul a dobndit statutul de ncredere i c a primit aprobarea departamental, nainte ca acestor persoane s li se:Emit dispozitivele de acces i accesul la locaiile solicitate;

Emit legitimaii electronice pentru a avea acces i pentru a ndeplini funcii precise la DigiSign sau la alte sisteme IT.

Controale de personalCerine privind trecutul, calificrile, experiena i acceptareaPersonalul care dorete s se numere printre persoanele de ncredere trebuie s prezinte dovada ndeplinirii cerinelor legate de trecut, calificri i experien, necesare pentru a ndeplini n mod competent i satisfctor responsabilitile postului respectiv, precum i dovada oricror acceptri guvernamentale, dac exist, necesare pentru a ndeplini servicii de certificare n baza unor contracte guvernamentale. Verificarea informaiilor cu privire la personal se repet la cel puin 5 ani pentru personalul care ocup poziii de ncredere.Proceduri de verificare a informaiilor cu privire la personalnainte de nceperea serviciului ntr-o funcie de ncredere, DigiSign face verificri asupra informaiilor cu privire la personal, cuprinznd urmtoarele:Confirmarea locului de munc anterior;

Verificarea referinelor profesionale;

Confirmarea celei mai nalte sau relevante instituii de nvmnt urmate;

Solicitarea rapoartelor privind permisul de conducere;

n msura n care oricare dintre cerinele impuse de aceast seciune nu poate fi satisfcut din cauza unei interziceri sau limitri din legea locala sau din cauza altor circumstane, DigiSign S.A. va folosi o tehnic de investigaie care este permis de lege i care furnizeaz informaii asemntoare, inclusiv, dar nu limitndu-se la, obinerea unei verificri a trecutului, realizat de agenia guvernamental adecvat.

Factorii implicai n verificarea trecutului, ce pot duce la respingerea candidailor pentru funciile de ncredere sau la luarea de msuri mpotriva celor care fac parte deja dintre persoanele de ncredere, includ n general urmtoarele:Prezentarea greit fcut de ctre candidat sau de ctre persoana de ncredere;

Referine personale nefavorabile sau care nu inspira ncredere;

Condamnri penale;

Rapoartele care conin astfel de informaii sunt evaluate de personalul de la resurse umane i securitate, care determin cursul potrivit al aciunii, n funcie de tipul, importana i frecvena comportamentului dezvluit de verificarea trecutului. Aceste aciuni pot include msuri care pot ajunge la anularea ofertelor de angajare pentru candidaii la funcii de rspundere sau la scoaterea din funcie a persoanelor de ncredere.Folosirea informaiilor gsite prin verificarea trecutului pentru a ntreprinde astfel de aciuni este supus reglementarilor in vigoare din Romnia. Cerine de pregtireDigiSign S.A. asigur personalului pregtirea necesar pentru a ndeplini n mod competent i satisfctor responsabilitile funciei. DigiSign S.A. si trece n revista periodic i intensific programele de pregtire, atunci cnd este nevoie.

Programele de pregtire ale DigiSign S.A. sunt realizate innd cont de responsabilitileindividuale i includ urmtoarele:Concepte de baz despre infrastructura cheii publice;

Responsabilitile funciei;

Politicile i procedurile de securitate i operaionale ale DigiSign S.A.;

Folosirea i funcionarea hardware-ului i software-ului existent;

Raportarea i tratarea cazurilor de incident i compromis;

Procedurile de recuperare n caz de dezastru i de continuare a activitii.

Cerinele i frecvena cursurilor de perfecionareDigiSign S.A. furnizeaz cursuri de perfecionare i de actualizare pentru personal, n msura i cu frecvena care permit asigurarea meninerii nivelului necesar pentru ndeplinirea competent i satisfctoare a responsabilitilor de serviciu. Se asigur periodic pregtire de securitate.Sanciuni pentru aciuni neautorizateSe iau msuri disciplinare adecvate pentru aciunile neautorizate sau pentru alte violri ale politicilor i procedurilor DigiSign S.A. Aciunile disciplinare pot include msuri care duc pn la ncetarea contractului i sunt luate n funcie de frecvena i severitatea aciunilor.Cerine pentr