Polityka Certyfikacji UM Choszczno

(OU = Certificate Authority , O = UM Choszczno, C = PL)

Wersja 1.0

Centrum Certyfikacji UM Choszczno

1. WPROWADZENIE

1.1. Opis dokumentu

Ponizszy dokument opisuje procedury stosowane przez Centrum Certyfikacji UM Choszczno podczas certyfikacji klucza publicznego, definiuje uczestników tego procesu oraz okresla obszary zastosowan certyfikatów uzyskanych w tym procesie.

Centrum Certyfikacji UM Choszczno wystepuje jako nadrzedny urzad certyfikacyjny dla wszystkich lokalnych urzedów certyfikacyjnych, które podpisaly stosowne umowy.

Jego zadaniem jest poswiadczanie swoim podpisem elektronicznym:

. kluczy publicznych nalezacych do urzedów certyfikacyjnych podporzadkowanych infrastrukturze kluczy publicznych Centrum Certyfikacji UM Choszczno;
. kluczy publicznych urzedów rejestracyjnych wystepujacych w imieniu Centrum Certyfikacji UM Choszczno;
. kluczy publicznych uzytkowników koncowych.

Certyfikaty Centrum Certyfikacji UM Choszczno wydawane sa wylacznie w celu zabezpieczenia poczty elektronicznej, serwerów WWW, serwerów SSL, uwierzytelniania stron. Centrum Certyfikacji UM Choszcznonie jest kwalifikowanym podmiotem swiadczacym uslugi certyfikacyjne.

Podpis elektroniczny weryfikowany przy pomocy certyfikatu Centrum Certyfikacji UM Choszczno nie wywoluje skutków prawnych równorzednych podpisowi wlasnorecznemu.

Certyfikaty wydawane przez Centrum Certyfikacji UM Choszczno sa bezplatne.

Centrum Certyfikacji UM Choszczno nie ponosi zadnej odpowiedzialnosci za skutki uzycia tych certyfikatów.

Gwarancja Centrum Certyfikacji UM Choszczno wynosi 0 zl.

Centrum Certyfikacji UM Choszczno jest prowadzone przez: Wytwórnia Telewizyjno - Filmowa "Alfa" sp. z.o.o. ul. Kukuleczki 56, 71-698 Szczecin.

1.2. Srodowisko dzialania

Centrum Certyfikacji UM Choszczno swiadczy uslugi certyfikacji urzedów administracji, uzytkowników koncowych oraz dla innych podmiotówI.

1.2.1. Urzedy certyfikacyjne

Certyfikacja urzedów nastepuje na podstawie specjalnej umowy dwustronnej podpisanej, zgodnie z wymogami [1], przez urzad zlecajacy certyfikacje oraz Centrum Certyfikacji UM Choszczno. Umowa ta okresla zakres dzialania urzedu podporzadkowanego. Wszystkie urzedy certyfikacyjne podporzadkowane Centrum Certyfikacji UM Choszczno musza respektowac wymagania i ograniczenia narzucane przez polityke Centrum Certyfikacji UM Choszczno oraz Kodeks Postepowania UM Choszczno.

Zaklada sie, ze kazdy urzad certyfikacyjny poswiadczany przez Centrum Certyfikacji UM Choszczno dziala zgodnie z dokumentem [1] oraz niniejszym kodeksem. Jesli urzad zlecajacy certyfikacje swego klucza publicznego przyjmuje te zasady, to nie musi przedstawiac wlasnego kodeksu postepowania certyfikacyjnego. Jezeli urzad certyfikacyjny zlecajacy certyfikacje swego klucza publicznego zamierza dysponowac wlasna polityka i/lub kodeksem postepowania certyfikacyjnego, to dokumenty te musza zostac zatwierdzone przez jego nadrzedny urzad certyfikacyjny.

1.2.2. Urzedy rejestracyjne

Centrum Certyfikacji UM Choszczno nie prowadzi swojego urzedu rejestracyjnego. Role urzedu rejestracyjnego powierza sie zaufanej osobie, wskazanej przez instytucje. Osoba taka podpisuje umowe z urzedem certyfikacyjnym, w którego imieniu wystepuje i zobowiazuje sie do przestrzegania zasad niniejszego dokumentu. Osoba wskazana do pelnienia funkcji urzedu rejestracyjnego musi zostac zatwierdzona przez urzad certyfikacyjny, któremu sluzy.

Kazdy urzad certyfikacyjny podporzadkowany Centrum Certyfikacji UM Choszczno moze korzystac w swojej dzialalnosci z urzedów rejestracyjnych. Podporzadkowany urzad certyfikacyjny moze równiez sam pelnic role urzedu rejestracyjnego na zasadach opisanych powyzej.

1.2.3. Uzytkownicy koncowi

Zgodnie z niniejszym dokumentem, uzytkownikiem koncowym jest system komputerowy lub osoba ubiegajaca sie o certyfikat.

1.4. Adresy kontaktowe

1.4.1. Organizacja nadzorujaca

Za Kodeks Postepowania Certyfikacyjnego odpowiada Centrum Certyfikacji UM Choszczno.

1.4.2. Osoba kontaktowa

Centrum Certyfikacji UM Choszczno
http://ca.alfatv.pl
e-mail: admin@alfatv.pl

2. ZASADY OGÓLNE

W tej czesci kodeksu sa przedstawione zobowiazania, jakie przyjmuje na siebie kazda ze stron uczestniczacych w procesie certyfikacji. Ponadto ustala sie zasady finansowe, poziom niezawodnosci uslugi oraz dopuszczalne metody dystrybucji informacji zwiazanej z procesem certyfikacji.

2.1. Obowiazki

2.1.1. Obowiazki urzedu ccrtyfikacyjncgo

Urzad certyfikacyjny jest odpowiedzialny za swiadczenie uslugi certyfikacji zgodnie z polityka Centrum Certyfikacji UM Choszczno oraz niniejszym Kodeksem Postepowania Certyfikacyjnego. Do jego zadan nalezy:

. przyjmowanie i realizacja zlecen certyfikacji;
. uwierzytelnianie jednostek ubiegajacych sie o certyfikacje (np. za pomoca odpowiedniego urzedu rejestracyjnego);
. podpisywanie umowy z urzedem nadrzednym i respektowanie zasad tej umowy;
. podpisywanie umowy z urzedami rejestracyjnymi wspomagajacymi proces uwierzytelniania;
. wystawianie certyfikatów klucza publicznego X.5O9 na podstawie otrzymanych zlecen;
. przekazywanie zwrotne gotowego certyfikatu zleceniodawcy oraz publikacja certyfikatu w ogólnodostepnym repozytorium;
. obsluga zlecen odwolania certyfikatów;
. utrzymywanie listy odwolanych certyfikatów;
. ochrona danych zleceniodawcy;
. przetwarzanie danych zleceniodawcy wylacznie do celów zwiazanych z uslugami certyfikacji.

2.1.2. Obowiazki urzedu rejestracyjnego

Urzad rejestracyjny dziala zgodnie z niniejszym kodeksem pelniac usluge uwierzytelniania. Jego zadania to:

. sprawdzenie poprawnosci powiazania klucza publicznego z identyfikatorem jego uzytkownika;
. zatwierdzenie przypisania subskrybenta danemu urzedowi certyfikacyjnemu;
. podpisywanie umów z urzedami certyfikacyjnymi, w imieniu których urzad rejestracyjny ma wystepowac i przestrzeganie zasad umowy.

2.1.3. Obowiazki subskrybenta

Subskrybent, czyli podporzadkowany urzad certyfikacyjny lub uzytkownik koncowy zobowiazuje sie przestrzegac zasad niniejszego kodeksu, w tym wlasciwie chronic swój klucz prywatny, upowaznic urzad certyfikacyjny do przetwarzania danych do celów zwiazanych z uslugami certyfikacji i wystepowac do urzedu certyfikacyjnego o odwolanie certyfikatu, gdy zajdzie taka potrzeba.

Uzytkownik koncowy nie podpisuje umowy ze swoim urzedem certyfikacyjnym ani urzedem rejestracyjnym.

2.1.4. Obowiazki strony ufajacej certyfikatom

Strona ufajaca certyfikatom jest zobowiazana do zapoznania sie z niniejszym kodeksem przed wyciagnieciem jakichkolwiek wniosków dotyczacych zaufania certyfikatowi wydanemu zgodnie z niniejszym kodeksem. Strona ufajaca certyfikatom jest zobowiazana do sprawdzenia statusu certyfikatu przed podjeciem decyzji o zaufaniu certyfikatowi.

2.1.5. Obowiazki repozytorium

Urzad certyfikacyjny jest zobowiazany do utrzymywania ogólnodostepnego repozytorium do publikowania certyfikatów, list uniewaznionych certyfikatów, polityki certyfikacji i kodeksu postepowania certyfikacyjnego.

2.2. Odpowiedzialnosc prawna

2.2.1. Odpowiedzialnosc urzedu certyfikacyjnego

Odpowiedzialnosc urzedu certyfikacyjnego jest ograniczona do gwarancji podjecia wszelkich niezbednych srodków do ochrony klucza prywatnego urzedu certyfikacyjnego przed kradzieza, naduzyciem, utrata i ze tozsamosc zleceniodawcy bedzie nalezycie zweryfikowana.

2.2.2. Odpowiedzialnosc urzedu rejestracyjnego

Odpowiedzialnosc urzedu rejestracyjnego bedzie ograniczona do gwarancji wykonania wszelkich niezbednych kontroli do weryfikacji tozsamosci uzytkowników koncowych.

2.3. Odpowiedzialnosc finansowa

Uzytkownik koncowy akceptuje fakt, ze urzad certyfikacyjny nie ponosi odpowiedzialnosci finansowej za certyfikaty wystawione w ramach niniejszego Kodeksu Postepowania Certyfikacyjnego.

2.3.1. Odszkodowanie dla strony ufajacej

Bez klauzuli.

2.3.2. Relacje powiernicze

Bez klauzuli.

2.3.3. Procesy administracyjne

Bez klauzuli.

2.4. Interpretacja i egzekwowanie aktów prawnych

2.4.1. Prawo nadrzedne

W rozumieniu prawa polskiego, tj. ustawy o podpisie elektronicznym, Dziennik Ustaw 130 z dnia 15.11.2001r., Centrum Certyfikacji UM Choszczno nie jest kwalifikowanym podmiotem swiadczacym uslugi certyfikacyjne.

2.4.2. Rozlacznosc postanowien, przetrwanie postanowien, polaczenie sie postanowien, powiadomienia

Bez klauzuli.

2.4.3. Procedury rozstrzygania sporów

Bez klauzuli.

2.5. Oplaty

2.5.1. Oplaty za wydanie i odnowienie certyfikatu

Bez klauzuli.

2.5.2. Oplaty za udostepnienie certyfikatu

Bez klauzuli.

2.5.3. Oplaty za uniewaznienie i informacje o statusie certyfikatu

Bez klauzuli.

2.5.4. Oplaty za inne uslugi takie jak informacje o polityce

Bez klauzuli.

2.5.5. Polityka refundacji

Bez klauzuli.

2.6. Publikacja i repozytorium

2.6.1. Publikacja informacji o urzedzie certyfikacyjnym

Nastepujace informacje dotyczace urzedu certyfikacyjnego musza byc dostepne publicznie:

. polityka certyfikacji oraz kodeks postepowania certyfikacyjnego;
. wszystkie wystawione certyfikaty urzedów certyfikacyjnych;
. certyfikaty tych subskrybentów, którzy zezwolili na publikacje certyfikatu;
. lista odwolanych certyfikatów podpisana przez urzad certyfikacyjny.

2.6.2. Czestotliwosc publikacji

Jezeli ulega modyfikacji polityka certyfikacji lub niniejszy kodeks postepowania certyfikacyjnego, to aktualna wersja tych dokumentów powinna zostac opublikowana równoczesnie z terminem ich wejscia w zycie. Certyfikaty powinny byc publikowane natychmiast po ich wystawieniu i odeslaniu do subskrybenta.

2.6.3. Kontrola dostepu

Nie przewiduje sie zadnych niestandardowych metod ochrony dostepu do polityki certyfikacji, kodeksu postepowania certyfikacyjnego oraz list odwolanych certyfikatów. W przypadku ataków sieciowych na repozytorium urzad certyfikacyjny zastrzega sobie prawo do ograniczenia dostepu do repozytorium tylko dla uzytkowników poswiadczonych przez Centrum Certyfikacji UM Choszczno (poprzez mechanizm SSL z uwierzytelnianiem klienta).

2.6.4. Repozytoria

Informacja wymieniona powyzej jest utrzymywana i udostepniana za pomoca serwisu http:

. Certyfikaty kluczy publicznych.
. Lista odwolanych certyfikatów.
. Polityka certyfikacji.
. Kodeks postepowania certyfikacyjnego.

2.7. Audyt zgodnosci

Nie przewiduje sie zadnych zewnetrznych kontroli uslugi i zgodnosci funkcjonowania z polityka certyfikacji i niniejszym kodeksem. Wszelka odpowiedzialnosc ponosi instytucja swiadczaca uslugi certyfikacji.

2.7.1. Czestotliwosc audytu

Bez klauzuli.

2.7.2. Tozsamosc/kwalifikacje audytora

Bez klauzuli.

2.7.3. Zwiazek audytora z audytowana jednostka

Bez klauzuli.

2.1 A. Zagadnienia obejmowane przez audyt

Bez klauzuli.

2.7.5. Dzialania podejmowane w celu usuniecia usterek wykrytych podczas audytu

Bez klauzuli.

2.7.6. Informowanie o wynikach audytu

Bez klauzuli.

2.8. Poufnosc

Urzedy certyfikacyjne nie maja prawa przechowywania kluczy prywatnych subskrybentów. Jezeli urzad generuje pare kluczy dla subskrybenta, to klucz prywatny jest usuwany z wszystkich nosników natychmiast po jego przekazaniu subskrybentowi. Urzedy certyfikacyjne zawsze same generuja pare kluczy i przekazuja urzedowi nadrzednemu zlecenie certyfikacji.

2.8.1. Typy informacji traktowane jako poufne

Wszystkie dane subskrybentów, które nie sa zawarte w certyfikacie i liscie odwolanych certyfikatów wystawionej przez odpowiedni urzad certyfikacyjny sa traktowane jako poufne i nie moga byc udostepniane bez wyraznego upowaznienia subskrybenta.

2.8.2. Typy informacji nie traktowane jako poufne

Informacje zawarte w certyfikatach klucza publicznego i liscie odwolanych certyfikatów wystawionej przez odpowiedni urzad certyfikacyjny nie sa traktowane jako poufne.

2.8.3. Ujawnienie informacji o odwolaniu/zawieszeniu certyfikatu

Kiedy certyfikat jest odwolany/zawieszony kod przyczyny odwolania/zawieszenia MOZE byc zawarty we wpisie listy odwolanych certyfikatów. Jednak zadne inne szczególy dotyczace odwolania nie sa ujawnione.

2.8.4. Udostepnianie informacji organom administracyjnym i sadowym

Odpowiedni urzad certyfikacyjny nie ujawnia informacji o certyfikacie zadnej osobie trzeciej, z wyjatkiem przypadku wymagania przez organy administracyjne lub sadowe za okazaniem odpowiedniego nakazu.

2.8.5. Udostepnianie w celach naukowych

Bez klauzuli.

2.8.6. Udostepnianie na zadanie wlasciciela

Urzad certyfikacyjny nie ujawnia informacji o certyfikacie zadnej osobie trzeciej, z wyjatkiem przypadku wymagania przez wlasciciela z pisemnym wnioskiem.

2.8.7. Inne okolicznosci udostepniania informacji

Bez klauzuli.

2.9. Prawo do wlasnosci intelektualnej

Urzad certyfikacyjny nie moze roscic sobie jakichkolwiek praw wlasnosci intelektualnej do wydanych certyfikatów.

3. IDENTYFIKACJA I UWIERZYTELNIANIE

3.1. Rejestracja wstepna

3.1.1. Typy nazw

Ceryfikaty urzedu certyfikacyjnego oraz rejestracyjnego musza miec niepuste pole zawierajace nazwe podmiotu (subject), dla którego zostaje poswiadczony klucz publiczny. Pole podmiotu musi zawierac wyrózniona nazwa zgodna ze standardem X.5OO. Urzad certyfikacyjny musi równiez stosowac w nazwie alternatywnej podmiotu dodatkowe dane identyfikacyjne: adres e-mail oraz adres typu URL, wskazujacy strona WWW urzedu.

3.1.2. Koniecznosc nazw znaczacych

Nazwa wyrózniona musi w sposób jednoznaczny identyfikowac certyfikowany urzad. Zgodnie z polityka Centrum Certyfikacji UM Choszczno ([1]) nazwa ta musi byc znaczaca, tzn. musi pozwalac zidentyfikowac jednostka w odpowiedniej instytucji.

3.1.3. Zasady interpretacji róznych form nazw

Zawsze, gdy urzad zlecajacy certyfikacje swego klucza zada umieszczenia nazwy wyróznionej skojarzonej z konkretna instytucja, odpowiedni urzad certyfikacyjny lub rejestracyjny musi otrzymac poswiadczenie, ze dana instytucja wie o tym fakcie.

3.1.4. Unikatowosc nazw

Nazwy musza byc unikatowe w drzewie danych katalogowych (X.500/LDAP). Nazwa wyrózniona musi byc unikatowa dla kazdej jednostki podmiotu certyfikowanego przez Centrum Certyfikacji UM Choszczno.

3.1.5. Procedura rozwiazywania sporów wynikajacych z reklamacji nazw

Urzad certyfikacyjny ma decydujacy glos w spornych sprawach dotyczacych nazwy wyróznionej subskrybenta.

3.1.6. Rozpoznawanie, uwierzytelnianie i rola znaków towarowych

Bez klauzuli.

3.1.7. Metody dowodu posiadania klucza prywatnego

Uzytkownik koncowy zglasza sie do urzedu certyfikacyjnego w celu wystawienia mu pary kluczy oraz scertyfikowania klucza publicznego.

3.1.8. Uwierzytelnianie danych instytucji

Certyfikacja odbywa sie na podstawie umowy podpisanej przez dwie strony: urzad zlecajacy certyfikacje swego klucza publicznego oraz jego urzad nadrzedny. Urzad rejestrujacy weryfikuje tozsamosc zleceniodawcy oraz potwierdza jego uprawnienia do wystepowania w roli okreslonego urzedu certyfikacyjnego. Weryfikacja tozsamosci nastepuje za pomoca takich danych identyfikujacych jak dowód osobisty, paszport, czy inny dokument nalezacy do osoby oficjalnie reprezentujacej dana instytucje. Potwierdzenie uprawnien do wystepowania w roli okreslonego urzedu jest realizowane na podstawie dostarczonej umowy bedacej forma uprawomocnienia funkcjonowania w okreslonym srodowisku. W uzasadnionych sytuacjach moga zostac podjete dodatkowe dzialania zmierzajace do potwierdzenia wiarygodnosci certyfikowanego urzedu.

3.1.9. Uwierzytelnianie tozsamosci uzytkownika

Tozsamosc osoby ubiegajacej sie o certyfikacje klucza publicznego jest weryfikowana na podstawie dowodu tozsamosci (dowód osobisty, paszport, prawo jazdy).

3.2. Odnowienie certyfikatu

Ponowne wystawienie certyfikatu jest mozliwe wylacznie na zlecenie, gdy dobiega konca termin waznosci poprzedniego certyfikatu zwiazanego z okreslonym kluczem publicznym. Czynnosc ponownej certyfikacji nie moze zostac zrealizowana, gdy poprzedni certyfikat zostal odwolany lub ulegl juz przedawnieniu. Urzad certyfikacyjny lub uzytkownik koncowy ubiegajacy sie o ponowna certyfikacje musi wyslac przed wygasnieciem poprzedniego certyfikatu do swojego urzedu nadrzednego zlecenie certyfikacji (w formacie PKCS#10, zakodowane zgodnie ze standardem PEM lub DER). W tej sytuacji nie sa podejmowane procedury zmierzajace do identyfikacji i uwiarygodnienia zlecenia. Ponowna certyfikacja jest mozliwa wylacznie w przypadku, gdy nie ulega zmianie wyrózniona nazwa podmiotu. Urzad certyfikacyjny ma prawo odmówic ponownej certyfikacji zlecajacemu urzedowi lub uzytkownikowi koncowemu.

3.3. Odnowienie po uniewaznieniu

Nie jest mozliwe wystawienie certyfikatu na podstawie klucza publicznego, którego poprzedni certyfikat urzad certyfikacyjny odwolal. Subskrybent musi ubiegac sie o certyfikat za pomoca typowych procedur.

3.4. Zadanie uniewaznienia certyfikatu

Urzad certyfikacyjny musi zidentyfikowac osoba przekazujaca zlecenie odwolania certyfikatu. Jedna z metod uwierzytelnienia jest poswiadczenie przekazywanego komunikatu wlasnym podpisem (do którego uzyto aktualnego i nie odwolanego certyfikatu). Do sprawdzenia wiarygodnosci zlecenia nalezy stosowac takie same procedury, jakie obowiazuja w procesie rejestrowania subskrybenta. Dopuszcza sie wprowadzenie w tym celu specjalnych metod gwarantujacych bezpieczna komunikacja; metody takie musza zostac zdefiniowane w kodeksie postepowania certyfikacyjnego urzedu, w którym obowiazuja.

4. WYMAGANIA FUNKCJONALNE

4.1. Ubieganie sie o certyfikat

Subskrybent musi zapoznac sie i zaakceptowac Polityke Certyfikacji oraz Kodeks Postepowania Certyfikacyjnego i potwierdzic to podpisanym oswiadczeniem.

Tozsamosc subskrybenta weryfikuje Centrum Certyfikacji UM Choszczno na podstawie dwustronnej umowy między subskrybentem a urzędem certyfikacji oraz bezpośrednim potwierdzeniem tożsamości podmiotu. Subskrybenci podrzędnych centrów certyfikacji mogą ubiegać się o certyfikaty tylko w centrach rejestracji funkcjonujących przy podrzędnych centrach certyfikacji.

Urzad certyfikacyjny ubiegajacy sie o poswiadczenie klucza publicznego sam generuje pare kluczy o rozmiarze minimum 1024 oraz sam dba o bezpieczne przechowywanie klucza prywatnego, który musi byc chroniony za pomoca szyfrowania (np. szyfrowanie oparte na hasle). Do generowania kluczy oraz przechowywania klucza prywatnego moga byc uzywane techniki sprzetowe lub programowe.

Uzytkownik koncowy moze przekazac zlecenie certyfikacji urzedowi, który ma poswiadczyc jego klucz publiczny. Zlecenie certyfikacji jest przygotowywane po samodzielnym wygenerowaniu pary kluczy lub moze zlecic urzedowi certyfikacyjnemu generacje pary kluczy i nastepnie certyfikacje klucza publicznego.

4.2. Wydanie certyfikatu

Urzad certyfikacyjny wystawia certyfikat zgodnie z polityka zdefiniowana w dokumencie [1]. Termin waznosci certyfikatu jest ustalany w umowie, ale nie moze przekraczac okresu waznosci certyfikatów zdefiniowanego w niniejszym kodeksie obowiazujacym dla Centrum Certyfikacji UM Choszczno.

W uzasadnionych przypadkach urzad certyfikacyjny ma prawo odmowy realizacji zlecenia certyfikacji.

Cetryfikaty wystawiane przez urzedy certyfikacyjny dzialajace na podstawie niniejszego kodeksu sa certyfikatami zgodnymi ze standardem X.509v3.

Gotowy certyfikat jest dostarczany zleceniodawcy za pomoca poczty elektronicznej lub dowolnego zewnetrznego nosnika danych (dyskietka, CD-ROM), zgodnie z wymaganiami okreslonymi w umowie. Urzad odbierajacy certyfikatu otrzymuje równiez pelny lancuch certyfikatów, czyli zestaw wszystkich certyfikatów umozliwiajacych weryfikacja (lista w formacie PKCS#7 zakodowana do postaci PEM lub DER).

Urzedy certyfikacyjne maja prawo publikacji kazdego wystawionego certyfikatu za pomoca bazy katalogowej LDAP lub zasobów HTTP, o ile urzad zlecajacy certyfikacja swojego klucza lub uzytkownik koncowy nie zabroni takiego dzialania w umowie.

4.3. Akceptacja certyfikatu

Bez klauzuli.

4.4. Zawieszenie i uniewaznienie certyfikatu

4.4.1. Okolicznosci uniewaznienia certyfikatu

Urzad certyfikacyjny moze odwolac certyfikat w nastepujacych przypadkach:

. ulegly zmianie dane dotyczace subskrybenta;
. zostala naruszona wiarygodnosc klucza prywatnego subskrybenta lub istnieje takie podejrzenie;
. istnieje podejrzenie, ze dane zawarte w certyfikacie nie sa prawdziwe;
. wiadomo, ze subskrybent naruszyl swoje zobowiazania.

4.4.2. Kto moze zadac uniewaznienia certyfikatu

Z wnioskiem o odwolanie certyfikatu moze wystapic jego wlasciciel, jednostka dostarczajaca dowód naruszenia wiarygodnosci klucza, urzad rejestracyjny lub urzad certyfikacyjny.

4.4.3. Procedura uniewazniania certyfikatu

Jednostka zadajaca odwolania musi zostac uwierzytelniona przez urzad certyfikacyjny. Zgodnie z dokumentem [1] urzad certyfikacyjny akceptuje zlecenie odwolania certyfikatu, które jest podpisane cyfrowo za pomoca poprawnego certyfikatu (tzn. takiego, który nie jest odwolany ani przedawniony). Alternatywna metoda jest dostarczenie dowodu naruszenia wiarygodnosci klucza podczas osobistej wizyty w urzedzie certyfikacyjnym, pelnacym funkcje urzedu rejestracyjnego.

Urzad certyfikacyjny ma prawo w uzasadnionych przypadkach sam podjac decyzja o odwolaniu certyfikatu.

4.4.4. Okres realizacji zlecenia uniewaznienia certyfikatu

Zlecenie odwolania certyfikatu musi zostac zrealizowane w ciagu 24 godzin od jego przyjecia przed odpowiedni urzad.

4.4.5. Okolicznosci zawieszania certyfikatu

Urzad certyfikacyjny moze na zyczenie swojego subskrybenta czasowo zawiesic jego certyfikat. Zawieszony certyfikat moze zostac wznowiony w dowolnym czasie. Specjalne repozytoria utrzymywane przez urzad certyfikacyjny gromadza informacje o zawieszonych certyfikatach.

4.4.6. Kto moze zadac zawieszenia certyfikatu

Zawieszenia certyfikatu moze zazadac jego posiadacz.

4.4.7. Procedura zawieszania certyfikatu

Wnioskodawca zawieszenia certyfikatu musi stawic sie w urzedzie certyfikacyjnym badz rejestracyjnym i okazac swój dokument tozsamosci.

4.4.8. Ograniczenia okresu zawieszenia certyfikatu

Bez klauzuli.

4.4.9. Czestotliwosc publikowania list uniewaznionych certyfikatów (CRL)

Urzad certyfikacyjny co najmniej raz w miesiacu publikuje liste uniewaznionych certyfikatów. Lista taka jest aktualizowana za kazdym razem, gdy ulega odwolaniu certyfikat wystawiony przez ten urzad. Lista odwolanych certyfikatów jest podpisywana cyfrowo przez wystawiajacy ja urzad certyfikacyjny. Kazdy certyfikat wystawiany urzad certyfikacyjny dzialajacy zgodnie z niniejszym kodeksem zawiera rozszerzenie CRL Distribution Points zawierajace adresy typu URL, pod którymi sa dostepne listy uniewaznionych certyfikatów.

4.4.10. Wymagania dotyczace sprawdzania list uniewaznionych certyfikatów

Strona ufajaca musi sprawdzic waznosc certyfikatu w oparciu o aktualna liste uniewaznionych certyfikatów opublikowana przez odpowiedni urzad certyfikacyjny.

4.4.11. Dostepnosc sprawdzania uniewaznienia/statusu on-line

Centrum Certyfikacji UM Choszczno nie udostepnia sprawdzania uniewaznienia/statusu on-line.

4.4.12. Wymagania dotyczace sprawdzania uniewaznienia on-line

Bez klauzuli.

4.4.13. Inne dostepne formy oglaszania uniewaznien

Bez klauzuli.

4.4.14. Wymagania dotyczace sprawdzania dla innych form oglaszania uniewaznien

Bez klauzuli.

4.4.15. Wymagania specjalne dotyczace kompromitacji klucza

Bez klauzuli.

4.5. Procedury audytu bezpieczenstwa

4.5.1. Typy rejestrowanych zdarzen

Bez klauzuli.

4.5.2. Czestotliwosc przetwarzania zapisów

Bez klauzuli.

4.5.3. Okres przechowywania zapisów dla audytu

Bez klauzuli.

4.5.4. Ochrona zapisów dla audytu

Bez klauzuli.

4.5.5. Procedury tworzenia kopii zapisów dla audytu

Bez klauzuli.

4.5.6. System odbioru audytu

Bez klauzuli.

4.5.7. Powiadamianie podmiotów powodujacych zdarzenia

Bez klauzuli.

4.5.8. Oszacowanie podatnosci na zagrozenia

Bez klauzuli.

4.6. Archiwizacja danych

Wszystkie wystawione certyfikaty oraz listy odwolanych certyfikatów sa przechowywane w lokalnej bazie danych urzedu certyfikacyjnego. To samo dotyczy wszystkich zlecen certyfikacji, dla których wystawiono certyfikaty, komunikatów urzedów rejestracyjnych zwiazanych z certyfikacja oraz wszystkich podpisanych umów miedzy urzedami.

4.6.1. Rodzaje archiwizowanych danych

Urzad rejestracyjny musi archiwizowac wszystkie informacji otrzymane od subskrybenta w procesie rejestracji oraz wszystkie komunikaty wymieniane z urzedem certyfikacji dotyczace subskrybentów.

4.6.2. Okres przechowywania archiwum

Minimalny okres archiwizacji wynosi piec lat.

4.6.3. Ochrona archiwum

Bez klauzuli.

4.6.4. Procedury tworzenia kopii archiwum

Bez klauzuli.

4.6.5. Wymagania dotyczace znakowania danych znacznikiem czasu

Bez klauzuli.

4.6.6. System zbierania archiwów

Bez klauzuli.

4.6.7. Procedury dostepu i weryfikacji zarchiwizowanych informacji

Bez klauzuli.

4.7. Zmiana kluczy

Bez klauzuli.

4.8. Odtworzenie po kompromitacji i katastrofie

Jezeli stwierdzono lub podejrzewa sie, ze naruszono wiarygodnosc klucza prywatnego urzedu certyfikacyjnego, to urzad korzystajacy z tego klucza ma obowiazek:

. poinformowac swoich subskrybentów, posrednie urzedy certyfikacyjne oraz strony korzystajace z certyfikatów;
. zaprzestac korzystania z niewiarygodnego klucza prywatnego podczas swiadczenie uslugi certyfikacji oraz wystawiania list odwolanych certyfikatów;
. zazadac odwolania certyfikatu w nadrzednym urzedzie certyfikacyjnym.Jesli stwierdzono naruszenie wiarygodnosci klucza prywatnego urzedu rejestracyjnego lub istnieje podejrzenie naruszenia jego wiarygodnosci, to urzad rejestracyjny musi:
. poinformowac wszystkie zainteresowane strony;
. zazadac odwolania certyfikatu w nadrzednym urzedzie certyfikacyjnym.

4.8.1. Uszkodzenie zasobów obliczeniowych, oprogramowania i/lub danych

Bez klauzuli.

4.8.2. Uniewaznienie klucza publicznego

Bez klauzuli.

4.8.3. Kompromitacja klucza

Bez klauzuli.

4.8.4. Zabezpieczenie srodków po katastrofie naturalnej badz innego typu

Bez klauzuli.

4.9. Zakonczenie dzialalnosci urzedu certyfikacyjnego

Jesli urzad certyfikacyjny decyduje sie zakonczyc swiadczenie uslug certyfikacji, to powinien poinformowac o tym wszystkie zainteresowane strony i zakonczyc dystrybucje certyfikatów i list odwolanych certyfikatów. Wszystkie wystawione certyfikaty oraz certyfikaty urzedu konczacego dzialalnosc musza zostac odwolane.

Urzad certyfikacyjny, którego certyfikat zostal odwolany przez Centrum Certyfikacji UM Choszczno powinien:

. poinformowac swoich subskrybentów oraz scertyfikowane posrednio urzedy certyfikacyjne;
. zakonczyc swiadczenie uslugi certyfikacji i wystawiania list odwolanych certyfikatów za pomoca wiarygodnego klucza prywatnego.

5. KONTROLA ZABEZPIECZEN FIZYCZNYCH, PROCEDURALNYCH ORAZ PERSONELU

5.1. Kontrola zabezpieczen fizycznych

Urzad certyfikacyjny musi uzywac dedykowanej stacji roboczej. Musi byc ona zabezpieczona fizycznie.

5.1.1. Lokalizacja i konstrukcja siedziby

Bez klauzuli.

5.1.2. Dostep fizyczny

Stacje robocze urzedów certyfikacyjnych musza byc umieszczone w pomieszczeniach zabezpieczonych fizycznie. Dostep do nich moga miec wylacznie osoby posiadajace zatwierdzone uprawnienia do wykonywania zadan operatora urzedu. To samo odnosi sie do zapasowych stacji roboczych oraz zdeponowanych nosników danych zwiazanych z procesem certyfikacji.

5.1.3. Zasilanie i klimatyzacja

Bez klauzuli.

5.1.4. Zagrozenie zalaniem

Bez klauzuli.

5.1.5. Ochrona przeciwpozarowa

Bez klauzuli.

5.1.6. Nosniki informacji

Bez klauzuli.

5.1.7. Niszczenie informacji

Bez klauzuli.

5.1.8. Kopia bezpieczenstwa poza siedziba

Bez klauzuli.

5.2. Kontrola zabezpieczen proceduralnych

5.2.1. Zaufane role

Operatorami urzedów certyfikacyjnych sa osoby posiadajace uprawnienia do wystawiania certyfikatów oraz list odwolanych certyfikatów. Osoby wystepujace jako urzad rejestracyjny musza zostac zatwierdzone jako jednostki realizujace proces uwierzytelnienia subskrybenta.

5.2.2. Liczba osób wymaganych do zadania

Kazdy urzad certyfikacyjny dysponuje zawsze jednym operatorem gotowym do wykonania biezacych zadan. Dwie do trzech osób sa uprawnione i przygotowane do wykonywania obowiazków operatora urzedu cetyfikacyjnego.

5.2.3. Identyfikacja i uwierzytelnianie ról

Bez klauzuli.

5.3. Kontrola personelu

5.3.1. Wymagania dotyczace pochodzenia, kwalifikacji, doswiadczenia i odprawy

Urzad certyfikacyjny ponosi odpowiedzialnosc za wlasciwe przygotowanie i kompetencje swoich operatorów, a takze gwarantuje operatorom dostep do wszystkich narzedzi potrzebnych w procesie certyfikacji. Urzad certyfikacyjny zapewnia poufnosc i bezpieczenstwo swoich urzedów rejestracyjnych.

21

5.3.2. Postepowanie sprawdzajace

Bez klauzuli.

5.3.3. Wymagania dotyczace szkolen

Bez klauzuli.

5.3.4. Czestotliwosc powtarzania szkolen i ich wymagania

Bez klauzuli.

5.3.5. Czestotliwosc rotacji stanowisk i ich kolejnosc

Bez klauzuli.

5.3.6. Sankcje z tytulu nieuprawnionych dzialan

Operatorzy urzedów certyfikacyjnych i rejestracyjnych, którzy naduzyli swoich uprawnien bezzwlocznie traca swoja funkcja.

5.3.7. Wymagania dotyczace personelu kontraktowego

Bez klauzuli.

5.3.8. Dokumentacja przekazana personelowi

Bez klauzuli.

6. ADMINISTROWANIE SPECYFIKACJA

6.1. Procedura zmiany specyfikacji

Dopuszcza sie realizacja zmian typu edytorskiego w niniejszym kodeksie. O aktualizacjach dotyczacych aspektów technicznych lub proceduralnych nalezy powiadamiac z uprzedzeniem. Podporzadkowane urzedy certyfikacyjne maja obowiazek dostosowania swojego kodeksu do biezacej wersji niniejszego dokumentu.

6.2. Polityki publikacji i powiadamiania

Niniejszy kodeks bedzie dostepny poprzez WWW.

6.3. Procedura zatwierdzania kodeksu postepowania certyfikacyjnego

Bez klauzuli.


Urząd Miejski w Choszcznie ul. Wolności 24, 73-200 Choszczno