Sertifikaciono telo Halcom a.d.
Beograd (HALCOM BG CA)
CPS (Certificate Practise Statement)
Opšta pravila rada sertifikacionog tela
CPName: Halcom BG CA
Dokument važi od: 01.10.2010.
Sadrţaj
1.1 Pregled osnovnih pretpostavki
1.1.1 Osnovni dokumenti rada HALCOM BG CA
1.1.2 MeĎusobni odnos osnovnih dokumenata rada HALCOM BG CA
1.1.3 Standardi
1.1.4 Posebna interna pravila rada
8
9
10
10
10
1.2 Naziv dokumenta i identifikacija
10
1.3 Učesnici u PKI sistemu HALCOM BG CA
1.3.1 HALCOM BG CA
1.3.2 Registraciona tela HALCOM BG CA
1.3.3 Korisnici
1.3.4 Treće strane
1.3.5 Drugi učesnici
11
12
14
15
17
18
1.4 Korišćenje kvalifikovanih elektronskih sertifikata
1.4.1 Prihvatljivo korišćenje kvalifikovanih elektronskih sertifikata
1.4.2 Nedopušteno korišćenje
19
19
20
1.5 Administracija Praktičnih pravila rada
1.5.1 Organizacija administriranja Praktičnih pravila rada
1.5.2 Kontakt osoba
1.5.3 Osoba koja odreĎuje pogodnost CPS dokumenta
1.5.4 Procedura odobravanja CPS dokumenta
20
20
21
21
21
1.6 Definicije i skraćenice
21
2. ODGOVORNOSTI ZA PUBLIKACIJE I REPOZITORIJUME
27
3. IDENTIFIKACIJA I AUTENTIKACIJA KORISNIKA
29
3.1 Nazivi
3.1.1 Tipovi imena
3.1.2 Potreba da imena budu sa realnim značenjem
3.1.3 Anonimni korisnici i korišćenje pseudonima
3.1.4 Pravila za interpretaciju različitih formi imena
3.1.5 Jedinstvenost imena
3.1.6 Prepoznavanje, autentikacija i uloga robnih marki („trademarks“)
29
29
30
30
30
30
30
3.2 provera identiteta
3.2.1 Autentikacija identiteta organizacije
3.2.3 Autentikacija identiteta pojedinca
3.2.4 Validacija autoriteta
3.2.5 MeĎusobno priznavanje
30
31
31
31
31
3.3 Identifikacija i autentikacija zahteva za obnavljanje kvalifikovanih elektronskih sertifikata
3.3.1 Identifikacija i autentikacija za rutinsko obnavljanje ključeva
3.3.2 Identifikacija i autentikacija za obnavljanje ključeva nakon opoziva
31
32
32
3.4 Identifikacija i autentikacija zahteva za opoziv kvalifikovanih elektronskih sertifikata
32
4. OPERATIVNI ZAHTEVI U VEZI ŽIVOTNOG CIKLUSA KVALIFIKOVANIH
2
ELEKTRONSKIH SERTIFIKATA
33
4.1 zahtev za dobijanje kvalifikovanog elektronskog sertifikata
4.1.1 Ko može da dostavi zahtev za izdavanje kvalifikovanog elektronskog sertifikata?
4.1.2 Proces dostavljanja zahteva za izdavanjem kvalifikovanog elektronskog sertifikata (enrollment) i
odgovornosti
33
33
4.2 Procesiranje ZAHTEVA za dobijanje kvalifikovanih elektronskih sertifikata
4.2.1 Izvršavanje funkcije identifikacije i autentikacije korisnika
4.2.2 PotvrĎivanje ili odbijanje zahteva za dobijanje kvalifikovanog certifikata korisnika
4.2.3 Potrebno vreme za procesiranje aplikacije korisnika
34
34
34
34
4.3 Izdavanje kvalifikovanih elektronskih sertifikata
4.3.1 Aktivnosti CA tokom procesa izdavanja kvalifikovanih elektronskih sertifikata
35
35
4.4 Prihvatanje kvalifikovanih elektronskih sertifikata
4.4.1 SprovoĎenje procesa prihvatanja kvalifikovanih elektronskih sertifikata
4.4.2 Objavljivanje kvalifikovanih elektronskih sertifikata od strane CA
4.4.3 Obaveštenje drugih entiteta o izdatom sertifikatu
35
35
36
36
4.5 Korišćenje kvalifikovanog elektronskog sertifikata i asimetričnog para ključa
4.5.1 Korišćenje privatnog ključa i kvalifikovanog elektronskog sertifikata od strane korisnika
4.5.2 Korišćenje javnog ključa i kvalifikovanih elektronskih sertifikata od strane trećih strana
36
36
37
4.6 Obnavljanje kvalifikovanih elektronskih sertifikata
4.6.1 Uslovi za obnavljanje kvalifikovanih elektronskih sertifikata
4.6.2 Ko može zahtevati obnavljanje kvalifikovanog elektronskog sertifikata
4.6.3 Procesiranje zahteva za obnavljanjem kvalifikovanih elektronskih sertifikata
4.6.4 Obaveštenje korisnika da mu je izdat obnovljeni kvalifikovani elektronski sertifikat
4.6.5 SprovoĎenje procesa preuzimanja obnovljenog kvalifikovanog elektronskog sertifikata
4.6.6 Objavljivanje obnovljenog kvalifikovanog elektronskog sertifikata od strane CA
4.6.7 Obaveštenje drugih entiteta od strane CA o obnovi datog kvalifikovanog elektronskog sertifikata
37
37
37
37
37
38
38
38
4.7 Generisanje novog para ključeva i kvalifikovanog elektronskog sertifikata korisnika
4.7.1 Uslovi za generisanje novog para ključeva i kvalifikovanog elektronskog sertifikata
4.7.2 Ko može zahtevati novi kvalifikovani elektronski sertifikat sa novim javnim ključem
4.7.3 Procesiranje zahteva za novim parom ključeva i sertifikatom
4.7.4 Obaveštenje korisnika da mu je izdat novi kvalifikovani elektronski sertifikat
4.7.5 SprovoĎenje procesa prihvatanja novog kvalifikovanog elektronskog sertifikata
4.7.6 Objavljivanje novog kvalifikovanog elektronskog sertifikata od strane CA
4.7.7 Obaveštenje drugih entiteta od strane CA o izdavanju novog kvalifikovanog elektronskog sertifikata
38
38
38
38
38
39
39
39
33
4.8 Modifikacije kvalifikovanih elektronskih sertifikata korisnika
39
4.8.1 Uslovi za modifikaciju kvalifikovanih elektronskih sertifikata korisnika
39
4.8.2 Ko može zahtevati modifikaciju kvalifikovanih elektronskih sertifikata
39
4.8.3 Procesiranje zahteva za modifikacijom kvalifikovanih elektronskih sertifikata
39
4.8.4 Obaveštenje korisnika da mu je izdat novi modifikovani kvalifikovani elektronski sertifikat
39
4.8.5 SprovoĎenje procesa prihvatanja novog modifikovanog kvalifikovanih elektronskih sertifikata
39
4.8.6 Objavljivanje novog modifikovanog kvalifikovanih elektronskih sertifikata od strane CA
39
4.8.7 Obaveštenje drugih entiteta od strane CA o izdavanju novog modifikovanog kvalifikovanih elektronskih
sertifikata
39
4.9 Opoziv i suspenzija kvalifikovanih elektronskih sertifikata
4.9.1 Uslovi za povlačenje kvalifikovanih elektronskih sertifikata
4.9.2 Ko može zahtevati opoziv kvalifikovanih elektronskih sertifikata
4.9.3 Procedura podnošenja zahteva za opozivom kvalifikovanih elektronskih sertifikata
4.9.4 Grace period zahteva za opozivom kvalifikovanih elektronskih sertifikata
4.9.5 Vreme za koje CA mora da procesira zahtev za opoziv kvalifikovanih elektronskih sertifikata
4.9.6 Zahtevi za treće strane u vezi provere statusa kvalifikovanih elektronskih sertifikata
4.9.7 Frekvencija izdavanja registra opozvanih sertifikata (CRL)
40
40
40
40
41
41
41
41
3
4.9.8 Maksimalno kašnjenje u izdavanju registra opozvanih sertifikata (CRL)
4.9.9 Raspoloživost procedure online provere statusa kvalifikovanih elektronskih sertifikata
4.9.10 Zahtevi online provere statusa kvalifikovanih elektronskih sertifikata
4.9.11 Raspoloživost drugih formi objavljivanja statusa kvalifikovanih elektronskih sertifikata
4.9.12 Specijalni zahtevi u odnosu na kompromitaciju privatnog ključa
4.9.13 Uslovi za suspenziju kvalifikovanih elektronskih sertifikata
4.9.14 Ko može zahtevati suspenziju kvalifikovanih elektronskih sertifikata
4.9.15 Procedura zahteva za suspenzijom kvalifikovanih elektronskih sertifikata
4.9.16 Ograničenje perioda suspenzije kvalifikovanih elektronskih sertifikata
41
42
42
42
42
42
42
42
42
4.10 Servisi provere statusa kvalifikovanih elektronskih sertifikata
4.10.1 Operativne karakteristike
4.10.2 Raspoloživost servisa
4.10.3 Opciona obeležja
42
42
43
43
4.11 Prestanak korišćenja kvalifikovanih elektronskih sertifikata
43
4.12 Čuvanje i rekonstrukcija privatnog ključa korisnika
4.12.1 Politika i praksa čuvanja i rekonstrukcije privatnog ključa
4.12.2 Enkapsulacija sesijskog ključa i politika i praksa za rekonstrukciju
43
43
43
5. UPRAVNE, OPERATIVNE I FIZIČKE BEZBEDNOSNE KONTROLE
44
5.1 Fizičke bezbednosne kontrole
5.1.1 Lokacija i zgrada sertifikacionog tela
5.1.2 Fizički pristup
5.1.3 Električno napajanje i klimatizacija
5.1.4 Izloženost poplavama i vremenskim nepogodama
5.1.5 Prevencija i zaštita od požara
5.1.6 Medijumi za čuvanje podataka
5.1.7 Odlaganje smeća
5.1.8 Odlaganje rezervnih kopija
44
44
44
45
45
45
45
46
46
5.2 Proceduralne kontrole
5.2.1 Poverljive uloge
5.2.2 Broj osoba za pojedinačne zadatke
5.2.3 Identifikacija i autentikacija za svaku ulogu
5.2.4 Uloge koje zahtevaju razdvajanje dužnosti
46
46
47
49
49
5.3 Kadrovske bezbednosne kontrole
5.3.1 Kvalifikacija i iskustvo
5.3.2 Procedura provere biografije
5.3.3 Zahtevi za obučenošću
5.3.4 Učestanost i zahtevi ponovne obuke
5.3.5 Frekvencija i sekvenca rotacije poslova
5.3.6 Kaznene mere u odnosu na zaposlene za neautorizovane aktivnosti
5.3.7 Zahtevi za nezavisna lica pod ugovorom
5.3.8 Dokumentacija koja se dostavlja zaposlenima
49
49
50
50
50
50
50
50
50
5.4 Procedure logovanja aktivnosti za potrebe revizije
5.4.1 Tipovi zabeleženih dogaĎaja
5.4.2 Frekvencija procesiranja logova
5.4.3 Period čuvanja audit logova
5.4.4 Zaštita audit logova
5.4.5 Procedure back-up-a audit logova
5.4.6 Sistem sakupljanja audit logova
5.4.7 Obaveštenje subjekta koji je prouzrokovao dogaĎaj
5.4.8 Procena ranjivosti sistema
50
50
51
51
51
51
51
51
52
4
5.5 Arhiviranje zapisa
5.5.1 Tipovi arhiviranih zapisa
5.5.2 Period čuvanja arhive
5.5.3 Zaštita arhive
5.5.4 Procedura back-up-a arhive
5.5.5 Zahtevi za vremenskim pečatom zapisa
5.5.6 Sistem sakupljanja zapisa
5.5.7 Procedure za dobijanje i verifikaciju informacija iz arhive
52
52
52
52
53
53
53
53
5.6 Izmena ključeva
54
5.7 Kompromitacija i oporavak u slučaju katastrofe
5.7.1 Procedure za postupanje u incidentnim i kompromitujućim situacijama
5.7.2 Računarski resursi, softver ili podaci koji su oštećeni
5.7.3 Procedure koje se sprovode kod kompromitacije privatnog ključa korisnika
5.7.4 Mogućnosti kontinuiteta poslovanja nakon katastrofe
54
54
54
54
54
5.8 Završetak rada CA ili RA
54
6. TEHNIČKE BEZBEDNOSNE KONTROLE
56
6.1 Generisanje i instalacija asimetričnog para ključeva
6.1.1 Proces generisanja asimetričnog para ključeva HALCOM BG CA sertifikacionog tela
6.1.2 Isporuka privatnog ključa korisniku
6.1.3 Dostava javnog ključa do izdavaoca kvalifikovanih elektronskih sertifikata
6.1.4 Dostava javnog ključa izdavaoca kvalifikovanih elektronskih sertifikata trećim stranama
6.1.5 Dužine ključeva
6.1.6 Generisanje kriptografskih parametara i provera kvaliteta
6.1.7 Moguće „Key Usage" opcije
56
56
57
57
57
57
57
58
6.2 Zaštita privatnog ključa i tehničke kontrole kriptografskog modula
6.2.1 Standardi i kontrole kriptografskog hardverskog modula
6.2.2 Višestruka kontrola privatnog ključa (k od n procedura distribuirane odgovornosti)
6.2.3 Bezbedno čuvanje privatnog ključa
6.2.4 Backup ključeva HALCOM BG CA sertifikacionog tela
6.2.5 Arhiviranje privatnog ključa
6.2.6 Transfer privatnog ključa na hardverski kriptografski modul
6.2.7 Čuvanje privatnog ključa na hardverskom kriptografskom modulu
6.2.8 Metoda aktivacije privatnog ključa
6.2.9 Metoda deaktiviranja privatnog ključa
6.2.10 Metoda uništenja privatnog ključa
6.2.11 Rangiranje kriptografskih hardverskih modula
58
58
58
59
59
59
59
59
60
60
60
61
6.3 Neki drugi aspekti upravljanja parom ključeva
6.3.1 Arhiviranje javnog ključa
6.3.2 Periodi validnosti kvalifikovanog elektronskog sertifikata i privatnog ključa
61
61
61
6.4 Aktivacioni podaci
6.4.1 Generisanje i instalacija aktivacionih podataka
6.4.2 Zaštita aktivacionih podataka
6.4.3 Drugi aspekti u vezi aktivacionih podataka
61
61
62
62
6.5 Bezbednosne kontrole računara
6.5.1 Specifični zahtevi za bezbednost računara
6.5.2 Rangiranje bezbednosti računara
62
62
62
6.6 Životni ciklus tehničkih bezbednosnih kontrola
6.6.1 Kontrole sistemskog razvoja
6.6.2 Kontrole upravljanja bezbednošću
62
62
62
5
6.6.3 Životni ciklus bezbednosnih kontrola
63
6.7 Mrežne bezbednosne kontrole
63
6.8 Vremenski pečat
63
7. PROFILI KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA, CRL I OCSP 64
7.1 Profili kvalifikovanih elektronskih sertifikata
7.1.1 Broj verzije
7.1.2 Ekstenzije u sertifikatu
7.1.3 Objektni identifikatori algoritama
7.1.4 Forme imena
7.1.5 Ograničenja imena
7.1.6 Objektni identifikator CPS
7.1.7 Korišćenje „Policy Constraints“ ekstenzije
7.1.8 Sintaksa i semantika „Policy Qualifier“-sa
7.1.9 Semantika procesiranja kritične ekstenzije „Certificate Policies“
64
66
66
68
69
69
69
69
69
69
7.2 Profil registra opozvanih sertifikata (CRL)
7.2.1 Broj verzije
7.2.2 CRL i CRL entry ekstenzije
69
70
70
7.3 OCSP profil
7.3.1 Broj verzije
7.3.2 OCSP ekstenzije
71
71
71
8. PROVERA USKLAĐENOSTI I DRUGA OCENJIVANJA
72
8.1 Frekvencija ili uslovi ocenjivanja
72
8.2 Identitet/kvalifikacije procenjivača
72
8.3 Odnos ocenjivača prema ocenjivanom entitetu
72
8.4 Teme pokrivene u procesu ocenjivanja
72
8.5 Aktivnosti preduzete kao rezultat utvrĎenih nedostataka
73
8.6 Komunikacija rezultata
73
9. DRUGI POSLOVNI I PRAVNI ASPEKTI
74
9.1 Cene
9.1.1 Cene izdavanja ili obnove kvalifikovanih elektronskih sertifikata
9.1.2 Cena pristupa sertifikatima
9.1.3 Cena pristupa informacijama o statusu kvalifikovanih elektronskih sertifikata
9.1.4 Cene za druge servise
9.1.5 Politika povraćaja novca
74
74
74
74
74
74
9.2 Finansijska odgovornost
9.2.1 Pokrivenost osiguranjem
9.2.2 Druga dobra
9.2.3 Osiguranje ili garancijska pokrivenost za krajnje korisnike
74
74
74
75
9.3 Poverljivost poslovnih informacija
9.3.1 Opseg poverljivih informacija
75
75
6
9.3.2 Informacije koje nisu u opsegu poverljivih informacija
9.3.3 Odgovornost za zaštitu poverljivih informacija
75
75
9.4 Privatnost personalnih informacija
9.4.1 Plan privatnosti
9.4.2 Informacije koje se tretiraju kao privatne
9.4.3 Informacije koje se ne smatraju privatnim
9.4.4 Odgovornost za zaštitu privatnih informacija
9.4.5 Obaveštenje i saglasnost za korišćenje privatnih informacija
9.4.6 Otkrivanje informacija shodno pravnim i administrativnim procesima
9.4.7 Druge okolnosti za otkrivanje informacija
76
76
76
76
76
76
77
77
9.5 Prava intelektualnog vlasništva
77
9.6 Predstavljanja i garancije
9.6.1 CA predstavljanja i garancije
9.6.2 RA predstavljanja i garancije
9.6.3 Korisnička predstavljanja i garancije
9.6.4 Predstavljanja i garancije trećih strana
9.6.5 Predstavljanja i garancije drugih učesnika
77
78
78
78
78
78
9.7 Nepriznavanje garancija
78
9.8 Ograničenja odgovornosti
78
9.9 Odštete
79
9.10 Period važnosti i kraj validnosti ovih CPS
9.10.1 Važnost
9.10.2 Kraj validnosti
9.10.3 Efekat završetka i ponovnog rada
79
79
79
79
9.11 Pojedinačna obaveštenja i komunikacija sa učesnicima
80
9.12 Ispravke, modifikacije i dodaci u odnosu na ove CPS
9.12.1 Procedure za ispravku, modifikaciju ili dodatak
9.12.2 Mehanizam i period obaveštavanja
9.12.3 Uslovi promene objektnog identifikatora (OID)
80
80
80
80
9.13 Odredbe rešavanja sporova
80
9.14 Zakon koji se poštuje
80
9.15 Saglasnost sa primenljivim zakonima
81
9.16 Razne odredbe
9.16.1 Kompletan ugovor
9.16.2 Dodeljivanje
9.16.3 Ozbiljnost
9.16.4 SprovoĎenje pravnog postupka
9.16.5 Viša sila
81
81
81
81
81
81
9.17 Druge odredbe
81
7
1. UVOD
Ovaj dokument predstavlja praktična pravila rada (u nastavku: CPS – Certificate Practise
Statement) sertifikacionog tela HALCOM BG CA koje izdaje kvalifikovane elektronske
sertifikate (u daljem tekstu sertifikate) za potrebe sistema elektronskog bankarstva u
Srbiji.
Dokument se odnosi na izdavanje kvalifikovanih elektronskih sertifikata, definiše cilj,
delovanje i metodologiju upravljanja kvalifikovanim elektronskim sertifikatima, kao i
sigurnosne zahteve, koje moraju ispunjavati sertifikaciono telo HALCOM BG CA, kao i
vlasnici kvalifikovanog elektronskog kvalifikovanih elektronskih sertifikata i treća lica,
koja se pozivaju na te sertifikate, i odgovornost svih nabrojanih osoba.
HALCOM BG CA je sertifikaciono telo koje izdaje i upravlja kvalifikovanim elektronskim
sertifikatima za verifikaciju elektronskog potpisa. HALCOM BG CA sertifikaciono telo je
namenjeno izdavanju kvalifikovanih elektronskih sertifikata za fizička i pravna lica i
obavljanju tehnoloških usluga u vezi sa elektronskim potpisima.
Sve odredbe ovih CPS u odnosu na operativni rad sertifikacionog tela HALCOM BG CA
propisno su prenesene i podrobnije utvrĎene u odredbama internih pravila rada
sertifikacionog tela koja predstavljaju dokumente poverljive prirode i koji definišu
infrastrukturu, odredbe u vezi sa zaposlenim u HALCOM BG CA (nadležnosti, zadaci,
ovlašćenja i zahtevani uslovi pojedinih zaposlenih), fizičku zaštitu (pristup prostorijama,
upravljanje hardverskom i programskom opremom), programsku zaštitu (zaštitni softver,
zaštitne kopije, …) i interni nadzor (kontrola fizičkih pristupa, ovlašćenja, …).
Oblik i sadržaj ovog CPS dokumenta usklaĎen je sa meĎunarodnom preporukom RFC
3647 (»Internet X.509 Public Key Infrastructure Certificate Policy and Certification
Practices Framework«) i evropskim standardom ETSI TS 101 456 (»Policy requirements
for certification authorities issuing qualified certificates).
Sertifikaciono telo HALCOM BG CA izdaje kvalifikovane elektronske sertifikate tako što
formira elektronski potpis kvalifikovanih elektronskih sertifikata na osnovu svog privatnog
ključa i asimetričnog kriptografskog algoritma. U tako formiranom elektronskom
sertifikatu, HALCOM BG CA se identifikuje kao izdavalac kvalifikovanog elektronskog
kvalifikovanih elektronskih sertifikata u skladu sa Zakonom o elektronskom potpisu i
odgovarajućim podzakonskim aktima.
1.1 PREGLED OSNOVNIH PRETPOSTAVKI
Ova praktična pravila ureĎuju namenu, delovanje i metodologiju upravljanja
kvalifikovanim elektronskim sertifikatima, kao i zahteve bezbednosti koje moraju da
ispunjavaju sertifikaciono telo HALCOM BG CA, vlasnici kvalifikovanih elektronskih
sertifikata, treća lica i operateri koji se uzdaju u te sertifikate, te odgovornost svih
pomenutih lica.
HALCOM BG CA je sertifikaciono telo koje izdaje i upravlja kvalifikovanim elektronskim
sertifikatima za verifikaciju elektronskog potpisa. HALCOM BG CA deluje i kao glavno
sertifikaciono telo (root CA) koje zajedno sa svojim podreĎenim sertifikacionim telima
predstavlja hijerarhijsku mrežu sertifikacionih tela koja je namenjena izdavanju
kvalifikovanog elektronskog kvalifikovanih elektronskih sertifikata i vršenju tehnoloških
usluga vezanih za bezbedne elektronske potpise.
HALCOM BG CA izdaje dva kvalifikovanih elektronskih sertifikata (dva para asimetričnih
8
ključeva) sa obaveznim korišćenjem bezbednosnog nosioca (smart kartice) za pravna i
fizička lica za potrebe bezbednog elektronskog bankarstva u Srbiji putem servisnog
centra Halcom a.d. Beograd. Pogledati glavu 1.3.3.
HALCOM BG CA sertifikaciono telo, izdaje sertifikate i vrši ostale delatnosti sertifikacionih
tela u skladu sa: važećom pravnom regulativom Republike Srbije, nacionalnim propisima
sa područja elektronskog poslovanja i elektronskog potpisa, dokumentima ETSI ESI TS
101 862 „Qualified Certificate Profile”,
RFC 3739 „Internet X.509 Public Key
Infrastructure: Qualified Certificates Profile“, RFC 5280 „Internet X.509 Public Key
Infrastructure Certificate and Certificate Revocation List (CRL) Profile”, ISO 27001 i ETSI
TS 102 280 „X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons" i sa
obaveznim sadržajem definisanim u članu 17. Zakona o elektronskom potpisu.
Listu registracionih tela i operatera (RA – Registration Authority) koji omogućuju
podnošenje zahteva za dobijanje kvalifikovanih kvalifikovanih elektronskih sertifikata za
pravna lica i fizička lica od HALCOM BG CA, HALCOM BG CA objavljuje na svojoj web
stranici.
Sertifikaciono telo HALCOM BG CA je odgovorno za pružanje kompletnih usluga
sertifikacije, koje uključuju sledeće servise, i to:

Registraciju korisnika,

Formiranje kvalifikovanih elektronskih sertifikata,

Distribuciju kvalifikovanih elektronskih sertifikata,

Upravljanje procedurom opoziva kvalifikovanih elektronskih sertifikata i

ObezbeĎivanje statusa opoziva kvalifikovanih elektronskih sertifikata.
Sertifikaciono telo HALCOM BG CA, pored navedenih servisa, obezbeĎuje i formiranje
asimetričnog para ključeva za korisnike, kao i distribuciju privatnog ključa i
kvalifikovanog elektronskog sertifikata korisniku na bezbedan način.
Sertifikaciono telo HALCOM BG CA obezbeĎuje i sredstvo za formiranje elektronskog
potpisa korisnicima i pridruženu lozinku (ili PIN kod) za aktivaciju sredstva, kao i njihovu
bezbednu distribuciju do korisnika.
1.1.1 OSNOVNI DOKUMENTI RADA HALCOM BG CA
HALCOM BG CA utvrĎuje Opšta pravila pružanja usluge sertifikacije (u daljem tekstu:
Opšta pravila) u skladu sa Zakonom o elektronskom potpisu koja korisnicima obezbeĎuju
dovoljno informacija na osnovu kojih se mogu odlučiti o prihvatanju usluga i o obimu
usluga.
Opšta pravila sertifikacije HALCOM BG CA ugraĎuju se u dokumenta:
1. Politika sertifikacije (Certificate Policy) za Pravna lica;
2. Politika sertifikacije (Certificate Policy) za Fizička lica;
3. Praktična pravila pružanja usluge Sertifikacije (Certification Practices
Statement) (u daljem tekstu: Praktična pravila ili CPS) – ovaj dokument.
Politika sertifikacije i Praktična pravila su javni dokumenti. Politika sertifikacije definiše
predmet rada sertifikacionog tela, dok Praktična pravila definišu procese i način njihovog
korišćenja pri formiranju i upravljanju kvalifikovanim elektronskim sertifikatima.
9
1.1.2 MEĐUSOBNI ODNOS OSNOVNIH DOKUMENATA RADA HALCOM BG CA
Politika sertifikacije definiše zahteve poslovanja sertifikacionog tela, dok Praktična pravila
definišu operativne procedure u cilju ispunjenja tih zahteva. Praktična pravila definišu
način na koji sertifikaciono telo ispunjava tehničke, organizacione i proceduralne zahteve
poslovanja koji su identifikovani u Politici sertifikacije.
Politika sertifikacije je manje specifičan i detaljan dokument u odnosu na Praktična
pravila koja predstavljaju mnogo detaljniji opis načina poslovanja, kao i poslovne i
operativne procedure koje sertifikaciono telo primenjuje u izdavanju i upravljanju
kvalifikovanim elektronskim sertifikatima.
Politika sertifikacije se definiše nezavisno od specifičnog operativnog okruženja
sertifikacionog tela, dok Praktična pravila daju detaljan opis organizacione strukture,
operativnih procedura, kao i fizičko i računarsko okruženje sertifikacionog tela.
1.1.3 STANDARDI
Opšta pravila funkcionisanja HALCOM BG CA su u skladu sa dokumentom RFC 3647
„Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices
Framework” i evropskim standardom ETSI TS 101 456 („Policy requirements for
certification authorities issuing qualified certificates“).
1.1.4 POSEBNA INTERNA PRAVILA RADA
HALCOM BG CA utvrĎuje i Posebna interna pravila rada sertifikacionog tela i zaštite
sistema sertifikacije (u daljem tekstu: Interna pravila) u kojima su sadržani i detaljno
opisani postupci i mere koji se primenjuju prilikom izdavanja i rukovanja elektronskim
kvalifikovanim elektronskim sertifikatima.
Interna pravila su privatni dokument i predstavljaju poslovnu tajnu sertifikacionog tela.
Interna pravila sadrže detaljne odredbe o:

sistemu fizičke kontrole pristupa u pojedine prostorije sertifikacionog tela;

sistemu logičke kontrole pristupa računarskim resursima sertifikacionog tela;

sistemu za čuvanje privatnog ključa sertifikacionog tela;

sistemu distribuirane odgovornosti pri aktivaciji privatnog ključa sertifikacionog
tela;

postupcima i radnjama u vanrednim situacijama (požari, poplave, zemljotresi,
druge vremenske nepogode, zlonamerni upadi u prostorije ili informacioni sistem
sertifikacionog tela).
HALCOM BG CA je registrovano od strane Nadležnog organa za PKI sisteme u republici
Srbiji i predmet je periodične supervizije u cilju osiguravanja saglasnosti sa zahtevima
navedenim u Zakonu o elektronskom potpisu i odgovarajućim podzakonskim aktima.
1.2 NAZIV DOKUMENTA I IDENTIFIKACIJA
HALCOM BG CA infrastruktura sistema sa javnim ključevima (PKI – Public Key
Infrastructure) je odgovorna za izdavanje sledećih tipova kvalifikovanih elektronskih
sertifikata:
10
Root CA sertifikat Halcom BG CA sertifikacionog tela,
Intermediate CA sertifikat Halcom BG CA PL za pravna lica,
Intermediate CA sertifikat Halcom BG CA FL za fizička lica,
Sertifikati korisnika:
Pravna lica (ovlašćena lica pravnih lica), registrovana za obavljanje delatnosti, za potrebe
elektronskog bankarstva – na smart kartici Fizička lica za potrebe elektronskog i
mobilnog bankarstva – na SIM smart kartici
U okviru ovih Praktičnih pravila rada (CPS – Certificate Practice Statement) biće opisani
konkretni detalji oko implementacije i procedura rada HALCOM BG CA.
Ovaj dokument predstavlja Praktična pravila Halcom BG CA. Sertifikati Halcom BG CA
sadrže identifikacioni broj odgovarajuće CP politike. Zbog toga, Halcom nije ovom
dokumentu dodelio CPoid broj.
Identifikaciona oznaka politike sertifikacije HALCOM BG CA je:
Za pravna lica CPOID: 1.3.6.1.4.1.5939.10.1.1
Za fizička lica
CPOID: 1.3.6.1.4.1.5939.11.1.1
Identifikacioni podaci Halcom a.d. Beograd a u okviru njega HALCOM BG CA su:
HALCOM A.D BEOGRAD
HALCOM BG CA
Beogradska 39
11000 Beograd
Srbija
Tel.: (+381) 11 30 32 432
Fax: (+381) 11 33 48 998
Mail: [email protected]
http://www.halcom.rs/
Jedinstveno ime (Dname – issuer):
CN= HALCOM BG CA
O= Halcom a.d.
C= RS
1.3 UĈESNICI U PKI SISTEMU HALCOM BG CA
U ovom poglavlju su opisani osnovni učesnici u PKI sistemu HALCOM BG CA.
Svrha ovih Praktičnih pravila je da, pre svega, opiše odgovornosti i prava CA
(Certification Authority - izdavalac kvalifikovanih elektronskih sertifikata), RA
(Registration Authority - identifikator i registrator korisnika) i različitih korisnika (korisnik
– vlasnik kvalifikovanih elektronskih sertifikata).
Kao deo ovih CPS, opisane su procedure koje HALCOM BG CA sprovodi u procesu
izdavanja kvalifikovanih elektronskih sertifikata.
11
1.3.1 HALCOM BG CA
Sertifikaciono telo je organizacija koja izdaje elektronske sertifikate. HALCOM BG CA je
sertifikaciono telo (CA). HALCOM BG CA je odgovorno za publikaciju ovih Praktičnih
pravila u cilju podrške izdavanju odreĎenih tipova kvalifikovanih elektronskih sertifikata.
U tom smislu, Politike sertifikacije (CP), kao i ovaj dokument HALCOM BG CA CPS
(Certificate Practice Statement), predstavljaju odgovarajuće politike i praktična pravila
koja se primenjuju pri izdavanju HALCOM BG CA kvalifikovanih elektronskih sertifikata.
HALCOM BG CA je sertifikaciono telo koje izdaje i upravlja kvalifikovanim elektronskim
sertifikatima za verifikaciju elektronskog potpisa. HALCOM BG CA predstavlja
sertifikaciono telo u okviru infrastrukture HALCOM BG CA PKI sistema. HALCOM BG CA
predstavlja takoĎe Root sertifikaciono telo koja zajedno sa svojim podreĎenim
sertifikacionim telima čini hijerarhijsku mrežu sertifikacionih tela. PodreĎeno
sertifikaciono telo (intermediate) izdaje kvalifikovane elektronske sertifikate pravnim i
fizičkim licima, kao i vršenje drugih tehnoloških usluga vezanih za:
kvalifikovane elektronske potpise (pravna lica) i,
elektronske potpise (fizička lica).
Sertifikaciono telo HALCOM BG CA izdaje kvalifikovane elektronske sertifikate fizičkim
licima, kao i fizičkim licima koji se identifikuju kao pripadnici pravnih lica u Srbiji za
potrebe bezbednog elektronskog bankarstva putem servisnog centra Halcom a.d.
Beograd.
U cilju objavljivanja trećim stranama informacija koje se odnose na opozvane sertifikate,
neophodno je da se izvrši odgovarajuća publikacija liste povučenih kvalifikovanih
elektronskih sertifikata (CRL – Certificate Revocation List). HALCOM BG CA objavljuje
takvu listu u skladu sa uslovima definisanim u ovom dokumentu.
HALCOM BG CA predstavlja hijerarhijski PKI sistem za izdavanje kvalifikovanih
elektronskih sertifikata za korisnike Servisnog centra HALCOM BG CA.
U pomenutoj arhitekturi, postoji (Slika 1):

Halcom BG CA Root CA

Halcom BG CA PL Intermediate CA

Halcom BG CA FL Intermediate CA
Korisnici Servisnog centra – pravna (fizička lica identifikovana kao pripadnici pravnih lica)
i fizička lica
12
Slika 1: Realizacija hijerarhijske strukture HALCOM BG CA PKI sistema
1.3.1.1 OBAVEZE HALCOM BG CA
Sertifikaciono telo HALCOM BG CA je dužno:

Vršiti usluge u skladu sa svojim internim pravilima i ostalim važećim propisima i
zakonodavstvom,

Vršiti usluge u skladu sa meĎunarodnim preporukama,

Objavljivati sve važne dokumente koji definišu njegov operativni rad (politike
sertifikacije, zahteve, uputstva za bezbedno korišćenje kvalifikovanih elektronskih,
i sl.),

Objavljivati na svojim web stranicama sve informacije o onim promenama
vezanim za delatnosti sertifikacionog tela koje na bilo koji način utiču na vlasnike
kvalifikovanih elektronskih sertifikata i treća lica,

Omogućiti rad registracionih tela u skladu sa odredbama politike sertifikacije i
ovim CPS objavljenim od strane HALCOM BG CA i ostalim važećim propisima,

Poštovati odredbe vezane za bezbedno postupanje sa ličnim, poslovnim i
poverljivim podacima sertifikacionog tela, vlasnika kvalifikovanih elektronskih
sertifikata ili trećih lica,

Opozvati kvalifikovani elektronski sertifikat i objaviti opozvani kvalifikovani
elektronski sertifikat u registru opozvanih kvalifikovanih elektronskih sertifikata u
slučaju uslova i razloga definisanih ovim CPS dokumentom ili drugim važećim
propisima,

Izdavati kvalifikovane elektronske sertifikate u skladu sa ovim CPS dokumentom i
13
ostalim propisima i preporukama.
1.3.1.2 ODGOVORNOSTI HALCOM BG CA
Sertifikaciono telo HALCOM BG CA je odgovorno da:

Osigura tačnost podataka u izdatim kvalifikovanim elektronskim sertifikatima,

Osigura pravilnost objavljivanja registra opozvanih kvalifikovanih elektronskih
sertifikata,

Osigura jednoznačnost karakterističnih imena,

Osigura odgovarajuću fizičku bezbednost prostorija i pristupa samim prostorijama
sertifikacionog tela,

Kao dobar privrednik brine za neometano delovanje i što veću raspoloživost
usluga,

Kao dobar privrednik brine za što veću dostupnost usluga,

Kao dobar privrednik brine za neometano delovanje svih ostalih pratećih usluga,

Pokuša otkloniti eventualne nastale probleme što kvalitetnije i u najkraćem
mogućem vremenu,

Brine za optimizaciju mašinske i programske opreme i

Obaveštava korisnike o važnim stvarima i ispunjava sve druge zahteve u skladu sa
politikom sertifikacije i ovim CPS dokumentom.
Sertifikaciono telo HALCOM BG CA obezbeĎuje što veći pristup svojim uslugama i to 24
sata na dan/7 dana u nedelji/365 dana u godini, izuzimajući:

planirane i unapred predviĎene tehničke ili servisne intervencije na infrastrukturi,

neplanirane tehničke ili servisne intervencije na infrastrukturi kao posledica
nepredviĎenih/iznenadnih kvarova,

tehničke ili servisne intervencije zbog kvarova
odgovornosti sertifikacionog tela HALCOM BG CA i

nedostupnost kao posledica više sile ili vanrednih dogaĎaja.
infrastrukture
van
opsega
Radove održavanja ili nadgradnje infrastrukture sertifikaciono telo HALCOM BG CA mora
najaviti korisnicima i trećim licima barem tri (3) dana pre početka radova.
Sertifikaciono telo HALCOM BG CA je odgovorno za sve navode u ovom dokumentu i za
sprovoĎenje svih odredbi iz politike sertifikacije i ovog CPS dokumenta.
Ostale obaveze odnosno odgovornosti sertifikacionog tela HALCOM BG CA definisane su
mogućim meĎusobnim dogovorom sa korisnicima ili trećim licima.
1.3.2 REGISTRACIONA TELA HALCOM BG CA
Registraciono telo (RA ) vrše sledeće aktivnosti za potrebe sertifikacionog tela:
1. proveravanje identiteta budućih vlasnika kvalifikovanih elektronskih sertifikata,
kao i proveravanje ostalih podataka važnih za upravljanje kvalifikovanim
elektronskim sertifikatima,
2. primanje zahteva za dobijanje sertifikata,
3. primanje zahteva za opozivanje/povlačenje sertifikata,
4. izdavanje nužne dokumentacije vlasnicima, odnosno budućim vlasnicima,
14
kvalifikovanih elektronskih sertifikata
5. prosleĎivanje zahteva i ostalih podataka sigurnim putem do HALCOM BG CA
sertifikacionog tela.
Sertifikaciono telo HALCOM BG CA može za izvršavanje zadataka registracionog tela
(RA), uz svoje sopstveno RA, takoĎe ovlastiti i druge organizacije u poslovnom i javnom
sektoru. Svaku takvu organizaciju sertifikaciono telo HALCOM BG CA ugovorom
obavezuje za ispunjavanje strogih bezbednosnih uslova u skladu sa važećim evropskim, i
lokalnim propisima te meĎunarodnim, evropskim, i lokalnim standardima i preporukama,
kao i internim pravilima HALCOM BG CA.
Sertifikaciono telo HALCOM BG CA ima široku uspostavljenu geografsku mrežu RA
(registracionih tela), što budućim vlasnicima omogućuje jednostavnu prijavu u blizini
sedišta datog pravnog lica.
Detaljan opis poslova i nadležnosti registracionih tela definisan
dokumentom, kao i ugovorom izmeĎu registracionih tela i Halcom BG CA.
je
posebnim
1.3.2.1 RA OBAVEZE
Registraciono telo je dužno:

proveravati identitet budućih vlasnika kvalifikovanih elektronskih sertifikata,

primati zahteve za sertifikacione usluge HALCOM BG CA,

proveravati zahteve za dobijanje kvalifikovanih elektronskih sertifikata,

izdavati potrebnu dokumentaciju vlasnicima
kvalifikovanih elektronskih sertifikata,

prosleĎivati zahteve i ostale podatke na bezbedan način do sertifikacionog tela
HALCOM BG CA.
odnosno
budućim
Detaljan opis poslova i nadležnosti registracionih tela definisan
dokumentom, kao i ugovorom izmeĎu registracionih tela i Halcom BG CA.
je
vlasnicima
posebnim
1.3.2.2 RA ODGOVORNOSTI
Registraciono telo je odgovorno za sprovoĎenje svih odredbi iz politike sertifikacije i ovog
CPS dokumenta, kao i drugih zahteva koje dogovori sa sertifikacionim telom HALCOM BG
CA.
1.3.3 KORISNICI
Korisnici sertifikacionih usluga HALCOM BG CA su:

pravna lica (fizička lica identifikovana kao pripadnici pravnih lica)

fizička lica.
Korisnici su strane koje:

Apliciraju za dobijanje kvalifikovanog elektronskog sertifikata,

Identifikovani su kao vlasnici kvalifikovanih elektronskih sertifikata u samom
sertifikatu,
15

Poseduju privatni ključ koji matematički odgovara javnom ključu koji je naveden u
korisnikovom sertifikatu i sertifikovan od strane sertifikacionog tela.
Vlasnici kvalifikovanih elektronskih sertifikata koriste svoje podatke (par asimetričnih
ključeva), dodeljene od strane sertifikacionog tela, za bezbedno elektronsko potpisivanje
i kvalifikovane elektronske sertifikate za verifikaciju tog elektronskog potpisa.
Sertifikati korisnika koje izdaje Halcom BG CA:
0. Digital Signature, Non-Repudiation
1. Digital Signature, Key Encipherment
1.3.3.1 OBAVEZE KORISNIKA KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
Vlasnik, odnosno budući vlasnik, kvalifikovanog elektronskog kvalifikovanih elektronskih
sertifikata je dužan:

Upoznati se i postupati u skladu sa politikom sertifikacije i ovim CPS dokumentom
pre izdavanja kvalifikovanih elektronskih sertifikata,

Postupati u skladu sa politikom sertifikacije, ovim CPS dokumentom i ostalim
važećim propisima,

Nakon preuzimanja kvalifikovanih elektronskih sertifikata proveriti podatke u
sertifikatu i o eventualnim greškama ili problemima odmah obavestiti
Registraciono telo ili HALCOM BG CA odnosno tražiti opoziv kvalifikovanih
elektronskih sertifikata,

Pratiti sva obaveštenja HALCOM BG CA i postupati u skladu sa istim,

u skladu sa obaveštenjima primereno osavremenjivati potrebnu mašinsku i
programsku opremu za bezbedan rad sa kvalifikovanim elektronskim sertifikatima,

odmah obavestiti sertifikaciono telo HALCOM BG CA o svim promenama koje su
povezane sa kvalifikovanim elektronskim sertifikatom,

zahtevati opoziv kvalifikovanih elektronskih sertifikata u slučaju da je privatni
ključ bio ugrožen na način koji utiče na sigurnost upotrebe ili ako postoji opasnost
od zloupotrebe,

korišćenje kvalifikovanih elektronskih sertifikata samo za namene definisane u
sertifikatu, i na način koji je odreĎen politikom sertifikacije i ovim CPS
dokumentom izdatim od strane HALCOM BG CA.
Vlasnik, odnosno budući vlasnik, kvalifikovanog elektronskog sertifikata je u odnosu na
bezbednost privatnog ključa dužan takoĎe da:

čuva privatni ključ i kvalifikovani elektronski sertifikat na način i na sredstvima za
bezbedno čuvanje privatnih ključeva u skladu sa obaveštenjima i preporukama
HALCOM BG CA,

privatni ključ i sve ostale poverljive podatke štiti prikladnom lozinkom u skladu sa
preporukama HALCOM BG CA ili na drugi način tako da su dostupni samo
vlasniku,

brižljivo čuva lozinku za zaštitu privatnog ključa,

nakon isteka validnosti odnosno nakon opoziva kvalifikovanih elektronskih
sertifikata postupa u skladu sa obaveštenjima sertifikacionog tela HALCOM BG CA.
16
1.3.3.2 ODGOVORNOSTI KORISNIKA KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
Vlasnik kvalifikovanih elektronskih sertifikata je odgovoran za:

Nastalu štetu u slučaju zloupotrebe kvalifikovanih elektronskih sertifikata od
prijave opoziva do samog opoziva,

Svaku štetu koja je, bilo indirektno ili direktno, prouzrokovana zbog omogućenog
korišćenja, odnosno zloupotrebe, vlasnikovog kvalifikovanog elektronskog
sertifikata od strane neovlašćenih lica,

Svaku drugu štetu koja nastane iz nepoštovanja odredbi politike sertifikacije, ovog
CPS dokumenta i drugih dokumenata sertifikacionog tela HALCOM BG CA, kao i
važećih propisa.
1.3.4 TREĆE STRANE
Treće strane su entiteti, kao na primer fizička lica (pojedinci) i/ili pravna lica (kompanije),
koja prihvataju sertifikate i verifikuju elektronski potpis odreĎenih elektronskih
dokumenata koji su potpisani od strane korisnika HALCOM BG CA, kao i koja vrše
validaciju kvalifikovanih elektronskih sertifikata izdatih od strane HALCOM BG CA.
Treća lica nisu nužno i vlasnici kvalifikovanih elektronskih sertifikata sertfikacionog tela
HALCOM BG CA ili kvalifikovanih elektronskih sertifikata drugih sertifikacionih tela.
Verifikacija elektronskog potpisa dokumenata vrši se na bazi javnog ključa koji se nalazi
u korisnikovom sertifikatu.
U cilju provere validnosti primenjenog kvalifikovanog elektronskog sertifikata, treće
strane moraju uvek da provere status datog kvalifikovanog elektronskog sertifikata u
okviru Halcom BG CA registra opozvanih sertifikata (CRL) pre nego što prihvate
informacije koje su navedene u sertifikatu.
1.3.4.1 OBAVEZE TREĆIH STRANA
Treća strana koja se pouzdaje u kvalifikovani elektronski sertifikat izdat od strane
sertifikacionog tela HALCOM BG CA mora:

Postupati i koristiti kvalifikovane elektronske sertifikate u skladu i namenom
definisanom politikom sertifikacije, ovim CPS dokumentom i ostalim važećim
propisima,

Brižno proučiti sve mogućnosti rizikovanja i odgovornosti kod korišćenja
kvalifikovanih elektronskih sertifikata i odrediti politiku načina upotrebe,

Obavestiti HALCOM BG CA ako sazna da su privatni ključevi vlasnika
kvalifikovanog elektronskog sertifikata u koga se uzdaju bili ugroženi na način koji
utiče na sigurnost korišćenja, ili ako postoji opasnost zloupotrebe, ili ako su se
promenili podaci navedeni u kvalifikovanom elektronskom sertifikatu,

Uzdati se u kvalifikovani elektronski sertifikat samo za namere odreĎene u
sertifikatu na način koji odreĎuje politika sertifikacije i ovaj CPS dokument,

Za vreme korišćenja kvalifikovanog elektronskog sertifikata proveriti da li se
sertifikat nalazi u registru opozvanih kvalifikovanih elektronskih sertifikata,

Za vreme korišćenja kvalifikovanog elektronskog sertifikata proveriti da li je
elektronski potpis kvalifikovanih elektronskih sertifikata kreiran u vreme važenja i
sa odgovarajućom namenom kvalifikovanog elektronskog sertifikata,

Za vreme korišćenja kvalifikovanog elektronskog sertifikata proveriti potpis
kvalifikovanog elektronskog od strane sertifikacionog tela HALCOM BG CA koji je
17
objavljen u ovoj politici sertifikacije, a takoĎe i na web stranicama HALCOM BG CA
odnosno drugih izdavalaca kvalifikovanih elektronskih sertifikata.

Uvažavanje drugih odredbi ukoliko je sa sertifikacionim telom HALCOM BG CA
sklopila dogovor o korišćenju kvalifikovanih elektronskih sertifikata.
Treće lice mora za verifikaciju potpisa odnosno druge kriptografske operacije
upotrebljavati programsku i mašinsku opremu kojom je moguće na verodostojan način
proveriti sve gore navedene zahteve za bezbedno korišćenje kvalifikovanih elektronskih
sertifikata.
1.3.4.2 ODGOVORNOSTI TREĆIH STRANA
Sa početkom korišćenja kvalifikovanih elektronskih sertifikata izdatih od strane
sertifikacionog tela HALCOM BG CA, a u skladu sa politikom sertifikacije i ovim CPS
dokumentom, treće lice koje se uzda u dati kvalifikovani elektronski sertifikat mora
pažljivo da prouči pomenuta dokumenta i od tog trenutka da redovno prati sva
obaveštenja sertifikacionog tela HALCOM BG CA.
Treće lice mora uvek, ukoliko želi da koristi dati kvalifikovani elektronski sertifikat za
neku kriptografsku operaciju, pouzdano da proveri da li je kvalifikovani elektronski
sertifikat povučen, tj. da li se nalazi u registru opozvanih kvalifikovanih elektronskih
sertifikata.
Odgovarajuće ovlašćeno lice datog pravnog lica, koje nije vlasnik kvalifikovanih
elektronskih sertifikata ovlašćen od strane istog pravnog lica, dužno je da zahteva opoziv
datog kvalifikovanih elektronskih sertifikata ako sazna da je privatni ključ koji je
pridružen datom sertifikatu ugrožen na način koji utiče na bezbednost korišćenja, ili ako
postoji opasnost zloupotrebe, ili ako su se promenili podaci navedeni u sertifikatu.
Treće lice može da se pouzda u kvalifikovani elektronski sertifikat do eventualnog opoziva
kvalifikovanih elektronskih sertifikata.
Treće lice može bilo kada da zahteva sve informacije vezane za validnost bilo kog izdatog
kvalifikovanih elektronskih sertifikata, odredbe politike sertifikacije i ovog CPS
dokumenta, kao i za bilo koja obaveštenja izdata od strane sertifikacionog tela HALCOM
BG CA.
1.3.5 DRUGI UĈESNICI
Za korišćenje kvalifikovanih elektronskih sertifikata prema CP i ovim CPS su, pored
vlasnika kvalifikovanih elektronskih sertifikata, RA, HALCOM BG CA, drugih sertifikacionih
tela i trećih lica, bitna i druga lica koja omogućavaju elektronsko potpisivanje ili neke
druge usluge u kojima se koriste kvalifikovani elektronski sertifikati HALCOM BG CA.
1.3.5.1 OBAVEZE VEZANE ZA REPOZITORIJUM KOJI ODRŽAVA CA
Strane u komunikaciji (uključujući korisnike i treće strane) koje pristupaju repozitorijumu
i web sajtu HALCOM BG CA sertifikacionog tela u potpunosti su saglasne sa odredbama
CP i ovih CPS, kao i sa bilo kojim drugim uslovima korišćenja koje je CA moglo učiniti
dostupnim.
Strane u komunikaciji demonstriraju prihvatanje uslova korišćenja navedenih u CP i ovim
CPS dostavljanjem upita vezanih za status kvalifikovanih elektronskih sertifikata ili bilo
kojim drugim načinom koji pokazuje korišćenje ili oslanjanje na obezbeĎene informacije
ili usluge.
CA repozitorijum uključuje, obezbeĎuje ili sadrži:
18

Javnu dostupnost svih svojih kvalifikovanih elektronskih sertifikata (root i
itermediate CA sertifikati).

Javnu dostupnost važeće liste opozvanih kvalifikovanih elektronskih sertifikata
(CRL).

Informacije publikovane na CA web sajtu (CP, CPS, korisnički ugovor, itd.).

Bilo koje druge usluge koje CA može reklamirati ili obezbediti putem svog web
sajta.
HALCOM BG CA čini sve u svojoj moći u cilju osiguranja da strane koje pristupaju
njegovom repozitorijumu dobijaju pouzdane, ažurne i tačne informacije. CA, meĎutim, ne
može prihvatiti bilo kakvu odgovornost koja je van ograničenja definisanih u CP i ovim
CPS.
1.4 KORIŠĆENJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Sertifikati izdati od strane HALCOM BG CA sertifikacionog tela mogu se koristiti za većinu
transakcija elektronskog poslovanja i elektronskog bankarstva koje se baziraju na
upotrebi kvalifikovanih elektronskih sertifikata.
Sa kvalifikovanim elektronskim sertifikatima sa dva para ključa za pravna lica može se
formirati kvalifikovani elektronski potpis. Kvalifikovani elektronski sertifikat se kreira
primenom sredstva za kreiranje kvalifikovanog elektronskog potpisa (SSCD – Secure
Signature Creation Device) koji se proverava putem kvalifikovanog elektronskog
sertifikata potpisnika. Ovaj potpis je pravno ekvivalentan svojeručnom potpisu u skladu
sa Zakonu o elektronskom potpisu.
Kvalifikovan elektronski potpis zadovoljava sledeće uslove:
1.
1.
2.
3.
4.
5.
isključivo je povezan sa potpisnikom;
nedvosmisleno identifikuje potpisnika;
nastaje korišćenjem sredstava kojima potpisnik može samostalno da upravlja i
koja su isključivo pod nadzorom potpisnika;
direktno je povezan sa podacima na koje se odnosi, i to na način koji
nedvosmisleno omogućava uvid u bilo koju izmenu izvornih podataka;
formiran je sredstvima za formiranje kvalifikovanog elektronskog potpisa;
proverava se na osnovu kvalifikovanog elektronskog sertifikata potpisnika.
Mobilni kvalifikovani elektronski sertifikati sa dva para ključa za fizička lica ne mogu
formirati kvalifikovane elektronske potpise. MeĎutim, ukoliko sertifikaciono telo Halcom
BG CA sklopi ugovor o priznavanju sa drugim pravnim ili fizičkim licem, mobilni
kvalifikovani sertifikati za fizička lica mogu se koristiti i za elektronsko potpisivanje.
HALCOM BG CA sertifikaciono telo upravlja (izdaje i overava, opoziva, obnavlja, čuva,
objavljuje) kvalifikovanim elektronskim sertifikatima za verifikaciju:
kvalifikovanog elektronskog potpisa (pravna lica) i,
elektronskog potpisa (fizička lica)
1.4.1 PRIHVATLJIVO KORIŠĆENJE KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
Kvalifikovani elektronski sertifikati su namenjeni:
kvalifikovanom elektronskom potpisivanju (pravna lica) i
elektronskom potpisivanju (fizička lica)
19
jednostranih ili meĎusobnih komunikacija vlasnika sertifikata te korišćenju u različitim
aplikacijama i za različite namene koje se pojave na tržištu.
Kvalifikovani elektronski sertifikati ili ključevi se izmeĎu ostalog mogu koristiti za:

identifikaciju vlasnika sertifikata,

dokazivanje identiteta vlasnika sertifikata,

potpisivanje dokumenata u elektronskom obliku i njihovu verifikaciju,

šifrovanje dokumenata u
kriptografskih algoritama,

kontrolu pristupa
elektronskom
obliku
primenom
simetričnih
Elektronski potpis može da se koristi u aplikacijama kao što su na primer:

elektronsko odnosno mobilno bankarstvo,

aplikacije e-uprave ili m-uprave,

potpisivanje elektronskih ili mobilnih formulara,

bezbedno poslovanje sa organima i organizacijama javnog sektora te ostalim
pravnim ili fizičkim licima,

ostale aplikacije odnosno usluge u kojima se zahteva korišćenje kvalifikovanog
elektronskog sertifikata.
Sertifikaciono telo HALCOM BG CA upravlja (izdaje i overava, opoziva, obnavlja, čuva i
objavljuje) kvalifikovanim elektronskim sertifikatima pravnih i fizičkih lica za verifikaciju:
kvalifikovanog elektronskog potpisa (pravna lica) i
elektronskog potpisa (fizička lica),
1.4.2 NEDOPUŠTENO KORIŠĆENJE
Zabranjeno je korišćenje kvalifikovanih elektronskih sertifikata, izdatih u skladu sa ovom
CP, u suprotnosti sa odredbama same politike sertifikacije, ili važećih propisa, ili izvan
opsega dozvoljenog korišćenja, odreĎenog u prethodnom poglavlju.
Kvalifikovani elektronski sertifikati izdati od strane HALCOM BG CA nisu namenjeni daljoj
prodaji.
1.5 ADMINISTRACIJA PRAKTIĈNIH PRAVILA RADA
U ovom poglavlju su opisane aktivnosti u vezi administracije ovih Praktičnih pravila rada
(CPS) HALCOM BG CA sertifikacionog tela.
1.5.1 ORGANIZACIJA ADMINISTRIRANJA PRAKTIĈNIH PRAVILA RADA
HALCOM BG CA sertifikaciono telo je odgovorno za propisnu administraciju ovih CPS, i to
u smislu periodičnog pregleda i ažuriranja, kao i vanrednih promena odgovarajućih
odredbi koje proističu iz eventualnih promena u zakonskoj regulativi ili tehničkim
karakteristikama primenjenih kriptografskih algoritama i dužina ključeva.
Sa ovim CPS dokumentom, kao i ostalim opštim i internim pravilima rada, upravlja
sertifikaciono telo HALCOM BG CA u sklopu Halcom a.d. Beograd i u sklopu PKI hijerarhije
HALCOM BG CA.
20
1.5.2 KONTAKT OSOBA
Za sva pitanja vezana za ovaj CPS dokument, mogu se kontaktirati ovlašćena lica koja
su dostupna na dole navedenoj adresi i dole navedenim telefonskim brojevima.
Janez Ĉuk
HALCOM BG CA
Beogradska 39
11000 Beograd
Srbija
Tel.: (+381) 11 33 48 998
Fax: (+381) 11 33 48 994
Mail: [email protected]
http://www. halcom.rs/
1.5.3 OSOBE KOJE ODREĐUJU POGODNOST CPS DOKUMENTA
Za usklaĎenost poslovanja sertifikacionog tela HALCOM BG CA sa ovim CPS dokumentom
su, u skladu sa svojim nadležnostima, odgovorna su ovlašćena lica za kontakt definisana
u poglavlju 1.5.2.
1.5.4 PROCEDURA ODOBRAVANJA CPS DOKUMENTA
Dokument Praktična pravila rada (CPS) HALCOM BG CA sertifikacionog tela se redovno
periodično pregleda i po potrebi ažurira. Internom procedurom se definiše period
pregleda ovog CPS koji ne može biti manji od jedne kalendarske godine.
Prema datoj internoj proceduri, CPS se može evaluirati i po potrebi ažurirati i češće nego
jednom godišnje ukoliko se steknu uslovi za to. Takvi uslovi se odnose, izmeĎu ostalog na
vanredne promene u zakonskoj regulativi ili odgovarajuća saznanja o kritičnim slabostima
primenjenih kriptografskih algoritama i dužina kriptografskih ključeva.
Svaki predlog novog izmenjenog CPS dokumenta se razmatra sa tehnološkog i pravnog
aspekta u cilju garantovanja zakonitosti, bezbednosti i kvaliteta. Nakon toga, novi CPS
dokument se potvrĎuje od strane direktora Halcom a.d. Beograd.
1.6 DEFINICIJE I SKRAĆENICE
U ovom dokumentu pojedini izrazi imaju sledeće značenje:
Aktivacioni podaci – Podaci, koji nisu ključevi, koji su zahtevani u cilju rada
kriptografskih modula i koji moraju biti zaštićeni (kao na primer PIN, passphrase ili
komponente pri manuelnom razmenjivanju ključeva).
CA sertifikat – Sertifikat za dato CA izdat (elektronsko potpisan) od strane drugog CA
(ukoliko se radi o Intermediate CA) ili samopotpisan (ukoliko se radi o root CA).
Politika sertifikacije – Imenovan skup pravila koji indicira primenljivost kvalifikovanih
elektronskih sertifikata na odreĎeno okruženje i/ili na klasu aplikacija sa zajedničkim
bezbednosnim zahtevima.
Lanac (put) kvalifikovanih elektronskih sertifikata – UreĎena sekvenca
kvalifikovanih elektronskih sertifikata koja se, zajedno sa javnim ključem inicijalnog
objekta u lancu (putu), procesira u cilju provere istog u poslednjem objektu na putu.
Certificate Practice Statement (CPS) – Praktična pravila i procedure koje
sertifikaciono telo primenjuje u proceduri izdavanja kvalifikovanih elektronskih sertifikata
21
i koja, zajedno sa Politikom sertifikacije, predstavljaju javni dokument.
Sertifikaciono telo – izdavaĉ kvalifikovanih elektronskih sertifikata (issuing CA)
– U kontekstu odreĎenog kvalifikovanih elektronskih sertifikata, sertifikaciono telo –
izdavalac kvalifikovanih elektronskih sertifikata je ono CA koje je izdalo (elektronsko
potpisalo) kvalifikovani elektronski sertifikat.
Kvalifikator politike – Informacija koja zavisi od politike sertifikacije i koja je
pridružena identifikatoru politike sertifikacije u okviru X.509 kvalifikovanih elektronskih
sertifikata. Može da uključi i URL na kome se nalazi publikovan CPS datog sertifikacionog
tela.
Registraciono telo (RA) – Entitet koji je odgovoran za identifikaciju i
autentikaciju/registraciju korisnika/vlasnika kvalifikovanih elektronskih sertifikata, kao i
kreiranje zahteva za izdavanje kvalifikovanih elektronskih sertifikata, ali koji ne izdaje i
ne potpisuje sertifikat (tj. RA vrši odgovarajuće poslove (identifikaciju korisnika) i u tom
smislu je delegirano od CA). Često se i termin LRA (Local Registration Authority) koristi u
istom kontekstu.
Treća strana – Primalac kvalifikovanih elektronskih sertifikata koji proverava dati
kvalifikovani elektronski sertifikat i/ili proverava elektronski potpis dobijenog
elektronskog dokumenta primenom javnog ključa potpisnika iz kvalifikovanih elektronskih
sertifikata. Treća strana proverava validnost kvalifikovanih elektronskih sertifikata u istom
procesu. Treća strana može biti takoĎe korisnik kvalifikovanih elektronskih sertifikata
izdatog od strane istog sertifikacionog tela ali i ne mora.
Elektronski dokument – dokument u elektronskom obliku koji se koristi u pravnim
poslovima i drugim pravnim radnjama, kao i u upravnom, sudskom i drugom postupku
pred državnim organom.
Elektronski potpis – skup podataka u elektronskom obliku koji su pridruženi ili su
logički povezani sa elektronskim dokumentom i koji služe za identifikaciju potpisnika.
Kvalifikovani elektronski potpis – Elektronski potpis koji se kreira primenom sredstva
za kreiranje kvalifikovanog elektronskog potpisa (SSCD – Secure Signature Creation
Device) i koji se proverava putem kvalifikovanog elektronskog sertifikata potpisnika. Ovaj
potpis je pravno ekvivalentan svojeručnom potpisu po Zakonu o elektronskom potpisu.
Potpisnik – lice koje poseduje sredstva za elektronsko potpisivanje i vrši elektronsko
potpisivanje u svoje ime ili u ime pravnog ili fizičkog lica.
Podaci za formiranje elektronskog potpisa – jedinstveni podaci, kao što su kodovi ili
privatni kriptografski ključevi, koje potpisnik koristi za izradu elektronskog potpisa;
Sredstva za formiranje elektronskog potpisa – odgovarajuća tehnička sredstva
(softver i hardver) koja se koriste za formiranje elektronskog potpisa, uz korišćenje
podataka za formiranje elektronskog potpisa.
Sredstva za formiranje kvalifikovanog elektronskog potpisa – sredstva za
formiranje elektronskog potpisa koja ispunjavaju dodatne uslove utvrĎene Zakonom o
elektronskom potpisu.
Podaci za proveru elektronskog potpisa – podaci, kao što su kodovi ili javni
kriptografski ključevi, koji se koriste za proveru i overu elektronskog potpisa.
Sredstva za proveru elektronskog potpisa – odgovarajuća tehnička sredstva
(softver i hardver) koja služe za proveru elektronskog potpisa, uz korišćenje podataka za
22
proveru elektronskog potpisa.
Sredstva za proveru kvalifikovanog elektronskog potpisa – sredstva za proveru
elektronskog potpisa koja ispunjavaju dodatne uslove utvrĎene Zakonom o elektronskom
potpisu.
Elektronski sertifikat – elektronski dokument kojim se potvrĎuje veza izmeĎu
podataka za proveru elektronskog potpisa i identiteta potpisnika.
Kvalifikovani elektronski sertifikat – elektronski sertifikat koji je izdat od strane
sertifikacionog tela za izdavanje kvalifikovanih elektronskih sertifikata i sadrži podatke
predviĎene Zakonom o elektronskom potpisu.
Korisnik – pravno ili fizičko lice, preduzetnik, državni organ, organ teritorijalne
autonomije, organ lokalne samouprave ili fizičko lice kome se izdaje kvalifikovani
elektronski sertifikat.
Sertifikaciono telo – pravno lice koje izdaje elektronske sertifikate u skladu sa
odredbama Zakona o elektronskom potpisu.
Akreditacija – Formalna deklaracija od strane nadležnog autoriteta da izvesne
funkcije/entiteti zadovoljavaju specifične formalne zahteve.
Aplikacija za kvalifikovani elektronski sertifikat – Zahtev poslat od strane korisnika
koji zahteva sertifikat (aplikant) ka Sertifikacionom telu u cilju izdavanja kvalifikovanih
elektronskih sertifikata.
Arhiva – Specifična baza podataka za čuvanje zapisa za odreĎeni period vremena u cilju
bezbednosti, backup-a ili revizije.
Identifikacija – proces utvrĎivanja identiteta pojedinca ili organizacije. U kontekstu PKI
sistema, identifikacija se odnosi na proces utvrĎivanja da dato ime pojedinca ili
organizacije odgovara realnom identitetu pojedinca ili organizacije.
Autentikacija – proces utvrĎivanja da je identifikovani pojedinac ili organizacija koji se
prijavljuje za odreĎeni servis pod datim imenom u stvari baš taj (pod tim imenom)
pojedinac ili organizacija. Drugim rečima, autentikacija predstavlja proceduru bezbednog
logičkog predstavljanja korisnika, tj. utvrĎivanja njegovog elektronskog identiteta,
odgovarajućoj aplikaciji ili servisu.
Autorizacija – procedura utvrĎivanja prava koje neki identifikovani i autentikovani
korisnik ima za korišćenje odgovarajuće aplikacije ili servisa.
Ekstenzije u sertifikatu – Dodatna polja u sertifikatu, pored osnovnih, koja daju bliže
informacije o vlasniku (korisniku) i izdavaocu (CA) kvalifikovanih elektronskih sertifikata,
itd.
Hijerarhija kvalifikovanih elektronskih sertifikata – Sekvenca kvalifikovanih
elektronskih sertifikata bazirana na nivoima koja ima jedan root CA sertifikat i
subordinate/intermediate entitete, kao što su sertifikati drugih CA i korisnici.
Upravljanje kvalifikovanim elektronskim sertifikatima – Aktivnosti pridružene
upravljanju kvalifikovanim elektronskim sertifikatima uključuju izdavanje, čuvanje,
isporuku, objavljivanje i povlačenje kvalifikovanih elektronskih sertifikata.
Registar opozvanih kvalifikovanih elektronskih sertifikata (CRL – Certificate
Revocation List) – Lista izdata i elektronski potpisana od strane CA koja uključuje
23
povučene sertifikate, kao i razloge njihovog povlačenja. Takva lista se mora koristiti od
strane trećih strana uvek kada treba proveriti validnost kvalifikovanog elektronskog
sertifikata i/ili verifikaciju elektronskog potpisa.
Serijski broj kvalifikovanih elektronskih sertifikata – Sekvencijalni ili slučajni broj
koji jedinstveno identifikuje sertifikat u domenu datog CA.
Zahtev za dobijanje kvalifikovanih elektronskih sertifikata (CSR – Certificate
Service Request) – Standardna forma (po PKCS#10 preporuci) koja se koristi za slanje
zahteva za dobijanje kvalifikovanih elektronskih sertifikata.
Sertifikacija – Proces izdavanja elektronskog kvalifikovanog elektronskog sertifikata.
Asimetriĉni par kljuĉeva (key pair) – Privatni ključ i javni ključ, kao matematički par
koji se koriste za potrebe rada asimetričnog kriptografskog algoritma, kao što je na
primer RSA algoritam.
Privatni kljuĉ – Matematički kod koji se koristi kao ključ za kreiranje elektronskog
potpisa i za raspakivanje digitalne envelope – dešifrovanje simetričnog ključa primenom
asimetričnog kriptografskog algoritma. Simetrični ključ je korišćen u simetričnom
kriptografskom algoritmu za šifrovanje dokumenta za datog korisnika.
Javni kljuĉ – Matematički kod koji može biti javno objavljen (najčešće se objavljuje u
okviru X.509v3 elektronskog kvalifikovanih elektronskih sertifikata) i koji se koristi za
verifikaciju elektronskog potpisa, kreiranog pomoću odgovarajućeg privatnog ključa koji
je matematički par sa datim javnim ključem, kao i za šifrovanje simetričnog
ključa/podataka za korisnika koji poseduje odgovarajući privatni ključ.
Šifrovanje – transformacija koja, primenom odgovarajućeg kriptografskog algoritma i
odgovarajućeg kriptografskog ključa, pretvara originalnu informaciju u oblik koji se ne
može čitati (šifrant).
Dešifrovanje – transformacija kojom se iz šifranta dobija originalna informacija
primenom odgovarajućeg kriptografskog algoritma i odgovarajućeg kriptografskog ključa.
Kriptografija – nauka o primeni algoritama za zaštitu tajnosti informacija.
Kriptografski algoritmi – algoritmi po kojima se vrši transformacija originalne
informacije u šifrovanu informaciju (šifrant) i obratno, iz šifranta u originalnu informaciju,
korišćenjem odgovarajućeg kriptografskog ključa.
Kriptografski kljuĉ – tajna i slučajna informacija odgovarajuće dužine u bitovima (na
primer 128 ili 256 bita) koja se koristi u kriptografskim algoritmima, u procedurama
šifrovanja i dešifrovanja.
Simetriĉni kriptografski algoritmi – kriptografski algoritmi koji se koriste za
realizaciju šifrovanja u cilju zaštite tajnosti informacija. Algoritmi se nazivaju simetričnim
zato što se isti kriptografski ključ koristi za šifrovanje i za dešifrovanje.
Asimetriĉni kriptografski algoritmi – kriptografski algoritmi koji se koriste za
realizaciju tehnologije elektronskog potpisa kojim se obezbeĎuje: autentičnost, integritet
i neporecivost transakcija. Algoritmi se nazivaju asimetričnim zato što se različiti
kriptografski ključevi koriste za šifrovanje i za dešifrovanje. Asimetrični kriptografski
algoritam koristi par ključeva, javni i privatni, i to javni u postupku šifrovanja i privatni u
postupku dešifrovanja.
Hash algoritmi – jednosmerni kriptografski algoritmi pomoću kojih se vrši kriptografska
24
transformacija informacije proizvoljne veličine u hash vrednost fiksne veličine (160, 224,
256, 384 ili 512 bitova).
Identifikator objekta (Object identifier) – Sekvenca brojčanih komponenti koja može
biti pridružena nekom registrovanom objektu i koja ima karakteristiku da je jedinstvena u
svim identifikatorima objekata u okviru specifičnog domena.
Repozitorijum – Baza podataka i/ili direktorijum na kome su publikovani osnovni
dokumenti rada CA, kao i eventualne druge informacije koje se odnose na pružanje
sertifikacionih usluga od strane datog CA (kao na primer publikacija svih izdatih
kvalifikovanih elektronskih sertifikata ukoliko je to dozvoljeno prema Politici sertifikacije i
ukoliko su korisnici dali saglasnost za to, itd.).
Povlaĉenje kvalifikovanih elektronskih sertifikata – Permanentno ukidanje
validnosti datog kvalifikovanih elektronskih sertifikata i njegovo smeštanje u registru
opozvanih sertifikata (CRL).
Deljena tajna – Deo kriptografske tajne koja je podeljena na unapred definisan broj
fizičkih tokena, kao na primer smart kartica.
Smart kartica – Hardverski token koji sadrži čip na kojem mogu da se izvrše
odgovarajuće kriptografske funkcije, kao što su: elektronski potpis, šifrovanje,
generisanje para asimetričnih ključeva, itd.
Korisniĉki ugovor – Ugovor izmeĎu korisnika i CA u cilju obezbeĎenja sertifikacionih
usluga.
Skraćenice koje se koriste u ovom dokumentu:
CA – Certification Authority
RA – Registration Authority
PKI – Public Key Infrastructure
OID – Object IDentifier
TSA – Time Stamping Authority
CRL – Certificate Revocation List
CSR – Certificate Service Request
CDP – CRL Distribution Point
AIA – Authority Information Access
AKI – Authority Key Identifier
SKI – Subject Key Identifier
RFC – Request For Comments
ETSI – European Telecommunication Standardization Institute
CP – Certificate Policy
25
CPS – Certificate Practise Statement
URL – Uniform Resource Locator
26
2. ODGOVORNOSTI ZA PUBLIKACIJE I REPOZITORIJUME
HALCOM BG CA publikuje informacije u vezi kvalifikovanih elektronskih sertifikata koje
izdaje na on-line repozitorijumu. U tom smislu, HALCOM BG CA poseduje on-line
repozitorijum dokumenata u kojima se objavljuju informacije o praktičnim pravilima i
politikama rada, uključujući CP kao i ova CPS.
Sertifikaciono telo HALCOM BG CA javno objavljuje sve informacije koje se odnose na rad
sertifikacionog tela, obaveštenja korisnicima i trećim licima, kao i ostale važne
dokumente, na web stranicama Halcom a.d. Beograd, http://www.halcom.rs
Dokumenti koji su javno dostupni na web sajtu su:

politika sertifikacije CP i CPS dokument,

prijavni formulari za usluge sertifikacionog tela,

uputstva za bezbedno korišćenje kvalifikovanih elektronskih sertifikata,

informacije o važećem zakonodavstvu vezano za delovanje sertifikacionog tela

ostale informacije vezane na delovanje HALCOM BG CA.
MeĎutim, javno nisu dostupni dokumenti koji predstavljaju interna pravila sertifikacionog
tela HALCOM BG CA.
HALCOM BG CA zadržava pravo da publikuje statusne informacije o kvalifikovanim
elektronskim sertifikatima i na repozitorijumu neke treće strane ukoliko je to pogodno.
HALCOM BG CA zadržava pravo da učini raspoloživim i publikuje informacije u vezi
sopstvenih politika i procedura rada putem bilo kog pogodnog načina.
Učesnici u sertifikacionim uslugama se obaveštavaju da HALCOM BG CA zadržava pravo
da publikuje informacije koje su oni dostavili, ukoliko su dali saglasnost za objavljivanje,
na javno pristupačnim direktorijuma uz pridružene statusne informacije o kvalifikovanim
elektronskim sertifikatima, ukoliko se na to odluči, a u skladu sa zakonom o zaštiti ličnih
podataka.
Iz razloga njihove osetljivosti i poslovne tajne, HALCOM BG CA neće publikovati interna
pravila rada koja se odnose na izvesne pod-komponente i elemente koji uključuju
odreĎene bezbednosne kontrole, procedure koje se odnose na upravljanje ključevima,
proceduru distribuirane odgovornosti, bezbednost registracionih tela, „root signing“
proceduru i sve ostale bezbednosno osetljive procedure.
Opozvani kvalifikovani elektronski sertifikati se objavljuju u registru opozvanih
kvalifikovanih elektronskih sertifikata (CRL) u roku od 24 (dvadesetčetiri) sata, dok se
ostale javno dostupne informacije, odnosno dokumenti, objavljuju prema potrebi.
HALCOM BG CA publikuje informacije o statusu kvalifikovanih elektronskih sertifikata u
odreĎenim intervalima, kako je to naznačeno u ovom CPS dokumentu.
Nova verzija CP i CPS politika objavljuje se odmah nakon prihvatanja i odobravanja istih
od strane Višeg upravnog odbora sertifikacionog tela.
Registar opozvanih kvalifikovanih elektronskih sertifikata na serveru ldap.halcom.rs se
obnavlja u roku od dvadesetčetiri (24) sata nakon opoziva kvalifikovanih elektronskih
sertifikata (CRL). Sa zakašnjenjem od nekoliko minuta tako obnovljen registar opozvanih
kvalifikovanih elektronskih sertifikata se prenosi i na web stranice HALCOM BG CA.
27
Javno dostupne informacije, odnosno dokumenti, (osim gore navedenih) objavljuju se
prema potrebi.
HALCOM BG CA održava raspoloživim pristup do svog javnog repozitorijuma trećim
stranama sa svrhom validacije kvalifikovanih elektronskih sertifikata samog CA tela.
HALCOM BG CA može ograničiti ili zabraniti pristup odreĎenim uslugama, kao što su
publikovanje statusnih informacija o bazama podataka treće strane, odreĎenim privatnim
direktorijumima, itd.
Iako je pristup HALCOM BG CA repozitorijumu i direktorijumima besplatan, HALCOM BG
CA zadržava pravo da naplaćuje odreĎena specifična korišćenja svojih servisa.
Registar opozvanih kvalifikovanih elektronskih sertifikata je javno dostupan na serveru
ldap.halcom.rs, TCP port 389 u skladu sa LDAP protokolom.
Odgovarajućim tehničkim uslovima (mašinska i programska oprema) HALCOM BG CA
garantuje kontrole koje sprečavaju neovlašćeno dodavanje, menjanje ili brisanje
podataka u registru opozvanih kvalifikovanih elektronskih sertifikata.
28
3. IDENTIFIKACIJA I AUTENTIKACIJA KORISNIKA
HALCOM BG CA održava dokumentovana praktična pravila i procedure u cilju
autentikacije identiteta i/ili drugih atributa aplikanata/krajnjih korisnika kvalifikovanih
elektronskih sertifikata koje izdaje HALCOM BG CA sertifikaciono telo, a što se izvršava
pre samog izdavanja kvalifikovanih elektronskih sertifikata.
HALCOM BG CA koristi potvrĎene procedure u cilju prihvatanja aplikacija od entiteta koji
žele da postanu članovi HALCOM BG CA PKI hijerarhije.
HALCOM BG CA autentikuje zahteve strana koje žele da povuku sertifikate u skladu sa
ovim Praktičnim pravilima rada.
HALCOM BG CA održava odgovarajuće procedure u cilju odreĎivanja praktičnih pravila za
dodeljivanje imena, uključujući i prepoznavanje “trademark” prava u izvesnim imenima.
3.1 NAZIVI
3.1.1 TIPOVI IMENA
U cilju identifikacije korisnika, HALCOM BG CA sprovodi odgovarajuća pravila dodeljivanja
imena i identifikacije koja uključuje tipove imena pridruženih subjektu, kao na primer
X.500 “distinguished” imena.
Karakteristična imena koje sadrži kvalifikovani elektronski sertifikat nedvosmisleno i
jednoznačno definišu vlasnika kvalifikovanih elektronskih sertifikata osim ako se, ovim
dokumentom ili sadržajem kvalifikovanog elektronskog sertifikata, drugačije zahteva.
U skladu sa RFC 5280, svaki kvalifikovani elektronski sertifikat sadrži podatke o vlasniku i
izdavaocu kvalifikovanog elektronskog sertifikata u obliku karakterističnog imena.
Karakteristično ime je formirano u skladu sa RFC 5280 i standardom X501.
Izdavalac kvalifikovanih elektronskih sertifikata je u izdatom sertifikatu naveden u polju
Izdavač, engl. Issuer.
Osnovni podaci o vlasniku koje sadrži karakteristično ime vlasnika kvalifikovanog
elektronskog sertifikata nalaze se u izdatom sertifikatu navedeni u polju Nosilac engl.
Subject.
Jedinstveni serijski broj korisnika u okviru sertifikacionog tela koji se takoĎe sadrži u
karakterističnom imenu odreĎuje izdavalac HALCOM BG CA.
Vrsta sertifikata
Kvalifikovani
elektronski sertifikat
sertifikacionog tela
HALCOM BG CA
Kvalifikovani
elektronski sertifikat
za korisnike (Digital
Signature, NonRepudiation
Naziv polja
Izdavalac
engl. Issuer
Karakteristično ime
C= RS
O= Halcom a.d. Beograd
CN= HALCOM BG CA PL
Korisnik,
engl. Subject
C= RS
G= <ime>
SN= <prezime>
CN=<ime, prezime, AR ID,- JMBG>
O = <ime organizacije>
SERIALNUMBER= <serijski br. SIM
kartice> (mobilni sertifikati)
29
3.1.2 POTREBA DA IMENA BUDU SA REALNIM ZNAĈENJEM
U skladu sa karakterističnim imenom, AR ID-em i jedinstvenim matičnim brojem vlasnik
kvalifikovanog elektronskog sertifikata je nedvosmisleno i jednoznačno definisan.
Karakteristično ime zajedno sa AR ID-em i jedinstvenim matičnim brojem jedinstveno je
u okviru sertifikacionog tela, tj. da je formirano na način da je iz istog moguće
jednoznačno identifikovati pojedinca.
3.1.3 ANONIMNI KORISNICI I KORIŠĆENJE PSEUDONIMA
HALCOM BG CA ne izdaje anonimne sertifikate korisnicima.
3.1.4 PRAVILA ZA INTERPRETACIJU RAZLIĈITIH FORMI IMENA
Podaci o vlasniku kvalifikovanog elektronskog sertifikata u karakterističnom imenu sadrže
slova srpske abecede, dok se preostali znakovi transformišu prema donjim pravilima:
Znak
Ü
Ö
Ø
ß
Ñ
Ŕ
Transformacija
Ue
Oe
Oe
Ss
N
Rz
Odgovarajućom kombinacijom slova sertifikaciono telo obezbeĎuje korišćenje ostalih
nepredvidivih znakova.
3.1.5 JEDINSTVENOST IMENA
Karakteristično ime zajedno sa AR ID-em i jedinstvenim matičnim brojem jedinstveno je
u okviru sertifikacionog tela, tj. da je formirano na način da je iz istog moguće
jednoznačno identifikovati pojedinca.
3.1.6 PREPOZNAVANJE, AUTENTIKACIJA I ULOGA ROBNIH MARKI
(„TRADEMARKS“)
Vlasnici kvalifikovanih elektronskih sertifikata ne smeju da zahtevaju imena koja
pripadaju nekome drugome čime bi se kršila autorska ili druga prava trećih lica.
Eventualne sporove rešavaju
elektronskog sertifikata.
isključivo
oštećena
strana
i
vlasnik
kvalifikovanog
3.2 PROVERA IDENTITETA
Budući vlasnik kvalifikovanog elektronskog sertifikata mora da zahteva kvalifikovani
elektronski sertifikat u svoje lično ime i ime korisnika u okviru pravnog lica, kao
ovlašćeno lice odgovarajućeg pravnog lica. Prijavna služba proverava identitet budućeg
vlasnika kvalifikovanog elektronskog sertifikata.
30
3.2.1 AUTENTIKACIJA IDENTITETA ORGANIZACIJE
Identitet organizacije se proverava na osnovu pravnih dokumenata o uspostavljanju date
organizacije, kao i ovlašćenjem da dato fizičko lice ima ovlašćenje da dobije kvalifikovani
elektronski sertifikat u ime date organizacije.
3.2.3 AUTENTIKACIJA IDENTITETA POJEDINCA
Proveravanje identiteta vlasnika kvalifikovanih elektronskih sertifikata izvršava operater
registracionog tela HALCOM BG CA tako što proveri lične podatke o vlasniku na osnovu
ličnog identifikacionog dokumenta, a po potrebi i u odgovarajućim registrima.
Dakle, u cilju identifikacije i autentikacije individualnog korisnika koji aplicira za dobijanje
kvalifikovanih elektronskih sertifikata, kao ovlašćeno lice datog pravnog lica, od strane
HALCOM BG CA sertifikacionog tela, CA može primeniti korake koji uključuju ali nisu
ograničeni na:

Provera dokumenata kao što su lična karta ili pasoš, u skladu sa važećim zakonom
za pojedinca – fizičko lice za sebe lično, odnosno fizičko lice koje aplicira za
kvalifikovani elektronski sertifikat kao ovlašćeno lice pravnog lica

UtvrĎivanje identiteta
dokumentaciji.

Zahtev je da se pojedinac fizički pojavi u RA (registracionom telu) u odgovarajućoj
fazi pre nego što se kvalifikovani elektronski sertifikat izda.
datog
pojedinca
koja
se
bazira
na
dostavljenoj
3.2.4 VALIDACIJA AUTORITETA
Proveravanje ovlašćenja zaposlenih za dobijanje kvalifikovanih elektronskih sertifikata u
ime date organizacije, predstavlja neophodan korak u cilju dobijanja kvalifikovanog
elektronskog sertifikata.
Kada HALCOM BG CA sertifikaciono telo pri izdavanju kvalifikovanih elektronskih
sertifikata uključuje informacije o odgovarajućim ovlašćenjima, kao što su specifična
prava ili dozvole, uključujući dozvolu za dobijanje kvalifikovanih elektronskih sertifikata u
cilju realizacije odgovarajućih aktivnosti u ime date organizacije, HALCOM BG CA
sertifikaciono telo može zahtevati specijalnu pismenu dozvolu od strane date
organizacije.
3.2.5 MEĐUSOBNO PRIZNAVANJE
Sertifikaciono telo HALCOM BG CA priznaje sva akreditovana sertifikaciona tela u
Republici Srbiji
3.3 IDENTIFIKACIJA I AUTENTIKACIJA ZAHTEVA ZA OBNAVLJANJE
KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Identitet vlasnika kod ponovnog izdavanja kvalifikovanog elektronskog sertifikata se
proverava:
Ličnim prisustvom vlasnika kvalifikovanog elektronskog sertifikata u registracionom telu,
sertifikacionog tela HALCOM BG CA
31
3.3.1 IDENTIFIKACIJA I AUTENTIKACIJA ZA RUTINSKO OBNAVLJANJE
KLJUĈEVA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
3.3.2 IDENTIFIKACIJA I AUTENTIKACIJA ZA OBNAVLJANJE KLJUĈEVA NAKON
OPOZIVA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
3.4 IDENTIFIKACIJA I AUTENTIKACIJA ZAHTEVA ZA OPOZIV
KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
U cilju sprovoĎenja procedura identifikacije i autentikacije zahteva za povlačenjem
kvalifikovanih elektronskih sertifikata za odgovarajuće tipove subjekata (CA, RA, korisnici
ili drugi učesnici), zahtevi se upućuju odgovarajućem RA ili putem komunikacije do
samog CA. RA sprovodi takve zahteve do HALCOM BG CA sertifikacionog tela u cilju
realizacije procedure povlačenja kvalifikovanih elektronskih sertifikata.
Primeri bezbednog dostavljanja zahteva za povlačenjem su overeni zahtevi od strane
samih korisnika koji žele da im se povuče kvalifikovani elektronski sertifikat (ukoliko je
takva mogućnost dozvoljena u okviru CPS) ili overeni zahtevi od strane RA ili CA
ovlašćenih službenika.
Dakle, zahtev za opoziv svog kvalifikovanog elektronskog sertifikata vlasnik preda:

Lično registracionom telu gde ovlašćena lica registracionog tela provere identitet
podnosioca zahteva,

U slučaju da vlasnik kvalifikovanog elektronskog sertifikata putem telefona,
elektronske pošte ili FAX-a zahteva opoziv sertifikata, sertifikaciono telo HALCOM
BG CA prvo definiše suspenziju sertifikata. Tek na osnovu prijema overenog
pismenog zahteva za opoziv sertifikata, koji vlasnik lično dostavi registracionom
telu, faktički se sprovodi sam opoziv sertifikata.
32
4. OPERATIVNI ZAHTEVI U VEZI ŽIVOTNOG CIKLUSA
KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Za sva eksterna intermediate sertifikaciona tela, registraciona tela, korisnike ili druge
učesnike postoji stalna obaveza da informišu HALCOM BG CA sertifikaciono telo o svim
promenama u informacijama koje su objavljene u kvalifikovanom elektronskom
sertifikatu za čitav period operativnog rada takvog kvalifikovanog elektronskog
sertifikata. OdreĎene druge obaveze se takoĎe mogu dodatno primeniti.
4.1 ZAHTEV ZA DOBIJANJE KVALIFIKOVANOG ELEKTRONSKOG
SERTIFIKATA
4.1.1 KO MOŢE DA DOSTAVI ZAHTEV ZA IZDAVANJE KVALIFIKOVANOG
ELEKTRONSKOG SERTIFIKATA?
Budući vlasnici kvalifikovanih elektronskih sertifikata koji se izdaju u skladu sa ovim CPS
dokumentom su fizička lica i ovlašćena lica odgovarajućih pravnih lica.
Što se tiče zahteva za izdavanje korisnikovog elektronskih sertifikata, HALCOM BG CA
sertifikaciono telo zahteva da korisnik lično podnese zahtev sertifikacionom telu, odnosno
registracionom telu, i overen i potpisan od strane zakonitog zastupnika u slučaju da je
zahtev za korišćenje kvalifikovanih elektronskih sertifikata za potrebe pravnog lica,
odnosno potpisan svojeručnim potpisom kada zahtev podnosi fizičko lice u svoje ime i za
svoje potrebe.
Zahtev za izdavanje kvalifikovanih elektronskih sertifikata od strane HALCOM BG CA
sertifikacionog tela može da podnese svako ko ispunjava sledeće uslove:

Korisnik mora biti prihvatljiv krajnji korisnik Servisnog centra Halcom a.d.
Beograd kako to definiše politika sertifikacije i ovaj CPS dokument.

Zahtev koji predaje korisnik mora da u sebi sadrži sve neophodne podatke,
uključujući dovoljno podataka da korisnik može da bude identifikovan na
jedinstven način.
4.1.2 PROCES DOSTAVLJANJA ZAHTEVA ZA IZDAVANJEM KVALIFIKOVANOG
ELEKTRONSKOG SERTIFIKATA (ENROLLMENT) I ODGOVORNOSTI
Kvalifikovani elektronski sertifikat se izdaje na osnovu pravilno ispunjene i potpisane
narudžbenice za izdavanje kvalifikovanog elektronskog sertifikata (u daljem tekstu
narudžbenica) od budućeg vlasnika sertifikata.
Narudžbenica se predaje registracionom telu (RA) HALCOM BG CA lično od strane
budućeg vlasnika kvalifikovanog elektronskog sertifikata.
Narudžbenice za izdavanje kvalifikovanog elektronskog sertifikata dostupne su kako kod
registracionih tela (RA) HALCOM BG CA tako i na web stranici HALCOM BG CA.
Budući vlasnik kvalifikovanog elektronskog sertifikata lično predaje narudžbenicu/molbu u
pismenom obliku.
Pre izdavanja narudžbenice, HALCOM BG CA je u obavezi da upozna budućeg vlasnika,
kao i pravno lice sa ovim CPS dokumentom, kao i sa ostalim informacijama o
elektronskom potpisivanju i operativnom radu sertifikacionog tela HALCOM BG CA.
33
HALCOM BG CA zadržava pravo da negativno reši molbu korisnika za izdavanje
kvalifikovanog elektronskog sertifikata ako je u suprotnosti sa važećim propisima
Republike Srbije ili Evropske Unije.
4.2 PROCESIRANJE ZAHTEVA ZA DOBIJANJE KVALIFIKOVANIH
ELEKTRONSKIH SERTIFIKATA
4.2.1 IZVRŠAVANJE FUNKCIJE IDENTIFIKACIJE I AUTENTIKACIJE KORISNIKA
Ovlašćeno lice registracionog tela proverava identitet budućeg vlasnika. Budući vlasnik
mora da dokaže svoj identitet važećim ličnim dokumentom sa fotografijom i ličnim
prisustvom u registracionom telu. Pod ličnim identifikacionim dokumentom smatraju se
važeća lična karta i pasoš.
Ovlašćena lica registracionog ili sertifikacionog tela dužna su da provere identitet
budućeg vlasnika sertifikata, odnosno sve one podatke koji su navedeni u zahtevu a
dostupni su u službenim evidencijama odnosno u drugim službeno važećim
dokumentima.
Ovlašćena lica registracionog tela proverene ispunjene molbe/narudžbenice, kao i
dopunsku originalnu dokumentaciju koja se zahteva, prosleĎuju sertifikacionom telu
HALCOM BG CA.
4.2.2 POTVRĐIVANJE ILI ODBIJANJE ZAHTEVA ZA DOBIJANJE
KVALIFIKOVANOG CERTIFIKATA KORISNIKA
Nakon toga, HALCOM BG CA ili RA potvrĎuju ili odbijaju zahtev za izdavanje
kvalifikovanih elektronskih sertifikata. Takvo potvrĎivanje ili odbijanje ne mora
neophodno da bude obrazloženo podnosiocu ili bilo kojoj drugoj strani ako je u
suprotnosti sa poslovnim i etičkim standardima za koje se zalaže Halcom BG CA.
Ovlašćena lica sertifikacionog tela HALCOM BG CA odobravaju, odnosno u slučaju
nepravilnih ili nedostajućih podataka ili neispunjavanja obaveza, odbijaju zahtev za
dobijanje kvalifikovanog elektronskog sertifikata ako je u suprotnosti važećim propisima
Republike Srbije ili Evropske Unije. O tome su zakoniti zastupnik pravnog lica ili budući
korisnici obavešteni lično ili elektronskom poštom.
Nakon dostavljanja aplikacije za izdavanje kvalifikovanih elektronskih sertifikata, ili
zahteva za obnavljanjem kvalifikovanih elektronskih sertifikata, RA operator (RAO)
potvrĎuje ili odbija dostavljene zahteve.
Nakon potvrĎivanja dostavljenih informacija u aplikaciji za izdavanje kvalifikovanih
elektronskih sertifikata, RAO potvrĎuje ili odbija aplikaciju za izdavanje kvalifikovanih
elektronskih sertifikata.
Nakon potvrĎivanja aplikacije za izdavanje kvalifikovanih elektronskih sertifikata, RAO
šalje zahtev za izdavanje kvalifikovanih elektronskih sertifikata do HALCOM BG CA
sertifikacionog tela.
4.2.3 POTREBNO VREME ZA PROCESIRANJE APLIKACIJE KORISNIKA
Pravna lica:
HALCOM BG CA se po osnovu odobrenog zahteva za izdavanje kvalifikovanog
elektronskog sertifikata
obavezuje da najkasnije u roku od pet (5) dana izda
kvalifikovani elektronski sertifikat na smart kartici ili USB ključu i lozinku za upotrebu
34
sertifikata (PIN kod) i pošalje ih odvojeno registracionom telu koje dalje distribuira
sertifikate do budućih vlasnika.
Fizička lica:
Na osnovu odobrenog zahteva i podmirenih finansijskih obaveza vezanih za izdavanje
kvalifikovanog elektronskog sertifikata mobilni operater unosi podatke u bazu, korisniku
isporučuje SIM karticu i PIN kod, nakon čega je omogućeno preuzimanje sertifikata.
4.3 IZDAVANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
4.3.1 AKTIVNOSTI CA TOKOM PROCESA IZDAVANJA KVALIFIKOVANIH
ELEKTRONSKIH SERTIFIKATA
Proizvodni postupak za generisanje kvalifikovanih elektronskih sertifikata sa dva para
asimetričnih ključeva sastoji se iz jasno odvojenih koraka (ili funkcija), sa odvojenim
podsistemima:
Pravna lica:
1. pred personalizacija bezbednosnog nosioca (generisanje ključeva na kartici i PIN
koda),
2. obrada zahteva za izdavanje kvalifikovanog elektronskog sertifikata,
3. priprema kvalifikovanih elektronskih sertifikata
4. personalizacija smart kartice (izdavanje i upis sertifikata, štampanje podataka
vlasnika na smart kartici),
5. štampanje lične lozinke (PIN koda),
6. isporučivanje kvalifikovanog elektronskog sertifikata na smart kartici i lične lozinke
(PIN koda),
Kvalifikovani elektronski sertifikat na bezbednom mediju i odgovarajuća lična lozinka (PIN
kod) se do registracionog tela dostavlja putem dva odvojena kanala u dve odvojene
pošiljke, dok se vlasniku isporučuje lično na šalterima prijemne službe, u dve odvojene
pošiljke, na dva različita šaltera.
Fizička lica:
1. obrada zahteva za izdavanje kvalifikovanog elektronskog sertifikata,
2. priprema elektronskog zahteva za preuzimanje kvalifikovanog elektronskog
sertifikata na mobilnom telefonu korisnika (engl. »certificate request«),
3. isporuka elektronskog zahteva za preuzimanje kvalifikovanog elektronskog
sertifikata do sertifikacionog tela,
4. priprema kvalifikovanog elektronskog sertifikata,
5. preuzimanje kvalifikovanog elektronskog sertifikata,
6. isporuka obaveštenja vlasniku o zaključenom postupku.
Svi opisani postupci zasnovani su tako da ih ne može izvesti samostalno jedna osoba.
4.4 PRIHVATANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
4.4.1 SPROVOĐENJE PROCESA PRIHVATANJA KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
Pravna lica:
Preuzimanje kvalifikovanih elektronskih sertifikata vrši se tako što budući vlasnik primi
35
kvalifikovani elektronski sertifikat na bezbednom mediju i odgovarajuću ličnu lozinku (PIN
kod) lično na šalterima prijemne službe HALCOM BG CA pogledati poglavlje 4.3.1.
Fizička lica:
Postupak preuzimanja kvalifikovanog elektronskog sertifikata i PIN koda definisan je u
četiri koraka:
1.
2.
3.
4.
Operater korisniku lično isporuči SIM karticu i PIN kod.
Korisnik se identifikuje kod RA.
RA unese podatke u bazu.
RA ili korisnik pokrene izradu kvalifikovanog elektronskog sertifikata: elektronski
se potpiše zahtev za izdavanje koji se prosledi do CA, CA izda sertifikat (kojeg
korisnik preuzima sa mobilnom telefonom, putem bežične mreže operatera) i
obavesti korisnika putem aplikacije na mobilnom telefonu.
Bilo koja primedba na prihvatanje izdatog kvalifikovanog elektronskog sertifikata mora
biti eksplicitno dostavljena do HALCOM BG CA tela, kao sertifikacionom telu – izdavaocu.
Potvrda odbijanja koja uključuje sva eventualna polja u sertifikatu koja sadrže pogrešne
informacije mora takoĎe biti dostavljena.
4.4.2 OBJAVLJIVANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA OD
STRANE CA
Kvalifikovani elektronski sertifikati se u skladu sa Zakonom i podzakonskim aktima javno
ne objavljuju.
4.4.3 OBAVEŠTENJE DRUGIH ENTITETA O IZDATOM SERTIFIKATU
Sertifikaciono telo ne obaveštava druga preduzeća, odnosno organizacija, o izdavanju
kvalifikovanog elektronskog sertifikata.
4.5 KORIŠĆENJE KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA
I ASIMETRIĈNOG PARA KLJUĈA
U ovom poglavlju se definišu odgovornosti koje se odnose na korišćenje asimetričnog
para ključeva i kvalifikovanog elektronskog sertifikata, i to kako od strane korisnika tako i
od trećih strana.
4.5.1 KORIŠĆENJE PRIVATNOG KLJUĈA I KVALIFIKOVANOG ELEKTRONSKOG
SERTIFIKATA OD STRANE KORISNIKA
Korisnik se obavezuje da će koristiti privatni ključ i generisani kvalifikovani elektronski
sertifikat od strane HALCOM BG CA sertifikacionog tela samo u predviĎenim aplikacijama
(elektronsko bankarstvo, itd.) koje su navedene u CP i ovim CPS, kao i u skladu sa
definisanim načinom korišćenja ključa u samom sertifikatu (Key Usage i Enhanced Key
Usage ekstenzije).
Korišćenje privatnog ključa i kvalifikovanog elektronskog sertifikata predstavlja deo
korisnikovog ugovora sa CA. U tom smislu, korisnik može koristiti svoj privatni ključ
samo nakon prihvatanja odgovarajućeg kvalifikovanog elektronskog sertifikata. TakoĎe,
korisnik mora prestati da koristi svoj privatni ključ nakon isticanja perioda validnosti ili
povlačenja izdatog kvalifikovanog elektronskog sertifikata.
36
4.5.2 KORIŠĆENJE JAVNOG KLJUĈA I KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA OD STRANE TREĆIH STRANA
Treća strana može da prihvata kvalifikovane elektronske sertifikate izdate od strane
HALCOM BG CA sertifikacionog tela u onim aplikacijama koje su definisane u CP i ovim
CPS, kao i sa predviĎenim načinom korišćenja kvalifikovanih elektronskih sertifikata
definisanim u samim sertifikatima.
Treća strana je obavezna da propisno i uspešno primenjuje operaciju javnog ključa koji
ekstrahuje iz izdatog kvalifikovanog elektronskog sertifikata i odgovorna je da sprovodi
proveru statusa opozvanosti datog kvalifikovanog elektronskog sertifikata korišćenjem
metoda koji je definisan u CP i CPS dokumentima HALCOM BG CA sertifikacionog tela.
4.6 OBNAVLJANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Obnova kvalifikovanih elektronskih sertifikata moguća je samo na osnovu zahteva
vlasnika.
Postupak podnošenja zahteva za obnovu kvalifikovanih elektronskih sertifikata isti je kao
i kod prvobitnog izdavanja.
4.6.1 USLOVI ZA OBNAVLJANJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Pre isteka validnosti kvalifikovanog elektronskog sertifikata, dostavljanjem zahteva za
obnovu kvalifikovanih elektronskih sertifikata, vlasnici kvalifikovanih elektronskih
sertifikata obezbeĎuju kontinuitet korišćenja kvalifikovanih elektronskih sertifikata.
Zahtev za obnovu je moguće uložiti i nakon isteka validnosti kvalifikovanih elektronskih
sertifikata.
4.6.2 KO MOŢE ZAHTEVATI OBNAVLJANJE KVALIFIKOVANOG ELEKTRONSKOG
SERTIFIKATA
Samo vlasnik kvalifikovanog elektronskog sertifikata može da traži obnovu kvalifikovanog
elektronskog sertifikata.
4.6.3 PROCESIRANJE ZAHTEVA ZA OBNAVLJANJEM KVALIFIKOVANIH
ELEKTRONSKIH SERTIFIKATA
Obnovu kvalifikovanog elektronskog sertifikata zahteva korisnik dostavljanjem propisane
dokumentacije za obnovu kvalifikovanog elektronskog sertifikata prijemnoj službi
HALCOM BG CA.
Postupak garantuje da je pravno, odnosno fizičko, lice koje uloži zahtev za obnovu
kvalifikovanog elektronskog sertifikata doista vlasnik kvalifikovanog elektronskog
sertifikata.
Sertifikaciono telo obnavlja kvalifikovani elektronski sertifikat, tj. procesira dostavljeni
zahtev i dostavlja obnovljeni kvalifikovani elektronski sertifikat korisniku.
Autentikacija korisnika u cilju obnove kvalifikovanog elektronskog sertifikata vrši se na
isti način kao i autentikacija pri izdavanju kvalifikovanog elektronskog sertifikata prvi put.
4.6.4 OBAVEŠTENJE KORISNIKA DA MU JE IZDAT OBNOVLJENI KVALIFIKOVANI
ELEKTRONSKI SERTIFIKAT
Pogledati poglavlje 4.4.1.
37
4.6.5 SPROVOĐENJE PROCESA PREUZIMANJA OBNOVLJENOG KVALIFIKOVANOG
ELEKTRONSKOG SERTIFIKATA
Pogledati poglavlje 4.4.1.
4.6.6 OBJAVLJIVANJE OBNOVLJENOG KVALIFIKOVANOG ELEKTRONSKOG
SERTIFIKATA OD STRANE CA
Lista obnovljenih kvalifikovanih elektronskih sertifikata se ne objavljuje.
4.6.7 OBAVEŠTENJE DRUGIH ENTITETA OD STRANE CA O OBNOVI DATOG
KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA
Sertifikaciono telo o izdavanju pojedinačnih
kvalifikovanih elektronskih sertifikata
vlasnicima ne obaveštava preduzeća i druge organizacije.
4.7 GENERISANJE NOVOG PARA KLJUĈEVA I KVALIFIKOVANOG
ELEKTRONSKOG SERTIFIKATA KORISNIKA
4.7.1 USLOVI ZA GENERISANJE NOVOG PARA KLJUĈEVA I KVALIFIKOVANOG
ELEKTRONSKOG SERTIFIKATA
Uslovi za generisanje novog para ključeva korisnika su:

Kvalifikovani elektronski sertifikat datog korisnika je istekao ili

Kvalifikovani elektronski sertifikat datog korisnika je opozvan, a korisnik ima pravo
da naknadno zatraži dobijanje novog kvalifikovanog elektronskog sertifikata.
Korisnici kojima je kvalifikovani elektronski sertifikat istekao, ukoliko žele da dobiju novi
kvalifikovani elektronski sertifikat, moraju da podnesu zahtev za izdavanje kvalifikovanog
elektronskog sertifikata koji je isti kao i svaki novi zahtev za dobijanje kvalifikovanog
elektronskog sertifikata. U tom slučaju, generiše se novi par asimetričnih ključeva.
TakoĎe, ukoliko je kvalifikovani elektronski sertifikat korisnika povučen, korisnik može
dobiti novi kvalifikovani elektronski sertifikat samo na osnovu generisanog novog para
asimetričnih ključeva i putem procedure koja je identična dostavljanju zahteva za
izdavanje novog kvalifikovanog elektronskog sertifikata.
4.7.2 KO MOŢE ZAHTEVATI NOVI KVALIFIKOVANI ELEKTRONSKI SERTIFIKAT
SA NOVIM JAVNIM KLJUĈEM
Svi korisnici HALCOM BG CA sertifikacionog tela koji ispunjavaju uslove iz tačke 4.7.1.
4.7.3 PROCESIRANJE ZAHTEVA ZA NOVIM PAROM KLJUĈEVA I SERTIFIKATOM
Nakon dostavljanja zahteva za izdavanjem novog kvalifikovanog elektronskog sertifikata,
dalja procedura je u potpunosti identična proceduri za dobijanje prvog kvalifikovanog
elektronskog sertifikata.
4.7.4 OBAVEŠTENJE KORISNIKA DA MU JE IZDAT NOVI KVALIFIKOVANI
ELEKTRONSKI SERTIFIKAT
Ova procedure je identična proceduri izdavanja prvog kvalifikovanog elektronskog
sertifikata.
38
4.7.5 SPROVOĐENJE PROCESA PRIHVATANJA NOVOG KVALIFIKOVANOG
ELEKTRONSKOG SERTIFIKATA
Ova procedure je identična proceduri prihvatanja prvog kvalifikovanog elektronskog
sertifikata.
4.7.6 OBJAVLJIVANJE NOVOG KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA
OD STRANE CA
Ova procedure je identična proceduri objavljivanja prvog kvalifikovanog elektronskog
sertifikata.
4.7.7 OBAVEŠTAVANJE DRUGIH ENTITETA OD STRANE CA O IZDAVANJU NOVOG
KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA
Ova procedura je identična proceduri obaveštavanja drugih entiteta o izdavanju prvog
kvalifikovanog elektronskog sertifikata od strane CA.
4.8 MODIFIKACIJE KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA KORISNIKA
4.8.1 USLOVI ZA MODIFIKACIJU KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA KORISNIKA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.2 KO MOŢE ZAHTEVATI MODIFIKACIJU KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.3 PROCESIRANJE ZAHTEVA ZA MODIFIKACIJOM KVALIFIKOVANIH
ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.4 OBAVEŠTENJE KORISNIKA DA MU JE IZDAT NOVI MODIFIKOVANI
KVALIFIKOVANI ELEKTRONSKI SERTIFIKAT
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.5 SPROVOĐENJE PROCESA PRIHVATANJA NOVOG MODIFIKOVANOG
KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.6 OBJAVLJIVANJE NOVOG MODIFIKOVANOG KVALIFIKOVANIH
ELEKTRONSKIH SERTIFIKATA OD STRANE CA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.8.7 OBAVEŠTENJE DRUGIH ENTITETA OD STRANE CA O IZDAVANJU NOVOG
MODIFIKOVANOG KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
39
4.9 OPOZIV I SUSPENZIJA KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
4.9.1 USLOVI ZA POVLAĈENJE KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Opoziv svog kvalifikovanog elektronskog sertifikata vlasnik može da zahteva bilo kada, ali
svakako mora da ga zahteva u slučaju:
1. promene karakterističnog imena (DN),
2. kada se ustanovi ili sumnja da je došlo do pronevere ili zloupotrebe privatnog
ključa za elektronsko potpisivanje,
3. zamene kvalifikovanog elektronskog sertifikata drugim sertifikatom (npr. kod
gubitka bezbednosnog nosioca)
Sertifikaciono telo HALCOM BG CA može da opozove kvalifikovani elektronski sertifikat
bez zahteva vlasnika u slučajevima navedenim u prvom paragrafu ili na osnovu zahteva
nadležnog suda ili drugog državnog nadležnog organa.
Sertifikaciono telo HALCOM BG CA će na osnovu pravilnog zahteva za opoziv sertifikata,
isti opozvati u roku od četiri (4) sata. Opozvani kvalifikovani elektronski sertifikat će biti
označen u registru opozvanih sertifikata (CRL) prilikom izdavanja prve sledeće CRL liste
koja se izdaje periodično, na svaka dvadeset četiri sata ( 24).. U slučaju da vlasnik
kvalifikovanog elektronskog sertifikata isporuči sertifikacionom telu HALCOM BG CA
nepravilan zahtev za opoziv, biće mu poslato upozorenje o nepravilnom zahtevu za
opoziv sertifikata i biće upoznat sa uputstvima za dostavljanje pravilnog zahteva za
opoziv.
4.9.2 KO MOŢE ZAHTEVATI OPOZIV KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
Opoziv kvalifikovanog elektronskog sertifikata može da zahteva:

Ovlašćeno lice sertifikacionog tela HALCOM BG CA,

Zakoniti zastupnik pravnog lica

Mobilni operater

Vlasnik kvalifikovanih elektronskih sertifikata,

Nadležni sud ili

Nadležni državni organ.
4.9.3 PROCEDURA PODNOŠENJA ZAHTEVA ZA OPOZIVOM KVALIFIKOVANIH
ELEKTRONSKIH SERTIFIKATA
Opoziv može da zahteva zakoniti zastupnik pravnog lica ili vlasnik sertifikata:


Lično u radno vreme registracionog tela,
Elektronski, 24 sata na dan, svih dana u godini
Ako se opoziv zahteva:


Lično - potrebno je ispuniti odgovarajući zahtev za opoziv kvalifikovanog
elektronskog sertifikata i predati ga registracionom telu;
Elektronski - vlasnik sertifikata mora da dostavi sertifikacionom telu HALCOM BG
40
CA elektronski potpisanu poruku sa zahtevom za opoziv. Na osnovu te poruke
sertifikaciono telo privremeno suspenduje sertifikat, a po prijemu odgovarajućeg
svojeručno potpisanog zahteva za opoziv kvalifikovanog elektronskog sertifikata
sertifikaciono telo opoziva sertifikat.
O datumu i vremenu opoziva, o podnosiocu zahteva za opoziv, kao i o uzrocima opoziva,
vlasnik sertifikata mora da bude obavešten.
Sudovi i administrativni organi koji takoĎe mogu da zahtevaju opoziv kvalifikovanih
elektronskih sertifikata, taj proces izvršavaju u skladu sa propisanim procedurama.
4.9.4 GRACE PERIOD ZAHTEVA ZA OPOZIVOM KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.5 VREME ZA KOJE CA MORA DA PROCESIRA ZAHTEV ZA OPOZIV
KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Sertifikaciono telo HALCOM BG CA je u obavezi da nakon prijema validnog zahteva za
opoziv kvalifikovanih elektronskih sertifikata:

U roku od četiri (4) sata opozove kvalifikovani elektronski sertifikat
Nakon opoziva, opozvani kvalifikovani elektronski sertifikat se upisuje u registar
opozvanih kvalifikovanih elektronskih sertifikata (CRL) i objavljuje izdavanjem nove CRL
koja se izdaje periodično, na svaka dvadesetčetiri (24) sata.
4.9.6 ZAHTEVI ZA TREĆE STRANE U VEZI PROVERE STATUSA KVALIFIKOVANIH
ELEKTRONSKIH SERTIFIKATA
Pre korišćenja kvalifikovanih elektronskih sertifikata izdatih od sertifikacionog tela
HALCOM BG CA, treća lica koja se pouzdaju u dati kvalifikovani elektronski sertifikat
moraju da provere najnoviji objavljeni registar opozvanih kvalifikovanih elektronskih
sertifikata (CRL).
Iz razloga verodostojnosti i celovitosti potrebno je da se uvek proveri i verodostojnost i
integritet tog registra koji je elektronsko potpisan sa strane HALCOM BG CA
sertifikacionog tela.
4.9.7 FREKVENCIJA IZDAVANJA REGISTRA OPOZVANIH SERTIFIKATA (CRL)
Registar opozvanih kvalifikovanih elektronskih sertifikata se ažurira/obnavlja (za pristup
CRL pogledati poglavlje 7.2.3):

Jedanput dnevno 24 sata nakon poslednje obnove CRL.
4.9.8 MAKSIMALNO KAŠNJENJE U IZDAVANJU REGISTRA OPOZVANIH
SERTIFIKATA (CRL)
Objavljivanje novog registra opozvanih sertifikata vrši se:


U registru opozvanih sertifikata na serveru ldap.halcom.rs svakih 24 sata,
A na web stranici http://domina.halcom.rs/crls sa kašnjenjem od najviše deset
(10) minuta.
41
4.9.9 RASPOLOŢIVOST PROCEDURE „ON LINE“ PROVERE STATUSA
KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.10 ZAHTEVI „ON LINE“ PROVERE STATUSA KVALIFIKOVANIH
ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.11 RASPOLOŢIVOST DRUGIH FORMI OBJAVLJIVANJA STATUSA
KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.12 SPECIJALNI ZAHTEVI U ODNOSU NA KOMPROMITACIJU PRIVATNOG
KLJUĈA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.9.13 USLOVI ZA SUSPENZIJU KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Uslovi za suspenziju sertifikata su:

U slučaju da vlasnik sertifikata telefonski, elektronski ili FAX-om dostavi zahtev za
opoziv sertifikata, isti se do prijema originalnog zahteva u pisanom obliku
privremeno suspenduje.

U slučaju da vlasnik sertifikata, druga ili treća lica, državni ili drugi odgovarajući
organi odnosno samo sertifikaciono telo, izraze sumnju da se u vezi sa
sertifikatom postupa suprotno ovoj politici sertifikacije, odnosno suprotno važećim
propisima, taj se kvalifikovani elektronski sertifikat privremeno suspenduje.
4.9.14 KO MOŢE ZAHTEVATI SUSPENZIJU KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
Pogledati poglavlje 4.9.13.
4.9.15 PROCEDURA ZAHTEVA ZA SUSPENZIJOM KVALIFIKOVANIH
ELEKTRONSKIH SERTIFIKATA
Pogledati poglavlje 4.9.13.
4.9.16 OGRANIĈENJE PERIODA SUSPENZIJE KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
Pogledati poglavlje 4.9.13.
4.10 SERVISI PROVERE STATUSA KVALIFIKOVANIH
ELEKTRONSKIH SERTIFIKATA
4.10.1 OPERATIVNE KARAKTERISTIKE
Pred-personalizacija smart kartica (generisanje ključeva i PIN/PUK koda)
42
Priprema kvalifikovanih elektronskih sertifikata (obrada potpisanih zahteva za
sertifikate)
Personalizacija smart kartica (izrada kvalifikovanih elektronskih sertifikata,
programiranje smart kartica upis generisanog sertifikata na smart karticu),
štampanje podataka vlasnika na smart karticu - vizuelna personalizacija)
Opoziv kvalifikovanih elektronskih sertifikata
HALCOM BG CA publikuje i suspendovane sertifikate u svom registru opozvanih
sertifikata (CRL). Registar opozvanih kvalifikovanih elektronskih sertifikata (CRL –
Certificate Revocation List) HALCOM BG CA ažurira se na svaka 24 sata.
Registar opozvanih kvalifikovanih elektronskih sertifikata je javno objavljen na serveru
ldap.halcom.rs putem LDAP protokola i na http://domina.halcom.rs/crls putem HTTP
protokola, detalji o objavljivanju i načinu pristupa nalaze se u poglavljima 7.2 i 7.3.
4.10.2 RASPOLOŢIVOST SERVISA
Proveravanje statusa sertifikata raspoloživo je 24 sata na dan, svih dana u godini.
4.10.3 OPCIONA OBELEŢJA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.11 PRESTANAK KORIŠĆENJA KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
Odnos vlasnika i sertifikacionog tela prekida se ako:

Vlasnikov kvalifikovani elektronski sertifikat istekne, a on ga ne obnovi,

je kvalifikovani elektronski sertifikat opozvan, a vlasnik ne podnese zahtev za
novi.
4.12 ĈUVANJE I REKONSTRUKCIJA PRIVATNOG KLJUĈA
KORISNIKA
4.12.1 POLITIKA I PRAKSA ĈUVANJA I REKONSTRUKCIJE PRIVATNOG KLJUĈA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
4.12.2 ENKAPSULACIJA KLJUĈA I POLITIKA I PRAKSA ZA REKONSTRUKCIJU
Ovo poglavlje nije primenljivo u okviru ovih CPS.
43
5. UPRAVNE, OPERATIVNE I FIZIČKE BEZBEDNOSNE
KONTROLE
HALCOM BG CA sertifikaciono telo planira i izvodi sve bezbednosne mere u skladu sa
standardima ISO/IEC 27001, 27002 i 27005, FIPS 140-2 level 3 i sa tehničkim zahtevima
ETSI TS 101 456 - Policy requirements for certification authorities issuing qualified
certificates.
Oprema sertifikacionog tela HALCOM BG CA je postavljena u posebnim, odvojenim
prostorijama i osigurana sistemom fizičkog i protiv-provalnog tehničkog obezbeĎenja na
više nivoa. Oprema je osigurana od neovlašćenog pristupa. Oprema je takoĎe
obezbeĎena i zaštićena protivpožarnim sistemom, sistemom protiv izliva vode, sistemom
ventilacije i sistemom kontinualnog napajanja u više nivoa.
Sertifikaciono telo HALCOM BG CA čuva rezervne i distributivne medijume tako da se u
najvećoj meri sprečava gubitak, upad ili neovlašćena upotreba ili promena sačuvanih
informacija. Kako za obnovu podataka tako i za arhiviranje važnih informacija
obezbeĎene su rezervne kopije koje su sačuvane na drugom mestu od onoga gde se drži
programska oprema za upravljanje kvalifikovanih elektronskih sertifikata, u cilju
obezbeĎenja kontinuiteta poslovanja u slučajevima kada se iz nekih razloga unište podaci
na osnovnoj lokaciji.
Detaljan opis infrastrukture sertifikacionog tela HALCOM BG CA, operativni rad, postupci
upravljanja infrastrukturom, kao i nadzor vezan za politiku bezbednosti operativnog rada,
definisani su u internim pravilima rada sertifikacionog tela.
5.1 FIZIĈKE BEZBEDNOSNE KONTROLE
Oprema sertifikacionog tela je obezbeĎena sistemima fizičkog i elektronskog obezbeĎenja
na više nivoa.
ObezbeĎenje infrastrukture sertifikacionog tela realizuje se u skladu sa preporukama
struke za najviši nivo obezbeĎenja.
Celokupan opis infrastrukture sertifikacionog tela, primenjene procedure i obezbeĎenje
infrastrukture definisani su internim pravilima sertifikacionog tela.
5.1.1 LOKACIJA I ZGRADA SERTIFIKACIONOG TELA
HALCOM BG CA bezbedne prostorije su locirane u prostoru koji odgovara potrebama
izvršenja operacija visoke bezbednosti. Postoje označene zone sa fizičkom kontrolom
pristupa i zaključane kancelarije sa odgovarajućim sefovima.
Oprema sertifikacionog tela HALCOM BG CA je postavljena u posebnim, bezbednim i
odvojenim prostorijama.
Oprema je osigurana sistemom fizičkog i elektronskog obezbeĎenja na više nivoa.
Detaljne odredbe nalaze se u internim pravilima sertifikacionog tela HALCOM BG CA.
5.1.2 FIZIĈKI PRISTUP
Fizički pristup je ograničen implementacijom odgovarajućih mehanizama kontrole
pristupa iz jedne u drugu zonu bezbednosti, kao i u zonu visoke bezbednosti. U tom
smislu, CA operacije su locirane u okviru bezbedne računarske sobe koja je podržana
44
fizičkim monitorisanjem i bezbednosnim alarmima, kao i time da je obezbeĎena podrška
da prelazak iz zone u zonu može biti izveden samo korišćenjem tokena (bez-kontaktnih
kartica).
Pristup infrastrukturi sertifikacionog tela omogućen je samo
sertifikacionog tela u skladu sa njihovim zadacima i ovlašćenjima.
ovlašćenim
licima
Svi pristupi obezbeĎeni su u skladu sa postojećim zakonodavstvom i preporukama.
Detaljne odredbe fizičke kontrole
sertifikacionog tela HALCOM BG CA.
bezbednosti
nalaze
se
u
internim
pravilima
5.1.3 ELEKTRIĈNO NAPAJANJE I KLIMATIZACIJA
U okviru infrastrukture sertifikacionog tela obezbeĎeno je kontinualno napajanje i
odgovarajući klimatski sistemi.
Sva oprema HALCOM BG CA sertifikacionog tela je priključena na jedinice za neprekidno
napajanje.
Temperatura i vlažnost vazduha u prostorijama održava se pomoću klima ureĎaja.
Napajanje i ventilacija se održavaju sa redundansom visokog nivoa.
Svi detalji o električnom napajanju i klimatizaciji se nalaze u internim pravilima rada
sertifikacionog tela HALCOM BG CA.
5.1.4 IZLOŢENOST POPLAVAMA I VREMENSKIM NEPOGODAMA
Unutar prostorija HALCOM BG CA sertifikacionog tela nema vodovodnih instalacija.
Prozori zadovoljavaju najmodernije standarde.
Infrastruktura sertifikacionog tela HALCOM BG CA nije izložena opasnosti od poplava
osim u slučaju više sile. Prostorije su zaštićene od poplava.
Svi detalji se nalaze u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.1.5 PREVENCIJA I ZAŠTITA OD POŢARA
Prevencija i zaštita, kao i mere u odnosu na zaštitu od požara su implementirane.
Prostorije sertifikacionog tela su osigurane od mogućih izbijanja požara.
Svi detalji o prevencije i protivpožanoj zaštiti se nalaze u internim pravilima rada
sertifikacionog tela HALCOM BG CA.
5.1.6 MEDIJUMI ZA ĈUVANJE PODATAKA
Nosioci podataka, na papiru ili u elektronskom obliku, bezbedno se čuvaju u zaštićenim
objektima.
Bezbedne kopije programske opreme i šifrovanih baza sertifikacionog tela HALCOM BG
CA redovno se obnavljaju i čuvaju u dve odvojene i fizički obezbeĎene prostorije na
različitim lokacijama.
Medijumi se čuvaju na bezbedan način. „Backup“ medijumi se takoĎe čuvaju na
odvojenoj lokaciji koja je fizički obezbeĎena i zaštićena od požara i poplava.
45
5.1.7 ODLAGANJE SMEĆA
Sertifikaciono telo HALCOM BG CA obezbeĎuje sigurno uklanjanje i uništavanje
dokumenata u fizičkom/papirnom i elektronskom obliku.
Detaljne odredbe o uništavanju
sertifikacionog tela HALCOM BG CA
podataka
Uklanjanje otpadaka izvodi specijalna
sertifikacionog tela HALCOM BG CA.
definišu
komisija
u
se
internim
skladu
sa
pravilima
internim
rada
pravilima
Svi detalji o odlaganju smeća se nalaze u internim pravilima rada sertifikacionog tela
HALCOM BG CA.
5.1.8 ODLAGANJE REZERVNIH KOPIJA
Odlaganje rezervnih kopija regulisano je internim pravilima sertifikacionog tela.
5.2 PROCEDURALNE KONTROLE
HALCOM BG CA sprovodi kadrovsku i upravnu praksu koja obezbeĎuje razumnu sigurnost
u poverljivost i kompetenciju zaposlenih, kao i zadovoljavajuće performanse u vezi
njihovih dužnosti u domenu tehnologija koje se odnose na elektronski potpis i PKI
sisteme.
Svaki zaposleni HALCOM BG CA potpisuje izjavu da će se pridržavati pravne regulative u
vezi zaštite podataka, kao i da će zadovoljiti sve postavljene zahteve u vezi poverljivosti.
5.2.1 POVERLJIVE ULOGE
Svi zaposleni u HALCOM BG CA koji izvršavaju operacije povezane sa upravljanjem
ključevima, kao i bilo koje druge operacije koje materijalno utiču na takve operacije,
smatraju se osobama na poverljivim pozicijama.
HALCOM BG CA sprovodi inicijalno istraživanje svih zaposlenih koji su kandidati za
poverljive uloge u cilju razumnog pokušaja odreĎivanja njihove poverljivosti i
kompetencije.
Operativni, organizacioni i stručni rad sertifikacionog tela HALCOM BG CA sprovodi
rukovodilac interne organizacione jedinice koja je odgovorna za upravljanje
kvalifikovanim elektronskim sertifikatima.
Ovlašćenim licima sertifikacionog tela HALCOM BG CA smatraju se:


zaposleni u sertifikacionom telu HALCOM BG CA i
zaposleni u registracionim telima.
Zaposleni u sertifikacionom telu HALCOM BG CA su rasporeĎeni u tri organizacione
jedinice koje pokrivaju područja sledećeg sadržaja:



upravljanje informacionim sistemom,
upravljanje kvalifikovanim elektronskim sertifikatima,
obezbeĎenje i kontrola,
46
Organizaciona
jedinica
ObezbeĎenje i
kontrola
Uloga
Glavni administrator
bezbednosti
Prvi inženjeri
bezbednosti
Upravljanje
kvalifikovanim
elektronskim
sertifikatima
Upravljanje
informacionim
sistemom
Evidencija
Drugi inženjer
bezbednosti
Administratori
kvalifikovanih
elektronskih sertifikata
Administratori PIN
kodova
Sistem operator
Sistem evidentičar
Osnovni zadaci
Administriranje i implementacija
procedura za rad sertifikacionog
tela HALCOM BG CA
Sistem administrator
1. Upravljanje postupcima za
izdavanje kvalifikovanih
elektronskih sertifikata
2. Štampanje PIN kodova
3. Pristup protokolu
elektronskog potpisivanja
(generisanja) kvalifikovanih
elektronskih sertifikata
1. Priprema kvalifikovanih
elektronskih sertifikata
2. Personalizacija smart kartica
3. Opoziv kvalifikovanih
elektronskih sertifikata
Broj
osoba
2
2
2
distribucija kvalifikovanih
elektronskih sertifikata
1
distribucija PIN kodova
1
Upravljanje telekomunikacijama i
odgovornost za rad bezbednih
sistema sertifikacionog tela
Odgovornost za održavanje arhiva i
log fajlova
2
2
5.2.2 BROJ OSOBA ZA POJEDINAĈNE ZADATKE
Operativne radne uloge planirane su tako da u najvećoj mogućoj meri sprečavaju
mogućnost zloupotreba i podeljene su na pojedinačne, meĎusobno odvojene
organizacione jedinice:
Organizaciona jedinica: Upravljanje informacionim sistemom
Uloga: Glavni administrator bezbednosti
Broj osoba: 2
Zadaci:
1. Odgovornost za administriranje i implementaciju bezbednosnih funkcija i
procedura
2. Upravljanje aktivnostima na dodatnom unapreĎenju poslova generisanja, opoziva i
suspenzije kvalifikovanih elektronskih sertifikata
Organizaciona jedinica: Upravljanje kvalifikovanim elektronskim sertifikatima
Uloga: Prvi inženjer bezbednosti
Broj osoba: 2
Zadaci:
1. Upravljanje postupcima za izdavanje kvalifikovanih elektronskih sertifikata
2. Štampanje PIN kodova
47
3. Pristup protokolu elektronskog potpisivanja (generisanja) CA sertifikata
Organizaciona jedinica: Upravljanje kvalifikovanim elektronskim sertifikatima
Uloga: Drugi inženjer bezbednosti
Broj osoba: 2
Zadaci:
1. Pred-personalizacija smart kartica (generisanje ključeva i PIN koda)
2. Priprema kvalifikovanih elektronskih sertifikata (obrada potpisanih zahteva za
sertifikate)
3. Personalizacija smart kartica (izrada kvalifikovanih elektronskih sertifikata,
programiranje smart kartica i upis generisanih kvalifikovanih elektronskih
sertifikata na smart karticu, štampanje podataka vlasnika na smart karticu vizuelna personalizacija)
4. Opoziv kvalifikovanih elektronskih sertifikata
Organizaciona jedinica: Upravljanje kvalifikovanim elektronskim sertifikatima
Uloga: Administrator kvalifikovanih elektronskih sertifikata
Broj osoba: 1
Zadaci:
1. Bezbedna distribucija kvalifikovanih elektronskih sertifikata
Organizaciona jedinica: Upravljanje kvalifikovanim elektronskim sertifikatima
Uloga: Administrator PIN kodova
Broj osoba: 1
Zadaci:
1. Distribucija PIN kodova
Organizaciona jedinica: Upravljanje informacionom sistemom
Uloga: Sistem operator
Broj osoba: 2
Zadaci:
1. Priprema početne konfiguracije sistema, uključujući bezbedno startovanje i
obustavu operativnog rada sistema
2. Početno podešavanje parametara novih podreĎenih sertifikacionih tela u
infrastrukturi HALCOM BG CA
3. Postavljanje početne konfiguracije računarske mreže
4. Priprema medijuma za krizni ponovni start sistema u slučaju katastrofalnog
gubitka sistema, tj. incidenta sa katastrofalnim posledicama
5. Priprema sistemskih kopija, nadgradnja i obnova programske opreme, bezbedno
čuvanje kao i distribucija kopija i nadgradnji na odvojenu lokaciju
6. Administrativne funkcije koje su vezane na održavanje baze podataka
sertifikacionog tela i koje pomažu kod istraživanja eventualnog odstupanja od
pravila
7. Promene imena servera i/ili mrežnih IP adresa
8. SprovoĎenje arhiviranja zahtevanih sistemskih zapisa
Organizaciona jedinica: Evidencija
Uloga: Sistem evidentičar
Broj osoba: 2
Zadaci:
48
1. Održavanje arhiva i log fajlova bezbednih sistema sertifikacionog tela
Naveden je minimalan broj zaposlenih za pojedinačne uloge.
5.2.3 IDENTIFIKACIJA I AUTENTIKACIJA ZA SVAKU ULOGU
Svaka uloga/dužnost definiše
autentikacije korisnika.
odgovarajuće
zahteve
u
pogledu
identifikacije
i
Dokazivanje identiteta i prava pristupa za izvršavanje pojedinačnih zadataka u skladu sa
ulogama pojedinačnih organizacionih jedinica, kao i za izvršavanje zadataka
registracionog tela, osigurano je bezbednosnim mehanizmima i kontrolnim postupcima u
skladu sa internim pravilima sertifikacionog tela HALCOM BG CA.
Lista uloga i dužnosti detaljno je definisana internim pravilima HALCOM BG CA
sertifikacionog tela.
5.2.4 ULOGE KOJE ZAHTEVAJU RAZDVAJANJE DUŢNOSTI
U okviru internih pravila HALCOM BG CA sertifikacionog tela definisano je koje
uloge/dužnosti mogu biti kombinovane od strane jednog zaposlenog, a koje ne mogu.
U internim pravilima rada sertifikacionog tela HALCOM BG CA, svakoj od prethodno
navedenih uloga veoma je tačno odreĎeno sa kojom od uloga definisani zadaci u njihovoj
odgovornosti mogu ili ne mogu da budu kompatibilni.
Za neke od zadataka, neophodno je prisustvo barem dva ovlašćena lica. U slučaju
nepredviĎenog odsustva odreĎenih zaposlenih, njihove uloge preuzimaju drugi zaposleni,
ako to prema internim pravilima nije nekompatibilno.
5.3 KADROVSKE BEZBEDNOSNE KONTROLE
5.3.1 KVALIFIKACIJA I ISKUSTVO
HALCOM BG CA izvršava neophodne aktivnosti u cilju provere zahtevane biografije,
kvalifikacija, kao i iskustva neophodnog u cilju realizacije u okviru konteksta
kompetencije specifičnog posla.
Takve provere biografije tipično uključuju:

Kriminalne osude za ozbiljne zločine,

Pogrešne prezentacije informacija od strane kandidata,

Odgovarajuće reference.
Sertifikaciono telo HALCOM BG CA zapošljava pouzdane i stručno osposobljene zaposlene
koji provereno nisu kažnjavani za bilo kakvo kriminalno delo. Svi zaposleni se redovno
usavršavaju i stiču dodatna znanja vezana za svoje stručno područje.
Za rad u HALCOM BG CA sertifikacionom telu neophodni su stručnjaci koji su tehnološki i
profesionalno kompetentni i koji imaju potrebna znanja iz kriptografije, elektronskog
potpisa, PKI sistema, smart kartica, HSM-ova, itd.
49
5.3.2 PROCEDURA PROVERE BIOGRAFIJE
HALCOM BG CA sertifikaciono telo realizuje relevantne provere eventualnih zaposlenih na
bazi statusnih izveštaja koji su izdati od strane kompetentnih autoriteta, izjava trećih
strana ili izjava samih potencijalnih zaposlenih.
5.3.3 ZAHTEVI ZA OSPOSOBLJENOŠĆU
HALCOM BG CA sertifikaciono telo obezbeĎuje obuku za svoje zaposlene u cilju realizacije
funkcija poslovanja CA i RA.
5.3.4 UĈESTANOST I ZAHTEVI PONOVNE OBUKE
Periodično ažuriranje obuke može takoĎe biti izvršeno u cilju uspostave kontinuiteta i
ažurnosti znanja zaposlenih, kao i odgovarajućih procedura.
5.3.5 FREKVENCIJA I SEKVENCA ROTACIJE POSLOVA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
5.3.6 KAZNENE MERE U ODNOSU NA ZAPOSLENE ZA NEAUTORIZOVANE
AKTIVNOSTI
HALCOM BG CA sertifikaciono telo definisalo je odgovarajuće mere za kažnjavanje
zaposlenih za neovlašćene aktivnosti, neovlašćeno korišćenje odgovarajućih privilegija,
kao i neovlašćeno korišćenje sistema, i predvidelo sankcije za odreĎeno neposlovno i
rizično ponašanje, a koje može biti različito u zavisnosti od različitih okolnosti.
Sankcije se, u slučajevima neovlašćenog ili nemarnog izvoĎenja zadataka, za ovlašćena
lica sertifikacionog tela, sprovode u skladu sa validnim propisima i internim pravilnikom o
disciplinskoj i odštetnoj odgovornosti zaposlenog.
5.3.7 ZAHTEVI ZA NEZAVISNA LICA POD UGOVOROM
Nezavisna lica pod ugovorom su subjekti istih procedura zaštite privatnosti i uslova
poverljivosti kao i zaposleni u okviru HALCOM BG CA sertifikacionog tela.
5.3.8 DOKUMENTACIJA KOJA SE DOSTAVLJA ZAPOSLENIMA
HALCOM BG CA sertifikaciono telo čini dostupnom svu neophodnu dokumentaciju
zaposlenima koja se odnosi na inicijalnu obuku, do-obuku ili za druge svrhe.
5.4 PROCEDURE LOGOVANJA AKTIVNOSTI ZA POTREBE REVIZIJE
PredviĎene su procedure zapisivanja (logovanja) dogaĎaja i kao i revizije celokupnog
sistema i implementirane su za svrhu održavanja bezbednog okruženja HALCOM BG CA
sertifikacionog tela. U tom smislu, HALCOM BG CA implementira kontrole navedene u
nastavku.
5.4.1 TIPOVI ZABELEŢENIH DOGAĐAJA
HALCOM BG CA sertifikaciono telo zapisuje dogaĎaje koji uključuju, ali nisu ograničeni
na, operacije vezane za životni ciklus kvalifikovanih elektronskih sertifikata, pokušaje
pristupa sistemu, kao i zahteve poslate sistemu.
Sertifikaciono telo HALCOM BG CA redovno proverava i evidentira sve što značajno utiče
na:
50

sigurnost infrastrukture,

nesmetano delovanje svih sigurnosnih sistema,
kao i da li je u meĎuvremenu došlo do upada ili pokušaja upada neovlašćenih lica
do opreme ili podataka.
Detaljni podaci o tome dati su u internim pravilima rada sertifikacionog tela HALCOM BG
CA.
5.4.2 FREKVENCIJA PROCESIRANJA LOGOVA
Sertifikaciono telo HALCOM BG CA sprovodi sigurnosne preglede svoje infrastrukture,
odnosno dnevnika, jednom dnevno.
5.4.3 PERIOD ĈUVANJA AUDIT LOGOVA
HALCOM BG CA sertifikaciono telo procesira i arhivira audit logove na sedmičnom nivou.
Dnevnici se čuvaju trajno.
5.4.4 ZAŠTITA AUDIT LOGOVA
Audit logove mogu gledati samo autorizovane osobe – sistem auditori.
HALCOM BG CA implementira mehanizme zaštite audit logova od modifikacije i brisanja
tako da niko ne može izvršiti pomenute operacije.
Postupak zaštite audit logova precizno je definisan u internim pravilima HALCOM BG CA
sertifikacionog tela.
5.4.5 PROCEDURE BACK-UP-A AUDIT LOGOVA
HALCOM BG CA sertifikaciono telo implementira procedure backup-a audit logova.
Sigurnosne kopije dnevnika se izraĎuju na dnevnoj bazi.
Detalji su dati u internim pravilima rada sertifikacionog tela HALCOM BG CA.
5.4.6 SISTEM SAKUPLJANJA AUDIT LOGOVA
U okviru HALCOM BG CA sertifikacionog tela, audit logovi se sakupljaju i čuvaju u
realnom vremenu.
Podaci se za potrebe dnevnika sakupljaju bilo automatski, bilo ručno, u zavisnosti od
vrste podataka.
Detalji o sistemu sakupljanja audit
sertifikacionog tela HALCOM BG CA.
logova
dati
su
u
internim
pravilima
rada
5.4.7 OBAVEŠTAVANJE SUBJEKTA KOJI JE PROUZROKOVAO DOGAĐAJ
Subjekat koji je prouzrokovao odreĎeni audit dogaĎaj se ne obaveštava o samoj audit
aktivnosti.
51
5.4.8 PROCENA RANJIVOSTI SISTEMA
HALCOM BG CA sertifikaciono telo realizuje s vremena na vreme procenu ranjivosti
sistema.
Analiza dnevnika i nadzor nad sprovoĎenjem svih postupaka redovno se sprovode od
strane ovlašćenih lica sertifikacionog tela ili automatski, odgovarajućim sigurnosnim
mehanizmima na svoj računarsko-komunikacionoj opremi koja je u nadležnosti
sertifikacionog tela.
Ocena ranjivosti se sprovodi na osnovu analize dnevnika.
Detalji procene ranjivosti sistema dati su u internim pravilima rada sertifikacionog tela
HALCOM BG CA.
5.5 ARHIVIRANJE ZAPISA
Zahtevi za čuvanjem zapisa primenjuju se kako na HALCOM BG CA sertifikaciono telo
tako i na mrežu RA. Opšte odredbe politike čuvanja zapisa HALCOM BG CA sertifikacionog
tela navedene su u nastavku.
5.5.1 TIPOVI ARHIVIRANIH ZAPISA
Sertifikaciono telo HALCOM BG CA, u skladu sa odredbama važećih propisa, čuva sledeće
podatke/dokumente/arhivsku graĎu/registratorski materijal:








dnevnike,
zapisnike,
sva dokazna sredstva o izvršenoj proveri identiteta vlasnika sertifikata,
sve zahteve za dobijanje sertifikata,
kvalifikovane elektronske sertifikate i registre opozvanih sertifikata,
politike sertifikacije i druge dokumente sertifikacionog tela (opšta i interna pravila
rada),
objave i obaveštenja sertifikacionog tela HALCOM BG CA i
druge dokumente u skladu sa važećim propisima.
5.5.2 PERIOD ĈUVANJA ARHIVE
Podaci se čuvaju u skladu sa zakonskim odredbama.
5.5.3 ZAŠTITA ARHIVE
Podaci koji se čuvaju dugotrajno čuvaju se bezbedno.
Uslovi za zaštitu arhive uključuju:

Zapise koje samo sistem evidentičari (zaposleni kojima su pridružene dužnosti
čuvanja podataka) mogu da vide i arhiviraju.

Zaštitu u odnosu na modifikaciju arhive, kao što je čuvanje podataka na
medijumu na koji se može upisati samo jednom.

Zaštitu u odnosu na brisanje arhive.

Zaštitu u odnosu na kvarenje karakteristika medijuma vremenom na kojima se
arhiva čuva, kao na primer realizacija zahteva da se podaci periodično migriraju
na sveže medijume.
52
Detaljne odredbe dugotrajnog čuvanja definišu se u internim pravilima rada
sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i
preporukama.
5.5.4 PROCEDURA BACK-UP-A ARHIVE
HALCOM BG CA sertifikaciono telo sprovodi odgovarajuću proceduru back-up-a arhive.
HALCOM BG CA sertifikaciono telo realizuje zahteve za procedurom čuvanja barem dve
odvojene kopije arhive koje su pod kontrolom dve različite osobe.
Kopija dugotrajno čuvanih podataka bezbedno čuva se bezbedno.
Detaljne odredbe dugotrajnog čuvanja kopija podataka definišu se u internim pravilima
rada sertifikacionog tela HALCOM BG CA, a u skladu sa važećim propisima, standardima i
preporukama.
5.5.5 ZAHTEVI ZA VREMENSKIM PEĈATOM ZAPISA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
5.5.6 SISTEM SAKUPLJANJA ZAPISA
HALCOM BG CA sertifikaciono
zapisa/logova koji se arhiviraju.
telo
sprovodi
odgovarajući
sistem
sakupljanja
Podaci se sakupljaju na način koji je u skladu sa vrstom dokumenta.
Detaljne odredbe načina sakupljanja podataka definišu se u internim pravilima rada
sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima, standardima i
preporukama.
5.5.7 PROCEDURE ZA DOBIJANJE I VERIFIKACIJU INFORMACIJA IZ ARHIVE
Pristup dugotrajno čuvanim podacima omogućen je samo ovlašćenim licima.
U okviru HALCOM BG CA sertifikacionog tela, definisane su procedure u cilju dobijanja i
verifikacije arhivskih informacija.
U cilju dobijanja i verifikacije arhivskih informacija HALCOM BG CA sertifikaciono telo,
kao i mreža RA, održavaju zapise pod jasnom hijerarhijskom kontrolom i sa jasnim
opisom posla.
HALCOM BG CA sertifikaciono telo čuva zapise u elektronskoj ili papirnoj formi. HALCOM
BG CA sertifikaciono telo može zahtevati od svojih RA, korisnika ili njihovih agenata da
dostave odgovarajuća dokumenta u cilju podrške ovog zahteva. Ovi zapisi mogu biti
čuvani u elektronskoj, papirnoj i u bilo kojoj drugoj formi za koju HALCOM BG CA
sertifikaciono telo smatra da je odgovarajuća. HALCOM BG CA sertifikaciono telo može da
izmeni način čuvanja zapisa ako je to eventualno potrebno u saglasnosti sa odreĎenim
akreditacionim šemama.
Detaljne odredbe u vezi pristupa dugotrajno čuvanim podacima definišu se u internim
pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima,
standardima i preporukama.
53
5.6 IZMENA KLJUĈEVA
HALCOM BG CA sertifikaciono telo poseduje proceduru, detaljno opisanu u ovom CPS
dokumentu, koja se sprovodi u slučaju isteka kvalifikovanih elektronskih sertifikata
sertifikacionog tela ili povlačenja kvalifikovanih elektronskih sertifikata sertifikacionog
tela. U oba slučaja, vrši se generisanje novog para ključeva sertifikacionog tela i
distribucija novih kvalifikovanih elektronskih sertifikata CA tela svim korisnicima i
zainteresovanim stranama, na isti način kao i kod prvog generisanog kvalifikovanih
elektronskih sertifikata CA.
U slučaju novo izdatog sopstvenog kvalifikovanog elektronskog sertifikata sertifikacionog
tela HALCOM BG CA, isti se odmah objavljuje na web stranicama sertifikacionog tela
HALCOM BG CA.
5.7 KOMPROMITACIJA I OPORAVAK U SLUĈAJU KATASTROFE
5.7.1 PROCEDURE ZA POSTUPANJE U INCIDENTNIM I KOMPROMITUJUĆIM
SITUACIJAMA
U Posebnim internim pravilima rada, HALCOM BG CA sertifikaciono telo dokumentuje
procedure koje treba izvršiti pri rešavanju incidenata, kao i izveštavanje u vezi
eventualne kompromitacije ključeva.
5.7.2 RAĈUNARSKI RESURSI, SOFTVER ILI PODACI KOJI SU OŠTEĆENI
HALCOM BG CA sertifikaciono telo takoĎe dokumentuje procedure oporavka koje se
koriste ukoliko su računarski resursi, softver, i/ili podaci neispravni ili se sumnja da su
neispravni.
Detaljne odredbe se definišu u internim pravilima rada sertifikacionog tela HALCOM BG
CA a u skladu sa važećim propisima, standardima i preporukama.
5.7.3 PROCEDURE KOJE SE SPROVODE KOD KOMPROMITACIJE PRIVATNOG
KLJUĈA KORISNIKA
HALCOM BG CA sertifikaciono telo teži da ponovo uspostavi bezbedno okruženje u
koracima koji uključuju, ali nisu ograničeni samo na, povlačenje neispravnih
kvalifikovanih elektronskih sertifikata ili onih za koje se sumnja da su neispravni,
odgovarajućih entiteta. Nakon toga, HALCOM BG CA sertifikaciono telo može ponovo
izdati nove sertifikate tim entitetima.
5.7.4 MOGUĆNOSTI KONTINUITETA POSLOVANJA NAKON KATASTROFE
Plan kontinualnog poslovanja implementira se da osigura nastavak poslovanja nakon
prirodne ili druge katastrofe.
5.8 ZAVRŠETAK RADA CA ILI RA
Pre nego što prekine svoje aktivnosti pružanja sertifikacionih usluga, HALCOM BG CA
sertifikaciono telo:

ObezbeĎuje svojim korisnicima koji imaju validne sertifikate obaveštenje o nameri
da prestane sa pružanjem sertifikacione usluge, tj. da prestane da izvršava
aktivnosti u svojstvu CA.
54

Povlači sve sertifikate koji su još uvek validni (tj. one koji nisu povučeni i nije im
istekao rok važnosti), nakon obaveštenja, a bez zahteva za saglasnošću korisnika.

Blagovremeno obaveštava o povlačenju kvalifikovanih elektronskih sertifikata sve
korisnike na koje se to odnosi.

Čini razumne mere u cilju zaštite zapisa koje čuva u skladu sa ovim CPS
dokumentom.

Ukoliko je to moguće, obezbeĎuje odgovarajuće mere obezbeĎenja sukcesije u
smislu ponovnog izdavana kvalifikovanih elektronskih sertifikata od strane drugog
CA tela koje je sukcesor – nastavljač izdavanja kvalifikovanih elektronskih
sertifikata datog CA – i koje poštuje ekvivalentne CP i CPS dokumente.
Detaljne odredbe protokola prilikom završetka rada CA ili RA definišu se u internim
pravilima rada sertifikacionog tela HALCOM BG CA a u skladu sa važećim propisima,
standardima i preporukama.
55
6. TEHNIČKE BEZBEDNOSNE KONTROLE
Ovo poglavlje definiše tehničke bezbednosne mere koje primenjuje HALCOM BG CA
sertifikaciono telo u cilju zaštite svojih kriptografskih ključeva i aktivacionih podataka
(kao na primer PIN-ovi, lozinke, itd.).
Bezbednosno upravljanje ključevima je kritično u cilju osiguranja da svi ključevi i
aktivacioni podaci budu zaštićeni i da se koriste isključivo od strane autorizovanih
zaposlenih.
TakoĎe, definisane su i druge tehničke bezbednosne kontrole koje se koriste od strane
CA da bi se bezbedno izvršavale funkcije generisanja ključeva, autentikacije korisnika,
registracije korisnika, izdavanja kvalifikovanih elektronskih sertifikata, povlačenja
kvalifikovanih elektronskih sertifikata, revizije i arhiviranja.
Tehničke kontrole uključuju životni ciklus bezbednosnih kontrola kao i operativne
bezbednosne kontrole.
U ovom poglavlju takoĎe se definišu tehničke bezbednosne kontrole
repozitorijumima, registracionim telima, korisnicima i drugim učesnicima.
nad
6.1 GENERISANJE I INSTALACIJA ASIMETRIĈNOG PARA KLJUĈEVA
6.1.1 PROCES GENERISANJA ASIMETRIĈNOG PARA KLJUĈEVA HALCOM BG CA
SERTIFIKACIONOG TELA
Asimetrični par ključeva sertifikacionog tela HALCOM BG CA za elektronsko potpisivanje
sertifikata i verifikaciju potpisa generiše se tokom uspostave sertifikacionog tela HALCOM
BG CA (CA ceremonija).
Za korisnike, vlasnike sertifikata, sertifikaciono telo HALCOM BG CA generiše dva
asimetrična para ključeva i dva sertifikata:




privatni ključ za potpisivanje - za potrebe:
o
kvalifikovanog elektronskog potpisivanja (pravna lica) i
o elektronskog potpisivanja (fizička lica),
privatni ključ za dešifriranje (za potrebe dešifriranja),
javni ključ za verifikaciju potpisa -za verifikaciju:
o kvalifikovanog elektronskog potpisa (pravna lica) i
o elektronskog potpisa (fizička lica)
javni ključ za šifriranje (za potrebe šifriranja).
Oba para ključeva za vlasnika sertifikata generišu se na smart kartici u okviru
sertifikacionog tela HALCOM BG CA gde se vrši i kompletna personalizacija smart kartice i
štampanje PIN koda.
Asimetrični parovi ključeva (privatni i javni ključ) za korisnike mobilnih kvalifikovanih
elektronskih sertifikata generišu se kod proizvoĎača SIM kartica.
Halcom BG CA sertifikati su u osnovi namenjeni elektronskom potpisivanju jednostranih
ili meĎusobnih komunikacija vlasnika sertifikata te korišćenju u različitim aplikacijama.
Pored toga sertifikati se mogu upotrebiti i za različite namene koje se pojave na tržištu,
izmeĎu ostalog i za šifrovanje.
Halcom BG CA zbog bezbednosnih razloga upotrebljava „on-board“ sistem za generisanje
56
ključeva. To podrazumeva da se asimetrični parovi ključeva (privatni i javni) za vlasnike
sertifikata generišu u smart kartici i samo se čuvaju u smart kartici i ne mogu se pročitati
sa nje. Zbog svega gore navedenog otkrivanje kopije ključeva za dešifrovanje (engl. Key
pair recovery) u Halcom BG CA sertifikacionom telu nije podržano.
Sertifikaciono telo dostavlja korisniku (vlasniku sertifikata) kompletno programiranu
smart karticu (sa dva para ključeva i dva sertifikata) kao i odštampan PIN kod.
6.1.2 ISPORUKA PRIVATNOG KLJUĈA KORISNIKU
Asimetrični privatni ključevi za korisnike generišu se u okviru HALCOM BG CA
sertifikacionog tela za pravna lica i kod proizvoĎača SIM kartica za fizička lica.
Sertifikaciono telo ili RA dostavlja korisniku (vlasniku kvalifikovanih elektronskih
sertifikata) kompletno programiranu smart karticu (sa dva para ključeva - privatni i javni
ključ) kao i odštampan PIN kod.
6.1.3 DOSTAVA JAVNOG KLJUĈA IZDAVAOCU KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
Asimetrični parovi ključeva (privatni i javni ključ) za korisnike – vlasnike kvalifikovanih
elektronskih sertifikata generišu sa u okviru sertifikacionog tela.
Vlasnici mobilnih sertifikata u postupku preuzimanja dostavljaju svoj javni ključ u potpis
sertifikacionom telu Halcom BG CA prema PKCS#10 protokolu. Kod mobilnih
kvalifikovanih elektronskih sertifikata zahtev se prenosi preko mreže mobilnog operatera i
to zaštićenim mrežnim povezivanjem izmeĎu mobilnog operatera i sertifikacionog tela.
6.1.4 DOSTAVA JAVNOG KLJUĈA IZDAVAOCA KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA TREĆIM STRANAMA
Kvalifikovani elektronski sertifikat sa javnim ključem sertifikacionog tela HALCOM BG CA
vlasnicima kvalifikovanih elektronskih sertifikata, odnosno trećim licima, dostupan je:

putem web stranice sertifikacionog tela
6.1.5 DUŢINE KLJUĈEVA
Sertifikat
Sertifikat sertfikacionog tela HALCOM BG CA
(root i intermediate)
Sertifikati za korisnike - pravna lica
Mobilni sertifikati za korisnike – fizička lica
Dužina ključa prema RSA [bit]
2048
1024
1024
6.1.6 GENERISANJE KRIPTOGRAFSKIH PARAMETARA I PROVERA KVALITETA
Kvalitet parametara asimetričnog para ključa sertifikacionog tela HALCOM BG CA
garantovan je od strane proizvoĎača programske opreme, HSM (Hardware Security
Module), koji koristi kvalitetne i sertifikovane hardverske generatore slučajnih brojeva
(engl. random number generator).
57
6.1.7 MOGUĆE „KEY USAGE" OPCIJE
Namena upotrebe asimetričnih ključeva, odnosno kvalifikovanih elektronskih sertifikata, u
skladu je sa X.509 v3 standardom i definisana je u odgovarajućoj ekstenziji kvalifikovanih
elektronskih sertifikata: korišćenje ključa (engl. keyUsage) i prošireno korišćenje ključa
(engl. extended keyUsage).
Elektronsko potpisivanje kvalifikovanih elektronskih sertifikata i registra opozvanih
kvalifikovanih elektronskih sertifikata vrši se privatnim ključem sertifikacionog tela
HALCOM BG CA, dok se za verifikaciju pomenutih potpisa koristi javni ključ iz
kvalifikovanog elektronskog sertifikata sertifikacionog tela. U tom smislu, keyUsage
ekstenzija u sertifikatu sertifikacionog tela sadrži odgovarajuće vrednosti.
Profili kvalifikovanih elektronskih sertifikata koje izdaje sertifikaciono telo HALCOM BG CA
navedeni su u poglavlju 7.1.
U elektronskim sertifikatima (root, intermediate i korisnički sertifikati) izdatim od strane
HALCOM BG CA sertifikacionog tela koriste se sledeće vrednosti u ekstenziji „Key Usage“:
Root CA sertifikat:

Certificate Signing, Off-Line CRL Signing, CRL Signing
Intermediate CA sertifikat:
Certificate Signing, Off-Line CRL Signing, CRL Signing
Sertifikati korisnika:
1. Digital Signature, Key Encipherment
2. Digital Signature, Non-Repudiation
6.2 ZAŠTITA PRIVATNOG KLJUĈA I TEHNIĈKE KONTROLE
KRIPTOGRAFSKOG MODULA
HALCOM BG CA telo koristi odgovarajuće hardverske i softverske mehanizme u cilju
realizacije zadataka upravljanja ključevima CA.
Hardverski i softverski mehanizmi koji štite privatne ključeve CA dokumentovani su u
internim pravilima rada. Dokumenti prikazuju da su mehanizmi zaštite CA ključa u
ekvivalentne snage kao i sami CA ključevi koji se štite.
6.2.1 STANDARDI I KONTROLE KRIPTOGRAFSKOG HARDVERSKOG MODULA
Privatni ključ sertifikacionog tela HALCOM BG CA zaštićen je kriptografskim modulom koji
je sertifikovan u skladu sa FIPS 140-2 nivo 3 i Common Criteria EAL4+.
6.2.2 VIŠESTRUKA KONTROLA PRIVATNOG KLJUĈA (K OD N PROCEDURA
DISTRIBUIRANE ODGOVORNOSTI)
Procedura deljenja tajni HALCOM BG CA koristi višestruke autorizovane nosioce u cilju da
zaštiti i poboljša poverljivost privatnih ključeva i obezbedi odgovarajuću proceduru
oporavka ključa.
Privatni ključ HALCOM BG CA sertifikacionog tela koristi se pod uslovima definisanim u
okviru k od n kontrole od strane više zaposlenih sa poverljivim ulogama.
58
Pre nego što nosilac deljene tajne prihvati deljenu tajnu, on mora lično da se upozna sa
kreiranjem, ponovnim kreiranjem i distribucijom tajne na sledećeg člana lanca
poverljivosti.
Nosilac deljene tajne može primiti deljenu tajnu na fizičkom medijumu kao što je
odreĎeni hardverski kriptografski modul (na primer smart kartica) koji je potvrĎen za
korišćenje od strane HALCOM BG CA sertifikacionog tela.
HALCOM BG CA sertifikaciono telo čuva pisane zapise u vezi distribucije deljene tajne.
Odredbe vezane za aktivaciju privatnog ključa sertifikacionog tela HALCOM BG CA
definisane su u internim pravilima rada sertifikacionog tela HALCOM BG CA.
6.2.3 BEZBEDNO ĈUVANJE PRIVATNOG KLJUĈA
HALCOM BG CA sertifikaciono telo koristi odgovarajuće hardverske i softverske
mehanizme da čuva svoje privatne ključeve.
Procedura čuvanja privatnog ključa HALCOM BG CA sertifikacionog tela zahteva
višestruke kontrole od strane na odgovarajući način autorizovanog osoblja sa poverljivim
rolama.
Autorizacija procedure čuvanja ključeva i autorizacija odgovarajućeg osoblja mora biti
izvršena od strane više od jednog člana upravne strukture.
6.2.4 BACKUP KLJUĈEVA HALCOM BG CA SERTIFIKACIONOG TELA
Nije primenljivo.
6.2.5 ARHIVIRANJE PRIVATNOG KLJUĈA
Nije primenljivo.
6.2.6 TRANSFER PRIVATNOG KLJUĈA NA HARDVERSKI KRIPTOGRAFSKI MODUL
Asimetrični par ključeva (privatni i javni) sertifikacionog tela generiše se u HSM ureĎaju i
ne prenosi se nigde.
Pravna lica:
Asimetrični parovi ključeva (privatni i javni) za vlasnike kvalifikovanih elektronskih
sertifikata generišu se u smart kartici i ne mogu se pročitati sa kartice.
Fizička lica:
Asimetrični parovi ključeva (privatni i javni) za vlasnike mobilnih kvalifikovanih
elektronskih sertifikata generišu se u bezbednom okruženju proizvoĎača kartica (HSM) i
SIM smart kartici sa koje se ne mogu pročitati.
6.2.7 ĈUVANJE PRIVATNOG KLJUĈA NA HARDVERSKOM KRIPTOGRAFSKOM
MODULU
Asimetrični par ključeva (privatni i javni) sertifikacionog tela generiše se u HSM ureĎaju i
isključivo se čuvaju u okviru HSM ureĎaja.
Pravna lica:
59
Asimetrični parovi ključeva (privatni i javni) za vlasnike kvalifikovanog elektronskog
kvalifikovanih elektronskih sertifikata generišu se u smart kartici i isključivo se čuvaju u
smart kartici i ne mogu se pročitati sa nje.
Fizička lica:
Asimetrični parovi ključeva (privatni i javni) za vlasnike mobilnih kvalifikovanih
elektronskih sertifikata generišu se u bezbednom okruženju proizvoĎača (HSM) i SIM
smart kartici sa koje se ne mogu pročitati.
6.2.8 METODA AKTIVACIJE PRIVATNOG KLJUĈA
Nosioci deljenih tajni (staraoci) HALCOM BG CA sertifikacionog tela imaju zadatak da
aktiviraju i deaktiviraju privatni ključ CA sertifikacionog tela. Privatni ključ je tada
aktivan u definisanom periodu vremena.
Postupak aktivacije privatnog ključa sertifikacionog tela i procedura distribuirane
odgovornosti u vezi tog postupka definisane su u internim pravilima rada sertifikacionog
tela.
Aktivacija privatnog ključa korisnika na smart kartici realizuje se ukucavanjem PIN koda.
6.2.9 METODA DEAKTIVIRANJA PRIVATNOG KLJUĈA
Nosioci deljenih tajni (staraoci) HALCOM BG CA sertifikacionog tela imaju zadatak da
aktiviraju i deaktiviraju privatni ključ CA sertifikacionog tela. Privatni ključ je tada aktivan
u definisanom periodu vremena.
Postupak za deaktivaciju/uništavanje privatnog ključa sertifikacionog tela HALCOM BG CA
vrši se bezbednim načinom u skladu sa odredbama internih pravila rada sertifikacionog
tela HALCOM BG CA. Privatni ključ se uništava na takav način da ga nije moguće ponovo
koristiti.
6.2.10 METODA UNIŠTENJA PRIVATNOG KLJUĈA
Privatni ključ HALCOM BG CA sertifikacionog tela se ne obnavlja.
Privatni ključ HALCOM BG CA sertifikacionog tela će biti uništen na kraju svog životnog
ciklusa.
Privatni ključevi HALCOM BG CA sertifikacionog tela uništavaju se na kraju njihovog
životnog veka u cilju garancije da oni neće nikada biti ponovo aktivirani i korišćeni.
Privatni ključevi HALCOM BG CA sertifikacionog tela uništavaju se tako što se isti unište,
a njihovi deljeni delovi obrišu.
Postupak za uništenje privatnog ključa sertifikacionog tela bazira se na odgovarajućim
funkcijama koje su podržane u HSM ureĎaju koji zadovoljava standarde navedene u
poglavlju 6.2.1.
Proces uništavanja ključeva dokumentovan je u internim pravilima rada i odgovarajući
zapisi su arhivirani.
60
6.2.11 RANGIRANJE KRIPTOGRAFSKIH HARDVERSKIH MODULA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
6.3 NEKI DRUGI ASPEKTI UPRAVLJANJA PAROM KLJUĈEVA
6.3.1 ARHIVIRANJE JAVNOG KLJUĈA
Sertifikaciono telo HALCOM BG CA arhivira svoj javni ključ, kao i javne ključeve vlasnika
kvalifikovanog elektronskog sertifikata, kao što je navedeno u poglavlju 5.5.
6.3.2 PERIODI VALIDNOSTI KVALIFIKOVANOG ELEKTRONSKOG SERTIFIKATA I
PRIVATNOG KLJUĈA
HALCOM BG CA sertifikaciono telo izdaje korisničke kvalifikovane elektronske sertifikate
sa periodom korišćenja kao što je naznačeno u kvalifikovanim elektronskim sertifikatima.
U dole navedenoj tabeli data su vremena važenja privatnih i javnih ključeva
sertifikacionog tela HALCOM BG CA i vlasnika kvalifikovanih elektronskih sertifikata.
Tip kvalifikovanih
elektronskih sertifikata
Root sertifikat
sertifikacionog tela Halcom
BG CA
Intermediate sertifikat
sertifikacionog tela Halcom
BG CA PL
Intermediate sertifikat
sertifikacionog tela Halcom
BG CA FL
Sertifikati za korisnike pravna lica
Mobilni sertifikati za
korisnike -fizička lica
Ključ
Važenje
Privatni ključ
20 godina
Javni ključ
20 godina
Privatni ključ
10 godina
Javni ključ
10 godina
Privatni ključ
10 godina
Javni ključ
10 godina
Privatni ključ
3 godine
Javni ključ
3 godine
Privatni ključ
3 godine
Javni ključ
3 godine
Sertifikaciono telo HALCOM BG CA može u iznimnim slučajevima za pojedinačne
sertifikate odrediti i kraći rok važenja kvalifikovanog elektronskog sertifikata (tj. javnog
ključa u sertifikatu).
6.4 AKTIVACIONI PODACI
6.4.1 GENERISANJE I INSTALACIJA AKTIVACIONIH PODATAKA
HALCOM BG CA sertifikaciono telo dokumentuje sopstvenu distribuciju aktivacionih
podataka za aktivaciju svog privatnog ključa i ima mogućnost da izmeni način distribucije
tih podataka u slučaju da staraoci zahtevaju da budu zamenjeni u njihovim rolama.
Za potrebe pristupa privatnim ključevima vlasnika kvalifikovanog elektronskog sertifikata
koriste se PIN kodovi za pristup karticama koji se generišu u sertifikacionom telu
HALCOM BG CA.
61
PIN kod za smart karticu generiše se i štampa na specijalnim PIN kovertama u okviru
sertifikacionog tela HALCOM BG CA.
PIN kod za pristup privatnim ključevima mobilnih kvalifikovanih elektronskih sertifikata
generiše se kod proizvoĎača smart kartica i distribuira se od strane mobilnog operatera.
Vlasnik može da promeni PIN kod nakon preuzimanja, kao i u bilo kom drugom momentu
u periodu trajanja i korišćenja sertifikata
6.4.2 ZAŠTITA AKTIVACIONIH PODATAKA
PIN kodovi za smart karticu korisnika bezbedno se generišu u okviru sertifikacionog tela
HALCOM BG CA.
Sertifikaciono telo HALCOM BG CA isporučuje vlasniku sertifikata PIN kod lično u okviru
registracionog tela.
PIN kod za pristup privatnim ključevima kod mobilnih kvalifikovanih elektronskih
sertifikata kreira se kod proizvoĎača smart kartica i distribuira se od strane mobilnog
operatera.
Sertifikaciono telo HALCOM BG CA preporučuje vlasniku da promeni PIN kod nakon
preuzimanja ili ga čuva na sigurnom mestu koje je dostupno samo njemu.
6.4.3 DRUGI ASPEKTI U VEZI AKTIVACIONIH PODATAKA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
6.5 BEZBEDNOSNE KONTROLE RAĈUNARA
6.5.1 SPECIFIĈNI ZAHTEVI ZA BEZBEDNOST RAĈUNARA
HALCOM BG CA sertifikaciono telo implementira bezbednosne kontrole nad računarima
koji se koriste u okviru datog PKI sistema.
Računari koji se koriste u okviru HALCOM BG CA sertifikacionog tela čuvaju se unutar
specijalne prostorije koja je fizički obezbeĎena. Pristup preko računarske mreže štiti se
pomoću „firewall“ ureĎaja. Neautorizovan pristup računarima CA sertifikacionog tela nije
dozvoljen.
6.5.2 RANGIRANJE BEZBEDNOSTI RAĈUNARA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
6.6 ŢIVOTNI CIKLUS TEHNIĈKIH BEZBEDNOSNIH KONTROLA
6.6.1 KONTROLE SISTEMSKOG RAZVOJA
HALCOM BG CA sertifikaciono telo realizuje periodične sistemsko-razvojne kontrole.
6.6.2 KONTROLE UPRAVLJANJA BEZBEDNOŠĆU
HALCOM BG CA sertifikaciono telo realizuje periodične bezbednosno-upravljačke kontrole.
62
6.6.3 ŢIVOTNI CIKLUS BEZBEDNOSNIH KONTROLA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
6.7 MREŢNE BEZBEDNOSNE KONTROLE
HALCOM BG CA sertifikaciono telo održava i primenjuje visok nivo sistema mrežne
bezbednosti, uključujući primenu „firewall“ ureĎaja i „intrusion detection/prevention“
sistema.
6.8 VREMENSKI PEĈAT
Ovo poglavlje nije primenljivo u okviru ovih CPS.
63
7. PROFILI KVALIFIKOVANOG ELEKTRONSKOG
SERTIFIKATA, CRL I OCSP
Ovo poglavlje specificira formate kvalifikovanih elektronskih sertifikata i registra
opozvanih kvalifikovanih elektronskih sertifikata (CRL) koje izdaje HALCOM BG CA
sertifikaciono telo.
7.1 PROFILI KVALIFIKOVANIH ELEKTRONSKIH SERTIFIKATA
Profil root kvalifikovanih elektronskih sertifikata – Halcom BG CA
Nazivi polja
Vrednost odnosno znaĉenje
Osnovna polja u sertifikatima
Varijanta
V3
engl. Version
Identifikaciona oznaka
Jedinstven interni broj kvalifikovanih
kvalifikovanih elektronskih
elektronskih sertifikata
sertifikata
engl. Serial Number
Algoritam za potpis,
sha1RSA (OID1.2.840.113549.1.15)
engl. Signature algorithm
Izdavač
C=RS,
engl. Issuer
O=Halcom a.d. Beograd,
CN=Halcom BG CA
Valjanost,
Valid from: <početak valjanosti prema GMT>
engl. Validity
Valid to: <kraj valjanosti prema GMT>
Vlasnik,
CN = Halcom BG CA
engl. Subject
O = Halcom a.d. Beograd
C = RS
Algoritam za javni ključ,
rsaEncryption (OID 1.2.840.113549.1.1.1)
engl. Subject Public Key
Algorithm
Javni ključ,
modulus, eksponent,...
engl. Public Key (... bits)
Vlasnikov javni ključ koji
dužina ključa je 2048 bitova
pripada odgovarajućem paru,
ključeva, šifriran alg. RSA,
engl. RSA Public Key
Ekstenzije u okviru X.509v3 standarda
korišćenje ključa, OID
Certificate Signing,
2.5.29.15,
Off-line CRL Signing,
engl. Key Usage
CRL Signing
Identifikator ključa vlasnika, identifikator ključa vlasnika
OID 2.5.29.14,
47 d1 d3 ab c5 a4 28 04
engl. Subject Key Identifier
Osnovna ograničenja, OID
Subject Type=CA
2.5.29.19,
Path Length Constraint=None
engl. Basic Constraints
Dodatna identifikacija (nije deo kvalifikovanih elektronskih sertifikata)
Prepoznavan otisak
Prepoznavan otisak sertifikata prema SHA1
kvalifikovanih elektronskih
sertifikata -SHA1 engl.
Certificate Fingerprint – SHA1
64
Profil intermediate kvalifikovanih elektronskih sertifikata – Halcom BG CA PL i Halcom BG
CA FL
Nazivi polja
Vrednost odnosno znaĉenje
Osnovna polja u sertifikatima
Varijanta
V3
engl. Version
Identifikaciona oznaka
Jedinstven interni broj kvalifikovanih
kvalifikovanih elektronskih
elektronskih sertifikata
sertifikata
engl. Serial Number
Algoritam za potpis,
sha1RSA (OID1.2.840.113549.1.15)
engl. Signature algorithm
Izdavač
C=RS,
engl. Issuer
O=Halcom a.d. Beograd,
CN=Halcom BG CA
Valjanost,
Valid from: <početak valjanosti prema GMT>
engl. Validity
Valid to: <kraj valjanosti prema GMT>
Vlasnik,
Pravna lica
engl. Subject
(C=RS, O=Halcom a.d. Beograd, CN=Halcom
BG CA PL)
Fizička lica
(C=RS, O=Halcom a.d. Beograd, CN=Halcom
BG CA FL)
Algoritam za javni ključ,
rsaEncryption (OID 1.2.840.113549.1.1.1)
engl. Subject Public Key
Algorithm
Javni ključ,
modulus, eksponent,...
engl. Public Key (... bits)
Vlasnikov javni ključ koji
dužina ključa je 2048 bitova
pripada odgovarajućem paru,
ključeva, šifriran alg. RSA,
engl. RSA Public Key
Ekstenzije u okviru X.509v3 standarda
korišćenje ključa, OID
Certificate Signing,
2.5.29.15,
Off-line CRL Signing,
engl. Key Usage
CRL Signing
Identifikator ključa izdavača, KeyID=47 d1 d3 ab c5 a4 28 04
OID 2.5.29.35,
engl. Authority Key Identifier
Identifikator ključa vlasnika, identifikator ključa vlasnika
OID 2.5.29.14,
Pravna lica
engl. Subject Key Identifier
47 dd ba a4 63 34 d3 24
Fizička lica
43 40 d8 ec d2 62 80 6f
Osnovna ograničenja, OID
Subject Type=CA
2.5.29.19,
Path Length Constraint=None
engl. Basic Constraints
Dodatna identifikacija (nije deo kvalifikovanih elektronskih sertifikata)
Prepoznavan otisak
Prepoznavan otisak sertifikata prema SHA1
kvalifikovanih elektronskih
sertifikata -SHA1 engl.
Certificate Fingerprint – SHA1
Na
osnovu
politike
sertifikacije
(CPOID:
1.3.6.1.4.1.5939.10.1.1
i
CPOID:
65
1.3.6.1.4.1.5939.11.1.1), sertifikaciono telo HALCOM BG CA izdaje sertifikate za pravna i
fizička lica.
7.1.1 BROJ VERZIJE
HALCOM BG CA sertifikaciono telo izdaje elektronske sertifikate u formatu X.509v3 tako
da su svi sertifikati verzije 3.
7.1.2 EKSTENZIJE U SERTIFIKATU
Podaci u sertifikatima za pravna lica su navedeni su sledećoj tabeli.
Nazivi polja
Vrednost odnosno znaĉenje
Osnovna polja u sertifikatima
Varijanta
V3
engl. Version
Identifikaciona oznaka
Jedinstven
interni
broj
kvalifikovanih
kvalifikovanog elektronskog
elektronskih sertifikata
sertifikata
engl. Serial Number
Algoritam za potpis,
sha1RSA (OID1.2.840.113549.1.15)
engl. Signature algorithm
Izdavač
C=RS,
engl. Issuer
O=Halcom a.d. Beograd,
CN=Halcom BG CA PL
Valjanost,
Valid from: <početak valjanosti prema GMT>
engl. Validity
Valid to: <kraj valjanosti prema GMT>
Vlasnik,
karakteristično ime vlasnika, pogledati
engl. Subject
poglavlje 3.1.1.
Algoritam za javni ključ,
rsaEncryption (OID 1.2.840.113549.1.1.1)
engl. Subject Public Key
Algorithm
Javni ključ,
modulus, eksponent,...
engl. Public Key (... bits)
Vlasnikov javni ključ koji
dužina ključa je min 1024 bitova, pogledaj
pripada odgovarajućem paru, alineju 6.1.5.
ključeva, šifriran alg. RSA,
engl. RSA Public Key
Ekstenzije u okviru X.509v3 standarda
Objava registra opozvanih
URL=ldap://ldap.halcom.rs/cn=Halcom%20BG
kvalifikovanih elektronskih
%20CA%20PL,o=Halcom%20a.d%20Beograd,
sertifikata, OID 2.5.29.31,
c=RS?certificaterevocationlist;binary
engl. CRL Distribution Points
korišćenje ključa, OID
Digital Signature,
2.5.29.15,
Non-Repudiation,
engl. Key Usage
Key Encipherment
Identifikator ključa
KeyID=47 dd ba a4 63 34 d3 24
sertifikacionog tela,
OID 2.5.29.35,
engl. Authority Key Identifier
Identifikator ključa vlasnika, identifikator ključa vlasnika
OID 2.5.29.14,
engl. Subject Key Identifier
66
Politika, u nadležnosti koje je
sertifikat izdat, sa URL
adresom CPS-a ,
OID 2.5.29.32,
engl. certificatePolicies
Ovisi od vrste kvalifikovanog elektronskog
sertifikata
Certificate Policy:
Policy Identifier=1.3.6.1.4.1.5939.10.1.1
[1,1]Policy Qualifier Info:
Policy Qualifier Id=CPS
Qualifier:
http://www.halcom.rs/UserFiles/File/CPS.pdf
Oznaka kvalifikovanog
kvalifikovanih elektronskih
sertifikata na SSCD
engl. QC SSCD Statement
Sertifikat izdavača sa URL
adresom
OID 1.3.6.1.5.5.7.48.2
engl. Authority Information
Access
30 14 30 08 06 06 04 00
8e 46 01 01 30 08 06 06
04 00 8e 46 01 04
0.0.....
.F..0...
...F.
[1]Authority Info Access
Access Method=Certification Authority
Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=http://www.halcom.rs/UserFiles/File/Halc
omBGCAPLIntermediate.crt
Subject Type=End Entity
Path Length Constraint=None
Osnovna ograničenja, OID
2.5.29.19,
engl. Basic Constraints
Dodatna identifikacija (nije deo kvalifikovanog elektronskog sertifikata)
Prepoznavan otisak
Prepoznavan otisak kvalifikovanog
kvalifikovanog elektronskog
elektronskog sertifikata prema SHA1
sertifikata -SHA1 engl.
Certificate Fingerprint – SHA1
Podaci u sertifikatima za fizička lica su navedeni su sledećoj tabeli.
Nazivi polja
Vrednost odnosno značenje
Osnovna polja u kvalifikovanom elektronskom sertifikatu
Varijanta
V3
engl. Version
Identifikaciona oznaka
Jedinstven interni broj kvalifikovanih
kvalifikovanih elektronskih
elektronskih sertifikata
sertifikata
engl. Serial Number
Algoritam za potpis,
sha1RSA (OID1.2.840.113549.1.15)
engl. Signature algorithm
Izdavač
C=RS, O=Halcom a.d. Beograd, CN=Halcom
engl. Issuer
BG CA FL
Valjanost,
Valid from: <početak valjanosti prema GMT>
engl. Validity
Valid to: <kraj valjanosti prema GMT>
Vlasnik,
karakteristično ime vlasnika, u zavisnosti od
engl. Subject
vrste kvalifikovanih elektronskih sertifikata,
pogledati poglavlje 3.1.1.
Algoritam za javni ključ,
rsaEncryption (OID 1.2.840.113549.1.1.1)
engl. Subject Public Key
Algorithm
Javni ključ,
modulus, eksponent,...
engl. Public Key (... bits)
67
Vlasnikov javni ključ koji
pripada odgovarajućem paru,
ključeva, šifriran alg. RSA,
engl. RSA Public Key
Proširenja X.509v3
Objava registra opozvanih
kvalifikovanih elektronskih
sertifikata, OID 2.5.29.31,
engl. CRL Distribution Points
korišćenje ključa, OID
2.5.29.15,
engl. Key Usage
Prošireno korišćenje,
OID 2.5.29.37,
engl. Enhanced Key Usage
Identifikator ključa
sertifikacionog tela,
OID 2.5.29.35,
engl. Authority Key Identifier
Identifikator ključa vlasnika,
OID 2.5.29.14,
engl. Subject Key Identifier
Politika, u nadležnosti koje je
sertifikat izdat, sa URL
adresom CPS-a ,
OID 2.5.29.32,
engl. certificatePolicies
dužina ključa je min 1024 bitova, pogledaj
alineju 6.1.5.
URL=ldap://ldap.halcom.rs/cn=Halcom%20BG
%20CA%20FL,o=Halcom%20a.d%20
Beograd,c=RS?certificaterevocationlist;binary
Digital Signature,
Non-Repudiation,
Key Encipherment,
/
KeyID=43 40 d8 ec d2 62 80 6f
identifikator ključa vlasnika
Ovisi od vrste kvalifikovanih elektronskih
sertifikata
Certificate Policy:
Policy Identifier=1.3.6.1.4.1.5939.11.1.1
1,1]Policy Qualifier Info:
Policy Qualifier Id=CPS
Qualifier:
http://www.halcom.rs/UserFiles/File/CPS.pdf
Sertifikat izdavača sa URL
adresom
OID 1.3.6.1.5.5.7.48.2
engl. Authority Information
Access
[1]Authority Info Access
Access Method=Certification Authority
Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=http://www.halcom.rs/UserFiles/File/Halc
omBGCAFLIntermediate.crt
Subject Type=End Entity
Path Length Constraint=None
Osnovna ograničenja, OID
2.5.29.19,
engl. Basic Constraints
Dodatna identifikacija (nije deo kvalifikovanog elektronskog sertifikata)
Prepoznatljiv otisak
Prepoznavan otisak kvalifikovanih elektronskih
kvalifikovanih elektronskih
sertifikata prema SHA1
sertifikata-SHA1 engl.
Certificate Fingerprint – SHA1
Ekstenzija namena korišćenja ključa (engl. Key Usage) označena je kao kritična (engl.
critical).
7.1.3 OBJEKTNI IDENTIFIKATORI ALGORITAMA
Kvalifikovani elektronski sertifikati koje izdaje sertifikaciono telo HALCOM BG CA potpisani
su primenom kriptografskog algoritma, odreĎenim u polju signature algorithm: vrednost
sha1RSA, identifikator objekta: OID 1.2.840.113549.1.1.5.
68
7.1.4 FORME IMENA
Pogledati poglavlje 3.1.1.
7.1.5 OGRANIĈENJA IMENA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
7.1.6 OBJEKTNI IDENTIFIKATOR CPS
Ovaj dokument predstavlja Praktična pravila Halcom BG CA. Sertifikati Halcom BG CA
sadrže identifikacioni broj odgovarajuće CP politike. Zbog toga, Halcom nije ovom
dokumentu dodelio CPoid broj.
Identifikaciona oznaka politike sertifikacije HALCOM BG CA je:
OID = 1.3.6.1.4.1.5939.10.1.1 za pravna lica i
OID = 1.3.6.1.4.1.5939.11.1.1 za fizička lica.
7.1.7 KORIŠĆENJE „POLICY CONSTRAINTS“ EKSTENZIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
7.1.8 SINTAKSA I SEMANTIKA „POLICY QUALIFIER“-SA
Pogledati poglavlje 7.1.2.
7.1.9 SEMANTIKA PROCESIRANJA KRITIĈNE EKSTENZIJE „CERTIFICATE
POLICIES“
U sertifikatima izdatim od strane HALCOM BG CA sertifikacionog tela, neophodno je da
ekstenzija „Certificate Policies“ ima sledeće vrednosti:

Odgovarajući OID politike sertifikacije po kojoj se izdaje dati kvalifikovani
elektronski sertifikat

Internet lokaciju (URL) na kojoj se nalazi ovaj CPS dokument radi preuzimanja.
7.2 PROFIL REGISTRA OPOZVANIH SERTIFIKATA (CRL)
Registar opozvanih kvalifikovanih elektronskih sertifikata (CRL) izdaje sertifikaciono telo
HALCOM BG CA sa karakterističnim imenom:
Za pravna lica:
C=RS,
O=Halcom a.d. Beograd,
CN=Halcom BG CA PL
Za fizička lica:
C=RS,
O=Halcom a.d. Beograd
CN=Halcom BG CA FL
Registar opozvanih sertifikata se obnavlja jedanput dnevno 24 sata nakon poslednje
69
obnove CRL.
Registar opozvanih kvalifikovanih elektronskih sertifikata sadrži jednoznačni interni
serijski broj opozvanog kvalifikovanih elektronskih sertifikata, kao i vreme i datum
opoziva.
7.2.1 BROJ VERZIJE
Registar opozvanih kvalifikovanih elektronskih sertifikata odgovara preporuci ITU-T X.509
(1997) uključujući i verziju 2 i ISO/IEC 9594-8:1997.
Registar opozvanih kvalifikovanih elektronskih sertifikata dostupan je putem:

LDAP protokola i

HTTP protokola.
7.2.2 CRL I CRL ENTRY EKSTENZIJE
Registar opozvanih kvalifikovanih elektronskih sertifikata uz ostale podatke, u skladu sa
preporukom X.509v2, sadrži (osnovna polja i ekstenzije detaljnije su prikazani u donjoj
tabeli):

identifikacione oznake opozvanih kvalifikovanih elektronskih sertifikata i

vreme i datum opoziva.
Registru opozvanih sertifikata (CRL) za pravna lica:
Naziv polja
Vrednost odnosno znaĉenje
Osnovna polja u CRL
Verzija,
V2
engl. Version
Algoritam za digitalni potpis CRL, sha1RSA
engl. Signature Algorithm
Potpis sertifikacionog tela,
potpis HALCOM BG CA PL
engl. Signature
Karakteristično ime
C=RS,
sertifikacionog tela
O=Halcom a.d. Beograd,
engl. Issuer
CN=Halcom BG CA PL
Vreme izdavanja CRL,
Effective date: <vreme izdavanja prema
engl. thisUpdate
GMT>
Vreme izdavanja sledeće CRL,
Next Update: <vreme izdavanja sledeće
engl. nextUpdate
CRL prema GMT>
Identifikacione oznake (serijski
Serial Number: <identifikaciona oznaka
brojevi) opozvanih kvalifikovanih (serijski broj) opozvanog kvalifikovanog
elektronskih sertifikata i vreme
elektronskog kvalifikovanih elektronskih
opoziva,
sertifikata>
engl. revokedCertificate
Revocation Date: <vreme opoziva prema
GMT>
Ekstenzije X.509v2 CRL
redni broj CRL
Redni broj izdatog registra opozvanih
engl. CRL number
kvalifikovanih elektronskih sertifikata
identifikator ključa
KeyID= 47 dd ba a4 63 34 d3 24
sertifikacionog tela,
engl. Authority Key Identifier
(OID 2.5.29.35)
70
CRL za fizička lica:
Naziv polja
Osnovna polja u CRL
Varijanta,
engl. Version
Algoritam za potpis,
engl. Signature Algorithm
Potpis sertifikacionog tela,
engl. Signature
Karakteristično ime sertifikacionog
tela
engl. Issuer
Vreme izdaje CRL,
engl. thisUpdate
Vreme izdaje sledećeg CRL,
engl. nextUpdate
Identifikacione oznake opozvanih
kvalifikovanih elektronskih
sertifikata i vreme opoziva,
engl. revokedCertificate
Ekstenzije X.509v2 CRL
redni broj CRL
engl. CRL number
identifikator ključa sertifikacionog
tela,
engl. Authority Key Identifier
(OID 2.5.29.35)
Vrednost odnosno značenje
V2
sha1RSA
potpis Halcom BG CA
C=RS,
O=Halcom a.d. Beograd
CN=Halcom BG CA FL
Effective date: <vreme izdaje prema
GMT>
Next Update: <vreme sledeće izdaje
prema GMT>
Serial Number: <identifikaciona oznaka
opozvanog kvalifikovanog elektronskog
kvalifikovanih elektronskih sertifikata>
Revocation Date: <vreme opoziva prema
GMT>
Redni broj izdatog registra opozvanih
kvalifikovanih elektronskih sertifikata
KeyID=43 40 d8 ec d2 62 80 6f
Opozvani kvalifikovani elektronski sertifikati kojima je istekla validnost, ostaju izlistani u
CRL, tj. ne brišu se iz CRL nakon isteka važnosti.
7.3 OCSP PROFIL
Ovo poglavlje nije primenljivo u okviru ovih CPS.
7.3.1 BROJ VERZIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
7.3.2 OCSP EKSTENZIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
71
8. PROVERA USKLAĐENOSTI I DRUGA OCENJIVANJA
8.1 FREKVENCIJA ILI USLOVI OCENJIVANJA
HALCOM BG CA sertifikaciono telo vrši periodičnu reviziju/proveru saglasnosti svojih
osnovnih dokumenata rada, kao što su politike sertifikacije i ovaj CPS dokument, što
uključuje i periodičnu superviziju od strane Nadležnog organa za akreditaciju i superviziju
Republike Srbije.
Operativni rad HALCOM BG CA sertifikacionog tela takoĎe je u saglasnosti sa najvažnijim
meĎunarodnim i Evropskim standardima u ovoj oblasti, kao i sa Evropskom direktivom
1999/93/EC o elektronskim potpisima.
U domenu izdavanja kvalifikovanih elektronskih sertifikata, HALCOM BG CA sertifikaciono
telo radi u okviru ograničenja definisanim Zakonom o elektronskom potpisu Republike
Srbije, kao i odgovarajućim podzakonskim aktima.
HALCOM BG CA sertifikaciono telo prihvata pod odreĎenim uslovima i proveru/reviziju
internih procedura i pravila rada koja nisu javno dostupna. HALCOM BG CA evaluira
rezultate ovakvih provera pre nego što ih implementira.
U okviru sertifikacionog tela HALCOM BG CA postoji organizaciona jedinica za nadzor i
usklaĎenost koju čine stručnjaci sa odgovarajućim tehnološkim i pravnim znanjima, a koji
ne vrše zadatke vezane za upravljanje kvalifikovanim elektronskim sertifikatima.
Pomenuta organizaciona jedinica nadzire rad sertifikacionog tela HALCOM BG CA.
Organizaciona jedinica u slučaju otkrivenih nedostataka definiše odgovarajuće mere za
uklanjanje tih nedostataka, koje je sertifikaciono telo HALCOM BG CA dužno da sprovede,
i nadzire sprovoĎenje definisanih mera.
Organizaciona jedinica za nadzor i usklaĎenost vrši nadzor rada sertifikacionog tela
najmanje jedanput u godini.
8.2 IDENTITET/KVALIFIKACIJE PROCENJIVAĈA
HALCOM BG CA sprovodi redovne interne revizije usklaĎenosti poslovanja sa politikama
sertifikacije, kao i sa ovim CPS dokumentom.
Organizacionu jedinicu za nadzor i usklaĎenost čine stručnjaci sa odgovarajućim
tehnološkim i pravnim znanjima.
8.3 ODNOS OCENJIVAĈA PREMA OCENJIVANOM ENTITETU
Ovo poglavlje nije primenljivo u okviru ovih CPS.
8.4 TEME POKRIVENE U PROCESU OCENJIVANJA
U procesu ocenjivanja rada HALCOM BG CA sertifikacionog tela, bilo eventualnog
eksternog od strane Nadležnog organa ili internog od strane internih auditora, vrši se
provera saglasnosti osnovnih dokumenata CA sertifikacionog tela (politike sertifikacije i
ovaj CPS dokument) sa postojećom zakonskom regulativom (Zakon o elektronskom
potpisu i podzakonska akta), kao i da li je operativni rad HALCOM BG CA sertifikacionog
tela u saglasnosti sa usvojenim i verifikovanim politikama sertifikacije (CP) i ovim
praktičnim pravilima rada (CPS), kao i sa internim pravilima rada.
Područja nadzora odreĎena su u internim pravilima rada sertifikacionog tela HALCOM BG
CA.
72
8.5 AKTIVNOSTI PREDUZETE KAO REZULTAT UTVRĐENIH
NEDOSTATAKA
HALCOM BG CA sertifikaciono telo treba da uskladi svoje dokumente (CP, CPS i interna
pravila rada) i operativni rad u skladu sa eventualnim nalazima eksternog ili internog
auditinga.
U slučaju utvrĎenih nedostataka ili grešaka u radu sertifikacionog tela, organizaciona
jedinica definiše mere za uklanjanje tih nedostataka, koje je sertifikaciono telo HALCOM
BG CA dužno da sprovede, i nadzire izvoĎenje definisanih mera.
Detalji oko sprovoĎenja navedenih mera definišu se u internim pravilima rada
sertifikacionog tela HALCOM BG CA.
8.6 KOMUNIKACIJA REZULTATA
Rezultati sprovoĎenja nadzora čuvaju se u okviru sertifikacionog tela HALCOM BG CA.
73
9. DRUGI POSLOVNI I PRAVNI ASPEKTI
9.1 CENE
9.1.1 CENE IZDAVANJA ILI OBNOVE KVALIFIKOVANIH ELEKTRONSKIH
SERTIFIKATA
Sertifikaciono telo HALCOM BG CA definiše cenovnik korišćenja
elektronskih sertifikata, svojih usluga, potrebne opreme i infrastrukture.
kvalifikovanih
Cena izdavanja i cbnavljanja kvalifikovanih elektronskih sertifikata definisana je važećim
cenovnikom u registracionim centrima.
9.1.2 CENA PRISTUPA SERTIFIKATIMA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.1.3 CENA PRISTUPA INFORMACIJAMA O STATUSU KVALIFIKOVANIH
ELEKTRONSKIH SERTIFIKATA
Pristup registru opozvanih sertifikata (CRL) je besplatan osim ako se stranke ne dogovore
drugačije.
Registar opozvanih kvalifikovanih elektronskih sertifikata je besplatno dostupan svim
korisnicima, bilo da su oni vlasnici kvalifikovanih elektronskih sertifikata izdatih od strane
sertifikacionog tela HALCOM BG CA ili treća lica.
9.1.4 CENE ZA DRUGE SERVISE
Cene drugih usluga, opreme i infrastrukture odreĎene su važećim cenovnikom.
9.1.5 POLITIKA POVRAĆAJA NOVCA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.2 FINANSIJSKA ODGOVORNOST
9.2.1 POKRIVENOST OSIGURANJEM
HALCOM BG CA obezbeĎuje osiguranje za pokrivanje svih odgovornosti opisanih u ovom
CPS dokumentu. Detaljne informacije o osiguranju objavljene su na zvaničnoj web strani
sertifikacionog tela.
HALCOM BG CA ne prihvata nikakvu drugu odgovornost koja izlazi iz pokrivanja
definisanog ovim CPS dokumentom.
Sertifikaciono telo HALCOM BG CA poseduje odgovarajuće osiguranje za bilo koju štetu
koju mogu da pretrpe treća lica, a za koju je odgovorno sertifikaciono telo. Detaljne
informacije objavljene su na web stranicama.
9.2.2 DRUGA DOBRA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
74
9.2.3 OSIGURANJE ILI GARANCIJSKA POKRIVENOST ZA KRAJNJE KORISNIKE
Korisnik je dužan da obešteti HALCOM BG CA sertifikaciono telo u odnosu na bilo koje
aktivnosti ili propuste u odgovornosti, bilo koje gubitke ili štetu, kao i za bilo kakve
troškove bilo koje vrste, uključujući razumne naknade advokata, koje bi HALCOM BG CA
sertifikaciono telo moglo da ima kao rezultat:

Bilo kog lažnog ili pogrešno prezentovanog podatka dostavljenog od strane
korisnika ili njihovih agenata.

Bilo kog propusta korisnika da dostavi materijalnu činjenicu da je pogrešna
prezentacija ili propust učinjen iz nemarnosti ili sa namerom da se prevari
HALCOM BG CA sertifikaciono telo ili bilo koje drugo lice koje prima i odnosi se
prema dobijenom sertifikatu. NeobezbeĎivanja odgovarajuće zaštite korisnikovog
privatnog ključa, nekorišćenja bezbednog sistema kako je zahtevano, ili
neizvršenja odgovarajućih preventivnih mera neophodnih da se spreči
kompromitacija, gubitak, objavljivanje, modifikacija ili neautorizovano korišćenje
korisnikovog privatnog ključa, ili napada na integritet privatnog ključa HALCOM BG
CA sertifikacionog tela.

Kršenja bilo kojih zakona koji su primenljivi, uključujući one koji se odnose na
zaštitu intelektualnih prava, viruse, pristup računarskim sistemima, itd.
9.3 POVERLJIVOST POSLOVNIH INFORMACIJA
9.3.1 OPSEG POVERLJIVIH INFORMACIJA
Sertifikaciono telo HALCOM BG CA postupa poverljivo sa sledećim podacima:

Sa svim zahtevima za dobijanje kvalifikovanog elektronskog sertifikata ili drugih
usluga

Sve moguće poverljive podatke vezane za finansijske obaveze,

Sve moguće poverljive podatke koji predstavljaju predmet meĎusobnih ugovora
sa trećim licima i

Sve ostale podatke koji su navedeni u internim pravilima rada sertifikacionog tela
HALCOM BG CA.
U toku obrade svih mogućih poverljivih podataka o vlasnicima sertifikata i trećim licima,
koji su nužno potrebni za usluge upravljanja kvalifikovanim elektronskim sertifikatima,
sertifikaciono telo HALCOM BG CA postupa u skladu sa važećim zakonodavstvom.
9.3.2 INFORMACIJE KOJE NISU U OPSEGU POVERLJIVIH INFORMACIJA
Sertifikaciono telo HALCOM BG CA javno objavljuje samo one poslovne podatke koji nisu
poverljive prirode, a u skladu sa važećim zakonodavstvom.
9.3.3 ODGOVORNOST ZA ZAŠTITU POVERLJIVIH INFORMACIJA
Sertifikaciono telo HALCOM BG CA ne preuzima nikakve odgovornosti za sadržaj
podataka koje vlasnik kvalifikovanog elektronskog sertifikata elektronski šifruje ili
potpisuje. TakoĎe, sertifikaciono telo ne preuzima nikakve odgovornosti za pitanja da li
su vlasnik ili treće lice poštovali sve važeće propise, sve odredbe politike sertifikacije i
drugih pravila sertifikacionog tela HALCOM BG CA, odnosno vodili računa o svim
objavljenim uputstvima.
75
Sertifikaciono telo HALCOM BG CA ne preuzima nikakve odgovornosti za posledice do
kojih dolazi ukoliko vlasnik kvalifikovanog elektronskog sertifikata nije postupao u skladu
sa sigurnosnim zahtevima iz tačke 5.1 ovog CPS dokumenta.
9.4 PRIVATNOST PERSONALNIH INFORMACIJA
9.4.1 PLAN PRIVATNOSTI
HALCOM BG CA sertifikaciono telo pridržava se pravila zaštite privatnosti personalnih
podataka i pravila poverljivosti kako je propisano u CPS dokumentu, kao i u
odgovarajućim zakonskim dokumentima.
Sa svim ličnim i poverljivim podacima o vlasnicima kvalifikovanih elektronskih sertifikata
koji su nužno potrebni za usluge upravljanja kvalifikovanim elektronskim sertifikatima,
sertifikaciono telo HALCOM BG CA postupa u skladu sa važećim zakonodavstvom.
9.4.2 INFORMACIJE KOJE SE TRETIRAJU KAO PRIVATNE
HALCOM BG CA sertifikaciono telo tretira privatnim sve informacije koje se odnose na
korisnike kvalifikovanih elektronskih sertifikata.
Lični podaci koji se čuvaju su svi lični podaci koje sertifikaciono telo HALCOM BG CA
prikupi u okviru zahteva za svoje usluge ili u odgovarajućim registrima za dokazivanje
identiteta vlasnika.
9.4.3 INFORMACIJE KOJE SE NE SMATRAJU PRIVATNIM
HALCOM BG CA sertifikaciono telo ne smatra privatnim isključivo one informacije
korisnika za koje je sam korisnik dao saglasnost da se mogu publikovati. Najčešće se to
odnosi samo na podatke koji se sadrže u izdatim kvalifikovanim elektronskim
sertifikatima.
Drugih mogućih ličnih podataka koji se javno objavljuju od strane sertifikacionog tela,
osim ovih navedenih u sertifikatu i registru opozvanih kvalifikovanih elektronskih
sertifikata, nema.
9.4.4 ODGOVORNOST ZA ZAŠTITU PRIVATNIH INFORMACIJA
HALCOM BG CA sertifikaciono telo je odgovorno za zaštitu privatnosti korisnikovih
informacija.
Sertifikaciono telo HALCOM BG CA postupa u skladu sa Zakonom o zaštiti podataka o
ličnosti i drugim važećim zakonodavstvom vezanim za čuvanje i zaštitu ličnih podataka.
9.4.5 OBAVEŠTENJE I SAGLASNOST ZA KORIŠĆENJE PRIVATNIH INFORMACIJA
HALCOM BG CA sertifikaciono telo definiše uslove u vezi objavljivanja privatnih
informacija za koje dati korisnik treba da da saglasnost i ti su uslovi objavljeni u ugovoru
koji se potpisuje sa korisnikom.
Vlasnik ovlašćuje sertifikaciono telo HALCOM BG CA za korišćenje ličnih podataka koji se
nalaze na zahtevu za dobijanje kvalifikovanih elektronskih sertifikata, u skladu sa
zakonom o zaštiti ličnih podataka.
76
9.4.6 OTKRIVANJE INFORMACIJA SHODNO PRAVNIM I ADMINISTRATIVNIM
PROCESIMA
HALCOM BG CA sertifikaciono telo ne objavljuje, niti se zahteva da objavljuje, bilo koju
poverljivu informaciju bez autentikovanog i potvrĎenog zahteva od strane:

Same strane za koju se takva informacija i čuva,

Odgovarajućeg suda.
HALCOM BG CA može naplatiti odgovarajuću administrativnu cenu za procesiranje
ovakvih objavljivanja.
Strane u komunikaciji koje zahtevaju i dobijaju poverljive informacije imaju dozvolu za to
na osnovu pretpostavke da će oni te informacije koristiti za zahtevane svrhe, da će ih
osigurati od kompromitacije, i da će se uzdržati od njihovog korišćenja i objavljivanja
trećim stranama.
Sertifikaciono telo HALCOM BG CA ne prosleĎuje lične podatke o vlasnicima kvalifikovanih
elektronskih sertifikata trećim licima koja nisu navedena u kvalifikovanim elektronskim
sertifikatima, osim ako se odreĎeni podaci posebno zahtevaju za izvoĎenje specifičnih
usluga odnosno aplikacija vezanih za sertifikate, a vlasnik kvalifikovanog elektronskog
sertifikata je za te svrhe ovlastio sertifikaciono telo HALCOM BG CA (pogledati prethodno
poglavlje), ili na zahtev nadležnog suda ili administrativnog organa.
Lični podaci se prosleĎuju i bez pismenog odobrenja vlasnika kvalifikovanog elektronskog
sertifikata ukoliko je tako definisanom zakonodavstvom, odnosno važećim propisima.
9.4.7 DRUGE OKOLNOSTI ZA OTKRIVANJE INFORMACIJA
HALCOM BG CA sertifikaciono telo i njegovi partneri mogu učiniti raspoloživom specifičnu
politiku privatnosti u cilju zaštite personalnih podataka aplikanta koji zahteva izdavanje
kvalifikovanog elektronskog sertifikata od strane HALCOM BG CA sertifikacionog tela ili
njegovog partnera putem njihovih web sajtova i/ili CP ili CPS dokumenata.
9.5 PRAVA INTELEKTUALNOG VLASNIŠTVA
HALCOM BG CA sertifikaciono telo poseduje i zadržava sva prava intelektualnog
vlasništva pridružena svojim bazama podataka, web sajtovima, kvalifikovanim
elektronskim sertifikatima koje izdaje, kao i bilo kojim drugim publikacijama koje na bilo
koji način pripadaju ili potiču od strane HALCOM BG CA sertifikacionog tela, uključujući
CP i ovaj CPS dokument.
Odredbe vezane na autorska, srodna i druga prava intelektualnog vlasništva:

U vezi privatnog ključa - pripadaju sva prava vlasniku kvalifikovanog elektronskog
sertifikata,

U vezi javnih ključeva – sva prava nad svim podacima u sertifikatu, registru
opozvanih kvalifikovanih elektronskih sertifikata, kao i na ovoj CPS dokumentu
pripadaju sertifikacionom telu HALCOM BG CA.
9.6 PREDSTAVLJANJA I GARANCIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
77
9.6.1 CA PREDSTAVLJANJA I GARANCIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.6.2 RA PREDSTAVLJANJA I GARANCIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.6.3 KORISNIĈKA PREDSTAVLJANJA I GARANCIJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.6.4 PREDSTAVLJANJA I GARANCIJE TREĆIH STRANA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.6.5 PREDSTAVLJANJA I GARANCIJE DRUGIH UĈESNIKA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.7 NEPRIZNAVANJE GARANCIJA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.8 OGRANIĈENJA ODGOVORNOSTI
Sertifikaciono telo HALCOM BG CA nije odgovorno za štetu koja proizlazi iz:

korišćenje kvalifikovanih elektronskih sertifikata za namene i na način koji nije
izričito predviĎen u politici sertifikacije i ovom CPS dokumentu,

nepravilnog ili pogrešnog obezbeĎenja lozinki ili privatnih ključeva vlasnika
kvalifikovanog elektronskog sertifikata, otkrivanje poverljivih podataka ili ključeva
trećim licima i neodgovornog postupanja vlasnika kvalifikovanog elektronskog
sertifikata,

zloupotrebe odnosno upada u informacioni sistem vlasnika kvalifikovanog
elektronskog sertifikata i na taj način dolaska do podataka o kvalifikovanim
elektronskim sertifikatima od strane neovlašćenih lica,

nepostupanja ili lošeg postupanja sa podacima u okviru informacione
infrastrukture vlasnika kvalifikovanog elektronskog sertifikata ili trećih lica,

neproveravanja podataka i validnosti (statusa povučenosti) kvalifikovanih
elektronskih sertifikata u registru opozvanih kvalifikovanih elektronskih sertifikata,

neproveravanja vremena validnosti kvalifikovanih elektronskih sertifikata,

postupanja vlasnika kvalifikovanog elektronskog sertifikata ili trećeg lica suprotno
informacijama i obaveštenjima koje objavljuje sertifikaciono telo HALCOM BG CA,
politikom sertifikacije, ovim CPS dokumentom i drugim propisima,

omogućenog korišćenja odnosno zloupotrebe
elektronskog sertifikata od strane neovlašćenih lica,

izdatog kvalifikovanog elektronskog sertifikata sa pogrešnim i neverodostojnim
podacima, ili drugim radnjama vlasnika kvalifikovanog elektronskog sertifikata ili
sertifikacionog tela,
vlasnikovog
kvalifikovanog
78

korišćenja kvalifikovanih elektronskih sertifikata koji nisu validni, uz promenu
podataka iz kvalifikovanih elektronskih sertifikata, elektronskih adresa ili promena
imena vlasnika,

ispada infrastrukture koja nije u domenu upravljanja sertifikacionog tela HALCOM
BG CA,

samih podataka koji se šifruju ili potpisuju korišćenjem kvalifikovanih elektronskih
sertifikata,

upotrebe i pouzdanosti rada mašinske
kvalifikovanog elektronskog sertifikata.
i
programske
opreme
vlasnika
9.9 ODŠTETE
Za štetu je odgovorna stranka koja je istu prouzrokovala zbog nepoštovanja odredaba iz
politike sertifikacije i ovog CPS dokumenta i važećeg zakonodavstva.
9.10 PERIOD VAŢNOSTI I KRAJ VALIDNOSTI OVIH CPS
Sertifikaciono telo HALCOM BG CA zadržava pravo da izmeni politiku sertifikacije i ovaj
CPS dokument i da nadogradi infrastrukturu bez prethodnog obaveštavanja vlasnika
kvalifikovanog elektronskog sertifikata.
Važeći sertifikati tako ostaju važeći do isteka njihove validnosti i za njih još uvek važi
onaj CPS dokument koji je važio u vreme njihovog izdavanja. Za sve sertifikate izdate
nakon početka validnosti novog CPS dokumenta, važi taj novi.
Ovaj CPS dokument stupa na snagu onoga dana kada je odobren i objavljen od strane
sertifikacionog tela HALCOM BG CA.
9.10.1 VAŢNOST
Nova verzija (odnosno promene) CPS dokumenta sertifikacionog tela HALCOM BG CA
prethodno se, osam (8) dana pre zvaničnog datuma validnosti, objavljuje na web stranici
sertifikacionog tela HALCOM BG CA sa novim identifikacionim brojem (CPS OID) i
označenim datumom početka validnosti.
Kraj validnosti CPS dokumenta nije odreĎen niti je povezan sa periodom validnosti
kvalifikovanih elektronskih sertifikata izdatih na osnovu ovog CPS.
9.10.2 KRAJ VALIDNOSTI
Prilikom objavljivanja novog CPS dokumenta, za sve sertifikate izdate po osnovu tog CPS,
ostaju validne one odredbe koje smisaono ne mogu da se nadomeste odgovarajućim
odredbama novog CPS (na primer postupak koji odreĎuje način na koji je bio izdat taj
kvalifikovani elektronski sertifikat, i sl.).
Sertifikaciono telo može da, za pojedinačne odredbe validnog CPS dokumenta, objavi
amandmane kao što je to navedeno u poglavlju 9.12.
9.10.3 EFEKAT ZAVRŠETKA I PONOVNOG RADA
Prilikom objavljivanja novog CPS, svi kvalifikovani elektronski sertifikati izdati nakon tog
datuma procesiraju se prema novom CPS dokumentu.
Novi CPS dokument ne utiče na validnost kvalifikovanih elektronskih sertifikata koji su bili
izdati prema prethodnim CPS. Takvi kvalifikovani elektronski sertifikati ostaju važeći do
isteka validnosti pri čemu se, gde god je to moguće procesiraju i/ili tretiraju prema
79
novom CPS dokumentu.
9.11 POJEDINAĈNA OBAVEŠTENJA I KOMUNIKACIJA SA
UĈESNICIMA
Kontaktni podaci sertifikacionog tela objavljeni su na web stranicama istog i navedeni u
poglavlju 1.3.1.
Kontaktni podaci vlasnika kvalifikovanog elektronskog sertifikata dostavljeni su u
zahtevima vezanim za sertifikate.
Kontaktni podaci trećih lica dostavljeni su u mogućem meĎusobnom dogovoru izmeĎu
trećeg lica i sertifikacionog tela HALCOM BG CA.
9.12 ISPRAVKE, MODIFIKACIJE I DODACI U ODNOSU NA OVE CPS
9.12.1 PROCEDURE ZA ISPRAVKU, MODIFIKACIJU ILI DODATAK
Promene ili dopune ovog CPS dokumenta sertifikaciono telo može da objavi u obliku
promena ili dopuna ovog CPS ako se ne radi o suštinskim promenama operativnog rada
sertifikacionog tela.
Amandmani se usvajaju i prihvataju istim postupkom kao i sama praktična pravila rada.
Ako promene i dopune suštinski utiču na operativni rad sertifikacionog tela, o tome se
obaveštava nadležno Ministarstvo istim postupkom kao što to važi i za same dokumente.
Način za označavanje amandmana definiše sertifikaciono telo HALCOM BG CA.
9.12.2 MEHANIZAM I PERIOD OBAVEŠTAVANJA
Sertifikaciono telo HALCOM BG CA definiše početak i kraj validnosti promena i dopuna.
Promene i dopune se objavljuju sedam (7) dana pre početka validnosti na web
stranicama sertifikacionog tela HALCOM BG CA.
9.12.3 USLOVI PROMENE OBJEKTNOG IDENTIFIKATORA (OID)
Ako prihvaćene promene i dopune utiču na korišćenje kvalifikovanih elektronskih
sertifikata, sertifikaciono telo HALCOM BG CA može da odredi novi identifikacioni broj
(CPSOID) za novi CPS, odnosno promene i dopune.
9.13 ODREDBE REŠAVANJA SPOROVA
Sve pritužbe vlasnika kvalifikovanog elektronskog sertifikata rešava organizaciona
jedinica za nadzor i usklaĎenost (poglavlje 5.3).
Moguće sporove izmeĎu vlasnika kvalifikovanog elektronskog sertifikata ili trećeg lica i
sertifikacionog tela HALCOM BG CA rešava nadležni sud.
9.14 ZAKON KOJI SE POŠTUJE
Ovaj CPS dokument je izraĎen u potpunosti u skladu sa odgovarajućom zakonskom
regulativom države Srbije, i to pre svega sa Zakonom o elektronskom potpisu i
80
odgovarajućim podzakonskim aktima.
Sve pravne stvari koje se odnose na HALCOM BG CA sertifikaciono telo i/ili koje se
odnose na sertifikate izdate od strane HALCOM BG CA sertifikacionog tela, biće
procesirane od strane odgovarajućeg suda u Srbiji.
Dakle, za odlučivanje po ovom CPS dokumentu upotrebljava se pravo Republike Srbije.
9.15 SAGLASNOST SA PRIMENLJIVIM ZAKONIMA
Nadzor nad usklaĎenošću operativnog rada sertifikacionog tela HALCOM BG CA sa
važećim zakonodavstvom i propisima sprovodi nadležna inspekcijska služba.
Interne provere usklaĎenosti operativnog rada sprovode ovlašćena lica u okviru
sertifikacionog tela HALCOM BG CA.
9.16 RAZNE ODREDBE
Sa ostalim subjektima sertifikaciono telo može da sklopi meĎusobne dogovore ako tako
definiše važeće zakonodavstvo, odnosno drugi propisi.
9.16.1 KOMPLETAN UGOVOR
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.16.2 DODELJIVANJE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.16.3 OZBILJNOST
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.16.4 SPROVOĐENJE PRAVNOG POSTUPKA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.16.5 VIŠA SILA
Ovo poglavlje nije primenljivo u okviru ovih CPS.
9.17 DRUGE ODREDBE
Ovo poglavlje nije primenljivo u okviru ovih CPS.
81
82
Download

Sertifikaciono telo Halcom a.d. Beograd (HALCOM BG CA)